この記事では、セキュリティ監査の準備の基本的な手順について説明します。ほとんどの場合、ISO(27 ***)またはPCI DSSシリーズのセキュリティ標準への準拠、またはGDPR準拠要件への準拠の監査です。
私の情報セキュリティの経験は12年です。この間、私はアメリカ、イギリス、中国、ロシア、ウクライナ、ヨーロッパ諸国の何十もの企業とプロジェクトを完了しました。クライアントは、大規模な処理センターと銀行、およびさまざまな専門分野のIT企業の両方でした。実装結果は、PWC(香港)、VISA(米国)、デロイト(UKR)によって評価され、要件への準拠が正常に確認されました。これは、Webサイトの推薦状 およびLinkedinプロファイルのレビューで確認でき ます 。
私は、監査を実施し、コンサルティングの遵守に企業をもたらすために、プロジェクトを監督の私の経験ことを願っていますPCI DSSは、 VISA MASTERCARD&セキュリティ標準は、 読者に有益な情報を伝えるために簡単な言葉で私を助けます。
PCI DSS規格への準拠の監査の準備の例を使用して、この記事で蓄積された経験と知識、観察、およびコメントを表現したいと思います。この記事に記載されている内容はすべて、他の監査人やコンサルタントの意見、PCI Security Standards Councilの公式の立場、およびその他の情報源とは大幅に異なる場合があります。私はあなたが議論されるすべてに厳密に従うことを提案していません。これは、あなたがあなた自身の決定をするための単なる情報です。読者の皆様のお役に立てば幸いです。
では、監査はどこから始まり、監査はどのように機能するのでしょうか。
それはすべて、監査または事前監査の契約に署名することからも始まりません。それはすべて、監査を受ける必要性についての会社(通常は取締役またはマネージャー)の決定から始まります。
そして、ここでイベントの開発には2つのオプションがあります。顧客または支払いシステムの要求に応じて監査に合格する必要があります。これはより頻繁に発生します。または、監査は会社の取締役(取締役会の責任者、親会社)情報セキュリティ(IS)部門の責任者またはマネージャーによる-それほど頻繁ではありません。前者の場合、IT部門とIS部門の従業員に対する監査は「神の罰」として降ります。追加の作業が追加されるため、職務記述書に含まれていない可能性があり、給与は同じレベルのままです。それはすべて、チーム、情報セキュリティの責任者、および特定の会社によって異なります。チームがやる気を起こさせることができれば、それはすでに管理上の問題であり、この記事には当てはまりません。その結果は間違いなくそうなるでしょう。その結果、スタッフのやる気がなくても、別の方法、つまりホイップ法が適用されます。しかし、さらに困難が生じます。
- , . . , , , . , , . ( , ) , ( ) .
, «» , , . , , . ( ), . , , , . , , , , , . , – . , . , . « » , , . , , , . , .
, , , . , . , , .
– , . , , ., .
, ( , PCI DSS -). . , , PCI DSS. , . . – , . .
, , . PCI DSS 3.2.1 PCI DSS 4.0.
, . , - ( , 1-3).
1
2
3
, , , , . .
, :
.
, , .
.
.
.
.
.
, , -, PCI DSS . , . :
.
PCI DSS .
.
.
: , , , .
, , , . : , - , . , , . - .
, , , , , ( ). , , . , , , . , . , , .
.
1. . , , PCI DSS, .
, , . , , . , .
2. , . , , , , , ( , ). , . . . , . .
3. , . , . . . , . , « » .
4. - . PCI DSS . – . , . , .
(ASV) IP¨C28C 4 . – , . .
5. :
, , .
.
.
, , .
6. . , , , . , , , .
, . – - .
7. . , . , , . . .¨C32C
. , . , , . ( ) . , . … .
PMBok, , . , . , .
, . . , . , , SCRUM, . .
, , , , , , . , . , . , . .
, , . , , . , , - . , , . , , – . , - , – .
, , , . , , ( ), . , 10 35% .
, , . , , , , , . , , . . . , – . , , .
. . . , , , , «» . , . , , , . , . , .
一般に、PCI DSS標準(およびその他の標準)に準拠するための監査のために会社を準備するには、明確な計画、忍耐力、および忍耐力が必要であると言えます。また、標準の文書化された要件とその実装の間でバランスを取り、企業の作業プロセスへの影響を最小限に抑えながら、実際の安全性を高める機能もあります。
ご不明な点がございましたら、メールでいつでもお問い合わせください 。