НАУКА и ОБРАЗОВАНИЕ

Контакты:

IBM East Europe/Asia

Галина Данилина

Тел.: (495) 775-8800, 940-2000 #1771

E-mail: Galina_Danilina@ru.ibm.com

    1 ноября 2007 года – Корпорация IBM (NYSE: IBM) сегодня объявила о новой программе предоставления продуктов и услуг, помогающих клиентам обеспечить соответствие стандарту Payment Card Industry Data Security Standard (PCI DSS). В отличие от конкурирующих предложений, всесторонняя программа IBM проводит заказчика через весь процесс обеспечения соответствия стандарту PCI – от первоначальной оценки до завершающей сертификации – помогая выполнить все 12 требований PCI по защите данных о владельцах платежных карт.

    PCI – глобальный стандарт, под действие которого подпадает каждая компания, занимающаяся обработкой, передачей или хранением информации о кредитных картах. Этот стандарт, созданный компаниями по обслуживанию кредитных карт, призван помочь организациям в предотвращении уязвимостей в системе защиты информации. Сегодня любая компания, обрабатывающая данные кредитных карт, может оказаться объектом атаки киберпреступников, стремящихся получить идентификационную информацию клиентов. Компании, не отвечающие требованиям стандарта PCI, могут быть лишены прав на работу с кредитными картами или столкнуться с увеличением расходов на обработку.

    Для организаций, не соответствующих требованиям стандарта PCI, угрозы безопасности могут иметь далеко идущие последствия – включая существенный финансовый ущерб, утрату клиентуры и потерю репутации торговой марки.

    Компания Hughes, ведущий мировой поставщик технологических решений и услуг в области широкополосных спутниковых систем, поручила корпорации IBM провести процесс согласования платформы оказания широкополосных сетевых услуг HughesNet® с требованиями стандартом PCI.

    «Являясь ведущим поставщиком услуг управления инфраструктурой для крупных предприятий, компания Hughes стремится предоставить своим клиентам широкий спектр услуг и приложений, – говорит Майк Кук (Mike Cook), старший вице-президент компании Hughes. – Соответствие требованиям стандарта PCI DSS имеет важнейшее значение для наших операций, и оказываемые нами сетевые услуги должны в обязательном порядке отвечать этим требованиям. Всеобъемлющая программа IBM гарантирует успешное прохождение через весь процесс обеспечения нормативного соответствия – от оценки до сертификации».

    Несмотря на угрозы штрафов и недавние случаи серьезных утечек данных, степень соответствия компаний стандарту PCI по существующим оценкам не достигает 50%. И действительно, в отчете отраслевой аналитической компании Gartner, Inc. отмечается, что, согласно данным платежной ассоциации Visa USA по состоянию на июль 2007 г., 39% торговых предприятий первого уровня (предприятия, которые обрабатывают более 6 миллионов транзакций ежегодно) и 33% торговых предприятий второго уровня (предприятия, которые обрабатывают от 1 до 6 миллионов транзакций ежегодно) соответствуют требованиям стандарта PCI.

    «За последние годы многие торговые предприятия убедились в том, что сегодня недостаточно обеспечить соответствие только некоторым, или даже большинству обязательных требований стандарта PCI, – говорит Кристин Лавджой (Kristin Lovejoy), директор по стратегиям подразделения IBM Governance and Risk Management. – В качестве мирового лидера в области технологий безопасности и сопутствующих консультационных услуг корпорация IBM обладает необходимыми знаниями и квалификацией для предоставления всеобъемлющего решения, помогающего торговым предприятиям выполнять требования стандарта PCI».

    Только IBM способна помочь организациям выполнить все 12 требований стандарта PCI

    Стандарт PCI DSS представляет собой набор из 12 требований по защите данных о платежных картах. Эти требования охватывают диапазон от конфигурирования и сопровождения межсетевых экранов до шифрованной передачи данных о владельцах карт и поддержания надлежащих политик безопасности и процедур тестирования.

    Чтобы помочь клиентам в выполнении всех 12 указанных требований, решение IBM PCI включает консультационные услуги для анализа несоответствий, устранения несоответствий, валидации, текущего тестирования и отчетности, а также ряд продуктов, которые помогают организациям во всех аспектах планирования безопасности, управления и отчетности по соответствию требованиям. Например, IBM предлагает программное обеспечение для решения следующих задач: оценка процесса обеспечения безопасности, управление информацией о безопасности и событиями безопасности, управление хранилищами, шифрование, управление идентификационными данными и доступом, управление изменениями и конфигурациями, предотвращение вторжений, тестирование прикладного уровня и мониторинг действий пользователей. Кроме того, IBM является одной из трех компаний мира, сертифицированных в глобальном масштабе на проведение таких операций, как оценка на соответствие требованиям PCI, ежеквартальное сетевое сканирование в соответствии с требованиями PCI, оценка платежных приложений на соответствие требованиям PCI и услуги реагирования на инциденты в соответствии с требованиями PCI.

    IBM реализует свое PCI-решение посредством программы, которая включает следующие пять фаз.

• Оценка. Эта фаза предусматривает полную проверку состояния безопасности, позволяющую выявить области, нуждающиеся в корректировке, и направления достижения и поддержания нормативного соответствия.

• Проектирование. Эта фаза предусматривает разработку стратегии, политик, стандартов и процедур безопасности, а так же планирование реакции на инциденты, проектирование архитектуры безопасности и планирование реализации.

• Развертывание. Эта фаза предусматривает развертывание и оптимизацию программных и аппаратных средств безопасности, обеспечивающих защиту данных клиента, как в процессе их перемещения, так и во время хранения, а также нейтрализацию выявленных уязвимостей и осуществление миграции.

• Управление. В этой фазе корпорация IBM оказывает текущую поддержку посредством решений для мониторинга состояния безопасности и управления программным обеспечением, а также оказанием услуг по реагированию на чрезвычайные ситуации, юридическому анализу и анализу угроз.

• Обучение. IBM предоставляет непрерывно действующие учебные курсы по продуктам и программы подготовки по информационной безопасности, с помощью которых клиенты могут обучать свой персонал навыкам долгосрочного обеспечения соответствия стандарту PCI.

    В дополнение к текущим продуктам и услугам, корпорация IBM вводит дополнительные возможности по обеспечению соответствия стандарту PCI в свой портфель продуктов для руководства ИТ-ресурсами и управления рисками. Например, подразделение IBM Internet Security Systems недавно модернизировало свой продукт IBM Proventia Network Enterprise Scanner, дополнив его несколькими проверками на выявление несоответствий стандарту PCI. Это существенно упрощает процедуру оценки сетевых уязвимостей в рамках программы обеспечения соответствия стандарту PCI. Кроме того, одно только решение IBM Proventia Network Multifunction Security для унифицированного управления угрозами обеспечивает выполнение 10 из 12 требований безопасности стандарта PCI.

    Программное решение IBM Tivoli Compliance Insight Manager, предоставляющее инструментальную панель для аудита нормативного соответствия и механизм отчетности, теперь также включает модуль PCI DSS с набором специальных шаблонов отчетности, предназначенных для демонстрации соответствия организации политикам безопасности. Кроме того, ассортимент IBM теперь включает продукт IBM Rational AppScan, обеспечивающий соблюдение обязательных требований стандарта PCI DSS посредством автоматизации тестирования уязвимостей прикладного уровня и возможностей проникновения. Этот продукт позволяет выявлять известные и новые уязвимости на всем протяжении жизненного цикла программного обеспечения – от разработки до применения.

    Корпорация IBM также предлагает клиентам возможности для использования инвестиций в мэйнфреймы для проведения аудита на соответствие требованиям PCI. Мэйнфреймы обладают мощнейшими механизмами безопасности, полностью удовлетворяющими требованиям аудита, включая решения для защищенного управления доступом и шифрования, и такие сетевые средства защиты, как встроенные сервисы обнаружения вторжений и сетевые агенты соблюдения установленной политики безопасности. Совокупность перечисленных механизмов позволяет эффективно предотвращать кражу идентификационной информации.

    Помимо продуктов и услуг корпорация IBM может оказать клиентам содействие по обеспечению нормативного соответствия силами своих консультантов по безопасности, обладающих глубокими знаниями, высокой квалификацией и большим опытом проведения подобных мероприятий.

    Более подробную информацию о предложениях IBM по обеспечению соответствия стандарту PCI можно получить на Web-сайте http://www.ibm.com/security/pci.

    Более подробную информацию о корпорации IBM можно получить на Web-сайте www.ibm.com.