SlideShare a Scribd company logo

Порядок сертификации программного обеспечения по требованиям стандарта P A D S S

Download as PPS, PDF
Informzaschita
Informzaschita
1 of 10
Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Порядок сертификации по требованиям стандарта PA-DSS “Стандарт PA-DSS: безопасность платежных приложений” Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
Этапы сертификации
Предварительная оценка соответствия • Предварительная оценка выполнения требований • Выбор решений по устранению недостатков • Анализ трудоемкости и взаимосвязи необходимых работ План достижения соответствия PA-DSS
Предварительная оценка. Особенности • Основные методы сбора информации – Интервью – Проверка документации • Цель – сбор. Нет задачи опровергнуть или доказать собранную информацию
Реализация плана. Роль QSA • Консультации по PCI DSS и PA-DSS • Проверка дорабатываемой/разрабатываемой документации • Контроль хода работ плана
Сертификационные проверки • Подтверждение выполнения требований ИБ в рамках процессов разработки и поддержки приложений • Лабораторные проверки требований PCI DSS – выполнение запрета хранения критичных данных – правила хранения номеров карт – порядок аутентификации и управления учетными записями – протоколирование событий и др. • Анализ совместимости с остальными требованиями стандарта PCI DSS – отсутствие конфликтов со средствами защиты – возможность размещения в инфраструктуре с межсетевыми экранами и т. п. • Лабораторное тестирование безопасности приложений – уязвимости протоколов/интерфейсов – web-уязвимости и др.
Сертификационные проверки. Особенности • Проверки начинаются «с чистого листа» • Аудитор следует инструкциям руководства по выполнению PCI DSS (Implementation Guide) • Лабораторная среда контролируется аудитором • Проверки повторяются для каждой сертифицируемой платформы приложения (ОС, СУБД)
Утверждение результатов PCI SSC QSA: Отчет QSA: Отчет Вендор: Release agreement Вендор: Release agreement PCI SSC: Acceptance Letter PCI SSC: Acceptance Letter PCI SSC: Invoice Letter PCI SSC: Invoice Letter QSA: Сертификат QSA: Сертификат PCI SSC: Публикация на сайте PCI SSC: Публикация на сайте Вендор: Оплата публикации Вендор: Оплата публикации PCI SSC: Контроль качества PCI SSC: Контроль качества
Поддержка сертификации Есть план по выпуску релизов ? • «ДА»: – Анализ планируемых изменений – Оценка бюджета на поддержку • «НЕТ»: – Договор годовой поддержки включает “minor”-изменения – “major”-изменения выполняются по доп. соглашению
• (495) 980 23 45 • goldanna@infosec.ru Гольдштейн Анна Заместитель директора департамента аудита ВОПРОСЫ ? “Стандарт PA-DSS: безопасность платежных приложений” Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky

Recommended

порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Предотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюПредотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюSelectedPresentations
 
Планирование процесса Управления Требованиями
Планирование процесса Управления ТребованиямиПланирование процесса Управления Требованиями
Планирование процесса Управления ТребованиямиAlexander Baikin
 
Планирование требований
Планирование требованийПланирование требований
Планирование требованийGrigoriy Pechenkin
 
ERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftEugene Afonin
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 

Recommended

порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Предотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюПредотвращение инсайда – управление рисками и безопасностью
Предотвращение инсайда – управление рисками и безопасностьюSelectedPresentations
 
Планирование процесса Управления Требованиями
Планирование процесса Управления ТребованиямиПланирование процесса Управления Требованиями
Планирование процесса Управления ТребованиямиAlexander Baikin
 
Планирование требований
Планирование требованийПланирование требований
Планирование требованийGrigoriy Pechenkin
 
ERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftEugene Afonin
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Опыт КРОК по внедрению IAM-систем
Опыт КРОК по внедрению IAM-системОпыт КРОК по внедрению IAM-систем
Опыт КРОК по внедрению IAM-системКРОК
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Внедрение СМК и управление качеством с M-Files QMS
Внедрение СМК и управление качеством с M-Files QMSВнедрение СМК и управление качеством с M-Files QMS
Внедрение СМК и управление качеством с M-Files QMSFTS Russia
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкийPositive Hack Days
 
Аудит_публикация
Аудит_публикацияАудит_публикация
Аудит_публикацияMikhail Khazanchuk
 
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. UkraineProcess Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. UkraineSergiy Povolyashko, PMP
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
Система управления качеством (Денис Бугров, Денис Самосеев)
Система управления качеством (Денис Бугров, Денис Самосеев)Система управления качеством (Денис Бугров, Денис Самосеев)
Система управления качеством (Денис Бугров, Денис Самосеев)Ontico
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитDeiteriy Co. Ltd.
 
