More Related Content
Similar to BMS PCI DSS в Украине (20)
More from Nick Turunov (20)
BMS PCI DSS в Украине
- 1. PCI DSS
в Украине
К чему готовиться?
Александр Смычников
Консультант департамента ИТ консалтинга
ООО «БМС Консалтинг»
Alexander_Smychnikov@BMS-Consulting.com
Copyright © BMS consulting, 2009
Copyright © BMS consulting, 2007
- 2. План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 2
- 3. План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 3
- 5. Голые факты
2009 Data Breach Investigations Report, Verizon Business RISK team
20.07.09 Copyright © BMS consulting, 2009 5
- 6. Голые факты - 2
Еще об утечках 2008 в свете PCI DSS:
•Германия. 21 миллион немцев.
Источник: Call-центр крупного банка
•Корея. 11 миллионов сотрудников «GS Caltex»
Источник: Служащие компании Персональные данные
Государственная тайна
•США. 8 миллионов клиентов «Best Western Hotel group»
Источник: «Взломанный» сервер компании. Ком. тайна, Ноу-хау
Не установлено
4. Билинговая компания «CheckFree». 5 миллионов клиентов.
Источник: Подмена DNS и ложный сайт
Природа утечек
5. Партнер Bank of New York Mellon, 4,5 миллиона клиентов
Источник: Утерянная магнитная лента
2009 Глобальное исследование утечек информации за 2008 год, InfoWatch
20.07.09 Copyright © BMS consulting, 2009 6
- 7. В чем ошибка?
Ошибки пользователей Ошибки безопасности
Антивирус и обновления Безопасность работы в Интернет
Запуск непроверенного ПО Использование систем после
обнаружения уязвимости
Установка обновлений Использование протоколов не
безопасности системного и поддерживающих шифрование
прикладного ПО Разглашение пароля пользователей по
Отказ от резервных копий и их телефону без авторизации
тестирования Запуск небезопасных сервисов, которые
не требуются в работе
Нарушения регламента Некорректная настройка межсетевых
использования сети экранов
Обновления антивирусного ПО
Отсутствие обучения пользователей в
сфере ИБ
Допуск неквалифицированного
персонала к обеспечению ИБ
2009, SANS Insitute
20.07.09 Copyright © BMS consulting, 2009 7
- 9. План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 9
- 11. План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 11
- 12. 20.07.09 Copyright © BMS consulting, 2009 12
- 14. Вопрос 2.
Кому верить?
Санкции PCI к QSA
Некачественная работа
«Медвежьи» услуги
20.07.09 Copyright © BMS consulting, 2009 14
- 16. Вопрос 4.
Как быть с приоритетами?
Первая стадия разработки
Не инструмент аудита
Нужен «новичкам» и SMB retail
Подготовка к SAQ
20.07.09 Copyright © BMS consulting, 2009 16
- 18. План доклада
PCI DSS увядает?
Динамика стандарта
Новые вопросы и мифы
Наши прогнозы
20.07.09 Copyright © BMS consulting, 2007 18
- 19. Наши прогнозы
Безопасность баз данных
Управление уязвимостями
Аутсорсинг
Борьба за качество аудита
PA DSS
20.07.09 Copyright © BMS consulting, 2009 19
- 20. Добрый совет
Надежный партнер
Квалифицированная консультация
Меры «внешние» и «внутренние»
Процессы, а не проекты
Внутренние меры Внешний опыт и знания
20.07.09 Copyright © BMS consulting, 2009 20