Tietoturvainformaation ja -tapahtumien hallinta PCI DSS -standardissa

Työn keskeisimpänä tavoitteena on tutkia SIEM-järjestelmien (Security Information and Event Management) käyttömahdollisuuksia PCI DSS -standardissa (Payment Card IndustryData Security Standard) lähtökohtaisesti ratkaisutoimittajan näkökulmasta. Työ on tehty Cygate Oy:ssä. SIEM on uusi tietoturvan ratkaisualue, jonka käyttöönottoa vauhdittavat erilaiset viralliset sääntelyt kuten luottokorttiyhtiöiden asettama PCI DSS -standardi. SIEM-järjestelmien avulla organisaatiot pystyvät keräämään valmistajariippumattomasti verkon systeemikomponenteista tapahtumatietoja, joiden avulla pystytään näkemään keskitetysti, mitä verkossa on tapahtunut. SIEM:ssa käsitellään sekä historiapohjaisia että reaaliaikaisia tapahtumia ja se toimii organisaatioiden keskitettynä tietoturvaprosessia tukevana hallintatyökaluna. PCI DSS -standardi on hyvin yksityiskohtainen ja sen vaatimusten täyttäminen ei ole yksinkertaista. Vaatimuksenmukaisuutta ei saavuteta hetkessä, vaan siihen liittyvä projekti voi kestää viikoista kuukausiin. Standardin yksi haasteellisimmista asioista on keskitetty lokien hallinta. Maksukorttitietoja käsittelevien ja välittävien organisaatioiden on kerättävä kaikki audit-lokit eri järjestelmistä, jotta maksukorttitietojen käyttöä pystytään luottamuksellisesti seuraamaan. Standardin mukaan organisaatioiden tulee käyttää myös tunkeutumisen ja haavoittuvuuksien havainnointijärjestelmiä mahdollisten tietomurtojen havaitsemiseksi ja estämiseksi. SIEM-järjestelmän avulla saadaan täytettyä PCI DSS -standardin vaativimpia lokien hallintaan liittyviä vaatimuksia ja se tuo samallamonia yksityiskohtaisia parannuksia tukemaan muita standardin vaatimuskohtia. Siitä voi olla hyötyä mm. tunkeutumisen ja haavoittuvuuksien havainnoinnissa. SIEM-järjestelmän hyödyntäminen standardin apuna on kuitenkin erittäin haasteellista. Käyttöönotto vaatii tarkkaa etukäteissuunnittelua ja kokonaisuuksien ymmärtämistä niin ratkaisutoimittajan kuin ratkaisun käyttöönottajan puolelta.

One of the most important goals of this thesis, from the system integrator's perspective, is to study how Security Information and Event Management (SIEM) systems can be used in the Payment Card Industry's Data SecurityStandard (PCI DSS). This thesis has been done in Cygate Ltd (Finland). SIEM is a new solution area in information security and its implementations are mostly being driven by formal compliance requirements, such as the PCI DSS set by the credit card companies. With the help of SIEM systems the organizations are able togather event information from different system components of the network vendor-independently and are able to see centrally what has happened in the network. SIEM processes both historical and real-time events and it can be seen as a centralized management tool which supports organization's information security process. The PCI DSS is a very detailed standard and fulfilling its requirements is not easy. The whole project may last from weeks to several months. One ofthe most challenging issues in the standard is the centralized log management. The organizations handling and transmitting credit card information must collectall the audit logs from various systems in order to be able to confidentially track the use of credit card information. According to the standard the organizations must also use intrusion detection and vulnerability assessment systems to detect and prevent possible system breaches. With the help of SIEM systems the organizations are able to fulfill some of the most challenging PCI DSS requirements which are related to the log management. In addition they get many other detailed enhancements to support other requirement areas of the standard. SIEM can also be used in conjunction with intrusion detection and vulnerability assessment systems. Nevertheless, utilizing the SIEM to support the requirements of the standard is very demanding. The implementation project requires specific planning and comprehensive understanding of the PCI DSS from the system integrator as well as from the customer.