1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental Есть ли жизнь после compliance? Поддержание соответствия: основные проблемы Бабенко Алексей старший аудитор
3. «…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.» Ellen Richey, VISA chief enterprise risk officer «…ни одна скомпрометированная организация не соответствовала требованиям PCI DSS на момент взлома» Эллен Ричи, главный риск-менеджер VISA
4. Основные сложности при поддержании PCI compliance Своевременное устранение уязвимостей Установка обновлений на СУБД Следование процедурам контроля конфигураций, внедрение стандартов на новых системах Внедрение новых приложений Поддержание компенсационных мер Мониторинг событий и реагирование на инциденты Реальный анализ рисков ИБ
5. Проблемы повторных аудитов «PCI compliance» организаций Всплыли процедуры и процессы сделанные «под PCI Compliance» Бизнес расширился – система безопасности нет При смена аудитора QSA могут измениться границы аудита интерпретация требований стандарта оценка достаточности компенсационных мер
6. Лучшие практики на страже PCI compliance Наличие выделенного ComplianceOfficer Включение вопросов PCI в программу управления операционными рисками Включение проверок PCI DSS в программу внутреннего аудита Формализация всех процессов ИБ
7. Технические решения – помощники поддержания соответствия PA-DSS сертифицированные приложения Контроль изменений/конфигураций Автоматизация установки обновлений Использование СЭД и ServiceDesk для поддержания процессов согласования изменений и предоставления доступа idMрешения для управления доступом
8. Заглядывая в будущее Расширение области применения PCI DSS Шифрование данных карт в рамках всех процессов Переход от «зоопарка» к единообразным расширяемым решениям Реализация всех требований PCI DSS для ATM
9. Вопросы Бабенко Алексей старший аудитор a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru