Множество проектов по внедрению стандарта данных индустрии платежных карт PCI DSS в карточной платежной инфраструктуре банков и финансовых организаций показывает, что цели и приоритеты таких проектов сугубо индивидуальны в каждом отдельно взятом случае. Однако в процессе внедрения стандарта PCI DSS встречаются схожие проблемы, с которыми сталкиваются почти все организации. В фокусе данной статьи находится обзор ряда наиболее «популярных» проблем реализации требований PCI DSS и разбор путей решения этих проблем на примере применения средств шифрования.

Как показывает практика, в подавляющем большинстве случаев организации считают труднопреодолимыми требования следующих разделов:

 - организация безопасного хранения данных платежных карт (ДПК) П.3;

 - обеспечение контроля доступа пользователей к ДПК П.7;

 - мониторинг и регистрация фактов доступа к ДПК П.10.

Такая «избирательность» возникновения проблем объясняется целым рядом естественных факторов сложившегося подхода к контролю обработки ДПК в банковских и финансовых организациях.

Сложность. Информационные сис­темы, участвующие в обработке ДПК по определению имеют многоуровневую архитектуру, а также многослойную информационную модель в СУБД. Эта сложность препятствует обеспечению безопасности хранения данных в таких системах и вообще препятствует любому мероприятию обеспечения защиты информации. Ведь учесть все нюансы и особенности сложной модели при определении границ объекта защиты сложно специалисту даже самой высокой квалификации.

Загруженность. Информационные системы, которые обычно включаются в границы стандарта PCI DSS, высоко востребованы бизнесом финансовых и банковских организаций. Соответственно, нагрузка на СУБД таких систем запредельная. Решиться на проведение масштабных изменений и мероприятий по защите информации очень сложно.

Дефицит специалистов. Специалистов с глубокими знаниями нескольких платформ СУБД на рынке крайне мало, специалистов с высокими знаниями одновременно в области СУБД и информационной безопасности еще меньше. В силу этого стоят такие специалисты достаточно дорого. У многих организаций просто нет штатной квалификации на обеспечение защиты систем/СУБД, обрабатывающих ДПК.

Дефицит решений на отечественном рынке. Мероприятия по внедрению стандарта PCI DSS не могут проводиться в изоляции от других активностей организации. Параллельно с внедрением стандарта PCI DSS реализуются требования других руководящих документов, например, требования постановлений ЦБ РФ (382-П, 346-П и т.д.). В таких условиях организация нуждается в инструменте защиты, который удовлетворял бы требованиям сразу нескольких регуляторов и был максимально гибко применим в инфраструктуре банка или финансовой организации. Об одном из таких решений пойдет речь во второй части стати – системе защиты информации в базах данных «Крипто БД» от компании «Аладдин Р.Д.».

Система защиты информации «Крипто БД»

Основным назначением системы является криптографическая защита (далее шифрование) данных, хранящихся в таблицах СУБД, от несанкционированного доступа, утечки и последующей компрометации. Система «Крипто БД» позволяет обеспечить выполнение следующих задач:

 - предотвращение несанкционированного доступа к конфиденциальной информации, размещенной в таблицах баз данных;

 - защита информации от злонамеренных действий системного администратора;

 - шифрование и защита информации при использовании трехзвенной архитектуры доступа к базе данных;

 - аудит действий пользователей и администратора базы данных при попытках доступа к защищаемой информации.

Специфичный набор функциональных характеристик системы «Крипто БД» создавался, в том числе, для эффективного и экономичного решения самых острых проблем внедрения стандарта PCI DSS. Для конкретизации мер безопасности для мероприятий по стандарту PCI DSS в конце статьи приведена таблица соответствия функций системы «Крипто БД» требованиям стандарта PCI DSS.

Организация безопасного хранения ДПК

Система «Крипто БД» позволяет гибко определить объект защиты в СУБД информационной системы. В объект защиты могут быть включены такие виды данных, как:

 - критичные аутентификационныеданные;

 - данные PAN;

 - ключи шифрования ДПК.

Даже при существенной фрагментации объекта защиты (например, вышеперечисленные виды данных разнесены на большое количество таблиц, находящихся в разных экземплярах базы данных) система «Крипто БД» эффективно осуществит шифрование данных, обеспечив контроль целостности и надежную защиту от компрометации. В тех задачах, где это необходимо, будут реализованы функции маскирования защищенных данных при их представлении неавторизованным пользователям или в целях передачи выгрузок третьим лицам.

Обеспечение контроля доступа пользователей к ДПК

В системе «Крипто БД» реализовано две модели разграничения прав пользователей при доступе к защищаемой информации:

 - дискреционная – основанная на разрешении безопасного использования ключа шифрования для того или иного столбца с данными;

 - мандатная – обеспечивающая проверку соответствия метки доступа ключа (чтение/запись) пользователя метке зашифрованных этим ключом данных.

Обеспечение контроля доступа достигается за счет сочетания двух функций системы защиты «Крипто БД» – шифрование информации (см. выше) и двухфакторной аутентификации пользователей при доступе к защищаемой информации с использованием смарт-карт или USB-токенов, защищённых PIN-кодом (например, JaCarta PKI от «Аладдин Р.Д.»).

Мониторинг и регистрация фактов доступа к ДПК

Выполнению задачи регистрации событий доступа пользователей к ДПК в системе «Крипто БД» уделено особое внимание. Функции системы позволяют реализовать полноценный независимый мониторинг и аудит событий доступа к защищаемой информации. При этом термин «независимый» будет означать отсутствие возможности изменения фиксируемой информации со стороны привилегированных пользователей (Администраторов СУБД/Администраторов ИТ).

Модуль фиксации событий доступа в системе «Крипто БД» позволяет осуществлять сбор следующей информации:

 - идентификатор пользователя;

 - тип события;

 - дата и время;

 - успешным или неуспешным было событие;

 - источник события;

 - идентификатор или название данных, системного компонента или ресурса, на которые повлияло событие.

* Фиксация всех этих видов информации необходима по требованиям стандарта PCI DSS.

Таким образом, организация, сталкивающаяся с рядом «популярных» проблем внедрения стандарта PCI DSS, получает возможность простого и эффективного преодоления возникших препятствий при использовании универсального инструмента шифрования в виде системы защиты «Крипто БД». Дополнительные функции двухфакторной аутентификации, контроля доступа, контроля целостности защищаемой информации и т.д. позволят организации обеспечить выполнение требований целого ряда нормативных документов ЦБ РФ, ФСТЭК России и ФСБ России. Об этом мы расскажем вам в следующей статье, посвященной практическому применению криптографической защиты в СУБД различных платформ.

Текст: Денис Суховей, директор департамента развития технологий компании «Аладдин Р.Д.»

Материал также опубликован в печатной версии июньского номера Национального банковского журнала  (№191, июнь 2020).