Обеспечение соответствия PCI DSS — процесс постоянный

11 июля 2009 20:00

Статья  руководителя направления PCI DSS центра информационной безопасности компании «Инфосистемы Джет» Евгения Рудацкого о том, зачем и как сертифицировать ИС на соответствие стандарту PCI DSS. 

На данный момент в России и странах СНГ очень немногие организации полностью соответствуют стандарту PCI DSS. Как показывает практика Qualified Security Assessor (QSA) компаний, обладающих правом проводить аудит на соответствие данному стандарту, это обусловлено различными факторами, в том числе финансовыми, организационными и техническими.

Среди финансовых факторов следует отметить относительно высокие ресурсы, требуемые на приведение в соответствие стандарту PCI DSS, в том числе затраты на закупку, внедрение и дальнейшее сопровождение необходимых технических средств, зачастую сопровождающееся увеличением и обучением штата специалистов.

Организационные факторы включают в себя недостаточное разделение обязанностей по обеспечению ИБ, отсутствие в организациях многих процедур, требуемых стандартом, либо их низкая эффективность и исполняемость. Важно отметить, что при аудите по большей части проверяется не факт наличия красиво документированных политик и процедур, а их фактическое исполнение, которое должно быть подкреплено конкретными свидетельствами.

Технические факторы обусловлены высокой степенью критичности информационных систем, участвующих в процессе осуществления платежей. Большинство систем, подпадающих под требования PCI DSS, должны функционировать в режиме 24/7/365, и любой сбой в их работе оборачивается для организации вполне реальным ущербом. Данный факт зачастую усугубляется использованием устаревшего программного и аппаратного обеспечения, не позволяющего выполнить требования PCI DSS без его замены либо существенной модернизации.

    Эти факторы приводят к целому ряду проблем, с которыми организации сталкиваются при приведении в соответствие PCI DSS. Основываясь на опыте, можно выделить следующие наиболее типичные проблемы:

 

  • Не все требования стандарта учитываются корректно по причине их неверной трактовки специалистами организации.
  • При сертификационном аудите организация не всегда может представить достаточно свидетельств, подтверждающих выполнение процедур и функционирование средств обеспечения ИБ.
  • Разработанные процедуры обеспечения ИБ неэффективны или неработоспособны.
  • Внедренные средства ИБ конфликтуют друг с другом и IТ-системами.
  • Некорректная настройка внедренных и уже функционирующих средств ИБ.
  • Внедренные компенсирующие меры имеют недостаточную эффективность.

    Эти проблемы сказываются не только на эффективности всей системы защиты платежных систем и успешности прохождения сертификационного аудита, но и на финансовых потерях, вызванных сбоями в работе IТ-инфраструктуры и расходами в результате неоптимально подобранных средств обеспечения ИБ.

    Если сертификация пройдена успешно, процесс обеспечения соответствия не останавливается. Платежные системы организаций постоянно подвергаются модернизации, внедряются новые сервисы, добавляется оборудование, меняются бизнес-процессы. Учитывая этот факт и то, что процедура сертификации ежегодна, процесс приведения в соответствие постоянен.

    Многие организации, учитывая все изложенные выше сложности, предпочитают передавать внешним специализированным компаниям приведение в соответствие с PCI DSS своих платежных систем и его последующую поддержку. При выборе исполнителя одним из важнейших условий должно быть наличие у него успешно выполненных проектов по приведению в соответствие и сертификации.

    Большое число выполненных проектов по PCI DSS позволяет специалистам компании «Инфосистемы Джет» рассматривать вопрос подготовки к сертификации комплексно, с учетом интересов и ресурсов сертифицируемой организации. Это позволяет минимизировать затраты и риски организации путем эффективного уменьшения области сертификации, максимального использования имеющихся средств и процедур обеспечения ИБ.

    Подводя итоги, хотелось бы отметить, что организация, приводя свои платежные системы в соответствие с PCI DSS, не просто обеспечивает фактическое выполнение требований стандарта, но и получает эффективную, прозрачную систему защиты данных своих клиентов.

    © “Финанс Медиа”

     



  • © 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
    Первое издание на российском рынке, посвященное информационным технологиям для банков.
    Москва, Проспект Мира, д.3, корп. 1
    +7 (495) 120-81-42
    info@int-bank.ru

    Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
    По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
    При использовании материалов необходимо давать ссылку на www.banktech.ru.