PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Понимание требований PCI DSS к управлению протоколированием событий

Требования стандарта PCI DSS могут показаться сложными. Несмотря на это, более детальное рассмотрение некоторых его разделов, в частности – процедур управления протоколированием событий, может прояснить условия, выдвигаемые этим документом.

Во многих компаниях считают, что требования протоколирования включены в PCI DSS, с целью помочь им обнаружить угрозы своим вычислительным сетям. На самом деле это можно считать положительным побочным эффектом, ведь процесс протоколирования был включен в стандарт в первую очередь для удовлетворения потребностей международных платежных систем. На заре развития карточной безопасности, международные платежные системы прилагали значительные усилия для определения векторов атак на карточные системы. В то время группы специалистов, направленные международными платежными системами в пострадавшие от взломов компании для расследования произошедшего, обнаруживали на месте ничтожное количество следов, способных пролить свет на причины и пути развития инцидентов. Тогда международные платежные системы ввели требования по протоколированию событий в свои программы безопасности, откуда они в итоге перекочевали в PCI DSS. Понимание этой цели как основной может существенно помочь компаниям правильно внедрить механизмы аудита и протоколирования событий и наилучшим образом выполнить то, что от них хотят требования стандарта.

Что необходимо протоколировать, чтобы соответствовать требованиям PCI?

Некоторое время назад, увидеть информационную инфраструктуру, в которой бы журналы протоколирования изучались бы регулярно, было скорее исключением, чем правилом. Журналы непрерывно сохранялись на сервер syslog, и в момент возникновения события, требующего их анализа (нарушения безопасности или просто отказа системы), выяснялось, что количество хранимых записей настолько велико, что не оставляет шансов на их плодотворный анализ. С целью уменьшения объема хранимых данных о произошедшем событии, PCI DSS требует записывать лишь кто и что именно сделал, и когда это было сделано.

Вследствие вышесказанного, основное внимание при настройке систем аудита и протоколирования следует уделять действиям пользователей в среде данных о держателях карт. Регламентируя необходимость протоколирования действий пользователей, Совет PCI SSC обеспечивает возможность предоставления данных для расследования, а также воспитывает чувство персональной ответственности в платежном сообществе.

Кроме того, PCI DSS требует обеспечить доступность журналов протоколирования событий в течение одного года для проведения аудита и расследований. Следует регулярно тестировать сохраненные записи на предмет их доступности, чтобы при необходимости иметь возможность представить их аудиторам или комиссии по расследованию инцидента.

Эффективное управление журналами протоколирования

Для создания эффективной системы управления протоколированием событий, удовлетворяющей требованиям PCI DSS, для начала необходимо определить системы, события от которых должны регистрироваться. Для этого следует создания перечня всех существующих в инфраструктуре систем, а затем оставить в нем только те их них, которые входят в область применимости стандарта. Оставшиеся в перечне системы необходимо внимательно изучить не предмет того, необходимо ли для них протоколирования по требованиям PCI DSS.

Приоритетом должен являться тот минимум протоколируемых событий, который необходим для соответствия PCI, однако многие компании внедряют комплексное решение по управлению информацией о событиях безопасности (security information management, SIM), чтобы извлекать с его помощью другие важные с точки зрения обеспечения безопасности данные. Другие компании отдают управление протоколированием на аутсорсинг, что является неплохим решением для компаний с ограниченным штатом в части поддержки информационной инфраструктуры и её безопасности.

После появления понимания того, как компания будет внедрять механизмы протоколирования для соответствия PCI DSS, следует настроить соответствующие устройства так, чтобы они сохраняли события на сервер централизованного хранения журналов.

Приведение протоколирования в соответствие PCI DSS

Учитывая то, что требования по протоколированию событий были разработаны исходя из соображений удобства проведения расследования, следует строить мысли следующим образом: «если бы меня направили в мою компанию для проведения расследования карточного инцидента, что бы я хотел увидеть в журналах?». Понимание этого сместит парадигму применения средств протоколирования от регистрации событий-угроз к регистрации событий-доступов.

Следует рассматривать протоколирование как процесс и разрабатывать его как любой другой технологический процесс. Проблема заключается в том, что зачастую, ведению журналов протоколирования событий не уделяется достаточно внимания. Инженеры ставят галочку «включить аудит» не задумываясь над тем, как журналы протоколирования событий могут помочь бизнесу.

Поддержка соответствия протоколирования требованиям PCI DSS

Многие организации недооценивают объем дискового пространства, необходимого для соответствия PCI. Следует оценить объем журналов протоколирования, генерируемых ежедневно каждой из систем, а затеем выделить под них пространство с солидным запасом. Журналы протоколирования всегда больше, чем ожидается.

Стоимость дискового пространства может стать важным фактором, при принятии решения о применении аутсорсинга, либо модели «программное обеспечение как услуга» (SaaS) для процесса управления журналами протоколирования, так как сервис-провайдеры и дата-центры имеют возможность увеличивать объем памяти «на лету». Помимо всего прочего, тремя основными элементами процесса управления протоколированием являются: регулярный просмотр журналов, архивация журналов для хранения в течение необходимого периода времени, и предоставление их QSA-аудитору по необходимости. Все три элемента можно относительно безболезненно отдать на аутсорсинг.

Со временем у сотрудников появляется желание игнорировать это скучное занятие – просмотр журналов протоколирования, ведь на вершину приоритетов выходят другие задачи. Существует механизм, позволяющий сделать анализ журналов более эффективным – следует выстроить технологический процесс таким образом, чтобы он включал в себя не только просмотр журналов, но и создание отчета по результатам ежедневного анализа и его отправку высшему руководству.

Об авторе:
Джон Киндервэг, CISSP, CEH, CPISM, CCNA, в прошлом QSA, главный аналитик исследовательской компании Forrester Research. Имеет 25-летний опыт, область интересов охватывает безопасность сетей, в том числе беспроводных, управление информацией о событиях безопасности и защиту данных в соответствии с PCI DSS.

Источник:
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1362394_mem1,00.html

соответствие | выполнение требований | pci dss
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры