Приказ ФСТЭК России № 17 от 11.02.2013

ЗБС.8 Блокирование попыток подключения к беспроводным точкам доступа с незарегистрированных устройств доступа, в том числе из-за пределов зданий и сооружений финансовой организации
3-Н 2-Н 1-Т

PR.DS-2: Данные при передаче защищаются  

9.4.3
Defined Approach Requirements: 
 Media with cardholder data sent outside the facility is secured as follows:

Customized Approach Objective:
Media is secured and tracked when transported outside the facility. 

Defined Approach Testing Procedures:

Purpose:
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments. 

4.2.1.2
Defined Approach Requirements: 
Wireless networks transmitting PAN or connected to the CDE use industry best practices to implement strong cryptography for authentication and transmission. 

Customized Approach Objective:
Cleartext PAN cannot be read or intercepted from wireless network transmissions. 

Defined Approach Testing Procedures:

Purpose:
Since wireless networks do not require physical media to connect, it is important to establish controls limiting who can connect and what transmission protocols will be used. Malicious users use free and widely available tools to eavesdrop on wireless communications. Use of strong cryptography can help limit disclosure of sensitive information across wireless networks. 
Wireless networks present unique risks to an organization; therefore, they must be identified and protected according to industry requirements. Strong cryptography for authentication and transmission of PAN is required to prevent malicious users from gaining access to the wireless network or utilizing wireless networks to access other internal networks or data. 

Good Practice:
Wireless networks should not permit fallback or downgrade to an insecure protocol or lower encryption strength that does not meet the intent of strong cryptography. 

Further Information:
Review the vendor’s specific documentation for more details on the choice of protocols, configurations, and settings related to cryptography 

1.4.5
Defined Approach Requirements: 
The disclosure of internal IP addresses and routing information is limited to only authorized parties. 

Customized Approach Objective:
Internal network information is protected from unauthorized disclosure. 

Defined Approach Testing Procedures:

Purpose:
Restricting the disclosure of internal, private, and local IP addresses is useful to prevent a hacker from obtaining knowledge of these IP addresses and using that information to access the network. 

Good Practice:
Methods used to meet the intent of this requirement may vary, depending on the specific networking technology being used. For example, the controls used to meet this requirement may be different for IPv4 networks than for IPv6 networks. 

Examples Methods to obscure IP addressing may include, but are not limited to:

A.14.1.3 Защита транзакций прикладных сервисов 
Мера обеспечения информационной безопасности: Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений 

A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования 
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации 

7.3. Участники СБП, ОПКЦ СБП и ОУИО СБП должны определить во внутренних документах состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений (при их наличии), при осуществлении перевода денежных средств с использованием сервиса быстрых платежей на этапах формирования (подготовки), обработки, передачи и хранения электронных сообщений и информационных сообщений (при их наличии).

Участники СБП, ОПКЦ СБП и ОУИО СБП должны применять технологические меры защиты информации, используемые для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения (при их наличии).

14.1. Участники СБП должны удостоверять электронной подписью электронные сообщения при их передаче клиентами участника СБП.

14.4. ОПКЦ СБП должен обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:

14.3. Участники ССНП должны обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:

14.2. Участники СБП и ОПКЦ СБП должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ СБП посредством:

Участники СБП, ОПКЦ СБП и ОУИО СБП должны обеспечивать защиту электронных сообщений при их передаче между ОПКЦ СБП, участниками СБП и ОУИО СБП в соответствии с требованиями, установленными абзацами вторым - четвертым настоящего подпункта.

Участники СБП должны реализовать технологии подготовки, обработки и передачи электронных сообщений и защищаемой информации, обеспечивающие проверку соответствия (сверку) реквизитов исходящих в адрес ОПКЦ СБП электронных сообщений с реквизитами соответствующих им входящих электронных сообщений клиентов участников СБП и реквизитами электронных сообщений, на основе которых участником СБП осуществляются операции по списанию денежных средств со счетов клиентов.

12. При обмене электронными сообщениями между Банком России и ОПКЦ СБП, Банком России и участниками ССНП должна применяться электронная подпись, сертификаты ключа проверки которой выданы Банком России участникам ССНП и ОПКЦ СБП, в соответствии с частью 2 статьи 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи".
При обмене электронными сообщениями между ОПКЦ СБП и участниками СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ СБП участникам СБП.

При обмене электронными сообщениями между ОПКЦ СБП, участниками СБП и ОУИО СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ СБП участнику СБП, в том числе при обмене электронными сообщениями между ОПКЦ СБП и ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений.

Хранение и использование криптографических ключей участника СБП, предназначенных для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, должны осуществляться в аппаратных модулях безопасности информационной инфраструктуры ОУИО СБП, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти в области обеспечения безопасности). Доступ к криптографическим ключам участника СБП должен быть обеспечен только для участника СБП как владельца сертификата ключа проверки электронной подписи.
При обмене электронными сообщениями между ОПКЦ СБП и ОУИО СБП криптографические ключи участника СБП, предназначенные для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, хранение и использование которых осуществляются в информационной инфраструктуре ОУИО СБП, изготавливаются участником СБП в аппаратных модулях безопасности самостоятельно. Для получения сертификата ключа проверки электронной подписи участник СБП обращается в ОПКЦ СБП самостоятельно.

