Относительно недавно в России была принята новая редакция закона «О персональных данных». Сегодня осталось определить некоторые специфические моменты охраны приватности, дождаться выхода постановлений Правительства, наделения им полномочиями ФСБ и ФСТЭК России по проверке негосударственных систем, и понять, какие технические меры следует принять, чтобы системы персональных данных соответствовали закону. Решение этих вопросов важно для всех отраслей, которые работают в сфере обслуживания физических и юридических лиц. Есть свои особенности и в области энергосбыта.
Новая редакция закона «О персональных данных» принята, все точки над i расставлены, правила определены. Остается лишь ждать документов Правительства, которые завершат процесс «вписывания» проблем охраны приватности в реалии российской жизни: определения уровней защищенности персональных данных (ПДн), требований к защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн), исполнение которых обеспечит установленные уровни защищенности, полномочий ФСБ и ФСТЭК по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн, не являющихся государственными, и тех видов деятельности, где с учетом значимости и содержания обрабатываемых ПДн необходим контроль этих ведомств.
Крайне важным представляется то, каким образом будут реализовываться положения части второй ст. 4 Федерального закона «О персональных данных» (далее — № 152-ФЗ), в соответствии с которыми государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты (НПА), касающиеся обработки ПДн. Новая редакция № 152-ФЗ, к сожалению, фактически сводит на нет возможности отраслевого регулирования, которое совсем еще недавно казалось единственным возможным направлением для учета специфических особенностей деятельности в различных сферах. Полномочия различного рода отраслевых объединений операторов персональных данных в таких отраслях, как страховое дело, телекоммуникации, медицина, ЖКХ и других, сведены к определению дополнительных угроз безопасности плюс к тем, что предложат ФСБ, ФСТЭК и отраслевые министерства.
Не являются исключением в этом процессе и энергосбытовые компании. Весь набор проблем, присущих крупным операторам персональных данных, в наличии и у них. Попробуем разобраться, какие подводные камни возникают на пути реализации законодательства о персональных данных у энергетиков, и как их можно было бы решить.
Первые шаги
Представляется, что первым шагом, который в условиях фактически нового федерального закона должна сделать любая компания — это назначить лицо (физическое или юридическое), ответственное за организацию обработки ПДн. Эта новая норма закона, обязательная для всех юридических лиц, продекларирована, но плохо проработана в № 152-ФЗ, в то время как у ответственного лица весьма сложные обязанности. В сферу его влияния входит, в первую очередь, осуществление внутреннего контроля над соблюдением оператором и его работниками законодательства РФ о ПДн, в том числе требований к их защите. Затем, он должен доводить до сведения работников оператора положения законодательства РФ о ПДн, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, а также организовывать прием и обработку обращений субъектов ПДн и осуществлять контроль приема и обработки таких запросов.
При этом следует учитывать, что в соответствии с новой статьей 22.1 закона, лицо, ответственное за организацию обработки персональных данных, должно получать указания непосредственно от исполнительного лица организации (чаще всего — генерального директора) и подотчетно только ему. Поэтому вряд ли стоит перекладывать эту проблему на системного администратора, инженера отдела автоматизации или инспектора по кадрам, как это часто делают в российских компаниях.
Ответственным за организацию обработки персональных данных может быть назначено и юридическое лицо, с которым необходимо будет заключить соответствующий договор.
ИСПДн для энергетиков
Следующий шаг на пути достижения соответствия требованиям законодательства — инвентаризация информационных систем, систематизированных собраний и картотек энергосбытовой компании, содержащих сведения о субъектах. Обработка ПДн именно в этих базах регулируется новой редакцией закона.
К информационным системам, содержащим и обрабатывающим персональные данные, помимо учетной системы, выполняющей функции биллингования предоставленной потребителям электроэнергии, должны быть отнесены системы кадрового и бухгалтерского учета; сайты, на которых созданы личные кабинеты клиентов-физических лиц, а также почтовые серверы компании.
Если обработка жалоб и обращений потребителей электроэнергии ведется с использованием средств вычислительной техники, эти компьютеры и офисные приложения также должны рассматриваться как ИСПДн, так как в соответствии с законом в них входят обеспечивающие обработку ПДн информационные технологии и технические средства.
В энергосбытовой компании имеются персональные данные работников компании, клиентов-физических лиц, акционеров и аффилированных лиц, субъектов, которые являются работниками предприятий-контрагентов (потребителей-юридических лиц, партнеров, сервисных организаций и т.д.) и представителей органов власти, с которыми взаимодействует компания (надзорных органов, органов власти и муниципального управления, регуляторов и т.д.).
Обработка эти сведений производится, как правило, в различных целях, на различных основаниях и в различных информационных системах.
Затем необходимо определить цели обработки персональных данных и все те категории персональных данных, которые обрабатываются в ИСПДн, и оценить правомерность их обработки. № 152-ФЗ очень жестко требует, чтобы операторы обрабатывали только те персональные данные, которые отвечают заранее сформулированным целям. Может оказаться, что некоторые сведения о гражданах, собранные оператором, являются излишними по отношению к определенным целям, а их обработка является неправомерной. Так, требует тщательного обоснования обработка сведений о лицах, проживающих совместно с владельцем жилья или ответственным квартиросъемщиком, практикуемая некоторыми энергосбытовыми компаниями. На тарификацию отпущенной электроэнергии эти данные, как правило, влияния не оказывают, и их истребование может быть оспорено в суде.
После уточнения правомерности обработки сведений может потребоваться некоторая корректировка бизнес-процессов, связанных с обработкой персональных данных.
Когда все эти подготовительные процессы будут завершены, необходимо проведение классификации ИСПДн в соответствии с трехсторонним приказом ФСТЭК, ФСБ и Минкомсвязи от 13.02.2008 г. № 55/86/20 и документальное (в форме актов) оформление ее результатов. До выхода постановления Правительства, которое определит уровни защищенности, по разъяснениям регуляторов следует руководствоваться именно этим приказом. Перед классификацией также стоит продумать о снижении класса ИСПДн, например, за счет обезличивания данных (для этого достаточно, например, вместо ФИО потребителя в биллинговой системе использовать номер лицевого счета) или сегментирования ИСПДн на несколько частей с использованием сертифицированных межсетевых экранов, что в некоторых случаях позволяет каждой из подсистем присвоить более низкий класс и снизить затраты на их защиту.
Для каждой ИСПДн необходимо определить угрозы безопасности в соответствии с методическими документами ФСБ и ФСТЭК и оформить результаты в виде модели (моделей) угроз.
Новым требованием № 152-ФЗ является необходимость разработки и опубликования политики оператора в отношении обработки персональных данных. Причем закон требует, чтобы к документу, определяющему политику оператора и сведениям о реализуемых требованиях к защите персональных данных, был обеспечен неограниченный доступ, причем, если сбор персональных данных осуществляется оператором с использованием информационно-телекоммуникационных сетей (ИТКС), например, Интернета, политика и сведения о предпринятых мерах защиты должны быть опубликованы в этой сети.
Поэтому эти документы должны быть доступны в тех помещениях, где энергосбытовая компания ведет прием населения, а если сведения потребителей-физических лиц она получает через вэб-формы своих сайтов (например, личные кабинеты или системы формирования платежных документов), то политику необходимо выложить и на сайте, как это уже сделали некоторые компании.
Взаимоотношения с субъектами
У энергосбытовых компаний есть несколько особенностей, связанных с наличием законных оснований на обработку ПДн определенных категорий субъектов.
Первая заключается в том, что во многих случаях между предприятием и его клиентами отсутствуют договоры о предоставлении услуг. В то время как основанием для обработки ПДн физических лиц, помимо их согласия, могут быть только договор, стороной которого является субъект, или выполнение возложенных законодательством на оператора функций, полномочий и обязанностей.
Тем не менее, даже при отсутствии договоров между сбытовыми компаниями и клиентами-физическими лицами или согласий субъектов, их персональные данные обрабатываются поставщиками энергии. При этом некоторые компании идут по пути заключения договоров на энергообеспечение непосредственно с потребителями, но сталкиваются с нормой ч.7 ст.155 Жилищного кодекса, предусматривающей, что собственники помещений в многоквартирном доме, где нет ТСЖ или ЖСК, и управление которым осуществляется управляющей организацией, должны вносить плату за коммунальные услуги этой управляющей организации, а не поставщику ресурсов.
Также не стоит забывать о праве доступа субъекта к своим персональным данным и сведениям, имеющим значение для обеспечения его законных интересов, и особенностях раскрытия информации об акционерах и аффилированных лицах акционерных обществ. С одной стороны, необходимо обеспечить выполнение положений закона, касающихся раскрытия и обязательного опубликования сведений, с другой — не распространять те категории ПДн, которые законами не предусмотрены.
Серьезные сложности вызывает обоснование обработки ПДн представителей контрагентов, которые должны быть уведомлены о начале обработки их данных оператором или своим работодателем.
Особую проблему создает использование энергосбытовыми компаниями биллинговых систем для тарификации потребленной электроэнергии. № 152-ФЗ обуславливает принятие решений исключительно на основании автоматизированной обработки персональных данных рядом обязательных условий, главным из которых является наличие согласия субъекта персональных данных в письменной форме, установленной законом. Оператор персональных данных также должен разъяснить порядок принятия такого решения и возможные юридические последствия, порядок защиты субъектом ПДн своих прав и законных интересов, а также предоставить субъекту возможность заявить возражение против такого решения. Вряд ли удастся найти большое количество энергосбытовых компаний, именно таким образом урегулировавших свои отношения с клиентами.
Еще один сложный вопрос — обеспечение конфиденциальности ПДн. В конце января этого года за рассылку счетов в открытом виде был привлечен к административной ответственности один из топ-менеджеров «Воронежской энергосбытовой компании». Результат не заставил себя ждать. Уже с августа 2011 года все счета доставляются потребителям в запечатанном виде, для чего было закуплено и установлено соответствующее оборудование. Спрос рождает предложение. Одна из крупнейших мировых компаний, специализирующихся на полиграфическом оборудовании для оформления расчетов, предложила российскому рынку специальные технологии бесконвертной упаковки, больше знакомые по счетам, выставляемым банками, операторами связи и расчетными центрами ЖКХ.
Проектирование подсистемы информационной безопасности
Завершающим этапом работ по приведению ИСПДн в соответствие требованиям закона является проектирование и построение системы защиты ПДн. Несмотря на то, что документов Правительства, определяющих уровни защищенности ПДн и требования к их обеспечению, пока нет, многие вопросы технической защиты очевидны уже сейчас.
Ясно, что ни в одной современной системе не обойтись без антивирусной защиты. Естественно, она должна быть лицензионной.
Если информационная сеть компании имеет подключение к интернету, необходимо использовать межсетевые экраны.
Положения ст.19 № 152-ФЗ о необходимости обнаружения фактов несанкционированного доступа (НСД) к ПДн, регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн, требует применения средств защиты от НСД.
Норма о восстановлении ПДн, модифицированных или уничтоженных вследствие НСД к ним, влечет создание системы резервного копирования.
Обработка ПДн на сайте в сети интернет вынуждает использовать средства анализа защищенности, поскольку взлом сайта и потеря контроля над ним могут привести к серьезным последствиям, в том числе и для начисления оплаты за услуги компании, т.е. к финансовым потерям.
Помня, что все средства защиты информации (СЗИ), используемые в ИСПДн, должны пройти в установленном порядке процедуру оценки соответствия, в качестве которой на сегодняшний день регуляторы рассматривают только обязательную сертификацию, выбор возможных решений весьма сужается.
Выстраивая ИБ, владельцы информационных систем зачастую сталкиваются с проблемой «зоопарка» применяемых средств защиты и их совместимости. Одну из наиболее интересных и полных линеек продуктов, обеспечивающих выполнение закона, предлагает российская компания «Код Безопасности», в арсенале которой практически полный набор средств защиты, от предотвращения НСД (Secret Net, «Соболь») до криптографии («Континент») и межсетевого экранирования (TrustAccess). Для таких пользователей, как энергосбытовые компании, эксплуатирующих высокопроизводительные центры обработки данных, важнейшим показателем является наличие средств обеспечения безопасности в виртуальной среде, к которым относится продукт vGate R2, качество которого подтверждено как российским регулятором, так и производителем средств виртуализации (VMware).
И, наконец, в арсенале компании — комплексное решение по защите рабочих станций Security Studio Endpoint Protection, включающее в себя антивирус, антиспам и антишпион, персональный межсетевой экран, IDS уровня хоста и средства веб-фильтрации.
Все без исключения продукты имеют сертификаты ФСТЭК и/или ФСБ России (в зависимости от области ответственности).
Уведомление Роскомнадзора
Заключительным этапом работ по приведению системы обработки ПДн в соответствие с законом является направление уведомления в Роскомнадзор, предусмотренное № 152-ФЗ. При этом в силу особенностей обрабатываемых категорий ПДн и их субъектов, энергосбытовые компании не подпадают под исключения, предусмотренные законом. Таких уведомивших уполномоченный орган по защите прав субъектов среди сбытовиков сегодня порядка 40, но Роскомнадзор активно ведет работу по увеличению числа юридических лиц, направляющих уведомления, привлекая те из них, которые не смогут доказать наличие для них исключений, к административной ответственности по ст.19.7 КоАП РФ.
Как видно, соответствовать закону трудно, но возможно. И лучше не откладывать эту работу до прихода надзорных органов и привлечения должностных лиц оператора к ответственности, дисквалификации руководителей и иных ответственных лиц.
Источник: CNews
Теги: ЗПДн практика