Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 (495) 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Тбилиси
Личный кабинет
Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 (495) 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Тбилиси
Информзащита
КП46

Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)

Тип курса
Авторизированный
Формы обучения
Очная
ОчнаяОчная
Занятие длится 8 академических часов в день, стандартное время начала обучения – 10:00.
Длительность
24 ак. часов
Ближайшая дата
27 янв. / Москва
Стоимость
21 000 RUB
21 000 RUB
Описание

В рамках курса КП46 "Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)" детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.

В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS (Payment Card Industry Data Security Standard) для различных типов организаций, даётся обзор стандартов Payment Application Data Security Standard (PA-DSS) и PCI PIN Entry Device (PCI PED), в систематизированном виде приведена информация, необходимая специалистам организаций, в которых проводится подготовка к проведению аудита на соответствие данному стандарту.

Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других. 

В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит выполнить требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.

Каждый слушатель получает Компакт-диск, содержащий подборку инструментальных средств аудита/защиты, информационные материалы по вопросам повышения защищенности операционных систем, коллекцию полезных ссылок, а также набор инструментов и утилит, рассмотренных в рамках курса. 

Профиль аудитории

  • Руководители, менеджеры, аналитики подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт
  • Сотрудники организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS
  • Эксперты и аналитики по вопросам компьютерной безопасности

Необходимая подготовка

  • Базовые знания по IP-сетям, операционным системам, системам управления базами данных, Web-приложениям
  • Знание основ информационной безопасности
  • Общее представление о технологиях индустрии платежных карт

Цели курса

По окончании курса вы приобретете знания:

  • структуры стандарта PCI DSS и вспомогательных стандартов;
  • о перечне задач, решение которых потребуется для достижения соответствия стандарту;
  • защитных механизмов и средств, применение которых позволит выполнить требования стандарта;
  • методологии выявления уязвимостей в контексте требований PCI DSS;
  • особенностей применения стандарта в российских условиях.


Вы сможете:

  • оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта PCI DSS;
  • разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS;
  • эффективно взаимодействовать с аудиторами на разных этапах проверки;
  • квалифицированно оценивать применимость требований стандарта в конкретных условиях;
  • обоснованно выбирать способы устранения несоответствий стандарту. 

Программа курса

Глава 1 - Обзор стандарта PCI DSS и сопутствующих стандартов

  • Введение. 
  • История, общее описание и назначение стандарта PCI DSS. 
  • Системы платежных карт, организации участвующие в PCI. 
  • Обзор документов PCI Security Standards Council (PCI SSC). 
  • Разделение ответственности между PCI SSC, QSA и международными платежными системами. 
  • Обзор сопутствующих стандартов PA DSS и PCI PED, общее описание, назначение и область применения стандартов.


Глава 2 - Обзор требований стандарта PCI DSS

  • Основные требования к подтверждению соответствия PCI DSS для различных типов организаций.
  • Требования по аттестации, аудиту и выявлению уязвимостей. 
  • Требования стандарта к формированию границ проверки. 
  • Влияние архитектуры систем на объемы и сроки аудита. 
  • Проведение тестов на проникновение. 
  • Безопасность приложений. 
  • Безопасность беспроводных сетей. 
  • Последние изменения стандарта, источники полезных ссылок и инструментов для улучшения соответствия стандарту.


Глава 3 - Описание процесса проведения аудита на соответствие требованиям PCI DSS

  • Рекомендации по выбору услуг QSA и ASV. 
  • Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита. 
  • Взаимодействие с QSA и ASV на разных этапах аудита. 
  • Представление отчета аудитором, методы и пути разрешения спорных вопросов. 
  • План устранения несоответствий (Action Plan): разработка, согласование, реализация. 
  • Самооценка и анализ необходимых изменений. 
  • Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.


Глава 4 - Детализация требований по защите данных платежных карт

  • Типы данных, требования к критичным данным авторизации, защита при обработке и хранении.
  • Объекты и методы защиты, применение компенсационных мер. 
  • Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.


Глава 5 - Детализация требований по строгому контролю доступа

  • Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса. 
  • Управление носителями информации в работе и при архивном хранении. 
  • Средства контроля доступа к данным, аутентификация и авторизация пользователей. 
  • Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.


Глава 6 - Детализация требований по построению и поддержанию защищенной сети

  • Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям. 
  • Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей. 
  • Настройки пользовательской среды и программ. 
  • Минимизация доступа в соответствии со служебной необходимостью. 
  • Применение систем автоматизированного контроля и управления доступом. 
  • Настройки по умолчанию для оборудования, операционных систем, программного обеспечения.
  • Регламентация процессов и применение процедур управления доступом.


Глава 7 - Детализация требований к мониторингу и тестированию

  • Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий. 
  • Журналы аудита событий: анализ, настройка, защита, архивация. 
  • Системы централизованного сбора и анализа событий. 
  • Системы контроля целостности и обнаружения изменений данных. 
  • Мониторинг беспроводных сетей и точек доступа.
  • Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений. 
  • Обеспечение целостности и синхронизации событий с разных систем сети. 
  • Отражение требований стандарта в регламентирующих документах.


Глава 8 - Программа управления уязвимостями

  • Регулярная идентификация, анализ, тестирование и внедрение обновлений. 
  • Процесс управления обновлениями. 
  • Управление конфигурациями и настройками. 
  • Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки. 
  • Среда разработки и эксплуатации. 
  • Средства управления изменениями и конфигурациями. 
  • Стандарты безопасной разработки приложений. 
  • Тестирование кода приложений, сертификация и авторизация перед внедрением. 
  • Выявление уязвимостей: внешние и внутренние сканирования. 
  • Проведение тестов на проникновение. 
  • План реагирования на инциденты. 
  • Регламентация требований стандарта в политике и процедурах.


Глава 9 - Поддержание политики информационной безопасности

  • Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике. 
  • Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа. 
  • Ответственность для сотрудников и контрагентов. 
  • Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала. 
  • Программа повышения осведомленности сотрудников в ИБ. 
  • Пересмотр и обновление политики.


Глава 10 - Стратегии достижения соответствия стандарту

  • Подготовка нормативной документации. 
  • Выбор оптимальных технических решений. 
  • Планирование и внедрение процессов управления Информационной Безопасностью. 
  • Обучение и повышение осведомленности сотрудников по вопросам ИБ. 
  • Сложности при внедрении стандарта PCI DSS в РФ. 
  • Статистика и типовые несоответствия, рекомендации по их исправлению.

Доступные формы обучения
Описание фомата

Очная форма – это классическая форма обучения. Студенты посещают занятия в специально оборудованном классе на территории учебного центра в соответствии с установленным расписанием.

Занятие длится 8 академических часов в день, стандартное время начала обучения – 10:00.

Преимущество очного обучения – это личный контакт с тренером-преподавателем и с остальными студентами курса. Во время обучения студенты сдают лабораторные работы вендоров, к которым предоставляется доступ, а также лабораторные работы, специально разработанные тренерами-преподавателями. Обучающиеся выполняют практические занятия, получая доступ к оборудованию или при помощи его эмуляции.

Расписание курса
Выберите удобную для вас дату
янв. 2020
27 - 29 янв.
Москва
ОчнаяОчная
Преподаватель курса
Ожидается назначение
Стоимость
21 000 RUB
мар. 2020
11 - 13 мар.
Москва
ОчнаяОчная
Преподаватель курса
Ожидается назначение
Стоимость
21 000 RUB
мая 2020
13 - 15 мая
Москва
ОчнаяОчная
Преподаватель курса
Ожидается назначение
Стоимость
21 000 RUB
июл. 2020
22 - 24 июл.
Москва
ОчнаяОчная
Преподаватель курса
Ожидается назначение
Стоимость
21 000 RUB
сент. 2020
16 - 18 сент.
Москва
ОчнаяОчная
Преподаватель курса
Ожидается назначение
Стоимость
21 000 RUB
нояб. 2020
11 - 13 нояб.
Москва
ОчнаяОчная
Преподаватель курса
Ожидается назначение
Стоимость
21 000 RUB
Если в расписании нет удобных для Вас дат, напишите нам - мы разработаем удобные варианты специально для Вас!
FAQ

По окончанию обучения слушатели получают либо Сертификат Учебного Центра о прохождении курса, либо Удостоверение о повышении квалификации, зарегистрированное в ФРДО (Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении). Для получения Свидетельства необходимо, чтобы длительность обучения превышала 16 академических часов, а так же необходимо предоставить оригинал Диплома о профессиональном или высшем образовании государственного образца.

Помимо этого, по факту прохождения авторизованных курсов вендоров Cisco, Postgres, AstraLinux, Microsoft, ICAgile выдается электронный сертификат вендора.

Возьмите паспорт и Диплом об окончании профессионального или высшего образования. Диплом понадобится для получения Удостоверения о повышении квалификации (в случае отсутствия Диплома, по окончанию курса будет выдан Сертификат Учебного Центра, подтверждающий факт пройденного обучения).

За несколько дней до начала обучения (обычно за неделю) все слушатели получают приглашение по указанной электронной почте (если обучение заказывалось централизованно, ваш персональный мейл могли не передать - обратитесь к специалисту вашей организации, кто заказывал курсы, приглашение есть у него). В приглашении указан адрес и прочая полезная для слушателя информация. Если вы не получили приглашение – обратитесь к нам любым удобным для вас способом и мы сообщим адрес и продублируем приглашение на вашу почту.

В основном корпусе в Москве по адресу Дербеневская набережная д.7 стр.5, БЦ «Оазис», парковки, к сожалению, нет. Зато есть муниципальная платная парковка на всех прилегающих улицах.

По поводу остальных филиалов и корпусов – уточняйте информацию у наших менеджеров. Мы постараемся сделать всё возможное для вашего комфортного обучения.

Да, во время занятий для слушателей всегда доступны чай, кофе, прохладительные напитки и орешки, печеньки и другие снеки на кофе-брейках. Помимо этого, в обеденный перерыв будет предложен полноценный горячий обед.

Наш центр работает с корпоративными и частными клиентами. Для каждой категории клиентов мы разработали различные варианты сотрудничества, позволяющие гибко подходить к ценообразованию и вариантам оплаты.

Обо всех специальных условиях читайте в разделе Спецпредложения.

Не достаточно информации? Напишите нам и мы сделаем вам предложение, от которого невозможно отказаться.

Не нашли подходящиего курса?
Оставьте заявку на обучение для вашей организации
Подпишитесь и будьте в курсе
Информация о новинках, скидках и акциях. Уже более 36 000 подписчиков!