Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS: QSA-аудитор или «доктор-консультант»?

(Нет голосов)

15.09.2009 Количество просмотров 1347 просмотров

Правильно ли вы понимаете роль QSA-аудитора, пришедшего к вам оказать помощь в решении такой задачи, как достижение «PCI Сompliance»? Какое слово точнее описывает ваши взаимоотношения – «соперничество» или «сотрудничество»?


Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор

Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудиторСергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор, член экспертного совета Сообщества PCIDSS.RU

Специализируется на системах менеджмента безопасности. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БРИББС-1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий механики и оптики.

Практический опыт показывает, что не все специалисты правильно понимают роли сторон, участвующих в процессе достижения соответствия требованиям PCI DSS. Попробуем разобраться в причинах этой проблемы, часто дающей почву для взаимного непонимания и затруднения совместной работы. Посмотрим на процесс извне. С одной стороны, мы видим банк, процессинг, платежный шлюз (Payment Gateway), торговосервисное предприятие или другую компанию, обязанную соответствовать требованиям стандарта PCI DSS. Международные платежные системы предписали компании соответствовать этим требованиям, и иного выхода у нее нет, если она планирует продолжать свое участие в карточном бизнесе. Мы можем долго рассуждать, насколько оправданны действия регуляторов, но для нас это останется таким же объективным фактом, как то, что трава зеленая, а вода мокрая. Сразу хочу оговориться, что часто всплывающие вопросы «особого пути» России в данном случае я тоже оставлю за бортом, как не имеющие прикладного смысла. Весь мир может соответствовать PCI, мы ничем не хуже.

С другой стороны, мы видим QSA-аудитора, призванного объективно оценить степень соответствия компании требованиям стандарта PCI DSS. Руководством и специалистами самой компании он воспринимается и как «проводник» стандарта, что абсолютно верно, и как некое связующее звено с международными платежными системами (что также соответствует действительному положению вещей), однако вместе с этим его зачастую рассматривают и в качестве исполнителя карательной воли этих самых регуляторов, что уже в корне неверно. Возможно, ассоциация с некими карательными функциями возникает из-за термина «аудитор», вызывающего не самые приятные мысли, особенно в сочетании с термином «внешний». Поэтому предлагаю воспользоваться здесь нейтральным переводом английского слова «assessor» – «оценщик», а еще лучше – дружественным термином «консультант». Да-да, внешнего аудитора следует воспринимать именно как «доктора-консультанта», который пришел помочь вам решить актуальную проблему со здоровьем вашей системы обеспечения информационной безопасности.

Полный текст статьи читайте в журнале "ПЛАС"8 (148) ’2009 сс. 13-14

 

 


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… каури были не только «туземным» средством расчета, но также в ходу в Средней Азии, Европе и даже Руси? На Руси в XII-XIV веках, в так называемый безмонетный период, каури были деньгами под названием ужовок, жерновков или змеиных головок. Их до сих пор находят при раскопках в Новгородских и Псковских землях в виде кладов и в погребениях. Только в XIX веке в Западную Африку ввезли не менее 75 млрд раковин каури общим весом 115 тысяч тонн?