Embed Size (px)
DESCRIPTION
Доклад Евгения Безгодова на Межбанковской конференции "Вопросы применения и соответствия стандартам PCI DSS / PA DSS" 16 июня 2011 года
Citation preview
www.deiteriy.com
Соблюдение интересов банкапри внедрении стандарта PCI DSS
Евгений Безгодовисполнительный директор, CISA, PCI QSA
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Интересы банка в проекте по PCI DSS2
Требования к процессу внедрения и сертификации:- Соблюдение сроков- Оптимальные затраты на достижение соответствия- Минимальная нагрузка на сотрудников банка- Качественное планирование
Требования к результату:- Сертификат- Минимум изменений для бизнеса- Оптимальные затраты на поддержание соответствия
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Контрольные точки внедрения и сертификации3
На что следует обратить внимание на каждом из этапов?
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 1: Обследование инфраструктуры4В договоре:
- Предоставление опросных форм перед обследованием- Форма представления результатов обследования- Участие сертифицированного QSA-аудитора (рекомендуется)- Сроки
В процессе выполнения:- Заранее согласуйте форму отчёта об обследовании- Своевременно заполните опросные формы- Предупредите сотрудников, что они будут общаться с консультантом, а не с аудитором- Если в ходе интервью сотрудники банка открывают для себя новое о своей работе – это хорошее интервью- Проверьте качество оформления отчёта
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 2: Разработка решений5В договоре:
- Предложение вариантов решений на выбор во всех случаях, когда это возможно- Предложение коммерческого и бесплатного ПО- Промежуточные контрольные точки
В процессе выполнения:- Обсудите Ваши предпочтения заранее- Согласуйте промежуточные результаты- Выясните возможные альтернативы
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 3: Разработка компенсационных мер6В договоре:
- Разработка компенсационных мер в случае необходимости
В процессе выполнения:- Подробно расскажите о технических ограничениях и требованиях бизнеса- Если они препятствуют прямому выполнению какого-либо из требований стандарта, рассмотрите возможные компенсационные меры- Компенсационные меры часто оказываются дороже прямого выполнения требования, но бывает и наоборот- Главный критерий: защита данных о держателях карт, а не формальное выполнение требований
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 4: Внедрение7
В процессе выполнения:- Извлеките пользу для защиты всего бизнеса, а не только данных о держателях платёжных карт
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 5: Разработка нормативных документов8В договоре:
- Разработка всех документов, необходимых и достаточных для достижения и поддержания соответствия- От Политики информационной безопасности до инструкций сотрудников- Не стоит прописывать в договор конкретный перечень документов – он будет определен позже
В процессе выполнения:- Заранее обсудите удобный формат документов- Определите, как они будут интегрированы с уже существующими в компании документами- Проверьте полноту разработанных документов
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 6: Испытания9В договоре:
- Предусмотреть условия выполнения повторного теста на проникновение
В процессе выполнения:- Обеспечить точное соблюдение графика ASV-сканирований
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этап 7: Сертификационный аудит10В договоре:
- Выполнение сертифицированным QSA-аудитором
В процессе выполнения:- Проверить действительный статус QSA-компании- Проверить действительный статус QSA-аудитора
www.pcisecuritystandards.org
- Получить подтверждение от МПС о принятии Отчета о соответствии – Report on Compliance (ROC).
Обследование инфраструктуры
Разработка компенсационных
мер
Разработка решений
Внедрение решений и
компенсационных мер
Разработка нормативных документов
Тест на проникновение и ASV-сканирование
Сертификационный аудит
СЕРТИФИКАТ
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
О компании11Компания Deiteriy основана 26 января 2010 года
Сегодня компания обладает двумясертифицированными аудиторами CISA
6 июня 2011 года в партнерстве с ISACA запущенамедиа-площадка для общения бизнеса и ИТ:inFORmanagement.Ru
8 июня 2011 года получен статус QSA и возможность выполнять сертификационный аудит
на соответствие требованиям PCI DSS
В штате компании есть два сертифицированных QSA-аудитора с опытом выполнения сертификационных аудитов по PCI DSS более трёх лет
© ООО «Дейтерий», 2011 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Вопросы?12
Спасибо!Ваши вопросы?
Вручение призов!Евгений Безгодов
CISA, PCI [email protected]
