Upload
risspaspb
View
301
Download
1
Embed Size (px)
Citation preview
Трудный путь к соответствию требованиям PCI DSS
Скородумов Анатолий Валентинович
Заместитель директора –
Начальник отдела информационной безопасности
2
В чем сложность ?
•В информационной систем организации постоянно идут изменения, и с течением времени скорость этих изменений нарастает.
•Стандарт постоянно совершенствуется, появляются новые требования, все более жесткие
•Стандарт достаточно сложен в реализации
Более
200
отдельных требований
3
Процессный подход при реализации
требований стандарта
Исполнение стандарта требует реализации более
70
процессов
4
•Реализовать конкретный процесс на практике
•Организовать формальный процесс создания свидетельств наличия такого процесса
•Фабриковать свидетельства наличия процесса перед или в ходе аудита
Общие подходы при реализации процессов
•Полные данные магнитной полосы карты или ее эквивалент на чипе
•Коды CAV2/CVC2/CVV2/CID
•PIN/PIN-блоки
5
Данные, которые нельзя хранить
•PAN (номер карты) – определяющий фактор в применении требований PCI DSS
•В область аудита входят все элементы инфраструктуры, участвующие в хранении, обработке и передаче данных платежных карт
6
Определение области проведения аудита
•Перечень портов и протоколов, использующихся в сегменте Процессинга.
•Стандарты настройки маршрутизаторов, операционных систем, баз данных, прикладного программного обеспечения
•Перечень мест хранения данных платежных карт
•Перечень разрешенного ПО
•Политика использования мобильных устройств, беспроводных сетей
7
Реализация требований стандарта по документированию
Использование специальных средств контроля и подтверждения соответствия
8
Контроль соответствия требованиям стандарта
•Цели проведения
•Выбор способа
проведения
•Объем теста
•Анализ результатов
•Разработка и реализация мер по итогам теста
9
Проведение теста на проникновение
•Определение перечня хостов для сканирования
•Регулярность проведения сканирований – раз в квартал
•Устранение выявленных уязвимостей
10
Проведение ASV-сканирований
•Мониторинг событий и реагирование на инциденты
•Контроль беспроводных точек доступа
•Контроль целостности критичных файлов
•Учет мест хранения данных о платежных картах и обеспечение их защиты
•Самостоятельная разработка ПО
11
Сложные в реализации требования стандарта
12
Ограничение физического доступа (раздел 9)
•Выявление требований, которые не могут быть выполнены
•Обоснование причин, по которым требование не может быть исполнено
•Выбор и согласование компенсационных мер
•Реализация компенсационных мер и закрепление их в нормативных документах
13
Использование компенсационных мер
•Совместная работа подразделений информационной безопасности, автоматизации и пластиковых карт
•Проведение предаудита, либо консультаций с аудитором
•Взаимодействие с аудитором в течение всего года между аудитами
14
Рекомендации по проведению аудита
15
Использование стандарта PCI DSS в качестве основы для построения системы ИБ
Скородумов Анатолий Валентинович
E-Mail: [email protected]
Телефон (812) 329-50-64
Благодарю за внимание!