Документ обсуждает трудности, связанные с соответствием требованиям стандарта PCI DSS, включая изменения в информационных системах и усложнение стандартов. Описаны ключевые аспекты реализации, такие как документирование, контроль соответствия и тестирование безопасности. Также представлены рекомендации по аудиту и необходимости сотрудничества между различными подразделениями.

1. Трудный путь к соответствию
требованиям PCI DSS
Скородумов Анатолий Валентинович
Заместитель директора –
Начальник отдела информационной безопасности

2. В чем сложность ?
•В информационной систем
Более
организации постоянно идут
изменения, и с течением времени
скорость этих изменений нарастает.
отдельных
•Стандарт постоянно
требований
совершенствуется, появляются новые
требования, все более жесткие
•Стандарт достаточно сложен в
реализации
200
2

3. Процессный подход при реализации
требований стандарта
Исполнение
стандарта
требует
реализации
более
70
процессов
3

4. Общие подходы при реализации процессов
•Реализовать конкретный процесс на
практике
•Организовать формальный процесс
создания свидетельств наличия такого
процесса
•Фабриковать свидетельства наличия
процесса перед или в ходе аудита
4

5. Данные, которые нельзя хранить
•Полные данные магнитной
полосы карты или ее
эквивалент на чипе
•Коды CAV2/CVC2/CVV2/CID
•PIN/PIN-блоки
5

6. Определение области проведения аудита
•PAN (номер карты) – определяющий
фактор в применении требований PCI DSS
•В область аудита входят все элементы
инфраструктуры, участвующие в
хранении, обработке и передаче данных
платежных карт
6

7. Реализация требований стандарта по
документированию
•Перечень портов и протоколов,
использующихся в сегменте Процессинга.
•Стандарты настройки маршрутизаторов,
операционных систем, баз данных,
прикладного программного обеспечения
•Перечень мест хранения данных платежных
карт
•Перечень разрешенного ПО
•Политика использования мобильных устройств,
беспроводных сетей
7

8. Контроль соответствия требованиям
стандарта
Использование специальных средств контроля и
подтверждения соответствия
8

9. Проведение теста на проникновение
•Цели проведения
•Выбор способа
проведения
•Объем теста
•Анализ результатов
•Разработка и реализация мер по итогам
теста
9

10. Проведение ASV-сканирований
•Определение перечня хостов для
сканирования
•Регулярность проведения сканирований
– раз в квартал
•Устранение выявленных уязвимостей
10

11. Сложные в реализации требования стандарта
•Мониторинг событий и реагирование на
инциденты
•Контроль беспроводных точек доступа
•Контроль целостности критичных файлов
•Учет мест хранения данных о платежных
картах и обеспечение их защиты
•Самостоятельная разработка ПО
11

12. Ограничение физического доступа (раздел 9)
12

13. Использование компенсационных мер
•Выявление требований, которые не могут
быть выполнены
•Обоснование причин, по которым
требование не может быть исполнено
•Выбор и согласование компенсационных
мер
•Реализация компенсационных мер и
закрепление их в нормативных
документах
13

14. Рекомендации по проведению аудита
•Совместная работа подразделений
информационной безопасности,
автоматизации и пластиковых карт
•Проведение предаудита, либо
консультаций с аудитором
•Взаимодействие с аудитором в течение
всего года между аудитами
14

15. Использование стандарта PCI DSS в качестве
основы для построения системы ИБ
15

16. Скородумов Анатолий Валентинович
E-Mail: Skorodumov@mail.ru
Телефон (812) 329-50-64
Благодарю за внимание!