А зачем, собственно, нужны свои стандарт и система сертификации соответствия? Вроде бы, наши банки неплохо освоили стандарт PCI DSS и процедуры сертификации на соответствие ему? Может, просто под копирку перенять весь этот освоенный багаж для НПС и этим ограничиться? Эти вопросы обсудили на дискуссионной панели конференции PCI DSS Russia 2016.
Собственный стандарт ИБ платежных систем, помимо того, что служит обеспечению национальной безопасности, как подчеркнул заместитель начальника ГУБиЗИ Банка России Артем Сычев, является также инструментом защиты внутреннего рынка. Однако, разработка собственных стандарта и системы сертификации вовсе не означает отказа России от международного опыта в области платежных систем — просто правила построения и эксплуатации международных платежных систем дополняются региональными и национальными требованиями.
Начальник управления безопасности компании «Национальная система платежных карт» Василий Окулесский напомнил, что собственная система оценки соответствия (равно как и соответствующие стандарты) ориентируется на обеспечение ИБ НПС в целом, а не только на ИБ отдельных бизнес-процессов, которые оцениваются как важные с позиции международных платежных систем.
Особенно полезен международный опыт на стадии формирования НПС - это помогает избегать серьезных проблем. Тем не менее, вектор развития российской НПС направлен в сторону формирования собственных стандартов ИБ для НПС и своей системы сертификации, которые, однако, не будут принципиально расходиться с международными стандартами, используемыми в этой области (в том числе и в России).
Как отметила директор по развитию бизнеса компании «Информзащита» Анна Гольдштейн, риски ИБ в нашей стране имеют свои особенности, и чтобы быть адекватным этим особенностям, нужно создать свои стандарты, свои подходы к защите, свою систему проверок на соответствие требованиям к защите, которые будут определять, где и что защищать и проверять, а также кто и как должен проверять.
Она также высказала пожелание о том, чтобы будущие системы стандартов ИБ НПС и сертификации на соответствие им способствовали повышению реальной ИБ, не страдали избыточностью и формализмом, не вырождались бы для участников НПС в погоню за соответствием на бумаге. По мнению г-на Сычева, для этого есть все основания.
