Когда вы имеете дело с соответствием PCI DSS, часто используются термины QSA и QSAC. Так что они?
Это хороший вопрос, потому что термин «QSA» может относиться как минимум к трем связанным вещам. Сам термин QSA означает «квалифицированный специалист по безопасности», который является квалификацией, выданной Советом по стандартам безопасности PCI. Обратите внимание: квалификация называется оценщиком, а не аудитором.
Мы часто используем термин QSA для обозначения как отдельных людей, имеющих квалификацию QSA, так и компании, в которой они работают. Точнее, мы должны использовать QSA для обозначения человека и QSAC (компания QSA) для обозначения его работодателя.
Что делают QSA?
Основная роль QSA заключается в проведении на местах оценки продавцов и поставщиков услуг по стандарту PCI DSS. Согласно правилам брендов карт, компании уровня 1 должны ежегодно проводить оценку PCI на месте. В зависимости от марки карты вам может потребоваться использовать QSA для проведения этой оценки, или это может быть просто то, что вам настоятельно рекомендуется сделать.
Любая компания, от которой требуется проводить ежегодную оценку PCI (фактически, любая компания), может заключить договор с QSAC и пройти полный аудит на месте, а не просто заполнить анкету для самооценки. Просто из-за нехватки средств и времени большинство компаний уровней 2, 3 и 4 будут следовать маршруту опроса самооценки. В результате QSA тратят большую часть своего времени на оценку компаний уровня 1.
Хотя основной целью квалификации QSA является проведение оценки, это еще не все, что делают эти квалифицированные специалисты. QSA получают значительную подготовку в экосистеме PCI, а также имеют обширный опыт различных способов решения проблем, возникающих из-за времени, которое они проводят на месте с клиентами. Таким образом, PCI QSA оказывается востребованным при консультациях с компаниями, которые либо уже подпадают под действие PCI DSS, либо переходят в это пространство.
PCI QSA обучены понимать PCI DSS и принципы работы стандарта. Но поскольку результаты их работы регулярно проверяются брендами карт, они также приобретают опыт в некоторых аспектах работы этих брендов карт. Это особенно актуально, когда речь идет о работе программ защиты информации о брендах карт, таких как Mastercard SDP и Visa CISP.
Что мне нужно, чтобы стать QSA?
Существуют различные требования, чтобы получить квалификацию QSA. Они подробно описаны в официальном руководстве PCI DSS Qualification Requirements for Qualified Security Assessors, но вкратце изложены здесь.
Первый в некоторой степени похож на курицу и яйцо: чтобы иметь право на получение или продление квалификации QSA, вы должны работать в компании QSA (QSAC). Как получить работу в QSAC, чтобы быть QSA, если вы еще не QSA? Удача и настойчивость; начать низко прицелиться высоко; …?
Предполагая, что вы работаете в QSAC, вы преодолели серьезное препятствие.
Однако есть еще две важные предпосылки. Вы должны иметь признанный сертификат управления информационной безопасностью и признанный сертификат аудита. Раньше вам требовался только один из них, чтобы иметь право на обучение QSA, но в 2017 году Совет по стандартам безопасности PCI изменил правила, чтобы требовать по одному из каждого типа.
Помимо требований к профессиональной сертификации, существуют также требования к профессиональному опыту. Для практических целей это обычно не будет проблемой для большинства подходящих кандидатов, потому что аналогичные требования к опыту существуют как предварительные условия и для этих профессиональных сертификатов. Любой, кто имеет профессиональные сертификаты, скорее всего, уже имеет практический опыт.
Однако Совет по стандартам безопасности PCI прямо запрашивает один год опыта, охватывающий все следующие дисциплины информационной безопасности, и один год, охватывающий все эти дисциплины аудита.
Помимо этого, требования очень похожи на то, что требуется для получения большинства профессиональных сертификатов:
Какое постоянное обучение проходят QSA?
Люди, которые являются QSA, должны проходить ежегодное обучение, проводимое советом по стандартам безопасности PCI. Это делается для того, чтобы их знания о PCI DSS и его интерпретации оставались актуальными. Это обучение проводится на ежегодной основе, но помимо этого существует также ряд других мероприятий, которые QSA должен выполнить для поддержания своего статуса QSA.
Чтобы сохранить свои учетные данные QSA, QSA должны ежегодно проводить определенное количество часов учебной деятельности, о чем сообщается Совету по стандартам безопасности PCI. Они известны как кредиты CPE для продолжения профессионального образования и измеряются в часах. Ежегодно QSA должен зарабатывать не менее 20 часов CPE, а в скользящем трехлетнем цикле они должны составлять 120 часов CPE. В среднем это 40 часов в год, что является значительным мероприятием.
Как профессионалы в области ИТ-безопасности, QSA также должны поддерживать свои существующие сертификаты, чтобы оставаться QSA. Эти существующие полномочия предъявляют свои собственные требования к непрерывному профессиональному образованию. Например, как (ISC) 2 CISSP (сертификация ИТ-безопасности), так и ISACA CISA (аудиторская сертификация) требуют, чтобы вы заработали 120 часов CPE за 3 года.
К счастью, многие из этих сертификатов согласованы с требованиями CPE, так что один и тот же час может использоваться в качестве квалификационного кредита для нескольких сертификатов. В противном случае это было бы просто невозможно, поскольку и квалификация QSA, и два профессиональных сертификата требовали в среднем 40 часов непрерывного образования в год - это было бы 3 рабочих недели в год!
Срок действия квалификации QSA истекает?
Да, квалификация QSA может истечь и истекает. Квалификация QSA предоставляется в течение трехлетнего цикла, после чего проводится повторная аттестация. Это одна из причин, по которой необходимо заработать 120 часов CPE за трехлетний период - именно во время переквалификации проводится проверка, чтобы убедиться, что вы сохранили свое право на участие в течение этого времени.
Проработав 3 года QSA, вы проходите переквалификацию и дополнительный экзамен, который гарантирует, что вы в курсе последней версии стандарта PCI DSS. Если вы не завершите это обучение успешно, а также продемонстрируете, что выполнили другие требования, то вы больше не QSA.
Помимо истечения срока действия квалификации QSA, ее также можно приостановить. Если вы не сдадите какой-либо из экзаменов, проводимых Советом по стандартам безопасности PCI, вам больше не разрешается выполнять или проводить оценки PCI DSS. Так будет до тех пор, пока вы не сдадите экзамен, который вы провалили.
Это хороший вопрос, потому что термин «QSA» может относиться как минимум к трем связанным вещам. Сам термин QSA означает «квалифицированный специалист по безопасности», который является квалификацией, выданной Советом по стандартам безопасности PCI. Обратите внимание: квалификация называется оценщиком, а не аудитором.
Мы часто используем термин QSA для обозначения как отдельных людей, имеющих квалификацию QSA, так и компании, в которой они работают. Точнее, мы должны использовать QSA для обозначения человека и QSAC (компания QSA) для обозначения его работодателя.
Что делают QSA?
Основная роль QSA заключается в проведении на местах оценки продавцов и поставщиков услуг по стандарту PCI DSS. Согласно правилам брендов карт, компании уровня 1 должны ежегодно проводить оценку PCI на месте. В зависимости от марки карты вам может потребоваться использовать QSA для проведения этой оценки, или это может быть просто то, что вам настоятельно рекомендуется сделать.
Любая компания, от которой требуется проводить ежегодную оценку PCI (фактически, любая компания), может заключить договор с QSAC и пройти полный аудит на месте, а не просто заполнить анкету для самооценки. Просто из-за нехватки средств и времени большинство компаний уровней 2, 3 и 4 будут следовать маршруту опроса самооценки. В результате QSA тратят большую часть своего времени на оценку компаний уровня 1.
Хотя основной целью квалификации QSA является проведение оценки, это еще не все, что делают эти квалифицированные специалисты. QSA получают значительную подготовку в экосистеме PCI, а также имеют обширный опыт различных способов решения проблем, возникающих из-за времени, которое они проводят на месте с клиентами. Таким образом, PCI QSA оказывается востребованным при консультациях с компаниями, которые либо уже подпадают под действие PCI DSS, либо переходят в это пространство.
PCI QSA обучены понимать PCI DSS и принципы работы стандарта. Но поскольку результаты их работы регулярно проверяются брендами карт, они также приобретают опыт в некоторых аспектах работы этих брендов карт. Это особенно актуально, когда речь идет о работе программ защиты информации о брендах карт, таких как Mastercard SDP и Visa CISP.
Что мне нужно, чтобы стать QSA?
Существуют различные требования, чтобы получить квалификацию QSA. Они подробно описаны в официальном руководстве PCI DSS Qualification Requirements for Qualified Security Assessors, но вкратце изложены здесь.
Первый в некоторой степени похож на курицу и яйцо: чтобы иметь право на получение или продление квалификации QSA, вы должны работать в компании QSA (QSAC). Как получить работу в QSAC, чтобы быть QSA, если вы еще не QSA? Удача и настойчивость; начать низко прицелиться высоко; …?
Предполагая, что вы работаете в QSAC, вы преодолели серьезное препятствие.
Однако есть еще две важные предпосылки. Вы должны иметь признанный сертификат управления информационной безопасностью и признанный сертификат аудита. Раньше вам требовался только один из них, чтобы иметь право на обучение QSA, но в 2017 году Совет по стандартам безопасности PCI изменил правила, чтобы требовать по одному из каждого типа.
Однако Совет по стандартам безопасности PCI прямо запрашивает один год опыта, охватывающий все следующие дисциплины информационной безопасности, и один год, охватывающий все эти дисциплины аудита.
| Дисциплины информационной безопасности | Аудиторские дисциплины |
|---|---|
| Безопасность приложений | Аудит ИТ-безопасности |
| Безопасность информационных систем | Оценка рисков информационной безопасности или управление рисками |
| Сетевая безопасность |
Помимо этого, требования очень похожи на то, что требуется для получения большинства профессиональных сертификатов:
- пройти соответствующие проверки биографических данных в соответствии с политикой QSAC
- владеть знаниями PCI DSS и применимыми документами на веб-сайте PCI SSC
- пройти ежегодное обучение сотрудников QSA и сдать все необходимые экзамены
- согласны соблюдать Кодекс профессиональной ответственности PCI SSC
Какое постоянное обучение проходят QSA?
Люди, которые являются QSA, должны проходить ежегодное обучение, проводимое советом по стандартам безопасности PCI. Это делается для того, чтобы их знания о PCI DSS и его интерпретации оставались актуальными. Это обучение проводится на ежегодной основе, но помимо этого существует также ряд других мероприятий, которые QSA должен выполнить для поддержания своего статуса QSA.
Чтобы сохранить свои учетные данные QSA, QSA должны ежегодно проводить определенное количество часов учебной деятельности, о чем сообщается Совету по стандартам безопасности PCI. Они известны как кредиты CPE для продолжения профессионального образования и измеряются в часах. Ежегодно QSA должен зарабатывать не менее 20 часов CPE, а в скользящем трехлетнем цикле они должны составлять 120 часов CPE. В среднем это 40 часов в год, что является значительным мероприятием.
Как профессионалы в области ИТ-безопасности, QSA также должны поддерживать свои существующие сертификаты, чтобы оставаться QSA. Эти существующие полномочия предъявляют свои собственные требования к непрерывному профессиональному образованию. Например, как (ISC) 2 CISSP (сертификация ИТ-безопасности), так и ISACA CISA (аудиторская сертификация) требуют, чтобы вы заработали 120 часов CPE за 3 года.
К счастью, многие из этих сертификатов согласованы с требованиями CPE, так что один и тот же час может использоваться в качестве квалификационного кредита для нескольких сертификатов. В противном случае это было бы просто невозможно, поскольку и квалификация QSA, и два профессиональных сертификата требовали в среднем 40 часов непрерывного образования в год - это было бы 3 рабочих недели в год!
Срок действия квалификации QSA истекает?
Да, квалификация QSA может истечь и истекает. Квалификация QSA предоставляется в течение трехлетнего цикла, после чего проводится повторная аттестация. Это одна из причин, по которой необходимо заработать 120 часов CPE за трехлетний период - именно во время переквалификации проводится проверка, чтобы убедиться, что вы сохранили свое право на участие в течение этого времени.
Проработав 3 года QSA, вы проходите переквалификацию и дополнительный экзамен, который гарантирует, что вы в курсе последней версии стандарта PCI DSS. Если вы не завершите это обучение успешно, а также продемонстрируете, что выполнили другие требования, то вы больше не QSA.
Помимо истечения срока действия квалификации QSA, ее также можно приостановить. Если вы не сдадите какой-либо из экзаменов, проводимых Советом по стандартам безопасности PCI, вам больше не разрешается выполнять или проводить оценки PCI DSS. Так будет до тех пор, пока вы не сдадите экзамен, который вы провалили.
