В рамках курса КП46 "Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)" детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.
В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS (Payment Card Industry Data Security Standard) для различных типов организаций, даётся обзор стандартов Payment Application Data Security Standard (PA-DSS) и PCI PIN Entry Device (PCI PED), в систематизированном виде приведена информация, необходимая специалистам организаций, в которых проводится подготовка к проведению аудита на соответствие данному стандарту.
Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других.
В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит выполнить требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.
Каждый слушатель получает Компакт-диск, содержащий подборку инструментальных средств аудита/защиты, информационные материалы по вопросам повышения защищенности операционных систем, коллекцию полезных ссылок, а также набор инструментов и утилит, рассмотренных в рамках курса.
Стоимость курса
21 000 рубЦели курса:
По окончании курса вы приобретете знания:
- структуры стандарта PCI DSS и вспомогательных стандартов;
- о перечне задач, решение которых потребуется для достижения соответствия стандарту;
- защитных механизмов и средств, применение которых позволит выполнить требования стандарта;
- методологии выявления уязвимостей в контексте требований PCI DSS;
- особенностей применения стандарта в российских условиях.
Вы сможете:
- оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта PCI DSS;
- разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS;
- эффективно взаимодействовать с аудиторами на разных этапах проверки;
- квалифицированно оценивать применимость требований стандарта в конкретных условиях;
- обоснованно выбирать способы устранения несоответствий стандарту.
Аудитория
- Руководители, менеджеры, аналитики подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт
- Сотрудники организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS
- Эксперты и аналитики по вопросам компьютерной безопасности
От слушателя требуется
- Базовые знания по IP-сетям, операционным системам, системам управления базами данных, Web-приложениям
- Знание основ информационной безопасности
- Общее представление о технологиях индустрии платежных карт
Содержание курса
Глава 1 - Обзор стандарта PCI DSS и сопутствующих стандартов
- Введение.
- История, общее описание и назначение стандарта PCI DSS.
- Системы платежных карт, организации участвующие в PCI.
- Обзор документов PCI Security Standards Council (PCI SSC).
- Разделение ответственности между PCI SSC, QSA и международными платежными системами.
- Обзор сопутствующих стандартов PA DSS и PCI PED, общее описание, назначение и область применения стандартов.
Глава 2 - Обзор требований стандарта PCI DSS
- Основные требования к подтверждению соответствия PCI DSS для различных типов организаций.
- Требования по аттестации, аудиту и выявлению уязвимостей.
- Требования стандарта к формированию границ проверки.
- Влияние архитектуры систем на объемы и сроки аудита.
- Проведение тестов на проникновение.
- Безопасность приложений.
- Безопасность беспроводных сетей.
- Последние изменения стандарта, источники полезных ссылок и инструментов для улучшения соответствия стандарту.
Глава 3 - Описание процесса проведения аудита на соответствие требованиям PCI DSS
- Рекомендации по выбору услуг QSA и ASV.
- Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита.
- Взаимодействие с QSA и ASV на разных этапах аудита.
- Представление отчета аудитором, методы и пути разрешения спорных вопросов.
- План устранения несоответствий (Action Plan): разработка, согласование, реализация.
- Самооценка и анализ необходимых изменений.
- Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.
Глава 4 - Детализация требований по защите данных платежных карт
- Типы данных, требования к критичным данным авторизации, защита при обработке и хранении.
- Объекты и методы защиты, применение компенсационных мер.
- Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.
Глава 5 - Детализация требований по строгому контролю доступа
- Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса.
- Управление носителями информации в работе и при архивном хранении.
- Средства контроля доступа к данным, аутентификация и авторизация пользователей.
- Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.
Глава 6 - Детализация требований по построению и поддержанию защищенной сети
- Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям.
- Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей.
- Настройки пользовательской среды и программ.
- Минимизация доступа в соответствии со служебной необходимостью.
- Применение систем автоматизированного контроля и управления доступом.
- Настройки по умолчанию для оборудования, операционных систем, программного обеспечения.
- Регламентация процессов и применение процедур управления доступом.
Глава 7 - Детализация требований к мониторингу и тестированию
- Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий.
- Журналы аудита событий: анализ, настройка, защита, архивация.
- Системы централизованного сбора и анализа событий.
- Системы контроля целостности и обнаружения изменений данных.
- Мониторинг беспроводных сетей и точек доступа.
- Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений.
- Обеспечение целостности и синхронизации событий с разных систем сети.
- Отражение требований стандарта в регламентирующих документах.
Глава 8 - Программа управления уязвимостями
- Регулярная идентификация, анализ, тестирование и внедрение обновлений.
- Процесс управления обновлениями.
- Управление конфигурациями и настройками.
- Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки.
- Среда разработки и эксплуатации.
- Средства управления изменениями и конфигурациями.
- Стандарты безопасной разработки приложений.
- Тестирование кода приложений, сертификация и авторизация перед внедрением.
- Выявление уязвимостей: внешние и внутренние сканирования.
- Проведение тестов на проникновение.
- План реагирования на инциденты.
- Регламентация требований стандарта в политике и процедурах.
Глава 9 - Поддержание политики информационной безопасности
- Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике.
- Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа.
- Ответственность для сотрудников и контрагентов.
- Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала.
- Программа повышения осведомленности сотрудников в ИБ.
- Пересмотр и обновление политики.
Глава 10 - Стратегии достижения соответствия стандарту
- Подготовка нормативной документации.
- Выбор оптимальных технических решений.
- Планирование и внедрение процессов управления Информационной Безопасностью.
- Обучение и повышение осведомленности сотрудников по вопросам ИБ.
- Сложности при внедрении стандарта PCI DSS в РФ.
- Статистика и типовые несоответствия, рекомендации по их исправлению.