Мобильное приложение журнала
Google Play Apple Store
курс цб на 21.10: USD 63.9542 EUR 71.1299
криптовалют: BTC 8233.3$ ETH 175.55$
lupa
294 просмотра

Концептуальные изменения стандарта PCI DSS

Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) продолжает вести плановую подготовку по выпуску новой версии стандарта безопасности Payment Card Industry Data Security Standard (PCI DSS) 4.0. Предыдущие версии строились по единому принципу – от версии к версии добавлялось небольшое количество новых требований или вносились корректировки в существующие. В версии же 4.0 будет изменен принцип изложения требований, а также их формулировки. Проанализируем, с чем придется столкнуться участникам рынка на практике.

Андрей Гайко начальник Отдела контроля киберрисков платежной системы «Мир», АО «НСПК»

Анна Гольдштейн независимый эксперт

За последние десять лет информационные технологии, подходы к администрированию и разработке программного обеспечения заметно изменились. Появились и стали широко применяться облачные технологии, технологии контейнеризации, программно-определяемые сети, практики Continuous Integration and Continuous Delivery (CI\CD), методика Agile и многое другое. В связи с этим становится сложно применять текущие требования PCI DSS в современных инфраструктурах.

Основное отличие новой версии стандарта от предыдущих – механизм компенсационных мер теперь будет встроен в тело стандарта. Для каждого требования будут определены контрольные цели, которые должны быть достигнуты. При этом у потребителей стандарта остается выбор – реализовывать требования так, как это описано в стандарте, или альтернативным способом. Организация сможет сама определить альтернативный набор защитных мер в зависимости от результатов оценки рисков.

До выпуска новой версии стандарта действует принцип компенсационных мер. Предполагалось, что они должны носить временный характер и действовать до тех пор, пока организация не сможет выполнить исходное требование так, как оно регламентируется стандартом. Сегодня компенсационные меры являются легитимной возможностью выполнить требование иным способом, чем предлагает стандарт. Компенсационная мера для конкретного требования PCI DSS должна быть направлена на снижение большего риска, чем исходное требование. При применении компенсационной меры организация должна иметь четкую аргументацию, почему эта компенсационная мера необходима и почему компания затрудняется выполнить требование, как предлагает стандарт.

Новый принцип построения стандарта придаст ему необходимую гибкость и актуальность. Теперь организации смогут использовать собственные подходы при реализации требований на постоянной основе, если предлагаемый стандартом вариант не может быть применен в силу каких-либо особенностей организации. Главное – это достижение цели исходного требования. Механизм компенсационных мер будет отменен.

Вариативность в выборе мер снижения рисков заставляет аудиторов самим определять состав тестовых процедур и необходимых свидетельств. Таким образом, увеличивается роль QSA-аудиторов. Аудиторам придется глубже вникать в особенности организаций, изучать защитные меры и оценивать их достаточность и эффективность.

Продолжение материала содержит полезную для вашего бизнеса информацию…

Подписка позволяет читать все статьи портала

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных