© ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Обеспечили.

Презентация:



Advertisements
Похожие презентации
1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.
Advertisements

Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Введение в проблематику PA-DSS Стандарт PA-DSS: безопасность платежных приложений Семинар.
Copyright © BMS consulting, 2007 PCI DSS в Украине К чему готовиться? Copyright © BMS consulting, 2009 Александр Смычников Консультант департамента ИТ.
Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Решение задач защиты информации в виртуализированных средах и приведения систем в соответствие с законодательством и мировыми стандартами Круглый стол.
Вероника Копейко Менеджер по организации обучения Консультационные онлайн услуги по продуктам и решениям компании «Код Безопасности»
Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч.
ЛАБОРАТОРНАЯ РАБОТА 3 РАЗРАБОТКА ДОЛЖНОСТНОЙ ИНСТРУКЦИИ АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Студент группы 4731 Смуров Александр Владимирович.
Защита персональных данных в информационных системах операторов связи Тесцов Алексей, руководитель отдела управления проектами ЗАО «ДиалогНаука»
Рабочие документы аудитора это материалы, подготавливаемые аудитором и для аудитора либо получаемые и хранимые аудитором в связи с проведением аудита.аудита.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Разработка ПО Системная интеграция IT-аутсорсинг.
ТРИ СТАНДАРТА. ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ (Триединство требований) © ОАО «ЭЛВИС-ПЛЮС», 2010 г., Сергей ВИХОРЕВ, Роман КОБЦЕВ ОАО «ЭЛВИС-ПЛЮС»
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ.
Направления взаимодействия СРО и банковской ассоциации А.Н.Велигура, CISA Председатель комитета по информационной безопасности Ассоциации российских банков.
Транксрипт:

© ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Обеспечили безопасность платежей? Что дальше? Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 23 августа 2013 года, бизнес-конференция «Платежи сегодня и завтра»

1Актуальные требования регуляторов по ИБ © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Нормативные документы, содержащие требования к информационной безопасности платежей ИсточникСтатус Федеральный Закон 161-ФЗ «О национальной платежной системе» Закон РФОбязательный Федеральный Закон 152-ФЗ «О персональных данных» Закон РФОбязательный Стандарт Банка России СТО БР ИББСБанк России Рекомендательный Payment Card Industry Data Security Standard (PCI DSS)Visa MasterCard AmEx JCB Discover Обязательный

2Подтверждение соответствия © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Нормативные документы, содержащие требования к информационной безопасности платежей Способы подтверждения соответствия Федеральный Закон 161-ФЗ «О национальной платежной системе» Внешний независимый аудит, Самооценка Федеральный Закон 152-ФЗ «О персональных данных» Внешняя проверка РКН или прокуратуры Стандарт Банка России СТО БР ИББС Внешний независимый аудит, Самооценка Payment Card Industry Data Security Standard (PCI DSS) Внешний независимый аудит, Самооценка, если применима Вывод: контроль обеспечения информационной безопасности носит непостоянный характер и выполняется в виде проверок моментального состояния соответствия. моментально – не постоянно соответствие – еще не безопасность

3Что происходит после подтверждения соответствия? © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | |

5Первый случай из практики – пролог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Компания – поставщик услуг по классификации Visa и MasterCard Подготовка к сертификации по PCI DSS заняла 8 месяцев Компания успешно прошла сертификационный QSA-аудит все как обычно

6Первый случай из практики – завязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | ИТ-отдел компании забросил ведение записей по изменениям в инфраструктуре сразу после успешного прохождения QSA-аудита через два месяца системные администраторы перестали отправлять заявки на изменения на согласования в отдел информационной безопасности и применять стандарты конфигурации при настройке систем работники отдела информационной безопасности не выполнили требования внутреннего нормативного документа о регулярном пересмотре правил межсетевого экранирования уже становится интересно

7Первый случай из практики – кульминация © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | за два месяца до повторного сертификационного аудита для балансировки резко возросшей нагрузки были установлены два дополнительных веб-сервера, с конфигурацией «из коробки» никаких настроек безопасности для этих серверов не было сделано, обновления безопасности не были установлены на межсетевом экране были открыты разрешающие правила доступа из публичного Интернета к этим веб-серверам в информационную инфраструктуру были внесены многие неучтенные изменения Fail!

8Первый случай из практики – развязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам был дан ответ: «конечно готовы» необновленные серверы были обнаружены в ходе ASV-сканирования, обновления были установлены следом, устно была повторно подтверждена готовность к аудиту ежегодный сертификационный QSA-аудит не был пройден по причине неработающих процедур управления изменениями и регулярных процедур ИБ, а также из-за наличия многих проблем конфигурации внутри инфраструктуры (некорректной сегментации сети, небезопасного использования FTP, и прочих) ну как же так!

9Первый случай из практики – эпилог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | приведение процессов управления информационной инфраструктурой и её безопасностью в соответствие PCI DSS заняло несколько месяцев компоненты информационной инфраструктуры были приведены в безопасную конфигурацию повторный сертификационный QSA-аудит был пройден успешно компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!) теперь все в порядке

10Второй случай из практики – пролог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Компания – поставщик услуг по классификации Visa и MasterCard Подготовка к сертификации по PCI DSS заняла 4 месяца Компания успешно прошла сертификационный QSA-аудит все стандартно

11Второй случай из практики – завязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | к разработке программного обеспечения для новых сервисов были привлечены разработчики, не участвовавшие в предшествующей подготовке к сертификации новые разработчики не были обучены требованиям безопасности в соответствии со стандартом PCI DSS в техническом задании на разработку новых модулей ПО отсутствовали упоминания требований безопасности платежных карт без комментариев

12Второй случай из практики – кульминация © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | в лог-файлах нового модуля приложения, расположенного на сервере приложений, доступном из публичного Интернета, начали сохраняться полные номера карт в открытом виде ну зачем???

13Второй случай из практики – развязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам был дан ответ: «конечно готовы» ежегодный сертификационный QSA-аудит не был пройден по причине наличия в лог- файлах полных номеров карт в открытом виде, хранимых без какой-либо защиты я так и думал!

14Второй случай из практики – эпилог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | разработчики прошли обучение по обеспечению безопасности платежных карт приложение было модифицировано и начало писать в логи маскированные номера платежных карт ( ** **** 7890) повторный сертификационный QSA-аудит был пройден успешно компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!) ура!

15Соответствие или безопасность? © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | |

1616Причины проблем с ИБ после достижения соответствия © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Причина 1, идеологическая: Исходная цель – получить соответствие, а не защищенную инфраструктуру Причина 2, организационная: Снижение приоритета процессов ИБ от максимального почти до нуля Причина 3, психологическая: Отсутствие постоянного объективного ориентира – ложное чувство защищенности безопасность перестает существовать в тот момент, когда ей перестают заниматься

1717Решение – внешняя поддержка безопасности © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | внешний консультант помогает поддерживать достигнутый уровень защищенности На внешнюю организацию можно переложить: постоянный контроль выполнения регулярных процедур (ежемесячные проверки) выполнение контрольной функции внутри регулярных процедур (согласование изменений в инфраструктуре, заявок на доступ, …) выполнение регулярных процедур ИБ (аутсорсинг информационной безопасности)

1818Спасибо! © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Спасибо за внимание! Вопросы? mailto: