Sekcije
Lokacija: Početak Usluge PCI DSS Implementacija GAP analiza

GAP analiza

GAP analiza je analiza raskoraka između očekivanja i sadašnjih mogućnosti i kapaciteta, a koristi se u organizacijskom razvoju sa svrhom definiranja idealnog ili željenog stanja i trenutnog stanja/potreba organizacije.

U svojoj osnovi, GAP analiza postavlja dva pitanja:

  • Gdje smo sada?
  • Gdje želimo biti?

U svijetlu PCI sigurnosnog standarda GAP analiza se koristi kako bi se utvrdila razlika između postojećeg (ili zatečenog) stanja i sigurnosnog stanja u kojem se želi biti sukladno PCI standardu.

Primjer GAP analize

PCI DSS Zahtjev 1: Ugradi i održavaj vatrozid (firewall) podešen tako da zaštiti kartične podatke

Zatečeno stanje

Direktnim pregledom uređaja utvrđena je ispravna konfiguracija vatrozida kako to zahtjeva PCI DSS. Tehnička dokumentacija kojom se opisuje procedura konfiguracije vatrozida nije napisana.

  • Unutar organizacije se ne koristi bežični pristup.
  • Prijenosna računala zaposlenika koriste Windows XP Service Pack 2 operativni sustav, ali na njima nije pokrenut osobni vatrozid
  • Zaposlenici drugih tvrtki koji pružaju usluge imaju pristup mreži putem DHCP servera.

Nađeni problemi

Trenutni problemi koji su uzrok neusklađenosti prema PCI DSS su:

  • Nepostojanje tehničke dokumentacije.
  • Osobna računala nemaju postavljen zadnji "patch" od proizvođača operativnog sustava
  • Pristup drugih tvrtki u mrežu nije kontroliran.

Preporuka

Organizacija mora imati potrebnu tehničku dokementaciju za postavljanje novog vatrozida u mrežu koji će se ujedno koristiti kao osnovni vodić za sve druge vatrozide koji bi se mogli postavljati. Potrebo je napisati i svu dokumentaciju koja regulira pristup mreži drugim tvrtkama koje pružaju svoje usluge, a za potrebe normalnog poslovanja organizacije. Na osobnim računalima potrebno je postaviti zadnji sigurnosne nadogradnje operativnog sustava, kao i podesiti osobni vatrozid da je uvijek aktivan, te da korisnik prijenosnog računala nema mogućnost samostalne promjene podešenih pravila vatrozida.

Nadalje, potrebno je definirati dozvoljene mrežne protokole, pristupne liste za korisnike, definirati periodični pregled svih pravila koja su aktivna, kao i svih novih pravila.

Moguća rješenja

Webteh će pripremiti sve predloške sigurnosne politike i proceduralne dokumentacije koja je potrebna da bi se zadovoljili zahtjevi PCI standarda.

Firewall and Routers build and Security Policy documentation (1.1.4 - 1.1.9 of PCI DSS)

Organizacija može te dokumente koristiti kao osnovu za razvoj daljnje dokumentacije kako bi udovoljila zahtjevu 1. Kako bi nova dukumentacija zadovoljila standard, Webteh će takvu dokumentaciju još jednom pregledati.

Document Actions