![Page 1: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/1.jpg)
Трудный путь к соответствию требованиям PCI DSS
Скородумов Анатолий Валентинович
Заместитель директора –
Начальник отдела информационной безопасности
![Page 2: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/2.jpg)
2
В чем сложность ?
•В информационной систем организации постоянно идут изменения, и с течением времени скорость этих изменений нарастает.
•Стандарт постоянно совершенствуется, появляются новые требования, все более жесткие
•Стандарт достаточно сложен в реализации
Более
200
отдельных требований
![Page 3: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/3.jpg)
3
Процессный подход при реализации
требований стандарта
Исполнение стандарта требует реализации более
70
процессов
![Page 4: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/4.jpg)
4
•Реализовать конкретный процесс на практике
•Организовать формальный процесс создания свидетельств наличия такого процесса
•Фабриковать свидетельства наличия процесса перед или в ходе аудита
Общие подходы при реализации процессов
![Page 5: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/5.jpg)
•Полные данные магнитной полосы карты или ее эквивалент на чипе
•Коды CAV2/CVC2/CVV2/CID
•PIN/PIN-блоки
5
Данные, которые нельзя хранить
![Page 6: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/6.jpg)
•PAN (номер карты) – определяющий фактор в применении требований PCI DSS
•В область аудита входят все элементы инфраструктуры, участвующие в хранении, обработке и передаче данных платежных карт
6
Определение области проведения аудита
![Page 7: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/7.jpg)
•Перечень портов и протоколов, использующихся в сегменте Процессинга.
•Стандарты настройки маршрутизаторов, операционных систем, баз данных, прикладного программного обеспечения
•Перечень мест хранения данных платежных карт
•Перечень разрешенного ПО
•Политика использования мобильных устройств, беспроводных сетей
7
Реализация требований стандарта по документированию
![Page 8: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/8.jpg)
Использование специальных средств контроля и подтверждения соответствия
8
Контроль соответствия требованиям стандарта
![Page 9: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/9.jpg)
•Цели проведения
•Выбор способа
проведения
•Объем теста
•Анализ результатов
•Разработка и реализация мер по итогам теста
9
Проведение теста на проникновение
![Page 10: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/10.jpg)
•Определение перечня хостов для сканирования
•Регулярность проведения сканирований – раз в квартал
•Устранение выявленных уязвимостей
10
Проведение ASV-сканирований
![Page 11: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/11.jpg)
•Мониторинг событий и реагирование на инциденты
•Контроль беспроводных точек доступа
•Контроль целостности критичных файлов
•Учет мест хранения данных о платежных картах и обеспечение их защиты
•Самостоятельная разработка ПО
11
Сложные в реализации требования стандарта
![Page 12: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/12.jpg)
12
Ограничение физического доступа (раздел 9)
![Page 13: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/13.jpg)
•Выявление требований, которые не могут быть выполнены
•Обоснование причин, по которым требование не может быть исполнено
•Выбор и согласование компенсационных мер
•Реализация компенсационных мер и закрепление их в нормативных документах
13
Использование компенсационных мер
![Page 14: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/14.jpg)
•Совместная работа подразделений информационной безопасности, автоматизации и пластиковых карт
•Проведение предаудита, либо консультаций с аудитором
•Взаимодействие с аудитором в течение всего года между аудитами
14
Рекомендации по проведению аудита
![Page 15: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/15.jpg)
15
Использование стандарта PCI DSS в качестве основы для построения системы ИБ
![Page 16: Трудный путь к соответствию требованиям PCI DSS (путевые заметки)](https://reader033.vdocuments.mx/reader033/viewer/2022042518/555e17bed8b42a99188b5603/html5/thumbnails/16.jpg)
Скородумов Анатолий Валентинович
E-Mail: [email protected]
Телефон (812) 329-50-64
Благодарю за внимание!