A PCI DSS-EN INNEN ÉS AZ ISO 27001-EN TÚL… ELŐADÓ: ZENGŐ ANDREA – WITSEC CISA, CISM, ISO….LA, MOF, ITIL-F KAPCSOLAT: MOBIL:

Az előadások a következő témára: "A PCI DSS-EN INNEN ÉS AZ ISO 27001-EN TÚL… ELŐADÓ: ZENGŐ ANDREA – WITSEC CISA, CISM, ISO….LA, MOF, ITIL-F KAPCSOLAT: MOBIL:"— Előadás másolata:

1 A PCI DSS-EN INNEN ÉS AZ ISO 27001-EN TÚL… ELŐADÓ: ZENGŐ ANDREA – WITSEC CISA, CISM, ISO….LA, MOF, ITIL-F KAPCSOLAT: EMAIL: ZENGO.ANDEE@WITSEC.HU MOBIL: +36 30 787 0473

2 PCI-RÓL PÁR SZÓBAN PCI Security Standard Council – 2006 óta létezik 5 alapító kártyatársaság áll mögötte: American Express Discover Financial Services JCB International MasterCard Visa Inc. Különböző szabványokat foglal magába: PCI DSS (3.1) PA-DSS (3.1) P2PE (2.0) PTS (itt található a PCI PIN (2.0) előírás is sok más mellett) Card Production (1.1)

3 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD PCI DSS applies to all entities involved in payment card processing—including merchants, processors, acquirers, issuers, and service providers. PCI DSS also applies to all other entities that store, process, or transmit cardholder data and/or sensitive authentication data. https://www.pcisecuritystandards.org/security_standards/index.php

4 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 1 Install and maintain a firewall configuration to protect cardholder data Legyen naprakész diagram a hálózatról, ahol pontosan látszik, hol van a kártyakörnyezet (CDE) és a nem kártyakörnyezet Minden tűzfal és router csak a szigorúan felügyelt változáskezelésen keresztül menedzselhető Pontosan meg kell határozni a zónákat (DMZ), milyen portok, protokollok vannak használatban, és ezt milyen üzleti igény indokolja Legalább félévente felülvizsgálat a tűzfalakon és a routereken, hogy meggyőződjünk róla, csak az van beállítva, ami engedélyezve volt Részletes szabályozás arra vonatkozóan, hogy milyen forgalmakat lehet engedélyezni A munkaállomásokon is kötelező a tűzfalak használata

5 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 2 – Do not use vendor-supplied defaults for system passwords and other security parameters Minden default jelszó, felhasználó legyen törölve, átnevezve/megváltoztatva, elrejtve Minden rendszer esetén határozzunk meg telepítési útmutatókat, amelyek tartalmazzák a megfelelő hardening előírásokat is (pl CIS) Csak azok a portok, szervizek maradjanak, amelyek a működéshez elengedhetetlenek Egy szerver – egy fő funkcióra Legyen egy részletes leltárunk a rendszereinkről, amely nem csak a nevüket, hanem a fenti beállításokat is tartalmazza Csak titkosított távoli konzolos elérést biztosítsunk a rendszereinkhez (pl RDP NLA)

6 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 3 – Protect stored cardholder data (CHD) Tárolási idők meghatározása és „takarítás” Titkosítással kapcsolatos előírások Requirement 4 – Encrypt transmission of CHD across open, public networks Requirement 5 – Protect all systems against malware and regularly update anti-virus software or program Requirement 6 – Develop and maintain secure systems and applications Sérülékenység osztályozás (figyelés és értékelés, illetve válasz akciók) Megfelelő programozási technikák használata (OWASP, secure coding, stb) Tesztelés (kód felülvizsgálat, tesztek, hogy a kész termék megfelel-e a biztonsági előírásoknak) Telepítés csak változáskezelési felügyelet alatt WEB-es alkalmazásokkal kapcsolatos követelmények Teszt/fejlesztő és éles rendszerek elválasztása

7 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 7 – Restrict access to CHD by business need to know Deny-all ahonnan indulunk RBAC alapokon menedzselve Requirement 8 – Identify and authenticate access to system components A felhasználói accountok szigorú menedzsmentje és negyedéves felülvizsgálata (Minden rendszerben, és adatbázis szinten is!!!) Osztott account nem létezik, a technikai accountok is szigorú kontroll alatt Meghatározva a minimális jelszó hossz, lejárati idő, kitiltási szabályok, távoli elérés esetén két faktoros követelmény, stb. Requirement 9 – Restrict physical access to the CHD Szokásos fizikai biztonsági elemek (CCTV, beléptető rendszer, látogatói nyilvántartás, stb.) POS-ek szigorú felügyelete

8 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 10 – Track and monitor all access to network resources and CHD Naplók készítése – meghatározva a tartalmazandó adatokat Központi naplógyűjtő, ami nem módosítható, és 1 évre tárolja az eseményeket Naplóelemzés napi szinten Időszinkronizálás is itt kerül előírásra Requirement 11 – Regularly test security systems and processes WIFI scan, IVS, AVS, Pentest IDS, FIM Requirement 12 – Maintain a policy that address information security for all personnel Biztonsági politika, előírások, incidens kezelési terv Kockázatkezelés Oktatás!!! A felelősök kijelölése, tudatosítás és tudomásul vétel Veszélyes technológiák használata Beszállítók, partnerek menedzsmentje, és szerepük a PCI DSS megfelelőségben

9 ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 Nem kötelező senkire nézve (azért vannak esetek, amikor mégis az) A hatálya mindenkinél az, amit a cég elhatároz (vagy amire megtudja, hogy szeretné alkalmazni) Már nem PDCA, hanem HLS (magas szintű szerkezet) Introduction 1. Scope (A PCI DSS-nél ezt a CDE mehatározza) 2. Normative references 3. Terms and definition (A PCI DSS esetén is vannak ilyen elérhető meghatározások) 4. Context of the organization (PCI DSS 12-es rész foglalkozik ezzel) 5. Leadership (PCI DSS 12-es rész foglalkozik ezzel) 6. Planning (A PCI DSS-nél ez egyértelmű – védjük meg a kártyaadatokat.) 7. Support (Ez is többnyire a PCI DSS 12-es részében jelenik meg) 8. Operation (A PCI DSS 12.1.1 ami itt megjelenik, és az összes általa is megkövetelt előírás.) 9. Performance evaluation (Itt lehetne esetleg maga az audit) 10. Improvement (Örülnek neki, nem elvárás)

10 ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 Szabályozó célok és intézkedések (ISO/IEC 27002:2013) listája 13 kategóriára oszlik (5-től kezdődően) és 113 szabályozó intézkedést tartalmaz. Kizárásokat tartalmazhat a SOA (A PCI nem ismeri a kizárást, csak azt, hogy valami nem alkalmazható, mert pl. nincs WIFI a környezeten, illetve a kompenzációs kontroll fogalmát is bevezették.) A5 Információ biztonsági szabályzatok (PCI DSS 12.1) A6 Információ biztonság szervezete A6.1 Belső szervezet (PCI DSS 12.4, 12.5, 6.4.2, 12.10.1, 6.1) A6.2 Mobil eszközök és távmunka (PCI DSS 12.3) A7 Emberi erőforrások biztonsága (PCI DSS 12.6, 12.7, 8.1.3) A8 Felelősség a vagyontárgyakért (PCI 12.3, 9.7, 9.8) A9 Hozzáférések kezelése (PCI 7, PCI 8)

11 ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 A10 Titkosítás (PCI 3.5, 3.6) A11 Fizikai és környezeti védelem (PCI 9, PCI PIN) A12 Üzemeltetés biztonsága A12.1 Üzemeltetési eljárások és felelőségek (PCI 6.4, illetve az A12.1.1 megfelel a PCI minden követelményének a végén megjelenő kötelező dokumentálásnak) A12.2 Malware elleni védekezés (PCI 5, 6.1) A12.3 Mentés (PCI 9.5.1) A12.4 Naplózás és monitorozás (PCI 10) A12.5 Operációs szoftverek védelme (PCI 6.4) A12.6 Sebezhetőség menedzsment (PCI 6.1, 6.4) A12.7 Információs rendszerek auditálási szempontjai (PCI 11)

12 ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 A13 Kommunikációs biztonság (PCI 1, 4) A14 Rendszerek beszerzése, fejlesztése, karbantartása (Ez vegyes, PCI 1, 4, 6, 8, 11) A15 Beszállítói kapcsolatok (PCI 12.8) A16 Információ biztonsági incidensek kezelése (PCI 12.10) A17 BCM információbiztonsági szempontból (PCI 12.10) A18 Megfelelőség (itt nem sok a kapcsolódás, de az A18.2.3 esetében a teljes PCI 11 megtalálható, illetve az A18.2.1 –et felfoghatjuk mint nem egy audit, hanem Pentest) Érdekesség: A PCI nem követeli meg a TEST és DEV környezetek elválasztását, az ISO igen.

13 ÖSSZEHASONLÍTÁSUL PCI DSSISO 27001 Elérhetőség Ingyen a webenElég drága Csak angolulMagyarul is Felkészülés 1 év Hatály A hatályát egyértelműen a kártyaadatok előfordulása határozza megA cég határozza meg Mit véd? KártyaadatInformáció (klasszifikált) Kötelező? Azon szervezetekre, akik kártyaadatot kezelnek, dolgoznak fel, továbbítanak vagy tárolnak.Nem (kivéve…) Auditor cég QSA, nagyon kevés cég van belőleSok cégből választhatunk Tanusítvány érvényessége 1 év3 év Kontrollok Nem flexibilis, és nincs kizárásFlexibilis is van kizárás Audit előírás Évente teljeskörűÉvente, de csak 3 évente teljeskörű Belső audit Nem kellKötelező BCP megléte Nem előírás, hogy legyen BCM, de ha van, arra is kiterjedhet az audit Itt azért megjelent egy előírás, de nem a BCM- ről, hanem a HA megoldásról Dokumentációs követelmény Itt is megjelent a 3.0 óta, hogy minden előírás legyen dokumentált és oktatott Az ISO hagyományosan rengeteg dokumentummal jár együtt

14 MI IS AZ A WITSEC - WOMEN IN IT SECURITY? 2014-ben alakult 9 IT biztonság területén dolgozó hölgy szövetségeként indult Akik elhatározták, hogy támogatják az IT szakmát a maguk módján Előadásokat, workshop-okat, életpálya bemutatókat tartanak Segítik azokat, akik az IT security területén teszik meg első lépéseiket (mentorálás) Ma már 11 taggal rendelkezik Jelenleg 3 mentoráltunk van (az előadás írásának pillanatában) Több szervezettel vagyunk kapcsolatban, vannak támogatóink is szép számmal Várjuk mentor hölgyek jelentkezését a csapatunkba Várjuk mentoráltak jelentkezését, akik szeretnének a biztonság területén előre jutni, de nem tudják pontosan hogyan tegyék ezt

15 KÖSZÖNÖM A FIGYELMET ZENGŐ ANDREA – WITSEC CISA, CISM, ISOxxxxxLA vizsgák, MOF, ITIL Foundation… Kapcsolat: EMAIL: zengo.andee@witsec.hu MOBIL: +36 30 787 0473