In diesem Artikel möchte ich die grundlegenden Schritte zur Vorbereitung einer Sicherheitsüberprüfung beschreiben. In den meisten Fällen handelt es sich um eine Prüfung der Einhaltung der Sicherheitsstandards der ISO (27 ***) - oder PCI DSS-Serie oder der Einhaltung der GDPR-Konformitätsanforderungen.
Meine Erfahrung in der Informationssicherheit beträgt 12 Jahre. In dieser Zeit habe ich Projekte mit Dutzenden von Unternehmen aus den USA, Großbritannien, China, Russland, der Ukraine und europäischen Ländern abgeschlossen. Kunden waren sowohl große Bearbeitungszentren und Banken als auch IT-Unternehmen verschiedener Spezialisierungen. Die Implementierungsergebnisse wurden von PWC (Hongkong), VISA (USA), Deloitte (UKR) bewertet und die Einhaltung der Anforderungen erfolgreich bestätigt. Dies geht aus den Empfehlungsschreiben auf der Website und den Bewertungen im Linkedin- Profil hervor .
Ich hoffe, dass meine Erfahrung bei der Durchführung von Audits, der Beratung und Überwachung von Projekten, um Unternehmen mit dem Sicherheitsstandard PCI DSS , VISA & MASTERCARD in Einklang zu bringen, mir in einfachen Worten helfen wird, den Lesern nützliche Informationen zu vermitteln.
Ich möchte die in diesem Artikel gesammelten Erfahrungen und Kenntnisse, Beobachtungen und Kommentare am Beispiel der Vorbereitung eines Audits zur Einhaltung des PCI-DSS-Standards zum Ausdruck bringen. Alles, was in diesem Artikel angegeben ist, kann erheblich von den Meinungen anderer Prüfer und Berater, der offiziellen Position des PCI Security Standards Council und anderen Quellen abweichen. Ich schlage nicht vor, dass Sie alles, was besprochen wird, genau befolgen. Dies sind nur Informationen, mit denen Sie Ihre eigenen Entscheidungen treffen können. Ich hoffe, es wird den Lesern nützlich sein.
Wo beginnt das Audit und wie funktioniert das Audit?
Alles beginnt nicht einmal mit der Unterzeichnung eines Vertrags für ein Audit oder ein Pre-Audit. Alles beginnt mit der Entscheidung des Unternehmens (normalerweise eines Direktors oder Managers) über die Notwendigkeit einer Prüfung.
: , , ( , ) () - . « » , , , . , . , – , , , . , , – . .
- , . . , , , . , , . ( , ) , ( ) .
, «» , , . , , . ( ), . , , , . , , , , , . , – . , . , . « » , , . , , , . , .
, , , . , . , , .
– , . , , ., .
, ( , PCI DSS -). . , , PCI DSS. , . . – , . .
, , . PCI DSS 3.2.1 PCI DSS 4.0.
, . , - ( , 1-3).
1
2
3
, , , , . .
, :
.
, , .
.
.
.
.
.
, , -, PCI DSS . , . :
.
PCI DSS .
.
.
: , , , .
, , , . : , - , . , , . - .
, , , , , ( ). , , . , , , . , . , , .
.
1. . , , PCI DSS, .
, , . , , . , .
2. , . , , , , , ( , ). , . . . , . .
3. , . , . . . , . , « » .
4. - . PCI DSS . – . , . , .
(ASV) IP¨C28C 4 . – , . .
5. :
, , .
.
.
, , .
6. . , , , . , , , .
, . – - .
7. . , . , , . . .¨C32C
. , . , , . ( ) . , . … .
PMBok, , . , . , .
, . . , . , , SCRUM, . .
, , , , , , . , . , . , . .
, , . , , . , , - . , , . , , – . , - , – .
, , , . , , ( ), . , 10 35% .
, , . , , , , , . , , . . . , – . , , .
. . . , , , , «» . , . , , , . , . , .
Im Allgemeinen kann ich sagen, dass die Vorbereitung eines Unternehmens auf ein Audit zur Einhaltung des PCI-DSS-Standards (wie auch aller anderen) eine klare Planung, Ausdauer und Ausdauer erfordert. Und auch die Fähigkeit, die dokumentierten Anforderungen des Standards und deren Umsetzung so auszugleichen, dass sie nur minimale Auswirkungen auf die Arbeitsprozesse im Unternehmen haben und gleichzeitig ihre tatsächliche Sicherheit erhöhen.
Wenn Sie Fragen haben, können Sie diese jederzeit stellen, indem Sie mir per E-Mail schreiben .