Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Как выбрать квалифицированного аудитора систем безопасности?

Задача выбора квалифицированного аудитора систем безопасности - Qualified Security Assessor (QSA) возникает у украинских компаний в связи с внедрением требований стандарта защиты информации в индустрии платежных карт (Payment Card Industry Data Security Standard - PCI DSS). На сегодняшний день вУкраине представлены несколько компаний, которые имеют право предоставлять услуги аудита и сертифицировать предприятия на соответствие требованиям стандарта PCI DSS.

Предлагаем несколько советов по выбору квалифицированного аудитора систем безопасности (QSA) из опыта американских специалистов по управлению информационными рисками. Рассмотрен пример реального тендера по выбору квалифицированного аудитора систем безопасности (QSA) на проведение сертификации по PCI DSS.

1. Тщательно подготовьте запрос на коммерческое предложение (Request for Proposal –RFP).

Постарайтесь максимально точно определить ожидания от участников тендера. Таким образом, когда вы получите ответы на свой запрос, вы сможете быстро классифицировать и распределить квалифицированных аудиторов систем безопасности (QSA)на своеобразные категории: на тех кто не тратил время на всестороннюю проработку предложения (и, следовательно, не понимает суть запроса в целом) и на тех, кто действительно прочитал его, а значит понимают ваши нужды и требования.

Перед тем как получить ответы от участников тендера проведите со всеми участниками телеконференцию, во время которой разрешите всем участникам задавать вам вопросы. Интересно, что после первых 4 участников (из 12) вопросы иссякнут. Предполагаем, что остальные участники просто намеревались задать точно такие же вопросы, как и первая четверка. Кроме того, телеконференция, вероятней всего, пугает некоторых участников, так как им предстоит высказываться перед конкурентами. Также они прекрасно отдают себе отчет в том, что заказчик хорошо разбирается в требованиях стандарта PCI DSS и у них не получится продать некачественную услугу.

2. Указывайте минимальные требования к опыту работы для персонала подрядчика, который непосредственно будет выполнять работы в рамках проекта.

Совет по стандартам безопасности в индустрии платежных карт (Payment Card Industry Security Standards Council - PCI SSC) выдвигает минимальные требования к квалифицированному аудитору систем безопасности. Вам нужно руководствоваться этими требованиями к компаниям со статусом QSA и настаивать на этом при переговорах с ними. Например, Вам нужен квалифицированный аудитор систем безопасности с опытом работы от 5 до 7 лет в сфере именно информационной безопасности, а не аудита.

Кроме того, мы хотим заполучить сертифицированного специалиста, например, с сертификатом Общества профессионалов по безопасности платежных систем. И, наконец, мы хотим получить компанию-аудитора уже проводившую консультации и анализ в области платежных систем, скажем, не менее 2 лет. Некоторые компании- аудиторы систем безопасности будут препятствовать выдвижению подобных требований, но это ведь ваш тендер и вы его играете по своим правилам, с учетом требований к персоналу подрядчика.

3. Требуйте резюме на специалистов.

Требуйте от компании-аудитора предоставить резюме на специалистов, которые будут выполнять работу в рамках проекта. Таким образом, всегда будет возможность повлиять на них через профессиональную гордость или как-либо еще в ваших интересах.

4. Проводите интервью со специалистом (или группой), которую вам предлагает потенциальный подрядчик для выполнения проекта.

Как правило, менеджер по продаже услуг или персональный менеджер компании-аудитора может отказать в подобных запросах, что естественно должно означать для вас красный сигнал светофора. Серьезные компании-аудиторы со статусом QSA не должны иметь проблем с удовлетворением этой просьбы. Если же участник тендера затягивает с интервью даже после объявления его победителем, тогда запросите интервью с другой командой перед началом работ по проекту. В любом случае вам должна подходить выбранная команда, предоставленная компанией-аудитором.

5. Утверджайте расчеты и оценки.

Убедитесь в том, что оценки и расчеты, предоставленные компанией-аудитором, являются реалистичными – это совместная ответственность заказчика и компании-аудитора. Обычно, данное положение недостаточно акцентируется. Некоторые компании-аудиторы занижают стоимость требуемых человеко-часов, стремясь выглядеть привлекательнее с финансовой точки зрения или же в результате предоставляют неполный или недетальный отчет.

Конечно, каждая компания со статусом QSA уникальна и ее отчеты будут отличаться от другой. Несмотря на это, не брезгуйте еще одной парой глаз (ваших собственных), чтобы проверить реалистичность предоставленных расчетов. Также рекомендуем дважды проверять количество времени, отведенное на подготовку документации. Станьте сторонником подробной и исчерпывающей документации. Однако, если ваш подрядчик не применяет согласованные форматы документов и не уделяет должного внимания подготовке понятной для вас документации – очевидно, что это тема отдельной статьи, как поступать в подобных случаях.

6. Отзывы.

Просите компанию-аудитора предоставить отзывы о своей работе от других заказчиков. И помните, что участник тендера вряд ли предоставит отзывы от неудовлетворенных клиентов. Чтобы максимально точно определить с кем имеете дело, опросите довольных клиентов о своевременности, качестве, деловых качествах и навыках команды аудиторов.

Также, желательно собрать информацию от клиентов данной компании-аудитора, которые либо заняты в том де сегменте рынка, что и ваша компания, либо их продажи находятся на примерно одинаковом с вами уровне (обычно это требование уже должно быть включено в запрос на коммерческое предложение – например, что компания-соискательуже выполняла подобные работы по аудиту в данной отрасли или для компаний в ланом сегменте рынка).

7. Формальные отзывы о работе квалифицированного аудитора систем безопасности (QSA Feedback Forms).

Сообщите всем участникам тендера о своем намерении официально уведомить консорциум PCI SSC о результатах работы с компанией-аудитором. Для этой цели заполните после выполнения работ специальную форму-отзыв (сдесь) и отправьте в консорциум PCI SSC. Выбранная нами компания- аудитор систем информационной безопасности не предоставила такую форму и мы долго решали вопрос предоставлять ли им отзыв, направленный уже напрямую в PCI SSC.

8. Ознакомьтесь с Соглашением и Требованиями к компании-аудитору систем информационной безопасности.

Вам следует получить разъяснения от аудиторов систем информационной безопасности, которые нарушают эти два документа. Мы, например, так и поступили и таким образом исключили сразу несколько компаний из рассмотрения. Эти документы находятся тут, тут и тут.

В заключение отметим, что с одной стороны рынок услуг PCI SSC и в частности институт аудиторов систем информационной безопасности (Qualified Security Assessors –QSA) только выиграет, если потребители услуг по сертификации на соответствие PCI DSS и собственно аудиторов будут больше осведомлены в этой области. Потребители должны осознать, что они обладают ресурсами для оказания влияния на процесс выбора компании-подрядчика,а также имеют возможность обратной связи с PCI SSC, что в свою очередь помогает адекватно оценить самих аудиторов систем информационной безопасности и их сообщество в целом. Keywords: PCI DSS, PCI SSC, QSA, аудитор информационной безопасности, компания-аудитор.