курс цб на 17.11:
59.9898
70.704

PCI DSS: QSA-аудитор или «доктор-консультант»?

17 августа 2012 16:17 Количество просмотров114 просмотров

Правильно ли вы понимаете роль QSA-аудитора, пришедшего к вам оказать помощь в решении такой задачи, как достижение «PCI Сompliance»? Какое слово точнее описывает ваши взаимоотношения – «соперничество» или «сотрудничество»?


Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор

Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор, член экспертного совета Сообщества PCIDSS.RU

Специализируется на системах менеджмента безопасности. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БРИББС-1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий механики и оптики.

Практический опыт показывает, что не все специалисты правильно понимают роли сторон, участвующих в процессе достижения соответствия требованиям PCI DSS. Попробуем разобраться в причинах этой проблемы, часто дающей почву для взаимного непонимания и затруднения совместной работы. Посмотрим на процесс извне. С одной стороны, мы видим банк, процессинг, платежный шлюз (Payment Gateway), торговосервисное предприятие или другую компанию, обязанную соответствовать требованиям стандарта PCI DSS. Международные платежные системы предписали компании соответствовать этим требованиям, и иного выхода у нее нет, если она планирует продолжать свое участие в карточном бизнесе. Мы можем долго рассуждать, насколько оправданны действия регуляторов, но для нас это останется таким же объективным фактом, как то, что трава зеленая, а вода мокрая. Сразу хочу оговориться, что часто всплывающие вопросы «особого пути» России в данном случае я тоже оставлю за бортом, как не имеющие прикладного смысла. Весь мир может соответствовать PCI, мы ничем не хуже.

С другой стороны, мы видим QSA-аудитора, призванного объективно оценить степень соответствия компании требованиям стандарта PCI DSS. Руководством и специалистами самой компании он воспринимается и как «проводник» стандарта, что абсолютно верно, и как некое связующее звено с международными платежными системами (что также соответствует действительному положению вещей), однако вместе с этим его зачастую рассматривают и в качестве исполнителя карательной воли этих самых регуляторов, что уже в корне неверно. Возможно, ассоциация с некими карательными функциями возникает из-за термина «аудитор», вызывающего не самые приятные мысли, особенно в сочетании с термином «внешний». Поэтому предлагаю воспользоваться здесь нейтральным переводом английского слова «assessor» – «оценщик», а еще лучше – дружественным термином «консультант». Да-да, внешнего аудитора следует воспринимать именно как «доктора-консультанта», который пришел помочь вам решить актуальную проблему со здоровьем вашей системы обеспечения информационной безопасности.

Полный текст статьи читайте в журнале "ПЛАС"8 (148) ’2009 сс. 13-14

 

 




В рубриках:
Журнал ПЛАС № 8 (148)2009
Лента новостей
Журнал ПЛАС № 8 (1 ...
Банки и МФО Qiwi приобрела Рокетбанк и «Точку»
17 ноября 2017 15:15
Количество просмотров 484 просмотра
Технологии SIM-карта заменит паспорт?
15 ноября 2017 10:39
Количество просмотров 267 просмотров
Банки и МФО «Госбанк» с дружеским лицом
14 ноября 2017 14:41
Количество просмотров 640 просмотров
Криптовалюты Курс биткоина упал почти на 30%
13 ноября 2017 10:01
Количество просмотров 223 просмотра