УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

+7 (495) 231-23-51 Москва

+7 (964) 778-99-27 Москва

+7 (343) 286-17-86 Екатеринбург

+7 (3452) 68-88-99 Тюмень

Учебный Центр «Микротест» - обучение и сертификация IT-специалистов
Учебный центр Микротест / Расписание курсов / Информзащита / Информационная безопасность / Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)

Курс Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard) (Код: КП46)

Информзащита

 


В рамках курса КП46 "Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)" детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.

В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS (Payment Card Industry Data Security Standard) для различных типов организаций, даётся обзор стандартов Payment Application Data Security Standard (PA-DSS) и PCI PIN Entry Device (PCI PED), в систематизированном виде приведена информация, необходимая специалистам организаций, в которых проводится подготовка к проведению аудита на соответствие данному стандарту.

Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других. 

В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит выполнить требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.

Каждый слушатель получает Компакт-диск, содержащий подборку инструментальных средств аудита/защиты, информационные материалы по вопросам повышения защищенности операционных систем, коллекцию полезных ссылок, а также набор инструментов и утилит, рассмотренных в рамках курса. 

Курс длится 24 академических часа


Аудитория

  • Руководители, менеджеры, аналитики подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт
  • Сотрудники организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS
  • Эксперты и аналитики по вопросам компьютерной безопасности

Необходимая подготовка

  • Базовые знания по IP-сетям, операционным системам, системам управления базами данных, Web-приложениям
  • Знание основ информационной безопасности
  • Общее представление о технологиях индустрии платежных карт

Цели курса

По окончании курса вы приобретете знания:

  • структуры стандарта PCI DSS и вспомогательных стандартов;
  • о перечне задач, решение которых потребуется для достижения соответствия стандарту;
  • защитных механизмов и средств, применение которых позволит выполнить требования стандарта;
  • методологии выявления уязвимостей в контексте требований PCI DSS;
  • особенностей применения стандарта в российских условиях.


Вы сможете:

  • оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта PCI DSS;
  • разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS;
  • эффективно взаимодействовать с аудиторами на разных этапах проверки;
  • квалифицированно оценивать применимость требований стандарта в конкретных условиях;
  • обоснованно выбирать способы устранения несоответствий стандарту. 

Подробная программа курса

Содержание

Глава 1 - Обзор стандарта PCI DSS и сопутствующих стандартов

  • Введение. 
  • История, общее описание и назначение стандарта PCI DSS. 
  • Системы платежных карт, организации участвующие в PCI. 
  • Обзор документов PCI Security Standards Council (PCI SSC). 
  • Разделение ответственности между PCI SSC, QSA и международными платежными системами. 
  • Обзор сопутствующих стандартов PA DSS и PCI PED, общее описание, назначение и область применения стандартов.


Глава 2 - Обзор требований стандарта PCI DSS

  • Основные требования к подтверждению соответствия PCI DSS для различных типов организаций.
  • Требования по аттестации, аудиту и выявлению уязвимостей. 
  • Требования стандарта к формированию границ проверки. 
  • Влияние архитектуры систем на объемы и сроки аудита. 
  • Проведение тестов на проникновение. 
  • Безопасность приложений. 
  • Безопасность беспроводных сетей. 
  • Последние изменения стандарта, источники полезных ссылок и инструментов для улучшения соответствия стандарту.


Глава 3 - Описание процесса проведения аудита на соответствие требованиям PCI DSS

  • Рекомендации по выбору услуг QSA и ASV. 
  • Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита. 
  • Взаимодействие с QSA и ASV на разных этапах аудита. 
  • Представление отчета аудитором, методы и пути разрешения спорных вопросов. 
  • План устранения несоответствий (Action Plan): разработка, согласование, реализация. 
  • Самооценка и анализ необходимых изменений. 
  • Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.


Глава 4 - Детализация требований по защите данных платежных карт

  • Типы данных, требования к критичным данным авторизации, защита при обработке и хранении.
  • Объекты и методы защиты, применение компенсационных мер. 
  • Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.


Глава 5 - Детализация требований по строгому контролю доступа

  • Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса. 
  • Управление носителями информации в работе и при архивном хранении. 
  • Средства контроля доступа к данным, аутентификация и авторизация пользователей. 
  • Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.


Глава 6 - Детализация требований по построению и поддержанию защищенной сети

  • Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям. 
  • Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей. 
  • Настройки пользовательской среды и программ. 
  • Минимизация доступа в соответствии со служебной необходимостью. 
  • Применение систем автоматизированного контроля и управления доступом. 
  • Настройки по умолчанию для оборудования, операционных систем, программного обеспечения.
  • Регламентация процессов и применение процедур управления доступом.


Глава 7 - Детализация требований к мониторингу и тестированию

  • Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий. 
  • Журналы аудита событий: анализ, настройка, защита, архивация. 
  • Системы централизованного сбора и анализа событий. 
  • Системы контроля целостности и обнаружения изменений данных. 
  • Мониторинг беспроводных сетей и точек доступа.
  • Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений. 
  • Обеспечение целостности и синхронизации событий с разных систем сети. 
  • Отражение требований стандарта в регламентирующих документах.


Глава 8 - Программа управления уязвимостями

  • Регулярная идентификация, анализ, тестирование и внедрение обновлений. 
  • Процесс управления обновлениями. 
  • Управление конфигурациями и настройками. 
  • Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки. 
  • Среда разработки и эксплуатации. 
  • Средства управления изменениями и конфигурациями. 
  • Стандарты безопасной разработки приложений. 
  • Тестирование кода приложений, сертификация и авторизация перед внедрением. 
  • Выявление уязвимостей: внешние и внутренние сканирования. 
  • Проведение тестов на проникновение. 
  • План реагирования на инциденты. 
  • Регламентация требований стандарта в политике и процедурах.


Глава 9 - Поддержание политики информационной безопасности

  • Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике. 
  • Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа. 
  • Ответственность для сотрудников и контрагентов. 
  • Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала. 
  • Программа повышения осведомленности сотрудников в ИБ. 
  • Пересмотр и обновление политики.


Глава 10 - Стратегии достижения соответствия стандарту

  • Подготовка нормативной документации. 
  • Выбор оптимальных технических решений. 
  • Планирование и внедрение процессов управления Информационной Безопасностью. 
  • Обучение и повышение осведомленности сотрудников по вопросам ИБ. 
  • Сложности при внедрении стандарта PCI DSS в РФ. 
  • Статистика и типовые несоответствия, рекомендации по их исправлению.

Скрыть подробную программу курса

Заказать обучение «Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard) (КП46)» можно, кликнув на удобную дату его проведения, по почте training AT training-microtest DOT ru или по одному из телефонов, указанных в разделе Контакты.



 
Заказать
Добавить отзыв Вы сможете после регистрации на нашем сайте

Зарегистрироваться или авторизоваться