Безопасность и сертификация банковского ПО
DESCRIPTION
TRANSCRIPT
Алексей Бабенко
старший аудитор, PA-QSA, PCI QSA
Безопасность и сертификация банковского ПО: две стороны одной медали
Конференция «Разработка ПО 2011»
CEE-SECR 2011.
Центр Digital October, Москва, 31 октября – 3 ноября.
Актуальность проблемы
Актуальность проблемы: что интересует злоумышленника?
85%
8%
3% 2% 2%
Данные платежных карт
Служебная информация
Коммерческая тайна
Данные аутентификации
Персональные данные
По данным Global Security Report 2011, Trustwave
Актуальность проблемы: нас это не касается?
Вырезка из Global Security Report 2011, Trustwave
Актуальность проблемы: преступники 21 века
Особенности банковских систем:
Особенности банковских систем
Особенности банковских систем:
Неограниченный доступ к системе из сети Интернет для большинства систем
Особенности банковских систем:
Работа с платежной информацией
Особенности банковских систем:
Большое и динамично меняющееся количество пользователей
Особенности банковских систем:
Ориентировка на любой уровень
ИБ-грамотности пользователя
Особенности банковских систем:
Собственные разработки без учета практик безопасного программирования
Особенности банковских систем:
ТОП менеджеры, на которых не распространяются требования безопасности
Особенности банковских систем
Практически неограниченный доступ к системе из сети Интернет
Работа с платежной информацией
Большое и динамично меняющееся количество пользователей
Ориентировка на любой уровень ИБ-грамотности пользователя
Собственные разработки без учета практик безопасного программирования
ТОП менеджеры, на которых не распространяются политики безопасности
Клиент. Корп. Тип ПО:
Риски банков при компрометации ПО
• Прямые финансовые потери; • Уменьшение клиентской базы,
снижение уровня доверия клиентов;
• Отказ клиентов от использования сервисов;
• Нарушение требований и штрафы от регуляторов;
• Ухудшение имиджа банка.
Особенности банковских систем:
Процесс обеспечения безопасности ПО
Основные процессы обеспечения безопасности ПО
• Процесс безопасного программирования, тестирования и анализа кода;
• Проверки с использованием автоматизированных средств, «ручные» проверки;
• Процесс обеспечения ИБ для окружения приложений, разработка необходимых инструкций
Аудит безопасности ПО
Анализ уровня безопасности системы
Формирование плана
Контроль исправления найденных уязвимостей
Устранение несоответствий
— техническая документация, схемы сети
— исходные коды
— конфигурации системных компонентов
— тестовый доступ
Особенности банковских систем:
Payment Application Data Security Standard
• Основная цель – поддержка реализации PCI DSS
• Дата рождения: апрель 2008
• Разработчик – PCI Security Standards Council
• Ориентирован на разработчиков платежных приложений
• Форма подтверждения соответствия – сертификация
• Требование к сертифицирующей компании – статус PA-QSA
• Актуальная версия – 2.0
PA-DSS: краткая информация
• ПО подлежит сертификации, если: – Обрабатывает номера карт (PAN) в рамках
авторизации/расчетов;
– Разрабатывается на продажу, не является разовой заказной разработкой.
• Основные виды сертифицируемого ПО: – ПО процессинга (front-office, back-office (расчеты),
middleware/switching);
– ПО для банкоматов;
– ПО для POS-терминалов;
– ПО для поддержки электронной коммерции;
– ПО мобильной коммерции.
PA-DSS: что сертифицировать?
PA-DSS: требования стандарта
Сертифицируемое приложение Компания-разработчик
Исключение хранения
критичных данных карт (TRACK,
CVC2/CVV2, PIN/PIN-BLOCK);
Безопасное хранение и
передача номеров платежных
карт;
Контроль доступа и
протоколирование событий;
Формализация процесса
разработки с учетом вопросов
ИБ;
Практики безопасного
программирования;
Тестирование приложения;
Анализ кода;
Мониторинг уязвимостей
платформ и тестирование
совместимости с патчами;
Возможность встраивания в PCI
DSS Compliant инфраструктуру.
Руководство по выполнению
требований стандарта PA-DSS.
PA-DSS: истории успеха
• Три программных обеспечения, сертифицированных ЗАО НИП «Информзащита», получили статус PA-DSS
• Новые сертификации уже на подходе.
Особенности банковских систем:
Соответствие==безопасность?
Алексей Бабенко старший аудитор, PA-QSA, PCI QSA [email protected] +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com
Спасибо за внимание.
Вопросы?