SlideShare a Scribd company logo

Основные этапы процесса достижения соответствия PCI DSS

D
Digital Security
1 of 11
Download to read offline
Основные этапы процесса достижения соответствия PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
Основные этапы процесса достижения соответствия PCI DSS Соответствие PCI DSS 1. Соответствие PCI DSS – это 100% выполнение требований стандарта 2. Обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Крайний срок достижения соответствия по требованиям Visa – 30 сентября 2010 года 4. Для поставщиков услуг, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, подтверждающий соответствие требованиям PCI DSS, проводимый компанией, обладающей статусом QSA © 2002—2010, Digital Security 2
Основные этапы процесса достижения соответствия PCI DSS Процесс достижения соответствия 1. Предварительный аудит – определение исходного уровня несоответствия 2. Разработка рекомендаций по устранению несоответствий 3. Разработка технического проекта изменений, вносимых в информационную инфраструктуру 4. Внедрение изменений в информационную инфраструктуру 5. Разработка и документирование процессов управления информационной безопасностью 6. Регламентированные проверки - тест на проникновение и ASV-сканирование 7. Сертификационный аудит – итоговое подтверждение соответствия 8. Согласование результатов оценки соответствия с МПС или эквайером © 2002—2010, Digital Security 3
Основные этапы процесса достижения соответствия PCI DSS Роли исполняют QSA-консультант Заказчик Интегратор © 2002—2010, Digital Security 4
Основные этапы процесса достижения соответствия PCI DSS Варианты взаимодействия 1. Малый или средний заказчик, который самостоятельно внедряет изменения: 2. Крупный заказчик, QSA-консультант является интегратором: 3. Крупный заказчик, QSA-консультант и интегратор – независимы: © 2002—2010, Digital Security 5
Основные этапы процесса достижения соответствия PCI DSS Оптимальный вариант для малого заказчика 1. QSA-консультант проводит предварительный аудит 2. QSA-консультант разрабатывает подробные рекомендации 3. Заказчик планирует и внедряет изменения в инфраструктуру 4. QSA-консультант документирует процессы управления ИБ 5. QSA-консультант проводит регламентированные проверки 6. QSA-консультант проводит сертификационный аудит © 2002—2010, Digital Security 6
Основные этапы процесса достижения соответствия PCI DSS Оптимальный вариант для крупного заказчика 1. QSA-консультант проводит предварительный аудит 2. QSA-консультант разрабатывает подробные рекомендации 3. Интегратор разрабатывает технический проект изменений 4. Заказчик и QSA-консультант согласуют технический проект 5. Интегратор внедряет изменения в инфраструктуру 6. QSA-консультант контролирует процесс внедрения © 2002—2010, Digital Security 7
Основные этапы процесса достижения соответствия PCI DSS Оптимальный вариант для крупного заказчика 7. QSA-консультант документирует процессы управления ИБ 8. Интегратор разрабатывает низкоуровневые процедуры 9. QSA-консультант проводит регламентированные проверки 10. QSA-консультант проводит сертификационный аудит © 2002—2010, Digital Security 8
Основные этапы процесса достижения соответствия PCI DSS Документооборот Экспертное ROC- Разработка Предварительный Разработка заключение с технического аудит рекомендаций рекомендациями проекта ROC- Технический проект Экспертное Документирование заключение с Внедрение процессов рекомендациями изменений в управления ИБ инфраструктуру Документация СМИБ компании Action Plan Акт приёмки работ Согласование результатов с ROC+ Сертификационный Отчет Pentest Регламентированные МПС или AOC аудит Отчет ASV проверки эквайером © 2002—2010, Digital Security 9
Основные этапы процесса достижения соответствия PCI DSS Результат соответствие ≠ безопасность Стремление к соответствию Стремление к безопасности не обеспечит безопасность обеспечит соответствие © 2002—2010, Digital Security 10
Основные этапы процесса достижения соответствия PCI DSS Вопросы? Ответы на PCIDSS.RU! April 2010: PCIDSSRU.COM international © 2002—2010, Digital Security 11

Recommended

Эволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов CiscoЭволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов CiscoCisco Russia
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройКРОК
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиКРОК
 
Каталог экспресс-услуг
Каталог экспресс-услугКаталог экспресс-услуг
Каталог экспресс-услугКРОК
 

Recommended

Эволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов CiscoЭволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов CiscoCisco Russia
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройКРОК
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиКРОК
 
Каталог экспресс-услуг
Каталог экспресс-услугКаталог экспресс-услуг
Каталог экспресс-услугКРОК
 
Cisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Russia
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами КРОК
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийКРОК
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиКарта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиSoftline
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложенийКРОК
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Cisco Russia
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Финансово-экономическое управление Хрунечева на базе ПО 1С
Финансово-экономическое управление Хрунечева на базе ПО 1СФинансово-экономическое управление Хрунечева на базе ПО 1С
Финансово-экономическое управление Хрунечева на базе ПО 1СКРОК
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Бекетов (1С) - Управление информационными технологиями предприятия
Бекетов (1С) - Управление информационными технологиями предприятияБекетов (1С) - Управление информационными технологиями предприятия
Бекетов (1С) - Управление информационными технологиями предприятияExpolink
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыCisco Russia
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA EnglishArma Systems
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОККРОК
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Мобильные устройства и информационная безопасность — ключевые риски и способы...
Мобильные устройства и информационная безопасность — ключевые риски и способы...Мобильные устройства и информационная безопасность — ключевые риски и способы...
Мобильные устройства и информационная безопасность — ключевые риски и способы...КРОК
 

More Related Content

What's hot

Cisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Russia
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами КРОК
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийКРОК
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиКарта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиSoftline
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложенийКРОК
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Cisco Russia
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Финансово-экономическое управление Хрунечева на базе ПО 1С
Финансово-экономическое управление Хрунечева на базе ПО 1СФинансово-экономическое управление Хрунечева на базе ПО 1С
Финансово-экономическое управление Хрунечева на базе ПО 1СКРОК
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Бекетов (1С) - Управление информационными технологиями предприятия
Бекетов (1С) - Управление информационными технологиями предприятияБекетов (1С) - Управление информационными технологиями предприятия
Бекетов (1С) - Управление информационными технологиями предприятияExpolink
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыCisco Russia
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОККРОК
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 

What's hot (20)

Cisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденции
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 
Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиКарта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасности
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложений
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
Финансово-экономическое управление Хрунечева на базе ПО 1С
Финансово-экономическое управление Хрунечева на базе ПО 1СФинансово-экономическое управление Хрунечева на базе ПО 1С
Финансово-экономическое управление Хрунечева на базе ПО 1С
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Бекетов (1С) - Управление информационными технологиями предприятия
Бекетов (1С) - Управление информационными технологиями предприятияБекетов (1С) - Управление информационными технологиями предприятия
Бекетов (1С) - Управление информационными технологиями предприятия
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОК
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 

Viewers also liked

Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Мобильные устройства и информационная безопасность — ключевые риски и способы...
Мобильные устройства и информационная безопасность — ключевые риски и способы...Мобильные устройства и информационная безопасность — ключевые риски и способы...
Мобильные устройства и информационная безопасность — ключевые риски и способы...КРОК
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюКРОК
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Защита современного предприятия сейчас и в будущем
Защита современного предприятия сейчас и в будущемЗащита современного предприятия сейчас и в будущем
Защита современного предприятия сейчас и в будущемCisco Russia
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 

Viewers also liked (9)

Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Мобильные устройства и информационная безопасность — ключевые риски и способы...
Мобильные устройства и информационная безопасность — ключевые риски и способы...Мобильные устройства и информационная безопасность — ключевые риски и способы...
Мобильные устройства и информационная безопасность — ключевые риски и способы...
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностью
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Защита современного предприятия сейчас и в будущем
Защита современного предприятия сейчас и в будущемЗащита современного предприятия сейчас и в будущем
Защита современного предприятия сейчас и в будущем
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 

