Москва, 9 февраля 2010 г. LETA IT-company – ведущий российский оператор типизированных ИТ-услуг – объявляет об открытии нового бизнес-направления по приведению систем ИБ в соответствие с требованиями международного стандарта безопасности данных индустрии платежных карт (PCI DSS). При этом компания начинает предоставлять полный спектр услуг, позволяющих заказчикам внедрить все необходимые механизмы защиты данных о держателях карт и достичь максимального уровня безопасности при всех связанных с ними операциях, подготовиться к сертификации и пройти сертификационный аудит. Услуги в области PCI DSS существенно расширяют спектр предложений LETA IT-company для финансовых структур, а также усиливают концентрацию компетенций компании в профильной сфере ИБ. Создание бизнес-направления PCI DSS стало очередным шагом в реализации стратегии компании LETA по поддержке внедрения в российских организациях важнейших отраслевых и универсальных стандартов в сфере ИБ – российских и международных.
Пакет услуг LETA IT-company ориентирован на самый широкий круг предприятий, работающих с платежными картами. Среди них: банки, интернет-магазины, торговые сети, поставщики услуг, платежные шлюзы, а также любые организации, в которых обрабатываются данные о держателях карт. В 2010 году компания LETA IT планирует выполнить до 10 комплексных проектов, включающих предварительный аудит, внедрение организационно-технических решений и сертификацию на соответствие требованиям PCI DSS.
PCI DSS (Payment Card Industry Data Security Standard) – это стандарт защиты информации в индустрии платежных карт, разработанный Советом PCI SSC, основанным международными платежными системами Visa, MasterCard, American Express, JCB и Discovery. Требования PCI DSS распространяются на все компании, работающие с платежными картами, причем в зависимости от вида деятельности и количества обрабатываемых транзакций каждой компании присваивается определенный «уровень», определяющий правила подтверждения их соответствия стандарту. Стандарт PCI DSS определяет 12 основных требований по безопасности, разбитых на шесть областей контроля: Построение и сопровождение защищенной сети, Защита данных держателей карт, Поддержка программы управления уязвимостями, Реализация мер по строгому контролю доступа, Регулярный мониторинг и тестирование сети, а также Поддержка политики информационной безопасности. Таким образом, в той или иной степени стандарт затрагивает множество подсистем ИБ, функции и логика развития которых не могут быть изменены произвольно, т.к. вытекают из долгосрочной стратегии развития системы ИБ организации и требований российской универсальной и отраслевой нормативной базы.
Сегодня внедрение PCI DSS стало одной из наиболее актуальных задач российской отрасли ИТ в связи с тем, что с сентября 2006 года платежная система Visa сделала его обязательным для региона CEMEA (Центральная Европа, Ближний Восток и Африка), к которому относится и Россия. Как известно, с осени 2010 года соответствие требованиям PCI DSS является обязательным, именно поэтому интерес российских компаний к внедрению этого стандарта вырос и приобрел практическую направленность.
Особо подчеркнем, что требованиям PCI DSS должны соответствовать не только банки (как считают многие кредитные организации, выступающие основными операторами транзакций по платежным картам), но и все участники цепочки карточных платежей – процессинговые центры, платежные шлюзы и торгово-сервисные предприятия. Кроме того, стандарт предусматривает ежегодные аудиторские проверки уже сертифицированных компаний, а также ежеквартальные сканирования безопасности их сетей. При этом банк-эквайер несет ответственность за все звенья пути прохождения транзакции в случае инцидентов нарушения ИБ вследствие невыполнения требований стандарта PCI DSS.
Открывая новое направление бизнеса, LETA IT-company планирует оказывать «под ключ» полный набор услуг, связанных с построением системы ИБ по требованиям PCI DSS. В частности, предусмотрены услуги предварительного аудита системы ИБ с целью выявления всех несоответствий стандарту, а также комплекс услуг по выполнению всего перечня технических и организационных мер, позволяющих устранить выявленные несоответствия и подготовиться к проведению сертификационного аудита на соответствие системы ИБ требованиям PCI DSS, а затем – пройти сертификацию.
Для заказчика единым центром ответственности за качество всех услуг PCI DSS является LETA IT-company. Однако в схему реализации заложен инновационный для российского рынка принцип разделения функций интегратора (компания LETA) и аудитора (российская компания Digital Security). Отметим, что Digital Security специализируется в этой сфере и имеет статус QSA (Qualified Security Assessor), необходимый для проведения сертификационного аудита PCI DSS. При этом оба партнера тесно взаимодействуют в ходе всего проекта. Так, при проведении предварительного и сертификационного аудита Digital Security выступает в качестве аудитора и консультанта по вопросам ИБ, а LETA IT-company – в качестве консультанта по организационно-техническим аспектам внедрения. В ходе внедрения компания Digital Security участвует вместе с заказчиком в процедурах промежуточного контроля. По мнению компаний LETA и Digital Security, такое сочетание централизации ответственности, разделения функций и интеграции рабочих процедур позволяет заказчикам быть уверенными, что проверка созданной системы ИБ на соответствие положениям стандарта будет максимально объективной, а не станет реализовываться по принципу формального подтверждения качества работы одного подразделения другим. Чтобы выполнить эти условия, компании LETA и Digital Security в сентябре 2009 года сформировали консорциум и за прошедшие полгода разработали регламенты совместной работы и внедрили все процедуры взаимодействия.
