Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»<br />г. Алмата, 18 марта 2011 года, отель...
Статистика инцидентов*<br />*по данным Verizon 2010 Data Breach Investigations Report<br />
«…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.»<br />Ellen Richey, V...
Основные сложности при поддержании PCI compliance<br />Своевременное устранение уязвимостей<br />Установка обновлений на С...
Проблемы повторных аудитов «PCI compliance» организаций<br />Всплыли  процедуры и процессы сделанные «под PCI Compliance»<...
Лучшие практики на страже PCI compliance<br />Наличие выделенного ComplianceOfficer<br />Включение вопросов PCI в программ...
Технические решения – помощники поддержания соответствия<br />PA-DSS сертифицированные приложения<br />Контроль изменений/...
Заглядывая в будущее<br />Расширение области применения PCI DSS<br />Шифрование данных карт в рамках всех процессов<br />П...
Вопросы<br />Бабенко Алексей<br />старший аудитор<br /> a.babenko@infosec.ru<br />+7 (495) 980-23-45 доп.458 <br />www.inf...
Upcoming SlideShare
Loading in …5
×

PCI DSS: поддержание соответствия

921 views

Published on

Основные проблемы и лучшие практики в вопросах поддержания соответствия

Published in: Technology
  • Be the first to comment

  • Be the first to like this

PCI DSS: поддержание соответствия

  1. 1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам»<br />г. Алмата, 18 марта 2011 года, отель Intercontinental<br />Есть ли жизнь после compliance?<br />Поддержание соответствия: основные проблемы<br />Бабенко Алексей<br />старший аудитор<br />
  2. 2. Статистика инцидентов*<br />*по данным Verizon 2010 Data Breach Investigations Report<br />
  3. 3. «…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.»<br />Ellen Richey, VISA chief enterprise risk officer<br />«…ни одна скомпрометированная <br />организация не соответствовала <br />требованиям PCI DSS на момент взлома»<br />Эллен Ричи, главный риск-менеджер VISA<br />
  4. 4. Основные сложности при поддержании PCI compliance<br />Своевременное устранение уязвимостей<br />Установка обновлений на СУБД<br />Следование процедурам контроля конфигураций, внедрение стандартов на новых системах <br />Внедрение новых приложений<br />Поддержание компенсационных мер<br />Мониторинг событий и реагирование на инциденты<br />Реальный анализ рисков ИБ<br />
  5. 5. Проблемы повторных аудитов «PCI compliance» организаций<br />Всплыли процедуры и процессы сделанные «под PCI Compliance»<br />Бизнес расширился – система безопасности нет<br />При смена аудитора QSA могут измениться<br />границы аудита <br />интерпретация требований стандарта<br />оценка достаточности компенсационных мер<br />
  6. 6. Лучшие практики на страже PCI compliance<br />Наличие выделенного ComplianceOfficer<br />Включение вопросов PCI в программу<br />управления операционными рисками<br />Включение проверок PCI DSS в программу <br />внутреннего аудита<br />Формализация всех процессов ИБ<br />
  7. 7. Технические решения – помощники поддержания соответствия<br />PA-DSS сертифицированные приложения<br />Контроль изменений/конфигураций<br />Автоматизация установки обновлений<br />Использование СЭД и ServiceDesk для поддержания процессов согласования изменений и предоставления доступа<br />idMрешения для управления доступом<br />
  8. 8. Заглядывая в будущее<br />Расширение области применения PCI DSS<br />Шифрование данных карт в рамках всех процессов<br />Переход от «зоопарка» к единообразным расширяемым решениям<br />Реализация всех требований PCI DSS для ATM<br />
  9. 9. Вопросы<br />Бабенко Алексей<br />старший аудитор<br /> a.babenko@infosec.ru<br />+7 (495) 980-23-45 доп.458 <br />www.infosec.ru<br />

×