Pada artikel ini, saya ingin menjelaskan langkah-langkah dasar dalam mempersiapkan audit keamanan. Seringkali ini adalah audit kepatuhan terhadap standar keamanan seri ISO (27 ***) atau PCI DSS, atau kepatuhan dengan persyaratan kepatuhan GDPR.
Pengalaman saya dalam keamanan informasi adalah 12 tahun. Selama ini, saya telah menyelesaikan proyek dengan lusinan perusahaan dari AS, Inggris, China, Rusia, Ukraina, dan negara-negara Eropa. Klien adalah pusat pemrosesan dan bank besar, serta perusahaan IT dari berbagai spesialisasi. Hasil implementasi dinilai oleh PWC (Hongkong), VISA (USA), Deloitte (UKR) dan berhasil dipastikan memenuhi persyaratan, yang dapat dilihat pada surat rekomendasi di website dan review di profil Linkedin .
Saya berharap pengalaman saya dalam melakukan audit, konsultasi, dan supervisi proyek untuk membawa perusahaan mematuhi standar Keamanan PCI DSS , VISA & MASTERCARD akan membantu saya dengan kata-kata sederhana untuk menyampaikan informasi yang berguna kepada pembaca.
Saya ingin mengungkapkan pengalaman dan pengetahuan yang terkumpul, pengamatan dan komentar dalam artikel ini menggunakan contoh persiapan untuk audit kepatuhan dengan standar PCI DSS. Segala sesuatu yang dinyatakan dalam artikel ini mungkin berbeda secara signifikan dari pendapat auditor dan konsultan lain, posisi resmi Dewan Standar Keamanan PCI dan sumber lainnya. Saya tidak menyarankan agar Anda mengikuti semua yang akan dibahas dengan ketat. Ini hanya informasi bagi Anda untuk membuat keputusan sendiri. Semoga bermanfaat bagi para pembaca.
Jadi, dari mana audit dimulai dan bagaimana audit itu bekerja?
Semuanya dimulai bahkan dengan menandatangani kontrak untuk audit atau pra-audit. Semuanya dimulai dengan keputusan perusahaan (biasanya direktur atau manajer) tentang perlunya menjalani audit.
: , , ( , ) () - . Β« Β» , , , . , . , β , , , . , , β . .
- , . . , , , . , , . ( , ) , ( ) .
, «» , , . , , . ( ), . , , , . , , , , , . , β . , . , . Β« Β» , , . , , , . , .
, , , . , . , , .
β , . , , ., .
, ( , PCI DSS -). . , , PCI DSS. , . . β , . .
, , . PCI DSS 3.2.1 PCI DSS 4.0.
, . , - ( , 1-3).
1
2
3
, , , , . .
, :
.
, , .
.
.
.
.
.
, , -, PCI DSS . , . :
.
PCI DSS .
.
.
: , , , .
, , , . : , - , . , , . - .
, , , , , ( ). , , . , , , . , . , , .
.
1. . , , PCI DSS, .
, , . , , . , .
2. , . , , , , , ( , ). , . . . , . .
3. , . , . . . , . , Β« Β» .
4. - . PCI DSS . β . , . , .
(ASV) IPΒ¨C28C 4 . β , . .
5. :
, , .
.
.
, , .
6. . , , , . , , , .
, . β - .
7. . , . , , . . .Β¨C32C
. , . , , . ( ) . , . β¦ .
PMBok, , . , . , .
, . . , . , , SCRUM, . .
, , , , , , . , . , . , . .
, , . , , . , , - . , , . , , β . , - , β .
, , , . , , ( ), . , 10 35% .
, , . , , , , , . , , . . . , β . , , .
. . . , , , , «» . , . , , , . , . , .
Secara umum, saya dapat mengatakan bahwa mempersiapkan perusahaan untuk audit agar sesuai dengan standar PCI DSS (serta yang lainnya) memerlukan perencanaan, ketekunan, dan ketahanan yang jelas. Dan juga kemampuan untuk menyeimbangkan antara persyaratan yang terdokumentasi dari standar dan implementasinya sedemikian rupa sehingga berdampak minimal pada proses kerja di perusahaan, sekaligus meningkatkan keselamatan nyata mereka.
Jika Anda memiliki pertanyaan, Anda selalu dapat menanyakannya dengan mengirimi saya surat .