Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
On This Page
.gif){kind=icon}
Введение
Обеспечение соответствия требованиям стандарта PCI DSS
Приложения
Введение
Руководство по планированию соответствия требованиям стандарта безопасности данных платежных карт предназначено для содействия организациям в обеспечении соответствия требованиям Стандарта безопасности данных в индустрии платежных карт (PCI DSS). В частности, данное руководство рассчитано на торговые фирмы, принимающие платежные карты, финансовые учреждения, обрабатывающие транзакции по платежным картам, и поставщиков услуг — сторонние компании, которые предлагают услуги обработки и хранения данных платежных карт. ИТ-решения для каждой из этих групп предприятий должны соответствовать требованиям стандарта PCI DSS. Данное руководство дополняет Руководство по планированию соответствия нормам, в котором описывается системный подход к созданию ИТ-средств управления как части мероприятий, направленных на обеспечение соответствия различным нормативным требованиям и стандартам. В руководстве также содержится описание продуктов и технологических решений Майкрософт, которые можно использовать для реализации ряда ИТ-средств в целях обеспечения соответствия требованиям стандарта PCI DSS, а также любым другим нормативным требованиям, применимым к организации.
Примечание. Если в число предоставляемых организацией услуг входит обслуживание банкоматов (ATM), корпорация Майкрософт может предоставить рекомендации по разработке архитектуры и обеспечению безопасности программного обеспечения, систем и сетей для работы банкоматов. Дополнительные сведения см. в Центре загрузки банковских приложений на веб-узле MSDN корпорации Майкрософт.
Данное руководство не содержит исчерпывающих сведений об обеспечении соответствия требованиям стандарта PCI DSS, применимым к любой организации. Для решения конкретных вопросов по обеспечению соответствия организации нормативным требованиям следует обратиться к юрисконсульту или аудитору.
Введение в руководство включает в себя следующие разделы:
Аннотация. В этом разделе содержится обзор требований стандарта PCI DSS и описываются основные цели данного руководства. В разделе также рассматриваются сведения, необходимые ИТ-руководителям, чтобы начать планировать мероприятия по обеспечению соответствия требованиям стандарта PCI DSS.
Целевая аудитория. В этом разделе описывается целевая аудитория, цель и область действия данного руководства, а также предупреждения о его ограничениях.
Стандарт безопасности данных в индустрии платежных карт. В этом разделе содержится обзор стандарта PCI DSS и содержащихся в нем требований.
Планирование соответствия требованиям стандарта PCI DSS. В этом разделе описывается системный подход к обеспечению соответствия требованиям стандарта PCI DSS. Данный подход включает в себя создание различных типов ИТ-средств управления, определение принципов совместной работы этих средств и их важности в процессе обеспечения соответствия требованиям стандарта PCI DSS, а также другим нормативным требованиям.
Процесс аудита на соответствие требованиям стандарта PCI DSS. В этом разделе содержится обзор аудита на соответствие требованиям стандарта PCI DSS, который используется аудиторами для выполнения проверки организации на соответствие требованиям стандарта PCI DSS.
Так как данный документ дополняет Руководство по планированию соответствия нормам, указанное руководство также следует использовать при планировании комплексных решений для обеспечения соответствия различным нормативным требованиям, применимым к организации.
Аннотация
Если организация занимается обработкой, хранением или передачей платежных данных владельцев банковских карт, выполнение всех указанных операций должно быть организовано в соответствии с требованиями стандарта безопасности данных в индустрии платежных карт (Payment Card Industry Data Security Standard — PCI DSS). Требования, определенные в этих стандартах, разработанных Советом по стандартам безопасности в индустрии платежных карт (PCI Security Standards Council), предназначены для обеспечения минимального приемлемого уровня безопасности для владельцев платежных карт, пользующихся услугами организации.
Существуют три проблемы, которые усложняют данную ситуацию. Первая проблема заключается в том, что соответствие требованиям стандарта PCI DSS должно распространяться на всю организацию в целом. Очень важно разработать стратегию соответствия требованиям стандарта PCI DSS в масштабах организации и координировать мероприятия по обеспечению соответствия его требованиям во всех ее подразделениях. Вторая проблема заключается в том, что деятельность организации может регулироваться несколькими наборами норм, каждый из которых включает в себя отдельный комплекс требований. Неудивительно, что многие компании испытывают определенные трудности с пониманием того, как правильно реагировать на различные требования и использовать экономичные процедуры для обеспечения соответствия этим нормам. Третья проблема заключается в том, что стандарт PCI DSS, как и многие другие нормы, затрагивает управление ИТ-средами лишь косвенно и не содержит подробных рекомендаций для руководителей ИТ-подразделений в отношении конкретных мероприятий по обеспечению соответствия требованиям.
Руководство по планированию соответствия требованиям стандарта безопасности данных в индустрии платежных карт предназначено для руководителей ИТ-подразделений компании, ответственных за организацию соответствия требованиям стандарта PCI DSS. Назначение данного руководства — помочь руководителям ИТ-подразделений приступить к обеспечению соответствия организации требованиям к управлению ее ИТ-средой, включая соответствие требованиям стандарта PCI DSS. Для этого руководство содержит сведения о решениях, которые можно использовать для обеспечения соответствия требованиям.
Дополнительные сведения о том, как обеспечить соответствие требованиям нескольких стандартов, см. в Руководстве по планированию соответствия нормам.
Внимание! Данное руководство по планированию не содержит юридических рекомендаций. Оно включает в себя только фактические и технические сведения по обеспечению соответствия нормам. При обеспечении соответствия нормам и требованиям не следует полагаться только на сведения, содержащиеся в данном руководстве. Для решения конкретных вопросов следует обратиться к юрисконсульту или аудитору.
Целевая аудитория
Руководство по планированию соответствия требованиям стандарта PCI DSS в первую очередь предназначено для сотрудников, ответственных за надежный и безопасный сбор, обработку, передачу и хранение данных владельцев банковских карт с соблюдением их конфиденциальности. Целевая аудитория данного руководства включает в себя руководителей ИТ-подразделений, занимающих в организациях указанные ниже должности.
Директора по ИТ (CIO), в обязанности которых входит развертывание и эксплуатация систем и процессов, связанных с информационными технологиями.
Директора по ИТ-безопасности (CISO), в сферу ответственности которых входит разработка общей программы безопасности данных и обеспечение соответствия политикам безопасности данных.
Финансовые директора (CFO), в сферу ответственности которых входит организация общей среды управления предприятием.
Директора по обеспечению конфиденциальности (CPO), ответственные за внедрение политик в области управления личными сведениями, включая обеспечение соответствия законам по защите данных и конфиденциальности.
Специалисты, принимающие технические решения относительно использования определенных технологических средств для устранения конкретных проблем в работе организации.
Руководители отделов ИТ-операций, ответственные за обеспечение работы систем и процессов в целях выполнения программы обеспечения соответствия требованиям стандарта PCI DSS.
Разработчики систем ИТ-безопасности, осуществляющие разработку систем безопасности и управления ИТ-средой для обеспечения надлежащего уровня безопасности в соответствии с нуждами организации.
Разработчики ИТ-инфраструктуры, проектирующие инфраструктуру, которая сможет поддерживать работу систем безопасности и управления ИТ-средой, созданных разработчиками систем ИТ-безопасности.
Консультанты и партнеры, представляющие или внедряющие рекомендации по обеспечению соответствия требованиям стандарта PCI DSS для своих клиентов.
В дополнение к указанной целевой аудитории данное руководство может быть полезно приведенным ниже специалистам.
Специалисты по рискам и обеспечению соответствия нормам, ответственные за общее управление рисками при обеспечении соответствия требованиям стандарта PCI DSS.
Руководители отделов ИТ-аудита, в сферу ответственности которых входит аудит ИТ-систем и снижение рабочей нагрузки на сторонних и собственных ИТ-аудиторов организации.
Стандарт безопасности данных в индустрии платежных карт
Стандарт безопасности данных в индустрии платежных карт (Payment Card Industry Data Security Standard — PCI DSS) — это полный набор требований, разработанных для обеспечения безопасности данных владельцев кредитных и дебитных карт независимо от того, где эти данные собираются, обрабатываются, передаются и хранятся. Стандарт PCI DSS, разработанный основателями Совета по стандартам безопасности в индустрии платежных карт (PCI Security Standards Council), в которых входят компании American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International, призван содействовать принятию унифицированных мер обеспечения безопасности данных во всем мире.
Требования, определенные в стандарте PCI DSS, предназначены для компаний и организаций, частью повседневной деятельности которых является обработка данных владельцев банковских карт. В частности, стандарт PCI DSS устанавливает требования для финансовых учреждений, торговых фирм и поставщиков услуг, которые обрабатывают данные владельцев банковских карт в ходе повседневной деятельности. Стандарт PCI DSS представляет собой перечень требований в отношении систем управления безопасностью, политик, процедур, сетевой архитектуры, разработки программного обеспечения и других мер защиты данных владельцев банковских карт.
Стандарт PCI DSS 1.1 — это наиболее поздняя версия этого стандарта, выпущенная в сентябре 2006 г. Стандарт представляет собой группу из шести принципов и двенадцати сопутствующих требований. Каждое требование включает в себя дополнительные требования, для обеспечения соответствия которым необходимо разработать и внедрить определенные процессы, политики или технологические решения. Политики и требования стандарта PCI DSS перечислены ниже.
Построение и обслуживание защищенной сети
Требование 1. Необходимо настроить и поддерживать конфигурацию брандмауэра для защиты данных владельцев банковских карт.
Требование 2. Нельзя использовать системные пароли и другие параметры безопасности, установленные поставщиками по умолчанию.
Защита данных владельцев банковских карт
Требование 3. Необходимо защищать сохраненные данные владельцев банковских карт.
Требование 4. Необходимо шифровать данные владельцев банковских карт при передаче по общедоступным сетям.
Поддержка программы управления уязвимостями
Требование 5. Необходимо использовать и регулярно обновлять антивирусные программы.
Требование 6. Необходимо разработать и поддерживать защищенные системы и приложения.
Реализация надежных мер контроля доступа
Требование 7. Необходимо ограничивать доступ к данным владельцев банковских карт по принципу служебной необходимости.
Требование 8. Необходимо присвоить уникальный идентификатор каждому лицу, располагающему доступом к компьютеру.
Требование 9. Необходимо ограничить физический доступ к данным владельцев банковских карт.
Регулярное наблюдение за сетями и их тестирование
Требование 10. Необходимо отслеживать и контролировать все сеансы доступа к сетевым ресурсам и данным владельцев банковских карт.
Требование 11. Необходимо регулярно тестировать системы и процессы в области обеспечения безопасности.
Внедрение политики информационной безопасности
- Требование 12. Необходимо внедрить политику, направленную на обеспечение информационной безопасности.
Требования 9 и 12 не обязательно подразумевают внедрение технологических решений. Требование 9 указывает на необходимость обеспечения физической безопасности помещений, в которых осуществляется обработка и хранение данных владельцев банковских карт. Меры по обеспечению физической безопасности могут включать в себя внедрение контроля доступа в здание, установку и обслуживание оборудования для наблюдения и обязательную проверку личности всех сотрудников и посетителей. Требование 12 указывает на необходимость разработки политики информационной безопасности и осведомления о ее требованиях всех сотрудников, поставщиков и любых других третьих лиц, работающих с данными владельцев банковских карт.
Планирование соответствия требованиям стандарта PCI DSS
Разрабатывать решения по обеспечению соответствия требованиям стандарта PCI DSS в отрыве от других требований неэффективно и экономически невыгодно. Существует ряд других норм, которые следует учитывать при планировании подходов к обеспечению соответствия требованиям стандарта PCI DSS. К ним относятся следующие:
Закон Сарбэйнса-Оксли 2002 г.;
Акт Грэма-Лича-Блили (Акт о модернизации финансовой системы 1999 г.);
Акт о передаче и защите данных учреждений здравоохранения HIPAA;
Директива ЕС по защите данных;
стандарт ISO 17799:2005 «Управление информационной безопасностью: нормы и правила (ISO 17799)».
Примечание. Если организация работает в нескольких странах, необходимо позаботиться о соблюдении установленных государством норм во всех странах, в которых расположены ее представительства. Корпорация Майкрософт рекомендует обращаться за консультациями к местным юрисконсультам, обладающим более глубоким знанием нормативных актов страны, в которой организация осуществляет деятельность.
Дополнительные сведения о мероприятиях по планированию соответствия указанным нормам см. в Руководстве по планированию соответствия нормам.
Разработка решений по обеспечению соответствия требованиям стандарта PCI DSS в организации должна осуществляться с учетом следующих факторов:
существующие решения, соответствующие другим нормативным требованиям;
наилучшие способы создания новых решений, которые будут соответствовать всем нормативным требованиям.
Для более эффективного достижения целей по организации соответствия требованиям корпорация Майкрософт рекомендует использовать структуру управления, способствующую решению соответствующих задач. Использование структуры управления позволяет организации адаптировать такую структуру системы под применимые нормы и стандарты. Благодаря этому организация может более эффективно концентрировать усилия в сфере управления информационными технологиями, направленные на обеспечение соответствия всей структуре требований, а не каждому отдельному требованию.
Кроме того, все новые нормы и требования можно включать в существующую структуру и затем концентрировать усилия в тех ее частях, где требования изменены. Более того, в данную структуру можно включить большое количество требований, относящихся к управлению информационными технологиями, включая специфические для той или иной отрасли, например требования безопасности в индустрии платежных карт, внутренние политики и т. д.
Использование подобной структуры представляет значительные преимущества для организаций, которые стремятся обеспечить соответствие нормативным требованиям. Структурный подход к обеспечению соответствия нормативным требованиям позволяет организациям решать следующие задачи:
комбинировать ИТ-средства управления в целях соответствия требованиям нескольких стандартов, например стандарта PCI DSS и Директивы ЕС о защите данных, чтобы избежать отдельных процедур аудита;
оперативно обеспечивать соответствие новым нормам;
определять приоритеты в расходах, выбирая те ИТ-средства, которые позволят достичь наилучших результатов;
избегать дублирования одних и тех же действий в различных подразделениях компании при обеспечении соответствия нормативным требованиям;
более эффективно обновлять требования путем постепенного изменения существующих в организации ИТ-средств управления;
обеспечивать взаимодействие между ИТ-подразделениями и аудиторами на основе общих интересов.
Разумеется, перед началом планирования мероприятий по обеспечению соответствия требованиям стандарта PCI DSS необходимо ознакомиться с содержанием этого стандарта. Загрузить стандарт PCI DSS можно по адресу https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf. Кроме того, Совет по стандартам безопасности платежных карт разработал анкету, которая позволит организации самостоятельно определить степень соответствия требованиям стандарта PCI DSS. Эту анкету можно также использовать при планировании мероприятий по обеспечению соответствия организации требованиям стандарта PCI DSS. Загрузить анкету для самостоятельной оценки соответствия требованиям стандарта PCI DSS можно по адресу https://www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf.
Дополнительные сведения об обеспечении соответствия нормативным требованиям посредством использования ИТ-средств в структуре управления см. в Руководстве по планированию соответствия нормам.
Процесс аудита на соответствие требованиям стандарта PCI DSS
Процесс аудита на соответствие требованиям стандарта PCI DSS во многом аналогичен процессу, описанному в Руководстве по планированию соответствия нормам. Однако существуют некоторые отличия, обусловленные спецификой стандарта PCI DSS, о которых следует знать.
Аудит на соответствие требованиям стандарта PCI DSS осуществляется двумя типами сторонних организаций — со статусом Qualified Security Assessors (QSA) либо Approved Scanning Vendors (ASV). Организации типа QSA осуществляют часть процесса аудита непосредственно в организации, а организации типа ASV выполняют проверку интернет-систем организации на наличие уязвимостей. Совет по стандартам безопасности платежных карт ежегодно выполняет проверку всех организаций, имеющих статус QSA или ASV.
После выполнения аудита организация типа QSA обязана предоставить отчет в соответствии с рекомендациями, определенными в стандарте PCI DSC. Эти рекомендации содержатся в документе по процедурам аудита на соответствие требованиям стандарта PCI, который можно загрузить по адресу https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf. Данные рекомендации определяют структуру отчета, который должен быть предоставлен организацией QSA после выполнения аудита. Отчет должен включать в себя контактные данные организации, в которой выполнялся аудит, дату проведения аудита, аннотацию, описание объема выполненных работ и подходов, использованных организацией QSA при выполнении аудита, поквартальные результаты сканирования, а также итоговые наблюдения и выводы. Последний раздел содержит основную часть сведений о соответствии организации, в которой выполнялся аудит, требованиям стандарта PCI DSS. В этом разделе организация QSA с использованием шаблона сообщает о соответствии организации каждому основному и дополнительному требованию стандарта PCI DSS.
Перед тем как запланировать аудит организации на соответствие требованиям стандарта PCI DSS, или, что еще лучше, при планировании мероприятий по обеспечению соответствия требованиям стандарта ключевые руководители организации должны ознакомиться с процедурами аудита на соответствие требованиям стандарта PCI DSS. Это позволит лучше понять, какие аспекты деятельности анализируются организацией типа QSA в процессе выполнения аудита.
Организация типа ASV также обязана подготовить отчет по результатам проверки интернет-систем организации на наличие уязвимостей. Рекомендации по созданию данного отчета содержатся в документе по процедурам проверки на соответствие требованиям стандарта PCI, который можно загрузить по адресу https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf. Этот документ определяет элементы ИТ-среды организации, проверку которых должна выполнить организация ASV, а также содержит ключи для интерпретации данных отчета.
Чтобы операторы платежных карт официально признали, что торговая организация или поставщик услуг соответствует требованиям стандартов для платежных карт, необходимо представить отчет о соответствии данным требованиям согласно правилам, определенным каждой из компаний. Другими словами, если организация является поставщиком услуг и в ходе своей деятельности обрабатывает данные владельцев банковских карт Visa и American Express, эта организация должна представить отчет о соответствии требованиям отраслевых стандартов в компании Visa и American Express.
У различных операторов платежных карт существуют незначительные различия в правилах и процедурах обеспечения соответствия требованиям данных стандартов. Чтобы получить дополнительные сведения о конкретных требованиях к обеспечению соответствия нормам и программах поддержки, которые предлагают операторы платежных карт для соответствия торговых компаний и поставщиков услуг определенным требованиям, следует связаться с представителями операторов карт, данные владельцев которых обрабатывает, передает или хранит организация.
.gif){kind=icon}
Обеспечение соответствия требованиям стандарта PCI DSS
В этом разделе описаны технологические решения корпорации Майкрософт, которые организация может рассмотреть при планировании обеспечения соответствия требованиям стандарта PCI DSS. Выбранные решения необходимо будет внедрить в повседневные рабочие процессы, выполняемые в организации. Как упоминалось ранее в разделе «Планирование соответствия требованиям стандарта PCI DSS», все политики, процедуры и технологические решения должны разрабатываться с учетом соответствия нормативным требованиям в масштабах всей организации. Необходимо также учитывать, как соответствие нормативным требованиям повлияет на все структурные подразделения компании.
Дополнительные сведения по вопросам, связанным с выбором технологических решений, соответствующих ИТ-средствам, см. в Руководстве по планированию соответствия нормам.
Управление документами
Решения в сфере управления документами объединяют в себе программное обеспечение и процессы для управления неструктурированными данными в организации. Эти данные могут быть представлены в большом количестве цифровых форматов, включая документы, изображения, звуковые и видеофайлы, а также файлы в формате XML.
Выполнение требований стандарта PCI DSS
Внедрение решений по управлению документами способствует обеспечению соответствия требованиям стандарта PCI DSS двумя способами. Во-первых, использование подобных решений для управления документами, содержащими данные владельцев банковских карт, позволяет обеспечивать соответствие требованиям стандарта PCI DSS к организации доступа к данным, а также к управлению ими и их защите. В частности, решения по управлению документами можно использовать для обеспечения соответствия требованию 7 и дополнительному требованию 10.2.1. Кроме того, системы управления документами можно использовать для исполнения и публикации политик, необходимых для соответствия требованиям, изложенным в разделах 3.6, 6.4, 9.2 и 12.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, которые можно использовать в сочетании или отдельно для создания ИТ-средств управления документами. Разработку этих средств следует выполнять с учетом необходимости соответствия требованиям стандарта PCI DSS, а также другим нормативным требованиям, применимым к организации.
-
**Служба управления правами Microsoft® Windows®**. Служба управления правами Windows (RMS) — это программная платформа, которая обеспечивает защиту цифровых данных приложений от несанкционированного доступа в интерактивном и автономном режимах по обе стороны брандмауэра. RMS — это технология, лежащая в основе функции управления правами на доступ к данным (IRM) в пакете Microsoft Office и службах Windows SharePoint® Services. Для использования этих функций требуется наличие RMS-сервера, который развернут в организации или доступен в качестве службы, размещенной на стороннем узле.
Служба управления правами (RMS) может дополнить стратегию безопасности организации в сфере защиты данных за счет постоянных политик использования, закрепленных за данными вне зависимости от того, где он находятся. Приложения с поддержкой службы управления правами можно использовать для управления доступом к документам, содержащим данные владельцев банковских карт, а также для его контроля и аудита. Клиент RMS интегрирован в операционную систему Windows Vista™. Клиент RMS для других версий операционной системы Windows можно загрузить бесплатно. Дополнительные сведения см. на веб-узле службы управления правами Windows по адресу http://www.microsoft.com/rms.
- **Сервер Microsoft Office SharePoint Server**. Сервер SharePoint Server — это сервер для организации совместной работы и управления содержимым, который обеспечивает интегрированную платформу для решения задач по управлению документами и порталом организации. Данный сервер поддерживает работу с интрасетью, экстрасетью и веб-приложениями в пределах всего предприятия и предоставляет ИТ-специалистам и разработчикам платформу и средства, необходимые для администрирования сервера, а также для расширения приложений и поддержки их взаимодействия. Сервер SharePoint Server можно использовать как центральное хранилище документов с данными владельцев банковских карт, а также документов, содержащих описание политик и процессов. Сервер SharePoint Server 2007 интегрирован со службой управления правами (RMS). Таким образом, можно обеспечить применение политик управления доступом для всех копий содержимого, загружаемого с сервера SharePoint Server 2007. Эта функция позволяет администраторам веб-узлов ограничить загрузку документов из библиотеки с помощью управления правами на доступ к данным (IRM). Если пользователь пытается загрузить файл из библиотеки, службы Microsoft Windows SharePoint Services проверяют наличие у пользователя соответствующих разрешений и выдают лицензию на доступ к файлу на уровне, соответствующем имеющимся разрешениям. Затем службы Windows SharePoint Services загружают файл на компьютер пользователя в зашифрованном формате, который можно прочитать, только обладая соответствующим уровнем прав. Дополнительные сведения см. на веб-узле [Технологии и продукты Microsoft SharePoint](http://go.microsoft.com/fwlink/?linkid=12632) по адресу
- **Сервер Microsoft Exchange Server**. Сегодня для большинства предприятий электронная почта является критически важным средством связи, которое в процессе выполнения работы сотрудники используют постоянно. Рост использования электронной почты приводит к увеличению количества отправляемых и получаемых сообщений, повышению объема и разнообразия задач, которые можно выполнить с помощью электронной почты, а также к общему ускорению всех бизнес-операций. Сервер Exchange Server представляет собой многофункциональную платформу обмена сообщениями, предназначенную для управления обменом сведениями в организации. Использование данного сервера также позволяет обеспечивать соответствие требованиям стандарта PCI DSS. Сервер Exchange Server 2007 включает в себя единую систему обмена сообщениями, которая позволяет пользователю принимать в свой почтовый ящик электронную и голосовую почту, а также факсы. Возможности сервера также позволяют организации применять правила хранения, проверять и выполнять действия над сообщениями в транспорте, пользоваться гибкой функцией ведения журналов и выполнять полнотекстовый поиск по всем развернутым почтовым ящикам. Дополнительные сведения см. на веб-узле Microsoft Exchange Server по адресу
-
**Пакет Microsoft Office**. Пакет Microsoft Office — это набор высококачественных приложений для предприятий, предназначенных для повышения эффективности. Функция управления правами на доступ к данным в пакете Microsoft Office позволяет организациям управлять доступом к конфиденциальным данным, таким как данные владельцев банковских карт.
В частности, функция управления правами на доступ к данным пакета Microsoft Office позволяет организации решать следующие задачи:
- предотвращать несанкционированную пересылку, копирование, вырезание и вставку, изменение, распечатку и отправку защищенных данных по факсу;
- предотвращать копирование защищенных данных с помощью функции Print Screen в Windows;
- обеспечивать одинаковый уровень защиты данных вне зависимости от того, где они находятся (эта функция также называется постоянной защитой);
- обеспечивать одинаковый уровень защиты для всех вложений электронной почты, созданных в приложениях пакета Microsoft Office, таких как Microsoft Excel® или Microsoft Word;
- защищать данные в сообщениях электронной почты или документах с назначенным сроком действия, после истечения которого данные нельзя будет просмотреть;
- реализовывать корпоративные политики для управления использованием и распространением данных как внутри компании, так и за ее пределами.
Оценка рисков
Оценка рисков — это процесс, с помощью которого организация определяет риски, связанные со своей деятельностью, и устанавливает приоритеты в их отношении. Как правило, для определения активов систем обработки данных, угроз для этих активов и уязвимостей систем для угроз используется систематический метод. В контексте соответствия нормативным требованиям оценка рисков представляет собой процесс определения уровня соответствия нормам и выявления несоответствий в пределах организации. При планировании соответствия требованиям стандарта PCI DSS основной задачей является определение рисков для данных владельцев банковских карт и установление приоритетов в отношении выявленных угроз.
Выполнение требований стандарта PCI DSS
Оценка рисков позволяет обеспечивать соответствие требованиям стандарта PCI DSS несколькими способами. В процессе выявляются участки сети, которые необходимо обновить для обеспечения соответствия нормативным требованиям. Даже после обеспечения соответствия нормативным требованиям важно использовать оценку рисков для определения уровня соответствия организации нормативным требованиям с течением времени. Поскольку оценка рисков позволяет выявить ряд потенциальных проблем, ее можно использовать для обеспечения соответствия большому количеству требований стандарта PCI DSS, включая требования 1, 3, 4, 5, 6, 7, 8 и 11.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, которые можно использовать в сочетании или отдельно друг от друга для создания ИТ-средств для оценки рисков. Разработку этих средств следует выполнять с учетом необходимости соответствия требованиям стандарта PCI DSS, а также другим нормативным требованиям, применимым к организации.
Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA). Одно из основных средств, которые можно использовать при оценке рисков для данных владельцев банковских карт — это анализатор безопасности MBSA. Анализатор безопасности MBSA — это простое в применении средство для определения наиболее распространенных ошибок в конфигурации систем безопасности ряда продуктов Майкрософт, включая операционные системы Microsoft Windows, службы IIS, сервер SQL Server™, обозреватель Microsoft Internet Explorer® и пакет Microsoft Office. Анализатор безопасности MBSA также выполняет проверку на наличие отсутствующих обновлений для системы безопасности, накопительных пакетов обновления и пакетов обновления, опубликованных на веб-узле Центра обновления Майкрософт. С анализатором безопасности MBSA можно работать как из командной строки, так и с помощью собственного графического интерфейса пользователя. Анализатор можно использовать с Центром обновления Майкрософт и службами Microsoft Windows Server® Update Services. Поскольку регулярное обновление всех систем является очень важным способом защиты данных владельцев банковских карт, анализатор безопасности MBSA представляет собой весьма ценное средство оценки рисков, с которыми может столкнуться организация.
Дополнительные сведения об анализаторе безопасности Microsoft Baseline Security Analyzer см. по адресу http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Сервер Microsoft Systems Management Server. Если на предприятии используется Microsoft Systems Management Server (SMS) для управления клиентскими компьютерами и серверами, организация уже может иметь определенный набор средств для оценки рисков для данных владельцев банковских карт. С помощью сервера SMS можно через распределенную сеть удаленно управлять параметрами безопасности компьютеров с операционной системой Windows. Можно проводить инвентаризацию компьютеров на наличие необходимых обновлений программного обеспечения, а также отслеживать процесс развертывания обновлений на этих компьютерах. Сервер SMS также позволяет создавать отчеты с указанием полного перечня программного обеспечения и оборудования, подробных сведений о конфигурации и состоянии компьютеров в сети, а также о состоянии и ошибках развертывания программного обеспечения. Данные возможности могут оказаться очень полезными при оценке рисков для данных владельцев банковских карт в пределах организации.
Дополнительные сведения о Microsoft Systems Management Server (SMS) см. на странице сервера по адресу http://www.microsoft.com/smserver/default.mspx.
Службы сбора данных аудита в приложении Microsoft System Center Operations Manager. Приложение Microsoft Operations Manager 2007 позволяет безопасно и эффективно извлекать и собирать журналы безопасности операционных систем Windows, а также сохранять их для последующего анализа и составления отчетов. Извлеченные журналы сохраняются в отдельной базе данных служб сбора данных аудита. Operations Manager может отправлять отчеты, которые используются службами сбора данных аудита. Службы сбора данных аудита можно использовать для создания различных отчетов о соответствии нормативным требованиям, например требованиям Закона Сарбейнса-Оксли. Службы сбора данных аудита можно также использовать для анализа безопасности, а также обнаружения попыток вторжения и получения несанкционированного доступа.
Дополнительные сведения о службах сбора данных аудита см. по адресу http://technet.microsoft.com/en-us/library/bb381258.aspx.
Службы Windows Server Update Services.** **Службы Windows Server Update Services с пакетом обновления 1 (SP1) позволяют организации выполнять развертывание ряда новейших обновлений для продуктов Майкрософт, опубликованных на веб-узле Центра обновления Майкрософт. Службы Windows Server Update Services являются компонентом обновления системы Windows Server и позволяют выполнять обновление систем быстро и эффективно. Службы Windows Server Update Services (WSUS) предоставляют инфраструктуру оценки рисков, включающую в себя приведенные ниже компоненты.
Центр обновления Майкрософт. Веб-узел корпорации Майкрософт, к которому подключаются компоненты WSUS для получения обновлений продуктов Майкрософт.
Сервер служб Windows Server Update Services. Серверный компонент, который устанавливается на компьютер с операционной системой Microsoft Windows 2000 Server с пакетом обновления 4 (SP4) или Windows Server 2003 в сегменте сети, защищенном корпоративным брандмауэром. Сервер служб Windows Server Update Services обеспечивает возможности, необходимые администратору для управления обновлениями и их распространения с помощью веб-средства, доступ к которому можно получить через обозреватель Internet Explorer на любом компьютере с операционной системой Windows внутри корпоративной сети. Кроме того, сервер служб Windows Server Update Services может служить источником обновлений для других серверов служб Windows Server Update Services.
Автоматическое обновление. Компонент клиентского компьютера, встроенный в операционные системы Microsoft Windows Vista, Windows Server 2003, Windows XP и Windows 2000 с пакетом обновления 3 (SP3). Автоматические обновления позволяют серверу и клиентскому компьютеру получать обновления из Центра обновления Майкрософт или загружать их с сервера служб Windows Server Update Services.
Эти службы позволяют обеспечить все узлы внутри сети последними исправлениями безопасности, выпущенными корпорацией Майкрософт, для установленных продуктов.
Дополнительные сведения о службах Windows Server Update Services см. на странице служб по адресу http://www.microsoft.com/windowsserversystem/updateservices/default.mspx.
Групповая политика. Групповая политика — это инфраструктура, которая позволяет ИТ-специалистам реализовывать конкретные конфигурации для пользователей и компьютеров. Параметры групповой политики содержатся в объектах групповой политики, которые связаны со следующими контейнерами службы каталогов Microsoft Active Directory®: сайтами, доменами или подразделениями (OU). С помощью групповой политики можно централизованно управлять компьютерами в распределенной сети. Поскольку администраторы могут использовать групповую политику для распространения программного обеспечения в пределах сайта, домена или диапазона подразделений, данное средство представляется крайне важным для определения рисков, угрожающих ИТ-среде организации.
Для управления параметрами групповой политики можно использовать консоль управления групповыми политиками. Консоль управления групповыми политиками представляет собой централизованное средство, предназначенное для упрощения управления основными параметрами групповой политики. Она обеспечивает решение задач развертывания групповой политики благодаря следующим возможностям:
интерфейс пользователя для облегчения работы с групповыми политиками;
возможность архивировать и восстанавливать объекты групповой политики;
возможность импортировать и экспортировать, а также копировать и вставлять объекты групповой политики и фильтры WMI;
упрощенное управление параметрами безопасности, связанными с групповыми политиками;
возможность создавать отчеты в формате HTML по параметрам объектов групповой политики и данным результирующей политики (RSoP);
возможность создавать сценарии операций объектов групповой политики, контролируемых консолью (консоль не позволяет использовать сценарии настройки внутри объектов групповой политики).
Дополнительные сведения о групповой политике в Windows Server 2003 см. по адресу http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx. Сведения о консоли управления групповыми политиками см. по адресу http://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx.
Управление изменениями
Управление изменениями — это структурированный процесс, с помощью которого организация оценивает изменения в плане проекта, ИТ-инфраструктуре, развертывании программного обеспечения или других процессах и процедурах. Система управления изменениями способствует определению изменений, оценке воздействия изменений, определению действий, необходимых для реализации изменений, и распространению сведений об изменениях в пределах всей организации. Система также помогает отслеживать происходящие в организации изменения. Все это позволяет сохранять контроль над ИТ-средой организации в процессе ее изменения.
Например, в систему управления изменениями организации может быть включена база данных, в которой будут содержаться сведения об успешных и неудачных попытках реализации в прошлом. На основе этих данных персонал организации сможет принимать более эффективные решения о подобных изменениях. Управление изменениями — это также структурированный процесс, который помогает указывать на наличие и состояние изменений всем сторонам, на работу которых повлияют изменения. Данный процесс позволяет организовать систему инвентаризации, которая будет указывать на то, какие действия были предприняты и когда эти действия повлияли на состояние основных ресурсов, чтобы предсказать и устранить потенциальные проблемы и упростить управление ресурсами.
Выполнение требований стандарта PCI DSS
Управление изменениями так же важно для соответствия требованиям стандарта PCI DSS, как и любое другое мероприятие, направленное на обеспечение соответствия нормативным требованиям. Если организации не известно, какие изменения были выполнены в ее ИТ-среде, вряд ли можно утверждать, что ИТ-среда является защищенной. Отслеживание изменений в сети, системах, политиках и процедурах позволяет обеспечивать соответствие требованиям 6 и 11 стандарта PCI DSS.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, возможность применения которых можно рассмотреть при разработке решений по управлению изменениями в организации.
Сервер Microsoft Office SharePoint Server. Кроме использования в решениях по управлению документами, сервер Microsoft Office SharePoint Server может также применять в качестве основного элемента системы управления изменениями в организации. Возможности сервера по отслеживанию версий можно использовать для наблюдения за изменениями в документах по политике и процессам, обновлениями и другими изменениями в приложениях, а также изменениями в утвержденном программном обеспечении.
Дополнительные сведения см. в разделе «Управление документами», а также на веб-узле Технологии и продукты Microsoft SharePoint по адресу http://go.microsoft.com/fwlink/?linkid=12632.
Сервер Microsoft Systems Management Server. Возможности сервера Microsoft Systems Management Server (SMS) по управлению можно использовать не только для оценки рисков организации, но и для отслеживания изменений в компьютерных системах в пределах организации. Сервер может отслеживать изменения параметров безопасности и приложения, устанавливаемые на серверах и клиентских компьютерах в сети. Также можно использовать широкие возможности сервера Microsoft Systems Management Server (SMS) по созданию отчетов, чтобы анализировать выполненные в компьютерах организации изменения на предмет соответствия установленным требованиям безопасности.
Дополнительные сведения о сервере SMS см. на странице сервера по адресу http://www.microsoft.com/smserver/default.mspx.
Средство Microsoft SMS 2003 Desired Configuration Monitoring 2.0. Можно повысить производительность операций сервера SMS с помощью средства наблюдения за необходимой конфигурацией Desired Configuration Monitoring (DCM) для сервера Microsoft SMS 2003. Это средство можно использовать, чтобы автоматизировать аудит управления конфигурацией, в ходе которого сравниваются необходимые или назначенные параметры конфигурации с фактическими параметрами. Для этого средство DCM позволяет пользователю задать необходимые параметры конфигурации оборудования, операционной системы и приложений в нескольких источниках данных конфигурации. Затем, используя встроенный модуль аудита, средство DCM сравнивает заданные параметры с фактически существующими и выдает отчет о соответствии требованиям.
Средство DCM позволяет сокращать время незапланированных простоев, сопоставлять данные конфигурации и снижать затраты на техническое обслуживание. Кроме того, оно включает в себя простое в использовании средство редактирования XML и рекомендации по определению элементов конфигурации оборудования и программного обеспечения. Средство DCM также создает подробные отчеты о соответствии требованиям, что облегчает обнаружение и устранение ошибок конфигурации.
Пакет Microsoft Desktop Optimization Pack для гарантии на программное обеспечение. Пакет Microsoft Desktop Optimization Pack для гарантии на программное обеспечение представляет собой службу подписки, которая предназначена для снижения затрат на развертывание приложений, доставки приложений в качестве служб, а также для повышения эффективности управления средой настольных компьютеров на предприятии и контроля над нею. Пакет оптимизации для настольных компьютеров (Desktop Optimization Pack) позволяет усовершенствовать процессы управления изменениями и откатами с помощью следующих функций:
усовершенствованное управление групповой политикой;
сокращение времени простоя;
доступ к приложениям по запросу для уполномоченных пользователей.
Пакет Microsoft Desktop Optimization Pack доступен только для тех клиентов, которые приобрели для настольных компьютеров гарантию на программное обеспечение. Дополнительные сведения см. в статье «Оптимизация настольных компьютеров с системой Windows» по адресу http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx.
Безопасность сети
Решения по обеспечению безопасности сети представляют собой широкую категорию решений, направленных на обеспечение безопасности всех составляющих сети организации, включая брандмауэры, серверы, клиенты, маршрутизаторы, коммутаторы и точки доступа. Планирование и контроль системы безопасности сети организации является основным элементом обеспечения соответствия требованиям стандарта PCI DSS. Существует большое количество решений, разработанных для обеспечения сетевой безопасности, и организация, скорее всего, уже использует те или иные элементы защищенной сети. Гораздо более эффективно и рентабельно строить систему безопасности сети на основе уже реализованных решений, а не начинать все заново.
Однако организация может также рассмотреть возможность изменения некоторых технологий, используемых в настоящий момент, или остановиться на внедрении абсолютно нового решения, пока не включенного в стратегию сетевой безопасности. Корпорация Майкрософт предлагает несколько технологических решений и рекомендаций по реализации решений сетевой безопасности в соответствии с нуждами организации.
Выполнение требований стандарта PCI DSS
Стандарт безопасности данных платежных карт четко указывает на необходимость построения защищенной сети в масштабе организации. Политика 1 указывает, что в целях обеспечения соответствия требованиям стандарта организация должна построить защищенную сеть и поддерживать ее работу. В требовании 1 говорится о том, что в организации необходимо настроить конфигурацию брандмауэра и обеспечивать ее работу для защиты данных владельцев банковских карт. В требовании 2 указано, что необходимо изменить системные пароли и другие параметры безопасности, установленные поставщиком по умолчанию. Решения по обеспечению сетевой безопасности также позволят организации соответствовать требованиям 4 и 10, в которых указана необходимость шифрования передачи данных владельцев банковских карт и отслеживания и контроля всех попыток доступа к сети.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт предлагает несколько технологических решений, возможность использования которых организация может рассмотреть при планировании соответствия первым двум требованиям стандарта PCI DSS.
Брандмауэр Microsoft Windows. Операционная система Windows XP с пакетом обновления 2 (SP2) включает в себя брандмауэр Windows, который пришел на смену брандмауэру подключения к Интернету (ICF). Брандмауэр Windows — это брандмауэр для фильтрации по узлам с отслеживанием состояния, который отбрасывает нежелательный входящий трафик, не соответствующий трафику, отправленному в ответ на запрос компьютера (запрошенному трафику), или нежелательному трафику, который был помечен как допустимый (исключенному трафику). Брандмауэр Windows обеспечивает защиту от злоумышленников и вредоносных программ, которые пытаются атаковать компьютеры в сети с помощью нежелательного входящего трафика. Эти функции были усовершенствованы в брандмауэре Windows в режиме повышенной безопасности в операционных системах Windows Vista и Windows Server Longhorn.
Брандмауэр Windows в режиме повышенной безопасности позволяет блокировать входящие и исходящие подключения на основе параметров, заданных в оснастке консоли управления (MMC). Данная оснастка не только предоставляет интерфейс для локальной настройки брандмауэра Windows, но также позволяет настраивать брандмауэр Windows на удаленных компьютерах и с помощью групповой политики. Функции брандмауэра теперь интегрированы с протоколом IPsec, что снижает вероятность возникновения конфликта между двумя механизмами защиты. Брандмауэр Windows в режиме повышенной безопасности поддерживает отдельные профили для компьютеров, подключенных к домену, частной или общедоступной сети. Брандмауэр также поддерживает создание правил для применения политик изоляции сервера и домена. Брандмауэр Windows в режиме повышенной безопасности поддерживает более детальные правила, включая пользователей и группы Microsoft Active Directory, IP-адреса источника и назначения, номер IP-порта, параметры ICMP и IPsec, определенные типы интерфейсов, службы и т. д.
Дополнительные сведения о брандмауэре Windows см. по адресу http://www.microsoft.com/technet/network/wf/default.mspx.
Сервер Microsoft Internet Security and Acceleration Server. Сервер Microsoft Internet Security and Acceleration (ISA) Server помогает защищать сеть несколькими способами. Во-первых, можно использовать этот сервер, чтобы предоставить пользователям удаленный доступ к корпоративным приложениям через Интернет. Для этого необходимо настроить сервер ISA Server на предварительную проверку подлинности входящих запросов пользователей, проверку всего трафика (включая зашифрованный) на уровне приложений и предоставление автоматических средств публикации. Во-вторых, если организация имеет филиалы, ISA Server позволяет использовать сжатие HTTP, кэширование содержимого и возможности виртуальной частной сети (VPN) для простого и безопасного расширения корпоративной сети. В-третьих, с помощью ISA Server можно защитить сеть от внутренних и внешних интернет-угроз. Это достигается за счет архитектуры, сочетающей в себе принципы прокси-сервера и брандмауэра, возможностей проверки содержимого, детальных параметров политики, а также широких возможностей оповещения и отслеживания.
Дополнительные сведения о сервере Microsoft Internet Security and Acceleration Server см. по адресу http://www.microsoft.com/isaserver/default.mspx.
Изоляция серверов и доменов с помощью протокола IPsec и групповой политики Active Directory. При изоляции серверов и доменов создается уровень комплексной защиты, который значительно снижает риск вредоносных атак и несанкционированного доступа к сетевым ресурсам. Данное решение, основанное на использовании протокола Windows IPsec и групповой политики Active Directory, позволяет динамически сегментировать среду Windows на более защищенные и изолированные логические сети. Существует несколько способов создания изолированной сети. Можно логически изолировать весь управляемый домен или создавать более защищенные виртуальные сети, включающие в себя определенные серверы, конфиденциальные данные и клиенты, где доступ к данным предоставляется только уполномоченным и проверенным пользователям. Кроме того, определенные серверы или сети могут защищать данные с помощью шифрования. Шифрование трафика между определенными подсетями или узлами сети позволяет соответствовать требованиям деловых партнеров и нормативным требованиям по шифрованию данных при их передаче по сети.
Дополнительные сведения см. на странице, посвященной изоляции серверов и доменов, на веб-узле Microsoft TechNet по адресу http://www.microsoft.com/technet/network/sdiso/default.mspx.
Мастер настройки безопасности для Windows Server 2003. Мастер настройки безопасности поможет защитить сеть посредством снижения количества возможных направлений атаки на сервер Windows Server 2003 с пакетом обновления 1 (SP1). Мастер настройки безопасности определяет минимальный набор функций, необходимых для выполнения ролей сервера, и отключает все остальные функции. В частности, мастер настройки безопасности выполняет следующие действия:
отключает неиспользуемые службы;
блокирует неиспользуемые порты;
разрешает дополнительные адреса или применяет ограничения безопасности для открытых портов;
запрещает ненужные веб-расширения служб IIS (если они применяются);
снижает уязвимость протоколов SMB, LanMan и LDAP;
определяет политику аудита соотношения «сигнал-шум».
Мастер настройки безопасности помогает ИТ-специалистам в процессе создания, изменения, применения или отката политики безопасности, основанной на выбранных ролях сервера. Политики безопасности, созданные с помощью мастера настройки безопасности, представляют собой SCW- и XML-файлы, которые настраивают службы, сетевую безопасность, определенные параметры реестра, политики аудита и службы IIS (если они используются).
Дополнительные сведения о мастере настройки безопасности для Windows Server 2003 см. по адресу http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/defaul.mspx.
Подключение к удаленному рабочему столу с использованием проверки подлинности сервера. Подключение к удаленному рабочему столу предоставляет широкие возможности для доступа пользователей к общим серверам или клиентским компьютерам. Эта технология является экономичным способом совместного использования компьютеров для разработки и тестирования. Кроме того, эти компьютеры можно использовать как точки централизованного доступа для разных типов проектов. К ним можно разрешать доступ пользователям, находящимся вне корпоративной сети, изолировав тем самым возможные угрозы сетевой безопасности. Кроме того, обновление версии 6.0 клиента для подключения к удаленному рабочему столу позволяет ИТ-специалистам компании настраивать проверку подлинности сервера. С помощью проверки подлинности сервера можно предотвратить случайное подключение пользователей к каким-либо компьютерам или серверам, кроме заданных, снизив тем самым потенциальную угрозу раскрытия конфиденциальных данных. Корпорация Майкрософт реализовала эту возможность в операционных системах Windows Vista и Windows Server Longhorn. Клиент версии 6.0 для подключения к удаленному рабочему столу поддерживается системами Windows Server 2003 с пакетом обновления 1 (SP1) и Windows XP с пакетом обновления 2 (SP2). Клиент можно по-прежнему использовать для подключения к устаревшим серверам терминалов или удаленным компьютерам, но проверка подлинности сервера выполняется только в случае, если на удаленном компьютере установлена система Windows Vista или Windows Server Longhorn.
Дополнительные сведения см. в статье «В Центре загрузки Майкрософт доступно обновление версии 6.0 для клиента подключения к удаленному рабочему столу» по адресу http://support.microsoft.com/kb/925876.
Стандарт WPA2. Если в организации используется беспроводная сеть, следует рассмотреть возможность установки беспроводных маршрутизаторов, точек доступа и других устройств, обладающих сертификатом соответствия требованиям стандарта WPA2. WPA2 — сертификат продукта, предоставляемый ассоциацией Wi-Fi Alliance, которая сертифицирует оборудование на соответствие требованиям стандарта IEEE 802.11i. Назначение сертификата WPA2 — поддержка расширенных обязательных функций безопасности стандарта IEEE 802.11i, которые еще не включены в продукты с поддержкой WPA. Например, для WPA2 требуется поддержка шифрования TKIP и AES. Стандарт WPA2 предусматривает два разных режима.
Режим WPA2-предприятие использует проверку подлинности 802.1X. и предназначен для сетей со средней и крупной инфраструктурой.
Режим WPA2-личное использует проверку подлинности PSK и предназначен для сетей с инфраструктурой типа «малый офис — домашний офис».
Поддержка стандарта WPA2 реализована в операционных системах Windows XP с пакетом обновления 2 (SP2), Windows Vista и Windows Server Longhorn. Дополнительные сведения о технологиях беспроводных локальных сетей в операционных системах Microsoft Windows см. по адресу http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/wrlsxp.mspx. Обзор стандарта WPA2 см. по адресу http://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspx.
Защита доступа к сети. Защита доступа к сети — это платформа для Windows Server Longhorn и Windows Vista. Эта платформа предоставляет компоненты применения политик, которые обеспечивают соответствие компьютеров, подключающихся к сети или обменивающихся данными, требованиям по работоспособности системы, определенным администратором. Для контроля доступа и обмена данными по сети организация может использовать сочетание компонентов оценки политики и ограничения доступа к сети. Компьютерам, не соответствующим заданным требованиям, можно временно разрешить доступ только к ограниченной сети. В зависимости от выбранной конфигурации эта ограниченная сеть может содержать ресурсы, необходимые для соответствия компьютеров требованиям по работоспособности системы. После их установки компьютерам можно снова предоставить неограниченный доступ к сети с возможностью обмена данными. Платформа защиты доступа к сети включает в себя прикладной программный интерфейс (API), который позволяет разработчикам и поставщикам создавать полноценные решения по проверке политики безопасности, ограничению доступа в сеть и непрерывному обеспечению работоспособности системы. Платформа защиты доступа к сети содержит компоненты ограничения доступа для IPsec, сетевых подключений с проверкой подлинности IEEE 802.1X, виртуальный частных сетей и протокола DHCP. Эти технологии можно использовать в сочетании или отдельно друг от друга. С учетом данных возможностей платформа защиты доступа к сети представляет собой многофункциональное средство для обеспечения работоспособности и безопасности сети.
Дополнительные сведения о защите доступа к сети см. по адресу http://www.microsoft.com/technet/network/nap/default.mspx.
Сервер Microsoft Virtual Server. Сервер Microsoft Virtual Server 2005 R2 предоставляет платформу виртуализации, которая позволяет выполнять большинство основных операционных систем x86 в гостевой среде. Корпорация Майкрософт поддерживает этот сервер в качестве узла для размещения операционных систем Windows Server и системных приложений Windows Server. Интеграция с большим количеством средств управления корпорации Майкрософт и сторонних производителей позволяет администраторам легко управлять средой Virtual Server 2005 R2 с помощью существующих средств управления физическими серверами. Сервер Microsoft Virtual Server позволяет одновременно запускать несколько операционных систем на одном компьютере, и с помощью него можно обеспечить соответствие требованию 2.2.1 стандарта PCI DSS, согласно которому для выполнения каждой основной функции в организации должен быть выделен отдельный сервер. Например, виртуальный сервер Microsoft Virtual Server можно использовать для развертывания виртуального веб-сервера, виртуального сервера базы данных и виртуального файлового сервера на одном компьютере.
Сервер Microsoft Virtual Server можно бесплатно загрузить с веб-узла корпорации Майкрософт. Дополнительные сведения о виртуальном сервере Microsoft Virtual Server см. по адресу http://www.microsoft.com/windowsserversystem/virtualserver/default.mspx.
Управление узлами
Решения по управлению узлами предназначены для управления операционными системами серверов и рабочих станций. Решения по управлению узлами также предусматривают реализацию рекомендаций по безопасности на всех уровнях операционных систем каждого узла, установку последних обновлений и исправлений и использование безопасных способов выполнения повседневных операций.
Выполнение требований стандарта PCI DSS
Решения по управлению узлами обеспечивают соответствие требованиям стандарта PCI DSS путем постоянного обновления операционных систем и правильной настройки их средств безопасности. В частности, управление узлами позволяет обеспечивать соответствие требованиям 6 и 11 стандарта PCI DSS.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, которые можно использовать в сочетании или отдельно друг от друга для создания решений по управлению узлами. Как и при реализации других технологических решений, при разработке этих средств следует учитывать необходимость соответствия требованиям стандарта PCI DSS, а также другим нормативным требованиям, применимым к организации.
Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA). Одно из основных средств, которые можно использовать при оценке рисков для данных владельцев банковских карт — это анализатор безопасности MBSA. Это простое в использовании средство для определения общих ошибок в конфигурации системы безопасности ряда продуктов Майкрософт, включая операционные системы Windows, службы IIS, сервер SQL Server, обозреватель Microsoft Internet Explorer и пакет Microsoft Office. Анализатор безопасности MBSA также выполняет проверку на наличие отсутствующих обновлений для системы безопасности, накопительных пакетов обновления и пакетов обновления, опубликованных на веб-узле Центра обновления Майкрософт. С анализатором безопасности MBSA можно работать как из командной строки, так и с помощью собственного графического интерфейса пользователя. Анализатор можно использовать с Центром обновления Майкрософт и службами Microsoft Windows Server® Update Services. Поскольку обновление всех систем очень важно для защиты данных владельцев банковских карт, анализатор безопасности MBSA представляет собой весьма ценное средство оценки рисков, с которыми может столкнуться организация.