Созданию нового бизнес-направления LETA IT-company предшествовала значительная подготовительная работа. Так, в течение полутора лет компания целенаправленно наращивала компетенции по ИБ в финансовом секторе, причем значительные усилия были сконцентрированы именно на внедрении стандартов и требований нормативной базы. C начала 2008 года компания LETA участвует в проектах подготовки к сертификации в качестве эксперта и исполнителя работ по внедрению организационно-технических решений, устраняющих проблемы, выявленные в ходе предварительного аудита. В частности, был разработан пакет услуг по реализации требований стандарта PCI DSS и внедрению необходимых средств защиты. Этот опыт был использован при формировании полного пакета услуг в сфере PCI DSS. Важным этапом работы с финансовым сектором стало и вступление компании LETA в сообщество ABISS (Association for Banking Information Security Standards) в июле 2009 года.
«При внедрении PCI DSS, как и других сложных стандартов, привлечение разных исполнителей к выявлению проблем и их устранению – это основа, на которой базируется и уверенность заказчика в качестве результата, и возможность лучше контролировать весь ход работ, – говорит Илья Медведовский, директор компании Digital Security. – Оба шага требуют серьезной экспертизы в сфере PCI DSS и других областях ИБ, выверенного набора услуг и отлаженной технологии работы. Мы уверены, что компания LETA предлагает наилучший комплекс услуг по подготовке к сертификации PCI DSS, а наш консорциум станет для российских предприятий тем оптимальным механизмом, в котором принцип независимости исполнителей сочетается с высоким качеством сервиса, четкостью взаимодействия и минимумом головной боли».
«Наша компания накопила экспертизу практически во всех важнейших сегментах современного рынка ИБ, имеет отлаженную технологию создания и масштабного вывода на рынок соответствующих услуг, отработала процедуру запуска новых направлений. Теперь все это становится фундаментом для формирования портфелей сервисов с явной отраслевой привязкой, – говорит Андрей Конусов, генеральный директор LETA IT-company. – Этот фундамент позволяет наиболее эффективно увязать отраслевую специфику с общими тенденциями развития систем и технологий ИБ. А это принципиально важно, ведь решение практически любой крупной задачи, воздействуя на многие элементы ИБ, не должно нарушать ее работу как целостной системы. Это в полной мере относится к PCI DSS. Мы давно увидели перспективы этого направления и приступили к его формированию. И запускаем его именно сейчас, когда важность выполнения требований PCI DSS не вызывает сомнений уже у подавляющего числа участников рынка, а объявленные сроки еще оставляют время для реализации соответствующих проектов. Убежден, что консорциум с компанией Digital Security, специалисты которой имеют высочайшую квалификацию в сфере сертификационного аудита, полностью отвечает потребностям современного рынка ИБ».
О Digital Security
Digital Security (www.dsec.ru) – ведущая российская консалтинговая компания в области управления информационной безопасностью. Digital Security обладает статусом QSA и имеет ряд завершенных проектов в области подготовки и сертификации по стандарту PCI DSS.
В 2009 году компания Digital Security создала PCIDSS.RU – открытое Сообщество профессионалов в области стандарта безопасности данных индустрии платежных карт (PCI DSS), и с 2008 года обладает единственным в России и странах СНГ исследовательским центром в области информационной безопасности DSecRG, пользующимся международным признанием таких мировых лидеров индустрии информационных технологий, как Oracle, SAP, Apache, SUN, IBM, Alcatel и др. Исследовательский центр сотрудничает с Ассоциацией Российских членов Европей (АРЧЕ), регулярно публикуя на закрытом форуме Ассоциации уязвимости, обнаруженные в процессе исследовательской деятельности в банк-клиентах основных российских производителей, таких как BSS, INIST, R-Style InterBank.
О LETA IT-company
LETA IT-company (www.leta.ru) – первый российский оператор типизированных ИТ-услуг, обеспечивающий заказчикам комплексные решения в области информационной безопасности. LETA IT-company является лидером российского рынка защиты от утечек информации (по данным обозрения CNews «Защита информации и бизнеса от инсайдеров 2007») и занимает 3 место среди крупнейших ИТ-компаний России в сфере защиты информации (по итогам рейтинга CNews Security 2007 в рамках обзора «Средства защиты информации и бизнеса 2008»).
За дополнительной информацией обращайтесь:
Мария Кузнецова
Тел: +7 (495) 921 1410
E-mail: MKuznetsova@leta.ru