SlideShare a Scribd company logo

Мониторинг доступа к данным по стандарту PCI DSS

Download as PPTX, PDF
MFISoft
MFISoft

Как подготовиться к стандарту штатными и специальными средствами.

Presentations & Public Speaking
1 of 17
СЕРГЕЙ ДОБРУШСКИЙ, 2017 Мониторинг доступа к данным по стандарту PCI DSS.
Соответствие требованиям регуляторов 152-ФЗ, 161-ФЗ, П-1119 382-П, PCI DSS Расследование внутренних инцидентов и теневых схем • Поиск и расследование инцидентов • Выявление атак на банковские СУБД ЗАЧЕМ ЗАЩИЩАТЬ БАЗЫ ДАННЫХ?
Требование стандарта Требование 2 Не использовать пароли и другие системные параметры, заданные производителем по умолчанию Требование 3 Обеспечить безопасное хранение данных держателей карт Требование 7 Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью Требование 8.5 Не использовать групповые, общие и стандартные учетные записи и пароли, а также прочие подобные методы аутентификации Требование 10 Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт На какую информацию в СУБД проецируется Учетные записи к СУБД, пароли к УЗ Значения полей таблиц попадающих под скоуп PCI DSS Учетные записи, Роли, Привилегии доступа Учетные записи СУБД Учетные записи, таблицы, поля, функции, хранимые процедуры, и.т.д. Требования стандарта PCI DSS к информационным системам
Отсутствие защиты Штатный аудит СУБД Системы классов DAM и DBF ТЕХНОЛОГИИ ЗАЩИТЫ БАЗ ДАННЫХ
Cоответствие требованиям PCI DSS штатными средствами Написание скриптов Процедуры хранения Настройка аудита в соответствии с 10, 8 и 7 требованиями стандарта Создание триггеров
Отсутствие защиты Штатный аудит СУБД Системы классов DAM и DBF ТЕХНОЛОГИИ ЗАЩИТЫ БАЗ ДАННЫХ Защита баз данных без специальных комплексов Поиск и классификация данных. Управления конфигурациями СУБД. Анализ привилегий доступа. Мониторинг доступа к данным.
Классификаци я в СУБД – поиск локализации критичной информации Пример запроса SELECT COUNT(*) FROM ( SELECT "CARD_NUMBER" FROM "SYS"."CARDS" WHERE "CARD_NUMBER" IS NOT NULL AND ROWNUM <= 10 ) tmp WHERE REGEXP_LIKE("CARD_NUMBER", N'((D|A)([23456]d{3}[ -]?d{4}[ - ]?d{4}[ -]?(d{4}|d{6}))(D|0|z))')
Управление конфигурациями Проверка на наличие уязвимостей Пример запроса SELECT ACTION, VERSION,ID FROM DBA_REGISTRY_HISTORY WHERE TO_DATE(TRIM(TO_CHAR(ID)), 'YYMMDD') > SYSDATE-90 AND ID > 160000
Права доступа к данным - написание скрипта Регулярная выгрузка данных в читаемом формате. Актуализация и сравнение этих данных с эталонными матрицами доступа.
Средства штатного аудита - в пакетах большинства СУБД Самописные скрипты Ручная настройка Штатный аудит обеспечивает стандарт
Постоянный контроль всех изменений в базах данных со стороны IT и ИБ подразделений. Актуализация скоупа и поиск новых СУБД вручную. Отсутствие контроля привилегированных пользователей. Снижение производительности СУБД (10%-40%). Недостатки штатного аудита
Специализированные средства защиты DBF (Database Firewall)DAM (Database activity monitoring) WAF (Web Application Firewall)
Возможности систем DAM для аудита PCI DSS Инвентаризация всех серверов БД, инстансов СУБД и промежуточных серверов WEB-приложений. Определения скоупа PCI DSS – поиск местонахождения полей, таблиц с данными держателей кредитных карт. Сканирование СУБД на оптимальность конфигураций и наличие уязвимостей. Получение матрицы доступа к БД. Непрерывный аудит доступа к данным.
Удобство и масштабируемость. Хранение всех запросов и ответов для ретроспективного анализа. Отсутствие влияния на производительность сети и серверов СУБД. Предустановленные отчеты. Графическое предоставление данных. Преимущества DAM-систем
PCI DSS содержит требования к защите данных держателей платежных карт и контроля доступа к ним. Штатный аудит и специализированные решения – средства реализации требований PCI DSS Ручной контроль и высокая нагрузка на ИБ-службу и сетевое оборудование как минусы штатного аудита. Специализированные средства - непрерывный автоматизированный контроль доступа к данным держателей платежных карт. ИТОГИ
10+ лет опыта разработки систем высокой сложности Более 300 высококвалифицированных специалистов Собственный исследовательский центр для развития новых проектов 1500 внедрений решений во всех федеральных округах России Система менеджмента качества МФИ Софт сертифицирована на соответствие международному стандарту ISO 9001:2008 Британским институтом стандартов (BSI)
СПАСИБО ЗА ВНИМАНИЕ INFO@MFISOFT.RU 8 (831) 422 11 55 MFISOFT.RU

Recommended

Поддержка заказчиков в выполнении требований Закона о защите ПДн
Поддержка заказчиков в выполнении требований Закона о защите ПДнПоддержка заказчиков в выполнении требований Закона о защите ПДн
Поддержка заказчиков в выполнении требований Закона о защите ПДнNAUMEN. Информационные системы управления растущим бизнесом
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
EFROS Config Inspector
EFROS Config InspectorEFROS Config Inspector
EFROS Config InspectorGazinformservice
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...Expolink
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСКРОК
 
Организация разграничения доступа с использованием средств виртуализации
Организация разграничения доступа с использованием средств виртуализацииОрганизация разграничения доступа с использованием средств виртуализации
Организация разграничения доступа с использованием средств виртуализацииAncud Ltd.
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписиAlexander Kolybelnikov
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 

Recommended

Поддержка заказчиков в выполнении требований Закона о защите ПДн
Поддержка заказчиков в выполнении требований Закона о защите ПДнПоддержка заказчиков в выполнении требований Закона о защите ПДн
Поддержка заказчиков в выполнении требований Закона о защите ПДнNAUMEN. Информационные системы управления растущим бизнесом
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
EFROS Config Inspector
EFROS Config InspectorEFROS Config Inspector
EFROS Config InspectorGazinformservice
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...Expolink
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСКРОК
 
Организация разграничения доступа с использованием средств виртуализации
Организация разграничения доступа с использованием средств виртуализацииОрганизация разграничения доступа с использованием средств виртуализации
Организация разграничения доступа с использованием средств виртуализацииAncud Ltd.
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписиAlexander Kolybelnikov
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работAncud Ltd.
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...IBS
 
СЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMСЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMКРОК
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...Expolink
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".Expolink
 
Эффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПЭффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПКомпания УЦСБ
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...Expolink
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
софткей. безболезненный переход на легальное по
софткей. безболезненный переход на легальное пософткей. безболезненный переход на легальное по
софткей. безболезненный переход на легальное поLiudmila Li
 
Решение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейРешение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейExpolink
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологииAncud Ltd.
 
База данных документов
База данных документовБаза данных документов
База данных документовcontrolling2000
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database SecurityAndrei Novikau
 
Database security
Database securityDatabase security
Database securityMikhail Vanin
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Как извлечь максимальную пользу от внедрения Dam
Как извлечь максимальную пользу от внедрения DamКак извлечь максимальную пользу от внедрения Dam
Как извлечь максимальную пользу от внедрения DamMFISoft
 

More Related Content

What's hot

Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работAncud Ltd.
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...IBS
 
СЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMСЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMКРОК
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...Expolink
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".Expolink
 
Эффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПЭффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПКомпания УЦСБ
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...Expolink
 
софткей. безболезненный переход на легальное по
софткей. безболезненный переход на легальное пософткей. безболезненный переход на легальное по
софткей. безболезненный переход на легальное поLiudmila Li
 
Решение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейРешение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейExpolink
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологииAncud Ltd.
 
База данных документов
База данных документовБаза данных документов
База данных документовcontrolling2000
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 

What's hot (18)

Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работ
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
Информационная безопасность сегодня // Фёдор Дбар ("Код безопасности") на Int...
 
СЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMСЭД на платформе DIRECTUM
СЭД на платформе DIRECTUM
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
 
Эффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПЭффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТП
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
софткей. безболезненный переход на легальное по
софткей. безболезненный переход на легальное пософткей. безболезненный переход на легальное по
софткей. безболезненный переход на легальное по
 
Решение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейРешение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователей
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологии
 
База данных документов
База данных документовБаза данных документов
База данных документов
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 

Similar to Мониторинг доступа к данным по стандарту PCI DSS

McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database SecurityAndrei Novikau
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Как извлечь максимальную пользу от внедрения Dam
Как извлечь максимальную пользу от внедрения DamКак извлечь максимальную пользу от внедрения Dam
Как извлечь максимальную пользу от внедрения DamMFISoft
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияОльга Антонова
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиNatasha Zaverukha
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субдKewpaN
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Database Tuning Method & Technics
Database Tuning Method & TechnicsDatabase Tuning Method & Technics
Database Tuning Method & TechnicsDenis Beskov
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
 
проектная работа на тему субд
проектная работа на тему субдпроектная работа на тему субд
проектная работа на тему субдMarsel Galikhanov
 

Similar to Мониторинг доступа к данным по стандарту PCI DSS (20)

McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database Security
 
Database security
Database securityDatabase security
Database security
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Как извлечь максимальную пользу от внедрения Dam
Как извлечь максимальную пользу от внедрения DamКак извлечь максимальную пользу от внедрения Dam
Как извлечь максимальную пользу от внедрения Dam
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решения
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасности
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
 
2003
20032003
2003
 
13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
Database Tuning Method & Technics
Database Tuning Method & TechnicsDatabase Tuning Method & Technics
Database Tuning Method & Technics
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
 
Naumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
Naumen Network Manager. Мониторинг, понятный и так нужный БизнесуNaumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
Naumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
проектная работа на тему субд
проектная работа на тему субдпроектная работа на тему субд
проектная работа на тему субд
 
презентация8
презентация8презентация8
презентация8
 

More from MFISoft

Роль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данныхРоль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данныхMFISoft
 
Аналитика в работе DLP-системой
Аналитика в работе DLP-системой Аналитика в работе DLP-системой
Аналитика в работе DLP-системой MFISoft
 
Интеллектуальные возможности DLP для расследования инцидентов безопасности
Интеллектуальные возможности DLP для расследования инцидентов безопасности Интеллектуальные возможности DLP для расследования инцидентов безопасности
Интеллектуальные возможности DLP для расследования инцидентов безопасности MFISoft
 
исследование черного рынка бд итог
исследование черного рынка бд итог исследование черного рынка бд итог
исследование черного рынка бд итог MFISoft
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
Как внедрить защиту баз данных за три дня
Как внедрить защиту баз данных за три дняКак внедрить защиту баз данных за три дня
Как внедрить защиту баз данных за три дняMFISoft
 
Внедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиаловВнедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиаловMFISoft
 

More from MFISoft (7)

Роль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данныхРоль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данных
 
Аналитика в работе DLP-системой
Аналитика в работе DLP-системой Аналитика в работе DLP-системой
Аналитика в работе DLP-системой
 
Интеллектуальные возможности DLP для расследования инцидентов безопасности
Интеллектуальные возможности DLP для расследования инцидентов безопасности Интеллектуальные возможности DLP для расследования инцидентов безопасности
Интеллектуальные возможности DLP для расследования инцидентов безопасности
 
исследование черного рынка бд итог
исследование черного рынка бд итог исследование черного рынка бд итог
исследование черного рынка бд итог
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
 
Как внедрить защиту баз данных за три дня
Как внедрить защиту баз данных за три дняКак внедрить защиту баз данных за три дня
Как внедрить защиту баз данных за три дня
 
Внедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиаловВнедрение DLP в компаниях с распределенной сетяью филиалов
Внедрение DLP в компаниях с распределенной сетяью филиалов
 

Мониторинг доступа к данным по стандарту PCI DSS

  • 1. СЕРГЕЙ ДОБРУШСКИЙ, 2017 Мониторинг доступа к данным по стандарту PCI DSS.
  • 2. Соответствие требованиям регуляторов 152-ФЗ, 161-ФЗ, П-1119 382-П, PCI DSS Расследование внутренних инцидентов и теневых схем • Поиск и расследование инцидентов • Выявление атак на банковские СУБД ЗАЧЕМ ЗАЩИЩАТЬ БАЗЫ ДАННЫХ?
  • 3. Требование стандарта Требование 2 Не использовать пароли и другие системные параметры, заданные производителем по умолчанию Требование 3 Обеспечить безопасное хранение данных держателей карт Требование 7 Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью Требование 8.5 Не использовать групповые, общие и стандартные учетные записи и пароли, а также прочие подобные методы аутентификации Требование 10 Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт На какую информацию в СУБД проецируется Учетные записи к СУБД, пароли к УЗ Значения полей таблиц попадающих под скоуп PCI DSS Учетные записи, Роли, Привилегии доступа Учетные записи СУБД Учетные записи, таблицы, поля, функции, хранимые процедуры, и.т.д. Требования стандарта PCI DSS к информационным системам
  • 4. Отсутствие защиты Штатный аудит СУБД Системы классов DAM и DBF ТЕХНОЛОГИИ ЗАЩИТЫ БАЗ ДАННЫХ
  • 5. Cоответствие требованиям PCI DSS штатными средствами Написание скриптов Процедуры хранения Настройка аудита в соответствии с 10, 8 и 7 требованиями стандарта Создание триггеров
  • 6. Отсутствие защиты Штатный аудит СУБД Системы классов DAM и DBF ТЕХНОЛОГИИ ЗАЩИТЫ БАЗ ДАННЫХ Защита баз данных без специальных комплексов Поиск и классификация данных. Управления конфигурациями СУБД. Анализ привилегий доступа. Мониторинг доступа к данным.
  • 7. Классификаци я в СУБД – поиск локализации критичной информации Пример запроса SELECT COUNT(*) FROM ( SELECT "CARD_NUMBER" FROM "SYS"."CARDS" WHERE "CARD_NUMBER" IS NOT NULL AND ROWNUM <= 10 ) tmp WHERE REGEXP_LIKE("CARD_NUMBER", N'((D|A)([23456]d{3}[ -]?d{4}[ - ]?d{4}[ -]?(d{4}|d{6}))(D|0|z))')
  • 8. Управление конфигурациями Проверка на наличие уязвимостей Пример запроса SELECT ACTION, VERSION,ID FROM DBA_REGISTRY_HISTORY WHERE TO_DATE(TRIM(TO_CHAR(ID)), 'YYMMDD') > SYSDATE-90 AND ID > 160000
  • 9. Права доступа к данным - написание скрипта Регулярная выгрузка данных в читаемом формате. Актуализация и сравнение этих данных с эталонными матрицами доступа.
  • 10. Средства штатного аудита - в пакетах большинства СУБД Самописные скрипты Ручная настройка Штатный аудит обеспечивает стандарт
  • 11. Постоянный контроль всех изменений в базах данных со стороны IT и ИБ подразделений. Актуализация скоупа и поиск новых СУБД вручную. Отсутствие контроля привилегированных пользователей. Снижение производительности СУБД (10%-40%). Недостатки штатного аудита
  • 12. Специализированные средства защиты DBF (Database Firewall)DAM (Database activity monitoring) WAF (Web Application Firewall)
  • 13. Возможности систем DAM для аудита PCI DSS Инвентаризация всех серверов БД, инстансов СУБД и промежуточных серверов WEB-приложений. Определения скоупа PCI DSS – поиск местонахождения полей, таблиц с данными держателей кредитных карт. Сканирование СУБД на оптимальность конфигураций и наличие уязвимостей. Получение матрицы доступа к БД. Непрерывный аудит доступа к данным.
  • 14. Удобство и масштабируемость. Хранение всех запросов и ответов для ретроспективного анализа. Отсутствие влияния на производительность сети и серверов СУБД. Предустановленные отчеты. Графическое предоставление данных. Преимущества DAM-систем
  • 15. PCI DSS содержит требования к защите данных держателей платежных карт и контроля доступа к ним. Штатный аудит и специализированные решения – средства реализации требований PCI DSS Ручной контроль и высокая нагрузка на ИБ-службу и сетевое оборудование как минусы штатного аудита. Специализированные средства - непрерывный автоматизированный контроль доступа к данным держателей платежных карт. ИТОГИ
  • 16. 10+ лет опыта разработки систем высокой сложности Более 300 высококвалифицированных специалистов Собственный исследовательский центр для развития новых проектов 1500 внедрений решений во всех федеральных округах России Система менеджмента качества МФИ Софт сертифицирована на соответствие международному стандарту ISO 9001:2008 Британским институтом стандартов (BSI)