СОИБ. Анализ. Сертификация Интернет-магазинов

Как сообщает ИТАР-ТАСС, на встрече Национальной ассоциации дистанционной торговли на встрече с Роскомнадзором было решено создать экспертный технический совет, которому предстоит:
· выработать и довести до участников рынка Интернет-торговли первоочередные технические меры, позволяющие не допустить утечку персональных данных;
· разработать систему добровольной сертификации безопасности Интернет-магазинов.
Собственно подобные идеи приходили мне уже давно, но останавливались в звязи со сложностью создания и регистрации в ФСТЭК системы добровольной сертификации.
Деятельность Интернет-магазинов должна соответствовать следующим требованиям в области ИБ:
· требованиям ФЗ-152 «О персональных данных» и его подзаконным актам;
· требованиям международного стандарта PCI DSS.
При необходимости определения детальных мер защиты Интернет-магазин может руководствоваться следующими методиками международных специализированных на web организаций:
· OWASP Development Guide;
· OWASP Secure Coding Practices;
· OWASP AppSec FAQ;
· WEBAPPSEC Web Application Firewall Evaluation Criteria.
Попробуем предположить, какие задачи может решить экспертный технический совет?
1. Провести анализ различных вариантов реализации Интернет-магазина. При наличие принципиальных различий выделить классы (типы) Интернет-магазинов. Для каждого класса подготовить типовую информационную модель Интернет-магазина.
2. Для каждого класса разработать типовую модель угроз безопасности Интернет-магазина, в том числе требования ИБ, выполнение которых необходимо для нейтрализации угроз. При разработке моделей угроз могут учитываться как положения ФЗ-152, так и PCI DSS.
3. Разработать комплект мер по обеспечению ИБ (Стандарт обеспечения ИБ) Интернет-магазина. Данные меры логично разделить на:
a. реализуемые разработчиком web приложений;
b. реализуемые владельцем Интернет-магазина;
c. реализуемые провайдером, размещающим web приложение.
Данный комплект мер может совместить в себе меры необходимые для реализации ФЗ-152, PCI DSS, а так-же учесть методические документы международных специализированных организаций.
4. Разработать методику оценки соответствия Интернет-магазина требованиям по ИБ.
5. Подготовить комплект документов, необходимый для регистрации системы добровольной сертификации в области ИБ. В том числе необходимо будет разработать требования к организациям, которые будут проводить оценку соответствия и выдавать сертификаты.

Было бы здорово, если в планах экспертного технического совета есть что-то подобное. В результате мы можем получить что-нибудь типа СТО БР ИББС или НИР Тритон.

Комментарии

Алексей написал(а)…
А вы знаете, что в нашей стране есть сервис, позволяющий получить сертификат для интернет магазина? Причем сертификация проходит на бесплатной основе.

Мне кажется то, что создадут осенью не будет иметь практической пользы, больше похоже на бизнес. :)
5 сентября 2011 г. в 18:36
Сергей Борисов написал(а)…
За ссылку спасибо.

Правда сервис не совсем тот.
На безопасность не проверяют.

Сертификация так-же липовая.
Даже добровольную систему сертификации по ИБ необходимо создавать, регистрироваться в ФСТЭК.

У них даже вместо сертификата - баннер. Который каждый может себе повесить и без проверки.
6 сентября 2011 г. в 02:28
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...