Alex Babenko, profile picture
Uploaded byAlex Babenko
PDF, PPTX787 views

Безопасность и сертификация банковского ПО

Конференция «Разработка ПО 2011» обсуждает актуальные проблемы безопасности и сертификации банковского программного обеспечения, подчеркивая важность защиты персональных и платежных данных. Рассматриваются особенности банковских систем и риски, связанные с их компрометацией, а также процессы обеспечения безопасности и стандарты, такие как PA-DSS. Выступление завершается примерами успешной сертификации и выводами о необходимости повышения уровня безопасности в банковской сфере.

Embed presentation

Download as PDF, PPTX
Конференция «Разработка ПО 2011» CEE-SECR 2011. Центр Digital October, Москва, 31 октября – 3 ноября. Безопасность и сертификация банковского ПО: две стороны одной медали Алексей Бабенко старший аудитор, PA-QSA, PCI QSA
Актуальность проблемы
Актуальность проблемы: что интересует злоумышленника? 2 % 2% 3% 8% Данные платежных карт Служебная информация Коммерческая тайна Данные аутентификации 85% Персональные данные По данным Global Security Report 2011, Trustwave
Актуальность проблемы: нас это не касается? Вырезка из Global Security Report 2011, Trustwave
Актуальность проблемы: преступники 21 века
Особенности банковских систем: Особенности банковских систем
Особенности банковских систем: Неограниченный доступ к системе из сети Интернет для большинства систем
Особенности банковских систем: Работа с платежной информацией
Особенности банковских систем: Большое и динамично меняющееся количество пользователей
Особенности банковских систем: Ориентировка на любой уровень ИБ-грамотности пользователя
Особенности банковских систем: Собственные разработки без учета практик безопасного программирования
Особенности банковских систем: ТОП менеджеры, на которых не распространяются требования безопасности
Особенности банковских систем Тип ПО: Клиент. Корп. Практически неограниченный доступ к системе из сети Интернет Работа с платежной информацией Большое и динамично меняющееся количество пользователей Ориентировка на любой уровень ИБ- грамотности пользователя Собственные разработки без учета практик безопасного программирования ТОП менеджеры, на которых не распространяются политики безопасности
Риски банков при компрометации ПО • Прямые финансовые потери; • Уменьшение клиентской базы, снижение уровня доверия клиентов; • Отказ клиентов от использования сервисов; • Нарушение требований и штрафы от регуляторов; • Ухудшение имиджа банка.
Особенности банковских систем: Процесс обеспечения безопасности ПО
Основные процессы обеспечения безопасности ПО • Процесс безопасного программирования, тестирования и анализа кода; • Проверки с использованием автоматизированных средств, «ручные» проверки; • Процесс обеспечения ИБ для окружения приложений, разработка необходимых инструкций
Аудит безопасности ПО Анализ уровня Формирование Устранение Контроль безопасности плана несоответствий исправления системы найденных уязвимостей — техническая документация, схемы сети — исходные коды — конфигурации системных компонентов — тестовый доступ
Особенности банковских систем: Payment Application Data Security Standard
PA-DSS: краткая информация • Основная цель – поддержка реализации PCI DSS • Дата рождения: апрель 2008 • Разработчик – PCI Security Standards Council • Ориентирован на разработчиков платежных приложений • Форма подтверждения соответствия – сертификация • Требование к сертифицирующей компании – статус PA-QSA • Актуальная версия – 2.0
PA-DSS: что сертифицировать? • ПО подлежит сертификации, если: – Обрабатывает номера карт (PAN) в рамках авторизации/расчетов; – Разрабатывается на продажу, не является разовой заказной разработкой. • Основные виды сертифицируемого ПО: – ПО процессинга (front-office, back-office (расчеты), middleware/switching); – ПО для банкоматов; – ПО для POS-терминалов; – ПО для поддержки электронной коммерции; – ПО мобильной коммерции.
PA-DSS: требования стандарта Сертифицируемое приложение Компания-разработчик Исключение хранения Формализация процесса критичных данных карт (TRACK, разработки с учетом вопросов CVC2/CVV2, PIN/PIN-BLOCK); ИБ; Безопасное хранение и Практики безопасного передача номеров платежных программирования; карт; Тестирование приложения; Контроль доступа и Анализ кода; протоколирование событий; Мониторинг уязвимостей платформ и тестирование совместимости с патчами; Возможность встраивания в PCI Руководство по выполнению DSS Compliant инфраструктуру. требований стандарта PA-DSS.
PA-DSS: истории успеха • Три программных обеспечения, сертифицированных ЗАО НИП «Информзащита», получили статус PA-DSS • Новые сертификации уже на подходе.
Особенности банковских систем: Соответствие==без опасность?
Спасибо за внимание. Вопросы? Алексей Бабенко старший аудитор, PA-QSA, PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com

More Related Content

PPTX
Безопасная разработка приложений на практике
byPointlane
 
PPTX
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
PDF
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
byRISSPA_SPb
 
PDF
Цикл безопасной разработки
byRISClubSPb
 
PPTX
О PCI P2PE в общих чертах
byAlex Babenko
 
PPT
Цикл безопасной разработки SDL
byAlex Babenko
 
PDF
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
PPTX
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 
Безопасная разработка приложений на практике
byPointlane
 
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
byRISSPA_SPb
 
Цикл безопасной разработки
byRISClubSPb
 
О PCI P2PE в общих чертах
byAlex Babenko
 
Цикл безопасной разработки SDL
byAlex Babenko
 
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 

What's hot

PPTX
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
PDF
Мониторинг своими руками
bySergey Soldatov
 
PDF
PT Application Inspector SSDL Edition листовка
byValery Boronin
 
PPTX
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
PPTX
SOC Technologies and processes
byAlexey Kachalin
 
PDF
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
PPTX
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
byPositive Hack Days
 
PDF
Контроль уязвимостей в программных приложениях
byjet_information_security
 
PPTX
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
byMaxim Avdyunin
 
PDF
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
PPTX
2015 02 пм качалин sdl
byAlexey Kachalin
 
PPTX
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
byPositive Hack Days
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
PPTX
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
PDF
PCI DSS - основные заблуждения при проведении тестов на проникновение
byDigital Security
 
PDF
пр Разработка комплекта документов по управлению ИБ (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Построение процесса безопасной разработки
byPositive Development User Group
 
PDF
Построение процесса безопасной разработки - Стачка 2016
byValery Boronin
 
PPTX
Безопасная разработка для руководителей
byPositive Development User Group
 
PPTX
SDL/SSDL для руководителей
byValery Boronin
 
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
Мониторинг своими руками
bySergey Soldatov
 
PT Application Inspector SSDL Edition листовка
byValery Boronin
 
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
SOC Technologies and processes
byAlexey Kachalin
 
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
byPositive Hack Days
 
Контроль уязвимостей в программных приложениях
byjet_information_security
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
byMaxim Avdyunin
 
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
2015 02 пм качалин sdl
byAlexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
byPositive Hack Days
 
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
byDigital Security
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение процесса безопасной разработки
byPositive Development User Group
 
Построение процесса безопасной разработки - Стачка 2016
byValery Boronin
 
Безопасная разработка для руководителей
byPositive Development User Group
 
SDL/SSDL для руководителей
byValery Boronin
 

Similar to Безопасность и сертификация банковского ПО

PPTX
Услуги PT для банков
byDmitry Evteev
 
PPT
введение в проблематику Pa dss
byInformzaschita
 
PPTX
Softline: Информационная безопасность
bySoftline
 
PDF
защита по для банкоматов
byExpolink
 
PDF
Практические аспекты оценки защищенности систем ДБО
byDigital Security
 
PDF
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
byE-Money News
 
PPTX
PCI DSS: введение, состав и достижение
byAlex Babenko
 
PPSX
Safe tech калемберг_интернет-банкинг. как сделать работу клиента безопасной
byExpolink
 
PPSX
Safe Tech: интернет-банкинг - как сделать работу клиента безопасной
byExpolink
 
PPSX
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопа...
byExpolink
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
PPTX
дмитрий кузнецов (2)
byPositive Hack Days
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
PDF
Ключевые изменения законодательства по защите информации в НПС
byAleksey Lukatskiy
 
PDF
Основные проблемы безопасности систем ДБО
byDigital Security
 
PDF
1 vliyanie pci dss na business-processy
byInformzaschita
 
PPTX
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
byExpolink
 
PDF
Основы PA-DSS
byDigital Security
 
PDF
Весь Магнитогорск за 15 минут (2015)
byAleksey Lukatskiy
 
PDF
Уральский форум по информационной безопасности финансовых организаций за 15 м...
byAleksey Lukatskiy
 
Услуги PT для банков
byDmitry Evteev
 
введение в проблематику Pa dss
byInformzaschita
 
Softline: Информационная безопасность
bySoftline
 
защита по для банкоматов
byExpolink
 
Практические аспекты оценки защищенности систем ДБО
byDigital Security
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
byE-Money News
 
PCI DSS: введение, состав и достижение
byAlex Babenko
 
Safe tech калемберг_интернет-банкинг. как сделать работу клиента безопасной
byExpolink
 
Safe Tech: интернет-банкинг - как сделать работу клиента безопасной
byExpolink
 
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопа...
byExpolink
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
дмитрий кузнецов (2)
byPositive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
Ключевые изменения законодательства по защите информации в НПС
byAleksey Lukatskiy
 
Основные проблемы безопасности систем ДБО
byDigital Security
 
1 vliyanie pci dss na business-processy
byInformzaschita
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
byExpolink
 
Основы PA-DSS
byDigital Security
 
Весь Магнитогорск за 15 минут (2015)
byAleksey Lukatskiy
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
byAleksey Lukatskiy
 

