SlideShare ist ein Scribd-Unternehmen logo
1 von 47
Downloaden Sie, um offline zu lesen
Архитектура Cisco для
PCI DSS 2.0
Алексей Лукацкий
Бизнес-консультант по безопасности




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   1
О чем пойдет речь

                                Введение в PCI



                                Изменения PCI DSS 2.0



                              Особенности PCI DSS 2.0



                                Решение Cisco для PCI DSS



© 2010 Cisco and/or its affiliates. All rights reserved.    Cisco Systems, Inc   247
Введение в PCI



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   3
Verizon 2010 PCI Compliance Report
• 27% атак происходит изнутри.
       Двукратный рост по сравнению с 2009
• 98% всех инцидентов зафиксировано
       на серверах
• 85% атак не считаются сложными

• 61% инцидентов были обнаружены
       третьей стороны (ритейлер был не в
       курсе)
• 86% жертв имели доказательства в их
       журналах регистрации
• 96% инцидентов можно было избежать
       с помощью простых защитных мер

© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   447
Продавцы продолжают рисковать
 • Слияния и поглощения
                                                                                                    • 81% хранят PAN
 • Рост числа точек присутствия
                                                                                                    • 73% хранят даты истечения
 • Беспроводные устройства в                                                                          срока карт
        сети                                                                                        • 71% хранят коды
                                                                                                      верификации
 • Аутсорсинг
                                                                                                    • 57% хранят данные
 • Мобильные устройства и                                                                             магнитных полос

        планшетники в магазинах и                                                                   • 16% хранят другие
        на складах                                                                                    персональные данные




 Источник: Forrester Consulting: The State of PCI Compliance (commissioned by RSA/EMC)


 © 2010 Cisco and/or its affiliates. All rights reserved.                                                                     Cisco Systems, Inc   547
C97_469267_c1                © 2008 Cisco Systems, Inc. All rights reserved.   Cisco Confidential                                                    5
PCI Data Security Standard
• Первая версия опубликована в
       январе 2005; текущая версия -
       2.0
• PCI DSS 2.0 станет обязательным
       с 1-го января 2012
• Влияет на ВСЕХ кто
              Обрабатывает
              Передает
              Хранит: данные владельцев карт
                                                           Payment Card Industry
• PCI – это не государственный                             Data Security Standard
       стандарт. Это соглашение между
       платежной системой и ее
       участниками

© 2010 Cisco and/or its affiliates. All rights reserved.                            Cisco Systems, Inc   647
PCI применим ко всем




                                                                PCI
                                                           Не только ритейл




© 2010 Cisco and/or its affiliates. All rights reserved.                      Cisco Systems, Inc   747
Стоимость инцидента
Цена на запись (одного клиента)


              250

                                                                  $197   $202   $204
              200                                          $182

              150                           $138

              100


                  50


                     0
                                             2005          2006   2007   2008   2009




© 2010 Cisco and/or its affiliates. All rights reserved.                               Cisco Systems, Inc   847
Совокупная стоимость несоответствия
                                                                                                   $5,838,781
                                                                                                    Разница
                       Цена соответствия                   $3,529,570




                       Цена несоответствия                                                                                 $9,368,351



                 $0                                                            $5,000,000                                       $10,000,000


        Таблица1: Средняя цена соответствия                                            Таблица 2: Средняя цена несоотвествия

                                      Задача                       Цена                              Тип инцидента               Цена
                                      Политики                     $297,910                         Нарушения торговли          $3,297,633

                                Взаимодействия                     $343,119                        Потери продуктивности        $2,437,795

                         Управление программой                     $441,859                           Потери доходов            $2,180,976

                                 Защита данных                    $1,034,148                             Штрафы                 $1,451,947

                       Мониторинг соответствия                     $636,542                               Всего                $9,368,351
                       Внедрение защитных мер                      $775,991

                                        Всего                    $3,529,570
                                                                                            Источник: The True Cost of Compliance, Ponemon, 2010


© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                Cisco Systems, Inc   947
12 требований PCI DSS
                                                           Требования PCI Data Security Standard
                   Построить и поддерживать                1. Внедрение и поддержка конфигурации МСЭ
                   сеть в защищенном                       2. Не использовать пароли и настройки по умолчанию
                   состоянии
                   Защитить данные                         3. Защита хранимых данных
                   владельцев карт                         4. Шифрование данных платежных карт и иной
                                                              информации при передаче по открытым сетям
                   Поддержка программы                     5. Использование и обновление антивирусов
                   управления уязвимостями                 6. Разработка и поддержка систем в защищенном
                                                              состоянии
                   Внедрение мер строгого                  7. Ограничение доступа к данным
                   контроля доступа                        8. Привязка уникального ID каждому пользователю
                                                           9. Ограничение физического доступа

                   Регулярный мониторинг и                 10.Контроль и мониторинг доступа к сетевым ресурсам и
                   тестирование сетей                         данным платежных карт
                                                           11. Регулярное тестирование систем и процессов ИБ

                   Поддержка политики ИБ                   12. Поддержка политики информационной безопасности


© 2010 Cisco and/or its affiliates. All rights reserved.                                                     Cisco Systems, Inc   1047
Изменения PCI 2.0



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   11
Изменения PCI 2.0
• 119 изменений в виде разъяснений

• 15 изменений в виде дополнительных
       указаний
• 2 изменения в виде новых требований



Ключевые изменения PCI DSS 2.0
• Виртуализация

• Обнаружение чужих Wi-Fi устройств




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   1247
Новые сроки соответствия
• PCI DSS 2.0 начинает трехлетний жизненный цикл на
       разработку и внедрение новых версий стандартов
• Новый стандарт действует с 1-го января 2011, но проверка на
       соответствие предыдущей версии стандарта (1.2.1) будет
       разрешена до 31 декабря 2011
• С 1-го января 2012 вся оценка соответствия проводится
       только на PCI DSS 2.0




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   1347
Как определить
       область действия?



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   14
Что такое область действия PCI DSS 2.0
• Требования PCI применимы ко всем ‗системным компонентам‘
• Системные компоненты определены как:

              Любой сетевой компонент, сервер или приложение, которое включено или
              подключается к окружению, обрабатывающему данные платежных карт.
              Виртуализированные компоненты, такие как виртуальные машины,
              виртуальные маршрутизаторы, виртуальные устройства, виртуальные
              приложения/рабочие места и гипервизоры.


• Окружение, обрабатывающее данные платежных карт, – это часть
       сети, которая хранит данные платежных карт или иную
       чувствительную информацию
• Адекватная сегментация сети, которая изолирует системы,
       хранящие, обрабатывающие или передающие данные платежных
       карт, может уменьшить область действия PCI DSS 2.0
        Source PCI DSS 2.0


© 2010 Cisco and/or its affiliates. All rights reserved.                     Cisco Systems, Inc   1547
Методология определения PCI Scope
Новое требование ежегодного подтверждения аккуратности и
точности определения области действия PCI DSS в вашем
окружении
• Полностью задокументированная методология определения

• Документирование мест расположения данных PCI

• Документация должна быть доступна оценщику/аудитору




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   1647
Сегментация
          Вся сеть в Scope                                                   Determine
                                                                               Scope
Branch                                                      Warehouse

                                                                             Can scope
                                                                           be reduced with
                                                                           segmentation?




                  Wide Area
                 Accelerated
                  Network

Data Center
        WAN
       Access



   CORE


  Server                                   Server
  Access                                   Access

  POS                                       inventory
Servers                                      Servers




Storage
                                                            Headquarters



 © 2010 Cisco and/or its affiliates. All rights reserved.                                    Cisco Systems, Inc   1747
Сегментация
          Вся сеть в Scope                                                                 Determine
                                                                                             Scope
Branch                                                      Warehouse

                                                                                           Can scope
                                                                                         be reduced with
                                                                                         segmentation?



                                                                             NOT
                                                                           IN PLACE
                  Wide Area
                 Accelerated
                  Network

Data Center
        WAN
       Access



   CORE


  Server                                   Server
  Access                                   Access

  POS                                       inventory
Servers                                      Servers
                                                                             Entire network
                                                                             is in scope for
                                                                            PCI DSS review




Storage
                                                            Headquarters



 © 2010 Cisco and/or its affiliates. All rights reserved.                                                  Cisco Systems, Inc   1847
Сегментация                                                                                                                 Только устройства,
                                                                                                                         пропускающие платежные
          Вся сеть в Scope                                                                 Determine
                                                                                             Scope                           данные, в Scope
Branch                                                      Warehouse                                                      Branch                                Warehouse

                                                                                           Can scope
                                                                                         be reduced with
                                                                                         segmentation?



                                                                             NOT           IN PLACE
                                                                           IN PLACE
                  Wide Area                                                                                                            Wide Area
                 Accelerated                                                                                                          Accelerated
                  Network                                                                                                              Network
                                                                                           Did assessor
Data Center                                                                           validate segmentation
                                                                                          effectiveness?                   Data Center
        WAN                                                                                                                       WAN
       Access                                                                  No                                                Access

                                                                                                    Yes
   CORE                                                                                  Assessor documents                   CORE
                                                                                           segmentation in
                                                                                          place and effective
  Server                                   Server                                                                            Server                 Server
  Access                                   Access                                                                            Access                 Access

  POS                                       inventory                                                                        POS                    inventory
Servers                                      Servers                                                                       Servers                   Servers
                                                                             Entire network          Scope limited for
                                                                             is in scope for         PCI DSS review
                                                                            PCI DSS review




Storage
                                                            Headquarters                                                   Storage                              Headquarters


 © 2010 Cisco and/or its affiliates. All rights reserved.                                                                                                Cisco Systems, Inc   1947
Сегментация                                                                                                                 Только устройства,
                                                                                                                         пропускающие платежные
          Вся сеть в Scope                                                                 Determine
                                                                                             Scope                           данные, в Scope
Branch                                                      Warehouse                                                      Branch                                Warehouse

                                                                                           Can scope
                                                                                         be reduced with
                                                                                         segmentation?



                                                                             NOT           IN PLACE
                                                                           IN PLACE
                  Wide Area                                                                                                            Wide Area
                 Accelerated                                                                                                          Accelerated
                  Network                                                                                                              Network
                                                                                           Did assessor
Data Center                                                                           validate segmentation
                                                                                          effectiveness?                   Data Center
        WAN                                                                                                                       WAN
       Access                                                                  No                                                Access

                                                                                                    Yes
   CORE                                                                                  Assessor documents                   CORE
                                                                                           segmentation in
                                                                                          place and effective
  Server                                   Server                                                                            Server                 Server
  Access                                   Access                                                                            Access                 Access

  POS                                       inventory                                                                        POS                    inventory
Servers                                      Servers                                                                       Servers                   Servers
                                                                             Entire network          Scope limited for
                                                                             is in scope for         PCI DSS review
                                                                            PCI DSS review



                                                                                          Audit
Storage                                                                                 Performed
                                                            Headquarters                                                   Storage                              Headquarters


 © 2010 Cisco and/or its affiliates. All rights reserved.                                                                                                Cisco Systems, Inc   2047
Виртуализация



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   21
Виртуализация добавлена в Scope
                              ‗Системные компоненты‘ также включают любые
                              Виртуализированные компоненты, такие как
                              виртуальные машины, виртуальные
                              маршрутизаторы, виртуальные устройства,
                              виртуальные приложения/рабочие места и
                              гипервизоры.

