3. 10 shagov k pci compliance
Click here to load reader
-
Upload
informzaschita -
Category
Technology
-
view
690 -
download
1
Transcript of 3. 10 shagov k pci compliance
![Page 1: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/1.jpg)
Гольдштейн Анна, CISA, CISSP, PCI & PA QSA
Заместитель директора департамента аудита
10 шагов PCI Compliance
“PCI Compliance: Информационная безопасность
в индустрии платежных карт”Семинар компании «Информзащита»
г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky
![Page 2: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/2.jpg)
«Шаг за шагом». Старт
1. Область применения PCI DSS
2. GAP-Анализ соответствия стандарту
3. Построение плана
4. Доработка нормативной базы
5. Реализация технических мер
![Page 3: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/3.jpg)
«Шаг за шагом». Продолжение
6. Реализация организационных мер
7. Внешнее сканирование
8. Пен-тест
9. Аудит
10. Поддержка соответствия
![Page 4: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/4.jpg)
Шаг 1. PCI DSS Scope: анализ
информации
• Реестр хранения данных карт (матрица данных)
• Ресурсы, участвующие в передаче, обработке,
хранении данных карт
• Логическое и физическое размещение ресурсов
• Dataflow
• Наличие и механизмы сегментации и
экранирования
• Использование беспроводных технологий
• Аутсорсинг
![Page 5: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/5.jpg)
Шаг 1. Реестр хранения данных
![Page 6: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/6.jpg)
Шаг 2. GAP-анализ
• В рамках области PCI DSS
• Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем
Проведение:
• Действующие процессы, необходимые для поддержания соответствия
• Несоответствия стандартуВыявлены:
![Page 7: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/7.jpg)
• Согласованы решения и компенсационные
меры
• Выбраны технические средства
• Одна работа – один ответственный
• Приоритет работ с учетом рисков ИБ
• Сроки работ и взаимосвязь = дата PCI
compliance
Шаг 3. План действий (Action Plan)
![Page 8: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/8.jpg)
Шаг 4. Доработка нормативной базы
• Иерархия документов: от политики до
процедур и инструкций
• Не разработка «в стол», а разработка и
документирование процессов
• Определение порядка изменения
документов
![Page 9: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/9.jpg)
Шаг 5. Внедрение технических мер
• Общие принципы:
– Использование встроенных защитных
механизмов
– Настройка существующих внешних средств
защиты
– Внедрение программно-технических средств
• Важно при выборе технического решения:
– «Необходимо» или «полезно»
– Перекрывание защитных механизмов
– Простота эксплуатации
– Возможность масштабирования
![Page 10: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/10.jpg)
Шаг 5. Внедрение «под PCI Compliance»
Необходимы Полезны
IDS/IPS Внешний аудит СУБД
Firewall Контроль конфигураций
Контроль целостности Контроль доступа
Антивирусная защитаУсиленная
аутентификация
Сканеры (проводные/
беспроводные)WAF
Управление и мониторинг
событий ИБТерминальный доступ
![Page 11: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/11.jpg)
Шаг 6. Внедрение организационных
мер
• Важно при выборе:
– Контролируемость выбранного решение
– Простота исполнения
• Общие принципы:
– Чтобы судить о качестве процесса,
необходимо время
– По результатам необходима доработка
процедур/регламентов
![Page 12: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/12.jpg)
Шаги 7-8. Тестирование
защищенности
• Проводится после внедрения основных
мер
• Для сканирования необходима
аккредитация PCI SSC (PCI ASV)
• Выявляет все основные недоработки в
реализации мер или зоне их охвата
• При необходимости – повторяется
![Page 13: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/13.jpg)
Шаг 9. Сертификационный аудит
• Процедуры аудита определены PCI SSC
• Область аудита может быть меньше чем
PCI DSS Scope
• Аудит проводится с применением
«выборки» ресурсов, помещений, людей
• Является «снимком» состояния на
момент проведения аудита
![Page 14: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/14.jpg)
Шаг 10. Поддержка соответствия
• PCI Compliance не «вечный двигатель»
• Контрольные процедуры:
– Заложенные стандартом (определены
периодичность и методы контроля)
– Внутренние
• Изменение инфраструктуры, изменение
угроз ИБ
ФИНИШ??
![Page 15: 3. 10 shagov k pci compliance](https://reader037.fdocument.pub/reader037/viewer/2022100518/559cd5761a28aba8538b45cb/html5/thumbnails/15.jpg)
• (495) 980 23 45
Гольдштейн Анна
Заместитель директора департамента аудита
ВОПРОСЫ ?
“PCI Compliance: Информационная
безопасность в индустрии платежных карт”Семинар компании «Информзащита»
г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky