НПФ на защите персональных данных

Касина Светлана Алексеевна
Исполнительный директор Национальный НПФ
22.12.2011
 

Впервые вопрос о защите персональных данных  был официально поднят в 2006 с принятием 152-ФЗ «О персональных данных». Он обозначил практически всех юридических лиц, работающих с персональными данными (ПДн), как операторов ПДн, и обязал их привести свои информационные системы в соответствие с требованиями закона к 1 января 2010 г.

Первое прочтение 152-ФЗ негосударственными пенсионными фондами состоялось в 2007 году, когда закон вступил в силу. Тогда у пенсионного сообщества он не вызвал особых вопросов: еще не было подзаконных актов, да и времени впереди было много. Но наступил 2009 год, который принес для всех операторов персональных данных много сюрпризов. Именно тогда стало понятно, что контролирующие органы и НПФ понимают данный закон по-разному, да и разговаривают на разных языках.

Большинство негосударственных пенсионных фондов являются членами Национальной ассоциации негосударственных пенсионных фондов (НАПФ), поэтому, естественно, что в Совет Ассоциации стали поступать просьбы организовать общую работу над 152-ФЗ и дать пояснения в части его исполнения.

Письма с вопросами и от НАПФ и от НПФ пошли во всевозможные инстанции, с которыми НПФ связаны по роду своей деятельности: в Министерство здравоохранения и социального развития, ФСФР и Роскомнадзор. Уже тогда негосударственные пенсионные фонды работали более чем с 7 миллионами физических лиц по обязательному пенсионному страхованию, еще столько же приходилось на негосударственное пенсионное обеспечение. Это почти 8% от всего населения РФ. Поэтому вопрос о построении системы, которая полностью обеспечивает защиту ПДн такого объема, где не ущемляются права физических лиц, чьи данные уже хранятся, других физических лиц - работников организации и права самой организации, встал достаточно остро.

Весь 2009 год и начало 2010 года ушли на выяснение позиций, выбор направления, по которому должны идти НПФ. Весной 2010 г. совет НАПФ выступил с инициативой создать рабочую группу для разработки пакета стандартов НАПФ, определяющих порядок организации и обеспечения безопасности персональных данных. Было решено пригласить специалистов из профильной компании, так как информационная безопасность - новая область для работников пенсионного рынка.

Работа над пакетом началась в мае 2010 года, и к концу 2010 года была завершена. В результате большого, кропотливого и сложного труда родился документ «Отраслевой стандарт НАПФ», который регламентирует порядок, правила и методику создания и аттестацию систем защиты персональных данных НПФов. Документ стандарта охватывает все стадии обработки защиты персональных данных. Включает этапы планирования, реализации контроля и корректировки соответствующих мероприятий, дает детальные рекомендации по всему спектру вопросов создания систем зашиты персональных данных. Стандарт состоит из 4 документов.

Первый стандарт (стандарт 4.1) называется «Организация обработки и защиты персональных данных в НПФ». Он устанавливает требования к проведению мероприятий по обработке и защите персональных данных и служит основой для установления общих принципов, требований и правил по организации защиты персональных данных и обеспечения соответствия процессов обработки ПДн требованиям действующего законодательства. Этот стандарт предлагается сделать обязательным для НПФ - членов НАПФ, поскольку все описанные в нем нормы раскрывают законодательные требования, и эти нормы обязательны к исполнению в любом случае при осуществлении нашей лицензионной деятельности. Стандарт 4.1. -- это стандарт общего действия.

Стандарт 4.2. «Рекомендации по обеспечению безопасности персональных данных в ИСПДн (Информационных системах Персональных данных) в НПФ» - содержит и описывает перечень мероприятий, реализация которых обеспечивает безопасность персональных данных в ИСПДн, используемых негосударственными пенсионными фондами. В этом же стандарте определена классификация ИСПДн и приведена типовая базовая модель угроз безопасности, которая является универсальной для всех НПФ. Кроме того, в этом стандарте описаны рекомендации по обеспечению безопасности информационных систем разных классов. Все ИСПДн, используемые в НПФ согласно стандарту, отнесены к специальным информационным системам, соответственно их классификация осуществляется на основании анализа модели угроз безопасности. Данный стандарт предлагается НПФ как рекомендательный, поскольку учесть особенности каждого НПФ в одном типовом стандарте не представляется возможным.

Стандарт 4.3, также входящий в пакет стандартов по безопасности ПДн, называется «Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты персональных данных». Данный стандарт содержит перечень организационно-распорядительной документации (ОРД), которая должна быть в НПФ. В нем же приведены типовые положения: «Об обработке персональных данных в ИСПДн и НПФ», «По организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», «О постоянно действующей экспертной комиссии по информационной безопасности», «перечень персональных данных, обрабатываемых в НПФ» и множество других необходимых для работы типовых форм. Данный стандарт также является рекомендательным для НПФ. Если НПФ сочтет, что стандарт ему не подходит, он имеет полное право формировать ОРД по своему усмотрению.

И наконец, стандарт 4.4. «Проведение аудита на соответствие требованиям к обработке и защите персональных данных в НПФ». Этот стандарт также является рекомендательным и дает НПФ возможность путем честного и объективного заполнения анкеты оценки критериев аудита, которая представляет собой таблицу-опросник и является приложением к этому стандарту, сделать экспресс-анализ на соответствие созданной у себя системы безопасности ИСПДн требованиям законодательства. Стандарт позволяет быстро понять, могут ли возникнуть претензии у контролирующих органов к системе безопасности ИСПДн при проверке НПФ. Можно сказать, что данный стандарт является саморегулированием для негосударственных пенсионных фондов.

Используя отраслевой стандарт, НПФ могут сократить срок по созданию системы защиты персональных данных до 3-4 месяцев, так как понятно, что делать, как и каким образом. Кроме серьезного сокращения сроков по приведению информационных систем в соответствие с требованиями 152-ФЗ даже в сегодняшнем его действии, отраслевой стандарт позволяет НПФ сократить финансовые расходы на создание систем защиты ПДн, так как организационно-распорядительная документация, которая также требует немалого финансирования, уже прописана.

С осени 2010 г. пакет стандартов размещен в открытом доступе на сайте НАПФ (www.napf.ru).

Вместе с тем нерешенной до сих пор остается одна проблема: 152-ФЗ не имеет завершенной формы, закон находится на доработке в Государственной Думе. Многие нормы 152-ФЗ читаются неоднозначно и понимаются по-разному. Например, участники пенсионного рынка не могут прийти к мнению, каким образом можно реализовать все права физических лиц определённых этим законом, не нарушая других законов или прав других физических лиц.

Поэтому и нет полной уверенности, что отраслевой стандарт будет полностью соответствовать окончательному тексту закона. Существует мнение, что может поменяться государственный регулятор, терминология и немного концептуально – закон. Остается ждать окончательной версии 152-ФЗ и продолжить работу  по совершенствованию отраслевого стандарта

А пока на сегодняшний день членам НАПФ предложено использовать данный отраслевой стандарт для опытной эксплуатации, чтобы в будущем, после принятия окончательной версии закона, доработать и согласовать стандарт с регуляторами и оценить, насколько все системы отвечают установленным требованиям.

 

скачать статью

 
  • Страницы статьи:
  • 1
Showing record 1 of 7 Index
 
Тел./факс: +7 (495) 287-85-78
Наш адрес: ул. 2-ая Звенигородская, д. 13, стр. 42, 4 этаж, г. Москва, 123022
e-mail: info@pensionobserver.ru