       • Требование 2.2.1 обновлено: В местах применения технологий
              виртуализации необходимо применять только одну основную
              функцию на виртуальный системный компонент.




© 2010 Cisco and/or its affiliates. All rights reserved.              Cisco Systems, Inc   2247
Стратегия виртуализации и PCI

    Указания                                               Аутентификация


    Все виртуальные компоненты в                           Задокументировать используемые
    scope                                                  протоколы и механизмы
    Все потоки данных и                                    Определить роли/привилегии
    взаимодействия между
    виртуальными компонентами                              Разделение полномочий и
    должны быть идентифицированы и                         минимум привилегий
    документированы                                        Разделение привилегий между
    Виртуализированное окружение                           гостевыми VM и гипервизором
    должно быть сегментировано
    Необходимо применять все 12
    требований PCI DSS



© 2010 Cisco and/or its affiliates. All rights reserved.                                Cisco Systems, Inc   2347
Виртуализация: точка присутствия
• Виртуальные LAN
                                                                               Access Point
            Wired: Cisco Catalyst                               VLANs                             VLANs
            2960/3560/3750 series Switches
            Wireless: Cisco Aironet 1040, 1200,
            3500 Series Access Points                                                    Switch

                                                             Sensitive Scope                  Out of Scope
• Виртуальные Firewall/IPS
            Cisco Integrated Service Routers
            (ISR) Generation 2: 800, 1900,                 UCS Express                          UCS Express
            2900, 3900 Series                              POS Server                           Print Server
                                                                                      Router
                                                                                      Integrated Firewall/IPS
• Виртуальные сервера
            Cisco Service Ready Engine with
            Unified Computing System (UCS)                         WAN, Data Center, and Centralized
                                                                     Management Wireless IPS
            Express image



© 2010 Cisco and/or its affiliates. All rights reserved.                                                        Cisco Systems, Inc   2447
Виртуализация: ЦОД
• Виртуальные LANs                                                            Data Center, Aggregation Layer

            Nexus 1000v virtual Switch
                                                                                         WAN
            Nexus 5000 & 7000 Switches                                                 and CORE
                                                               VLAN Routing
            MDS 9000 Storage Switch

• Виртуальный МСЭ                                              Segmentation
                                                                                                     Nexus
                                                                                                     Switches
            Virtual Secure Gateway (VSG)                                      VDC1


            ASA 5585 Firewall

• Виртуальные сервера                                                         VDC2

                                                                                                                       Adaptive
            Unified Compute System (UCS)                                                                                Security
                                                                                                                       Appliance

            VCE VBLOCK-1 Architecture




                                                           Access Layer




© 2010 Cisco and/or its affiliates. All rights reserved.                                                        Cisco Systems, Inc   2547
Детальные руководства




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   2647
Обнаружение чужих
       беспроводных
       устройств



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   27
Обнаружение чужих Wi-Fi устройств
• 11.1: Обнаружение беспроводных точек доступа обновлено
       за счет новых методов:
            • Сканирование беспроводных сетей
            • Физическая/логическая инспекция
            • NAC
            • Wireless IDS и IPS

• 11.1b: Проверка методов
       тестирования для аккуратного
       обнаружения:
            • WLAN cards
            • Portable wireless devices (USB, etc.)
            • Attached wireless devices and
              access points



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   2847
Новые указания




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   29
Как учитывать новые технологии?
• Special Interest Groups (SIGs)

• Technical Working Group (TWG)

• Отдельные вендоры выпускают собственные указания или
       требования
• Обратная связь от участников PCI Council
            Cisco – участник PCI Council




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   3047
Point-to-Point Encryption Guidance
                                                           • Указания по шифрованию между
                                                            терминалами, а не «site to site»
                                                            (S2S)
                                                           • Выводы
                                                             Методы проверки реализации указаний
                                                             еще незрелы
                                                             Могут облегчить внедрение PCI
                                                             Могут уменьшить scope
                                                             Требуется независимое тестирование
                                                             P2PE

                                                           • Указания по проверке
                                                            реализации должны быть
                                                            выпущены в 2011


© 2010 Cisco and/or its affiliates. All rights reserved.                                 Cisco Systems, Inc   3147
Защита телефонии в PCI
• Новые указания по использование
       телефонных технологий в рамках
       PCI
• Cisco IP Phones с внутренним
       коммутатором, подключенные к
       терминалам (Point of Service
       Terminals)
• Центры обработки вызовов




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   3247
Все вместе – как Cisco
       помогает
       соответствовать
       PCI DSS 2.0



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   33
PCI DSS




34   © 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   3447
Целостное решение
                                           PCI DSS 2.0 Solution Framework
                                                            •   Точки продаж: сервера и приложения
                 Конечные                                   •   Голос: Телефоны и ЦОВ
                устройства                                  •   Email: Data Loss Prevention
                                                                                                                    Сервисы
                                                            •   Physical: Surveillance и Badge Access


