суббота, 14 января 2017 г.

Апдейт PCI DSS 3.2: новые критерии и ужесточение требований (v2017)

Международный совет PCI SSC в прошлом году, а именно 28 апреля 2016 года на своем официальном сайте  опубликован пресс-релиз с сообщением о выходе новой версии стандарта безопасности данных индустрии платежных карт PCI DSS v3.2. Данная версия стандарта получилась внеплановая, и вызвано это было усложнением общей обстановки мире кибер-безопасности и громкими инцидентами ИБ в финансовом секторе произошедшими за предыдущее время.

Пока новые требования PCI DSS v3.2 остаются еще рекомендательными, однако с 1 февраля 2018 года все они станут обязательными для выполнения. В сегодняшней статье мы кратко пробежимся по самым очевидным и ключевым изменениям в новой редакции стандарта



Новая версия стандарта PCI DSS 3.2 уже доступна для подписчиков и финансовых организация являющихся глобальными членами сообщества. В целом нововведения затронули как общую терминологию, так и усилили некоторые разделы существующих требования  к обеспечению информационной безопасности. 





Версия стандарта PCI DSS 3.1, былы актуальна до конца 28 октября 2016 года. Соответственно до этой же даты можно было и проводить аудит организации на соответствие требованиям стандарта PCI DSS 3.1 или PCI DSS 3.2 в зависимости от предпочтений. В 2017 же году все организации должны переходить на стандарт версии PCI DSS 3.2


Общие изменения в  PCI DSS 3.2:
  • для всех изменений в  ИТ-инфраструктуре  организации теперь необходимо дополнительно проверять, что все применимые требования стандарта PCI DSS по прежнему остаются выполнены;
  • для удаленного  административного доступа требуется реализовать мультифакторную аутентификацию взамен двух-факторной;
  • любое сертифицированное приложение, если  его поддержка производителем прекратилась (например, у ПО появился статус «End-of-life»), то это приложение уже не  обеспечивает необходимый уровень безопасности;
  • при определении границ области применимости стандарта PCI DSS следует учитывать системы, обеспечивающие непрерывность работы компонентов информационной инфраструктуры: системы резервного копирования и восстановления, отказоустойчивые системы; 
  • необходимо изменять все стандартные настройки и отключать стандартные учетные записи. Согласно пояснению, это требование касается и платежных приложений; 
  • добавлено примечание в проверочную процедуру по поиску полного номера карты PAN:  логи необходимо анализировать и для платежных приложений; 
  • добавлено примечание к требованию 3.4.1 по шифрованию дисков: это требование применимо в дополнение ко всем другим требованиям по шифрованию и управлению ключами в области применимости стандарта; 
  • разработчики должны как минимум ежегодно обучаться методам безопасного программирования; 
  • добавлено примечание к требованию по системе контроля доступа (видеонаблюдение либо СКУД, либо обе технологии одновременно); 
  • необходимо обеспечить контроль удаленного доступа любой третьей стороны.

Исключительно к поставщикам услуг: 
  • теперь в случае использования шифрования, всю архитектуру этой системы требуется документировать; 
  • требуется контролировать работоспособность систем безопасности. В случае возникновения сбоев в работе таких систем следует выполнить процедуры реагирования; 
  • тестирование на проникновение (пен-тест) в части сегментации сети необходимо проводить не реже одного раза в шесть месяцев; 
  • в организации должен быть внедрен высокоуровневый документ, в котором будет описана программа соответствия требованиям стандарта PCI DSS и назначен ответственный работник; 
  • не реже одного раза в квартал необходимо проверять, что работники организации корректно выполняют процедуры по ежедневному анализу журналов протоколирования событий, пересмотру правил межсетевого экранирования, применению стандартов конфигурации для новых систем, реагированию на сигналы систем безопасности, а также соблюдают процедуры управления изменениями.
По мимо этого результаты каждой проводимой проверки ИБ обязательно должны быть задокументированы. Станет обязательным и наличие у каждого поставщика услуг программы поддержания соответствия требованиям стандарта PCI DSS, а именно следующие мероприятия:

  • порядок выполнения постоянного мониторинга соответствия;
  • порядок выполнения регулярных процедур;
  • порядок выполнения ежегодных проверок;
  • порядок оценки влияния стандарта PCI DSS на бизнес-решения.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...