Выполнение требований
стандарта PCI DSS

Решение на основе трех продуктов создает систему управления доступом к данным клиентов финансовых организаций

Запланировать демонстрацию

Задача

В апреле 2016 года была принята новая версия PCI DSS 3.2. Часть нововведений этой версии вступает в силу 1 февраля 2018 года. К таким нововведениям относятся изменения в части аутентификации сотрудников при доступе к информационным системам банка. Так, с 01.02.2018 г. становится обязательным применение многофакторной аутентификации в ряде сценариев доступа.

Стандарт PCI DSS определяет следующие факторы или методы аутентификации пользователей:

  • то, что вы знаете
  • то, что у вас есть
  • то, чем вы обладаете

Приведем несколько примеров для указанных факторов, наиболее часто встречающихся при практическом решении задач мультифакторной аутентификации.

То, что вы знаете

  • PIN код смарт-карты или USB-ключа. PIN хранится только в памяти устройства и используется для доступа к защищенной области данных на смарт-карте или USB-ключе для выполнения различных криптографических операций, в т.ч. в целях аутентификации.
  • Ответы на контрольные вопросы. Как правило, такой метод используется как резервный при восстановлении доступа. В целях безопасности, рекомендуется требовать правильные ответы на несколько вопросов.
  • Классический пароль условно постоянного действия.

То, что у вас есть

  • Смарт-карта или USB-ключ. На таких устройствах хранится закрытый ключ для операций асимметричной криптографии и другая ключевая информация.
  • OTP-брелок - генератор одноразовых паролей. Аппаратное устройство генерации OTP. Наиболее распространенным стандартом генерации одноразовых паролей являются алгоритмы OATH TOTP и HOTP. Также встречаются проприетарные алгоритмы генерации ОТР (например, RSA).
  • Смартфон пользователя. Смартфон может использоваться в различных вариантах: (а) мобильное приложение для генерации ОТР; (б) одноразовые пароли, высылаемые по SMS; (в) мобильное приложение для out of band аутентификации с использованием push-уведомлений.
  • Бесконтактная карта (RFID). Такие карты удобны тем, что могут одновременно использоваться как для логического доступа в информационные системы, так и для физического доступа в помещения организации.

То, чем вы обладаете (то, чем вы являетесь)

В данную категорию попадают все технологии, основанные на биометрических данных человека.

  • Наиболее распространенным на данный момент вариантом биометрической аутентификации является отпечаток пальца. На сегодняшний день данная технология обладает одним из лучших соотношений цена-качество среди биометрических технологий.
  • Рисунок вен. Данная технология для построения биометрического шаблона использует рисунок вен ладони или пальца. Преимуществом технологии является высокая точность распознавания и гигиеничность - считывание вен происходит на расстоянии без непосредственного контакта сканера с ладонью или пальцем.
  • Фотография (2D изображение лица). Данная технология является одним из наиболее дешевых вариантов биометрической аутентификации, т.к. не требует применения специализированного устройства. К недостаткам технологии можно отнести зависимость точности распознавания от освещенности помещения.
  • 2D и 3D изображения лица. Для аутентификации по 2D и 3D изображению лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.
  • Голосовая биометрия. Аналогично фотоизображению лица, голосовая биометрия является одним из самых недорогих вариантов. Преимуществами технологии является возможность работы в телефонном звонке. К недостаткам технологии можно отнести относительно невысокую точность и ограниченный набор сценариев применения.

Следует отметить, что согласно стандарту, мультифакторная аутентификация требует сочетать минимум два различных фактора. Т.е. применение двух паролей или двух отпечатков пальцев не будет являться мультифакторной аутентификацией. Приведем наиболее распространенные на практике сочетания различных факторов:

  • Смарт-карта (с закрытым ключом и сертификатом) + PIN код.
  • Постоянный пароль + одноразовый пароль
  • Бесконтактная карта + постоянный пароль
  • Бесконтактная карта + отпечаток пальца
  • Отпечаток пальца + постоянный пароль
  • Приложение на смартфоне (push-нотификация) + постоянный пароль
  • Приложение на смартфоне (push-нотификация) + отпечаток пальца

Решение

Продукты Индид позволяют реализовать все приведенные сочетания факторов аутентификации, а также поддерживают возможность расширения перечня сценариев аутентификации по запросу. Для построения системы мультифакторной аутентификации применяются следующие продукты:

Indeed Certificate Manager

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Certificate Manager (Indeed CM) позволяет снизить расходы на использование PKI-инфраструктуры и повысить эффективность ее использования за счет применения централизованных политик использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed Access Manager

Indeed Access Manager (Indeed AM) является универсальной системой аутентификации, предназначенной для организации строгой и мультифакторной аутентификации в любых системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Ниже приведены комментарии по реализации конкретных требований стандарта PCI DSS 3.2 в части аутентификации с использованием программного обеспечения Индид.

Требование PCI DSS 3.2 Перевод требования Комментарий

8.1.3 Immediately revoke access for any terminated users.

8.1.3.b Verify all physical authentication methods—such as, smart cards, tokens, etc.—have been returned or deactivated.

8.1.3 Немедленный отзыв доступа при увольнении пользователя.

8.1.3.b Убедиться, что все физические средства аутентификации (например, смарт-карты, токены и т.д.) были возвращены или деактивированы.

В состав Indeed Certificate Manager входит служба мониторинга состояния учетных записей пользователей смарт-карт и сертификатов. При блокировке учетной записи, служба автоматически производит отзыв цифровых сертификатов, выпущенных пользователю, что позволяет оперативно прекращать возможность использования сертификатов и смарт-карт уволенных сотрудников. Также Indeed CM хранит информацию о том, какие смарт-карты и USB-ключи были назначены сотруднику для контроля над использованием устройств.

8.1.6 Limit repeated access attempts by locking out the user ID after not more than six attempts.

8.1.6.a For a sample of system components, inspect system configuration settings to verify that authentication parameters are set to require that user accounts be locked out after not more than six invalid logon attempts.

8.1.6 Блокировать учетные записи после шести неудачных попыток входа подряд.

8.1.6.a Сделать выборку системных компонентов, проверить настройки системной конфигурации и убедиться в том, что учетная запись пользователя блокируется после не более чем шести неудачных попыток входа.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. количество попыток входа до блокировки смарт-карты.

Indeed Access Manager также позволяет централизованно задавать политику блокировки способов входа при превышении заданного числа попыток аутентификации.

8.2 In addition to assigning a unique ID, ensure proper user-authentication management for non-consumer users and administrators on all system components by employing at least one of the following methods to authenticate all users:

  • Something you know, such as a password or passphrase
  • Something you have, such as a token device or smart card
  • Something you are, such as a biometric.

8.2 Помимо назначения уникального идентификатора, для обеспечения надлежащего управления аутентификацией сотрудников (не пользователей) и администраторов на уровне всех системных компонентов должен применяться хотя бы один из следующих методов аутентификации всех пользователей:

  • то, что вы знаете (например, пароль или парольная фраза);
  • то, что у вас есть (например, ключи или смарт-карты);
  • то, чем вы обладаете (например, биометрические параметры).

Применение продуктов Indeed Certificate Manager и Indeed Access Manager позволяет использовать все указанные методы аутентификации. При этом, в зависимости от окружения, сотруднику могут быть доступны различные варианты аутентификации (например, смарт-карта + PIN-код при доступе в ОС и пароль + ОТР при доступе в VPN).

8.2.2 Verify user identity before modifying any authentication credential—for example, performing password resets, provisioning new tokens, or generating new keys.

8.2.2 Перед изменением учетных данных для проверки подлинности (например, сбросом пароля, предоставлением новых токенов или генерацией новых ключей) необходимо установить личность пользователя.

Indeed СМ поддерживает резервную технологию аутентификации по контрольным вопросам для операций разблокировкой смарт-карты. Это позволяет выполнить данное требование при операции с PIN кодом смарт-карты.

8.2.3 Passwords/passphrases must meet the following:

  • Require a minimum length of at least seven characters.
  • Contain both numeric and alphabetic characters.

Alternatively, the passwords/ passphrases must have complexity and strength at least equivalent to the parameters specified above.

8.2.3 Пароли/парольные фразы должны соответствовать следующим требованиям:

  • наличие в пароле не менее семи символов;
  • наличие в пароле и цифр, и букв;

как вариант, пароли/парольные фразы должны иметь сложность и стойкость, сравнимые с указанными выше параметрами.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к сложности PIN кодов.

8.2.4 Change user passwords/passphrases at least once every 90 days.

8.2.4 Изменение паролей/парольных фраз пользователей не реже одного раза в 90 дней.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к времени жизни PIN кодов.

8.2.5 Do not allow an individual to submit a new password/passphrase that is the same as any of the last four passwords/passphrases he or she has used

8.2.5 Запрет смены пароля/парольной фразы на какие-либо из четырех последних паролей/парольных фраз данного пользователя, использованных им ранее.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. требования к истории PIN кодов.

8.2.6 Set passwords/passphrases for first-time use and upon reset to a unique value for each user, and change immediately after the first use

8.2.6 Установка уникального первоначального пароля/парольной фразы для каждого пользователя и их немедленное изменение при первом входе пользователя в систему.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. генерация случайных PIN кодов и требование смены PIN кода при первом входе.

8.3 Secure all individual non-console administrative access and all remote access to the CDE using multi-factor authentication

8.3 Защита не консольного административного доступа и удаленного доступа для всех пользователей к информационной среде держателей карт с помощью мультифакторной аутентификации.

Требование может быть выполнено как с использованием PKI (public key infrastructure), так и без него. Также возможно совмещение технологий, например, таким образом: - Применение смарт-карт и цифровых сертификатов для аутентификации в локальном режиме работы (в ОС и приложениях); - Применение технологии одноразовых паролей для удаленного доступа (например, при аутентификации в VPN). Выбор конкретных технологий будет зависеть от используемого программно-аппаратного обеспечения. Кроме того, выбор технологии может зависеть от полномочий и роли пользователя (например, сертификаты для сотрудников и SMS для третьих лиц). ПО Indeed CM и Indeed AM позволяет реализовать на практике любой сценарий аутентификации, без привязки к конкретным технологиям.

8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access.

8.3.1 Применение мультифакторной аутентификации для не консольного доступа к информационной среде держателей карт для сотрудников с административным доступом.

8.3.2 Incorporate multi-factor authentication for all remote network access (both user and administrator, and including third-party access for support or maintenance) originating from outside the entity’s network.

8.3.2 Применение мультифакторной аутентификации для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети.

Получить бюджетную оценку проекта

Получить опросный лист

Варианты применения решения

Отраслевые
кейсы Управление доступом привилегированных пользователей
Соответствие
регуляторам Управление доступом привилегированных пользователей

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

Централизованное управление PKI
Электронная подпись и аутентификация без смарт-карт и токенов
Миграция с устаревших решений для управления PKI
Самообслуживание пользователей при работе с сертификатами
Аутентификация по смарт-картам и цифровым сертификатам
Выполнение требований приказов ФСТЭК
Выполнение требований стандарта PCI DSS

отзывы клиентов

Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее
Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Подробнее
Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Подробнее
Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Подробнее
Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее