pci dss: поддержание соответствия
DESCRIPTION
Основные проблемы и лучшие практики в вопросах поддержания соответствияTRANSCRIPT
![Page 1: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/1.jpg)
Бабенко Алексейстарший аудитор
Есть ли жизнь после compliance?
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель Intercontinental
Поддержание соответствия: основные проблемы
![Page 2: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/2.jpg)
Not PCI DSS compliant79%
21%
Статистика инцидентов*
*по данным Verizon 2010 Data Breach Investigations Report
![Page 3: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/3.jpg)
«…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.»
Ellen Richey, VISA chief enterprise risk officer
«…ни одна скомпрометированная организация не соответствовала требованиям PCI DSS на момент взлома»
Эллен Ричи, главный риск-менеджер VISA
![Page 4: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/4.jpg)
Основные сложности при поддержании PCI compliance• Своевременное устранение уязвимостей• Установка обновлений на СУБД• Следование процедурам контроля
конфигураций, внедрение стандартов на новых системах
• Внедрение новых приложений• Поддержание компенсационных мер• Мониторинг событий и реагирование на
инциденты• Реальный анализ рисков ИБ
![Page 5: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/5.jpg)
Проблемы повторных аудитов «PCI compliance» организаций
• Всплыли процедуры и процессы сделанные «под PCI Compliance»
• Бизнес расширился – система безопасности нет
• При смена аудитора QSA могут измениться– границы аудита – интерпретация требований стандарта– оценка достаточности компенсационных
мер
![Page 6: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/6.jpg)
Лучшие практики на страже PCI compliance• Наличие выделенного Compliance
Officer• Включение вопросов PCI в программууправления операционными рисками• Включение проверок PCI DSS в
программу внутреннего аудита• Формализация всех процессов ИБ
![Page 7: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/7.jpg)
Технические решения – помощники поддержания соответствия
• PA-DSS сертифицированные приложения
• Контроль изменений/конфигураций• Автоматизация установки обновлений• Использование СЭД и Service Desk для
поддержания процессов согласования изменений и предоставления доступа
• idM решения для управления доступом
![Page 8: PCI DSS: поддержание соответствия](https://reader036.vdocuments.site/reader036/viewer/2022082810/557f5148d8b42a822f8b476c/html5/thumbnails/8.jpg)
Заглядывая в будущее
• Расширение области применения PCI DSS
• Шифрование данных карт в рамках всех процессов
• Переход от «зоопарка» к единообразным расширяемым решениям
• Реализация всех требований PCI DSS для ATM