4.2.1.2
Определенные Требования к Подходу:
Беспроводные сети, передающие PAN или подключенные к CDE, используют лучшие отраслевые практики для реализации надежной криптографии для аутентификации и передачи.

Цель Индивидуального подхода:
Открытый текст PAN не может быть прочитан или перехвачен при передаче по беспроводной сети.

Определенные Процедуры Тестирования Подхода:

Цель:
Поскольку для подключения к беспроводным сетям не требуются физические носители, важно установить элементы управления, ограничивающие, кто может подключаться и какие протоколы передачи будут использоваться. Злоумышленники используют бесплатные и широко доступные инструменты для подслушивания беспроводных сообщений. Использование надежной криптографии может помочь ограничить раскрытие конфиденциальной информации в беспроводных сетях.
Беспроводные сети представляют уникальные риски для организации; поэтому они должны быть идентифицированы и защищены в соответствии с отраслевыми требованиями. Надежная криптография для аутентификации и передачи PAN требуется для предотвращения получения злоумышленниками доступа к беспроводной сети или использования беспроводных сетей для доступа к другим внутренним сетям или данным.

Надлежащая практика:
Беспроводные сети не должны допускать отката или понижения до небезопасного протокола или снижения уровня шифрования, что не соответствует целям надежной криптографии.

Дополнительная информация:
Ознакомьтесь с конкретной документацией поставщика для получения более подробной информации о выборе протоколов, конфигураций и параметров, связанных с криптографией

9.4.3
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:

Цель Индивидуального подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.

Определенные Процедуры Тестирования Подхода:

Цель:
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.

1.4.5
Определенные Требования к Подходу:
Раскрытие внутренних IP-адресов и информации о маршруте только авторизованным сторонам.

Цель Индивидуального подхода:
Внутренняя сетевая информация защищена от несанкционированного раскрытия.

Определенные Процедуры Тестирования Подхода:

Цель:
Ограничение раскрытия внутренних, частных и локальных IP-адресов полезно для предотвращения получения злоумышленником информации об этих IP-адресах и использования этой информации для доступа к сети.

Надлежащая практика:
Методы, используемые для выполнения этого требования, могут варьироваться в зависимости от конкретной используемой сетевой технологии. Например, элементы управления, используемые для выполнения этого требования, могут отличаться для сетей IPv4 от сетей IPv6.

Примеры:
Способы скрытия IP-адресации могут включать, но не ограничиваться ими:

4.1. Операторы услуг информационного обмена должны обеспечивать защиту информации при оказании операторам по переводу денежных средств услуг информационного обмена на основании договоров в отношении следующих операций:

6.1. Операторы услуг платежной инфраструктуры, осуществляющие деятельность операционных центров (далее - ОЦ), при предоставлении операционных услуг должны обеспечивать защиту информации при осуществлении обмена электронными сообщениями между операторами по переводу денежных средств, между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры, осуществляющими деятельность платежных клиринговых центров (далее - ПКЦ), операторами услуг платежной инфраструктуры, осуществляющими деятельность расчетных центров (далее - РЦ), между ПКЦ и РЦ.

Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений.

Вопросы безопасности для транзакций прикладных сервисов должны включать следующее:

Объем принятых мер обеспечения ИБ должен соответствовать уровню риска, связанного с каждой формой транзакции прикладных сервисов.

Транзакции должны соответствовать юридическим и нормативным требованиям той юрисдикции, где их формируют, обрабатывают, завершают или хранят.

Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации.

ИБ прикладных сервисов, проходящих через общедоступные сети, следует обеспечивать исходя из следующих соображений:

Многие из вышеперечисленных соображений могут быть выполнены с применением криптографических мер обеспечения ИБ (раздел 10), принимая во внимание требования законодательства (раздел 18, особенно 18.1.5 для законодательства о криптографии).

Механизмы предоставления услуг между участниками должны быть закреплены документально оформленным соглашением, в котором обе стороны соглашаются с условиями предоставления сервисов, включая детали авторизации (перечисление b).

Следует учитывать требования устойчивости к атакам, которые могут включать в себя требования по защите используемых серверов приложений или обеспечению доступности сетевых соединений, необходимых для предоставления сервиса.

Приложения, доступные через сети общего пользования, подвержены целому ряду угроз, таких как мошеннические действия, нарушение условий договора или публичное разглашение информации. Поэтому обязательным здесь является детальная оценка риска и правильный выбор мер обеспечения ИБ. Необходимые меры обеспечения ИБ часто включают в себя криптографические методы для аутентификации и защиты данных при передаче.

Прикладные сервисы могут использовать безопасные методы аутентификации, например использование криптографии с открытым ключом и электронных подписей (раздел 10) для снижения рисков. Кроме того, при необходимости, могут быть задействованы доверенные третьи стороны.