НАПФ и LETA IT-company разработали отраслевой стандарт защиты персональных данных
НАПФ и LETA IT-company разработали отраслевой стандарт защиты персональных данных
НАПФ и LETA IT-company разработали отраслевой стандарт защиты персональных данных
26.01.2011
По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн (СЗПДн) в НПФ.
Применение данного стандарта ускорит выполнение и снизит стоимость проектов, уменьшит риск ошибок и длительных циклов их исправления, позволит НПФ эффективнее взаимодействовать с исполнителями и регуляторами, а также упростит работу надзорных органов. Более того, стандарт можно будет применять при реализации и контроле исполнения норм законодательства в масштабах всего рынка пенсионного страхования России.
Инициатором создания стандарта выступила Национальная ассоциация негосударственных пенсионных фондов, представляющая основных игроков отрасли негосударственного пенсионного обеспечения страны. Разработку провела LETA IT-company.
Необходимость отраслевого стандарта защиты ПДн обусловлена рядом особенностей рынка пенсионного страхования. Деятельность НПФ предусматривает получение, обработку и хранение в информационных системах больших объемов персональных данных физических лиц. При этом информационные системы НПФ, как правило, имеют территориально-распределенный характер, а обрабатываемые ПДн относятся к различным категориям, вплоть до высшей. Все это значительно повышает организационно-технические требования к системам защиты персональных данных в НПФ.
Стандарт предлагает целостный подход к созданию и управлению персональными данными и отвечает требованиям действующей нормативно-правовой базы. В ходе работы над ним создан пакет нормативно-правовой документации по защите ПДн для всей вертикали негосударственных пенсионных фондов-членов НАПФ. При этом детализация и методическая выверенность документов, наличие готовых шаблонов и всей необходимой справочной информации позволяют непосредственно использовать пакет в реальных проектах.
Стандарт регламентирует порядок, правила и методику создания и аттестации систем защиты персональных данных в НПФ, причем документы охватывают все стадии обработки и защиты ПДн, включая этапы планирования, реализации, контроля и корректировки соответствующих мероприятий. Также даны детальные рекомендации по всему спектру вопросов создания СЗПДн – от разъяснения принципов защиты ПДн, выявления, описания и классификации информационных систем персональных данных до применения конкретных методов обеспечения безопасности в ИСПДн различных классов.
Стандарт охватывает все составляющие СЗПДн: физическая защита и контроль физического доступа; назначение и распределение ролей, обязанностей и полномочий; управление доступом в ИСПДн; организация антивирусной защиты, межсетевого экранирования; применение криптографических средств; обнаружение атак и вторжений; мониторинг и регистрация действий пользователей, контроль работы в Интернет; резервное копирование ПО и информации, содержащей персональные данные; учет, контроль обращения и уничтожение носителей информации и мобильных устройств и др.
Copyright © 2018-2022, ООО "ГРОТЕК"