Антон Чувакин - директор направления PCI Compliance компании Qualys, Ph. D.
Упрощение безопасности под управлением PCI
Обеспечение безопасности процесс сложный, равно как и соблюдение требований PCI. Однако нам нужно подумать над тем, как упростить процесс достижения соответствия с одновременным повышением уровня безопасности для организаций. Итак, как же облегчить процесс достижения соответствия PCI, в то же время, повышая безопасность? Упрощение выполнения требований PCI, и в то же время, повышение уровня защищенности может облегчить жизнь многих экспертов в области безопасности.
Для начала, вспомним былые времена, когда только профессионалы владели магией сканирования сети на предмет выявления уязвимостей. Никто не спорит, что сейчас управлять уязвимостями стало гораздо легче, хотя в то же время нельзя сказать, что это стало легко. Люди, задумывающиеся об упрощении процесса достижения PCI, делятся на две группы.
Первые часто просят о том, чтобы им просто разрешили не выполнять все эти требования. Такие люди склонны отвечать «Да» при заполнении опросных листов (SAQ), даже не задумываясь о том, что действительно нужно сделать для выполнения указанных требований.
Во второй группе обычно знают, что их программа повышения уровня защищенности позволяет организации соответствовать требованиям PCI, и отвечают на вопросы для того, чтобы им легче было это доказать.
Несложно догадаться, что организации, входящие в эти группы существенно отличаются друг от друга. Некоторые представители группы номер 1 спутают межсетевой экран с экраном монитора. Люди из группы номер 2 часто задумываются над тем, как связать свой риск-ориентированный подход к обеспечению безопасности с подходом PCI, ориентированным на внедрение конкретных мер защиты.
Более того, люди из первой группы часто говорят что-то вроде: «Соответствие требованиям PCI это легко - надо просто пройти ASV-сканирование и ответить «Да» на все вопросы листа самооценки». Тем не менее, упростить процесс достижения PCI, не забывая при этом о безопасности, можно даже для тех, кто желает, чтобы вопрос о соответствии PCI исчез как страшный сон. В организации следует создать благоприятные условия для совершения «правильных» действий (приводящих к снижению рисков) и затруднить совершение «неправильных» действий (увеличивающих риски для бизнеса).
С другой стороны, во второй группе можно услышать такие возгласы как: «У нас хорошая программа повышения уровня защищенности и мы отлично справляемся с информационными рисками. Зачем нам тратить лишнее время на PCI? Ведь наш уровень безопасности и без того высок!» Скорее всего, такого рода организации действительно тщательно работают над безопасностью и хотят использовать свои достижения в качестве доказательств соблюдения требований PCI. В этом случае упрощение достижения соответствия PCI будет заключаться в упрощении процесса проверки соответствия. Разумеется, не надо пренебрегать их программами повышения уровня защищенности!
Заключение
В заключение. Если вы отказываетесь даже попытаться понять информационную безопасность и информационные риски (несмотря на все связанные с этим трудности), соответствие PCI становится инструментом для принятия определенных решений по присвоению рискам «нелегального» статуса. Другими словами, если вы отказываетесь оценивать риски и не хотите планировать внедрение контрмер, позволяющих их снизить, соответствие PCI превращается в простой шаблонный список обязательных для выполнения требований. Какой бы ни была ваша ситуация, существуют пути, позволяющие достичь соответствия PCI, повышая или сохраняя при этом безопасность: упрощение подтверждения выполнения требований, упрощение процесса аудита – это освобождает время на работы по повышению безопасности (в той степени, в которой это необходимо). Также нужно создать условия, в которых принять «правильное» решение будет проще, чем принять «неправильное». Даже выбирать между принципами «Безопасность на первом месте» и «Соответствие на первом месте!» в результате станет легче.
| 
26 июля 2010
