Выполнение требований стандарта
PCI DSS в части аутентификации
сотрудников

Решение задач мультифакторной аутентификации в информационных системах финансовых организаций в разрезе требований стандарта PCI DSS

Certificate Manager

В апреле 2016 года была принята новая версия PCI DSS 3.2. Часть нововведений этой версии вступает в силу 1 февраля 2018 года. К таким нововведениям относятся изменения в части аутентификации сотрудников при доступе к информационным системам банка. Так, с 01.02.2018 г. становится обязательным применение многофакторной аутентификации в ряде сценариев доступа.

Стандарт PCI DSS определяет следующие факторы или методы аутентификации пользователей:

  • то, что вы знаете
  • то, что у вас есть
  • то, чем вы обладаете

Приведем несколько примеров для указанных факторов, наиболее часто встречающихся при практическом решении задач мультифакторной аутентификации.

То, что вы знаете

  • PIN код смарт-карты или USB-ключа. PIN хранится только в памяти устройства и используется для доступа к защищенной области данных на смарт-карте или USB-ключе для выполнения различных криптографических операций, в т.ч. в целях аутентификации.
  • Ответы на контрольные вопросы. Как правило, такой метод используется как резервный при восстановлении доступа. В целях безопасности, рекомендуется требовать правильные ответы на несколько вопросов.
  • Классический пароль условно постоянного действия.

То, что у вас есть

  • Смарт-карта или USB-ключ. На таких устройствах хранится закрытый ключ для операций асимметричной криптографии и другая ключевая информация.
  • OTP-брелок - генератор одноразовых паролей. Аппаратное устройство генерации OTP. Наиболее распространенным стандартом генерации одноразовых паролей являются алгоритмы OATH TOTP и HOTP. Также встречаются проприетарные алгоритмы генерации ОТР (например, RSA).
  • Смартфон пользователя. Смартфон может использоваться в различных вариантах: (а) мобильное приложение для генерации ОТР; (б) одноразовые пароли, высылаемые по SMS; (в) мобильное приложение для out of band аутентификации с использованием push-уведомлений.
  • Бесконтактная карта (RFID). Такие карты удобны тем, что могут одновременно использоваться как для логического доступа в информационные системы, так и для физического доступа в помещения организации.

То, чем вы обладаете (то, чем вы являетесь)

В данную категорию попадают все технологии, основанные на биометрических данных человека.

  • Наиболее распространенным на данный момент вариантом биометрической аутентификации является отпечаток пальца. На сегодняшний день данная технология обладает одним из лучших соотношений цена-качество среди биометрических технологий.
  • Рисунок вен. Данная технология для построения биометрического шаблона использует рисунок вен ладони или пальца. Преимуществом технологии является высокая точность распознавания и гигиеничность - считывание вен происходит на расстоянии без непосредственного контакта сканера с ладонью или пальцем.
  • Фотография (2D изображение лица). Данная технология является одним из наиболее дешевых вариантов биометрической аутентификации, т.к. не требует применения специализированного устройства. К недостаткам технологии можно отнести зависимость точности распознавания от освещенности помещения.
  • 3D изображения лица. Для аутентификации по 3D изображению лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.
  • Голосовая биометрия. Аналогично фотоизображению лица, голосовая биометрия является одним из самых недорогих вариантов. Преимуществами технологии является возможность работы в телефонном звонке. К недостаткам технологии можно отнести относительно невысокую точность и ограниченный набор сценариев применения.

Следует отметить, что согласно стандарту, мультифакторная аутентификация требует сочетать минимум два различных фактора. Т.е. применение двух паролей или двух отпечатков пальцев не будет являться мультифакторной аутентификацией. Приведем наиболее распространенные на практике сочетания различных факторов:

  • Смарт-карта (с закрытым ключом и сертификатом) + PIN код.
  • Постоянный пароль + одноразовый пароль
  • Бесконтактная карта + постоянный пароль
  • Бесконтактная карта + отпечаток пальца
  • Отпечаток пальца + постоянный пароль
  • Приложение на смартфоне (push-нотификация) + постоянный пароль
  • Приложение на смартфоне (push-нотификация) + отпечаток пальца

Продукты Indeed Identity позволяют реализовать все приведенные сочетания факторов аутентификации, а также поддерживают возможность расширения перечня сценариев аутентификации по запросу. Для построения системы мультифакторной аутентификации применяются следующие продукты:

Indeed Certificate Manager

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Certificate Manager (Indeed CM) позволяет снизить расходы на использование PKI-инфраструктуры и повысить эффективность ее использования за счет применения централизованных политик использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed Access Manager

Indeed Access Manager (Indeed AM) является универсальной системой аутентификации, предназначенной для организации строгой и мультифакторной аутентификации в любых системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Ниже приведены комментарии по реализации конкретных требований стандарта PCI DSS 3.2 в части аутентификации с использованием программного обеспечения Indeed Identity.

Требование PCI DSS 3.2 Перевод требования Комментарий

8.1.3 Immediately revoke access for any terminated users.

8.1.3.b Verify all physical authentication methods—such as, smart cards, tokens, etc.—have been returned or deactivated.

8.1.3 Немедленный отзыв доступа при увольнении пользователя.

8.1.3.b Убедиться, что все физические средства аутентификации (например, смарт-карты, токены и т.д.) были возвращены или деактивированы.

В состав Indeed Certificate Manager входит служба мониторинга состояния учетных записей пользователей смарт-карт и сертификатов. При блокировке учетной записи, служба автоматически производит отзыв цифровых сертификатов, выпущенных пользователю, что позволяет оперативно прекращать возможность использования сертификатов и смарт-карт уволенных сотрудников. Также Indeed CM хранит информацию о том, какие смарт-карты и USB-ключи были назначены сотруднику для контроля над использованием устройств.

8.1.6 Limit repeated access attempts by locking out the user ID after not more than six attempts.

8.1.6.a For a sample of system components, inspect system configuration settings to verify that authentication parameters are set to require that user accounts be locked out after not more than six invalid logon attempts.

8.1.6 Блокировать учетные записи после шести неудачных попыток входа подряд.

8.1.6.a Сделать выборку системных компонентов, проверить настройки системной конфигурации и убедиться в том, что учетная запись пользователя блокируется после не более чем шести неудачных попыток входа.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. количество попыток входа до блокировки смарт-карты.

Indeed Access Manager также позволяет централизованно задавать политику блокировки способов входа при превышении заданного числа попыток аутентификации.

8.2 In addition to assigning a unique ID, ensure proper user-authentication management for non-consumer users and administrators on all system components by employing at least one of the following methods to authenticate all users:

  • Something you know, such as a password or passphrase
  • Something you have, such as a token device or smart card
  • Something you are, such as a biometric.

8.2 Помимо назначения уникального идентификатора, для обеспечения надлежащего управления аутентификацией сотрудников (не пользователей) и администраторов на уровне всех системных компонентов должен применяться хотя бы один из следующих методов аутентификации всех пользователей:

  • то, что вы знаете (например, пароль или парольная фраза);
  • то, что у вас есть (например, ключи или смарт-карты);
  • то, чем вы обладаете (например, биометрические параметры).

Применение продуктов Indeed Certificate Manager и Indeed Access Manager позволяет использовать все указанные методы аутентификации. При этом, в зависимости от окружения, сотруднику могут быть доступны различные варианты аутентификации (например, смарт-карта + PIN-код при доступе в ОС и пароль + ОТР при доступе в VPN).

8.2.2 Verify user identity before modifying any authentication credential—for example, performing password resets, provisioning new tokens, or generating new keys.

8.2.2 Перед изменением учетных данных для проверки подлинности (например, сбросом пароля, предоставлением новых токенов или генерацией новых ключей) необходимо установить личность пользователя.

Indeed СМ поддерживает резервную технологию аутентификации по контрольным вопросам для операций разблокировкой смарт-карты. Это позволяет выполнить данное требование при операции с PIN кодом смарт-карты.

8.2.3 Passwords/passphrases must meet the following:

  • Require a minimum length of at least seven characters.
  • Contain both numeric and alphabetic characters.

Alternatively, the passwords/ passphrases must have complexity and strength at least equivalent to the parameters specified above.

8.2.3 Пароли/парольные фразы должны соответствовать следующим требованиям:

  • наличие в пароле не менее семи символов;
  • наличие в пароле и цифр, и букв;

как вариант, пароли/парольные фразы должны иметь сложность и стойкость, сравнимые с указанными выше параметрами.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к сложности PIN кодов.

8.2.4 Change user passwords/passphrases at least once every 90 days.

8.2.4 Изменение паролей/парольных фраз пользователей не реже одного раза в 90 дней.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к времени жизни PIN кодов.

8.2.5 Do not allow an individual to submit a new password/passphrase that is the same as any of the last four passwords/passphrases he or she has used

8.2.5 Запрет смены пароля/парольной фразы на какие-либо из четырех последних паролей/парольных фраз данного пользователя, использованных им ранее.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. требования к истории PIN кодов.

8.2.6 Set passwords/passphrases for first-time use and upon reset to a unique value for each user, and change immediately after the first use

8.2.6 Установка уникального первоначального пароля/парольной фразы для каждого пользователя и их немедленное изменение при первом входе пользователя в систему.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. генерация случайных PIN кодов и требование смены PIN кода при первом входе.

8.3 Secure all individual non-console administrative access and all remote access to the CDE using multi-factor authentication

8.3 Защита не консольного административного доступа и удаленного доступа для всех пользователей к информационной среде держателей карт с помощью мультифакторной аутентификации.

Требование может быть выполнено как с использованием PKI (public key infrastructure), так и без него. Также возможно совмещение технологий, например, таким образом: - Применение смарт-карт и цифровых сертификатов для аутентификации в локальном режиме работы (в ОС и приложениях); - Применение технологии одноразовых паролей для удаленного доступа (например, при аутентификации в VPN). Выбор конкретных технологий будет зависеть от используемого программно-аппаратного обеспечения. Кроме того, выбор технологии может зависеть от полномочий и роли пользователя (например, сертификаты для сотрудников и SMS для третьих лиц). ПО Indeed CM и Indeed AM позволяет реализовать на практике любой сценарий аутентификации, без привязки к конкретным технологиям.

8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access.

8.3.1 Применение мультифакторной аутентификации для не консольного доступа к информационной среде держателей карт для сотрудников с административным доступом.

8.3.2 Incorporate multi-factor authentication for all remote network access (both user and administrator, and including third-party access for support or maintenance) originating from outside the entity’s network.

8.3.2 Применение мультифакторной аутентификации для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»