Стандарты ИБ всегда являлись одним из важных инструментов обеспечения ИБ в кредитно-финансовых организациях. При этом их выполнение никогда не было обязательным с точки зрения российского законодательства. Это являлось либо добровольным выбором самой организации, либо требованием международных регуляторов.
Однако в контексте развития национальной платежной системы (НПС) ситуация с распространением и практикой применения стандартов ИБ может сильно поменяться. Мария Каншина, менеджер по развитию бизнеса компании "Информзащита"На сегодняшний день требования по обеспечению защиты информации в НПС сформулированы в законе о НПС и подзаконных актах (ПП 584, 380-П, 381-П, 382-П, 2831-У). Менее месяца назад была утверждена стратегия развития НПС, в которой определены направления развития НПС, в том числе:совершенствование регулирования и правоприменения в НПС,развитие национальной и международной интеграции.Реализация стратегии в отношении нормативной базы по защите информации в НПС уже идет: принимаются новые документы (письмо 34-Т от 01.03.2013, указание 2926-У от 03.12.2012), в планах - параллельное развитие требований к НПС, СТО БР ИББС и локализация требований PCI DSS. Очевидно, что основная цель этой деятельности - создание согласованного комплекса требований по защите информации для банков, содержащего лучшие практики, в том числе и международные. Кроме того, что эти планы вызывают живые дискуссии на открытых площадках, они ставят финансовые организации перед выбором дальнейшего пути развития системы ИБ, и принятые "правила игры" позволяют сделать этот выбор обдуманно.Комплекс стандартов СТО БР ИББС , близкий по духу к ISO/IEC 27001, созданный Банком России для организаций банковской сферы, был призван обеспечить приемлемый уровень текущего уровня ИБ и процессов управления безопасностью банка. Одним из преимуществ его применения была возможность использования альтернативного подхода при выполнении требований законодательства по защите персональных данных (ПДн). По этой причине он достаточно активно применялся банками.В ближайшем будущем планируется подготовка нескольких новых нормативных документов в рамках СТО БР ИББС, включая новую отраслевую модель угроз безопасности ПДн.Важно заметить, что по своей сути Постановление 382-П (определяющее требования по защите информации в НПС) и СТО БР имеют много общего. Логика подсказывает, что методики оценки (которые сейчас разнятся) будут приведены к общему знаменателю, ведь регулятором в обоих случаях выступает Банк России.PCI DSS - стандарт безопасности данных в индустрии платежных карт, разработанный по инициативе пяти крупнейших мировых платежных систем: Visa, MasterCard, JCB, American Express и Discover, организовавших Совет по безопасности индустрии платежных карт (PCI SSC). Стандарт обязателен для всех организаций, обрабатывающих данные держателей карт. Большинство крупных игроков индустрии платежных карт проделали работу по выполнению требований.В свете усиливающегося контроля Банком России выполнения требований к защите информации, в том числе и в отношении индустрии платежных карт, нельзя не вспомнить, что на сегодняшний день десять документов PCI DSS 2.0 переведены на русский язык. Ожидается официальное признание этого перевода PCI SSC, а также дальнейшая поддержка его актуальности. Наверняка локализованные требования PCI DSS будут использованы Банком России в качестве основы для национальных требований и рекомендаций к индустрии платежных карт.Вывод напрашивается сам собой. С одной стороны, развитие нормативной базы в рамках НПС послужило дополнительным драйвером для развития уже существующих стандартов ИБ. С другой - требования к защите информации в НПС, по большей части, не являются, и не будут являться чем-то новым для отрасли. А соответствие существующим стандартам ИБ может с большой долей вероятности гарантировать финансовой организации соответствие требованиям по безопасности, предъявляемым к НПС сейчас, и тем, которые будут утверждены в дальнейшем.
Источник: Bankir.ru, Москва, 15 апреля 2013http://bankir.ru/publikacii/s/standarty-ib-i-strategiya-razvitiya-natsionalnoi-platezhnoi-sistemy-10003291/
.