Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и LETA IT-company, российский оператор типизированных ИТ-услуг, объявили о завершении разработки отраслевого стандарта защиты персональных данных (ПДн) для негосударственных пенсионных фондов (НПФ). Предполагается, что по завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн (СЗПДн) в НПФ.
Как считают разработчики стандарта, его применение ускорит выполнение и снизит стоимость проектов по построению СЗПДн, уменьшит риск ошибок и циклы их исправления, позволит НПФ эффективнее взаимодействовать с исполнителями и регуляторами, а также упростит работу надзорных органов. Предполагается, что стандарт можно будет применять при реализации и контроле исполнения норм законодательства в масштабах всего рынка пенсионного страхования России.
Необходимость отраслевого стандарта защиты ПДн обусловлена рядом особенностей рынка пенсионного страхования. Так, деятельность НПФ предусматривает получение, обработку и хранение в информационных системах больших объемов персональных данных вкладчиков, страхователей, участников и застрахованных лиц. При этом информационные системы НПФ, как правило, имеют территориально-распределенный характер, а обрабатываемые ПДн относятся к различным категориям, вплоть до высшей. Все это значительно повышает организационно-технические требования к системам защиты персональных данных, а также требует более тесного взаимодействия с регуляторами на всех этапах жизненного цикла СЗПДн. Вместе с тем процессы сбора и обработки информации в различных НПФ в значительной степени типизированы, а многие из них соответствуют ранее разработанным стандартам НАПФ. Как заявляют разработчики, все это позволяет вынести значительную часть работы за рамки конкретного проекта по защите ПДн, унифицировать подход к защите персональных данных и предложить единые критерии и процедуры, охватывающие весь жизненный цикл СЗПДн.
Как уведомляют исполнители проекта, в ходе работы над стандартом создан пакет нормативно-правовой документации по защите ПДн для всей вертикали негосударственных пенсионных фондов — членов НАПФ. При этом детализация и методическая выверенность документов, наличие готовых шаблонов и всей необходимой справочной информации позволяют непосредственно использовать пакет в реальных проектах. Стандарт регламентирует порядок, правила и методику создания и аттестации систем защиты персональных данных в НПФ, причем документы охватывают все стадии обработки и защиты ПДн, включая этапы планирования, реализации, контроля и корректировки соответствующих мероприятий. Также даны детальные рекомендации по всему спектру вопросов создания СЗПДн — от разъяснения принципов защиты ПДн, выявления, описания и классификации информационных систем персональных данных до применения конкретных методов обеспечения безопасности в ИСПДн различных классов.