PCI DSS 4.0 новые подходы к выполнению требований
31 марта 2024 года прекратила действовать версия стандарта PCI DSS 3.2.1. Она была выпущена в мае 2018 года и действовала больше пяти лет. В новой четвертой версии стандарта проведена реструктуризация контролей, даны дополнительные разъяснения и уточнения, добавлены более пятидесяти новых требований. Подробнее об этих изменениях и нововведениях рассказывает Андрей Коняхин, руководитель направления международного консалтинга и аудита компании Compliance Control.
В PCI DSS версии 4.0 представлены новые способы выполнения требований и их проверки соответствия стандарту. Организации могут сами выбирать подходы, которые наилучшим образом соответствуют их потребностям. Расскажем об этом подробнее.
Базовый подход (Defined Approach)
Базовый или традиционный подход подразумевает строгое следование всем требованиям стандарта безопасности, включает в себя обязательное выполнение всех требований, представленных в стандарте без дополнительных изменений или исключений. Организации, следующие базовому подходу, стремятся к полной совместимости со стандартом. Этот подход идентичен тому, что применялся в версии 3.2.1 с единственным дополнением – для некоторых требований допускается самостоятельный выбор регулярности исполнения на основе таргетированной оценки рисков.
Компенсационная мера (Compensation Control)
Компенсационные меры представляют собой альтернативные средства или процедуры, применяемые организацией для компенсации недостатков в её системе безопасности и обеспечения соответствия стандарту. У организации могут возникнуть ситуации, когда она не может полностью соответствовать всем требованиям PCI DSS из-за технических или организационных ограничений. В таких случаях организация может предложить компенсационные меры, которые в достаточной степени снижают риск, связанный с невыполнением требования. Компенсирующие меры часто используются в ситуациях, когда существует устаревшая система или процесс, которые невозможно обновить для соответствия требованию. Компенсационные меры аналогичны версии PCI DSS 3.2.1.
Кастомизированный подход (Customized Approach)
Кастомизированный или индивидуальный подход дает организациям больше гибкости в выборе средств и методов выполнения требований стандарта или использования альтернативных технологий – при условии, что они обеспечивают эквивалентный уровень защиты. Важно, чтобы требования с кастомизированным подходом были тщательно документированы и регулярно проверялись на предмет их эффективности. Поскольку каждая реализация уникальна, не может существовать и заранее определенных процедур её проверки. Вместо этого QSA аудитор должен сам разработать и описать процедуры проверки соответствия внедренного средства контроля заявленной цели (Customized Approach Objective). Компенсационные меры не могут применяться при использовании кастомизированного подхода. Следует помнить, что кастомизированный подход – это не способ избежать выполнения требования или быстро устранить проблему, когда ее обнаружил QSA аудитор во время проверки.
Организации могут совмещать базовый и кастомизированный подход, используя базовый подход для выполнения одних требований и кастомизированный для выполнения других. Либо совмещать в рамках одного и того же требования: применять базовый подход к одной группе компонент, а кастомизированный подход – к другой.
Таким образом, благодаря версии PCI DSS 4.0 осуществляются новые подходы к выполнению требований соответствия единому стандарту.
Организации могут совмещать базовый и кастомизированный подход, используя базовый подход для выполнения одних требований и кастомизированный для выполнения других. Либо совмещать в рамках одного и того же требования: применять базовый подход к одной группе компонент, а кастомизированный подход к другой.
Новая структура требований стандарта PCIDSS 4.0
Каждое требование включает в себя следующие элементы:
● Требование (Requirement Description) — номер и краткое описание требования;
● Базовый подход (Defined Approach) и связанные проверочные процедуры (Defined Approach Testing Procedures) — описание традиционного способа выполнения требования и его проверки;
● Цель кастомизированного подхода (Customized Approach Objective) — планируемая цель или конечный результат, который должна реализовать организация, использующая кастомизированный подход;
● Применимость (Applicability Notes) относится как к базовому, так и к кастомизированному подходу. Включает информацию о распространении области, к которой применимо данное требование и зависит от типа организации. В этом разделе также указывается и дата вступления требования в силу: немедленно, либо после 31.03.2025;
● Руководство (Guidance) описывает суть и дает дополнительное понимание о том, как соответствовать требованию. Включает в себя следующие разделы: Цель (Purpose), Лучшие практики (Best Practice) и Определения (Definitions).
Как это выглядит на практике
Разберем способы выполнения на примере требования 11.3.1. Регулярные внутренние сканирования уязвимостей.
Базовый подход описан в разделе Defined Approach Requirements:
● проводить внутренние сканирования не реже, чем раз в три месяца;
● устранять все уязвимости, представляющие «высокий» уровень риска;
● проводить повторные сканирования для подтверждения устранения;
● регулярно обновлять сканер и сигнатуры;
● сканирования должны выполняться квалифицированными специалистами.
Данное требование идентично требованию 11.2.1 предыдущей версии стандарта. Организация должна развернуть сетевой сканер уязвимостей и регулярно сканировать всю свою инфраструктуру.
Организация может использовать кастомизированный подход, основанный на достижении цели данного требования (Customized Approach Objective): установить агенты на все объекты информационной инфраструктуры. Такие агенты получают информацию о системе локально, практически не создавая нагрузки. Агенты собирают детальную информацию о конфигурации системы, установленном прикладном ПО и имеющихся уязвимостях. Далее они передают эту информацию на единую консоль управления в режиме онлайн, где все обнаруженные уязвимости могут оперативно расследоваться и устраняться.
PCI DSS допускает в рамках одного и того же требования совместить оба этих подхода. На часть инфраструктуры установить агенты. Остальную часть инфраструктуры, на которую нет возможности или желания устанавливать локальные агенты — регулярно сканировать классическим сетевым сканером. При выборе этого комбинированного подхода необходимо будет четко описать это разделение, разработать и внедрить дополнительные процедуры проверки работоспособности предпринятых мер, провести оценку рисков. Самое главное не упустить ни один компонент инфраструктуры. Каждый узел должен либо иметь установленный агент, либо регулярно проходить проверку сетевым сканером.
Что выбрать?
Кастомизированный подход требует существенного предварительного планирования и документации. Он предназначен для организаций со зрелыми процессами управления рисками, способных эффективно проектировать, документировать, тестировать и поддерживать собственные реализации контролей ИБ. Рекомендуем выбрать базовый подход, если вы только начинаете знакомиться с PCI DSS и приводить свою инфраструктуру к соответствию требованиям данного стандарта.