Гольдштейн Анна, CISA, CISSP, PCI & PA QSA

Заместитель директора департамента аудита

10 шагов PCI Compliance

“PCI Compliance: Информационная безопасность

в индустрии платежных карт”Семинар компании «Информзащита»

г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky

«Шаг за шагом». Старт

1. Область применения PCI DSS

2. GAP-Анализ соответствия стандарту

3. Построение плана

4. Доработка нормативной базы

5. Реализация технических мер

«Шаг за шагом». Продолжение

6. Реализация организационных мер

7. Внешнее сканирование

8. Пен-тест

9. Аудит

10. Поддержка соответствия

Шаг 1. PCI DSS Scope: анализ

информации

• Реестр хранения данных карт (матрица данных)

• Ресурсы, участвующие в передаче, обработке,

хранении данных карт

• Логическое и физическое размещение ресурсов

• Dataflow

• Наличие и механизмы сегментации и

экранирования

• Использование беспроводных технологий

• Аутсорсинг

Шаг 1. Реестр хранения данных

Шаг 2. GAP-анализ

• В рамках области PCI DSS

• Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем

Проведение:

• Действующие процессы, необходимые для поддержания соответствия

• Несоответствия стандартуВыявлены:

• Согласованы решения и компенсационные

меры

• Выбраны технические средства

• Одна работа – один ответственный

• Приоритет работ с учетом рисков ИБ

• Сроки работ и взаимосвязь = дата PCI

compliance

Шаг 3. План действий (Action Plan)

Шаг 4. Доработка нормативной базы

• Иерархия документов: от политики до

процедур и инструкций

• Не разработка «в стол», а разработка и

документирование процессов

• Определение порядка изменения

документов

Шаг 5. Внедрение технических мер

• Общие принципы:

– Использование встроенных защитных

механизмов

– Настройка существующих внешних средств

защиты

– Внедрение программно-технических средств

• Важно при выборе технического решения:

– «Необходимо» или «полезно»

– Перекрывание защитных механизмов

– Простота эксплуатации

– Возможность масштабирования

Шаг 5. Внедрение «под PCI Compliance»

Необходимы Полезны

IDS/IPS Внешний аудит СУБД

Firewall Контроль конфигураций

Контроль целостности Контроль доступа

Антивирусная защитаУсиленная

аутентификация

Сканеры (проводные/

беспроводные)WAF

Управление и мониторинг

событий ИБТерминальный доступ

Шаг 6. Внедрение организационных

мер

• Важно при выборе:

– Контролируемость выбранного решение

– Простота исполнения

• Общие принципы:

– Чтобы судить о качестве процесса,

необходимо время

– По результатам необходима доработка

процедур/регламентов

Шаги 7-8. Тестирование

защищенности

• Проводится после внедрения основных

мер

• Для сканирования необходима

аккредитация PCI SSC (PCI ASV)

• Выявляет все основные недоработки в

реализации мер или зоне их охвата

• При необходимости – повторяется

Шаг 9. Сертификационный аудит

• Процедуры аудита определены PCI SSC

• Область аудита может быть меньше чем

PCI DSS Scope

• Аудит проводится с применением

«выборки» ресурсов, помещений, людей

• Является «снимком» состояния на

момент проведения аудита

Шаг 10. Поддержка соответствия

• PCI Compliance не «вечный двигатель»

• Контрольные процедуры:

– Заложенные стандартом (определены

периодичность и методы контроля)

– Внутренние

• Изменение инфраструктуры, изменение

угроз ИБ

ФИНИШ??

• (495) 980 23 45

• goldanna@infosec.ru

Гольдштейн Анна

Заместитель директора департамента аудита

ВОПРОСЫ ?

“PCI Compliance: Информационная

безопасность в индустрии платежных карт”Семинар компании «Информзащита»

г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky