вторник, 29 декабря 2015 г.

Опыт подготовки и прохождения аудита PCI DSS 3.1

В этом месяце под моим руководством успешно завершился проект по подготовке и сертификации PCI DSS 3.1. И есть повод написать о практическом опыте несколько слов. Отличия от третей версии не столь значительные как при переходе от PCI DSS 2.0 к PCI DSS 3.0, но они есть. 

В чем же они заключаются?

1. Как и в каждой новой версии стандарта PCI DSS переопределены понятия и есть перестановки в нумерации пунктов.
2. Одним из пунктов является признание протокола SSL небезопасным и запрет его использования.
3. Так же появилось требование о наличии матрицы распределения ответственности.
4. Изменились формы отчетности RoC и AoC (актуально для аудиторов).
5. Значительно увеличилось количество собираемых подтверждений выполнения требований стандарта (копий документов, отчетности, копий экрана).

В целом, по личному опыту могу сказать, что изменения в стандарте PCI DSS 3.1 практически не повлияли на процесс подготовки компании к аудиту. Если, компания успешно прошла в прошлом году аудит по версии 3.0 (и даже по версии 2.0) каких-либо проблем у нее возникнуть не должно. Конечно в том случае, если сертифицированные процессы выполнялись на протяжении прошедшего года непрерывно, и не забывали о периодических задачах (ежедневных, еженедельных, ежеквартальных и прочих, которых требует стандарт и внутренние документы компании).

Что же касается компаний, которые впервые планируют проходить аудит безопасности PCI DSS, то для них обязательно соответствие версии 3.1 в полном объеме. В этом случае стоит помнить, что на подготовку и выполнение всех требований в зависимости от размера инфраструктуры подлежащей сертификации, количества задействованного персонала и других факторов необходимо планировать не менее одного, а скорее всего двух кварталов.

Со всеми изменениями в PCI DSS 3.1 вы можете ознакомиться на официальном портале PCI Council.

В случае вопросов, буду рад проконсультировать. 
Skypeviktor.davydych

вторник, 12 августа 2014 г.

PCI DSS - Information Supplement: Third-Party Security Assurance

PCI Council опубликовал документ – «Third-Party Security Assurance».  Выбор и управление взаимодействием с контрагентами (ИТ).
Документ доступен на официальном сайте.

воскресенье, 22 июня 2014 г.

Несколько слов по результатам парламентского слушания «Законодательное обеспечение развития информационного общества в Украине» от 18.06.14 в Верховной Раде Украины

Что бы дети были мытыми и чистыми их нужно мыть и чистить… (так мог бы сказать Капитан Очевидность или политик).

В рамках трех часовых слушаний, на которые я был аккредитован в роли эксперта в области информационной безопасности, планировалось заслушать порядка сорока докладчиков. Понятно, что в рамках такого регламента никакие обсуждения не состоялись (хотя и планировались).
Мой интерес к данному слушанию вызвал документ «Закон про основы информационной безопасности Украины», а так же выступление главы государственной службы спецсвязи и защиты информации и начальника управления по борьбе с киберпреступностью МВД Украины.
Что касается документа «Закон про основы информационной безопасности Украины», то по нему был подготовлен ряд предложений инициированных коллегами из «Исака Киев» (обсуждение проекта закона доступно тут).
На данный момент они переданы «Комитету по информатизации» и по возможности будут направлены другим учреждениям, вовлеченным в процесс обеспечения информационной безопасности Украины.    
Что же касается других моментов, то был поднят вопрос национального антивируса и ОС (обсуждение инициативы доступно тут).
Много было сказано о необходимости создания единого курирующего органа, для избегания дублирования функций, развития ИТ на техническом и законодательном уровне, дублирования информации в разнородных базах данных, повсеместное использование ЭЦП и пр. Все это хорошо и правильно, вот только напомнило анекдот «Мышки, станьте ежиками…». Инициативы отличные, но со слишком высокоуровневой формулировкой, посмотрим, как будет с реализацией. Частично планируется решить более низкоуровневые вопросы путем создания «Комитетов» по тем или иным вопросам. 
Доклады и предложения зарубежных коллег, были более прикладными и изобиловали примерами реализации и этапами достижения. То же самое можно сказать и о докладе директора «Майкрософт Украина».  
В завершении хочется сказать, что безусловно приятны изменения, которые произошли за 6 месяце с декабря 2013 года и, возможно, законотворчество становится несколько более открытым для экспертов и игроков рынка. С другой стороны, все-таки большинство докладчиков представляющих государственные органы выступают «с листка» и по моему субъективному мнению в значительно большей мере обеспокоены переделом сфер влияния и финансирования, а к внедрению адекватных законодательных изменений и развитию отраслей относятся скорее по остаточному признаку. 
Ничего не меняется за один день, надеюсь, что с течением времени взаимодействие представителей государственных органов с экспертами в вопросах законотворчества будет неуклонно расти. И мы сможем пользоваться качественной законодательной базой, а так же удобными государственными сервисами. Вот только путь этот может быть долгий и тернистый…        

воскресенье, 15 июня 2014 г.

Презентация с доклада «Поэтапный процесс построения информационной безопасности в Компании» в рамках конференции «Outsource people»

Дополнено презентацией - скачать.

В Воскресение, 15 июня в 12:40 буду читать презентацию «Поэтапный процесс построения информационной безопасности в Компании» в рамках конференции «Outsource people».

План презентации:
  1. Цели и задачи безопасности в компании.
  2. Предварительный аудит.
  3. Анализ рисков.
  4. Устранение критических уязвимостей.
  5. Описание процессов и разработка документации.
  6. Внедрение процессов безопасности.
  7. Внедрение систем безопасности.
  8. Поддержка процессов и систем.
  9. Примеры реализации.
  10. Вопросы для обсуждения.
Буду рад видеть всех, кому интересна данная тема. До встречи на вебинаре. 

четверг, 12 июня 2014 г.

Доклад «Использование стандартов и лучших практик ИТ в процессах информационной безопасности»

Сегодня, 12 июня с 18:00 до 19:00 в рамках совместного круглого стола ISACA (Kyiv Chapter) и PWC под названием «IT Management – необходимость или дань моде»  планирую выступление с докладом «Использование стандартов и лучших практик ИТ в процессах информационной безопасности». 

Буду рад видеть коллег и заинтересованных темой представителей других направлений бизнеса. 

понедельник, 12 мая 2014 г.

PCI DSS 3.0. Перенимая опыт и следуя рекомендациям.

Все большее количество компаний начинает подготовку к прохождению аудита по требованиям стандарта PCI DSS 3.0. Для того, что бы лучше разобраться с требованиями и изменениями в стандарте PCI DSS 3.0, а так же понять, как выполнить подготовку максимально эффективно, будет полезно ознакомиться со следующими презентациями по данному вопросу.

      Так же хочу напомнить, что ознакомиться с моей презентацией о подготовке и прохождении аудита соответствия PCI DSS можно тут.    


среда, 16 апреля 2014 г.

PCI DSS 3.0. Изменения по сравнению со второй версией стандарта.

С перечнем изменений, которые появились в третьей версии стандарта PCI DSS можно ознакомиться по нескольким ссылкам ниже:
      1.       Официально.
      2.       Основными моментами.