Стандарт безопасности данных индустрии платежных карт PCI

Зарегистрируйтесь, чтобы просмотреть полный документ!

Стандарт безопасности данных индустрии платежных карт – PCI DSS Подготовил Башилов П. А. Группа КИБ – 908

Стандарт PCI DSS Разработан в целях: Упрощения внедрения Распространения мер по обеспечению и повсеместному внедрению стандарта безопасности данных о держателях карт

Стандарт PCI DSS Технические Эксплуатационные Базовые требования Обеспечивают защиту данных о держателях карт

Использование стандарта Торговыми предприятиями Поставщиками услуг Процессинговыми центрами Банкамиэквайерами Используется А так же, организациями, которые хранят, обрабатывают или передают данные о держателях карт

Требования стандарта Построение и обслуживание защищенной сети Защита данных о держателях карт Управление уязвимостями ◦ Требование 1: Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт. ◦ Требование 2: Не использовать пароли и другие системные параметры, заданные производителем по умолчанию. ◦ Требование 3: Обеспечить безопасное хранение данных о держателях карт. ◦ Требование 4: Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования. ◦ Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение. ◦ Требование 6: Разрабатывать и поддерживать безопасные системы и приложения.

Требования стандарта Внедрение строгих мер контроля доступа Регулярный мониторинг и тестирование сети Поддержка политики информационной безопасности ◦ Требование 7: Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью. ◦ Требование 8: Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре. ◦ Требование 9: Ограничить физический доступ к данным о держателях карт. ◦ Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт. ◦ Требование 11: Регулярно выполнять тестирование систем и процессов обеспечения безопасности. ◦ Требование 12: Разработать и поддерживать политику информационной безопасности.

Построение системы ИБ в соответствии с требованиями PCI DSS позволяет внедрить необходимые механизмы защиты данных о держателях пластиковых карт, обеспечивающие выполнение требований PCI DSS (Payment Card Industry Data Security Standard). Соответствие стандарту позволяет организации достичь максимального уровня безопасности при всех операциях, связанных с платежными картами.

PCI DSS обеспечивает соответствие механизмов защиты данных о держателях пластиковых карт рекомендациям PCI DSS; повышение защиты критичных бизнеспроцессов и информационных ресурсов; повышение доверия со стороны партнеров, клиентов, инвесторов.

Этапы построения системы ИБ 1)оценка рисков; 2)разработка необходимого комплекта документации; 3)внедрение необходимых средств защиты информации; 4)проведение теста на проникновение; 5)консультирование специалистов заказчика.

Элементы данных и соответствующие им меры

Услуги в рамках стандарта PCI DSS Аудит на соответствие требованиям стандарта PCI DSS Подготовка инфраструктуры Заказчика для проведения аудита на соответствие требованиям Сканирование уязвимостей в соответствии с требованиями стандарта PCI DSS Тест на проникновение в соответствии с требованиями стандарта PCI DSS Курсы повышения квалификации в области информационной безопасности сотрудников организации-заказчика

Этапы проведения аудита I Анализ и систематизация Этапы III Формирование отчета II Оценка соответствия требованиям стандарта

Этап I. Анализ и систематизация Исходные данные Состав работ: Выходные данные: ◦ Информация о компонентах системы Заказчика ◦ Нормативно-распределительная документация Заказчика ◦ состав и характеристика аппаратных и программных средств передачи информации, топология сети ◦ характер внутренней и внешний связи информационной системы, принципы обработки критичной информации в информационной системной связи информационной системы ◦ анализ исходных данных ◦ выделение области аудита на основе анализа исходных данных ◦ топология (список и характеристика устройств обработки информации) области аудита; информация об объеме работ по проведению и определение необходимых технических средств аудита

Этап II. Оценка соответствия требованиям стандарта Исходные данные: выходные данные, полученные на Состав работ Выходные данные предыдущем этапе. анализ корпоративной сети и проверка ее защищенности анализ беспроводных сетей и проверка их защищенности анализ конфигурации межсетевых экранов анализ списков контроля доступа анализ парольной политики анализ технологий обработки критичной информации проверка наличия ПО мониторинга сети и логирования действий пользователя ◦ проверка политик обновления ПО (в том числе защитного ПО) ◦ ◦ ◦ ◦ Итоговый вывод о соответствии инфраструктуры заказчика требованиям стандарта PCI DSS ◦ получение Заказчиком картины защищенности его инфраструктуры, имеющихся уязвимостей и ошибок в проектировании политики безопасности

Этап III. Формирование отчета Исходные данные: ◦ выходные данные, полученные на предыдущем этапе. Состав работ: ◦ подготовка отчета о результатах сертификационного аудита Выходные данные ◦ отчет о результатах проведения сертификационного аудита на соответствие инфраструктуры Заказчика требованиям стандарта PCI DSS.

Заключение Стандарт PCI DSS объединяет в себе требования программ платежных систем по защите информации Требования стандарта распространяется на все компании, работающие с международными платежными системами Регламентирование единых правил прохождения аудита на соответствие стандарту

Спасибо за внимание =)

Скачать презентацию Стандарт безопасности данных индустрии платежных карт PCI

PCI DSS.pptx

Количество слайдов: 17