Безопасность карточного бизнеса : бизнес-энциклопедия

Физическая безопасность бюро персонализации

Прежде всего следует оговорить такой существенный вопрос, как разделение понятия «услуги процессинга операций по картам» (маршрутизация, авторизация и клиринг) и собственно «персонализация карт». Как правило, все независимые процессоры (в терминологии международных платежных систем MSP, member service provider) предлагают целый пакет услуг, включающий как процессинг, так и персонализацию. Однако требования международных платежных систем (МПС) в части физической безопасности относятся именно к бюро персонализации (БП).

Немаловажно отметить, что если банк-спонсор оказывает своим банкам-агентам (аффилиатам) спонсорские услуги, включающие персонализацию карт, к помещениям персонализации банка спонсора МПС предъявляют требования, аналогичные требованиям к независимым бюро персонализации, сертифицированным МПС.

Напомним, что всех вендоров, предоставляющих услуги, связанные с банковскими (пластиковыми) картами, можно разделить на следующие большие группы:

1) изготовители карт (Manufacturers);

2) бюро персонализации (БП или third-party personalizers, TPP);

3) провайдеры авторизации и клиринга или независимые процессоры (MSP, member service provider);

4) провайдеры хранения, маршрутизации и обработки данных (DSE, Data Storage Entity, PG — Payment Gateways,) и пр.

Прежде всего следует оговорить, что МПС осуществляют реальную проверку помещений бюро персонализации (БП), высылая специально обученных сотрудников для инспекции на месте. Обычно процедура занимает 2–3 рабочих дня, все расходы оплачивает само БП. Перед тем как вызывать проверяющих, необходимо направить в МПС план расположения БП и заполненный вопросник на английском языке. Вопросник включает такие сведения, как адрес БП, удаленность постов милиции (полиции) и пожарных, к нему прилагается план расположения (можно нарисованный от руки).

Согласно концепции МПС физическая безопасность БП разделяется на условные уровни, которые реализованы по принципу «матрешки»: для проникновения в святая святых БП — хранилище — необходимо последовательно пройти через все уровни. Это следующие объекты:

1) внешний периметр (забор или ограда);

2) вход в здание внутри внешнего периметра;

3) вход в помещения БП внутри здания;

4) вход в зону повышенной безопасности (high security area/zone, HSA/HSZ) в пределах БП;

5) вход в хранилище внутри HSZ/HSA.

Под внешним периметром обычно подразумевается забор, который должен быть внешней границей БП. Это требование особенно важно для вендоров, являющихся заводами — изготовителями пластика, имеющими у себя соответствующее оборудование и технологические линии именно по производству неэмбоссированного пластика. Поскольку заводы — изготовители пластика производят его в больших количествах, необходимо продумать логистику ввоза/вывоза готовых тиражей пластиковых карт (в том числе, неэмбоссированных) грузовыми автомобилями. В таких случаях необходимо наличие ворот, проходной, бюро пропусков именно на уровне внешнего периметра, а также зоны для загрузки и выгрузки крупногабаритных грузов (GTT, goods/tools trap).

Допускается, что внешним периметром БП является само здание. В таких случаях количество уровней безопасности сокращается с 5 до 4 (отсутствует первый, внешняя ограда).

Забор или стена внешнего периметра должны быть минимум 2 м высотой. Ворота, ведущие внутрь территории БП, должны контролироваться и управляться из помещения управления безопасностью (SCR, security control room, далее — Мониторная).

Ворота внешнего периметра должны быть постоянно закрыты полностью, исключая время впуска/выпуска автомобилей. Внешняя стена здания может считаться периметром, если она препятствует несанкционированному проникновению внутрь.

Необходимо вести письменную регистрацию событий, связанных с отключением сигнализации, отражая дату, время, сотрудников, которым необходим доступ, и цели получения доступа к оборудованию.

Контейнеры, находящиеся на территории БП и содержащие отходы (включая уничтоженные пластиковые карты), должны располагаться на охраняемой и защищенной от посторонних территории, гарантируя невозможность несанкционированного доступа к их содержимому.

Все точки входа на территорию БП должны быть обрудованы:

• системой контроля доступа (кард-ридер или биометрия), автоматически активирующей запирающий механизм дверей

• системой прохода mantrap («ловушка») со взаимно блокирующимися дверьми, обеспечивающей проход строго по принципу «один за одним» (one by one) для посетителей.

Здание БП должно располагаться в районе, обслуживаемом органами общественной и пожарной безопасности, причем время реагирования должно быть практически мгновенным. БП должно быть также оборудовано системой обнаружения вторжения. Система обнаружения вторжения должна быть оборудована резервным источником питания, гарантирующим работу минимум 48 часов в случае отказа основного питания.

Все внешние точки входа/выхода на территорию БП, включая грузовые и служебные, должны быть оборудованы смотровым глазком, бронированным стеклом или внешней камерой наблюдения, позволяющими сотрудникам охраны визуально контролировать прилегающие территории.

Все внешние входные и выходные двери здания БП, включая запасные, должны быть:

• оснащены системой датчиков, соединенных с сигнализацией;

• постоянно заперты или контролируемы электронным способом;

• усилены, где это возможно, для предотвращения вторжения (стальным листом или материалом эквивалентной прочности, в соответствии с местными требованиями по пожарной и гражданской безопасности).

Все точки доступа в здание с крыши должны быть закрыты на замок или иным образом и постоянно управляться изнутри, за исключением случаев проведения необходимых технических работ. Все точки входа/выхода c крыши должны быть оборудованы контактными датчиками с контролем доступа.

Любые окна (потолочный свет), люки, каналы вентиляции и системы охлаждения, имеющие выходы за пределы здания, должны быть заварены металлической решеткой, сеткой или металлическими перегородками, делающими невозможным несанкционированное проникновение внутрь.

Обозначения и вывески на здании не должны явно или скрытно обозначать, что в нем находится центр персонализации, а также что в нем обрабатываются конфиденциальные данные или есть иная связь с пластиковыми картами.

Главный вход в БП должен приводить посетителей в тамбур (зона mantrap, которую мы уже упоминали выше) или зону приема, которые не допускают никакого физического контакта между посетителями и принимающим сотрудником или сотрудником охраны. В этой зоне посетители подлежат визуальной проверке; здесь же им выдаются бэджи и карты доступа для прохода на территорию БП.

Зона приема — пространство, предназначенное для ограниченного доступа посетителей во время их регистрации у принимающего сотрудника или в ожидании доступа для получения или передачи карт/заготовок.

Тамбур — помещение, оборудованное парой взаимно блокирующихся (interlocked) дверей. Любая из дверей тамбура может открыться только при условии закрытости другой двери. Допускается объединение помещений зоны приема и тамбура в одно.

Одновременное открытие обеих дверей тамбура возможно только при наступлении чрезвычайных событий (пожар, общая тревога, военные действия и прочее). Внешняя дверь тамбура должна находиться в зоне видимости камеры наблюдения. Эта дверь открывается либо по карте доступа системы контроля доступа (СКД) для прохода сотрудников, либо по команде из мониторной для посетителей/клиентов.

