26.1.11

2 новых отраслевых стандарта по ПДн

25-го января появилось две новости о создании отраслевых стандартов по тематике персональных данных.

Национальная ассоциация участников фондового рынка разработала для своих членов стандарт «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами - профессиональными участниками рынка ценных бумаг», а также методические рекомендации к нему.

 Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и Leta IT-company объявили о завершении разработки отраслевого стандарта защиты персональных данных для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн в НПФ. А пока стандарт можно скачать на сайте НАПФ.

22 коммент.:

A комментирует...

Рекомендации НАУФОР нельзя скачать :(

Ригель комментирует...

У LETA хороший материал, очень внятный, мне нравится. Но чем больше таких стандартов одобряет ФСТЭК, тем глубже констатация, что его документы совершенно не для людей. Получается, что он только еще более девальвирует общегосударственную нормативку этим.

Alexey Volkov комментирует...

> он только еще более девальвирует общегосударственную нормативку этим

Принимая во внимание, что ФСТЭК же является и разработчиком, то девальвирует он в конечном счете себя самого. Хотя, с другой стороны - куда уж больше. Поэтому согласование таких документов наоборот добавляет баллы к абсолютному минусу.

Ригель комментирует...

Волков, Вы все же определитесь: либо куда уж, либо добавляет ))

Анонимный комментирует...

к А
Это как документы Тритона..(
Или как Пиво только членам профсоюза.
А за НАПФ - спасибо, надо будет почитать.

Александр Бондаренко комментирует...

Коллеги, небольшая ремарка от человека, который участвовал в разработке стандартов для НАПФ. Они пока еще не согласованы со ФСТЭК/ФСБ. Сейчас это только планируется, но НАПФ решил подождать изменений в 152-ФЗ, чтобы потом 2 раза не согласовывать.
Ну и конструктивную критику готовы услышать, задача у нас была непростая, с одной стороны сделать более человеческие документы, с другой все же не идти вразрез с требованиями ФСТЭК/ФСБ. Всегда есть что улучшить, так что будем надеяться, что НАПФ все же будет развивать эти стандарты, как это делает ЦБ.

Ригель комментирует...

А.Б.: пункт приема критики организуйте сначала.

Александр Бондаренко комментирует...

Пожалуйста :)
abondarenko (соб@ка) leta.ru

Alexey Volkov комментирует...

Ригелю: а мне-то что - я сторонний наблюдатель. Для мну все зависит от угла обзора. Упрусь носом в проблему - "куда уж больше". Отодвинусь на расстояние - "добавляет баллов". Это ФСТЭК пущай оперделяется - where do they want to go today.

Дмитрий комментирует...

В Газпроме в системе СТО Р недавно появились стандарты по ПД.

Алексей Лукацкий комментирует...

В Газпроме они появились еще в прошлом году. Но там тоже не без нюансов. Но если "резниковский" законопроект пройдет в том виде, как я видел в варианте ко второму чтению, то все отраслевые стандарты нафиг будут не нужны ;-)

Alexey Volkov комментирует...

> все отраслевые стандарты нафиг будут не нужны

Если рассматривать их как способ облегчить себе жизнь - то наверное да. А если как набор регламентирующих документов, описывающих правила построения системы - очень даже пригодятся.

Анна комментирует...

Кто-нибудь читал документы НАУФОР? Есть возможность скачать с другого ресурса? И стоит?
Никогда не понимала ресурсы, на которых можно качать документы только "своим". Или им стыдно их показывать широкой массе, или ребята пытаются подражать ФСТЭК: "А давайте сделаем документ ДСП? А давайте!" (в тему 330 ПП)

Alexey Volkov комментирует...

Не состоите в НАУФОР - не стоит :)

Ригель комментирует...

А.Б.: отгрузил, проверяйте

Анна комментирует...

Алексею Волкову:
думаете, ничего полезного там нет?

Alexey Volkov комментирует...

to Анна: ничего радикально нового :)

Анонимный комментирует...

>Никогда не понимала ресурсы, на которых можно качать документы только "своим".

Ничего удивительного. Скажу на примере Тритон. Организации, входящие в Инфокоммуникационный союз (скажем проще - сотовые операторы большой тройки)наняли за немалые деньги интегратора для разработки документов для себя. После этого - отчего ж они будут за бесплатно с кем-то делиться?
Может вызвать вопрос то как эти документы могут претендовать на стандарт отрасли, если они недоступны, но на самом деле и многие международные стандарты (ИСО например)тоже ведь за деньги ;-)

Евгений III комментирует...
Этот комментарий был удален автором.
Евгений III комментирует...

Где и как можно почитать стандарт НАУФОРа?

Алексей Лукацкий комментирует...

А зачем? Вы член НАУФОР? Тогда вам доступ открыт на сайте НАУФОР. Если не член, то зачем вам стандарт? Там ничего нового нет - очень сильно урезанная версия СТО БР ИББС.

Алексей Т. комментирует...

Для Науфора стандарты разработала ООО «Инфосекьюрити Сервис» - загадочная организация...
По НАПФ - хорошие рекомендации, достаточные как базовые для Фондов. Хотя конечно самостоятельно реализовать мероприятия по защите на их основе у Фондов не получится. Но тупо принять и применять ОРД - легко. Единственное специфики именно Фондов недостаточно, ИМХО. Вопросы возникают именно из-за специфики - обработки ПДн администраторами фондов, использование ИТ, помещений и ресурсов администраторов Фондов. Но всё равно, Лете спасибо за работу а НАПФу что не стал их прятать. Интересно было сравнивать с документами, которые уже утверждены у некоторых членов НАПФ.