SlideShare a Scribd company logo

Трудный путь к соответствию требованиям PCI DSS (путевые заметки)

R
RISSPA_SPb
Technology
1 of 16
Download to read offline
Трудный путь к соответствию требованиям PCI DSS Скородумов Анатолий Валентинович Заместитель директора – Начальник отдела информационной безопасности
В чем сложность ? •В информационной систем Более организации постоянно идут изменения, и с течением времени скорость этих изменений нарастает. отдельных •Стандарт постоянно требований совершенствуется, появляются новые требования, все более жесткие •Стандарт достаточно сложен в реализации 200 2
Процессный подход при реализации требований стандарта Исполнение стандарта требует реализации более 70 процессов 3
Общие подходы при реализации процессов •Реализовать конкретный процесс на практике •Организовать формальный процесс создания свидетельств наличия такого процесса •Фабриковать свидетельства наличия процесса перед или в ходе аудита 4
Данные, которые нельзя хранить •Полные данные магнитной полосы карты или ее эквивалент на чипе •Коды CAV2/CVC2/CVV2/CID •PIN/PIN-блоки 5
Определение области проведения аудита •PAN (номер карты) – определяющий фактор в применении требований PCI DSS •В область аудита входят все элементы инфраструктуры, участвующие в хранении, обработке и передаче данных платежных карт 6
Реализация требований стандарта по документированию •Перечень портов и протоколов, использующихся в сегменте Процессинга. •Стандарты настройки маршрутизаторов, операционных систем, баз данных, прикладного программного обеспечения •Перечень мест хранения данных платежных карт •Перечень разрешенного ПО •Политика использования мобильных устройств, беспроводных сетей 7
Контроль соответствия требованиям стандарта Использование специальных средств контроля и подтверждения соответствия 8
Проведение теста на проникновение •Цели проведения •Выбор способа проведения •Объем теста •Анализ результатов •Разработка и реализация мер по итогам теста 9
Проведение ASV-сканирований •Определение перечня хостов для сканирования •Регулярность проведения сканирований – раз в квартал •Устранение выявленных уязвимостей 10
Сложные в реализации требования стандарта •Мониторинг событий и реагирование на инциденты •Контроль беспроводных точек доступа •Контроль целостности критичных файлов •Учет мест хранения данных о платежных картах и обеспечение их защиты •Самостоятельная разработка ПО 11
Ограничение физического доступа (раздел 9) 12
Использование компенсационных мер •Выявление требований, которые не могут быть выполнены •Обоснование причин, по которым требование не может быть исполнено •Выбор и согласование компенсационных мер •Реализация компенсационных мер и закрепление их в нормативных документах 13
Рекомендации по проведению аудита •Совместная работа подразделений информационной безопасности, автоматизации и пластиковых карт •Проведение предаудита, либо консультаций с аудитором •Взаимодействие с аудитором в течение всего года между аудитами 14
Использование стандарта PCI DSS в качестве основы для построения системы ИБ 15
Скородумов Анатолий Валентинович E-Mail: Skorodumov@mail.ru Телефон (812) 329-50-64 Благодарю за внимание!

Recommended

Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14DialogueScience
 
СЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMСЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMКРОК
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Презентация НИТ
Презентация НИТПрезентация НИТ
Презентация НИТKazHackStan
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяjet_information_security
 
Программный комплекс видеозаписи судебных заседаний
Программный комплекс видеозаписи судебных заседанийПрограммный комплекс видеозаписи судебных заседаний
Программный комплекс видеозаписи судебных заседанийКРОК
 

Recommended

Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14DialogueScience
 
СЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMСЭД на платформе DIRECTUM
СЭД на платформе DIRECTUMКРОК
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Презентация НИТ
Презентация НИТПрезентация НИТ
Презентация НИТKazHackStan
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяjet_information_security
 
