Как достичь «PCI DSS Compliance»?

Директор департамента ау-
дита компании "Информ-
защита"

Ведущий специалист компа-
нии "Информзащита"

В минувшем 2008 году журнал «ПЛАС» опубликовал нашу обзорную статью, посвященную стандарту PCI DSS и его требованиям*. Помимо общих вопросов, касающихся данного международного стандарта, в рамках прошлогоднего материала мы также останавливались на интересующей многих участников рынка теме процедуры аудита, приводили собранный статистический материал по основным несоответствиям требованиям стандарта и давали практические советы, как бороться с этими несоответствиями. Итак, прошел год. Нашими специалистами было проведено более 40 аудитов (в том числе и повторных), накоплен еще больший опыт и новый статистический материал. Основываясь именно на нем, мы сочли целесообразным поделиться в данной статье некоторыми выводами и соображениями относительно оптимального с нашей точки зрения пути достижения заветного Compliance.

Аудит по PCI DSS

Начать хотелось бы с того, что сегодня постепенно меняется довольно распространенное даже в прошлом году мнение части банковского сообщества о том, что проходить аудит по PCI DSS, а также выполнять все требования стандарта совсем необязательно, поскольку deadline по соответствию постоянно сдвигается, информации о тех, кого уже оштрафовали, нет, а возможно, и не будет. Все больше и больше компаний понимает, что инициировать довольно непростой и трудоемкий проект по достижению соответствия требованиям PCI DSS жизненно необходимо. И не только по причине того, что могут быть испорчены взаимоотношения с регулятором.

Участники рынка приходят к пониманию, что достижение и обеспечение требуемого стандартом уровня информационной безопасности – залог сокращения потенциального ущерба от инцидентов безопасности, повышение устойчивости бизнес-процессов и, в конечном итоге, сохранение своей репутации и клиентской базы. Между тем выполнение всех требований стандарта PCI DSS, причем не «для галочки», а именно в том виде, в котором они были изначально задуманы, может снизить вероятность подобных инцидентов практически до нуля.

Но, как уже говорилось выше, проект по достижению соответствия требованиям стандарта PCI DSS довольно трудоемок. Зачастую организации сталкиваются с проблемой нехватки персонала для выполнения необходимых работ, а также времени, соответствующего опыта и понимания того, что именно и как необходимо сделать.

В связи с этим для сокращения сроков достижения соответствия, минимизации затрат на всю программу PCI Compliance (особенно в условиях экономического кризиса) и связанных с этим проблем в ряде случаев целесообразно воспользоваться консалтинговыми услугами сторонней организации, специалисты которой как прекрасно знакомы с проблематикой требований стандарта PCI DSS и их практической реализации, так и являются профессионалами в вопросах обеспечения информационной безопасности и при этом, разумеется, хорошо понимают банковскую специфику.

* См. материал «Стандарт PCI DSS: основные несоответствия и как с ними бороться», «ПЛАС» № 2/2008 ных платежных систем.

Полный текст статьи читайте в журнале "ПЛАС" 1 (141) ’2009 сс. 14-16