bms pci dss в Украине

Copyright © BMS consulting, 2007

PCI DSS в Украине

К чему готовиться?

Copyright © BMS consulting, 2009

Александр СмычниковКонсультант департамента ИТ консалтингаООО «БМС Консалтинг»

Alexander_Smychnikov@BMS-Consulting.com

Copyright © BMS consulting, 200713.04.23 2Copyright © BMS consulting, 2007

План доклада

PCI DSS увядает?

Динамика стандарта

Новые вопросы и мифы

Наши прогнозы

Copyright © BMS consulting, 200713.04.23 3Copyright © BMS consulting, 2007

План доклада

PCI DSS увядает?

Динамика стандарта

Новые вопросы и мифы

Наши прогнозы

13.04.23 4

Повод задуматься?

Copyright © BMS consulting, 2009

Вопрос: Что дает соответствие PCI DSS?

13.04.23 5

Голые факты

Copyright © BMS consulting, 2009

2009 Data Breach Investigations Report, Verizon Business RISK team

13.04.23 6

Голые факты - 2

Copyright © BMS consulting, 2009

2009 Глобальное исследование утечек информации за 2008 год, InfoWatch

Природа утечек

Еще об утечках 2008 в свете PCI DSS:

1.Германия. 21 миллион немцев. Источник: Call-центр крупного банка

2.Корея. 11 миллионов сотрудников «GS Caltex»Источник: Служащие компании

3.США. 8 миллионов клиентов «Best Western Hotel group»Источник: «Взломанный» сервер компании.

4. Билинговая компания «CheckFree». 5 миллионов клиентов.Источник: Подмена DNS и ложный сайт

5. Партнер Bank of New York Mellon, 4,5 миллиона клиентовИсточник: Утерянная магнитная лента

Персональные данные

Государственная тайна

Ком. тайна, Ноу-хау

Не установлено

13.04.23 7

В чем ошибка?

Copyright © BMS consulting, 2009

Ошибки пользователей

Антивирус и обновления Запуск непроверенного ПО Установка обновлений

безопасности системного и прикладного ПО

Отказ от резервных копий и их тестирования

Нарушения регламента использования сети

2009, SANS Insitute

Ошибки безопасности

Безопасность работы в Интернет Использование систем после

обнаружения уязвимости Использование протоколов не

поддерживающих шифрование Разглашение пароля пользователей по

телефону без авторизации Запуск небезопасных сервисов, которые

не требуются в работе Некорректная настройка межсетевых

экранов Обновления антивирусного ПО Отсутствие обучения пользователей в

сфере ИБ Допуск неквалифицированного персонала к обеспечению ИБ

13.04.23 8

PCI DSS учитывает это!

Copyright © BMS consulting, 2009

Copyright © BMS consulting, 200713.04.23 9Copyright © BMS consulting, 2007

План доклада

PCI DSS увядает?

Динамика стандарта

Новые вопросы и мифы

Наши прогнозы

13.04.23 10

Жизненный цикл стандарта

Copyright © BMS consulting, 2009

Copyright © BMS consulting, 200713.04.23 11

План доклада

PCI DSS увядает?

Динамика стандарта

Новые вопросы и мифы

Наши прогнозы

13.04.23 12Copyright © BMS consulting, 2009

13.04.23 13

Вопрос 1.Так что же дает стандарт?

Copyright © BMS consulting, 2009

13.04.23 14

Вопрос 2.Кому верить?

Санкции PCI к QSA Некачественная работа «Медвежьи» услуги

Copyright © BMS consulting, 2009

13.04.23 15

Вопрос 3.Июль 2010 года?!

Copyright © BMS consulting, 2009

13.04.23 16

Вопрос 4. Как быть с приоритетами?

Copyright © BMS consulting, 2009

Первая стадия разработки Не инструмент аудита Нужен «новичкам» и SMB retail Подготовка к SAQ

13.04.23 17

Вопрос 5.Аутсорсинг или его «дети»?

Copyright © BMS consulting, 2009

Copyright © BMS consulting, 200713.04.23 18

План доклада

PCI DSS увядает?

Динамика стандарта

Новые вопросы и мифы

Наши прогнозы

13.04.23 19

Наши прогнозы

Copyright © BMS consulting, 2009

Безопасность баз данных Управление уязвимостями Аутсорсинг Борьба за качество аудита PA DSS

13.04.23 20

Добрый совет

Copyright © BMS consulting, 2009

Надежный партнер Квалифицированная консультация Меры «внешние» и «внутренние» Процессы, а не проекты

Внешний опыт и знанияВнутренние меры

www.bms-consulting.com

Спасибо за внимание!Спасибо за внимание!