Neste artigo, desejo descrever as etapas básicas na preparação para uma auditoria de segurança. Na maioria das vezes, é uma auditoria de conformidade com os padrões de segurança da série ISO (27 ***) ou PCI DSS, ou conformidade com os requisitos de conformidade GDPR.
Minha experiência em segurança da informação é de 12 anos. Durante esse tempo, concluí projetos com dezenas de empresas dos Estados Unidos, Grã-Bretanha, China, Rússia, Ucrânia e países europeus. Os clientes eram grandes centros de processamento e bancos, bem como empresas de TI de várias especialidades. Os resultados da implementação foram avaliados pela PWC (Hongkong), VISA (EUA), Deloitte (UKR) e confirmaram com sucesso o cumprimento dos requisitos, o que pode ser visto nas cartas de recomendação no site e análises no perfil do Linkedin .
Espero que minha experiência na condução de auditorias, consultoria e supervisão de projetos para colocar as empresas em conformidade com o padrão de segurança PCI DSS , VISA & MASTERCARD me ajude em palavras simples a transmitir informações úteis aos leitores.
Gostaria de expressar a experiência e o conhecimento acumulado, observações e comentários neste artigo usando o exemplo de preparação para uma auditoria de conformidade com o padrão PCI DSS. Tudo o que foi declarado neste artigo pode diferir significativamente das opiniões de outros auditores e consultores, da posição oficial do PCI Security Standards Council e de outras fontes. Não estou sugerindo que você siga estritamente tudo o que será discutido. Estas são apenas informações para você tomar suas próprias decisões. Espero que seja útil para os leitores.
Então, onde a auditoria começa e como funciona a auditoria?
Tudo começa nem mesmo com a assinatura de um contrato de auditoria ou pré-auditoria. Tudo começa com a decisão da empresa (geralmente um diretor ou gerente) sobre a necessidade de se submeter a uma auditoria.
: , , ( , ) () - . « » , , , . , . , – , , , . , , – . .
- , . . , , , . , , . ( , ) , ( ) .
, «» , , . , , . ( ), . , , , . , , , , , . , – . , . , . « » , , . , , , . , .
, , , . , . , , .
– , . , , ., .
, ( , PCI DSS -). . , , PCI DSS. , . . – , . .
, , . PCI DSS 3.2.1 PCI DSS 4.0.
, . , - ( , 1-3).
1
2
3
, , , , . .
, :
.
, , .
.
.
.
.
.
, , -, PCI DSS . , . :
.
PCI DSS .
.
.
: , , , .
, , , . : , - , . , , . - .
, , , , , ( ). , , . , , , . , . , , .
.
1. . , , PCI DSS, .
, , . , , . , .
2. , . , , , , , ( , ). , . . . , . .
3. , . , . . . , . , « » .
4. - . PCI DSS . – . , . , .
(ASV) IP¨C28C 4 . – , . .
5. :
, , .
.
.
, , .
6. . , , , . , , , .
, . – - .
7. . , . , , . . .¨C32C
. , . , , . ( ) . , . … .
PMBok, , . , . , .
, . . , . , , SCRUM, . .
, , , , , , . , . , . , . .
, , . , , . , , - . , , . , , – . , - , – .
, , , . , , ( ), . , 10 35% .
, , . , , , , , . , , . . . , – . , , .
. . . , , , , «» . , . , , , . , . , .
Em geral, posso dizer que preparar uma empresa para uma auditoria de conformidade com o padrão PCI DSS (assim como qualquer outro) requer planejamento claro, perseverança e resistência. E também a capacidade de balancear os requisitos documentados da norma e sua implementação de forma que tenham um impacto mínimo nos processos de trabalho da empresa, ao mesmo tempo que aumentam sua segurança real.
Se você tiver alguma dúvida, pode sempre perguntar, escrevendo para mim por correio .