Программный комплекс видеозаписи судебных заседаний
Программный комплекс видеозаписи судебных заседанийПрограммный комплекс видеозаписи судебных заседаний
Программный комплекс видеозаписи судебных заседанийКРОК
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Netwrix Россия/СНГ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Услуги КРОК по комплексной сервисной поддержке
Услуги КРОК по комплексной сервисной поддержкеУслуги КРОК по комплексной сервисной поддержке
Услуги КРОК по комплексной сервисной поддержкеКРОК
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новаяtrenders
 
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаАудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаIvan Piskunov
 
app vs. mobile site
app vs. mobile siteapp vs. mobile site
app vs. mobile sitecmaionaise
 
5
55
5Baska789
 
7
77
7Baska789
 
Visibility
VisibilityVisibility
Visibilitycmaionaise
 
Mobile First
Mobile FirstMobile First
Mobile Firstcmaionaise
 
Essay Writing Guide
Essay Writing GuideEssay Writing Guide
Essay Writing Guidehannahsole6
 
CV(border)
CV(border)CV(border)
CV(border)Pijush Sarma Sarkar
 
mengoperasikan komputer
mengoperasikan komputermengoperasikan komputer
mengoperasikan komputercenta_novota21
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)hannahsole6
 
1
11
1Baska789
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์28801125399
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexyMissyou Angel
 
8
88
8Baska789
 
ANGELICA LONDA
ANGELICA LONDAANGELICA LONDA
ANGELICA LONDAAngelica Londa
 
DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0Marcus Drost
 

More Related Content

What's hot

JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Netwrix Россия/СНГ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Услуги КРОК по комплексной сервисной поддержке
Услуги КРОК по комплексной сервисной поддержкеУслуги КРОК по комплексной сервисной поддержке
Услуги КРОК по комплексной сервисной поддержкеКРОК
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новаяtrenders
 
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаАудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаIvan Piskunov
 

What's hot (7)

JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Услуги КРОК по комплексной сервисной поддержке
Услуги КРОК по комплексной сервисной поддержкеУслуги КРОК по комплексной сервисной поддержке
Услуги КРОК по комплексной сервисной поддержке
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новая
 
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаАудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
 

Viewers also liked

app vs. mobile site
app vs. mobile siteapp vs. mobile site
app vs. mobile sitecmaionaise
 
Essay Writing Guide
Essay Writing GuideEssay Writing Guide
Essay Writing Guidehannahsole6
 
mengoperasikan komputer
mengoperasikan komputermengoperasikan komputer
mengoperasikan komputercenta_novota21
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)hannahsole6
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์28801125399
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexyMissyou Angel
 
DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0Marcus Drost
 
יישום חוק חינוך
יישום חוק חינוךיישום חוק חינוך
יישום חוק חינוךsusanake
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013slcdigitalnetwork
 
Customer Decision Journey
Customer Decision JourneyCustomer Decision Journey
Customer Decision Journeycmaionaise
 

Viewers also liked (20)

app vs. mobile site
app vs. mobile siteapp vs. mobile site
app vs. mobile site
 
5
55
5
 
7
77
7
 
Visibility
VisibilityVisibility
Visibility
 
Mobile First
Mobile FirstMobile First
Mobile First
 
Essay Writing Guide
Essay Writing GuideEssay Writing Guide
Essay Writing Guide
 
CV(border)
CV(border)CV(border)
CV(border)
 
mengoperasikan komputer
mengoperasikan komputermengoperasikan komputer
mengoperasikan komputer
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)
 
1
11
1
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexy
 
8
88
8
 
ANGELICA LONDA
ANGELICA LONDAANGELICA LONDA
ANGELICA LONDA
 
DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0
 
יישום חוק חינוך
יישום חוק חינוךיישום חוק חינוך
יישום חוק חינוך
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013
 
Aw16 ge
Aw16 geAw16 ge
Aw16 ge
 
Customer Decision Journey
Customer Decision JourneyCustomer Decision Journey
Customer Decision Journey
 
3
33
3
 

Similar to Трудный путь к соответствию требованиям PCI DSS (путевые заметки)

Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Iba group ifrs_website
Iba group ifrs_websiteIba group ifrs_website
Iba group ifrs_websiteIBA Group
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 
Мониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSМониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSMFISoft
 
