На что стоит обратить внимание при выборе QSA-компании для достижения соответствия PCI DSS? Илья Медведовский, к.т.н. , директор компании ...
Илья Медведовский, к.т.н. , директор компании Digital Security, Эксперт сообщества PCIDSS.RU
Продолжаем цикл публикаций, посвященных аспектам внедрения системы менеджмента информационной безопасности на пути к PCI Compliance. В рамках партнерства журнал «ПЛАС» с web-порталом PCIDSS.RU, запущенным компанией Digital Security, сегодня мы рассмотрим вопросы выбора QSA-компании.
Предварительный аудит
Рекомендации по устранению найденных несоответствий: краткие или детальные? При проведении предварительного аудита на соответствие стандарту PCI DSS QSA-аудитор в своем отчете по каждому обнаруженному несоответствию может привести краткие рекомендации по устранению данного несоответствия, например: «безопасно настроить СУБД Oracle в соответствии с такими-то конкретными лучшими практиками и т. д.» Обычно это входит в базовую стоимость предварительного аудита. Для QSA-аудитора является жестом доброй воли выдать краткие типовые рекомендации даже при официальном сертификационном аудите, результатом которого не стала констатация факта полного соответствия.
Однако заказчику с уровнем соответствия менее 50% стоит обратить внимание на то, что на практике такой подход означает следующее: при дальнейшей подготовке к сертификации он сам будет изучать обозначенную QSA-аудитором проблему и искать варианты, как именно ему выполнить данное требование. Очевидно, что для заказчика (особенно крупного) это часто бывает затруднительно, поскольку требует серьезных затрат времени и ресурсов. В результате такая схема автоматически приведет к необходимости заказа дополнительного расширенного консалтинга при внедрении решений по устранению несоответствий.
На этом фоне заказчику стоит обратить внимание на возможность получения от QSA-аудитора экспертного заключения по результатам проведенного аудита с детальными рекомендациями по приведению информационной инфраструктуры в соответствие PCI DSS. Такое заключение предоставляется в качестве дополнительной услуги сразу после проведения предварительного аудита в виде отдельного документа объемом 20–100 страниц. Это значительно упростит дальнейший процесс подготовки к сертификации, хотя по своей сути является не более чем полезной опцией предварительного аудита для заказчика.
План приведения к соответствию PCI DSS (Action Plan).
Очень часто заказчик в предложении от QSA может обнаружить фразу: «План приведения информационной инфраструктуры в соответствие требованиям PCI DSS (Action Plan)». При этом сама фраза зачастую подается очень пафосно в контексте отдельной части коммерческого предложения. Заказчика тем самым пытаются убедить в том, что именно этот документ решит все его проблемы с соответствием. Однако парадокс ситуации заключается в следующем: под достаточно громким названием скрывается сугубо формальный документ на одну страницу (!), который отправляется в международные платежные системы и который обычно заполняется… самим же заказчиком (QSA-аудитор лишь консультирует заказчика при его заполнении или оказывает в этом некую помощь). Этот документ необходим только в том случае, если аудит был сертификационным (не предварительным) и его результаты не показали полного соответствия. Содержание данного документа – не более чем перечень основных этапов достижения соответствия с указанием сроков их планируемого выполнения. Цель у документа единственная – проинформировать международные платежные системы (МПС) о том, когда именно в следующий раз (но не далее, чем через один год) можно обоснованно требовать от компании соответствия PCI DSS. Для формальной процедуры сертификационного аудита Action Plan – это просто форма отчетности, и не более того.
В случае предварительного аудита, цель которого – сделать первый шаг на пути к соответствию, заказчик обычно не сообщает о его результатах в МПС, и поэтому формальный Action Plan не является обязательным, так как никоим образом не приближает к достижению соответствия. Самое главное, что должен понимать заказчик: несмотря на пафосное название, речь идет не более чем о кратком сугубо формальном документе, который не имеет отношения к содержательной части процесса устранения несоответствий и практически никак не поможет при дальнейшей подготовке к сертификации, разве что обозначит временные ориентиры.
Достижение соответствия PCI DSS
Технический проект, детально описывающий все вносимые в IT-систему изменения.
После проведения предварительного аудита и разработки экспертного заключения с детальными рекомендациями для последующего перехода к стадии внедрения (приведение IT-системы в соответствие) заказчику необходим детальный технический проект, описывающий все вносимые в систему изменения для ее приведения в соответствие требованиям стандарта. Без подобного проекта тем более никак не обойтись в случае необходимости внесения масштабных изменений, особенно если речь идет о крупном банке, где в наших реалиях процессинг часто не выделен из информационной инфраструктуры банка, а наоборот, глубоко в нее интегрирован. Данный проект разрабатывается на основе отчета о проведенном на первом этапе аудита и экспертного заключения, выданного QSA-аудитором. Проект разрабатывается либо самим заказчиком (если он планирует самостоятельную реализацию технических мероприятий по достижению соответствия), либо компанией – системным интегратором, которого заказчик планирует привлечь для реализации проекта достижения соответствия PCI DSS.
На данном этапе одной из важнейших консалтинговых задач для QSA-аудитора является согласование итогового технического проекта с точки зрения его соответствия требованиям стандарта PCI DSS во избежание возможных дальнейших проблем при внедрении. Это крайне важный этап, про который ни в коем случае не стоит забывать заказчику.
Консалтинг при внедрении, контрольные проверки и предсертификационный аудит. После того как детальный технический проект достижения соответствия принят и согласован с QSA-аудитором, заказчик переходит непосредственно к этапу его внедрения для устранения всех найденных в ходе предварительного аудита несоответствий. На данном этапе при заключении с QSA-компанией общего консалтингового контракта на приведение к соответствию PCI DSS существуют три возможные опции, на которые заказчику стоит обратить внимание. Особенно эти опции важны в случае крупной организации (банка, сервис-провайдера), для которой внедрение изменений с целью устранения найденных несоответствий является масштабным, сложным и длительным проектом, требующим непрерывного контроля. Небольшим организациям или организациям с высоким исходным уровнем соответствия отдельными опциями можно пренебречь.
1. Консалтинг при внедрении. В этом случае QSA-аудитор (хотя здесь более уместным будет употребить термин QSA-консультант) отвечает на все вопросы, которые возникают у специалистов заказчика или интегратора в ходе реализации проекта по достижению соответствия PCI DSS.
2. Контрольные проверки. Практика показывает, что имеет смысл разбить весь проект на этапы, каждый из которых оканчивается контрольной проверкой, благодаря чему QSA-консультант имеет возможность контролировать ход проекта, оценивая на объекте заказчика все внесенные к моменту проверки изменения (после предыдущей проверки) с точки зрения корректности выполнения требований стандарта.
3. Предсертификационный аудит. Для 100%-ной гарантии успешного прохождения итогового сертификационного аудита при масштабном проекте достижения соответствия PCI заказчику может потребоваться предсертификационный аудит, который выявит те мелочи, что могли быть упущены в процессе реализации проекта достижения соответствия. При этом наличие контрольных проверок в ходе внедрения, очевидно, не отменяет необходимости проведения предсертификационного аудита, хотя оба этих контрольных элемента и являются лишь дополнительными опциями проекта.
Сертификация
Тесты на проникновение, ASV-сканирование.
Про специфику предлагаемых на рынке России и стран СНГ «тестов на проникновение» (то, что в 99% случаев предлагается у нас на рынке под этим ярлыком, было бы некорректно упоминать иначе как в кавычках), обязательных для достижения соответствия PCI DSS, написана уже не одна статья. Заказчику стоит обращать внимание на то, что любая попытка выдать за тест на проникновение обычное сканирование (чем часто грешат, к сожалению, некоторые QSAкомпании) является заведомым нарушением требований стандарта и ведет к лишению QSA-компании этого статуса и проблемам для заказчика, которому данная QSA-компания выдала сертификат, – последний неминуемо будет отозван Советом PCI SSC. Низкая цена на тест на проникновение автоматически означает то, что это будет простой запуск сканера, и свидетельствует об отсутствии необходимой квалификации у компании, которая его проводит. Иными словами, «опасайтесь подделок!» Что же касается ASV-сканирования, то здесь на нашем рынке наблюдается прямо противоположная, но не менее парадоксальная картина в виде необоснованно дорогого сканирования. ASV-сканирование у большинства ASV-вендоров является автоматической услугой, позволяющей заказчику самостоятельно запустить через web-сайт вендора в удобное для заказчика время сканер и получить отчет об ASV-сканировании. Процедура полностью автоматизирована, из-за этого число проверок практически не ограничено – соответственно, ASV-сканирование, по определению, не может стоить дорого. Разговоры о качестве ASV-сканирования лишены всякого смысла, так как все ASV-вендоры имеют официальный статус и сканируют в строгом соответствии с процедурой, определенной Советом PCI SSC. Во-вторых, даже если кто-то сканирует чуть лучше, а кто-то чуть хуже – в любом случае существует дополнительная ручная проверка – тест на проникновение, не имеющий никакого отношения к ASV-сканированию, который дает дополнительные гарантии защищенности внешнего периметра.
Непосредственно сертификационный аудит, проводимый после выполнения всех перечисленных этапов, является итоговой контрольной проверкой достигнутого соответствия PCI DSS, по большому счету сводящейся к документированию свидетельств выполнения заказчиком требований стандарта, результаты которого QSA-компания обязана хранить не менее трех лет.
Âûâîäû Как наглядно показывают вышеприведенные примеры из практики, заказчику стоит очень внимательно подходить к выбору QSA-аудитора, поскольку здесь существует масса различных нюансов, имеющих далеко идущие последствия.
Полный текст статьи читайте в журнале "ПЛАС" 2 (154) ’2010 сс. 33 -35