PCI DSS

Технические меры защиты для финансовых организаций в свете конфликта PCI DSS и ГОСТ Р 57580.1-2017

admin — Mon, 27 May 2024 09:21:50 +0000

Технические меры защиты для финансовых организаций в свете конфликта PCI DSS и ГОСТ Р 57580.1-2017 admin пн, 05/27/2024 - 12:21

В контексте современных стандартов по информационной безопасности финансовых организаций, в частности PCI DSS и ГОСТ Р 57580.1-2017, наблюдается определенное напряжение, вызванное санкциями в отношении Национальной Системы Платежных Карт (НСПК). Ранее НСПК активно участвовала в деятельности Совета PCI DSS, что символизировало глобальную интеграцию и сотрудничество в области платежных систем. Однако на фоне санкций и изменений на мировом финансовом рынке отраслевой фокус и предпочтения в сфере стандартов безопасности видоизменяются.

Теоретические аспекты и области применения ГОСТ Р 57580.1-2017 и PCI DSS демонстрируют различия в подходах и целях. PCI DSS был разработан ведущими Международными платежными системами (МПС) с целью гармонизации требований к безопасности платежных карт, исходя из наблюдений и анализа реальных инцидентов. Уникальность PCI DSS заключается в его практической ориентированности с учетом международного опыта, учитывающего интересы различных сторон, что напрямую отразилось на формировании стандарта.

В то же время, ГОСТ Р 57580.1-2017 сконцентрирован на риск-ориентированной защите информационных систем в широком спектре атак и выстраивает общие положения безопасности информационных систем конкретно на территории России. Его требования структурированы таким образом, чтобы обеспечить стабильное функционирование информационных систем в различных сферах.

В свете наложенных санкций на НСПК и растущего давления международного сообщества требования стандарта PCI DSS могут стать объектом пересмотра для многих российских организаций, снижая интерес и доверие к международной стандартизации в сфере безопасности платежных систем. Это, в свою очередь, может привести к повышенному вниманию и популярности стандартов, разработанных на национальном уровне, в т.ч. ГОСТ Р 57580.1-2017, с уклоном на организационные и технические меры по противодействию угрозам безопасности, адаптированным под особенности российской информационной среды.

В условиях санкций и меняющегося мирового порядка ГОСТ Р 57580.1-2017 может обрести дополнительное значение для российских организаций как основополагающий стандарт информационной безопасности, описывающий технические меры защиты информации в качестве важного и эффективного инструмента обеспечения безопасности данных в дополнение к организационным мерам.

Этот ГОСТ, как и многие другие стандарты, классифицирует уровни защиты информации в зависимости от степени угроз и важности самих данных, подлежащих охране. Так, в пункте «Базовый состав мер по организации и контролю физического доступа в помещения» обозначена мера ФД.13, подчеркивающая важность контроля доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах. И хотя для обеспечения безопасности шкафов стандарт предписывает принятие, в основном, организационных мер, в главе 7.1.6 отмечено, что по решению финансовой организации такая защита может быть реализована путем применения технических мер защиты информации.

Неслучайно в последнее время многие эксперты, рассуждая о сравнении организационных и технических мер, все чаще отдают явный приоритет последним. В частности, на недавней конференции, прошедшей в начале марта 2024 года в Кибердоме, специалисты КРОК «Облачные сервисы» обсуждали вопросы госрегулирования облачной защиты и отдельно отметили преимущество технических мер перед организационными в контексте обеспечения безопасности информации в современных информационных системах. Среди ключевых аспектов были упомянуты:

Превосходство технических решений за счет обеспечения автоматизированного и надежного контроля доступа к ресурсам в противовес организационным мерам, которые зачастую зависят от человеческого фактора и могут быть нестабильны или не в полной мере эффективны.
Гораздо более высокая адаптируемость и гибкость технических мер в отношении трансформирующихся угроз и требований безопасности, в то время как изменение организационных мер требует много времени на пересмотр процессов, обучение персонала и иногда даже внедрение новой корпоративной культуры.
Точность и конкретика в реализации технических решений позволяют детально настраивать уровни доступа и правила безопасности, в отличие от организационных мер, которые могут по-разному трактоваться различными исполнителями.
Технологии позволяют масштабировать системы безопасности по мере роста инфраструктуры, тогда как организационные меры требуют увеличения административных ресурсов.

В свете возникающих нюансов в регулировании финансовых (банковских) операций решение AGRG ЦОД становится одним из наиболее востребованных инструментов для обеспечения безопасности в данной сфере. Оно представляет собой высокотехнологичную интегрированную систему, основанную на использовании современных технических мер для защиты серверного и сетевого оборудования, размещенного в дата-центрах и коммуникационных шкафах.

Комплекс AGRG ЦОД отличает универсальность внедрения в существующие системы безопасности дата-центров с учетом всех необходимых аспектов контроля и управления доступом к серверным шкафам. Подход сочетает в себе как контроль доступа, так и мониторинг состояний систем, обеспечивая выполнение требования ГОСТ о контроле физического доступа и регистрации событий доступа.

AGRG ЦОД, вместо или в дополнение к организационным мерам, поднимает уровень безопасности на качественно новый уровень, минимизируя человеческий фактор и потенциальные ошибки, связанные с ним. В отличие от стандартных организационных мер решение позволяет гибко настраивать параметры безопасности в зависимости от текущих условий и требований, поддерживая масштабируемость по мере расширения дата-центра или изменения его структуры.

Помимо непосредственной защиты от физического доступа AGRG ЦОД способствует реализации комплексного подхода к безопасности путем интеграции с другими системами безопасности, такими как системы видеонаблюдения, средства регистрации и аудита событий, обеспечивая тем самым выполнение целого ряда требований ГОСТа к информационной безопасности.

В условиях постоянно растущего числа угроз и высоких требований к безопасности информации применение решения такого типа, как AGRG ЦОД, представляется не только целесообразным, но и необходимым шагом для защиты критически важной инфраструктуры дата-центров. Это особенно актуально на фоне стремления организаций соответствовать как международным стандартам, так и национальным требованиям в области информационной безопасности.

PCI DSS ГОСТ Р 57580.1-2017 КИИ Критическая информационная инфраструктура Защита объектов критической информационной инфраструктуры

Оставьте комментарий.

AGRG ЦОД — СКУД уровня 4 для дата-центра

admin — Sat, 05 Aug 2023 11:02:58 +0000

AGRG ЦОД — СКУД уровня 4 для дата-центра admin сб, 08/05/2023 - 14:02

В российской стандартизации на текущий момент еще не разработаны регламенты, досконально описывающие и классифицирующие защиту дата-центров и ЦОДов, в которых фокусируется множество коммерческих, государственных и социальных информационных процессов современной действительности. Частные и государственные учреждения в большинстве случаев руководствуются зарубежными практиками при проектировании, строительстве и оснащении этих сложнейших по сути точек обработки и обмена цифровой информации.

Так, наряду с иными стандартами российскими специалистами, занимающимися проектированием, строительством и вводом в эксплуатацию дата-центров, особо пристальное внимание уделяется европейскому стандарту EN-50600 и американскому TIA-942, которые постоянно обновляются и совершенствуются. В этих стандартах наиболее полно регламентируются все нормы и особенности оснащения современных ЦОД, начиная с месторасположения, энергообеспечения, мониторинга, безопасности и заканчивая описанием вплоть до видов материалов, используемых в строительстве стен здания. При этом, как принято у зарубежных специалистов, результаты обустройства ЦОД в данных стандартах классифицируются, причем от первого до четвертого уровня.

Классификация и в EN-50600, и в TIA-942 четырехуровневая, с некоторыми особенностями и отличиями, однако в сфере физической безопасности и, в частности, развертывания СКУД ЦОДа положения стандартов во многом схожи. В обоих стандартах четвертый уровень СКУД ЦОДа подразумевает контроль физический доступа непосредственно к серверу, а точнее к телекоммуникационным шкафам машинных залов. Более подробно стандартизирует как фактический контроль доступа к серверным шкафам, так и политики безопасности физического доступа к оборудованию еще один известный американский стандарта PCI DSS. В стандарте безопасности данных индустрии платежных карт PCI DSS подробно определяется порядок работы с ДДК- и КАД-средой как сотрудников, так и посетителей дата-центра.

Соответствовать всем требованиям как EN-50600/TIA-942, так и PCI DSS поможет внедрение AGRG ЦОД. Решение AGRG ЦОД позволяет контролировать доступ к шкафам, гибко настраивать политики доступа для сотрудников и посетителей дата-центра, а также органично работать в составе единого комплекса СКУД, относящегося к охране периметра, видеонаблюдению, доступу в помещения и комнаты.

Оставляйте свои комментарии и читайте подробнее о данных стандартах и AGRG ЦОД:

Стандарты EN-50600 TIA-942 СКУД PCI DSS

Оставьте комментарий.