`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Сколько стоит сертификация на соответствие PCI DSS?

Статья опубликована в №36 (653) от 23 сентября

+11
голос

Сертификация информационных систем по стандарту PCI DSS (Payment Card Industry Data Security Standard) является обязательной для финансовых компаний с 2006 г. С будущего года за несоответствие его требованиям партнеров крупнейших платежных систем (VISA, MasterCard и др.) вводятся жесткие штрафные санкции. Как с этим обстоят дела у нас, сколько времени и средств необходимо на подготовку к сертификации и какие сложности чаще всего при этом возникают, рассказывают системные интеграторы и представители финансовых структур.

Василий Задворный

руководитель группы аудита и стратегии департамента ИТ-консалтинга компании «Инком»

Сколько стоит сертификация на соответствие PCI DSS?

Сегодня украинские банки, а также процессинговые центры довольно активно интересуются сертификацией по стандарту PCI DSS, что связано с требованиями международных платежных систем, в частности, VISA, MasterCard, AmEx. «Инком» стала первой украинской компанией, получившей в августе 2008 г. право проводить аудит по PCI DSS. На данный момент мы участвуем в двух подобных проектах. Кроме того, имеем богатый опыт внедрения комплексных систем информационной безопасности, разработки нормативной документации для ИТ и служб безопасности, проведения тестов на проникновение и др.

При подготовке к сертификации на соответствие PCI DSS необходимо принимать во внимание ряд важных моментов. Так, аудит и разработка плана, учитывая определение границ проекта, занимает от одного до четырех месяцев. Сроки устранения несоответствий стандарту напрямую зависят от выявленных недостатков, развитости ИТ-инфраструктуры и текущей загрузки ИТ-систем финансового учреждения другими проектами. Поэтому на данную процедуру может потребоваться от двух месяцев до двух лет. Основными же сложностями на этапе аудита может стать отсутствие документации, регламентирующей деятельность ИТ (это усложняет определение границ проекта и замедляет сбор информации), а также большое количество «самописного» ПО, что затрудняет его легализацию.

Дмитрий Кукушкин

руководитель направления «Сети и телекоммуникации» компании «МКС Системная интеграция»

Сколько стоит сертификация на соответствие PCI DSS?

Сертификация систем информационной безопасности на соответствие стандарту PCI DSS особенно актуальна для двух категорий клиентов: больших процессинговых центров, оказывающих аутсорсинговые услуги банкам-эквайерам, и собственных центров обработки крупных банков. Владельцы сравнительно небольших карточных систем и сетей терминалов также заинтересованы в прохождении такого аудита, однако для них это скорее перспективная задача, а сам стандарт – сборник лучших практик по организации систем информационной безопасности.

У нас есть опыт взаимодействия с несколькими финансовыми учреждениями по созданию систем безопасности и их подготовке к сертификации. Каждый из основных этапов работы в направлении PCI DSS (проектирование и бюджетирование, поставка решения, его внедрение и тестирование) занимают примерно по два-три месяца. Немало времени уходит на вывод аналитических систем управления безопасностью на эффективный уровень, поскольку это связано с созданием разрешительных моделей и накоплением информации об угрозах и уязвимостях. Таким образом, проект может иметь бюджет порядка 1 млн долл. и длиться до года и более.

По составу решений требования стандарта PCI DSS могут быть выполнены, например, за счет применения профильных решений от Cisco Systems и Microsoft (наша компания получила соответствующие специализации от обеих корпораций). Для банков, имеющих свои процессинговые центры, мы проектируем, поставляем и тестируем решения по управлению информационной безопасностью. У нас есть также опыт консалтинга систем безопасности и их поддержки после внедрения.

Игорь Горин

президент межбанковской системы электронной доставки и оплаты счетов Portmone.com

Сколько стоит сертификация на соответствие PCI DSS?

