Уважаемые партнеры, Компания Treolan совместно с компанией G&G приглашает вас принять участие в маркетинговой программе. Закупая картриджи G&G со склада Treolan, вы накапливаете баллы, которые по окончании программы вы сможете обменять на подарочные сертификаты федеральных сетей на ваш ...
Уважаемые партнеры! В Merlion действует акция по крупной бытовой технике Hyundai. Приглашаем принять участие! До 31 мая 2024 г. за закупки холодильников и морозильных ларей вам будут начисляться бонусы: 1000 руб. и 1500 руб. за каждую единицу товара. Бонусы начисляются за закупки от 20 до 100 штук ...
Закупая комплекты кухонной техники Shaub Lorenz в период с 12 апреля по 31 мая, вы получаете встраиваемую СВЧ печь в подарок или скидку до 100% на товар в комплекте
Компания Merlion представляет вашему вниманию две акции по продуктам российских производителей: «Кешбэк за заказ ПО» и «Мультивендорная акция по продуктам виртуализации». Период действия акций: 01 апреля 2024 - 30 июня 2024. «Кешбэк за заказ ПО»: - Участвующие товары: все продукты от производителей ...
В компании Merlion действует маркетинговая программа по офисной технике ГЕЛЕОС. Начисляются бонусы до 6% за закупки фокусной продукции (брошюровщики, резаки, обложки и пружинки для переплёта, плёнки для ламинирования). Бонусы будут начисляться на баланс компании или выдаваться в виде ...
В сентябре 2016 г. совету Payment Card Industry Security Standards Council, созданному крупнейшими провайдерами платежных карт для усиления защиты хранящейся на картах информации, исполняется 10 лет. PCI SSC управляет стандартом Payment Card Industry Data Security Standard, который является обязательным для любой организации, хранящей, обрабатывающей или передающей информацию с платежных карт. PCI SSC непрерывно развивает и обновляет PCI DSS с учетом наиболее актуальных угроз и усложнения окружения организаций. В связи с юбилеем PCI SSC мы подумали, что будет интересно рассмотреть позитивные стороны стандарта и связанные с ним проблемы. Ни один стандарт не проходит проверку отрасли невредимым. На практике стандарты почти всегда отстают от инноваций. Однако PCI DSS — это тот редкий случай, когда стандарт опережает события. В данном слайд-шоу, подготовленном на основе отраслевой информации, предоставленной вице-президентом компании Bay Dynamics по программному управлению Стивеном ... читать далее.
Стандарту PCI DSS исполняется 10 лет: взгляд на его сильные и слабые стороны. Прошло десять лет с момента создания стандарта PCI DSS, призванного повысить безопасность платежных карт. Насколько он эффективен?
Достижение: устанавливает высокую планку. Чтобы отрасль могла оценить, насколько успешно она справляется со своими задачами, необходим объективный стандарт, позволяющий судить об этом. PCI DSS установил такую планку.
Достижение: создает надежную отправную точку. PCI DSS служит фактической отправной точкой для многих организаций, которым необходимо знать исходный уровень при защите информации на платежных картах их клиентов. Процесс идентификации местонахождения данных платежных карт, выявление уязвимостей, которые могут использоваться для взлома, устранение этих уязвимостей и информирование банков-эквайеров и владельцев платежных систем — все это принципиальные положения программы надежной информационной безопасности.
И достижение, и проблема: постоянные обновления требуют постоянного внимания. PCI SSC постоянно обновляет PCI DSS, чтобы организации могли упреждать появление новейших угроз и лучше защищать данные платежных карт своих клиентов, несмотря на усложнение их бизнес-среды. С 2006 г., когда была выпущена первая версия PCI DSS, PCI SSC обновлял ее семь раз. Постоянные изменения необходимы, чтобы соответствовать новым техническим условия и новой бизнес-среде. Однако они могут стать и серьезной проблемой, особенно для мелких предпринимателей, пытающихся соответствовать предъявляемым требованиям.
