‘инансовые организации всерьез задумались о стандартизации »“-безопасности

image

“еги: банк, безопасность

 омпани€ InsightExpress опросила 500 американских руководителей, принимающих решени€ в области информационных технологий, чтобы вы€снить их отношение к стандарту PCI DSS (Data Security Standard - стандарт безопасности данных) через п€ть лет после его разработки и в момент выхода его новой, второй версии.

ѕосле крупных взломов карточных платежных систем, произошедших в последние годы, организации, не желающие разделить печальную участь пострадавших, стали активно обсуждать вопросы внедрени€ и соблюдени€ стандартов информационной безопасности PCI DSS, PA DSS, PTS и т.п.  омпани€ InsightExpress опросила 500 американских руководителей, принимающих решени€ в области информационных технологий, чтобы вы€снить их отношение к стандарту PCI DSS (Data Security Standard - стандарт безопасности данных) через п€ть лет после его разработки и в момент выхода его новой, второй версии.

¬ опросе прин€ли участие »“-руководители, отвечающие за соблюдение спецификаций PCI в организаци€х из сферы образовани€, финансовых услуг, государственного управлени€, здравоохранени€ и розничной торговли. »сследователи хотели точно оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и вы€вить проблемы, св€занные с соблюдением этих††нормативных требований, а также оценить распространение определенных технологий, чтобы лучше пон€ть, чем организации руководствуютс€ при выполнении спецификации PCI DSS. ¬ы€снилось следующее:

70 процентов опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;
87 процентов опрошенных полагают, что требовани€ стандарта PCI DSS необходимы дл€ защиты данных держателей платежных карт;
из всех отраслей лучше всех выполн€ют требовани€ PCI DSS предпри€ти€ розничной торговли и финансовые организации; рознична€ торговл€ самым серьезным образом отнеслась ꆆвнедрению и реализации этого стандарта;
67 процентов опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;
кроме того, 60 процентов опрошенных предположили, что усили€ по соблюдению стандарта PCI DSS могут стимулировать другие проекты, св€занные с сет€ми и сетевой безопасностью.

ќтвеча€ на вопрос о проблемах соблюдени€ спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучени€ сотрудников правильному обращению с данными держателей платежных карт. ѕо мнению 43 процентов опрошенных, в этой области существуют проблемы.  роме того, 32 процента упом€нули необходимость обновлени€ устаревших систем.

ѕо мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требовани€ к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37 процентов), разработке и поддержке безопасных систем и приложений (32 процента) и защите хранимых данных держателей карт (30 процентов).

— аудитом требований PCI DSS лучше всех справл€ютс€ государственные организации. ¬прочем, подавл€ющее большинство других организаций тоже стараютс€ защитить конфиденциальные данные держателей карт.

85 процентов опрошенных считают, что в насто€щий момент их организации способны успешно пройти аудит PCI DSS, а 78 процентов успешно прошли такой аудит с первого раза;
как ни удивительно, наиболее высокие результаты в данной области показали государственные организации: 85 процентов госучреждений прошли аудит PCI DSS с первого раза успешно. ’уже всего проходили такой аудит медицинские организации (72 процента); свыше 85 процентов опрошенных знакомы с разъ€снени€ми и рекомендаци€ми по недавно объ€вленной новой версии стандарта PCI DSS 2.0.

—амыми примечательными оказались ответы на вопросы о роли технологии в платежной среде. ќткрылс€ удивительный факт: организации внедр€ют новые технологии заранее, еще до выхода соответствующих директив —овета —Ўј по внедрению стандартов безопасности в платежной индустрии (PCI Security Standard Council).

’от€ совет дал рекомендации по технологи€м, не включенным открыто в спецификации DSS, таким как шифрование каналов "точка-точка" и EMV (карточные системы Europay, MasterCard и Visa с микропроцессорами и PIN-кодами), точных стандартов дл€ шифровани€ "точка-точка" до сих пор не существует. “ем не менее организации принимают эту технологию в надежде на "сжатие среды пользовательских данных", то есть уменьшение требований к компьютерным системам, обрабатывающим данные держателей платежных карт.  роме того, хот€ совет дал некоторые разъ€снени€ по поводу виртуализации, мир ждет дополнительную информацию по этому вопросу. ѕри этом многие организации не ждут разъ€снений совета и внедр€ют передовой опыт в нужных област€х самосто€тельно.

57 процентов опрошенных удовлетворены текущим состо€нием дел в области безопасности виртуальной среды в своих организаци€х;
36 процентов хот€т увеличить число виртуальных устройств безопасности (межсетевых экранов и систем предотвращени€ вторжений), чтобы удовлетворить требовани€ PCI 2.0;
30 процентов стрем€тс€ увеличить защищенность виртуализационного программного обеспечени€ с помощью методов, рекомендуемых производител€ми и стандартом PCI DSS;
60 процентов организаций используют шифрование "точка-точка", чтобы упростить соблюдение требований безопасности и по возможности уменьшить объем следующей аудиторской проверки PCI DSS;
шифрованием "точка-точка" пользуетс€ почти 70 процентов финансовых организаций;
45 процентов опрошенных за€вили, что используют спецификации EMV, чтобы уменьшить веро€тность мошенничества;
еще 23 процента не используют EMV, но думают о внедрении этой технологии.

или введите им€

CAPTCHA