Информационная безопасность

В связи с цифровизацией и масштабным проникновением IT‑технологий в деятельность Компании и повседневную жизнь возрастает зависимость Группы от корректной работы АСУ ТП и ИТ‑систем, безопасности обрабатываемой информации и эффективного функционирования системы обеспечения информационной безопасности.

Внимание Совета директоров к рискам киберугроз

В рамках Программы обучения и развития для членов Совета директоров в 2019 г. проведён семинар по теме «Цифровизация». В формате воркшопа были освещены в том числе такие области, как риски кибербезопасности и цифровой трансформации. Совет директоров принял решение каждые полгода рассматривать отчёт по управлению рисками.

В качестве одного из стратегических рисков «Интер РАО» выделяет риск роста количества и масштабов последствий от нарушений информационной безопасности. В качестве критерия оценки эффективности управления риском информационной безопасности было принято отсутствие существенного материального или денежного ущерба в результате целевой кибератаки на эксплуатируемые АСУ ТП и ИТ‑системы компаний Группы.

Результаты 2019 г. и события после отчётной даты

  1. Реализован проект по оценке защищённости внешнего периметра ИТ‑инфраструктуры предприятий Группы, а также проведён ряд тестов на внешнее проникновение в ключевые информационные системы Группы.
  2. Сформирован отдельный перечень самых существенных рисков информационной безопасности Группы, каждый из рисков был оценён и проанализирован с точки зрения достаточности текущих мер и необходимости дополнительных мер.
  3. В ПАО «Интер РАО» учреждено и укомплектовано новое подразделение – ​Департамент информационной безопасности, подчинённый непосредственно Генеральному директору, с необходимым уровнем полномочий для снижения выявленных рисков.
  4. Инициирована и завершена внеплановая инвентаризация средств информационных технологий и информационной безопасности.
  5. Модернизированы средства защиты информации Группы следующих классов: межсетевые экраны, защита рабочих станций и серверов (включая антивирусный модуль), анализа защищённости (сканер уязвимости), защита от атак «нулевого дня» («песочницы»).
  6. Началось встраивание процессов информационной безопасности в ключевые бизнес-процессы: в состав проектных команд по созданию новых информационных систем уровня Группы был введён функциональный эксперт по информационной безопасности.
  7. Завершен сбор данных по категории объектов критической информационной инфраструктуры во исполнение требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  8. Принята «Программа развития информационной безопасности Группы «Интер РАО». В 2020 г. планируется принятие программы развития информационной безопасности Группы «Интер РАО» на период 2021–2025 гг.

Мероприятия по обеспечению информационной безопасности «Интер РАО» обеспечивают должный уровень защищённости информационных и автоматизированных систем, что подтверждается отсутствием в 2019 г. зафиксированных случаев утечки, кражи или потери персональных данных или существенных жалоб на нарушения сохранности персональных данных конечных потребителей сбытовых компаний.

С целью защиты информационных ресурсов Группы от несанкционированного доступа (компьютерных атак), а также в целях реализации требований Федерального закона от 26.07.2018 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в ПАО «Интер РАО» и дочерних обществах созданы Комиссии по категорированию объектов критической информационной инфраструктуры.

Реализация цифровой трансформации Группы связана с повышенным уровнем риска из-за новизны используемых технологий, сильной чувствительностью к вопросам кибербезопасности, отсутствием отработанных рынком бизнес-гипотез, высокими требования к скорости реакции при реализации инновационных проектов и своевременных корректирующих воздействий.

Для снижения рисков кибербезопасности Программа инновационного развития «Интер РАО» предполагает использование продуктового подхода к реализации проектов. Первоначально реализовывать прототип, затем минимально жизнеспособный продукт (MVP) и только после подтверждения его результативности переходить к реализации полнофункционального продукта, включающего, в частности, защиту информационной безопасности, удобство, документированность.

Программа страховой защиты «Интер РАО» включает страхование рисков операторов данных и иных информационных рисков (киберрисков). Годовая страховая сумма составляет 350 млн руб. Страховое покрытие включает:

  • расходы по устранению угрозы безопасности компьютерной системы;
  • расходы в связи с расследованием;
  • расходы на консультации и иные услуги внешних специалистов программно-технической экспертизы;
  • расходы на восстановление электронных данных;
  • убытки от виртуального вымогательства;
  • расходы на консультации в области репутации.