 |
Персональные данные в сфере страхования
|
|
|
|
В соответствии с Федеральный законом от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 25.07.2011) (далее Федеральный закон № 152-ФЗ) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.
Под действие указанного закона попала деятельность различных предприятий и организаций в самых разнообразных областях экономики. Страховые компании, чьи услуги в большой степени являются персонализированными и оказываются индивидуально гражданам-физическим лицам, одними из первых должны обеспечивать безопасность обрабатываемых персональных данных своих клиентов. Тем более что существует реальный риск нанесения ущерба операционной деятельности компании вследствие санкций регулятора, применяемых за неисполнение законодательства по защите персональных данных. Причем риск этот проявляется как в случае возникновения инцидентов с нарушением безопасности персональных данных, так и в случае проведения проверки государственным регулятором выполнения требований ФЗ-152 и выявления нарушений законодательства в данной сфере.
Страховые компании, чьи услуги в большой степени являются персонализированными и оказываются индивидуально гражданам-физическим лицам, одними из первых должны обеспечивать безопасность обрабатываемых персональных данных своих клиентов. Тем более что существует реальный риск нанесения ущерба операционной деятельности компании вследствие санкций регулятора, применяемых за неисполнение законодательства по защите персональных данных. Причем риск этот проявляется как в случае возникновения инцидентов с нарушением безопасности персональных данных, так и в случае проведения проверки государственным регулятором выполнения требований Федерального закона № 152-ФЗ и выявления нарушений законодательства в данной сфере.
|
|
|
Организация защиты персональных данных в страховых компаниях имеет ряд особенностей, учет которых обеспечит не только выполнение требований указанного Федерального закона, но и поможет наиболее рационально использовать имеющиеся у компании ресурсы для создания системы защиты персональных данных.
В информационных системах страховых компаний обрабатываются как персональные данные клиентов (страхователей, застрахованных лиц и выгодоприобретателей), так и персональные данные собственных сотрудников (возможно также и акционеров-физических лиц).
Правовым обоснованием обработки персональных данных клиентов страховых компаний являются такие нормативно-правовые акты, как Гражданский кодекс РФ, в т. ч. раздел III («Общая часть обязательственного права»), раздел IV («Отдельные виды обязательств»), глава 48 («Страхование»), закон РФ от 27.11.1992 г. № 4015-1 «Об организации страхового дела в РФ», закон РФ от 28 июля 1991 г. № 1499-1 «О медицинском страховании граждан в Российской Федерации», закон РФ от 25.04.2002 г. № 40_ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств».
Правовым основанием обработки персональных данных собственных сотрудников является трудовое законодательство Российской Федерации, в том числе - Трудовой кодекс (глава 14) и Постановление Госкомстата РФ от 5 января 2004 г. № 1 Принятый в 2006 г ФЗ_152 «О персональных данных» в явном виде установил требования по обеспечению безопасности в информационных системах, обрабатывающих персональные данные (ИСПДн), а также срок, до которого существующие ИСПДн должны быть приведены в соответствие с указанными требованиями. Под действие указанного закона попала деятельность различных предприятий и организаций в самых разнообразных областях экономики.
|
|
|
Одной из самых острых проблем для участников страхового рынка остается подготовка к исполнению новых требований закона «О защите персональных данных».
На конференции «Script ‘n’ Sure Summit. Информационные технологии для страхового рынка 2010» обсуждались текущие проблемы страховых компаний в области автоматизации бизнеса, модернизации управления и существующие подходы к решению этих проблем. Однако больше всего вопросов было связано с исполнением требований Федерального закона № 152-ФЗ.
Некоторые организации были вынуждены начать проекты на приведение своих информационных систем в соответствие федеральному закону в связи с требованиями обязательного медицинского страхования, так как с точки зрения закона о защите персональных данных вопросы к ним начали предъявлять раньше других.
Так в РОСНО было принято решение не приводить каждую информационную систему к общим требованиям, а использовали единое средство защиты для всех систем. Когда в компании используется не одна система, а множество, то среди них есть те, которые находятся на разных этапах жизненного цикла. Какие-то решения через год могут быть заменены на иные, поэтому доводить их путем доработок под требования регуляторов не имеет смысла. Кроме того, та модель, которую выбрала компания, позволяет быстро адаптироваться к различным изменениям.
Однако сейчас положение с законом о защите персональных данных постепенно приближается к стадии, на которой работу должны продолжить технические эксперты. Все чаще встает вопрос: как оценивать те меры, которые были приняты операторами персональных данных, чтобы соответствовать требованиям законодательства? А во-вторых, как государственный регулятор будет оценивать выполнение этих требований?
Многие полагают, что при наличии у компании некоего аттестата к ней не будет претензий со стороны надзорных органов. Однако практика инспекционной деятельности, например ФСТЭК, которая сейчас существует только для государственных информационных систем и для систем, связанных с защитой государственной тайны, показывает, что после проверки необходимого комплекта документов начинается реальный контроль. В тех случаях когда речь идет о информационных системах, связанных с защитой госудрственной тайны, работа инспектора понятна, так как на законодательном уровне закреплено использование только сертифицированных средств, а их не так уж много, и инспектор знает, что проверять. Но как только в сферу деятельности инспектора попадают коммерческие компании, от которых на данный момент не требуется использования только сертифицированных средств, то у инспектора возникает вопрос: а как проверять то или иное программное решение, которое он никогда не видел, не знает и не понимает всех тонкостей его настроек?
|
|
|
Одним из решений этой проблемы может стать применение инструментальных средств, которые позволяют инспектору, не являющемуся специалистом в данном программном обеспечении, проводить проверку функций информационной безопасности. В логику работы такого инструментального средства «зашивается» набор стандартов относительно того, как должна быть настроена данная информационная система или СУБД, для того чтобы предотвратить большинство потенциальных угроз. Обычно такие стандарты строятся на основании рекомендаций самого разработчика. Так, например, для решений Oracle такой список содержит 100-120 требований.
Кроме того, в автоматизированных средствах анализа защищенности должна появиться возможность подтверждения соответствия на основании собранных доказательств. В этом случае сам оператор персональных данных, просканировав сеть средствами анализа защищенности, сформирует отчет, а инспектор сможет ограничиться только проверкой этого отчета или выборочной проверкой каких-то функций. Но для этого должны быть сформулированы определенные технические условия со стороны регулятора, и эти инструментальные средства должны пройти контроль на соответствие этим требованиям. Сейчас ФСТЭК рассматривает порядка четырех-пяти подобных решений. Поэтому есть надежда, что уже к концу этого года появится набор подтвержденных внутри ведомства методических документов и нормативных актов, которые устанавливают понятную всем участникам процедуру приведения информационных систем в соответствие с требованиями закона о персональных данных и контроля над соответствием этим требованиям.
|
|
|
Организация защиты персональных данных в страховых компаниях имеет ряд особенностей, учет которых обеспечит не только выполнение требований Федерального закона № 152-ФЗ, но и поможет наиболее рационально использовать имеющиеся у компании ресурсы для создания системы защиты персональных данных.
Бывает четыре класса персональных данных. Для определения мер по защите необходимо провести классификацию. Классификация необходима для определения перечня организационных и технических мероприятий, необходимых для обеспечения безопасности персональные данные. Проведение классификации позволяет реализовать дифференцированный подход к обеспечению безопасности персональные данные в зависимости от объема обрабатываемых персональные данные и угроз безопасности и минимизировать затраты на защиту ИС персональные данные.
Основные критерии:
категория обрабатываемых в страховой компании персональных данных
объем обрабатываемых в страховой компании персональных данных
Дополнительные критерии
структура информационной системы страховой компании (локальные, распределенные)
наличие подключений к сетям общего пользования (Интернет, и др.)
режим обработки персональные данные (однопользовательские, многопользовательские)
наличие разграничения прав доступа к персональные данные
распределенность ИС (в пределах РФ, частично за пределами РФ)
Классы персональных данных:
категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
категория 3 - ПД, позволяющие идентифицировать субъекта ПД;
категория 4 - обезличенные и (или) общедоступные ПД.
Таблица 1. Классы персональных данных
| Количество субъектов ПД Категории ПД | < 1000 | От 1000 до 100 000 | > 100 000 |
| категория 4 | К4 | К4 | К4 |
| категория 3 | К3 | К3 | К2 |
| категория 2 | К3 | К2 | К1 |
| категория 1 | К1 | К1 | К1 |
В страховых компаниях чаще всего используется класс персональных данных К1. Особенности защиты класса К1:
Управление доступом по классу 1В (3А, 2А)
Применение межсетевых экранов по классу 3
Резервное копирование на отчуждаемые носители
Шифрование персональных данных на носителях
Применение антивирусных программ на АРМ
Необходимость исключения утечки персональных данных за счет побочного электромагнитного излучение и наводок
Применение специальных защищенных средств обработки
|
|
|
