130

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

130 Глава 2. Международные стандарты безопасности • апгрейда оборудования на более производительное, поскольку шиф¬ рование требует больших аппаратных ресурсов; • обеспечения шифрования резервных копий баз данных; • серьезной проработки и регламентации вопросов управления ключами шифрования для каждого ПО, которое его поддерживает (включая ге¬ нерацию, распределение, обеспечение безопасности и уничтожение). Требование 4: должно быть обеспечено шифрование передачи данных держателей карт по сетям общего пользования. Данное обобщенное требование содержит 3 т р е б о в а н и я и 9 с о о т в е т ствующих им процедур оценки, регламентирующих вопросы шифрова¬ ния данных платежных карт при передаче их по открытым каналам свя¬ зи, с использованием программ мгновенного обмена сообщениями (та¬ ких как Skype, ICQ и т. п.) и через беспроводные сети. Необходимо заметить, что в рамках данного требования каналы GSM считаются публичными и требуют криптозащиты трафика. И это не¬ смотря на то, что во многих сетях мобильных операторов реализовано шифрование, а, например, каналы FrameRelay считаются достаточно защищенными и не требуют дополнительного шифрования. А с точки зрения используемых алгоритмов для ш и ф р о в а н и я м о ж н о исполь¬ зовать не только сертифицированную российскую криптографию, но также и другие алгоритмы с достаточной криптозащитой (например, AES 256). Реализация данного требования в российских банках обычно вызы¬ вает наименьшее количество проблем, поскольку исторически у нас во¬ просам криптозащиты трафика уделают большое внимание как сами банки, так и регулятор в лице ФСБ. Обычно все каналы связи с филиа¬ лами, терминальные сети банкоматов уже защищены с помощью V P N , и это вполне соответствует тому, что требует стандарт PCI DSS. Реализация программы управления уязвимостями Требование 5: должно использоваться регулярно обновляемое анти¬ вирусное программное обеспечение. Данное обобщенное требование содержит всего 3 требования и 6 со¬ ответствующих им процедур оценки, описывающих особенности приме¬ нения и управления системами антивирусной защиты.