«uzcard security requirements» томонидан интернет тармоғи орқали амалга ошириладиган хизматлардан фойдаланишда хавфсизлик талаблари

Download 34.9 Kb.

bet	1/4
Sana	05.04.2023
Hajmi	34.9 Kb.
	#1274363

1 2 3 4

Bog'liq
USR талаблари

«Uzcard Security Requirements» қайта кўриб чиқиш ва ўзгаришларни киритиш тартиби

«UZCARD SECURITY REQUIREMENTS» ТОМОНИДАН ИНТЕРНЕТ ТАРМОҒИ ОРҚАЛИ АМАЛГА ОШИРИЛАДИГАН ХИЗМАТЛАРДАН ФОЙДАЛАНИШДА ХАВФСИЗЛИК ТАЛАБЛАРИ.

«UZCARD SECURITY REQUIREMENTS» талаблари БК эгалари маълумотларининг хавфсизлик даражасини ошириш ва БК эгалари маълумотларини ҳимоя қилиш бўйича бир ҳил чораларни ҳамма жойларда жорий этиш жараёнига кўмаклашиш мақсадида ишлаб чиқилган.

«Uzcard Security Requirements» қайта кўриб чиқиш ва ўзгаришларни киритиш тартиби
Ушбу талабнинг қайта кўриб чиқилиши вақти-вақти билан йилига камида 1 маротаба ўтказилиши шарт, шунингдек:
• қўлланилаётган технологияларнинг ўзгартирилишида;
• можаролар, заиф томонлар вужудга келганида, раҳбарият қарори асосан ва бошқа аҳамиятли АХ воқеаларида.
Қайта кўриб чиқиш ёки ўзгартиришларни киритиш бўйича таклифларни, ахборот хавфсизлиги хатарларини таҳлил қилиш жараёнида иштирок этувчи, ЯУПМ тузилмали бўлинмаларининг раҳбарлари киритиши мумкин.
1. Интернет тармоғи орқали хизматларни амалга оширишда иштирокчилар учун асосий талаблар.
2. БК эгалари маълумотларининг сақланиши фақат керакли минимум билан чекланиши шарт. БК эгалари маълумотларини сақлаш бўйича қуйидаги минимал талабларга жавоб берадиган муолажа сиёсати ва маълумотларни сақлаш ҳамда ўчириш жараёни ишлаб чиқилиши керак:
а) маълумотлар миқдори ва уларни сақлаш муддатлари фақат бажарилиши зарур бўлган бизнес, қонунчилик талаблари ва бошқа тартибга солувчи талаблар билан чекланган бўлиши шарт;
б) сақланиши бошқа зарур бўлмаган маълумотларни хавфсиз ўчириб ташлаш жараёнлари;
.3. БК эгасининг бутун асосий рақамини фақат асосланган тижорат заруриятига эга бўлган ходимлар кўриши учун, уни акс эттиришда БК эгасининг асосий рақамини яшириш керак (кўрсатиш мумкин бўлган белгиларнинг эҳтимол максимал миқдори – биринчи олтитаси ва сўнгги тўрттаси).
4. PAN (карта рақами) барча сақлаш жойларида (шу жумладан, ечиладиган ташувчиларда, резерв нусҳаларида ва воқеаларни протоколлаш журналларидаги маълумотлар) ўқилмайдиган кўринишда тақдим этилиши керак. Бунинг учун қуйидаги усуллардан биттасидан фойдаланиш лозим:
• мустаҳкам бир томонлама йўналтирилган хешлаш функцияси (БК эгасининг бутун асосий рақами хешланган бўлиши керак);
Уларнинг қўлланилиши БК эгасининг асосий рақамини қайта тиклаш зарурияти мавжуд бўлмаганида мақсадна мувофиқ бўлади.
Изоҳ. Бир вақтнинг ўзида яширилган ва хешланган карта рақамларидан фойдаланиш имконияти мавжуд бўлганида, жинояткорлар учун дастлабки PAN маълумотларини қайта тиклаш катта қийинчилик туғдирмайди.
