Организация обработки и защиты персональных данных в негосударственных пенсионных фондах

г. Москва

Предисловие

Настоящий стандарт организации разработан с учетом целей и принципов стандартизации в Некоммерческом партнерстве «Национальная ассоциация негосударственных пенсионных фондов», установленных стандартом СТО НАПФ 1.0–2008 «Система стандартизации НАПФ. Основные положения».

Сведения о стандарте

1.  РАЗРАБОТАН И ВНЕСЕН Рабочей группой по разработке стандартов НАПФ «Организация обработки и защиты персональных данных в негосударственных пенсионных фондах».

2.  УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Решением Общего собрания НП «НАПФ» «___» _________ 2010 г.

3.  ВВЕДЕН ВПЕРВЫЕ.

СОДЕРЖАНИЕ

1. ОБЛАСТЬ ПРИМЕНЕНИЯ.. 5

2. НОРМАТИВНЫЕ ССЫЛКИ.. 6

3. СОКРАЩЕНИЯ, ТЕРМИНЫ и определения.. 7

4. ПЛАНИРОВАНИЕ и подготовка к проведению МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных.. 10

5. РЕАЛИЗАЦИЯ МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных 14

6. контроль МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных 25

7. корректировка МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных 28

8. Библиография.. 29

1. ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1. Настоящий стандарт устанавливает требования к проведению мероприятий по обработке и защите персональных данных и служит основой для:

- установления общих принципов, требований и правил по обработке и защите персональных данных для негосударственных пенсионных фондов – членов НП «НАПФ» в целях защиты прав вкладчиков, участников и застрахованных лиц;

- обеспечения соответствия процессов обработки персональных данных в негосударственных пенсионных фондах – членах НП «НАПФ» требованиям действующего законодательства РФ;

- установления требований и порядка контроля над деятельностью по обработке и защите персональных данных в негосударственных пенсионных фондах – членах НП «НАПФ».

1.2. Положения настоящего стандарта обязательны для применения пенсионными фондами – членами НП «Национальная ассоциация негосударственных пенсионных фондов», за исключением пунктов, специально отмеченных как рекомендуемые.

1.3. Стандарт допускает применение путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах негосударственного пенсионного фонда, договорах и иных документах.

2. НОРМАТИВНЫЕ ССЫЛКИ

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

- СТО НАПФ 1.0–2008. Система стандартизации НАПФ. Основные положения;

- Р НАПФ 4.2–2010. Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных негосударственных пенсионных фондов;

- Р НАПФ 4.3–2010. Рекомендации по формированию организационно-распорядительной документации для обеспечения легитимной обработки и защиты персональных данных;

- Р НАПФ 4.4–2010. Рекомендации по организации аудита на соответствие требованиям к обработке и защите персональных данных в негосударственных пенсионных фондах.

3. СОКРАЩЕНИЯ, ТЕРМИНЫ и определения

НАПФ – некоммерческое партнерство «Национальная ассоциация негосударственных пенсионных фондов».

НПО – негосударственное пенсионное обеспечение.

ОПС – обязательное пенсионное страхование.

ПФР – Пенсионный фонд Российской федерации.

РФ – Российская Федерация.

ФСБ России – Федеральная служба безопасности Российской Федерации.

ФСТЭК России – Федеральная служба по техническому и экспортному контролю.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Доступность информации – состояние информации, при котором субъекты, имеющие права доступа к информации, могут реализовать их беспрепятственно.

Информационная система персональных данных, ИСПДн – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Негосударственный пенсионный фонд – член НАПФ (пенсионный фонд) – особая организационно-правовая форма некоммерческой организации социального обеспечения, исключительными видами деятельности которой являются:

- деятельность по негосударственному пенсионному обеспечению участников фонда в соответствии с договорами негосударственного пенсионного обеспечения;

- деятельность в качестве страховщика по обязательному пенсионному страхованию в соответствии с Федеральным законом -ФЗ «Об обязательном пенсионном страховании в Российской Федерации» и договорами об обязательном пенсионном страховании;

- деятельность в качестве страховщика по профессиональному пенсионному страхованию в соответствии с федеральным законом и договорами о создании профессиональных пенсионных систем;

и являющейся участником некоммерческого партнерства «Национальная ассоциация негосударственных пенсионных фондов».

Носитель персональных данных – материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Примером носителей персональных данных являются машиночитаемые носители информации (в том числе магнитные и электронные), на которые осуществляются запись и хранение информации, а также бумажные носители информации.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу
иностранного государства.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются носители персональных данных.

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

4. ПЛАНИРОВАНИЕ и подготовка к проведению МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных

Целью данного этапа является проведение подготовительных мероприятий, необходимых для реализации требований федерального законодательства в области персональных данных.

4.1. Назначение ответственных лиц

4.1.1. С целью общей координации деятельности в пенсионном фонде руководителем фонда должно быть назначено уполномоченное лицо по вопросам обработки персональных данных, ответственное за контроль выполнения мероприятий по реализации требований к обработке и защите персональных данных.

4.1.2. По представлению данного уполномоченного лица руководителем пенсионного фонда из состава работников должны быть также определены:

- уполномоченное лицо, ответственное за оперативный контроль соблюдения установленных принципов, порядка и условий обработки персональных данных в пенсионном фонде, решение оперативных вопросов реагирования на запросы субъектов персональных данных, взаимодействие с регулирующими органами, осуществляющими контроль и надзор за обработкой персональных данных;

- уполномоченное лицо, ответственное за управление мероприятиями по аудиту соответствия пенсионного фонда требованиям к обработке и защите персональных данных;

- уполномоченное лицо, ответственное за проведение мероприятий по обеспечению безопасности персональных данных и поддержание необходимого уровня информационной безопасности;

- администратор (-ы) информационной безопасности, ответственный (-ые) за установку, настройку и обслуживание средств защиты информации, применяемых в пенсионном фонде для обеспечения безопасности персональных данных;

- постоянно действующая экспертная комиссия по вопросам безопасности персональных данных, в обязанности которой входит:

·  согласование организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности персональных данных в пенсионном фонде;

·  согласование планируемых комплексных мер по защите информационных систем персональных данных в пенсионном фонде;

·  осуществление контроля за эффективностью принимаемых мер по выявлению и закрытию возможных каналов неправомерного распространения персональных данных;

·  принятие решения о привлечении квалифицированной поддержки у сторонних организаций в части оказания услуг по технической защите конфиденциальной информации;

·  определение показателей опасности для субъектов персональных данных при нарушении заданных характеристик безопасности персональных данных, а также проведение классификации информационных систем персональных данных на основании данных показателей;

·  проведение анализа обстоятельств, причин распространения или потери персональных данных, определение актуальности утраченных (разглашенных) данных и определение ущерба для пенсионного фонда от их утраты (разглашения);

·  подготовка предложений по совершенствованию действующей в пенсионном фонде системы защиты персональных данных.

4.1.3. В зависимости от объема обрабатываемых персональных данных и штатного состава пенсионного фонда допускается совмещение указанных ролей одним или несколькими работниками пенсионного фонда. Данное решение должно быть утверждено руководителем пенсионного фонда и при необходимости согласовано с Советом фонда.

4.2. Определение области применения и объема требований к обработке и защите персональных данных

4.2.1. Пенсионный фонд должен определить область применения и объем требований, предъявляемых к обработке и защите персональных данных с учетом:

- требований действующего законодательства в области персональных данных;

- целей обработки персональных данных пенсионным фондом;

- интересов субъектов персональных данных.

4.2.2. Под областью применения понимается совокупность технологических и бизнес-процессов, в соответствии с которыми в пенсионном фонде осуществляется обработка персональных данных. Для определения области применения необходимо провести мероприятия по выявлению и описанию всех процессов обработки персональных данных. К таким процессам относятся:

- процессы, связанные с обработкой персональных данных клиентов по НПО, в том числе такие, как:

·  заключение договора НПО;

·  вступление договора НПО в силу;

·  ведение договора НПО;

·  назначение и выплата негосударственной пенсии;

·  расторжение договора НПО;

·  обращение правопреемников за выплатой выкупных сумм, рассмотрение заявлений, принятие решений о выплате/отказе в выплате, выплата выкупной суммы;

·  извещение вкладчиков и (или) участников о состоянии пенсионного счета негосударственного пенсионного обеспечения;

·  прекращение действия договора НПО в связи со смертью участника;

·  прекращение действия договора НПО в связи с полным исполнением обязательств;

- процессы, связанные с обработкой персональных данных клиентов по ОПС, в том числе:

·  заключение договора ОПС;

·  вступление договора ОПС в силу;

·  прекращение договора ОПС по инициативе застрахованного лица;

·  учет сведений о застрахованных лицах по договорам ОПС и средствах, находящихся в накопительной части трудовой пенсии;

·  извещение застрахованного лица о состоянии пенсионного счета накопительной части трудовой пенсии в системе обязательного пенсионного страхования;

·  прекращение действия договора ОПС в связи со смертью застрахованного лица;

·  выплата средств пенсионных накоплений правопреемникам умерших застрахованных лиц;

·  информирование ПФР о смерти застрахованных лиц, осуществляющих формирование накопительной части трудовой пенсии через НПФ;

- процессы передачи (хранения) дел в архив и ведение архивного дела;

- процессы, связанные с обработкой персональных данных клиентов при трансферагентской деятельности;

- процессы, связанные с обработкой персональных данных работников в соответствии с Трудовым кодексом и другими нормативными правовыми актами РФ.

4.3. Предоставление ресурсов

В пенсионном фонде должны быть определены и выделены ресурсы (финансовые, людские, технические и иные), необходимые для планирования, реализации и мониторинга мероприятий по обработке и защите персональных данных.

5. РЕАЛИЗАЦИЯ МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных

5.1. Определение состава, целей и условий обработки персональных данных

5.1.1. В пенсионном фонде должны быть определены и документально зафиксированы:

- перечень обрабатываемых в пенсионном фонде персональных данных, их категория, объем;

- цели обработки персональных данных;

- основания для обработки персональных данных;

- сроки обработки, в том числе сроки хранения персональных данных;

- необходимость и порядок получения согласия субъектов персональных данных.

5.1.2. Объем и содержание персональных данных, перечень действий c персональными данными и способы обработки персональных данных в пенсионном фонде должны соответствовать целям их обработки.

5.1.3. Должна быть исключена обработка избыточных персональных данных, то есть таких данных, использование которых не требуется для реализации технологических и бизнес-процессов в пенсионном фонде. При обнаружении избыточных персональных данных они должны быть должным образом уничтожены.

5.1.4. В пенсионном фонде должен быть определен и документально зафиксирован перечень работников, имеющих доступ к персональным данным. Допускается указание работников в перечне на ролевой основе в соответствии с занимаемой должностью.

5.1.5. При обработке в пенсионном фонде персональных данных без использования средств автоматизации, в частности при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ .

5.2. Документирование порядка обработки и защиты персональных данных

5.2.1. Порядок обработки и защиты персональных данных в пенсионном фонде должен быть документально зафиксирован во внутренних организационно-распорядительных документах.

5.2.2. Принятые в пенсионном фонде организационно-распорядительные документы должны быть доведены до сведения всех работников, участвующих в обработке персональных данных, в части, их касающейся.

5.2.3. Положения, регламентирующие обработку и защиту персональных данных в пенсионном фонде, должны определять подход к соблюдению требований действующего законодательства в области персональных данных, включая следующие аспекты:

- состав, цели и условия обработки персональных данных в пенсионном фонде;

- необходимость и порядок получения согласия субъектов персональных данных пенсионным фондом при выполнении своих договорных обязательств;

- порядок соблюдения прав субъектов персональных данных;

- порядок передачи персональных данных третьим лицам;

- порядок взаимодействия с органами, осуществляющими контроль и надзор за обработкой персональных данных;

- порядок обеспечения адекватной защиты персональных данных, обрабатываемых в пенсионном фонде как с использованием средств автоматизации, так и без использования таких средств;

- порядок хранения и уничтожения персональных данных;

- порядок прекращения обработки персональных данных.

5.2.4. При разработке организационно-распорядительных документов рекомендуется руководствоваться документом Р НАПФ 4.3–2010 «Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты персональных данных».

5.3. Организация взаимодействия с субъектами персональных данных

5.3.1. Обработка персональных данных в пенсионном фонде должна вестись с письменного согласия субъекта персональных данных, за исключением следующих случаев:

- обработка общедоступных или обезличенных персональных данных;

- обработка персональных данных, используемых при реализации пенсионным фондом своих договорных обязательств в рамках предоставления субъектам персональных данных услуг по пенсионному обеспечению, в соответствии с пп. 1 п. 2 ст. 6 Федерального закона -ФЗ «О персональных данных»;

- обработка персональных данных работников в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и иными нормативно-правовыми актами, регулирующими отношения между пенсионным фондом и работником;

- обработка персональных данных в иных случаях, предусмотренных п. 2 ст. 6 Федерального закона -ФЗ «О персональных данных».

5.3.2. В пенсионном фонде должен быть определен и документально зафиксирован порядок реагирования на обращения субъектов персональных данных (или их законных представителей). Данный порядок должен обеспечивать соблюдение следующих прав субъектов персональных данных:

- право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, и о целях их обработки, а также сведений о работниках пенсионного фонда, имеющих к ним доступ (фамилия, имя, отчество работника, его должность, номер контактного телефона);

- право на доступ к своим персональным данным;

- право на уточнение своих персональных данных, если они являются неполными, устаревшими или недостоверными.

5.3.3. В пенсионном фонде должен вестись учет обращений субъектов персональных данных.

5.4. Передача сведений, составляющих персональные данные, третьим лицам

5.4.1. В пенсионном фонде должен быть определен и документирован порядок передачи сведений, содержащих персональные данные, третьим лицам.

5.4.2. В соответствии со ст. 15 Федерального закона -ФЗ «О негосударственных пенсионных фондах» список третьих лиц, с которыми пенсионный фонд осуществляет обмен персональными данными в рамках предоставления субъектам персональных данных услуг по пенсионному обеспечению, должен быть строго ограничен следующим перечнем:

- уполномоченные государственные органы, установленные законодательством РФ (Минздравсоцразвития, Пенсионный фонд России, ФАС, Роскомнадзор, налоговые, следственные, судебные и иные органы);

- правопреемники участников и застрахованных лиц;

- почтовые организации, осуществляющие рассылку корреспонденции застрахованным лицам;

- организации, которые в соответствии с договором осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах пенсионного фонда.

5.4.3. В соответствии с п. 4 ст. 6 Федерального закона -ФЗ «О персональных данных» организации, в ведение которых отданы функции обработки персональных данных работников пенсионного фонда, должны осуществлять обработку таких персональных данных только на основании заключенного договора.

5.4.4. В соответствии с пп. 1 п. 2 ст. 6 Федерального закона от 01.01.2001 № 152-ФЗ «О персональных данных» передача третьим лицам, перечисленным в п. 5.4.2, персональных данных, полученных в процессе сбора, хранения, передачи и использования сведений, содержащихся в пенсионных счетах негосударственного пенсионного обеспечения, пенсионных счетах накопительной части трудовой пенсии, а также при выплате негосударственной пенсии и накопительной части трудовой пенсии, выплатах (переводе) выкупных сумм и выплатах правопреемникам, может осуществляться без получения письменного согласия со стороны субъекта персональных данных.

5.4.5. В случаях передачи персональных данных, отличных от указанных в п. 5.4.4, до начала такой передачи должна быть определена необходимость получения согласия субъекта персональных данных в соответствии с требованиями федерального законодательства, и если такая необходимость присутствует, то согласие должно быть получено.

5.4.6. В договоры с организациями, которым пенсионный фонд поручает вести обработку персональных данных (уполномоченное лицо) или передает персональные данные, должны быть включены требования к соблюдению конфиденциальности передаваемых персональных данных, а также иных норм федерального законодательства в области персональных данных.

5.4.7. В случае осуществления передачи персональных данных юридическому или физическому лицу, расположенному на территории иностранного государства (трансграничная передача), необходимость такой передачи должна быть предварительно документально подтверждена руководителем пенсионного фонда.

5.4.8. До начала трансграничной передачи постоянно действующей экспертной комиссией по защите персональных данных должна быть проведена оценка возможности обеспечения принимающей стороной адекватной защиты персональных данных.

5.5. Организация взаимодействия с органами, осуществляющими контроль и надзор за обработкой персональных данных

5.5.1. Пенсионному фонду рекомендуется уведомить уполномоченный орган по защите прав субъектов персональных данных по форме, утвержденной данным уполномоченным органом, о своем намерении осуществлять обработку персональных данных.

5.5.2. В пенсионном фонде должен быть утвержден и документально зафиксирован порядок реагирования на обращения со стороны органов, осуществляющих контроль и надзор за обработкой персональных данных.

5.5.3. Все обращения со стороны органов, осуществляющих контроль и надзор за обработкой персональных данных, а также предпринятые по результатам этих обращений действия должны быть документально зафиксированы.

5.5.4. В пенсионном фонде должен быть определен и документально зафиксирован порядок уведомления органов, осуществляющих контроль и надзор за обработкой персональных данных, об устранении нарушений, выявленных в ходе контрольных мероприятий, проведенных соответствующим органом.

5.6. Обеспечение безопасности персональных данных

5.6.1. В целях обеспечения безопасности персональных данных, обрабатываемых в пенсионном фонде, должны быть запланированы и проведены мероприятия по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных как с использованием средств автоматизации, так и без использования таковых, включающие в себя:

- определение и описание информационных систем персональных данных;

- классификацию информационных систем персональных данных;

- определение актуальных угроз безопасности персональных данных;

- проектирование системы защиты персональных данных;

- внедрение организационных мер и технических средств защиты, составляющих спроектированную систему защиты персональных данных;

- определение порядка хранения и уничтожения персональных данных;

- определение порядка реагирования на инциденты нарушения информационной безопасности.

5.6.2. При проведении мероприятий по обеспечению безопасности персональных данных рекомендуется руководствоваться документом
Р НАПФ 4.2–2010 «Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных негосударственных пенсионных фондов».

5.6.3. Определение, описание и классификация информационных систем персональных данных

5.6.3.1. В пенсионном фонде должны быть определены и документально описаны все информационные системы персональных данных, в которых производится обработка персональных данных. В такое описание следует как минимум включать:

- перечень баз данных персональных данных, используемых в информационной системе с указанием перечня, категории и целей обработки персональных данных;

- состав технических средств, используемых для обработки персональных данных;

- состав носителей персональных данных, используемых в информационной системе.

5.6.3.2. В пенсионном фонде должны быть установлена процедура поддержания в актуальном состоянии описаний информационных систем, а также контроль за появлением новых информационных систем и прекращением функционирования уже существующих.

5.6.3.3. В пенсионном фонде должен быть утвержден порядок классификации информационных систем персональных данных и проведена классификация всех информационных систем персональных данных. Рекомендуется проводить классификацию информационных систем персональных данных с учетом категории обрабатываемых персональных данных и степени тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных. При этом все информационные системы пенсионного фонда относятся к специальным в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

5.6.4. Определение актуальных угроз безопасности персональных данных

5.6.4.1. В целях определения адекватных мер защиты персональных данных для каждой информационной системы персональных данных должна быть проведена оценка актуальных угроз безопасности персональных данных и возможных источников этих угроз (нарушителей). Результатом оценки актуальности угроз безопасности персональных данных является документ «Модель угроз безопасности персональных данных, обрабатываемых в ИСПДн».

5.6.4.2. Модели угроз безопасности персональных данных должны подвергаться периодическому пересмотру со стороны ответственных лиц и экспертной комиссии с целью поддержания соответствия перечня актуальных угроз особенностям обработки персональных данных в информационной системе.

5.6.5. Проектирование системы защиты персональных данных

5.6.5.1. В соответствии с установленными актуальными угрозами безопасности персональных данных в пенсионном фонде должна быть спроектирована система защиты персональных данных, включающая в себя организационные меры и технические средства (в том числе при необходимости криптографические), предназначенные для обеспечения безопасности персональных данных.

5.6.5.2. При проектировании системы защиты рекомендуется руководствоваться документом Р НАПФ 4.2–2010 «Рекомендации по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных негосударственных пенсионных фондов».

5.6.6. Внедрение системы защиты персональных данных

5.6.6.1. Ответственные лица пенсионного фонда должны обеспечить внедрение спроектированной системы защиты персональных данных, включая:

- закупку, установку и настройку технических средств защиты информации;

- разработку соответствующих регламентов, положений и инструкций;

- инструктаж и обучение лиц, которые будут использовать средства защиты информации.

5.6.6.2. Все используемые в пенсионном фонде технические средства защиты информации до ввода в постоянную эксплуатацию должны пройти опытную эксплуатацию с проверкой готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации и приемо-сдаточные испытания.

5.6.6.3. В пенсионном фонде должен быть установлен порядок учета применяемых технических средств защиты информации, эксплуатационной и технической документации.

5.6.6.4. В пенсионном фонде должен быть установлен порядок доступа к информационным системам, информационным ресурсам, программным средствам обработки (передачи) и защиты информации.

5.6.7. Определение порядка хранения и уничтожения персональных данных

5.6.7.1. В пенсионном фонде должен быть определен и документально зафиксирован порядок хранения носителей персональных данных, устанавливающий:

- места хранения носителей персональных данных;

- требования к обеспечению безопасности носителей персональных данных;

- перечень работников, ответственных за организацию хранения и обеспечения безопасности носителей персональных данных.

5.6.7.2. В пенсионном фонде должен быть определен и документально зафиксирован порядок уничтожения материальных носителей персональных данных.

5.6.7.3. Факты уничтожения персональных данных должны быть закреплены документально и заверены представителями экспертной комиссии.

5.6.8. Определение порядка реагирования на инциденты информационной безопасности

5.6.8.1. В пенсионном фонде должны быть разработаны и документально оформлены процедуры обнаружения и реагирования на инциденты информационной безопасности, связанные с персональными данными.

5.6.8.2. Информация о произошедших инцидентах информационной безопасности должна документироваться с упоминанием даты и времени инцидента, описания инцидента, состава и количества затронутых персональных данных, участников инцидента информационной безопасности.

5.6.8.3. В отношении каждого зафиксированного инцидента информационной безопасности должны производиться разбирательство и составление заключений по фактам несоблюдения требований к обработке и защите персональных данных, приведших к реализации инцидента.

5.7. Организация обучения работников пенсионного фонда

5.7.1. В пенсионном фонде должен быть принят и документально зафиксирован порядок ознакомления работников, осуществляющих обработку персональных данных, со следующими сведениями:

- категория обрабатываемых персональных данных;

- требования к порядку обработки персональных данных и к обеспечению безопасности (в части, их касающейся), установленные внутренними организационно-распорядительными документами;

- ответственность за реализацию положений, регламентирующих мероприятия по обработке и защите персональных данных, и за последствия несоблюдения установленных требований.

5.7.2. Инструктаж пользователей необходимо проводить при приеме на соответствующую должность, предполагающую участие в процессах обработки персональных данных, а последующие инструктажи – не реже чем раз в 3 года в целях поддержания осведомленности.

5.7.3. Работники пенсионного фонда, осуществляющие установку, настройку и обслуживание средств обеспечения безопасности персональных данных, должны обладать соответствующей компетенцией или пройти соответствующие курсы повышения квалификации.

5.8. Определение порядка прекращения обработки персональных данных

5.8.1. В пенсионном фонде должен быть определен и документально зафиксирован порядок прекращения обработки персональных данных в сроки, установленные законодательством РФ, и в следующих случаях:

- по достижении целей обработки персональных данных или при утрате необходимости в их достижении;

- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- при расторжении субъектом персональных данных договора с пенсионным фондом;

- при невозможности устранения пенсионным фондом допущенных нарушений при обработке персональных данных.

5.8.2. В пенсионном фонде должен быть определен порядок уведомления субъекта персональных данных о факте прекращения обработки его персональных данных.

6. контроль МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных

Контроль за реализацией мероприятий по обработке и защите персональных данных в пенсионном фонде должен осуществляться в форме:

- регулярного мониторинга со стороны ответственных лиц;

- внутренних аудитов, выполняемых самим пенсионным фондом, или внешних аудитов, выполняемых сторонней экспертной организацией;

- анализа мероприятий по обработке и защите персональных данных со стороны ответственных лиц.

6.1. Регулярный мониторинг со стороны ответственных лиц

6.1.1. Ответственные лица, назначенные руководителем пенсионного фонда (п. 4.1 настоящего стандарта), в рамках своих полномочий должны вести мониторинг соблюдения работниками пенсионного фонда установленных требований к обработке и защите персональных данных.

6.1.2. В рамках осуществления мониторинга ответственными лицами должен осуществляться контроль:

- соответствия установленным требованиям и заявленным целям состава и содержания собираемых персональных данных;

- соблюдения работниками пенсионного фонда установленных правил и норм по обработке и защите персональных данных, в том числе правил сбора, хранения, передачи, уничтожения персональных данных;

- своевременности и точности реагирования на запросы субъектов персональных данных;

- корректности функционирования средств обработки и защиты персональных данных;

- соответствия реализованных мер защиты требованиям, составленным на основании моделирования угроз безопасности;

- эффективности принятых мер защиты по нейтрализации актуальных угроз безопасности персональных данных.

6.1.3. Результаты мониторинга должны документироваться и использоваться для последующего анализа мероприятий по обработке и защите персональных данных.

