1. Конференция «Разработка ПО 2011»
CEE-SECR 2011.
Центр Digital October, Москва, 31 октября – 3 ноября.
Безопасность и сертификация
банковского ПО: две стороны
одной медали
Алексей Бабенко
старший аудитор, PA-QSA, PCI QSA
3. Актуальность проблемы:
что интересует злоумышленника?
2 % 2%
3%
8%
Данные платежных карт
Служебная информация
Коммерческая тайна
Данные аутентификации
85% Персональные данные
По данным Global Security Report 2011, Trustwave
4. Актуальность проблемы:
нас это не касается?
Вырезка из Global Security Report 2011, Trustwave
13. Особенности банковских систем
Тип ПО: Клиент. Корп.
Практически неограниченный доступ к
системе из сети Интернет
Работа с платежной информацией
Большое и динамично меняющееся
количество пользователей
Ориентировка на любой уровень ИБ-
грамотности пользователя
Собственные разработки без учета
практик безопасного программирования
ТОП менеджеры, на которых не
распространяются политики безопасности
14. Риски банков
при компрометации ПО
• Прямые финансовые потери;
• Уменьшение клиентской базы,
снижение уровня доверия
клиентов;
• Отказ клиентов от
использования сервисов;
• Нарушение требований и
штрафы от регуляторов;
• Ухудшение имиджа банка.
16. Основные процессы обеспечения
безопасности ПО
• Процесс безопасного
программирования,
тестирования и анализа кода;
• Проверки с использованием
автоматизированных
средств, «ручные» проверки;
• Процесс обеспечения ИБ для
окружения приложений,
разработка необходимых
инструкций
17. Аудит безопасности ПО
Анализ уровня Формирование Устранение Контроль
безопасности плана несоответствий исправления
системы найденных
уязвимостей
— техническая документация, схемы сети
— исходные коды
— конфигурации системных компонентов
— тестовый доступ
19. PA-DSS: краткая информация
• Основная цель – поддержка реализации PCI DSS
• Дата рождения: апрель 2008
• Разработчик – PCI Security Standards Council
• Ориентирован на разработчиков платежных
приложений
• Форма подтверждения соответствия –
сертификация
• Требование к сертифицирующей компании – статус
PA-QSA
• Актуальная версия – 2.0
20. PA-DSS: что сертифицировать?
• ПО подлежит сертификации, если:
– Обрабатывает номера карт (PAN) в рамках
авторизации/расчетов;
– Разрабатывается на продажу, не является разовой заказной
разработкой.
• Основные виды сертифицируемого ПО:
– ПО процессинга (front-office, back-office (расчеты),
middleware/switching);
– ПО для банкоматов;
– ПО для POS-терминалов;
– ПО для поддержки электронной коммерции;
– ПО мобильной коммерции.
21. PA-DSS: требования стандарта
Сертифицируемое приложение Компания-разработчик
Исключение хранения Формализация процесса
критичных данных карт (TRACK, разработки с учетом вопросов
CVC2/CVV2, PIN/PIN-BLOCK); ИБ;
Безопасное хранение и Практики безопасного
передача номеров платежных программирования;
карт; Тестирование приложения;
Контроль доступа и Анализ кода;
протоколирование событий;
Мониторинг уязвимостей
платформ и тестирование
совместимости с патчами;
Возможность встраивания в PCI Руководство по выполнению
DSS Compliant инфраструктуру. требований стандарта PA-DSS.
22. PA-DSS: истории успеха
• Три программных обеспечения, сертифицированных
ЗАО НИП «Информзащита», получили статус PA-DSS
• Новые сертификации уже на подходе.