02.10.2020
Проходить деякий час і те, що було сучасним та прогресивним, застаріває. Обов'язково з'являється щось для відповідності до вимог нової реальності. Особливо помітні та динамічні зміни у сфері інформаційних технологій. Розкажемо про деякі зміни, що відбулися у сфері кібербезпеки.
У травні 2018 вийшла нова версія стандарту PCI DSS, вона називається PCI DSS 3.2.1.
Необхідність появи оновленого стандарту назріла природним чином. Попередня версія стандарту називалася PCI DSS 3.2 і була прийнята у квітні 2016 року. Ця версія стандарту містила в собі велику кількість перехідних положень та вимог із відстроченим терміном дії. З 01.02.2018 року всі вимоги набули чинності.
Фактично, версія PCI DSS 3.2.1 нічого нового не додала. Це свого роду технічне оновлення, в якому немає перехідного періоду та відкладених у часі вимог. Що це означає для всіх, кому необхідно проходити сертифікацію за стандартом PCI DSS?
З травня 2018 року всі сертифіковані повинні застосовувати вимоги нової версії стандарту - PCI DSS 3.2.1.
Нагадаємо, які вимоги PCI DSS 3.2.1 стали обов'язковою частиною стандарту:● Необхідність використання багатофакторної автентифікації для будь-якого доступу з адміністративними правами. Насамперед це пов'язано з тим, що повноваження адміністратора дають багато можливостей для дій в ІТ-інфраструктурі. Двофакторна автентифікація ускладнює зламування та отримання несанкціонованого доступу. Фактично це нововведення означає, що просто паролів для захисту доступу вже недостатньо. Кожен адміністратор повинен мати фізичний електронний ключ – це може бути USB-ключ або смарт-карта.● Посилилася вимога щодо постійного моніторингу працездатності всіх систем захисту ІТ-інфраструктури компанії. Якщо раптом станеться збій в антивірусі, файрволі або системі контролю доступу, системні адміністратори повинні відразу дізнатися про цей інцидент, мати для такого випадку чіткий план дій та діяти згідно з цим планом.● Обов'язкове проведення тестування один раз на 6 місяців. Якщо раніше було достатньо проводити тестування раз на рік, то зараз кожні півроку необхідно перевіряти ефективність засобів мережевого захисту. Таке тестування є обов'язковим для сервіс-провайдерів, а для торгових підприємств, для мерчантів ця вимога - рекомендаційна.● У версії стандарту PCI DSS 3.2.1 з'явилися вимоги до вищого керівництва компанії. Тепер персонально директор чи рада директорів несе відповідальність за виконання та контроль усіх вимог стандарту PCI DSS.● Необхідно проводити щоквартальний внутрішній аудит встановлених практик чи процедур забезпечення інформаційної безпеки. Такі аудити повинні демонструвати керівництву компанії те, що управління інцидентами, уразливостями, змінами, контроль доступу та засоби мережного захисту працюють коректно та експлуатуються персоналом відповідно до PCI DSS.
Нова версія стандарту наголошує на важливості виконання вимог PCI DSS 3.2.1 на щоденній основі. Це прямо свідчить, що інформаційна безпека стає частиною бізнес-процесів. Сучасний бізнес не може розвиватися без високотехнологічного кіберзахисту.
Ми припускаємо, що навіть після прочитання цієї статті у читача виникне низка питань на тему впровадження всіх необхідних змін у свій бізнес.
Свої запитання ви можете ставити експертам нашої компанії. Вам буде надана вся інформація і, за необхідності, буде проведено навчання вашого персоналу з усіх вимог PCI DSS. Для цього скористайтеся простою формою зворотного зв'язку, розташованою внизу сторінки.
Для тих компаній, які раніше були сертифіковані нашими аудиторами, таке навчання співробітників є безкоштовним!