Жизнь после PCI
   Compliance


Эмм Максим, MBA, QSA, CISA, CISSP
Директор Департамента Аудита
«…no compromised entity has yet been found to
 be in compliance with PCI DSS at the time of a
 breach.»
          Ellen Ri...
Статистика по расследованию
              инцидентов




2009 Data Breach Investigation Report, Verizon Business RISK Team
Основные сложности при
      поддержании PCI Compliance
• Своевременное устранение уязвимостей
• Установка обновлений на С...
Вторая годовщина PCI Compliance

• Все процедуры и процессы сделанные
  «под PCI Compliance»
• Места для хранения логов мо...
Модели зрелости IT
Не существует        Начало       Повторение          Описание           Управление        Оптимизация
...
Ключевые факторы успеха

• Сервисная модель услуги IT и IT Security с
  метриками
• Наличие выделенного Compliance Officer...
Технические решения, упрощающие
    поддержание PCI Compliance
• PA DSS сертифицированные приложения
  для обработки карт
...
Следующие серьезные шаги

• Расширение области применения PCI DSS и
  выполнение требований в бэк-оффисных
  системах
• Ши...
“PCI Compliance: Информационная безопасность в индус
                     платежных карт”
                  Семинар компан...
Upcoming SlideShare
Loading in …5
×

5. jizn posle pci dss compliance

703 views
626 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
703
On SlideShare
0
From Embeds
0
Number of Embeds
51
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

5. jizn posle pci dss compliance

  1. 1. Жизнь после PCI Compliance Эмм Максим, MBA, QSA, CISA, CISSP Директор Департамента Аудита
  2. 2. «…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.» Ellen Richey, VISA chief enterprise risk officer «…ни одна скомпрометированная организация не соответствовала требованиям PCI DSS на момент взлома» Эллен Ричи, главный риск-менеджер VISA
  3. 3. Статистика по расследованию инцидентов 2009 Data Breach Investigation Report, Verizon Business RISK Team
  4. 4. Основные сложности при поддержании PCI Compliance • Своевременное устранение уязвимостей • Установка обновлений на СУБД • Следование процедурам контроля конфигураций • Внедрение новых приложений • Поддержание компенсационных мер • Внедрение стандартов конфигурирования на новых системах • Мониторинг событий и реагирование на инциденты • Реальный анализ рисков ИБ
  5. 5. Вторая годовщина PCI Compliance • Все процедуры и процессы сделанные «под PCI Compliance» • Места для хранения логов может и не хватить • При смена аудитора QSA могут измениться – границы аудита – интерпретация требований стандарта – Оценка достаточности компенсационных мер
  6. 6. Модели зрелости IT Не существует Начало Повторение Описание Управление Оптимизация 0 1 2 3 4 5 Легенда для Легенда для используемой шкалы используемых символов 0 Не существует - Процессы управления не применяются Текущий статус организации 1 Начало - Процессы специализированы и неорганизованны Требования международных 2 Повторение - Процессы повторяются на регулярном основании стандартов 3 Описание - Процессы документированы и взаимосвязаны 4 Управление - Процессы наблюдаются и измеряются “Лучшая практика” индустрии 5 Оптимизация - Процессы соответствуют “лучшей практике“ и автоматизированы Стратегия организации
  7. 7. Ключевые факторы успеха • Сервисная модель услуги IT и IT Security с метриками • Наличие выделенного Compliance Officer • Наличие 3+ уровня зрелости IT процессов • Включение вопросов PCI в программу управления операционными рисками • Включение проверок PCI DSS в программу внутреннего аудита • Формализация всех процессов ИБ
  8. 8. Технические решения, упрощающие поддержание PCI Compliance • PA DSS сертифицированные приложения для обработки карт • Контроль изменений/конфигураций с помощью специальных средств • Автоматизация установки обновлений • Использование СЭД и Service Desk для поддержания процессов согласования изменений и предоставления доступа • IDM решения для управления доступом
  9. 9. Следующие серьезные шаги • Расширение области применения PCI DSS и выполнение требований в бэк-оффисных системах • Шифрование данных карт во всех СУБД • Изменение прикладных систем обрабатывающих карты • Реализация всех требований PCI DSS для ATM
  10. 10. “PCI Compliance: Информационная безопасность в индус платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Эмм Максим, MBA, QSA, CISA, CIS Директор Департамента Аудита (495) 980 23 45 maxus@infosec.ru

×