Wymogi bezpieczeństwa nie pytają o wielkość instytucji…

0
378

Śmiało można powiedzieć, że era oszczędzania na bezpieczeństwie skończyła się. Przyzwyczajenie, że niewielkie przedsiębiorstwa mogą pozwolić sobie na znikome lub zerowe zabezpieczenie sieciowe odchodzi w zapomnienie i to w trybie przyspieszonym, twierdzi Wojciech Pietrow, Security Department Manager, Bakotech.

Na ten trend składa się wiele argumentów. Podstawowym z nich jest fakt, że nawet kilkuosobowe firmy operują dużymi kwotami, dodaje Wojciech Pietrow. Natomiast wymogi dotyczące bezpieczeństwa transakcji kartami płatniczymi nie pytają o wielkość instytucji tylko o fakt czy zapewniony jest standard PCI DSS (Payment Card Industry Data Security Standard). Standard ten został pierwszy raz ogłoszony 15 grudnia 2004.

Składa się on z 12 wymagań zebranych w 6 grupach tematycznych (punktach kontrolnych). Każde z wymagań składa się z szeregu szczegółowych punktów wymagań.

Cel kontrolny

Wymaganie PCI DSS

Zbuduj i utrzymuj bezpieczną sieć 1. Zainstaluj i utrzymuj konfigurację zapory sieciowej, aby chronić dane posiadaczy kart.
2. Nie używaj domyślnych haseł ani innych parametrów bezpieczeństwa ustawionych przez producentów.
Chroń dane posiadaczy kart 3. Chroń dane posiadaczy kart w trakcie ich przechowywania.
4. Szyfruj transmisję danych posiadaczy kart w otwartych, publicznych sieciach.
Prowadź program zarządzania podatnościami 5. Używaj i regularnie aktualizuj oprogramowanie antywirusowe.
6. Twórz i utrzymuj bezpieczne systemy i aplikacje.
Zaimplementuj silne mechanizmy kontroli dostępu 7. Ogranicz dostęp do danych posiadaczy kart płatniczych tylko dla osób, które mają taką potrzebę biznesową.
8. Nadaj unikatowy identyfikator użytkownika każdej osobie z dostępem do komputera.
9. Ogranicz fizyczny dostęp do danych posiadaczy kart.
Regularnie monitoruj i testuj sieci 10. Kontroluj i monitoruj cały dostęp do zasobów sieciowych i danych posiadaczy kart.
11. Regularnie testuj systemy i procesy bezpieczeństwa.
Utrzymuj politykę bezpieczeństwa informacji 12. Utrzymuj politykę, która obejmuje bezpieczeństwo informacji.

 

Powyższe zalecenia bezpieczeństwa wydane zostały przez Payment Card Industry Security Standards Council. Norma ta została opracowana, aby zapewnić spójny i możliwie najlepszy mechanizm ochrony bezpieczeństwa transakcji finansowych we wszystkich środowiskach, w których przetwarzane są dane posiadaczy kart płatniczych. Jak widzimy powyżej, na pierwszym miejscu widnieje zalecenie zainstalowania i utrzymania zapory sieciowej. Należy dobrze zrozumieć ten zapis. Mówi on, że nie tylko zainstalowanie zapory sieciowej jest istotne, ale późniejsze utrzymanie konfiguracji ma znaczenie. Czyli zapora musi podlegać stałym aktualizacjom, tak aby nadążyć i reagować na pojawiające się coraz to nowsze zagrożenia. Oznacza to konieczność dbania o stały dopływ świeżych informacji tworzących mechanizmy przeciwdziałania szkodliwemu oprogramowaniu.

Należy zwrócić też uwagę na kolejne bardzo ważne zalecenie, a mianowicie takie, że Rada tworząca standard w punkcie 10 nakazuje cały czas kontrolować i monitorować dostęp do zasobów sieciowych i danych posiadaczy kart. Pierwszy element tego zalecenia, czyli monitorowanie zasobów sieciowych jest jednym z ważniejszych elementów w aktualnie oferowanych systemach UTM, bo to właśnie ten „cyfrowy wizjer” umożliwia natychmiastową obserwację systemu składającego się z użytkowników, zasobów i polityk bezpieczeństwa. Tu doskonałym przykładem jest rozwiązanie firmy WatchGuard, która to razem z urządzeniem oferuje darmowy graficzny analizator logów. W tym wypadku doskonale realizujący powyższe zalecenie Rady.

Jaka zatem jest różnica pomiędzy małymi, a dużymi przedsiębiorstwami? Wspólnie dochodzimy do wniosków, że zasady bezpieczeństwa muszą być takie same. Spójna jest też konieczność zapewnienia potencjalnego rozwoju systemu bezpieczeństwa, co dla każdej wielkości instytucji jest kluczowe. System musi być przygotowany na stały rozwój wydarzeń. Podstawowa różnica sprowadza się do wydajności obliczeniowej urządzeń, tak aby sama platforma nie była wąskim gardłem.

Nie ma miejsca na połowiczne bezpieczeństwo sieciowe, tylko najwyższej jakości usługi mają szanse skutecznie odeprzeć ataki, które trafiają identycznie w małych jak i dużych firmach, reasumuje Wojciech Pietrow, Security Department Manager, Bakotech.

Rozwiązania WatchGuard Firebox serii T potrafią skutecznie chronić firmy zatrudniające dosłownie parę osób, zaś platformy serii Firebox M, mogą zapewnić bezpieczeństwo organizacjom kilkuset osobowym aż po wielotysięczne firmy.

Więcej informacji o rozwiązaniach WatchGuard.