Информационная безопасность

Вклад «Норникеля» в национальный проект «Экономика данных и цифровая трансформация государства» и национальную цель «Цифровая трансформация государственного и муниципального управления, экономики и социальной сферы»

Подход Компании к вопросам обеспечения информационной безопасности (ИБ)

Для «Норникеля» предотвращение угроз информационной безопасности – большая ответственность и один из ключевых приоритетов в силу существенного влияния потенциальных рисков ИБ на все сферы жизни, необходимости защиты критической информационной инфраструктуры и новых вызовов современности в области киберустойчивости.

В 2024 году «Норникель» совершенствовал существующие подходы к управлению информационной безопасностью. Для обеспечения планомерного развития функция ИБ идет по пути развития сервисной модели, адаптируя свои подходы под лучшие практики рынка. Повышение эффективности существующих процессов обеспечения ИБ является одной из ключевых целей функции на 2025 год.

При формировании стратегии информационной защиты Компании учитываются как растущие риски информационной безопасностиРиски, связанные с актами киберпреступности в отношении процессов и систем Компании, а также нарушениям законодательства в области персональных данных, зарегистрированы в корпоративной системе управления рисками. Владельцем данных рисков является Департамент защиты информации и ИТ‑инфраструктуры. Факторы рисков ИБ, их оценка и основные принимаемые «Норникелем» меры для снижения этих рисков представлены в Отчете об устойчивом развитии «Норникеля» за 2023 год и Годовом отчете «Норникеля» за 2024 год., так и поддерживаемый на уровне государства курс на импортозамещение информационных технологий и решений ИБ. Так, в 2024 году был завершен процесс импортозамещения средств защиты информации для систем промышленной автоматизации в технологической инфраструктуре Компании.

Компания делится своей экспертизой с производителями продуктов ИБ и вовлекается в доработку решений, которые затем тиражируются на весь рынок, что оказывает влияние на развитие отрасли ИБ в России.

В Компании принимаются дополнительные меры по защите периметров технологической инфраструктуры предприятий и снижению рисков прерывания и остановки производственных процессов.

С учетом сохранения гибридного режима работы для офисных сотрудников Компании завершен первый этап их перевода на систему двухфакторной аутентификации, которая позволит минимизировать риски, связанные с несанкционированным удаленным доступом к корпоративным ресурсам. Ведется постоянный мониторинг уровня защищенности корпоративных систем, результаты которого позволяют своевременно выявлять и устранять уязвимости, а также принимать необходимые меры для противодействия кибервторжениям.

В 2024 году с целью улучшения системы управления информационной безопасности в Компании была разработана и утверждена модель корпоративных процессов ИБ, а также внедрена система управления ИБ‑процессами, позволяющая агрегировать информацию о ключевых результатах работы и обеспечить высокий уровень доступности ИБ‑услуг для внутренних заказчиков в рамках сервисной модели, в том числе посредством дополнительных мероприятий, повышающих уровень защищенности в отношении внешних киберугроз.

Сертификация

Система управления информационной безопасностью «Норникеля» (СУИБ) выстроена в соответствии с требованиями международного стандарта ISO/IEC 27001. Пять предприятий Группы получили сертификат в соответствии с ISO/IEC 27001.

В 2024 году в целях поддержания высокого уровня зрелости процессов обеспечения киберзащиты были реализованы мероприятия по переходу СУИБ‑площадок на версию стандарта ISO/IEC 27001:2022. По итогам проведенных проверок площадки подтвердили эффективность процессов управления ИБ. Независимый аудитор отметил высокий уровень вовлеченности руководства в процессы СУИБ, готовность предприятий Группы реагировать на угрозы и вызовы внешней среды. Сотрудники СУИБ продемонстрировали высокий уровень знаний в области информационной безопасности.

Защита и управление уязвимостями

С целью повышения общего уровня защищенности автоматизированных систем управления технологическими процессами (АСУТП) и выполнения рекомендаций, полученных по итогам аудита в 2023 году, все мероприятия, запланированные на 2024 год, выполнены.

Согласно плану по внедрению базовых мер защиты технологических процессов, завершены работы на производственных предприятиях Энергетического дивизиона, что способствует снижению рисков ИБ на предприятиях, обеспечивающих энергобезопасность предприятий Группы и городов Крайнего Севера. В тесном сотрудничестве с ключевыми партнерами по рынку ИБ был доработан и приведен в соответствие требованиям информационной безопасности «Норникеля» ряд отечественных решений, которые предлагаются ведущими производителями систем в области автоматизации технологических и производственных процессов.

В отчетном году Компания развивала подходы к управлению уязвимостями и анализу защищенности корпоративных систем, уделив особое внимание тестированию АСУТП. Были выявлены слабые места в эксплуатируемых системах, приняты своевременные меры по укреплению ИБ. Регулярные мероприятия по анализу защищенности и отработка взаимодействия с командой центра реагирования также позволяют выявлять и устранять узкие места в системах защиты.

Компания совершенствует процессы обеспечения ИБ в рамках жизненного цикла разработки ПО. Внедрение платформы DevSecOps позволяет автоматизировать ключевые элементы контроля безопасности, интегрируя их непосредственно в процессы разработки. Для повышения устойчивости к атакам на цепочку поставок внедрен корпоративный репозиторий программного обеспечения, через который производится установка и обновление стороннего ПО.

Система реагирования на киберинциденты

В «Норникеле» действует Центр мониторинга и реагирования на киберинциденты, в котором используются передовые технические решения и лучшие практики управления процессами киберзащиты. Сотрудники центра регулярно подтверждают высокий уровень компетенций — в 2024 году команда «Норникеля» продемонстрировала уникальные знания и навыки в трех соревнованиях.

