Как «ИТ-ГРАД» сертифицировал IaaS-облако по стандарту PCI DSS. Часть 1 - IaaS Blog

Как «ИТ-ГРАД» сертифицировал IaaS-облако по стандарту PCI DSS. Часть 1

Как «ИТ-ГРАД» сертифицировал IaaS-облако по стандарту PCI DSS

В своих статьях мы не раз поднимали тему сертификации PCI DSS, затрагивали подводные камни, отвечали на возникшие вопросы, рассказывали об особенностях облачной услуги PCI DSS хостинга. В этот раз поделимся опытом успешного прохождения компанией «ИТ-ГРАД» в 2015 году аудита на соответствие требованиям стандарта PCI DSS, в числе первых облачных провайдеров прошедшей такую сертификацию для своей облачной платформы в России. В первой части расскажем о подготовке к сертификации.

Зачем потребовалась сертификация

Два года назад «ИТ-ГРАД» задался вопросом сертификации по стандарту PCI DSS. Дело в том, что клиенты начали интересоваться уже не столько услугой физического размещения в соответствии с требованиями стандарта, сколько размещением в виртуальной инфраструктуре с возможностью передать IaaS-провайдеру задачи администрирования. Заказчики все чаще приходили с запросами на услугу по аренде сертифицированной виртуальной инфраструктуры в модели IaaS, а также администрированию и управлению инфраструктурой в соответствии с требованиями PCI DSS.

Чтобы не отставать от потребностей рынка и оставаться конкурентоспособными, приняли решение сертифицироваться. После чего приступили к выбору поставщика услуг информационной безопасности и остановились на Deiteriy – компании со статусом QSA (Qualified Security Assessor Company). Поставщик специализируется на задачах внедрения, сопровождения, аудита и успел накопить достаточно опыта в вопросах оказания консультационных услуг в области информационной безопасности. На первом этапе взаимодействия с Deiteriy сотрудники «ИТ-ГРАД» прошли специализированное обучение, а весной 2015 года началась подготовка к сертификации.

Этапы сертификации. На что обратить внимание

Этапы сертификации. На что обратить внимание

А теперь уделим внимание этапам сертификации. Чтобы успешно справиться с задачей и получить сертификат, компания выполняет регламентированный список требований, демонстрируя собственную зрелость и доказывая готовность к предоставлению услуг. Для этого требуется выполнить следующие пункты:

  • Подготовить документацию, разработать регламенты.
  • Построить ИТ-инфраструктуру в соответствии с установленными требованиями.
  • Пройти тесты на проникновение («пентест»).
  • Пройти пред-аудит и аудит, в ходе которых независимые QSA-аудиторы проверяют соответствие организационных, бизнес- и ИТ-процессов компании требованиям PCI DSS.

На начальном пути сертификации перед «ИТ-ГРАД» встает задача: определить скоп, попадающий под аудит. Будет ли это инфраструктура организации целиком или только часть? Если часть, то какая?

Это интересно!  VMware EMPOWER 2019: делимся впечатлениями и рассказываем о самом интересном

Почему ответы на эти вопросы важны, рассмотрим далее. Предположим, под аудит попадает инфраструктура компании целиком. Это означает, что любые изменения и процессы компании должны выполняться в соответствии с регламентами и требованиями PCI DSS. И если в инфраструктуру вносятся изменения, каждый шаг требует документированного описания, что заведомо наталкивает на повторную проверку соответствия стандарту. Важно понять: если компания живет по правилам PCI DSS, выделенный скоп попадает под жесткие требования стандарта и становится замороженным. А значит, никаких значимых изменений в инфраструктуру вносить нельзя. Если же изменения вносятся – проводится повторный аудит. Поэтому в инфраструктуре целесообразно выделить отдельный сегмент для поддержки сертифицируемых процессов.

Подготовка документации и разработка регламентов

Подготовка документации и разработка регламентов

Что происходит до начала аудита? Компания готовит нормативно-распорядительную документацию по информационной безопасности, включая политики, регламенты и инструкции. В «ИТ-ГРАД» задолго до проведения аудита разработали внутренние политики и регламенты. Но позже некоторые из них доработали согласно требованиям стандарта, остальные создали с нуля.

Примером доработки выступает политика информационной безопасности «ИТ-ГРАД». Документ определяет общие цели, задачи и способы обеспечения ИБ компании. Политика разработана в соответствии со стандартом безопасности данных индустрии платежных карт PCI DSS v3, законодательством Российской Федерации, международным стандартом ISO/IEC 27001:2013 и общепризнанными лучшими практиками обеспечения ИБ.

Отдельного внимания заслуживают регламенты. В них описывается организация порядка работ, принципы взаимодействия с третьей стороной, перечисляются механизмы обеспечения информационной безопасности при хранении информационных активов, озвучиваются вопросы распределения обязанностей, а также:

Регламенты

Для примера рассмотрим «Регламент управления доступом к информационным активам». Здесь определяются правила управления доступом пользователей к информационным активам и задаются требования к учетным записям, озвучиваются правила предоставления, блокирования и изменений прав доступа, формируются требования к мониторингу учетных записей и прав. В конце каждого регламента добавляются записи о результатах выполнения положения.

Важно! Регламенты, политики, документы, созданные в рамках обязательного соответствия стандарту, требуют периодического пересмотра и внесения изменений. Подобное происходит не реже одного раза в год или в случае существенных изменений в информационной или организационной структуре компании.

Подготовка сегмента инфраструктуры

Подготовка сегмента инфраструктуры

Как отмечалось ранее, подготовка сегмента инфраструктуры – обязательный шаг на пути к сертификации. В «ИТ-ГРАД» эту задачу решили следующим образом:

  • Организовали изолированную автономную инфраструктуру c независимой сетью.
  • Развернули физические серверы ESX, vSphere и vCenter.
  • Установили свитчи и межсетевой экран с функцией предотвращения вторжений.
  • Задублировали выделенное оборудование и представили в нескольких экземплярах.
  • Подготовили инфраструктурную модель компании, схему предоставления услуг, схему сети и процессов.
Это интересно!  Как службы федерации решают проблемы идентификации и доступа к веб-приложениям в облаке IaaS

# На что обратить внимание при построении отдельного сегмента инфраструктуры

Согласно требованиям стандарта выделенная инфраструктура изолируется от внутренних и внешних сетей компании, а доступ к ней предоставляется через отдельный интерфейс. В «ИТ-ГРАД» используют VPN с двухфакторной аутентификацией, при этом клиентские скопы изолированы от внешних сетей и скопа других клиентов. Внутри инфраструктуры размещены:

  • сервис синхронизации времени;
  • сервис логирования и анализа;
  • антивирусное решение;
  • межсетевой экран;
  • система обнаружения/предотвращения вторжений;
  • система контроля целостности файлов и прочее.

Поскольку получение актуальной информации о новых уязвимостях, выпусках актуальных обновлений является обязательным, в «ИТ-ГРАД» используется централизованное антивирусное решение и система централизованных обновлений для Windows, Linux. Это гарантирует, что операционные системы в защищенных скопах находятся в актуальном с точки зрения безопасности состоянии.

Пример системы централизованного сбора и анализа логов

Пример системы централизованного сбора и анализа логов

Кроме того, в «ИТ-ГРАД» используется система централизованного сбора и анализа логов (SIEM), включая систему обнаружения и предотвращения вторжений (IDS/IPS).

# Несколько слов о схеме сети

Вариант схемы сети в ходе процесса подготовки к аудиту

Вариант схемы сети в ходе процесса подготовки к аудиту

В «ИТ-ГРАД» используют два варианта: схема сети для компании (инфраструктурная) и схема сети для клиентов (клиентская). Между ними включен межсетевой экран, настроено внутреннее сканирование и активирована функция IPS. С помощью WAF (Web Application Firewall) организована защита от внешних атак и защита опубликованных снаружи бизнес-приложений.

Подводим итоги

В этой статье мы познакомились с особенностями подготовки к аудиту, уделили внимание этапам сертификации, требованиям, предъявляемым при разработке документов и регламентов, разобрались с особенностями построения сегмента инфраструктуры. Следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы расскажем об особенностях прохождения «пентеста», о преимуществах пред-аудита и поделимся опытом успешного прохождения финального аудита.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 5,00 из 5)
Загрузка...