«ДиалогНаука» успешно завершила комплекс работ по аудиту и сертификации на соответствие стандарту безопасности PCI DSS для «ХМБ Открытие»

17 февраля 2015

Компания «ДиалогНаука», системный интегратор в области информационной безопасности, завершила комплекс работ для «ХМБ Открытие» по аудиту и сертификации согласно требованиям международного стандарта безопасности платежных карт PCI DSS. Отчетные документы по результатам проведенного аудита приняты международными платежными системами Visa и MasterCard и подтверждены сертификатом о полном соответствии «ХМБ Открытие» требованиям стандарта PCI DSS 3.0.

Проект по аудиторскому обслуживанию и сертификации затронул все основные системы и процессы «ХМБ Открытие», обеспечивающие безопасность хранения, обработки и передачи данных платежных карт. В ходе работ были учтены новые, более строгие требования стандарта PCI DSS 3.0, а также ограничения, вызванные актуальными потребностями банка, связанными с необходимостью обеспечения непрерывности бизнеса.

Исполнителем проекта выступила компания «ДиалогНаука», имеющая аккредитацию Qualified Security Assessor (QSA), которая позволяет проводить сертификационный аудит на соответствие стандарту PCI DSS, а также аккредитацию Approved Scanning Vendor (ASV), позволяющую проводить ASV сканирования уязвимостей в соответствии с требованиями стандарта PCI DSS. Консультанты компании провели комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав сложной территориально-распределенной ИТ-инфраструктуры «ХМБ Открытие». Далее с привлечением специалистов заказчика были оптимизированы существующие процессы в соответствии с новыми требованиями стандарта PCI DSS.

Согласно заключенному договору исполнение проекта также включало внешнее и внутреннее тестирование на проникновение. Во время тестирования на проникновение работники «ДиалогНауки» выполняли моделирование действий потенциального нарушителя. Это позволило определить реальный уровень защищенности информационной системы при помощи общедоступных методов получения несанкционированного доступа, реализации активных или пассивных действий злоумышленника.

Тестирование на проникновение проводилось на основе внутренней методики «ДиалогНауки», которая основана на методиках и рекомендациях OWASP, ISSAFF, OSSTMM. Тест на проникновение в частности охватывал компоненты, поддерживающие взаимодействие на сетевом уровне, а также учитывал следующие уязвимости:

  • инъекции (в том числе SQL-инъекции);
  • переполнение буфера;
  • небезопасное криптографическое хранилище;
  • небезопасная передача данных;
  • некорректная обработка ошибок;
  • все уязвимости, имеющие «Высокую» степень риска, найденные в процессе обнаружения уязвимостей;
  • межсайтовый скриптинг (XSS);
  • ошибки в контроле доступа, такие как небезопасные прямые ссылки на объект, невозможность ограничения доступа по URL и обход директорий;
  • подделка межсайтовых запросов (CSRF).

В результате тестирований на проникновение заказчику были предоставлены соответствующие отчеты.

На завершающем этапе отдельная команда аудиторов «ДиалогНауки» провела сертификационный аудит информационных систем заказчика по стандарту PCI DSS 3.0. Были уточнены области оценки и границы проведения оценки, а также перечень объектов и информационных систем, подлежащих обследованию и оценке по PCI DSS.

Процедура оценки соответствия была выполнена на основании методики «ДиалогНауки», разработанной на основе документа «Template for Report on Compliance for use with PCI DSS v3.0». В частности оценка соответствия требованиям стандарта PCI DSS включала оценку на организационном уровне и технологическом уровне. При оценке на организационном уровне была выполнена проверка наличия и анализ имеющейся организационно-распорядительной документации, а также степень ее соответствия требованиям стандарта PCI DSS.

В ходе технологической оценки был выполнен анализ технических, программных и аппаратно-программных комплексов защиты информации, включающих физическую защиту помещений, программно-аппаратные средства защиты каналов передачи данных и сетевого уровня, программных средств защиты на прикладном уровне, защиты информации на серверах и рабочих станциях.

В результате проверки на соответствие заявленным требованиям безопасности «ХМБ Открытие» получило сертификат о соответствии требованиям международного стандарта PCI DSS 3.0. Работы по исполнению договора были проведены специалистами «ДиалогНауки» согласно графику и завершились в установленный срок.

Александр Крупчик, директор по развитию бизнеса и руководитель направления PCI DSS ЗАО «ДиалогНаука», поделился своим мнением о данном проекте: «Перед нами стояла задача успешного подтверждения сертификации «ХМБ Открытие» и наиболее эффективного перехода к новой версии стандарта PCI DSS. Для этого со стороны нашей компании были выделены две проектные команды. Первая команда выполняла работы по консалтинговой поддержке по внедрению новой версии стандарта, а также выполняла тестирование на проникновение. Вторая команда проводила сертификационный аудит. В результате совместной слаженной работы «ХМБ Открытие» оперативно выполнило работы по внедрению новой версии стандарта и успешно прошло сертификацию. Мы выдали Заказчику сертификат соответствия PCI DSS 3.0, а согласно договору передали в международные платежные системы, согласованные с заказчиком отчетные документы, которые были приняты Visa и MasterCard без замечаний».

541
;