Профессиональный страховой портал «Страхование сегодня»
Профессиональный страховой портал «Страхование сегодня»
Google+ Facebook Вконтакте Twitter Telegram
InsurSelling-2024. Продажи страхования – потенциал и перспективы Юбилейная XXV Международная конференция по страхованию
    Этот деньПортал – ПомощьМИГ – КоммуникацииОбучениеПоискСамое новое (!) mig@insur-info.ru. Страхование сегодня Сделать «Страхование сегодня» стартовой страницей «Страхование сегодня». Добавить в избранное   
Самое новое
Идет обсуждение
Пресса
Страховые новости
Прямая речь
Интервью
Мнения
В гостях у компании
Анализ
Прогноз
Реплики
Репортажи
Рубрики
Эксперты
Голос рынка
Аналитика
Термины
За рубежом
История страхования
Посредники
Автострахование
Страхование жизни
Авиакосмическое
Агрострахование
Перестрахование
Подписка
Календарь
Этот день
Страховые реестры
Динамика рынка
Состояние лицензий
Знак качества
Страховые рейтинги
Фотографии
Компании
Визитки
Пресс-релизы


Claims&Pays 2024. Урегулирование убытков в страховании
InsurSelling-2024. Продажи страхования – потенциал и перспективы


Top.Mail.Ru

Пресса о страховании, страховых компаниях и страховом рынке

Все самое главное, что отразилось в зеркале нескольких сотен газет, журналов и информагентств.
Раздел пополняется в течение всего рабочего дня. За обновлениями следите с помощью "Рассылки" или "Статистики разделов" на главной странице портала. Чтобы ознакомиться с публикациями, появившимися на сайте «Страхование сегодня» в определенный день, используйте календарь на текущей странице. Здесь же Вы можете сделать выборку статей из определенного издания. Для подборки материалов о страховании за несколько дней или за любой другой период времени воспользуйтесь "Расширенным поиском". Возможна также подборка по теме.
Редакция портала не несет ответственности за неточность, недостоверность или некорректность информации, изложенной в публикациях, и не вносит в них никаких исправлений за исключением явных опечаток.


   В этот день 10 лет назад  |  все материалы раздела »

  Торгово-промышленные Ведомости, 28 марта 2014 г.

Банк «Россия» уступил контроль в «Согазе» до попадания под санкции

Банк «Россия», основным акционером которого является миллиардер Юрий Ковальчук, снизил долю в страховщике »Согаз» за несколько дней до того, как Минфин США наложил санкции на кредитную организацию и Ковальчука, свидетельствует список аффилированных лиц страховой компании.



  Найтиглавное, по изданию,  по теме, за  период   Получать: на e-mail, на свой сайт
  Рейтинги популярности


страхование сегодняТекущие изменения в законодательство, регулирующее работу с персональными данными


Финансовая газета, 11 января 2009 г.

Персональные данные клиентов в банках и страховых компаниях
5816 просмотров

До 1 января 2010 г. остался один год. Это – срок, установленный Федеральным законом «О персональных данных» для приведения информационных систем персональных данных в соответствие с новым законодательством, в первую очередь их подсистем информационной безопасности, так как именно к ним выдвигаются конкретные требования. Изменений законодательства не предвидится, поэтому времени не осталось совсем. Что нужно сделать?

Структура государственного регулирования

Требования к обеспечению безопасности обработки персональных данных содержатся в значительном количестве документов различного уровня. Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных» ограничивается лишь тем, что ст. 19 устанавливает норму, в соответствии с которой «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Это означает, что к персональным данным в полном объеме предъявляется классическая триада требований информационной безопасности – обеспечение целостности, доступности и конфиденциальности. Формирование собственно требований к обеспечению безопасности персональных данных Законом №152-ФЗ возложено на Правительство Российской Федерации, которое уже приняло три постановления по данному вопросу:

от 17.11.07 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

от 6.07.08 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

от 15.09.08 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

В постановлениях даны наиболее общие, высокоуровневые требования, которые затем конкретизируются в нормативно-методических документах ФСТЭК, ФСБ и Мининформсвязи России.

К последним относятся:

совместный приказ ФСТЭК, ФСБ и Мининформсвязи от 13.02.08 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

нормативно-методические документы ФСТЭК России, определяющие порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации) при их обработке в информационных системах;
нормативно-методические документы ФСБ России, регламентирующие порядок применения криптографических средств для защиты персональных данных и содержащие рекомендации по выполнению этих работ.

