PCI DSS является обязательным стандартом для платежных систем Visa и MasterCard, используемых в банках. Поэтому аудит для получения сертификата на соответствие PCI DSS является обязательным для банков. Следует учитывать, что такому аудиту подвергаются только системы, имеющие отношение к хранению, обработке и передаче данных о банковских картах.

СТО БР ИББС — рекомендательный стандарт, предназначенный для банков и кредитных организаций. Требования стандарта для банков не обязательны и относятся, в основном, к организационным вопросам обеспечения безопасности. Стандарт не определяет технические аспекты обеспечения безопасности. Если говорить о таких угрозах, как хакерские атаки или противодействие мошенническим операциям в системах дистанционного банковского обслуживания, выполнение или невыполнение требований стандарта слабо сказывается на защищенности информационных систем банка. В числе наиболее серьезных недостатков стандарта следует отметить чрезвычайную расплывчатость его требований и отсутствия однозначных критериев оценки его выполнения. В целом данный стандарт можно рассматривать как «дорожную карту», позволяющую руководству банка оценивать, насколько полно мероприятия по обеспечению информационной безопасности охватывают различные аспекты деятельности банка, но не позволяющую оценить качество реализаций этих мероприятий.

ISO 27001 — международный стандарт по управлению информационной безопасностью. ISO 27001 вместе со своим «братом» ISO 27002 — это настоящий best practice в области информационной безопасности и handbook для менеджера по безопасности. ISO 27001 не привязан к конкретной отрасли — большинство требований могут (и должны!) быть выполнены в любых компаниях. Областью действия стандарта может быть, например, один из важных процессов компании. Поскольку данный стандарт не является обязательным в России, аудит на соответствие нему компании могут проходить по собственному желанию. Вместе с тем, получения этого сертификата показывает, что компания серьезно относится к безопасности и заботится о своих клиентах и контрагентах, что повышает ее репетиционную привлекательность.

Все перечисленные стандарты во многом пересекаются, однако имеют некоторые отличия. В первую очередь, PCI DSS является намного более техническим. Соответственно, если для выполнения многих требований СТО БР и ISO 27001 владелец системы может выбрать разные меры, требования PCI DSS часто должны быть выполнены точно в соответствии со стандартом. С одной стороны, это уменьшает пространство для маневра, с другой – реализация требований становится более понятной и однозначной.

Для реализации ISO 27001 и СТО БР владелец системы должен сам определить, какие меры он будет применять и доказать аудитору, что эти меры достаточны для снижения существующих рисков.

Соответственно, аудит по PCI DSS отличается более стандартным методологическим подходом (аудитор, как правило, точно знает, каких техническим мер ожидать и как он будет их проверять). В процессе аудита на соответствие ISO 27001 и СТО БР проверяется не только эффективность предлагаемых мер, но и способность этих мер снижать риски до приемлемого уровня.

Кроме этого, все перечисленные стандарты содержат достаточное количество организационных требований, которые выполняются только при наличии грамотно описанных процессов управления и обеспечения безопасности, организованного процесса повышения осведомленности пользователей и специалистов и пр. Соответственно, при аудите обязательно проверяется не только техническая, но и процессная реализация.

По результатам аудита, как правило, выявляются несоответствия и дается определенный срок на их устранение.

Поскольку стандарты достаточно высокоуровневые и энциклопедичные (за исключением, PCI DSS), целесообразно говорить о том, как конкретно реализовать их требования. Для этого существуют более технические стандарты. Из известных международных примеров можно назвать публикации NIST, CIS и пр.

Кроме этого, необходимо обратить внимание на организацию самого процесса обеспечения безопасности, так как функционирование любых технических мер будет недостаточно эффективным без процессного подхода. Под организацией процесса понимается не только четкое описание и документирование требований к безопасности, обучение сотрудников, но и всесторонний и своевременный контроль и выявление недостатков. Здесь на помощь могут прийти различные автоматизированные средства — системы документооборота, позволяющие отслеживать актуальные и утвержденные версии документов, системы дистанционного обучения сотрудников, а также автоматизированные средства контроля защищенности и соответствия стандартам.

Персонал компании должен не только хорошо понимать, как выполнять требования к безопасности, но и четко понимать, зачем это делать, к каким огромным рискам и потерям может привести несколько необдуманных действий. Ведь безопасность, в первую очередь, обеспечивают люди, и только потом — технические средства.