курс цб на 27.06:
59.0014
66.0816
Лента новостей
Журнал ПЛАС № 5 (1 ...
Digital banking ДБО как фабрика user experience
22 июня 2017 12:00
Количество просмотров 4 просмотра
ЖУРНАЛ ПЛАС №5 Календарь событий
20 июня 2017 18:12
Количество просмотров 26 просмотров
ЖУРНАЛ ПЛАС №5 17 моментов безопасности
20 июня 2017 16:12
Количество просмотров 37 просмотров

В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт»

Количество просмотров37 просмотров

Компания «Информзащита» уже в третий раз проводит семинар по проблематике PCI Compliance для представителей кредитно-финансовых структур и крупных розничных компаний. Опыт, полученный специалистами «Информзащиты» в ходе проведения аудитов, показывает, что представители банков и процессинговых центров не всегда достаточно четко представляют себе, что именно требуется для внедрения стандарта PCI DSS. Зачастую, прежде чем начать работу по подготовке к процедуре аудита, возникает необходимость в подробном разъяснении клиентам положений стандарта. Именно поэтому «Информзащита» проводит подобные семинары, на которых проходит совместное обсуждение всех требований стандарта и которые помогают внести ясность в процедуру проведения аудита и выполнения его требований. Последнее мероприятие собрало больше 60 представителей наиболее активных участников рынка, заинтересованных во внедрении PCI DSS в своих структурах.

На семинаре представили свои доклады специалисты и сертифицированные аудиторы компании «Информзащита». Директор департамента аудита компании «Информзащита» Максим Эмм выступил с обзором стандарта PCI DSS и его требований. В своей презентации докладчик в общих чертах коснулся требований PCI DSS, области его применения, рассказал о зонах ответственности PCI SSC, международных платежных систем и компанийQSA, затронул тему компенсационных мер и рассказал о стандартах PA-DSS и PED.

Начальник отдела аудита платежных систем компании «Информзащита» Анна Гольдштейн представила доклад, посвященный PCI Compliance в России. Она привела собственные статистические данные компании по соответствию требованиям стандарта. Так, в среднем по результатам первого аудита компании-заказчики достигают 53%-ного соответствия требованиям, после второго аудита ситуация улучшается, и в среднем компании достигают уровня 72%-ного соответствия. Далее А. Гольдштейн развенчала основные мифы и легенды вокруг PCI DSS. В их числе – такие распространенные заблуждения, как отношение к PCI DSS как к чисто техническому стандарту, надежды на то, что можно выполнить только часть его требований, чтобы получить сертификат соответствия, уверенность, что внедрение соответствующего ПО и оборудования уже само по себе позволит закрыть полностью то или иное требование. В заключительной части презентации были подняты вопросы, касающиеся основных проблем, с которыми приходится сталкиваться при внедрении стандарта, и приведены варианты их решения. В своем следующем докладе А. Гольдштейн рассказала о подходах к классификации организаций и привела примеры схем работы по достижению соответствия стандарту.

Последовавший затем блок докладов был посвящен отдельным работам в рамках требований стандарта, а именно проведению сканирований, теста на проникновение и сертификационного аудита. В рамках докладов была представлена интересная статистика от компании Verizonebusiness. Согласно ее данным, наиболее популярными методами проникновения являются неавторизованный доступ через пароли по умолчанию, разделяемые или украденные пароли, SQL-инъекции, некорректные ограничения и ACL, обход аутентификации. Основными источниками проникновения в подавляющем большинстве были внешние источники (74%), а также партнеры (32%). На долю внутренних источников пришлось всего 20% проникновений. Также были рассмотрены типовые ошибки, связанные с проведением сканирований, которые вскрываются на аудитах. К последним относятся следующие: сканирование осуществлялось несертифицированным ASV, не проводится сканирование всех публичных адресов, безопасность которых связана с процессингом, обнаруженные уязвимости не устраняются, не сканируются DNS-серверы провайдера в тех случаях, когда у компании нет собственных.

В заключение семинара с докладами выступили представители вендоров – Николай Данюков, ведущий консультант компании Oracle, и Владимир Иванов, инженер-консультант компании Cisco. В своем докладе Николай Данюков представил основные опции безопасности в СУБД Oracle, а Владимир Иванов рассказал об использовании программных решений Cisco для контроля выполнения требований стандарта PCI DSS. Семинар завершился оживленной дискуссией, в рамках которой его участники обменялись своими взглядами на основные вопросы прохождения аудита по PCI DSS.





В рубриках:
Журнал ПЛАС № 5 (145) 2009