Никита Шахулов - Этичный хакер

3.COBIT 5 создан, чтобы уделять больше внимания бизнесу и ИТ как интегрированной форме. Это поможет улучшить систему организации, поскольку уточнение ролей и коммуникаций и предотвращение ущерба предприятию от некоторых проблем, связанных с информацией и технологиями.

4.COBIT 5 разработан, чтобы уделять больше внимания цели процесса, добавляя больше ценности подходу, используемому здесь, по сравнению с COBIT 4.1.

Это сделало COBIT 5 совершенно новой концепцией по сравнению с предыдущей версией, хотя она по-прежнему выполняла ту же задачу.

COBIT 5 был построен на некоторых основных, но важных принципах. ISACA сама подняла эти принципы, которые:

• Удовлетворение потребностей заинтересованных сторон

• Охват предприятия от начала до конца

• Применение единой интегрированной структуры

• Обеспечение целостного подхода

• Отделение управления от управления

Подводя итог, разработка COBIT показала совершенно новый способ управления системой для руководителя бизнеса. Это, будучи основой надлежащей практики, сделало управление и управление простыми, как никогда раньше.

По мере того, как мир движется к цифровым платежным средствам и транзакциям, также возникают опасения по поводу безопасности и защиты информации о держателях карт. По данным Совета по стандартам безопасности PCI, с 2005 года было взломано более 500 миллионов записей владельцев карт с конфиденциальной информацией.

Торговцы, которые принимают цифровые формы платежей, находятся в центре цифровых платежей и могут стать жертвой финансового мошенничества в нескольких точках, включая:

• Устройство или машина для продажи

• Беспроводные точки доступа

• Подключенный компьютер или любое другое устройство

• Передача данных держателя карты поставщику услуг.

Согласно бизнес-опросу, проведенному Forrester Consulting, большинство предприятий проводят мероприятия, повышающие риск мошенничества с картами, включая хранение номера карты, срока годности, любого проверочного кода и даты клиента.

Стандарт безопасности данных индустрии платежных карт (PCI-DSS) является стандартом безопасности, обязательным для организаций, которые обрабатывают платежи с использованием карт, выпущенных основными типами карт, включая MasterCard, Visa и American Express.

Этот стандарт PCI является обязательным для всех марок карт и управляется Советом по стандартам безопасности PCI. Единственной целью стандартов PCI является защита данных держателей карт и снижение мошенничества с картами.

Целью PCI-DSS является защита данных держателей карт при хранении, обработке и передаче. Информация о владельце карты включает уникальный номер основного счета (PAN), напечатанный на лицевой стороне каждой карты.

Торговцы или любой поставщик услуг, которые обрабатывают платежи по картам, никогда не должны хранить конфиденциальную информацию о транзакции после авторизации. Это включает в себя конфиденциальные данные, которые хранятся в магнитной полосе карты, а также любую личную идентификационную информацию, введенную держателем карты.

Стандарты безопасности данных PCI определяют список из 12 обязательных требований, которые сгруппированы по 6 целям контроля, как указано ниже:

1) Построение и обслуживание сети высокого уровня безопасности, которая включает в себя:

* Установка защищенного брандмауэра для защиты данных держателей карт.

Это ограничивает (или блокирует) весь трафик из ненадежных сетей и запрещает прямой публичный доступ между Интернетом и средой данных держателя карты.

* Изменение пароля по умолчанию, предоставленного поставщиком, и других мер безопасности.

Это важно, так как большинство мошенников с картами могут проникнуть во внутреннюю сеть владельца карты, используя пароли по умолчанию.

2) Защита информации о держателях карт, которая включает в себя:

* Шифрование информации о держателях карт, которая передается по общедоступным сетям.

Технология шифрования делает передаваемые данные нечитаемыми любым посторонним лицом. Для защиты данных клиентов можно использовать криптографию и протоколы безопасности, такие как SSL/TLS или IPSec.

* Защита сохраненных данных держателей карт.

Конфиденциальные данные на магнитном чипе карты не должны храниться. В случае, если PAN необходимо сохранить, он должен храниться в нечитаемом формате. Ограничьте продолжительность хранения данных о держателях карт.

3) Сопровождение программы управления уязвимостями, которая включает в себя:

* Использование и регулярное обновление антивирусных программ на всех системах.

Вредоносные вирусы могут проникать в сеть пользователя через электронную почту и другие онлайн-действия. Антивирусное программное обеспечение является эффективным инструментом для защиты компьютерных систем от внешних атак.

* Разработка и сопровождение защищенных систем и приложений.

Уязвимости безопасности в системе и приложениях могут позволить киберпреступникам получить доступ к PAN и другим защищенным данным. Убедитесь, что все системы и приложения обновлены последним патчем безопасности от поставщика.

4) Меры безопасного контроля доступа, которые включают в себя:

* Ограничение доступа бизнеса к информации о держателях карт.

Ограничьте доступ к конфиденциальным данным держателей карт только тем пользователям, работа которых требует этой информации. Кроме того, ограничьте доступ к наименьшему количеству данных, необходимых для бизнес – целей.

* Присвоение уникального идентификатора каждому человеку с доступом к компьютеру.

Это важно, чтобы иметь возможность отслеживать, был ли доступ к критическим данным выполнен только уполномоченными лицами.

5). Ограничение физического доступа к данным держателей карт.

Физический доступ к данным держателей карт должен быть ограничен всем персоналом, посетителями и всеми бумажными и электронными носителями.

6) Регулярный мониторинг и тестирование сетей, которое включает в себя:

* Отслеживание и мониторинг всех точек доступа к сетевым ресурсам и данным держателей карт.

Использование механизмов ведения журнала и отслеживания действий пользователя включены.

* Регулярное тестирование процедур и процессов безопасности.