17 августа 2012, 16:17
Количество просмотров 275

PCI DSS: QSA-аудитор или «доктор-консультант»?

Правильно ли вы понимаете роль QSA-аудитора, пришедшего к вам оказать помощь в решении такой задачи, как достижение «PCI Сompliance»? Какое...
PCI DSS: QSA-аудитор или «доктор-консультант»?

Правильно ли вы понимаете роль QSA-аудитора, пришедшего к вам оказать помощь в решении такой задачи, как достижение «PCI Сompliance»? Какое слово точнее описывает ваши взаимоотношения – «соперничество» или «сотрудничество»?


Сергей Шустиков,
Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор, член экспертного совета Сообщества PCIDSS.RU

Специализируется на системах менеджмента безопасности. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БРИББС-1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий механики и оптики.

Практический опыт показывает, что не все специалисты правильно понимают роли сторон, участвующих в процессе достижения соответствия требованиям PCI DSS. Попробуем разобраться в причинах этой проблемы, часто дающей почву для взаимного непонимания и затруднения совместной работы. Посмотрим на процесс извне. С одной стороны, мы видим банк, процессинг, платежный шлюз (Payment Gateway), торговосервисное предприятие или другую компанию, обязанную соответствовать требованиям стандарта PCI DSS. Международные платежные системы предписали компании соответствовать этим требованиям, и иного выхода у нее нет, если она планирует продолжать свое участие в карточном бизнесе. Мы можем долго рассуждать, насколько оправданны действия регуляторов, но для нас это останется таким же объективным фактом, как то, что трава зеленая, а вода мокрая. Сразу хочу оговориться, что часто всплывающие вопросы «особого пути» России в данном случае я тоже оставлю за бортом, как не имеющие прикладного смысла. Весь мир может соответствовать PCI, мы ничем не хуже.

С другой стороны, мы видим QSA-аудитора, призванного объективно оценить степень соответствия компании требованиям стандарта PCI DSS. Руководством и специалистами самой компании он воспринимается и как «проводник» стандарта, что абсолютно верно, и как некое связующее звено с международными платежными системами (что также соответствует действительному положению вещей), однако вместе с этим его зачастую рассматривают и в качестве исполнителя карательной воли этих самых регуляторов, что уже в корне неверно. Возможно, ассоциация с некими карательными функциями возникает из-за термина «аудитор», вызывающего не самые приятные мысли, особенно в сочетании с термином «внешний». Поэтому предлагаю воспользоваться здесь нейтральным переводом английского слова «assessor» – «оценщик», а еще лучше – дружественным термином «консультант». Да-да, внешнего аудитора следует воспринимать именно как «доктора-консультанта», который пришел помочь вам решить актуальную проблему со здоровьем вашей системы обеспечения информационной безопасности.

Полный текст статьи читайте в журнале "ПЛАС"8 (148) ’2009 сс. 13-14

 

 

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube