Your SlideShare is downloading. ×
Архитектура Cisco для PCI DSS 2.0
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Архитектура Cisco для PCI DSS 2.0

2,874

Published on

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,874
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
101
Comments
0
Likes
4
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Архитектура Cisco дляPCI DSS 2.0Алексей ЛукацкийБизнес-консультант по безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1
  • 2. О чем пойдет речь Введение в PCI Изменения PCI DSS 2.0 Особенности PCI DSS 2.0 Решение Cisco для PCI DSS© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 247
  • 3. Введение в PCI© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3
  • 4. Verizon 2010 PCI Compliance Report• 27% атак происходит изнутри. Двукратный рост по сравнению с 2009• 98% всех инцидентов зафиксировано на серверах• 85% атак не считаются сложными• 61% инцидентов были обнаружены третьей стороны (ритейлер был не в курсе)• 86% жертв имели доказательства в их журналах регистрации• 96% инцидентов можно было избежать с помощью простых защитных мер© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 447
  • 5. Продавцы продолжают рисковать • Слияния и поглощения • 81% хранят PAN • Рост числа точек присутствия • 73% хранят даты истечения • Беспроводные устройства в срока карт сети • 71% хранят коды верификации • Аутсорсинг • 57% хранят данные • Мобильные устройства и магнитных полос планшетники в магазинах и • 16% хранят другие на складах персональные данные Источник: Forrester Consulting: The State of PCI Compliance (commissioned by RSA/EMC) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 547C97_469267_c1 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
  • 6. PCI Data Security Standard• Первая версия опубликована в январе 2005; текущая версия - 2.0• PCI DSS 2.0 станет обязательным с 1-го января 2012• Влияет на ВСЕХ кто Обрабатывает Передает Хранит: данные владельцев карт Payment Card Industry• PCI – это не государственный Data Security Standard стандарт. Это соглашение между платежной системой и ее участниками© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 647
  • 7. PCI применим ко всем PCI Не только ритейл© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 747
  • 8. Стоимость инцидентаЦена на запись (одного клиента) 250 $197 $202 $204 200 $182 150 $138 100 50 0 2005 2006 2007 2008 2009© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 847
  • 9. Совокупная стоимость несоответствия $5,838,781 Разница Цена соответствия $3,529,570 Цена несоответствия $9,368,351 $0 $5,000,000 $10,000,000 Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоотвествия Задача Цена Тип инцидента Цена Политики $297,910 Нарушения торговли $3,297,633 Взаимодействия $343,119 Потери продуктивности $2,437,795 Управление программой $441,859 Потери доходов $2,180,976 Защита данных $1,034,148 Штрафы $1,451,947 Мониторинг соответствия $636,542 Всего $9,368,351 Внедрение защитных мер $775,991 Всего $3,529,570 Источник: The True Cost of Compliance, Ponemon, 2010© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 947
  • 10. 12 требований PCI DSS Требования PCI Data Security Standard Построить и поддерживать 1. Внедрение и поддержка конфигурации МСЭ сеть в защищенном 2. Не использовать пароли и настройки по умолчанию состоянии Защитить данные 3. Защита хранимых данных владельцев карт 4. Шифрование данных платежных карт и иной информации при передаче по открытым сетям Поддержка программы 5. Использование и обновление антивирусов управления уязвимостями 6. Разработка и поддержка систем в защищенном состоянии Внедрение мер строгого 7. Ограничение доступа к данным контроля доступа 8. Привязка уникального ID каждому пользователю 9. Ограничение физического доступа Регулярный мониторинг и 10.Контроль и мониторинг доступа к сетевым ресурсам и тестирование сетей данным платежных карт 11. Регулярное тестирование систем и процессов ИБ Поддержка политики ИБ 12. Поддержка политики информационной безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1047
  • 11. Изменения PCI 2.0© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 11
  • 12. Изменения PCI 2.0• 119 изменений в виде разъяснений• 15 изменений в виде дополнительных указаний• 2 изменения в виде новых требованийКлючевые изменения PCI DSS 2.0• Виртуализация• Обнаружение чужих Wi-Fi устройств© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1247
