Архив за Октябрь, 2010

Вышла в свет вторая версия стандарта PCI DSS

2 комментария

28 октября 2010 года, Совет PCI утвердил стандарт PCI DSS v2.0, текст документа уже доступен для загрузки на сайте совета.

Напомним, что PCI DSS (Payment Card Industry Data Security Standard) — это стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Он включает в себя требования к политике информационной безопасности, архитектуре сети, контролю доступа, тестированию и мониторингу безопасности, а также к разработке приложений, обрабатывающих данные держателей электронных карт.

Принятая вторая версия, похоже, является скорее эволюционной, чем революционной, перечислим наиболее интересные, на наш взгляд, изменения:

  • стандарт стал более полно учитывать системы виртуализации;
  • уточнены требования к криптографии, в частности даны пояснения по требованию 3.4 о хешировании;
  • изменились требования к процедуре определения области оценки (scoping);
  • убраны ссылки на стандарт шифрования беспроводных сетей  WPA, поскольку он уже не считается достаточно стойким;
  • оптимизирована структура документа, реорганизованы внутренние ссылки.

Список изменений можно также загрузить на сайте совета.

Possibly Related Posts:


Расширение списка государств, обеспечивающих адекватную защиту прав субъектов персональных данных

Ваш отзыв

На прошедшей I Международная конференция «Защита персональных данных». Подписан Меморандум о сотрудничестве уполномоченных органов ряда стран СНГ в области защиты персональных данных.

Интерес проявили — представители уполномоченных органов по защите персональных данных из стран СНГ: Азербайджана, Армении, Беларуси, Молдовы, Кыргызстана, Украины.

Ждем адекватную защиту)

Автор: Геннадий Аносов

Possibly Related Posts:


Как проверить лицензии и аттестаты аккредитации в области ИБ

1 Отзыв

Для проверки легитимности лицензий и аттестатов в области информационной безопасности можно воспользоваться общедоступными реестрами.

Лицензиаты и аккредитованные лаборатории, центры и органы ФСТЭК России

Аккредитованные испытательные лаборатории ФСБ России

Реестр Роспотребнадзора и санитарно-эпидемиологической службы России (в области спецпроверок)

Реестр добровольной системы сертификации «Военный регистр» в области защиты информации

 

     

Possibly Related Posts:


Постановление Правительства РФ № 330

1 Отзыв
Постановление Правительства РФ от 15 мая 2010 г. № 330 утверждено «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну…»

 

Как уже многие знают, что Постановлением Правительства РФ от 15 мая 2010 г. № 330 утверждено «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие «гостайну…».

Документ интересен тем, что:

— касается защиты информации конфиденциального характера, отнесенной к государственному информационному ресурсу, а также защиты персональных данных,

— касается обязательности сертификации средств защиты указанных категорий информационных ресурсов,

— касается нового регулятора по защите персональных данных — Министерства обороны Российской Федерации.

Было много обсуждений на эту тему и домыслов по тексту документа,  т.к. не многие могли ознакомиться с данным документов в связи с установленной пометкой «Для служебного пользования» и «невозможностью рассылки всем».

На данный момент документ поступил в Управления ФСТЭК России  и его можно заказать.

Особенно данный документ касается организаций, озаботившихся вопросами защиты персональных данных (ПДн).

Автор: Геннадий Аносов

Possibly Related Posts:


Выполение лицензионных требований по «ПП № 957»

Ваш отзыв

Постановлением Правительства Российской Федерации от 29 декабря 2007 г. N 957 утверждено Положение «О лицензировании деятельности по распространению шифровальных (криптографических) средств», которое определяет порядок лицензирования отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами.
Для получения лицензии соискатель лицензии должен предоставить в Федеральную службу безопасности документы, наиболее полно раскрывающие и подтверждающие лицензионные требования.

Одним из требований является:

д) применение   лицензиатом   средств    обработки       информации, аттестованных в соответствии с требованиями по защите информации;

Это означает для лицензиата или организации проходящей перелицензирование, что в организации должна быть автоматизированная система (АС) аттестованная в системе ФСТЭК России или же в системе ФСБ России (контроль встраивания).

Для подготовки ПЭВМ к аттестации и выполнения лицензионных требований, на организацию должно быть куплено сертифицированное средство криптографической защиты информации (СКЗИ), но многие забывают, что это не только Лицензия (Право) на использование, но Дистрибутив с формуляром, который часто продаётся отдельно.  Все это подтверждает, что в организации имеется сертифицированное СКЗИ, а не скаченное с сайта программное обеспечение, которое может быть модифицировано в процессе передачи. В том числе  с дистрибутивом передается формуляр, в котором имеется руководство администратору или же другой документ регламентирующий требования к защите, которые необходимо выполнить.

Перед покупкой СКЗИ необходимо проанализировать необходимые Вам требования:

  • функционал ( в части чего может использоваться);
  • вариант поставки/ класс;
  • срок действия сертификата и будет ли производитель продлевать, если срок действия сертификата в ближайщее время истечет;

Так же перед покупкой СКЗИ необходимо внимательно изучить: какие требования накладывает на конечного  пользователя данное СКЗИ в соответствии с поставляемым Формуляром.

Автор: Геннадий Аносов

Possibly Related Posts: