25-го января появилось две новости о создании отраслевых стандартов по тематике персональных данных.
Национальная ассоциация участников фондового рынка разработала для своих членов стандарт «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами - профессиональными участниками рынка ценных бумаг», а также методические рекомендации к нему.
Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и Leta IT-company объявили о завершении разработки отраслевого стандарта защиты персональных данных для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн в НПФ. А пока стандарт можно скачать на сайте НАПФ.
Рекомендации НАУФОР нельзя скачать :(
ОтветитьУдалитьУ LETA хороший материал, очень внятный, мне нравится. Но чем больше таких стандартов одобряет ФСТЭК, тем глубже констатация, что его документы совершенно не для людей. Получается, что он только еще более девальвирует общегосударственную нормативку этим.
ОтветитьУдалить> он только еще более девальвирует общегосударственную нормативку этим
ОтветитьУдалитьПринимая во внимание, что ФСТЭК же является и разработчиком, то девальвирует он в конечном счете себя самого. Хотя, с другой стороны - куда уж больше. Поэтому согласование таких документов наоборот добавляет баллы к абсолютному минусу.
Волков, Вы все же определитесь: либо куда уж, либо добавляет ))
ОтветитьУдалитьк А
ОтветитьУдалитьЭто как документы Тритона..(
Или как Пиво только членам профсоюза.
А за НАПФ - спасибо, надо будет почитать.
Коллеги, небольшая ремарка от человека, который участвовал в разработке стандартов для НАПФ. Они пока еще не согласованы со ФСТЭК/ФСБ. Сейчас это только планируется, но НАПФ решил подождать изменений в 152-ФЗ, чтобы потом 2 раза не согласовывать.
ОтветитьУдалитьНу и конструктивную критику готовы услышать, задача у нас была непростая, с одной стороны сделать более человеческие документы, с другой все же не идти вразрез с требованиями ФСТЭК/ФСБ. Всегда есть что улучшить, так что будем надеяться, что НАПФ все же будет развивать эти стандарты, как это делает ЦБ.
А.Б.: пункт приема критики организуйте сначала.
ОтветитьУдалитьПожалуйста :)
ОтветитьУдалитьabondarenko (соб@ка) leta.ru
Ригелю: а мне-то что - я сторонний наблюдатель. Для мну все зависит от угла обзора. Упрусь носом в проблему - "куда уж больше". Отодвинусь на расстояние - "добавляет баллов". Это ФСТЭК пущай оперделяется - where do they want to go today.
ОтветитьУдалитьВ Газпроме в системе СТО Р недавно появились стандарты по ПД.
ОтветитьУдалитьВ Газпроме они появились еще в прошлом году. Но там тоже не без нюансов. Но если "резниковский" законопроект пройдет в том виде, как я видел в варианте ко второму чтению, то все отраслевые стандарты нафиг будут не нужны ;-)
ОтветитьУдалить> все отраслевые стандарты нафиг будут не нужны
ОтветитьУдалитьЕсли рассматривать их как способ облегчить себе жизнь - то наверное да. А если как набор регламентирующих документов, описывающих правила построения системы - очень даже пригодятся.
Кто-нибудь читал документы НАУФОР? Есть возможность скачать с другого ресурса? И стоит?
ОтветитьУдалитьНикогда не понимала ресурсы, на которых можно качать документы только "своим". Или им стыдно их показывать широкой массе, или ребята пытаются подражать ФСТЭК: "А давайте сделаем документ ДСП? А давайте!" (в тему 330 ПП)
Не состоите в НАУФОР - не стоит :)
ОтветитьУдалитьА.Б.: отгрузил, проверяйте
ОтветитьУдалитьАлексею Волкову:
ОтветитьУдалитьдумаете, ничего полезного там нет?
to Анна: ничего радикально нового :)
ОтветитьУдалить>Никогда не понимала ресурсы, на которых можно качать документы только "своим".
ОтветитьУдалитьНичего удивительного. Скажу на примере Тритон. Организации, входящие в Инфокоммуникационный союз (скажем проще - сотовые операторы большой тройки)наняли за немалые деньги интегратора для разработки документов для себя. После этого - отчего ж они будут за бесплатно с кем-то делиться?
Может вызвать вопрос то как эти документы могут претендовать на стандарт отрасли, если они недоступны, но на самом деле и многие международные стандарты (ИСО например)тоже ведь за деньги ;-)
Этот комментарий был удален автором.
ОтветитьУдалитьГде и как можно почитать стандарт НАУФОРа?
ОтветитьУдалитьА зачем? Вы член НАУФОР? Тогда вам доступ открыт на сайте НАУФОР. Если не член, то зачем вам стандарт? Там ничего нового нет - очень сильно урезанная версия СТО БР ИББС.
ОтветитьУдалитьДля Науфора стандарты разработала ООО «Инфосекьюрити Сервис» - загадочная организация...
ОтветитьУдалитьПо НАПФ - хорошие рекомендации, достаточные как базовые для Фондов. Хотя конечно самостоятельно реализовать мероприятия по защите на их основе у Фондов не получится. Но тупо принять и применять ОРД - легко. Единственное специфики именно Фондов недостаточно, ИМХО. Вопросы возникают именно из-за специфики - обработки ПДн администраторами фондов, использование ИТ, помещений и ресурсов администраторов Фондов. Но всё равно, Лете спасибо за работу а НАПФу что не стал их прятать. Интересно было сравнивать с документами, которые уже утверждены у некоторых членов НАПФ.