Как преодолеть распространённые проблемы внедрения стандарта PCI DSS с помощью средств шифрования информации?
Экспертная статья Дениса Суховея, директора департамента развития технологий компании "Аладдин Р.Д."
Множество проектов по внедрению стандарта данных индустрии платежных карт PCI DSS в карточной платёжной инфраструктуре банков и финансовых организаций показывает, что цели и приоритеты таких проектов сугубо индивидуальны в каждом отдельно взятом случае. Однако в процессе внедрения стандарта PCI DSS встречаются схожие проблемы, с которыми сталкиваются почти все организации. В фокусе данной статьи находится обзор ряда наиболее "популярных" проблем реализации требований PCI DSS и разбор путей решения этих проблем на примере применения средств шифрования.
Как показывает практика, в подавляющем большинстве случаев организации считают труднопреодолимыми требования следующих разделов:
- организация безопасного хранения данных платёжных карт (ДПК) П.3;
- обеспечение контроля доступа пользователей к ДПК П.7;
- мониторинг и регистрация фактов доступа к ДПК П.10.
Такая "избирательность" возникновения проблем объясняется целым рядом естественных факторов сложившегося подхода к контролю обработки ДПК в банковских и финансовых организациях.
Сложность. Информационные системы, участвующие в обработке ДПК по определению имеют многоуровневую архитектуру, а также многослойную информационную модель в СУБД. Эта сложность препятствует обеспечению безопасности хранения данных в таких системах и вообще препятствует любому мероприятию обеспечения защиты информации. Ведь учесть все нюансы и особенности сложной модели при определении границ объекта защиты сложно специалисту даже самой высокой квалификации.
Загруженность. Информационные системы, которые обычно включаются в границы стандарта PCI DSS, высоко востребованы бизнесом финансовых и банковских организаций. Соответственно, нагрузка на СУБД таких систем запредельная. Решиться на проведение масштабных изменений и мероприятий по защите информации очень сложно.
Дефицит специалистов. Специалистов с глубокими знаниями нескольких платформ СУБД на рынке крайне мало, специалистов с высокими знаниями одновременно в области СУБД и информационной безопасности еще меньше. В силу этого стоят такие специалисты достаточно дорого. У многих организаций просто нет штатной квалификации на обеспечение защиты систем/СУБД, обрабатывающих ДПК.
Дефицит решений на отечественном рынке. Мероприятия по внедрению стандарта PCI DSS не могут проводиться в изоляции от других активностей организации. Параллельно с внедрением стандарта PCI DSS реализуются требования других руководящих документов, например, требования постановлений ЦБ РФ (382-П, 346-П и т.д.). В таких условиях организация нуждается в инструменте защиты, который удовлетворял бы требованиям сразу нескольких регуляторов и был максимально гибко применим в инфраструктуре банка или финансовой организации. Об одном из таких решений пойдет речь во второй части стати – системе защиты информации в базах данных "Крипто БД" от компании "Аладдин Р.Д.".
Система защиты информации "Крипто БД"
Основным назначением системы является криптографическая защита (далее шифрование) данных, хранящихся в таблицах СУБД, от несанкционированного доступа, утечки и последующей компрометации. Система "Крипто БД" позволяет обеспечить выполнение следующих задач:
- предотвращение несанкционированного доступа к конфиденциальной информации, размещённой в таблицах баз данных;
- защита информации от злонамеренных действий системного администратора;
- шифрование и защита информации при использовании трехзвенной архитектуры доступа к базе данных;
- аудит действий пользователей и администратора базы данных при попытках доступа к защищаемой информации.
Специфичный набор функциональных характеристик системы "Крипто БД" создавался, в том числе, для эффективного и экономичного решения самых острых проблем внедрения стандарта PCI DSS. Для конкретизации мер безопасности для мероприятий по стандарту PCI DSS в конце статьи приведена таблица соответствия функций системы "Крипто БД" требованиям стандарта PCI DSS.
Организация безопасного хранения ДПК
Система "Крипто БД" позволяет гибко определить объект защиты в СУБД информационной системы. В объект защиты могут быть включены такие виды данных, как:
- критичные аутентификационные данные;
- данные PAN;
- ключи шифрования ДПК.
Даже при существенной фрагментации объекта защиты (например, вышеперечисленные виды данных разнесены на большое количество таблиц, находящихся в разных экземплярах базы данных) система "Крипто БД" эффективно осуществит шифрование данных, обеспечив контроль целостности и надежную защиту от компрометации. В тех задачах, где это необходимо, будут реализованы функции маскирования защищенных данных при их представлении неавторизованным пользователям или в целях передачи выгрузок третьим лицам.
Обеспечение контроля доступа пользователей к ДПК
В системе "Крипто БД" реализовано две модели разграничения прав пользователей при доступе к защищаемой информации:
- дискреционная – основанная на разрешении безопасного использования ключа шифрования для того или иного столбца с данными;
- мандатная – обеспечивающая проверку соответствия метки доступа ключа (чтение/запись) пользователя метке зашифрованных этим ключом данных.
Обеспечение контроля доступа достигается за счет сочетания двух функций системы защиты "Крипто БД" – шифрование информации (см. выше) и двухфакторной аутентификации пользователей при доступе к защищаемой информации с использованием смарт-карт или USB-токенов, защищённых PIN-кодом (например, JaCarta PKI от "Аладдин Р.Д.").
Мониторинг и регистрация фактов доступа к ДПК
Выполнению задачи регистрации событий доступа пользователей к ДПК в системе "Крипто БД" уделено особое внимание. Функции системы позволяют реализовать полноценный независимый мониторинг и аудит событий доступа к защищаемой информации. При этом термин "независимый" будет означать отсутствие возможности изменения фиксируемой информации со стороны привилегированных пользователей (Администраторов СУБД/Администраторов ИТ).
Модуль фиксации событий доступа в системе "Крипто БД" позволяет осуществлять сбор следующей информации:
- идентификатор пользователя;
- тип события;
- дата и время;
- успешным или неуспешным было событие;
- источник события;
- идентификатор или название данных, системного компонента или ресурса, на которые повлияло событие.
Фиксация всех этих видов информации необходима по требованиям стандарта PCI DSS.
Таким образом, организация, сталкивающаяся с рядом "популярных" проблем внедрения стандарта PCI DSS, получает возможность простого и эффективного преодоления возникших препятствий при использовании универсального инструмента шифрования в виде системы защиты "Крипто БД". Дополнительные функции двухфакторной аутентификации, контроля доступа, контроля целостности защищаемой информации и т.д. позволят организации обеспечить выполнение требований целого ряда нормативных документов ЦБ РФ, ФСТЭК России и ФСБ России. Об этом мы расскажем вам в следующей статье, посвящённой практическому применению криптографической защиты в СУБД различных платформ.
Текст: Денис Суховей, директор департамента развития технологий компании "Аладдин Р.Д.".
Материал также опубликован в печатной версии июньского номера Национального банковского журнала (№191, июнь 2020).