Так нужен или нет? В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде

BIS Journal №2(45)/2022

10 июня, 2022

Так нужен или нет? В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде

ИСТОРИЯ ВОПРОСА

Не будем затрагивать политические аспекты возникновения этого вопроса, просто примем как данность, что многие западные вещи (стандарты и средства ИБ здесь не исключение) на текущий момент вызывают сомнения и вопросы.

Если для средств обеспечения информационной безопасности основной вопрос сейчас и в ближайшем будущем – это вопрос доверия и возможности долгосрочного планирования, то со стандартами вопрос в другом.

Если раньше успешное завершение проекта по соответствию тому или иному стандарту показывало зрелость, являлось обязательным требованием для ведения бизнеса, повышало значимость в глазах западных компаний и партнёров, то сейчас у бизнеса есть сомнения: «А нужно ли мне всё это в новой реальности?»

После ухода VISA и Mastercard с Российского рынка всё чаще стало звучать мнение, что и PCI DSS теперь не нужен, но это не так. Давайте разберёмся.

 
УЧАСТЬ COMPLIANCE-ПРОЕКТА

Compliance-проекты и ранее рассматривались как что-то навязанное «внешней силой». Что, в свою очередь, не всегда позволяет реализовать все наиболее интересные и полезные требования. Компании зачастую стремятся реализовать требования стандарта для галочки и с минимальными затратами.

Именно эта коллизия и вызывает самые жаркие споры и порой даже конфликты между аудитором и командой аудируемой компании.

Необходимо искать то небольшое пересечение интересов всех сторон, требований стандарта, временны̒х и денежных затрат.

Любой стандарт безопасности, особенно который существует не первый год, чаще всего содержит наиболее эффективные механизмы для достижения заявленной цели. Например, в случае PCI DSS объектом защиты являются карточные данные. При этом стандарту важна только конфиденциальность данных. На доступность и целостность стандарт не обращает внимания. Это важно для понимания того, какие именно преимущества можно получить, реализовав требования PCI DSS.

 
ПЛЮСЫ И МИНУСЫ

Давайте рассмотрим, какие основные плюсы и сложности несёт в себе реализация требований стандарта PCI DSS.

Начнём с плюсов:

  • PCI DSS – это сбалансированный и современный стандарт, у которого нет перекоса в «бумажную безопасность». Он содержит в себе большое количество практических требований по реализации системы защиты;
  • успешная реализация требований позволяет добиться такого уровня обеспечения ИБ, который сделает вашу компанию неинтересной для большинства злоумышленников;
  • часто PCI DSS выступает хорошим стартом, чтобы донести важность ИБ до бизнеса, показать им понятный и структурированный подход и план действий.

 

Но есть сложности и особенности, которые необходимо учитывать.

  • Как я и писал выше, стандарт работает только с конфиденциальностью данных. Проблемы с доступностью и целостностью вы не решите.
  • PCI DSS для успешного прохождения сертификации требует полного выполнения всех требований. И нет градации, является ли требование более важным для выполнения или менее. Это иногда ведёт к распылению ресурсов, увеличению сроков проекта и усталости команды. Другие стандарты часто требуют достижения определённой интегральной оценки выполнения, что в большинстве случае позволяет сосредоточиться на выполнении наиболее важных пунктов в конкретной инфраструктуре.

 
ТАК НУЖЕН ИЛИ НЕТ?

Первоначально реализацию единого стандарта безопасности в индустрии платёжных карт реализовали пять платёжных брендов – VISA, Mastercard, American Express, Dinners club и JCB. Они до сих пор остаются основными учредителями совета PCI SSC, который следит за PCI-стандартами и развивает их.

Но в последние годы к этому консорциуму в качестве аффилированных членов присоединились и другие платёжные бренды, в том числе China Union Pay и «МИР».

В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде.

Поэтому необходимость подтверждать соответствие PCI DSS для участников российского рынка остаётся в силе. Также не будем забывать о том, что реализация требований стандарта – это внедрение минимально необходимых (а чаще даже обязательных) механизмов и процессов защиты данных в собственной организации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных