Обеспечение корпоративной защиты
Как менялось обеспечение корпоративной безопасности в Компании за последние 20 лет?
Совершенствование корпоративной системы безопасности является одним из ключевых факторов устойчивости бизнес‑процессов «Норникеля»: в 2007 году были разработаны стандарты профессиональной компетентности сотрудников служб безопасности, в 2017 году под эгидой «Норникеля» был создан межотраслевой клуб «Безопасность информации в промышленности», в 2018 году утверждена Политика в области информационной безопасности, а также при активной поддержке «Норникеля» создана Национальная ассоциация международной информационной безопасности, разработана Хартия информационной безопасности критических объектов промышленности, а в 2019 году в Компании запущена в тестовую эксплуатацию сеть ситуационно‑аналитических центров, которая на текущий момент успешно развивается. С учетом внешних вызовов пересмотрен подход к обеспечению информационной безопасности, включающий продолжение курса на импортозамещение и переход на сервисную модель.
Блок корпоративной защиты осуществляет управление вопросами безопасности в Компании, в том числе организовывает взаимодействие между подразделениями, выстраивает сотрудничество с органами власти, выполняет мониторинг производственных объектов, предупреждение инцидентов и внедряет современные технологии. С 2023 года в составе Блока корпоративной защиты развивается новое направление, которое координирует вопросы применения и противодействия беспилотным воздушным судам: установление над категорированными объектами Компании бесполетных зон позволит подразделениям охраны в случае необходимости обеспечить противодронную защиту объектов с применением современных технических средств безопасности.
В «Норникеле» развивается сеть ситуационно‑аналитических центров безопасности, работа которых осуществляется на единой программно‑аналитической платформе агрегирования и обработки информации в сфере безопасности ключевых бизнес‑процессов. В начале 2024 года осуществлен ввод в эксплуатацию очередного сегмента системы: Кольская ГМК присоединилась к экосистеме корпоративной защиты Группы.
Регуляторные рамки корпоративной защиты определяются российским законодательством, применимыми международными нормами, внутрикорпоративными стандартами и регламентами «Норникеля».
В соответствии с ключевыми принципами Политики в области противодействия корпоративному мошенничеству, утвержденной Советом директоров Компании в 2022 году, выстраиваются системные меры по предупреждению, выявлению и противодействию злоупотреблениям, корпоративному мошенничеству и коррупционным проявлениям, в том числе в отчетном периоде:
- в систему обеспечения экономической безопасности закупочной деятельности внедрены индикаторы нарушений (признаки картельного сговора, конфликта интересов, лоббирования интересов участников закупочной процедуры, необоснованных ограничений), формирующих комплексную основу профилактики и предотвращения злоупотреблений;
- оптимизирована методология проверки контрагентов;
- разработан и интегрирован в структуру обучающих курсов сотрудников Группы тренинг по противодействию корпоративному мошенничеству. Указанный курс был успешно пройден действующими сотрудниками Компании.
Помимо этого, в 2023 году решена задача по обеспечению корпоративной безопасности при реализации стратегических инвестиционных проектов по направлениям экономической защиты законных интересов Компании во взаимоотношениях с подрядчиками, кадровой безопасности персонала и безопасности на объектах.
На принципиально новом уровне для решения важных задач обеспечения экономической безопасности производства начал функционировать специализированный Центр химико‑криминалистических исследований и экспертиз, оснащенный современным комплексом аналитического оборудования. Это позволило существенно расширить функции Центра и проводить широкий спектр химико‑аналитических исследований для оказания технической помощи производственным и контрольно‑аналитическим подразделениям в сфере обеспечения качества продукции, расследования причин возникновения нештатных ситуаций на производстве, в проведении углубленных химических, минералогических, структурных исследований материалов и веществ при разработке новых технологий обогатительных и металлургических производств, а также при проведении специального внешнего контроля качества и достоверности анализа цветных и драгоценных металлов. Разработанная центром комплексная методика анализа и идентификации металлосодержащих материалов высоко оценена участниками Международной ассоциации металлов платиновой группы.
По вопросам корпоративной безопасности «Норникель» взаимодействует с бизнес‑партнерами, компаниями отрасли, органами власти и другими заинтересованными сторонами: в 2023 году Компания приняла участие в заседании Международной ассоциации металлов платиновой группы, стала победителем научно‑практической конференции «Формула транспортной безопасности. Закон. Знание», администрировала федеральные нормативные правовые акты в сфере обеспечения безопасности.
В 2023 году для поддержания высокого уровня готовности сил и средств обеспечения объектовой безопасности проведено более 520 тренировок, 242 учений и 22 тактико‑специальных учений.
В 2023 году с учетом внешних вызовов и особенностей российского рынка Компания пересмотрела подход к обеспечению информационной безопасности (далее – ИБ), в том числе была реорганизована функция ИБ, сформирована и утверждена стратегия ее дальнейшего развития, которая предусматривает в том числе продолжение курса на импортозамещение решений ИБ, а также переход на сервисную модель.
