rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

SafenSoft представляет тезисы "Руководства по передовым методам обеспечения безопасности ПО для банкоматов" международной ассоциации ATMIA

(Официальное сообщение компании (пресс-релиз))

Данный материал размещен пользователем сайта. Мнение редакции может не совпадать с мнением автора
В октябре 2011 была выпущена официальная версия второй редакции «Руководства по передовым методам обеспечения безопасности ПО для банкоматов» Международной Ассоциации Производителей банкоматов ATMIA – документа, призванного обеспечить распространение лучших практик управления безопасностью банкоматов во всем мире. Для российских читателей текст руководства представляет компания SafenSoft – поставщик решений для обеспечения информационной безопасности устройств самообслуживания. SafenSoft является одной из двух российских компаний, принимающих непосредственное участие в жизни международного сообщества ATMIA и входящих в авторский коллектив данного руководства.

Специалисты ассоциации ATMIA выработали список рекомендаций по обеспечению информационной безопасности банкоматов. Этот список включает в себя 15 основных положений, главные из которых будут кратко описаны ниже.
 
1. Привязка безопасности ПО к его жизненному циклу
 
Главное условие эффективной защиты банкоматов от несанкционированных вмешательств – комплексный подход к обеспечению информационной безопасности, достигаемый за счет привязки безопасности ПО к его жизненному циклу. Полный  контроль на этапах разработки, установки и мониторинга функционирования ПО для банкомата начинается с оценки всех системных технологий и процессов и определения степени уязвимости каждого компонента. После разработки и внедрения политик безопасности ПО, необходимо его протестировать, чтобы убедиться, что все выявленные точки уязвимости защищены и политики выполняются. При вводе ПО в эксплуатацию, необходимо предусмотреть систему мониторинга незаконных вторжений – автоматические системы обнаружения или выборочные проверки технологий и процессов.
 
2. Многоуровневая система безопасности
 
Эффективная защита ПО банкомата возможна только при наличии многоуровневой системы информационной безопасности. Необходимо создать несколько уровней защиты в программном комплексе: изоляцию от сети, протестированные средства усиленной защиты операционной системы, защиту процессов функционирования, централизованные инструменты мониторинга/управления и т.п.
 
3. Эффективные методы нормоконтроля в области ПО
 
Необходимо соблюдать стандарты безопасности Индустрии платежных карт (PCI), особенно PCI DSS, PCI PA-DSS, и PCI PTS, следуя руководствам по внедрению, составленным производителями банкоматов и разработчиками ПО.
 
4. Передовые методы разработки ПО для банкоматов
 
Основа безопасности программного обеспечения – контроль и тестирование исходных данных уже на этапе разработки. Эти мероприятия включают в себя синтаксический анализ (парсинг) либо сквозной контроль («peer review») исходного кода, всестороннюю проверку стороннего ПО, обеспечение полной безопасности структуры ПО при его разработке. ATMIA рекомендует использовать электронно-цифровую подпись в исполняемых модулях. Такая подпись гарантирует «чистоту» происхождения файлов и отсутствие каких-либо модификаций. Кроме того, перед упаковкой готовый продукт (т.е. «золотые диски») необходимо проверять на вирусы.
 
5. Передовые подходы к установке ПО для банкоматов
 
Необходимо гарантировать отсутствие искажений кода ПО при установке на банкомат. В «Руководстве» рекомендуется сочетать проверенные источники и способы установки ПО и защищённые способы передачи программного продукта для инсталляции, например, проверку электронно-цифровых подписей в файлах. ATMIA не рекомендует предоставлять администратору неограниченный доступ к банкомату. Вместо этого возможно внесение в интерфейс пульта управления специальных конфигурационных элементов, допускающих лишь жестко контролируемые изменения настроек.
 
6. Мониторинг и администрирование банкоматов, обновление ПО
 
Не менее важен строгий контроль на этапе эксплуатации программного продукта, включая мониторинг и администрирование банкоматов, а также обновления ПО. ATMIA отмечает, что качественный мониторинг включает не только выявление проблемы, но и ее устранение. Используя инструменты мониторинга и управления для выполнения запланированных, четко установленных действий, необходимо обеспечить возможность централизованного разрешения наиболее распространенных проблем, связанных с работой банкоматов.
 
