Выйти без потерь

– Горно-металлургическая отрасль т ради цион но является одной из наиболее консервативных, но именно добыча и переработка полезных ископаемых требуют использования передовых научных наработок и высокотехнологичных ИT-решений, которые необходимо защищать. Что является основой информационной безопасности в "Норильском никеле"?
– "Норильский никель" является одним из лидеров мирового горно-металлургического сектора, демонстрирует самую высокую рентабельность.

Разумеется, для сохранения статуса высокотехнологичной компании нам необходимо внедрять передовые решения практически во всех сегментах деятельности – от горных разработок до систем охраны объектов и ИT. В "Норникеле" информационная безопасность построена на трех принципах: разработке нормативной базы, актуализации модели угроз и внедрения средств защиты, повышении уровня осведомленности и компетентности работников. При этом эмпирической основой системы информбезопасности в компании является постоянный мониторинг критичных бизнес-процессов и формируемая по его результатам модель типов угроз и нарушителей. И в совокупности этот процесс (мониторинг – разработка регламентов – внедрение новых мер защиты – информирование работников) имеет циклический характер.

– Можно ли говорить о росте числа киберугроз в металлургическом секторе за последние несколько лет?
– Мы находимся под постоянным внешним негативным воздействием в информационной сфере. За последний год нами была отмечена высокая внешняя вирусная активность и увеличение инцидентов в сфере информационной безопасности, связанных с попытками вмешательства в ИТ-инфраструктуру предприятий ГМК "Норильский никель". Однако компания из внештатных ситуаций вышла без потерь. При этом нашими специалистами была немедленно разработана модель угроз и так называемого нарушителя безопасности, где была применена градация угроз информационной безопасности корпоративным ресурсам на основании весовых коэффициентов по степени их негативного влияния на критичные бизнес-процессы компании.

Такая методика позволяет типологизировать наиболее высокоуровневые инциденты и проработать алгоритмы и средства их нейтрализации.

– Расскажите об этом подробнее.
– Это комплекс инженерно-технических, программных, правовых, организационных и социальных мер и механизмов защиты, основанных на лучших отечественных и мировых практиках. Они применяются поэтапно и состоят из восьми блоков. На первой ступени производится идентификация рисков. Затем мы проводим оценку вероятности его рецидива и последствий рисков для бизнес-процессов компании. Далее расставляем полученные риски в приоритетном порядке, разрабатываем меры по уменьшению вероятности их появления в будущем, проводим мониторинг эффективности их обработки, актуализируем карту рисков и обучаем сотрудников компании. При необходимости происходит внедрение нового оборудования и программно-технического обеспечения, повышающего "иммунитет" корпоративных информационных систем. Конечно, назвать конкретные ИT-решения я не могу, но тем не менее, в компании модернизация систем предотвращения утечек информации (DLP) и систем обнаружения/предотвращения вторжений (IDS/IPS) идет полным ходом.

– В большинстве российских компаний одним из основных источников киберугроз по-прежнему остается персонал и постоянно набирающий обороты принцип BYOD¹. Каким образом регламентируется доступ работников к корпоративной информации в "Норильском никеле" и какими инструментами осуществляется ее защита?
– Мы живем в эпоху смартфонов – это объективная реальность. Недавно в ходе одного из ведущих отечественных медиафорумов развернулась интересная дискуссия на тему "Жизнь медиа и коммуникаций в эпоху смартфона". В основном речь шла о трансформации медиасреды, будущем СМИ, о динамике аудиторий и т.п. Но не менее важно, как мне кажется, взглянуть на проблему с точки зрения информационной безопасности. Удаленный доступ к рабочему компьютеру посредством мобильных устройств – это еще и доступ к корпоративным ресурсам компании. Значит, есть риски, что этим доступом могут воспользоваться злоумышленники. Эти факторы мы, безусловно, учитываем.

