вторник, 27 сентября 2011 г.

Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри.

Лето этого года выдалось не таким жарким, как предыдущее, что касается погодных условий. Но это с лихвой компенсировалось жаркими баталиями вокруг стандартов в области информационной безопасности. Безусловно, первое место в этой номинации занимает «Закон о персональных данных».  А вот второе место за стандартом платежных систем «PCI DSS». И это почетное место за ним закрепилось столь заслуженно, что в рамках обсуждения на конференции «Вопросы применения и соответствия стандартам PCI DSS/PA DSS» его даже хотели включить ссылкой в стандарт Банка России (СТО БР ИББС).
В данной статье речь пойдет как раз о стандарте PCI DSS 2.0, который обязателен для соответствия с 2012 года. О самом стандарте и комментариях к нему написано много. По этой причине, основной целью данной статьи является не ознакомление с пунктами стандарта и даже не их трактовка, а освящение с практической стороны некоторых важных моментов.

Мне довелось работать на разных должностях в компаниях разного размера и формы собственности. Посмотреть на компании, как со стороны внешнего аудитора, так и изнутри в роли руководителя информационной безопасности, приводящего компанию к соответствию. Это как крупные процессинговые центры и банки, такие как «Millikart» (Баку) и «ОТП Банк» (Киев), «Общая карта» (Москва), так и совсем маленькие компании.
Надеюсь, что мой опыт проведения аудитов, консалтинга и курирование проектов по приведению компаний в соответствие требованиям стандарта PCI DSS 1.2.1 и 2.0  в компаниях России, Украины и Азербайджана  поможет мне простыми словами донести полезную информацию до читателей.
Накопившийся опыт и знания, наблюдения и замечания я бы хотел выразить в данной статье. Все высказанное в данной статье может значительно отличатся от мнений других аудиторов и консультантов, официальной позиции PCI Security Standards Council и других источников. Я не предлагаю неукоснительно следовать всему, о чем будет идти речь. Это всего лишь информация для принятия Вами собственных решений. Надеюсь, она поможет Вам принять правильные решения.
Итак, с чего же начинается и и как проходит аудит?
Все начинается даже не с подписания договора на аудит или пред аудит. Все начинается с решения компании (читай директора) о необходимости прохождения аудита. И тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает – чаще, либо аудит инициируется и отстаивается перед директором компании (главой правления, материнской компанией) начальником отдела информационной безопасности (ИБ) - реже. В первом случае аудит спускается как «Божья кара» на сотрудников ИТ и ИБ подразделений, так как дополнительной работы добавится, в должностных инструкциях ее может и не быть, а зарплата остается на прежнем уровне. Тут все зависит от коллектива, руководителя ИБ и конкретной компании. Если коллектив удастся мотивировать, чем – это уже вопрос менеджмента и к данной статье не относится, то результат, безусловно, будет. Результат будет, даже в том случае если персонал будет не мотивирован, но применяться будет уже иной метод – метод кнута. Но вот трудностей возникнет больше.
По-иному обстоят дела, если инициатором выступает руководитель отдела ИБ. В таком случае с высокой долей вероятности процессы так или иначе уже соответствуют требованиям стандарта. Документация подготовлена, архитектура в корне не противоречит требованиям стандарта, начальник ИБ понимает, зачем это нужно. А раз он инициирует, значит, понимает пользу для себя и для отдела. И сможет донести до подчиненных (скорее всего, уже донес) необходимость, а так же найти понимание (в идеале поддержку) у отдела ИТ. 
Если компания, которая будет выполнять аудит не «спущена» сверху руководством, то стоит пообщаться с коллегами, которые уже взаимодействовали с аудиторами из данной компании. При этом выбирать стоит не только компанию, но и аудитора который будет его проводить. Так как именно этому человеку Вам необходимо будет доказать (именно доказать), что Вы соответствуете всем пунктам стандарта. По этой причине в зависимости от Ваших целей, которые могут быть абсолютно разными – от получения бумажки о соответствии до полного приведения всех процессов в соответствие пунктам стандарта необходимо и выбирать компанию и аудитора. Но стоит иметь в виду, что самые компетентные специалисты самые дотошные. Они дают самые лучшие консультации в рамках аудита, но требуют от Вас очень высокого общего уровня соответствия. Это как не желание «закрывая глаза» на недочеты, подвергать риску свою репутацию, так и просто неприемлемость принятия работ низкого качества. Безусловно, и они подвергаются давлению как с вашей стороны, как заказчика, так и со стороны собственного руководства. Но данный класс экспертов больше хотят делать качественную работу, чем играть в корпоративные игры.
