Platform Cloud-152 IaaS kami secara bersamaan disertifikasi sesuai dengan PCI DSS dan memiliki sertifikat kesesuaian 152- untuk UZ-2 (tanpa ancaman sebenarnya dari tipe 1 dan 2). Platform yang sama juga berada dalam ruang lingkup sistem manajemen keamanan informasi (ISMS) kami, yang telah kami sertifikasi sesuai dengan ISO / IEC 27001: 2013. Saya pasti akan memberi tahu Anda tentang ini dan juga
STAR Cloud Security Alliance (CSA) , tetapi hari ini saya akan fokus pada keuntungan PCI DSS dan sinergi 152-for untuk pelanggan kami.
Kami tinggal di Rusia, pelanggan kami terutama melakukan bisnis di Federasi Rusia, dan semua orang harus mematuhi persyaratan undang-undang Rusia di bidang perlindungan data pribadi. Undang-Undang Federal "Tentang Data Pribadi" tertanggal 27 Juli 2006 No. 152- dan koreksi darinya dari 242-Undang-Undang Federal 21 Juli 2014 tentang pemrosesan data pribadi warga negara Federasi Rusia di basis data yang terletak di wilayah Federasi Rusia. Tidak semua orang membutuhkan GDPR, dan saya juga akan mengambil topik ini di luar cakupan artikel ini.
152- dikandung untuk melindungi hak-hak subyek PD. Undang-undang tidak menyediakan resep yang sudah jadi untuk perlindungan data pribadi melalui pengenalan dan konfigurasi peralatan pelindung (SZI). Jika Anda turun ke tingkat yang lebih "spesifik" dari Peraturan Pemerintah No. 1119, FSTEC Order of Russia No. 21 dan FSB Order of Russia No. 378, maka itu lebih banyak tentang fakta bahwa dana tersedia (dalam beberapa kasus disertifikasi), dan bukan bagaimana ini harus dibentuk. agar aman.
PCI DSS mendefinisikan persyaratan keamanan data dalam industri kartu pembayaran. Lingkup tindakannya terkait dengan uang, yang secara tradisional dilindungi oleh setiap orang dengan perhatian khusus. Ini memiliki lebih spesifik, persyaratan dan lembar baca :).
Mungkin aneh bagi seseorang bahwa koneksi itu sendiri pada PCI DSS dan platform 152-same yang sama, tetapi bagi kami ini masuk akal. Ini bukan hanya sekitar dua dalam satu botol, tetapi, yang lebih penting, kombinasi kertas dan keamanan praktis.
Saya akan memberikan beberapa contoh tentang sistem "checks and balances" ini.
Contoh 1. Sertifikat untuk infrastruktur yang memenuhi persyaratan 152-FZ dikeluarkan selama 3 tahun. Selama waktu ini, tidak ada dalam infrastruktur yang harus berubah, atau harus disepakati dengan organisasi yang mengeluarkan sertifikat. Sertifikasi sama dengan memperbaiki sistem selama tiga tahun penuh. Bagaimana infrastruktur memenuhi persyaratan dari verifikasi hingga verifikasi adalah berdasarkan hati nurani yang disertifikasi.
PCI DSS memiliki siklus audit yang lebih pendek: audit setiap tahun. Selain itu, pentest (penyusup eksternal dan internal) dilakukan 2 kali setahun dan pemindaian Vendor Pemindaian Disetujui (ASV) 4 kali setahun. Ini cukup untuk menjaga infrastruktur tetap dalam kondisi yang baik.
Contoh 2. Sertifikasi menurut 152- memiliki harga sendiri, dan ini adalah batasan dalam pemilihan perangkat lunak dan cara perlindungan. Jika Anda akan menjalani sertifikasi, maka semuanya harus
disertifikasi . Bersertifikat - berarti bukan versi perangkat lunak dan SZI terbaru. Misalnya, PAC CheckPoint disertifikasi, kisaran model 2012, firmware R77.10. Sertifikasi sekarang R77.30, tetapi dukungan vendor sudah berakhir pada September 2019. PCI DSS tidak memiliki persyaratan seperti itu (kecuali untuk pemindai - harus dari daftar yang disetujui). Ini memungkinkan Anda untuk menggunakan alat perlindungan paralel yang tidak memiliki masalah dengan relevansi versi.
Contoh 3. Baik 152- dan PCI DSS memerlukan firewall (ME). Hanya FSTEC Rusia yang hanya memerlukan kehadirannya, dan dalam hal sertifikasi, ia juga memerlukan sertifikat kepatuhan dengan persyaratan FSTEC Rusia. Pada saat yang sama, FSTEC tidak memiliki persyaratan untuk konfigurasi dan pemeliharaannya. Bahkan, firewall bisa saja, tetapi berfungsi dengan benar dan jika itu pada prinsipnya, itu tidak diucapkan dalam dokumen. Situasi yang sama adalah dengan perlindungan antivirus (SAVZ), deteksi intrusi (SOV) dan perlindungan informasi dari akses tidak sah (SZI dari NSD).
Inspeksi organisasi sertifikasi juga tidak dapat menjamin bahwa semuanya berjalan sebagaimana mestinya. Seringkali, semuanya terbatas untuk mengunggah semua aturan firewall. Itu juga terjadi bahwa mereka hanya menghapus checksum dari file Gaia OS (CheckPoint OS). File-file ini berubah secara dinamis, dan checksumnya juga. Ada sedikit akal dalam pemeriksaan semacam itu.
Ada juga persyaratan produsen SZI bersertifikat untuk instalasi dan operasi mereka. Tetapi dalam praktik saya, saya melihat sangat sedikit sertifikasi (bukan rahasia negara), di mana kinerja spesifikasi teknis di SZI akan diperiksa.
Standar PCI DSS memerlukan analisis aturan firewall oleh pemegang sertifikat setiap enam bulan sekali. Sekali sebulan, spesialis pusat cybersecurity DataLine memeriksa aturan ME di Cloud-152 untuk menemukan yang tidak perlu, sementara dan tidak relevan. Setiap aturan baru melewati Meja Layanan kami, deskripsi aturan ini dicatat di tiket. Ketika aturan baru dibuat pada ME, nomor tiket ditulis dalam komentar.
Contoh 4. Urutan FSTEC Rusia No. 21 menyiratkan perlunya pemindai kerentanan, sekali lagi disertifikasi untuk sertifikasi. Sebagai langkah tambahan, uji pena disediakan, pengujian IP untuk penetrasi dalam klausa 11.
Laporan dari pemindai ini juga menyenangkan. Ketika klien kami lulus sertifikasi IP mereka yang di-host di Cloud-152, seringkali organisasi sertifikasi ingin menerima laporan kosong yang tidak mengandung kerentanan dalam IP bersertifikat. Selain itu, sertifikasi biasanya terbatas pada pemindaian internal. Pemindaian eksternal dalam praktik saya hanya dilakukan beberapa kali oleh pemberi sertifikat, dan ini adalah kantor dengan nama.
PCI DSS dengan jelas menentukan tidak hanya keberadaan pemindai, tetapi juga pemindaian ASV biasa (Disetujui Pemindaian Vendor) 4 kali setahun. Menurut hasilnya, insinyur vendor memeriksa laporan dan memberikan pendapat. Dan pengujian penetrasi untuk Cloud-152 dilakukan 2 kali setahun sesuai dengan persyaratan PCI DSS.
Contoh 5. Otentikasi multifaktor. Pesanan No. 21 FSTEC Rusia tidak secara eksplisit menyatakan persyaratan ini. PCI DSS, bagaimanapun, memerlukan otentikasi multifaktor.
Sekarang mari kita lihat bagaimana standar dan hukum "hidup berdampingan" pada infrastruktur yang sama.
Tentang Cloud-152
Segmen kontrol Cloud-152 dan area klien terletak pada peralatan fisik yang berbeda di rak khusus dengan sistem kontrol akses dan pengawasan video.
Cloud-152 dibangun di atas VMware vSphere 6.0 (sertifikat No. 3659). Dalam waktu dekat kami akan beralih ke 6.5, dan 6.7 akan sudah di bawah kendali inspeksi.
Kami tidak menggunakan SPI tambahan di tingkat virtualisasi, karena kami menandatangani SLA ketat dengan klien untuk ketersediaan platform IaaS, jadi kami mencoba untuk meminimalkan titik kegagalan tambahan.
Segmen kontrol Cloud-152 dipisahkan dari DataLine, jaringan klien, dan Internet menggunakan perangkat keras dan sistem perangkat lunak Titik Pemeriksaan bersertifikasi yang menggabungkan fungsi firewall dan alat deteksi intrusi (sertifikat No. 3634).
Administrator sisi klien melewati otentikasi dua faktor SafeNet Access Access (STA) sebelum mengakses sumber daya virtual.
Administrator Cloud-152 terhubung ke cloud melalui sarana pemantauan dan pelacakan tindakan pengguna istimewa SKDPU (sertifikat No. 3352). Selanjutnya, otentikasi dua faktor juga lewat, dan baru mereka mendapatkan akses ke manajemen Cloud-152. Ini diperlukan oleh standar PCI DSS.
Sebagai sarana perlindungan terhadap akses tidak sah, kami menggunakan SecretNet Studio (sertifikat No. 3675). Perlindungan anti-virus disediakan melalui Kaspersky Security untuk virtualisasi (sertifikat No. 3883).
Tiga pemindai terlibat dalam Cloud-152 sekaligus:
- XSpider Bersertifikat (Sertifikat No. 3247) untuk memenuhi persyaratan 152-FZ. Kami menggunakannya sekali dalam seperempat.
- Nessus untuk pekerjaan aktual dalam mencari dan menganalisis kerentanan dalam platform Cloud-152.
- Qualys adalah pemindai yang kami butuhkan untuk pemindaian eksternal sesuai dengan persyaratan PCI DSS. Kami menggunakannya setiap bulan, dan terkadang lebih sering.
Selain itu, 4 kali setahun kami melakukan pemindaian ASV wajib untuk PCI DSS.
Sebagai SIEM, Splunk digunakan, yang tidak lagi dijual di Federasi Rusia. Sekarang kami sedang dalam proses mencari solusi baru, kami sedang melakukan tes. SIEM diperlukan untuk kepatuhan PCI DSS.
Skema Cloud-152Sekarang saya telah menjelaskan secara terperinci bagaimana kepatuhan dengan PCI DSS dalam platform IaaS di bawah 152-to membantu untuk mencapai keamanan nyata, Anda mungkin bertanya: mengapa menyulitkan hal-hal seperti ini ketika Anda dapat membuatnya bekerja tanpa PCI DSS. Ya, itu mungkin, tetapi bersama dengan PCI DSS kami memiliki bukti ini dalam bentuk sertifikat, yang kami konfirmasikan setiap tahun.