НАПФ и Leta IT-company разработали стандарт защиты персональных данных
Национальная ассоциация негосударственных пенсионных фондов и Leta IT-company завершили разработку отраслевого стандарта защиты персональных данных для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты персональных данных (СЗПДн) в НПФ.
Применение данного стандарта ускорит выполнение и снизит стоимость проектов, уменьшит риск ошибок и длительных циклов их исправления, позволит НПФ эффективнее взаимодействовать с исполнителями и регуляторами, а также упростит работу надзорных органов.
Необходимость отраслевого стандарта защиты ПДн обусловлена особенностями рынка пенсионного страхования. Деятельность НПФ предусматривает получение, обработку и хранение в информационных системах больших объемов персональных данных вкладчиков, страхователей, участников и застрахованных лиц. При этом информационные системы НПФ, как правило, имеют территориально-распределенный характер, а обрабатываемые ПДн относятся к различным категориям. Все это значительно повышает организационно-технические требования к системам защиты персональных данных и требует тесного взаимодействия с регуляторами на всех этапах жизненного цикла СЗПДн. Вместе с тем процессы сбора и обработки информации в различных НПФ в высокой степени типизированы, а многие из них соответствуют ранее разработанным стандартам НАПФ. Это позволяет вынести значительную часть работы за рамки конкретного проекта по защите ПДн, унифицировать подход к защите персональных данных и предложить единые критерии и процедуры, охватывающие весь жизненный цикл СЗПДн.
Инициатором создания стандарта выступила Национальная ассоциация негосударственных пенсионных фондов. Разработку провела Leta IT-company. Выбор исполнителя связан с тем, что компания Leta выполнила целый ряд соответствующих проектов в негосударственных пенсионных фондах, имеет оригинальные методические разработки в области защиты ПДн. Кроме того, внедрение различных универсальных и отраслевых стандартов в сфере ИБ является одной из ключевых специализаций компании.
В ходе работы над стандартом создан пакет нормативно-правовой документации по защите ПДн для всей вертикали негосударственных пенсионных фондов – членов НАПФ. При этом детализация и методическая выверенность документов, наличие готовых шаблонов и всей необходимой справочной информации позволяют непосредственно использовать пакет в реальных проектах.
Стандарт регламентирует порядок, правила и методику создания и аттестации систем защиты персональных данных в НПФ. Также даны детальные рекомендации по всему спектру вопросов создания СЗПДн – от разъяснения принципов защиты ПДн, выявления, описания и классификации информационных систем персональных данных до применения конкретных методов обеспечения безопасности в ИСПДн различных классов. В стандарт также включены полный пакет типовых организационно-распорядительных документов и свод детальных рекомендаций по формированию ОРД для обеспечения обработки и защиты ПДн.
В рамках проекта была разработана оригинальная методика составления модели угроз и определения актуальных угроз безопасности персональных данных при их обработке в информационных системах пенсионного фонда. Также создана базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
"Сложившаяся на рынке практика приведения информационных систем обработки персональных данных в соответствие требованиям Закона № 152-ФЗ показала всю сложность выполнения положений нормативно-правовой базы. Различие методических подходов и существование множества альтернатив при реализации одних и тех же требований нередко приводит к тому, что в компаниях одной сферы деятельности сходные проекты дают совершенно разные результаты. Такая "разноголосица" при реализации российскими негосударственными пенсионными фондами общего для всех свода требований не только нарушила бы внутренние взаимосвязи организации, но и могла стать дестабилизирующим фактором для всего рынка негосударственного пенсионного обеспечения, затруднить выполнение требований по защите ПДн среди НПФ, осложнить общий ход выполнения законодательных требований по защите ПДн в масштабах страны, – прокомментировал Константин Угрюмов, президент Национальной ассоциации негосударственных пенсионных фондов. – Отраслевой стандарт по защите персональных данных сделан именно для того, чтобы снять все эти риски и получить методологически и содержательно качественный продукт. Участие в разработке экспертов НАПФ и Leta IT-company гарантирует соответствие этого документа реалиям российского рынка".
"Высокие требования к защите персональных данных в пенсионных фондах – не прихоть регулятора, а объективная необходимость, обусловленная характером и объемами информации, которой оперируют современные НПФ. Было бы чрезвычайно расточительно, чтобы каждый фонд "с нуля" решал задачу защиты ПДн, не учитывая сходства бизнес-процессов и типизации крупных организационно-технических блоков решения, – отметил Андрей Конусов, генеральный директор Leta IT-company. – Естественно, отраслевой стандарт защиты ПДн максимально использует эти возможности. Мы вложили в эту работу методические наработки, знания и опыт множества реальных проектов по защите ПДн в НПФ и других отраслях. Уверен, что созданный пакет документации позволит российским НПФ резко снизить риски на пути внедрения систем защиты, отвечающих требованиям российского законодательства".
© @Astera