Подготовка к аудиту по требованиям стандарта PCI DSS
Код курса
КП46
Продолжительность
24 ак. часа (3 дня)
Вендор
Учебный центр «Информзащита»
Стоимость
37 200 ₽
Форма обучения
Очно
Онлайн-трансляция
Вебинар
Тип программы
Теоретический курс
Ближайшая дата
09 - 11 декабря 2024
Подготовка к аудиту по требованиям стандарта PCI DSS
(Payment Card Industry Data Security Standard)
Код курса КП46, 3 дня
Статус
Авторский курс Учебного центра “Информзащита“
Аннотация
В рамках курса детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.
В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS (Payment Card Industry Data Security Standard) для различных типов организаций, даётся обзор стандартов PCI Software Security Framework (PCI SSF) и PCI PTS), в систематизированном виде приведена информация, необходимая специалистам организаций, в которых проводится подготовка к проведению аудита на соответствие данному стандарту.
Особое внимание уделяется вопросам внедрения требований PCI DSS в современных условиях (санкционные ограничения, политика импортозамещения, ограничения на использование средств защиты информации из недружественных стран и т.д.)
Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других. В курсе учтены опыт и статистика аудитов, проведенных Департаментом аудита компании «Информзащита», опыт эксплуатации и результаты исследований средств безопасности, проведенных в лабораториях Учебного центра «Информзащита», а также рекомендаций и требований ЦБ РФ и других отечественных организаций, специализирующихся в сфере ИБ
В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит выполнить требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.
Аудитория
- Руководители, менеджеры, аналитики подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт
- Сотрудники организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS
- Эксперты и аналитики по вопросам компьютерной безопасности
Предварительная подготовка
- Базовые знания по IP-сетям, операционным системам, системам управления базами данных, Web-приложениям
- Знание основ информационной безопасности
- Общее представление о технологиях индустрии платежных карт
В результате обучения
Вы приобретете знания:
- структуры стандарта PCI DSS и вспомогательных стандартов;
- о перечне задач, решение которых потребуется для достижения соответствия стандарту;
- защитных механизмов и средств, применение которых позволит выполнить требования стандарта;
- методологии выявления уязвимостей в контексте требований PCI DSS;
- особенностей применения стандарта в российских условиях.
Вы сможете:
- оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта PCI DSS;
- разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS;
- эффективно взаимодействовать с аудиторами на разных этапах проверки;
- квалифицированно оценивать применимость требований стандарта в конкретных условиях;
- обоснованно выбирать способы устранения несоответствий стандарту.
Пакет слушателя
- Учебное пособие в электронном виде.
- Подборка инструментальных средств аудита/защиты, информационные материалы по вопросам повышения защищенности операционных систем, коллекция полезных ссылок, а также набор инструментов и утилит в электронном виде, рассмотренных в рамках курса.
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита». Выпускники могут получать бесплатные консультации специалистов Учебного центра по пройденному курсу.
Программа учебного курса
- Обзор стандарта PCI DSS и сопутствующих стандартов. Введение. История, общее описание и назначение стандарта PCI DSS. Системы платежных карт, организации, участвующие в PCI. Обзор документов PCI Security Standards Council (PCI SSC). Разделение ответственности между PCI SSC, QSA и международными платежными системами. Обзор сопутствующих стандартов PCI SSF и PCI PTS, общее описание, назначение и область применения стандартов.
- Обзор требований стандарта PCI DSS. Основные требования к подтверждению соответствия PCI DSS для различных типов организаций. Требования и лучшие практики по подготовке, аудиту, выявлению уязвимостей, проведению тестов на проникновение и оформлению отчетности. Требования стандарта к формированию границ проверки. Влияние архитектуры систем на объемы и сроки аудита. Безопасность приложений. Безопасность беспроводных сетей. Последние изменения стандарта, особенности версии 4.0, источники полезных ссылок и инструментов для улучшения соответствия стандарту.
- Описание процесса проведения аудита на соответствие требованиям PCI DSS. Рекомендации по выбору услуг QSA и ASV. Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита. Взаимодействие с QSA и ASV на разных этапах аудита. Представление отчета аудитором, методы и пути разрешения спорных вопросов. План устранения несоответствий (Action Plan): разработка, согласование, реализация. Самооценка и анализ необходимых изменений. Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.
- Детализация требований по защите данных держателей карт. Типы данных, требования к критичным данным авторизации, защита при обработке и хранении. Объекты и методы защиты, применение компенсационных мер. Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.
- Детализация требований по строгому контролю доступа. Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса. Управление носителями информации в работе и при архивном хранении. Средства контроля доступа к данным, аутентификация и авторизация пользователей. Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.
- Детализация требований по созданию и поддержанию защищенной сети и систем. Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям. Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей. Настройки пользовательской среды и программ. Минимизация доступа в соответствии со служебной необходимостью. Применение систем автоматизированного контроля и управления доступом. Настройки по умолчанию для оборудования, операционных систем, программного обеспечения. Регламентация процессов и применение процедур управления доступом.
- Детализация требований к мониторингу и тестированию. Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий. Журналы аудита событий: анализ, настройка, защита, архивация. Системы централизованного сбора и анализа событий. Системы контроля целостности и обнаружения изменений данных. Мониторинг беспроводных сетей и точек доступа. Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений. Обеспечение целостности и синхронизации событий с разных систем сети. Отражение требований стандарта в регламентирующих документах.
- Программа управления уязвимостями. Регулярная идентификация, анализ, тестирование и внедрение обновлений. Процесс управления обновлениями. Управление конфигурациями и настройками. Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки. Среда разработки и эксплуатации. Средства управления изменениями и конфигурациями. Стандарты безопасной разработки приложений. Тестирование кода приложений, сертификация и авторизация перед внедрением. Выявление уязвимостей: внешние и внутренние сканирования. Проведение тестов на проникновение. План реагирования на инциденты. Регламентация требований стандарта в политике и процедурах.
- Поддержание политики информационной безопасности. Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике. Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа. Ответственность для сотрудников и контрагентов. Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала. Программа повышения осведомленности сотрудников в ИБ. Пересмотр и обновление политики.
- Стратегии достижения соответствия стандарту. Подготовка нормативной документации. Выбор оптимальных технических решений. Планирование и внедрение процессов управления Информационной Безопасностью. Обучение и повышение осведомленности сотрудников по вопросам ИБ. Сложности при внедрении стандарта PCI DSS в РФ. Статистика и типовые несоответствия, рекомендации по их исправлению.
- Итоговый зачет
Последующее обучение
- Курс КП20 Анализ защищённости сетей
- Курс БТ07 Безопасность Web-приложений
- Курс БТ09 Безопасность беспроводных сетей