Кроме указанных документов «прямого действия» для осуществления работ по обеспечению безопасности обработки персональных данных должны выполняться положения и других документов, общих как для всей системы регулирования информационной безопасности в нашей стране, так и для работ, касающихся защиты сведений ограниченного доступа. Они имеют примерно такую же иерархическую структуру, как было указано выше. В качестве примеров можно привести федеральные законы «Об информации, информационных технологиях и о защите информации» и «О лицензировании отдельных видов деятельности», указы Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» и «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», постановления Правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» и «О сертификации средств защиты информации», нормативные документы ФСБ России – «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» и руководящие документы ФСТЭК России, выдвигающие требования к системам предотвращения несанкционированного доступа и межсетевым экранам. Использование всех этих документов будет необходимо для конкретизации требований к информационным системам персональных данных (ИСПДн) и проектирования их подсистем безопасности.

Необходимые шаги

Для приведения обработки персональных данных в соответствие с требованиями законодательства в первую очередь надо выявить в информационной системе те подсистемы, которые обрабатывают персональные данные. Их окажется гораздо больше, чем могло показаться. Но, безусловно, к ним необходимо будет отнести систему бухгалтерского учета, позволяющую рассчитывать заработную плату и другие доходы работников. Найти сейчас организацию, где это делается вручную, практически невозможно. Это и весьма популярная «1С» практически во всех модификациях, «Турбо Бухгалтер» и «Инфо Бухгалтер» и др. Кроме серверов в ИСПДн будут входить рабочие станции, с которых осуществляется доступ к бухгалтерскому серверу, а также ряд других серверов, обеспечивающих возможность работы с этими приложениями в сети.

В банках к ИСПДн в силу особенностей обработки следует отнести практически все автоматизированные банковские системы (АБС), в страховой компании – базу данных клиентов и договоров страхования. Все эти системы должны быть классифицированы в соответствии с приказом ФСТЭК, ФСБ России, Мининформсвязи России (ИСПДн, четыре класса, которые устанавливаются в зависимости от количества и категории обрабатываемых персональных данных). Для каждой системы должна быть сформирована актуальная модель угроз информационной безопасности.

Для нейтрализации актуальных угроз необходимо принять контрмеры, выбрать средства защиты информации, реализующие функционал, определенный в нормативных документах ФСТЭК и ФСБ России, причем не просто средства, подходящие по характеристикам, а обязательно сертифицированные по требованиям ФСТЭК или ФСБ России.

Практически на всех этапах деятельность по построению подсистемы безопасности должна оформляться документально, начиная с классификации и не заканчивая описанием системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн, и заключением о возможности эксплуатации средств защиты персональных данных. При этом неизбежно встанет вопрос об использовании встроенных в операционные системы и соответствующие приложения механизмов безопасности. Сделать это можно только в том случае, если данные механизмы сертифицированы или готовы к сертификации в системах ФСТЭК (для некриптографических средств) или ФСБ России (для средств криптографической защиты). Учитывая требование об обязательной аттестации (сертификации) ИСПДн первого и второго классов, сертификационные испытания должны быть закончены до представления системы на аттестацию.

Следует отметить, что построение системы технической защиты персональных данных – дело очень сложное, дорогостоящее и длительное.

Проблемы нетехнические

В ходе работ по приведению обработки персональных данных в соответствие с требованиями законодательства неизбежно возникнет ряд проблем, которые не решаются техническими средствами.

Ключевым вопросом является оценка наличия предусмотренных законодательством оснований для обработки персональных данных, а в случаях когда они отсутствуют – получение согласия субъекта. При этом согласно Закону № 152-ФЗ обязанность предоставить доказательство о получении согласия субъекта персональных данных на их обработку возлагается на оператора, т.е. в рассматриваемых в статье случаях – на предприятие-работодателя, банк или страховую компанию.

Во многих банках оценили риски, связанные с нарушением законодательства о персональных данных, и в договорах с клиентами – физическими лицами появились положения примерно следующего содержания: «Настоящим даю свое согласие банку на обработку своих персональных данных в соответствии с требованиями Федерального закона «О персональных данных» и на получение банком необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом от 30.12.04 г. № 218-ФЗ «О кредитных историях». Однако иногда банки толкуют положения данного закона весьма расширительно и фактически принуждают клиента к согласию на обработку, не предусмотренную законом. Примером может служить выдержка из типового договора одного из банков: «Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, … включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота». В законе нет такого основания для передачи персональных данных, как обычаи делового оборота, не указаны и третьи стороны, которым персональные данные заемщика предполагается передавать, да и защита своих интересов банком заемщика волновать не должна. В страховых компаниях проблемы осложняются тем, что в договорах страхования зачастую указываются персональные данные не только страхователя, но и застрахованного лица и выгодоприобретателя, которые согласия на обработку своих данных компании не давали. То же самое касается договоров, которые заключаются работодателями в интересах работников (например, добровольного медицинского и пенсионного страхования, страхования несчастных случаев). При этом согласие работников на передачу персональных данных никак не оформляется, что в случае конфликта может привести к искам субъектов персональных данных как к работодателю, так и к страховой компании.

Особое внимание следует уделить передаче персональных данных третьим лицам как с точки зрения наличия основания для такой передачи, предусмотренного законами Российской Федерации или в виде согласия субъекта (например, закрепленного в договоре на оказание услуг), так и с точки зрения обязательного наличия договора с этим третьим лицом, существенным условием которого должна быть обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.

Таким образом, в ходе работ по приведению обработки персональных данных в соответствие требованиям Закона № 152-ФЗ их важными составными частями должны стать анализ договорной работы и, при необходимости, корректировка договоров как с физическими, так и с юридическими лицами в части обработки персональных данных, и особенно их передачи третьим лицам.

Необходимо внимательно подойти и к использованию вэб-форм для сбора персональных данных физических лиц, что активно практикуется банками и страховыми компаниями в целях привлечения клиентов, предварительной оценки возможности кредитования, расчета стоимости страховых премий и т.п. В большинстве случаев доказать наличие согласия субъекта на обработку персональных данных, полученных таким способом, вряд ли удастся.

Заключение

В Законе № 152-ФЗ установлен предельный срок, до которого должна быть завершена работа по приведению информационных систем персональных данных, созданных до дня вступления в силу закона – 1 января 2010 г. В связи с этим предстоит сложная, трудоемкая и недешевая работа. Для страховых компаний и банков, чей бизнес напрямую связан с обработкой персональных данных физических лиц, риск нанесения ущерба в случае санкций регуляторов, осуществляющих государственный контроль и надзор, весьма велик – от привлечения к ответственности организации и ее должностных лиц до требований о приостановке обработки персональных данных или прекращения ее вообще, что фактически означает остановку операционной деятельности.

М. ЕМЕЛЬЯННИКОВ, директор по развитию бизнеса компании «Информзащита»


  Вся пресса за 11 января 2009 г.
  Смотрите другие материалы по этой тематике: Технологии, Страховое право, Регулирование, Управление риском

Оцените данный материал (1-плохо, ..., 10-отлично!).
Средняя оценка: 0.00 (голосовало: 0 чел.)
10   

Ваше мнение об этом материале:
— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):
Укажите код на картинке слева:
Установите трансляцию заголовков прессы на своем сайте
 
Архив прессы
П В С Ч П С В
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
Текущая пресса

28 марта 2024 г.

Амител, Барнаул, 28 марта 2024 г.
250 тысяч полисов ипотечного страхования жилья оформили в прошлом году в Сибири

НИА Хакасия, 28 марта 2024 г.
В России пострадавшим при ЧС в торговых центрах будут выплачивать по 2 млн рублей

ТАСС, 28 марта 2024 г.
В ЦБ поддерживают идею обязательного страхования посетителей публичных мест

Московский комсомолец, 28 марта 2024 г.
Страховка от страха

Коммерсантъ, 28 марта 2024 г.
Такси до центра

ТагилСити, 28 марта 2024 г.
Ирбитская ЦГБ получила штраф за приписку медпомощи «пациентке» из Нижнего Тагила

Комсомольская правда-Новосибирск, 28 марта 2024 г.
В Новосибирской области страховой агент присвоила почти полмиллиона

НТВ, 28 марта 2024 г.
Страховые выплаты по рухнувшему мосту в Балтиморе станут рекордными

Авторадио, 28 марта 2024 г.
Данные о полисах у перевозчиков включат в федеральную систему

Forbes Казахстан, 28 марта 2024 г.
В 2023 году казахстанцы стали чаще страховать свои жизни из-за возросших рисков

Российская газета, 28 марта 2024 г.
Единый полис ОСАГО России и Беларуси заработает с 1 октября

РБК.Черноземье, 28 марта 2024 г.
Эксперты оценили климатические риски для агробизнеса в Черноземье

Финмаркет, 28 марта 2024 г.
В 2023 году сборы страховщиков жизни выросли на 51,6%, выплаты - на 33,2% - ЦБ РФ

Деловой Казахстан, 28 марта 2024 г.
Система ОСМС: работа по принципу солидарности

РБК (RBC.ru), 28 марта 2024 г.
Минтранс введет систему проверки страховых полисов у такси

Интерфакс-Азербайджан, 28 марта 2024 г.
Азербайджан и Туркменистан договорились о налаживании сотрудничества в сфере страхования

Московский комсомолец, 28 марта 2024 г.
Обрушение моста в Балтиморе может стать крупнейшим страховым случаем


  Остальные материалы за 28 марта 2024 г.

  Самое главное
  Найти : по изданию , по теме , за период
  Получать: на e-mail, на свой сайт