Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Как достичь «PCI DSS Compliance»?

(Нет голосов)

18.02.2009 Количество просмотров 1167 просмотров
Максим Эмм
Директор департамента ау-
дита компании "Информ-
защита"
Наталья Зосимовская
Ведущий специалист компа-
нии "Информзащита"
В минувшем 2008 году журнал «ПЛАС» опубликовал нашу обзорную статью, посвященную стандарту PCI DSS и его требованиям*. Помимо общих вопросов, касающихся данного международного стандарта, в рамках прошлогоднего материала мы также останавливались на интересующей многих участников рынка теме процедуры аудита, приводили собранный статистический материал по основным несоответствиям требованиям стандарта и давали практические советы, как бороться с этими несоответствиями. Итак, прошел год. Нашими специалистами было проведено более 40 аудитов (в том числе и повторных), накоплен еще больший опыт и новый статистический материал. Основываясь именно на нем, мы сочли целесообразным поделиться в данной статье некоторыми выводами и соображениями относительно оптимального с нашей точки зрения пути достижения заветного Compliance.

 

Аудит по PCI DSS

Начать хотелось бы с того, что сегодня постепенно меняется довольно распространенное даже в прошлом году мнение части банковского сообщества о том, что проходить аудит по PCI DSS, а также выполнять все требования стандарта совсем необязательно, поскольку deadline по соответствию постоянно сдвигается, информации о тех, кого уже оштрафовали, нет, а возможно, и не будет. Все больше и больше компаний понимает, что инициировать довольно непростой и трудоемкий проект по достижению соответствия требованиям PCI DSS жизненно необходимо. И не только по причине того, что могут быть испорчены взаимоотношения с регулятором.

Участники рынка приходят к пониманию, что достижение и обеспечение требуемого стандартом уровня информационной безопасности – залог сокращения потенциального ущерба от инцидентов безопасности, повышение устойчивости бизнес-процессов и, в конечном итоге, сохранение своей репутации и клиентской базы. Между тем выполнение всех требований стандарта PCI DSS, причем не «для галочки», а именно в том виде, в котором они были изначально задуманы, может снизить вероятность подобных инцидентов практически до нуля.

Но, как уже говорилось выше, проект по достижению соответствия требованиям стандарта PCI DSS довольно трудоемок. Зачастую организации сталкиваются с проблемой нехватки персонала для выполнения необходимых работ, а также времени, соответствующего опыта и понимания того, что именно и как необходимо сделать.

В связи с этим для сокращения сроков достижения соответствия, минимизации затрат на всю программу PCI Compliance (особенно в условиях экономического кризиса) и связанных с этим проблем в ряде случаев целесообразно воспользоваться консалтинговыми услугами сторонней организации, специалисты которой как прекрасно знакомы с проблематикой требований стандарта PCI DSS и их практической реализации, так и являются профессионалами в вопросах обеспечения информационной безопасности и при этом, разумеется, хорошо понимают банковскую специфику.

* См. материал «Стандарт PCI DSS: основные несоответствия и как с ними бороться», «ПЛАС» № 2/2008 ных платежных систем.

Полный текст статьи читайте в журнале "ПЛАС" 1 (141) ’2009 сс. 14-16

 


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… каури были не только «туземным» средством расчета, но также в ходу в Средней Азии, Европе и даже Руси? На Руси в XII-XIV веках, в так называемый безмонетный период, каури были деньгами под названием ужовок, жерновков или змеиных головок. Их до сих пор находят при раскопках в Новгородских и Псковских землях в виде кладов и в погребениях. Только в XIX веке в Западную Африку ввезли не менее 75 млрд раковин каури общим весом 115 тысяч тонн?