Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)
Код курса КП46, 3 дня
Статус
Авторский курс Учебного центра “Информзащита“
Аннотация
В рамках курса детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.
В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS (Payment Card Industry Data Security Standard) для различных типов организаций, даётся обзор стандартов Payment Application Data Security Standard (PA-DSS) и PCI PIN Entry Device (PCI PED), в систематизированном виде приведена информация, необходимая специалистам организаций, в которых проводится подготовка к проведению аудита на соответствие данному стандарту.
Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других. В курсе учтены опыт и статистика аудитов, проведенных Департаментом аудита компании «Информзащита», опыт эксплуатации и результаты исследований средств безопасности, проведенных в лабораториях Учебного центра «Информзащита».
В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит выполнить требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.
Аудитория
Руководители, менеджеры, аналитики подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт
Сотрудники организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS
Эксперты и аналитики по вопросам компьютерной безопасности
Предварительная подготовка
Базовые знания по IP-сетям, операционным системам, системам управления базами данных, Web-приложениям
Знание основ информационной безопасности
Общее представление о технологиях индустрии платежных карт
В результате обучения
Вы приобретете знания:
структуры стандарта PCI DSS и вспомогательных стандартов;
о перечне задач, решение которых потребуется для достижения соответствия стандарту;
защитных механизмов и средств, применение которых позволит выполнить требования стандарта;
методологии выявления уязвимостей в контексте требований PCI DSS;
особенностей применения стандарта в российских условиях.
Вы сможете:
оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта PCI DSS;
разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS;
эффективно взаимодействовать с аудиторами на разных этапах проверки;
квалифицированно оценивать применимость требований стандарта в конкретных условиях;
Компакт-диск, содержащий подборку инструментальных средств аудита/защиты, информационные материалы по вопросам повышения защищенности операционных систем, коллекцию полезных ссылок, а также набор инструментов и утилит, рассмотренных в рамках курса.
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита». Выпускники могут получать бесплатные консультации специалистов Учебного центра по пройденному курсу.
Программа учебного курса
Обзор стандарта PCI DSS и сопутствующих стандартов. Введение. История, общее описание и назначение стандарта PCI DSS. Системы платежных карт, организации участвующие в PCI. Обзор документов PCI Security Standards Council (PCI SSC). Разделение ответственности между PCI SSC, QSA и международными платежными системами. Обзор сопутствующих стандартов PA DSS и PCI PED, общее описание, назначение и область применения стандартов.
Обзор требований стандарта PCI DSS. Основные требования к подтверждению соответствия PCI DSS для различных типов организаций. Требования по аттестации, аудиту и выявлению уязвимостей. Требования стандарта к формированию границ проверки. Влияние архитектуры систем на объемы и сроки аудита. Проведение тестов на проникновение. Безопасность приложений. Безопасность беспроводных сетей. Последние изменения стандарта, источники полезных ссылок и инструментов для улучшения соответствия стандарту.
Описание процесса проведения аудита на соответствие требованиям PCI DSS. Рекомендации по выбору услуг QSA и ASV. Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита. Взаимодействие с QSA и ASV на разных этапах аудита. Представление отчета аудитором, методы и пути разрешения спорных вопросов. План устранения несоответствий (Action Plan): разработка, согласование, реализация. Самооценка и анализ необходимых изменений. Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.
Детализация требований по защите данных платежных карт. Типы данных, требования к критичным данным авторизации, защита при обработке и хранении. Объекты и методы защиты, применение компенсационных мер. Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.
Детализация требований по строгому контролю доступа. Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса. Управление носителями информации в работе и при архивном хранении. Средства контроля доступа к данным, аутентификация и авторизация пользователей. Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.
Детализация требований по построению и поддержанию защищенной сети. Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям. Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей. Настройки пользовательской среды и программ. Минимизация доступа в соответствии со служебной необходимостью. Применение систем автоматизированного контроля и управления доступом. Настройки по умолчанию для оборудования, операционных систем, программного обеспечения. Регламентация процессов и применение процедур управления доступом.
Детализация требований к мониторингу и тестированию. Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий. Журналы аудита событий: анализ, настройка, защита, архивация. Системы централизованного сбора и анализа событий. Системы контроля целостности и обнаружения изменений данных. Мониторинг беспроводных сетей и точек доступа. Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений. Обеспечение целостности и синхронизации событий с разных систем сети. Отражение требований стандарта в регламентирующих документах.
Программа управления уязвимостями. Регулярная идентификация, анализ, тестирование и внедрение обновлений. Процесс управления обновлениями. Управление конфигурациями и настройками. Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки. Среда разработки и эксплуатации. Средства управления изменениями и конфигурациями. Стандарты безопасной разработки приложений. Тестирование кода приложений, сертификация и авторизация перед внедрением. Выявление уязвимостей: внешние и внутренние сканирования. Проведение тестов на проникновение. План реагирования на инциденты. Регламентация требований стандарта в политике и процедурах.
Поддержание политики информационной безопасности. Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике. Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа. Ответственность для сотрудников и контрагентов. Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала. Программа повышения осведомленности сотрудников в ИБ. Пересмотр и обновление политики.
Стратегии достижения соответствия стандарту. Подготовка нормативной документации. Выбор оптимальных технических решений. Планирование и внедрение процессов управления Информационной Безопасностью. Обучение и повышение осведомленности сотрудников по вопросам ИБ. Сложности при внедрении стандарта PCI DSS в РФ. Статистика и типовые несоответствия, рекомендации по их исправлению.