Предварительный аудит на соответствие требованиям стандарта PCI DSS 3.0.
Этап 1
Данный этап включает проведение предварительного аудита (обследования), направленного на оценку текущего уровня соответствия ИС Заказчика требованиям Стандарта PCI DSS 3.0, по результатам которого разрабатываются рекомендации по подготовке ИС Заказчика к успешной сертификации на соответствие требованиям Стандарта PCI DSS 3.0. Проведение предварительного аудита проходит в несколько этапов:
Сбор и анализ документации ОАО «УЭК»
Целью данного этапа является определение актуальной области применения Стандарта, а также согласование объема оказываемых услуг при проведении обследования ИС Заказчика.
Для определения области применения Стандарта и последующей подготовки плана-графика проведения обследования Исполнитель на условиях конфиденциальности запрашивает, а Заказчик предоставляет в полном объеме техническую документацию об архитектуре ИС.
На этом этапе выделяются типовые системные компоненты среды данных платежных карт: рабочие станции, серверные платформы, сегменты локальной вычислительной сети (ЛВС) и сетевые устройства, приложения обработки, хранения и передачи информации, подлежащие последующему сертификационному аудиту на соответствие требованиям Стандарта.
При выполнении данных услуг производится сбор актуальных сведений:
об организационной структуре Заказчика;
о структуре комплекса используемых программно-технических средств;
о топологии ЛВС;
о процедурах обеспечения безопасности ИС Заказчика;
о системе защиты информации о держателях платежных карт;
о процедурах управления уязвимостями;
о реализации системы управления доступом;
о процедурах мониторинга и контроля в ИС Заказчика;
о соблюдении политики информационной безопасности.
Сбор всех необходимых сведений производится путем изучения нормативной документации Заказчика, проведения интервью с персоналом Заказчика, заполнения необходимых анкет (опросников) персоналом Заказчика, анализа конфигурационных файлов программных и программно-технических системных компонентов, демонстрирования работниками Заказчика выполняемых ими процедур.
Во избежание нарушения корректного функционирования ИС Заказчика Исполнитель не производит самостоятельный сбор конфигурационных файлов и настроек системных компонентов. Данные работы проводят компетентные работники Заказчика, отвечающие за администрирование и эксплуатацию ИС.
Использование средств автоматизации процедур обследования ИС дополнительно оговаривается и согласовывается с ответственными лицами Заказчика.
Результатом этапа являются собранные сведения, используемые аудитором для работы на последующих этапах.
Результатом данного этапа является согласованный перечень обследуемых физических, программных и информационных ресурсов, функциональных подсистем и площадок Заказчика.
Проведение вводного совещания для работников ОАО «УЭК»
Целью данного этапа является ознакомление работников Заказчика с правилами проведения аудита на соответствие Стандарта PCI DSS 3.0, с требованиями Стандарта, сроками и этапами проведения.
Предлагается на рассмотрение план-график проведения предварительного аудита, включающего в себя следующую информацию:
график проведения интервью с работниками Заказчика;
требования к предоставлению необходимых исходных данных;
задачи и ответственность сотрудников со стороны Исполнителя и со стороны Заказчика в ходе оказания услуг.
При разработке плана-графика проведения предварительного аудита учитывается загрузка работников Заказчика, а также их командировки, отпуска и планы по обучению.
Проведение предварительного аудита безопасности на месте
Целью данного этапа является оценка текущего уровня соответствия ИС требованиям Стандарта.
На данном этапе выполняется анализ ИС на соответствие требованиям Стандарта, для чего проводятся следующие работы:
анализ схемы корпоративной сети, принципов сегментации и разделения информационных потоков;
анализ конфигурации межсетевых экранов, корректности и актуальности списков контроля доступа;
анализ используемых сетевых протоколов с точки зрения безопасности;
анализ принятых в информационной системе политик безопасности (политики контроля доступа, парольной политики, политики физической безопасности и т.д.);
анализ принципов и технологий обработки критичной информации о держателях платежных карт;
проверка наличия процедуры своевременного обновления системных компонентов и антивирусного программного обеспечения (ПО) на серверах и рабочих станциях;
проверка наличия механизмов регулярного мониторинга сети и информационных ресурсов.
Результатом услуг на данном этапе является предварительный Отчет о соответствии (RоC) требованиям Стандарта. Данный отчет включает в себя описание проверенной инфраструктуры, перечень всех выявленных несоответствий требованиям Стандарта, описание текущей области применимости требований Стандарта и входящих в неё системных компонентов.
Подготовка рекомендаций по приведению ОАО «УЭК» в соответствие требованиям PCI DSS
Целью данного этапа является разработка рекомендаций по реализации комплекса организационных мер и программно-технических средств, выполнение которых должно обеспечить соответствие ИС требованиям Стандарта, а также уменьшить границы применимости требований Стандарта (границы аудита).
При составлении рекомендаций по устранению выявленных несоответствий требованиям Стандарта учитываются следующие направления:
уменьшение границ применимости требований Стандарта;
изменение конфигураций и настроек имеющихся средств защиты информации;
изменение существующих документов в области информационной безопасности;
внедрение и настройка дополнительных средств защиты информации;
разработка дополнительной документации;
другие рекомендации, выполнение которых обеспечит выполнение требований Стандарта.
Результатом услуг на данном этапе является Экспертное заключение, содержащее рекомендации по устранению несоответствий требованиям стандарта PCI DSS.
Проведение приемки услуг
По итогам проведения работ и разработки рекомендаций по приведению ИС в соответствие требованиям Стандарта сотрудниками Исполнителя проводится презентация с целью представить результаты проекта руководству Заказчика.
Результатом оказания услуг на данном этапе являются следующие документы:
Детальные Рекомендации по подготовке ИС к сертификационному аудиту на соответствие требованиям Стандарта.
|