Дополнительные сведения об анализаторе безопасности Microsoft Baseline Security Analyzer см. по адресу http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Службы Microsoft Windows Server Update Services.** **Службы Microsoft Windows Server Update Services (WSUS) с пакетом обновления 1 (SP1) позволяют организации выполнять развертывание ряда последних обновлений для продуктов Майкрософт, опубликованных на веб-узле Центра обновления Майкрософт. Службы Windows Server Update Services являются компонентом обновления системы Windows Server и позволяют быстро и эффективно выполнять обновление систем. Они предоставляют инфраструктуру управления, включающую в себя приведенные ниже компоненты.
Центр обновления Майкрософт. Веб-узел корпорации Майкрософт, к которому подключаются компоненты WSUS для получения обновлений продуктов Майкрософт.
Сервер служб Windows Server Update Services. Серверный компонент, который устанавливается на компьютер с операционной системой Microsoft Windows 2000 Server с пакетом обновления 4 (SP4) или Windows Server 2003 в сегменте сети, защищенном корпоративным брандмауэром. Сервер WSUS обеспечивает возможности, необходимые администратору для управления и распространения обновлений с помощью веб-средства, доступ к которому можно получить через обозреватель Internet Explorer на любом компьютере с операционной системой Windows внутри корпоративной сети. Кроме того, сервер WSUS может являться источником обновлений для других серверов WSUS.
Автоматическое обновление. Компонент клиентского компьютера, встроенный в операционную систему Windows Vista, Windows Server 2003, Windows XP и Windows 2000 с пакетом обновления 3 (SP3). Автоматические обновления позволяют серверу или клиентскому компьютеру получать обновления из Центра обновления Майкрософт или загружать обновления с сервера WSUS.
Данные службы позволяют обеспечить все узлы внутри сети последними исправлениями безопасности, выпущенными корпорацией Майкрософт, для установленных продуктов.
Дополнительные сведения о Windows Server Update Services см. на странице служб по адресу http://www.microsoft.com/windowsserversystem/updateservices/default.mspx.
Сервер Microsoft Systems Management Server. Если в организации используется сервер SMS для управления клиентскими компьютерами и серверами, значит организация уже обладает определенным набором средств для выполнения оценки рисков для данных владельцев банковских карт. С помощью сервера SMS можно через распределенную сеть удаленно управлять параметрами безопасности компьютеров с операционной системой Windows. Можно проводить инвентаризацию компьютеров на наличие необходимых обновлений программного обеспечения, а также отслеживать процесс развертывания обновлений на компьютерах. Сервер SMS также позволяет создавать отчеты с указанием полного перечня программного обеспечения и оборудования, подробных сведений о конфигурации и состоянии компьютеров в сети, а также о состоянии и ошибках развертывания программного обеспечения. Данные возможности могут оказаться очень полезными при оценке рисков для данных владельцев банковских карт в пределах организации.
Дополнительные сведения о сервере Microsoft Systems Management Server (SMS) см. на странице сервера по адресу http://www.microsoft.com/smserver/default.mspx.
Пакет Microsoft Desktop Optimization Pack для гарантии на программное обеспечение. Пакет Microsoft Desktop Optimization Pack для гарантии на программное обеспечение представляет собой службу подписки, которая предназначена для снижения затрат на развертывание приложений, доставки приложений в качестве служб, а также для повышения эффективности управления средой настольных компьютеров на предприятии и контроля над ней. Пакет оптимизации настольных компьютеров представляет собой эффективное решение по управлению узлами, которое позволяет выполнять следующие задачи:
упрощать и ускорять жизненный цикл управления приложениями с момента планирования и развертывания, включая эксплуатацию и обслуживание программного обеспечения, а также переход на другое ПО;
совершенствовать управление программным обеспечением организации;
упрощать и ускорять развертывание программного обеспечения и переход на другое ПО.
Пакет Microsoft Desktop Optimization Pack доступен только для тех клиентов, которые приобрели для настольных компьютеров гарантию на программное обеспечение. Дополнительные сведения см. в статье «Оптимизация настольных компьютеров с системой Windows» по адресу http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx.
Ссылки на конкретные рекомендации и процедуры по обеспечению безопасности ряда продуктов Майкрософт см. в разделе «Управление узлами» в Руководстве по планированию соответствия нормам.
Защита от вредоносных программ
Решения по защите от вредоносных программ являются основным элементов обеспечения безопасности данных владельцев банковских карт в сети организации. Обеспечивая защиту от нежелательной почты и предотвращая заражение систем вирусами и программами-шпионами, они позволяют обеспечить максимальную производительность систем в сети организации и предотвратить несанкционированную передачу конфиденциальных данных.
Выполнение требований стандарта PCI DSS
Решения по защите от вредоносных программ позволяют обеспечивать соответствие требованиям 5 и 6 стандарта PCI DSS.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, которые можно использовать в сочетании или отдельно друг от друга для защиты от вредоносных программ. Данные технологии следует рассматривать в общем контексте мероприятий, направленных на обеспечение соответствия требованиям стандарта PCI DSS, с учетом других более широких требований, которым должна соответствовать организация.
Microsoft Forefront™. Microsoft Forefront — это набор бизнес-продуктов для обеспечения безопасности, который защищает операционные системы, серверы приложений и границы сети. Microsoft Forefront можно использовать в существующей ИТ-инфраструктуре для защиты серверов и клиентских компьютеров от вредоносных программ и атак, источник которых может находиться как внутри организации, так и за ее пределами.
В частности, решение Forefront Client Security обеспечивает защиту клиентских компьютеров в сети организации от заражения вредоносными программами. Решение Forefront Client Security включает в себя две части. Первая — агент безопасности — устанавливается на настольные и переносные компьютеры, а также на серверные операционные системы и служит для проверки компьютера и защиты от заражения программами-шпионами, вирусами и программами типа rootkit в реальном времени. Вторая часть представляет собой центральный сервер управления, который позволяет администраторам управлять предварительно и индивидуально настроенными агентами для защиты от вредоносных программ и обновлять их, а также создавать отчеты и предупреждения о состоянии безопасности ИТ-среды.
Дополнительные сведения о решении Microsoft Forefront см. по адресу http://www.microsoft.com/forefront/default.mspx.
Средство удаления вредоносных программ. Средство удаления вредоносных программ для Microsoft Windows проверяет компьютеры под управлением систем Windows XP, Windows 2000 и Windows Server 2003 на наличие некоторых распространенных вредоносных программам и удаляет их. После обнаружения и удаления средство выводит отчет с описанием результатов, в том числе список обнаруженных и удаленных вредоносных программ. Корпорация Майкрософт выпускает обновленные версии этого средства во второй вторник каждого месяца, а также в случае возникновения угроз безопасности.
Дополнительные сведения о средстве удаления вредоносных программ см. по адресу http://www.microsoft.com/security/malwareremove/default.mspx.
Примечание. Защитник Windows и средство удаления вредоносных программ также могут определить, использует ли вредоносное приложение программу типа rootkit. Программы типа rootkit — это механизмы, которые создатели вредоносных программ используют для того, чтобы скрывать вредоносные программы от средств блокировки программ-шпионов, антивирусных программ и программ управления системой. Дополнительные сведения о программах типа rootkit и средствах их обнаружения см. по адресу http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx.
Фильтры сторонних производителей для сервера Microsoft ISA Server. Кроме обеспечения сетевой безопасности, ISA Server может защищать организацию от вредоносных атак. Это достигается за счет использования индивидуальных фильтров или фильтров сторонних производителей, которые удаляют вредоносные программы до их попадания в корпоративную сеть.
Дополнительные сведения о сервере Microsoft Internet Security and Acceleration Server см. по адресу http://www.microsoft.com/isaserver/default.mspx.
Безопасность приложений
В целях обеспечения соответствия требованиям стандарта PCI DSS необходимо рассмотреть решения по обеспечению безопасности приложений с двух точек зрения. Во-первых, при создании любых новых приложений разработчики организации должны неукоснительно следовать рекомендациям по безопасной разработке программного обеспечения. Во-вторых, необходимо обеспечить строгое следование рекомендациям по безопасности, поставляемым вместе с любым приложением, приобретенным в корпорации Майкрософт или у стороннего производителя.
Выполнение требований стандарта PCI DSS
Разработка и поддержка безопасных веб-приложений и приложения для системы Windows — это важный шаг на пути обеспечения соответствия требованиям стандарта PCI DSS. В частности, подобные технологические решения обеспечивают соответствие требованию 6.
Полное содержание этого требования см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт предлагает конкретные рекомендации и средства для разработки безопасных приложений, а также рекомендации по обеспечению безопасности при работе с основными серверами Майкрософт.
Microsoft Visual Studio® 2005. Пакет Visual Studio 2005 содержит ряд средств, которые позволяют разработчикам проверять программный код на наличие угроз безопасности на стадии разработки.
Средство FxCop проверяет управляемый код на наличие дефектов, включая дефекты безопасности.
PREfast — это средство статического анализа для кода на C и C++. Данное средство позволяет разработчикам обнаруживать разнообразные проблемы безопасности.
Стандартный язык заметок позволяет разработчикам обнаруживать ошибки безопасности, пропущенные компиляторами кода C или C++.
При компилировании неуправляемого кода, написанного на C или C++, разработчики всегда должны включать возможность обнаружения переполнения стека (параметр /GS) и связывать код с параметром /SafeESH.
Разработчики RPC должны выполнять компилирование кода с заданным флагом MIDL /robust.
В целях обеспечения отсутствия известных проблем безопасности при выполнении кода жизненный цикл разработки систем безопасности приложений предполагает использование таких средств, как FxCop, PREfast, а также компиляторов C++ с параметром GS.
Дополнительные сведения о Microsoft Visual Studio см. по адресу http://msdn2.microsoft.com/en-us/vstudio/default.aspx.
Интеллектуальный шлюз приложений Microsoft Intelligent Application Gateway (IAG) 2007. Являясь частью решения Microsoft Forefront Network Edge Security, интеллектуальный шлюз IAG обеспечивает поддержку протокола SSL для виртуальных частных сетей, брандмауэр веб-приложений, а также управление безопасностью конечных точек (контроль доступа, проверка подлинности, проверка содержимого) для широкого спектра бизнес-приложений. Вместе эти технологии позволяют обеспечивать сотрудникам безопасный мобильный и удаленный доступ с помощью широкого диапазона устройств, включая компьютеры-киоски, настольные компьютеры и мобильные устройства. Шлюз IAG также позволяет ИТ-администраторам обеспечивать соответствие рекомендациям по использованию приложений и данных посредством настройки политики удаленного доступа на основе устройства, пользователя, приложения и других критериев. Основные преимущества приведены ниже.
Уникальное сочетание доступа на основе виртуальных частных сетей по протоколу SSL, встроенная защита приложений и управление безопасностью конечных точек.
Многофункциональный брандмауэр веб-приложений, который позволяет «отсекать» вредоносный трафик и защищать конфиденциальные данные.
Упрощенное управление безопасным доступом и защита бизнес-активов с помощью всеобъемлющей и простой в использовании платформы.
Способность к взаимодействию с инфраструктурой основных приложений Майкрософт, корпоративными системами сторонних производителей и собственными средствами организации.
Дополнительные сведения см. в статье «Обзор интеллектуального шлюза Intelligent Application Gateway 2007» по адресу http://www.microsoft.com/forefront/edgesecurity/iag/overview.mspx.
Рекомендации
Цикл разработки Security Development Lifecycle. Если организация самостоятельно разрабатывает решения для обработки данных владельцев банковских карт, разработчики могут использовать жизненный цикл разработки систем безопасности приложений (Security Development Lifecycle) корпорации Майкрософт. Он представляет собой комплексный подход к разработке веб-приложений и приложений для настольных компьютеров, предназначенный для использования в организациях, деятельность которых связана с обработкой и хранением конфиденциальных данных, например данных владельцев банковских карт. Цикл разработки начинается с планирования безопасных приложений, обеспечивает использование методик безопасного программирования, а также включает в себя безопасное тестирование и развертывание приложений после завершения разработки.
Дополнительные сведения см. в статье «Обзор жизненного цикла разработки систем безопасности приложений корпорации Майкрософт» по адресу http://msdn.microsoft.com/msdnmag/issues/05/11/SDL/.
Рекомендации по обеспечению безопасности приложений. Корпорация Майкрософт предлагает для ряда своих программных продуктов рекомендации по обеспечению безопасности. Для средних и крупных организаций особый интерес представляют рекомендации по работе с серверами Exchange Server, Systems Management Server и SQL Server. Дополнительные сведения о рекомендациях по обеспечению безопасности для данных продуктов см. в разделе «Безопасность приложений» в Руководстве по планированию соответствия нормам.
Обмен сообщениями и совместная работа
В целях обеспечения соответствия требованиям стандарта PCI DSS необходимо настроить безопасную конфигурацию используемого программного обеспечения для обмена сообщениями и совместной работы. Так как приложения для обмена сообщениями и совместной работы стали крайне важными средствами в отрасли платежных карт, необходимо сделать все возможное, чтобы обеспечить безопасность любых документов или сообщений электронной почты, которые могут содержать данные владельцев банковских карт.