                                                                                                                    •   Assess
                                                            • Аутентификация         • Шифрование                   •   Design
              Управление                                    • Управление             • Мониторинг                   •   Implement
                                                                                                                    •   Audit


                                                           Store    Data Center   Contact Center    Internet Edge

 Инфраструктура                                             • Сеть: Routers, Switches и Wireless
                                                            • ИБ: Firewalls и Intrusion Detection




© 2010 Cisco and/or its affiliates. All rights reserved.                                                                   Cisco Systems, Inc   3547
Продуктовые линейки Cisco
   Routing                                                 Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR)


   Switching                                               Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000
                                                           Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage
                                                           Media Encryption Module

   Network Security                                        Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network
                                                           Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM),
                                                           Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System
                                                           Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS,
                                                           Cisco Secure Access Control Server (ACS)
   Wireless                                                Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with
                                                           enhanced local mode (ELM), Cisco Adaptive Wireless IPS

   Physical Security                                       Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco
                                                           Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical
                                                           Access Gateways
   Compute Systems and                                     Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express
   Storage

   Management                                              Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management
                                                           Solution (LMS)

   Voice                                                   Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones

   WAN Optimization                                        Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)


© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                            Cisco Systems, Inc   3647
Пример: системы видеонаблюдения
• Cisco может «закрыть» 9-е
       требование PCI DSS по
       физической безопасности
• Video Surveillance
            Cisco Video Surveillance IP Cameras
            Cisco Video Surveillance Media Server
            (VSMM)
            Cisco Video Surveillance Operations
            Manager (VSOM)

• Physical Access Control
            Cisco Physical Access Manager
            Cisco Physical Access Gateway
            Badge readers
            Door and cabinet access controls
            Contact alarms


© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   3747
Не продуктом единым
Campus or HQ                                                                Data Center
                                                                        AGGREGATION                                        INTERNET EDGE

                                                                                                                                                    INTERNET
                                                                                      WAN
                                                                                Aggregation
                                                                                             Core
                                                                                                               Adaptive         Web App FW
                                                                                                               Security
                                                                                   Service                     Appliance
                                                                                                                                      DMZ
                                                                                Aggregation
POS              POS                  PC             Mobile
Servers          Register                            POS         Service                                                      Web Servers    VPN
                                                                 Provider


Store                                                                       SERVER ACCESS                                        STORAGE
                                                                                                                                                       External
                              Integrated
                                                                                   Access                                   MDS 9000                   Locations
                                                                                                                            SAN Switches
       Catalyst               Services Router
                                                                            Authentication             POS
        Switch
                                                                                                     Servers
                                                   LWAPP
                                                                                Network             Business
                                                                             Management              Servers                       Disk
                                                                                                                                   Arrays
                                                                                 Security
                                                                                                    Database
                                                                             Management

                                                                                                    Network                        Tape
POS              POS                  PC             Mobile                    Monitoring           Services                       Storage   Remote
Servers          Register                            POS and                                                                                 Workers              Partners
                                                     Inventory




 © 2010 Cisco and/or its affiliates. All rights reserved.                                                                                    Cisco Systems, Inc    3847
Конкретные рекомендации
 Требование 1
Campus or HQ                                                                 Data Center
                                                                         AGGREGATION                                          INTERNET EDGE
Security
Management:                                                                                                                                            INTERNET
Key Manager
Client
                                                                                        WAN
                                                                                  Aggregation
                                                                                                Core
                                                                                                                  Adaptive         Web App FW
                                                                                                                  Security
                                                                                     Service                      Appliance
                                                                                                                                         DMZ
                                    Payment           Mobile
                                                                                  Aggregation
POS               POS
                                    Devices           POS/
Servers           Register                                        Service                                                        Web Servers    VPN
                                                      Inventory
                                                                  Provider


Store                                                                        SERVER ACCESS                                          STORAGE
                                                                                                                                                          External
                               Integrated
                                                                                     Access                                    MDS 9000                   Locations
Security                                                                                                                       SAN Switches
                               Services Router
Management:                                                                  Authentication               POS
Key Manager                                                                                             Servers
Client                                              LWAPP
                                                                                  Network
                                                                              Management:              Business
                                                                             CiscoWorks LMS             Servers                       Disk
                                                                                                                                      Arrays
                                                                                  Security
                                                                              Management:              Database
                                                                               Cisco Security
                                                                                    Manager

                                                                                Monitoring:            Network                        Tape
File Security     POS                Payment                                                                                                    Remote
                                                      Mobile                           SIEM            Services                       Storage
Adapter +
                  Register           Devices          POS and                                                                                   Workers              Partners
                                                      Inventory




  © 2010 Cisco and/or its affiliates. All rights reserved.                                                                                      Cisco Systems, Inc    3947
Cisco PCI Solution for Retail 2.0
Соответствует требованиям
• Позволяет выполнять
       указания PCI DSS 2.0 в
       специфичных
       технологических областях
• Обеспечивает руководство
       для выполнения требований
       PCI и защиты данных
       платежных карт




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   4047
Cisco PCI Solution for Retail 2.0
Детальные руководства
• Рекомендованные архитектуры для сетей,                   Validated Design
       хранящих, обрабатывающих и                          Small Retail Store


       передающих данные платежных карт
• Протестированы в реальном окружении с
       POS, серверами приложений,
       беспроводными устройствами,
       соединением с Интернет, ЦОВ и
       системами безопасности
• Руководства оценены PCI QSA (Verizon)

