Разработан отраслевой стандарт по защите ПДн для негосударственных пенсионных фондов

14.02.2011

Необходимость отраслевого стандарта защиты ПДн обусловлена рядом особенностей рынка пенсионного страхования. Деятельность НПФ предусматривает получение, обработку и хранение в информационных системах больших объемов персональных данных физических лиц. При этом информационные системы НПФ, как правило, имеют территориально-распределенный характер, а обрабатываемые ПДн относятся к различным категориям, вплоть до высшей. Все это значительно повышает организационно-технические требования к системам защиты персональных данных в НПФ.

Применение данного стандарта ускорит выполнение и снизит стоимость проектов, уменьшит риск ошибок и длительных циклов их исправления, позволит НПФ эффективнее взаимодействовать с исполнителями и регуляторами, а также упростит работу надзорных органов. Более того, стандарт можно будет применять при реализации и контроле исполнения норм законодательства в масштабах всего рынка пенсионного страхования России.

Стандарт предлагает целостный подход к созданию и управлению персональными данными и отвечает требованиям действующей нормативно-правовой базы. В ходе работы над ним создан пакет нормативно-правовой документации по защите ПДн для всей вертикали негосударственных пенсионных фондов-членов НАПФ. При этом детализация и методическая выверенность документов, наличие готовых шаблонов и всей необходимой справочной информации позволяют непосредственно использовать пакет в реальных проектах.

Стандарт регламентирует порядок, правила и методику создания и аттестации систем защиты персональных данных в НПФ, причем документы охватывают все стадии обработки и защиты ПДн, включая этапы планирования, реализации, контроля и корректировки соответствующих мероприятий. Также даны детальные рекомендации по всему спектру вопросов создания СЗПДн – от разъяснения принципов защиты ПДн, выявления, описания и классификации информационных систем персональных данных до применения конкретных методов обеспечения безопасности в ИСПДн различных классов.

Стандарт охватывает все составляющие СЗПДн: физическая защита и контроль физического доступа; назначение и распределение ролей, обязанностей и полномочий; управление доступом в ИСПДн; организация антивирусной защиты, межсетевого экранирования; применение криптографических средств; обнаружение атак и вторжений; мониторинг и регистрация действий пользователей, контроль работы в Интернет; резервное копирование ПО и информации, содержащей персональные данные; учет, контроль обращения и уничтожение носителей информации и мобильных устройств и др.

По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн /СЗПДн/ в НПФ.

Источник: http://www.bit.prime-tass.ru/news/show.asp?id=78437