«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»<br />г. Алмата, 18 марта 2011 года, отель...
Статистика инцидентов*<br />*по данным Verizon 2010 Data Breach Investigations Report<br />
«…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.»<br />Ellen Richey, V...
Основные сложности при поддержании PCI compliance<br />Своевременное устранение уязвимостей<br />Установка обновлений на С...
Проблемы повторных аудитов «PCI compliance» организаций<br />Всплыли  процедуры и процессы сделанные «под PCI Compliance»<...
Лучшие практики на страже PCI compliance<br />Наличие выделенного ComplianceOfficer<br />Включение вопросов PCI в программ...
Технические решения – помощники поддержания соответствия<br />PA-DSS сертифицированные приложения<br />Контроль изменений/...
Заглядывая в будущее<br />Расширение области применения PCI DSS<br />Шифрование данных карт в рамках всех процессов<br />П...
Вопросы<br />Бабенко Алексей<br />старший аудитор<br /> a.babenko@infosec.ru<br />+7 (495) 980-23-45 доп.458 <br />www.inf...
Upcoming SlideShare
Loading in …5
×

PCI DSS: поддержание соответствия

806 views
763 views

Published on

Основные проблемы и лучшие практики в вопросах поддержания соответствия

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
806
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

PCI DSS: поддержание соответствия

  1. 1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам»<br />г. Алмата, 18 марта 2011 года, отель Intercontinental<br />Есть ли жизнь после compliance?<br />Поддержание соответствия: основные проблемы<br />Бабенко Алексей<br />старший аудитор<br />
  2. 2. Статистика инцидентов*<br />*по данным Verizon 2010 Data Breach Investigations Report<br />
  3. 3. «…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.»<br />Ellen Richey, VISA chief enterprise risk officer<br />«…ни одна скомпрометированная <br />организация не соответствовала <br />требованиям PCI DSS на момент взлома»<br />Эллен Ричи, главный риск-менеджер VISA<br />
  4. 4. Основные сложности при поддержании PCI compliance<br />Своевременное устранение уязвимостей<br />Установка обновлений на СУБД<br />Следование процедурам контроля конфигураций, внедрение стандартов на новых системах <br />Внедрение новых приложений<br />Поддержание компенсационных мер<br />Мониторинг событий и реагирование на инциденты<br />Реальный анализ рисков ИБ<br />
  5. 5. Проблемы повторных аудитов «PCI compliance» организаций<br />Всплыли процедуры и процессы сделанные «под PCI Compliance»<br />Бизнес расширился – система безопасности нет<br />При смена аудитора QSA могут измениться<br />границы аудита <br />интерпретация требований стандарта<br />оценка достаточности компенсационных мер<br />
  6. 6. Лучшие практики на страже PCI compliance<br />Наличие выделенного ComplianceOfficer<br />Включение вопросов PCI в программу<br />управления операционными рисками<br />Включение проверок PCI DSS в программу <br />внутреннего аудита<br />Формализация всех процессов ИБ<br />
  7. 7. Технические решения – помощники поддержания соответствия<br />PA-DSS сертифицированные приложения<br />Контроль изменений/конфигураций<br />Автоматизация установки обновлений<br />Использование СЭД и ServiceDesk для поддержания процессов согласования изменений и предоставления доступа<br />idMрешения для управления доступом<br />
  8. 8. Заглядывая в будущее<br />Расширение области применения PCI DSS<br />Шифрование данных карт в рамках всех процессов<br />Переход от «зоопарка» к единообразным расширяемым решениям<br />Реализация всех требований PCI DSS для ATM<br />
  9. 9. Вопросы<br />Бабенко Алексей<br />старший аудитор<br /> a.babenko@infosec.ru<br />+7 (495) 980-23-45 доп.458 <br />www.infosec.ru<br />

×