Наша компания первой в Украине прошла международный аудит безопасности PCI DSS и получила сертификат от немецкой SRC (Security Research and Consulting GmbH). На подготовку ушел целый год. Ведь данный стандарт предъявляет высокие требования, включающие среди прочего ежеквартальные проверки на выявление уязвимых мест посредством удаленного сканирования сети, а также ежегодные посещения аудиторов, которые дополнительно контролируют все на месте.

Основными сложностями на пути к сертификации стали: недостаточное количество документации на русском и украинском языках, отсутствие шаблонов документов политик безопасности (разработать их самостоятельно очень непросто), а также большая организационная нагрузка.

Прохождение этого аудита мы не рассматривали для себя как конечную цель, ведь никто не может дать полной гарантии безопасности. Ее совершенствованием необходимо заниматься постоянно. Главным было продемонстрировать профессионализм специалистов и дать понять пользователям нашей системы интернет-платежей, что их данные надежно защищены.

Александр Смычников

консультант департамента ИТ-консалтинга компании «БМС Консалтинг»

Сколько стоит сертификация на соответствие PCI DSS?

Несмотря на то что данное направление достаточно молодое на отечественном рынке информационной безопасности, наши клиенты проявляют к нему определенный интерес. На сегодняшний день «БМС Консалтинг» участвует в нескольких проектах по сертификации на соответствие стандарту PCI DSS.

Компания предлагает полный спектр услуг в этой сфере: разработку нормативной документации в области информационной безопасности, построение процессов ИБ и консалтинг по созданию комплексной системы защиты данных, широкий выбор требуемых для этого программных и аппаратных решений. Однако, поскольку статусом аудитора мы пока не обладаем, непосредственно для сертификации привлекаем одного из наших партнеров, имеющих необходимые полномочия.

Что касается сроков подготовки к сертификации по PCI DSS, то тут следует выделить два основных этапа подобных проектов. Предварительный аудит – процедура более или менее определенная, и ее временныóе рамки колеблются в незначительных пределах. А вот продолжительность процесса приведения системы ИБ банка в соответствие с требованиями PCI DSS напрямую зависит от серьезности выявленных недостатков и может варьироваться в широких пределах.

Роман Сологуб

руководитель отдела защиты информации компании «ИТ Лэнд»

Сколько стоит сертификация на соответствие PCI DSS?

Ситуация вокруг стандарта PCI DSS довольно неоднозначна. По идее, он распространяется на все организации, работающие с электронными платежными системами, независимо от количества транзакций. Однако для Украины пока носит скорее рекомендательный характер, а основная инициатива исходит от производителей соответствующих решений. Между тем PCI DSS имеет еще и достаточно мощную имиджевую составляющую, поскольку является свидетельством заботы банков о своих клиентах и способом повышения их лояльности.

«ИТ Лэнд» – партнер ряда вендоров, специализирующихся на ИБ, – предлагает целый спектр решений, предназначенных как для организации системы безопасности, так и для выявления уязвимостей в ней. В их числе – сетевые сканеры, сканеры веб-приложений и баз данных – продукция таких разработчкиов, как ApplicationSecurity, IBM ISS, Acunetix. Мы участвовали во многих проектах на стадии подготовки ИТ-системы заказчика к проведению аудита по PCI DSS. Компания выступала в роли основного поставщика сканеров уязвимостей, брандмауэров и т. п.

Хотелось бы подчеркнуть, что стандартом не оговаривается конкретный перечень производителей и их продуктов. Поэтому клиент имеет достаточную свободу в выборе решений, исходя из наиболее значимых для него приоритетов. Причем для удовлетворения всех требований PCI DSS при построении системы ИБ в современных неоднородных ИТ-структурах чаще всего используются различные системы от нескольких разработчиков.

Временныóе рамки такого проекта определить сложно, ведь в нем, как правило, участвуют несколько интеграторов, а ведет его служба информационной безопасности банка и, в конечном счете, все зависит именно от эффективности управления проектом со стороны заказчика.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT