Квалифицированный оценщик безопасности
Квалифицированный оценщик безопасности (англ. Qualified Security Assessor, QSA) — это физическое лицо или организация, сертифицированная Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC) для проведения аудитов и оценки соответствия организаций требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). Основная функция QSA заключается в независимой проверке и подтверждении того, что компания, обрабатывающая, хранящая или передающая данные держателей платежных карт, соблюдает установленные меры защиты информации.
История возникновения
Стандарт PCI DSS был разработан в 2004 году международными платежными системами Visa, Mastercard, American Express, Discover и JCB для унификации требований к защите данных держателей карт. Для обеспечения независимого контроля за соблюдением стандарта был создан Совет по стандартам безопасности индустрии платежных карт (PCI SSC), который с 2006 года начал программу сертификации квалифицированных оценщиков безопасности. Первые QSA появились в 2007 году, когда PCI SSC утвердил список аккредитованных компаний и их сотрудников.
Изначально программа была ориентирована на крупные компании, обрабатывающие более 6 миллионов транзакций в год (уровень 1 PCI DSS), которым требовался обязательный ежегодный аудит. Со временем требования распространились на более мелкие организации, хотя для уровней 2-4 допускается самостоятельная оценка (Self-Assessment Questionnaire, SAQ) без привлечения QSA.
Требования к сертификации
Для организаций
Чтобы стать аккредитованной QSA-компанией, организация должна соответствовать ряду критериев, установленных PCI SSC:
- Наличие не менее двух штатных сотрудников, успешно сдавших экзамен на звание QSA.
- Демонстрация опыта в области информационной безопасности и аудита (не менее 5 лет для ключевых специалистов).
- Отсутствие конфликта интересов: компания не должна одновременно предоставлять услуги по внедрению средств защиты информации и проводить аудит у одного и того же клиента.
- Прохождение ежегодного пересмотра квалификации и оплата взносов.
Для физических лиц
Кандидат на получение статуса QSA должен:
- Иметь высшее образование в области информационных технологий, информационной безопасности или смежных дисциплин.
- Обладать сертификатами, признаваемыми PCI SSC (например, CISSP, CISA, CISM или эквивалентными).
- Пройти официальный тренинг PCI SSC (обычно 5-дневный курс).
- Сдать письменный экзамен, состоящий из 100 вопросов, с минимальным проходным баллом 80%.
- Ежегодно подтверждать квалификацию путем сдачи обновленного экзамена и прохождения дополнительных курсов по новым версиям стандарта.
Обязанности и процесс аудита
Основная задача QSA — проведение аудита соответствия (Report on Compliance, ROC) и выдача сертификата о соответствии (Attestation of Compliance, AoC). Процесс включает несколько этапов:
- Планирование и сбор информации: QSA изучает документацию клиента, определяет границы аудита (scope), выявляет системы, обрабатывающие данные карт.
- Оценка рисков: Анализируются угрозы и уязвимости, характерные для конкретной среды (например, облачные сервисы, локальные сети, мобильные приложения).
- Тестирование мер защиты: Проверка выполнения 12 основных требований PCI DSS, включая:
- Установка межсетевых экранов и сегментация сети.
- Шифрование данных карт при хранении и передаче.
- Управление доступом и аутентификация.
- Мониторинг и тестирование систем безопасности.
- Разработка политик информационной безопасности.
- Выдача отчета: Составляется детальный ROC, в котором фиксируются несоответствия (gaps) и рекомендации по их устранению. При полном соответствии выдается AoC.
QSA не имеет права навязывать конкретные решения или продукты — его роль ограничивается проверкой факта выполнения требований. Если в ходе аудита выявлены нарушения, клиент обязан устранить их в установленный срок (обычно до 90 дней) для получения сертификата.
Ограничения и независимость
Ключевое условие работы QSA — соблюдение принципа независимости. Организация не может одновременно выступать в роли аудитора и поставщика услуг по внедрению систем безопасности (например, установке межсетевых экранов или разработке политик). Это правило закреплено в уставе PCI SSC и направлено на предотвращение конфликта интересов. Нарушение данного принципа влечет за собой отзыв сертификации.
QSA также не может проводить аудит собственной организации или ее аффилированных структур. Для обеспечения объективности PCI SSC регулярно проводит выборочные проверки отчетов, поданных QSA, и может аннулировать сертификат при обнаружении систематических нарушений.
Критика и ограничения
Несмотря на широкое распространение, система QSA подвергается критике со стороны экспертов по информационной безопасности. Основные претензии:
- Формализм: Аудит часто сводится к проверке бумажной документации, а не реальной безопасности систем. Некоторые компании проходят сертификацию, но продолжают допускать утечки данных (например, взломы Target в 2013 году и Equifax в 2017 году происходили в компаниях, имевших действующий сертификат PCI DSS).
- Стоимость: Услуги QSA-компаний стоят от 50 000 до 500 000 долларов США в зависимости от масштаба бизнеса, что делает их недоступными для малого и среднего предпринимательства.
- Ограниченная ответственность: QSA несет ответственность только перед PCI SSC, а не перед клиентом или третьими лицами. В случае утечки данных после успешного аудита QSA не компенсирует убытки.
- Субъективность: Разные QSA могут по-разному трактовать одни и те же требования стандарта, что приводит к неравномерному уровню защиты.
В ответ на критику PCI SSC периодически обновляет стандарт (последняя версия — PCI DSS v4.0, выпущенная в 2022 году, с переходным периодом до 2024 года), ужесточая требования к документированию и тестированию.
Альтернативы и развитие
Для организаций, не обязанных проходить аудит QSA, существуют альтернативные механизмы оценки:
- Self-Assessment Questionnaire (SAQ): Самостоятельная оценка, доступная для компаний с малым объемом транзакций (уровни 2-4).
- Internal Security Assessor (ISA): Сертифицированный внутренний специалист, который может проводить оценку без привлечения внешнего QSA, но только для своей организации.
- Approved Scanning Vendor (ASV): Организации, уполномоченные проводить внешнее сканирование уязвимостей (не путать с QSA).
С развитием облачных технологий и платежных сервисов (например, Apple Pay, Google Pay) роль QSA может измениться: все больше компаний передают обработку данных карт сторонним провайдерам, что сокращает scope аудита. Кроме того, PCI SSC разрабатывает новые стандарты для программного обеспечения (PCI Software Security Framework) и терминалов (PCI PTS), что может потребовать появления новых типов сертифицированных оценщиков.
Источники
- Официальный сайт PCI Security Standards Council (pcisecuritystandards.org)
- Стандарт PCI DSS v4.0, раздел «Роль Qualified Security Assessor»
- Публикации Национального института стандартов и технологий (NIST) по оценке соответствия
- Материалы конференций RSA и Black Hat по критике PCI DSS (2014-2023 гг.)
- Отчеты о расследованиях утечек данных компаний Target (2013) и Equifax (2017)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →