Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)

Глава 1 - Обзор стандарта PCI DSS и сопутствующих стандартов

• Введение. 
• История, общее описание и назначение стандарта PCI DSS. 
• Системы платежных карт, организации участвующие в PCI. 
• Обзор документов PCI Security Standards Council (PCI SSC). 
• Разделение ответственности между PCI SSC, QSA и международными платежными системами. 
• Обзор сопутствующих стандартов PA DSS и PCI PED, общее описание, назначение и область применения стандартов.

Глава 2 - Обзор требований стандарта PCI DSS

• Основные требования к подтверждению соответствия PCI DSS для различных типов организаций.
• Требования по аттестации, аудиту и выявлению уязвимостей. 
• Требования стандарта к формированию границ проверки. 
• Влияние архитектуры систем на объемы и сроки аудита. 
• Проведение тестов на проникновение. 
• Безопасность приложений. 
• Безопасность беспроводных сетей. 
• Последние изменения стандарта, источники полезных ссылок и инструментов для улучшения соответствия стандарту.

Глава 3 - Описание процесса проведения аудита на соответствие требованиям PCI DSS

• Рекомендации по выбору услуг QSA и ASV. 
• Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита. 
• Взаимодействие с QSA и ASV на разных этапах аудита. 
• Представление отчета аудитором, методы и пути разрешения спорных вопросов. 
• План устранения несоответствий (Action Plan): разработка, согласование, реализация. 
• Самооценка и анализ необходимых изменений. 
• Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.

Глава 4 - Детализация требований по защите данных платежных карт

• Типы данных, требования к критичным данным авторизации, защита при обработке и хранении.
• Объекты и методы защиты, применение компенсационных мер. 
• Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.

Глава 5 - Детализация требований по строгому контролю доступа

• Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса. 
• Управление носителями информации в работе и при архивном хранении. 
• Средства контроля доступа к данным, аутентификация и авторизация пользователей. 
• Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.

Глава 6 - Детализация требований по построению и поддержанию защищенной сети

• Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям. 
• Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей. 
• Настройки пользовательской среды и программ. 
• Минимизация доступа в соответствии со служебной необходимостью. 
• Применение систем автоматизированного контроля и управления доступом. 
• Настройки по умолчанию для оборудования, операционных систем, программного обеспечения.
• Регламентация процессов и применение процедур управления доступом.

Глава 7 - Детализация требований к мониторингу и тестированию

• Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий. 
• Журналы аудита событий: анализ, настройка, защита, архивация. 
• Системы централизованного сбора и анализа событий. 
• Системы контроля целостности и обнаружения изменений данных. 
• Мониторинг беспроводных сетей и точек доступа.
• Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений. 
• Обеспечение целостности и синхронизации событий с разных систем сети. 
• Отражение требований стандарта в регламентирующих документах.

Глава 8 - Программа управления уязвимостями

• Регулярная идентификация, анализ, тестирование и внедрение обновлений. 
• Процесс управления обновлениями. 
• Управление конфигурациями и настройками. 
• Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки. 
• Среда разработки и эксплуатации. 
• Средства управления изменениями и конфигурациями. 
• Стандарты безопасной разработки приложений. 
• Тестирование кода приложений, сертификация и авторизация перед внедрением. 
• Выявление уязвимостей: внешние и внутренние сканирования. 
• Проведение тестов на проникновение. 
• План реагирования на инциденты. 
• Регламентация требований стандарта в политике и процедурах.

Глава 9 - Поддержание политики информационной безопасности

• Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике. 
• Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа. 
• Ответственность для сотрудников и контрагентов. 
• Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала. 
• Программа повышения осведомленности сотрудников в ИБ. 
• Пересмотр и обновление политики.

Глава 10 - Стратегии достижения соответствия стандарту

• Подготовка нормативной документации. 
• Выбор оптимальных технических решений. 
• Планирование и внедрение процессов управления Информационной Безопасностью. 
• Обучение и повышение осведомленности сотрудников по вопросам ИБ. 
• Сложности при внедрении стандарта PCI DSS в РФ. 
• Статистика и типовые несоответствия, рекомендации по их исправлению.