17 августа 2012, 16:17
Количество просмотров 152

«Лучше меньше, да лучше», или Практика определения области аудита PCI DSS

Сергей Шустиков, руководитель направления менеджмента ИБ компанииDigital Security, PCI QSA  Сергей Шустиков – руководитель направления...
«Лучше меньше, да лучше», или Практика определения области аудита PCI DSS


Сергей Шустиков, руководитель направления менеджмента ИБ компании Digital Security, PCI QSA

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре Безопасных Информационных Технологий Санкт-Петербургского Государственного Университета Информационных Технологий Механики и Оптики.




Область соответствия и область аудита

Практика показывает, что у компаний, решивших привести свои информационные системы в соответствие требованиям стандарта PCI DSS, возникает большое количество вопросов относительно определения области аудита. Основной вопрос заключается в том, какие из информационных систем, входящих в информационную инфраструктуру компании, необходимо приводить в соответствие стандарту.

Для начала следует уточнить, что есть разница между тем, какие системы должны соответствовать стандарту PCI DSS, и тем, какие системы подлежат проверке в ходе QSA-аудита. Эти области не всегда совпадают. Любая система, хранящая, обрабатывающая либо передающая данные о держателях карт, должна соответствовать требованиям стандарта PCI DSS. Пусть даже если это номер одной-единственной карты. Эту область мы назовем термином «область соответствия». Что касается области, подлежащей проверке на соответствие требованиям стандарта в ходе QSA-аудита, то для большинства организаций она совпадает с изолированной областью соответствия (средой данных о держателях карт, Cardholder Data Environment, CDE). Назовем множество систем, подлежащее проверке, «областью аудита».

Однако для банков здесь не все так просто. Позиция Совета PCI SSC изложена на его официальном сайте www.pcisecuritystandards.org в разделе «Часто задаваемые вопросы». В ответе на вопрос «применим ли стандарт PCI DSS к эмитентам?» Совет сообщает следующее: «Стандарт PCI DSS применим ко всем структурам, хранящим, обрабатывающим или передающим данные о держателях карт, и все эти структуры должны соответствовать PCI DSS, включая эмитентов карт. Однако каждая международная платежная система применяет свою собственную программу управления соответствием PCI DSS, определяющую, кто именно проверяет соответствие PCI DSS, уровни поставщиков услуг и торгово-сервисных предприятий, а также крайние сроки достижения соответствия стандарту.

По своему усмотрению международные платежные системы могут потребовать у эмитентов проверить соответствие PCI DSS.










Минимизация области соответствия




Исключение данных о держателях карт из отдельных систем





Изоляция области соответствия и внедрение DMZ







Полный текст статьи читайте в журнале "ПЛАС" 1 (153) ’2010 сс. 28 -30

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube