Поделиться
Как уберечь ПДн: рецепты для энергосбыта
Относительно недавно в России была принята новая редакция закона "О персональных данных". Сегодня осталось определить некоторые специфические моменты охраны приватности, дождаться выхода постановлений Правительства, наделения им полномочиями ФСБ и ФСТЭК России по проверке негосударственных систем, и понять, какие технические меры следует принять, чтобы системы персональных данных соответствовали закону. Решение этих вопросов важно для всех отраслей, которые работают в сфере обслуживания физических и юридических лиц. Есть свои особенности и в области энергосбыта.Проектирование подсистемы информационной безопасности
Завершающим этапом работ по приведению ИСПДн в соответствие требованиям закона является проектирование и построение системы защиты ПДн. Несмотря на то, что документов Правительства, определяющих уровни защищенности ПДн и требования к их обеспечению, пока нет, многие вопросы технической защиты очевидны уже сейчас.
Ясно, что ни в одной современной системе не обойтись без антивирусной защиты. Естественно, она должна быть лицензионной.
Если информационная сеть компании имеет подключение к интернету, необходимо использовать межсетевые экраны.
Положения ст.19 №152-ФЗ о необходимости обнаружения фактов несанкционированного доступа (НСД) к ПДн, регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн, требует применения средств защиты от НСД.
Норма о восстановлении ПДн, модифицированных или уничтоженных вследствие НСД к ним, влечет создание системы резервного копирования.
Обработка ПДн на сайте в сети интернет вынуждает использовать средства анализа защищенности, поскольку взлом сайта и потеря контроля над ним могут привести к серьезным последствиям, в том числе и для начисления оплаты за услуги компании, т.е. к финансовым потерям.
Помня, что все средства защиты информации (СЗИ), используемые в ИСПДн, должны пройти в установленном порядке процедуру оценки соответствия, в качестве которой на сегодняшний день регуляторы рассматривают только обязательную сертификацию, выбор возможных решений весьма сужается.
Выстраивая ИБ, владельцы информационных систем зачастую сталкиваются с проблемой "зоопарка" применяемых средств защиты и их совместимости. Одну из наиболее интересных и полных линеек продуктов, обеспечивающих выполнение закона, предлагает российская компания "Код Безопасности", в арсенале которой практически полный набор средств защиты, от предотвращения НСД (Secret Net, "Соболь") до криптографии ("Континент") и межсетевого экранирования (TrustAccess). Для таких пользователей, как энергосбытовые компании, эксплуатирующих высокопроизводительные центры обработки данных, важнейшим показателем является наличие средств обеспечения безопасности в виртуальной среде, к которым относится продукт vGate R2, качество которого подтверждено как российским регулятором, так и производителем средств виртуализации (VMware).
И, наконец, в арсенале компании – комплексное решение по защите рабочих станций Security Studio Endpoint Protection, включающее в себя антивирус, антиспам и антишпион, персональный межсетевой экран, IDS уровня хоста и средства веб-фильтрации.
Все без исключения продукты имеют сертификаты ФСТЭК и/или ФСБ России (в зависимости от области ответственности).
Уведомление Роскомнадзора
Заключительным этапом работ по приведению системы обработки ПДн в соответствие с законом является направление уведомления в Роскомнадзор, предусмотренное №152-ФЗ. При этом в силу особенностей обрабатываемых категорий ПДн и их субъектов, энергосбытовые компании не подпадают под исключения, предусмотренные законом. Таких уведомивших уполномоченный орган по защите прав субъектов среди сбытовиков сегодня порядка 40, но Роскомнадзор активно ведет работу по увеличению числа юридических лиц, направляющих уведомления, привлекая те из них, которые не смогут доказать наличие для них исключений, к административной ответственности по ст.19.7 КоАП РФ.
Как видно, соответствовать закону трудно, но возможно. И лучше не откладывать эту работу до прихода надзорных органов и привлечения должностных лиц оператора к ответственности, дисквалификации руководителей и иных ответственных лиц.
Короткая ссылка