Управление процессами разработки ПО
Управление процессами разработки ПОУправление процессами разработки ПО
Управление процессами разработки ПОPeoplemind
 
Дизайн для шести сигм (DFSS): содержание второго вебинара
Дизайн для шести сигм (DFSS): содержание второго вебинара Дизайн для шести сигм (DFSS): содержание второго вебинара
Дизайн для шести сигм (DFSS): содержание второго вебинара SixSigmaOnline
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014: RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014: Iosif Itkin
 

More Related Content

Similar to Порядок сертификации программного обеспечения по требованиям стандарта P A D S S

Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Опыт КРОК по внедрению IAM-систем
Опыт КРОК по внедрению IAM-системОпыт КРОК по внедрению IAM-систем
Опыт КРОК по внедрению IAM-системКРОК
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Внедрение СМК и управление качеством с M-Files QMS
Внедрение СМК и управление качеством с M-Files QMSВнедрение СМК и управление качеством с M-Files QMS
Внедрение СМК и управление качеством с M-Files QMSFTS Russia
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкийPositive Hack Days
 
Аудит_публикация
Аудит_публикацияАудит_публикация
Аудит_публикацияMikhail Khazanchuk
 
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. UkraineProcess Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. UkraineSergiy Povolyashko, PMP
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
Система управления качеством (Денис Бугров, Денис Самосеев)
Система управления качеством (Денис Бугров, Денис Самосеев)Система управления качеством (Денис Бугров, Денис Самосеев)
Система управления качеством (Денис Бугров, Денис Самосеев)Ontico
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитDeiteriy Co. Ltd.
 
Управление процессами разработки ПО
Управление процессами разработки ПОУправление процессами разработки ПО
Управление процессами разработки ПОPeoplemind
 
Дизайн для шести сигм (DFSS): содержание второго вебинара
Дизайн для шести сигм (DFSS): содержание второго вебинара Дизайн для шести сигм (DFSS): содержание второго вебинара
Дизайн для шести сигм (DFSS): содержание второго вебинара SixSigmaOnline
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014: RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014: Iosif Itkin
 

Similar to Порядок сертификации программного обеспечения по требованиям стандарта P A D S S (20)

Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
Опыт КРОК по внедрению IAM-систем
Опыт КРОК по внедрению IAM-системОпыт КРОК по внедрению IAM-систем
Опыт КРОК по внедрению IAM-систем
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Внедрение СМК и управление качеством с M-Files QMS
Внедрение СМК и управление качеством с M-Files QMSВнедрение СМК и управление качеством с M-Files QMS
Внедрение СМК и управление качеством с M-Files QMS
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкий
 
Аудит_публикация
Аудит_публикацияАудит_публикация
Аудит_публикация
 
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. UkraineProcess Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
 
Система управления качеством (Денис Бугров, Денис Самосеев)
Система управления качеством (Денис Бугров, Денис Самосеев)Система управления качеством (Денис Бугров, Денис Самосеев)
Система управления качеством (Денис Бугров, Денис Самосеев)
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
 
Управление процессами разработки ПО
Управление процессами разработки ПОУправление процессами разработки ПО
Управление процессами разработки ПО
 
Дизайн для шести сигм (DFSS): содержание второго вебинара
Дизайн для шести сигм (DFSS): содержание второго вебинара Дизайн для шести сигм (DFSS): содержание второго вебинара
Дизайн для шести сигм (DFSS): содержание второго вебинара
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014: RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
RSTQB Presentation about ISTQB Agile Tester during TMPA-2014:
 

Порядок сертификации программного обеспечения по требованиям стандарта P A D S S

  • 1. Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Порядок сертификации по требованиям стандарта PA-DSS “Стандарт PA-DSS: безопасность платежных приложений” Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
  • 3. Предварительная оценка соответствия • Предварительная оценка выполнения требований • Выбор решений по устранению недостатков • Анализ трудоемкости и взаимосвязи необходимых работ План достижения соответствия PA-DSS
  • 4. Предварительная оценка. Особенности • Основные методы сбора информации – Интервью – Проверка документации • Цель – сбор. Нет задачи опровергнуть или доказать собранную информацию
  • 5. Реализация плана. Роль QSA • Консультации по PCI DSS и PA-DSS • Проверка дорабатываемой/разрабатываемой документации • Контроль хода работ плана
  • 6. Сертификационные проверки • Подтверждение выполнения требований ИБ в рамках процессов разработки и поддержки приложений • Лабораторные проверки требований PCI DSS – выполнение запрета хранения критичных данных – правила хранения номеров карт – порядок аутентификации и управления учетными записями – протоколирование событий и др. • Анализ совместимости с остальными требованиями стандарта PCI DSS – отсутствие конфликтов со средствами защиты – возможность размещения в инфраструктуре с межсетевыми экранами и т. п. • Лабораторное тестирование безопасности приложений – уязвимости протоколов/интерфейсов – web-уязвимости и др.
  • 7. Сертификационные проверки. Особенности • Проверки начинаются «с чистого листа» • Аудитор следует инструкциям руководства по выполнению PCI DSS (Implementation Guide) • Лабораторная среда контролируется аудитором • Проверки повторяются для каждой сертифицируемой платформы приложения (ОС, СУБД)
  • 8. Утверждение результатов PCI SSC QSA: Отчет QSA: Отчет Вендор: Release agreement Вендор: Release agreement PCI SSC: Acceptance Letter PCI SSC: Acceptance Letter PCI SSC: Invoice Letter PCI SSC: Invoice Letter QSA: Сертификат QSA: Сертификат PCI SSC: Публикация на сайте PCI SSC: Публикация на сайте Вендор: Оплата публикации Вендор: Оплата публикации PCI SSC: Контроль качества PCI SSC: Контроль качества
  • 9. Поддержка сертификации Есть план по выпуску релизов ? • «ДА»: – Анализ планируемых изменений – Оценка бюджета на поддержку • «НЕТ»: – Договор годовой поддержки включает “minor”-изменения – “major”-изменения выполняются по доп. соглашению
  • 10. • (495) 980 23 45 • goldanna@infosec.ru Гольдштейн Анна Заместитель директора департамента аудита ВОПРОСЫ ? “Стандарт PA-DSS: безопасность платежных приложений” Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky