(Решетневскце чтения
УДК 004.056.5
М. А. Косенко, В. Г. Миронова Томский государственный университет систем управления и радиоэлектроники, Россия, Томск
ОСОБЕННОСТИ СТАНДАРТА БЕЗОПАСНОСТИ ДАННЫХ ИНДУСТРИИ ПЛАТЕЖНЫХ КАРТ PCI DSS
Основной задачей в настоящее время являются исследования и поиск решений в области развития технологий защиты информации в индустрии платежных карт. Необходимость защиты информации обусловлена значительным объемом хранимой информации, несанкционированное использование которой приводит к финансовым потерям и рискам как для держателя платежной карты, так и для банка.
Самым популярным способом оплаты товаров и услуг физическими лицами, как в Российской Федерации (РФ), так и за рубежом, являются платежные карты. Они предоставляют своим держателям максимальное удобство, но вместе с этим использование платежных карт сопряжено с дополнительными рисками (см. аннотация к новому документу «DeviceLock® для соответствия стандарту Payment Card Industry Data Security Standard»). На платежной карте хранится информация о физическом лице, его финансовом положении, банковском счете и т. д., поэтому в случае, когда информация, содержащаяся на платежной карте, попадает в руки злоумышленников, владелец карты рискует потерять деньги со своего банковского счета.
Безусловно, в случае возникновения утечки информации страдает не только держатель платежной карты, но и банк. В случае компрометации платежных сведений банки вынуждены выпускать новые карты, а этот процесс сопровождается дополнительными расходами. В некоторых случаях банкам приходится восстанавливать материальный ущерб, который был нанесен держателю карты. Обеспечение безопасности платежных банковских систем и платежных карт является необходимым. Основные требования в индустрии платежных карт продиктованы «Стандартом безопасности данных индустрии платежных карт PCI DSS» (Стандарт PCI DSS).
В настоящее время требования Стандарта PCI DSS распространяются на все компании, осуществляющие обработку, хранение или передачу данных о держателях платежных карт (URL: http://devicelock.com/ru/news/979.html). На рисунке представлена схема области применения Стандарта PCI DSS.
В структуру Стандарта PCI DSS входят:
- 6 задач;
- 12 общих требований;
- 239 процедур оценки.
В Стандарте PCI DSS представлена совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационной инфраструктуре торгово-сервисных предприятий, сервис-провайдеров и других организаций, а именно:
- требование 1. «Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт»;
- требование 2. «Не использовать пароли и другие системные параметры, заданные производителем по умолчанию»;
- требование 3. «Обеспечить безопасное хранение данных о держателях карт»;
- требование 4. «Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования»;
- требование 5. «Использовать и регулярно обновлять антивирусное программное обеспечение»;
- требование 6. «Разрабатывать и поддерживать безопасные системы и приложения»;
- требование 7. «Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью»;
- требование 8. «Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре»;
- требование 9. «Ограничить физический доступ к данным о держателях карт»;
- требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт»;
- требование 11. «Регулярно выполнять тестирование систем и процессов обеспечения безопасности»;
- требование 12. «Разработать и поддерживать политику информационной безопасности».
Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности (ИБ) данных платежных карт.
Ключевые требования по организации защиты данных о держателях платежных карт сформулированы в документе «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0» («Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0») и сгруппированы таким образом, чтобы упростить процедуру аудита безопасности [1].
В России соответствие стандарту PCI DSS стало обязательно с 2007 г. Компании, которые обрабатывают и хранят данные о держателях платежных карт и работают с международными платежными системами,
Методы и средства защиты информации
обязаны ежегодно проходить сертификацию на соответствие требованиям стандарта PCI DSS.
Поэтому основной задачей в настоящее время являются исследования и поиск решений в области развития технологий защиты в индустрии платежных карт.
Библиографическая ссылка
1. Взгляд на аудит сквозь призму стандарта PCI DSS [Электронный ресурс]. URL:
http://habrahabr.ru/post/! 14558/
Область применения стандарта PCI DSS
М. А. Kosenko, V. G. Mironova Tomsk state university of control systems and radioelectronics (TUSUR), Russia, Tomsk
FEATURES OF DATA SECURITY STANDARD OF PAYMENT CARD INDUSTRY PCI DSS
The main task now is to research and solve problems in the field of technology in securing the payment card industry. The need to protect the information is caused by storing a considerable amount of data, the unauthorized use of which results in financial losses and risks for both the cardholder and the bank.
© Косенко М. А., Миронова В. Г., 2012
УДК 004.662
Р. В. Лебедев
ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева», Россия, Железногорск
МЕТОДИКА ФОРМИРОВАНИЯ ИСХОДНЫХ ДАННЫХ ДЛЯ МОДЕЛИРОВАНИЯ СЕТЕВЫХ АТАК
Решение задачи моделирования сетевых атак предполагает наличие знаний о структуре изучаемой сети и уяз-вимостях ее объектов, которые способен использовать потенциальный злоумышленник. В докладе приведен метод автоматизированного поиска и формирования перечня уязвимостей оконечных узлов вычислительной сети.
Защита информационных активов на сегодняшний день является одной из ключевых задач в обеспечении безопасности современного бизнеса. Классическим в решении этой задачи, безусловно, является экспертный подход, позволяющий обезопасить наиболее важные ресурсы информационной системы (ИС) на этапе ее проектирования и в дальнейшем -посредством правильной организации информационных потоков внутри нее. Однако глубокая интеграция
информационных технологий практически во все бизнес-процессы, а также увеличение размеров ИС, их структурной и топологической сложности затрудняет применение экспертного подхода и усиливает воздействие факторов расплаты: вероятности совершения ошибок в конфигурации технических средств, трудности в оценке информационных рисков.
Решение задачи автоматизации оценки рисков ИС, в свою очередь, требует попутного решения ряда