Компания Инфобезпека в партнерстве с компанией Digital Security предлагает услуги по сертификации на соответствие стандарту PCI DSS. Аудит информационной системы на соответствие международному стандарту защиты информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standrad) позволяет оценить соответствие уровня защищенности информационной системы компании требованиям этого стандарта. Сертификационный аудит могут проводить только сертифицированные сообществом PCI Security Standards Council компании, имеющие статус QSA (Qualified Security Assessor).
Этапы сертификационного аудита
Выполнение работ по сертификационному аудиту информационной системы на соответствие требованиям стандарта PCI DSS выполняется в два этапа.
На первом этапе производится:
• Анализ, систематизация и уточнение полученных от Заказчика исходных данных о компонентах информационной системы, в которых хранится или обрабатывается критичная информация о платежных картах.
• Анализ нормативно-распорядительной документации по информационной безопасности (политик, регламентов и инструкций), необходимой в соответствии с требованиями стандарта PCI DSS.
• Анализ топологии сети, состава и характеристик аппаратных и программных средств передачи информации.
• Анализ характера внутренних и внешних связей информационной системы, информационных потоков и принципов обработки критичной информации о платежных картах в информационной системе.
• Определение и утверждение области применения стандарта (области сертификации) на основании результатов работы по предыдущим пунктам.
На втором этапе производится:
• Сертификационный аудит информационной системы Заказчика.
• Подготовка отчета о результатах сертификационного аудита.
Применяемые методики
В процессе работы применяется методика «Анализ выполнения мер и требований стандарта PCI DSS согласно процедуре аудита PCI DSS Security Audit Procedure».
Методика включает в себя анализ предоставленной информации и проверку выполнения на практике требований стандарта PCI DSS, осуществляемую при помощи инструментальных средств аудита и интервьюирования должностных лиц. Проверка включает в себя:
• Анализ схемы корпоративной сети, принципов сегментации и разделения информационных потоков.
• Анализ конфигурации межсетевых экранов, корректности и актуальности списков контроля доступа.
• Проверку наличия беспроводных сетей стандарта 802.11X и анализ их защищенности.
• Анализ используемых сетевых протоколов с точки зрения безопасности.
• Анализ принятых в информационной системе политик безопасности (политики контроля доступа, парольной политики, политики физической безопасности и т.д.).
• Анализ принципов и технологий обработки критичной информации о платежных картах.
• Проверку наличия процедуры своевременного обновления системных компонентов и антивирусного ПО на серверах и рабочих станциях.
• Проверку наличия механизмов регулярного мониторинга сети и информационных ресурсов.
Итоговый вывод о соответствии информационной системы Заказчика требованиям стандарта PCI DSS делается в случае подтверждения реализации на практике всех требований стандарта. Под этим понимается прямое выполнение требований стандарта PCI DSS или наличие альтернативных адекватных мер, компенсирующих частичное выполнение тех или иных требований.
Результаты сертификационного аудита на соответствие PCI DSS
В отчете по результатам работ приводится оценка соответствия текущего уровня защищенности информационной системы Заказчика международному стандарту PCI DSS.
Если информационная система компании соответствует стандарту PCI DSS по результатам сертификационного аудита, Заказчик получает сертификат соответствия после одобрения PCI SSC (PCI Security Standard Council).
