Страховщики захотели персональную защиту
Лента новостей
В скором времени Росстрахнадзору, возможно, придется заняться разработкой отраслевого стандарта защиты персональных данных. Этого требуют российские страховых компании и Всероссийский союз страховщиков
В скором времени Росстрахнадзору, возможно, придется заняться разработкой отраслевого стандарта защиты персональных данных. Этого требуют российские страховые компании и Всероссийский союз страховщиков (ВСС). Такой вывод можно сделать из выступлений, прозвучавших на конференции «IT-безопасность в финансовом секторе», организованной компанией AHConferences.
Тема персональных данных (ПДн) в последнее время если где-то и упоминалась, то походя, мимоходом. Но, как оказалось, своей актуальности она не потеряла, особенно в финансовом секторе.
На конференции все началось с выступления директора по информационной безопасности страховой компании «Росно» Дмитрия Баранова, рассказавшего об опыте группы «Росно» по созданию систем защиты персональных данных (СЗПДн). По его словам, после принятия в 2006 году Федерального закона № 152 «О персональных данных», стало ясно, что компаниям придется немало потрудиться над выполнением его требований. К числу основных задач Дмитрий Баранов отнес необходимость получения согласия от субъектов персональных данных, введение новых организационных процедур по доступу субъектов к своим ПДн, использование только сертифицированных ФСТЭК/ФСБ средств защиты информации (СЗИ), использование средств обнаружения вторжений и аномальной активности, аттестацию и сертификацию систем защиты информации, получение лицензии на техническую защиту конфиденциальной информации.
Решение о создании СЗПДн было принято только в 2009 году. К тому же поначалу оно касалось только одной из компаний группы — «Росно-МС» (работает на рынке медицинского страхования, в том числе обязательного). Но, как оказалось, компания несколько поторопилась с созданием СЗПДн. Дело в том, что ряд информационных систем «Росно-МС» (регистры застрахованных по ОМС граждан) были отнесены к классу «К1 типовая», требования к информационной безопасности которого весьма высоки. А в 2010, когда значительная часть работ уже была выполнена, появились подзаконные акты, в некоторой степени упрощающие вопросы построения СЗПДн и их аттестации. Кстати, часть систем страхования компания отнесла к классу «К1 специальная» (системы хранения и обработки данных об оказанной в системе ОМС медицинской помощи) и «К2 типовая» (системы хранения и обработки персональных данных сотрудников). Также в ходе этого проекта «Росно-МС» подготовила концепцию решения, использующего «наложенные средства», выбраны сами средства защиты. К настоящему времени выполнены все работы по созданию этой СПДн и ведется ее аттестация на соответствие требованиям закона.
В самой «Росно» также уже ведутся работы по построению СЗПДн. Но уже с учетом изменений в законодательстве. Предполагается, что решение, которое сейчас создается в страховой компании, будет взято за основу и при организации системы защиты персональных данных в «Allianz-Росно Жизнь» (АРЖ).
Казалось бы, что все хорошо и компаниям просто следует создавать свои СЗПДн в строгом соответствии с требованиями нормативно-правовых актов закона № 152. Правда, эксперты отмечают, что построение таких систем на 100% соответствующих требованиям закона, вряд ли возможно — слишком много в компаниях и организациях используется систем и решений, не сертифицированных ФСТЭК, а значит, не удовлетворяющих требованиям законодательства. А их замена будет стоить очень дорого.
Есть и еще одна проблема — отсутствие регламента проведения аттестации систем на соответствие требованиям закона. Такой документ не один месяц грозится разработать ФСТЭК, но пока его нет, а когда он появится — никому не известно. Даже сама ФСТЭК так и не смогла назвать какие-либо сроки. Отсюда следует, что даже если компания или организация построит СЗПДн в соответствии с требованиями закона, проверяющие, а это ФСТЭК, ФСБ и Россвязьнадзор, при желании могут придраться к чему угодно. Поэтому на названной выше конференции и прозвучало предложение о выведении страховых компаний из под юрисдикции закона № 152. Сегодня это возможно осуществить одним способом — за счет создания отраслевого стандарта защиты персональных данных или отраслевого стандарта по построению систем защиты информации, охватывающих и СПДн. По первой схеме уже сработали операторы связи, а по второй — банки.
Кстати, по словам советника председателя правления по информационной безопасности инвестбанка «Открытие» и директора по методологии компании «Инфосекьюрити Сервис» Михаила Левашова, в настоящее время завершается разработка отраслевого стандарта защиты персональных данных для организаций, действующих на фондовом рынке и находящихся в ведомственном подчинении ФСФР. По его словам, этот документ разрабатывается при непосредственном участии «Инфосекьюрити Сервис». Там же на конференции Левашов предложил страховым компаниям свои услуги по решению вопроса о подготовке «персонального» стандарта для страховщиков.
Стоит отметить, что это предложение присутствующим пришлось по душе и вызвало дискуссию о цене вопроса, о необходимости привлечения ВСС. Кстати цену услуг своей фирмы Михаил Левашов обозначил «копейками» для страховых компаний. Если не большинство, а хотя бы ряд крупных страховых компаний и ВСС согласятся с этим предложением, то вскоре можно будет ожидать и начала работ по подготовке отраслевого стандарта по построению СЗПДн для страховых компаний. Естественно, при активном участии Росстрахнадзора, который при таком развитии ситуации должен будет играть роль «крыши» для страховых компаний перед главными регуляторами в области персональных данных — ФСТЭК, ФСБ, и Россвязьнадзором.
Уверенности тому, что именно в таком направлении будут развиваться события, придает то, что Михаил Левашов принимал активное участие в реализации идеи по созданию отраслевого стандарта Центрального Банка России по защите информации, а «Инфосекьюрити Сервис» привлечена к разработке отраслевого стандарта построения СЗПДн для участников фондового рынка.
Рекомендуем:
Рекомендуем:
