Notre plateforme Cloud-152 IaaS est simultanément certifiée selon PCI DSS et dispose d'un certificat de conformité 152- pour UZ-2 (sans menaces réelles de 1er et 2ème type). La même plate-forme est également incluse dans le champ d'application de notre système de gestion de la sécurité de l'information (ISMS), que nous avons certifié conformément à la norme ISO / IEC 27001: 2013. Je vais certainement vous en parler et de la
STAR Cloud Security Alliance (CSA) aussi, mais aujourd'hui je vais me concentrer sur les avantages des synergies PCI DSS et 152- pour nos clients.
Nous vivons en Russie, nos clients font principalement des affaires en Fédération de Russie et chacun doit se conformer aux exigences de la législation russe dans le domaine de la protection des données personnelles. La loi très fédérale «sur les données personnelles» du 27 juillet 2006 n ° 152- et ses corrections de la loi 242-fédérale du 21 juillet 2014 concernant le traitement des données personnelles des citoyens de la Fédération de Russie dans des bases de données situées sur le territoire de la Fédération de Russie. Tout le monde n'a pas besoin du RGPD, et je prendrai également ce sujet au-delà de la portée de cet article.
152- a été conçu pour protéger les droits des sujets PD. La loi ne prévoit pas de recettes toutes faites pour la protection des données personnelles par l'introduction et la configuration des équipements de protection (SZI). Si vous descendez à un niveau plus «concret» du décret gouvernemental n ° 1119, de l’ordonnance FSTEC de Russie n ° 21 et de l’ordonnance FSB de Russie n ° 378, il s’agit davantage du fait de la disponibilité des fonds (dans certains cas certifiés), et non de la manière dont cela devrait être mis en place. pour être en sécurité.
PCI DSS définit les exigences de sécurité des données dans l'industrie des cartes de paiement. La portée de son action est liée à l'argent, que chacun protège traditionnellement avec un soin particulier. Il a plus de spécificités, d'exigences et de fiches de lecture :).
Il peut sembler étrange à quelqu'un que la connexion elle-même sur la même plate-forme PCI DSS et 152-, mais pour nous, cela a du sens. Ce n'est pas seulement environ deux dans une bouteille, mais, plus important encore, la combinaison de papier et de sécurité pratique.
Je vais donner quelques exemples de ce système de «freins et contrepoids».
Exemple 1. Un certificat pour une infrastructure répondant aux exigences de 152-FZ est délivré pour 3 ans. Pendant ce temps, rien dans l'infrastructure ne devrait changer, ou cela doit nécessairement être convenu avec l'organisation qui a délivré le certificat. La certification équivaut à fixer le système pendant trois années entières. La façon dont l'infrastructure répond aux exigences de la vérification à la vérification est sur la conscience du certifié.
PCI DSS a un cycle d'audit plus court: un audit chaque année. En plus de cela, un pentest (intrus externe et interne) est effectué 2 fois par an et un scanner agréé (ASV) 4 fois par an. C'est suffisant pour maintenir l'infrastructure en bon état.
Exemple 2. La certification selon 152- a son propre prix, et ce sont des limitations dans le choix du logiciel et des moyens de protection. Si vous allez subir une certification, alors tous doivent être
certifiés . Certifié - signifie pas les dernières versions des logiciels et SZI. Par exemple, PAC CheckPoint est certifié, la gamme de modèles 2012, le firmware R77.10. La certification est désormais R77.30, mais la prise en charge des fournisseurs prend déjà fin en septembre 2019. PCI DSS n'a pas de telles exigences (à l'exception du scanner - il devrait figurer dans la liste des homologations approuvées). Cela vous permet d'utiliser des outils de protection parallèles qui n'ont aucun problème avec la pertinence des versions.
Exemple 3. 152- et PCI DSS nécessitent un pare-feu (ME). Seul le FSTEC de Russie requiert simplement sa présence, et dans le cas de la certification, il requiert également un certificat de conformité aux exigences du FSTEC de Russie. Dans le même temps, FSTEC n'a aucune exigence pour sa configuration et sa maintenance. En fait, le pare-feu peut être simple, mais il fonctionne correctement et s'il fonctionne en principe, il n'est pas énoncé dans le document. La même situation se produit avec la protection antivirus (SAVZ), la détection d'intrusion (SOV) et la protection des informations contre les accès non autorisés (SZI de NSD).
Les inspections des organismes de certification ne peuvent pas non plus garantir que tout fonctionne comme il se doit. Souvent, tout se limite à télécharger toutes les règles de pare-feu. Il arrive également qu'ils suppriment simplement les sommes de contrôle des fichiers du système d'exploitation Gaia (CheckPoint OS). Ces fichiers changent de manière dynamique, ainsi que leur somme de contrôle. Il n'y a guère de sens dans de tels contrôles.
Il existe également des exigences des fabricants de SZI certifiés pour leur installation et leur fonctionnement. Mais dans ma pratique, j'ai vu très peu de certifications (pas des secrets d'État), au cours desquelles les performances des spécifications techniques du SZI étaient vérifiées.
La norme PCI DSS requiert une analyse des règles de pare-feu par le titulaire du certificat une fois tous les six mois. Une fois par mois, les spécialistes du centre de cybersécurité DataLine vérifient les règles ME dans le Cloud-152 pour trouver les éléments inutiles, temporaires et non pertinents. Chaque nouvelle règle passe par notre Service Desk, une description de cette règle est enregistrée dans le ticket. Lorsqu'une nouvelle règle est créée sur le ME, le numéro de ticket est écrit dans le commentaire.
Exemple 4. L'ordonnance du FSTEC de Russie n ° 21 implique la nécessité d'un scanner de vulnérabilité, à nouveau certifié pour la certification. En tant que mesure supplémentaire, un stylo-test est fourni, testant la propriété intellectuelle pour la pénétration dans la clause 11.
Les rapports de ces scanners sont également amusants. Lorsque nos clients réussissent la certification de leurs adresses IP hébergées sur le Cloud-152, souvent l'organisme de certification souhaite recevoir un rapport vide qui ne contient pas de vulnérabilités dans l'adresse IP certifiée. De plus, les certificateurs sont généralement limités aux analyses internes. La numérisation externe dans ma pratique n'a été effectuée par les certificateurs que quelques fois, et il s'agissait de bureaux portant un nom.
PCI DSS prescrit clairement non seulement la présence d'un scanner, mais également une analyse ASV régulière (fournisseur de numérisation agréé) 4 fois par an. Selon ses résultats, les ingénieurs du vendeur vérifient le rapport et donnent un avis. Et les tests de pénétration pour Cloud-152 sont effectués 2 fois par an conformément aux exigences PCI DSS.
Exemple 5. Authentification multifacteur. L'arrêté n ° 21 du FSTEC de Russie n'énonce pas explicitement cette exigence. PCI DSS, cependant, nécessite une authentification multifactorielle.
Voyons maintenant comment la norme et la loi «coexistent» sur la même infrastructure.
À propos de Cloud-152
Le segment de contrôle Cloud-152 et la zone client sont situés sur différents équipements physiques dans des racks dédiés avec des systèmes de contrôle d'accès et de vidéosurveillance.
Cloud-152 est construit sur VMware vSphere 6.0 (certificat n ° 3659). Dans un avenir proche, nous passerons à 6,5 et 6,7 seront déjà sous contrôle d'inspection.
Nous n'utilisons pas de SPI supplémentaire au niveau de la virtualisation, car nous signons un SLA serré avec les clients pour la disponibilité de la plate-forme IaaS, nous essayons donc de minimiser les points de défaillance supplémentaires.
Le segment de contrôle Cloud-152 est séparé de DataLine, des réseaux clients et d'Internet à l'aide d'un système matériel et logiciel certifié Check Point qui combine les fonctions d'un pare-feu et d'un outil de détection d'intrusion (certificat n ° 3634).
Les administrateurs côté client passent l'authentification à deux facteurs SafeNet Trusted Access (STA) avant d'accéder aux ressources virtuelles.
Les administrateurs du Cloud-152 sont connectés au cloud via un moyen de surveillance et de suivi des actions des utilisateurs privilégiés de SKDPU (certificat n ° 3352). Ensuite, l'authentification à deux facteurs passe également et ce n'est qu'ensuite qu'ils accèdent à la gestion du Cloud-152. Ceci est requis par la norme PCI DSS.
Comme moyen de protection contre les accès non autorisés, nous utilisons SecretNet Studio (certificat n ° 3675). La protection antivirus est assurée par Kaspersky Security for virtualization (certificat n ° 3883).
Trois scanners sont impliqués dans Cloud-152 à la fois:
- Certifié XSpider (certificat n ° 3247) pour se conformer aux exigences 152-FZ. Nous l'utilisons une fois par trimestre.
- Nessus pour le travail réel de recherche et d'analyse des vulnérabilités au sein de la plate-forme Cloud-152.
- Qualys est le scanner dont nous avons besoin pour la numérisation externe conformément aux exigences PCI DSS. Nous l'utilisons tous les mois, et parfois plus souvent.
De plus, 4 fois par an, nous effectuons un scan ASV obligatoire pour PCI DSS.
Comme SIEM, Splunk est utilisé, qui n'est plus vendu en Fédération de Russie. Maintenant que nous sommes en train de chercher une nouvelle solution, nous effectuons des tests. SIEM est requis pour la conformité PCI DSS.
Système Cloud-152Maintenant que j'ai décrit en détail comment la conformité avec le PCI DSS dans la plate-forme IaaS sous 152- aide à atteindre une réelle sécurité, vous vous demandez probablement: pourquoi compliquer des choses comme ça quand vous pouvez le faire fonctionner sans aucun PCI DSS. Oui, c'est possible, mais avec PCI DSS, nous en avons la preuve sous la forme d'un certificat, que nous confirmons chaque année.