ИСТОРИЯ ВОПРОСА
Не будем затрагивать политические аспекты возникновения этого вопроса, просто примем как данность, что многие западные вещи (стандарты и средства ИБ здесь не исключение) на текущий момент вызывают сомнения и вопросы.
Если для средств обеспечения информационной безопасности основной вопрос сейчас и в ближайшем будущем – это вопрос доверия и возможности долгосрочного планирования, то со стандартами вопрос в другом.
Если раньше успешное завершение проекта по соответствию тому или иному стандарту показывало зрелость, являлось обязательным требованием для ведения бизнеса, повышало значимость в глазах западных компаний и партнёров, то сейчас у бизнеса есть сомнения: «А нужно ли мне всё это в новой реальности?»
После ухода VISA и Mastercard с Российского рынка всё чаще стало звучать мнение, что и PCI DSS теперь не нужен, но это не так. Давайте разберёмся.
УЧАСТЬ COMPLIANCE-ПРОЕКТА
Compliance-проекты и ранее рассматривались как что-то навязанное «внешней силой». Что, в свою очередь, не всегда позволяет реализовать все наиболее интересные и полезные требования. Компании зачастую стремятся реализовать требования стандарта для галочки и с минимальными затратами.
Именно эта коллизия и вызывает самые жаркие споры и порой даже конфликты между аудитором и командой аудируемой компании.
Необходимо искать то небольшое пересечение интересов всех сторон, требований стандарта, временны̒х и денежных затрат.
Любой стандарт безопасности, особенно который существует не первый год, чаще всего содержит наиболее эффективные механизмы для достижения заявленной цели. Например, в случае PCI DSS объектом защиты являются карточные данные. При этом стандарту важна только конфиденциальность данных. На доступность и целостность стандарт не обращает внимания. Это важно для понимания того, какие именно преимущества можно получить, реализовав требования PCI DSS.
ПЛЮСЫ И МИНУСЫ
Давайте рассмотрим, какие основные плюсы и сложности несёт в себе реализация требований стандарта PCI DSS.
Начнём с плюсов:
Но есть сложности и особенности, которые необходимо учитывать.
ТАК НУЖЕН ИЛИ НЕТ?
Первоначально реализацию единого стандарта безопасности в индустрии платёжных карт реализовали пять платёжных брендов – VISA, Mastercard, American Express, Dinners club и JCB. Они до сих пор остаются основными учредителями совета PCI SSC, который следит за PCI-стандартами и развивает их.
Но в последние годы к этому консорциуму в качестве аффилированных членов присоединились и другие платёжные бренды, в том числе China Union Pay и «МИР».
В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде.
Поэтому необходимость подтверждать соответствие PCI DSS для участников российского рынка остаётся в силе. Также не будем забывать о том, что реализация требований стандарта – это внедрение минимально необходимых (а чаще даже обязательных) механизмов и процессов защиты данных в собственной организации.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных