Pages - Menu

Страницы

28.6.08

Сертификация продукта по требованиям PCI DSS. Бред или очередной маркетинговый ход?!

Начну с предистории: Когда-то лаборатория NSS блистала на рынке сетевой безопасности, предложив независимую оценку и сертификацию средств предотвращения атак. Однако рынок этот достаточно узкий, да и интерес к сетевой безопасности постепенно угасает, сдавая позиции прикладной безопасности, теме compliance, стандартой и т.д. Но зарабатывать как-то надо и поэтому NSS стала расширять спектр своей деятельности - она ввела сертификацию Web Application Firewall, UTM, средств защиты контента.

И вот недавно NSS объявила о том, что она будет проверять соответствие (сертифицировать) различных технологических продуктов требованиям стандарта PCI DSS. Учитывая интерес к данному стандарту и его обязательность для многих, ход правильный, но... Если посмотреть на текущую версию PCI DSS 1.1, то мы увидим, что несмотря на его технологичность, он не является продуктовым. Мы не можем сказать, что один продукт соответствует требованиям стандарта PCI DSS. С точки зрения безопасности и здравого смысла это нонсенс. Максимум на что мы можем рассчитывать, это "наш продукт помогает выполнить требования x стандарта PCI DSS".

Однако маркетинг, есть маркетинг... Поэтому к тесту Антона Чувакина "Вы идиот безопасности, если..." можно добавить 9-ый вопрос: "вы считаете, что продукт может выполнить требования PCI DSS".

6 комментариев:

  1. Дмитрий Вострецов30 июня 2008 г. в 10:28

    Маркетинговый ход.
    Но это не мешает вендорам, тем же Cisco, Novell и т.д., выпускать гайды о соответствии их продуктов требованиям PCI DSS (точнее функций продуктов).
    Ну в NSS решили не ждать вендоров.

    ОтветитьУдалить
  2. arkanoid30 июня 2008 г. в 12:27

    Ну вроде того, да. Я давно обращаю внимание, что пара простых функций в генераторе репортов называется "pci dss compliance tool". Ну да чорт с ней.

    ОтветитьУдалить
  3. Алексей Лукацкий30 июня 2008 г. в 20:42

    Но это не мешает вендорам, тем же Cisco, Novell и т.д., выпускать гайды о соответствии их продуктов требованиям PCI DSS (точнее функций продуктов)

    Не совсем так. Мы не выпускаем таких гайдов. Мы выпускаем гайды, как можно выполнить некоторые требования PCI DSS с помощью наших продуктов. Почувствуйте разницу, как говорится ;-)

    Когда я говорю, что три десятка наших продуктов по ИБ помогают выполнять порядка 160 требований PCI DSS, то это малость отличается от заявления "наш продукт соответствует PCI DSS".

    ОтветитьУдалить
  4. Дмитрий Вострецов1 июля 2008 г. в 11:18

    Вы правы, Алексей, не очень внимательно смотрел эти гайды. Сухой остаток - NSS просто хочет денег.

    ОтветитьУдалить
  5. Анонимный1 июля 2008 г. в 13:43

    думаю, та же история и с ISO и некоторыми другими стандартами

    Вячеслав

    ОтветитьУдалить
  6. Алексей Лукацкий1 июля 2008 г. в 14:34

    Ну смотря какие ISO. Тот же 15408 в чистом виде подразумевает сертификацию продуктов.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.