Выполнение требований стандарта PCI DSS
К общепринятым способам защиты систем обмена сообщениями от угроз безопасности относятся шлюзы и защищенные серверы обмена сообщениями, а также фильтрация содержимого сообщений. При использовании шлюзов и фильтрации содержимого все сообщения передаются специальному приложению. Оно может использовать различные способы изоляции строк слов или чисел, фраз или других элементов, в зависимости от метода работы решения. Сообщения, которые содержат заданные ключевые слова или фразы, могут помещаться в карантин до проверки подозрительных данных или удаляться. Эти способы обеспечивают защиту данных владельцев банковских карт при их отправке в сообщениях электронной почты или документах в среде совместной работы. Все указанные методы и решения позволяют обеспечивать соответствие требованию 4 стандарта PCI DSS.
Полное содержание этого требования см. в тексте Стандарта безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала ряд решений, позволяющих обеспечивать безопасность программного обеспечения для обмена сообщениями и совместной работы. Каждое из этих решений предназначено для защиты различных аспектов деятельности предприятия. Указанные решения следует развертывать организованно, чтобы после их развертывания число оставшихся угроз безопасности было минимальным.
Сервер Microsoft Exchange Server. Как и в сфере управления документами, сервер Exchange Server позволяет создать многофункциональные решения по организации безопасной системы обмена сообщениями и защищать данные владельцев банковских карт в сообщениях электронной почты. Сервер Exchange Server 2007 включает в себя единую систему обмена сообщениями, которая позволяет пользователю принимать в свой почтовый ящик электронную и голосовую почту, а также факсы. Возможности сервера также позволяют организации применять правила хранения, проверять и выполнять действия над сообщениями в транспорте, пользоваться гибкой функцией ведения журналов и выполнять полнотекстовый поиск по всем развернутым почтовым ящикам. Дополнительные сведения см. на веб-узле сервера Microsoft Exchange Server по адресу http://www.microsoft.com/exchange/default.mspx.
Решение Microsoft Forefront Security для Exchange Server. Решение Microsoft Forefront Security для Exchange Server позволяет защищать инфраструктуру электронной почты от заражения и простоев посредством организации многоуровневой защиты, оптимизации производительности и доступности сервера Exchange Server, а также упрощения системы управления.
Всесторонняя защита. Решение Microsoft Forefront Security для Exchange Server включает в себя несколько антивирусных ядер от ведущих производителей средств безопасности, объединенных в одно решение, которое защищает среду обмена сообщениями Exchange предприятия от вирусов, вирусов-червей и нежелательной почты.
Оптимизация производительности. Благодаря глубокой интеграции с сервером Exchange Server, новым модулям проверки и средствам обеспечения производительности Forefront Security для Exchange Server не только защищает среду обмена сообщениями, но и обеспечивает постоянную доступность сервера и оптимизацию его работы.
Упрощенное управление. Решение Forefront Security для сервера Exchange Server также позволяет администраторам легко управлять конфигурацией и работой сервера благодаря автоматизированным обновлениям сигнатур для антивирусных ядер и созданию отчетов на уровне сервера и всего предприятия.
Дополнительные сведения о решении Microsoft Forefront см. по адресу http://www.microsoft.com/forefront/default.mspx.
Службы Microsoft Exchange Hosted Services. Службы Microsoft Exchange Hosted Services для управления средой обмена сообщениями и ее защиты представляют собой четыре отдельных службы, позволяющие организациям защищаться от вредоносных программ в электронной почте, соответствовать требованиям к хранению данных, шифровать данные для защиты конфиденциальности и сохранять доступ к электронной почте в ходе чрезвычайных ситуаций и после их устранения. Данные службы развернуты в Интернете по модели «программное обеспечение как служба», что позволяет сократить затраты, освободить ИТ-ресурсы для решения других задач и устранять угрозы для среды обмена сообщениями до достижения ими корпоративного брандмауэра.
Дополнительные сведения о службах Microsoft Exchange Hosted Services см. по адресу http://www.microsoft.com/exchange/services/default.mspx.
Управление правами на доступ к данным в пакете Microsoft Office. Пакет Microsoft Office — это набор высококачественных приложений для предприятий, предназначенных для повышения эффективности. Функция управления правами на доступ к данным в пакете Microsoft Office позволяет организациям управлять доступом к конфиденциальным данным, таким как данные владельцев банковских карт.
В частности, эта функция позволяет организации выполнять следующие задачи:
предотвращать несанкционированную пересылку, копирование, вырезание и вставку, изменение, распечатку и отправку защищенных данных по факсу;
предотвращать копирование защищенных данных с помощью функции Print Screen в Windows;
обеспечивать одинаковый уровень защиты данных вне зависимости от того, где они находятся (эта функция также называется постоянной защитой);
обеспечивать одинаковый уровень защиты для всех вложений электронной почты, созданных в приложениях пакета Microsoft Office, таких как Microsoft Excel® или Microsoft Word;
защищать данные в сообщениях электронной почты или документах с назначенным сроком действия, после истечения которого данные нельзя будет просмотреть;
применять корпоративные политики для управления использованием и распространением данных как внутри компании, так и за ее пределами.
Функция управления правами на доступ к данным пакета Microsoft Office основана на платформе служб управления правами Windows. Чтобы включить данную функцию, необходимо приобрести лицензию на сервер RMS.
Дополнительные сведения см. на веб-узле Microsoft Office по адресу http://office.microsoft.com/en-us/default.aspx.
Управление правами на доступ к данным в службах Microsoft Windows SharePoint Services. Так же как и в решениях по управлению документами, функция управления правами на доступ к данным в службах SharePoint Services позволяет обеспечить соответствие требованиям стандарта PCI DSS в решениях для совместной работы. Данная технология позволяет создавать постоянный набор элементов управления доступом, которые закрепляются за содержимым, а не за расположением в сети, что дает возможность управлять доступом к файлам, даже если они не находятся в непосредственно контролируемой области. Функция управления правами на доступ к данным может применяться к файлам, находящимся в библиотеках документов и хранящимся в качестве вложений элементов списков. Администраторы узлов могут использовать функцию управления правами на доступ к данным для ограничения загрузки файлов из библиотеки документов. Если пользователь пытается загрузить файл из библиотеки, службы Windows SharePoint Services проверяют наличие соответствующих разрешений и выдают лицензию на доступ к файлу на уровне, соответствующем имеющимся разрешениям. Затем службы Windows SharePoint Services загружают файл на компьютер пользователя в зашифрованном формате, который можно прочитать, только обладая соответствующим уровнем прав.
Функция управления правами на доступ к данным пакета Microsoft Office основана на платформе служб управления правами Windows. Чтобы включить данную функцию, необходимо приобрести лицензию на сервер RMS.
Дополнительные сведения см. на веб-узле Технологии и продукты Microsoft SharePoint по адресу http://go.microsoft.com/fwlink/?linkid=12632.
Классификация и защита данных
Решения по классификации и защите данных являются основными элементами обеспечения соответствия требованиям стандарта PCI DSS и защиты данных владельцев банковских карт. Эти решения определяют порядок применения уровней классификации безопасности к данным владельцев банковских карт в процессе их хранения или передачи. Эта категория решений также управляет защитой данных исходя из необходимости сохранения их конфиденциальности и целостности в процессе хранения или передачи. Наиболее распространенным способом организации защиты данных является использование криптографических решений.
Выполнение требований стандарта PCI DSS
Решения по классификации и защите данных обеспечивают соответствие требованиям стандарта PCI DSS посредством защиты данных владельцев банковских карт при их хранении в базе данных или передаче с сервера на сервер, а также при поступлении в сеть, когда владелец банковской карты делает покупку. Применение таких решений позволяет обеспечить соответствие требованиям 3 и 7 стандарта PCI DSS.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, которые позволяют классифицировать и защищать данные владельцев банковских карт при их передаче по сети и сохранении в базе данных или в документе на компьютере сотрудника. Данные технологии реализованы в приведенных ниже решениях.
Шифрование диска BitLocker™. Шифрование диска BitLocker позволяет защищать данные владельцев банковских карт с помощью компонентов шифрования диска и проверки целостности при запуске. Шифрование диска позволяет защищать данные от несанкционированного доступа, предотвращая взлом защиты файла или системы Windows на утерянном или украденном компьютере. Эта защита достигается за счет шифрования всего тома Windows. При использовании средства BitLocker шифруются все системные и пользовательские файлы, включая файлы подкачки и гибернации. Компоненты проверки целостности данных при загрузке позволяют выполнять дешифрование данных только в том случае, если безопасность этих компонентов не нарушена, а зашифрованный диск установлен в исходном компьютере. Шифрование диска BitLocker доступно в системах Windows Vista Enterprise и Windows Vista Ultimate, а также в Windows Server Longhorn.
Дополнительные сведения см. в статье «Обзор руководства по шифрованию диска BitLocker» по адресу http://technet.microsoft.com/en-us/windowsvista/aa906018.aspx.
Шифрованная файловая система Windows (EFS). Файловая система EFS — это основная технология шифрования файлов, которая используется для хранения зашифрованных файлов в томах с файловой системой NTFS. Характер работы с папкой или файлом после шифрования не изменяется. Пользователь работает с ними так же, как и с любыми другими файлами и папками.
Шифрование прозрачно для того пользователя, который его выполнил. Чтобы использовать файл, не требуется вручную выполнять его расшифровку. Зашифрованный файл можно открывать и изменять как обычно.
Использование файловой системы EFS напоминает использование разрешений для файлов и папок. Оба способа применяются для ограничения доступа к данным. Однако злоумышленник, получивший физический доступ к зашифрованным файлам или папкам, не сможет просмотреть их. При попытке открыть или скопировать зашифрованный файл или папку злоумышленник получит сообщение об отказе в доступе. Разрешения для файлов и папок не позволяют защитить данные от несанкционированного физического доступа.
Дополнительные сведения см. в статье «Обзор шифрованной файловой системы (EFS)» по адресу http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/encrypt_overview.mspx?mfr=true или в статье «Шифрованная файловая система (RFS)» по адресу http://www.microsoft.com/windows/products/windowsvista/features/details/encryptingfilesystem.mspx.
Служба управления правами Microsoft Windows. Служба управления правами Microsoft Windows (RMS) — это программная платформа, которая обеспечивает защиту цифровых данных приложений от несанкционированного доступа в сетевом и автономном режимах по обе стороны брандмауэра.
Служба RMS может дополнить стратегию безопасности организации в сфере защиты данных за счет постоянных политик использования, закрепленных за данными вне зависимости от того, где они находятся. Приложения с поддержкой службы управления правами можно использовать для управления доступом к документам, содержащим данные владельцев банковских карт, а также для его контроля и аудита. Клиент RMS интегрирован в операционную систему Windows Vista™. Клиент RMS для других версий операционной системы Windows можно загрузить бесплатно. Дополнительные сведения см. на веб-узле службы управления правами Windows по адресу http://www.microsoft.com/rms.
Шифрование данных на сервере Microsoft SQL Server. Данные о владельцах банковских карт, хранящиеся на сервере SQL Server, шифруются с помощью иерархической структуры средств шифрования и управления ключами. На каждом уровне данные предыдущего уровня шифруются на основе комбинации сертификатов, асимметричных и симметричных ключей. Главный ключ предназначен для сервера SQL Server; кроме того, для каждой базы данных на данном экземпляре сервера SQL Server есть отдельные ключи. Все эти средства обеспечивают защиту корпоративного хранилища данных о владельцах банковских карт.
Дополнительные сведения о сервере Microsoft SQL Server см. на веб-узле http://www.microsoft.com/sql/default.mspx.
Управление удостоверениями
Управление удостоверениями — еще один важный аспект соответствия требованиям стандарта PCI DSS. Использование подобных решений позволяет ограничить количество сотрудников, которые могут получать доступ к данным о владельцах банковских карт, а также обрабатывать и передавать их. Используйте решения по управлению удостоверениями, чтобы улучшить управление цифровыми удостоверениями и разрешениями для сотрудников, клиентов и партнеров организации.
Выполнение требований стандарта PCI DSS
Решения по управлению удостоверениями позволяют создавать уникальные идентификаторы для всех сотрудников организации, имеющих доступ к компьютеру, обеспечивая соответствие требованию 8 стандарта PCI DSS. Кроме того, с их помощью можно ограничивать доступ к данным о владельцах банковских карт, что соответствует требованию 7 стандарта PCI DSS.
Полное содержание этого требования см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт предлагает множество технологий, помогающих соответствовать требованиям по управлению удостоверениями.
Microsoft Active Directory. Служба каталогов Active Directory поддерживает различные методы контроля над доступом сотрудников к данным о владельцах банковских карт как внутри сети, так и за ее пределами. Во-первых, эта служба поддерживает проверку подлинности по протоколу Kerberos — один из способов проверки подлинности по умолчанию для системы Windows. Протокол Kerberos обеспечивает надежную проверку подлинности пользователя, соответствующую отраслевому стандарту, который допускает возможность взаимодействия. Контроллер домена Active Directory содержит учетные записи пользователей и сведения о входе в систему для поддержки службы Kerberos. Во-вторых, служба Active Directory поддерживает проверку подлинности с помощью смарт-карты. Можно потребовать, чтобы удаленные пользователи или администраторы систем, содержащих данные о владельцах банковских карт, использовали для доступа к сети смарт-карту и ПИН. В-третьих, служба Active Directory поддерживает перемещение учетных данных. Таким образом, пользователи, которым необходимо работать на нескольких компьютерах, смогут использовать при этом одни и те же учетные данные. В-четвертых, служба Active Directory обеспечивает настройку поставщиков учетных данных, которые используются для проверки подлинности пользователей. Эти функции обеспечивают индивидуальный контроль над предоставлением учетным записям Active Directory доступа к данным о владельцах банковских карт.
