Как подготовиться к аудиту по стандарту PCI DSS

Учебный центр «Информзащита» запускает новый авторский курс для специалистов организаций, в которых проводится подготовка к аудиту по стандарту PCI DSS.

Растущая популярность использования платежных карт сопровождается ростом числа уязвимостей в информационных системах, обрабатывающих данные карт. Соответствие стандарту PCI DSS, разработанному с целью повышения уровня защищенности платежных и электронных торговых систем, сегодня является необходимым условием успешного ведения бизнеса организациями, ответственными за передачу, обработку и хранение личных данных держателей карт. Применение стандарта в деятельности финансовых структур, телекоммуникационных компаний, предприятий ритейла стало важной задачей минимизации рисков масштабных убытков, в т.ч. потери данных платежных карт. Поэтому ежегодный аудит является обязательной процедурой для всех банков-эмитентов пластиковых карт и значительного количества организаций, принимающих платежи с пластиковых карт.

Ключевой задачей нового курса Учебного центра «Информзащита» (http://www.itsecurity.ru/) - КП46 «Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security, Standard)» (http://www.itsecurity.ru/edu/kurs/kp_46.html )является обучение специалистов оценки подготовленности ИТ-инфраструктуры организации к выполнению всех требований стандарта. В рамках курса детально рассматриваются требования стандарта PCI DSS – обязательного набора требований по информационной безопасности для банков-эмитентов платежных карт, предприятий и поставщиков услуг, работающих с международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa International, т. е. для всех организаций, участвующих в обработке данных держателей карт.

В курсе представлены требования международных платежных систем на подтверждение соответствия PCI DSS для различных типов организаций, в систематизированном виде приведена информация, необходимая специалистам компаний, в которых проводится подготовка к проведению аудита на соответствие данному стандарту, даётся обзор стандартов PA-DSS (Payment Application Data Security Standard) и PCI PED (PCI PIN Entry Device).

Новый курс ориентирован на руководителей, менеджеров, аналитиков подразделений информационных технологий и служб безопасности компаний, связанных с обработкой платежных карт, сотрудников организаций, планирующих проведение мероприятий, направленных на выполнение требований стандарта PCI DSS, а также экспертов и аналитиков по вопросам компьютерной безопасности.

Материалы курса основаны на документах и методических рекомендациях PCI Security Standards Council. Кроме того, в курсе использованы результаты исследований таких компетентных в области информационной безопасности организаций, как Агентство национальной безопасности США (National Security Agency, NSA), Институт стандартов и технологий США (National Institute of Standards and Technologies, NIST), SANS Institute (System Administration, Networking and Security) и ряда других. При разработке курса был учтен опыт и статистика аудитов, проведенных Департаментом аудита компании «Информзащита», опыт эксплуатации и результаты исследований средств безопасности, проведенных в лабораториях Учебного центра «Информзащита».

В результате обучения специалисты освоят методологию выявления уязвимостей в контексте требований стандарта PCI DSS, изучат защитные механизмы и средства, применение которых позволит реализовать требования стандарта, смогут оценить степень готовности ИТ-инфраструктуры организации к выполнению всех требований стандарта, познакомятся с особенностями его применения в российских условиях, а также смогут разработать план действий по подготовке к аудиту на соответствие стандарту PCI DSS и эффективно взаимодействовать с аудиторами на разных этапах проверки.

Презентация нового курса состоялась 23 апреля 2009г. на семинаре компании «Информзащита» «PCI DSS: Информационная безопасность в индустрии платежных карт 2009», в рамках которого Владимир Лепихин, заведующий Лабораторией сетевой безопасности Учебного центра «Информзащита», рассказал о новой программе обучения, ее структуре и целевой аудитории, на которую ориентирован курс.

Ближайшие занятия по курсу КП46 «Подготовка к аудиту по требованиям стандарта PCI DSS» состоятся 13-15 мая 2009 года.