Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем.
С 30 июня 2015 станет обязательным соответствие требованиям последней версии стандарта PCI DSS 3.0, которая вышла в ноябре 2013 года. Уже сейчас стали актуальными вопросы подготовки организации и сертификации по новым требованиям.
В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения новой версии PCI DSS 3.0.
Обзор индустрии платежных карт. Ключевые участники платежного процесса. Потоки данных между участниками. Совет PCI SSC. Стандарты PCI DSS и PCI PA-DSS. Уровни и правила подтверждения соответствия.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем.
С 30 июня 2015 станет обязательным соответствие требованиям последней версии стандарта PCI DSS 3.0, которая вышла в ноябре 2013 года. Уже сейчас стали актуальными вопросы подготовки организации и сертификации по новым требованиям.
В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения новой версии PCI DSS 3.0.
Обзор индустрии платежных карт. Ключевые участники платежного процесса. Потоки данных между участниками. Совет PCI SSC. Стандарты PCI DSS и PCI PA-DSS. Уровни и правила подтверждения соответствия.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
Международный и российский опыт внедрения PCI DSS. Типовой проект по внедрению PCI DSS. Варианты аутсорсинга и взаимодействие с консультантом. Выбор метода подтверждения соответствия.
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
This online Сloud Webinar: “PCI DSS Compliance: Getting Ready for the Certification”” was delivered by Volodymyr Kovrygyn (Senior Consultant, Engineering, GlobalLogic) on August 26, 2021
During the event, the speaker considered an approach to creating a solution that is compatible with PCI DSS from scratch or updating the existing one. Also, he shared his experience in the painless certification process.
More details and video: https://bit.ly/3hnSfTb
Характеристики открытой платежной платформы:
• Несколько банков-эквайреров;
• Открытая агрегация платежных услуг;
• Несколько заказчиков (мультивитрина);
• Отдельная логика работы каждой витрины;
• Конвейерное подключение новых участников;
• Открытый API.
• Поддержка технологий HCE.
Защищенная веб-аналитика для банков, телекомов, медицинских центровAndrew Fadeev
Веб-аналитическая система Webtrends onPremises, обеспечивающая выполнение последних требований по защите персональных данных в Интернете для, банков, телекомов, медицинских центров.
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
More Related Content
Similar to Стандарт PCI DSS. Особенности внедрения.
История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
Международный и российский опыт внедрения PCI DSS. Типовой проект по внедрению PCI DSS. Варианты аутсорсинга и взаимодействие с консультантом. Выбор метода подтверждения соответствия.
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
This online Сloud Webinar: “PCI DSS Compliance: Getting Ready for the Certification”” was delivered by Volodymyr Kovrygyn (Senior Consultant, Engineering, GlobalLogic) on August 26, 2021
During the event, the speaker considered an approach to creating a solution that is compatible with PCI DSS from scratch or updating the existing one. Also, he shared his experience in the painless certification process.
More details and video: https://bit.ly/3hnSfTb
Характеристики открытой платежной платформы:
• Несколько банков-эквайреров;
• Открытая агрегация платежных услуг;
• Несколько заказчиков (мультивитрина);
• Отдельная логика работы каждой витрины;
• Конвейерное подключение новых участников;
• Открытый API.
• Поддержка технологий HCE.
Защищенная веб-аналитика для банков, телекомов, медицинских центровAndrew Fadeev
Веб-аналитическая система Webtrends onPremises, обеспечивающая выполнение последних требований по защите персональных данных в Интернете для, банков, телекомов, медицинских центров.
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииDialogueScience
На вебинаре проведен обзор основных аспектов утечки конфиденциальных данных и методов противодействия утечкам, предлагаемых рынком информационной безопасности - решениям класса Data Leak Prevention, а также рассмотрены вопросы эффективности различных DLP-систем.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин, предоставляем доступ к нашим сбережениям и банковским счетам и т.д.
Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Приглашаем вас прослушать вебинар "Целенаправленные атаки на мобильные устройства", на котором получите советы по защите ваших мобильных устройств, увидите примеры атак и получите ответы на волнующие вас вопросы.
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
Обзор российского продукта SafeInspect.
SafeInspect - полнофункциональное российское решение для контроля привилегированных учетных записей и сессий в современных информационных системах.
Спикер: Сергей Шерстюк, Менеджер по развитию продуктов, Новые технологии безопасности (ООО НТБ).
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYDialogueScience
I. LACK OF EXPERTISE AND COMMUNICATION
II. LACK OF RIGHTS TO ACT
CONCLUSION
Dmitry Yarushevskiy | CISA | CISM
Head of ICS Cyber security department
JSC DialogueScience
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
2. Информация о PCI DSS
• Выпущен: 30 июня 2005 года
• Разработку инициировали: MasterCard Worldwide, Visa International,
American Express, Discover Financial Services, JCB
• Цель: Обеспечить защиту электронных платежных систем в свете
участившихся случаев хищений информации о держателях платежных карт
• Обязателен для внедрения: Во всех организациях, хранящих,
обрабатывающих и передающих данные о держателях платежных карт:
процессинговые компании, банки, Интернет-магазины и др.
• Актуальная версия: 3.1 и 3.2
3. Кому необходим PCI DSS
Требования стандарта PCI DSS распространяется на организации,
обрабатывающие, хранящие или передающие информацию о
держателях платежных карт, например:
• Процессинговые компании
• Банки, имеющие собственный процессинг
• Крупные розничные сети
• Операторы сотовой связи
• Интернет-магазины
• Коммерческие ЦОД
4. Терминология PCI DSS
Merchat (Торгово-сервисное предприятие)
• Принимают платежные карты для оплаты товаров или услуг (розничные сети,
рестораны, Интернет-магазины и т.д.)
Сервис-провайдер (Поставщик услуг)
• Оказывают различные услуги, необходимые для осуществления оплаты (банки,
процессинги и т.д.)
Транзакция
• Операция с картой по оплате, снятию или переводу денежных средств
QSA (Qualified Security Assessor)
• Компания имеющая право проводить аудиты по PCI DSS
ASV (Approved Scanning Vendor)
• Компания, имеющая право проводить внешние сканирования уязвимостей
5. Процедуры подтверждения соответствия сервис-провайдеров
Уровни сервис-провайдеров
• Level 1 > 300 тыс. транзакций в год
• Level 2 < 300 тыс. транзакций в год
Процедуры подтверждения соответствия
• Ежегодный сертификационный аудит, выполняемый QSA (Level 1)
• Ежегодное заполнение самоопросника Self-Assessment (Level 2)
• Ежеквартальное внешнее сканирование уязвимостей, проводимое ASV (Level 1, 2)
• Ежеквартальное внутреннее сканирование уязвимостей (Level 1, 2)
• Ежегодное выполнение внутренних и внешних тестов на проникновение (Level 1, 2)
• Ежегодное выполнение анализа рисков (Level 1, 2)
6. Последствия несоответствия
• Ущерб от действий злоумышленников (финансовый и репутационный)
• Отказ в повышении статуса в платежных системах
• Штрафные санкции (размеры штрафов конфиденциальны)
• Отказ международных платежных систем в предоставлении услуг
7. Состав услуг PCI DSS
Услуги по сертификации включают три этапа:
• Обследование ИС заказчика и разработка рекомендаций по
приведению в соответствие
• Реализация требований стандарта
• Сертификация
8. Состав услуг PCI DSS
Обследование ИС заказчика и разработка рекомендаций по
приведению в соответствие
• Сбор и анализ исходной информации
• Разработка плана мероприятий по приведению в соответствие
9. Состав услуг по PCI DSS
Реализация требований стандарта
• Разработка политик, стандартов и процедур
• Проектирование СОИБ
• Внедрение СОИБ
10. Состав услуг PCI DSS
Услуги по сертификации
• Анализ рисков ИБ
• Ежеквартальные ASV-сканирования
• Ежеквартальные сканирования уязвимостей из ЛВС
• Тестирование на проникновение из сети Интернет и ЛВС
• Сертификационный аудит
11. Наши преимущества
• Необходимые компетенции
• Большой опыт выполнения работ по внедрению PCI DSS и
проведению сертификации по PCI DSS
• Гибкость при приведении в соответствие и сертификации
• Возможность выполнения комплексных проектов вместе с НПС и
СТО БР
12. PCI DSS v3.2
• Опубликован 28 апреля 2016г.
• Обязателен с 1 ноября 2016г.
• До 31 октября действуют обе версии
• Виза принимает отчеты по PCI DSS v3.1 до 31 декабря 2016г. (по
аудитам завершенным до 31 октября 2016г.)
13. PCI DSS v3.2 / основные изменения
• Уточнения и дополнительные руководства
• Срок перехода на TLS 1.1 или TLS 1.2 продлен
• Многофакторная аутентификация для администраторов
(обязательно с 1 февраля 2018г.)
14. PCI DSS v3.2 изменения для сервис-провайдеров
• Документирование криптографической архитектуры
• Выполнение требований PCI DSS и актуализация документации
должно являться частью проводимого изменения
• Обеспечение непрерывности функционирования средств ЗИ
• Тестирование на проникновение каждые 6 месяцев для проверки
механизмов сегментации
• Назначение ответственного за соответствие PCI DSS
• Ежеквартальная проверка выполнения процессов ИБ