تم اعتماد نظام Cloud-152 IaaS الخاص بنا في وقت واحد وفقًا لـ PCI DSS ولديه شهادة المطابقة 152-لـ UZ-2 (بدون تهديدات فعلية من النوع الأول والثاني). يتم تضمين نفس النظام الأساسي أيضًا في نطاق نظام إدارة أمن المعلومات (ISMS) ، الذي حصلنا عليه وفقًا للمعيار ISO / IEC 27001: 2013. بالتأكيد سوف أخبركم بهذا وبشأن
STAR Cloud Security Alliance (CSA) ، لكنني اليوم سأركز على مزايا PCI DSS و 152- التآزر لعملائنا.
نحن نعيش في روسيا ، وعملاؤنا يمارسون أعمالهم في الاتحاد الروسي ، ويتعين على الجميع الامتثال لمتطلبات التشريعات الروسية في مجال حماية البيانات الشخصية. القانون الاتحادي "بشأن البيانات الشخصية" المؤرخ في 27 يوليو 2006 رقم 152- وتصويباته من القانون الاتحادي الصادر في 242 يوليو 21 ، 2014 فيما يتعلق بمعالجة البيانات الشخصية لمواطني الاتحاد الروسي في قواعد البيانات الموجودة على أراضي الاتحاد الروسي. لا يحتاج الجميع إلى إجمالي الناتج المحلي ، وسأخذ هذا الموضوع أيضًا خارج نطاق هذا المقال.
تم تصميم 152-to لحماية حقوق موضوعات PD. لا يوفر القانون وصفات جاهزة لحماية البيانات الشخصية من خلال إدخال وتكوين معدات الحماية (SZI). إذا نزلت إلى مستوى أكثر "محددًا" من المرسوم الحكومي رقم 1119 ، وأمر FSTEC لروسيا رقم 21 وأمر FSB لروسيا رقم 378 ، فإن الأمر يتعلق أكثر بحقيقة توفر الأموال (في بعض الحالات معتمدة) ، وليس كيفية إعداد ذلك. أن تكون آمنة.
يحدد PCI DSS متطلبات أمان البيانات في صناعة بطاقات الدفع. يرتبط نطاق عملها بالمال ، الذي يحميه الجميع تقليديًا بعناية خاصة. لديها المزيد من التفاصيل والمتطلبات وصحائف القراءة :).
قد يبدو من الغريب بالنسبة لشخص ما أن الاتصال نفسه على نفس منصة PCI DSS و 152- ، ولكن هذا أمر منطقي بالنسبة لنا. هذا لا يقتصر فقط على اثنين في زجاجة واحدة ، ولكن الأهم من ذلك هو مزيج من الورق والأمن العملي.
سأقدم بعض الأمثلة عن نظام "الشيكات والأرصدة" هذا.
مثال 1. يتم إصدار شهادة للبنية التحتية التي تلبي متطلبات 152-FZ لمدة 3 سنوات. خلال هذا الوقت ، يجب ألا يتغير أي شيء في البنية التحتية ، أو يجب بالضرورة الاتفاق عليه مع المنظمة التي أصدرت الشهادة. شهادة تساوي إصلاح النظام لمدة ثلاث سنوات كاملة. كيف تفي البنية التحتية بمتطلبات التحقق من التحقق إلى الضمير المعتمد.
لدى PCI DSS دورة تدقيق أقصر: تدقيق كل عام. بالإضافة إلى ذلك ، يتم إجراء pentest (الدخيل الخارجي والداخلي) مرتين في السنة ومسح البائع المسح الضوئي (ASV) المسح 4 مرات في السنة. هذا يكفي للحفاظ على البنية التحتية في حالة جيدة.
مثال 2. الشهادة وفقًا لـ 152- لها سعرها الخاص ، وهذه هي القيود في اختيار البرامج ووسائل الحماية. إذا كنت ستحصل على شهادة ، فيجب أن تكون جميعها
معتمدة . معتمد - لا يعني أحدث إصدارات البرامج و SZI. على سبيل المثال ، PAC CheckPoint معتمد ، نطاق طراز 2012 ، البرامج الثابتة R77.10. الشهادة الآن R77.30 ، ولكن دعم البائعين ينتهي بالفعل في سبتمبر 2019. ليس لدى PCI DSS مثل هذه المتطلبات (باستثناء الماسح الضوئي - يجب أن يكون من قائمة المتطلبات المعتمدة). يتيح لك ذلك استخدام أدوات الحماية المتوازية التي لا توجد بها مشاكل مع أهمية الإصدارات.
مثال 3. تتطلب كل من 152- و PCI DSS جدار حماية (ME). فقط FSTEC في روسيا يتطلب وجودها ، وفي حالة إصدار الشهادات ، فإنه يتطلب أيضًا شهادة امتثال لمتطلبات FSTEC في روسيا. في الوقت نفسه ، FSTEC لا يوجد لديه متطلبات التكوين والصيانة. في الواقع ، يمكن أن يكون جدار الحماية ببساطة ، لكنه يعمل بشكل صحيح وإذا كان يعمل من حيث المبدأ ، فلا يتم التحدث به في المستند. نفس الموقف هو مع الحماية من الفيروسات (SAVZ) ، واكتشاف التسلل (SOV) وحماية المعلومات من الوصول غير المصرح به (SZI من NSD).
لا يمكن أن تضمن عمليات التفتيش لمنظمات الشهادات أن كل شيء يعمل كما ينبغي. غالبًا ما يقتصر كل شيء على تحميل جميع قواعد جدار الحماية. يحدث أيضًا أنهم ببساطة يزيلون المجموع الاختباري من ملفات نظام التشغيل Gaia (CheckPoint OS). هذه الملفات تتغير بشكل حيوي ، واختباري الخاصة بهم أيضا. هناك القليل من المعنى في مثل هذه الشيكات.
هناك أيضًا متطلبات لمصنعي SZI المعتمدين لتركيبها وتشغيلها. لكن في ممارستي ، رأيت عددًا قليلًا جدًا من الشهادات (وليس أسرار الدولة) ، يتم خلالها فحص أداء المواصفات الفنية في SZI.
يتطلب معيار PCI DSS تحليلًا لقواعد جدار الحماية بواسطة صاحب الشهادة مرة كل ستة أشهر. مرة واحدة في الشهر ، يقوم متخصصو مركز DataLine للأمن السيبراني بفحص قواعد ME في Cloud-152 للعثور على ما هو ضروري وغير مؤقت وغير ذي صلة. تمر كل قاعدة جديدة عبر مكتب الخدمة الخاص بنا ، ويتم تسجيل وصف لهذه القاعدة في التذكرة. عندما يتم إنشاء قاعدة جديدة على ME ، يتم كتابة رقم التذكرة في التعليق.
مثال 4. يشير ترتيب FSTEC لروسيا رقم 21 إلى الحاجة إلى وجود ماسح للضعف ، يتم اعتماده مرة أخرى لإصدار الشهادات. كتدبير إضافي ، يتم توفير اختبار قلم ، اختبار IP للاختراق في الفقرة 11.
التقارير من هذه الماسحات الضوئية هي أيضا متعة. عندما يجتاز عملائنا شهادات IP المستضافة الخاصة بهم على Cloud-152 ، غالبًا ما ترغب المنظمة المعتمدة في تلقي تقرير فارغ لا يحتوي على ثغرات في عنوان IP المعتمد. بالإضافة إلى ذلك ، عادة ما تقتصر الشهادات على عمليات الفحص الداخلية. تم إجراء المسح الخارجي في ممارستي بواسطة جهات مصادقة عدة مرات فقط ، وكانت هذه مكاتب لها اسم.
يصف PCI DSS بوضوح ليس فقط وجود ماسح ضوئي ، ولكن أيضًا مسح ASV منتظم (بائع المسح الضوئي المعتمد) 4 مرات في السنة. وفقًا لنتائجها ، يقوم مهندسو البائع بفحص التقرير وإبداء الرأي. ويتم اختبار الاختراق لـ Cloud-152 مرتين في السنة وفقًا لمتطلبات PCI DSS.
مثال 5. مصادقة متعددة العوامل. الأمر رقم 21 الصادر عن FSTEC في روسيا لا ينص صراحة على هذا الشرط. PCI DSS ، ومع ذلك ، يتطلب مصادقة متعددة العوامل.
الآن دعونا نرى كيف "يتعايش" المعيار والقانون على نفس البنية التحتية.
حول سحابة 152
يوجد قطاع التحكم Cloud-152 ومنطقة العميل على معدات مادية مختلفة في حوامل مخصصة مع أنظمة التحكم في الوصول والمراقبة بالفيديو.
تم تصميم Cloud-152 على VMware vSphere 6.0 (الشهادة رقم 3659). في المستقبل القريب ، سننتقل إلى 6.5 ، وسيكون 6.7 تحت سيطرة التفتيش بالفعل.
لا نستخدم SPI إضافي على مستوى المحاكاة الافتراضية ، حيث أننا نوقع اتفاقية مستوى الخدمة مشددة مع العملاء لتوافر منصة IaaS ، لذلك نحاول تقليل نقاط الفشل الإضافية.
يتم فصل قطاع التحكم في Cloud-152 عن DataLine ، وشبكات العملاء ، والإنترنت باستخدام أجهزة وبرامج نقاط الفحص المعتمدة التي تجمع بين وظائف جدار الحماية وأداة كشف التسلل (الشهادة رقم 3634).
يجتاز المسؤولون من جانب العميل مصادقة ثنائية الوصول الآمن (STA) من SafeNet قبل الوصول إلى الموارد الافتراضية.
يتم ربط مسؤولي Cloud-152 بالشبكة السحابية من خلال وسيلة لمراقبة وتتبع إجراءات المستخدمين المميزين لـ SKDPU (الشهادة رقم 3352). بعد ذلك ، تمر المصادقة ثنائية العوامل أيضًا ، وعندها فقط يمكنهم الوصول إلى إدارة Cloud-152. هذا مطلوب بواسطة معيار PCI DSS.
كوسيلة للحماية من الوصول غير المصرح به ، نستخدم SecretNet Studio (الشهادة رقم 3675). يتم توفير الحماية من الفيروسات من خلال Kaspersky Security للمحاكاة الافتراضية (الشهادة رقم 3883).
ثلاثة من الماسحات الضوئية تشارك في Cloud-152 مرة واحدة:
- معتمد XSpider (الشهادة رقم 3247) للامتثال لمتطلبات 152-FZ. نستخدمها مرة واحدة في الربع.
- Nessus للعمل الفعلي للبحث وتحليل الثغرات الأمنية في النظام الأساسي Cloud-152.
- Qualys هي الماسحة الضوئية التي نحتاج إليها لإجراء المسح الخارجي وفقًا لمتطلبات PCI DSS. نستخدمها شهريًا وأحيانًا أكثر.
بالإضافة إلى ذلك ، نقوم 4 مرات في السنة بإجراء فحص ASV إجباري لـ PCI DSS.
كما SIEM ، يتم استخدام Splunk ، والذي لم يعد يباع في الاتحاد الروسي. نحن الآن بصدد البحث عن حل جديد ، نحن نجري اختبارات. SIEM مطلوب من أجل توافق PCI DSS.
سحابة 152 مخططالآن وبعد أن أوضحت بالتفصيل كيف يساعد التوافق مع PCI DSS في النظام الأساسي IaaS تحت 152-to على تحقيق أمان حقيقي ، ربما تسأل: لماذا يعقد أشياء مثل هذا عندما يمكنك جعلها تعمل بدون أي PCI DSS. نعم ، هذا ممكن ، لكن مع PCI DSS لدينا دليل على ذلك في شكل شهادة ، نؤكدها سنويًا.