6.2. Аудит

6.2.1. Для проведения аудита в пенсионном фонде могут привлекаться либо собственные сотрудники соответствующих служб пенсионного фонда (внутренний аудит), либо сотрудники сторонней экспертной организации (внешний аудит).

6.2.2. Действия по аудиту, в ходе которого проводится проверка соблюдения требований к обработке и защите персональных данных в пенсионном фонде, должны планироваться, устанавливаться и поддерживаться с учетом положений, регламентирующих проведение мероприятий по обработке и защите персональных данных, а также с учетом рекомендаций, изложенных в Р НАПФ 4.4–2010 «Рекомендации по организации аудита на соответствие требованиям к обработке и защите персональных данных в негосударственных пенсионных фондах».

6.2.3. Результаты проведения аудитов на регулярной основе должны предоставляться для анализа уполномоченному по вопросам обработки персональных данных и служить основой для принятия решений по корректировке соответствующих мероприятий (подробнее см. раздел 7 настоящего стандарта).

6.2.4. Результаты проведения аудитов могут использоваться в качестве материалов, подтверждающих соблюдение требований федерального законодательства в области персональных данных, для представления регулирующим органам, отвечающим за контроль и надзор за обработкой персональных данных.

6.3. Анализ мероприятий по обработке и защите персональных данных

6.3.1. Анализ мероприятий по обработке и защите персональных данных в пенсионном фонде должен проводиться на регулярной основе с возможным привлечением всех ответственных лиц.

6.3.2. В качестве входных материалов для анализа должны использоваться:

- результаты проведенных внутренних и внешних аудитов;

- результаты анализа обращений субъектов персональных данных;

- результаты предыдущего анализа мероприятий по обработке и защите персональных данных;

- текущий статус выполнения решений, принятых по итогам предыдущего анализа мероприятий по обработке и защите персональных данных;

- предложения по возможным изменениям мероприятий по обработке и защите персональных данных, поступившие со стороны ответственных лиц.

6.3.3. Результатами анализа мероприятий по обработке и защите персональных данных являются решения по вопросам:

- корректировки мероприятий по обработке и защите персональных данных, включая пересмотр порядка обработки персональных данных, состава и объема собираемых персональных данных, порядка прекращения обработки и уничтожения персональных данных;

- предоставления необходимых дополнительных ресурсов;

- проведения дополнительных контрольных мероприятий силами внутренних служб или сторонними организациями.

7. корректировка МЕРОПРИЯТИЙ ПО ОБРАБОТКЕ И ЗАЩИТЕ персональных данных

7.1.1. Решение о необходимости корректировки мероприятий по обработке и защите персональных данных в пенсионном фонде может быть принято на основании:

- результатов проведенных аудитов и контрольных мероприятий;

- изменения федерального законодательства в области персональных данных;

- изменения структуры процессов обработки персональных данных в пенсионном фонде;

- результатов анализа инцидентов информационной безопасности;

- результатов мероприятий по контролю и надзору за обработкой персональных данных, проводимых уполномоченным органом;

- жалоб и запросов субъектов персональных данных.

7.1.2. Корректировка мероприятий по обработке и защите персональных данных в пенсионном фонде должна быть направлена на предотвращение возможных негативных событий или устранение последствий уже реализовавшихся событий.

7.1.3. Все решения о корректировке мероприятий по обработке и защите персональных данных утверждаются руководителем пенсионного фонда.

7.1.4. Все предлагаемые изменения и (или) улучшения подлежат оценке до их ввода в действие, чтобы обеспечить выполнение требований положений по обработке и защите персональных данных в пенсионном фонде.

7.1.5. Изменения, которые могут негативно повлиять на соблюдение требований законодательства в области персональных данных, должны анализироваться с целью определения их влияния на обеспечение данного соответствия.

7.1.6. Все изменения в порядке обработки и (или) защиты персональных данных в пенсионном фонде должны документироваться.

8. Библиография

Настоящий стандарт основывается на следующих нормативных документах:

1.  Федеральный закон -ФЗ «О персональных данных».

2.  Федеральный закон -ФЗ «О негосударственных пенсионных фондах».

3.  Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

4.  Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.  Приказ ФСТЭК России, ФСБ России и Мининформсвязи России /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

6.  Приказ Федеральной службы по техническому и экспортному контролю «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».