1 / 10.12.2013RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.

Презентация:

Advertisements

Похожие презентации

© ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Обеспечили.

Advertisements

Бабенко Алексей старший аудитор описание применение соответствие «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата,

Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.

Внедрение систем мониторинга и защиты информации Информация – это своеобразный товар, как правило, весьма ценный.

Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.

Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Введение в проблематику PA-DSS Стандарт PA-DSS: безопасность платежных приложений Семинар.

Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.

Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.

Построение политики безопасности организации УЦ «Bigone» 2007 год.

Системный аудит и оценка рисков информационной безопасности.

Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.

Корт С.С., СПбГПУ. Приказ ФСТЭК России от Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию.

ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.

МЕТОДЫ ПРОГРАММНО- АППАРАТНОЙ ЗАЩИТЫ ИНФОРМАЦИИ. Программно-аппаратные средства защиты информации это сервисы безопасности, встроенные в сетевые операционные.

ЗАЩИТА ИНФОРМАЦИИ ПОДГОТОВИЛА

Secret Net 5.0 сетевой вариант Система защиты информации от несанкционированного доступа нового поколения.

Защита Информации. эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством.

БД (администрирование) 1 Базы данных (администрирование) Аблов Игорь Васильевич Кафедра информационных технологий.

Политика безопасности компании I-TEAM IT-DEPARTMENT Подготовил: Загинайлов Константин Сергеевич.

БЕЗОПАСНОСТЬ РАБОТЫ В ЛОКАЛЬНОЙ СЕТИ Учитель информатики и математики МОУ «Ушаковская СОШ» Шимановского района Амурской области Гатилова Татьяна Геннадьевна.

Транксрипт:

1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто умеет обороняться, противник не знает, где ему нападать» (Сунь-Цзы "Трактат о военном исскустве")

2 / RBBY Общая информация Стандарт безопасности данных индустрии платежных карт Payment Card Industry (PCI) Data Security Standard (DSS). Стандарт был разработан в целях поддержания и улучшения защиты данных платежных карт и содействию широкому повсеместному применению стойких мер безопасности данных. Требования стандарта PCI DSS применяется, если выполняются хранение, обработка или передача данных платежных карт, например номера (PAN, Primary Account Number) и других критичных данных авторизации.

3 / RBBY Информация о применимости стандарта Таблица наиболее часто используемых элементов данных платежных карт и критичных данных авторизации

4 / RBBY Группы и требования (цели) стандарта Построение и поддержание безопасной сети 1. Установка и управление конфигурацией межсетевых экранов для защиты данных платежных карт 2. Не использовать установленные производителем по умолчанию системные пароли и параметры безопасности Защита данных платежных карт 3. Защита данных платежных карт при хранении 4. Шифрование данных платежных карт, передаваемых по сетям общего доступа Реализация программы управления уязвимостями 5. Использовать и регулярно обновлять антивирусное программное обеспечение 6. Разработка и поддержка безопасных систем и приложений

5 / RBBY Группы и требования (цели) стандарта Реализация мер по строгому контролю доступа 7. Ограничение доступа к данным платежных карт в соответствии со служебной необходимостью 8. Назначение уникального идентификатора для каждого лица, имеющего доступ к компьютеру 9. Ограничение физического доступа к данным платежных карт Регулярный мониторинг и тестирование сетей 10. Отслеживание и мониторинг любого доступа к сетевым ресурсам и данным платежных карт 11. Регулярное тестирование систем и процессов обеспечения Поддержание политики информационной безопасности 12. Поддержание политики по информационной безопасности для сотрудников и контрагентов

6 / RBBY Table of content Согласно требованиям платежных систем Visa и MasterCard, если организация подпадает под определенные критерии, она должна обеспечить соответствие стандарту PCI DSS. С целью подтверждения соответствия, необходимо пройти независимый и сертифицированный Qualified Security Assessor (QSA) аудит. В случае не соответствия стандарту, организации грозят штрафные санкции со стороны платежных систем до 25 тыс. $ за первый квартал и тыс. $ в дальнейшем ежемесячно. Необходимость соответствия PCI DSS

7 / RBBY Способ реализации Открытие проекта Создание рабочей группы Проведение предварительного аудита Создание плана мероприятий Цели плана достигаются: 1.сегментированием сети передачи данных и защитой сегментов сети межсетевыми экранами; 2.перемещением серверов между сегментами, для оптимизации передачи данных; 3.организацией защищенных подключений к данным сегментам; 4.исключением, где это возможно, хранения, обработки и передачи PAN; 5.созданием новых и изменением существующих процессов ИТ; 6.организацией дополнительных контролей; 7.созданием и изменением нормативных актов; 8.документированием информационных систем на различных уровнях; 9.запрещением, либо ограничением использования различных устройств.

8 / RBBY Table of content Соответствие стандарту требует наличия регулярных процедур Каждый год: QSA-аудит; тест на проникновение; проверка безопасности веб-приложений; пересмотр политики безопасности; обучение персонала. Каждые 6 месяцев: пересмотр конфигураций межсетевых экранов и маршрутизаторов. Каждый квартал: выполнение внешнего и внутреннего сканирования сети на наличие уязвимостей. Каждую неделю: выполнение процедур проверки целостности критичных файлов. Каждый день: просмотр журналов протоколирования событий; выполнение других ежедневных процедур, предусмотренных политикой безопасности.

9 / RBBY PEST analysis of the Bank & IT (1) Спасибо за внимание менеджер Владимир Лаптев «Безопасность это процесс, а не результат» Брюс Шнайер