Politics
PoliticsPolitics
Politicscnpo
 
лекция 11 (2 4часа)
лекция 11 (2 4часа)лекция 11 (2 4часа)
лекция 11 (2 4часа)Anastasia Snegina
 

Similar to Трудный путь к соответствию требованиям PCI DSS (путевые заметки) (20)

Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 
Iba group ifrs_website
Iba group ifrs_websiteIba group ifrs_website
Iba group ifrs_website
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
Мониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSМониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSS
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Politics
PoliticsPolitics
Politics
 
лекция 11 (2 4часа)
лекция 11 (2 4часа)лекция 11 (2 4часа)
лекция 11 (2 4часа)
 

More from RISSPA_SPb

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA_SPb
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаRISSPA_SPb
 

More from RISSPA_SPb (12)

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
 
RISSPA SPb
RISSPA SPbRISSPA SPb
RISSPA SPb
 

Трудный путь к соответствию требованиям PCI DSS (путевые заметки)

  • 1. Трудный путь к соответствию требованиям PCI DSS Скородумов Анатолий Валентинович Заместитель директора – Начальник отдела информационной безопасности
  • 2. В чем сложность ? •В информационной систем Более организации постоянно идут изменения, и с течением времени скорость этих изменений нарастает. отдельных •Стандарт постоянно требований совершенствуется, появляются новые требования, все более жесткие •Стандарт достаточно сложен в реализации 200 2
  • 3. Процессный подход при реализации требований стандарта Исполнение стандарта требует реализации более 70 процессов 3
  • 4. Общие подходы при реализации процессов •Реализовать конкретный процесс на практике •Организовать формальный процесс создания свидетельств наличия такого процесса •Фабриковать свидетельства наличия процесса перед или в ходе аудита 4
  • 5. Данные, которые нельзя хранить •Полные данные магнитной полосы карты или ее эквивалент на чипе •Коды CAV2/CVC2/CVV2/CID •PIN/PIN-блоки 5
  • 6. Определение области проведения аудита •PAN (номер карты) – определяющий фактор в применении требований PCI DSS •В область аудита входят все элементы инфраструктуры, участвующие в хранении, обработке и передаче данных платежных карт 6
  • 7. Реализация требований стандарта по документированию •Перечень портов и протоколов, использующихся в сегменте Процессинга. •Стандарты настройки маршрутизаторов, операционных систем, баз данных, прикладного программного обеспечения •Перечень мест хранения данных платежных карт •Перечень разрешенного ПО •Политика использования мобильных устройств, беспроводных сетей 7
  • 8. Контроль соответствия требованиям стандарта Использование специальных средств контроля и подтверждения соответствия 8
  • 9. Проведение теста на проникновение •Цели проведения •Выбор способа проведения •Объем теста •Анализ результатов •Разработка и реализация мер по итогам теста 9
  • 10. Проведение ASV-сканирований •Определение перечня хостов для сканирования •Регулярность проведения сканирований – раз в квартал •Устранение выявленных уязвимостей 10
  • 11. Сложные в реализации требования стандарта •Мониторинг событий и реагирование на инциденты •Контроль беспроводных точек доступа •Контроль целостности критичных файлов •Учет мест хранения данных о платежных картах и обеспечение их защиты •Самостоятельная разработка ПО 11
  • 13. Использование компенсационных мер •Выявление требований, которые не могут быть выполнены •Обоснование причин, по которым требование не может быть исполнено •Выбор и согласование компенсационных мер •Реализация компенсационных мер и закрепление их в нормативных документах 13
  • 14. Рекомендации по проведению аудита •Совместная работа подразделений информационной безопасности, автоматизации и пластиковых карт •Проведение предаудита, либо консультаций с аудитором •Взаимодействие с аудитором в течение всего года между аудитами 14
  • 15. Использование стандарта PCI DSS в качестве основы для построения системы ИБ 15
  • 16. Скородумов Анатолий Валентинович E-Mail: Skorodumov@mail.ru Телефон (812) 329-50-64 Благодарю за внимание!