Inspired by Insecure

February 20, 2012 at 1:37 pm

Концепция системы сбора и обработки данных для аудита по стандарту PCI DSS

Журнал "Безопасность информационных технологий"

Оценка соответствия инфраструктуры, в которой хранятся, обрабатываются и передаются данные о держателях платежных карт, требованиям Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) позволяет выявить причины, создающие благоприятные условия для нарушения аспектов безопасности рассматриваемой информационной системы и, как следствие, компрометации критичных данных.

Объективность оценки, качество и полнота полученной картины защищенности исследуемой среды зависят от методологии оценки соответствия требованиям стандарта PCI DSS, разработанной и применяемой компанией-консультантом в ходе сертификационного аудита, а также от программного обеспечения, которое используется для сбора и обработки информации, получаемой в процессе оценки. Автоматизация ряда методологических процессов позволит аудитору экономить временные ресурсы, затрачиваемые на выполнение рутинных действий по мере сбора и обработки исходных данных, сократить или рационализировать использование человеческих ресурсов при осуществлении аудиторских проверок, структурировать полученную информацию для последующего анализа и наглядной демонстрации результатов Заказчику.

Разработка системы сбора и обработки данных, получаемых в ходе проведения оценки соответствия требованиям стандарта PCI DSS, позволит осуществить автоматизацию методологических процессов, тем самым повышая качество процедуры аудита. Совместимость концептуального продукта с программным обеспечением от сторонних производителей, которое используется аудиторами в рамках уже разработанных методологий, позволит использовать результаты внешних приложений в качестве входных данных проектируемой системы. Особенность архитектуры в виде подключаемых модулей обеспечат возможность расширения функционала системы сбора и обработки данных, тем самым абстрагируя конечный продукт от стандарта безопасности, по которому осуществляется сертификационный аудит.

1 Анализ и систематизация требований по типу сбора информации

В процесс проведения оценки соответствия инфраструктуры, в которой хранятся, передаются и обрабатываются данные о держателях платежных карт, на соответствие требованиям стандарта «Payment Card Industry Data Security Standard» аудитор действует согласно разработанной им методологии сертификационного аудита. Данная методология позволяет за определенный период времени выделить основные компоненты исследуемой системы и соответствующим образом структурировать полученные результаты исследования. При этом сбор информации в ходе сертификационного аудита может осуществляться разными способами, в зависимости от типа источника исходных данных и параметров системы, которые подлежат проверке.

1.1 Типы источников исходных данных и методы их сбора

Методы сбора исходных данных для оценки соответствия тому или иному требованию зависят от типа источника исходных данных. Типы источников исходных данных, на основе которых производится оценка соответствия:

  1. объекты, являющиеся частью информационной системы, в отношении которых определены какие-либо параметры  функционирования (конфигурационные файлы, политики безопасности, распорядительная документация, протоколы и т.п.), а также сущности являющиеся результатом работы этих объектов (записи в журналах);
  2. персонал организации, проходящий процедуру оценки соответствия;
  3. статистические данные.

Соответственно для каждого из этих типов источников существуют методы сбора информации:

  1. сбор и обработка информации об объектах – реакция на внешнее воздействие (тест на проникновение) и инвентаризация ресурсов;
  2. сбор и обработка информации, содержащейся в объектах – представляет собой сбор информации из конфигурационных файлов, записей журналов (лог-файлов) целевой системы;
  3. анализ информации, содержащейся в объектах – ручной или автоматизированный анализ политик безопасности, распорядительной документации и т.п. с целью последующей оценки соответствия требованиям стандарта;
  4. опрос персонала – интервьюирование должностных лиц целевой организации с целью проверки полученной информации на соответствие требованиям стандарта; 
  5. аккумуляция статистических данных – накопление статистических данных для проверки той или иной информации, полученной с помощью других методов, например при интервьюировании персонала;

1.2 Классификация средств сбора данных

В зависимости от описанных методов сбора исходных данных вводится классификация средств их сбора:

1) Обработчик.

Автоматическое или автоматизированное средство обработки входных данных по заданным параметрам и формирующее вывод результата в удобочитаемом для оператора виде.

