«Мониторинг вместо запрета» — экскаватор с такой надписью на борту сегодня снес добрую половину той баррикады, что разделяет службу информационной безопасности и всю остальную компанию, в которой она функционирует, на два противоборствующих лагеря. На выставке Infosecurity Russia 2010, Владимир Наймарк рассказал о своем опыте применения подхода «мониторинг вместо запрета». При таком подходе, служба информационной безопасности предпочитает, там где это возможно, не запрещать сотрудникам доступ к тому или иному функционалу, а контролировать корректность его использования. Например, сотрудникам не запрещается использовать со своих рабочих мест сервис ICQ, но для снижения риска утечки информации трафик контролируется DLP-системой. В результате, сотрудники чувствуют себя на работе более комфортно, а риски информационной безопасности остаются на приемлемом уровне.

Мне представляется оптимальной такая модель реализации этого подхода:

если некая функциональность информационной инфраструктуры может быть полезна сотрудникам в служебных или даже личных целях, и при этом есть возможность обеспечить мониторинг, снижающий риск от неправомерного ее использования до приемлемого уровня, то использование такого сервиса следует сотрудникам разрешить.

Конечно, обеспечение такого контроля потребует дополнительных затрат. Однако, эти затраты, в большинстве случаев, компенсируются за счет возросшей функциональности сервисов и лояльности сотрудников, а также средств, сэкономленных на запретительных механизмах и процессе выборочного предоставления доступа. Кроме того, эти затраты будут более контролируемыми и управляемыми.

В глобальном мероприятии, собравшем представителей более 40 стран, приняли участие представители Сообщества профессионалов PCIDSS.RU. Цель поездки заключалась в представлении Совету PCI SSC наших взглядов на дальнейшее развитие стандартов PCI DSS, налаживании взаимодействия с другими участниками индустрии, а также получении ответов на многие животрепещущие вопросы.

Статья Сергея Шустикова, посвященная участию в данном мероприятии, опубликована в нашей библиотеке.

Сообщество PCIDSS.RU приглашает принять участие в VII Международной выставке InfoSecurity Russia 2010.

Даты проведения: c 17 по 19 ноября 2010 года

Место проведения: Москва, КВЦ «Сокольники», павильон 4.

Сообщество PCIDSS.RU выступает партнером VII Международной выставки InfoSecurity Russia 2010.

От лица Сообщества PCIDSS.RU в рамках Деловой программы 18 ноября Илья Медведовский выступит с докладом "Основные тенденции к анализу защищенности банк-клиентов, платежных приложений и систем обработки карточных данных".

Для посещения выставки необходима предварительная регистрация на сайте организатора: http://www.infosecurityrussia.ru/visitors/go.

14 сентября 2010 г. в Москве в гостинице «Марко Поло Пресня» пройдет семинар «Безопасность платежных приложений: стандарт PA-DSS», основная цель которого — распространение знаний о стандарте PA-DSS и безопасности платежных приложений.

Организаторы конференции:

На семинаре выступят с докладами PA-QSA аудиторы Digital Security, эксперты Сообщества PCIDSS.RU, представители ведущих российских компаний-разработчиков платежных приложений, а также представителей банковской сферы.

В рамках семинара будут обсуждены вопросы сертификации платежных приложений, которые приобрели особую актуальность в свете введения международными платежными системами крайних сроков проведения производителями программного обеспечения сертификации продуктов, выпускаемых для данного сегмента рынка.

Семинар охватывает предметную область, на которую распространяются требования стандарта PA-DSS, разработанного Советом PCI SSC с целью повышения уровня безопасности индустрии платежных карт в целом и платежных приложений в частности.

Илья Медведовский, директор Digital Security:

«Мы уверены, что семинар позволит разработчикам платежных приложений и банковским организациям обсудить наиболее актуальные вопросы, которые касаются как процесса сертификации и безопасности платежных приложений, так и их влияния на безопасность банка в целом».

Андрей Соболев, представитель Ассоциации российских членов Europay (АРЧЕ) в Международном совете по стандартам безопасности индустрии платежных карт PCI SSC:

«Сегодня в России не так много финансовых институтов, завершивших процесс сертификации на соответствие стандарту безопасности PCI DSS. Однако можно с уверенностью сказать, что крупнейшие игроки так или иначе участвуют в этом процессе. Предстоящий семинар — отличная возможность для продолжения профессионального диалога в этой области».

