LETA IT-company открывает новое бизнес-направление: защита ИС по международному стандарту PCI DSS

При этом компания начинает предоставлять полный спектр услуг, позволяющих заказчикам внедрить все необходимые механизмы защиты данных о держателях карт и достичь максимального уровня безопасности при всех связанных с ними операциях, подготовиться к сертификации и пройти сертификационный аудит. Услуги в области PCI DSS существенно расширяют спектр предложений LETA IT-company для финансовых структур, а также усиливают концентрацию компетенций компании в профильной сфере ИБ. Создание бизнес-направления PCI DSS стало очередным шагом в реализации стратегии компании LETA по поддержке внедрения в российских организациях важнейших отраслевых и универсальных стандартов в сфере ИБ – российских и международных.

Пакет услуг LETA IT-company ориентирован на самый широкий круг предприятий, работающих с платежными картами. Среди них: банки, интернет-магазины, торговые сети, поставщики услуг, платежные шлюзы, а также любые организации, в которых обрабатываются данные о держателях карт. В 2010 году компания LETA IT планирует выполнить до 10 комплексных проектов, включающих предварительный аудит, внедрение организационно-технических решений и сертификацию на соответствие требованиям PCI DSS.

PCI DSS (Payment Card Industry Data Security Standard) – это стандарт защиты информации в индустрии платежных карт, разработанный Советом PCI SSC, основанным международными платежными системами Visa, MasterCard, American Express, JCB и Discovery. Требования PCI DSS распространяются на все компании, работающие с платежными картами, причем в зависимости от вида деятельности и количества обрабатываемых транзакций каждой компании присваивается определенный «уровень», определяющий правила подтверждения их соответствия стандарту. Стандарт PCI DSS определяет 12 основных требований по безопасности, разбитых на шесть областей контроля: Построение и сопровождение защищенной сети, Защита данных держателей карт, Поддержка программы управления уязвимостями, Реализация мер по строгому контролю доступа, Регулярный мониторинг и тестирование сети, а также Поддержка политики информационной безопасности. Таким образом, в той или иной степени стандарт затрагивает множество подсистем ИБ, функции и логика развития которых не могут быть изменены произвольно, т.к. вытекают из долгосрочной стратегии развития системы ИБ организации и требований российской универсальной и отраслевой нормативной базы.

Сегодня внедрение PCI DSS стало одной из наиболее актуальных задач российской отрасли ИТ в связи с тем, что с сентября 2006 года платежная система Visa сделала его обязательным для региона CEMEA (Центральная Европа, Ближний Восток и Африка), к которому относится и Россия. Как известно, с осени 2010 года соответствие требованиям PCI DSS является обязательным, именно поэтому интерес российских компаний к внедрению этого стандарта вырос и приобрел практическую направленность.

Особо подчеркнем, что требованиям PCI DSS должны соответствовать не только банки (как считают многие кредитные организации, выступающие основными операторами транзакций по платежным картам), но и все участники цепочки карточных платежей – процессинговые центры, платежные шлюзы и торгово-сервисные предприятия. Кроме того, стандарт предусматривает ежегодные аудиторские проверки уже сертифицированных компаний, а также ежеквартальные сканирования безопасности их сетей. При этом банк-эквайер несет  ответственность за все звенья пути прохождения транзакции в случае инцидентов нарушения ИБ вследствие невыполнения требований стандарта PCI DSS.

Открывая новое направление бизнеса, LETA IT-company планирует оказывать «под ключ» полный набор услуг, связанных с построением системы ИБ по требованиям PCI DSS. В частности, предусмотрены услуги предварительного аудита системы ИБ с целью выявления всех несоответствий стандарту, а также комплекс услуг по выполнению всего перечня технических и организационных мер, позволяющих устранить выявленные несоответствия и подготовиться к проведению сертификационного аудита на соответствие системы ИБ требованиям PCI DSS, а затем – пройти сертификацию.

Для заказчика единым центром ответственности за качество всех услуг PCI DSS является LETA IT-company. Однако в схему реализации заложен инновационный для российского рынка принцип разделения функций интегратора (компания LETA) и аудитора (российская компания Digital Security). Отметим, что Digital Security специализируется в этой сфере и имеет статус QSA (Qualified Security Assessor), необходимый для проведения сертификационного аудита PCI DSS. При этом оба партнера тесно взаимодействуют в ходе всего проекта. Так, при проведении предварительного и сертификационного аудита Digital Security выступает в качестве аудитора и консультанта по вопросам ИБ, а LETA IT-company – в качестве консультанта по организационно-техническим аспектам внедрения. В ходе внедрения компания Digital Security участвует вместе с заказчиком в процедурах промежуточного контроля. По мнению компаний LETA и Digital Security, такое сочетание централизации ответственности, разделения функций и интеграции рабочих процедур позволяет заказчикам быть уверенными, что проверка созданной системы ИБ на соответствие положениям стандарта будет максимально объективной, а не станет реализовываться по принципу формального подтверждения качества работы одного подразделения другим. Чтобы выполнить эти условия, компании LETA и Digital Security в сентябре 2009 года сформировали консорциум и за прошедшие полгода разработали регламенты совместной работы и внедрили все процедуры взаимодействия.

Созданию нового бизнес-направления LETA IT-company предшествовала значительная подготовительная работа. Так, в течение полутора лет компания целенаправленно наращивала компетенции по ИБ в финансовом секторе, причем значительные усилия были сконцентрированы именно на внедрении стандартов и требований нормативной базы. C начала 2008 года компания LETA участвует в проектах подготовки к сертификации в качестве эксперта и исполнителя работ по внедрению организационно-технических решений, устраняющих проблемы, выявленные в ходе предварительного аудита. В частности, был  разработан пакет услуг по реализации требований стандарта PCI DSS и внедрению необходимых средств защиты. Этот опыт был использован при формировании полного пакета услуг в сфере PCI DSS. Важным этапом работы с финансовым сектором стало и вступление компании LETA в сообщество ABISS (Association for Banking Information Security Standards) в июле 2009 года.

«При внедрении PCI DSS, как и других сложных стандартов, привлечение разных исполнителей к выявлению проблем и их устранению – это основа, на которой базируется и уверенность заказчика в качестве результата, и возможность лучше контролировать весь ход работ, – говорит Илья Медведовский, директор компании Digital Security. – Оба шага требуют серьезной экспертизы в сфере PCI DSS и других областях ИБ, выверенного набора услуг и отлаженной технологии работы. Мы уверены, что компания LETA предлагает наилучший комплекс услуг по подготовке к сертификации PCI DSS, а наш консорциум станет для российских предприятий тем оптимальным механизмом, в котором принцип независимости исполнителей сочетается с высоким качеством сервиса, четкостью взаимодействия и минимумом головной боли». 

«Наша компания накопила экспертизу практически во всех важнейших сегментах современного рынка ИБ, имеет отлаженную технологию создания и масштабного вывода на рынок соответствующих услуг, отработала процедуру запуска новых направлений. Теперь все это становится фундаментом для формирования портфелей сервисов с явной отраслевой привязкой, – говорит Андрей Конусов, генеральный директор LETA IT-company. – Этот фундамент позволяет наиболее эффективно увязать отраслевую специфику с общими тенденциями развития систем и технологий ИБ. А это принципиально важно, ведь решение практически любой крупной задачи, воздействуя на многие элементы ИБ, не должно нарушать ее работу как целостной системы. Это в полной мере относится к PCI DSS. Мы давно увидели перспективы этого направления и приступили к его формированию. И запускаем его именно сейчас, когда важность выполнения требований PCI DSS не вызывает сомнений уже у подавляющего числа участников рынка, а объявленные сроки еще оставляют время для реализации соответствующих проектов. Убежден, что консорциум с компанией Digital Security, специалисты которой имеют высочайшую квалификацию в сфере сертификационного аудита, полностью отвечает потребностям современного рынка ИБ».