Top.Mail.Ru
PCI SSC и ATMIA выступили с совместным заявлением на тему завершения поддержки Windows XP компанией Microsoft
+7 (499) 201-55-12 

 Контакты   Карта сайта  
Язык:  Русский English     Поиск: 
 
Главная  →  О компании  →  Пресс-центр  →  Новости  →  2014
О компании
Награды
Пресс-центр
Новости
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
Пресса о нас
Контакты

Новости

Twitter RSS

 

PCI SSC и ATMIA выступили с совместным заявлением на тему завершения поддержки Windows XP компанией Microsoft

Ассоциация Производителей Банкоматов (ATM Industry Association) и Совет по Разработке Стандартов Безопасности Индустрии Платежных Карт (PCI Security Standarts Council) выступили с совместным официальным заявлением на тему прекращения обеспечения технической поддержки операционной системы Windows XP 8 апреля корпорацией Microsoft, сообщает ATMmarketplace.com.


«Все в индустрии задаются вопросом, будут ли банкоматы, использующие XP, соответствовать стандартам безопасности PCI DSS после завершения поддержкисистемы?» - говорит генеральный директор ATMIA Майк Ли.


Стандарт PCI Data Security Standard Version 3.0, вступивший в силу 1 января, предоставляет действенную основу для разработки надёжного процесса защиты информации с платёжных карт, в том числе предотвращения, обнаружения и соответствующей реакции на инциденты.


Он применяется к любой организации, хранящей, передающей или обрабатывающей данные держателей карт. Пункты требований PCI DSS 6.1 и 6.2 обращают отдельное внимание на необходимость поддержки актуальности систем посредством направленных против известных уязвимостей обновлений от разработчика.


«В ситуации, когда операционные системы не поддерживаются, обновления, способные защитить системы от новых уязвимостей, могут быть недоступны», - говорит Трой Лич, технический директор PCI SSC. «Пунктам 6.1 и 6.2 требований PCI DSS невозможно соответствовать без, как минимум, использования дополнительных механизмов контроля».


Существует возможность применить дополнительные механизмы контроля, направленные на предотвращение рисков, связанных с работой неподдерживаемой операционной системы, и обеспечить соответствие смыслу требований. Чтобы механизмы дополнительного контроля были эффективны, они должны защищать систему от уязвимостей, которые могут привести к эксплуатации неподдерживаемого программного кода.

По информации с официального сайта Совета PCI, отдельные элементы контроля могут быть объединены, чтобы внести свой вклад в общий механизм дополнительного контроля. Некоторые примеры включают:


  • активный мониторинг системных журналов и сетевого трафика;
  • правильно настроенные белые списки приложений, позволяющие запускаться только доверенным системным файлам, и
  • изолирование неподдерживаемых систем от других систем и сетей.

Обратите внимание, что эти примеры могут дополнять полный механизм дополнительного контроля, но сами по себе они не могут обеспечить достаточной безопасности.

Кроме того, если неподдерживаемая операционная система имеет доступ в интернет, это может быть обнаружено и автоматически классифицировано как не соответствующая требованиям в процессе сканировании утвержденным поставщиком сканирования на соответствие.


Обнаружение неподдерживаемых операционных систем при сканировании должно быть отдельно рассмотрено в соответствии с разделом «Addressing Vulnerabilities with Compensating Controls» в руководстве по ASV.


Для получения помощи и консультаций на тему дополнительных механизмами контроля и определения, насколько каждое конкретное применение этого метода соответствует требованиям PCI DSS, организациям следует обращаться к компаниям, представляющим PCI DSS в вопросах безопасности.


«Сейчас идет множество разговоров о прекращении поддержки Windows XP компанией Microsoft.» - говорит Станислав Шевченко, технический директор SafenSoft. - «Подавляющее большинство банкоматов работает под управлением именно этой операционной системы, и банки серьезно обеспокоены заявлением о прекращении поддержки Windows XP с 8 апреля. Много внимания к сложившейся ситуации уделяется компаниями PCI SSC и ATMIA, которые определяют параметры для сертификации системы банкоматов на предмет безопасности. Однако стоит разделять вопросы получения сертификата соответствия требованиям PCI SSC и непосредственно обеспечения безопасности. С точки зрения сертификации, я думаю, PCI SSC необходимо переработать сертификационные документы в связи с решением Microsoft о прекращении поддержки Windows XP, несмотря на то, что они уже выпустили новую версию совсем недавно, в конце прошлого года. Сертифицирующие компании однозначно должны считаться со сложившейся ситуацией. Вопрос, связанный с безопасностью непосредственно банкоматов, можно решить с помощью использования операционной системы Windows Embedded, поддержку которой Microsoft продлил до 2019 года, а также развития дополнительных систем контроля, что, опять же, рекомендовано стандартом PCI SSC. Отдельно хочется отметить, что в требованиях PCI SSC указана необходимость использования антивирусного ПО, однако сейчас известны и реализованы другие принципы защиты, например, использование белых списков. Такой подход нельзя назвать антивирусным, так как это – технология, обеспечивающая защиту. Это несоответствие в формулировках создает серьезные проблемы реализации соответствия требованиям PCI SSC для банков и еще раз указывает на необходимость актуализации имеющихся документов».



Март 27, 2014

Архив  |  Версия для печати


Ранее: Март 17, 2014

SafenSoft сделает первый публичный анализ трояна для банкоматов Ploutus для российских банков


Далее: Апрель 04, 2014

SafenSoft впервые продемонстрировал результаты анализа опаснейшего трояна для банкоматов Ploutus российским специалистам


IT безопасность: Обеспечение информационной безопасности | Технология проактивной защиты | Безопасность информационных систем | Блокировка USB портов | Защита реестра | Защита информации от утечки | Мониторинг действий пользователей | Изолированная программная среда и её безопасность | Информационная безопасность предприятия | Системы предотвращения вторжений (IPS системы) | Системы обнаружения вторжений | Запрет установки программ | Защита компьютера от взлома | Система обеспечения информационной безопасности банка | Угрозы информационной безопасности | Защита государственной информации | Защита банковской информации | Защита доступа к информации |
  Лицензионное соглашение   Пресс-центр   Награды   Контакты   Экспертное мнение 
© ООО «АРУДИТ СЕКЬЮРИТИ», 2021-2022. Все права защищены.