курс цб на 26.03:
57.4247
61.8636
Лента новостей

PCI DSS: QSA-аудитор или «доктор-консультант»?

Количество просмотров12 просмотров
Want create site? Find Free WordPress Themes and plugins.

Правильно ли вы понимаете роль QSA-аудитора, пришедшего к вам оказать помощь в решении такой задачи, как достижение «PCI Сompliance»? Какое слово точнее описывает ваши взаимоотношения – «соперничество» или «сотрудничество»?


Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор

Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор, член экспертного совета Сообщества PCIDSS.RU

Специализируется на системах менеджмента безопасности. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БРИББС-1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий механики и оптики.

Практический опыт показывает, что не все специалисты правильно понимают роли сторон, участвующих в процессе достижения соответствия требованиям PCI DSS. Попробуем разобраться в причинах этой проблемы, часто дающей почву для взаимного непонимания и затруднения совместной работы. Посмотрим на процесс извне. С одной стороны, мы видим банк, процессинг, платежный шлюз (Payment Gateway), торговосервисное предприятие или другую компанию, обязанную соответствовать требованиям стандарта PCI DSS. Международные платежные системы предписали компании соответствовать этим требованиям, и иного выхода у нее нет, если она планирует продолжать свое участие в карточном бизнесе. Мы можем долго рассуждать, насколько оправданны действия регуляторов, но для нас это останется таким же объективным фактом, как то, что трава зеленая, а вода мокрая. Сразу хочу оговориться, что часто всплывающие вопросы «особого пути» России в данном случае я тоже оставлю за бортом, как не имеющие прикладного смысла. Весь мир может соответствовать PCI, мы ничем не хуже.

С другой стороны, мы видим QSA-аудитора, призванного объективно оценить степень соответствия компании требованиям стандарта PCI DSS. Руководством и специалистами самой компании он воспринимается и как «проводник» стандарта, что абсолютно верно, и как некое связующее звено с международными платежными системами (что также соответствует действительному положению вещей), однако вместе с этим его зачастую рассматривают и в качестве исполнителя карательной воли этих самых регуляторов, что уже в корне неверно. Возможно, ассоциация с некими карательными функциями возникает из-за термина «аудитор», вызывающего не самые приятные мысли, особенно в сочетании с термином «внешний». Поэтому предлагаю воспользоваться здесь нейтральным переводом английского слова «assessor» – «оценщик», а еще лучше – дружественным термином «консультант». Да-да, внешнего аудитора следует воспринимать именно как «доктора-консультанта», который пришел помочь вам решить актуальную проблему со здоровьем вашей системы обеспечения информационной безопасности.

Полный текст статьи читайте в журнале "ПЛАС"8 (148) ’2009 сс. 13-14

 

 

Did you find apk for android? You can find new Free Android Games and apps.




В рубриках:
Журнал ПЛАС № 8 (148)2009

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *