Отраслевой стандарт защиты персональных данных для НПФ
Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и компания LETA IT-company объявили о завершении разработки отраслевого стандарта защиты персональных данных (ПДн) для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн (СЗПДн) в НПФ.
Применение стандарта ускорит выполнение проектов и снизит их стоимость, уменьшит риск ошибок, позволит НПФ эффективнее взаимодействовать с исполнителями и регуляторами, а также упростит работу надзорных органов. Более того, стандарт можно будет применять при реализации и контроле исполнения норм законодательства в масштабах всего рынка пенсионного страхования России.
Необходимость отраслевого стандарта защиты ПДн обусловлена рядом особенностей рынка пенсионного страхования. Так, деятельность НПФ предусматривает получение, обработку и хранение в информационных системах больших объемов персональных данных вкладчиков, страхователей, участников и застрахованных лиц. При этом информационные системы НПФ, как правило, имеют территориально распределенный характер, а обрабатываемые ПДн относятся к различным категориям, вплоть до высшей. Все это значительно повышает организационно-технические требования к системам защиты ПДн, а также требует более тесного взаимодействия с регуляторами на всех этапах жизненного цикла этих систем. Вместе с тем процессы сбора и обработки информации в различных НПФ в высокой степени типизированы, а многие из них соответствуют ранее разработанным стандартам НАПФ. Все это позволяет вынести значительную часть работы за рамки конкретного проекта по защите ПДн, унифицировать подход к защите персональных данных и предложить единые критерии и процедуры, охватывающие весь жизненный цикл систем защиты.
Инициатором создания стандарта выступила Национальная ассоциация негосударственных пенсионных фондов; разработку провела LETA IT-company в постоянном сотрудничестве с НАПФ. Разработка проходила в рамках действующей в НАПФ системы стандартизации.
Стандарт предлагает целостный подход к созданию и управлению жизненным циклом СЗПДн, полностью адаптированный к специфике негосударственных пенсионных фондов и отвечающий требованиям действующей нормативной базы в области защиты ПДн. В ходе работы над стандартом решена масштабная задача: создан пакет нормативно-правовой документации по защите ПДн для всей вертикали негосударственных пенсионных фондов – членов НАПФ. При этом детализация и методическая выверенность документов, наличие готовых шаблонов и всей необходимой справочной информации позволяют непосредственно использовать пакет в реальных проектах. Стандарт регламентирует порядок, правила и методику создания и аттестации систем защиты персональных данных в НПФ, причем документы охватывают все стадии обработки и защиты ПДн. В стандарт также включены полный пакет типовых организационно-распорядительных документов (ОРД) и свод детальных рекомендаций по формированию ОРД для обеспечения обработки и защиты ПДн.
В рамках проекта была разработана оригинальная методика составления модели угроз и определения актуальных угроз безопасности персональных данных при их обработке в информационных системах пенсионного фонда; создана базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.