Copyright © BMS consulting, 2007 PCI DSS в Украине К чему готовиться? Copyright © BMS consulting, 2009 Александр Смычников Консультант департамента ИТ. - презентация

1 Copyright © BMS consulting, 2007 PCI DSS в Украине К чему готовиться? Copyright © BMS consulting, 2009 Александр Смычников Консультант департамента ИТ консалтинга ООО «БМС Консалтинг»

2 Copyright © BMS consulting, Copyright © BMS consulting, 2007 План доклада PCI DSS увядает? Динамика стандарта Новые вопросы и мифы Наши прогнозы

3 Copyright © BMS consulting, Copyright © BMS consulting, 2007 План доклада PCI DSS увядает? Динамика стандарта Новые вопросы и мифы Наши прогнозы

4 Повод задуматься? Copyright © BMS consulting, 2009 Вопрос: Что дает соответствие PCI DSS?

5 Голые факты Copyright © BMS consulting, Data Breach Investigations Report, Verizon Business RISK team

6 Голые факты - 2 Copyright © BMS consulting, Глобальное исследование утечек информации за 2008 год, InfoWatch Природа утечек Еще об утечках 2008 в свете PCI DSS: 1.Германия. 21 миллион немцев. Источник: Call-центр крупного банка 2.Корея. 11 миллионов сотрудников «GS Caltex» Источник: Служащие компании 3.США. 8 миллионов клиентов «Best Western Hotel group» Источник: «Взломанный» сервер компании. 4.Билинговая компания «CheckFree». 5 миллионов клиентов. Источник: Подмена DNS и ложный сайт 5. Партнер Bank of New York Mellon, 4,5 миллиона клиентов Источник: Утерянная магнитная лента Персональные данные Государственная тайна Ком. тайна, Ноу-хау Не установлено

7 В чем ошибка? Copyright © BMS consulting, 2009 Ошибки пользователей Антивирус и обновления Запуск непроверенного ПО Установка обновлений безопасности системного и прикладного ПО Отказ от резервных копий и их тестирования Нарушения регламента использования сети 2009, SANS Insitute Ошибки безопасности Безопасность работы в Интернет Использование систем после обнаружения уязвимости Использование протоколов не поддерживающих шифрование Разглашение пароля пользователей по телефону без авторизации Запуск небезопасных сервисов, которые не требуются в работе Некорректная настройка межсетевых экранов Обновления антивирусного ПО Отсутствие обучения пользователей в сфере ИБ Допуск неквалифицированного персонала к обеспечению ИБ

8 PCI DSS учитывает это! Copyright © BMS consulting, 2009

9 Copyright © BMS consulting, Copyright © BMS consulting, 2007 План доклада PCI DSS увядает? Динамика стандарта Новые вопросы и мифы Наши прогнозы

10 Жизненный цикл стандарта Copyright © BMS consulting, 2009

11 Copyright © BMS consulting, План доклада PCI DSS увядает? Динамика стандарта Новые вопросы и мифы Наши прогнозы

12 Copyright © BMS consulting, 2009

13 Вопрос 1. Так что же дает стандарт? Copyright © BMS consulting, 2009

14 Вопрос 2. Кому верить? Санкции PCI к QSA Некачественная работа «Медвежьи» услуги Copyright © BMS consulting, 2009

15 Вопрос 3. Июль 2010 года?! Copyright © BMS consulting, 2009 Июль, 2010

16 Вопрос 4. Как быть с приоритетами? Copyright © BMS consulting, 2009 Первая стадия разработки Не инструмент аудита Нужен «новичкам» и SMB retail Подготовка к SAQ

17 Вопрос 5. Аутсорсинг или его «дети»? Copyright © BMS consulting, 2009

18 Copyright © BMS consulting, План доклада PCI DSS увядает? Динамика стандарта Новые вопросы и мифы Наши прогнозы

19 Наши прогнозы Copyright © BMS consulting, 2009 Безопасность баз данных Управление уязвимостями Аутсорсинг Борьба за качество аудита PA DSS

20 Добрый совет Copyright © BMS consulting, 2009 Надежный партнер Квалифицированная консультация Меры «внешние» и «внутренние» Процессы, а не проекты Внешний опыт и знания Внутренние меры

21 Спасибо за внимание!