Соответствующий метод – сбор и обработка информации, содержащейся в объектах.

2) Аналитик.

Лицо или, в некоторых случаях, автоматизированное средство обработки источника данных, которое осуществляет анализ некоторых объектов (политики информационной безопасности, распорядительной документации и т.п. документы).

Соответствующий метод – анализ информации, содержащейся в объектах.

3) Опросный лист.

Средство интервьюирования персонала исследуемой организации с целью последующего анализа на соответствие полученной информации требованиям стандарта.

Соответствующий метод – опрос персонала.

В случае с методом аккумуляции статистических данных в качестве средства сбора может выступать одно из вышеперечисленных средств.

Анализ и систематизация требований стандарта PCI DSS проводится в соответствии с последней версией его документационной базы (версия 2.0 от 28 октября 2010 года). [3]

2 Таблица соответствия исходных данных, методов и средств их сбора

В процессе анализа процедур проверки были определены источники исходных данных – ресурсы, располагающие необходимой информацией, которая позволяет определить степень соответствия тому или иному требованию стандарта. Полученные данные занесены в столбец «Источники исходных данных» таблицы «Соответствие исходных данных, методов, средств их сбора с требованиями стандарта» (таблица 1).

Соответствие исходных данных, методов, средств их сбора с требованиями стандарта PCI DSSФрагмент таблицы 1

Далее, исходя из вида источника и способа хранения на нем информации, был составлен список методов сбора, позволяющих извлечь данные из рассматриваемых ресурсов инфраструктуры (столбец «Методы сбора» таблицы 1). Описанная выше классификация средств сбора позволяет соотнести методы и соответствующие им средства сбора информации, которые могут быть использованы в процессе осуществления процедур проверки, проводимых в ходе сертификационного аудита.

В контексте проектирования системы сбора и обработки информации, наибольший интерес представляют средства сбора, не требующие вмешательства аналитика, то есть пункты «Обработчик» и «Опросный лист». Данная выборка позволяет выявить пункты процедур проверки, которые можно полностью или частично автоматизировать.

3 Средства анкетирования персонала

Одним из важных источников информации, характеризующей степень соответствия исследуемой инфраструктуры требованиям стандарта, является персонал организации, проходящий процедуру сертификационного аудита. Получение интересующих аудитора данных осуществляется путем интервьюирования должностных лиц данной организации.

Средством сбора, упрощающим  процесс опроса, являются опросные листы, содержащие список вопросов, ответы на которые в полной мере отражают состояние процессов безопасности в рассматриваемой инфраструктуре.

В процессе анализа таблицы 1 были выделены средства типа «Опросный лист» и произведена классификация по должности интервьюируемого сотрудника. Получены следующие роли интервьюирования:

  1. сотрудники;
  2. системные администраторы;
  3. персонал, ответственный за выявление уязвимостей;
  4. разработчики программного обеспечения;
  5. руководящий персонал;
  6. представитель поставщика услуг.

Для каждой из вышеперечисленных ролей составлен опросный лист, содержащий список вопросов, результаты ответа на которые позволяют оценить соответствие инфраструктуры определенному требованию стандарта PCI DSS (приложение А).

4 Система сбора и обработки данных

4.1 Список контролей PCI DSS

Полученная таблица соответствия исходных данных, методов и средств их сбора позволяет выделить процедуры проверки соответствия, которые могут быть автоматизированы программными средствами. В процессе анализа данных процедур выявлены пункты, требующие обработки (метод сбора – «Обработка»), и был составлен список контролей PCI DSS (приложение Б).

Каждый пункт контроля содержит в себе формулировку ресурса исследуемой системы, который требует проверки со стороны аудитора, и название источника, к которому относится данный ресурс. Пункты контролей сгруппированы по общим признакам, затрагивающим определенную область исследуемой инфраструктуры.

4.2 Архитектура системы

В архитектуре системы сбора и обработки информации присутствует условное разделение среды, в которой циркулирует информация, на внешнюю и внутреннюю. К внешней среде относятся вспомогательные приложения, которые используются в ходе сертификационного аудита. В качестве примера вспомогательных приложений, составляющих внешнюю среду разрабатываемой системы, взяты система контроля защищенности и соответствия стандартам MaxPatrol, разработанная компанией Positive Technologies, и свободная утилита Nmap, предназначенная для настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети.

Одной из ключевых особенностей данных приложений является возможность экспорта полученных данных в формат XML. Таким образом, структурированные данные легко поддаются дальнейшей обработке, что упрощает обмен информацией между компонентами системы. Архитектура проектируемой системы схематично изображена на рисунке 1.

System Structure

Рисунок 1 – Общая схема системы сбора и обработки информации

Ядро системы осуществляет преобразование данных, полученных от опросных листов и внешней среды, к которой принадлежат все вспомогательные приложения. На рисунке 2 изображена структура ядра системы.

Core of PCI DSS Audit System

Рисунок 2 – Структура ядра системы сбора и обработки информации

Ядро аккумулирует все XML-файлы, являющиеся результатами работы вспомогательных приложений, обработчика файлов и обработчика опросных листов. Далее обработчик XML выбирает нужные данные из этих файлов, соотносит результаты с соответствующими контролями PCI DSS и экспортирует полученную информацию в результирующий XML-файл, формат которого позволяет впоследствии на его основе сгенерировать отчет о результатах оценки соответствия требованиям стандарта как с помощью генератора отчетов, разработанного сотрудниками компании Positive Technologies, так и внутренним генератором отчетов.

4.3 Алгоритм работы приложения

На рисунке 3 представлен алгоритм работы приложения, реализующего функционал ядра.

Algoritm of PCI DSS Audit System

Рисунок 3 – Алгоритм работы приложения

Обработчик опросных листов представляет собой веб-приложение, реализованное с использованием технологии ASP.NET и языка C#. Опросный лист представляет собой веб-ресурс, который содержит список вопросов с вариантами ответа (приложение В). На основе введенных интервьюируемым лицом вариантов ответа после завершения опроса генерируется XML файл, который содержит результат оценки соответствия тому или иному требованию стандарта. Далее XML-файл используется обработчиком XML, который также написан на языке C# с использованием технологий платформы Microsoft .NET (приложение распространяется в индивидуальном порядке).

Заключение

В процесс составления концептуальная система сбора и обработки данных, полученных в ходе проведения оценки соответствия требованиям стандарта PCI DSS, были достигнуты следующие результаты:

1) проанализированы и систематизированы требования стандарта PCI DSS по типу сбора информации в ходе проведения оценки соответствия;

2) сформирована таблица соответствия исходных данных, методов и средств их сбора для каждой процедуры проверки требований стандарта;

3) разработан комплект опросных листов для интервьюирования сотрудников компании, проходящих процедуру сертификационного аудита;

4) разработана архитектура системы сбора и обработки данных, полученных в ходе проведения оценки соответствия требованиям стандарта;

5) разработан алгоритм работы приложения, реализующего функционал ядра системы сбора и обработки информации;

6) согласно разработанному алгоритму на языке C# с использованием технологий Microsoft .NET и ASP.NET написано приложение, реализующее основные функции системы сбора и обработки информации.

Список использованных источников

  1. Глоссарий (версия 2.0) – PCI SSC,  2010 – 16 стр.
  2. Официальный веб-ресурс компании Positive Technologies [электронный ресурс] – ЗАО «Позитив Технолоджис», 2011 – Режим доступа: www.ptsecurity.ru.
  3. Документ «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности» (версия 2.0) – PCI SSC, 2010 – 84 стр.

Материалы данной работы опубликованы в 4 номере журнала “Безопасность Информационных Технологий”

0 likes Research # , , , ,
Share: / / /

One thought on “Концепция системы сбора и обработки данных для аудита по стандарту PCI DSS

  1. Юзер says:

    Классная статья

Leave a Reply

Your email address will not be published. Required fields are marked *

Be aware of the first

Материалы, опубликованные в этом блоге, отражают исключительно точку зрения автора и могут не совпадать с мнением и позицией его текущего работодателя.