Акционерная компания ОАО “Якутскэнерго” — дочернее зависимое общество ОАО “РАО Энергетические системы Востока” и основной гарантирующий поставщик электрической энергии в Республике Саха (Якутия), располагающий разветвленной сетью территориально разнесенных филиалов. Она занимает одно из первых мест среди энергокомпаний России по площади децентрализованного энергоснабжения, по площади обслуживания потребителей (территория республики составляет 1/5 часть России) и количеству генерирующих источников. Протяженность линий электропередачи всех классов напряжения — свыше 20 тыс. км. В структуре производства электрической энергии 31,7% занимают тепловые электростанции, 60,1% — гидроэлектростанции и 8,2% — дизельные станции.
В состав ОАО АК “Якутскэнерго” входят генерирующие предприятия Каскад Вилюйских ГЭС им. Е. Н. Батенчука, Якутская ГРЭС, Якутская ТЭЦ.
Сетевые предприятия Якутские городские, Западные и Центральные электрические сети обеспечивают транспортировку электроэнергии до потребителей. Энергосбыт осуществляет реализацию электрической и тепловой энергии и услуг ЖКХ на всей территории республики.
В ОАО АК “Якутскэнерго” используется самое большое в стране число дизельных электростанций — 167, 125 из которых объединены в дочернюю компанию “Сахаэнерго”. ОАО АК “Якутскэнерго” помимо “Сахаэнерго” владеет 100% пакетами акций ОАО “Теплоэнергосервис”, ОАО “Якутская энергоремонтная компания”, ОАО “Энерготрансснаб”.
Как рассказал Юрий Савчук, заместитель генерального директора по безопасности ОАО АК “Якутскэнерго”, одной из наиболее актуальных задач, стоящих сегодня перед подразделением информационной безопасности (ИБ) каждой крупной компании, является обеспечение полноценной защиты персональных данных. Для достижения этой цели руководство энергокомпании приняло решение реализовать проект по приведению имеющихся в организации информационных систем персональных данных (ИСПДн) в соответствие с требованиями 152-ФЗ “О персональных данных” и других нормативных документов.
Подготовка к проекту
Несмотря на отсутствие штатных специалистов по защите информации, в 2009 г. в “Якутскэнерго” были разработаны и введены в действие локальные нормативные акты в области безопасной обработки персональных данных. Силами подразделения экономической безопасности и режима, ИТ-департамента проведена классификация ИСПДн, идентифицированы актуальные угрозы безопасности персональных данных и разработаны модели угроз.
В 2010 г. по рекомендации вышестоящей организации — ОАО “РАО ЭС Востока” — принято решение о проведении мероприятий и включении затрат на создание системы защиты персональных данных в комплексный план закупок на последующие годы. Далее, в 2011 г., введены должности специалистов по информационной безопасности подразделения безопасности “Якутскэнерго”, проведен предварительный мониторинг рынка информационной безопасности. “Выяснилось, что среди ИБ-компаний много таких, которые, не имея достаточных кадровых ресурсов и опыта работы, обещают быстро и недорого построить необходимую систему защиты. А вот компаний с опытом работы и соответствующими ресурсами оказалось не очень много”, — отметила главный специалист Управления экономической безопасности и режима ОАО АК “Якутскэнерго” Екатерина Колодеца. Для выбора исполнителя работ по проекту был организован конкурс, в котором приняло участие несколько специализированных компаний. В числе основных критериев для конкурсной комиссии были цена предложения и наличие конкретного положительного опыта аналогичных работ на энергопредприятиях России. В результате с большим перевесом по количеству баллов победила компания LETA, в которой работают эксперты в области ИБ, имеющие опыт реализации ряда проектов по защите информации в сфере энергетики.
Специалисты LETA предложили вариант построения системы защиты персональных данных, позволяющий, с одной стороны, обеспечить полное соответствие действующей нормативной базе, а с другой — органично встроить систему в текущие бизнес-процессы “Якутскэнерго”, не затрагивая каким-либо образом сам процесс ведения бизнеса компании. В создаваемую систему было предложено включить имеющиеся программно-аппаратные средства защиты. “Кроме того, предложенное нами решение являлось экономически сбалансированным и давало возможность эффективно распоряжаться бюджетом организации, направленным на защиту персональных данных”, — подчеркнул Владимир Овчарук, заместитель директора департамента внедрения и консалтинга компании LETA.
При проведении конкурса большую роль сыграла предварительная оценка рынка, считает Екатерина Колодеца. По ее словам, в связи с тем что многие крупные предприятия стремились привести ИСПДн в соответствие с требованиями закона к июлю 2011 г., ИБ-компании зачастую предлагали до 10 крат завышенную цену на свои услуги. Она обратила внимание и на тот факт, что отработка технического задания и согласованного плана действий потребовали значительного времени, из-за чего задержался конкурс, но в ходе исполнения проекта правильность данного подхода полностью подтвердилась.
Построение системы защиты
Основные работы по проекту провели специалисты компании LETA, которые занимались обследованием текущей ситуации в “Якутскэнерго” в области обработки и защиты персональных данных, формированием отчетных и организационно-распорядительных документов, проектированием системы защиты персональных данных. ИТ-специалисты энергокомпании оказывали им необходимое содействие при получении информации, а также при изменении и согласовании документов по проекту. На основе проведенных работ сотрудники LETA подготовили комплект документов, регламентирующих мероприятия по защите персональных данных, и представили подробные рекомендации по изменению внутренних процессов их обработки в целях полного соответствия требованиям российского законодательства.
Самыми длительными и дорогостоящими этапами были аудит обработки персональных данных, в ходе которого специалисты LETA провели многочисленные интервью (как при непосредственных встречах, так и по телефону) руководителей подразделений и работников, вовлеченных в процессы обработки персональных данных в компании, разработка модели угроз и внедрение программного продукта оборудования.
Проект завершился точно в срок — через шесть месяцев после его начала. По мнению Юрия Савчука, это стало возможным благодаря грамотно разработанному техническому заданию и согласованному между сторонами календарному плану выполнения работ, что позволило также избежать проблем и разногласий в ходе работ. Причем главным фактором успеха представители компании “Якутскэнерго” считают стремление руководства и специалистов компании выполнить на необходимом уровне требования законодательства РФ и локальных нормативных актов ОАО “РАО ЭС Востока” в области защиты персональных данных.
Со своей стороны Владимир Овчарук отметил, что методика, созданная компанией LETA, позволяет в рамках одного проекта выработать рекомендации как по эффективному управлению информационной безопасностью, так и по приведению информационной системы в соответствие требованиям федерального законодательства. Особенностью же проекта в “Якутскэнерго”, по его убеждению, стало то, что специалистам LETA удалось в короткий срок провести полное обследование процессов обработки персональных данных во всех филиалах энергокомпании и построить адаптированную систему защиты персональных данных, учитывающую все особенности их обработки в такой сложной распределенной структуре, как “Якутскэнерго”, не нарушая при этом ее бизнес-процессов.
В результате аудита и анализа был выбран вариант с использованием доступных по цене, но при этом современных и эффективных средств и программ. Кроме того, в ходе реализации проекта были максимально полно использованы ранее приобретенные “Якутскэнерго” программные средства и оборудование, такие как устройство адаптивной безопасности Cisco ASA 5540 Appliance w/AIP SSM 40SWHA4GE, средство контроля уязвимостей XSpider 7.8, программное средство контроля информационной безопасности Secunia CSI. Таким образом, путём тщательной проработки вопроса с учетом всех особенностей существующей системы защиты информации проектной команде удалось встроить приобретенные средства в существующую ИТ-инфраструктуру компании “Якутскэнерго”.
Сегодня и завтра системы
Результатом реализации проекта стала система защиты персональных данных, полностью соответствующая требованиям федерального законодательства. “Мы обеспечили полноценную защиту персональных данных потребителей электрической и тепловой энергии, акционеров и работников компании “Якутскэнерго”, а также иных сведений, обрабатываемых в наших информационных системах”, — констатировал Сергей Андрейчиков, главный эксперт отдела экономической и информационной безопасности ОАО “РАО ЭС Востока”. В частности, были актуализированы все документы, касающиеся обработки персональных данных. В декабре 2011 г. участники проектной команды со стороны “Якутскэнерго” получили от компании LETA декларацию о соответствии системы защиты персональных данных обязательным требованиям, а в 2012-м были проведены все организационные мероприятия, рекомендованные специалистами LETA.
Как сообщил Юрий Савчук, в декабре 2012 г. Управление Роскомнадзора по Республике Саха (Якутия) завершило в “Якутскэнерго” плановую федеральную выездную проверку соблюдения обязательных требований в области обработки персональных данных, которая не выявила никаких нарушений. Комиссия Управления Роскомнадзора также отметила уровень работы “Якутскэнерго” по обеспечению информационной безопасности и защите персональных данных как один из лучших в республике, что подтвердило своевременность и необходимое качество осуществлённых мероприятий.
Данный проект несет в себе возможности дальнейшего совершенствования системы защиты персональных данных в “Якутскэнерго”, считает Владимир Овчарук. Сегодня в компании предпринимается ряд шагов по построению системы управления информационной безопасностью, так что в проект системы защиты персональных данных будут внесены необходимые изменения.