вторник, 2 августа 2011 г.

СОИБ. Анализ. Сертификация Интернет-магазинов

Как сообщает ИТАР-ТАСС, на встрече Национальной ассоциации дистанционной торговли на встрече с Роскомнадзором было решено создать экспертный технический совет, которому предстоит:
· выработать и довести до участников рынка Интернет-торговли первоочередные технические меры, позволяющие не допустить утечку персональных данных;
· разработать систему добровольной сертификации безопасности Интернет-магазинов.
Собственно подобные идеи приходили мне уже давно, но останавливались в звязи со сложностью создания и регистрации в ФСТЭК системы добровольной сертификации.
Деятельность Интернет-магазинов должна соответствовать следующим требованиям в области ИБ:
· требованиям ФЗ-152 «О персональных данных» и его подзаконным актам;
· требованиям международного стандарта PCI DSS.
При необходимости определения детальных мер защиты Интернет-магазин может руководствоваться следующими методиками международных специализированных на web организаций:
Попробуем предположить, какие задачи может решить экспертный технический совет?
1. Провести анализ различных вариантов реализации Интернет-магазина. При наличие принципиальных различий выделить классы (типы) Интернет-магазинов. Для каждого класса подготовить типовую информационную модель Интернет-магазина.
2. Для каждого класса разработать типовую модель угроз безопасности Интернет-магазина, в том числе требования ИБ, выполнение которых необходимо для нейтрализации угроз. При разработке моделей угроз могут учитываться как положения ФЗ-152, так и PCI DSS.
3. Разработать комплект мер по обеспечению ИБ (Стандарт обеспечения ИБ) Интернет-магазина. Данные меры логично разделить на:
a. реализуемые разработчиком web приложений;
b. реализуемые владельцем Интернет-магазина;
c. реализуемые провайдером, размещающим web приложение.
Данный комплект мер может совместить в себе меры необходимые для реализации ФЗ-152, PCI DSS, а так-же учесть методические документы международных специализированных организаций.
4. Разработать методику оценки соответствия Интернет-магазина требованиям по ИБ.
5. Подготовить комплект документов, необходимый для регистрации системы добровольной сертификации в области ИБ. В том числе необходимо будет разработать требования к организациям, которые будут проводить оценку соответствия и выдавать сертификаты.

Было бы здорово, если в планах экспертного технического совета есть что-то подобное. В результате мы можем получить что-нибудь типа СТО БР ИББС или НИР Тритон.

2 комментария:

Алексей комментирует...

А вы знаете, что в нашей стране есть сервис, позволяющий получить сертификат для интернет магазина? Причем сертификация проходит на бесплатной основе.

Мне кажется то, что создадут осенью не будет иметь практической пользы, больше похоже на бизнес. :)

Сергей Борисов комментирует...

За ссылку спасибо.

Правда сервис не совсем тот.
На безопасность не проверяют.

Сертификация так-же липовая.
Даже добровольную систему сертификации по ИБ необходимо создавать, регистрироваться в ФСТЭК.

У них даже вместо сертификата - баннер. Который каждый может себе повесить и без проверки.