Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Мониторинг доступа к данным по стандарту PCI DSS

Как подготовиться к стандарту штатными и специальными средствами.

  • Login to see the comments

  • Be the first to like this

Мониторинг доступа к данным по стандарту PCI DSS

  1. 1. СЕРГЕЙ ДОБРУШСКИЙ, 2017 Мониторинг доступа к данным по стандарту PCI DSS.
  2. 2. Соответствие требованиям регуляторов 152-ФЗ, 161-ФЗ, П-1119 382-П, PCI DSS Расследование внутренних инцидентов и теневых схем • Поиск и расследование инцидентов • Выявление атак на банковские СУБД ЗАЧЕМ ЗАЩИЩАТЬ БАЗЫ ДАННЫХ?
  3. 3. Требование стандарта Требование 2 Не использовать пароли и другие системные параметры, заданные производителем по умолчанию Требование 3 Обеспечить безопасное хранение данных держателей карт Требование 7 Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью Требование 8.5 Не использовать групповые, общие и стандартные учетные записи и пароли, а также прочие подобные методы аутентификации Требование 10 Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт На какую информацию в СУБД проецируется Учетные записи к СУБД, пароли к УЗ Значения полей таблиц попадающих под скоуп PCI DSS Учетные записи, Роли, Привилегии доступа Учетные записи СУБД Учетные записи, таблицы, поля, функции, хранимые процедуры, и.т.д. Требования стандарта PCI DSS к информационным системам
  4. 4. Отсутствие защиты Штатный аудит СУБД Системы классов DAM и DBF ТЕХНОЛОГИИ ЗАЩИТЫ БАЗ ДАННЫХ
  5. 5. Cоответствие требованиям PCI DSS штатными средствами Написание скриптов Процедуры хранения Настройка аудита в соответствии с 10, 8 и 7 требованиями стандарта Создание триггеров
  6. 6. Отсутствие защиты Штатный аудит СУБД Системы классов DAM и DBF ТЕХНОЛОГИИ ЗАЩИТЫ БАЗ ДАННЫХ Защита баз данных без специальных комплексов Поиск и классификация данных. Управления конфигурациями СУБД. Анализ привилегий доступа. Мониторинг доступа к данным.
  7. 7. Классификаци я в СУБД – поиск локализации критичной информации Пример запроса SELECT COUNT(*) FROM ( SELECT "CARD_NUMBER" FROM "SYS"."CARDS" WHERE "CARD_NUMBER" IS NOT NULL AND ROWNUM <= 10 ) tmp WHERE REGEXP_LIKE("CARD_NUMBER", N'((D|A)([23456]d{3}[ -]?d{4}[ - ]?d{4}[ -]?(d{4}|d{6}))(D|0|z))')
  8. 8. Управление конфигурациями Проверка на наличие уязвимостей Пример запроса SELECT ACTION, VERSION,ID FROM DBA_REGISTRY_HISTORY WHERE TO_DATE(TRIM(TO_CHAR(ID)), 'YYMMDD') > SYSDATE-90 AND ID > 160000
  9. 9. Права доступа к данным - написание скрипта Регулярная выгрузка данных в читаемом формате. Актуализация и сравнение этих данных с эталонными матрицами доступа.
  10. 10. Средства штатного аудита - в пакетах большинства СУБД Самописные скрипты Ручная настройка Штатный аудит обеспечивает стандарт
  11. 11. Постоянный контроль всех изменений в базах данных со стороны IT и ИБ подразделений. Актуализация скоупа и поиск новых СУБД вручную. Отсутствие контроля привилегированных пользователей. Снижение производительности СУБД (10%-40%). Недостатки штатного аудита
  12. 12. Специализированные средства защиты DBF (Database Firewall)DAM (Database activity monitoring) WAF (Web Application Firewall)
  13. 13. Возможности систем DAM для аудита PCI DSS Инвентаризация всех серверов БД, инстансов СУБД и промежуточных серверов WEB-приложений. Определения скоупа PCI DSS – поиск местонахождения полей, таблиц с данными держателей кредитных карт. Сканирование СУБД на оптимальность конфигураций и наличие уязвимостей. Получение матрицы доступа к БД. Непрерывный аудит доступа к данным.
  14. 14. Удобство и масштабируемость. Хранение всех запросов и ответов для ретроспективного анализа. Отсутствие влияния на производительность сети и серверов СУБД. Предустановленные отчеты. Графическое предоставление данных. Преимущества DAM-систем
  15. 15. PCI DSS содержит требования к защите данных держателей платежных карт и контроля доступа к ним. Штатный аудит и специализированные решения – средства реализации требований PCI DSS Ручной контроль и высокая нагрузка на ИБ-службу и сетевое оборудование как минусы штатного аудита. Специализированные средства - непрерывный автоматизированный контроль доступа к данным держателей платежных карт. ИТОГИ
  16. 16. 10+ лет опыта разработки систем высокой сложности Более 300 высококвалифицированных специалистов Собственный исследовательский центр для развития новых проектов 1500 внедрений решений во всех федеральных округах России Система менеджмента качества МФИ Софт сертифицирована на соответствие международному стандарту ISO 9001:2008 Британским институтом стандартов (BSI)
  17. 17. СПАСИБО ЗА ВНИМАНИЕ INFO@MFISOFT.RU 8 (831) 422 11 55 MFISOFT.RU

×