Роли

Распределение обязанностей

Get Started. It's Free
or sign up with your email address
Роли by Mind Map: Роли

1. Проведение оценки и анализа рисков ИБ

2. Просмотр публикаций в открытых источниках информации с целью обнаружения актуальных уязвимостей для информационной инфраструктуры Компании.

3. Выполнение тестирования на проникновение.

4. ASV сканирование на уязвимости.

5. Внутреннее сканирование на уязвимости.

6. Обеспечение информационной безопасности в Компании.

7. Разработка, пересмотр внутренней нормативной документации и распространение ее между работниками Компании.

8. Тестирование ПО на безопасность.

9. Контроль удаления тестовых данных в разработанном ПО перед выкладкой в производственную среду.

10. Сегментация вычислительной сети.

11. Межсетевое экранирование.

12. Организация шифрованных каналов передачи данных платежных карт.

13. Пересмотр правил межсетевого экрана.

14. Документирование

15. Инфраструктура

16. Разработчик

17. Тестирование

18. Общие обязаности

19. QA

20. Аналитик

21. Создание и поддержание в актуальном состоянии реестра распределения обязанностей и ответственности

22. Проведение оценки необходимости применения антивирусного ПО для компонентов, которые считаются не подверженными воздействию вредоносным кодом.

23. Внутренний аудит.

24. QSA-аудит.

25. Регистрация и обработка уязвимостей на компонентах информационной инфраструктуры.

26. Создание и поддержание в актуальном состоянии перечня поставщиков услуг.

27. Выполнение проверки благонадежности поставщиков услуг.

28. Проверка статуса соответствия требованиям PCI DSS поставщика услуг.

29. Составление и согласование матрицы ответственности с поставщиком услуг.

30. Управление и мониторинг учетных записей, предоставленных для поставщиков услуг.

31. Соблюдение принципов безопасного программирования

32. Контроль проведения Code Review.

33. Определение перечня мест хранения ДДК, сроков хранения ДДК и поддержание данного перечня в актуальном состоянии.

34. Контроль запрета хранения критичных аутентификационных данных после авторизации транзакций.

35. Анализ мест хранения ДДК на предмет хранения ДДК с истекшим сроком хранения с целью их гарантированного уничтожения.

36. Составление и поддержание в актуальном состоянии перечня лиц, которым разрешен доступ к полным номерам платежных карт, хранящихся в Компании.

37. Контроль запрета передачи данных платежных карт через пользовательские технологии (например, email, ICQ, Skype и т.д.).

38. Смена ключей шифрования.

39. Генерация и хранение первой компоненты ключа шифрования ключей.

40. Генерация и хранение второй компоненты ключа шифрования ключей.

41. Гарантированное уничтожение ДДК.

42. Управление правами доступом и согласование всех заявок на предоставление или изменение прав доступа к компонентам информационной инфраструктуры Компании.

43. Создание и поддержание в актуальном состоянии списка прав доступа учетных записей работников Компании.

44. Проведение инвентаризации компонентов информационной инфраструктуры Компании с целью проверки и актуализации их параметров.

45. Мониторинг учетных записей и прав доступа.

46. Изучать и анализировать все события безопасности.

47. Изучать и анализировать журналы протоколирования событий всех компонентов информационной инфраструктуры Компании.

48. Регистрация, обработка и расследование инцидентов ИБ.

49. Разработка, актуализация и тестирование планов реагирования на инциденты ИБ.

50. Создание и поддержание в актуальном состоянии схемы сети информационной инфраструктуры Компании.

51. Создание и поддержание в актуальном состоянии схемы потоков данных платежных карт в информационной инфраструктуре Компании.

52. Создание и поддержание в актуальном состоянии перечня компонентов информационной инфраструктуры Компании.

53. Создание и актуализация стандартов конфигурации для типов компонентов информационной инфраструктуры Компании.

54. Согласование внесения всех изменений в информационной инфраструктуре Компании.

55. Тестирование всех согласованных изменений в информационной инфраструктуре Компании.

56. Выполнение согласованных изменений в информационной инфраструктуре Компании.

57. Проведение обновлений безопасности компонентов информационной инфраструктуры Компании.

58. Контроль безопасной настройки компонентов информационной инфраструктуры Компании.

59. Обеспечение антивирусной защиты для всех компонентов информационной инфраструктуры Компании.

60. Работа с поставщиками услуг

61. Контроль

62. ДДК

63. Управление правами

64. Журнал и логи

65. План

66. Блок-схемы и описание работы

67. Сети

68. Антивирус

69. Аудит

70. Backend

71. Devops

72. Frontend

73. Team lead

74. Product Owner