Спешим объявить аттракцион невероятной щедрости для всех покупателей защищенных складских сканеров! Мы рады предложить вам проверенные временем модели серий ...
Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции - закупайте игровые кресла A4Tech Bloody и получите бонус до 1 000 руб. за каждую единицу ...
Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции - закупайте в Merlion ноутбуки DIGMA и DIGMA PRO и получите бонус 30 000 руб. за каждый 1 000 000 руб ...
OCS совместно с компанией Delta Computers запустила программу «Зимний марафон продаж от Delta Computers!» в поддержку продаж персональных компьютеров, мониторов и ...
Участники: все дилеры “Сетевой Лаборатории”. Место проведения: центр обслуживания дилеров на ул. Бусиновская Горка в г. Москве. Условия получения призов: 1 ...
В сентябре 2016 г. совету Payment Card Industry Security Standards Council, созданному крупнейшими провайдерами платежных карт для усиления защиты хранящейся на картах информации, исполняется 10 лет. PCI SSC управляет стандартом Payment Card Industry Data Security Standard, который является обязательным для любой организации, хранящей, обрабатывающей или передающей информацию с платежных карт. PCI SSC непрерывно развивает и обновляет PCI DSS с учетом наиболее актуальных угроз и усложнения окружения организаций. В связи с юбилеем PCI SSC мы подумали, что будет интересно рассмотреть позитивные стороны стандарта и связанные с ним проблемы. Ни один стандарт не проходит проверку отрасли невредимым. На практике стандарты почти всегда отстают от инноваций. Однако PCI DSS — это тот редкий случай, когда стандарт опережает события. В данном слайд-шоу ... читать далее.
Стандарту PCI DSS исполняется 10 лет: взгляд на его сильные и слабые стороны. Прошло десять лет с момента создания стандарта PCI DSS, призванного повысить безопасность платежных карт. Насколько он эффективен?
Достижение: устанавливает высокую планку. Чтобы отрасль могла оценить, насколько успешно она справляется со своими задачами, необходим объективный стандарт, позволяющий судить об этом. PCI DSS установил такую планку.
Достижение: создает надежную отправную точку. PCI DSS служит фактической отправной точкой для многих организаций, которым необходимо знать исходный уровень при защите информации на платежных картах их клиентов. Процесс идентификации местонахождения данных платежных карт, выявление уязвимостей, которые могут использоваться для взлома, устранение этих уязвимостей и информирование банков-эквайеров и владельцев платежных систем — все это принципиальные положения программы надежной информационной безопасности.
И достижение, и проблема: постоянные обновления требуют постоянного внимания. PCI SSC постоянно обновляет PCI DSS, чтобы организации могли упреждать появление новейших угроз и лучше защищать данные платежных карт своих клиентов, несмотря на усложнение их бизнес-среды. С 2006 г., когда была выпущена первая версия PCI DSS, PCI SSC обновлял ее семь раз. Постоянные изменения необходимы, чтобы соответствовать новым техническим условия и новой бизнес-среде. Однако они могут стать и серьезной проблемой, особенно для мелких предпринимателей, пытающихся соответствовать предъявляемым требованиям.
Достижение: ежеквартальное сканирование с целью выявления уязвимостей имеет большую важность. PCI DSS требует, чтобы организации ежеквартально проводили сканирование систем с целью выявления уязвимостей и сообщали об их устранении аудиторам. Сканирование служит дополнением к ежегодной всеобъемлющей оценке соблюдения требований PCI DSS. И если компании в своей деятельности не следуют лучшим практикам на постоянной основе, то их клиенты, по крайней мере, имеют гарантию, что несколько раз в году уделяется хотя бы минимальное внимание выявлению и устранению уязвимостей.
Достижение: регистрирует слабые звенья. Новейшая версия стандарта, PCI DSS 3.2, дополнительно включает требования к сторонним сервис-провайдерам, которые, как показала волна получивших широкую огласку вторжений за последние несколько лет, остаются слабым звеном в системе информационной безопасности. PCI DSS 3.2 предписывает сервис-провайдерам ежеквартально проводить проверки с целью убедиться, что их персонал придерживается политик безопасности и эксплуатационных процедур. От провайдеров требуется также не реже чем раз в полгода осуществлять тестирование систем на возможность проникновения.
Проблема: формальное отношение. Слишком многие организации по-прежнему относятся к соблюдению PCI DSS как к процедуре “установки флажка” и часто лишь делают вид, что соблюдают его требования, не обеспечивая надежной кибербезопасности в целом. Организации должны подходить к кибер-безопасности с позиций оценки рисков, сделав управление киберрисками своим постоянным приоритетом, как они делают это с другими операционными рисками.
Проблема: крупным организациям трудно удерживаться на передовых позициях. Крупные организации с распределенными унаследованными вычислительными средами (такими как размещенные в сотнях магазинов торговые автоматы нескольких поколений на базе патентованных терминалов) стремятся сохранять соответствие требованиям непрерывно развивающегося стандарта PCI DSS. Когда он обновляется, организации стараются привести в соответствие с ним свои технологии и средства управления безопасностью. Это сложная задача, если вычислительная среда распределена по всему миру. Коль организации с самого начала создали надежную кибер-защиту, в дальнейшем они могут оставаться на передовых позициях в деле соблюдения требований PCI DSS.
Проблема: осуществляемые вручную операции должны быть заменены автоматизированными. Для многих организаций ежеквартальная и ежегодная отчетность о соблюдении требований стандарта представляет отнимающую много времени и выполняемую вручную обязанность, предполагающую ввод данных в таблицы, которые затем в сшитом виде передаются аудиторам. Ручной ввод информации о киберрисках в различные таблицы — это непростая, отвлекающая от основного дела, требующая больших ресурсов задача, мешающая специалистам по безопасности заниматься обеспечением защиты. Подготовка отчетности о киберрисках должна быть автоматизирована. Это необходимо не только ради аудиторов, проверяющих соблюдение требований PCI DSS, но и для того, чтобы ответственные за безопасность руководители, владельцы производственных приложений и советы директоров понимали, насколько хорошо защищены бриллианты короны.
Проблема: в процесс неизбежно вкрадываются ошибки и искажения. Помимо того, что составление вручную отчетности о соблюдении PCI DSS требует дополнительных усилий и отвлечения от основного дела, в данные неизбежно будут вкрадываться ошибки и искажения. В некоторых случаях организациям не хватает времени на сбор данных, поэтому они используют устаревшую информацию из прежних отчетов. Если организации автоматизировали сбор, анализ и передачу информации о киберрисках, то все заинтересованные лица работают с одним и тем же набором данных.
Проблема: необходима координация внутри предприятия. Для соответствия требованиям PCI DSS требуется координации мер по его соблюдению, безопасности и развитию ИТ с владельцами производственных приложений. Часто такой танец с множеством партнеров прерывается. В результате в последнюю минуту приходится принимать меры в пожарном порядке. Чтобы опережать события, владельцы производственных приложений должны быть полноправными участниками защиты принадлежащих им приложений и данных, а не второстепенными лицами, которые между делом ставят свою подпись.
