29.10.2017
У цій статті ми поговоримо на тему того, який зв'язок між Постановою НБУ №95 та Міжнародним стандартом безпеки PCI DSS. Цей зв'язок не випадковий, оскільки вимоги НБУ та вимоги стандарту PCI DSS націлені на захист та збереження інформації.
Національний банк України (НБУ) ухвалив Постанову №95 від 28.09.2017 року, яку було офіційно опубліковано 04.10.2017. Постанова розроблена з метою удосконалення вимог щодо захисту інформації в інформаційних системах банків із урахуванням актуальних кіберзагроз. Ця постанова складається з вимог, які необхідно запровадити для забезпечення інформаційної безпеки та кіберзахисту банків. 
Вимоги НБУ, викладені у Постанові №95, є найбільш комплексним набором рекомендацій щодо забезпечення інформаційної безпеки в банках.
Фахівці, пов'язані з інформаційною безпекою банків, знають, що співробітники НБУ за останні роки розробили десятки, а можливо, й сотні вимог. Усі вимоги присвячені здійсненню та впровадженню банками інформаційної безпеки. У 2010 році Національний банк України навіть випустив свої власні Стандарти з інформаційної безпеки, які називаються СОУ Н НБУ 65.1 СУІБ 1. 0:2010 и СОУ Н НБУ 65.1 СУІБ 2. 0:2010. 
У Постанові №95 Національний банк України (НБУ) використав усі свої найкращі вимоги, які були раніше розроблені та опубліковані. Крім того, Постанова НБУ №95 містить багато формулювань, заснованих на міжнародному стандарті з інформаційної безпеки ISO/IEC 27001 версії 2013 року.
По суті, розробники Постанови НБУ №95 взяли за основу вимоги стандарту ISO/IEC 27001. Тільки вимоги для Постанови №95 зробили більш конкретними, точними та адаптували під особливості українських банків.
Погляньмо на історію створення стандарту PCI DSS.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) – це сукупність вимог щодо безпеки даних про власників платіжних карток, які зберігаються, передаються та обробляються в інформаційних інфраструктурах організацій. Стандарт розроблений з ініціативи VISA, MasterCard та інших компаній.
Основне завдання стандарту PCI DSS – це забезпечення безпеки мережної інфраструктури та захист збережених даних про власників платіжних карток, оскільки це найвразливіші місця, що безпосередньо загрожують втраті конфіденційності та грошових коштів.
На відміну від ISO/IEC 27001, стандарт PCI DSS говорить конкретно: що необхідно захищати, яким способом здійснювати цей захист і як перевірити те, що вимоги стандарту PCI DSS виконані.
Приклад: стандарт ISO/IEC 27001 містить рекомендацію проаналізувати всі дані, з якими має справу компанія, визначити самостійно, які з них є критичними, і самостійно виробити для них механізм захисту.
У стандарті PCI DSS ця ж вимога виражена набагато коротше - компанія зобов'язана шифрувати дані платіжних карт, що зберігаються в неї.
У Постанови НБУ №95 та стандарту PCI DSS схожий шлях розвитку – адаптація вимог стандарту ISO/IEC 27001 для своїх цілей.
Детальний аналіз Постанови НБУ №95 показує, що понад 60% вимог мають аналогічні вимоги до стандарту PCI DSS. Саме в цьому зв'язок Постанови №95 зі стандартом PCI DSS!
Приклад: вимога №37 з Постанови НБУ №95 зобов’язує банк забезпечити виконання принципу надання мінімального рівня повноважень користувачам в інформаційних системах банку.
Якщо відкрити стандарт PCI DSS на вимозі 7.1.2, ми побачимо практично те саме формулювання – обмежити доступ привілейованих користувачів до мінімально необхідного рівня, який потрібний для виконання службових обов'язків.
Інші 40% вимог Постанови №95 мають оригінальне авторство Національного банку України (НБУ) та присвячені таким аспектам, як:• Порядок використання алгоритмів шифрування;• Організація роботи з центром сертифікації ключів;• Вибудовування структури ієрархії відповідальності за кібербезпеку всередині банку.
Зі сказаного вище випливає, що якщо в банку вже збудовано систему інформаційної безпеки та пройдено сертифікацію за стандартом PCI DSS, то для такого банку немає необхідності вкладати великі кошти у виконання всіх вимог НБУ, викладених у Постанові № 95.
Достатньо трохи модифікувати внутрішні нормативні документи і, можливо, додатково налаштувати вже впроваджені системи. Це можна зробити в дуже стислий термін, буквально за кілька тижнів.
Таким чином, ті банки, які вже сертифіковані за стандартом PCI DSS, мають величезну перевагу перед банками, які не проходили цієї сертифікації.
Усім банкам, які пройшли сертифікацію PCI DSS, простіше виконати вимоги НБУ. 
Багато банків так і не пройшли сертифікацію за стандартом PCI DSS. Таким банкам краще пройти цю сертифікацію і цим, роблячи одну дію, отримати подвійну вигоду. Як кажуть, одним пострілом убиваються два зайці.
Виконуючи вимоги стандарту PCI DSS, банк автоматично виконує понад 60% вимог НБУ, які містяться в Постанові №95.
Сертифікація за стандартом PCI DSS – це шлях, яким варто йти для того, щоб уникнути багатьох проблем!
Наша компанія «ІТ Спеціаліст» допоможе вашому банку вибудувати індивідуальну систему кібербезпеки, пройти сертифікацію за стандартом PCI DSS та виконати всі вимоги Постанови НБУ № 95 у найкоротші терміни.