1. Жизнь после PCI
Compliance
Эмм Максим, MBA, QSA, CISA, CISSP
Директор Департамента Аудита
2. «…no compromised entity has yet been found to
be in compliance with PCI DSS at the time of a
breach.»
Ellen Richey, VISA chief enterprise risk officer
«…ни одна скомпрометированная
организация не соответствовала
требованиям PCI DSS на момент взлома»
Эллен Ричи, главный риск-менеджер VISA
4. Основные сложности при
поддержании PCI Compliance
• Своевременное устранение уязвимостей
• Установка обновлений на СУБД
• Следование процедурам контроля конфигураций
• Внедрение новых приложений
• Поддержание компенсационных мер
• Внедрение стандартов конфигурирования на новых
системах
• Мониторинг событий и реагирование на инциденты
• Реальный анализ рисков ИБ
5. Вторая годовщина PCI Compliance
• Все процедуры и процессы сделанные
«под PCI Compliance»
• Места для хранения логов может и не
хватить
• При смена аудитора QSA могут измениться
– границы аудита
– интерпретация требований стандарта
– Оценка достаточности компенсационных мер
6. Модели зрелости IT
Не существует Начало Повторение Описание Управление Оптимизация
0 1 2 3 4 5
Легенда для Легенда для используемой шкалы
используемых символов
0 Не существует - Процессы управления не применяются
Текущий статус организации
1 Начало - Процессы специализированы и неорганизованны
Требования международных 2 Повторение - Процессы повторяются на регулярном основании
стандартов 3 Описание - Процессы документированы и взаимосвязаны
4 Управление - Процессы наблюдаются и измеряются
“Лучшая практика” индустрии 5 Оптимизация - Процессы соответствуют “лучшей практике“ и
автоматизированы
Стратегия организации
7. Ключевые факторы успеха
• Сервисная модель услуги IT и IT Security с
метриками
• Наличие выделенного Compliance Officer
• Наличие 3+ уровня зрелости IT процессов
• Включение вопросов PCI в программу
управления операционными рисками
• Включение проверок PCI DSS в программу
внутреннего аудита
• Формализация всех процессов ИБ
8. Технические решения, упрощающие
поддержание PCI Compliance
• PA DSS сертифицированные приложения
для обработки карт
• Контроль изменений/конфигураций с
помощью специальных средств
• Автоматизация установки обновлений
• Использование СЭД и Service Desk для
поддержания процессов согласования
изменений и предоставления доступа
• IDM решения для управления доступом
9. Следующие серьезные шаги
• Расширение области применения PCI DSS и
выполнение требований в бэк-оффисных
системах
• Шифрование данных карт во всех СУБД
• Изменение прикладных систем
обрабатывающих карты
• Реализация всех требований PCI DSS для
ATM
10. “PCI Compliance: Информационная безопасность в индус
платежных карт”
Семинар компании «Информзащита»
г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky
ВОПРОСЫ ?
Эмм Максим, MBA, QSA, CISA, CIS
Директор Департамента Аудита
(495) 980 23 45
maxus@infosec.ru