Достижение: ежеквартальное сканирование с целью выявления уязвимостей имеет большую важность. PCI DSS требует, чтобы организации ежеквартально проводили сканирование систем с целью выявления уязвимостей и сообщали об их устранении аудиторам. Сканирование служит дополнением к ежегодной всеобъемлющей оценке соблюдения требований PCI DSS. И если компании в своей деятельности не следуют лучшим практикам на постоянной основе, то их клиенты, по крайней мере, имеют гарантию, что несколько раз в году уделяется хотя бы минимальное внимание выявлению и устранению уязвимостей.
Достижение: регистрирует слабые звенья. Новейшая версия стандарта, PCI DSS 3.2, дополнительно включает требования к сторонним сервис-провайдерам, которые, как показала волна получивших широкую огласку вторжений за последние несколько лет, остаются слабым звеном в системе информационной безопасности. PCI DSS 3.2 предписывает сервис-провайдерам ежеквартально проводить проверки с целью убедиться, что их персонал придерживается политик безопасности и эксплуатационных процедур. От провайдеров требуется также не реже чем раз в полгода осуществлять тестирование систем на возможность проникновения.
Проблема: формальное отношение. Слишком многие организации по-прежнему относятся к соблюдению PCI DSS как к процедуре “установки флажка” и часто лишь делают вид, что соблюдают его требования, не обеспечивая надежной кибербезопасности в целом. Организации должны подходить к кибер-безопасности с позиций оценки рисков, сделав управление киберрисками своим постоянным приоритетом, как они делают это с другими операционными рисками.
Проблема: крупным организациям трудно удерживаться на передовых позициях. Крупные организации с распределенными унаследованными вычислительными средами (такими как размещенные в сотнях магазинов торговые автоматы нескольких поколений на базе патентованных терминалов) стремятся сохранять соответствие требованиям непрерывно развивающегося стандарта PCI DSS. Когда он обновляется, организации стараются привести в соответствие с ним свои технологии и средства управления безопасностью. Это сложная задача, если вычислительная среда распределена по всему миру. Коль организации с самого начала создали надежную кибер-защиту, в дальнейшем они могут оставаться на передовых позициях в деле соблюдения требований PCI DSS.
Проблема: осуществляемые вручную операции должны быть заменены автоматизированными. Для многих организаций ежеквартальная и ежегодная отчетность о соблюдении требований стандарта представляет отнимающую много времени и выполняемую вручную обязанность, предполагающую ввод данных в таблицы, которые затем в сшитом виде передаются аудиторам. Ручной ввод информации о киберрисках в различные таблицы — это непростая, отвлекающая от основного дела, требующая больших ресурсов задача, мешающая специалистам по безопасности заниматься обеспечением защиты. Подготовка отчетности о киберрисках должна быть автоматизирована. Это необходимо не только ради аудиторов, проверяющих соблюдение требований PCI DSS, но и для того, чтобы ответственные за безопасность руководители, владельцы производственных приложений и советы директоров понимали, насколько хорошо защищены бриллианты короны.
Проблема: в процесс неизбежно вкрадываются ошибки и искажения. Помимо того, что составление вручную отчетности о соблюдении PCI DSS требует дополнительных усилий и отвлечения от основного дела, в данные неизбежно будут вкрадываться ошибки и искажения. В некоторых случаях организациям не хватает времени на сбор данных, поэтому они используют устаревшую информацию из прежних отчетов. Если организации автоматизировали сбор, анализ и передачу информации о киберрисках, то все заинтересованные лица работают с одним и тем же набором данных.
Проблема: необходима координация внутри предприятия. Для соответствия требованиям PCI DSS требуется координации мер по его соблюдению, безопасности и развитию ИТ с владельцами производственных приложений. Часто такой танец с множеством партнеров прерывается. В результате в последнюю минуту приходится принимать меры в пожарном порядке. Чтобы опережать события, владельцы производственных приложений должны быть полноправными участниками защиты принадлежащих им приложений и данных, а не второстепенными лицами, которые между делом ставят свою подпись.
