Рабочая группа Ассоциации больших данных по информационной безопасности разработала и опубликовала Методику оценки зрелости процессов по защите информации. Методика применяется в отношении операторов персональных данных, а также служит руководством для валидации результатов внутренней оценки зрелости процессов защиты информации. Такую оценку по опубликованной методике могут проводить организации, у которых есть лицензия на деятельность по технической защите конфиденциальной информации.

Одновременно, в Отраслевой стандарт защиты данных, разработанный на площадке Ассоциации больших данных, внесены технические уточнения, – обновления направлены на повышение прозрачности и удобства применения документа для внешних аудиторов.

Инициатива по уточнению положений Отраслевого стандарта и разработке Методики стали логичным продолжением практического применения документа: рабочая группа провела анализ первых аудитов, выполненных подписантами Стандарта, и с учётом этого опыта доработала текст документа. 

Напомним, что Отраслевой стандарт защиты данных был представлен 18 апреля 2024 года на First Russian Data Forum и с тех пор стал важным ориентиром для оценки зрелости процессов информационной безопасности у операторов персональных данных. Его подписантами стали такие компании, как Авито, «Вымпелком», Т-Банк, Яндекс и HeadHunter.

Обновлённая версия Стандарта была одобрена в начале апреля 2025 года Советом по Кодексу этики использования данных — коллегиальным органом, в состав которого входят представители подписантов Стандарта и эксперты отрасли. Совет следит за развитием инициативы, соблюдением принципов добросовестного использования данных и устойчивостью применяемых подходов.

«Формирование новых векторов атак, изменение техник и тактик киберпреступников создают необходимость адаптации процессов обеспечения защиты данных. Стандарт защиты данных, прежде всего механизм, не имеющий аналогов в российской практике, демонстрирующий высокую ответственность бизнеса в области сохранности данных. В рамках создания Стандарта защиты данных сформирован значительный задел в объединении экспертизы и компетенций операторов персональных данных в области построения и повышения эффективности процессов защиты данных. Совершенствование и доработка стандарта прежде всего демонстрирует его практическую востребованность, а также комплексную и системную работу по повышению эффективности его применения», – Андрей Медунов, Руководитель рабочей группы по безопасности данных АБД, руководитель группы по сопровождению GR-проектов ГК «Солар», о целях и значении уточнений.

Документ предоставляет организациям набор критериев для самостоятельной оценки и развития процессов защиты персональных данных — с акцентом на управленческие, организационные и технические меры. Одной из задач Отраслевого стандарта остаётся повышение уровня информационной безопасности компаний.

Яндекс стал первой компанией, которая подтвердила соответствие Отраслевому стандарту защиты данных. Независимые консультанты провели аудит Яндекс ID и подтвердили высокий уровень его безопасности. «В Яндексе мы постоянно совершенствуем процессы хранения и защиты данных, регулярно проходя как внутренние, так и внешние аудиты. Проведение аудитов на соответствие Отраслевому стандарту защиты данных стало для нас полезным и практичным опытом: они помогают системно оценить зрелость подходов к безопасности и чётко определить точки роста. Особенно важно, что этот отечественный стандарт основан на реальной экспертизе рынка и лучших практиках. Отрасли давно не хватало живого и развивающегося инструмента самоконтроля операторов данных, который не просто фиксирует текущую ситуацию, а задаёт направление для дальнейшего развития. Теперь такой инструмент у нас есть — и он работает», – Анна Зинчук, Руководитель службы комплаенса и обучения информационной безопасности Яндекса, о практическом применении Стандарта.

С актуальной версией Отраслевого стандарта защиты данных можно ознакомиться на официальном сайте АБД: Отраслевой стандарт защиты данных – Ассоциация больших данных.

АБД продолжает работу по методологической поддержке участников Отраслевого стандарта защиты данных и приглашает новые компании присоединиться к инициативе, чтобы вместе повышать уровень зрелости и устойчивости ИБ-процессов в отрасли.