More from Alex Babenko

PPTX
PCI DSS: поддержание соответствия
byAlex Babenko
 
PPTX
Антифрод на полную мощность
byAlex Babenko
 
PDF
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
byAlex Babenko
 
PPTX
СТО БР ИББС
byAlex Babenko
 
PPTX
Анализ защищенности систем ДБО и интернет-банкинга
byAlex Babenko
 
PDF
Антифрод в ДБО
byAlex Babenko
 
PPTX
Социальная инженерия
byAlex Babenko
 
PCI DSS: поддержание соответствия
byAlex Babenko
 
Антифрод на полную мощность
byAlex Babenko
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
byAlex Babenko
 
СТО БР ИББС
byAlex Babenko
 
Анализ защищенности систем ДБО и интернет-банкинга
byAlex Babenko
 
Антифрод в ДБО
byAlex Babenko
 
Социальная инженерия
byAlex Babenko
 

Безопасность и сертификация банковского ПО

  • 1.
    Конференция «Разработка ПО2011» CEE-SECR 2011. Центр Digital October, Москва, 31 октября – 3 ноября. Безопасность и сертификация банковского ПО: две стороны одной медали Алексей Бабенко старший аудитор, PA-QSA, PCI QSA
  • 2.
  • 3.
    Актуальность проблемы: что интересует злоумышленника? 2 % 2% 3% 8% Данные платежных карт Служебная информация Коммерческая тайна Данные аутентификации 85% Персональные данные По данным Global Security Report 2011, Trustwave
  • 4.
    Актуальность проблемы: нас это не касается? Вырезка из Global Security Report 2011, Trustwave
  • 5.
    Актуальность проблемы: преступники 21 века
  • 6.
  • 7.
    Особенности банковских систем: Неограниченныйдоступ к системе из сети Интернет для большинства систем
  • 8.
  • 9.
    Особенности банковских систем: Большоеи динамично меняющееся количество пользователей
  • 10.
    Особенности банковских систем: Ориентировкана любой уровень ИБ-грамотности пользователя
  • 11.
    Особенности банковских систем: Собственныеразработки без учета практик безопасного программирования
  • 12.
    Особенности банковских систем: ТОПменеджеры, на которых не распространяются требования безопасности
  • 13.
    Особенности банковских систем Тип ПО: Клиент. Корп. Практически неограниченный доступ к системе из сети Интернет Работа с платежной информацией Большое и динамично меняющееся количество пользователей Ориентировка на любой уровень ИБ- грамотности пользователя Собственные разработки без учета практик безопасного программирования ТОП менеджеры, на которых не распространяются политики безопасности
  • 14.
    Риски банков при компрометации ПО • Прямые финансовые потери; • Уменьшение клиентской базы, снижение уровня доверия клиентов; • Отказ клиентов от использования сервисов; • Нарушение требований и штрафы от регуляторов; • Ухудшение имиджа банка.
  • 15.
    Особенности банковских систем: Процессобеспечения безопасности ПО
  • 16.
    Основные процессы обеспечения безопасности ПО • Процесс безопасного программирования, тестирования и анализа кода; • Проверки с использованием автоматизированных средств, «ручные» проверки; • Процесс обеспечения ИБ для окружения приложений, разработка необходимых инструкций
  • 17.
    Аудит безопасности ПО Анализуровня Формирование Устранение Контроль безопасности плана несоответствий исправления системы найденных уязвимостей — техническая документация, схемы сети — исходные коды — конфигурации системных компонентов — тестовый доступ
  • 18.
  • 19.
    PA-DSS: краткая информация •Основная цель – поддержка реализации PCI DSS • Дата рождения: апрель 2008 • Разработчик – PCI Security Standards Council • Ориентирован на разработчиков платежных приложений • Форма подтверждения соответствия – сертификация • Требование к сертифицирующей компании – статус PA-QSA • Актуальная версия – 2.0
  • 20.
    PA-DSS: что сертифицировать? •ПО подлежит сертификации, если: – Обрабатывает номера карт (PAN) в рамках авторизации/расчетов; – Разрабатывается на продажу, не является разовой заказной разработкой. • Основные виды сертифицируемого ПО: – ПО процессинга (front-office, back-office (расчеты), middleware/switching); – ПО для банкоматов; – ПО для POS-терминалов; – ПО для поддержки электронной коммерции; – ПО мобильной коммерции.
  • 21.
    PA-DSS: требования стандарта Сертифицируемое приложение Компания-разработчик Исключение хранения Формализация процесса критичных данных карт (TRACK, разработки с учетом вопросов CVC2/CVV2, PIN/PIN-BLOCK); ИБ; Безопасное хранение и Практики безопасного передача номеров платежных программирования; карт; Тестирование приложения; Контроль доступа и Анализ кода; протоколирование событий; Мониторинг уязвимостей платформ и тестирование совместимости с патчами; Возможность встраивания в PCI Руководство по выполнению DSS Compliant инфраструктуру. требований стандарта PA-DSS.
  • 22.
    PA-DSS: истории успеха •Три программных обеспечения, сертифицированных ЗАО НИП «Информзащита», получили статус PA-DSS • Новые сертификации уже на подходе.
  • 23.
  • 24.
    Спасибо за внимание. Вопросы? АлексейБабенко старший аудитор, PA-QSA, PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com