PCI DSS
в Украине
К чему готовиться?
Александр Смычников
Консультант департамента ИТ консалтинга
ООО «БМС Консалтинг»
Alexander_Smychnikov@BMS-Consulting.com
Copyright © BMS consulting, 2009
Copyright © BMS consulting, 2007

План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 2

План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 3

Повод задуматься?
Вопрос: Что дает соответствие PCI DSS?
20.07.09 4
Copyright © BMS consulting, 2009

Голые факты
2009 Data Breach Investigations Report, Verizon Business RISK team
20.07.09 Copyright © BMS consulting, 2009 5

Голые факты - 2
Еще об утечках 2008 в свете PCI DSS:
•Германия. 21 миллион немцев.
Источник: Call-центр крупного банка
•Корея. 11 миллионов сотрудников «GS Caltex»
Источник: Служащие компании Персональные данные
Государственная тайна
•США. 8 миллионов клиентов «Best Western Hotel group»
Источник: «Взломанный» сервер компании. Ком. тайна, Ноу-хау
Не установлено
4. Билинговая компания «CheckFree». 5 миллионов клиентов.
Источник: Подмена DNS и ложный сайт
Природа утечек
5. Партнер Bank of New York Mellon, 4,5 миллиона клиентов
Источник: Утерянная магнитная лента
2009 Глобальное исследование утечек информации за 2008 год, InfoWatch
20.07.09 Copyright © BMS consulting, 2009 6

В чем ошибка?
Ошибки пользователей Ошибки безопасности
 Антивирус и обновления  Безопасность работы в Интернет
 Запуск непроверенного ПО  Использование систем после
обнаружения уязвимости
 Установка обновлений  Использование протоколов не
безопасности системного и поддерживающих шифрование
прикладного ПО  Разглашение пароля пользователей по
 Отказ от резервных копий и их телефону без авторизации
тестирования  Запуск небезопасных сервисов, которые
не требуются в работе
 Нарушения регламента  Некорректная настройка межсетевых
использования сети экранов
 Обновления антивирусного ПО
 Отсутствие обучения пользователей в
сфере ИБ
 Допуск неквалифицированного
 персонала к обеспечению ИБ
2009, SANS Insitute
20.07.09 Copyright © BMS consulting, 2009 7

PCI DSS учитывает это!
20.07.09 Copyright © BMS consulting, 2009 8

План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 9

Жизненный цикл стандарта
20.07.09 Copyright © BMS consulting, 2009 10

План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 11

20.07.09 Copyright © BMS consulting, 2009 12

Вопрос 1.
Так что же дает стандарт?
20.07.09 Copyright © BMS consulting, 2009 13

Вопрос 2.
Кому верить?
 Санкции PCI к QSA
 Некачественная работа
 «Медвежьи» услуги
20.07.09 Copyright © BMS consulting, 2009 14

Вопрос 3.
Июль 2010 года?!
20.07.09 Copyright © BMS consulting, 2009 15

Вопрос 4.
Как быть с приоритетами?
 Первая стадия разработки
 Не инструмент аудита
 Нужен «новичкам» и SMB retail
 Подготовка к SAQ
20.07.09 Copyright © BMS consulting, 2009 16

Вопрос 5.
Аутсорсинг или его «дети»?
20.07.09 Copyright © BMS consulting, 2009 17

План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 18

Наши прогнозы
 Безопасность баз данных
 Управление уязвимостями
 Аутсорсинг
 Борьба за качество аудита
 PA DSS
20.07.09 Copyright © BMS consulting, 2009 19

Добрый совет
 Надежный партнер
 Квалифицированная консультация
 Меры «внешние» и «внутренние»
 Процессы, а не проекты
Внутренние меры Внешний опыт и знания
20.07.09 Copyright © BMS consulting, 2009 20

Спасибо заза внимание!
Спасибо внимание!
www.bms-consulting.com