PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Соответствие требованиям PCI DSS: гарантия целостности

В суете вокруг необходимости предотвращения предприятиями утечки и кражи данных, может ли организация быть уверена в том, что ВСЕ данные, над безопасностью которых она так упорно работает, в самом деле, являются теми данными, которые необходимо защищать? Целостность данных является критичной частью соответствия стандарту PCI DSS (не говоря о самой возможности функционирования компании), поэтому гарантия полноты и точности данных является приоритетом деятельности проектных групп по обеспечению безопасности и соответствия.

Знать, какие именно данные нужно защищать, может быть достаточно сложно.

Обычно, правила соответствия однозначно определяют, какие данные организациям необходимо защищать (данные о держателях карт, персональные данные, данные о здоровье и т.д.). Это не сложно. Намного сложнее определить, где в вашей организации находятся данные, попадающие под требования, контроля и защиты.

Так что перед тем как вы начнете беспокоиться о PCI, необходимо понять, где и как проходят информационные потоки компании. Несмотря на заявления производителей DLP решений, это не только технологическая проблема, но и проблема организации бизнес-процессов и управления персоналом. Вам необходимо опросить сотрудников каждого подразделения, и вы обнаружите, что они используют данные такими способами, которые вы даже не могли себе представить, и преследуют при этом бизнес-цели, о которых вы не предполагали. Эти опросы, без сомнения, спровоцируют другие опросы, и в итоге у вас будет представление о том, где находятся данные, которые необходимо защищать, и защищаете ли вы то, что нужно.

Касательно PCI DSS хочется отметить, что в некотором смысле цель всей программы – целостность данных, но более глубокое изучение показывает, что ни одно из 12 требований PCI прямо не относится к вопросу целостности данных. Говоря об этом, отметим, что все 12 очень важны, а при детальном рассмотрении вопроса целостности, существуют специфические требования, которые могут помочь в обеспечении целостности данных.

Особое внимание следует обратить на требования по защите данных о держателях карт (включающие Требование 3: обеспечить безопасное хранение данных о держателях карт и Требование 4: обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования) и внедрению строгих мер контроля доступа (Требование 7: ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью, Требование 8: назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре, и Требование 9: ограничить физический доступ к данным о держателях карт). Требование 8 непосредственно направляет нас к Требованию 10 : Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт. И наконец, есть Требование 6: Разрабатывать и поддерживать безопасные системы и приложения. Таким образом, в общем и целом, больше половины требований непосредственно относятся к вопросам целостности данных.

Каковы же лучшие (ну или как минимум стандартные) практики, которые могут быть применены для поддержания целостности данных предприятия? Начинающим можно посоветовать шифровать данные при хранении и передаче через сеть. Несмотря на то, что это не является требованием PCI DSS, я настоятельно рекомендую передавать информацию через SSL даже в локальной сети организации. Это не сильно или даже совсем не усложняет процесс и поможет поддерживать целостность данных, с гарантией того, что данные не украдут и не изменят.

Следующим действием (или даже параллельно с предыдущим), настройте журнал протоколирования и аудита приложений и сетей, чтобы иметь возможность определить, кто получает доступ к данным, когда они изменяются, и важнее всего - куда эти данные отправляются. Для этого требуется мониторниг сети. Ведение журналов протоколирования необходимо, это дает такое преимущество, как быстрое обнаружение появления новых или изменения существующих путей передачи критичных данных, что потенциально может являться нарушением. Из того немногого, что мы слышали об утечке в Heartland Payment Systems Inc., использование протоколирования и аудита способствовало бы более оперативному обнаружению проблемы и позволило бы избежать таких серьезных последствий.

Проектируя и поддерживая безопасные системы и приложения, вы можете быть уверены в том, что данные, находящиеся в определенных системах, должны в них находиться и изменять их могут только те пользователи, которые имеют соответствующие привилегии.

В качестве дополнительного преимущества использование указанных процессов защиты (шифрование, протоколирование, аудит, разработка безопасных приложений и т.п.) вы получаете соответствие не только PCI DSS, но и другим требованиям регуляторов, например Sarbanes-Oxley (SOX).

Об авторе:
Работая в должности CSO, Дэвид Мортман отвечает за программу исследований и анализа компании Echelon One. Ранее Дэвид занимал должность CISO компании Siebel Systems Inc., и занимался обеспечением безопасности её IT-инфраструктуры, распределенной по всему миру. Имея статус CISSP, Дэвид входит в экспертные советы многих компаний, включая Qualys.

Источник:
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1368155_mem1,00.html

соответствие | выполнение требований | pci dss
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры