BIS Journal №1(28)/2018

10 апреля, 2018

Три регламента

2018 год богат на международные стандарты и обновления требований Регламентов по безопасности, которые вступают в силу и ожидаемо серьезно осложнят жизнь организациям. Как показывает практика, многие организации даже не подозревают, что они, в силу своей деятельности, попадают под действие Регламентов. Есть три, касающихся Европейского законодательства и финансовых организаций: PCI-DSS 3.2, GDPR и eIDAS. Они вступают в силу в феврале, мае и сентябре 2018 года соответственно.

Примечательно, что первые два Регламента предполагают существенные штрафы за их несоблюдение. Так размер штрафа за несоблюдение GDPR может составлять 2 миллиона евро, либо доходить до 4% годового оборота компании, в зависимости от того, какая сумма больше... Уверен, что до конца этого календарного года мир увидит реальные примеры применения наказаний за несоблюдение Регламентов по безопасности для Европейских и сотрудничающих с ними компаний, расположенных в разных частях мира.

В PCI-DSS 3.2, раздел 8.3, наиболее значительным изменением явилось требование многофакторной аутентификации для администраторов внутри защищенной инфраструктуры организации, имеющей дело с данными платежных карт. Это очень существенное и порой трудновыполнимое требование отражает понимание рисков, связанных с одной стороны с инсайдерами, а с другой – с привилегированными пользователями. Важно отметить, что в требованиях появилось явное описание понятия многофакторной аутентификации (то, что вы знаете - пароль, то, что вы имеете - токен, или то, что вам присуще - отпечаток пальца) и неприменимость многократного использования однофакторных, хотя и сложных, и отличающихся паролей. Также изменения коснулись всех сотрудников, имеющих доступ к данным держателей карт – Пункты 8.3.1 и 8.3.2. Теперь, независимо от их работы в защищенной сети или удаленно, они должны применять многофакторную аутентификацию.

Другим важным изменением стали требования к Сервис Провайдерам. Они коснулись как компаний в целом, так и напрямую отдельных руководителей этих компаний. Теперь Сервис Провайдеры должны иметь описание полной криптографической архитектуры, что должно нивелировать риски утечек при участии третьих вовлеченных сторон. Также добавлено требование регулярных тестов инфраструктуры на проникновение и создание процессов защиты, отражения, документирования и информирования об атаках, которые могут привести к потере данных.   

Несмотря на сужение периметра вокруг данных и минимизацию хранимой информации, требования к физической безопасности становятся не менее актуальными, и выражаются в комбинированных требованиях контроля доступа в помещения (RFID) с аутентификаторами PKI (Смарт Картами) инфраструктуры открытых ключей. При этом все более приветствуются возможности визуального контроля Смарт Карт в решениях Корпоративных Бэджей (Физический и Цифровой идентификатор сотрудника) и методов контекстной аутентификации, когда в зависимости от местонахождения сотрудника и используемого им устройства предъявляются разные по степени сложности и защищенности методы аутентификации. (Рис. 1).

Рис. 1

Если требования PCI-DSS к использованию шифрования и хранения ключей шифрования отдельно, в железе, уже не является чем-то удивительным, то возможность не разглашать публично взлом данных, которые были зашифрованы (Регламент GDPR) – это важный фактор. На текущий момент только 4% компаний шифруют данные, что открывает большую перспективу по применению методов шифрования данных и управления ключами шифрования в финансовых организациях и корпоративном секторе, особенно, если подходить к этой задаче системно и защищать данные в состоянии покоя, во время транзита, в виртуальных средах, облаках и т.д.

В свете всё большего использования моделей аутсорсинга, облачных и виртуальных технологий, что благотворно влияет на сокращение издержек и расходов, открытым остается вопрос ответственности организации за персональные данные и данные платежных карт. Кому вы доверяете? Кто будет нести ответственность, если ваши данные будут скомпрометированы в Облаке или Арендованном ЦОДе? Ответ – никому. Организации должны ответственно подходить к вопросам защиты информации, и первые шаги, которые помогут решить эти вопросы, начинаются с контроля доступа с помощью автоматизированных систем аутентификации, шифрования данных и управления жизненным циклом ключей шифрования. В совокупности использование этих подходов позволит закрыть львиную долю требований регламентов по безопасности и оградить ваши организации от материальной ответственности и штрафов.  

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных