2. Соответствие требованиям
регуляторов
152-ФЗ, 161-ФЗ, П-1119
382-П, PCI DSS
Расследование внутренних
инцидентов и теневых схем
• Поиск и расследование
инцидентов
• Выявление атак на банковские
СУБД
ЗАЧЕМ
ЗАЩИЩАТЬ
БАЗЫ
ДАННЫХ?
3. Требование стандарта
Требование 2 Не использовать пароли и другие системные
параметры, заданные производителем по умолчанию
Требование 3 Обеспечить безопасное хранение данных
держателей карт
Требование 7 Ограничить доступ к данным держателей
карт в соответствии со служебной необходимостью
Требование 8.5 Не использовать групповые, общие и
стандартные учетные записи и пароли, а также прочие
подобные методы аутентификации
Требование 10 Контролировать и отслеживать любой
доступ к сетевым ресурсам и данным держателей карт
На какую информацию в СУБД
проецируется
Учетные записи к СУБД, пароли к УЗ
Значения полей таблиц попадающих под скоуп PCI
DSS
Учетные записи, Роли, Привилегии доступа
Учетные записи СУБД
Учетные записи, таблицы, поля, функции,
хранимые процедуры, и.т.д.
Требования стандарта PCI DSS к
информационным системам
5. Cоответствие требованиям PCI DSS
штатными средствами
Написание скриптов Процедуры хранения
Настройка аудита в
соответствии с 10, 8 и 7
требованиями стандарта
Создание триггеров
6. Отсутствие защиты
Штатный аудит СУБД
Системы классов DAM и DBF
ТЕХНОЛОГИИ
ЗАЩИТЫ БАЗ
ДАННЫХ
Защита баз
данных без
специальных
комплексов
Поиск и классификация данных.
Управления конфигурациями
СУБД.
Анализ привилегий доступа.
Мониторинг доступа к данным.
7. Классификаци
я в СУБД
– поиск
локализации
критичной
информации
Пример запроса
SELECT COUNT(*) FROM (
SELECT "CARD_NUMBER" FROM
"SYS"."CARDS" WHERE
"CARD_NUMBER" IS NOT NULL
AND ROWNUM <= 10 ) tmp WHERE
REGEXP_LIKE("CARD_NUMBER",
N'((D|A)([23456]d{3}[ -]?d{4}[ -
]?d{4}[ -]?(d{4}|d{6}))(D|0|z))')
9. Права доступа к
данным
- написание
скрипта
Регулярная выгрузка данных в
читаемом формате.
Актуализация и сравнение этих
данных с эталонными матрицами
доступа.
10. Средства штатного аудита - в пакетах
большинства СУБД
Самописные скрипты
Ручная настройка
Штатный
аудит
обеспечивает
стандарт
11. Постоянный контроль всех изменений в базах данных со стороны IT и ИБ
подразделений.
Актуализация скоупа и поиск новых СУБД вручную.
Отсутствие контроля привилегированных пользователей.
Снижение производительности СУБД (10%-40%).
Недостатки штатного аудита
13. Возможности
систем DAM
для аудита
PCI DSS
Инвентаризация всех серверов БД, инстансов СУБД
и промежуточных серверов WEB-приложений.
Определения скоупа PCI DSS – поиск
местонахождения полей, таблиц с данными
держателей кредитных карт.
Сканирование СУБД на оптимальность
конфигураций и наличие уязвимостей.
Получение матрицы доступа к БД.
Непрерывный аудит доступа к данным.
14. Удобство и масштабируемость.
Хранение всех запросов и ответов для ретроспективного анализа.
Отсутствие влияния на производительность сети и серверов СУБД.
Предустановленные отчеты.
Графическое предоставление данных.
Преимущества DAM-систем
15. PCI DSS содержит требования к защите данных держателей платежных карт и контроля
доступа к ним.
Штатный аудит и специализированные решения – средства реализации требований PCI
DSS
Ручной контроль и высокая нагрузка на ИБ-службу и сетевое оборудование как минусы
штатного аудита.
Специализированные средства - непрерывный автоматизированный контроль доступа к
данным держателей платежных карт.
ИТОГИ
16. 10+ лет опыта разработки систем высокой сложности
Более 300 высококвалифицированных специалистов
Собственный исследовательский центр
для развития новых проектов
1500 внедрений решений во всех федеральных
округах России
Система менеджмента качества МФИ Софт сертифицирована
на соответствие международному стандарту ISO 9001:2008
Британским институтом стандартов (BSI)