More Related Content
Similar to Основные этапы процесса достижения соответствия PCI DSS
Similar to Основные этапы процесса достижения соответствия PCI DSS (20)
More from Digital Security
More from Digital Security (13)
Основные этапы процесса достижения соответствия PCI DSS
- 1. Основные этапы процесса
достижения соответствия PCI DSS
Сергей Шустиков
Digital Security
Руководитель направления менеджмента ИБ, CISA, PCI QSA
- 2. Основные этапы процесса достижения соответствия PCI DSS
Соответствие PCI DSS
1. Соответствие PCI DSS – это 100% выполнение требований стандарта
2. Обязательно для всех компаний, работающих с платежными картами: банков,
процессинговых центров, торгово-сервисных предприятий, поставщиков услуг
3. Крайний срок достижения соответствия по требованиям Visa – 30 сентября 2010 года
4. Для поставщиков услуг, обрабатывающих данные о более чем 300 000 платежных карт в год,
обязателен ежегодный аудит, подтверждающий соответствие требованиям PCI DSS,
проводимый компанией, обладающей статусом QSA
© 2002—2010, Digital Security 2
- 3. Основные этапы процесса достижения соответствия PCI DSS
Процесс достижения соответствия
1. Предварительный аудит – определение исходного уровня несоответствия
2. Разработка рекомендаций по устранению несоответствий
3. Разработка технического проекта изменений, вносимых в информационную инфраструктуру
4. Внедрение изменений в информационную инфраструктуру
5. Разработка и документирование процессов управления информационной безопасностью
6. Регламентированные проверки - тест на проникновение и ASV-сканирование
7. Сертификационный аудит – итоговое подтверждение соответствия
8. Согласование результатов оценки соответствия с МПС или эквайером
© 2002—2010, Digital Security 3
- 4. Основные этапы процесса достижения соответствия PCI DSS
Роли исполняют
QSA-консультант
Заказчик
Интегратор
© 2002—2010, Digital Security 4
- 5. Основные этапы процесса достижения соответствия PCI DSS
Варианты взаимодействия
1. Малый или средний заказчик, который самостоятельно внедряет изменения:
2. Крупный заказчик, QSA-консультант является интегратором:
3. Крупный заказчик, QSA-консультант и интегратор – независимы:
© 2002—2010, Digital Security 5
- 6. Основные этапы процесса достижения соответствия PCI DSS
Оптимальный вариант для малого заказчика
1. QSA-консультант проводит предварительный аудит
2. QSA-консультант разрабатывает подробные рекомендации
3. Заказчик планирует и внедряет изменения в инфраструктуру
4. QSA-консультант документирует процессы управления ИБ
5. QSA-консультант проводит регламентированные проверки
6. QSA-консультант проводит сертификационный аудит
© 2002—2010, Digital Security 6
- 7. Основные этапы процесса достижения соответствия PCI DSS
Оптимальный вариант для крупного заказчика
1. QSA-консультант проводит предварительный аудит
2. QSA-консультант разрабатывает подробные рекомендации
3. Интегратор разрабатывает технический проект изменений
4. Заказчик и QSA-консультант согласуют технический проект
5. Интегратор внедряет изменения в инфраструктуру
6. QSA-консультант контролирует процесс внедрения
© 2002—2010, Digital Security 7
- 8. Основные этапы процесса достижения соответствия PCI DSS
Оптимальный вариант для крупного заказчика
7. QSA-консультант документирует процессы управления ИБ
8. Интегратор разрабатывает низкоуровневые процедуры
9. QSA-консультант проводит регламентированные проверки
10. QSA-консультант проводит сертификационный аудит
© 2002—2010, Digital Security 8
- 9. Основные этапы процесса достижения соответствия PCI DSS
Документооборот
Экспертное
ROC- Разработка
Предварительный Разработка заключение с
технического
аудит рекомендаций рекомендациями
проекта
ROC- Технический
проект
Экспертное
Документирование
заключение с Внедрение
процессов
рекомендациями изменений в
управления ИБ
инфраструктуру
Документация СМИБ компании
Action Plan
Акт приёмки
работ
Согласование
результатов с ROC+ Сертификационный Отчет Pentest Регламентированные
МПС или AOC аудит Отчет ASV проверки
эквайером
© 2002—2010, Digital Security 9
- 10. Основные этапы процесса достижения соответствия PCI DSS
Результат
соответствие ≠ безопасность
Стремление к соответствию Стремление к безопасности
не обеспечит безопасность обеспечит соответствие
© 2002—2010, Digital Security 10
- 11. Основные этапы процесса достижения соответствия PCI DSS
Вопросы?
Ответы на PCIDSS.RU!
April 2010:
PCIDSSRU.COM
international
© 2002—2010, Digital Security 11