Свой Банк — на форуме IT Security&NGFW Day 2026

В конце марта в Москве прошла конференция IT Security&NGFW Day 2026, посвященная вопросам информационной безопасности. На площадке TAdviser представители заказчиков говорили о нейтрализации инсайдерских угроз и делились практическим опытом повышения уровня защиты, а вендоры презентовали свои продукты и сервисы.

Дмитрий Савельев, руководитель направления по обработке персональных данных Своего Банка, представил методику оценки зрелости процессов обработки персональных данных в организациях, являющихся операторами ПДн. Он отметил, что методика является собственной разработкой, но Банк готов делиться этими наработками с рынком.

Среди факторов, сдерживающих достижение идеального уровня зрелости ИБ, эксперт выделил недостаточно высокий текущий уровень ИБ, бюджетные ограничения, квалификацию и укомплектованность штата, а также понимание и принятие задач со стороны персонала. Осознав эти вызовы, в Своем Банке приняли решение сформировать собственную систему оценки.

При разработке методики учитывались требования федерального законодательства, запросы при плановых проверках, опыт их прохождения. В состав метрик вошли показатели по таким направлениям, как общие вопросы обработки данных оператором, документы, подтверждающие принятие необходимых и достаточных мер согласно 152-ФЗ и подзаконным актам, предотвращение и выявление нарушений законодательства РФ, устранение их последствий и ряд других.

Дмитрий Савельев подвел итоги проделанной работы и обозначил перспективы масштабирования. Методика позволяет структурировать процесс аудита, изначально задавая четкие требования к составу предоставляемых сведений, получать количественно измеримые результаты и сравнивать уровень ИБ-зрелости нескольких компаний по единым критериям и числовым показателям. В рамках методики выделены критичные показатели, проведена градация уровней соответствия. Показатели принимают значение от 0 до 1, причем если хотя бы один из них оценивается как нулевой, то и уровень зрелости в плане защиты персональных данных признается нулевым, даже если остальные равны единице.

«Постоянные изменения нормативных требований диктуют постоянную же оценку уровня зрелости процессов обработки персональных данных, — напомнил Дмитрий Савельев. — Методика не оторвана от жизни, она проверена в бою».

В контексте перспектив и потенциала данная методика дает возможность вносить дополнительные контрольные показатели и метрики без кардинального изменения подхода к оценке. Также есть возможность расширения разделов методики в случае ужесточения требований законодательства или изменения степени ответственности.

Напомним, что в 2025 году проект Своего Банка и разработчика ИБ-решений ARineg стал победителем Национальной банковской премии в номинации «За соответствие высоким стандартам защиты информации».