Более подробная информация о семинаре: http://www.dsec.ru/seminar-pa-dss/.

В форуме приняли участие представители отраслевых государственных регуляторов — Центрального банка и ФСБ России, Ассоциации российских банков и сообщества ABISS, руководители банков, кредитных организаций и процессинговых центров, специалисты в области информационной безопасности, аудита и консалтинга, журналисты специализированных СМИ.

Программа форума включала два тематических заседания. Первое было посвящено обеспечению информационной безопасности будущей национальной платежной системы и вопросам взаимодействия с международными платежными системами, второе — безопасности различных видов дистанционного банковского обслуживания.

Доклад о проблемах формирования в России национальной платежной системы сделал Президент Ассоциации российских банков Гарегин Тосунян. Представители ведомств — отраслевых государственных регуляторов поведали о развитии законодательной, нормативно-правовой и регламентирующей базы. Заместитель начальника Главного управления информационной безопасности (ГУБЗИ) Банка России Андрей Курило рассказал о стандартах, которым должна соответствовать создаваемая система, а первый заместитель начальника Центра безопасности связи ФСБ РФ Александр Баранов — о совершенствовании законодательной базы.

Практические вопросы и опыт обеспечения информационной безопасности банковских проектов в регионах России и на международном уровне затронули в своих выступлениях председатель Национального банка Республики Башкортостан Рустэм Марданов и вице-президент MasterCard Europe Андрей Тарусов.

Тон дискуссии по различным аспектам обеспечения безопасности дистанционного банковского обслуживания задало обстоятельное сообщение начальника управления ГУБЗИ Банка России Дмитрия Фролова. Практические вопросы, которые встают перед каждым банком и банковской отраслью в целом, рассмотрели представители общественных организаций секретарь Совета сообщества ABISS Павел Гениевский и председатель комитета по информационной безопасности Ассоциации российский банков Александр Велигура.

Об алгоритмах противодействия злоумышленникам и мероприятиях по расследованию инцидентов, связанных с попытками хищения средств со счетов клиентов поведал начальник отдела сопровождения информационной безопасности «Россельхозбанка» Александр Беликов. Предлагаемые на рынке организационно-технические решения, обеспечивающие безопасность интернет-банкинга, работы с пластиковыми банковскими картами и других аналогичных услуг представили руководители и сотрудники специализированных компаний «БИФИТ», HELiOS IT Solutions и Digital Security.

Проблемы, затронутые в докладе «Основные проблемы безопасности систем ДБО с точки зрения бизнеса» директора компании Digital Security Ильи Медведовского, вызвали большой интерес у аудитории, поскольку в докладе были не только рассмотрены особенности проведения аудита защищенности систем ДБО, но также и продемонстрирован пример практической реализации одной из уязвимостей систем.

Официальную поддержку конференции оказал Банк России при участии Центра безопасности ФСБ, организационную — Ассоциация защиты информации, техническим организатором выступила компания «Авангард Центр».

Материалы конференции: http://www.ib-bank.ru/.

В период с 18 по 20 октября состоится европейская сессия международного мероприятия PCI Security Standards Council Community Meeting-Barcelona, проводимого Советом PCI SSC. Сообществу экспертов по безопасности индустрии платежных карт будут представлены обновленные версии стандартов PCI DSS и PA-DSS.

Помимо нововведений, которые коснутся требований стандартов, в рамках конференции между представителями Совета PCI SSC, международных платежных систем, а также QSA и ASV компаний состоятся тематические беседы, в ходе которых будут обсуждаться актуальные вопросы, относящиеся к процедуре аудита, определению области аудита и применимости требований стандартов.

Эксперты Сообщества PCIDSS.RU примут активное участие в данном мероприятии с целью выхода на новый уровень взаимодействия с регуляторами отрасли и получения информации из первых рук.

Все интересующие вас вопросы, которые бы вы хотели задать Совету PCI SSC, представителям международных платежных систем, либо которые, по вашему мнению, требуют обсуждения в широком международном кругу экспертов по безопасности платежной отрасли, вы можете оставить в комментариях к этой заметке, либо прислать нам по адресу info@pcidss.ru. Отобранные нашими экспертами вопросы будут вынесены на обсуждение в рамках планируемого мероприятия.

Сообщество PCIDSS.RU выступает медиа-партнером конференции «Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания» в рамках проекта «Информационная безопасность банков», которая пройдет 16 июня 2010 года в Выставочном центре «Инфопространство» (г.Москва, 1-ый Зачатьевский переулок, дом 4).

Организаторы:
Ассоциация Российских Банков, Сообщество пользователей стандартов Банка России ABISS;

При официальной поддержке: Банка России;

При участии: Федеральной Службы Безопасности;

Организационную поддержку оказывают: Авангард Центр, МОО «АЗИ».

Состав участников:
Руководители банков и кредитных организаций, специалисты в области информационной безопасности, риск-менеджеры, специалисты службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководители процессинговых центров.

Обсуждаемые вопросы:

• Тематическое заседание №1: Национальная платежная система. Обеспечение безопасности и вопросы взаимодействия с международными платежными системами.
• Тематическое заседание №2: Обеспечение безопасности дистанционного банковского обслуживания.

На конференции компания Digital Security выступила соорганизатором и информационным партнером данного мероприятия. Илья Медведовский, директор Digital Security, провел круглый стол, посвященный основным вопросам соответствия требованиям PCI DSS и PA-DSS, в частности проблемам защиты платежных транзакций.

В рамках конференции обсуждались последние достижения безопасности индустрии платежных карт, а также новейшие технологии в области защиты информации. На конференции были представлены доклады специалистов различных компаний, а также QSA- и PA QSA-аудиторов Digital Security.

Сергей Шустиков, руководитель направления менеджмента ИБ Digital Security, открыл круглый стол, выступив с докладом на тему Основные этапы достижения соответствия PCI DSS. В своем выступлении он рассмотрел оптимальные варианты взаимодействия клиента, QSA-консультанта и системного интегратора при выполнении работ по приведению информационной инфраструктуры в соответствие PCI DSS.

Александр Поляков, руководитель направления аудита ИБ Digital Security и исследовательской лаборатории DSecRG, рассказал о стандарте безопасности платежных приложений PA-DSS, который приобрел особую актуальность в связи с объявлением международными платежными системами крайних сроков полного перехода на использование только сертифицированных по данному стандарту приложений.

Алексей Синцов, ведущий аудитор ИБ Digital Security, представил доклад Основные проблемы безопасности банк-клиентов, который был посвящен фундаментальным уязвимостям систем дистанционного банковского обслуживания и вызвал широкий резонанс в среде специалистов по информационной безопасности.

Илья Медведовский, директор Digital Security:

«Компания Digital Security традиционно принимает участие в конференции „CARDEX & IT SECURITY“. В этом году мы выступили одним из организаторов круглого стола на данном мероприятии, основным лейтмотивом проведения которого стали темы безопасности платежных приложений, карточной безопасности и соответствия стандартам PA-DSS и PCI DSS».

Материалы конференции:

• Сергей Шустиков, Digital Security - Основные этапы процесса достижения соответствия PCI DSS
• Александр Поляков, Digital Security - Безопасность платѐжных приложений, стандарт PA-DSS
• Алексей Синцов, Digital Security - Основные проблемы безопасности систем ДБО
• Александр Бондаренко, LETA IT-Company - PCI DSS - проще чем кажется
• Виталий Беликов, Tieto - Tieto Card Suite Fraud & Dispute Management
• Николай Кодаченко, DataSecurity Technologies - Новый продукт для обеспечения безопасности финансовых транзакций

Компания Digital Security приглашает специалистов принять участие в 7-ой международной выставке и конференции «Интеллектуальные карты и системы безопасности информационных технологий — 2010 /CARDEX & IT SECURITY», которая состоится 19-22 апреля в Москве в павильоне № 8 (зал № 3) ЦВК «Экспоцентр».

Основные темы конференции:

• Рынок карт в России и СНГ. Многофункциональные карты;
• Карточные технологии. Решения для банковской розницы и homebanking;
• IT Security. Стандарты защиты, пути решения, совершенствование методов.

Компания Digital Security выступает соорганизатором и информационным партнером данного мероприятия. В рамках конференции Илья Медведовский, директор Digital Security, проведет круглый стол «Стандарты защиты, пути решения, совершенствование методов», на котором QSA- и PA QSA-аудиторами Digital Security и специалистами других компаний будут рассмотрены вопросы, посвященные актуальным проблемам внедрения стандартов PCI DSS и PA-DSS и безопасности систем ДБО и приложений, обрабатывающих карточные данные. Среди тем докладов присутствуют:

• Основные этапы достижения соответствия PCI DSS;
• PA-DSS: стандарт безопасности платежных приложений;
• Основные проблемы безопасности систем ДБО;
и другие.

