Безопасность и сертификация банковского ПО
DESCRIPTION
TRANSCRIPT
![Page 1: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/1.jpg)
Алексей Бабенко
старший аудитор, PA-QSA, PCI QSA
Безопасность и сертификация банковского ПО: две стороны одной медали
Конференция «Разработка ПО 2011»
CEE-SECR 2011.
Центр Digital October, Москва, 31 октября – 3 ноября.
![Page 2: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/2.jpg)
Актуальность проблемы
![Page 3: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/3.jpg)
Актуальность проблемы: что интересует злоумышленника?
85%
8%
3% 2% 2%
Данные платежных карт
Служебная информация
Коммерческая тайна
Данные аутентификации
Персональные данные
По данным Global Security Report 2011, Trustwave
![Page 4: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/4.jpg)
Актуальность проблемы: нас это не касается?
Вырезка из Global Security Report 2011, Trustwave
![Page 5: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/5.jpg)
Актуальность проблемы: преступники 21 века
![Page 6: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/6.jpg)
Особенности банковских систем:
Особенности банковских систем
![Page 7: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/7.jpg)
Особенности банковских систем:
Неограниченный доступ к системе из сети Интернет для большинства систем
![Page 8: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/8.jpg)
Особенности банковских систем:
Работа с платежной информацией
![Page 9: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/9.jpg)
Особенности банковских систем:
Большое и динамично меняющееся количество пользователей
![Page 10: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/10.jpg)
Особенности банковских систем:
Ориентировка на любой уровень
ИБ-грамотности пользователя
![Page 11: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/11.jpg)
Особенности банковских систем:
Собственные разработки без учета практик безопасного программирования
![Page 12: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/12.jpg)
Особенности банковских систем:
ТОП менеджеры, на которых не распространяются требования безопасности
![Page 13: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/13.jpg)
Особенности банковских систем
Практически неограниченный доступ к системе из сети Интернет
Работа с платежной информацией
Большое и динамично меняющееся количество пользователей
Ориентировка на любой уровень ИБ-грамотности пользователя
Собственные разработки без учета практик безопасного программирования
ТОП менеджеры, на которых не распространяются политики безопасности
Клиент. Корп. Тип ПО:
![Page 14: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/14.jpg)
Риски банков при компрометации ПО
• Прямые финансовые потери; • Уменьшение клиентской базы,
снижение уровня доверия клиентов;
• Отказ клиентов от использования сервисов;
• Нарушение требований и штрафы от регуляторов;
• Ухудшение имиджа банка.
![Page 15: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/15.jpg)
Особенности банковских систем:
Процесс обеспечения безопасности ПО
![Page 16: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/16.jpg)
Основные процессы обеспечения безопасности ПО
• Процесс безопасного программирования, тестирования и анализа кода;
• Проверки с использованием автоматизированных средств, «ручные» проверки;
• Процесс обеспечения ИБ для окружения приложений, разработка необходимых инструкций
![Page 17: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/17.jpg)
Аудит безопасности ПО
Анализ уровня безопасности системы
Формирование плана
Контроль исправления найденных уязвимостей
Устранение несоответствий
— техническая документация, схемы сети
— исходные коды
— конфигурации системных компонентов
— тестовый доступ
![Page 18: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/18.jpg)
Особенности банковских систем:
Payment Application Data Security Standard
![Page 19: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/19.jpg)
• Основная цель – поддержка реализации PCI DSS
• Дата рождения: апрель 2008
• Разработчик – PCI Security Standards Council
• Ориентирован на разработчиков платежных приложений
• Форма подтверждения соответствия – сертификация
• Требование к сертифицирующей компании – статус PA-QSA
• Актуальная версия – 2.0
PA-DSS: краткая информация
![Page 20: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/20.jpg)
• ПО подлежит сертификации, если: – Обрабатывает номера карт (PAN) в рамках
авторизации/расчетов;
– Разрабатывается на продажу, не является разовой заказной разработкой.
• Основные виды сертифицируемого ПО: – ПО процессинга (front-office, back-office (расчеты),
middleware/switching);
– ПО для банкоматов;
– ПО для POS-терминалов;
– ПО для поддержки электронной коммерции;
– ПО мобильной коммерции.
PA-DSS: что сертифицировать?
![Page 21: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/21.jpg)
PA-DSS: требования стандарта
Сертифицируемое приложение Компания-разработчик
Исключение хранения
критичных данных карт (TRACK,
CVC2/CVV2, PIN/PIN-BLOCK);
Безопасное хранение и
передача номеров платежных
карт;
Контроль доступа и
протоколирование событий;
Формализация процесса
разработки с учетом вопросов
ИБ;
Практики безопасного
программирования;
Тестирование приложения;
Анализ кода;
Мониторинг уязвимостей
платформ и тестирование
совместимости с патчами;
Возможность встраивания в PCI
DSS Compliant инфраструктуру.
Руководство по выполнению
требований стандарта PA-DSS.
![Page 22: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/22.jpg)
PA-DSS: истории успеха
• Три программных обеспечения, сертифицированных ЗАО НИП «Информзащита», получили статус PA-DSS
• Новые сертификации уже на подходе.
![Page 23: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/23.jpg)
Особенности банковских систем:
Соответствие==безопасность?
![Page 24: Безопасность и сертификация банковского ПО](https://reader035.vdocuments.net/reader035/viewer/2022062614/54621b1eaf7959d61d8b83a0/html5/thumbnails/24.jpg)
Алексей Бабенко старший аудитор, PA-QSA, PCI QSA [email protected] +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com
Спасибо за внимание.
Вопросы?