Статья

Персональные данные в страховании: между законом и здравым смыслом

Безопасность Госрегулирование Стратегия безопасности Новости поставщиков
мобильная версия

Страховой бизнес – один из самых сложных с точки зрения выполнения норм, определяющих порядок обработки персональных данных (ПД) и обеспечение их безопасности. Проблемы вызывает практически все – и отнесение участников системы страхования к операторам ПД, и правомерность обработки, в первую очередь – передачи персональных данных различных категорий, а также формы получения согласия субъектов, выбор мер технической защиты, и многое другое. При этом значительная часть сложностей может быть нивелирована за счет применения современных программных продуктов, в числе которых – разработки компании "Код Безопасности".

Реализация в России нового для нее законодательства о персональных данных показывает, что специфика определенных видов деятельности существенно влияет на достижение соответствия закону и изменчивым требованиям регуляторов (ФСТЭК, ФСБ). Данные требования, к тому же, как показывает практика правоприменения, не имеют не только единой точки зрения на сложные вопросы законодательства, но и механизмов выработки такого консолидированного мнения.

Значительное количество проблем у страховщиков возникает при реализации требований по технической защите персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) страховых компаний, а также на компьютерах взаимодействующих с ними лиц – брокеров, агентов, актуариев.

ИТ-проблемы страховщиков

Сложность ситуации отчасти обусловлена тем, что "Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн", утвержденное постановлением правительства РФ от 17.11.2007 № 781, требует реализации требований по обеспечению безопасности информации только от разработчиков средств защиты информации, не говоря ни слова о требованиях к тем, кто разрабатывает прикладное ПО, изначально предназначенное для обработки персональных данных, в частности – в страховых компаниях.

Именно на плечи этих специалистов ложится вся работа по организации выполнения установленных законом требований и ответственность за их реализацию.

Наиболее значимые ИТ-проблемы

  • большое количество обрабатываемых записей в системе, содержащих персональные данные, и, как следствие – высокий класс ИСПДн, требующий принятия дорогостоящих и сложных мер обеспечения безопасности;
  • необходимость применения средств защиты информации, прошедших процедуру оценки соответствия или тематические исследования;
  • сложная архитектура ИСПДн страховой компании, весьма затрудняющая возможность использования без потерь производительности и пропускной способности наложенных средств защиты;
  • территориальная распределенность компаний, использование в качестве транспорта интернета и незащищенных каналов связи;
  • необходимость удаленного доступа к ИСПДн, в том числе – с неконтролируемых компьютеров, персонала, агентов, брокеров, актуариев, клиентов, для которых многие страховые компании создают специальные личные кабинеты;
  • необходимость применения современных технологий, таких, как виртуализация, облачная архитектура, терминальный доступ, для обеспечения конкурентоспособности бизнеса и снижения совокупной стоимости владения информационной инфраструктурой.

Отсутствие единых стандартов и подходов к обеспечению безопасности обработки персональных данных в страховом бизнесе делает практически невозможным применение каких-либо иных способов оценки соответствия средств защиты информации (СЗИ), кроме их сертификации. Существующая же система обязательной сертификации изначально создавалась для средств защиты информации, составляющей государственную тайну, и по понятным причинам является весьма жесткой и консервативной, не учитывающей быстрое развитие информационных технологий, что значительно сужает круг продуктов, которые могут быть использованы для нейтрализации актуальных угроз персональным данным, обрабатываемым в ИСПДн страховых компаний.

В этих условиях предпочтительным становится применение средств защиты информации отечественных производителей, многие из которых сертифицируют в системах ФСБ и ФСТЭК практически все свои продукты, причем не только по функциональным требованиям в соответствии с руководящими документами, а, при их отсутствии – в соответствии с техническим условиями, но и по требованиям отсутствия недекларированных возможностей, что требует предоставления для анализа исходного кода (на что так неохотно идут зарубежные производители).