курс цб на 23.06:
60.1482
67.1495
Лента новостей
Журнал ПЛАС № 1 (1 ...
Digital banking ДБО как фабрика user experience
22 июня 2017 12:00
Количество просмотров 4 просмотра
ЖУРНАЛ ПЛАС №5 Календарь событий
20 июня 2017 18:12
Количество просмотров 9 просмотров
ЖУРНАЛ ПЛАС №5 17 моментов безопасности
20 июня 2017 16:12
Количество просмотров 16 просмотров
Регуляторы ЦБ снизил ключевую ставку до 9%
16 июня 2017 14:29
Количество просмотров 214 просмотров

Как достичь «PCI DSS Compliance»?

Количество просмотров44 просмотра

Директор департамента ау-
дита компании "Информ-
защита"

Наталья Зосимовская
Ведущий специалист компа-
нии "Информзащита"

В минувшем 2008 году журнал «ПЛАС» опубликовал нашу обзорную статью, посвященную стандарту PCI DSS и его требованиям*. Помимо общих вопросов, касающихся данного международного стандарта, в рамках прошлогоднего материала мы также останавливались на интересующей многих участников рынка теме процедуры аудита, приводили собранный статистический материал по основным несоответствиям требованиям стандарта и давали практические советы, как бороться с этими несоответствиями. Итак, прошел год. Нашими специалистами было проведено более 40 аудитов (в том числе и повторных), накоплен еще больший опыт и новый статистический материал. Основываясь именно на нем, мы сочли целесообразным поделиться в данной статье некоторыми выводами и соображениями относительно оптимального с нашей точки зрения пути достижения заветного Compliance.

 

Аудит по PCI DSS

Начать хотелось бы с того, что сегодня постепенно меняется довольно распространенное даже в прошлом году мнение части банковского сообщества о том, что проходить аудит по PCI DSS, а также выполнять все требования стандарта совсем необязательно, поскольку deadline по соответствию постоянно сдвигается, информации о тех, кого уже оштрафовали, нет, а возможно, и не будет. Все больше и больше компаний понимает, что инициировать довольно непростой и трудоемкий проект по достижению соответствия требованиям PCI DSS жизненно необходимо. И не только по причине того, что могут быть испорчены взаимоотношения с регулятором.

Участники рынка приходят к пониманию, что достижение и обеспечение требуемого стандартом уровня информационной безопасности – залог сокращения потенциального ущерба от инцидентов безопасности, повышение устойчивости бизнес-процессов и, в конечном итоге, сохранение своей репутации и клиентской базы. Между тем выполнение всех требований стандарта PCI DSS, причем не «для галочки», а именно в том виде, в котором они были изначально задуманы, может снизить вероятность подобных инцидентов практически до нуля.

Но, как уже говорилось выше, проект по достижению соответствия требованиям стандарта PCI DSS довольно трудоемок. Зачастую организации сталкиваются с проблемой нехватки персонала для выполнения необходимых работ, а также времени, соответствующего опыта и понимания того, что именно и как необходимо сделать.

В связи с этим для сокращения сроков достижения соответствия, минимизации затрат на всю программу PCI Compliance (особенно в условиях экономического кризиса) и связанных с этим проблем в ряде случаев целесообразно воспользоваться консалтинговыми услугами сторонней организации, специалисты которой как прекрасно знакомы с проблематикой требований стандарта PCI DSS и их практической реализации, так и являются профессионалами в вопросах обеспечения информационной безопасности и при этом, разумеется, хорошо понимают банковскую специфику.

* См. материал «Стандарт PCI DSS: основные несоответствия и как с ними бороться», «ПЛАС» № 2/2008 ных платежных систем.

Полный текст статьи читайте в журнале "ПЛАС" 1 (141) ’2009 сс. 14-16

 





В рубриках:
Журнал ПЛАС № 1 (141) 2009