Выберите городМосква
Москва
Алматы
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва
Алматы
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Личный кабинет
Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 495 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
КП46

Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)

Тип курса
Авторский
Длительность
24 ак. часов
Ближайшая дата
26 дек 2022
Стоимость
30 240 RUB
30 240 RUB
Описание

В рамках курса КП46 "Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)" детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.

В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS (Payment Card Industry Data Security Standard) для различных типов организаций, даётся обзор стандартов Payment Application Data Security Standard (PA-DSS) и PCI PIN Entry Device (PCI PED), в систематизированном виде приведена информация, необходимая специалистам организаций, в которых проводится подготовка к проведению аудита на соответствие данному стандарту.

Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других. 

В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит выполнить требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.

Каждый слушатель получает Компакт-диск, содержащий подборку инструментальных средств аудита/защиты, информационные материалы по вопросам повышения защищенности операционных систем, коллекцию полезных ссылок, а также набор инструментов и утилит, рассмотренных в рамках курса. 

Кому полезен курс

  • Руководители, менеджеры, аналитики подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт
  • Сотрудники организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS
  • Эксперты и аналитики по вопросам компьютерной безопасности

Необходимая подготовка

  • Базовые знания по IP-сетям, операционным системам, системам управления базами данных, Web-приложениям
  • Знание основ информационной безопасности
  • Общее представление о технологиях индустрии платежных карт

Ваш результат обучения

По окончании курса вы приобретете знания:

  • структуры стандарта PCI DSS и вспомогательных стандартов;
  • о перечне задач, решение которых потребуется для достижения соответствия стандарту;
  • защитных механизмов и средств, применение которых позволит выполнить требования стандарта;
  • методологии выявления уязвимостей в контексте требований PCI DSS;
  • особенностей применения стандарта в российских условиях.


Вы сможете:

  • оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта PCI DSS;
  • разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS;
  • эффективно взаимодействовать с аудиторами на разных этапах проверки;
  • квалифицированно оценивать применимость требований стандарта в конкретных условиях;
  • обоснованно выбирать способы устранения несоответствий стандарту. 

Программа курса

Глава 1 - Обзор стандарта PCI DSS и сопутствующих стандартов

  • Введение. 
  • История, общее описание и назначение стандарта PCI DSS. 
  • Системы платежных карт, организации участвующие в PCI. 
  • Обзор документов PCI Security Standards Council (PCI SSC). 
  • Разделение ответственности между PCI SSC, QSA и международными платежными системами. 
  • Обзор сопутствующих стандартов PA DSS и PCI PED, общее описание, назначение и область применения стандартов.


Глава 2 - Обзор требований стандарта PCI DSS

  • Основные требования к подтверждению соответствия PCI DSS для различных типов организаций.
  • Требования по аттестации, аудиту и выявлению уязвимостей. 
  • Требования стандарта к формированию границ проверки. 
  • Влияние архитектуры систем на объемы и сроки аудита. 
  • Проведение тестов на проникновение. 
  • Безопасность приложений. 
  • Безопасность беспроводных сетей. 
  • Последние изменения стандарта, источники полезных ссылок и инструментов для улучшения соответствия стандарту.


Глава 3 - Описание процесса проведения аудита на соответствие требованиям PCI DSS

  • Рекомендации по выбору услуг QSA и ASV. 
  • Планирование и проведение аудита, сбор, обработка и хранение свидетельств аудита. 
  • Взаимодействие с QSA и ASV на разных этапах аудита. 
  • Представление отчета аудитором, методы и пути разрешения спорных вопросов. 
  • План устранения несоответствий (Action Plan): разработка, согласование, реализация. 
  • Самооценка и анализ необходимых изменений. 
  • Анкета самооценки PCI (Self-Assessment Questionnaire, SAQ) для небольших организаций.


Глава 4 - Детализация требований по защите данных платежных карт

  • Типы данных, требования к критичным данным авторизации, защита при обработке и хранении.
  • Объекты и методы защиты, применение компенсационных мер. 
  • Защита данных при передаче по сетям: классификация сетей, методы защиты данных, политики и процедуры обращения с данными карт при передаче по сетям.


Глава 5 - Детализация требований по строгому контролю доступа

  • Физическая безопасность: требования к помещениям, в которых обрабатывается информация карт, режим разграничения доступа в помещения, идентификация персонала и посетителей, безопасность серверного и офисного оборудования, кабельной инфраструктуры внутри офиса. 
  • Управление носителями информации в работе и при архивном хранении. 
  • Средства контроля доступа к данным, аутентификация и авторизация пользователей. 
  • Документирование политик управления доступом к данным, процедур хранения, резервного копирования и уничтожения, требований физической безопасности в политиках и процедурах.


Глава 6 - Детализация требований по построению и поддержанию защищенной сети

  • Управление учетными записями: политика управления учетными записями и её реализация, политики по отношению к паролям. 
  • Знание и практическое использование сотрудниками правил обращения с учетными записями и паролями. Запрет на использование встроенных и разделяемых учетных записей. 
  • Настройки пользовательской среды и программ. 
  • Минимизация доступа в соответствии со служебной необходимостью. 
  • Применение систем автоматизированного контроля и управления доступом. 
  • Настройки по умолчанию для оборудования, операционных систем, программного обеспечения.
  • Регламентация процессов и применение процедур управления доступом.


Глава 7 - Детализация требований к мониторингу и тестированию

  • Доступ к сетевым ресурсам и данным карт, обеспечение регистрации действий сотрудников и системных событий. 
  • Журналы аудита событий: анализ, настройка, защита, архивация. 
  • Системы централизованного сбора и анализа событий. 
  • Системы контроля целостности и обнаружения изменений данных. 
  • Мониторинг беспроводных сетей и точек доступа.
  • Использование сетевых систем мониторинга, обнаружения и предупреждения вторжений. 
  • Обеспечение целостности и синхронизации событий с разных систем сети. 
  • Отражение требований стандарта в регламентирующих документах.


Глава 8 - Программа управления уязвимостями

  • Регулярная идентификация, анализ, тестирование и внедрение обновлений. 
  • Процесс управления обновлениями. 
  • Управление конфигурациями и настройками. 
  • Безопасность при разработке и поддержке приложений: применимость требования стандарта, уязвимости приложений и распространенные атаки. 
  • Среда разработки и эксплуатации. 
  • Средства управления изменениями и конфигурациями. 
  • Стандарты безопасной разработки приложений. 
  • Тестирование кода приложений, сертификация и авторизация перед внедрением. 
  • Выявление уязвимостей: внешние и внутренние сканирования. 
  • Проведение тестов на проникновение. 
  • План реагирования на инциденты. 
  • Регламентация требований стандарта в политике и процедурах.


Глава 9 - Поддержание политики информационной безопасности

  • Процессы и процедуры, необходимые для обеспечения выполнения требований стандарта, их отражение в политике. 
  • Политики использования персональных устройств, сменных носителей, систем обмена сообщениями, технологий беспроводного и удаленного доступа. 
  • Ответственность для сотрудников и контрагентов. 
  • Распределение обязанностей по обеспечению политики ИБ в целом, документированию и доведению политик до сотрудников и контрагентов, администрированию и контролю доступа, взаимодействию с сервис – провайдерами, мониторингу и реагированию на инциденты, проверке персонала. 
  • Программа повышения осведомленности сотрудников в ИБ. 
  • Пересмотр и обновление политики.


Глава 10 - Стратегии достижения соответствия стандарту

  • Подготовка нормативной документации. 
  • Выбор оптимальных технических решений. 
  • Планирование и внедрение процессов управления Информационной Безопасностью. 
  • Обучение и повышение осведомленности сотрудников по вопросам ИБ. 
  • Сложности при внедрении стандарта PCI DSS в РФ. 
  • Статистика и типовые несоответствия, рекомендации по их исправлению.

! Данный курс может быть заказан может быть заказан согласно 44-ФЗ, 223-ФЗ (закупка, аукцион, запрос котировок, конкурсные процедуры)

Доступные формы обучения
Описание фомата

Смешанное обучение совмещает в себе очные и дистанционные форматы. Часть программы студенты могут пройти удаленно, а часть – в учебном центре. Некоторые темы в программе не требуют личного присутствия обучающегося, а более сложные для объяснения элементы (в основном уровня advanced) рассматриваются непосредственно в аудитории-лаборатории. Практические занятия проходят под руководством опытного инструктора на территории учебного центра, в то время как теорию обучающиеся проходят в удаленной форме под дистанционным контролем.

Длительность, формат и расписание ежедневных занятий для каждого курса индивидуальны и будут высланы каждому слушателю до начала обучения.

Смешанный формат позволяет оптимизировать процесс обучения и сократить время на ежедневную логистику «до» и «от» учебного центра в часы пик.

Расписание курса
Выберите удобную для вас дату
дек 2022
26 дек - 28 дек
Москва
Смешанная Смешанная
Преподаватель курса
Ожидается назначение
Стоимость
30 240 RUB
Если в расписании нет удобных для Вас дат, напишите нам - мы разработаем удобные варианты специально для Вас!
FAQ

Онлайн обучение реализуется в Системе Дистанционного Обучения УЦ Микротест — Mirapolis и проходит в реальном времени с преподавателем. За несколько дней до начала обучения вы получаете необходимые ссылки для подключения к курсу и доступ к Личному кабинету.

Более подробно вы можете ознакомиться с информацией на странице дистанционного обучения.

Если у вас остались вопросы, то обратитесь к нам любым удобным для вас способом (тел. +7(495) 231-23-51 или training@training-microtest.ru), и мы ответим на все ваши вопросы.

Очное обучение проходит на территории Учебного центра Микротест по адресу: Москва, Дербеневская наб. д. 7 стр.5, 5 этаж.

За несколько дней до начала обучения участник получает приглашение, в котором указан адрес места проведения и другая полезная информация для обучения.

Если вы не получили приглашение — обратитесь к нам любым удобным для вас способом (тел. +7(495) 231-23-51 или training@training-microtest.ru), и мы ответим на ваши вопросы и продублируем приглашение на вашу почту.

  1. Обучение проходит в реальном времени с преподавателем, вы можете задавать свои вопросы и разбирать интересные кейсы сразу в процессе обучения.
  2. Вашу учебную группу будет сопровождать координатор, которому можно задавать организационные вопросы.
  3. Если вы по каким-то причинам пропустили онлайн-занятие, то все записи будут доступны 24/7 в вашем личном кабинете в Системе Дистанционного Обучения. Также вы можете их использовать для закрепления материала.
  4. Дополнительно для вашего удобства мы создаем чат в Telegram вашей группы, где вы сможете задавать вопросы преподавателю, координатору и обмениваться опытом с коллегами по обучению.

По итогу прохождения обучения слушатели получают либо Сертификат Учебного центра о прохождении курса, либо Удостоверение о повышении квалификации, зарегистрированное в ФРДО (Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении).

Помимо этого, по факту прохождения авторизованных курсов вендоров PostgresPro, Astra Linux, АЭРОДИСК и др. выдается электронный сертификат вендора.

В основном корпусе в Москве по адресу Дербеневская набережная д.7 стр.5, БЦ «Оазис», парковки, к сожалению, нет. Зато есть муниципальная платная парковка на всех прилегающих улицах.

По поводу остальных филиалов и корпусов — уточняйте информацию у наших менеджеров. Мы постараемся сделать всё возможное для вашего комфортного обучения.

Да, во время занятий для слушателей всегда доступны чай, кофе, печенье и другие снеки на кофе-брейках. Помимо этого, в обеденный перерыв будет предложен полноценный горячий обед.

Наш центр работает с корпоративными и частными клиентами. Для каждой категории клиентов мы разработали различные варианты сотрудничества, позволяющие гибко подходить к ценообразованию и вариантам оплаты.

Обо всех специальных условиях читайте в разделе Спецпредложения или обратитесь к нам любым удобным для вас способом (тел. +7(495) 231-23-51 или training@training-microtest.ru)

Также подпишитесь на новости нашего учебного центра, где вы первыми узнаете про интересные предложения от нас.

Не нашли подходящиего курса?
Оставьте заявку на обучение для вашей организации
Подпишитесь и будьте в курсе
Информация о новинках, скидках и акциях. Уже более 36 000 подписчиков!