Выполнение требований стандарта PCI DSS

Name: Выполнение требований стандарта PCI DSS
Brand: Индид
Availability: InStock
Rating: 5 (10 reviews)

Решение на основе трех продуктов создает систему управления доступом к данным клиентов финансовых организаций

Описание решения

Задача

В апреле 2016 года была принята новая версия PCI DSS 3.2. Часть нововведений этой версии вступает в силу 1 февраля 2018 года. К таким нововведениям относятся изменения в части аутентификации сотрудников при доступе к информационным системам банка. Так, с 01.02.2018 г. становится обязательным применение многофакторной аутентификации в ряде сценариев доступа.

Стандарт PCI DSS определяет следующие факторы или методы аутентификации пользователей:

то, что вы знаете
то, что у вас есть
то, чем вы обладаете

Приведем несколько примеров для указанных факторов, наиболее часто встречающихся при практическом решении задач мультифакторной аутентификации.

То, что вы знаете

PIN код смарт-карты или USB-ключа. PIN хранится только в памяти устройства и используется для доступа к защищенной области данных на смарт-карте или USB-ключе для выполнения различных криптографических операций, в т.ч. в целях аутентификации.
Ответы на контрольные вопросы. Как правило, такой метод используется как резервный при восстановлении доступа. В целях безопасности, рекомендуется требовать правильные ответы на несколько вопросов.
Классический пароль условно постоянного действия.

То, что у вас есть

Смарт-карта или USB-ключ. На таких устройствах хранится закрытый ключ для операций асимметричной криптографии и другая ключевая информация.
OTP-брелок - генератор одноразовых паролей. Аппаратное устройство генерации OTP. Наиболее распространенным стандартом генерации одноразовых паролей являются алгоритмы OATH TOTP и HOTP. Также встречаются проприетарные алгоритмы генерации ОТР (например, RSA).
Смартфон пользователя. Смартфон может использоваться в различных вариантах: (а) мобильное приложение для генерации ОТР; (б) одноразовые пароли, высылаемые по SMS; (в) мобильное приложение для out of band аутентификации с использованием push-уведомлений.
Бесконтактная карта (RFID). Такие карты удобны тем, что могут одновременно использоваться как для логического доступа в информационные системы, так и для физического доступа в помещения организации.

То, чем вы обладаете (то, чем вы являетесь)

В данную категорию попадают все технологии, основанные на биометрических данных человека.

Наиболее распространенным на данный момент вариантом биометрической аутентификации является отпечаток пальца. На сегодняшний день данная технология обладает одним из лучших соотношений цена-качество среди биометрических технологий.
Рисунок вен. Данная технология для построения биометрического шаблона использует рисунок вен ладони или пальца. Преимуществом технологии является высокая точность распознавания и гигиеничность - считывание вен происходит на расстоянии без непосредственного контакта сканера с ладонью или пальцем.
Фотография (2D изображение лица). Данная технология является одним из наиболее дешевых вариантов биометрической аутентификации, т.к. не требует применения специализированного устройства. К недостаткам технологии можно отнести зависимость точности распознавания от освещенности помещения.
2D и 3D изображения лица. Для аутентификации по 2D и 3D изображению лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.
Голосовая биометрия. Аналогично фотоизображению лица, голосовая биометрия является одним из самых недорогих вариантов. Преимуществами технологии является возможность работы в телефонном звонке. К недостаткам технологии можно отнести относительно невысокую точность и ограниченный набор сценариев применения.

Следует отметить, что согласно стандарту, мультифакторная аутентификация требует сочетать минимум два различных фактора. Т.е. применение двух паролей или двух отпечатков пальцев не будет являться мультифакторной аутентификацией. Приведем наиболее распространенные на практике сочетания различных факторов:

Смарт-карта (с закрытым ключом и сертификатом) + PIN код.
Постоянный пароль + одноразовый пароль
Бесконтактная карта + постоянный пароль
Бесконтактная карта + отпечаток пальца
Отпечаток пальца + постоянный пароль
Приложение на смартфоне (push-нотификация) + постоянный пароль
Приложение на смартфоне (push-нотификация) + отпечаток пальца

Решение

Продукты Индид позволяют реализовать все приведенные сочетания факторов аутентификации, а также поддерживают возможность расширения перечня сценариев аутентификации по запросу. Для построения системы мультифакторной аутентификации применяются следующие продукты:

Indeed Certificate Manager

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Certificate Manager (Indeed CM) позволяет снизить расходы на использование PKI-инфраструктуры и повысить эффективность ее использования за счет применения централизованных политик использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed Access Manager

Indeed Access Manager (Indeed AM) является универсальной системой аутентификации, предназначенной для организации строгой и мультифакторной аутентификации в любых системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Ниже приведены комментарии по реализации конкретных требований стандарта PCI DSS 3.2 в части аутентификации с использованием программного обеспечения Индид.

8.1.3 Немедленный отзыв доступа при увольнении пользователя

Требование PCI DSS 3.2: 8.1.3 Immediately revoke access for any terminated users. 8.1.3.b Verify all physical authentication methods—such as, smart cards, tokens, etc.—have been returned or deactivated.

Перевод требования: Немедленный отзыв доступа при увольнении пользователя. Убедиться, что все физические средства аутентификации (например, смарт-карты, токены и т.д.) были возвращены или деактивированы.

В состав Indeed Certificate Manager входит служба мониторинга состояния учетных записей пользователей смарт-карт и сертификатов. При блокировке учетной записи, служба автоматически производит отзыв цифровых сертификатов, выпущенных пользователю, что позволяет оперативно прекращать возможность использования сертификатов и смарт-карт уволенных сотрудников. Также Indeed CM хранит информацию о том, какие смарт-карты и USB-ключи были назначены сотруднику для контроля над использованием устройств.

8.1.6 Блокировка учетных записей после шести неудачных попыток

Требование PCI DSS 3.2: 8.1.6 Limit repeated access attempts by locking out the user ID after not more than six attempts. 8.1.6.a For a sample of system components, inspect system configuration settings to verify that authentication parameters are set to require that user accounts be locked out after not more than six invalid logon attempts.

Перевод требования: Блокировать учетные записи после шести неудачных попыток входа подряд. Сделать выборку системных компонентов, проверить настройки системной конфигурации и убедиться в том, что учетная запись пользователя блокируется после не более чем шести неудачных попыток входа.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. количество попыток входа до блокировки смарт-карты.

Indeed Access Manager также позволяет централизованно задавать политику блокировки способов входа при превышении заданного числа попыток аутентификации.

8.2 Методы аутентификации пользователей

Требование PCI DSS 3.2: 8.2 In addition to assigning a unique ID, ensure proper user-authentication management for non-consumer users and administrators on all system components by employing at least one of the following methods to authenticate all users:

Something you know, such as a password or passphrase
Something you have, such as a token device or smart card
Something you are, such as a biometric.

Перевод требования: Помимо назначения уникального идентификатора, для обеспечения надлежащего управления аутентификацией сотрудников (не пользователей) и администраторов на уровне всех системных компонентов должен применяться хотя бы один из следующих методов аутентификации всех пользователей:

то, что вы знаете (например, пароль или парольная фраза);
то, что у вас есть (например, ключи или смарт-карты);
то, чем вы обладаете (например, биометрические параметры).

Применение продуктов Indeed Certificate Manager и Indeed Access Manager позволяет использовать все указанные методы аутентификации. При этом, в зависимости от окружения, сотруднику могут быть доступны различные варианты аутентификации (например, смарт-карта + PIN-код при доступе в ОС и пароль + ОТР при доступе в VPN).

8.2.2 Проверка личности перед изменением учетных данных

Требование PCI DSS 3.2: 8.2.2 Verify user identity before modifying any authentication credential—for example, performing password resets, provisioning new tokens, or generating new keys.

Перевод требования: Перед изменением учетных данных для проверки подлинности (например, сбросом пароля, предоставлением новых токенов или генерацией новых ключей) необходимо установить личность пользователя.

Indeed СМ поддерживает резервную технологию аутентификации по контрольным вопросам для операций разблокировкой смарт-карты. Это позволяет выполнить данное требование при операции с PIN кодом смарт-карты.

8.2.3 Требования к сложности паролей

Требование PCI DSS 3.2: 8.2.3 Passwords/passphrases must meet the following:

Require a minimum length of at least seven characters.
Contain both numeric and alphabetic characters.
Alternatively, the passwords/passphrases must have complexity and strength at least equivalent to the parameters specified above.

Перевод требования: Пароли/парольные фразы должны соответствовать следующим требованиям:

наличие в пароле не менее семи символов;
наличие в пароле и цифр, и букв;
как вариант, пароли/парольные фразы должны иметь сложность и стойкость, сравнимые с указанными выше параметрами.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к сложности PIN кодов.

8.2.4 Смена паролей не реже одного раза в 90 дней

Требование PCI DSS 3.2: 8.2.4 Change user passwords/passphrases at least once every 90 days.

Перевод требования: Изменение паролей/парольных фраз пользователей не реже одного раза в 90 дней.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к времени жизни PIN кодов.

