Передовой опыт защиты персональных данных в условиях обязательного исполнения 152-ФЗ
В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Передовой опыт защиты персональных данных в условиях обязательного исполнения 152-ФЗ
Дмитрий Баранов, директор по информационной безопасности РОСНО. рассказал редакции журнала "Information Security/Информационная безопасность" о том, что уже сделано в области защиты персональных данных в РОСНО, а также о том, с какими проблемами столкнулась компания при выполнении требований ФЗ "О персональных данных" и как их удалось решить
Дмитрий Баранов
директор по информационной безопасности РОСНО
директор по информационной безопасности РОСНО
Группа компаний РОСНО является одной из крупнейших
страховых групп в России. В нее входят универсальная
страховая компания федерального уровня ОАО СК "РОСНО"
и ее дочерние компании: ОАО "РОСНО-МС", ОАО "Альянс РОСНО
Управление Активами", СЗАО "Медэкспресс", НПФ "Альянс"
и ОДО "Аllianz Украина".
Контрольным пакетом акций РОСНО владеет Allianz New Europe Holding GMBH (100% – 1 акция), подразделение ведущего международного страховщика Allianz SE, объединяющее компании в Центральной и Восточной Европе.
Страховые полисы и договоры ГК РОСНО имеют более 17 млн человек и свыше 50 тыс. предприятий и организаций. ОАО СК "РОСНО" создано в 1991 г. и является одной из крупнейших российских универсальных страховых компаний. Региональная сеть РОСНО насчитывает 88 филиалов, объединенных по территориальному признаку в 8 дирекций, и 383 агентства во всех субъектах РФ.
В 2007 г. РОСНО первой среди российских страховых компаний обеспечила соответствие информационной безопасности основных бизнес-процессов международным требованиям. Система управления информационной безопасностью компании прошла сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001:2005.
В 2008 г. РОСНО удостоилась звания IT-Лидера в области страхования за выдающийся вклад в развитие информационных технологий в России.
Контрольным пакетом акций РОСНО владеет Allianz New Europe Holding GMBH (100% – 1 акция), подразделение ведущего международного страховщика Allianz SE, объединяющее компании в Центральной и Восточной Европе.
Страховые полисы и договоры ГК РОСНО имеют более 17 млн человек и свыше 50 тыс. предприятий и организаций. ОАО СК "РОСНО" создано в 1991 г. и является одной из крупнейших российских универсальных страховых компаний. Региональная сеть РОСНО насчитывает 88 филиалов, объединенных по территориальному признаку в 8 дирекций, и 383 агентства во всех субъектах РФ.
В 2007 г. РОСНО первой среди российских страховых компаний обеспечила соответствие информационной безопасности основных бизнес-процессов международным требованиям. Система управления информационной безопасностью компании прошла сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001:2005.
В 2008 г. РОСНО удостоилась звания IT-Лидера в области страхования за выдающийся вклад в развитие информационных технологий в России.
– Дмитрий, расскажите, пожалуйста, что сделано в вашей организации в области защиты персональных данных (ПДн)?
"Основной проблемой была и остается нечеткость и неоднозначность федерального законодательства, регламентирующего требования по защите персональных данных".
– В 2009 г. в РОСНО был запущен проект "Защита персональных данных в информационных системах ОАО СК "РОСНО", основным результатом которого должно стать приведение информационных систем, средств и процедур защиты информации в соответствие с требованиями закона "О персональных данных" (152-ФЗ). В настоящее время продолжается вторая фаза проекта – интеграция утвержденного к реализации решения (комплекса средств защиты информации) с информационными системами и сетевой инфраструктурой РОСНО. На данный момент:
- разработана вся методологическая часть документации, предписанная в соответствии с требованиями государственного регулятора (Роскомнадзор и ФСТЭК);
- сформирована структура распределения ответственности за обеспечение безопасности персональных данных;
- сформирована единая для компании концепция защиты персональных данных, а также технический проект решения;
- ведутся работы по интеграции решения по защите персональных данных с ныне действующей IТ-инфраструктурой РОСНО;
- персонал компании ознакомлен с законодательно установленными требованиями по защите персональных данных в части, его касающейся;
- проводится внутренний мониторинг и аудит эффективности мер по обеспечению безопасности персональных данных.
– С какими проблемами столкнулась ваша компания при выполнении требований ФЗ "О персональных данных" и как их удалось решить?
– Основной проблемой была и остается нечеткость и неоднозначность федерального законодательства, регламентирующего требования по защите персональных данных. В частности, требования по срокам хранения персональных данных после окончания их обработки и противоречия с другими подзаконными актами, а также отсутствие утвержденного порядка оценки соответствия технических средств защиты информации, на который есть ссылка в законе. С учетом вышеперечисленного полноценная реализация требований закона становится технически либо юридически недостижимой, а технические решения, удовлетворяющие большинству требований закона, – крайне высокозатратными.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2010
