Тест на проникновение: Совет PCI SSC встал на пути халтуры

Как было отмечено в прошлой заметке о серьезном ужесточении позиции Совета PCI в отношении качества проводимого аудита: "Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами с целью поиска критичных нарушений, за которые последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия".

Для заказчика это означает, что не стоит считать, что если приглашать всегда одного и того же QSA, то таким образом можно всегда скрывать те или иные несоответствия (если предположить, что QSA пошел на сговор с клиентом, и закрыл глаза на сознательное нарушение требований стандарта или, что еще скорее, он просто не обладает достаточной квалификацией).

В частности, применительно к пентестам следует ОСОБО обратить внимание на следующие ставшие теперь крайне критичными нарушения:

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

Это означает, что теперь заказчикам стоит обратить самое пристальное внимание на порочную практику, когда для псевдо удешевления стоимости проекта вместо квалифицированных пентестеров они пользуются услугами непрофессионалов, в том числе, к сожалению, иногда по недоразумению, обладающих даже статусом QSA.

Подобные «пентестеры», прикрываясь своим статусом как щитом, идут на откровенное нарушение приведенных выше принципов, ЗАВЕДОМО выдавая за пентест обычный отчет сканера, являющийся всего лишь автоматизированной проверкой (необходимость которой описана в другом требовании стандарта)!

Теперь такая, ставшая, к сожалению, в последнее время у многих заказчиков достаточно типовой, порочная практика проведения дешевого (только для формального соблюдения требования стандарта), но неквалифицированного пентеста (по сути, автоматизированного сканирования) становится КРАЙНЕ накладной не только для QSA (который потеряет статус), но и, что самое главное, для заказчика - он немного сэкономит, но потеряет и Сертификат Соответствия, и репутацию.

Заказчикам следует обратить пристальное внимание на качество и стоимость пентеста. В данном случае или качественно, или дешево - третьего здесь не дано.

"Опасайтесь подделок!".