• қисқартириш (БК эгаси асосий рақамининг қисқартирилган сегментини алмаштириш учун хешлаш қўлланилмайди);
Қисқартириш мақсади БК эгаси асосий рақамининг фақат бир қисми (биринчи олтита ва сўнгги тўртта рақамдан ортиқ эмас) сақланишига қаратилган.
Изоҳ. Бир вақтнинг ўзида яширилган ва хешланган карта рақамларидан фойдаланиш имконияти мавжуд бўлганида, жинояткорлар учун дастлабки PAN маълумотларини қайта тиклаш катта қийинчилик туғдирмайди.
• One Time-Pad (сақланиши хавфсиз бўлиши керак бўлган «бир марталик блокнотлар») механизмларидан фойдаланиш ва маълумотларнинг ўрнига уларга ҳаволалардан (токенлар, index tokens) фойдаланиш ва сақлаш;
Бир марталик блокнот – бу, унинг ёрдамида тасодифий равишда шакллантирилган сирли калит хабарни шифрлаш учун бир марта қўлланиладиган ва сўнг тегишли бир марталик блокнот ва калит ёрдамида расшифровка қилинадиган тизим.
Токен – бу БК эгасининг асосий рақами ўрнини олдиндан прогноз қилинмайдиган қийматга эга бўлиш мақсадида берилган индекс асосида эгалловчи криптографик параметр ҳисобланади.
• турғун криптографик алгоритмлар калитларни бошқариш жараёнлари ва муолажалари билан биргаликда.
Турғун криптографик алгоритмни тайинлаш шундан ташкил топадики, шифрлаш юқори турғунликдаги шифрлаш калитлари билан (ўз алгоритмларнинг эмас) текширилган стандартлаштирилган алгоритмларнинг қўлланилишига асосланади.
5. Ишлаб чиқариш маълумотларидан (амалдаги PAN) мобил/веб иловани синовдан ўтказиш ва ишлаб чиқиш мақсадида фойдаланиш мумкин эмас.
6. Ишлаб чиқиш/синовдан ўтказиш муҳитлари ва дастурий таъминотнинг ишлаб чиқариш борасида амал қилишини бир-биридан ажратиш ва бунда фойдаланишни чегаралаш механизмларини жорий этиш.
7. БК маълумотларини ўтказишда http. очиқ протоколларидан фойдаланиш ман этилади (карта рақамлари тўлиқ кўринишда киритиладиган веб – сайтларда http протоколи ман этилади)
8. Буюртмачиларга тайёр иловаларни топширишдан ёки уларни ишлаб чиқариш режимига ўтказишдан олдин, қуйидаги минимал талабларга амал қилган ҳолда, иловаларнинг дастурий кодини эҳтимол бўлган заиф томонлари мавжудлигини текшириш (қўлда ёки автоматик тарзда):
• дастурий коднинг ўзгаришлари уни яратган муаллифдан фарқли бўлган шахслар ва код назорати усуллари (code review techniques) ҳамда хавфсиз дастурлаш усуллари (secure coding practices) билан таниш бўлган шахслар томонидан назорат қилиниши шарт;
• дастурий коднинг назорат қилиниши унинг хавфсиз дастурлашнинг асосий принципларига асосан ишлаб чиқилишини таъминлайди;
• барча керакли тўғирлашлар дастурий таъминотнинг чиқарилишидан олдин киритилади;
• код назоратининг натижалари раҳбарият томонидан дастурий таъминотнинг чиқарилишидан олдин кўриб чиқилади ва тасдиқланади.
Изоҳ. Код назоратининг амалга оширилиши бўйича ушбу талаб (code reviews), тизимни ишлаб чиқиш ҳаётий циклининг таркибий қисми сифатида бутун ишлаб чиқиладиган дастурий кодга нисбатан қўлланилади (ҳам ички, ҳам оммабоп иловаларнинг). Код назорати ваколатга эга ички персонал ёки учинчи томонлар томонидан ўтказилиши мумкин. Ҳамма фойдалана оладиган веб-иловаларга нисбатан, шунингдек, жорий этилганидан сўнг вужудга келадиган хатарлар ва заифликлардан ҳимоя қилиш бўйича қўшимча чоралар кўрилади.
9. Ҳамма фойдалана оладиган веб-иловаларнинг ҳимоясини маълум бўлган ҳужумлардан қуйидаги усуллардан бири билан таъминлаш керак (шу билан бирга, мунтазам равишда янги хатарларни инобатга олиш керак):
• иловада заиф томонлар мавжудлигини йилига камида бир маротаба, ҳамда ўзгартиришларни киритгандан сўнг, иловаларнинг ҳимояланганлигини қўлда ёки автоматик таҳлил қилиш усулларидан фойдаланган ҳолда текшириш.
• ҳамма фойдаланадиган веб-илова олдида, веб-ҳужумларни аниқлаш ва олдини олиш мақсадида, бутун трафикни доимий тарзда текшириш учун техник восита ўрнатилган бўлиши шарт (масалан, веб-брандмауэр).
10. Тармоқни ташқи ва ички сканерлашни заиф томонлар мавжудлигини текшириш мақсадида чоракда камида бир маротаба, ҳамда ўзгартиришларни киритгандан сўнг (масалан, янги тизимли компонентлар ўрнатиш, тармоқ топологиясини ўзгартириш, тармоқлараро экранлар қоидаларини ўзгартириш, маҳсулотларни янгилаш) ўтказиш керак.
11. Маълумотларнинг хавфсиз ўтказилиши.
• Тегишли аутентификацияни ва барча критик коммуникацияларнинг шифрланишини таъминловчи хавфсиз коммуникацияларнинг олдини олиш бўйича чоралар кўрилаётганига ишонч ҳосил қилиш учун ДТни сиёсатини ва ишлаб чиқиш жараёнини ўрганиб чиқиш, ҳамда иштирокчининг маъсулиятли ходимларини сўраб чиқиш.
Тармоқ трафигини турғун криптографик усуллар ёрдамида тегишли тарзда шифрламайдиган иловалар БК эгаларининг маълумотларини бузиб очиш ва ошкор бўлишининг юқори даражали хатарига дучор бўлади.
12. Бузиб кириш ҳолатини текшириш учун ташқи тестни йилига камида бир маротаба, шунингдек ҳар қандай аҳамиятли модификациядан ёки инфратузилма ва иловаларнинг янгиланишидан (масалан, операцион тизимнинг янгиланиши, ёрдамчи тармоқнинг қўшилиши, веб-сервернинг ўрнатилиши) сўнг ўтказиш керак.
13. Бузиб кириш ҳолатини текшириш учун ташқи тестни йилига камида бир маротаба, шунингдек ҳар қандай аҳамиятли модификациядан ёки инфратузилма ва иловаларнинг янгиланишидан (масалан, операцион тизимнинг янгиланиши, ёрдамчи тармоқнинг қўшилиши, веб-сервернинг ўрнатилиши) сўнг ўтказиш керак
14. Сайтлараро скриптинг (XSS).
• дастурлаш жараёни давомида сайтлараро скриптингнинг (XXS) олдини олиш мақсадида чоралар кўрилаётганлигига ишонч ҳосил қилиш учун ДТнинг сиёсатини, ишлаб чиқиш жараёнини ўрганиш ва иштирокчининг масъул ходимларини сўраб чиқиш, шу жумладан:
a) уларни кодга киритишдан олдин барча параметрларини текшириш;
б) контекстга боғлиқ изоляциялашдан фойдаланиш.
Сайтлараро скриптинг (XSS) илова фойдаланувчи томонидан тақдим этилган маълумотларни веб-браузерга олдиндан текширмаган ва унинг таркибини шифрламаган ҳолда юборганида юзага келади. Сайтлараро скриптинг жиноятчиларга қурбоннинг браузерида фойдаланувчининг сеансларини эгаллаш, веб-сайтларнинг турини ўзгартириш, қуртларнинг эҳтимол сингиб кириши ва бошқалар учун сценарийларни бажариш имкониятини беради.
15. Сайтлараро сўровларни қалбакилаштириш (CSRF).
• ДТнинг сиёсати, ишлаб чиқиш жараёнини ўрганиш ва дастурлашда сайтлараро сўровларни қалбакилаштиришнинг олдини олиш ҳамда иловалар браузерлар томонидан юбориладиган, ҳақиқийликни текшириш учун учёт маълумотлари ва токенларга таянмасликларини таҳминлаш бўйича чоралар амалга оширилаётганлигига ишонч ҳосил қилиш мақсадида масъул ходимларни сўраб чиқиш.
Сайтлараро сўровлар қалбакилаштирилган ҳолда (CSRF), зарар кўрган иштирокчи браузери заиф бўлган веб-иловага дастлаб авторизацияланган сўровни юборади ва натижада жинояткор зарар кўрган иштирокчи амалга ошириши мумкин бўлган барча харакатларни амалга ошириш имкониятига эга бўлади (масалан, ҳисоб ҳақидаги маълумотлар янгиланиши, харидлар амалга оширилиши ва ҳаттоки иловага кириш).
16. Аутентификация механизмларини бузиш ва сеансларни бошқаришга қарши таъсир кўрсатиш.
• ДТнинг сиёсати, ишлаб чиқиш жараёнини ўрганиш ва дастурлашда аутентификация механизмларини бузиш ва сеансларни бошқаришга қарши таъсир кўрсатиш бўйича чоралар кўрилаётганлигига ишонч ҳосил қилиш мақсадида масъул ходимларни сўраб чиқиш, шу жумладан:
а) сеансли токенлар (масалан, cookies) «хавфсиз» деб белгиланади;
б) URL-манзилда сеанс идентификатори мавжуд эмаслиги;
в) муваффақиятли киришдан кейин сеанс давомийлиги ва идентификаторлар ротацияси бўйича тегишли чекловларни жорий этиш.
Хавфсиз аутентификация ва сессиялар бошқарилиши жинояткорга, ўзини авторизацияланган фойдаланувчи сифатида кўрсатиши мумкин бўлган ҳақиқий учёт маълумотларини, калитларни ёки сеансли токенларни бузишга йўл қўймайди.
17. Ҳамкорларнинг янги хизматининг ҳар бир режалаштирилган жараёни ЯУПМ Ахборот Хавфсизлиги Бошқармаси билан келишилган ҳолда жорий этилиши шарт. Хизматнинг АХ Бошқармаси билан олдиндан келишмаган ҳолда ишга туширилиши ман этилади, келишмаганлик аниқланган тақдирда, АХ Бошқармаси ушбу хизматни огоҳлантиришсиз ўчириш ҳуқуқига эга бўлади.
18. БК нинг критик маълумотларини (PAN) сақлашда ва ўтказишда, АХ Бошқармаси PCI-DSS стандартининг 12 деталлаштирилган талабларига ва аниқланган номувофиқликларга асосланган ҳолда, хавфсизлик талабларига амал қилиш борасида техник текширувларни ташкиллаштиради. АХ Бошқармаси белгиланган бажариш муддати билан камчиликларни бартараф этишга буйруқ тақдим этади, талабларнинг ва буйруқларнинг белгиланган муддатда бажарилмаган тақдирда эса АХ Бошқармаси ЯУПМ раҳбарияти билан келишилган ҳолда хизматни ўчириш ҳуқуқини ўзида қолдиради.

Download 34.9 Kb.

Do'stlaringiz bilan baham:

1 2 3 4