Ассоциация больших данных разработала методику оценки зрелости процессов в компаниях по защите информации

Ассоциация больших данных (АБД) сообщила, что рабочая группа АБД разработала и опубликовала Методику оценки зрелости процессов по защите информации. Она должна помочь компаниям оценить внутренние процессы работы с данными и уровень их защищенности.

"Документ предоставляет организациям набор критериев для самостоятельной оценки и развития процессов защиты персональных данных - с акцентом на управленческие, организационные и технические меры", - говорится в сообщении ассоциации.

Представитель пресс-службы АБД рассказал, что рабочая группа разработала методику в первую очередь для компаний, которые проводят аудит зрелости информационных систем в соответствии с Отраслевым стандартом защиты персональных данных. Согласно сообщению АБД, ассоциация представила его почти год назад, 18 апреля 2024 г., на First Russian Data Forum. Тогда стандарт подписали ООО "Авито", ПАО "ВымпелКом" ("Билайн"), ПАО "Т-Банк", ООО "Яндекс" и ООО "Хэдхантер" (Headhunter). Совет по Кодексу этики использования данных одобрил обновленную версию стандарта в начале апреля 2025 г.

"Стандарт - это первый отечественный документ, который позволяет оценить эффективность процессов работы с данными. Однако важно, чтобы такой аудит осуществлялся для различных информационных систем единообразно. Методика как раз направлена на то, чтобы процедура аудита была более прозрачной, понятной и единообразной", - отметил он.

В сообщении АБД говорится, что "Яндекс" стал первой компанией, подтвердившей соответствие стандарту: высокий уровень безопасности "Яндекс ID" подтвердили независимые консультанты. По словам руководителя службы комплаенса и обучения информационной безопасности "Яндекса" Анны Зинчук, аудит независимых консультантов стал для компании "полезным и практичным опытом", который помог "системно оценить зрелость подходов к безопасности" и "определить точки роста".

Представители пресс-служб "Авито" и "Билайна" не ответили на вопросы корреспондента ComNews. А представитель Т-Банка рассказал, что компания принимала активное участие как в разработке Отраслевого стандарта защиты данных АБД, так и в согласовании методики. По его словам, Т-Банк уже внедрил эти подходы в практику компании. "Механизм оценки по методике АБД будет востребован, поскольку он позволяет объективно зафиксировать уровень фактической защищенности - как в отдельных сервисах и продуктах, так и в инфраструктуре в целом. По результатам оценки лицензиаты формируют конкретные рекомендации по повышению уровня соответствия требованиям информационной безопасности. Эти рекомендации целесообразно включать в действующие планы мероприятий по информационной безопасности", - рассказал он.

Представитель Т-Банка заметил, что следование требованиям стандарта и поэтапное повышение оценки напрямую способствуют укреплению защиты персональных данных. Чья актуальность возросла на фоне государственной политики по защите персональных данных, повышения ответственности за их утечку и введения оборотных штрафов. Он отметил, что прохождение оценки соответствия требованиям информационной безопасности является фактором, смягчающим ответственность.

С ним согласился директор департамента расследований ООО "Ти Хантер" (T.Hunter) Игорь Бедеров. Он сказал, что методика станет ориентиром для проверки соблюдения требований защиты данных и будет полезна операторам персональных данных, ИБ-специалистам, внешним аудиторам, консалтинговым компаниям и регуляторам.

"Можно отметить четкую структурированность данной методики, ее практикоориентированность, адаптивность и комплексность. Она охватывает ключевые аспекты защиты информации - от управления доступом до реагирования на инциденты и обучения персонала. Однако для новичков в сфере информационной безопасности некоторые разделы могут быть трудны для восприятия. Также неясно, как именно суммируются оценки и определяется итоговый уровень зрелости. Сама оценка фокусируется на документации, но слабо учитывает практические тесты, например пентесты, киберучения, хотя они упоминаются в рекомендациях. Наконец ряд требований могут быть чрезмерными для небольших организаций, но это компенсируется градацией по категориям", - заключил он.