Aercom.by - Новости безопасности в Беларуси и СНГ

13 декабря 2017 г., среда

Отраслевые мероприятия (Беларусь)

30 ноября, 2017

СКУД SIGUR — практический семинар

14 ноября, 2017

Состоялись технические семинары от Axis

28 сентября, 2017

Итоги «Центр безопасности. 2017»

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Внедрение стандарта безопасности данных индустрии платежных карт в «Приорбанк» (РБ)
3 декабря, 2010

Внедрение стандарта безопасности данных индустрии платежных карт в «Приорбанк» ОАО

Лаптев В.И., менеджер, «Приорбанк» ОАО, г. Минск.

Доклад был сделан в рамках прошедшего форума «Банк ИТ’10» 

«Сражаясь с тем, кто умеет обороняться, противник не знает, где ему нападать» (Сунь-Цзы «Трактат о военном искусстве»). Этот эпиграф достаточно точно отражает цель, которая должна быть достигнута при внедрении стандарта безопасности данных индустрии платежных карт (PCI DSS, Payment Card Industry Data Security Standard). Стандарт был разработан в целях поддержания и улучшения защиты данных платежных карт и содействию широкому повсеместному применению стойких мер безопасности данных. Требования стандарта PCI DSS применяются, если выполняется хранение, обработка или передача данных платежных карт, например номера карты или других критичных данных авторизации платежных карт (полное содержание магнитной полосы, ПИН код и т.д. ).

Стандарт содержит требования, которые разделены на 12 групп.

Построение и поддержание безопасной сети:

1. установка и управление конфигурацией межсетевых экранов для защиты данных платежных карт;

2. не использовать установленные производителем по умолчанию системные пароли и параметры безопасности;

Защита данных платежных карт:

3. защита данных платежных карт при хранении;

4. шифрование данных платежных карт, передаваемых по сетям общего доступа;

Реализация программы управления уязвимостями:

5. использовать и регулярно обновлять антивирусное программное обеспечение;

6. разработка и поддержка безопасных систем и приложений;

Реализация мер по строгому контролю доступа:

7. ограничение доступа к данным платежных карт в соответствии со служебной необходимостью;

8. назначение уникального идентификатора для каждого лица, имеющего доступ к компьютеру;

9. ограничение физического доступа к данным платежных карт;

Регулярный мониторинг и тестирование сетей:

10. отслеживание и мониторинг любого доступа к сетевым ресурсам и данным платежных карт;

11. регулярное тестирование систем и процессов обеспечения;

Поддержание политики информационной безопасности:

12. Поддержание политики по информационной безопасности для сотрудников и контрагентов.

Несколько лет назад платежные системы Visa и MasterCard создали специальные программы по повышению безопасности информации. Согласно требованиям платежных систем, если организация подпадает под определенные критерии, она должна обеспечить соответствие стандарту PCI DSS. С целью подтверждения соответствия, необходимо пройти независимый и сертифицированный (QSA, Qualified Security Assessor) аудит. В случае не соответствия стандарту, организации грозят штрафные санкции со стороны платежных систем.

В соответствии с лучшими практиками, банк использовал проектный подход для организации соответствия стандарту. Была создана рабочая группа и проведен предварительный аудит, по результатам которого был создан план мероприятий.

Цели плана достигаются:

· сегментированием сети передачи данных и защитой сегментов сети межсетевыми экранами;

· перемещением серверов между сегментами, для оптимизации передачи данных;

· организацией защищенных подключений к данным сегментам;

· исключением, где это возможно, хранения, обработки и передачи номера карты;

· созданием новых и изменением существующих процессов ИТ;

· организацией дополнительных контролей;

· созданием и изменением нормативных актов;

· документированием информационных систем на различных уровнях;

· запрещением, либо ограничением использования различных устройств.

Важным моментом является то, что соответствие стандарту требует соблюдения регулярных процедур, так как «Безопасность это процесс, а не результат» (Брюс Шнайер).

Ежегодно проводится:

Ø QSA-аудит;

Ø тест на проникновение;

Ø проверка безопасности веб-приложений;

Ø пересмотр политики безопасности;

Ø обучение персонала.

Каждые 6 месяцев пересматриваются конфигурации межсетевых экранов и маршрутизаторов. Ежеквартально выполняется внешнее и внутреннее сканирование сети на наличие уязвимостей. Еженедельно осуществляются процедуры проверки целостности критичных файлов. Ежедневно просматривать журналы протоколирования событий выполнять другие процедуры, предусмотренные политикой безопасности.

Соблюдение стандарта PCI DSS позволит значительно повысить уровень защиты данных платежных карт и избежать штрафных санкций платежных систем.

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.