Сертификация системы управления информационной безопасностьюКРОК
Специалисты КРОК разрабатывают комплексные системы управления информаци- онной безопасностью (СУИБ), которые соответствуют требованиям международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006).
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
DDoS-атака может быть направлена на заполнение полосы пропускания, исчерпание ресурсов атакуемого сервиса, исчерпание ресурсов операционной системы и ресур- сов приложения.
Подробнее на http://www.croc.ru/solution/integration/insecurity/network-security/
КРОК предлагает полный спектр услуг в области информационной безопасности (ИБ) — от внедрения конкретных программно-аппаратных решений ИБ до создания комплексной системы управления информационной безопасностью.
Подробнее http://www.croc.ru/solution/integration/insecurity/
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Сертификация системы управления информационной безопасностьюКРОК
Специалисты КРОК разрабатывают комплексные системы управления информаци- онной безопасностью (СУИБ), которые соответствуют требованиям международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006).
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
DDoS-атака может быть направлена на заполнение полосы пропускания, исчерпание ресурсов атакуемого сервиса, исчерпание ресурсов операционной системы и ресур- сов приложения.
Подробнее на http://www.croc.ru/solution/integration/insecurity/network-security/
КРОК предлагает полный спектр услуг в области информационной безопасности (ИБ) — от внедрения конкретных программно-аппаратных решений ИБ до создания комплексной системы управления информационной безопасностью.
Подробнее http://www.croc.ru/solution/integration/insecurity/
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем.
С 30 июня 2015 станет обязательным соответствие требованиям последней версии стандарта PCI DSS 3.0, которая вышла в ноябре 2013 года. Уже сейчас стали актуальными вопросы подготовки организации и сертификации по новым требованиям.
В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения новой версии PCI DSS 3.0.
Международный и российский опыт внедрения PCI DSS. Типовой проект по внедрению PCI DSS. Варианты аутсорсинга и взаимодействие с консультантом. Выбор метода подтверждения соответствия.
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
1. V Уральский форум «Информационная безопасность банков»
11-16 февраля 2013, Республика Башкортостан
Программа для банков-эквайеров
по приведению мерчантов к PCI DSS
Алексей Бабенко
руководитель направления, PA&PCI QSA
2. О чем Вы могли забыть…
Стандарт PCI DSS применим ко всем объектам и организациям,
осуществляющим хранение, обработку или передачу данных
платежных карт.
МПС определяют требования по подтверждению соответствия и
штрафные меры, исходя из собственных рисков.
Крайние сроки уже наступили (сентябрь 2010, март 2011, июль 2012).
3. Требования МПС
Visa Account Information Security
www.visacemea.com/ac/ais/data_security.jsp
MasterCard Site Data Protection
www.mastercard.com/sdp
American Express Data Security
www.americanexpress.com/datasecurity
Discover Information Security & Compliance
www.discovernetwork.com/merchants/fraud-protection
JCB Data Security Program
www.partner.jcbcard.com/security/jcbprogram
4. Уровни торгово-сервисных предприятий
Количество транзакций за год 1 000 000 6 000 000
+ скомпрометированные ТСП
Уровень ТСП 4 2 1
0
Уровень ТСП
4 3
Количество e-commerce
20 000 1 000 000
транзакций за год
Согласно:
Visa Account Information Security
MasterCard Site Data Protection
6. Отчетность о соответствии PCI DSS
Эквайер несет ответственность за МПС
соблюдение ТСП требований PCI DSS,
в том числе за использование ТСП
PA-DSS сертифицированного ПО.
Экваер,
член МПС
Согласно: ТСП
Visa Account Information Security
MasterCard Site Data Protection
http://www.mastercard.com/us/merchant/pdf/SDP_Program_Revisions.pdf
http://corporate.visa.com/media-center/press-releases/press931.jsp
7. Отчетность о соответствии PCI DSS
Отчетность каждые полгода:
• статус каждого ТСП 1 и 2 уровня,
• сводная статистика по ТСП 3 уровня.
МПС может запросить документацию о проверке соответствия по
конкретному ТСП.
Отчетность ежеквартально: статус каждого ТСП 1, 2, 3 уровня.
8. Risk-based PCI DSS Validation
ТСП реализовавшие шифрование канала передачи ДПК от точки
захвата до процессинга (ТСП не имеет доступа к данным) могут
выполнить только первые 4 пункта PCI SSC's Prioritized Approach.
ТСП реализовавшие прием карт с EMV чипом, для стран с уровнем
использования EMV-транзакций с iCVV не менее 75% могут выполнить
только первые 4 пункта PCI SSC's Prioritized Approach. При условии
доказательства отсутствия хранения критичных данных авторизации
ТСП 1 уровня могут заменить QSA-аудит заполнением SAQ.
9. Visa Technology Innovation Program (TIP)
ТСП могут быть освобождены от ежегодной оценки, если:
• Был подтвержденный факт соответствия PCI DSS (либо
составлен план по его достижению);
• Критичные данные авторизации (track1/2, PIN/PIN-block,
CVV2) не хранятся после завершения процесса авторизации;
• Не менее 75% транзакций обработано с использованием POS
терминалов, поддерживающих EMV-транзакции/
беспроводные карты;
• Нет прецедентов компрометации данных карт.
10. P2PE (Point-to-Point Encryption) решения
Решение P2PE – совокупность устройств, ПО и процессов,
обеспечивающая надежное шифрование данных платежных карт от точки
взаимодействия (POI) до среды расшифрования, а именно:
• Надежное шифрование данных платежных карт в точках
взаимодействия c клиентом (POI);
• Использование P2PE сертифицированных приложений в точках
взаимодействия;
• Безопасное управление устройствами шифрования/расшифрования;
• Обеспечение безопасности среды расшифрования данных и самих
данных в открытом виде, безопасное управление ключами.
Подробнее:
www.slideshare.net/arekusux/pci-p2pe
11. Выгода от внедрения P2PE решений
1
Использование P2PE решений, позволяет сократить область
проверки PCI DSS для ТСП 1 уровня.
2 3 4
ТСП уровня 2-4, использующие для обработки данных только
сертифицированные P2PE решения, заполняют SAQ P2PE-HW v2.0,
содержащий минимальное количество требований (в основном
требования к документированным политикам).
P2PE решения помогают обеспечивать безопасную обработку
данных платежных карт.
12. Услуги компании «Информзащита»
Разработка программы контроля соответствия ТСП;
PCI DSS Compliance для ТСП 1 и 2 уровня;
Заполнение SAQ PCI DSS для ТСП 2, 3 и 4 уровня;
Сканирование PCI ASV.
Подготовка , проведение сертификации PCI DSS, поддержание
соответствия требованиям PCI DSS;
Тест на проникновение PCI DSS.
Сертификация и поддержание соответствия программного
обеспечения требованиям стандарта PA-DSS.
13. Почему мы?
Первые в СНГ: QSA и ASV с 2006 года, PA-QSA с 2008 года.
Профессиональный штат: 8 QSA аудиторов, 2 PA-QSA аудитора.
Более 70 аудитов PCI DSS, 11 сертифицированных PA-DSS
приложений.
Более 2500 государственных и коммерческих организаций в России
и странах СНГ доверили нам выполнение работ по обеспечению
информационной безопасности.