В четверг, 27 февраля, я посетил семинар санкт-петербургского отделения RISSPA, посвященный обеспечению безопасности данных индустрии платежных карт. И, несомненно, приятно, что второй семинар петербургского отделения прошел в такой же приятной и душевной обстановке, как и первый. Если первые доклады начинались со слов "Доброго утра, коллеги", то вторая половина докладов начиналась уже с "Здравствуйте, товарищи" и "Здравствуйте, друзья". Для моего приветственного слова, думаю, достаточно. Теперь нужно написать и про сам семинар, благо есть что. Итак.
Началось сие мероприятие с приветственного слова Марии Сидоровой, вице-президента RISSPA и руководителя петербургского отделения. Мария рассказала про историю возникновения, про проводимые мероприятия, про приближающийся день рождения петербургского отделения (а это будет в июне). Так же, как и первый, второй семинар не остался без сюрпризов, Мария анонсировала подарок за лучший вопрос. И подарок-то очень символичный - ковбойская шляпа. В общем, дала старт. Но до первого доклада был еще один приятный анонс. Ректор Академии Информационных Систем Юрий Малинин рассказал, что ведутся работы по разработке курса по безопасному программированию и курс этот разрабатывается также с учетом рекомендаций Банка России "Обеспечение информационной безопасности банковской системы РФ. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем". Доступным для слушателей данный курс станет, ориентировочно, во втором квартале этого года. Так что, кому интересно, обращайтесь в АИС. Вам с радостью ответят на вопросы.
Эстафету выступлений принял Анатолий Скородумов, начальник отдела ИБ ОАО "Банк Санкт-Петербург" и рассказал про то, как их банк готовился к оценке соответствия требованиям PCI DSS, с какими пришлось столкнуться трудностями. Доклад получился достаточно живым. Анатолий первым словом попросил зал именно о диалоге, а не о монологе. И слушатели с радостью поддержали это начинание. Далее прозвучала достаточно интересная фраза о том, что PCI DSS с доработками можно использовать в качестве политики ИБ организации. По ходу диалога стало ясно, что не любая организация, а та, которая в своей работе "завязана" на использование банковских карт и для которых это является большой частью основной деятельности.
За Анатолием слово взял Сергей Шустиков, генеральный директор компании Deiteriy. Держал он это самое слово про особенности перехода с версии 2.0 на 3.0. Многое отражено в презентации, я приведу лишь несколько тезисов:
- PCI DSS должен стать такой же привычкой, как мыть руки перед едой (Business as Usual). При любом действии, касающимся банковских карт, нужно помнить про PCI DSS.
- В PCI SSC реагируют на обратную связь. Пишите.
- С момента вступления в силу очередной версии стандарта PCI DSS предыдущая продолжает действовать еще год.
Также Сергей наглядно продемонстрировал, что для совершения покупки в интернете достаточно знать только номер карты и срок ее действия. И пример был показан не на маленьком магазинчике, а на amazon.com. Да, там есть еще поле для ввода имени и фамилии, но оно, по словам Сергея, не проверяется.
После Сергея выступал Никита Кислицин из Group-IB. Он подробно разобрал черный рынок банковской информации, коснулся ситуации с Target, выделил основные пути хищения и использования информации. В общем, получился очень хороший технический доклад с элементами Awareness, что на мой взгляд, безусловно, правильно.
Далее всех ждал полноценный шведский стол. После же Вячеслав Максимов из компании "Андэк" провел интересную презентацию о взаимодействии с сервис-провайдерами в рамках соответствия PCI DSS. Из основного:
- Напоминание о том, что PCI DSS применим везде, где присутствуют банковские карты.
- Некоторые нюансы, на которые необходимо обратить внимание при передаче услуг по обслуживанию банковских карт. Например при заполнении Attestation of Compliance желательно максимально подробно расписывать свои процесссыы, если в итоге целью является именно безопасность, а не формальное соответствие требованиям. QSA-аудитор - ваш друг!
- Пункт 12.9 PCI DSS 3.0, касающийся сервис-провайдеров, вступает в действие с 15 июля 2015.
После Вячеслава Алексей Бабенко из компании "Информзащита" провел экскурс в этапы разработки ПО с учетом PCI DSS. Хочу отметить, что презентация, которая представлена здесь и презентация, которую видел зал, разные. Хотя больше не по содержанию, а по "формату". Мы смотрели презентацию, запущенную из exe-шника (прошу прощения, из исполняемого exe-файла). Однако, суть от этого не менялась. Опять-таки, была отмечена важная роль обучения сотрудников в процессе разработки ПО.
Далее Константин Ян из ЗАО "Смартфин" подробно расказал про mPoS-терминалы и про их преимущества перед привычными PoS, про особенности работы технологии и про перспективы развития. Сказать, что было интересно - не сказать ничего. И может настать момент, когда ситуация, в которой курьер, доставивший пиццу, предложит для оплаты не стандартный терминал, а обычный сотовый телефон с присоединенным к нему ридером, станет вполне ординарной.
После Дмитрий Свиридов из компании KupiBilet.ru поведал о том, как "голому" стартапу пройти оценку соответствия PCI DSS. Доклад можно считать некоторым руководством, как делать надо, как не надо и на что обращать внимание если ваша компания только начинает плавание в большом океане бизнеса.
Завершающим был доклад Андрея Дроздова из компании KPMG. Андрей рассказал про лучшие практики и стандарты, широко затронул COBIT и также акцентировал внимание на Awareness. Приводить отдельные тезисы не буду, лучше смотреть презентацию и воспринимать все единым целым. Скажу лишь, что доклад был действительно на высоте.
Как я уже говорил, перед началом семинара был анонсирован конкурс на лучший вопрос. И счастливым обладателем ковбойской шляпы стал Андрей Инюшин из Travel.ru (Oktogo group). Также отметили Михаила Карпова из Ленты и Игоря Кнауфа из Объединенных машиностроительных заводов. Им достались ежедневники от компании Deiteriy.
После было закулисное общение, благодарности и прощания.
Я не стал выносить много цитат в пост, так как на протяжении всего мероприятия я писал самое интересное в твиттер. И, конечно, мои (и не только) твиты доступны по хэш-тегу
#RISSPA_Spb
Если говорить именно об организационной составляющей, то и здесь впечатления только положительные. В зале сидеть комфортно, спикеров было слышно отлично. Обед проходил в ресторане на том же этаже, на котором находился зал. Очередей я не заметил нигде, да и каких бы то ни было негативных высказываний. Как мог заметить я, все остались довольны. Насколько хорошо прошел семинар, также говорят и цитаты из Facebook:
Питерской RISSPA повезло - вряд ли кто из профессиональных ассоциаций, в том числе международных, имеет такого charming руководителя.
Мария, Сергей <Шустиков> - большое спасибо за семинар. Все доклады были очень информативными и интересными. Жду новых мероприятий.
Отдельно привожу презентации докладчиков: