курс цб на 21.09:
58.129
69.7664

PCI DSS: QSA-аудитор или «доктор-консультант»?

17 августа 2012 16:17 Количество просмотров86 просмотров

Правильно ли вы понимаете роль QSA-аудитора, пришедшего к вам оказать помощь в решении такой задачи, как достижение «PCI Сompliance»? Какое слово точнее описывает ваши взаимоотношения – «соперничество» или «сотрудничество»?


Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор

Сергей Шустиков, ведущий аналитик по информационной безопасности компании Digital Security, QSA-аудитор, член экспертного совета Сообщества PCIDSS.RU

Специализируется на системах менеджмента безопасности. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БРИББС-1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий механики и оптики.

Практический опыт показывает, что не все специалисты правильно понимают роли сторон, участвующих в процессе достижения соответствия требованиям PCI DSS. Попробуем разобраться в причинах этой проблемы, часто дающей почву для взаимного непонимания и затруднения совместной работы. Посмотрим на процесс извне. С одной стороны, мы видим банк, процессинг, платежный шлюз (Payment Gateway), торговосервисное предприятие или другую компанию, обязанную соответствовать требованиям стандарта PCI DSS. Международные платежные системы предписали компании соответствовать этим требованиям, и иного выхода у нее нет, если она планирует продолжать свое участие в карточном бизнесе. Мы можем долго рассуждать, насколько оправданны действия регуляторов, но для нас это останется таким же объективным фактом, как то, что трава зеленая, а вода мокрая. Сразу хочу оговориться, что часто всплывающие вопросы «особого пути» России в данном случае я тоже оставлю за бортом, как не имеющие прикладного смысла. Весь мир может соответствовать PCI, мы ничем не хуже.

С другой стороны, мы видим QSA-аудитора, призванного объективно оценить степень соответствия компании требованиям стандарта PCI DSS. Руководством и специалистами самой компании он воспринимается и как «проводник» стандарта, что абсолютно верно, и как некое связующее звено с международными платежными системами (что также соответствует действительному положению вещей), однако вместе с этим его зачастую рассматривают и в качестве исполнителя карательной воли этих самых регуляторов, что уже в корне неверно. Возможно, ассоциация с некими карательными функциями возникает из-за термина «аудитор», вызывающего не самые приятные мысли, особенно в сочетании с термином «внешний». Поэтому предлагаю воспользоваться здесь нейтральным переводом английского слова «assessor» – «оценщик», а еще лучше – дружественным термином «консультант». Да-да, внешнего аудитора следует воспринимать именно как «доктора-консультанта», который пришел помочь вам решить актуальную проблему со здоровьем вашей системы обеспечения информационной безопасности.

Полный текст статьи читайте в журнале "ПЛАС"8 (148) ’2009 сс. 13-14

 

 




В рубриках:
Журнал ПЛАС № 8 (148)2009
Лента новостей
Журнал ПЛАС № 8 (1 ...
Регуляторы ЦБ объявил о начале санации Бинбанка
21 сентября 2017 13:29
Количество просмотров 162 просмотра
Технологии iOS 11 будет доступна 19 сентября с 20:00 мск
19 сентября 2017 19:57
Количество просмотров 296 просмотров
Мероприятия Новые разработки на BIS Summit 2017
19 сентября 2017 12:01
Количество просмотров 183 просмотра
Мероприятия II CryptoBazar Pre-ICO Day в Москве
19 сентября 2017 11:01
Количество просмотров 163 просмотра
Банки и МФО Nordea уйдет с российского рынка?
19 сентября 2017 09:31
Количество просмотров 161 просмотр
Регуляторы ЦБ снизил ключевую ставку до 8,5%
15 сентября 2017 13:34
Количество просмотров 340 просмотров
Регуляторы Банкиры будут отвечать имуществом?
15 сентября 2017 10:51
Количество просмотров 210 просмотров
Банки и МФО Куда уходят VIP’ы?
14 сентября 2017 12:24
Количество просмотров 332 просмотра