8.2.5 Запрет повторного использования последних четырех паролей

Требование PCI DSS 3.2: 8.2.5 Do not allow an individual to submit a new password/passphrase that is the same as any of the last four passwords/passphrases he or she has used

Перевод требования: Запрет смены пароля/парольной фразы на какие-либо из четырех последних паролей/парольных фраз данного пользователя, использованных им ранее.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. требования к истории PIN кодов.

8.2.6 Уникальный первоначальный пароль и смена при первом входе

Требование PCI DSS 3.2: 8.2.6 Set passwords/passphrases for first-time use and upon reset to a unique value for each user, and change immediately after the first use

Перевод требования: Установка уникального первоначального пароля/парольной фразы для каждого пользователя и их немедленное изменение при первом входе пользователя в систему.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. генерация случайных PIN кодов и требование смены PIN кода при первом входе.

8.3 Мультифакторная аутентификация для административного и удаленного доступа

Требование PCI DSS 3.2: 8.3 Secure all individual non-console administrative access and all remote access to the CDE using multi-factor authentication

Перевод требования: Защита не консольного административного доступа и удаленного доступа для всех пользователей к информационной среде держателей карт с помощью мультифакторной аутентификации.

Требование может быть выполнено как с использованием PKI (public key infrastructure), так и без него. Также возможно совмещение технологий, например, таким образом:

Применение смарт-карт и цифровых сертификатов для аутентификации в локальном режиме работы (в ОС и приложениях);
Применение технологии одноразовых паролей для удаленного доступа (например, при аутентификации в VPN).

Выбор конкретных технологий будет зависеть от используемого программно-аппаратного обеспечения. Кроме того, выбор технологии может зависеть от полномочий и роли пользователя (например, сертификаты для сотрудников и SMS для третьих лиц). ПО Indeed CM и Indeed AM позволяет реализовать на практике любой сценарий аутентификации, без привязки к конкретным технологиям.

8.3.1 Мультифакторная аутентификация для не консольного административного доступа

Требование PCI DSS 3.2: 8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access.

Перевод требования: Применение мультифакторной аутентификации для не консольного доступа к информационной среде держателей карт для сотрудников с административным доступом.

8.3.2 Мультифакторная аутентификация для любого удаленного доступа из внешней сети

Требование PCI DSS 3.2: 8.3.2 Incorporate multi-factor authentication for all remote network access (both user and administrator, and including third-party access for support or maintenance) originating from outside the entity’s network.

Перевод требования: Применение мультифакторной аутентификации для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети.

Indeed PAM

Контроль и управление доступом привилегированных пользователей

Indeed ITDR

Комплексная защита инфраструктуры айдентити

Indeed AM

Управление доступом к цифровым активам компании с возможностью многофакторной аутентификации (MFA)

Indeed CM

Централизованное управление жизненным циклом ключевых носителей и сертификатов

Octopus IdM

Централизованное управление привилегиями и доступом к цифровым активам компании

BearPass

Безопасное хранение и администрирование корпоративных паролей и других секретов

Indeed MFA

Усиленная защита корпоративных данных с использованием технологий многофакторной аутентификации

Отзывы

PAM от Индид стал оптимальным решением, которое способно защитить доступ к критически важным корпоративным данным и отвечает современным стандартам информационной безопасности, а также всем нашим требованиям — надежность, зрелость и эффективность.

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.

«Мы выбирали систему PAM среди российских решений и остановили свой выбор на решении Indeed PAM от компании «Индид», как на самом оптимальном варианте в плане эффективности, удобства и бюджета. У этого вендора было самое лучшее предложение».

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом.

«Мы используем продукт компании «Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится».

«Indeed PAM уже помог нам создать дополнительный уровень защиты внутри сети и за ее пределами. Это важный шаг для укрепления безопасности инфраструктуры и сбережения ценных активов. Indeed PAM – надежный инструмент, позволяющий эффективно контролировать доступ и отслеживать действия привилегированных пользователей в критичных системах».

«С помощью экосистемы продуктов компании «Индид» мы усилили безопасность нашей компании, исключив использование уязвимых паролей нашими сотрудниками. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были сложны для запоминания, сегодня используется двухфакторная система аутентификации».

«Мы оценивали качество работы специалистов вендора в части настройки продукта для пилотного тестирования и в части реализации сложных технических задач по интеграции с компонентами нашей ИТ-инфраструктуры. Надо сказать, мы не разочаровались в выборе. В поддержку обращаемся часто, помогают оперативно. Компания «Индид» уделяет большое внимание развитию своих продуктов и регулярно выпускает новые версии. И главное – разработчики прислушиваются к нашим пожеланиям по развитию продукта».

