Архив рубрики 'Заметки'

Выступление на форуме Positive Hack Days

Автор: Сергей Шустиков

Пока Евгений Безгодов будет на центральном мероприятии форума Positive Hack Days в Москве, я 30 мая выступлю на петербургской площадке Positive Hack Days St.-Petersburg. Расскажу что-нибудь про безопасность индустрии платежных карт и сертификацию по стандартам безопасности данных PCI DSS и PA-DSS. Спасибо Сергею Гордейчику за приглашение!

Далее →
0

Подлежит ли приложение сертификации по PA-DSS?

Автор: Сергей Шустиков

Производители платежных приложений обращаются с вопросами, посвященными процессу сертификации приложений по стандарту PA-DSS. Значительная часть вопросов посвящена тому, подлежит или нет приложение сертификации по этому стандарту.

В общем случае правила Совета PCI SSC говорят о том, что сертификации по PA-DSS подлежит приложение, которое обрабатывает, передает или хранит карточные данные в процессе авторизации транзакции или выполнения взаиморасчетов (authorization or settlement). Кроме того, рассматриваются только те приложения, которые продаются производителем неограниченному кругу конечных пользователей. Это означает, что разработка программного обеспечения на заказ для одного клиента не попадает под программу сертификации по PA-DSS, ...

Далее →
0

Подготовительный курс по CISA

Автор: Евгений Безгодов

В воскресенье преподавал пятый раздел подготовительного курса по CISA в московской Академии информационных систем (АИС). Курс организован при поддержке Российского отделения ISACA.

Основные выводы по результатам мероприятия:

  • Не смотря на то, что 70% тематики CISA относится к области управления информационными технологиями и только 30% — к информационной безопасности, эта сертификация остаётся наиболее популярной именно среди профессионалов защиты информации.

    Такая статистика ещё раз подтверждает, что сегодня подразделения информационной безопасности способны выполнять не только функции защиты информации, но и функции контроля качества ИТ-сервисов, предоставляемых компании.

  • Для успешной сдачи экзамена CISA необходимы три составляющие:

    • Знание предметной области;

    • Знание некоторых отличий ...

      Далее →
      0

Итоги участия в конференции Internet Life 2011

Автор: Евгений Безгодов

15 ноября в Москве состоялась конференция Internet Life 2011. Общение проходило одновременно в семи залах под характерным девизом «Встретились в офлайне, обсуждаем онлайн».

Основные итоги конференции, которые я хочу отметить:

  • Значительное количество профессионалов в нашей стране, способных и в настоящее время развивающих отрасль e-commerce;

  • В этой связи актуальна обсуждавшаяся на конференции новость о том, что Рунет в этом году занял первое место по количеству аудитории, опередив лидировавшую ранее Германию;

  • В Интернете в целом, в социальных сетях и в области электронной коммерции в частности имеет место тренд на усиление информационной безопасности (privacy), а также безопасности электронных платежей. Порадовало, что интерес к этим темам был озвучен ...

    Далее →
    0

Об изменениях в программе VISA по подтверждению соответствия PCI DSS

Автор: Евгений Безгодов

На этой неделе по русскоязычным сайтам ИТ-тематики разлетелась новость о том, что компания VISA якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности данных PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS, и что же на самом деле изменилось. Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт VISA в регионе CEMEA, к которому относится и Россия, — http://visacemea.com/.

Для начала напомню, что все компании — участники платёжного процесса делятся, согласно правилам VISA на три группы:

  • Торгово-сервисные предприятия (ТСП или мерчанты, от слова merchant) — организации, продающие товары и услуги и принимающих карты ...

    Далее →
    0

Концепция GRC

Автор: Евгений Безгодов

Аббревиатура GRC сложена из первых букв английских слов Governance, Risc, Compliance, перевод которых на русский язык в рамках описываемой предметной области не настолько прост, насколько это может показаться с первого взгляда. Этим термином западные эксперты обозначают новую парадигму обеспечения информационной безопасности, состоящую из трех основных направлений деятельности, цель которых — решение трех вышеописанных задач, стоящих перед современным руководителем службы информационной безопасности (CISO).

Governance — стратегическое управление информационной безопасностью на высшем уровне. Это понятие несет в себе вполне определенный практический смысл, а именно — вывод вопросов, касающихся защиты информационных активов на высший уровень управления компанией. ...

Далее →
0
Page 2 of 2 12