* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки
170
Глава 2. Международные стандарты безопасности
4. Существует ряд юридических аспектов в РФ для банков, кото рые следует отметить. По требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие поло¬ жения», который в настоящее время носит рекомендательный харак¬ тер, банки и так внедряют системы защиты данных в соответствии с этими требованиями, причем сами требования принципиально не от¬ личаются от требований Стандарта. Это означает, что общая стоимость защиты различных используемых банком автоматизированных сис¬ тем еще более возрастет, при этом целесообразность этого не являет¬ ся бесспорной и достаточно обоснованной применительно к россий¬ ским условиям. 5. После успешного прохождения аудита на соответствие требовани ям Стандарта компания, его прошедшая, не получает никаких гарантий безопасности ни от аудиторов, ни от платежных систем. В случае же взлома системы защиты такой компании в дальнейшем статус сертифи¬ цированной организации будет, как показывает практика, пересмотрен (отозван). 6. В Стандарте нет метрик, позволяющих судить об эффектив ности применения его требований. Организация может либо соответ ствовать Стандарту после прохождения аудита (compliance), либо не со¬ ответствовать. 7. Наконец, платежные карты на основе магнитной полосы и тради¬ ционные платежи без присутствия карты (с использованием только но¬ мера карты, срока действия и кода верификации карты CVC2/CVV2) принципиально уязвимы ввиду уязвимости самих технологий. В связи с этим обеспечить безопасность принципиально уязвимых техноло¬ гий невозможно.
Реализовывать требования Стандарта, очевидно, необходимо, посколь¬ ку он носит обязательный характер в соответствии с требованиями международных платежных систем. Тем не менее как сам Стандарт, так
