This is a machine translation. The original page (in English) is available here.
Главная> > Мировые новости> > 4 способа получить максимальную отдачу от вашего PCI QSAs
Лучшие кейлоггеры
Посмотреть еще...

4 способа получить максимальную отдачу от вашего PCI QSAs

  •  
Пользовательский рейтинг: нет отзывов. Будьте первым, чтобы рассмотреть его! 0-1 голосов
В интервью с CSOonline в прошлом месяце, Heartland Payment Systems Inc. Генеральный директор Роберт Карр набросился на квалифицированных оценщиков безопасности (QSAs), которые проверяли его компанию на соответствие требованиям безопасности PCI, утверждая, что они пропустили ключевые сетевые дыры, которые в конечном итоге позволили массовое нарушение безопасности данных. Читатели ударили в ответ, хлопнув Карра за то, что он не сознается в проблемах, возникающих в его работе по обеспечению безопасности ИТ-например, прочитайте мнение одного человека: генеральный директор Heartland должен взять на себя ответственность .

Также смотрите Heartland CEO о нарушении данных: QSAs подвел нас

В ответ на этот ответ компания CSOonline опросила экспертов по безопасности, которые провели и получили оценки, чтобы создать краткий контрольный список для получения наилучшего начала отношений между компанией и QSA. Вот четыре ключевых предложения:

1. Выбирайте своего поставщика мудро

Одна из распространенных проблем заключается в том, что QSA выбирается слишком поспешно, потому что компания хочет завершить процесс как можно быстрее. В результате компания нанимает оценщика, который не так хорошо разбирается в вопросах, уникальных для их среды.

Марк Эллисон, вице-президент по информационной безопасности в Лас-Вегасе на основе глобального доступа к наличным деньгам, сказал, что компании должны провести тщательную проверку всех поставщиков QSA, чтобы гарантировать, что тот, кто будет выбран, специализируется на проблемах, наиболее распространенных в их конкретной отрасли.

"Убедитесь, что у поставщика есть МСП, которые отвечают вашим потребностям, и не тревожьтесь, если некоторые поставщики заключают субподряд с другими квалифицированными организациями для создания всеобъемлющего ответа", - сказал он. "Как и вы, профессионалы используют свои сильные стороны и усиливают ограничения, нанимая экспертов. Сделайте домашнее задание и оцените учетные данные всех поставщиков и участников и поймите, как объединение их усилий в комплексный план может привести к успешному выполнению."

2. Заложить основу

Одна вещь, которая наверняка приведет оценку безопасности компании к плохому началу, - это отсутствие планирования, сказала Эллисон. Поэтому он рекомендует начинать с самооценки. Таким образом, у компании есть довольно хорошее представление о том, где находятся слабые места, прежде чем появится QSA. В первый день администраторы безопасности должны проинформировать QSA обо всем, что они знают до этого момента. Таким образом, QSA может заострить свое внимание на конкретных проблемных областях и придумать более продуктивный список действий.

"Получите последнюю анкету для самооценки с веб-сайта PCI DSS- Сказала Эллисон. "И помните, что все, что меньше, чем полная откровенность, будет препятствовать способности вашего эксперта эффективно и результативно завершить свою работу."

3. Дайте QSA доступ к ключевым игрокам

Еще одна вещь, которая может повредить процессу оценки, заключается в том, что компания пытается ограничить воздействие QSAs как можно меньшим количеством людей. Это может быть связано с тем, что руководство не хочет, чтобы QSA получал плохое направление от сотрудников, которые не обязательно имеют полное представление о вещах. Но всегда лучше предоставить QSA доступ ко всем ключевым игрокам, сказал Даниэль Уоллес, консультант из Детройта и руководитель проекта информационной безопасности. Уоллес недавно написал исчерпывающий пост на эту тему в блоге ресурсов информационной безопасности.

QSAs часто проводит многократные интервью с ключевыми менеджерами, чтобы абсолютно точно убедиться, что каждый аспект операции был изучен в максимально возможной степени. Прежде чем QSA прибудет, компания должна составить список людей, которые могут сделать первоначальные интервью. Планирование встреч для QSA с самого начала ускорит процесс в долгосрочной перспективе. Одна вещь, которая может затянуть процесс и когда ключевые игроки ломают или забывают свое назначение интервью, сказал Уоллес.

4. Не относитесь к QSA как к врагу

Еще одна распространенная проблема-особенно с точки зрения QSA, рассматриваемой в этой статье, - заключается в том, что оценщики часто рассматриваются как приближающаяся гремучая змея компанией, которую они там рассматривают. Это тоже рецепт неудачи, и его следует избегать любой ценой.

- Здесь нет места для эго, - сказала Эллисон. - Асессор найдет слабые места. Преодолейте это и учитесь у него."

Также смотрите болевые точки PCI после аудита

Эд Мойл, партнер-основатель компании Security Curve и бывший вице-президент по информационной безопасности Merrill Lynch, испытал хорошие и плохие аспекты процесса оценки с обеих сторон и согласен с этими замечаниями. Он признал, что оценки не всегда так тщательны, как они должны быть, и вина обычно принадлежит как компании, так и QSA.

Он отметил, что давление является высоким для QSA, а также для компании, и давление может привести к ошибкам.

"Клиент платит вам и хочет, чтобы его нашли уступчивым", - сказал он. "У вас также есть большие сложные среды с большим количеством движущихся частей, и есть много возможностей не обращать внимания на вещи."

Тем не менее, Мойл отметил, что чем больше информации и доступа имеет QSA, тем больше шансов на тщательный, успешный аудит, который может предотвратить нарушение данных дальше по линии.

"Окружающая среда компании может быть чрезвычайно сложной, с сотнями мест по всей стране или миру, и любое одно место может иметь слабые стороны", - сказал он. "Если у вас есть несколько направлений бизнеса, и вы не говорите QSA обо всех из них, QSA не будет знать, чтобы искать в этих областях, и что-то будет упущено. Это не вина QSA."
Дата публикации:
Автор:
Главная> > Мировые новости> > 4 способа получить максимальную отдачу от вашего PCI QSAs
Очень важно! Установка средств мониторинга компьютера на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.