вторник, 12 мая 2009 г.

PCI Moscow - Обеспечивая безопасность данных платежных карт в России


21 мая пригласили поучаствовать в "франшизе" международной конференции по безопасности платежных карт PCI Moscow

http://www.pci-portal.com/lang-ru/events/event-info/pcimoscow/agenda

Доклад будет посвящен метрикам безопасности в контексте PCI DSS. Планирую поделиться нашими наработками в этой области и международным передовым опытом. Тезисы ниже:

Измеряя защищенность. Метрики безопасности для PCI DSS


Цикл практических работ по обеспечению соответствия PCI DSS кроме ежегодных аудитов включает ежеквартальное сканирование периметра сети, анализ защищенности Web-приложений и тесты на проникновение. В ходе этих работ, как правило, обнаруживаются уязвимости различной степени риска, приводящие к несоответствию стандарту. Многие из этих проблем требуют серьезных затрат для полного устранения и их полное искоренение может занять не один год. Какие типы уязвимостей наиболее распространены? Какова вероятность обнаружения той или иной проблемы? Какие компенсационные меры наиболее адекватны? Как продемонстрировать прогресс в обеспечении соответствия стандарту?


PS. Как ни печально, практически не слышал интересных выступлений на тему PCI. Все в основном сводится к "пугалам", или пересказу основных требований стандарта. Хотя есть и редкие исключения. Например, доклад Максима Эмма по наиболее распространенным нарушением.

6 комментариев:

Ригель комментирует...

Если это именно метрики, то интересно будет потом прочесть.
И еще записка из зала: а пен-тесты собственно банкоматов/терминалов РТ проводит?

Сергей Гордейчик комментирует...

>Если это именно метрики

Метрики (не PKI/BSC/Труляля) в том понимании, которое принято здесь:
http://www.securitymetrics.org/content/Wiki.jsp?page=Metricon4.0

>а пен-тесты собственно банкоматов/терминалов РТ проводит

Банкоматы и терминалы попадаются в ходе работ.

Сейчас в свете известных событий идет исследование на тему MaxPatrol vs ATM (Audit/Compliance).

Специализированных заказов на Application Level по ATM пока не было :)

Ригель комментирует...
Этот комментарий был удален автором.
Ригель комментирует...

> которое принято здесь

Очень неожиданная ссылка, т.к. там принято вполне себе системное и целостное видение ИБ, а пены и сканы очень мало что из этого делают. Вроде бы.

Сергей Гордейчик комментирует...

:)))

Меня записали в экстремисты? Декомпилирую x86 в уме и читаю base64 без словаря?! :)))

Ригель комментирует...

Где-то мы друг-друга не поняли.
Не будем затягивать эту нелепую ситуацию, проехали.