Если есть необходимость пройти аудит, а не построить процессы (заранее говорю, что часть требований PCI DSS особенно в части документирования процессов тормозит работу самих бизнес процессов). То лучше обратится к маленькому локальному игроку рынка. Аудиторы такой компании, как правило, более лояльны к формам реализации требований PCI DSS. Если же хочется получить не только толстый отчет, но и частичный консалтинг в рамках его проведения то однозначной рекомендации нет. Выбирайте именно аудитора. Но окончательный выбор только за Вами.
В рамках данной статьи не будет рассматриваться вопрос, по какой версии проводить аудит, так как к моменту ее публикации данный вопрос не будет актуален по причине обязательности второй версии с начала 2012 года.
Что же изменилось во второй версии стандарта?
Основные изменения коснулись уточнения пунктов, перегруппировки оных, вопросов выделения виртуальных инфраструктур. Так же были затронуты требований по смене криптографических ключей, внесены требования по ранжированию обнаруженных уязвимостей и пр. Самый полный список изменений который я встречал можно найти тут..
В целом, если у Вас не размещены на одном физическом сервере виртуальные сервера производственных и тестовых инфраструктур или их перенос может быть осуществлен, особых трудностей не должно возникнуть.
Если услуги по проведению внутреннего аудита соответствия и приведения компании к соответствию не заказываются у той же компании, которая и будет проводить аудит (вариант дорогой, но часто 100%). В таком случае проводить внутренний аудит придется собственными силами. Результатом аудита должен стать не отчет, а согласованный план-график устранения несоответствий. И вот для того, что бы его получить, необходимо провести детальный анализ инфраструктуры, документации, процессов и интервьюирование персонала. Выполнение данной задачи позволит понять уровень зрелости процессов компания и выявить самые большие прорехи. По времени этот  процесс может занимать от месяца до шести в зависимости от размера компании.  И на этом этапе Вам может очень сильно помочь наличие документа, который я постараюсь разместить в блоге в течение недели. 
Данный документ был подготовлен мной, когда у меня появилась задача проведения аудита собственной компании на соответствие требования стандарта PCI DSS 2.0.
Так же я проанализировал и оставил лучшее из двух переводов на русский язык самого стандарта PCI DSS 2.0: компании «Информзащита» (тут) и «Digital Security» (тут). Я постарался учесть в документе и корректные комментарии, которые были предоставлены другими специалистами по информационной безопасности.А так же добавил данные по типам требуемых проверок из документа «ROC Reporting Instructions for PCI DSS v2.0», который ощутимо облегчал работу в мою бытность аудитором. Наличие пунктов с указанием обязательности той или иной проверки может значительно сократить время и ресурсы на подготовку. Думаю, что он окажется, Вам полезен. 

Основные моменты, на которые стоит обратить внимание можно разделить на следующие пункты:
1.    Подготовка либо внесение изменений в регуляторные документы.
2.    Подготовка актов, реестров, планов тестирования и иной отчетности.
3.    Модернизация и внесение изменений в конфигурацию систем и ПО.
4.    Проведение внутренних и внешних сетевых сканирований и обработка их результатов.
5.    Проведение тестов на проникновение.
6.    Проведение обучений и тестирование планов реагирования.
7.     Анализ прав доступа в логических и физических системах.
Стоит быть готовым к тому, что, как и любое изменение бизнес процессов, изменения вносимые в рамках приведения компании к соответствию PCI DSS будут встречать ожесточенное сопротивление со стороны руководителей отделов и остального персонала. Для нивелирования данного эффекта, рекомендую комплексный подход. А именно:
- Поддержку вашей позиции руководством и доведение его мнения до персонала.
- Выделение части времени персонала на задачи PCI DSS по указанию руководства.
- Проведение совместных совещаний с руководителями отделов для донесения сути стандарта и предполагаемых проверок.
- Ознакомительные рассылки для персонала.
- Непрямая мотивация: сувениры по теме ИБ, конкурсы, плакаты, заставки.
Как правило, последний пункт выполняется за личные деньги сотрудника, который больше всех заинтересован в результате проекта. Это либо менеджер проектов, либо руководитель ИБ. Сюда же можно отнести заказ еды, во время пиковых фаз аудитов, закупка витаминов и противовирусных препаратов для сотрудников задействованных отделов в определенные времена года и пр.
Кто-то скажет, что последний пункт больше похож на сказку и этим не стоит заниматься. Возможно, но посчитайте, каков будет ущерб от увеличения сроков аудита или простоя проектов по причине болезни ключевого сотрудника. А заразить его может кто угодно. После столь простой математической функции как умножение – времени сотрудника (его ЗП) на недополученную прибыль компании (хорошо, если не придется считать убытки), порой хочется купить ящик этих самых медикаментов и по пакету фруктов каждому. Видимо не зря в некоторых компаниях, все, что с кофеином (повышает работоспособность) и фрукты (иммунитет) бесплатны в любом количестве. Даже не учитывая эффекта повышения мотивации персонала. Вот только руководство далеко не всегда настроено к своему же персоналу столь лояльно как хотелось бы. При этом собирая совещания и привлекая внешних консультантов, для того что бы понять почему это персонал вдруг стал не лояльным и не хочет работать как и раньше за двоих. Возможно, что ответ совсем рядом. Но это совсем другая тема, для другой статьи. 
Думаю, не стоит говорить, что нет компании, в которой бы абсолютно все было без нарушений. На то есть разные причины: слишком большие затраты на выполнение требований, нарушение или разрушение реальных бизнес процессов при исполнении требований, исторические закономерности. И тут все зависит от того, что покажут аудитору или что он увидит или найдет. Опять-таки не стоит забывать о возможности применения компенсационных мер.
При подготовке к аудиту, безусловно, необходим человек компетентный в области аудита и стандартов, или тот, кто быстро может стать таковым (специалист смежной сферы). Так как аудиторам и представителям компании крайне желательно понимать друг друга, обладать высоким уровнем компетенций в сфере подлежащей аудиту. Когда проектом по прохождению аудита соответствия руководит не мотивированный и некомпетентный в вопросах проектного менеджмента и стандартов ИБ человек вероятность его успешного прохождения стремится к 0. Исключение могут составлять случаи, когда за все уплачено заранее. Но в таком случае, наверное, даже не стоит вести сам проект.
Поговорим более детально по перечисленным ранее пунктам.
1.    При разработке и редактировании документов используется очень простой принцип. Необходимо, что бы все процессы подлежащие документированию в рамках требований PCI DSS (предоставленный документ Вам в помощь, там четко указано в каких случаях это необходимо) были документированы. И все.
Из нюансов рекомендую обратить внимание, что это чревато тем, что большинство процессов так и останутся только на бумаге. Прописывая, тот или иной процесс в документах думайте, как он будет выполняться персоналом. Как это ни банально, но это действительно важно.
2.    Достаточно длинный перечень ежемесячных, ежеквартальных и прочих актов должен готовиться сотрудниками компании. Если прибавить к этому актуализацию реестров, планов, анализ и обработка результатов сканирования и обработку рисков, а так же документацию по реагированию на инциденты, то стопка за год, может быть толще качественной кирпичной кладки. Нужно понимать, что лучше готовить ее на протяжении года. Хотя часто ее делают непосредственно перед аудитом. Тут уже вопрос корректности процессов. В конце концов, все направлено на повышение уровня безопасности и логичнее все делать вовремя. Ведь все равно делать придется.
3.    Системы требуют постоянных обновлений, изменения настроек и параметров конфигураций. Для этого необходимо иметь в штате компетентных специалистов, отслеживать частоту и правильность установки обновлений. Соответствие паспортам конфигураций. Это периодическая и очень затратная по времени часть работ. Кстати, это можно автоматизировать. Я писал об этом, когда рассматривал вопрос «Построение процессов управления уязвимостями и соответствием» тут.
4.    Для проведения внутренних сканирований достаточно использовать любой более-менее качественный сетевой сканер с последними обновлениями. И разворачивать целый комплекс по управлению сетевыми уязвимостями в рамках соответствия PCI DSS совсем не обязательно.  А вот что обязательно – это обработка результатов сканирования. Все уязвимости, которые не  могут быть устранены должны быть проанализированы. И если уязвимость обнаружена не ошибочно, для нее должны быть разработаны и внедрены компенсационные меры.
Что же касается ежеквартального сканирования внешнего периметра (ASV) то достаточно просто купить лицензию на необходимое количество IP и проводить 4 раза в год сканирование самостоятельно. Естественно – это для тех случаев, когда у Вас нет уязвимостей в сканируемой инфраструктуре. А их не должно быть.
5.    В рамках подготовки к тесту на проникновение по приоритетности я бы выделил следующие особенности:
- Донесение до сотрудников компании, что можно, а чего делать нельзя.
- Контроль мест хранения карточных данных.
- Обновление систем.
Именно в этой последовательности, как правило, возникают проблемы в рамках теста на проникновение.
6.    Обучение сотрудников является неотъемлемой частью улучшения безопасности. Но вот если у вас не все процессы, прописанные на бумаге, работают в действительности, то это как раз возможность рассказать сотрудникам кому и как они должны отвечать на вопросы. Что бы в рамках интервьюирования сотрудников не выяснилось что далеко не все процессы, отраженные на бумаге используются в действительности.
Что касается планов реагирования, то если за текущий отчетный период они применялись нужно подготовить свидетельства. В противном случае – провести тестирование планов реагирования по результатам - составить акты.
7.    Так же обязательно контролировать доступ пользователей к системам. При этом если это выполняется сугубо для галочки, то так тому и быть. Но если Вы хотите наладить процессы и обеспечить реальный процесс разграничения доступа, то сначала нужно строить процесс, а потом проводить аудит. А не наоборот. Так как при неработающем процессе у Вас очень быстро все вернется на круги своя и усилия будут напрасны.
Особое внимание хотелось бы уделить планированию работ и контролю их выполнения. Думаю, что для каждого проекта актуален вопрос недостатка ресурсов. Аудит в этом плане, наверное, самый лучший пример. Так как ни для одного из привлеченных отделов  (может быть за исключением отдела безопасности) проект не является приоритетным. А поскольку основные проекты для задействованных подразделений ни кто не планирует останавливать, то отношения ждите соответствующего. А если Вы не заручились поддержкой руководства в этом вопросе… Но не будем о грустном.
Я являюсь сторонником ведения проектов по методологии PMBook, правда, позволяя себе сократить иногда количество отчетных бумажек. Данная методология позволяет корректно вести проекты и очень много вопросов, которые будут возникать у Вас в процессе ведения проекта уже предусмотрены заранее. Вот только если Вы с ней не знакомы, то потребуется время на ознакомление с ней и ее апробацию.
Но в процессинговой компании, где я сейчас работаю, она оказалась не эффективной. Слишком громоздкой для поддержания и требующей обучения и реальной практики задействованных подразделений. В свою очередь, жесткая конкуренция за ресурсы между проектами не позволяла выполнять планирование работ, а исполнители через несколько недель были на грани нервного срыва, не понимая, какая из задач приоритетнее и постоянно переключаясь между ними.
По этой причине пришлось искать иную форму взаимодействия. И она была найдена. Было принято решение согласовывать и ставить задачи руководителям отделов только на еженедельных совещаниях. И кроме указанного пула задач, иные задачи до следующего совещания не ставились вовсе ни под каким предлогом. За исключением задач, требующих немедленной реакции (реагирование на внештатные ситуации). Это позволило значительно нарастить производительность и обеспечило возможность качественного планирования и выполнения задач.
Какие бы ситуации не приходилось решать в рамках тех или иных проектов, это всегда немножко творчество. И еще опыт и крупицы знаний. Которые как раз можно почерпнуть в том числе, например из статей в профильной прессе. Я, например, почерпнул данную идею из методологии SCRUM, которая к информационной безопасности и аудитам не имеет никакого отношения. Но именно тут пришлась как нельзя кстати.
Что касается несоответствий, то я бы рекомендовал относиться к найденным несоответствиям спокойно, если это не базовые несоответствия в архитектуре системы, недостатке оборудования, ПО или критичных, для компании процессах, которые ни коим образом не могут быть изменены.  Во всех остальных случаях от аудитора можно получить разъяснение, а часто и совет как это исправить самым простым образом. Но тут не нужно забывать о человеческих качествах и отношениях между людьми. Хотя может случиться по-всякому…
Непосредственно перед проведением аудита обязательно необходимо собрать всех сотрудников, которые будут участвовать в интервьюировании и провести совещание где уточнить основные  моменты предстоящего аудита и особенно обратить внимание на нюансы. Например, что администратору запрещается покидать рабочее место, не заблокировав компьютер при посторонних. На каждом аудите находится администратор, который выбегает, куда-то оставив при этом аудитора один на один с открытыми соединениями к подлежащим аудиту критичным серверам. Данное замечание не критично, и использовано как пример, но таких мелочей может накопиться достаточно много. Кроме того, обязательно согласуйте с коллегами, какую информацию не стоит разглашать аудитору ни в коем случае – об этом выше. Так как, услышав хоть какое-то несоответствие, аудитор обязательно распутает клубок – можете не сомневаться.
Перед аудитом будьте готовы к тому, что как бы вы все не планировали, вы не успеете устранить все несоответствия и выполнить все задачи которые хотели к запланированным срокам. Так как в компании происходят непрерывные внесения изменений в системы, процессы, случаются авралы (обязательно в самый неподходящий момент), а сотрудникам кроме подготовки к аудиту нужно выполнять свои функциональные задачи. Рекомендую обязательно при планировании в зависимости от уровня зрелости процессов, загрузки сотрудников и своей сферы влияния закладывать от 10 до 35% дополнительного времени на риски.
Да вот еще, что касается решений, которые рекомендуют компании по результатам аудита. Нужно понимать что, как правило, компании, которые проводят аудит, имеют подразделения, которые занимаются внедрением определенных решений и систем. И можете не сомневаться, что не зависимо от их соответствия в полной мере вашим требованиям, рекомендовать к внедрению будут именно их. Просто имейте это виду. Ничего страшного в этом нет. Если подразделение компании обладает реально выполненными успешными проектами, а данное решение и цена за услуги вас устраивает – смело соглашайтесь. Просто имейте виду, что не стоит слепо полагаться на рекомендации и внедрять дорогостоящие системы, что бы пройти аудит и забыть о них до следующего года.
И еще. Не воспринимайте аудитора как врага. Воспринимайте его как союзника. Часто, результаты аудита могут показать руководству, что у вас действительно не хватает ресурсов, технологий или бюджета, и что это не вы сами придумали необходимость наличия бесполезных «игрушек» для ИТ или ИБ. Смело говорите об этом аудитору, пусть пишет в отчете. Но помните, такое можно говорить при предварительном аудите или экспертном аудите, но уж ни как не как несоответствие, на сертификационном. Так как в противном случае сертификата соответствия, вы можете и не увидеть. А руководство вместо дополнительных ресурсов и бюджета может наградить вас выговором или и вовсе уволить, за плохую работу подразделения.
В целом могу сказать, что подготовка компании к аудиту на предмет соответствия требованиям стандарта PCI DSS 2.0 (впрочем, как и любого иного) требует четкого планирования, упорства и выдержки. А так же умения балансировать между документированными требованиями стандарта и их внедрения таким образом, что бы они минимально влияли на работающие процессы в компании, при этом повышая их реальную безопасность.   
 
P.S. 
Более полная версия данной статьи будет опубликована в ноябрьском номере журнала "Inside".
Доклад по данной теме будет прочитан 5 октября в рамках конференции "Инфобезопасность 2011". Более детально с информацией по докладу, можно ознакомиться тут.

Комментариев нет: