02.10.2020
Проходит некоторое время и то, что было современным и прогрессивным, устаревает. Обязательно появляется что-то для соответствия требованиям новой реальности. Особенно заметны и динамичны перемены в сфере информационных технологий. Расскажем о некоторых переменах, произошедших сфере кибербезопасности.
В мае 2018 года вышла новая версия стандарта PCI DSS, она называется PCI DSS 3.2.1.
Необходимость появления обновлённого стандарта назрела естественным образом. Прошлая версия стандарта называлась PCI DSS 3.2 и была принята в апреле 2016 года. Эта версия стандарта содержала в себе большое количество переходных положений и требований с отложенным сроком действия. С 01.02.2018 года все требования вступили в силу.
По существу, версия PCI DSS 3.2.1 ничего нового не добавила. Это своего рода техническое обновление, в котором нет переходного периода и отложенных во времени требований. Что это означает для всех, кому необходимо проходить сертификацию по стандарту PCI DSS? 
С мая 2018 года все, кто сертифицируется, должны применять требования новой версии стандарта - PCI DSS 3.2.1.
Напомним, какие требования PCI DSS 3.2.1 стали обязательной частью стандарта:● Необходимость использования многофакторной аутентификации для любого доступа с административными правами. В первую очередь, это связанно с тем, что полномочия администратора дают много возможностей для действий в ИТ-инфраструктуре. Двухфакторная аутентификация усложняет взлом и получение несанкционированного доступа. Фактически, это нововведение означает, что просто паролей для защиты доступа уже недостаточно. У каждого администратора должен быть физический электронный ключ – это может быть USB-ключ или смарт-карта.● Усилилось требование по постоянному мониторингу работоспособности всех систем защиты ИТ-инфраструктуры компании. Если вдруг произойдёт сбой в антивирусе, файрволе или системе контроля доступа, системные администраторы должны сразу узнать об этом инциденте, иметь для такого случая чёткий план действий и действовать согласно этому плану. ● Обязательное проведения тестирования один раз в 6 месяцев. Если раньше было достаточно проводить тестирование один раз в год, то сейчас каждые полгода необходимо проверять эффективность средств сетевой защиты. Такое тестирование является строго обязательным для сервис-провайдеров, а для торговых предприятий, для мерчантов это требование - рекомендательное.● В версии стандарта PCI DSS 3.2.1 появились требования к высшему руководству компании. Теперь персонально директор или совет директоров несёт ответственность за выполнение и контроль всех требований стандарта PCI DSS.● Необходимо проводить ежеквартальный внутренний аудит установленных практик или процедур обеспечения информационной безопасности. Такие аудиты должны демонстрировать руководству компании то, что управление инцидентами, уязвимостями, изменениями, контроль доступа и средства сетевой защиты работают корректно и эксплуатируются персоналом в соответствии с PCI DSS.
Новая версия стандарта подчёркивает важность выполнения требований PCI DSS 3.2.1 на ежедневной основе. Это прямо говорит о том, что информационная безопасность становится частью бизнес-процессов. Современный бизнес не может развиваться без высокотехнологичной киберзащиты.
Мы допускаем, что даже после прочтения этой статьи у читателя возникнет ряд вопросов на тему внедрений всех необходимых изменений в свой бизнес.
Свои вопросы вы можете задавать экспертам нашей компании. Вам будет предоставлена вся информация и, при необходимости, будет проведено обучение вашего персонала по применимости всех требований PCI DSS. Для этого воспользуйтесь простой формой обратной связи, расположенной внизу страницы.
Для тех компаний, которые были ранее сертифицированы нашими аудиторами, такое обучение сотрудников является бесплатным!