Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей. - презентация

1 Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей Иванов, руководитель проекта Департамента безопасности информационных технологий, МАСКОМ Алексей Синцов, Руководитель департамента аудита ИБ, Digital Security CNews Forum 2011

2 Что общего между требованиями PCI DSS и требованиями по защите персональных данных PCI DSS152 ФЗ Количественные показатели, как основной критерий при определении уровня защиты или проверки Обязательность выполнения требований Требования по применению схожих средств защиты информации

3 Основные отличия требований PCI DSS и требований по защите персональных данных PCI DSS 152 ФЗ Требования по защите обусловлены количеством и составом персональных данных Аудит информационной безопасности проводит сертифицированный QSA- аудитор Контроль за выполнением требований выполняют регуляторы: Роскомнадзор, ФСТЭК, ФСБ Защищаемая информация – аутентификационные данные и данные о держателях карт Защищаемая информация – данные о субъекте персональных данных При увеличении риска ИБ требования одинаковы, изменяется глубина контроля выполнения требований

4 Комплексный подход 1 этап 2 этап 3 этап Обследование информационной системы Приведение в соответствие требованиям Оценка соответствия и сертификационный аудит

5 Обследование 1 этап PCI DSS 152 ФЗ Проведение предварительно аудита информационной безопасности Изучение организационно- распорядительной документации Компании Формирование опросных листов Интервью с руководителями подразделений и техническими специалистами Изучение процесса обработки персональных данных Изучение инфраструктуры данных платежных карт Разработка моделей угроз и нарушителя Разработка рекомендаций по приведению в соответствие требований

6 Приведение в соответствие требованиям 2 этап 152 ФЗ Раздел технического проекта посвященный защите персональных данных Разработка проектов организационно- распорядительной документации Внедрение организационно- технических мер PCI DSS Раздел технического проекта посвященный PCI DSS Разработка политик информационной безопасности Проведение тестов на проникновение, ASV- сканирование Настройка соответствующего оборудования и программного обеспечения

7 Оценка соответствия и сертификационный аудит 3 этап 152 ФЗ PCI DSS Проведение Сертификационного аудита Проведение оценки соответствия информационной системы персональных Выдача заключения о соответствии… Выдача Сертификата Соответствия PCI DSS

8 Заключение. Синергетический эффект Возможность оптимизации процессов обеспечения информационной безопасности Заказчика Сокращение сроков реализации проектов и снижение материальных затрат Возможность оптимизации количества внедряемых технических решений

9 СПАСИБО ЗА ВНИМАНИЕ