НПФ всегда стоят на защите конфиденциальной информации

- В последнее время прослеживается тенденция к появлению отраслевых стандартов по защите персональных данных. Негосударственные пенсионные фонды (НПФ) здесь не исключение. Светлана Алексеевна, скажите, пожалуйста, чем была обусловлена необходимость разработки данного стандарта для НПФ?
- Чтобы ответить на этот вопрос, необходимо обратиться к истории 152-ФЗ "О персональных данных". Этот закон был принят в 2006 г., обозначив практически всех юридических лиц, работающих с персональными данными (ПДн), как операторов ПДн, и обязал их привести свои информационные системы в соответствие с требованиями закона к 1 января 2010 г.

Учитывая специфику негосударственных пенсионных фондов (а она состоит в том, что мы работаем с огромным объемом персональных данных физических лиц), стало понятно, что НПФ полностью подпадают под действие 152-ФЗ.

Однако сразу после выхода закона было непонятно многое, в том числе и главное - как построить такую систему, чтобы в ней действительно полностью обеспечивалась защита персональных данных, не ущемлялись права физических лиц, чьи данные хранятся, не ущемлялись права других физических лиц - работников организации, а также не ущемлялись права самой организации.

Первые достаточно бурные консультации, обсуждения, обращения за разъяснениями в государственные контролирующие органы начались в 2009 г., так как, во-первых, приближалась первая контрольная дата -1 января 2010 г., а во-вторых, не было полного понимания данного закона.

Например, согласно 152-ФЗ, физическое лицо может отозвать согласие на обработку персональных данных, в результате чего организация обязана уничтожить его ПДн в течение двух недель. А теперь смотрите, что получается: НПФ выплачивает негосударственную пенсию, которая входит в состав налогооблагаемых доходов физического лица, с нее удерживается подоходный налог, о чем, естественно, сообщается в налоговую инспекцию. Физическое лицо пришло и сказало: "Пенсию я всю получил, вы исполнили все обязательства, уничтожьте мои ПДн". По закону в двухнедельный срок мы должны их уничтожить. А потом через год пришла налоговая инспекция и стала поверять НДФЛ... Как действовать в этой ситуации, нам было непонятно.

Большинство негосударственных пенсионных фондов объединено в саморегулируемую организацию – Национальную ассоциацию негосударственных пенсионных фондов (НАПФ), поэтому, естественно, в совет ассоциации стали поступать письма и запросы с просьбами организовать общую работу и дать пояснения в части исполнения 152-ФЗ.

Весной 2010 г. совет НАПФ, озабоченный потоком вопросов, выступил с инициативой создать рабочую группу для разработки пакета стандартов НАПФ, определяющих порядок организации и обеспечения безопасности персональных данных. Было решено пригласить специалистов из профильной компании, так как информационная безопасность – это для нас совершенно новая область, все-таки мы работаем на финансовом рынке.

В конце мая 2010 г. мы начали работать в этом направлении, а в октябре уже имели практически законченный пакет стандартов, который давал НПФ определенную методологию для создания защищенных информационных систем. Самым сложным в нашей совместной работе было научиться разговаривать на одном языке, чтобы специалисты по информационной безопасности понимали, что такое пенсионное обеспечение, а мы – что такое информационная безопасность.

– Светлана Алексеевна, что собой представляет данный пакет стандартов, какие задачи удалось решить в ходе работы над ним, какие разработаны методики, регламенты и подходы для защиты ПДн?
– Когда мы начинали работу над стандартом, думали, что разработаем один глобальный. В процессе работы он распался на четыре составляющие.

Первый стандарт (стандарт 4.1) называется "Организация обработки и защиты персональных данных в НПФ". Он устанавливает требования к проведению мероприятий по обработке и защите персональных данных и служит основой для установления общих принципов, требований и правил по организации защиты персональных данных и обеспечения соответствия процессов обработки ПДн требованиям действующего законодательства. Этот стандарт предлагается сделать обязательным для НПФ – членов НАПФ, поскольку все описанные в нем нормы раскрывают законодательные требования, и эти нормы обязательны к исполнению в любом случае при осуществлении нашей лицензионной деятельности. Стандарт 4.1 – это стандарт общего действия.

Стандарт 4.2 "Рекомендации по обеспечению безопасности персональных данных в ИСПДн (Информационных системах персональных данных) в НПФ" содержит и описывает перечень мероприятий, реализация которых обеспечивает безопасность персональных данных в ИСПДн, используемых негосударственными пенсионными фондами. В этом же стандарте определена классификация ИСПДн и приведена типовая базовая модель угроз безопасности, которая является универсальной для всех НПФ. Кроме того, в этом стандарте описаны рекомендации по обеспечению безопасности информационных систем разных классов. Все ИСПДн, используемые в НПФ согласно стандарту, отнесены к специальным информационным системам, соответственно их классификация осуществляется на основании анализа модели угроз безопасности. Данный стандарт предлагается НПФ как рекомендательный, поскольку учесть особенности каждого НПФ в одном типовом стандарте не представляется возможным.

Стандарт 4.3, также входящий в пакет стандартов по безопасности ПДн, называется "Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты персональных данных". Данный стандарт содержит перечень организационно-распорядительной документации (ОРД), которая должна быть в НПФ. В нем же приведены типовые положения: "Об обработке персональных данных в ИСПДн и НПФ", "По организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", "О постоянно действующей экспертной комиссии по информационной безопасности", "перечень персональных данных, обрабатываемых в НПФ" и множество других необходимых для работы типовых форм. Данный стандарт также является рекомендательным для НПФ. Если НПФ сочтет, что стандарт ему совсем не подходит, он имеет полное право формировать ОРД по своему усмотрению.

И наконец, стандарт 4.4. "Проведение аудита на соответствие требованиям к обработке и защите персональных данных в НПФ". Этот стандарт также является рекомендательным и дает НПФ возможность путем честного и объективного заполнения анкеты оценки критериев аудита, которая представляет собой таблицу-опросник и является приложением к этому стандарту, сделать экспресс-анализ на соответствие созданной у себя системы безопасности ИСПДн требованиям законодательства. Стандарт позволяет быстро понять, могут ли возникнуть претензии у контролирующих органов к системе безопасности ИСПДн при проверке НПФ. Можно сказать, что данный стандарт является саморегулированием для негосударственных пенсионных фондов.

– С какими проблемами вы сталкивались в ходе разработки данного пакета стандартов?
– Проблема была и остается у нас одна: к сожалению, на сегодняшний день 152-ФЗ не имеет завершенной формы. Мало того, что в очередной раз перенесли сроки приведения систем в соответствие с законом, закон до сих пор находится на доработке в Государственной думе. Поэтому нам пока непонятно, как стандарты будут соответствовать окончательному

тексту закона. Это, пожалуй, основная на сегодняшний день "головная боль" для всех юридических лиц, обеспечивающих обработку и защиту ПДн.

Кроме того, существует мнение, что могут поменяться госрегулятор, терминология и даже немного концептуально поменяется закон, а системы приводить в соответствие надо. Мы же не можем это делать бесконечно.

Думаю, что закону необходимо придать окончательную форму, то есть полностью определить правила, и только после этого выносить жесткие требования к операторам по обеспечению информационной безопасности. Технические решения могут быть разными, а правила должны быть четкими, внятными и понятными участникам процесса. Остается ждать окончательного утверждения всех контрольных точек и продолжать работать в направлении совершенствования этого закона, а не его кардинального перестроения.

А пока на сегодняшний день членам НАПФ предложено использовать данный пакет стандартов с целью сбора замечаний по опытной эксплуатации, чтобы в будущем, после принятия окончательной версии закона, согласовать стандарты с регуляторами и посмотреть, насколько все системы отвечают установленным требованиям.

– С 1 января 2011 г. вступили в силу изменения в статью 25 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", согласно которым "информационные системы персональных данных, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 г.". Насколько для НПФ важна эта поправка? Можно ли за этот срок что-то еще успеть сделать в плане защиты ПДн?
– Если начинать с нуля и если в организации нет методологии, то за полгода, я думаю, нельзя успеть провести такую работу. Мы у себя в Национальном негосударственном пенсионном фонде начали работу осенью 2009 г. и полностью закончили в августе 2010-го. Как видите, у нас на это ушел почти год. Хотя здесь нужно учесть один немаловажный фактор – отсрочку до 1 января 2011 г., из-за которой мы немного расслабились и не стали торопиться. Но в любом случае, если начинать с нуля приведение своих информационных систем в соответствие с требованиями закона, на это уйдет не менее 9 месяцев.

Сейчас у НПФ есть полный комплект стандартов, благодаря которому они могут сократить этот срок до 3–4 месяцев, так как понятно, во-первых, что делать, во-вторых, как делать и, в-третьих, с кем делать.

Кроме серьезного сокращения сроков по приведению информационных систем в соответствие с требованиями 152-ФЗ даже в сегодняшнем его действии, комплект стандартов позволяет НПФ сократить финансовые расходы на создание систем защиты ПДн, так как организационно-распорядительная документация, которая также требует немалого финансирования, уже прописана в данном стандарте. Когда осенью мы его выложили в открытый доступ на сайт НАПФ (www.napf.ru), я думаю, что стандарт был востребован и помог большинству негосударственных пенсионных фондов уложиться в срок – до 1 января 2011 г.

В заключение я хотела бы сказать, что НПФ всегда стояли на защите конфиденциальной информации, я никогда не слышала, чтобы базы данных из фондов были где-то в открытом доступе. Мы нацелены на сохранность наших информационных систем и баз данных, иначе мы не смогли бы осуществлять нашу профессиональную деятельность. Поэтому эта тема всегда была для нас актуальна.