pci dss: поддержание соответствия
DESCRIPTION
Основные проблемы и лучшие практики в вопросах поддержания соответствияTRANSCRIPT
Бабенко Алексейстарший аудитор
Есть ли жизнь после compliance?
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель Intercontinental
Поддержание соответствия: основные проблемы
Not PCI DSS compliant79%
21%
Статистика инцидентов*
*по данным Verizon 2010 Data Breach Investigations Report
«…no compromised entity has yet been found to be in compliance with PCI DSS at the time of a breach.»
Ellen Richey, VISA chief enterprise risk officer
«…ни одна скомпрометированная организация не соответствовала требованиям PCI DSS на момент взлома»
Эллен Ричи, главный риск-менеджер VISA
Основные сложности при поддержании PCI compliance• Своевременное устранение уязвимостей• Установка обновлений на СУБД• Следование процедурам контроля
конфигураций, внедрение стандартов на новых системах
• Внедрение новых приложений• Поддержание компенсационных мер• Мониторинг событий и реагирование на
инциденты• Реальный анализ рисков ИБ
Проблемы повторных аудитов «PCI compliance» организаций
• Всплыли процедуры и процессы сделанные «под PCI Compliance»
• Бизнес расширился – система безопасности нет
• При смена аудитора QSA могут измениться– границы аудита – интерпретация требований стандарта– оценка достаточности компенсационных
мер
Лучшие практики на страже PCI compliance• Наличие выделенного Compliance
Officer• Включение вопросов PCI в программууправления операционными рисками• Включение проверок PCI DSS в
программу внутреннего аудита• Формализация всех процессов ИБ
Технические решения – помощники поддержания соответствия
• PA-DSS сертифицированные приложения
• Контроль изменений/конфигураций• Автоматизация установки обновлений• Использование СЭД и Service Desk для
поддержания процессов согласования изменений и предоставления доступа
• idM решения для управления доступом
Заглядывая в будущее
• Расширение области применения PCI DSS
• Шифрование данных карт в рамках всех процессов
• Переход от «зоопарка» к единообразным расширяемым решениям
• Реализация всех требований PCI DSS для ATM
