Отраслевой стандарт предложен Ассоциацией больших данных (АБД), в которую входят операторы связи, банки и крупные IT-компании, включая Яндекс. Это свод критериев и метрик, по которым можно оценить действующие в компании организационные и управленческие процессы в сфере защиты данных.
Он содержит комплекс мер, позволяющих операторам персональных данных самостоятельно оценить зрелость выстроенных процессов защиты информации, подтвердить правильность сделанных выводов с привлечением внешних организаций и эффективно совершенствовать управленческие и организационные процессы.
Как сообщили "РГ" в компании, проверку провели специалисты из компании Kept. Они использовали требования ОСЗД, которые предусматривают разностороннее изучение системы управления безопасностью и насчитывают 29 критериев.
В частности консультанты оценивали модель организации защиты данных в Яндекс ID, процессы управления, политику защиты информации, план мероприятий по отработке угроз и многое другое. Отдельное направление проверки - работа с уязвимостями: как сервис их выявляет, что делается для их предотвращения, какие практики реагирования используются. В рамках проверки по каждому критерию эксперты изучили не только документы по процессам, но и фактические подтверждения их выполнения.
"Отраслевой стандарт защиты данных - вполне рабочий инструмент, который помогает операторам персданных самостоятельно сделать выводы о том, насколько качественно выстроен у них процесс защиты информации", - отмечает член комитета Госдумы по информполитике Антон Немкин. По его словам, он как минимум помогает выявить пробелы, которые нужно закрыть оперативно, чтобы ими не успели воспользоваться мошенники.
"Безусловно, опираться только на соответствие этому стандарту я бы не советовал - такие самопроверки бизнеса могут быть только одним из ряда инструментов для обеспечения защиты данных граждан от утечек. Но точно не основным", - сообщил Немкин.
Депутат добавил, что рассматривать такие аудиты как смягчающий фактор на фоне предстоящего ужесточения законодательства в части допущения утечек персональных данных вряд ли стоит. "Такие проверки нужны самому бизнесу, чтобы сделать определенные выводы о своих системах - где стоит продолжать в том же духе, а где еще нужно хорошо поработать. Другой вопрос - будут ли эти выводы как-то использованы на практике или так и останутся на бумаге", - отметил Немкин.
По итогам проверки Яндекс ID суммарно получил 27,5 балла из 29. При этом минимальный порог составляет 18 баллов.