28.06.2008

Сертификация продукта по требованиям PCI DSS. Бред или очередной маркетинговый ход?!

Начну с предистории: Когда-то лаборатория NSS блистала на рынке сетевой безопасности, предложив независимую оценку и сертификацию средств предотвращения атак. Однако рынок этот достаточно узкий, да и интерес к сетевой безопасности постепенно угасает, сдавая позиции прикладной безопасности, теме compliance, стандартой и т.д. Но зарабатывать как-то надо и поэтому NSS стала расширять спектр своей деятельности - она ввела сертификацию Web Application Firewall, UTM, средств защиты контента.

И вот недавно NSS объявила о том, что она будет проверять соответствие (сертифицировать) различных технологических продуктов требованиям стандарта PCI DSS. Учитывая интерес к данному стандарту и его обязательность для многих, ход правильный, но... Если посмотреть на текущую версию PCI DSS 1.1, то мы увидим, что несмотря на его технологичность, он не является продуктовым. Мы не можем сказать, что один продукт соответствует требованиям стандарта PCI DSS. С точки зрения безопасности и здравого смысла это нонсенс. Максимум на что мы можем рассчитывать, это "наш продукт помогает выполнить требования x стандарта PCI DSS".

Однако маркетинг, есть маркетинг... Поэтому к тесту Антона Чувакина "Вы идиот безопасности, если..." можно добавить 9-ый вопрос: "вы считаете, что продукт может выполнить требования PCI DSS".

6 коммент.:

Дмитрий Вострецов комментирует...

Маркетинговый ход.
Но это не мешает вендорам, тем же Cisco, Novell и т.д., выпускать гайды о соответствии их продуктов требованиям PCI DSS (точнее функций продуктов).
Ну в NSS решили не ждать вендоров.

arkanoid комментирует...

Ну вроде того, да. Я давно обращаю внимание, что пара простых функций в генераторе репортов называется "pci dss compliance tool". Ну да чорт с ней.

Алексей Лукацкий комментирует...

Но это не мешает вендорам, тем же Cisco, Novell и т.д., выпускать гайды о соответствии их продуктов требованиям PCI DSS (точнее функций продуктов)

Не совсем так. Мы не выпускаем таких гайдов. Мы выпускаем гайды, как можно выполнить некоторые требования PCI DSS с помощью наших продуктов. Почувствуйте разницу, как говорится ;-)

Когда я говорю, что три десятка наших продуктов по ИБ помогают выполнять порядка 160 требований PCI DSS, то это малость отличается от заявления "наш продукт соответствует PCI DSS".

Дмитрий Вострецов комментирует...

Вы правы, Алексей, не очень внимательно смотрел эти гайды. Сухой остаток - NSS просто хочет денег.

Анонимный комментирует...

думаю, та же история и с ISO и некоторыми другими стандартами

Вячеслав

Алексей Лукацкий комментирует...

Ну смотря какие ISO. Тот же 15408 в чистом виде подразумевает сертификацию продуктов.