Статья руководителя направления PCI DSS центра информационной безопасности компании «Инфосистемы Джет» Евгения Рудацкого о том, зачем и как сертифицировать ИС на соответствие стандарту PCI DSS.
На данный момент в России и странах СНГ очень немногие организации полностью соответствуют стандарту PCI DSS. Как показывает практика Qualified Security Assessor (QSA) компаний, обладающих правом проводить аудит на соответствие данному стандарту, это обусловлено различными факторами, в том числе финансовыми, организационными и техническими.
Среди финансовых факторов следует отметить относительно высокие ресурсы, требуемые на приведение в соответствие стандарту PCI DSS, в том числе затраты на закупку, внедрение и дальнейшее сопровождение необходимых технических средств, зачастую сопровождающееся увеличением и обучением штата специалистов.
Организационные факторы включают в себя недостаточное разделение обязанностей по обеспечению ИБ, отсутствие в организациях многих процедур, требуемых стандартом, либо их низкая эффективность и исполняемость. Важно отметить, что при аудите по большей части проверяется не факт наличия красиво документированных политик и процедур, а их фактическое исполнение, которое должно быть подкреплено конкретными свидетельствами.
Технические факторы обусловлены высокой степенью критичности информационных систем, участвующих в процессе осуществления платежей. Большинство систем, подпадающих под требования PCI DSS, должны функционировать в режиме 24/7/365, и любой сбой в их работе оборачивается для организации вполне реальным ущербом. Данный факт зачастую усугубляется использованием устаревшего программного и аппаратного обеспечения, не позволяющего выполнить требования PCI DSS без его замены либо существенной модернизации.
Эти проблемы сказываются не только на эффективности всей системы защиты платежных систем и успешности прохождения сертификационного аудита, но и на финансовых потерях, вызванных сбоями в работе IТ-инфраструктуры и расходами в результате неоптимально подобранных средств обеспечения ИБ.
Если сертификация пройдена успешно, процесс обеспечения соответствия не останавливается. Платежные системы организаций постоянно подвергаются модернизации, внедряются новые сервисы, добавляется оборудование, меняются бизнес-процессы. Учитывая этот факт и то, что процедура сертификации ежегодна, процесс приведения в соответствие постоянен.
Многие организации, учитывая все изложенные выше сложности, предпочитают передавать внешним специализированным компаниям приведение в соответствие с PCI DSS своих платежных систем и его последующую поддержку. При выборе исполнителя одним из важнейших условий должно быть наличие у него успешно выполненных проектов по приведению в соответствие и сертификации.
Большое число выполненных проектов по PCI DSS позволяет специалистам компании «Инфосистемы Джет» рассматривать вопрос подготовки к сертификации комплексно, с учетом интересов и ресурсов сертифицируемой организации. Это позволяет минимизировать затраты и риски организации путем эффективного уменьшения области сертификации, максимального использования имеющихся средств и процедур обеспечения ИБ.
Подводя итоги, хотелось бы отметить, что организация, приводя свои платежные системы в соответствие с PCI DSS, не просто обеспечивает фактическое выполнение требований стандарта, но и получает эффективную, прозрачную систему защиты данных своих клиентов.