ООО «Норникель Сфера» – дочерняя организация Компании, обладает широкими техническими компетенциями в основных областях информационной безопасности и защиты технологических процессов, оказывает все ключевые услуги для предприятий Группы.
Компанией были приняты меры по защите периметров технологической инфраструктуры предприятий и снижению рисков. В условиях продолжающегося возрастания количества и сложности кибератак, а также с учетом сохранения удаленного режима работы для части сотрудников требуются дополнительные меры по обеспечению информационной безопасности корпоративных ресурсов и инфраструктуры.
В Компании внедрены все необходимые процессы информационной безопасности.
Функционирование системы управления информационной безопасностью (СУИБ) регламентировано внутрикорпоративными документами (Политика информационной безопасности ПАО «ГМК «Норильский никель», методики и стандарты в области информационной безопасности) в соответствии с ведущими мировыми практиками.
С точки зрения защиты автоматизированных систем управления технологическими процессами (АСУТП) приоритетным для «Норникеля» остается покрытие базовыми мерами (средствами и системами) защиты максимального числа предприятий и производственных площадок, на которых эксплуатируются АСУТП. В отчетном году упор сделан на использование отечественных решений.
По итогам проведенного в 2023 году внутреннего аудита дана высокая оценка результатам работы функции информационной безопасности в области защиты АСУТП, представленные рекомендации будут реализованы в 2024 году.
Другим значимым направлением в ходе обеспечения информационной безопасности является реагирование на киберинциденты. Для этого Компания использует передовые технические решения, отечественные и мировые практики управления процессами киберзащиты. Разработанные процедуры регулярно тестируются (не реже одного раза в квартал), что позволяет оценить уровень готовности Компании к современным кибератакам. Любой сотрудник Компании в случае обнаружения подозрительного контента или активности на корпоративных устройствах может направить обращение в функцию информационной безопасности. Специалисты проводят оценку возможного деструктивного влияния на информационные системы Компании и принимают меры, направленные на предотвращение и устранение последствий инцидентов.
В отчетном году были разработаны и реализованы новые стратегии управления уязвимостями, направленные на противостояние новым методам воздействия злоумышленников и обеспечение непрерывной защиты систем Компании, в том числе внедряя стратегию DevSecOps, направленную на обеспечение безопасности на протяжении всего жизненного цикла разработки программного обеспечения.
Защита персональных данных (включая третьих лиц) осуществляется в соответствии с законодательством Российской Федерации на базе применения комплекса организационно‑технических мер, включая средства антивирусной защиты, предотвращения утечек, контроля отчуждаемых устройств, анализа событий безопасности, а также тренингов персонала для повышения осведомленности по теме комплаенса персональных данных. В 2023 году была проведена работа по приведению в соответствие процессов обработки персональных данных с требованиями законодательства и внутрикорпоративными документами.
Система управления информационной безопасностью в «Норникеле» соответствует требованиям международного стандарта ISO/IEC 27001:2013.
В 2023 году высокую эффективность процессов управления информационной безопасности подтвердили пять объектов «Норникеля»:- Мурманский транспортный филиал;
- Кольская горно‑металлургическая компания (Кольский дивизион);
- Надеждинский металлургический завод (Норильский дивизион);
- Медный завод (Норильский дивизион);
- Талнахская обогатительная фабрика (Норильский дивизион).
На 2024 год запланирована серия аудитов по переходу на версию стандарта ISO/IEC 27001:2022.
Повышение осведомленности сотрудников о принципах защиты данных и правилах цифровой гигиены является значимым элементом системы управления информационной безопасностью, что закреплено во внутрикорпоративных документах КомпанииРегламент повышения осведомленности в области информационной безопасности ПАО «ГМК «Норильский никель».. В 2023 году в «Норникеле» поставлена цель по повышению культуры информационной безопасности в рамках всей Группы.
Все новые сотрудники проходят ознакомление с внутренними нормативно‑методическими документами, регламентирующими требования информационной безопасности, и дополнительный вводный инструктаж.
В 2023 году было реализовано 95 плановых и 19 внеплановых тренингов в формате электронных курсов и очных лекций, обучение прошли 34 104 сотрудника Группы.
Кроме того, регулярно проводятся учения, включающие в том числе имитацию фишинговых рассылок и иных способов незаконного воздействия на пользователей. По итогам учений актуализируются инструкции для сотрудников.
Дополнительно на регулярной основе организуются тематические информационные рассылки об актуальных угрозах информационной безопасности и правилах цифровой гигиены.
Обмен опытом и лучшими практиками по защите информационных систем, построение государственно‑частного диалога по вопросам законодательного регулирования осуществляются в рамках деятельности клуба «Безопасность информации в промышленности» («БИП‑Клуб»), созданного по инициативе «Норникеля». В состав Клуба на конец 2023 года входили более 70 российских компаний. Повестка Клуба включает актуальные вопросы обеспечения киберзащиты бизнеса в условиях новых вызовов и угроз.
Для развития рынка информационной безопасности для промышленного сектора экономики Компания в отчетном году проводила встречи с разработчиками и вендорами продуктов и услуг в сфере информационной безопасности и заключила с рядом из них стратегические соглашения о партнерстве.
