25-го января появилось две новости о создании отраслевых стандартов по тематике персональных данных.
Национальная ассоциация участников фондового рынка разработала для своих членов стандарт «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами - профессиональными участниками рынка ценных бумаг», а также методические рекомендации к нему.
Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и Leta IT-company объявили о завершении разработки отраслевого стандарта защиты персональных данных для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн в НПФ. А пока стандарт можно скачать на сайте НАПФ.
Подписаться на:
Комментарии к сообщению (Atom)
22 коммент.:
Рекомендации НАУФОР нельзя скачать :(
У LETA хороший материал, очень внятный, мне нравится. Но чем больше таких стандартов одобряет ФСТЭК, тем глубже констатация, что его документы совершенно не для людей. Получается, что он только еще более девальвирует общегосударственную нормативку этим.
> он только еще более девальвирует общегосударственную нормативку этим
Принимая во внимание, что ФСТЭК же является и разработчиком, то девальвирует он в конечном счете себя самого. Хотя, с другой стороны - куда уж больше. Поэтому согласование таких документов наоборот добавляет баллы к абсолютному минусу.
Волков, Вы все же определитесь: либо куда уж, либо добавляет ))
к А
Это как документы Тритона..(
Или как Пиво только членам профсоюза.
А за НАПФ - спасибо, надо будет почитать.
Коллеги, небольшая ремарка от человека, который участвовал в разработке стандартов для НАПФ. Они пока еще не согласованы со ФСТЭК/ФСБ. Сейчас это только планируется, но НАПФ решил подождать изменений в 152-ФЗ, чтобы потом 2 раза не согласовывать.
Ну и конструктивную критику готовы услышать, задача у нас была непростая, с одной стороны сделать более человеческие документы, с другой все же не идти вразрез с требованиями ФСТЭК/ФСБ. Всегда есть что улучшить, так что будем надеяться, что НАПФ все же будет развивать эти стандарты, как это делает ЦБ.
А.Б.: пункт приема критики организуйте сначала.
Пожалуйста :)
abondarenko (соб@ка) leta.ru
Ригелю: а мне-то что - я сторонний наблюдатель. Для мну все зависит от угла обзора. Упрусь носом в проблему - "куда уж больше". Отодвинусь на расстояние - "добавляет баллов". Это ФСТЭК пущай оперделяется - where do they want to go today.
В Газпроме в системе СТО Р недавно появились стандарты по ПД.
В Газпроме они появились еще в прошлом году. Но там тоже не без нюансов. Но если "резниковский" законопроект пройдет в том виде, как я видел в варианте ко второму чтению, то все отраслевые стандарты нафиг будут не нужны ;-)
> все отраслевые стандарты нафиг будут не нужны
Если рассматривать их как способ облегчить себе жизнь - то наверное да. А если как набор регламентирующих документов, описывающих правила построения системы - очень даже пригодятся.
Кто-нибудь читал документы НАУФОР? Есть возможность скачать с другого ресурса? И стоит?
Никогда не понимала ресурсы, на которых можно качать документы только "своим". Или им стыдно их показывать широкой массе, или ребята пытаются подражать ФСТЭК: "А давайте сделаем документ ДСП? А давайте!" (в тему 330 ПП)
Не состоите в НАУФОР - не стоит :)
А.Б.: отгрузил, проверяйте
Алексею Волкову:
думаете, ничего полезного там нет?
to Анна: ничего радикально нового :)
>Никогда не понимала ресурсы, на которых можно качать документы только "своим".
Ничего удивительного. Скажу на примере Тритон. Организации, входящие в Инфокоммуникационный союз (скажем проще - сотовые операторы большой тройки)наняли за немалые деньги интегратора для разработки документов для себя. После этого - отчего ж они будут за бесплатно с кем-то делиться?
Может вызвать вопрос то как эти документы могут претендовать на стандарт отрасли, если они недоступны, но на самом деле и многие международные стандарты (ИСО например)тоже ведь за деньги ;-)
Где и как можно почитать стандарт НАУФОРа?
А зачем? Вы член НАУФОР? Тогда вам доступ открыт на сайте НАУФОР. Если не член, то зачем вам стандарт? Там ничего нового нет - очень сильно урезанная версия СТО БР ИББС.
Для Науфора стандарты разработала ООО «Инфосекьюрити Сервис» - загадочная организация...
По НАПФ - хорошие рекомендации, достаточные как базовые для Фондов. Хотя конечно самостоятельно реализовать мероприятия по защите на их основе у Фондов не получится. Но тупо принять и применять ОРД - легко. Единственное специфики именно Фондов недостаточно, ИМХО. Вопросы возникают именно из-за специфики - обработки ПДн администраторами фондов, использование ИТ, помещений и ресурсов администраторов Фондов. Но всё равно, Лете спасибо за работу а НАПФу что не стал их прятать. Интересно было сравнивать с документами, которые уже утверждены у некоторых членов НАПФ.
Отправить комментарий