Администрирование ПО банкомата должно осуществляться через сервер управления/мониторинга с контролируемым доступом. При обновлении ПО системы необходимо производить аутентификацию патчей и обновлений, выполнять факторный анализ всех модулей платежных приложений, затронутых изменениями, а также производить проверку всех обновлений и исправлений на вирусы перед установкой. Наиболее серьёзные операции по изменению ПО должны производить только администраторы высшего уровня.
 
7. Система защиты ПО для банкоматов
 
Важными элементами комплексной безопасности на этапе эксплуатации ПО также являются:
 
• Брандмауэры. Настройка правил автономного/терминального брандмауэра предотвратят доступ вредоносных программ в банкоматы.
• Защита портов. Инструменты контроля портов могут предотвратить подобный доступ, либо ограничить его определенным кругом пользователей, используя аутентификацию.
• Антивирусы. Антивирусные программные комплексы станут хорошим дополнением мощного брандмауэра на пути вредоносных программ.
• «Белые списки». Чёткое ограничение программ и процессов, допущенных к выполнению в операционной среде ПО для банкомата, включая установку патчей.
• Процесс принятия решений, соответствующий международным стандартам безопасности  (PCI DSS).
• Определение цикла установки исправлений. Оптимальным сейчас считается ежемесячная установка исправлений и обновлений. Цикл длиннее квартала принято считать слишком длинным на фоне постоянно меняющихся угроз.
 
8. Передовые методы криптографической защиты и загрузки ключей
 
Для управления ключами ПО, их отзыва и присвоения необходимо централизованное управление системой криптографической защиты. На этапе создания ключа, ATMIA рекомендует диверсифицировать генерацию частей кодового ключа между несколькими ответственными сотрудниками (хранителями ключа).
 
Важно уделить внимание и условиям хранения готового ключа – они должны соответствовать международным стандартам управления криптографическими ключами в банках. Срок действия ключа должен быть строго лимитирован, частота обновления одноуровневых ключей должна составлять 2-4 раза в год.
 
Любые данные о держателях карт, находящиеся на жестком диске банкомата, должны быть защищены от несанкционированного просмотра. Один из возможных способов – полное шифрование диска (FDE). Альтернативный метод – шифрование файлов и папок, которые содержат конфиденциальную информацию. Следует изъять изо всех файлов незамаскированные номера личных счетов. В частности, из журналов трансакций (включая электронные журналы) и диагностических журналов системы XFS, различных устройств, а также из самого приложения банкомата. Исходящий поток сетевых трансакций банкомата также подлежит шифрованию.  

9. Передовые методы техобслуживания
 
Важно предусмотреть меры безопасности для технического обслуживания банкоматов, для чего соглашения на техобслуживание со сторонними организациями должны содержать пункты, предусматривающие ответственность за противозаконные деяния, включая любые виды мошенничества, осуществляемого через сервисный интерфейс ПО банкомата или путем установки незаконного ПО в устройство.
 
Управляющая компания (банк) должна выстроить чёткую иерархическую структуру, в которой наиболее серьезные операции доступны лишь специалистам высшего уровня. Необходимо как минимум ежегодно осуществлять проверку штатных сотрудников и сторонних поставщиков услуг. Следует регистрировать все действия по обслуживанию своих банкоматов и хранить все итоговые журналы регистрации доступа в систему. 

Подробная версия «Руководства по передовым методам обеспечения безопасности ПО для банкоматов» вскоре будет опубликована на русском языке.
 
Чтобы получить данный документ, узнать больше о практических методах защиты информации для устройств самообслуживания методах ознакомиться со списком данных рекомендаций, следите за новостями SafenSoft.

Автор: SafenSoft

Рубрики: ПО, Финансы, Безопасность

Ключевые слова: программное обеспечение, безопасность, банкомат

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга