Как сообщает ИТАР-ТАСС , на встрече Национальной ассоциации дистанционной торговли на встрече с Роскомнадзором было решено создать экспертный технический совет, которому предстоит:
·выработать и довести до участников рынка Интернет-торговли первоочередные технические меры, позволяющие не допустить утечку персональных данных;
·разработать систему добровольной сертификации безопасности Интернет-магазинов.
Собственно подобные идеи приходили мне уже давно, но останавливались в звязи со сложностью создания и регистрации в ФСТЭК системы добровольной сертификации.
Деятельность Интернет-магазинов должна соответствовать следующим требованиям в области ИБ:
·требованиям ФЗ-152 «О персональных данных» и его подзаконным актам;
·требованиям международного стандарта PCI DSS.
При необходимости определения детальных мер защиты Интернет-магазин может руководствоваться следующими методиками международных специализированных на webорганизаций:
1.Провести анализ различных вариантов реализации Интернет-магазина. При наличие принципиальных различий выделить классы (типы) Интернет-магазинов. Для каждого класса подготовить типовую информационную модель Интернет-магазина.
2.Для каждого класса разработать типовую модель угроз безопасности Интернет-магазина, в том числе требования ИБ, выполнение которых необходимо для нейтрализации угроз. При разработке моделей угроз могут учитываться как положения ФЗ-152, так и PCIDSS.
3.Разработать комплект мер по обеспечению ИБ (Стандарт обеспечения ИБ) Интернет-магазина. Данные меры логично разделить на:
a.реализуемые разработчиком webприложений;
b.реализуемые владельцем Интернет-магазина;
c.реализуемые провайдером, размещающим webприложение.
Данный комплект мер может совместить в себе меры необходимые для реализации ФЗ-152, PCI DSS, а так-же учесть методические документы международных специализированных организаций.
4.Разработать методику оценки соответствия Интернет-магазина требованиям по ИБ.
5.Подготовить комплект документов, необходимый для регистрации системы добровольной сертификации в области ИБ. В том числе необходимо будет разработать требования к организациям, которые будут проводить оценку соответствия и выдавать сертификаты.
Было бы здорово, если в планах экспертного технического совета есть что-то подобное. В результате мы можем получить что-нибудь типа СТО БР ИББС или НИР Тритон.
