В форуме приняли участие представители отраслевых государственных регуляторов — Центрального банка и ФСБ России, Ассоциации российских банков и сообщества ABISS, руководители банков, кредитных организаций и процессинговых центров, специалисты в области информационной безопасности, аудита и консалтинга, журналисты специализированных СМИ.

Программа форума включала два тематических заседания. Первое было посвящено обеспечению информационной безопасности будущей национальной платежной системы и вопросам взаимодействия с международными платежными системами, второе — безопасности различных видов дистанционного банковского обслуживания.

Доклад о проблемах формирования в России национальной платежной системы сделал Президент Ассоциации российских банков Гарегин Тосунян. Представители ведомств — отраслевых государственных регуляторов поведали о развитии законодательной, нормативно-правовой и регламентирующей базы. Заместитель начальника Главного управления информационной безопасности (ГУБЗИ) Банка России Андрей Курило рассказал о стандартах, которым должна соответствовать создаваемая система, а первый заместитель начальника Центра безопасности связи ФСБ РФ Александр Баранов — о совершенствовании законодательной базы.

Практические вопросы и опыт обеспечения информационной безопасности банковских проектов в регионах России и на международном уровне затронули в своих выступлениях председатель Национального банка Республики Башкортостан Рустэм Марданов и вице-президент MasterCard Europe Андрей Тарусов.

Тон дискуссии по различным аспектам обеспечения безопасности дистанционного банковского обслуживания задало обстоятельное сообщение начальника управления ГУБЗИ Банка России Дмитрия Фролова. Практические вопросы, которые встают перед каждым банком и банковской отраслью в целом, рассмотрели представители общественных организаций секретарь Совета сообщества ABISS Павел Гениевский и председатель комитета по информационной безопасности Ассоциации российский банков Александр Велигура.

Об алгоритмах противодействия злоумышленникам и мероприятиях по расследованию инцидентов, связанных с попытками хищения средств со счетов клиентов поведал начальник отдела сопровождения информационной безопасности «Россельхозбанка» Александр Беликов. Предлагаемые на рынке организационно-технические решения, обеспечивающие безопасность интернет-банкинга, работы с пластиковыми банковскими картами и других аналогичных услуг представили руководители и сотрудники специализированных компаний «БИФИТ», HELiOS IT Solutions и Digital Security.

Проблемы, затронутые в докладе «Основные проблемы безопасности систем ДБО с точки зрения бизнеса» директора компании Digital Security Ильи Медведовского, вызвали большой интерес у аудитории, поскольку в докладе были не только рассмотрены особенности проведения аудита защищенности систем ДБО, но также и продемонстрирован пример практической реализации одной из уязвимостей систем.

Официальную поддержку конференции оказал Банк России при участии Центра безопасности ФСБ, организационную — Ассоциация защиты информации, техническим организатором выступила компания «Авангард Центр».

Материалы конференции: http://www.ib-bank.ru/.

На конференции компания Digital Security выступила соорганизатором и информационным партнером данного мероприятия. Илья Медведовский, директор Digital Security, провел круглый стол, посвященный основным вопросам соответствия требованиям PCI DSS и PA-DSS, в частности проблемам защиты платежных транзакций.

В рамках конференции обсуждались последние достижения безопасности индустрии платежных карт, а также новейшие технологии в области защиты информации. На конференции были представлены доклады специалистов различных компаний, а также QSA- и PA QSA-аудиторов Digital Security.

Сергей Шустиков, руководитель направления менеджмента ИБ Digital Security, открыл круглый стол, выступив с докладом на тему Основные этапы достижения соответствия PCI DSS. В своем выступлении он рассмотрел оптимальные варианты взаимодействия клиента, QSA-консультанта и системного интегратора при выполнении работ по приведению информационной инфраструктуры в соответствие PCI DSS.

Александр Поляков, руководитель направления аудита ИБ Digital Security и исследовательской лаборатории DSecRG, рассказал о стандарте безопасности платежных приложений PA-DSS, который приобрел особую актуальность в связи с объявлением международными платежными системами крайних сроков полного перехода на использование только сертифицированных по данному стандарту приложений.

Алексей Синцов, ведущий аудитор ИБ Digital Security, представил доклад Основные проблемы безопасности банк-клиентов, который был посвящен фундаментальным уязвимостям систем дистанционного банковского обслуживания и вызвал широкий резонанс в среде специалистов по информационной безопасности.

Илья Медведовский, директор Digital Security:

«Компания Digital Security традиционно принимает участие в конференции „CARDEX & IT SECURITY“. В этом году мы выступили одним из организаторов круглого стола на данном мероприятии, основным лейтмотивом проведения которого стали темы безопасности платежных приложений, карточной безопасности и соответствия стандартам PA-DSS и PCI DSS».

Материалы конференции:

• Сергей Шустиков, Digital Security - Основные этапы процесса достижения соответствия PCI DSS
• Александр Поляков, Digital Security - Безопасность платѐжных приложений, стандарт PA-DSS
• Алексей Синцов, Digital Security - Основные проблемы безопасности систем ДБО
• Александр Бондаренко, LETA IT-Company - PCI DSS - проще чем кажется
• Виталий Беликов, Tieto - Tieto Card Suite Fraud & Dispute Management
• Николай Кодаченко, DataSecurity Technologies - Новый продукт для обеспечения безопасности финансовых транзакций

Конференция была организована компанией Digital Security, Ассоциацией Российских членов Европей и Сообществом профессионалов PCIDSS.RU при официальной поддержке Международных платежных систем Visa и MasterCard.

В конференции приняли участие руководители кредитных организаций, торгово-сервисных предприятий, специалисты в области информационной безопасности, менеджеры по управлению информационными рисками, руководители процессинговых центров и дата-центров, специалисты по операциям с платежными картами. Всего присутствовали более 150 представителей от порядка 90 организаций.

«Мы рады, что конференция собрала широкую аудиторию и вызвала интерес не только у представителей платежной индустрии, но и у ритейлеров. Сегодня перед рынком стоят новые задачи в области защиты персональной информации, и появление профессиональной площадки для обсуждения этих вопросов очень своевременно. Учитывая, что соответствие стандарту PCI DSS — это постоянный процесс, мы рассчитываем и в дальнейшем использовать различные форматы взаимодействия с представителями отрасли, включая проведение конференций, семинаров, встреч рабочих групп, участие в которых будет интересным и полезным не только банкам, но и торговым компаниям, розничным сетям, процессинговым центрам, сервисным организациям — всем, кто работает с данными клиентов», — отметил Андрей Соболев, представитель Ассоциации российских членов Europay в Совете по стандартам безопасности индустрии платежных карт PCI SSC.

Начало конференции ознаменовалось открытием секции, посвященной вопросам достижения PCI соответствия с точки зрения регуляторов, где тема была подробно освещена представителями Visa и MasterCard, а также Ассоциации Российских Членов Европей.

Данная секция вызвала большой интерес у специалистов компаний-участников индустрии платежных карт, и позволила им задать все интересующие вопросы представителям международных платежных систем, а также обсудить ключевые моменты об основных требованиях их программ повышения безопасности и сроках реализации мероприятий по достижению соответствия PCI DSS.

«Мне было приятно встретить большой интерес со стороны банков, процессинговых центров, вендеров и торгово-сервисных предприятий к стандартам PCI DSS, а также познакомить их с основными этапами реализации программы Account Information Security. Данное мероприятие способствует развитию безопасности российского банковского рынка в соответствии с международными стандартами. Хотелось бы выразить надежду на дальнейшее плодотворное сотрудничество», — отметил Павел Стромский, начальник управления информационными рисками Visa в России.

В рамках конференции были обсуждены такие вопросы, как путь к PCI соответствию с точек зрения QSA-аудитора и системного интегратора, как с организационной, так и технической стороны. В данной секции с докладом «Часто задаваемые вопросы на пути к PCI соответствию» выступил Сергей Шустиков (Digital Security), обратив внимание на наиболее актуальные вопросы, с которыми сталкиваются компании при реализации проектов по PCI DSS. Александр Бондаренко (LETA IT-company) рассказал о «PCI соответствии с точки зрения интегратора» — то есть об этапах внедрения PCI-проекта и ролях в нем всех его участников.

В рамках конференции специалисты Digital Security подняли ряд вопросов, касающихся технической составляющей процесса достижения соответствия требованиям стандарта. Так Илья Медведовский рассказал об особенностях проведения тестов на проникновение и основных заблуждениях при их выполнении в докладе «PCI DSS — основные заблуждения при проведении тестов на проникновение». Он в очередной раз подчеркнул, что тестирование на проникновение не является сканированием, которое также необходимо, но служит для выполнения другого требования стандарта, а также рассказал о программе поддержки качества, реализуемой Советом PCI SSC для повышения уровня оказываемых QSA-аудиторами услуг. Александр Поляков в докладе «Технические аспекты достижения PCI соответствия» рассказал о том, что, зачастую, ключевым моментом для корректного выполнения требований служит понимание целей требования, а также привел ряд примеров, на которых подробно рассмотрел процесс выполнения ряда требований PCI DSS.

Живой интерес у посетителей конференции вызвал доклад «Путь к PCI соответствию с точки зрения кредитных организаций» Александра Кузнецова, представителя компании UCS (United Card Service), в котором Александр поделился своим опытом реализации проекта по достижению соответствия стандарту PCI DSS и его поддержанию.

В отдельную специализированную секцию были вынесены доклады, посвященные безопасности платежных приложений, систем ДБО и применению стандарта PA-DSS. Алексей Синцов (Digital Security) рассказал о «Практических аспектах оценки защищенности систем ДБО», отметив, какие уязвимости в широко используемых в СНГ банк-клиентов являются типовыми и лишний раз обратил внимание на важность и необходимость их устранения ввиду высокой критичности информации, которая циркулирует в системах ДБО. Одним из немаловажных вопросов для участников конференции (среди которых также были компании — разработчики платежных приложений), который поднял Александр Поляков (Digital Security) в докладе «Ключевые особенности сертификации по PA-DSS», был вопрос решения задачи выполнения требований стандарта PA-DSS, распространяющихся на платежные приложения. Данная секция позволила взглянуть на вопросы информационной безопасности в среде платежных карт не только с точки зрения соответствия информационной инфраструктуры стандартам, а также с учетом специфики и уязвимостей широко используемого программного обеспечения.

Завершил конференцию Игорь Голдовский, представитель компании Payment Technologies, выступив с докладом, посвященным различным видам мошенничества в индустрии платежных карт и важности учета данного аспекта при реализации проектов, направленных на повышение уровня безопасности в индустрии платежных карт.

Прошедшая конференция позволила участникам не только прослушать доклады от ведущих представителей индустрии платежных карт, но и пообщаться между собой на наиболее насущные темы. Как отметил Станислав Павлунин, представитель компании «Тройка Диалог»: «Конференция по PCI DSS была очень интересна и полезна, она была одним из самых интересных событий за последнее время. Доклады и тезисы, озвученные на ней, тоже очень содержательные».

Генеральным медиа-партнером конференции выступил журнал «ПЛАС», оказав мероприятию всестороннюю информационную поддержку. Генеральным спонсором конференции стала компания LETA IT-company.

«На наш взгляд, конференция стала уникальной площадкой для общения и обсуждения актуальных вопросов между представителями регуляторов (платежных систем VISA, MasterCard), профессионалов в области PCI DSS, а также представителей организаций, работающих с платежными технологиями -банков, ритейлеров, сервис-провайдеров, разработчиков программных продуктов и прочих» — отметил Александр Бондаренко, представитель LETA IT-company.

«Мы рады, что прошедшая конференция, которая впервые проводилась в России и странах СНГ в подобном формате при официальной поддержке VISA и MasterCard, вызвала живой интерес у представителей ведущих российских компаний — участников индустрии платежных карт. Мы надеемся, что проведение данной конференции станет хорошей традицией для представителей карточного бизнеса и в дальнейшем послужит площадкой для обмена опытом участвующих в нем специалистов в области безопасности данных индустрии платежных карт. Поэтому от лица организаторов я бы хотел заранее пригласить всех специалистов на PCI DSS RUSSIA 2011» — сказал Илья Медведовский, директор компании Digital Security.

С 29 сентября по 1 октября 2009 года в Москве прошла Международная выставка-конференция Infosecurity Russia 2009, объединившая под сводами Экспоцентра ведущих представителей индустрии информационной безопасности.

В рамках выставки состоялся круглый стол, посвященный вопросам внедрения стандарта PCI DSS в России и странах СНГ. Аудитория круглого стола была представлена широким кругом специалистов по карточной безопасности российского банковского сообщества и поставщиков услуг, для которых тема PCI Compliance является актуальной.

В ходе конференции были заслушаны доклады экспертов по безопасности индустрии платежных карт:

• Илья Медведовский, Digital Security – Основные проблемы внедрения PCI DSS;

• Максим Эмм, Информзащита – Применение компенсационных мер при реализации требований стандарта PCI DSS;

• Сергей Шустиков, Digital Security – Достижение соответствия PCI — best practice;

• Сергей Загарский, БИНБАНК – PCI DSS глазами клиента.