132

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

132 Глава 2. Международные стандарты безопасности стандарт безопасности для вендоров PA DSS частично позволяет решить эту проблему, обязывая вендора своевременно тестировать совмести¬ мость своих приложений с выходящими обновлениями безопасности. Еще хуже ситуация обстоит с вопросами разработки программного обеспечения. Как правило, если мы говорим о банковской организации, разработка программного обеспечения для него носит характер побоч¬ ной деятельности. Количество разработчиков обычно небольшое даже по сравнению с количеством ИТ персонала, поддерживающего системы. Когда ПО разрабатывается своими силами, как правило, процессы разра¬ ботки не документируются, тестовые системы не выделяются в отдель¬ ный сегмент сети, сами разработчики принимают участие и в тестирова¬ нии, и в поддержке систем, уже находящихся в эксплуатации. Все это яв¬ ляется нарушением стандарта, требования которого предполагают наличие задокументированных процессов разработки, четко разделен¬ ных на стадии, в рамках каждой их которых учитываются вопросы обеспечения ИБ. Разработка и тестирование должны быть явно разде¬ лены, тестирование не должно проводиться на реальных номерах карт, изменения в программном обеспечении должны быть утверждены ру¬ ководством — это лишь небольшая часть требований, которые не все¬ гда выполняются даже в компаниях, профессионально разрабатываю¬ щих программное обеспечение, что уж тут говорить о банке с совершен¬ но другой специализацией. Также в ходе разработки необходимо учитывать специальную техни¬ ку и методы программирования, позволяющие избежать типовых уязвимостей, которые потом могут быть использованы злоумышленниками. Для веб-приложений и этого недостаточно — для дополнительной за¬ щиты необходимо устанавливать специальные межсетевые экраны перед веб-серверами или проводить специализированные проверки кода еже¬ годно. Реализация мер по строгому контролю доступа Требование 7: доступ к данным держателей карт должен быть ограни¬ чен в соответствии со служебной необходимостью. Данное обобщенное требование содержит 7 т р е б о в а н и й и 7 с о о т в е т ствующих им процедур оценки, описывающих необходимость продумы-