К участию в круглом столе приглашаются банки, транспортные предприятия, предприятия услуг и торговли, телекоммуникационные компании, страховые компании, производители карточек различного назначения, разработчики ПО, государственные и муниципальные учреждения и организации, реализующие карточные проекты различной сложности и масштаба.

Конференция была организована компанией Digital Security, Ассоциацией Российских членов Европей и Сообществом профессионалов PCIDSS.RU при официальной поддержке Международных платежных систем Visa и MasterCard.

В конференции приняли участие руководители кредитных организаций, торгово-сервисных предприятий, специалисты в области информационной безопасности, менеджеры по управлению информационными рисками, руководители процессинговых центров и дата-центров, специалисты по операциям с платежными картами. Всего присутствовали более 150 представителей от порядка 90 организаций.

«Мы рады, что конференция собрала широкую аудиторию и вызвала интерес не только у представителей платежной индустрии, но и у ритейлеров. Сегодня перед рынком стоят новые задачи в области защиты персональной информации, и появление профессиональной площадки для обсуждения этих вопросов очень своевременно. Учитывая, что соответствие стандарту PCI DSS — это постоянный процесс, мы рассчитываем и в дальнейшем использовать различные форматы взаимодействия с представителями отрасли, включая проведение конференций, семинаров, встреч рабочих групп, участие в которых будет интересным и полезным не только банкам, но и торговым компаниям, розничным сетям, процессинговым центрам, сервисным организациям — всем, кто работает с данными клиентов», — отметил Андрей Соболев, представитель Ассоциации российских членов Europay в Совете по стандартам безопасности индустрии платежных карт PCI SSC.

Начало конференции ознаменовалось открытием секции, посвященной вопросам достижения PCI соответствия с точки зрения регуляторов, где тема была подробно освещена представителями Visa и MasterCard, а также Ассоциации Российских Членов Европей.

Данная секция вызвала большой интерес у специалистов компаний-участников индустрии платежных карт, и позволила им задать все интересующие вопросы представителям международных платежных систем, а также обсудить ключевые моменты об основных требованиях их программ повышения безопасности и сроках реализации мероприятий по достижению соответствия PCI DSS.

«Мне было приятно встретить большой интерес со стороны банков, процессинговых центров, вендеров и торгово-сервисных предприятий к стандартам PCI DSS, а также познакомить их с основными этапами реализации программы Account Information Security. Данное мероприятие способствует развитию безопасности российского банковского рынка в соответствии с международными стандартами. Хотелось бы выразить надежду на дальнейшее плодотворное сотрудничество», — отметил Павел Стромский, начальник управления информационными рисками Visa в России.

В рамках конференции были обсуждены такие вопросы, как путь к PCI соответствию с точек зрения QSA-аудитора и системного интегратора, как с организационной, так и технической стороны. В данной секции с докладом «Часто задаваемые вопросы на пути к PCI соответствию» выступил Сергей Шустиков (Digital Security), обратив внимание на наиболее актуальные вопросы, с которыми сталкиваются компании при реализации проектов по PCI DSS. Александр Бондаренко (LETA IT-company) рассказал о «PCI соответствии с точки зрения интегратора» — то есть об этапах внедрения PCI-проекта и ролях в нем всех его участников.

В рамках конференции специалисты Digital Security подняли ряд вопросов, касающихся технической составляющей процесса достижения соответствия требованиям стандарта. Так Илья Медведовский рассказал об особенностях проведения тестов на проникновение и основных заблуждениях при их выполнении в докладе «PCI DSS — основные заблуждения при проведении тестов на проникновение». Он в очередной раз подчеркнул, что тестирование на проникновение не является сканированием, которое также необходимо, но служит для выполнения другого требования стандарта, а также рассказал о программе поддержки качества, реализуемой Советом PCI SSC для повышения уровня оказываемых QSA-аудиторами услуг. Александр Поляков в докладе «Технические аспекты достижения PCI соответствия» рассказал о том, что, зачастую, ключевым моментом для корректного выполнения требований служит понимание целей требования, а также привел ряд примеров, на которых подробно рассмотрел процесс выполнения ряда требований PCI DSS.

Живой интерес у посетителей конференции вызвал доклад «Путь к PCI соответствию с точки зрения кредитных организаций» Александра Кузнецова, представителя компании UCS (United Card Service), в котором Александр поделился своим опытом реализации проекта по достижению соответствия стандарту PCI DSS и его поддержанию.

В отдельную специализированную секцию были вынесены доклады, посвященные безопасности платежных приложений, систем ДБО и применению стандарта PA-DSS. Алексей Синцов (Digital Security) рассказал о «Практических аспектах оценки защищенности систем ДБО», отметив, какие уязвимости в широко используемых в СНГ банк-клиентов являются типовыми и лишний раз обратил внимание на важность и необходимость их устранения ввиду высокой критичности информации, которая циркулирует в системах ДБО. Одним из немаловажных вопросов для участников конференции (среди которых также были компании — разработчики платежных приложений), который поднял Александр Поляков (Digital Security) в докладе «Ключевые особенности сертификации по PA-DSS», был вопрос решения задачи выполнения требований стандарта PA-DSS, распространяющихся на платежные приложения. Данная секция позволила взглянуть на вопросы информационной безопасности в среде платежных карт не только с точки зрения соответствия информационной инфраструктуры стандартам, а также с учетом специфики и уязвимостей широко используемого программного обеспечения.

Завершил конференцию Игорь Голдовский, представитель компании Payment Technologies, выступив с докладом, посвященным различным видам мошенничества в индустрии платежных карт и важности учета данного аспекта при реализации проектов, направленных на повышение уровня безопасности в индустрии платежных карт.

Прошедшая конференция позволила участникам не только прослушать доклады от ведущих представителей индустрии платежных карт, но и пообщаться между собой на наиболее насущные темы. Как отметил Станислав Павлунин, представитель компании «Тройка Диалог»: «Конференция по PCI DSS была очень интересна и полезна, она была одним из самых интересных событий за последнее время. Доклады и тезисы, озвученные на ней, тоже очень содержательные».

Генеральным медиа-партнером конференции выступил журнал «ПЛАС», оказав мероприятию всестороннюю информационную поддержку. Генеральным спонсором конференции стала компания LETA IT-company.

«На наш взгляд, конференция стала уникальной площадкой для общения и обсуждения актуальных вопросов между представителями регуляторов (платежных систем VISA, MasterCard), профессионалов в области PCI DSS, а также представителей организаций, работающих с платежными технологиями -банков, ритейлеров, сервис-провайдеров, разработчиков программных продуктов и прочих» — отметил Александр Бондаренко, представитель LETA IT-company.

«Мы рады, что прошедшая конференция, которая впервые проводилась в России и странах СНГ в подобном формате при официальной поддержке VISA и MasterCard, вызвала живой интерес у представителей ведущих российских компаний — участников индустрии платежных карт. Мы надеемся, что проведение данной конференции станет хорошей традицией для представителей карточного бизнеса и в дальнейшем послужит площадкой для обмена опытом участвующих в нем специалистов в области безопасности данных индустрии платежных карт. Поэтому от лица организаторов я бы хотел заранее пригласить всех специалистов на PCI DSS RUSSIA 2011» — сказал Илья Медведовский, директор компании Digital Security.

Конференция была организована Ассоциацией Российских Банков и Сообществом ABISS при официальной поддержке Банка России, а также при участии регуляторов — ФСБ России, ФСТЭК и Роскомнадзора. Организационную поддержку конференции оказала компания «Авангард Центр». В конференции принимали участие руководители кредитных организаций и специалисты в области информационной безопасности, риск-менеджеры, аудиторы информационных технологий и информационной безопасности, руководители процессинговых центров, общим числом около 300 человек.

«Особенностью банковской деятельности является то, что банки работают в открытой форме, открытом законодательстве. Они взаимодействуют и с зарубежными банками и клиентами, поэтому возникает проблема обеспечения безопасности в этой ситуации. Наши банки должны в большей степени соответствовать требованиям по безопасности, которые сформулированы мировым банковским сообществом», — сказал заместитель начальника ГУБЗИ Банка России Андрей Курило.

В ходе лекционных занятий по вопросам обеспечения информационной безопасности были обсуждены такие вопросы, как внедрение в кредитных организациях Стандартов Банка России по информационной безопасности и обеспечение безопасности систем дистанционного банковского обслуживания и Интернет-банкинга. По словам заместителя начальника центра ФСБ Александра Баранова, Интернет-банкинг на сегодня — одна из самых продвинутых технологий, которая позволяет с минимальными затратами организовывать обслуживание гигантского количества лиц. Но при этом она пока не является абсолютно безопасной. «Проблем много, нужно совершенствовать карточки, механизмы. Но есть идеи, которые позволяют сделать электронный банкинг достаточно безопасным», — сказал Александр Баранов.

Большое внимание на конференции было уделено проблемам реализации в кредитных организациях требований ФЗ РФ «О персональных данных». Как отметил заместитель председателя Банка России Михаил Сенаторов, «в прошлом году банковское сообщество самоорганизовалось, поскольку было не в состоянии выполнить те требования регуляторов, которые были прописаны в рамках исполнения этого закона. Мы получили возможность отсрочки исполнения закона на один год, и поэтому сейчас решается вопрос, как банковское сообщество будет выполнять и насколько готово к исполнению закона, какие формы возможны для организации банковского сообщества, для того чтобы можно было взаимодействовать с регуляторами». Также на конференции обсуждались российские и международные стандарты по информационной безопасности, был проведён их сравнительный анализ.

Специалисты компании Digital Security приняли участие в конференции со стендом. Директор Digital Security Илья Медведовский выступил с докладом на тему: «Особенности проведения тестов на проникновение в организациях банковской сферы». В рамках его доклада были озвучены основные вопросы проведения тестирования на проникновение систем ДБО, а также тестов на проникновение для выполнения требования 11.3 стандарта PCI DSS. В докладе были рассмотрены не только используемые методики и алгоритмы при проведении работ, но и примеры их конкретной реализации, с учетом большого опыта специалистов исследовательского центра DSecRG в данной области. Кроме того, Сообщество PCIDSS.RU, основанное Digital Security, выступило информационным спонсором мероприятия.

По словам участников, ежегодная конференция «Информационная Безопасность Банков» становится ключевой площадкой для взаимодействия между банковским сообществом, регуляторами и поставщиками решений. За счёт этого создается единое пространство взаимодействия для достижения баланса интересов, где существенную роль принадлежит руководству банков, что способствует повышению общей эффективности системы информационной безопасности банковской сферы. Конференция, организованная и проведённая на самом высоком уровне, затронула множество актуальных вопросов в сфере информационной безопасности и позволила консолидировать и синхронизировать взгляды банковского сообщества на различные проблемы в этой области.

С 16 по 20 февраля 2010 г. в Башкортостане пройдет Вторая межбанковская конференция «Информационная безопасность банков», в рамках которой будут рассмотрены вопросы по решению проблем информационной безопасности в банковской сфере, стратегии развития рынка продуктов, решений и услуг в области защиты информации в банковском секторе.

Организаторы конференции — Ассоциация российских банков, совместно с Сообществом пользователей стандартов Банка России ABISS. Официальная поддержка конференции — Банк России, при участии Комитета Государственной Думы РФ по безопасности, ФСБ России, ФСТЭК России, Россвязьнадзор России, МГТУ им. Баумана. Организационная поддержка: «Авангард Центр».

Количество участников: 250 человек. Состав участников: Руководители банков и кредитных организаций, специалисты в области информационной безопасности, риск-менеджеры, специалисты службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководители процессинговых центров.

Формат конференции: лекционные занятия по вопросам обеспечения информационной безопасности организации.

Темы лекций:

• Внедрение в кредитных организациях Стандартов Банка России по информационной безопасности.

• Реализация в кредитных организациях требований ФЗ РФ «О персональных данных».

• Вопросы обеспечения безопасности систем дистанционного банковского обслуживания.

• Сравнительный анализ Российских и международных стандартов по информационной безопасности. Вопросы установления соответствия.

Сообщество PCIDSS.RU является одним из медиа-партнеров конференции.

В рамках конференции специалисты компании Digital Security выступят с докладами, посвященными наиболее актуальным вопросам финансового сектора, а также примут участие со стендом.

Более подробная информация — на сайте мероприятия.

В ходе трёхдневного заседания, более 200 специалистов из различных стран мира обсуждали наиболее важные вопросы, связанные с реализацией текущей версии стандартов PCI DSS, знакомились с готовящейся к внедрению программой PIN Transaction Security Program, обсуждали насущные проблемы безопасности в индустрии платёжных карт, обменивались информацией об особенностях применения стандартов в различных регионах и др.

Участие представителя АРЧЕ в данном мероприятии положило начало практической работе российского банковского сообщества в PCI SSC. В ходе рабочих встреч представителя АРЧЕ с руководством PCI SSC были обсуждены и согласованы ближайшие конкретные действия, которые позволят АРЧЕ внести свой вклад в эту деятельность и заявить о себе, как об активном и профессиональном участнике Совета.

С 29 сентября по 1 октября 2009 года в Москве прошла Международная выставка-конференция Infosecurity Russia 2009, объединившая под сводами Экспоцентра ведущих представителей индустрии информационной безопасности.

В рамках выставки состоялся круглый стол, посвященный вопросам внедрения стандарта PCI DSS в России и странах СНГ. Аудитория круглого стола была представлена широким кругом специалистов по карточной безопасности российского банковского сообщества и поставщиков услуг, для которых тема PCI Compliance является актуальной.

В ходе конференции были заслушаны доклады экспертов по безопасности индустрии платежных карт:

• Илья Медведовский, Digital Security – Основные проблемы внедрения PCI DSS;

• Максим Эмм, Информзащита – Применение компенсационных мер при реализации требований стандарта PCI DSS;

• Сергей Шустиков, Digital Security – Достижение соответствия PCI — best practice;

• Сергей Загарский, БИНБАНК – PCI DSS глазами клиента.

С 29 сентября по 1 октября 2009 в Москве, в Экспоцентре на Красной Пресне пройдет известная во всем мире специализированная выставка по информационной безопасности, проводимая одним из лидеров мирового выставочного бизнеса английской компанией Reed Exhibitions.

В рамках выставки 30 сентября в 10:30 в 5 зале 7 павильона состоится круглый стол «Актуальные проблемы внедрения PCI DSS». В круглом столе примут участие эксперты компаний БИНБАНК, Digital Security и Информзащита. В ходе круглого стола будут представлены доклады по следующим вопросам:

• основные проблемы соответствия и пути их решения при внедрении PCI DSS;

• применение компенсирующих мер при реализации требований PCI DSS;

• специфика проведения внутренних и внешних тестов на проникновение;

• технические аспекты ASV-сканирования.

С программой выставки-конференции и круглого стола можно ознакомиться здесь. Приглашаем вас!

Ассоциация Российских членов Европей (АРЧЕ) и Digital Security подписали Меморандум о взаимодействии в области внедрения стандарта безопасности PCI DSS на рынке платёжной индустрии России и стран СНГ и вступлении АРЧЕ в состав учредителей Сообщества PCIDSS.RU

Целью данного шага является продвижение и внедрение в среде организаций, формирующих индустрию платёжных карт, стандарта PCI DSS, как одного из способов повышения общей безопасности использования банковских карт.

Сообщество PCIDSS.RU - некоммерческая организация, целями которой являются сбор, накопление и обобщение информации о стандарте, обмен опытом между специалистами, внедрение и продвижение стандарта PCI DSS. Вступление в Сообщество осуществляется путем предоставления соответствующей заявки в адрес учредителей и открыто для всех организаций-участников индустрии платежных карт: международных платежных систем, ассоциаций, банков, поставщиков услуг, торгово-сервисных предприятий, производителей решений и систем, консультантов, системных интеграторов, СМИ и информационных веб-сайтов, органов государственной власти, ВУЗов и НИИ.

Илья Медведовский, директор Digital Security:

«Создание Сообщества PCIDSS.RU стало логичным обобщением опыта нашей компании в области PCI DSS. Вступление Ассоциации Российских членов Европей в состав учредителей позволит нам совместными усилиями сделать процессы в сфере платежных карт и PCI DSS Compliance в целом более прозрачными и понятными для всех участников данной отрасли. Мы будем рады видеть в составе членов Сообщества всех представителей индустрии платежных карт. Подобное открытое и всестороннее участие дает возможность говорить о взаимодействии, взаимопонимании и сотрудничестве в решении актуальных вопросов при внедрении PCI DSS».

Андрей Королев, президент Ассоциации Российских членов Европей:

«Координация действий участников рынка в области безопасности индустрии платежных карт является одной из приоритетных задач АРЧЕ. Работа по продвижению стандарта PCI DSS велась нами на протяжении последних двух лет, и Подписание Меморандума является закономерным результатом этой деятельности. Мы рассчитываем, что Сообщество поможет наладить эффективный диалог между Советом PCI SSC, международными платёжными системами, QSA/ASV, банками, поставщиками услуг и торгово-сервисными предприятиями, что будет полезно как для отдельных участников рынка, так и для отрасли в целом».

Ассоциация Российских членов Европей - негосударственная некоммерческая организация, членами которой могут являться российские кредитные организации – члены MasterCard International Incorporated, обладающие лицензией на использование продуктов MasterCard в России. Ассоциация создана с целью координации деловой активности членов АРЧЕ при осуществлении программ по продвижению торговых марок MasterCard на российском рынке банковских карт, создания наиболее благоприятных условий эмиссии, обслуживания, обращения и иного использования платежных продуктов MasterCard, совершенствования деятельности членов Ассоциации в платежной системе, а также защиты прав и законных интересов членов Ассоциации. В настоящее время членами АРЧЕ являются 113 кредитных организаций и компания MasterCard Europe Sprl.

Digital Security - одна из ведущих российских консалтинговых компаний в области управления информационной безопасностью, анализа защищенности информационных систем, оценки соответствия информационных систем требованиям международных стандартов, таких как ISO 27001 и PCI DSS, лидер на рынке специализированных систем автоматизации СУИБ. Сертифицированные специалисты компании имеют большой практический опыт выполнения работ в области PCI DSS. Digital Security обладает единственным в СНГ исследовательским центром DSecRG, пользующимся международным признанием.

Не смотря на то, что заявленные в повестке конференции вопросы затрагивали различные аспекты обеспечения безопасности в сфере обслуживания платежных карт, лейтмотивом дня стало обсуждение проблемы malware на банкоматных устройствах (см. заметку Банкоматы-шпионы в Петербурге). Отмечу, что встреча проходила в режиме "закрытых дверей" - информация, озвученная рядом спикеров была не только интересной, но и действительно актуальной для многих из присутствующих.

В частности, были приглашены авторитетные представители CERT (Computer Emergency Response Team) и Trustwave SpiderLabs с презентацией результатов собственной экспертизы вредоносного кода. В целом, позиция вендоров и регуляторов по проблеме была единой: банки уделяют не достаточно внимания вопросам безопасности эксплуатируемых терминальных устройств, что, в свою очередь, создает благодатную почву злоумышленникам. Надо сказать, что каждое подобное заявление вызывало гул несогласия в зале - понятно, что есть над чем работать, но перекладывать всю ответственность на клиента, которым, по сути, является банк по отношению к производителям банкоматов - явно не справедливо. Стремление вендоров к удешевлению производства банкоматов, выразившееся в последние годы в упрощении конструкции и унификации программной платформы, к сожалению не лучшим образом отражается на их защищенности и последние инциденты только подтверждают это.

В общем, как писали классики - "спасение утопающих - дело рук самих утопающих". Банкоматы нуждаются в повышенных мерах защищенности, - имеющихся штатных средств для этого сегодня уже явно не достаточно.

Тем не менее, производители не остаются в стороне от процесса - на саммите Diebold представил собравшимся программное решение для своих устройств: Diebold Security Office. Справедливости ради, надо сказать, что данный продукт - это кастомная редакция широко известного ПО Symantec Endpoint protection, адаптированного специально для работы на банкоматных устройствах производителя и призванного обеспечить необходимый уровень защищенности ПО, в т.ч. в соответствии с требованиями PCI DSS (подробнее см. http://www.diebold.com/atmsecurity/digitalsecurity.htm).

Вообще, тема применения стандарта PCI DSS и необходимость принятия обеспечительных мер для его соблюдения фигурировала у большинства докладчиков - для все большего числа специалистов становится очевидно, что соответствие PCI DSS - это не просто "галочка" для МПС, а жизненно-важный вопрос безопасности бизнеса.

В этой связи интересным оказался доклад Global Payments (UCS), которые рассказали о своем пути длинною в два года к сертификату соответствия PCI DSS, - одной из первых успешных сертификаций в России.

Так что саммит получился интересным и содержательным - редкий случай, когда содержание оправдало заявленную повестку - спасибо организаторам.