Dans cet article, je souhaite décrire les étapes de base de la préparation d'un audit de sécurité. Il s'agit le plus souvent d'un audit de conformité aux normes de sécurité de la série ISO (27 ***) ou PCI DSS, ou de conformité aux exigences de conformité GDPR.
Mon expérience en sécurité de l'information est de 12 ans. Pendant ce temps, j'ai réalisé des projets avec des dizaines d'entreprises des États-Unis, de Grande-Bretagne, de Chine, de Russie, d'Ukraine et de pays européens. Les clients étaient à la fois de grands centres de traitement et des banques, ainsi que des sociétés informatiques de diverses spécialisations. Les résultats de la mise en œuvre ont été évalués par PWC (Hongkong), VISA (USA), Deloitte (UKR) et ont confirmé avec succès le respect des exigences, ce qui peut être vu dans les lettres de recommandation sur le site Web et les commentaires sur le profil Linkedin .
J'espère que mon expérience dans la réalisation d'audits, de conseil et de supervision de projets pour mettre les entreprises en conformité avec la norme de sécurité PCI DSS , VISA & MASTERCARD m'aidera en termes simples à transmettre des informations utiles aux lecteurs.
Je voudrais exprimer l'expérience et les connaissances accumulées, les observations et les commentaires dans cet article en utilisant l'exemple de préparation à un audit de conformité à la norme PCI DSS. Tout ce qui est indiqué dans cet article peut différer considérablement des opinions des autres auditeurs et consultants, de la position officielle du Conseil des normes de sécurité PCI et d'autres sources. Je ne suggère pas que vous suiviez strictement tout ce qui sera discuté. Ce ne sont que des informations pour vous permettre de prendre vos propres décisions. J'espère qu'il sera utile aux lecteurs.
Alors, oĂą commence l'audit et comment fonctionne l'audit?
Tout commence même pas par la signature d'un contrat pour un audit ou un pré-audit. Tout commence par la décision de l'entreprise (généralement un directeur ou un dirigeant) sur la nécessité de se soumettre à un audit.
: , , ( , ) () - . « » , , , . , . , – , , , . , , – . .
- , . . , , , . , , . ( , ) , ( ) .
, «» , , . , , . ( ), . , , , . , , , , , . , – . , . , . « » , , . , , , . , .
, , , . , . , , .
– , . , , ., .
, ( , PCI DSS -). . , , PCI DSS. , . . – , . .
, , . PCI DSS 3.2.1 PCI DSS 4.0.
, . , - ( , 1-3).
1
2
3
, , , , . .
, :
.
, , .
.
.
.
.
.
, , -, PCI DSS . , . :
.
PCI DSS .
.
.
: , , , .
, , , . : , - , . , , . - .
, , , , , ( ). , , . , , , . , . , , .
.
1. . , , PCI DSS, .
, , . , , . , .
2. , . , , , , , ( , ). , . . . , . .
3. , . , . . . , . , « » .
4. - . PCI DSS . – . , . , .
(ASV) IP¨C28C 4 . – , . .
5. :
, , .
.
.
, , .
6. . , , , . , , , .
, . – - .
7. . , . , , . . .¨C32C
. , . , , . ( ) . , . … .
PMBok, , . , . , .
, . . , . , , SCRUM, . .
, , , , , , . , . , . , . .
, , . , , . , , - . , , . , , – . , - , – .
, , , . , , ( ), . , 10 35% .
, , . , , , , , . , , . . . , – . , , .
. . . , , , , «» . , . , , , . , . , .
En général, je peux dire que préparer une entreprise à un audit de conformité à la norme PCI DSS (ainsi qu'à tout autre) nécessite une planification claire, de la persévérance et de l'endurance. Et aussi la capacité d'équilibrer les exigences documentées de la norme et leur mise en œuvre de manière à ce qu'elles aient un impact minimal sur les processus de travail dans l'entreprise, tout en augmentant leur sécurité réelle.
Si vous avez des questions, vous pouvez toujours les poser en m'Ă©crivant par mail .