Девять способов не соответствовать мировому стандарту информационной безопасности PCI DSS: "вредные" советы

Стандарту, предусматривающему соблюдение условий информационной безопасности, должны соответствовать, прежде всего, компании, имеющие дело с такими конфиденциальными данными, как, например, информация о владельцах банковских карточек. Их сотрудники вынуждены подвергать обработке личные данные клиентов, которые нуждаются в обязательной и очень надёжной защите. Для обеспечения полной безопасности таких сведений достаточно добиться соответствия стандарту PCI DSS (Payment Card Industry Security Standards Council - стандарт безопасности информации в области банковских карт). К сожалению, далеко не все организации могут похвастаться тем, что они отвечают всем необходимым требованиям. На основе недавнего исследования, проведённого одним аналитическим агентством, было выявлено девять основных нарушений стандарта безопасности.

1) Слабая или вовсе отсутствующая политика ИБ

Как ни странно, до сих пор ужасающе большое количество компаний не задумываются об информационной безопасности или просто игнорируют необходимость создания политики ИБ. Исходя из полученных результатов исследования, около трети респондентов признались в абсолютном отсутствии таковой.

2) Пароль "пароль"

Самая распространённая ошибка компаний, чья деятельность связана с обработкой конфиденциальных сведений, - это использование чрезмерно простых паролей. Пароли типа "пароль" или "qwerty" или, ещё хуже, "123456" всё ещё встречаются чрезвычайно часто. Также довольно популярны пассворды наподобие "letmein".

3) Отключенная или отсутствующая система IPS

Система предотвращения интернет-атак, или IPS (Intrusion Prevention System) - неотъемлемая часть любой компании, которая не хотела бы подвергнуть опасности какую-либо секретную информацию. Между тем, множество организаций (свыше восьми процентов - по итогам исследования) считают именно отсутствие IPS корнем проблем, связанных с ИБ, хотя сами не используют такие системы. Не применять IPS при работе с банковскими картами столь же неразумно, сколь выходить в Интернет без всякой антивирусной защиты с компьютера под ОС MS Windows.

4) "Скинь пин по почте"

Передача конфиденциальной информации о держателях карт по почте без всякого шифрования практически равносильна передаче денег в руки воров. Около пятнадцати процентов компаний поступает именно так.

5) Отсутствие ограниченного предоставления привилегий сотрудникам

Около десяти процентов опрошенных указали на то, что обычно всем сотрудникам компании предоставляется открытый доступ к конфиденциальным данным, нуждающимся в защите. Такой доступ даёт всем одинаковые права - от администраторов до любого менеджера, который может воспользоваться моментом и применить данные в своих корыстных целях. Специалисты по ИБ настоятельно рекомендуют следовать принципу наименьшего числа привилегий, когда каждому сотруднику предоставляется только необходимый для выполнения своих обязанностей минимум прав.

6) Неверное использование межсетевого экрана

Более шести процентов корреспондентов отметили именно некорректную настройку межсетевого экрана как основную проблему несоблюдения правил информационной безопасности.

7) "Антивирусные базы устарели"

Многие сотрудники компаний видят это сообщение ежедневно и, возможно, не задумываются о том, какие последствия может вызвать их халатность. Легкомысленное отношение к антивирусному ПО ведёт к серьёзным проблемам в области ИБ, подвергая опасности конфиденциальные данные.

8) Использование устаревшего ПО

Порядка пяти процентов опрошенных ходе исследования не заботятся об обновлении ПО и межсетевых экранов, вследствие чего они оказываются неспособными даже отличить сайт от программы. Это здорово помогает хакерам, и они с лёгкостью обходят любую сетевую защиту, после чего заполучить данные о держателях карт - проще простого.

9) "Установил - и забыл"

Небольшой, но всё же ощутимый процент компаний (около 3,5) устанавливают межсетевой экран и навсегда забывают о его существовании, не думая о проверке журналов и отчётов систем ИБ.

Следовать правилам информационной безопасности, соблюдая требования стандарта PCI DSS, довольно легко. Необходимо лишь уделить этому немного времени и внимания, зато результат будет действительно значительным.

Читайте еще

Государство обязано предоставлять информацию о контроле за детьми в Интернете	Компьютеры будущего: что готовит нам 2018 год?	Основные моменты для контроля за работой автоматизированных систем учёта и хранения информации