SlideShare ist ein Scribd-Unternehmen logo

Безопасность и сертификация банковского ПО

Alex Babenko
Alex Babenko
Technologie
1 von 24
Downloaden Sie, um offline zu lesen
Конференция «Разработка ПО 2011» CEE-SECR 2011. Центр Digital October, Москва, 31 октября – 3 ноября. Безопасность и сертификация банковского ПО: две стороны одной медали Алексей Бабенко старший аудитор, PA-QSA, PCI QSA
Актуальность проблемы
Актуальность проблемы: что интересует злоумышленника? 2 % 2% 3% 8% Данные платежных карт Служебная информация Коммерческая тайна Данные аутентификации 85% Персональные данные По данным Global Security Report 2011, Trustwave
Актуальность проблемы: нас это не касается? Вырезка из Global Security Report 2011, Trustwave
Актуальность проблемы: преступники 21 века
Особенности банковских систем: Особенности банковских систем
Особенности банковских систем: Неограниченный доступ к системе из сети Интернет для большинства систем
Особенности банковских систем: Работа с платежной информацией
Особенности банковских систем: Большое и динамично меняющееся количество пользователей
Особенности банковских систем: Ориентировка на любой уровень ИБ-грамотности пользователя
Особенности банковских систем: Собственные разработки без учета практик безопасного программирования
Особенности банковских систем: ТОП менеджеры, на которых не распространяются требования безопасности
Особенности банковских систем Тип ПО: Клиент. Корп. Практически неограниченный доступ к системе из сети Интернет Работа с платежной информацией Большое и динамично меняющееся количество пользователей Ориентировка на любой уровень ИБ- грамотности пользователя Собственные разработки без учета практик безопасного программирования ТОП менеджеры, на которых не распространяются политики безопасности
Риски банков при компрометации ПО • Прямые финансовые потери; • Уменьшение клиентской базы, снижение уровня доверия клиентов; • Отказ клиентов от использования сервисов; • Нарушение требований и штрафы от регуляторов; • Ухудшение имиджа банка.
Особенности банковских систем: Процесс обеспечения безопасности ПО
Основные процессы обеспечения безопасности ПО • Процесс безопасного программирования, тестирования и анализа кода; • Проверки с использованием автоматизированных средств, «ручные» проверки; • Процесс обеспечения ИБ для окружения приложений, разработка необходимых инструкций
Аудит безопасности ПО Анализ уровня Формирование Устранение Контроль безопасности плана несоответствий исправления системы найденных уязвимостей — техническая документация, схемы сети — исходные коды — конфигурации системных компонентов — тестовый доступ
Особенности банковских систем: Payment Application Data Security Standard
PA-DSS: краткая информация • Основная цель – поддержка реализации PCI DSS • Дата рождения: апрель 2008 • Разработчик – PCI Security Standards Council • Ориентирован на разработчиков платежных приложений • Форма подтверждения соответствия – сертификация • Требование к сертифицирующей компании – статус PA-QSA • Актуальная версия – 2.0
PA-DSS: что сертифицировать? • ПО подлежит сертификации, если: – Обрабатывает номера карт (PAN) в рамках авторизации/расчетов; – Разрабатывается на продажу, не является разовой заказной разработкой. • Основные виды сертифицируемого ПО: – ПО процессинга (front-office, back-office (расчеты), middleware/switching); – ПО для банкоматов; – ПО для POS-терминалов; – ПО для поддержки электронной коммерции; – ПО мобильной коммерции.
PA-DSS: требования стандарта Сертифицируемое приложение Компания-разработчик Исключение хранения Формализация процесса критичных данных карт (TRACK, разработки с учетом вопросов CVC2/CVV2, PIN/PIN-BLOCK); ИБ; Безопасное хранение и Практики безопасного передача номеров платежных программирования; карт; Тестирование приложения; Контроль доступа и Анализ кода; протоколирование событий; Мониторинг уязвимостей платформ и тестирование совместимости с патчами; Возможность встраивания в PCI Руководство по выполнению DSS Compliant инфраструктуру. требований стандарта PA-DSS.
PA-DSS: истории успеха • Три программных обеспечения, сертифицированных ЗАО НИП «Информзащита», получили статус PA-DSS • Новые сертификации уже на подходе.
Особенности банковских систем: Соответствие==без опасность?
Спасибо за внимание. Вопросы? Алексей Бабенко старший аудитор, PA-QSA, PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com

Empfohlen

Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 

Empfohlen

Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bssТехнологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bssKusherman
 

Weitere ähnliche Inhalte

Was ist angesagt?

Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 

Was ist angesagt? (20)

Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 

Ähnlich wie Безопасность и сертификация банковского ПО

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bssТехнологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bssKusherman
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматовExpolink
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...ArtemAgeev
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Аутентификационный центр
Аутентификационный центрАутентификационный центр
Аутентификационный центрКРОК
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Илья Никушин (BSS) - Технологии #DigitalBanking
Илья Никушин (BSS) - Технологии #DigitalBankingИлья Никушин (BSS) - Технологии #DigitalBanking
Илья Никушин (BSS) - Технологии #DigitalBankingExpolink
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 

Ähnlich wie Безопасность и сертификация банковского ПО (20)

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bssТехнологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
Технологии #Digital bank. Сorreqts - платформа нового поколения от компании bss
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматов
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Аутентификационный центр
Аутентификационный центрАутентификационный центр
Аутентификационный центр
 
Lic.i banking
Lic.i bankingLic.i banking
Lic.i banking
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Илья Никушин (BSS) - Технологии #DigitalBanking
Илья Никушин (BSS) - Технологии #DigitalBankingИлья Никушин (BSS) - Технологии #DigitalBanking
Илья Никушин (BSS) - Технологии #DigitalBanking
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
 
Цапко Денис
Цапко ДенисЦапко Денис
Цапко Денис
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 

Mehr von Alex Babenko

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощностьAlex Babenko
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБОAlex Babenko
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаAlex Babenko
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияAlex Babenko
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББСAlex Babenko
 

Mehr von Alex Babenko (8)

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкинга
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 

Kürzlich hochgeladen

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 

Kürzlich hochgeladen (9)

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 

Безопасность и сертификация банковского ПО

  • 1. Конференция «Разработка ПО 2011» CEE-SECR 2011. Центр Digital October, Москва, 31 октября – 3 ноября. Безопасность и сертификация банковского ПО: две стороны одной медали Алексей Бабенко старший аудитор, PA-QSA, PCI QSA
  • 3. Актуальность проблемы: что интересует злоумышленника? 2 % 2% 3% 8% Данные платежных карт Служебная информация Коммерческая тайна Данные аутентификации 85% Персональные данные По данным Global Security Report 2011, Trustwave
  • 4. Актуальность проблемы: нас это не касается? Вырезка из Global Security Report 2011, Trustwave
  • 5. Актуальность проблемы: преступники 21 века
  • 7. Особенности банковских систем: Неограниченный доступ к системе из сети Интернет для большинства систем
  • 8. Особенности банковских систем: Работа с платежной информацией
  • 9. Особенности банковских систем: Большое и динамично меняющееся количество пользователей
  • 10. Особенности банковских систем: Ориентировка на любой уровень ИБ-грамотности пользователя
  • 11. Особенности банковских систем: Собственные разработки без учета практик безопасного программирования
  • 12. Особенности банковских систем: ТОП менеджеры, на которых не распространяются требования безопасности
  • 13. Особенности банковских систем Тип ПО: Клиент. Корп. Практически неограниченный доступ к системе из сети Интернет Работа с платежной информацией Большое и динамично меняющееся количество пользователей Ориентировка на любой уровень ИБ- грамотности пользователя Собственные разработки без учета практик безопасного программирования ТОП менеджеры, на которых не распространяются политики безопасности
  • 14. Риски банков при компрометации ПО • Прямые финансовые потери; • Уменьшение клиентской базы, снижение уровня доверия клиентов; • Отказ клиентов от использования сервисов; • Нарушение требований и штрафы от регуляторов; • Ухудшение имиджа банка.
  • 15. Особенности банковских систем: Процесс обеспечения безопасности ПО
  • 16. Основные процессы обеспечения безопасности ПО • Процесс безопасного программирования, тестирования и анализа кода; • Проверки с использованием автоматизированных средств, «ручные» проверки; • Процесс обеспечения ИБ для окружения приложений, разработка необходимых инструкций
  • 17. Аудит безопасности ПО Анализ уровня Формирование Устранение Контроль безопасности плана несоответствий исправления системы найденных уязвимостей — техническая документация, схемы сети — исходные коды — конфигурации системных компонентов — тестовый доступ
  • 19. PA-DSS: краткая информация • Основная цель – поддержка реализации PCI DSS • Дата рождения: апрель 2008 • Разработчик – PCI Security Standards Council • Ориентирован на разработчиков платежных приложений • Форма подтверждения соответствия – сертификация • Требование к сертифицирующей компании – статус PA-QSA • Актуальная версия – 2.0
  • 20. PA-DSS: что сертифицировать? • ПО подлежит сертификации, если: – Обрабатывает номера карт (PAN) в рамках авторизации/расчетов; – Разрабатывается на продажу, не является разовой заказной разработкой. • Основные виды сертифицируемого ПО: – ПО процессинга (front-office, back-office (расчеты), middleware/switching); – ПО для банкоматов; – ПО для POS-терминалов; – ПО для поддержки электронной коммерции; – ПО мобильной коммерции.
  • 21. PA-DSS: требования стандарта Сертифицируемое приложение Компания-разработчик Исключение хранения Формализация процесса критичных данных карт (TRACK, разработки с учетом вопросов CVC2/CVV2, PIN/PIN-BLOCK); ИБ; Безопасное хранение и Практики безопасного передача номеров платежных программирования; карт; Тестирование приложения; Контроль доступа и Анализ кода; протоколирование событий; Мониторинг уязвимостей платформ и тестирование совместимости с патчами; Возможность встраивания в PCI Руководство по выполнению DSS Compliant инфраструктуру. требований стандарта PA-DSS.
  • 22. PA-DSS: истории успеха • Три программных обеспечения, сертифицированных ЗАО НИП «Информзащита», получили статус PA-DSS • Новые сертификации уже на подходе.
  • 24. Спасибо за внимание. Вопросы? Алексей Бабенко старший аудитор, PA-QSA, PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com