  • 13. Новые сроки соответствия• PCI DSS 2.0 начинает трехлетний жизненный цикл на разработку и внедрение новых версий стандартов• Новый стандарт действует с 1-го января 2011, но проверка на соответствие предыдущей версии стандарта (1.2.1) будет разрешена до 31 декабря 2011• С 1-го января 2012 вся оценка соответствия проводится только на PCI DSS 2.0© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1347
  • 14. Как определить область действия?© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 14
  • 15. Что такое область действия PCI DSS 2.0• Требования PCI применимы ко всем ‗системным компонентам‘• Системные компоненты определены как: Любой сетевой компонент, сервер или приложение, которое включено или подключается к окружению, обрабатывающему данные платежных карт. Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры.• Окружение, обрабатывающее данные платежных карт, – это часть сети, которая хранит данные платежных карт или иную чувствительную информацию• Адекватная сегментация сети, которая изолирует системы, хранящие, обрабатывающие или передающие данные платежных карт, может уменьшить область действия PCI DSS 2.0 Source PCI DSS 2.0© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1547
  • 16. Методология определения PCI ScopeНовое требование ежегодного подтверждения аккуратности иточности определения области действия PCI DSS в вашемокружении• Полностью задокументированная методология определения• Документирование мест расположения данных PCI• Документация должна быть доступна оценщику/аудитору© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1647
  • 17. Сегментация Вся сеть в Scope Determine ScopeBranch Warehouse Can scope be reduced with segmentation? Wide Area Accelerated NetworkData Center WAN Access CORE Server Server Access Access POS inventoryServers ServersStorage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1747
  • 18. Сегментация Вся сеть в Scope Determine ScopeBranch Warehouse Can scope be reduced with segmentation? NOT IN PLACE Wide Area Accelerated NetworkData Center WAN Access CORE Server Server Access Access POS inventoryServers Servers Entire network is in scope for PCI DSS reviewStorage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1847
  • 19. Сегментация Только устройства, пропускающие платежные Вся сеть в Scope Determine Scope данные, в ScopeBranch Warehouse Branch Warehouse Can scope be reduced with segmentation? NOT IN PLACE IN PLACE Wide Area Wide Area Accelerated Accelerated Network Network Did assessorData Center validate segmentation effectiveness? Data Center WAN WAN Access No Access Yes CORE Assessor documents CORE segmentation in place and effective Server Server Server Server Access Access Access Access POS inventory POS inventoryServers Servers Servers Servers Entire network Scope limited for is in scope for PCI DSS review PCI DSS reviewStorage Headquarters Storage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1947
  • 20. Сегментация Только устройства, пропускающие платежные Вся сеть в Scope Determine Scope данные, в ScopeBranch Warehouse Branch Warehouse Can scope be reduced with segmentation? NOT IN PLACE IN PLACE Wide Area Wide Area Accelerated Accelerated Network Network Did assessorData Center validate segmentation effectiveness? Data Center WAN WAN Access No Access Yes CORE Assessor documents CORE segmentation in place and effective Server Server Server Server Access Access Access Access POS inventory POS inventoryServers Servers Servers Servers Entire network Scope limited for is in scope for PCI DSS review PCI DSS review AuditStorage Performed Headquarters Storage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2047
  • 21. Виртуализация© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 21
  • 22. Виртуализация добавлена в Scope ‗Системные компоненты‘ также включают любые Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры. • Требование 2.2.1 обновлено: В местах применения технологий виртуализации необходимо применять только одну основную функцию на виртуальный системный компонент.© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2247
  • 23. Стратегия виртуализации и PCI Указания Аутентификация Все виртуальные компоненты в Задокументировать используемые scope протоколы и механизмы Все потоки данных и Определить роли/привилегии взаимодействия между виртуальными компонентами Разделение полномочий и должны быть идентифицированы и минимум привилегий документированы Разделение привилегий между Виртуализированное окружение гостевыми VM и гипервизором должно быть сегментировано Необходимо применять все 12 требований PCI DSS© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2347
  • 24. Виртуализация: точка присутствия• Виртуальные LAN Access Point Wired: Cisco Catalyst VLANs VLANs 2960/3560/3750 series Switches Wireless: Cisco Aironet 1040, 1200, 3500 Series Access Points Switch Sensitive Scope Out of Scope• Виртуальные Firewall/IPS Cisco Integrated Service Routers (ISR) Generation 2: 800, 1900, UCS Express UCS Express 2900, 3900 Series POS Server Print Server Router Integrated Firewall/IPS• Виртуальные сервера Cisco Service Ready Engine with Unified Computing System (UCS) WAN, Data Center, and Centralized Management Wireless IPS Express image© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2447
  • 25. Виртуализация: ЦОД• Виртуальные LANs Data Center, Aggregation Layer Nexus 1000v virtual Switch WAN Nexus 5000 & 7000 Switches and CORE VLAN Routing MDS 9000 Storage Switch• Виртуальный МСЭ Segmentation Nexus Switches Virtual Secure Gateway (VSG) VDC1 ASA 5585 Firewall• Виртуальные сервера VDC2 Adaptive Unified Compute System (UCS) Security Appliance VCE VBLOCK-1 Architecture Access Layer© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2547
  • 26. Детальные руководства© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2647
  • 27. Обнаружение чужих беспроводных устройств© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 27
  • 28. Обнаружение чужих Wi-Fi устройств• 11.1: Обнаружение беспроводных точек доступа обновлено за счет новых методов: • Сканирование беспроводных сетей • Физическая/логическая инспекция • NAC • Wireless IDS и IPS• 11.1b: Проверка методов тестирования для аккуратного обнаружения: • WLAN cards • Portable wireless devices (USB, etc.) • Attached wireless devices and access points© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2847
  • 29. Новые указания© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 29
  • 30. Как учитывать новые технологии?• Special Interest Groups (SIGs)• Technical Working Group (TWG)• Отдельные вендоры выпускают собственные указания или требования• Обратная связь от участников PCI Council Cisco – участник PCI Council© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3047
  • 31. Point-to-Point Encryption Guidance • Указания по шифрованию между терминалами, а не «site to site» (S2S) • Выводы Методы проверки реализации указаний еще незрелы Могут облегчить внедрение PCI Могут уменьшить scope Требуется независимое тестирование P2PE • Указания по проверке реализации должны быть выпущены в 2011© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3147
  • 32. Защита телефонии в PCI• Новые указания по использование телефонных технологий в рамках PCI• Cisco IP Phones с внутренним коммутатором, подключенные к терминалам (Point of Service Terminals)• Центры обработки вызовов© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3247
  • 33. Все вместе – как Cisco помогает соответствовать PCI DSS 2.0© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 33
  • 34. PCI DSS34 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3447
  • 35. Целостное решение PCI DSS 2.0 Solution Framework • Точки продаж: сервера и приложения Конечные • Голос: Телефоны и ЦОВ устройства • Email: Data Loss Prevention Сервисы • Physical: Surveillance и Badge Access • Assess • Аутентификация • Шифрование • Design Управление • Управление • Мониторинг • Implement • Audit Store Data Center Contact Center Internet Edge Инфраструктура • Сеть: Routers, Switches и Wireless • ИБ: Firewalls и Intrusion Detection© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3547
  • 36. Продуктовые линейки Cisco Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR) Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000 Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage Media Encryption Module Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM), Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS, Cisco Secure Access Control Server (ACS) Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with enhanced local mode (ELM), Cisco Adaptive Wireless IPS Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical Access Gateways Compute Systems and Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express Storage Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management Solution (LMS) Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3647
  • 37. Пример: системы видеонаблюдения• Cisco может «закрыть» 9-е требование PCI DSS по физической безопасности• Video Surveillance Cisco Video Surveillance IP Cameras Cisco Video Surveillance Media Server (VSMM) Cisco Video Surveillance Operations Manager (VSOM)• Physical Access Control Cisco Physical Access Manager Cisco Physical Access Gateway Badge readers Door and cabinet access controls Contact alarms© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3747
  • 38. Не продуктом единымCampus or HQ Data Center AGGREGATION INTERNET EDGE INTERNET WAN Aggregation Core Adaptive Web App FW Security Service Appliance DMZ AggregationPOS POS PC MobileServers Register POS Service Web Servers VPN ProviderStore SERVER ACCESS STORAGE External Integrated Access MDS 9000 Locations SAN Switches Catalyst Services Router Authentication POS Switch Servers LWAPP Network Business Management Servers Disk Arrays Security Database Management Network TapePOS POS PC Mobile Monitoring Services Storage RemoteServers Register POS and Workers Partners Inventory © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3847
  • 39. Конкретные рекомендации Требование 1Campus or HQ Data Center AGGREGATION INTERNET EDGESecurityManagement: INTERNETKey ManagerClient WAN Aggregation Core Adaptive Web App FW Security Service Appliance DMZ Payment Mobile AggregationPOS POS Devices POS/Servers Register Service Web Servers VPN Inventory ProviderStore SERVER ACCESS STORAGE External Integrated Access MDS 9000 LocationsSecurity SAN Switches Services RouterManagement: Authentication POSKey Manager ServersClient LWAPP Network Management: Business CiscoWorks LMS Servers Disk Arrays Security Management: Database Cisco Security Manager Monitoring: Network TapeFile Security POS Payment Remote Mobile SIEM Services StorageAdapter + Register Devices POS and Workers Partners Inventory © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3947
  • 40. Cisco PCI Solution for Retail 2.0Соответствует требованиям• Позволяет выполнять указания PCI DSS 2.0 в специфичных технологических областях• Обеспечивает руководство для выполнения требований PCI и защиты данных платежных карт© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4047
  • 41. Cisco PCI Solution for Retail 2.0Детальные руководства• Рекомендованные архитектуры для сетей, Validated Design хранящих, обрабатывающих и Small Retail Store передающих данные платежных карт• Протестированы в реальном окружении с POS, серверами приложений, беспроводными устройствами, соединением с Интернет, ЦОВ и системами безопасности• Руководства оценены PCI QSA (Verizon)• Включают расширенные рекомендации по реализации требований PCI в виртуализированном и 3G окружении© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4147
  • 42. Резюме• Непрекращающаяся поддержка соответствия – сложная задача Cisco может помочь решить ее• У Cisco есть все необходимые технологии и сервисы для реализации многих «инфраструктурных» требований PCI DSS 2.0• В среднем, стоимость несоответствия в 2.65 раз выше стоимости обеспечения соответствия Cisco может помочь в создании бизнес-кейса© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4247
  • 43. В качестве заключения© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 43
  • 44. Построение бизнес-кейсаИнтерактивный Business Benefits Calculator© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4447
  • 45. Дополнительная информация• Cisco PCI Resources www.cisco.com/go/pci www.cisco.com/go/retail www.cisco.com/go/healthcare• PCI Design and Implementation Guide—Retail http://www.cisco.com/en/US/docs/solutions/Verticals/PCI_Retail/© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4547
  • 46. Где проваливаются аудиты? Требование PCI Процент провалов Requirement 3 Protect Stored Data 79% Requirement 11 Regularly Test Security Systems and Processes 74% Assign a Unique ID to Each Person with Requirement 8 71% Computer Access Track and Monitor All Access to Network Resources Requirement 10 71% and Cardholder Data Install and Maintain a Firewall Configuration to Requirement 1 66% Protect Data Do Not Use Vendor-Supplied Defaults for System Requirement 2 62% Passwords and Other Security Parameters Requirement 12 Maintain a Policy that Addresses Information Security 60% Requirement 9 Restrict Physical Access to Cardholder Data 59% Develop and Maintain Secure Systems Requirement 6 56% and Applications Encrypt Transmission of Cardholder Data and Requirement 4 45% Sensitive Information Across Public Networks Источник: VeriSign, ―Lessons Learned: Top Reasons for PCI Audit Failure and How to Avoid Them‖© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4647
  • 47. Спасибоза внимание!

×