Так нужен или нет? В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде

Так нужен или нет? В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде

ИСТОРИЯ ВОПРОСА

Не будем затрагивать политические аспекты возникновения этого вопроса, просто примем как данность, что многие западные вещи (стандарты и средства ИБ здесь не исключение) на текущий момент вызывают сомнения и вопросы.

Если для средств обеспечения информационной безопасности основной вопрос сейчас и в ближайшем будущем – это вопрос доверия и возможности долгосрочного планирования, то со стандартами вопрос в другом.

Если раньше успешное завершение проекта по соответствию тому или иному стандарту показывало зрелость, являлось обязательным требованием для ведения бизнеса, повышало значимость в глазах западных компаний и партнёров, то сейчас у бизнеса есть сомнения: «А нужно ли мне всё это в новой реальности?»

После ухода VISA и Mastercard с Российского рынка всё чаще стало звучать мнение, что и PCI DSS теперь не нужен, но это не так. Давайте разберёмся.

 
УЧАСТЬ COMPLIANCE-ПРОЕКТА

Compliance-проекты и ранее рассматривались как что-то навязанное «внешней силой». Что, в свою очередь, не всегда позволяет реализовать все наиболее интересные и полезные требования. Компании зачастую стремятся реализовать требования стандарта для галочки и с минимальными затратами.

Именно эта коллизия и вызывает самые жаркие споры и порой даже конфликты между аудитором и командой аудируемой компании.

Необходимо искать то небольшое пересечение интересов всех сторон, требований стандарта, временны̒х и денежных затрат.

Любой стандарт безопасности, особенно который существует не первый год, чаще всего содержит наиболее эффективные механизмы для достижения заявленной цели. Например, в случае PCI DSS объектом защиты являются карточные данные. При этом стандарту важна только конфиденциальность данных. На доступность и целостность стандарт не обращает внимания. Это важно для понимания того, какие именно преимущества можно получить, реализовав требования PCI DSS.

 
ПЛЮСЫ И МИНУСЫ

Давайте рассмотрим, какие основные плюсы и сложности несёт в себе реализация требований стандарта PCI DSS.

Начнём с плюсов:

• PCI DSS – это сбалансированный и современный стандарт, у которого нет перекоса в «бумажную безопасность». Он содержит в себе большое количество практических требований по реализации системы защиты;
• успешная реализация требований позволяет добиться такого уровня обеспечения ИБ, который сделает вашу компанию неинтересной для большинства злоумышленников;
• часто PCI DSS выступает хорошим стартом, чтобы донести важность ИБ до бизнеса, показать им понятный и структурированный подход и план действий.

Но есть сложности и особенности, которые необходимо учитывать.

• Как я и писал выше, стандарт работает только с конфиденциальностью данных. Проблемы с доступностью и целостностью вы не решите.
• PCI DSS для успешного прохождения сертификации требует полного выполнения всех требований. И нет градации, является ли требование более важным для выполнения или менее. Это иногда ведёт к распылению ресурсов, увеличению сроков проекта и усталости команды. Другие стандарты часто требуют достижения определённой интегральной оценки выполнения, что в большинстве случае позволяет сосредоточиться на выполнении наиболее важных пунктов в конкретной инфраструктуре.

 
ТАК НУЖЕН ИЛИ НЕТ?

Первоначально реализацию единого стандарта безопасности в индустрии платёжных карт реализовали пять платёжных брендов – VISA, Mastercard, American Express, Dinners club и JCB. Они до сих пор остаются основными учредителями совета PCI SSC, который следит за PCI-стандартами и развивает их.

Но в последние годы к этому консорциуму в качестве аффилированных членов присоединились и другие платёжные бренды, в том числе China Union Pay и «МИР».

В документе «Стандарт ПС „Мир“. Программа безопасности» требование по соответствию стандарту PCI DSS прописано в явном виде.

Поэтому необходимость подтверждать соответствие PCI DSS для участников российского рынка остаётся в силе. Также не будем забывать о том, что реализация требований стандарта – это внедрение минимально необходимых (а чаще даже обязательных) механизмов и процессов защиты данных в собственной организации.