Utiliser un standard ou une norme de sécurité pour faciliter sa conformité PCI DSS
Lors de l’obtention de la certification PCI DSS après le moment d’euphorie vient une problématique que l’on avait mis de coté. Comment maintenir ma certification pour permettre son renouvellement. Votre QSA pense déjà à sa nouvelle mercedes et votre N+1 à N+10 veut juste vous découper en rondelle suite à l’annonce du budget du maintien de la conformité.
Bienvenue dans le monde PCI DSS 🙂
Heureusement pour nous, il existe des standards qui peuvent nous permettre d’appréhender le maintien de la conformité PCI DSS avec des processus existants dans la plupart des grands comptes et aussi dans les PME.
Les normes et standards de sécurités qui existent aujourd’hui permette de mutualiser les contrôles obligatoires pour votre environnement PCI DSS. Ils ne feront pas tout mais quand on regarde de près les contrôles demandés on est réellement très proche comme dans le cas de la norme ISO 270001.
Je vous propose les normes et standards suivants pour maintenir votre certification sur l’aspect contrôle & processus.
- Le National Institute of Standards and Technology (NIST) élabore des normes, les mesures, les tests, et programmes de validation afin de promouvoir, mesurer et valider la sécurité des systèmes d’information et de services. Des conseils sur la sélection et la mise en œuvre des contrôles de sécurité d’information est traitée dans NIST Special Publication 800-53 (Révision 4), la sécurité et la confidentialité des contrôles d’information fédérale Systèmes et les organisations. J’avoue j’ai un faible pour le NIST c’est vraiment pragmatique et 100% dans la logique du PCI SSC (God bless America). J’ai découvert tardivement son existence et depuis ma vision de la SSI et de la conformité ont changés dans le bon sens. site Web: http://www.nist.gov
- Organisation internationale de normalisation (ISO) a publié de nombreuses normes et des conseils pour aborder les questions de sécurité de l’information. Les documents les plus pertinents à l’information la sécurité et la gestion des risques sont l’ISO / IEC 27000-série de normes. ISO / IEC 27001: 2013 Technologies de l’information – Systèmes de gestion de sécurité de l’information – Exigences définit les exigences pour la création d’un système de gestion de sécurité de l’information (SMSI) qui apporte des informations la sécurité, à la fois basés sur les TI et les actifs non-IT basés sécurité, sous le contrôle de gestion explicite. La norme contient également une annexe A, qui est une liste de ce qui est considéré comme la sécurité de l’information des meilleures pratiques et contrôles nécessaires pour traiter l’information des risques de sécurité. C’est vraiment la norme à mettre en oeuvre avec un SMSI pour suivre la conformité PCI DSS dans des conditions optimales, Ceci est mon challenge pour 2015/2016.
- Information Technology Infrastructure Library (ITIL) est une collection de livres mondialement reconnu comme les meilleures pratiques de gestion des services de technologie de l’information. Les caractéristiques d’ITIL sont une organisation avec une approche qui implique un cycle de développement des services, de la conception préliminaire à sa mise en production et à son amélioration continue. L’approche de l’entreprise impliqués dans ITIL peut aider dans la conformité PCI à travers toute l’organisation si et je dis biens si elle est incluse dans les deux processus maîtres que sont la stratégie et la conception. ITIL souligne également la surveillance continue des processus business ainsi que les processus de gestion du changement formelles pour minimiser entreprise interruptions (incidents), et fait partie des évaluations de sécurité de l’entreprise au quotidien. Dans la vrai vie ITIL est rarement utilisé dans le cadre de PCI hormis le fait de mettre un flag PCI dans la CMDB les composants PCI DSS et de l’intégrer dans la gestion des incidents. Pour le moment cela reste juste de bonne intention à mon sens (Cela n’engage que moi) mais avec les révisions et les comités communs lors des changements PCI rejoint ITIL à petit pas…
- Objectifs de contrôle pour les technologies de l’information (COBIT) est un framework pour la technologie de l’information la gestion et la gouvernance de l’Audit et du Contrôle Information Systems Association (ISACA). Le COBIT est structuré pour permettre aux gestionnaires de combler l’écart entre les besoins de contrôle, technique, les questions, et les risques commerciaux. Le COBIT permet le développement d’une politique claire et de bonnes pratiques pour le contrôle informatique dans les organisations. COBIT souligne la conformité réglementaire, aide les organisations à augmenter la valeur atteint des TI, et permet l’alignement et simplifie la mise en œuvre d’un framework COBIT. L’avantage de l’ISACA est de penser auditeur & audit durant le maintien de la conformité pour ne pas prendre des mesures de confort.
Enjoy and bee cool 🙂