PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Что на самом деле означает соответствие PCI

Что на самом деле означает соответствие PCI

Я очень огорчаюсь, когда слышу от людей вещи, которые звучат вполне разумно, но при этом являются в корне неверными. На twitter.com и различных блогах по этой теме появилась дискуссия о том, что «соответствие PCI бесполезно, если компания, которая ему соответствует, была взломана». Видите, так правдоподобно и при этом так неправильно.

Исключения из правил

Мне кажется, что проблема этого утверждения в том, что произошедшее единожды может и не стать правилом. Говорить о том, что вся программа PCI неэффективна только потому, что одна компания была взломана, нелогично. Рассмотрим на примере ремней безопасности. В 1956 году Роберт Макнамара обязал всех использовать ремни безопасности в машинах с целью уменьшить количество смертей в автомобильных авариях. Большинство согласно с тем, что ремни безопасности спасают жизни и ими хорошо бы пользоваться. Ведь теперь, когда кто-то погибает в автомобильной аварии, даже будучи пристегнутым, мы же не заявляем, что ремни безопасности бесполезны. Я имею в виду, что хотя этот пристегнувшийся «кто-то» мертв, это не означает, что все ремни безопасности должны быть бесполезны. Это нелогично. Многие так называемые эксперты в области PCI соответствия и проникновений будут говорить вам об этом, используя эту неправильную логику, просто потому, что они не знакомы со всеми сложностями и надлежащим синтаксисом.

Соответствие и Подтверждение соответствия

Есть различия между «соответствием» и «подтверждением соответствия». Соответствие — состояние, которое необходимо поддерживать. Подтверждение соответствия — проверка состояния на определенный момент времени. Примером может служить страхование автомобилей. Я должен все время страховать свою машину согласно требованиям законодательства. При постановке на учет мне приходится представить документы, удостоверяющие то, что моя машина застрахована. Этим я подтверждаю то, что мои действия соответствуют законодательству. Если я решу прервать договор страхования, потому что это стоит слишком дорого, мои действия будут соответствовать законодательству? Нет. Хотя подтверждение соответствия на месте. Помните, подтверждение соответствия одномоментно, в то время как соответствие непрерывно.

Соответствие и Безопасность

Следует также отметить, что соответствие, даже продолжительное состояние соответствия, не означает безопасность, если оно не реализовано правильно. Если целью компании является проведение аудита для «галочки» и для достижения этой цели она ограничивается необходимым минимумом действий, вряд ли это означает надлежащее управление рисками и защиту данных о держателях платежных карт. Позвольте объяснить — я часто спрашиваю людей: «Можно ли использовать брандмауэр для сегментирования сети?». Все говорят: «ДА», — но они ошибаются. Только правильно настроенный брандмауэр можно использовать для сегментирования сети. Поэтому при проверке пункта, определяющего, что какой-либо объект выходит за границы проведения аудита, потому что сеть была сегментирована, нужно не забыть про вопрос: должным ли образом она была сегментирована?

Действительно ли вы выделили известные векторы атак?

Дополнительно можно привести в пример мотоциклетные шлемы. Не во всех штатах принят закон, обязывающий мотоциклистов ездить в мотоциклетных шлемах, а в некоторых разрешено использование его облегченной версии, которая только создает иллюзию соблюдения закона. Но почти все мотоциклисты согласятся, что такой шлем не дает никакой реальной защиты. Однажды специалист по безопасности сказал мне: «Мне нужен минимум, потому что я не получаю золотых звезд за слишком рьяное соответствие». Я помню это утверждение, потому что в тот момент я понял, что он не понимает разницы между соответствием и безопасностью.

Барак Обама сказал, что мы должны войти в «новую эру ответственности». Мы должны нести ответственность за защиту данных. Необходимо сфокусироваться на управлении рисками и начать заботиться о безопасности данных, вверенных нам нашими клиентами.


Майкл Дан
Перевод: PCIDSS.RU
Англоязычный оригинал
соответствие | аудит
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры