Оценка эффективности ИБ с помощью стандарта

В курсе по измерению эффективности ИБ я рассматриваю множество различных методов оценки эффективности ИБ. Один из них - оценка на соответствие стандарту. В качестве примера рассматривается несколько принятых в России стандартов и один из них PCI DSS. Помимо достоинств у данного метода есть и несколько недостатков. Один их них - субъективность оценки. В разные моменты времени одно и тоже требование может восприниматься по разному. Например, раньше требование наличия антивируса всеми трактовалось как установка соответствующего ПО на рабочие станции и сервера. А вот с недавних пор в число устройств, на которые надо ставить антивирус вошли и банкоматы. Что будет дальше?.. Другой недостаток метода - различие в понимание одних и тех же требований стандарта разными экспертами. В области PCI ситуация еще хуже, т.к. здесь сталкиваются не просто мнения экспертов, а мнения аккредитованных экспертов, которые, логично рассуждая, должны иметь единый взгляд и трактовку одних и тех же требований стандарта. Ан нет... В блоге Сергея Гордейчика наткнулся на интересный пример . Опять же из российской практики. Две уважаемых компании - Информзащита и Digital Security, обе имеющие статус QSA, имеют диаметрально противоположные мнения о том, можно ли хранить PAN в открытом виде. Digital Security против , а Информзащита - за . Правда, сценарии такого хранения рассматриваются разные - в одном случае речь идет о черных списках (где они хранятся не говорится), во втором - о PAN во внутренней почте. Но суть от этого не меняется - Digital Security категорична и считает, что надо либо шифровать PAN, либо хранить их хэши и не важно, где они обрабатываются - внутри или снаружи защищаемой сети. У Информзащиты иное мнение... Было. 5 июня. 1-го июля мнение поменялось. Причем тоже интересная ситуация. Информзащита, ссылаясь на PCI Council, признает свою ошибку (PAN надо шифровать даже во внутренней почте), но считает такую трактовку стандарта со стороны его разработчика и координатора некорректной ;-) К чему мы приходим в итоге? К тому, что если для необязательного стандарта, разница в мнении эксперта/экспертов не столь критична (если, конечно, ее результатом не будет отказ от выдачи сертификата), то для стандарта, невыполнение требований которого влечет за собой штраф, такой разброс во мнениях может вести к более печальным последствиям .