25.01.2011 00:00
Новости.
Просмотров всего: 1782; сегодня: 1.

Национальная ассоциация негосударственных пенсионных фондов и LETA IT-company разработали отраслевой стандарт защиты персональных данных

Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и LETA IT-company – один из лидеров рынка информационной безопасности в России, ведущий оператор типизированных ИТ-услуг – объявляют о завершении разработки отраслевого стандарта защиты персональных данных (ПДн) для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн (СЗПДн) в НПФ.

Применение данного стандарта ускорит выполнение и снизит стоимость проектов, уменьшит риск ошибок и длительных циклов их исправления, позволит НПФ эффективнее взаимодействовать с исполнителями и регуляторами, а также упростит работу надзорных органов. Более того, стандарт можно будет применять при реализации и контроле исполнения норм законодательства в масштабах всего рынка пенсионного страхования России.

Необходимость отраслевого стандарта защиты ПДн обусловлена рядом особенностей рынка пенсионного страхования. Так, деятельность НПФ предусматривает получение, обработку и хранение в информационных системах больших объемов персональных данных вкладчиков, страхователей, участников и застрахованных лиц. При этом информационные системы НПФ, как правило, имеют территориально-распределенный характер, а обрабатываемые ПДн относятся к различным категориям, вплоть до высшей. Все это значительно повышает организационно-технические требования к системам защиты персональных данных, а также требует более тесного взаимодействия с регуляторами на всех этапах жизненного цикла СЗПДн. Вместе с тем процессы сбора и обработки информации в различных НПФ в высокой степени типизированы, а многие из них соответствуют ранее разработанным стандартам НАПФ. Все это позволяет вынести значительную часть работы за рамки конкретного проекта по защите ПДн, унифицировать подход к защите персональных данных и предложить единые критерии и процедуры, охватывающие весь жизненный цикл СЗПДн.

Инициатором создания стандарта выступила Национальная ассоциация негосударственных пенсионных фондов, фактически представляющая всю отрасль негосударственного пенсионного обслуживания страны. Разработку провела LETA IT-company в постоянном сотрудничестве с НАПФ. Выбор исполнителя связан с тем, что компания LETA – один из признанных лидеров рынка защиты персональных данных – выполнила целый ряд соответствующих проектов в негосударственных пенсионных фондах (в частности, в НПФ «Благосостояние»), имеет оригинальные методические разработки в области защиты ПДн, причем значительная их часть стала общедоступной. Кроме того, внедрение различных универсальных и отраслевых стандартов в сфере ИБ является одной из ключевых специализаций компании.

Отметим, что разработка проходила в рамках действующей в НАПФ системы стандартизации. Эта отлаженная совокупность требований, регламентов и процедур позволяет Ассоциации вырабатывать рекомендации, обеспечивающие оптимальную степень координации деятельности НПФ, единство и сопоставимость технологических операций фондов, способствует повышению качества предоставляемых ими услуг. Именно поэтому разработки НАПФ в области стандартизации, имеющие рекомендательный характер, находят самое широкое применение в отрасли.

Стандарт предлагает целостный подход к созданию и управлению жизненным циклом СЗПДн, полностью адаптированный к специфике негосударственных пенсионных фондов и отвечающий требованиям действующей нормативной базы в области защиты ПДн. В ходе работы над стандартом решена масштабная задача: создан пакет нормативно-правовой документации по защите ПДн для всей вертикали негосударственных пенсионных фондов – членов НАПФ. При этом детализация и методическая выверенность документов, наличие готовых шаблонов и всей необходимой справочной информации позволяют непосредственно использовать пакет в реальных проектах.

Стандарт регламентирует порядок, правила и методику создания и аттестации систем защиты персональных данных в НПФ, причем документы охватывают все стадии обработки и защиты ПДн, включая этапы планирования, реализации, контроля и корректировки соответствующих мероприятий. Также даны детальные рекомендации по всему спектру вопросов создания СЗПДн – от разъяснения принципов защиты ПДн, выявления, описания и классификации информационных систем персональных данных до применения конкретных методов обеспечения безопасности в ИСПДн различных классов. При этом рассмотрены все составляющие СЗПДн: физическая защита и контроль физического доступа; назначение и распределение ролей, обязанностей и полномочий; управление доступом в ИСПДн; организация антивирусной защиты, межсетевого экранирования; применение криптографических средств; обнаружение атак и вторжений; мониторинг и регистрация действий пользователей, контроль работы в Интернете; резервное копирование ПО и информации, содержащей персональные данные; учет, контроль обращения и уничтожение носителей информации и мобильных устройств и др.

Также в стандарт включены полный пакет типовых организационно-распорядительных документов (ОРД) и свод детальных рекомендаций по формированию ОРД для обеспечения обработки и защиты ПДн.

Особо отметим, что в рамках проекта была разработана оригинальная методика составления модели угроз и определения актуальных угроз безопасности персональных данных при их обработке в информационных системах пенсионного фонда. Также создана базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.

«Сложившаяся на рынке практика приведения информационных систем обработки персональных данных в соответствие требованиям Закона № 152-ФЗ показала всю сложность выполнения положений нормативно-правовой базы. Различие методических подходов и существование множества альтернатив при реализации одних и тех же требований нередко приводит к тому, что в компаниях одной сферы деятельности сходные проекты дают совершенно разные результаты. Такая “разноголосица” при реализации российскими негосударственными пенсионными фондами общего для всех свода требований не только нарушила бы внутренние взаимосвязи организации, но и могла стать дестабилизирующим фактором для всего рынка негосударственного пенсионного обеспечения, затруднить выполнение требований по защите ПДн среди НПФ, осложнить общий ход выполнения законодательных требований по защите ПДн в масштабах страны, – говорит Константин Угрюмов, президент Национальной ассоциации негосударственных пенсионных фондов. – Отраслевой стандарт по защите персональных данных сделан именно для того, чтобы снять все эти риски и получить методологически и содержательно качественный продукт. Участие в разработке экспертов НАПФ и LETA IT-company гарантирует соответствие этого документа реалиям российского рынка».

«Высокие требования к защите персональных данных в пенсионных фондах – не прихоть регулятора, а объективная необходимость, обусловленная характером и объемами информации, которой оперируют современные НПФ. Было бы чрезвычайно расточительно, чтобы каждый фонд “с нуля” решал задачу защиты ПДн, не учитывая сходства бизнес-процессов и типизации крупных организационно-технических блоков решения, – говорит Андрей Конусов, генеральный директор LETA IT-company. – Естественно, отраслевой стандарт защиты ПДн максимально использует эти возможности. Логично, что эту работу инициировала Ассоциация, объединяющая всю отрасль негосударственного пенсионного обслуживания. Участие в разработке этого стандарта, важного и для НПФ, и для всего населения страны, – большая честь для нашей компании. Мы вложили в эту работу методические наработки, знания и опыт множества реальных проектов по защите ПДн в НПФ и других отраслях. Уверен, что созданный пакет документации позволит российским НПФ резко снизить риски на пути внедрения систем защиты, отвечающих требованиям российского законодательства».


Ньюсмейкер: LETA Group — 183 публикации
Поделиться:

Интересно:

История ювелирного дела в России
21.11.2024 17:36 Аналитика
История ювелирного дела в России
С древних времен людей привлекают изделия из драгоценных металлов. Современные ювелиры в основном специализируются на изготовлении украшений, но исторически эти мастера также производили столовое серебро, декоративную и полезную утварь, а также церемониальные и религиозные предметы...
Аэронавты, совершившие первый в истории полет на воздушном шаре
21.11.2024 09:04 Новости
Аэронавты, совершившие первый в истории полет на воздушном шаре
241 год назад состоялся первый в истории полет человека на воздушном шаре, который изобрели братья Монгольфье. 21 ноября 1783 года из замка в окрестностях Парижа в полет на чудо-аппарате диаметром 15,5 метра и высотой 24 метра, отправились французы - физик Жан-Франсуа Пилатр де Розье и маркиз...
В РФ более 6,7 млн женщин ведут деятельность как ИП или самозанятая
20.11.2024 13:56 Аналитика
В РФ более 6,7 млн женщин ведут деятельность как ИП или самозанятая
В России осуществляют деятельность 4,22 млн индивидуальных предпринимателей, из которых 1,75 млн – женщины. Доля женского предпринимательства среди ИП последние годы относительно стабильна и составляет 41,5%, говорится в исследовании Корпорации МСП, приуроченном ко дню женского...
Что ждет участников Московской молодежной антарктической экспедиции
20.11.2024 11:37 Мероприятия
Что ждет участников Московской молодежной антарктической экспедиции
В столице объявили участников Московской молодежной антарктической экспедиции. По итогам отбора количество мест было увеличено с 11 до 13. Теперь школьники и студенты колледжей смогут отправиться в уникальное путешествие на самый недоступный континент нашей...
О введении в России бумажных денег (ассигнаций) в XVIII веке
20.11.2024 10:05 Аналитика
О введении в России бумажных денег (ассигнаций) в XVIII веке
29 декабря 1768 г. (9 января 1769 г.) Императрица Екатерина II издала Манифест об основании двух ассигнационных банков и выпуске ассигнаций. На учреждённые в Санкт-Петербурге и Москве банки был возложен обмен медных денег на государственные ассигнации четырёх достоинств:...