У специалистов в сфере ИТ-безопасности существуют разные мнения о целесообразности принципа BYOD. Кто-то считает, что надо разрешить, есть и те, кто склоняется к мнению, что полный запрет безопаснее всего. Однако есть и паллиативный вариант – разрешить, но использовать исключительно мобильные устройства из корпоративного парка, оснащенные повышенными средствами защиты.

Мы пошли по своему пути – в компании существует четкая стратификация доступа к корпоративным ресурсам и корпоративной информации в зависимости от служебного статуса и должностного уровня работника. Большинство из них представляют менеджмент среднего и высшего звена. Доступ к корпоративной информации им необходим для надлежащего исполнения своих прямых служебных обязанностей. Отдельная категория – сотрудники ИТ-подразделений, проектного офиса, имеющие постоянный доступ к критичным для бизнеса компании ИТ-активам. К тому же, мы внедрили и активно эксплуатируем MDM-решение – гибкий и эффективный инструмент, позволяющий решать нестандартные задачи.

– Кто отвечает за информационную безопасность в рамках общей структуры управления компанией?
– Практически в каждом нашем предприятии существуют профильные подразделения, отвечающие за безопасность корпоративных информсистем и ресурсов. В целом же все вопросы обеспечения информ-безопасности возложены на блок корпоративной защиты ГМК "Норильский никель". Именно он является центром компетенции в данной области.

Для этих целей в его составе существует специальная служба защиты информации и ИT-инфраструктуры. Мы также активно взаимодействуем с дочерней организацией компании – "Институтом современных проблем безопасности", который оказывает нам серьезную экспертную и научную поддержку, в том числе и по фундаментальным вопросам.

– У компании есть собственные системы информационной безопасности, можете о них рассказать?
– Такие сведения являются коммерческой тайной. Скажу только, что мы в курсе всех актуальных методов и средств обеспечения безопасности и используем на своих предприятиях только самые современные и надежные решения, отлично зарекомендовавшие себя на рынке.

– Прогнозируете ли вы увеличение расходов "Норильского никеля" на информационную безопасность в 2016–2017 годах?
В компании, несмотря на непростую макроэкономическую конъюнктуру и нестабильность профильных рынков, продолжается модернизация производственных площадок, запускаются такие масштабные проекты, как, например, Быстринский ГОК в Забайкальском крае. В компании идет реализация программ поддержки ИТ-инициатив бизнеса и отдельного направления "Технологический прорыв". Для оптимизации и повышения эффективности работы "Норникеля" в Саратове создается Общий центр обслуживания (ОЦО). Запущен масштабный проект по строительству волоконнооптической линии связи (ВОЛС) в Норильск протяженностью более 950 км. Все это требует немалых вложений в ИТ-обеспечение, в том числе – в информационную безопасность. Расходы на нее, конечно, вырастут.

– Какие проекты вы планируете реализовать в краткосрочной перспективе?
– Нами актуализирована, или полностью переработана, нормативно-правовая база в области информбезопасности ГМК, проведена модернизация, внедрены совершенно новые технические решения для обеспечения безопасной работы с мобильными устройствами, а также управления рисками. В 2016 г., учитывая актуальность виртуализации инфраструктуры и ее активное развитие, мы планируем провести анализ рынка систем защиты виртуальных сред и выбрать самые эффективные решения.

– Коснулись ли вашей компании международные санкции в сфере поставок оборудования, материалов и ИT?
– В области информационной безопасности такое влияние некритично. Мы активно используем решения отечественных производителей. Поверьте, часто они показывают более положительные результаты, чем зарубежные аналоги.

– Ваш прогноз относительно изменений на рынке ИТ-решений в области информационной безопасности?
– Мне представляется вполне возможным восстановление и развитие отечественной компонентной базы и готовых решений, особенно в таких чувствительных областях, как защита персональных данных, коммерческой тайны и объектов критически важных инфраструктур.