• Включают расширенные рекомендации по
       реализации требований PCI в
       виртуализированном и 3G окружении


© 2010 Cisco and/or its affiliates. All rights reserved.                        Cisco Systems, Inc   4147
Резюме
• Непрекращающаяся поддержка
       соответствия – сложная задача
            Cisco может помочь решить ее

• У Cisco есть все необходимые
       технологии и сервисы для реализации
       многих «инфраструктурных»
       требований PCI DSS 2.0
• В среднем, стоимость несоответствия в
       2.65 раз выше стоимости обеспечения
       соответствия
            Cisco может помочь в создании бизнес-кейса




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   4247
В качестве
       заключения



© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   43
Построение бизнес-кейса
Интерактивный Business Benefits Calculator




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Systems, Inc   4447
Дополнительная информация
• Cisco PCI Resources
              www.cisco.com/go/pci
              www.cisco.com/go/retail
              www.cisco.com/go/healthcare

• PCI Design and Implementation Guide—Retail
            http://www.cisco.com/en/US/docs/solutions/Verticals/PCI_Retail/




© 2010 Cisco and/or its affiliates. All rights reserved.                  Cisco Systems, Inc   4547
Где проваливаются аудиты?
         Требование PCI                                                                                            Процент провалов

         Requirement 3                                     Protect Stored Data                                           79%

         Requirement 11                                    Regularly Test Security Systems and Processes                 74%
                                                           Assign a Unique ID to Each Person with
         Requirement 8                                                                                                   71%
                                                           Computer Access
                                                           Track and Monitor All Access to Network Resources
         Requirement 10                                                                                                  71%
                                                           and Cardholder Data
                                                           Install and Maintain a Firewall Configuration to
         Requirement 1                                                                                                   66%
                                                           Protect Data
                                                           Do Not Use Vendor-Supplied Defaults for System
         Requirement 2                                                                                                   62%
                                                           Passwords and Other Security Parameters
         Requirement 12                                    Maintain a Policy that Addresses Information Security         60%

         Requirement 9                                     Restrict Physical Access to Cardholder Data                   59%
                           Develop and Maintain Secure Systems
         Requirement 6                                                                     56%
                           and Applications
                           Encrypt Transmission of Cardholder Data and
      Requirement 4                                                                        45%
                           Sensitive Information Across Public Networks
     Источник: VeriSign, ―Lessons Learned: Top Reasons for PCI Audit Failure and How to Avoid Them‖
© 2010 Cisco and/or its affiliates. All rights reserved.                                                                    Cisco Systems, Inc   4647
Спасибо
за внимание!

Weitere ähnliche Inhalte

Ähnlich wie Архитектура Cisco для PCI DSS 2.0

Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...Michael Kozloff
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security StrategyAleksey Lukatskiy
 
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...Michael Kozloff
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещейAleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)Aleksey Lukatskiy
 
Модель ROI в информационной безопасности
Модель ROI в информационной безопасностиМодель ROI в информационной безопасности
Модель ROI в информационной безопасностиareconster
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденцииНа что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденцииCisco Russia
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Позаботьтесь об информационной безопасности
Позаботьтесь об информационной безопасностиПозаботьтесь об информационной безопасности
Позаботьтесь об информационной безопасностиCisco Russia
 
Сколько стоит специалист Cisco? (2012 г.)
Сколько стоит специалист Cisco? (2012 г.)Сколько стоит специалист Cisco? (2012 г.)
Сколько стоит специалист Cisco? (2012 г.)Dmitry Izmestiev
 
Эволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахЭволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахMichael Kozloff
 
Сколько стоит специалист Cisco?
 Сколько стоит специалист Cisco?  Сколько стоит специалист Cisco?
Сколько стоит специалист Cisco? Cisco Russia
 
Byod for ya c
Byod for ya cByod for ya c
Byod for ya cExpolink
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияAleksey Lukatskiy
 
Защищенная сетевая архитектура для энергетики
Защищенная сетевая архитектура для энергетикиЗащищенная сетевая архитектура для энергетики
Защищенная сетевая архитектура для энергетикиCisco Russia
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 

Ähnlich wie Архитектура Cisco для PCI DSS 2.0 (20)

Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...Методы расчета ROI для решений по информационной безопасности компании "Код Б...
Методы расчета ROI для решений по информационной безопасности компании "Код Б...
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
 
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
 
Information classification
Information classificationInformation classification
Information classification
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Модель ROI в информационной безопасности
Модель ROI в информационной безопасностиМодель ROI в информационной безопасности
Модель ROI в информационной безопасности
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденцииНа что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Позаботьтесь об информационной безопасности
Позаботьтесь об информационной безопасностиПозаботьтесь об информационной безопасности
Позаботьтесь об информационной безопасности
 
Сколько стоит специалист Cisco? (2012 г.)
Сколько стоит специалист Cisco? (2012 г.)Сколько стоит специалист Cisco? (2012 г.)
Сколько стоит специалист Cisco? (2012 г.)
 
Эволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средахЭволюция информационной безопасности в виртуализированных и облачных средах
Эволюция информационной безопасности в виртуализированных и облачных средах
 
Сколько стоит специалист Cisco?
 Сколько стоит специалист Cisco?  Сколько стоит специалист Cisco?
Сколько стоит специалист Cisco?
 
Byod for ya c
Byod for ya cByod for ya c
Byod for ya c
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
 
Защищенная сетевая архитектура для энергетики
Защищенная сетевая архитектура для энергетикиЗащищенная сетевая архитектура для энергетики
Защищенная сетевая архитектура для энергетики
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Cisco SecureX in Russia
Cisco SecureX in RussiaCisco SecureX in Russia
Cisco SecureX in Russia
 

Mehr von Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

Mehr von Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Архитектура Cisco для PCI DSS 2.0

  • 1. Архитектура Cisco для PCI DSS 2.0 Алексей Лукацкий Бизнес-консультант по безопасности © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1
  • 2. О чем пойдет речь Введение в PCI Изменения PCI DSS 2.0 Особенности PCI DSS 2.0 Решение Cisco для PCI DSS © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 247
  • 3. Введение в PCI © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3
  • 4. Verizon 2010 PCI Compliance Report • 27% атак происходит изнутри. Двукратный рост по сравнению с 2009 • 98% всех инцидентов зафиксировано на серверах • 85% атак не считаются сложными • 61% инцидентов были обнаружены третьей стороны (ритейлер был не в курсе) • 86% жертв имели доказательства в их журналах регистрации • 96% инцидентов можно было избежать с помощью простых защитных мер © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 447
  • 5. Продавцы продолжают рисковать • Слияния и поглощения • 81% хранят PAN • Рост числа точек присутствия • 73% хранят даты истечения • Беспроводные устройства в срока карт сети • 71% хранят коды верификации • Аутсорсинг • 57% хранят данные • Мобильные устройства и магнитных полос планшетники в магазинах и • 16% хранят другие на складах персональные данные Источник: Forrester Consulting: The State of PCI Compliance (commissioned by RSA/EMC) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 547 C97_469267_c1 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
  • 6. PCI Data Security Standard • Первая версия опубликована в январе 2005; текущая версия - 2.0 • PCI DSS 2.0 станет обязательным с 1-го января 2012 • Влияет на ВСЕХ кто Обрабатывает Передает Хранит: данные владельцев карт Payment Card Industry • PCI – это не государственный Data Security Standard стандарт. Это соглашение между платежной системой и ее участниками © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 647
  • 7. PCI применим ко всем PCI Не только ритейл © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 747
  • 8. Стоимость инцидента Цена на запись (одного клиента) 250 $197 $202 $204 200 $182 150 $138 100 50 0 2005 2006 2007 2008 2009 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 847
  • 9. Совокупная стоимость несоответствия $5,838,781 Разница Цена соответствия $3,529,570 Цена несоответствия $9,368,351 $0 $5,000,000 $10,000,000 Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоотвествия Задача Цена Тип инцидента Цена Политики $297,910 Нарушения торговли $3,297,633 Взаимодействия $343,119 Потери продуктивности $2,437,795 Управление программой $441,859 Потери доходов $2,180,976 Защита данных $1,034,148 Штрафы $1,451,947 Мониторинг соответствия $636,542 Всего $9,368,351 Внедрение защитных мер $775,991 Всего $3,529,570 Источник: The True Cost of Compliance, Ponemon, 2010 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 947
  • 10. 12 требований PCI DSS Требования PCI Data Security Standard Построить и поддерживать 1. Внедрение и поддержка конфигурации МСЭ сеть в защищенном 2. Не использовать пароли и настройки по умолчанию состоянии Защитить данные 3. Защита хранимых данных владельцев карт 4. Шифрование данных платежных карт и иной информации при передаче по открытым сетям Поддержка программы 5. Использование и обновление антивирусов управления уязвимостями 6. Разработка и поддержка систем в защищенном состоянии Внедрение мер строгого 7. Ограничение доступа к данным контроля доступа 8. Привязка уникального ID каждому пользователю 9. Ограничение физического доступа Регулярный мониторинг и 10.Контроль и мониторинг доступа к сетевым ресурсам и тестирование сетей данным платежных карт 11. Регулярное тестирование систем и процессов ИБ Поддержка политики ИБ 12. Поддержка политики информационной безопасности © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1047
  • 11. Изменения PCI 2.0 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 11
  • 12. Изменения PCI 2.0 • 119 изменений в виде разъяснений • 15 изменений в виде дополнительных указаний • 2 изменения в виде новых требований Ключевые изменения PCI DSS 2.0 • Виртуализация • Обнаружение чужих Wi-Fi устройств © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1247
  • 13. Новые сроки соответствия • PCI DSS 2.0 начинает трехлетний жизненный цикл на разработку и внедрение новых версий стандартов • Новый стандарт действует с 1-го января 2011, но проверка на соответствие предыдущей версии стандарта (1.2.1) будет разрешена до 31 декабря 2011 • С 1-го января 2012 вся оценка соответствия проводится только на PCI DSS 2.0 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1347
  • 14. Как определить область действия? © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 14
  • 15. Что такое область действия PCI DSS 2.0 • Требования PCI применимы ко всем ‗системным компонентам‘ • Системные компоненты определены как: Любой сетевой компонент, сервер или приложение, которое включено или подключается к окружению, обрабатывающему данные платежных карт. Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры. • Окружение, обрабатывающее данные платежных карт, – это часть сети, которая хранит данные платежных карт или иную чувствительную информацию • Адекватная сегментация сети, которая изолирует системы, хранящие, обрабатывающие или передающие данные платежных карт, может уменьшить область действия PCI DSS 2.0 Source PCI DSS 2.0 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1547
  • 16. Методология определения PCI Scope Новое требование ежегодного подтверждения аккуратности и точности определения области действия PCI DSS в вашем окружении • Полностью задокументированная методология определения • Документирование мест расположения данных PCI • Документация должна быть доступна оценщику/аудитору © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1647
  • 17. Сегментация Вся сеть в Scope Determine Scope Branch Warehouse Can scope be reduced with segmentation? Wide Area Accelerated Network Data Center WAN Access CORE Server Server Access Access POS inventory Servers Servers Storage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1747
  • 18. Сегментация Вся сеть в Scope Determine Scope Branch Warehouse Can scope be reduced with segmentation? NOT IN PLACE Wide Area Accelerated Network Data Center WAN Access CORE Server Server Access Access POS inventory Servers Servers Entire network is in scope for PCI DSS review Storage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1847
  • 19. Сегментация Только устройства, пропускающие платежные Вся сеть в Scope Determine Scope данные, в Scope Branch Warehouse Branch Warehouse Can scope be reduced with segmentation? NOT IN PLACE IN PLACE Wide Area Wide Area Accelerated Accelerated Network Network Did assessor Data Center validate segmentation effectiveness? Data Center WAN WAN Access No Access Yes CORE Assessor documents CORE segmentation in place and effective Server Server Server Server Access Access Access Access POS inventory POS inventory Servers Servers Servers Servers Entire network Scope limited for is in scope for PCI DSS review PCI DSS review Storage Headquarters Storage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 1947
  • 20. Сегментация Только устройства, пропускающие платежные Вся сеть в Scope Determine Scope данные, в Scope Branch Warehouse Branch Warehouse Can scope be reduced with segmentation? NOT IN PLACE IN PLACE Wide Area Wide Area Accelerated Accelerated Network Network Did assessor Data Center validate segmentation effectiveness? Data Center WAN WAN Access No Access Yes CORE Assessor documents CORE segmentation in place and effective Server Server Server Server Access Access Access Access POS inventory POS inventory Servers Servers Servers Servers Entire network Scope limited for is in scope for PCI DSS review PCI DSS review Audit Storage Performed Headquarters Storage Headquarters © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2047
  • 21. Виртуализация © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 21
  • 22. Виртуализация добавлена в Scope ‗Системные компоненты‘ также включают любые Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры. • Требование 2.2.1 обновлено: В местах применения технологий виртуализации необходимо применять только одну основную функцию на виртуальный системный компонент. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2247
  • 23. Стратегия виртуализации и PCI Указания Аутентификация Все виртуальные компоненты в Задокументировать используемые scope протоколы и механизмы Все потоки данных и Определить роли/привилегии взаимодействия между виртуальными компонентами Разделение полномочий и должны быть идентифицированы и минимум привилегий документированы Разделение привилегий между Виртуализированное окружение гостевыми VM и гипервизором должно быть сегментировано Необходимо применять все 12 требований PCI DSS © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2347
  • 24. Виртуализация: точка присутствия • Виртуальные LAN Access Point Wired: Cisco Catalyst VLANs VLANs 2960/3560/3750 series Switches Wireless: Cisco Aironet 1040, 1200, 3500 Series Access Points Switch Sensitive Scope Out of Scope • Виртуальные Firewall/IPS Cisco Integrated Service Routers (ISR) Generation 2: 800, 1900, UCS Express UCS Express 2900, 3900 Series POS Server Print Server Router Integrated Firewall/IPS • Виртуальные сервера Cisco Service Ready Engine with Unified Computing System (UCS) WAN, Data Center, and Centralized Management Wireless IPS Express image © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2447
  • 25. Виртуализация: ЦОД • Виртуальные LANs Data Center, Aggregation Layer Nexus 1000v virtual Switch WAN Nexus 5000 & 7000 Switches and CORE VLAN Routing MDS 9000 Storage Switch • Виртуальный МСЭ Segmentation Nexus Switches Virtual Secure Gateway (VSG) VDC1 ASA 5585 Firewall • Виртуальные сервера VDC2 Adaptive Unified Compute System (UCS) Security Appliance VCE VBLOCK-1 Architecture Access Layer © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2547
  • 26. Детальные руководства © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2647
  • 27. Обнаружение чужих беспроводных устройств © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 27
  • 28. Обнаружение чужих Wi-Fi устройств • 11.1: Обнаружение беспроводных точек доступа обновлено за счет новых методов: • Сканирование беспроводных сетей • Физическая/логическая инспекция • NAC • Wireless IDS и IPS • 11.1b: Проверка методов тестирования для аккуратного обнаружения: • WLAN cards • Portable wireless devices (USB, etc.) • Attached wireless devices and access points © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2847
  • 29. Новые указания © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 29
  • 30. Как учитывать новые технологии? • Special Interest Groups (SIGs) • Technical Working Group (TWG) • Отдельные вендоры выпускают собственные указания или требования • Обратная связь от участников PCI Council Cisco – участник PCI Council © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3047
  • 31. Point-to-Point Encryption Guidance • Указания по шифрованию между терминалами, а не «site to site» (S2S) • Выводы Методы проверки реализации указаний еще незрелы Могут облегчить внедрение PCI Могут уменьшить scope Требуется независимое тестирование P2PE • Указания по проверке реализации должны быть выпущены в 2011 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3147
  • 32. Защита телефонии в PCI • Новые указания по использование телефонных технологий в рамках PCI • Cisco IP Phones с внутренним коммутатором, подключенные к терминалам (Point of Service Terminals) • Центры обработки вызовов © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3247
  • 33. Все вместе – как Cisco помогает соответствовать PCI DSS 2.0 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 33
  • 34. PCI DSS 34 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3447
  • 35. Целостное решение PCI DSS 2.0 Solution Framework • Точки продаж: сервера и приложения Конечные • Голос: Телефоны и ЦОВ устройства • Email: Data Loss Prevention Сервисы • Physical: Surveillance и Badge Access • Assess • Аутентификация • Шифрование • Design Управление • Управление • Мониторинг • Implement • Audit Store Data Center Contact Center Internet Edge Инфраструктура • Сеть: Routers, Switches и Wireless • ИБ: Firewalls и Intrusion Detection © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3547
  • 36. Продуктовые линейки Cisco Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR) Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000 Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage Media Encryption Module Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM), Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS, Cisco Secure Access Control Server (ACS) Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with enhanced local mode (ELM), Cisco Adaptive Wireless IPS Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical Access Gateways Compute Systems and Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express Storage Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management Solution (LMS) Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3647
  • 37. Пример: системы видеонаблюдения • Cisco может «закрыть» 9-е требование PCI DSS по физической безопасности • Video Surveillance Cisco Video Surveillance IP Cameras Cisco Video Surveillance Media Server (VSMM) Cisco Video Surveillance Operations Manager (VSOM) • Physical Access Control Cisco Physical Access Manager Cisco Physical Access Gateway Badge readers Door and cabinet access controls Contact alarms © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3747
  • 38. Не продуктом единым Campus or HQ Data Center AGGREGATION INTERNET EDGE INTERNET WAN Aggregation Core Adaptive Web App FW Security Service Appliance DMZ Aggregation POS POS PC Mobile Servers Register POS Service Web Servers VPN Provider Store SERVER ACCESS STORAGE External Integrated Access MDS 9000 Locations SAN Switches Catalyst Services Router Authentication POS Switch Servers LWAPP Network Business Management Servers Disk Arrays Security Database Management Network Tape POS POS PC Mobile Monitoring Services Storage Remote Servers Register POS and Workers Partners Inventory © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3847
  • 39. Конкретные рекомендации Требование 1 Campus or HQ Data Center AGGREGATION INTERNET EDGE Security Management: INTERNET Key Manager Client WAN Aggregation Core Adaptive Web App FW Security Service Appliance DMZ Payment Mobile Aggregation POS POS Devices POS/ Servers Register Service Web Servers VPN Inventory Provider Store SERVER ACCESS STORAGE External Integrated Access MDS 9000 Locations Security SAN Switches Services Router Management: Authentication POS Key Manager Servers Client LWAPP Network Management: Business CiscoWorks LMS Servers Disk Arrays Security Management: Database Cisco Security Manager Monitoring: Network Tape File Security POS Payment Remote Mobile SIEM Services Storage Adapter + Register Devices POS and Workers Partners Inventory © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 3947
  • 40. Cisco PCI Solution for Retail 2.0 Соответствует требованиям • Позволяет выполнять указания PCI DSS 2.0 в специфичных технологических областях • Обеспечивает руководство для выполнения требований PCI и защиты данных платежных карт © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4047
  • 41. Cisco PCI Solution for Retail 2.0 Детальные руководства • Рекомендованные архитектуры для сетей, Validated Design хранящих, обрабатывающих и Small Retail Store передающих данные платежных карт • Протестированы в реальном окружении с POS, серверами приложений, беспроводными устройствами, соединением с Интернет, ЦОВ и системами безопасности • Руководства оценены PCI QSA (Verizon) • Включают расширенные рекомендации по реализации требований PCI в виртуализированном и 3G окружении © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4147
  • 42. Резюме • Непрекращающаяся поддержка соответствия – сложная задача Cisco может помочь решить ее • У Cisco есть все необходимые технологии и сервисы для реализации многих «инфраструктурных» требований PCI DSS 2.0 • В среднем, стоимость несоответствия в 2.65 раз выше стоимости обеспечения соответствия Cisco может помочь в создании бизнес-кейса © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4247
  • 43. В качестве заключения © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 43
  • 44. Построение бизнес-кейса Интерактивный Business Benefits Calculator © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4447
  • 45. Дополнительная информация • Cisco PCI Resources www.cisco.com/go/pci www.cisco.com/go/retail www.cisco.com/go/healthcare • PCI Design and Implementation Guide—Retail http://www.cisco.com/en/US/docs/solutions/Verticals/PCI_Retail/ © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4547
  • 46. Где проваливаются аудиты? Требование PCI Процент провалов Requirement 3 Protect Stored Data 79% Requirement 11 Regularly Test Security Systems and Processes 74% Assign a Unique ID to Each Person with Requirement 8 71% Computer Access Track and Monitor All Access to Network Resources Requirement 10 71% and Cardholder Data Install and Maintain a Firewall Configuration to Requirement 1 66% Protect Data Do Not Use Vendor-Supplied Defaults for System Requirement 2 62% Passwords and Other Security Parameters Requirement 12 Maintain a Policy that Addresses Information Security 60% Requirement 9 Restrict Physical Access to Cardholder Data 59% Develop and Maintain Secure Systems Requirement 6 56% and Applications Encrypt Transmission of Cardholder Data and Requirement 4 45% Sensitive Information Across Public Networks Источник: VeriSign, ―Lessons Learned: Top Reasons for PCI Audit Failure and How to Avoid Them‖ © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4647