Правовое регулирование защиты информации в страховой сфере
Диссертация - Юриспруденция, право, государство
Другие диссертации по предмету Юриспруденция, право, государство
оны регулятора, и эти инструментальные средства должны пройти контроль на соответствие этим требованиям. Сейчас ФСТЭК рассматривает порядка четырех-пяти подобных решений. Поэтому есть надежда, что уже к концу этого года появится набор подтвержденных внутри ведомства методических документов и нормативных актов, которые устанавливают понятную всем участникам процедуру приведения информационных систем в соответствие с требованиями закона о персональных данных и контроля над соответствием этим требованиям.
Организация защиты персональных данных в страховых компаниях имеет ряд особенностей, учет которых обеспечит не только выполнение требований Федерального закона № 152-ФЗ, но и поможет наиболее рационально использовать имеющиеся у компании ресурсы для создания системы защиты персональных данных.
Бывает четыре класса персональных данных. Для определения мер по защите необходимо провести классификацию. Классификация необходима для определения перечня организационных и технических мероприятий, необходимых для обеспечения безопасности персональные данные. Проведение классификации позволяет реализовать дифференцированный подход к обеспечению безопасности персональные данные в зависимости от объема обрабатываемых персональные данные и угроз безопасности и минимизировать затраты на защиту ИС персональные данные.
Основные критерии:
категория обрабатываемых в страховой компании персональных данных
объем обрабатываемых в страховой компании персональных данных
Дополнительные критерии
структура информационной системы страховой компании (локальные, распределенные)
наличие подключений к сетям общего пользования (Интернет, и др.)
режим обработки персональные данные (однопользовательские, многопользовательские)
наличие разграничения прав доступа к персональные данные
распределенность ИС (в пределах РФ, частично за пределами РФ)
Классы персональных данных:
категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
категория 3 - ПД, позволяющие идентифицировать субъекта ПД;
категория 4 - обезличенные и (или) общедоступные ПД.
Таблица 1. Классы персональных данных
Количество субъектов ПД Категории ПД 100 000категория 4К4К4К4категория 3К3К3К2категория 2К3К2К1категория 1К1К1К1
В страховых компаниях чаще всего используется класс персональных данных К1. Особенности защиты класса К1:
Управление доступом по классу 1В (3А, 2А)
Применение межсетевых экранов по классу 3
Резервное копирование на отчуждаемые носители
Шифрование персональных данных на носителях
Применение антивирусных программ на АРМ
Необходимость исключения утечки персональных данных за счет побочного электромагнитного излучение и наводок
Применение специальных защищенных средств обработки