131

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Стандарты международных платежных систем: PCI DSS и смежные стандарты 131 Реализация данных требований обычно не вызывает больших про¬ блем, так как в большинстве организаций уже стоит какая-либо система антивирусной защиты. Реализация требований сводится к правильной настройке системы антивирусной защиты и механизмов протоколирова¬ ния событий, а также, при необходимости, закупке дополнительных ли¬ цензий на серверы, так как в соответствии со стандартом все системные компоненты, потенциально подверженные вирусным атакам, требуют антивирусной защиты. Хотя на практике известны случаи, когда из-за падения производительности ввиду установки антивируса приходилось либо обновлять аппаратную часть серверов, либо менять антивирус на менее требовательный к ресурсам. Требование 6: должна обеспечиваться безопасность при разработке и поддержке систем и приложений. Данное обобщенное требование содержит 24 требования и 32 соот¬ ветствующие им процедуры оценки, регламентирующие вопросы под¬ держки и обновления систем и регламентирующие вопросы разработки. Реализация данных требований обычно вызывает серьезные сложно¬ сти по ряду причин: 1) в большинстве российских компаний обновления безопасности на внутренние серверы, особенно на базы данных, практически никогда не ставились, так как, по мнению администраторов, безопасность обес¬ печивают внешние межсетевые экраны, а любое обновление может на¬ рушить работоспособность системы, что чревато намного большими проблемами, чем гипотетический взлом. К сожалению, эту логику ад¬ министраторов вполне понимают и злоумышленники. И, как правило, очень успешно используют уязвимость внутренних серверов для получе¬ ния доступа к данным пластиковых карт; 2) вендоры прикладного программного обеспечения обычно тести¬ руют совместимость своих приложений с обновлениями операционных систем и баз данных с достаточно большим опозданием, и чаще всего четко прописывают в контрактах на поддержку, с какой именно версией и какими обновлениями операционной системы и базы данных они готовы поддерживать свои приложения, чем ставят своих клиентов в очень неудобное положение — или выполняются требования стандар та, или теряется поддержка вендора для прикладных систем. Впрочем,