Дополнительные сведения см. на веб-узле центра технологий Active Directory Windows Server 2003 по адресу http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx.
Службы федерации Microsoft Active Directory. Службы федерации Active Directory позволяют создавать решения для управления удостоверениями, выходящие за привычные границы леса Active Directory. Использование этих служб поможет расширить существующую инфраструктуру Active Directory и получать доступ к ресурсам Интернета, предоставляемым доверенными партнерами. В число доверенных партнеров могут входить как сторонние компании, так и различные отделы и дочерние подразделения одной организации.
Службы федерации тесно интегрированы с Active Directory. Они получают от службы Active Directory сведения об атрибутах пользователей и с ее помощью выполняют проверку подлинности пользователей. Кроме того, эти службы используют встроенную проверку подлинности Windows. Они поддерживаются системами Windows Server 2003 R2 и Windows Server Longhorn.
Дополнительные сведения см. в статье «Обзор служб федерации Active Directory в системе Windows Server 2003 R2» на веб-узле http://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx.
Диспетчер Microsoft Identity Lifecycle Manager. Диспетчер Microsoft Identity Lifecycle Manager (ILM) упрощает сопоставление удостоверений из различных репозиториев данных и управление ими. Кроме того, он помогает избежать возникновения таких ошибок, как хранение активных записей сотрудников, уже не работающих в организации. Диспетчер ILM предоставляет инфраструктуру политик для отслеживания данных о доступе и удостоверениях, а также управления ими. Все это помогает обеспечивать соответствие. Кроме того, он содержит средства для самостоятельного поиска и устранения неполадок, предназначенные для конечных пользователей. Эти средства позволят ИТ-отделу повысить производительность работы за счет безопасного делегирования различных задач конечным пользователям. Другая важная особенность диспетчера ILM заключается в том, что он содержит решение по управлению сертификатами на базе Windows, интегрируемое в систему Windows Server 2003 и службу Active Directory, чтобы обеспечить готовое решение для центра сертификации Windows Server 2003, предназначенное для управления полным жизненным циклом смарт-карт и цифровых сертификатов.
Диспетчер ILM позволяет выполнять перечисленные ниже действия.
Синхронизировать данные идентификации между разнородными хранилищами удостоверений со структурой каталогов и без нее. Это позволяет автоматизировать обновление данных идентификации на разнородных платформах, сохраняя целостность данных и права собственности на них в масштабах предприятия.
Инициализировать и деинициализировать учетные записи пользователей и данные идентификации, например группы рассылки, учетные записи электронной почты и группы безопасности, в разных операционных системах и на разных платформах. Это помогает быстро создавать новые учетные записи для сотрудников на основе событий или изменений в хранилищах, заслуживающих доверия (например в системе отдела кадров). Кроме того, после ухода сотрудника из компании его учетная запись, хранящаяся в таких системах, немедленно деинициализируется.
Управлять сертификатами и смарт-картами. Диспетчер ILM содержит решение на основе бизнес-правил и политик, которое позволяет организации упростить управление жизненными циклами цифровых сертификатов и смарт-карт. Диспетчер ILM использует службы Active Directory и службы сертификатов Active Directory для подготовки цифровых сертификатов и смарт-карт к работе. Для управления полным жизненным циклом учетных данных на основе сертификатов используются автоматизированные бизнес-правила. Диспетчер ILM позволяет существенно снизить затраты, связанные с цифровыми сертификатами и смарт-картами, и более эффективно развертывать и обслуживать инфраструктуру, основанную на сертификатах, а также управлять ею. Кроме того, он ускоряет подготовку к работе и настройку цифровых сертификатов и смарт-карт, а также облегчает управление ими, укрепляя при этом безопасность системы с помощью надежной многофакторной проверки подлинности.
Дополнительные сведения о диспетчере Microsoft Identity Lifecycle Manager см. на веб-узле http://www.microsoft.com/windowsserver/ilm2007/default.mspx.
Сервер Microsoft SQL Server. Для создания решений для служб управления удостоверениями можно использовать сервер SQL Server в сочетании с другими технологиями. Базы данных сервера SQL Server можно применять для хранения имен пользователей и паролей, сопоставления сертификатов с учетными записями пользователей и т. д. Можно использовать сервер SQL Server в сочетании с Microsoft ILM, Active Directory, групповой политикой и списками управления доступом, чтобы ограничивать доступ пользователей к данным владельцев банковских карт, хранящимся в другой базе данных, в документах или каталогах.
Дополнительные сведения о сервере Microsoft SQL Server см. на веб-узле http://www.microsoft.com/sql/default.mspx.
Возможности поддержки операционной системы
Инфраструктура открытого ключа. Инфраструктура открытого ключа (PKI) — это система цифровых сертификатов, центров сертификации и других центров регистрации, которые проверяют и удостоверяют подлинность каждой стороны, вовлеченной в электронную транзакцию, посредством шифрования с открытым ключом. Данная инфраструктура позволяет защищать данные владельцев банковских карт и организовывать надежный обмен ими через Интернет, экстрасети, интрасети и приложения.
Инфраструктура открытого ключа (PKI) поддерживается в системах Windows Server 2000, Windows XP Professional, Windows Server 2003, Windows Vista и Windows Server Longhorn.
Дополнительные сведения см. в статье «Инфраструктура открытого ключа для Windows Server 2003» по адресу http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx.
Проверка подлинности, авторизация и управление доступом
Проверка подлинности — это процесс идентификации пользователя. В ИТ-среде для проверки подлинности, как правило, применяется имя пользователя и пароль. Однако при проверке подлинности могут использоваться дополнительные способы идентификации — смарт-карты, сканирование сетчатки глаза, распознавание голоса или отпечатков пальцев. Авторизация направлена на определение того, разрешен ли прошедшему проверку подлинности пользователю доступ к запрашиваемым ресурсам. Критерии разрешения или запрета доступа могут быть разными — сетевой адрес клиента, время суток или тип используемого обозревателя.
При планировании стратегии проверки подлинности, авторизации и управления доступом необходимо также разработать стратегию предоставления учетным записям пользователей разрешений для всех ресурсов в сети. Дополнительные сведения см. в документе Использование принципа предоставления наименьших привилегий учетным записям пользователей в Windows XP .
Выполнение требований стандарта PCI DSS
Проверка подлинности, авторизация и управление доступом, особенно в сочетании с решениями по классификации и защите данных и управлению идентификацией, представляют собой основные элементы стратегии обеспечения безопасности данных владельцев банковских карт. В данном контексте решения по проверке подлинности, авторизации и управлению доступом позволяют обеспечивать соответствие организации требованиям 6, 7 и 8 стандарта PCI DSS.
Полное содержание этих требований см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт разработала несколько технологий, которые позволяют создать и интегрировать стратегии проверки подлинности, авторизации и управления доступом в комплексные решения для обеспечения соответствия требованиям стандарта PDI DSS.
Microsoft Active Directory. Многие компоненты службы каталогов Active Directory в Microsoft Windows 2000 Server, Windows Server 2003 и Windows Server Longhorn предназначены для проверки подлинности, авторизации и управления доступом. Например, Active Directory поддерживает проверку подлинности по протоколу Kerberos, которая является одним из способов проверки подлинности Windows по умолчанию. Протокол Kerberos обеспечивает надежную проверку подлинности пользователя, соответствующую отраслевому стандарту, который допускает возможность взаимодействия. Контроллер домена Active Directory содержит учетные записи пользователей и сведения о входе в систему для поддержки службы Kerberos. Служба Active Directory также поддерживает проверку подлинности с помощью смарт-карт. Можно потребовать, чтобы удаленные пользователи или администраторы систем, содержащих данные о владельцах банковских карт, использовали для доступа к сети смарт-карту и ПИН. Кроме того, служба Active Directory поддерживает перемещение учетных данных. Таким образом, пользователи, которым необходимо работать на нескольких компьютерах, смогут использовать для этого одни и те же учетные данные. Помимо прочего, служба Active Directory обеспечивает настройку поставщиков учетных данных, которые применяются для проверки подлинности пользователей. В дополнение к этому, служба Active Directory позволяет делегировать административные задачи в пределах организации. Эти функции обеспечивают индивидуальный контроль над предоставлением учетным записям Active Directory доступа к данным о владельцах банковских карт.
Дополнительные сведения см. на веб-узле центра технологий Active Directory Windows Server 2003 по адресу http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx.
Служба проверки подлинности в Интернете. Служба проверки подлинности в Интернете (IAS) — это предлагаемая корпорацией Майкрософт реализация протокола RADIUS и прокси-сервера. В качестве RADIUS-сервера служба проверки подлинности в Интернете (IAS) осуществляет централизованную проверку подлинности и авторизацию подключений, а также учет различных типов доступа к сети, включая беспроводные и VPN-подключения. В качестве прокси-сервера RADIUS служба проверки подлинности в Интернете (IAS) перенаправляет сообщения проверки подлинности и авторизации на другие RADIUS-серверы. Таким образом она осуществляет проверку подлинности удаленных подключений до того, как они достигают сети организации. Используя учетные данные, предоставленные пользователем для удаленного подключения, можно выполнить авторизацию этого пользователя и предоставить ему доступ только к тем сетевым ресурсам, которые необходимы для выполнения работы.
Дополнительные сведения о службе проверки подлинности в Интернете см. по адресу http://www.microsoft.com/technet/network/ias/default.mspx.
Возможности поддержки операционной системы
Использование списков управления доступом для предоставления разрешений для ресурсов. Список управления доступом (ACL) — это механизм, используемый в операционных системах Windows начиная с Microsoft Windows NT, предназначенный для защиты ресурсов, например файлов и папок. Списки управления доступом содержат несколько элементов управления доступом (ACE), которые сопоставляют участника (обычно учетную запись пользователя или группу учетных записей) с правилом, определяющим порядок использования ресурса. Списки и элементы управления доступом позволяют организации запрещать или разрешать доступ к ресурсам на основе разрешений, которые можно сопоставить с учетными записями пользователей. Например, можно создать элемент управления доступом и применить его к списку управления доступом файла, чтобы разрешить просмотр этого файла только администратору. Эту технологию следует применять как элемент более масштабного решения по управлению идентификацией, однако ее с успехом можно использовать для предоставления доступа к данным владельцев банковских карт только тем сотрудникам, которым он требуется для работы.
Дополнительные сведения см. в статье «Обзор технологии списков управления доступом» по адресу http://msdn2.microsoft.com/en-us/library/ms229742.aspx.
Брандмауэр Windows в Microsoft Windows Vista и Windows Server Longhorn. Как уже обсуждалось ранее, брандмауэр Windows в Windows Vista и Windows Server Longhorn позволяет защищать системы и сети от вредоносных атак. Брандмауэр Windows также позволяет контролировать доступ пользователей, компьютеров и групп к ресурсам компьютера или домена. При использовании брандмауэра Windows в режиме повышенной безопасности можно создавать правила фильтрации подключений для пользователей Active Directory, компьютера или группы. Для создания данных типов правил необходимо защитить подключение по протоколу IPsec с помощью учетных данных, которые содержат сведения об учетной записи пользователя Active Directory, например с помощью протокола Kerberos версии 5.
Дополнительные сведения о брандмауэре Windows см. по адресу http://www.microsoft.com/technet/network/wf/default.mspx.
Ссылки на концептуальные сведения и руководства по планированию, посвященные проверке подлинности, авторизации и управлению доступом, см. в разделе «Проверка подлинности, авторизация и управление доступом» в Руководстве по планированию соответствия нормам.
Идентификация уязвимостей
Решения по идентификации уязвимостей представляют собой средства, которые организация может использовать для проверки своих информационных систем на наличие уязвимостей. Чтобы иметь возможность эффективно устранять уязвимости, ИТ-специалисты организации должны знать, какие уязвимости существуют в системе. Идентификация уязвимостей также дает возможность восстанавливать данные, случайно утраченные вследствие ошибки пользователя.
Выполнение требований стандарта PCI DSS
Решения по идентификации уязвимостей позволяют обеспечивать соответствие организации требованию 11 стандарта PCI DSS, которое указывает на необходимость регулярного тестирования систем безопасности и процедур.
Полное содержание этого требования см. в Стандарте безопасности данных платежных карт версии 1.1.
Существующие технологии
Корпорация Майкрософт предлагает средства, позволяющие разрабатывать решения по идентификации уязвимостей для обеспечения соответствия требованиям стандарта PCI DSS.
Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA). Как и при оценке рисков в ходе разработки средств защиты данных владельцев банковских карт, анализатор безопасности Microsoft Baseline Security Analyzer позволяет периодически проверять систему на наличие уязвимостей, которые могут поставить под угрозу безопасность данных владельцев банковских карт. Анализатор безопасности Microsoft Baseline Security Analyzer можно использовать для выявления распространенных ошибок в конфигурации систем безопасности ряда продуктов Майкрософт, включая операционные системы Windows, службы IIS, сервер SQL Server, обозреватель Internet Explorer и пакет Microsoft Office. Анализатор безопасности MBSA также выполняет проверку на наличие отсутствующих обновлений для системы безопасности, накопительных пакетов обновления и пакетов обновления, опубликованных на веб-узле Центра обновления Майкрософт. С анализатором безопасности MBSA можно работать как из командной строки, так и с помощью собственного графического интерфейса пользователя. Анализатор можно использовать с Центром обновления Майкрософт и службами Microsoft Windows Server® Update Services. Поскольку регулярное обновление всех систем является крайне важным способом надежной защиты данных владельцев банковских карт, анализатор безопасности MBSA представляет собой неоценимое средство для определения уязвимостей, которые могут появиться в системе при установке новых программ.
Дополнительные сведения об анализаторе безопасности Microsoft Baseline Security Analyzer см. по адресу http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Наблюдение, аудит и создание отчетов
Решения по наблюдению и созданию отчетов предназначены для сбора и аудита журналов, в которых регистрируются данные проверки подлинности и сеансы доступа к системе. Можно разработать собственные решения для сбора конкретной информации в соответствии со стандартом PCI DSS или использовать существующие средства ведения журналов, встроенные в операционные системы и пакеты программного обеспечения.
Наблюдение и создание отчетов включает в себя сбор, анализ и сопоставление всех зарегистрированных данных в масштабах организации. Иногда это достигается с помощью решений с использованием панели наблюдения, которая позволяет эффективно анализировать различные данные, собранные в масштабах организации. Данный тип решений позволяет ИТ-руководителям более эффективно определять наличие связи между событиями.
Выполнение требований стандарта PCI DSS
Решения по наблюдению, аудиту и созданию отчетов позволяют обеспечивать соответствие требованию 10 стандарта PCI DSS, которое указывает на необходимость наблюдения за доступом к сетевым ресурсам и данным владельцев банковских карт.
Существующие технологии
Корпорация Майкрософт предлагает несколько технологий, которые можно использовать для наблюдения за доступом к сети и данным владельцев банковских карт.
Службы сбора данных аудита в приложении Microsoft System Center Operations Manager. Приложение Microsoft Operations Manager 2007 позволяет безопасно и эффективно извлекать и собирать журналы безопасности операционных систем Windows, а также сохранять их для последующего анализа и составления отчетов. Извлеченные журналы сохраняются в отдельной базе данных служб сбора данных аудита. Operations Manager может отправлять отчеты, которые используются службами сбора данных аудита. Службы сбора данных аудита можно использовать для создания различных отчетов о соответствии нормативным требованиям, например требованиям Закона Сарбейнса-Оксли. Службы сбора данных аудита можно также использовать для анализа безопасности, а также обнаружения попыток вторжения и получения несанкционированного доступа.
Дополнительные сведения о службах сбора данных аудита см. по адресу http://technet.microsoft.com/en-us/library/bb381258.aspx.
Инфраструктура ведения журнала событий в Microsoft Windows Vista. Усовершенствования инфраструктуры ведения журнала событий Windows облегчают управление и наблюдение за компьютером с Windows Vista и предоставляют более подробные данные для устранения неполадок. Жесткие требования стандартов обеспечивают содержательность, практичность и правильное документирование данных. Многие компоненты, которые в предыдущих версиях операционной системы Windows сохраняли данные ведения журналов в текстовых файлах, теперь сохраняют данные о событиях в журнале событий. Поддержка пересылки событий позволяет администраторам централизованно управлять событиями на компьютерах, расположенных в любом сегменте сети, что дает возможность определять неполадки и соотносить проблемы, затрагивающие несколько компьютеров. Более того, средство просмотра событий было полностью переработано. Теперь оно позволяет настраивать просмотр, сопоставлять события и задачи и удаленно просматривать журналы с других компьютеров. Все это обеспечивает более эффективное применение журнала событий для устранения неполадок, возникающих на компьютерах пользователей.
Дополнительные сведения см. в статье «Возможности управления в Windows Vista» по адресу http://technet.microsoft.com/en-us/windowsvista/aa905069.aspx.
Сервер Microsoft SQL Server. Службы отчетов SQL Server — это полнофункциональное серверное решение, позволяющее создавать, обрабатывать и доставлять как традиционные бумажные отчеты, так и интерактивные веб-отчеты. Являясь неотъемлемым компонентом платформы бизнес-аналитики корпорации Майкрософт, службы отчетов объединяют функции управления данными SQL Server и Microsoft Windows Server с привычными для пользователей мощными приложениями системы Microsoft Office, предоставляя в реальном времени информацию, необходимую для повседневной работы и принятия решений. Эти службы можно использовать для создания отчетов по анализу и отслеживанию изменений данных владельцев банковских карт, а также для более эффективного наблюдения за использованием сети и потоком данных.
Дополнительные сведения о сервере Microsoft SQL Server см. на веб-узле http://www.microsoft.com/sql/default.mspx.
Возможности поддержки операционной системы
Системные списки управления доступом NTFS. Организация может использовать системные списки управления доступом (SACL) файловой системы NTFS, чтобы отслеживать изменения файлов или папок в системе. Если для папки или файла настроен системный список управления доступом, при выполнении действия над данным файлом или папкой операционная система Windows регистрирует его в журнале с указанием имени пользователя, выполнившего данное действие. Файловая система FAT не поддерживает системные списки управления доступом, поэтому в организации следует использовать файловую систему NTFS на всех томах, предназначенных для хранения данных пользователей и владельцев банковских карт.
Дополнительные сведения см. в статье «Управление данными и параметрами пользователей» по адресу http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpusrdat.mspx.
Управление технологическими решениями стандарта PCI DSS
Несмотря на то что решения по управлению не обеспечивают соответствия каким-либо конкретным требованиям стандарта PCI DSS, они позволяют отслеживать работу ИТ-средств, внедренных в целях соответствия требованиям стандарта PCI DSS. При создании структуры ИТ-средств важно обеспечить возможность централизованного управления этими элементами с использованием минимального количества рабочих станций для администраторов.
Существующие технологии
Корпорация Майкрософт предлагает два основных средства управления системой ИТ-средств, внедренной для обеспечения соответствия требованиям стандарта PCI DSS и другим нормативным требованиям.
Microsoft Forefront. Microsoft Forefront — это набор бизнес-продуктов для обеспечения безопасности, который защищает операционные системы, серверы приложений и границы сети. Microsoft Forefront можно использовать в существующей ИТ-инфраструктуре для защиты серверов и клиентских компьютеров от атак вредоносными программ и заражения ими. Это достигается посредством тесной интеграции Microsoft Forefront с такими серверами приложений, как Exchange и SharePoint, и приложениями для обмена мгновенными сообщениями. Microsoft Forefront также имеет встроенную интеграцию со службой каталогов Active Directory и использует сервер ISA для работы с Active Directory в целях поддержки протоколов RADIUS и DHCP, а также смарт-карт. Кроме того, Microsoft Forefront представляет собой единое средство управления с централизованным расположением средств создания отчетов и настройки мер управления политикой.
Дополнительные сведения о решении Microsoft Forefront см. по адресу http://www.microsoft.com/forefront/default.mspx.
Microsoft System Center. Microsoft System Center — это семейство решений по управлению, предоставляющее средства для автоматизации управления системами в масштабах организации. Решение System Center включает в себя технологии, позволяющие автоматизировать основные задачи управления, а также содержит средства, позволяющие ИТ-специалистам выполнять обнаружение, диагностику и устранение проблем в компьютерной среде организации. В частности, решение System Center включает в себя продукты, выполняющие следующие задачи:
наблюдение за оборудованием и программным обеспечением в распределенной среде с целью обнаружения проблем с последующим предоставлением средств для их устранения;
автоматизация установки, обновления и исправления программного обеспечения;
реализация стандартных процессов управления системой;
управление архивацией и восстановлением данных файлового сервера Windows;
реализация требований по наблюдению и конфигурации в небольших организациях;
управление виртуальными машинами: поскольку более производительное оборудование позволяет выполнять большее количество приложений на одном компьютере, возрастает тенденция использования виртуализации для изоляции данных приложений;
определение необходимых размеров установки посредством предоставления средств для оценки необходимых ресурсов.
Дополнительные сведения о решении Microsoft System Center см. по адресу http://www.microsoft.com/systemcenter/default.aspx.
Заключение
В данном разделе описываются технологические решения, которые организация может использовать для обеспечения соответствия требованиям стандарта PCI DSS. Раздел содержит объяснение важности этих решений, а также ссылки на сведения о технологических решениях и рекомендациях корпорации Майкрософт, позволяющих организации разработать меры по обеспечению соответствия нормативным требованиям.
Эффект реализации данных решений заключается не только в обеспечении безопасности и соответствия требованиям стандартов для ИТ-сред. Применение данных решений оказывает положительный эффект на все бизнес-процессы организации. Перед внедрением представленных решений следует проконсультироваться у аудитора и юрисконсульта по конкретным вопросам соответствия требованиям стандарта PCI DSS в своей организации, а также тщательно проанализировать влияние внедрения данных решений на работу организации в целом, а не только на соответствие нормативным требованиям. Корпорация Майкрософт стремится к тому, чтобы предоставлять более подробные исследования и решения для обеспечения соответствия требованиям стандарта PCI DSS и другим нормативным требованиям. Однако можно самостоятельно найти дополнительные сведения по данной сложной и важной теме в открытых источниках.
Приложения
Данный раздел включает распространенные вопросы о технологических решениях Майкрософт и их соответствии требованиям стандарта PCI DSS, а также ответы на них. Раздел также содержит карту технологических решений, позволяющих обеспечить соответствие организации этим требованиям.
Вопросы и ответы
Вопрос: Почему организация должна тратить время на обеспечение соответствия требованиям стандарта безопасности данных платежных карт? Не является ли этот стандарт еще одной бесполезной и затратной нормой?
Ответ: Существуют три причины, исходя из которых организации следует разработать комплекс мер по обеспечению соответствия требованиям стандарта PCI DSS. Во-первых, крупные платежные системы, например Visa, финансово поощряют компании, соответствующие данным требованиям, и штрафуют за несоответствие им. Во-вторых, соответствие требованиям стандарта PCI DSS может снизить степень ответственности компании в случае потери данных. В-третьих, анализ и организация систем для обеспечения соответствия требованиям стандарта PCI DSS в целом способствуют более эффективному отслеживанию данных клиентов в компании. Как следствие, при этом можно повысить качество предлагаемых услуг и удовлетворенность клиентов.
Вопрос: Использует ли корпорация Майкрософт стандарт PCI DSS для продажи своих технологий?
Ответ: Конкретные условия работы организаций могут значительно отличаться друг от друга. Данное руководство предназначено для предоставления наиболее полного набора рекомендаций. Корпорация Майкрософт может разработать более конкретное руководство в соответствии с индивидуальными требованиями организации. Для получения рекомендаций можно также связаться с торговым представителем корпорации Майкрософт. Как уже указывалось ранее, организация может достичь большей эффективности ведения бизнеса, если будет рассматривать внедрение данных решений не только как проект по обеспечению соответствия нормативным требованиям, а как совершенствование систем отслеживания и управления данными клиентов.
Вопрос: В этом документе описано довольно много технологий Майкрософт, но очень мало готовых решений по обеспечению соответствия требованиям стандарта PCI DSS. Чем это объясняется?
Ответ: Конкретные условия работы каждой отдельной организации уникальны. Невозможно разработать одно решение, которое подойдет для всех организаций. Как указано в заключении, корпорация Майкрософт стремится к тому, чтобы предоставлять более подробные исследования и решения для обеспечения соответствия требованиям стандарта PCI DSS.
Вопрос: Каким образом корпорация Майкрософт может содействовать в получении организацией сертификата соответствия требованиям стандарта PCI DSS?
Ответ: Корпорация Майкрософт предлагает программное обеспечение и услуги, которые могут способствовать обеспечению соответствия организации требованиям стандарта PCI DSS, но не могут гарантировать получение организацией соответствующего сертификата. Как поставщик программного обеспечения, корпорация Майкрософт крайне заинтересована в том, чтобы помочь нашим клиентам обеспечивать соответствие данным требованиям. Однако вопросы сертификации решаются аудиторами и платежными системами, с которыми сотрудничает организация.
Вопрос: Разве раздел 3.4.1 не запрещает применение технологий защиты данных корпорации Майкрософт?
Ответ: Нет. Полный текст этого раздела звучит следующим образом:
«В случае использования шифрования диска (в отличие от шифрования базы данных на уровне столбцов или файлов) управление логическим доступом должно быть независимым от собственных механизмов операционной системы по управлению доступом (так, не следует использовать учетные записи локальной системы или службы каталогов Active Directory). Ключи расшифровки не должны быть привязаны к учетным записям пользователей».
В технологиях корпорации Майкрософт по защите данных не выполняется привязка ключей расшифровки к учетным записям пользователей. Например, средство шифрования дисков BitLocker не выполняет привязку ключей расшифровки (ПИН или паролей для восстановления) к учетным записям пользователей в Active Directory. Шифрованная файловая система (EFS) также не выполняет привязку ключей расшифровки к учетным записям пользователей. Организация может отключить для пользователя возможность расшифровки документа без изменения привилегий доступа к системе. В некоторых конфигурациях шифрованная файловая система (EFS) пытается оптимизировать работу пользователей посредством размещения некоторых ключей расшифровки в профиле определенных пользователей. Однако данное поведение можно изменить посредством соответствующей настройки.