«Мы очень ответственно относимся к информационной безопасности. Для нас Indeed AM – это не только современное средство защиты, но и залог нашей уверенности в том, что доступ к нашим ИТ-ресурсам находится под надёжным контролем. Внедрение этой системы – важный шаг по пути повышения безопасности данных наших клиентов и бизнеса в целом. Мы особенно благодарны компании «Индид» и ООО «Гладиаторы ИБ» за профессионализм, высокое качество работы и оперативное решение технических вопросов».

«Мы заботимся о защите доступа наших сотрудников и руководителей к ИТ-ресурсам, уделяя особое внимание деятельности коллег, которые допущены к критичным данным и коммерческой тайне. Мы выбрали программный комплекс Indeed Access Manager, поскольку он обеспечивает единую усиленную аутентификацию как при локальном, так и при удаленном доступе».

«В рамках реализации ИБ-стратегии с помощью PAM-системы компания обеспечила защиту как внутренних корпоративных систем и интерфейсов управления средств защиты, так и сегментов КИИ. Благодаря Indeed PAM у нас получилось повысить эффективность работы ИТ и ИБ-команд и упростить процесс расследования инцидентов».

«Indeed PAM полностью удовлетворил все наши потребности в области управления привилегированным доступом. Indeed PAM позволяет нам эффективно защищать наиболее важные системы и учетные записи от несанкционированного доступа и соответствовать современным стандартам информационной безопасности».

«Внедрение продуктов компании «Индид» позволило нам повысить уровень информационной безопасности и обеспечить соответствие самым высоким стандартам, принятым в отрасли. Ключевым аргументом в пользу Indeed PAM и Indeed AM было то, что эти продукты внесены в реестр отечественного ПО и соответствуют стандарту PCI DSS».

«Внедрение экосистемы на основе продуктов компании «Индид» – логичный шаг и один из важных этапов создания комплексной защиты от киберугроз. Решения Indeed AM и Indeed PAM полностью соответствуют требованиям, которые Институт предъявил к продуктам данного вида. Они позволили нам решить задачу комплексно – обеспечить защиту доступа не только обычных, но и привилегированных пользователей».

«Компания «Индид» предоставляет нам надежный инструмент для эффективного управления доступом привилегированных пользователей. В ходе тестовой эксплуатации программного комплекса Indeed PAM в АО НПФ «Альянс» получена высокая оценка технологичности и отказоустойчивости системы, возможности подстройки решения под особенности инфраструктуры компании. Мы уверены, что это внедрение значительно повысит безопасность нашей информационной инфраструктуры».

«Мы реализуем эффективные решения, в числе которых решение о защите привилегированного доступа к информационным системам. Централизованное управление подключениями к критичным серверам и приложениям гарантирует защиту от несанкционированного доступа злоумышленников с административными правами к корпоративным ИТ-ресурсам».

«Мы заботимся о защите доступа наших сотрудников и руководителей к ИТ-ресурсам, уделяя особое внимание деятельности коллег, которые допущены к критичным данным и коммерческой тайне. Мы выбрали программный комплекс Indeed Access Manager, поскольку он обеспечивает единую усиленную аутентификацию как при локальном, так и при удаленном доступе».

«Мы изучили рынок и протестировали решения для защиты удаленного доступа на основе технологий усиленной аутентификации. В результате мы выбрали Indeed AM. Это решение позволило нам обеспечить усиленную аутентификацию удаленных сотрудников при подключении к VPN, а также при работе с нашими публичными облачными ресурсами».

«Cистема централизованного управления и мониторинга ключей электронной подписи, а также их носителей увеличила эффективность ряда бизнес-процессов. Решение Indeed CM снизило нагрузку на ИТ-подразделения, повысило уровень информационной безопасности, улучшило степень мониторинга процесса эксплуатации СКЗИ и выпуска цифровых сертификатов».

«Кроме функциональных особенностей программного обеспечения мы хотим отметить качественную работу специалистов технической поддержки в части оперативности предоставления информации и консультаций при настройке продукта и реализации сложных технических задач по интеграции в нашу ИТ-инфраструктуру. Именно поэтому мы остановили свой выбор на Indeed Certificate Manager и рассчитываем на долгосрочное сотрудничество с компанией «Индид».

С помощью Indeed Privileged Access Manager мы внедрили многофакторную аутентификацию сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате. Это этапы комплексной работы над повышением уровня информационной безопасности компании.

PAM имеет в своей структуре компоненты для контроля действий сотрудников — администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании.