29.06.2020

Как преодолеть распространённые проблемы внедрения стандарта PCI DSS с помощью средств шифрования информации?

"Национальный банковский журнал", июнь, 2020

Экспертная статья Дениса Суховея, директора департамента развития технологий компании "Аладдин Р.Д."

Множество проектов по внедрению стандарта данных индустрии платежных карт PCI DSS в карточной платёжной инфраструктуре банков и финансовых организаций показывает, что цели и приоритеты таких проектов сугубо индивидуальны в каждом отдельно взятом случае. Однако в процессе внедрения стандарта PCI DSS встречаются схожие проблемы, с которыми сталкиваются почти все организации. В фокусе данной статьи находится обзор ряда наиболее "популярных" проблем реализации требований PCI DSS и разбор путей решения этих проблем на примере применения средств шифрования.

Как показывает практика, в подавляющем большинстве случаев организации считают труднопреодолимыми требования следующих разделов:

  • организация безопасного хранения данных платёжных карт (ДПК) П.3;
  • обеспечение контроля доступа пользователей к ДПК П.7;
  • мониторинг и регистрация фактов доступа к ДПК П.10.

Такая "избирательность" возникновения проблем объясняется целым рядом естественных факторов сложившегося подхода к контролю обработки ДПК в банковских и финансовых организациях.

Сложность. Информационные сис­темы, участвующие в обработке ДПК по определению имеют многоуровневую архитектуру, а также многослойную информационную модель в СУБД. Эта сложность препятствует обеспечению безопасности хранения данных в таких системах и вообще препятствует любому мероприятию обеспечения защиты информации. Ведь учесть все нюансы и особенности сложной модели при определении границ объекта защиты сложно специалисту даже самой высокой квалификации.

Загруженность. Информационные системы, которые обычно включаются в границы стандарта PCI DSS, высоко востребованы бизнесом финансовых и банковских организаций. Соответственно, нагрузка на СУБД таких систем запредельная. Решиться на проведение масштабных изменений и мероприятий по защите информации очень сложно.

Дефицит специалистов. Специалистов с глубокими знаниями нескольких платформ СУБД на рынке крайне мало, специалистов с высокими знаниями одновременно в области СУБД и информационной безопасности еще меньше. В силу этого стоят такие специалисты достаточно дорого. У многих организаций просто нет штатной квалификации на обеспечение защиты систем/СУБД, обрабатывающих ДПК.

Дефицит решений на отечественном рынке. Мероприятия по внедрению стандарта PCI DSS не могут проводиться в изоляции от других активностей организации. Параллельно с внедрением стандарта PCI DSS реализуются требования других руководящих документов, например, требования постановлений ЦБ РФ (382-П, 346-П и т.д.). В таких условиях организация нуждается в инструменте защиты, который удовлетворял бы требованиям сразу нескольких регуляторов и был максимально гибко применим в инфраструктуре банка или финансовой организации. Об одном из таких решений пойдет речь во второй части стати – системе защиты информации в базах данных "Крипто БД" от компании "Аладдин Р.Д.".

Система защиты информации "Крипто БД"

Основным назначением системы является криптографическая защита (далее шифрование) данных, хранящихся в таблицах СУБД, от несанкционированного доступа, утечки и последующей компрометации. Система "Крипто БД" позволяет обеспечить выполнение следующих задач:

  • предотвращение несанкционированного доступа к конфиденциальной информации, размещённой в таблицах баз данных;
  • защита информации от злонамеренных действий системного администратора;
  • шифрование и защита информации при использовании трехзвенной архитектуры доступа к базе данных;
  • аудит действий пользователей и администратора базы данных при попытках доступа к защищаемой информации.

Специфичный набор функциональных характеристик системы "Крипто БД" создавался, в том числе, для эффективного и экономичного решения самых острых проблем внедрения стандарта PCI DSS. Для конкретизации мер безопасности для мероприятий по стандарту PCI DSS в конце статьи приведена таблица соответствия функций системы "Крипто БД" требованиям стандарта PCI DSS.

Организация безопасного хранения ДПК

Система "Крипто БД" позволяет гибко определить объект защиты в СУБД информационной системы. В объект защиты могут быть включены такие виды данных, как:

  • критичные аутентификационные данные;
  • данные PAN;
  • ключи шифрования ДПК.

Даже при существенной фрагментации объекта защиты (например, вышеперечисленные виды данных разнесены на большое количество таблиц, находящихся в разных экземплярах базы данных) система "Крипто БД" эффективно осуществит шифрование данных, обеспечив контроль целостности и надежную защиту от компрометации. В тех задачах, где это необходимо, будут реализованы функции маскирования защищенных данных при их представлении неавторизованным пользователям или в целях передачи выгрузок третьим лицам.

Обеспечение контроля доступа пользователей к ДПК

В системе "Крипто БД" реализовано две модели разграничения прав пользователей при доступе к защищаемой информации:

  • дискреционная – основанная на разрешении безопасного использования ключа шифрования для того или иного столбца с данными;
  • мандатная – обеспечивающая проверку соответствия метки доступа ключа (чтение/запись) пользователя метке зашифрованных этим ключом данных.

Обеспечение контроля доступа достигается за счет сочетания двух функций системы защиты "Крипто БД" – шифрование информации (см. выше) и двухфакторной аутентификации пользователей при доступе к защищаемой информации с использованием смарт-карт или USB-токенов, защищённых PIN-кодом (например, JaCarta PKI от "Аладдин Р.Д.").

Мониторинг и регистрация фактов доступа к ДПК

Выполнению задачи регистрации событий доступа пользователей к ДПК в системе "Крипто БД" уделено особое внимание. Функции системы позволяют реализовать полноценный независимый мониторинг и аудит событий доступа к защищаемой информации. При этом термин "независимый" будет означать отсутствие возможности изменения фиксируемой информации со стороны привилегированных пользователей (Администраторов СУБД/Администраторов ИТ).

Модуль фиксации событий доступа в системе "Крипто БД" позволяет осуществлять сбор следующей информации:

  • идентификатор пользователя;
  • тип события;
  • дата и время;
  • успешным или неуспешным было событие;
  • источник события;
  • идентификатор или название данных, системного компонента или ресурса, на которые повлияло событие.

Фиксация всех этих видов информации необходима по требованиям стандарта PCI DSS.

Таким образом, организация, сталкивающаяся с рядом "популярных" проблем внедрения стандарта PCI DSS, получает возможность простого и эффективного преодоления возникших препятствий при использовании универсального инструмента шифрования в виде системы защиты "Крипто БД". Дополнительные функции двухфакторной аутентификации, контроля доступа, контроля целостности защищаемой информации и т.д. позволят организации обеспечить выполнение требований целого ряда нормативных документов ЦБ РФ, ФСТЭК России и ФСБ России. Об этом мы расскажем вам в следующей статье, посвящённой практическому применению криптографической защиты в СУБД различных платформ.

Текст: Денис Суховей, директор департамента развития технологий компании "Аладдин Р.Д.".

Материал также опубликован в печатной версии июньского номера Национального банковского журнала (№191, июнь 2020).