Центр осуществляет постоянный мониторинг событий в сфере ИБ и организует обмен опытом с коллегами из других компаний и партнерами по рынку, что позволяет предпринимать упреждающие действия по блокировке действий злоумышленников.

Несмотря на значительный рост компьютерных атак, Компания успешно отразила все попытки злоумышленников нанести ущерб инфраструктуре «Норникеля».

Любой сотрудник «Норникеля» в случае обнаружения подозрительного контента или активности на корпоративных устройствах может направить эту информацию для проверки в функцию ИБ. Специалисты проводят оценку возможного деструктивного влияния на информационные системы Компании и принимают меры, направленные на предотвращение и устранение последствий инцидентов.

Требования к контрагентам

В 2024 году были выявлены факты компрометации информационной инфраструктуры ряда подрядных организаций, в результате которых были приняты меры по блокировке доступа подрядчиков к инфраструктуре «Норникеля» и предотвращены возможные негативные последствия.

Компания разработала раздел договора, устанавливающий требования в области ИБ и ответственность за их невыполнение для контрагентов, которые в рамках договоров получают доступ к информационным активам Компании. Указанный раздел уже в 2024 году включен в общие условия договоров. Кроме этого, внесены изменения в типовое соглашение о конфиденциальности – добавлена обязанность контрагента обеспечить выполнение мер ИБ и предоставлять по запросу Компании сведения о выполнении таких мер. Также были внедрены процесс использования двухфакторной аутентификации для всех сотрудников внешних организаций и ряд ограничительных мер для контрагентов, имеющих привилегированные права в информационных системах.

«Норникель» ведет разработку методики оценки контрагентов Компании на предмет достаточности мер обеспечения ИБ, которая позволит реализовать дополнительную защиту корпоративных информационных активов.

Защита персональных данных

В «Норникеле» реализуется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных (ПДн). Техническая защита ПДн обеспечивается средствами антивирусной защиты, предотвращения утечек, контроля отчуждаемых устройств, анализа событий безопасности.

Особое внимание в Компании уделяется обеспечению соответствия процессов обработки ПДн требованиям законодательства, в рамках которых в течение 2024 года профильный департамент Компании разрабатывал и реализовывал на практике корпоративные методические указания.

В Компании разработана методика бережной обработки ПДн, направленная на снижение риска утечки ПДн путем минимизации обработки ПДн в рамках бизнес‑процессов.

Обучение и информирование в области информационной безопасности

В соответствии с поставленной целью по развитию культуры информационной безопасности в рамках всей Группы и снижению роли человеческого фактора в инцидентах ИБ «Норникель» уделяет особое внимание повышению осведомленности всех категорий сотрудников о требованиях ИБ и правилах цифровой гигиены.

Тематика ИБ включена в массовые корпоративные мероприятия и стратегические сессии. Информирование сотрудников осуществляется через внутренние каналы коммуникации: публикации на корпоративном портале, почтовые рассылки, корпоративный мессенджер, размещение сведений на информационных досках, трансляция видеоматериалов на экранах в общих зонах.

На регулярной основе проводится обучение сотрудников по релевантным темам ИБ, включая онлайн‑курсы и тренинги, которые обновляются в ответ на изменяющийся ландшафт угроз и законодательства.

Для повышения бдительности сотрудников и отработки порядка действий в случае инцидентов ИБ регулярно проводятся учения, включающие имитацию фишинговых рассылок и иных актуальных способов незаконного воздействия на пользователей. По итогам учений актуализируются инструкции для сотрудников.

Наряду с этим «Норникель» заботится о личной информационной безопасности сотрудников и членов их семей, проводятся мероприятия для детей сотрудников Компании (игры по кибербезопасности, встречи с экспертами, видеоролики об основах ИБ).

Культура кибербезопасности – часть корпоративного культурного кода, который не ограничивается стенами Компании и способствует повышению уровня защищенности бизнеса и страны в целом.

Партнерство и обмен опытом в области информационной безопасности

Созданный по инициативе «Норникеля» клуб «Безопасность информации в промышленности» (БИП‑Клуб) объединяет руководителей и специалистов в области ИБ для обмена опытом, государственно‑частного диалога, разработки универсальных требований по ИБ, поиска инновационных решений и развития взаимовыгодных партнерств в целом.

В 2024 году БИП‑Клуб продолжил работу и впервые в рамках открытой встречи для рынка объединил на своей площадке одновременно вендоров, интеграторов, заказчиков, а также регуляторов рынка для диалога на тему подходов, требований, ожиданий от партнеров и перспектив эффективного сотрудничества в рамках программы импортозамещения.

Наряду с этим на площадке БИП‑Клуба «Норникель» предложил ИБ‑сообществу «Кодекс этики для рынка информационной безопасности» — набор принципов, которые помогут повысить зрелость рынка, сделать сотрудничество между заказчиком и подрядчиком более эффективным.

С ключевыми игроками рынка «Норникель» заключает стратегические партнерства, направленные на разработку и внедрение решений для повышения киберустойчивости горно‑металлургической отрасли.

Также Компания сотрудничает с рядом крупных российских вузов, с целью реализации совместных проектов и стимулирования молодых специалистов на работу в сфере информационной безопасности в промышленности.

Соглашение с «Норникелем» направлено на продолжение и расширение нашего взаимодействия, консолидацию экспертиз, усилий и ресурсов для обеспечения информационной безопасности в горно‑металлургической промышленности. Наши эксперты отмечают резкий рост интереса киберпреступников к критической информационной инфраструктуре и прогнозируют увеличение деструктивных атак на российские компании. Вместе с «Норникелем» мы можем внести весомый вклад в обеспечение информационной безопасности отрасли, повышая ее готовность к растущим угрозам и вызовам.

Михаил Осеевский, президент «Ростелекома»