Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
2can. ЭВОЛЮЦИЯ mPOS - СЕРВИСОВ. 2 года в РоссииGregory Baev
Презентация Николая Жмуренко на 20 заседании Клуба инженерных предпринимателей в МГТУ им. Н.Э. Баумана. 28 октября 2014
Обзор: http://clip-russia.ru/2014/11/2can-2/
Анонс: http://clip-russia.ru/2014/10/2can/
Конференция "Мобильный - интернет - эквайринг: платформы, бизнес-модели, тенденции" журнала «Банковское обозрение» http://bosfera.ru/mobil-ekvairing
Доклад Павла Глушенкова, генерального директора ЗАО «Смартфин»
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
This online Сloud Webinar: “PCI DSS Compliance: Getting Ready for the Certification”” was delivered by Volodymyr Kovrygyn (Senior Consultant, Engineering, GlobalLogic) on August 26, 2021
During the event, the speaker considered an approach to creating a solution that is compatible with PCI DSS from scratch or updating the existing one. Also, he shared his experience in the painless certification process.
More details and video: https://bit.ly/3hnSfTb
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
Unified threat management (UTM) is used to describe network firewalls that have many features in one box, including e-mail spam filtering, anti-virus capability, an intrusion detection (or prevention) system (IDS or IPS), and World Wide Web content filtering, along with the traditional activities of a firewall. Main goal of this research is to create own open-source based UTM system, that has almost all capabilities as their commercial analogs.
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUIvan Kukalo
Unified threat management (UTM) is used to describe network firewalls that have many features in one box, including e-mail spam filtering, anti-virus capability, an intrusion detection (or prevention) system (IDS or IPS), and World Wide Web content filtering, along with the traditional activities of a firewall. Main goal of this research is to create own open-source based UTM system, that has almost all capabilities as their commercial analogs.
Presentation about most popular IoT protocols.
Открытые стандарты в мире IoT.
• Обзор стеков протоколов для IoT
• (MQTT, CoAP, SNMP).
• Применение SNMP в IoT проектах.
• Описание свойств IoT-устройства на примере термостата
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
2. Решение P2PE (P2PE solution)
Решение P2PE – совокупность устройств, ПО и
процессов, обеспечивающая надежное шифрование
данных платежных карт от точки взаимодействия
(point-of-interaction (POI)) до среды расшифрования, а
именно:
• Надежное шифрование данных платежных карт в
точках взаимодействия c клиентом (POI)
• Использование P2PE сертифицированных
приложений в точках взаимодействия (в том числе
на POI)
• Безопасное управление устройствами
шифрования/расшифрования
• Обеспечение безопасности среды расшифрования
данных и самих данных в открытом виде.
• Безопасное управление криптографическими
ключами
4. Поставщик P2PE (P2PE solution provider)
Поставщик P2PE решения – организация (например,
процессинг, платежный шлюз, мерчант), которая несет
ответственность за разработку и реализацию
конкретного P2PE решения, а так же управляет P2PE
решением для своих клиентов (мерчантов).
Так же поставщик решений несет ответственность за
обеспечение выполнений всех требований
предъявляемых к P2PE, включая требования
выполняемые третьими лицами (например: центры
сертификации, инсталляция криптографических
ключей)
5. Стандарт P2PE
Стандарт PCI P2PE содержит требования и процедуры
проверки, направленные на вендоров (ПО, устройств)
и поставщиков P2PE решений, с целью подтверждения
надежности применения решений для обеспечения
безопасности данных платежных карт.
На данный момент доступна версия 1.1 направленная
аппаратные P2PE решения (Encryption, Decryption, and
Key Management within Secure Cryptographic Devices)
реализуемые третьими лицами (мерчант не имеет
доступа к открытым данным и ключам шифрования)
В дальнейшем планируется расширение требований
для учета возможности использования программных
средств шифрования/расшифрования, а так же
самостоятельного управления мерчантами своими
ключами.
6. Выгода от внедрения P2PE решений
Использование P2PE решений, позволяет мерчантам
сократить область проверки PCI DSS.
Мерчанты соответствующего уровня, использующие
для обработки данных только сертифицированные
P2PE решения, заполняют SAQ P2PE-HW v2.0,
содержащий минимальное количество требований (в
основном требования к документированным
политикам)
P2PE решения помогают обеспечивать безопасную
обработку данных платежных карт.
7. Рoint-of-interaction (POI) devices
Устройство взаимодействия с картодержателем (Рoint-
of-interaction (POI) devices) – сертифицированное по
PCI PTS with SRED (secure reading and exchange of data)
устройство, в том числе любое устройство
сертифицированное по PCI PTS v3.0 либо по PCI PTS
v2.0 с проведением дополнительных SRED проверок.
8. Содержание стандарта
Домен Описание
1. Управление устройствами Требования к использованию безопасных
шифрования устройств шифрования и надежной защиты их от
несанкционированного доступа
2. Безопасность приложений Требования к безопасности приложений в среде
P2PE
3. Среда шифрования (среда Требования к обеспечению безопасности среды
мерчанта) использования POI
4. Разделение среды Требования к разделению обязанностей и функций
шифрования и расшифрования в рамках сред шифрования и расшифрования
(не применимы для аппаратных решений)
5. Среда расшифрования и Требования к обеспечению безопасности среды и
управление устройствами устройств расшифрования данных
6. Управление Требования к использованию надежных
криптографическими ключами криптографических ключей и процедур управления
ключами.
9. Проведение проверки
Проверка P2PE решений осуществляется:
• QSA (P2PE) – для всех доменов, кроме 2-го
(например при использовании уже
сертифицированных приложений)
• PA-QSA (P2PE) – для всех доменов, в том числе 2-го
QSA (P2PE) и PA-QSA (P2PE) – это QSA и PA-QSA
прошедшие дополнительную аттестацию и
обладающими требуемыми для проверки знаниями.
Все отчеты о проверки проходят процедуру
согласования PCI SSC
10. Спасибо за внимание.
Вопросы?
Алексей Бабенко
руководитель направления, PCI&PA QSA
a.babenko@infosec.ru
+7 (495) 980-23-45 доп.458
www.infosec.ru
arekusux.blogspot.com
