30 мая, 2013, BIS Journal №2(9)/2013

Международное сотрудничество в разработке и продвижении PCI DSS


Гениевский Павел

Председатель НП «АБИСС» (Некоммерческое партнерство «Сообщество пользователей стандартов по информационной безопасности АБИСС» (НП «АБИСС»))

В Лондоне состоялась встреча представителей НП «АБИСС» и PCI Security Standards Council (PCI SSC), в ходе которой были достигнуты важные договорённости о сотрудничестве по ряду ключевых направлений

В Лондоне прошла международная выставка Retail Business Technology Expo 2013 – одно из ведущих отраслевых международных деловых мероприятий. В рамках выставки состоялась запланированная встреча представителей НП «АБИСС» и PCI Security Standards Council (PCI SSC), в ходе которой обсуждался статус работ по официальному переводу на русский язык стандарта PCI DSS и сопутствующих документов, а также были достигнуты важные договорённости о сотрудничестве по ряду ключевых направлений. Отмечалось, что продвижение стандартов индустрии платежных карт в России и участие российских экспертов в их разработке и развитии полностью отвечает современным трендам.

 

В МИРОВОМ ФИНАСОВОМ ЦЕНТРЕ

12 − 13 марта 2013 года выставка Retail Business Technology Expo прошла в третий раз, обширная деловая программа включала презентации, семинары и заседания на актуальные темы. Место её проведения в определённом смысле символично: Лондон – один из ведущих мировых финансовых центров, в которых сосредоточены банки и специализированные кредитно-финансовые институты, осуществляющие международные валютные, кредитные и финансовые операции и сделки.

На форуме были, как обычно, широко представлены технологии бесперебойной и безопасной электронной коммерции и карточных платежей. На этот раз организаторы сделали особый акцент на электронной коммерции, проведя в рамках выставки двухдневную конференцию Vfendorcom, посвящённую электронным платежам, в частности, пластиковым картам.

Ник Филд, директор выставки, так пояснил новый формат мероприятия: «Тема эта интересна в первую очередь для финансовых подразделений компаний. Но она важна также для сотрудников подразделений управления рисками, борьбы с мошенничеством, электронной коммерции, маркетинга, складирования, и, конечно же, IT-департаментам. Поэтому тема электронных платежей и пластиковых карт является важнейшей и неотъемлемой частью выставки». Особое внимание организаторами и участниками мероприятия уделялось вопросам информационной безопасности, как технической устойчивости работы платёжных систем, так и их защите от мошенников.

GLOBAL SECURITY REPORT 2013

В своих выступлениях на выставке представители PCI Security Standards Council ссылались на Trustwave Global Security Report 2013 (Отчет по результатам исследования рисков и угроз информационной безопасности в 2012 году). Исследование проводилось авторитетной компанией Trustwave Holdings, Inc. Ниже приведены основные мысли из этого отчёта и комментарии Павла Владимировича Гениевского.

В 2012 году, – констатируют эксперты Trustwave, – инциденты информационной безопасности затронули почти все отрасли экономики во всём мире. Были скомпрометированы почти все существующие типы и классы систем обработки и передачи данных. Нейтрализация стремительно растущих информационных угроз обходится компаниям недёшево. Задача усложняется необходимостью задействовать в бизнес-процессах новые технологии – виртуализацию, облачные сервисы, а также учитывать такие факторы как мобильность пользователей и разнородность устройств и операционных платформ.

В этих непростых условиях остро стоит необходимость найти пути защиты процессов обработки и передачи огромных объёмов важных данных, в том числе конфиденциальных. Растущие и всё более разнообразные угрозы информационной безопасности, новые требования государственных регуляторов и нормы стандартов ставят серьёзные задачи перед организациями, компаниями и специалистами самых разных профилей. Никто не может оставаться в стороне – ни государственные учреждения, ни транснациональные корпорации, ни компании.

Первоочередная задача, – утверждают авторы исследования, – определение актуальных трендов угроз безопасности и выявление типичных уязвимостей информационных систем. Результаты анализа сводных данных за 2012 год таковы. Среди финансовых IT-сервисов по количеству инцидентов лидирует розничная торговля – 45% зарегистрированных случаев. До 48% инцидентов, расследовавшихся в 2012 году, относятся к электронным торговым площадкам.

Злоумышленники, отмечено в Trustwave Global Security Report 2013, не сокращают своей активности. Главной целью информационных атак остаются web-приложения. Спам, объёмы которого в 2012 году снизились до уровня 2007 года, по-прежнему составляет 75% входящей электронной корреспонденции в компаниях, до 10% его угрожают заражением вредоносным программным обеспечением. Статистика видов наиболее распространённого инструментария информационных атак, выявленных в ходе расследования инцидентов информационной безопасности в 2012 году, такова:

  • в 73% инцидентов по-прежнему лидировали SQL-инъек- ции, перехват удалённого доступа и управления компьютером;
  • свыше 70% информационных атак совершались посредством эксплуатации уязвимостей «нулевого дня» различными версиями набора вредоносного программного обеспечения семейства Blackhole;
  • 61% случаев составили атаки на пользователей Adobe Reader посредством заражённых PDF-файлов;
  • в 50% инцидентов вредоносные программы – причём у каждой пятой среди выявленных были обнаружены соответствующие возможности – использовали хранящиеся и обрабатывающиеся в незашифрованном виде данные;
  • в 25% информационных атак, включая случаи хищения данных, использовались продвинутые технологии дешифрования.

Традиционный инструментарий информационных атак, отмечают аналитики, пополняется новинками для финансовых IT-сервисов на новых технологических платформах. Например, количество вредоносных приложений для мобильных приложений операционной системы Android выросло на 400%.

Жизнь злоумышленникам, к сожалению, облегчает как рост популярности финансовых IT-сервисов, так и недостаточное внимание к повышению информационной безопасности со стороны компаний. Ответственность лежит как на компаниях-пользователях, так и разработчиках и поставщиках решений.

В компаниях часто игнорируются даже простейшие меры информационной безопасности: анализ 3 млн паролей показал, что половина пользователей пользуется наиболее простыми сочетаниями знаков, среди которых лидирует... «password1». Низка оперативность реагирования на инциденты, во многих компаниях информационные атаки выявляются слишком поздно. В среднем с момента атаки до её выявления в 2012 году проходило 210 дней. А в 5% компаний обнаруживали, что стали жертвами киберпреступников, только спустя 3 года и ещё позднее.

Всё более активное обращение к IT-аутсорсингу, в том числе обеспечения информационной безопасности, не может полностью нейтрализовать угрозы. В 63% проанализированных случаев инциденты происходили в компаниях, значительная доля поддержки IT-процессов которых осуществлялась внешними исполнителями. Доля ответственности лежит и на разработчиках, которые не предвидели уязвимости «нулевого дня» и не успевали вовремя выпускать обновления, устраняющие выявленные уязвимости.

НАПРАВЛЕНИЯ СОТРУДНИЧЕСТВА НП «АБИСС» И PCI COUNCIL

В рамках выставки прошла запланированная встреча представителей НП «АБИСС» и PCI Security Standards Council (PCI SSC). От PCI Security Standards Council − Совета по стандартам безопасности индустрии платёжных карт в переговорах участвовали Джереми Кинг – директор европейского отделения, и Трой Лич – технический директор штаб-квартиры. НП «АБИСС» представляли Председатель – П.В. Гениевский и эксперт – А.В. Дроздов.

Дискуссия началась с обсуждения статуса проекта по подготовке официального перевода Стандарта PCI DSS и сопутствующих документов на русский язык, заказчиком которого является Банк России. От имени PCI Council Джереми Кинг сообщил о принятии правок со стороны российских экспертов по итогам встречи рабочей группы НП «АБИСС» 28 февраля 2013 года, и о подготовке новой редакции с учетом согласованных правок в течение двух недель. Джереми Кинг особенно поблагодарил экспертов рабочей группы НП «АБИСС», участвующих в данной работе, и отметил их высокий профессиональный уровень.

В ходе встречи представители PCI Security Standards Council анонсировали дату выхода стандарта версии 3.0, которая запланирована на 7 ноября 2013 года. Джереми Кинг выразил готовность Совета принимать предложения российских экспертов для внесения правок и в обновленную англоязычную версию стандарта.

Обсуждая тему запросов по поддержке перевода дальнейших версий стандарта PCI DSS, и в рамках повышения качества услуг, проводимых аудиторами, Совет выразил готовность предоставлять всю информацию в НП «АБИСС», в том числе по запросам, полученным от QSA-компаний, в части трактования требований оригинального стандарта и дальнейшего информирования проверяемых организаций.

Далее участниками встречи были обозначены перспективы дальнейшего сотрудничества между Советом и НП «АБИСС» по проведению в России авторизованных курсов PCI Council:

  • по подготовке QSA;
  • по подготовке внутренних аудиторов;
  • по внедрению Стандарта PCI DSS;
  • по повышению осведомлённости (Security awareness).

В заключение встречи PCI Council выразил готовность с целью реализации обсужденных инициатив подготовить и передать в НП «АБИСС» перечень и образцы документов, необходимые для получения российскими учебными центрами статуса авторизованного центра. НП «АБИСС», в свою очередь, готово выступить в роли соорганизатора по проведению в России авторизованных обучающих курсов для специалистов по внедрению стандарта PCI DSS и оценке соответствия его требованиям.

 

На фотоснимке: PCI Security Standards Council представляли Джереми Кинг − директор европейского отделения и Трой Лич − технический директор Штаб-квартиры, а НП «АБИСС» − председатель сообщества П.В. Гениевский и эксперт А.В. Дроздов.

 

Смотрите также

Подпишись на новости!
Подписаться