Попав в тамбур, посетитель или сотрудник оказывается в замкнутом помещении под наблюдением внутренней видеокамеры, все события регистрируются СКД. Сотрудники обычно сразу проходят на свои рабочие места, открывая вторую дверь тамбура своим пропуском (картой доступа СКД). Посетители же и клиенты оказываются в своеобразной ловушке, у них есть возможность общаться с сотрудником охраны, находящимся за зеркальным стеклом (или однонаправленной видимости) для уточнения цели визита, предъявления документов и получения карты гостя и бэджа посетителя.

Выйти из тамбура можно либо обратно (по карте для сотрудников или ожидаемых посетителей; по команде из мониторной — для нежелательных посетителей), либо пройти на территорию БП (по карте сотрудника или посетителя). Пока в тамбуре кто-то присутствует, двери не могут открываться по запросу снаружи (по сигналу с внешнего картридера СКД).

В помещения БП допускается проход посетителей, обслуживающего и технического персонала в производственные помещения при условии непрерывного сопровождения уполномоченным сотрудником в течение всего времени пребывания на территории бюро. Сотрудники БП могут проходить в производственные помещения через основной вход или через специальный проход только для сотрудников при условии, что проход в зону повышенной безопасности оборудован тамбуром или шлюзом, электронным методом регистрирующим и контролирующим доступ на индивидуальной основе.

Руководители БП должны разработать и обязать сотрудников использовать письменные инструкции по безопасности контроля доступа в служебные помещения. Положения этих инструкций должны четко разъясняться и комментироваться в ходе семинаров по безопасности (не реже чем раз в полгода). Каждые полгода эти инструкции должны анализироваться и обновляться с целью обеспечения их соответствия текущим требованиям и условиям ведения бизнеса.

Пройдя тамбур, посетители и сотрудники попадают в комнату ожидания. Сотрудники проходят на свои рабочие места, используя карты доступа СКД, посетители же ожидают своей очереди — передать заготовки карт, получить готовые, обменяться документами и др. Выход из комнаты ожидания возможен либо по карте доступа, либо по команде из мониторной; все события в этом помещении регистрируются камерами наблюдения.

Обычно комната ожидания (reception area) сообщается (имеет общие двери) с нижеследующими помещениями БП:

• тамбур/зона приема;

• помещение приема/передачи (goods/tools trap, GTT);

• шлюз для прохода в зону повышенной безопасности (HSA/HSZ);

• прочие помещения БП (например, кабинеты руководства, буфет, туалеты, комнаты сотрудников, не работающих в зоне повышенной безопасности).

GTT служит своеобразным интерфейсом для общения посетителей (клиентов, курьеров) с сотрудниками БП. Основное назначение этого помещения состоит в том, чтобы предотвратить физический контакт между сотрудниками БП и посетителями. Для этого используется уже известный механизм — взаимно блокирующиеся двери и СКД. Возможны два варианта построения GTT:

1) строгий — это два помещения, 3 двери, посетители и сотрудники БП могут находиться каждый только в своих помещениях GTT;

2) более мягкий — одно помещение, две двери (взаимно блокирующиеся), а также использование набора правил обработки событий, именуемого dead man logic:

• если в помещении никто не зарегистрирован (СКД), но от датчиков поступил сигнал о движении, должна сработать тревожная сигнализация;

• если в помещении зарегистрирована хотя бы одна карта, но нет движения в течение некоторого наперед заданного промежутка времени, также должна сработать сигнализация.

Все двери на участке приема/передачи, включая внешнюю, среднюю и внутреннюю двери, должны управляться электронным способом, взаимодействуя друг с другом, т. е. во время открытия любой двери две остальные должны быть надежно закрыты и контролируемы посредством СКД.

Необходимо установить систему переговоров («интерком») в обеспечение возможности отождествления прибывающих клиентов. Стена, отделяющая этот участок от HSZ, должна содержать бронированное окно для обмена документацией.

Сотрудники охраны или уполномоченные сотрудники БП могут управлять только внешней дверью GTT — после успешной идентификации прибывшего клиента и уведомления соответствующих сотрудников БП о предстоящей операции приема/передачи карт.

Две другие двери помещения, средняя и внутренняя, должны контролироваться либо только сотрудниками HSZ, либо ими же совместно с сотрудниками охраны (мониторной) посредством удаленного управления. Особенно важно, чтобы сотрудники охраны не имели возможности единолично управлять работой дверей GTT.

С целью предотвращения несанкционированного доступа в зоны повышенной безопасности через помещения участка приема/передачи зона раскладки и упаковки должна быть оборудована внутренним датчиком движения, блокирующим возможность открытия внутренней и средних дверей в случае обнаружения движения в пределах этого помещения.

Согласно требованиям МПС в GTT должны быть установлены камеры:

1) внешняя, покрывающая зоны внешней двери участка и разгрузки/ погрузки и прилегающей к ней территории;

2) две камеры внутри зоны упаковки, охватывающие переднюю и заднюю части прибывшего транспорта (для GTT заводов — производителей пластика);

3) одна камера внутри зоны упаковки, передающая изображения операций загрузки/разгрузки;

4) изображения, захваченные камерами, должны передаваться в мониторную, давая возможность сотрудникам охраны контролировать процессы разгрузки/погрузки и надлежащее поведение сотрудников БП;

5) эти же изображения также должны передаваться на монитор, расположенный возле бронированного окна в зоне упаковки, предоставляя сотрудникам HSZ возможность просматривать операции загрузки/погрузки.

Лицо, получающее карты, должно быть надлежащим образом идентифицировано сотрудниками охраны в процессе получения доступа на территорию БП. Для того чтобы осуществить передачу или прием материалов, необходимо письменное распоряжение руководителя БП.

Клиент (курьер, осуществляющий транспортировку карт и ПИН-конвертов) заранее уведомляет контактное лицо в БП о своем планируемом визите с указанием ФИО и даты/времени визита. Сотрудники охраны БП уведомляют уполномоченного сотрудника HSZ о необходимости произвести прием/передачу груза.

Курьер проходит через тамбур в помещение ожидания и в порядке очереди проходит в помещение приема/передачи (GTT). Сотрудники охраны разблокируют внешнюю дверь GTT, предоставляя клиенту возможность открыть ее и пройти в помещение.

Когда посетитель (курьер) проходит внешнюю дверь GTT, сотрудники охраны из мониторной блокируют внешнюю дверь. Далее сотрудники БП разблокируют среднюю дверь, предоставляя курьеру доступ к участку упаковки, в котором размещен груз, готовый к передаче (отгрузке). Сотрудники БП через бронированное окно передают курьеру необходимые сопутствующие документы и забирают подписанную им копию, подтверждающую факт получения груза. Посетитель под наблюдением камеры пересчитывает полученные карты и ПИН-конверты и забирает их вместе с сопроводительными документами. Далее посетитель покидает помещение GTT, сотрудник БП блокирует среднюю дверь, а сотрудник охраны разблокирует внешнюю дверь, позволяя посетителю покинуть участок приема/передачи и выйти в помещение ожидания. Все вышеописанные действия должны регистрироваться системами видеозаписи посредством камер слежения.

Производственными помещениями называются участки БП, в которых осуществляются следующие виды деятельности с картами МПС и связанными с ними материалами и компонентами:

1) изготовление (для сертифицированных заводов-производителей) заготовок карт;

2) персонализация карт: эмбоссирование и кодирование магнитной полосы;

3) сортировка и раскладка карт и ПИН-конвертов (компоновка продукции);

4) хранение заготовок и персонализированных карт банков — клиентов БП;

5) передача карт и ПИН-конвертов клиентам;

6) внедрение микропроцессоров;

7) любая комбинация вышеперечисленных видов деятельности.

К этим помещениям МПС предъявляют повышенные требования в части безопасности. В них ни при каких условиях не разрешен несанкционированный доступ. Необходимо, чтобы все карточные продукты и их компоненты, хранящиеся в таких помещениях, были постоянно защищены посредством известных устройств безопасности, контролем доступа и применением строгих мер двойного контроля и процедур аудирования. МПС сертифицируют БП или здание на производство карт (для производителей-заводов) при условии, что контролирующие устройства доступа позволяют однозначно отслеживать перемещения персонала, анализировать протоколы доступа к компонентам карточных продуктов, постоянное разделение обязанностей сотрудников, независимость заданий и физическое разделение между несколькими зонами повышенной безопасности.

Базовые принципы доступа в производственные помещения БП:

• доступ в помещения зоны повышенной безопасности (HSZ) должен быть разрешен только для лиц, которым это действительно нужно с целью выполнения производственных задач;

• доступ и проведение работ во всех помещениях зоны возможны только как минимум двумя сотрудниками (dual control).

Особо следует отметить, что в составе БП имеется еще одно помещение, не являющееся производственным, — это комната охраны, или так называемая мониторная, которую мы уже упоминали выше. К помещению мониторной МПС предъявляет жесткие требования по безопасности, не менее строгие, чем к хранилищу БП (об этих требованиях будет рассказано ниже).

МПС рекомендуют БП иметь следующий минимальный набор производственных помещений в зоне повышенной безопасности HSZ:

1) хранилище (Vault);

2) серверная (Server room);

3) эмбоссерная (Embossing room);

4) комната генерации ключей (Keys room)[105];

5) комната распечатки ПИН-конвертов (PIN-mailer room);

6) комната уничтожения (Destruction room);

7) помещение подготовки к приему/передаче: раскладка и упаковка (package room).

Все глухие окна в зоне должны быть из небьющегося стекла либо оборудованы стальными решетками; все открывающиеся окна в Зоне должны быть оборудованы контактными датчиками и металлической сеткой, препятствующей передаче материалов из зоны за пределы здания.

Каждое помещение зоны должно быть оборудовано датчиком движения, соединенным с системой сигнализации. Все двери помещений зоны должны быть оснащены датчиками и оборудованы доводчиками, звуковыми сигналами, активизирующимися автоматически при открывании двери более чем на 30 с.

Доступ к помещениям зоны должен быть только через шлюз или турникет либо другие устройства, уверенно гарантирующие строгое исполнение требования функциональности «проход по одному человеку» (one-by-one) и управляемые посредством логического подхода, биометрии или иными устройствами, обеспечивающими адекватный уровень безопасности.

Генерацию ключей можно осуществлять в серверной.

Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back) — если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти.

Картридеры должны быть постоянно соединены с сервером, регистрирующим и протоколирующим все события с картами. Факты прохода через устройства контроля доступа и соответствующие им события ПО могут быть зарегистрированы сервером СКД только в конце цикла доступа входа/выхода. Цикл доступа в производственные помещения должен состоять по меньшей мере из следующих действий:

1) активация внешнего картридера;

2) открытие и закрытие первой двери шлюза или входа к турникету;

3) регистрация присутствия человека в шлюзе или помещении с управляемым турникетом;

4) открытие и закрытие второй двери шлюза/помещения с турникетом;

5) регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом;

6) регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back).

Шлюз — это заводская конструкция (в просторечии — «стакан»), предназначенная для обеспечения прохода с соблюдением режимов:

1) проход по одному человеку (one-by-one);

2) невозможность повторного прохода (anti pass-back);

3) контроль веса и объема проходящих лиц (невозможность пронести одним человеком другого на закорках под одеждой) (anti piggy-backing).

Согласно действующим требованиям МПС в шлюзе должна быть реализована так называемая мультифакторная аутентификация (карта СКД + биометрия: отпечаток пальца, сканирование радужной оболочки глаза, взвешивание).

Участки персонализации и рассылки предназначены исключительно для эмбоссирования, кодирования, персонализации карт, внедрения и персонализации микропроцессоров, а также для рассылки продуктов МПС. Для выполнения данных задач могут использоваться отдельные помещения; в этом случае к каждому из них предъявляются следующие требования безопасности.

Эти помещения или участки должны быть полностью изолированы и постоянно закрыты, за исключением только доступа и выхода уполномоченных сотрудников. Двери в эти помещениях не должны вести за пределы здания, за исключением пожарных выходов, оборудованных сигнализацией. Необходимо наличие видеокамер наблюдения во всех таких помещениях.

Помещение, в котором производится вычисление ПИНов, их генерация и вывод на печать (ПИН-мэйлерная), должно быть отдельным и располагаться в зоне повышенной безопасности. Дверь в это помещение должна быть оборудована СКД на вход и выход, наряду с системой обеспечения невозможности двойного прохода, управляемой сервером, регистрирующим все перемещения. Дверь должна быть оборудована доводчиком, автоматически ее закрывающим. В случае открытия двери более чем на 30 секунд автоматически должен срабатывать тревожный звуковой сигнал.

Программное обеспечение (ПО) СКД должно быть реализовано таким образом, чтобы гарантировать проход в помещение строго один за другим и только для уполномоченных сотрудников. Помещение должно быть оборудовано внутренним датчиком движения, который должен активировать систему сигнализации каждый раз, когда последний сотрудник покидает помещение. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери).

Необходимо настроить логику ПО СКД в соответствии с набором правил dead man logic.

В обоих случаях тревожным оповещением должен быть местный звуковой сигнал. Дополнительно по окончании рабочего времени необходимо направлять сигнал во внешнее охранное подразделение. Необходимо наличие внутренней видеокамеры наблюдения, постоянно соединенной с системой видеозаписи.

Поле зрения камеры должно охватывать зону входа в помещение и общий вид производимых действий внутри его. Эта камера не должна иметь возможности изменения фокусировки и масштабирования во избежание попадания конфиденциальных данных, таких как номера и сроки действия карт, в поле зрения сотрудников охраны/SCR.

Сотрудники БП, вовлеченные в процедуры генерации, печати и раскладки ПИН-конвертов, не должны привлекаться к работам, связанным с персонализацией, кодированием и эмбоссированием соответствующих карт.

Требования безопасности к серверной (комнате генерации ключей) аналогичны требованиям к помещению персонализации/распечатки ПИН-конвертов.

Главное хранилище является объектом высшей категории безопасности всего БП. Стены хранилища должны быть изготовлены из армированного бетона (минимум 15 см) или материалов, обеспечивающих аналогичные прочность и стойкость. Ни одна из стен хранилища не должна быть внешней стеной здания. Наличие окон не допускается.

Хранилище должно быть оборудовано внутренними датчиками движения и достаточным количеством вибродатчиков, способными обнаруживать и регистрировать сотрясения стен, пола и потолка. Необходимо наличие видеокамеры наблюдения. Хранилище должно быть оборудовано основной усиленной сталью дверью, оснащенной механизмом из двух механических или электронных замков, требующим физического одновременного присутствия минимум двух человек для получения доступа.

Открытие двери хранилища должно всегда осуществляться только двумя сотрудниками; необходимо наличие минимум двух замков и хранителей ключа от двери хранилища. Хранилище должно быть постоянно закрыто на дверь и на замок — либо на основную дверь, либо на облегченный дневной вариант («day gate»), за исключением случаев, когда сотрудникам необходимо получить туда доступ по служебной необходимости. Дверь должна быть оборудована автоматически закрывающим ее доводчиком, и в случае ее открытия более чем на 60 с должен автоматически срабатывать тревожный звуковой сигнал — локальный и в мониторной.

Каждый факт доступа в хранилище и работа с хранящимися в нем материалами должны регистрироваться в журнале посещений хранилища и подтверждаться минимум двумя сотрудниками. Записи журнала посещения хранилища должны периодически подвергаться ревизии.

Если хранилище оборудовано основной стальной дверью и облегченным дневным вариантом, МПС настоятельно рекомендует установить два картридера СКД (на вход и на выход) или комбинацию картридера и кодового замка, работающих согласованно и на расстоянии минимум двух метров друг от друга (слева и справа от дневной двери хранилища). Цель установки такого варианта контроля доступа — возможность активации дневной двери с одновременным блокированием возможности сотрудникам миновать необходимую процедуру доступа только вдвоем.

Ключи от двери хранилища должны постоянно храниться в портативном сейфе (secure box) в мониторной под надзором сотрудников охраны или выделенного ответственного сотрудника БП. Ключи доступа к хранилищу или ключи доступа к любой части помещений зоны должны храниться под двойным контролем, это означает, что любые действия по передаче ответственности должны регистрироваться в особом журнале регистрации передачи ключей с указанием необходимых сведений и заверяться подписями двух сотрудников — передающего ключ и принимающего его. Хранители ключей производственных помещений не могут иметь доступа в помещения зоны.

При использовании хранилища для хранения нефинансовых карточных продуктов необходимо разделить его на части в обеспечение физического отделения конфиденциальных банковских материалов и данных (таких, как готовые карты, дискеты, ПИН-конверты, технические спецификации и задания на персонализацию карт) от прочих. МПС настоятельно рекомендует разделить хранилище на блоки для отдельного хранения различных продуктов, незаконченных пакетов работ, карт, ожидающих передачи. Также настоятельно рекомендуется примененять тележки-контейнеры («trolley containers») для хранения незаконченных дневных объемов карт.

Все коробки с картами должны быть опечатаны, на ящиках необходимо размещать наклейки с указанием типа продукта, уникального идентификатора, количества карт, а также даты последующей необходимой проверки (пересчета карт). Содержимое наклеек должно быть видимым через опечатывающую ящики прозрачную клейкую ленту.

Операции по уничтожению карт должны производиться под двойным контролем в отдельном выделенном помещении, расположенном в зоне. Дверь в это помещение должна быть оборудована датчиками входа/выхода, СКД должна обеспечивать невозможность повторного входа и регистрировать все события на центральном сервере. Дверь должна быть оборудована доводчиком. В случае открытия двери более чем на 30 с должен автоматически включаться звуковой сигнал.

СКД должна гарантировать возможность прохода в помещение только уполномоченных сотрудников; помещение следует оборудовать датчиками объема и движения, автоматически включающимися при выходе последнего сотрудника.

Обязательно наличие видеокамеры, регистрирующей вход в комнату и обзор процесса уничтожения карт.

В рабочее время сигнал от запасных выходов должен поступать либо в мониторную, либо на пульты пункта обслуживания централизованного мониторинга. В нерабочее время срабатывание сигнала датчика запасного выхода должно вызывать дежурный наряд милиции либо сотрудника пункта централизованного мониторинга или мониторной.

Датчики внешних дверей БП должны проверяться ежемесячно с регистрацией результатов таких проверок и хранением отчетов минимум в течение года. Тестирование батарей, используемых в генераторах местных звуковых сигналов, должно осуществляться еженедельно. Замена батарей должна осуществляться ежегодно или в соответствии с техническими спецификациями производителя.

Источники освещения должны освещать прилегающее к БП пространство, а также входы, зоны парковки и участки загрузки/разгрузки автомобилей. Осмотр источников освещения должен проводиться ежемесячно, результаты подлежат регистрации и хранению. Все внешние стены, окна, двери, прочие точки, через которые возможно попадание внутрь здания, должны быть оборудованы датчиками, позволяющими обнаружить факт вторжения: разбитие стекла, движения и др.

Деревья, телефонные мачты, заборы и прочие высокие предметы, расположенные вблизи границы, позволяющей получить доступ к крыше здания, должны быть удалены, перемещены или иным образом лишены возможности предоставить доступ к крыше БП.

Внешние камеры слежения должны быть наведены на все точки входа/выхода здания и позволять получать различимые изображения всех лиц, входящих или выходящих из БП. Сотрудники охраны должны визуально контролировать передаваемые камерами изображения в течение рабочего времени. Видеоматериалы (кассеты или файлы) должны храниться в течение минимум 90 календарных суток.

Внешние запасные выходы должны быть оборудованы местными звуковыми сигналами и находиться под электронным наблюдением 24 часа в сутки, передавая на мониторы охраны изображение с надписью «Наблюдение за запасным выходом с сигнализацией». Эти двери могут использоваться только в чрезвычайных ситуациях.

Необходимо, чтобы видеокамеры контролировали все помещения зоны. Камеры должны быть установлены во всех помещениях зоны. Все работы, выполняемые в зоне, должны регистрироваться посредством камер. Сотрудники должны быть уведомлены, что все их действия регистрируются и ведется видеозапись всех событий. Все камеры, мониторы и видеомагнитофоны должны работать надлежащим образом и выдавать ясные и четкие изображения. Камеры должны быть способны регистрировать события в темноте или темное время суток (в инфракрасном режиме или посредством автоматической подачи освещения в случае тревоги).

Мониторы наблюдения и видеомагнитофоны должны располагаться в мониторной (security control room, SCR). Видеокамеры должны быть постоянно соединены с:

• мониторами изображения в мониторной;

• системой сигнализации;

• системой видеозаписи, работающей непрерывно (24 × 7).

Данные цифровых видеокамер должны копироваться для резервного хранения еженедельно. Каждое поле зрение камеры должно охватывать все виды деятельности, необходимые для адекватного обеспечения безопасности, — рекомендуемое чередование кадров каждые 3 с; позволять непрерывно контролировать критические участки производства.

Все внутренние камеры видеозаписи, как и центральная система видеозаписи, должны быть оборудованы возможностью автоматического включения видеозаписи при наступлении тревожных событий.

Видеозаписи должны храниться не менее 90 суток для возможного расследования инцидентов.

Мониторная должна централизовать всю информацию о безопасности здания и сотрудников и регистрировать по меньшей мере:

1) сигналы систем противодействия вторжению, систем безопасности и прочих аналогичных систем;

2) сигналы от камер наблюдения;

3) сигнал кнопки тревожной сигнализации;

4) сигналы компьютерного контроля центрального доступа в помещения БП, регистрируя все перемещения сотрудников и посетителей, товаров, материалов и автомобилей;

5) сигнал пожарной тревоги.

Основная роль сотрудников охраны — осуществление постоянного (по крайне мере в рабочие часы) контроля вышеперечисленных пунктов, функционирования систем безопасности, а также поведения людей с целью поддержания высокого уровня безопасности здания, оборудования и сотрудников, а также незамедлительного уведомления руководства о любых отклонениях от норм. Согласно требованиям МПС, SCR является вторым по значимости объектом БП после хранилища!

Сотрудник охраны или дежурный сотрудник мониторной должны присутствовать в часы осуществления производственных работ. Однако, в дополнение к функциям охраны, разрешается нагружать сотрудников мониторной такими задачами, как регистрация и первичный прием посетителей БП и ответы на телефонные звонки.

По окончании рабочего времени все устройства поддержания безопасности (включая включение/отключение тревожной сигнализации) должны контролироваться электронными средствами, либо собственной (внутренней) системой безопасности, либо внешним охранным предприятием. Это делается для получения уверенности в том, что в случаях выявления несанкционированного вторжения на территорию БП выполняются надлежащие процедуры наряду со своевременным уведомлением тревожного наряда милиции.

Необходимо разработать и исполнять четкое разделение обязанностей и разграничение между сотрудниками БП, занятыми на производстве, и сотрудниками охраны, находящимися на дежурстве. Сотрудники охраны не могут быть вовлечены ни в какие виды производственной деятельности БП и не могут иметь доступ в помещения, где хранятся, обрабатываются или используются карточные продукты и относящиеся к ним вспомогательные материалы.

Мониторная — одно из наиболее важных помещений всего БП. Мониторная должна быть всегда расположена вне зон ограниченного доступа и повышенной безопасности помещений БП в обеспечение разделения обязанностей и взаимной независимости сотрудников охраны и сотрудников, работающих в зоне повышенной безопасности. Помещение мониторной должно быть сделано из бетонных блоков или иных материалов аналогичной прочности. Мониторная должна быть оборудована внутренним датчиком движения.

Дверь в мониторную должна быть оборудована СКД на вход и выход наряду с ПО, контролирующим невозможность двойного прохода (anti pass-back), управляемым ПК и регистрирующим все перемещения. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери).

Необходимо настроить логику ПО таким образом, чтобы срабатывал сигнал тревоги при обнаружении движения внутри помещения, в котором никто не присутствует (счетчик карт равен нулю), а также генерировать тревожный сигнал в случаях, когда отсутствует движение в помещении, в котором находится кто-либо (счетчик карт больше или равен 1 — dead man logic).

В обоих случаях тревога должна быть в виде местного звукового сигнала с подачей параллельного сигнала в мониторную и внешнюю охранную фирму или ближайший участок милиции.

Дверь в помещение должна быть оборудована доводчиком. В случае открытия двери более чем на 30 с должен автоматически срабатывать звуковой сигнал. Система контроля доступа должна быть запрограммирована на доступ строго по схеме «один за одним». Доступ в мониторную должен быть разрешен только ограниченному кругу лиц. Каждый входящий должен полностью проходить цикл входа/выхода.

Мониторная должна быть оборудована двумя линиями телефонной связи (одна из которых должна быть сотовой). В помещении мониторной должен быть установлен принтер для обеспечения возможности вывода на печать информации и отчетов о перемещениях сотрудников из системы мониторинга и контроля доступа БП. Мониторы должны непрерывно и в реальном времени отображать сведения о событиях и перемещениях карт доступа.

Все камеры наблюдения должны регулярно тестироваться на предмет качества изображения, подаваемого на мониторы. В случае случайного или намеренного отключения камеры на соответствующем дисплее в мониторной должно появляться сообщение «Изображение потеряно», сопровождаемое звуковым сигналом. Следует вести запись таких тестирований и хранить их минимум в течение года. Система видеозаписи должна быть синхронизирована по времени с ПК, протоколирующим все перемещения, входы и выходы. Кроме этого, система видеозаписи должна иметь возможность просмотра записанного видеоматериала без остановки режима обычной записи. Это обеспечивается использованием либо цифрового, либо дополнительного кассетного видеомагнитофона.

Необходимо тренировать сотрудников охраны, работающих в мониторной, для выработки навыков эффективной и быстрой работы с СКД и системой хранения видеозаписей с камер слежения.

В стене мониторной, являющейся общей с зоной приема или тамбуром БП, должно быть установлено окно обмена, служащее для приема/передачи ключей, карт СКД и документов между сотрудниками охраны и посетителями или сотрудниками БП, работающими в зоне повышенной безопасности, с учетом необходимости минимизировать физический контакт между сотрудниками охраны и посетителями/сотрудниками БП.

Окно обмена должно быть заклеено односторонней зеркальной фольгой или иным материалом, не позволяющим видеть снаружи происходящее в мониторной.

Тревожные кнопки должны быть расположены в следующих местах:

1) вход сотрудников/посетителей (mantrap);

2) рабочее место регистрации посетителей, мониторная (SCR);

3) участок обмена заготовками/выдачи карт и ПИН-конвертов (GTT);

4) хранилище (Vault);

5) серверная (Server room);

6) помещение распечатки ПИН-конвертов (Package area).

При нажатии тревожной кнопки сигнал должен поступать либо в мониторную, либо в пункт внешней охраны или полиции, либо одновременно в обе инстанции. Необходимо ежеквартально проверять работоспособность тревожных кнопок. Результаты проверок должны протоколироваться и храниться в течение отведенного времени.

Физическая безопасность бюро персонализации является одним из фундаментальных условий, гарантирующих состоятельность вендора и надежность хранения материалов и персональных данных клиентов банков. Требования по физической безопасности регулярно пересматриваются платежными системами, как правило в сторону ужесточения. Все сертифицированные БП подлежат ежегодному аудиту на соответствие текущим требованиям к физической безопасности со стороны МПС. Несоблюдение текущих требований влечет к отзыву сертификата соответствия и исключению из списка сертифицированных вендоров.

Безопасность аппаратной и сетевой инфраструктуры

Наряду с организацией физической безопасности процессинговых центров (ПЦ) немаловажную роль играют меры логической и сетевой безопасности. Процессинговый центр можно считать разновидностью современного центра обработки данных (ЦОД), представляющего собой сложную систему взаимосвязанных компонентов, которые взаимодействуют между собой через сетевые инфраструктуры[106]. Вместе с тем ПЦ — не только центр обработки данных, но и центр их передачи/получения, вследствие чего встает очень сложная задача в защите передаваемых данных.

Несмотря на многолетний опыт проектирования, создания и эксплуатации ПЦ на сегодня не существуют однозначно регламентирующего документа по обеспечению безопасности при организации сетевой инфраструктуры. Хотя существует ряд общих стандартов (таких как, например, PCI DSS, PA DSS[107]), которые охватывают значительный объем основных требований. Но надо понимать, что данные стандарты описывают основные тезисы или постулаты безопасности, которые необходимо соблюсти, но не способны охватить все многообразие существующих технологий, протоколов, внутренних региональных стандартов, которые применяются в современном динамичном мире информационных технологий. В качестве примера можно привести неоднозначность в требованиях по алгоритмам шифрования, применяемым в РФ и за рубежом. На территории РФ единственным узаконенным алгоритмом шифрования является стандарт ГОСТ, в то время как в других странах применяется DES, 3DES. И при прохождении сертификации на соответствие требованиям PCI DSS процессинговому центру, использующему алгоритмы ГОСТа, необходимо убеждать международные платежные системы в том, что в РФ используется иной алгоритм шифрования и электронно-цифровой подписи, нежели предусмотренный в стандарте.

Также стоит отметить, что не существует однозначных требований по протоколам передачи данных, способам передачи или используемому оконечному оборудованию. Таким образом, каждому ПЦ присуща индивидуальность и некая уникальность. В этой связи можно лишь обобщить то, что присуще большинству ПЦ, и рассмотреть те проблемы, которые затрагивают большинство из них.

Процессинговому центру (вне зависимости от того, является ли он самостоятельной организацией или же входит в состав как структурное подразделение финансового института) приходится иметь дело с ограничением несанкционированного доступа к данным карт, персональной информации клиентов банка/банков или к аппаратным средствам шифрования секретных данных (HSM). Существует немало примеров, когда секретная информация различных ПЦ была получена третьими лицами с целью ее использования в преступной деятельности. В результате такой деятельности ущерб, нанесенный ПЦ и финансовым институтам, насчитывал миллионы долларов США. Конечно, однозначно невозможно сказать, что похищенные данные были получены только благодаря брешам в системах сетевой безопасности ПЦ, но в мировой практике существуют примеры использования сетевых уязвимостей для получения и передачи данных по сетям общего пользования.

Так, например, в середине 1990-х годов для передачи данных от терминалов самообслуживания (АТМ, CAT) повсеместно использовался алгоритм шифрования DES. Оборудование терминалов (в частности клавиатуры для ввода секретного кода — ПИН-клавиатуры) также было рассчитано на работу только по алгоритму DES. С увеличением тактовых частот вычислительной техники и возможностей программного обеспечения алгоритм DES был взломан за сравнительно небольшой временной интервал. Но оборудование терминалов и процессинговые системы, настроенные на работу по алгоритму шифрования DES, не могли оперативно перестроиться на работу по более стойкому алгоритму 3DES, что и стало причиной использования злоумышленниками зашифрованных данных ПИН-блоков и данных на магнитной полосе. Последующий взлом полученных ПИН-блоков и получение секретного ключа шифрования терминала (Terminal Pin Key) позволяли получить практически неограниченный доступ ко всем счетам клиентов различных банков, которые когда-либо пользовались данным терминалом. Факты незаконного использования данных с магнитной полосы и ПИНов были зафиксированы международными платежными системами (МПС), и в настоящее время по правилам МПС одинарный алгоритм DES уже не может использоваться в терминалах.

Это лишь один наглядный пример того, как могут быть использованы бреши в системах сетевой безопасности. В приведенном примере можно было бы сократить степень риска с применением нестойких алгоритмов при шифровании ПИН-блока, если бы канал передачи данных между ПЦ и терминалом был бы зашифрован более стойким алгоритмом шифрования (двойное шифрование: канал передачи данных и шифрование ПИН-блока). Более того, многие терминалы способны самостоятельно шифровать передаваемые данные, пусть даже нестойким алгоритмом шифрования. В любом случае это намного усложнит жизнь злоумышленнику, поскольку помимо транзакционной информации передается и служебная, которую расшифровать намного сложнее, нежели ПИН-блок. Совокупность применения двух методов позволила бы многократно повысить безопасность системы в целом, даже с применением нестойких алгоритмов.

Поэтому когда речь заходит о защите ПЦ, в первую очередь тщательно анализируются возможные риски и степень снижения этих рисков при доступе и передаче секретных данных. В данной ситуации необходимо также учитывать тот факт, что построение системы сетевой защиты ПЦ оказывает значительное влияние на рядовой персонал, работающий в ПЦ. Чем больше барьеров защиты, тем сложнее злоумышленнику получить данные, но также и труднее работать в условиях полного ограничения доступа и самим сотрудникам ПЦ. Необходимый баланс между удобством доступа к данным и их безопасностью регламентируется определенным правилами внутри ПЦ. Подразделения сетевой безопасности ПЦ разрабатывают комплекс документации, внутренних правил, согласно которым уполномоченные сотрудники имеют право получать доступ к данным для их обработки.

Задача строгого разделения прав пользователей присуща всем ПЦ, и ей уделяется огромное значение. При разделении прав пользуются основным принципом: предоставление прав, необходимых только для выполнения служебных обязанностей. Так, например, сотруднику договорного отдела для выполнения служебных обязанностей доступ к устройству шифрования (HSM) вряд ли будет необходим, но с большой вероятностью понадобится доступ в публичную сеть Интернет для получения дополнительной информации о контрагентах. И наоборот, сотруднику отдела персонализации потребуется доступ к данным магнитной полосы печатаемых карт и вряд ли будет необходим доступ к публичным сетям. Руководствуясь такими правилами, администраторы вычислительных сетей ПЦ совместно с сотрудниками отдела сетевой безопасности устанавливают соответствующие права доступа для каждого из сотрудников. На практике такую политику организовать очень сложно, поскольку за понятием «необходимые права» стоит большое количество различных комплексов: сетевые маршрутизаторы, брандмауэры, операционные системы, базы данных, программные комплексы и т. д.

Таким образом, весь комплекс мер, направленных на обеспечение сетевой безопасности, можно условно разделить на несколько уровней:

• сетевой уровень;

• пользовательский уровень;

• уровень приложений.

Каждый из перечисленных уровней может пересекаться с другим в некоторой области или быть полностью интегрирован в него. Поэтому в данном контексте разделение довольно условное, поскольку известны системы, где практически все перечисленные выше уровни являют собой единый неделимый комплекс.

Но несмотря на этот факт уровни организации сетевой безопасности (барьеры) встречаются во всех ПЦ и их следует рассмотреть более детально.

К данному уровню безопасности можно отнести технические средства, позволяющие обеспечить ограничение прохождения данных между различными зонами сети ПЦ. На рис. 5.1 приведен типичный пример сетевой инфраструктуры ПЦ (в том числе может использоваться и при организации сети любого предприятия). В приведенном примере сетевая инфраструктура имеет зональное распределение. Все зоны связаны между собой с помощью сетевых маршрутизаторов, призванных осуществлять перенаправление сетевых пакетов из одной зоны в другую. Также каждая из зон снабжается сетевым брандмауэром (межсетевым экраном), который ограничивает или разрешает прохождение сетевых пакетов между зонами. На практике часто используют совмещение этих двух устройств (маршрутизатор и брандмауэр) в одно, в котором прохождение трафика ограничивается на сетевом интерфейсе маршрутизатора.

Все представленные зоны служат для увеличения степени защиты ПЦ в целом, а также для более гибкого управления списками контроля доступа (ACL). Так, например, зона 1 служит для публикации серверных приложений для доступа извне, ее еще называют демилитаризованной зоной (DMZ). К публикуемым приложениям могут относиться, например, службы интернет-банка, службы доступа к электронной почте ПЦ или службы организации коллективного доступа в публичные сети. Доступ к сетевым службам ПЦ извне ограничивается с помощью сетевого экрана, правила которого обеспечивают прохождение только разрешенного трафика (например, по TCP портам 110,25 в случае электронной почты).

В зоне 2 расположены серверы ПЦ, обеспечивающие его жизнедеятельность. Там могут находиться серверы баз данных, использующиеся как хранилище в процессе авторизации и последующих клиринговых расчетов. В этой же зоне, как правило, находятся серверы уровня приложений (host), получающие доступ к серверам баз данных и осуществляющие процессирование авторизационных и клиринговых потоков. Также в данную зону могут быть помещены средства сбора лог-информации и серверы управления доступом уровня приложений. Зона 2 является целью любого злоумышленника, поэтому ее защиту разрабатывают самым тщательным образом. Для усиления мер защиты могут использоваться дополнительные межсетевые экраны и/или персональные брандмауэры. На особо важных узлах должны быть включены средства аудита доступа. Основным правилом при настройке политики безопасности серверов в зоне 2 является отключение ненужных служб и процессов, открывающих потенциальные уязвимости в системе. Например, для серверов баз данных необходимо отключать сетевой доступ к операционной системе (ftp, telnet) и разрешать только доступ к базе данных по защищенным протоколам передачи данных (например, IPSEC). Хорошим дополнением к системе безопасности в зоне 2 могут служить системы предупреждения и предотвращения вторжения (IPS/IDS). Они позволяют заблокировать определенные сетевые адреса в случае обнаружения потенциально опасного сетевого трафика (например, сканеры сетевых портов, попытки атаки типа Bruteforce, DDOS-атаки и пр.). Повышенным интересом у злоумышленника могут пользоваться и маршрутизаторы/межсетевые экраны. Для повышения безопасности данные сетевые компоненты могут иметь специальный сетевой интерфейс (management), который используется для проведения настройки оборудования. В штатном режиме этот интерфейс не имеет подключения к какой-либо сети, и конфигурация с других сетевых интерфейсов этого оборудования невозможна.

В зоне 3 располагаются рабочие места сотрудников ПЦ. Данная зона также выделена в единую сеть, поскольку управление рабочими местами — задача отнюдь непростая и также требует повышенных мер безопасности. В данной зоне помимо рабочих мест персонала располагается сетевое оборудование ввода/вывода (принтеры, факсы, сканеры и т. д.). Также может быть размещен дополнительный контроллер рабочих мест (domain controller) для повышения отказоустойчивости системы в целом. Доступ сотрудников к тем или иным приложениям управляется на уровне политики безопасности и на уровне межсетевых экранов.

Данный уровень безопасности в ПЦ обеспечивается за счет возможности разделить доступ к тем или иным ресурсам в разрезе пользователя или группы пользователей.

Практически в любой современной операционной системе существует возможность разграничить доступ к определенным ресурсам на уровне пользователей. Таким образом, каждый пользователь в сети ПЦ (в том числе и рабочую станцию, и сервер можно отнести к пользователям) имеет определенные права, которые должны быть формализованы и закреплены в письменном виде. Права и полномочия предоставляются каждому сотруднику ПЦ согласно его должностным обязанностям. В случае если сотрудник совмещает несколько обязанностей (например, администратор ЛВС и администратор БД), удобнее оперировать ролями. Каждой роли отводятся определенные полномочия, в рамках которых предоставляется доступ к ресурсам ПЦ.

Служебные роли ПЦ могут быть отождествлены с группой пользователей. В роли администратора ЛВС может выступать группа пользователей «администраторы», в роли сотрудников отдела архивных копий — «операторы архивов» и т. д. В каждой из групп может быть несколько пользователей сети, в то же время один пользователь сети может быть наделен несколькими полномочиями.

Все сотрудники обязаны иметь учетную запись, с помощью которой осуществляется регистрация в сети ПЦ. Далее эта учетная запись используется для доступа к любым сетевым ресурсам, будь то принтер или база данных.

При разработке политики безопасности для сотрудников должно быть установлено правило секретности собственных имени пользователя и пароля при регистрации в сети. Также должен быть установлен запрет на передачу персональных имени пользователя и пароля третьим лицам. В ходе формирования политики должны быть приняты меры по снижению вероятности компрометации паролей: установлены ограничения на минимальную длину пароля, его сложность и частоту смены.

Согласно последним данным[108] рекомендуемая длина пароля может быть принята свыше 8 символов. Существуют и рекомендации по сложности пароля, в которых определяют, что пароль может состоять из строчных и заглавных букв и цифр. Частота смены пароля позволяет уменьшить вероятность его подбора за определенный срок его жизни. Хорошей практикой может служить блокировка учетной записи в случае набора неправильного пароля N раз (как правило, N принимают равным от 3 до 5 раз).

В политике учетных записей помимо сотрудников ведется контроль доступа к ресурсам рабочих станций и серверов. Такая политика позволит, например, ограничить доступ к ресурсам в случае подмены сетевого адреса.

Отдельно могут быть введены дополнительные средства аутентификации пользователей. Использование сертификатов (цифровых удостоверений) с единым центом сертификации позволит многократно повысить стойкость системы безопасности. Использование двухфакторной аутентификации, в которой пользователь помимо данных учетной записи (имя пользователя, пароль) должен предоставить физический ключ доступа. Он позволит избежать компрометации учетной записи в случае успешной атаки подбора пароля. Физический ключ может быть заменен считывателем биометрических данных пользователя.

Еще одним способом, повышающим уровень безопасности ПЦ, является блокировка встроенных учетных записей администратора (root). В этом случае происходит делегирование прав администратора сети другому пользователю, так называемое переименование администратора. В этом случае, если пароль учетной записи «администратор» или «root» будут взломаны, администраторские права предоставлены не будут.

Одним из важных моментов при формировании политики безопасности является правило, обязывающее администратора ЛВС производить блокировку учетной записи пользователя в случае его болезни или увольнения. Также должны быть заблокированы гостевые учетные записи, присутствующие по умолчанию в операционных системах и СУБД.

Таким образом, пользовательский уровень безопасности вводит дополнительный барьер на пути несанкционированного доступа к ресурсам ПЦ и позволяет проводить разделение ресурсов на основе ролей, описанных в политике безопасности ПЦ.

Описанные меры безопасности позволяют усилить безопасность в сетевой инфраструктуре ПЦ. Но, как и на любом предприятии, в ПЦ существует прикладное программное обеспечение, на которое возлагается основная функциональная обязанность. Даже если будут приняты все меры по обеспечению безопасности сетевого и пользовательского уровня, брешь в системе безопасности уровня приложений позволит получить доступ к самой важной составляющей ПЦ — данным о платежных картах, к которым в итоге стремится потенциальный злоумышленник. Приведенный выше печальный пример бреши в системе безопасности уровня приложений с терминалами самообслуживания помог злоумышленнику получить данные по платежным картам, причем он не нарушил ни один из периметров защиты самого ПЦ.

Таким образом, безопасность уровня приложений можно оценить как один из самых важных пунктов в обеспечении сетевой безопасности ПЦ в целом.

Какие меры необходимо принять для снижения такого рода угрозы? На этот вопрос в первую очередь поможет ответить относительно недавно принятый стандарт в области защиты данных PA DSS[109]. Данный стандарт описывает предъявляемые требования к программному обеспечению, работающему с данными о платежных картах. После принятия данного стандарта каждый из поставщиков решения для работы с пластиковыми картами обязан будет иметь сертификат соответствия данному стандарту. Данный сертификат должен быть предъявлен в ходе проверки ПЦ на соответствие требованиям PCI DSS.

Одним из требований в стандарте является отсутствие данных о платежных картах в открытом виде. К таким данным относятся данные о номерах карт, о сроке их действия и CVC2/CVV2. Также запрещено хранение данных с магнитной полосы и ПИН-блока.

Помимо запрета на хранение данных безопасность уровня приложений обеспечивается регулярными критическими обновлениями операционных систем и СУБД. Такие обновления позволяют исправить найденные уязвимости в операционных системах и СУБД.

Также необходимо устанавливать обновления программного обеспечения на межсетевых экранах и маршрутизаторах. В случае наличия систем IPS/IDS необходимо проводить обновление сигнатур сетевых угроз.

К сожалению, не всегда то или иное обновление может быть безболезненно установлено. В практике любого ПЦ бывали случаи, когда обновление ПО на ключевых узлах приводило к частичной или полной его остановке. Для снижения вероятности такого рода чрезвычайных ситуаций используются тестовые среды, где каждое планируемое обновление должно проходить тщательную проверку и тестирование на совместимость с другими узлами процессинговой системы. Поскольку процессинговые комплексы представляют собой взаимосвязанную систему, тестирование очередного критического обновления на одном из комплексов может происходить длительное время, порой до нескольких недель или месяцев. В данный период, пока обновление находится в стадии тестирования, сотрудниками ПЦ должны быть приняты дополнительные меры по обеспечению безопасности. Например, если найдена уязвимость в интернет-браузере, используемом сотрудниками ПЦ, до момента установки вышедшего обновления сотрудникам отдела сетевой безопасности и администратору ЛВС необходимо принять меры для исключения использования данного рода уязвимости. Одним из вариантов решения может быть выделение специальной рабочей станции, с помощью которой будет осуществлен доступ в публичную сеть. Рабочая станция не должна быть подключена к общей локальной сети. На остальных рабочих местах использование браузера без установленного обновления необходимо запретить.

В случае тестирования обновлений на серверных компонентах процессинговых систем необходимо подготовить и провести тесты на тех компонентах, которые подвергаются изменениям. Тесты должны охватывать полный цикл прохождения транзакции, чтобы исключить вероятность сбоев после установки этого обновления на рабочих системах.

Еще одним из обязательных требований в обеспечении безопасности ПЦ является необходимость использования антивирусных средств защиты. Антивирусные средства должны быть установлены на всех рабочих станциях и серверах ПЦ без исключений, даже если на данный момент не существует вирусов под определенные операционные системы. Базы данных антивирусного программного обеспечения должны регулярно обновляться и иметь актуальные версии.

Отдельное внимание необходимо уделить аудиту доступа к ресурсам (логам) ПЦ. Поскольку ПЦ является сложной взаимосвязанной системой и состоит из различных компонентов, в том числе разных производителей, задача о фиксировании событий доступа к объектам такой системы требует отдельного решения. На современном рынке производителей ПО существует множество решений, которые решают такие задачи.

Данные программные продукты помогают осуществить централизованный сбор данных из различных источников, таких как:

• различные операционные системы;

• СУБД;

• сетевые маршрутизаторы и брандмауэры;

• антивирусное ПО;

• компоненты уровня приложений.

Использование таких комплексных решений позволяет сотрудникам службы сетевой безопасности оперативно реагировать на критические инциденты и предотвращать их в дальнейшем. Более того, централизация сбора данных аудита доступа к объектам может помочь в восстановлении хронологии попытки атаки и предупредить ее в дальнейшем.

В связи с этим должны быть приняты меры по защите сервера централизованного сбора логов доступа. Логи сервера должны быть защищены от удаления, а их изменение должно быть доступно только тем процессам, которые осуществляют логирование. Для ПЦ хранение логов доступа в режиме онлайн обязательно в течение трех месяцев. После архивации лог-файлов необходимо рассчитать контрольные суммы, которые должны быть документально зафиксированы. Архивные копии записей аудита доступа к ресурсам должны быть записаны на носитель типа «только для чтения» и преданы на хранение.

Таким образом, задача обеспечения безопасности в ПЦ является многогранной, а ее комплексное решение требует тщательной проработки всех деталей от логической организации до фактической реализации.

В современном быстроменяющемся мире техники и технологии довольно трудно предугадать дальнейшее их развитие даже на ближайший год, не говоря уже о десятилетии. Но, тем не менее, основные тенденции в развитии прослеживаются. Так, одним из перспективных направлений в развитии процессинговых услуг на рынке может быть решение, которое давно уже получило всемирное признание в других крупных корпоративных предприятиях. Данное решение уходит своими корнями в период становления компьютерных сетей и систем совместного доступа на базе терминалов. В то время пользователи получали централизованный доступ к вычислительным ресурсам главного компьютера при помощи терминалов удаленного доступа, подключенных к нему по общей шине передачи данных. Каждый пользователь производил регистрацию на центральном компьютере и получал соответствующие права доступа.

Как ни странно, но в современной IT-индустрии продолжают существовать такие системы, но выведенные на новый виток развития технологии. В мире процессинговых услуг также известно применение аналогичной технологии. Эта технология получила название «тонкий клиент»[110]. В основу этой технологии положен принцип удаленного терминального доступа, когда пользователь, пройдя аутентификацию на центральном компьютере, удаленно получает доступ к его ресурсам в соответствии с предоставленными правами. Передавая информацию от терминала о действиях пользователя (нажатия клавиатуры или действия с мышью), терминал получает в ответ от сервера изменения удаленного экрана пользователя. Использование такого рода подхода позволяет получать безопасный доступ к процессинговым системам. У такого подхода есть множество плюсов, которые могут быть хорошим подспорьем в решении вопросов сетевой безопасности ПЦ.

Так, например, данный подход позволяет исключить необходимость защиты рабочих станций от вирусной угрозы, угрозы брешей в безопасности рабочей станции, несанкционированного доступа к данным на сервере. Централизованное управление терминальным доступом, удаленное подключение к открытой сессии пользователей, централизованное администрирование всех пользователей и терминалов облегчает работу администраторов ЛВС. Также есть и экономическая составляющая, при которой установленное на сервер приложение может быть растиражировано между всеми пользователями удаленного доступа без необходимости приобретения дополнительных лицензий (это актуально для крупных ПЦ). Одним из главных преимуществ данной технологии является то, что критические данные, такие как номера карт, авторизационные данные, невозможно сохранить на внешних носителях информации без специальных средств, которые могут быть предоставлены администраторами в исключительных ситуациях. Таким образом, утечка данных из ПЦ сводится практически к нулю. Но данная технология требует повышенной защиты сервера приложений, т. е. все программные компоненты, установленные на сервер приложений, должны быть полностью защищены. Для укрепления защиты передаваемых данных могут быть использованы протоколы шифрования трафика, а также двухфакторная аутентификация на основе USB-ключей.

В данном разделе были рассмотрены основные аспекты обеспечения безопасности в сфере процессинговых центров. Разумеется, все перечисленное в данной главе является только обобщением накопленного мировым сообществом опытом создания и эксплуатации процессинговых центров. Необходимо понимать, что каждый ПЦ, как и любое другое предприятие, имеет свои особенности и тонкости и, естественно, что задачи по обеспечению безопасности в том или ином предприятии имеют характерную специфику. Любому ПЦ присуща работа с персональными данными владельцев пластиковых карт, а это означает, что репутация и надежность процессингового центра целиком и полностью зависят от степени безопасности составляющих его систем. Вот поэтому так важно уделять максимум внимания для решения вопросов, связанных с обеспечением не только отказоустойчивости систем при работе в режиме 24 × 7, но и степени защиты доверяемых процессинговому центру данных.