Similar to Основные этапы процесса достижения соответствия PCI DSS

История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Видео как инструмент управления
Видео как инструмент управленияВидео как инструмент управления
Видео как инструмент управленияNikolai Ptitsyn
 
Оценка эффективности от внедрения и использования методологии и инструменталь...
Оценка эффективности от внедрения и использования методологии и инструменталь...Оценка эффективности от внедрения и использования методологии и инструменталь...
Оценка эффективности от внедрения и использования методологии и инструменталь...Alexander Novichkov
 
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...Cisco Russia
 
механизмы управления исполнением обязательст. презентация для ленэнерго V3
механизмы управления исполнением обязательст. презентация для ленэнерго V3механизмы управления исполнением обязательст. презентация для ленэнерго V3
механизмы управления исполнением обязательст. презентация для ленэнерго V3RnD_SM
 
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиIFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиInternational Federation of Accountants
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению АктивамиComarch SA
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Эффективное внедрение методологии и инструментальных средств.
Эффективное внедрение методологии и инструментальных средств.Эффективное внедрение методологии и инструментальных средств.
Эффективное внедрение методологии и инструментальных средств.Alexander Novichkov
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитDeiteriy Co. Ltd.
 
LucaNet Brochure
LucaNet BrochureLucaNet Brochure
LucaNet Brochuredmitrysar
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Выход на межднародный рынок проектных работ. трудности и возможности
Выход на межднародный рынок проектных работ. трудности и возможностиВыход на межднародный рынок проектных работ. трудности и возможности
Выход на межднародный рынок проектных работ. трудности и возможностиTanya Gadzevych
 

Similar to Основные этапы процесса достижения соответствия PCI DSS (20)

История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
Видео как инструмент управления
Видео как инструмент управленияВидео как инструмент управления
Видео как инструмент управления
 
Оценка эффективности от внедрения и использования методологии и инструменталь...
Оценка эффективности от внедрения и использования методологии и инструменталь...Оценка эффективности от внедрения и использования методологии и инструменталь...
Оценка эффективности от внедрения и использования методологии и инструменталь...
 
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
 
ITP Presentation
ITP PresentationITP Presentation
ITP Presentation
 
ТеМП 2012. Проект команды гринатом
ТеМП 2012. Проект команды гринатомТеМП 2012. Проект команды гринатом
ТеМП 2012. Проект команды гринатом
 
механизмы управления исполнением обязательст. презентация для ленэнерго V3
механизмы управления исполнением обязательст. презентация для ленэнерго V3механизмы управления исполнением обязательст. презентация для ленэнерго V3
механизмы управления исполнением обязательст. презентация для ленэнерго V3
 
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиIFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 
Эффективное внедрение методологии и инструментальных средств.
Эффективное внедрение методологии и инструментальных средств.Эффективное внедрение методологии и инструментальных средств.
Эффективное внедрение методологии и инструментальных средств.
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
 
LucaNet Brochure
LucaNet BrochureLucaNet Brochure
LucaNet Brochure
 
It-tuning itsm_pm
It-tuning itsm_pmIt-tuning itsm_pm
It-tuning itsm_pm
 
Software people 2011
Software people 2011 Software people 2011
Software people 2011
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Выход на межднародный рынок проектных работ. трудности и возможности
Выход на межднародный рынок проектных работ. трудности и возможностиВыход на межднародный рынок проектных работ. трудности и возможности
Выход на межднародный рынок проектных работ. трудности и возможности
 

More from Digital Security

Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideDigital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS CertificationDigital Security
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБОDigital Security
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSDigital Security
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложенийDigital Security
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийDigital Security
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 

More from Digital Security (13)

Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
 

Основные этапы процесса достижения соответствия PCI DSS

  • 1. Основные этапы процесса достижения соответствия PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
  • 2. Основные этапы процесса достижения соответствия PCI DSS Соответствие PCI DSS 1. Соответствие PCI DSS – это 100% выполнение требований стандарта 2. Обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Крайний срок достижения соответствия по требованиям Visa – 30 сентября 2010 года 4. Для поставщиков услуг, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, подтверждающий соответствие требованиям PCI DSS, проводимый компанией, обладающей статусом QSA © 2002—2010, Digital Security 2
  • 3. Основные этапы процесса достижения соответствия PCI DSS Процесс достижения соответствия 1. Предварительный аудит – определение исходного уровня несоответствия 2. Разработка рекомендаций по устранению несоответствий 3. Разработка технического проекта изменений, вносимых в информационную инфраструктуру 4. Внедрение изменений в информационную инфраструктуру 5. Разработка и документирование процессов управления информационной безопасностью 6. Регламентированные проверки - тест на проникновение и ASV-сканирование 7. Сертификационный аудит – итоговое подтверждение соответствия 8. Согласование результатов оценки соответствия с МПС или эквайером © 2002—2010, Digital Security 3
  • 4. Основные этапы процесса достижения соответствия PCI DSS Роли исполняют QSA-консультант Заказчик Интегратор © 2002—2010, Digital Security 4
  • 5. Основные этапы процесса достижения соответствия PCI DSS Варианты взаимодействия 1. Малый или средний заказчик, который самостоятельно внедряет изменения: 2. Крупный заказчик, QSA-консультант является интегратором: 3. Крупный заказчик, QSA-консультант и интегратор – независимы: © 2002—2010, Digital Security 5
  • 6. Основные этапы процесса достижения соответствия PCI DSS Оптимальный вариант для малого заказчика 1. QSA-консультант проводит предварительный аудит 2. QSA-консультант разрабатывает подробные рекомендации 3. Заказчик планирует и внедряет изменения в инфраструктуру 4. QSA-консультант документирует процессы управления ИБ 5. QSA-консультант проводит регламентированные проверки 6. QSA-консультант проводит сертификационный аудит © 2002—2010, Digital Security 6
  • 7. Основные этапы процесса достижения соответствия PCI DSS Оптимальный вариант для крупного заказчика 1. QSA-консультант проводит предварительный аудит 2. QSA-консультант разрабатывает подробные рекомендации 3. Интегратор разрабатывает технический проект изменений 4. Заказчик и QSA-консультант согласуют технический проект 5. Интегратор внедряет изменения в инфраструктуру 6. QSA-консультант контролирует процесс внедрения © 2002—2010, Digital Security 7
  • 8. Основные этапы процесса достижения соответствия PCI DSS Оптимальный вариант для крупного заказчика 7. QSA-консультант документирует процессы управления ИБ 8. Интегратор разрабатывает низкоуровневые процедуры 9. QSA-консультант проводит регламентированные проверки 10. QSA-консультант проводит сертификационный аудит © 2002—2010, Digital Security 8
  • 9. Основные этапы процесса достижения соответствия PCI DSS Документооборот Экспертное ROC- Разработка Предварительный Разработка заключение с технического аудит рекомендаций рекомендациями проекта ROC- Технический проект Экспертное Документирование заключение с Внедрение процессов рекомендациями изменений в управления ИБ инфраструктуру Документация СМИБ компании Action Plan Акт приёмки работ Согласование результатов с ROC+ Сертификационный Отчет Pentest Регламентированные МПС или AOC аудит Отчет ASV проверки эквайером © 2002—2010, Digital Security 9
  • 10. Основные этапы процесса достижения соответствия PCI DSS Результат соответствие ≠ безопасность Стремление к соответствию Стремление к безопасности не обеспечит безопасность обеспечит соответствие © 2002—2010, Digital Security 10
  • 11. Основные этапы процесса достижения соответствия PCI DSS Вопросы? Ответы на PCIDSS.RU! April 2010: PCIDSSRU.COM international © 2002—2010, Digital Security 11