Сообщество профессионалов ИБ

Дело в шляпе! Итоги II семинара RISSPA в Санкт-Петербурге

На прошлой неделе в Санкт-Петербурге прошел второй семинар ассоциации RISSPA. В этот раз мы собрались, чтобы обсудить безопасность данных индустрии платежных карт и стандарт PCI DSS. Тема серьезная, поэтому и программа нашего семинара получилась очень насыщенной и информативной. Судите сами: три доклада от представителей крупнейших QSA-компаний, несколько реальных кейсов от «Банка Санкт-Петербург» и стартапа kupibilet.ru, доклад об инновационном проекте в области мобильного эквайринга 2can.ru (ЗАО «Смартфин»), и на «десерт»: все «явки и пароли» черного рынка банковской информации от Group-IB и шесть непростительных ошибок CISO при планировании тестирования на проникновение от Антона Сапожникова, этичного хакера, члена команды MSLC и чемпиона мира (!!!) 2012 года по компьютерной безопасности по версии ctftime.org. Презентации докладчиков размещены здесь

Рекомендации Антона Сапожникова не вошли в сборник презентации с семинара, поэтому делимся с вами его ценными советами прямо здесь.

Итак, к наиболее распространенным ошибкам CISO при планировании тестирования на проникновение Антон относит:

  • Неэффективный скоуп (могут быть пропущены системы, которые напрямую влияют на безопасность целевых систем).
  • Неэффективный состав работ и концентрация только на выбранном методе.
  • Неправильная методика тестирования (тестирование систем закрытых СЗИ).
  • Нерегулярная смена аудитора
  • Нарушение принципа независимости, т.е.:
  • привлечение интегратора (интегратор аудирует\консультирует, чтобы потом внедрить);
  • привлечение интегратора (интегратор проверяет, то что внедрил).
  • Игнорирование рекомендаций (в частности тех, что даны выше).

О том, как в целом прошел семинар, лучше всего расскажут его участники и фоторепортаж с места событий.

«Во-первых, сразу хочу сказать спасибо за проведенное мероприятие. Мне очень понравился семинар, и я смог вынести из него не меньше пользы, чем остальные слушатели. Из плюсов, стоит отметить, состав аудитории и выступающих; с одной стороны, мы получили отличную возможность услышать сторонние мнения, с другой - лучше понять потребности заказчиков. Конечно меня «очаровала» неформальная обстановка, которая сложилась на семинаре. Формат свободного общения, безусловно, украшает такие мероприятия и делает их более продуктивными», – отмечает Алексей Бабенко, аудитор компании «Информзащита».

«Мы с большим удовольствием сотрудничали с RISSPA в рамках прошедшего мероприятия. Для нас это событие стало по-своему знаковым. Причин тому несколько. Во-первых, это был наш первый опыт сотрудничества с петербургским отделением Ассоциации – опыт удачный, а потому рассчитываем на продолжение. Во-вторых, буквально накануне Академия Информационных Систем стала официальным партнером по обучению европейского отделения PCI Council в России. Этой новостью мы поспешили поделиться с участниками. И в-третьих, очень порадовал состав участников. С одной стороны, семинар был полезен для делового общения: новые лица и новые контакты, чего не хватает некоторым мероприятиям в нашей отрасли. Но с другой стороны, дружественная атмосфера и неформальное общение между старыми знакомыми сделало его очень уютным. И «под занавес» хочется сказать огромное спасибо организаторам - Марии Сидоровой и Марии Акатовой - за отличную организацию и атмосферу!», - Юрий Малинин, ректор Академии Информационных Систем.

«Очень хорошо, что теперь и в нашем городе проходят такие конференции. Надеюсь, это поможет немного сместить фокус с Москвы как с основного места сосредоточения встреч профессионалов в области информационной безопасности. Хочется отметить хорошую организацию, удобное место проведения и очень сильный состав докладчиков и просто присутствующих: в одном месте собрались не только представители четырёх известнейших QSA-аудиторов, но и представители крупнейших банков, платежных систем, торговых предприятий. Опять же, положительно данную конференцию характеризует то, что весь зал был вовлечён в довольно живой диалог. Очевидное преимущество – это отсутствие в программе явно маркетинговых докладов и участников», рассказал Михаил Карпов, менеджер по информационной безопасности и внутреннему аудиту компании «Лента».

«Я уже во второй раз принимал участие в семинарах петербургского отделения RISSPA. И каждый раз RISSPA не просто оправдывает мои ожидания, она их превосходит. С одной стороны, хочу отметить заметный рост уровня организации мероприятия. С другой - грамотный выбор докладов и порядок их представления. По прошествии некоторого времени приходит понимание того, насколько тонко сбалансирована программа по тематике докладов. Все доклады соответствовали заявленной теме и были очень информативными. Некоторые «прописные истины» по ИБ повторялись, но они и должны повторяться. Ценно и то, что красной нитью через все мероприятие прошла тема «awareness» или повышения осведомленности пользователей, которую я считаю, безусловно, важной в процессе информационной безопасности. И особенно приятно, что мероприятие проходит в теплой, душевной, такой «петербургской» атмосфере» – поделился впечатлениями Владимир Рындин, инженер-проектировщик, компании «Газинформсервис».

«От имени компании Deiteriy благодарю ассоциацию RISSPA за традиционную дружескую атмосферу, органично вобравшую в себя ноты высокого профессионализма. Качество докладов давно является отличительной чертой мероприятий ассоциации. Стремясь к максимально широкому распространению знаний, мы считаем за честь быть спонсором движений, направленных на развитие профессионального диалога, а не извлечение прибыли» – поблагодарил организаторов семинара Сергей Шустиков, генеральный директор компании Deiteriy.

Подробный фоторепортаж о семинаре - здесь

Спасибо компании Deiteriy и лично ее руководителю, Сергею Шустикову, за помощь в подготовке семинара и возможность провести его в хорошем месте и в приятной обстановке.