Информационная безопасность
В связи с цифровизацией и масштабным проникновением IT‑технологий в деятельность Компании и повседневную жизнь возрастает зависимость Группы от корректной работы АСУ ТП и ИТ‑систем, безопасности обрабатываемой информации и эффективного функционирования системы обеспечения информационной безопасности.
В рамках Программы обучения и развития для членов Совета директоров в 2019 г. проведён семинар по теме «Цифровизация». В формате воркшопа были освещены в том числе такие области, как риски кибербезопасности и цифровой трансформации. Совет директоров принял решение каждые полгода рассматривать отчёт по управлению рисками.
В качестве одного из стратегических рисков «Интер РАО» выделяет риск роста количества и масштабов последствий от нарушений информационной безопасности. В качестве критерия оценки эффективности управления риском информационной безопасности было принято отсутствие существенного материального или денежного ущерба в результате целевой кибератаки на эксплуатируемые АСУ ТП и ИТ‑системы компаний Группы.
Результаты 2019 г. и события после отчётной даты
- Реализован проект по оценке защищённости внешнего периметра ИТ‑инфраструктуры предприятий Группы, а также проведён ряд тестов на внешнее проникновение в ключевые информационные системы Группы.
- Сформирован отдельный перечень самых существенных рисков информационной безопасности Группы, каждый из рисков был оценён и проанализирован с точки зрения достаточности текущих мер и необходимости дополнительных мер.
- В ПАО «Интер РАО» учреждено и укомплектовано новое подразделение – Департамент информационной безопасности, подчинённый непосредственно Генеральному директору, с необходимым уровнем полномочий для снижения выявленных рисков.
- Инициирована и завершена внеплановая инвентаризация средств информационных технологий и информационной безопасности.
- Модернизированы средства защиты информации Группы следующих классов: межсетевые экраны, защита рабочих станций и серверов (включая антивирусный модуль), анализа защищённости (сканер уязвимости), защита от атак «нулевого дня» («песочницы»).
- Началось встраивание процессов информационной безопасности в ключевые бизнес-процессы: в состав проектных команд по созданию новых информационных систем уровня Группы был введён функциональный эксперт по информационной безопасности.
- Завершен сбор данных по категории объектов критической информационной инфраструктуры во исполнение требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Принята «Программа развития информационной безопасности Группы «Интер РАО». В 2020 г. планируется принятие программы развития информационной безопасности Группы «Интер РАО» на период 2021–2025 гг.
Мероприятия по обеспечению информационной безопасности «Интер РАО» обеспечивают должный уровень защищённости информационных и автоматизированных систем, что подтверждается отсутствием в 2019 г. зафиксированных случаев утечки, кражи или потери персональных данных или существенных жалоб на нарушения сохранности персональных данных конечных потребителей сбытовых компаний.
С целью защиты информационных ресурсов Группы от несанкционированного доступа (компьютерных атак), а также в целях реализации требований Федерального закона от 26.07.2018 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в ПАО «Интер РАО» и дочерних обществах созданы Комиссии по категорированию объектов критической информационной инфраструктуры.
Реализация цифровой трансформации Группы связана с повышенным уровнем риска из-за новизны используемых технологий, сильной
Для снижения рисков кибербезопасности Программа инновационного развития «Интер РАО» предполагает использование продуктового подхода к реализации проектов. Первоначально реализовывать
Программа страховой защиты «Интер РАО» включает страхование рисков операторов данных и иных информационных рисков (киберрисков). Годовая страховая сумма составляет 350 млн руб. Страховое покрытие включает:
- расходы по устранению угрозы безопасности компьютерной системы;
- расходы в связи с расследованием;
- расходы на консультации и иные услуги внешних специалистов
программн о-технической экспертизы; - расходы на восстановление электронных данных;
- убытки от виртуального вымогательства;
- расходы на консультации в области репутации.