Как влияет PCI DSS на рынок ИТ-безопасности?

Ничего не может гарантировать абсолютную безопасность, и стандарт PCI DSS также неидеален. Однако после придания ему статуса обязательного для всех организаций, хранящих и обрабатывающих информацию о платежных картах, ситуация с защитой данных в финансовой сфере стала понемногу улучшаться. О том, как обстоят дела в этой области у нас в стране, рассказывают аудиторы, интеграторы и поставщики.

Алексей Гребенюк

старший консультант по безопасности компании Sysnet, QSA

Если в прошлом году наша компания, которая работает на рынке Украины главным образом в сегменте аудита по PCI DSS, имея на тот момент чуть больше десятка проектов, считала его практически исчерпанным, то в 2010 г. клиентская база выросла примерно на треть. Однако сказать, что прохождение сертификации стало тенденцией, пока нельзя. Основным побудительным фактором для заказчиков Sysnet все же является уход от санкций международных платежных систем. Забота же о клиенте и собственном имидже им не очень присуща.

Главными заказчиками компании остаются финансовые учреждения, причем преимущественно входящие в первую двадцатку. Впрочем, за последний год к ним стали подтягиваться сервисные и торговые организации, часть из которых достаточно успешно проходит все этапы аудита. Что касается банков, то среди наших клиентов большинство составляют структуры с иностранным капиталом.

Мы придерживаемся мнения, что лучше, когда все услуги заказчик получает из одних рук, поскольку привлечение разных компаний часто приводит к разночтениям в реализации процедур безопасности.

Типичная проблема на пути к сертификации – слабые знания базы нормативных документов и их вольная интерпретация. Но задача аудитора как раз в том и заключается, чтобы решить все имеющиеся вопросы и привести клиента к правильному пониманию. Потому что решением проблем заказчика является не закупка массы оборудования и ПО, а разработка правильных с точки зрения безопасности и требований его бизнеса процедур.

Василий Задворный

руководитель отдела ИТ-консалтинга компании «Инком»

Количество проектов, так или иначе связанных с PCI DSS, растет. В свое время к снижению темпов привели начало финансового кризиса и смещение крайних сроков достижения соответствия со стороны Visa. Однако сегодня эти факторы утратили актуальность.

К традиционным заказчикам сертификации – банкам – за последний год прибавились платежные сервисы, число которых постоянно увеличивается. При этом серьезного отличия между клиентами с украинским и иностранным капиталом нет. Что же касается готовности к такого рода процедурам, то вторые зачастую просто лучше знакомы с процессом сертификации.

Выбор стратегии во многом зависит от сопутствующих целей, временных ограничений и объемов работ у заказчика (что определяется не только размерами компании, но и зрелостью системы управления информационной безопасностью). Наиболее популярная на нашем рынке – сотрудничество с одной фирмой, ведущей клиента к сертификации, и привлечение к выполнению технических работ специализированных вендоров.

Все участники рынка не устают повторять, что основным препятствием на пути к PCI DSS является невысокая зрелость процессного подхода в управлении ИБ и всей компанией в целом. Как следствие, отсутствие или «лоскутность» существующей документации. Непонимание места нормативов и путей их интеграции с требованиями стандарта. Сюда же можно отнести и недостаточную формализацию и автоматизацию процессов управления ИТ и ИБ.

Александр Хомутов

директор по развитию бизнеса компании «ИТ Лэнд»

Украинский рынок аудита на соответствие стандарту PCI DSS невелик, ведь основными заказчиками являются организации, которые хранят и обрабатывают сведения о держателях платежных карт. В большинстве случаев это банки, реже различные платежные системы. Стандарт определил ряд требований и несколько расширил рынок в области предоставляемых услуг и продуктов. После его введения у заказчиков возник интерес к сканерам уязвимости, системам сбора лог-файлов и WAF (Web Application Firewall – средства защиты от атак на веб-приложения). В этом отношении PCI DSS способствовал росту рынка информационной безопасности.

Процесс сертификации условно можно разделить на три этапа – это выявление несоответствий, их устранение и окончательное прохождение аудита. Первый и третий в обязательном порядке должны проводить сертифицированные QSA-аудиторы. Устранить несоответствия можно силами самой организации либо привлечь стороннюю компанию, способную помочь с решением данных вопросов. Основные проблемы, с которыми сталкиваются практически все организации на пути внедрения стандарта PCI DSS, – это недостаточное финансирование и часто непонимание всей важности и необходимости процесса сертификации.

Сергей Маковец

директор по технологиям Information Systems Security Partners

Безусловно, обязательное прохождение сертификации для финансовых институтов, которые имеют собственный процессинг, стало двигателем развития рынка в разрезе определенных продуктов, обеспечивающих соответствие требованиям PCI DSS. Это, в частности, касается решений для защиты веб-сервисов и систем лог-менджемента. Постепенное осознание, что унифицированное хранение событий и их анализ являются ключом к наблюдаемости информационных систем, приводит к расширению рынка SIEM-систем.

Я считаю, что аудит и интеграцию технических решений должны проводить полностью независимые компании. В первую очередь от этого выиграет сам банк. Иначе в процессе подготовки к сертификации могут возникать неоднозначные результаты, и зачастую акцент будет смещаться в область продуктов, которые инсталлирует «свой» интегратор. Конечно, в случае нескольких подрядчиков обостряются вопросы управления всем проектом и временных рамок внедрения. Но имея опытных специалистов и обратившись к нескольким интеграторам, клиент в результате получит действительно лучшие решения.

Одна из главных проблем при сертификации – неудовлетворительное владение предметной областью представителями банков. Многие процедуры проводятся формально, исключительно по принципу необходимого минимума, без учета перспективы. А ведь индустрия финансового мошенничества, к сожалению, не стоит на месте. Второй проблемой является хроническое недофинансирование мероприятий по обеспечению ИБ. Деньги здесь часто выделяются по остаточному принципу, хотя это чревато серьезными последствиями.

Александр Смычников

ведущий консультант департамента ИТ-консалтинга компании «БМС Консалтинг»

На сегодня все основные украинские банки занимаются этим вопросом, а большая часть уже прошла предварительный аудит. Стоит отметить, что PCI DSS действительно стал первым нормативным документом, который, пусть и постепенно, но наводит порядок в сфере обеспечения информационной безопасности финансовых структур.

В настоящее время «БМС Консалтинг» работает и с банками, и с сервис-провайдерами. Повышенный интерес проявляют компании, которые развивают новые направления бизнеса, связанные с оплатой платежными картами в Интернете. Наиболее же пассивны торгово-сервисные предприятия, на которые, что интересно, и был изначально ориентирован стандарт PCI DSS.

Целесообразнее довериться одной компании. Конечно, при условии, что она в состоянии осилить подобный проект, т. е. обладает необходимым опытом и ресурсно-технологической базой. Именно такую практику предпочитают в Украине, и, с нашей точки зрения, абсолютно правильно. Главные преимущества – проект «под ключ» и заинтересованность исполнителя в нормальном прохождении всех этапов.

Среди сложностей на пути сертификации я бы назвал ограниченные проектные бюджеты, организационные вопросы, контроль выполнения норм и регламентов. Выделить типичные проблемы невозможно, поскольку каждый клиент индивидуален. В остальном, как показывает практика, ситуация с соответствием требованиям PCI DSS примерно одинакова во всем мире. Просто одни регионы начали заниматься такими проектами раньше, другие – позже, поэтому возникло отставание по количеству компаний, уже получивших сертификат соответствия.