Тренинг по программе:
«Внедрение процессов в соответствии с требованиями международного стандарта PCI DSS v.3.2»
Краткое описание
Данный двухдневный курс даст участникам возможность получить теоретические знания и практические навыки в области внедрения процессов в соответствии с требованиями международного стандарта PCI DSS v. 3.2, их месте в системе внутреннего контроля и информационной безопасности; получить практические рекомендации по безопасности и повышению эффективности процессов, связанных с эмиссией платежных пластиковых карт и данных держателей карт; получить практические навыки внедрения требований международного стандарта PCI DSS v.3.2 и мер реагирования на информационные риски.
Целевая аудитория
- Специалисты и менеджеры отделов розничного бизнеса, обслуживающие процессы эмиссии, эквайринга и поддержки функционирования пластиковых платежных карт
- Специалисты в области внутреннего контроля и ИТ аудита
- Специалисты в области информационных и операционных рисков, безопасности информационных систем
- Руководители и специалисты в области ИТ
- Высшее руководство, курирующее вопросы и бюджетирование ИТ, информационной безопасности, экономической безопасности, рисков и соответствия требованиям международных платежных систем Visa/MasterCard и др
Задачи тренинга
По завершению тренинга слушатели будут знать/уметь:
- Процессы индустрии платежных карт (эмиссия, эквайринг и др)
- Требования международного стандарта по безопасности данных держателей пластиковых карт PCI DSS v.3.2
- Внедрять процессы в соответствии с требованиями международного стандарта в индустрии пластиковых карт PCI DSS v.3.2
- Практические навыки по оценке эффективности процессов для соответствия требованиям PCI DSS v.3.2
- Готовить документацию в соответствии с требованиями стандарта PCI DSS v.3.2
Инструкторы
- Ткаченко Владимир владеет сертификатами: CISA, CISSP, CLPTP, ISO 27001 LI, ISO 27001 LA, ISO 31000 RM
- Сысоев Валентин владеет сертификатами: CISA, CISM, CRISC, CLPTP, ISO 27001 LA, ISO 27005 RM, ISO 31000 RM
Структура и программа курса
День 1.
Блок 1. Введение в индустрию пластиковых карт (с 09:45 по 11:30)
- Модуль 1. Что такое PCI: определение, основные понятия, цели и задачи. Введение в PCI, основные термины и определения, цели и задачи PCI
- Модуль 2. Процессы обработки карточных транзакций и основные участники процессов PCI. Эмиссия платежных карт, эквайринг платежных карт, авторизация, клиринг, взаиморасчеты, участники процесса PCI (регуляторы, сервис-провайдеры, банки, аудиторы, торгово-сервисные организации)
- Модуль 3. Обзор методов оценки соответствия и подходов, используемых по обеспечению соответствия PCI DSS. Определение уровней ТСО и сервис-провайдеров и их типология, основные методы оценки соответствия: самооценка и сертификационный аудит
Блок 2. Введение в стандарт PCI DSS v.3.2(с 11:45 по 13:00, обед, с 14:00 по 17:15 )
- Модуль 1. Введение в стандарт PCI DSS v.3.2
Основные цели, структура и требования стандарта Определение области действия стандарта - Модуль 2. Требования к организации безопасности сети и информационных систем.
Описание архитектуры сети, вопросы безопасности сети (брандмауэры, системы предотвращения вторжений и пр.), вопросы безопасности при использовании паролей и учетных записей - Модуль 3. Требования к защите против зловредного ПО и управлению уязвимостями в разработанном ПО
Вопросы антивирусной защиты, управление уязвимостями во всех компонентах информационных систем и разработанного самостоятельно ПО, программы управления уязвимостями на основе методологий OWASP и SANS - Модуль 4. Требования к организации контроля доступа в информационные системы и к организации физического доступа
Внедрить процессы логического доступа к системам, ограничить доступ в помещения, где хранятся, обрабатываются и передаются данные держателей пластиковых карт.
День 2.
- Модуль 5. Требования к регистрации событий в сетях и информационных системах, вопросы тестирования информационной безопасности
Организация регистрации процессов регистрации событий, периодическое сканирование на уязвимости и проведение тестов на проникновение - Модуль 6. Управление процессами информационной безопасности
Политика информационной безопасности, управление рисками ИБ, повышение осведомленности пользователей
Блок 3. Практические аспекты внедрения требований PCI DSS v.3.2 ( с 11:45 по 13:15)
- Модуль 1. Анализ изменений в стандарте по сравнению с предыдущей версией. Приоритезационный подход к внедрению стандарта
Анализ изменений в версии 3.2. Обзор приоритезационного подхода, основные рекомендованные этапы по внедрению стандарта - Модуль 2. Инструменты для внедрения требований стандарта и аспекты их применения
Применение PCI DSS V3.2 Compliance Dashboard, контрольных списков и др инструментов, «адаптированный комплект документов PCI DSS» (мифы и реальность) - Модуль 3. Процессы оценки соответствия требованиям стандарта
Проведение самооценки и сертификационный аудит, компенсационные меры безопасности, временные схемы для удовлетворения требований стандарта. Особенности версии 3.2
Подход к обучению
- Обучение включает в себя теорию и практику;
- Лекции, иллюстрированные примерами из практики;
- Практические упражнения с применением ролевых игр и разбором реальных ситуаций;
- Для извлечения максимальной пользы из практических занятий, количество участников тренинга ограничено.