17 августа 2012, 16:17
Количество просмотров 178

В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт»

23 апреля 2009г. в Москве в отеле Holiday Inn Moscow Suschevsky состоялся семинар «PCI DSS: Информационная безопасность в индустрии платежных карт»,...
В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт»

В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт» - рис.1Компания «Информзащита» уже в третий раз проводит семинар по проблематике PCI Compliance для представителей кредитно-финансовых структур и крупных розничных компаний. Опыт, полученный специалистами «Информзащиты» в ходе проведения аудитов, показывает, что представители банков и процессинговых центров не всегда достаточно четко представляют себе, что именно требуется для внедрения стандарта PCI DSS. Зачастую, прежде чем начать работу по подготовке к процедуре аудита, возникает необходимость в подробном разъяснении клиентам положений стандарта. Именно поэтому «Информзащита» проводит подобные семинары, на которых проходит совместное обсуждение всех требований стандарта и которые помогают внести ясность в процедуру проведения аудита и выполнения его требований. Последнее мероприятие собрало больше 60 представителей наиболее активных участников рынка, заинтересованных во внедрении PCI DSS в своих структурах.

В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт» - рис.2На семинаре представили свои доклады специалисты и сертифицированные аудиторы компании «Информзащита». Директор департамента аудита компании «Информзащита» Максим Эмм выступил с обзором стандарта PCI DSS и его требований. В своей презентации докладчик в общих чертах коснулся требований PCI DSS, области его применения, рассказал о зонах ответственности PCI SSC, международных платежных систем и компанийQSA, затронул тему компенсационных мер и рассказал о стандартах PA-DSS и PED.

Начальник отдела аудита платежных систем компании «Информзащита» Анна Гольдштейн представила доклад, посвященный PCI Compliance в России. Она привела собственные статистические данные компании по соответствию требованиям стандарта. Так, в среднем по результатам первого аудита компании-заказчики достигают 53%-ного соответствия требованиям, после второго аудита ситуация улучшается, и в среднем компании достигают уровня 72%-ного соответствия. Далее А. Гольдштейн развенчала основные мифы и легенды вокруг PCI DSS. В их числе – такие распространенные заблуждения, как отношение к PCI DSS как к чисто техническому стандарту, надежды на то, что можно выполнить только часть его требований, чтобы получить сертификат соответствия, уверенность, что внедрение соответствующего ПО и оборудования уже само по себе позволит закрыть полностью то или иное требование. В заключительной части презентации были подняты вопросы, касающиеся основных проблем, с которыми приходится сталкиваться при внедрении стандарта, и приведены варианты их решения. В своем следующем докладе А. Гольдштейн рассказала о подходах к классификации организаций и привела примеры схем работы по достижению соответствия стандарту.

Последовавший затем блок докладов был посвящен отдельным работам в рамках требований стандарта, а именно проведению сканирований, теста на проникновение и сертификационного аудита. В рамках докладов была представлена интересная статистика от компании Verizonebusiness. Согласно ее данным, наиболее популярными методами проникновения являются неавторизованный доступ через пароли по умолчанию, разделяемые или украденные пароли, SQL-инъекции, некорректные ограничения и ACL, обход аутентификации. Основными источниками проникновения в подавляющем большинстве были внешние источники (74%), а также партнеры (32%). На долю внутренних источников пришлось всего 20% проникновений. Также были рассмотрены типовые ошибки, связанные с проведением сканирований, которые вскрываются на аудитах. К последним относятся следующие: сканирование осуществлялось несертифицированным ASV, не проводится сканирование всех публичных адресов, безопасность которых связана с процессингом, обнаруженные уязвимости не устраняются, не сканируются DNS-серверы провайдера в тех случаях, когда у компании нет собственных.

В заключение семинара с докладами выступили представители вендоров – Николай Данюков, ведущий консультант компании Oracle, и Владимир Иванов, инженер-консультант компании Cisco. В своем докладе Николай Данюков представил основные опции безопасности в СУБД Oracle, а Владимир Иванов рассказал об использовании программных решений Cisco для контроля выполнения требований стандарта PCI DSS. Семинар завершился оживленной дискуссией, в рамках которой его участники обменялись своими взглядами на основные вопросы прохождения аудита по PCI DSS.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube