Урановый холдинг “АРМЗ” (ОАО “Атомредметзолото”), входящий в горнорудный дивизион госкорпорации “Росатом”, — одна из крупнейших уранодобывающих компаний мира по объему производства и минерально-сырьевой базы. Сегодня на его предприятиях работает более 10 тыс. человек и свыше 200 из них занято в головной компании.
В сентябре 2013 г. АРМЗ завершил проект внедрения и сертификации СУИБ на соответствие требованиям стандарта ISO/IEC 27001:2005, решив одну из приоритетных задач в рамках совершенствования системы информационной безопасности компании.
Стимулы
Руководство холдинга посчитало целесообразным внедрять международные стандарты управления, ориентируясь на лучшие мировые практики корпоративного управления. Развивая эту тенденцию, руководство инициировало в головной компании проект создания системы управления информационной безопасностью (СУИБ) в соответствии с международным стандартом ISO/IEC 27001:2005 (далее — ISO 27001), который объединяет в себе лучшие практики управления информационной безопасностью (ИБ). Уникальность проекта заключается в том, что до его завершения ни одно из предприятий атомной отрасли России не проходило подобной сертификации.
Целью внедрения СУИБ было создание и поддержка в холдинге условий, при которых риски, связанные с ИБ его активов, постоянно контролируются и находятся на приемлемом уровне. Как пояснил главный специалист отдела физической защиты и защиты информации дирекции по безопасности АРМЗ Сергей Овчинников, достижение этой цели позволяет обеспечить безопасность и непрерывность ключевых видов деятельности холдинга, минимизировать ущерб, наносимый ему в результате ИБ-инцидентов, снизить риски для инвестиций за счет повышения прозрачности процессов обеспечения безопасности внутри компании, увеличить приток инвестиций, что позволит получить дополнительные возможности для развития.
Выбор области действия стандарта
По словам руководителей АРМЗ, оперативное и безопасное информационное взаимодействие со всеми участниками, занятыми в реализации урановой продукции, — один из основных критериев успешной коммерческой деятельности холдинга. Взаимодействие с клиентами строится на принципах соблюдения требований к конфиденциальности всех заинтересованных сторон, а также общепринятых международных практик и стандартов. Обеспечение конфиденциальности, целостности и доступности информации, циркулирующей в процессе взаимодействия с клиентами холдинга, — это и есть основное назначение СУИБ.
Как сообщил г-н Овчинников, на этапе выбора области действия стандарта ISO 27001 исследовались все бизнес-процессы: основные — получение лицензий на право пользования участками недр, создание и контроль исполнения планов НИОКР, мониторинг производственной и экологической безопасности, слияния/поглощения, реализация урановой продукции, закупки, управление неурановыми инвестиционными проектами, ведение специальных проектов, планирование и контроль исполнения бюджета, стратегическое развитие; а также вспомогательные — поддержка ИТ-инфраструктуры, управление ИБ, внутренний контроль и аудит, управление персоналом, обеспечение документооборота, взаимодействие с банками, юридическое сопровождение.
На основе проведенного анализа наиболее критичными для холдинга были признаны следующие бизнес-процессы: реализация урановой продукции, получение лицензий на право пользования участками недр, управление неурановыми инвестиционными проектами. Для их оценки были определены критерии, позволяющие сделать выбор фокусного для внедрения СУИБ бизнес-процесса. Эти критерии разделены на три группы: последствия от нарушения конфиденциальности, целостности и доступности информации; требования к ИБ со стороны бизнес-процесса; оценка сложности внедрения и сертификации СУИБ.
Последствия. В рамках данной группы критериев оценивался возможный ущерб в случае нарушения конфиденциальности, целостности и доступности целевой информации, обрабатываемой в рамках каждого бизнес-процесса: финансовые потери (прямые и косвенные), воздействие на имидж холдинга и “Росатома”, снижение темпов развития.
Требования. С помощью этой группы критериев оценивались отраслевые ИБ-требования и требования законодательства, предъявляемые к той информации, которая обрабатывается в оцениваемом бизнес-процессе, требования холдинга, требования “Росатома”.
Внедрение. Эта группа критериев предназначалась для оценки факторов, влияющих на стоимость и сложность внедрения, а также на значимость сертификации СУИБ: степень корреляции со стратегией развития бизнеса, стоимость внедрения СУИБ, стоимость сертификации СУИБ на соответствие ISO 27001, маркетинговая значимость получения сертификата именно в данной области, заинтересованность владельца бизнес-процесса во внедрении и сертификации СУИБ.
По результатам анализа оценки критичных бизнес-процессов в области действия СУИБ, соответствующей стандарту ISO 27001:2005, был включен бизнес-процесс “реализация урановой продукции”. Его основные владельцы в холдинге — отдел продаж в России, а также отдел маркетинга и экспортных продаж. Эти подразделения осуществляют планирование и реализацию урановой продукции на российском и международном рынках.
К вспомогательным бизнес-подразделениям, обеспечивающим реализацию урановой продукции, относятся бухгалтерия, юридический отдел, дирекция по информационным технологиям, дирекция по безопасности, отдел документационного обеспечения, управление экономики и планирования, управление инвестиционного анализа и развития, казначейство. Общее число работников в основных и обеспечивающих подразделениях составляет примерно 90 человек.
Выбор интегратора, ход проекта и результаты
Как сообщил г-н Овчинников, конкурс на внедрение и подготовку СУИБ к сертификации выиграла компании LETA. К ее конкурентным преимуществам заказчик относит нацеленность на высокое качество проектов и конкурентную ценовую политику. Используемая специалистами LETA в проектах процессная модель позволяет вкладывать средства в наиболее критичные для заказчика ИБ-направления. К тому же к началу проекта у LETA уже был положительный опыт работы по внедрению ИБ-решений в холдинге.
Из трудностей, с которыми столкнулись участники проекта, г-н Овчинников выделил ограниченность человеческих ресурсов. Одновременно он отметил, что загрузка сотрудников, задействованных в проекте, была умеренной и учитывала требование не нарушать в ходе проекта их основную деятельность. Для этого текущие задачи были перераспределены среди работников так, чтобы освободить некоторое рабочее время для тех из них, кто был задействован в проектной команде, и предусмотрена система мотивации для участия в ней на основе ключевых показателей эффективности.
По оценкам руководства холдинга проект оправдал ожидания, которые на него возлагались. Был выполнен анализ и проведена оценка рисков, связанных с реализации урановой продукции, разработаны и утверждены базовые документы по ИБ, спроектированы и внедрены процессы СУИБ. Потребовалось внедрить дополнительные технические средства, среди которых средства управления доступом, ИБ-событиями, уязвимостями, контроля веб-трафика и перемещения конфиденциальной информации, антивирусной защиты и межсетевого экранирования. Специальный портал помогает поддерживать персонал в курсе актуальных вопросов ИБ. Между участниками процесса реализации урановой продукции через назначение ролей была распределена ответственность в целях выполнения требований ИБ в рамках закрепленных ролей. Разработаны планы восстановления критически важных ИТ-сервисов.
Проект позволил проанализировать и оценить риски процесса реализации урановой продукции, разработать план их обработки, модернизировать ИБ-процессы и запустить ряд новых, разработать (отсутствовавшие до этого) процедуры управления ИБ, а также внедрить технические средства обеспечения ИБ, автоматизирующие и улучшающие текущие ИБ-процессы.
По мнению руководства АРМЗ, результаты позволили создать систему управления рисками ИБ и как результат повысить защищенность активов холдинга.
Как пояснила руководитель группы по внедрению систем управления ИБ и систем управления непрерывностью деятельности из компании LETA Алена Чапоргина, созданная у заказчика СУИБ основывается на практиках обеспечения ИБ как холдинга, так и “Росатома”. Функционально СУИБ, с одной стороны, направлена на управление текущими ИБ-процессами (управление ИБ-рисками, повышение осведомленности и обучение персонала, внутренний ИБ-аудит, мониторинг и анализ СУИБ, ее улучшение), а с другой — на непосредственную реализацию ИБ-механизмов как организационно, так и технически (процессы управления ИБ-инцидентами, управление доступом, обеспечение сетевой безопасности и криптографической защиты, соответствие регулятивным требованиям и др.).
Один из принципов построения СУИБ заключался в автоматизации ИБ-процессов, с тем чтобы снизить влияние человеческого фактора и нагрузку на персонал. В связи с этим были внедрены системы централизованного управления доступом, управления уязвимостями, инцидентами и мониторинга СУИБ.
В августе 2013 г. холдинг АРМЗ успешно прошел сертификационный аудит, проведенный Британским институтом стандартов (BSI), и стал первым среди предприятий атомной отрасли России, получившим международный сертификат соответствия ISO/IEC 27001:2005.
Рекомендации
Тем, кто намерен внедрять на своих предприятиях стандарт ISO 27001:2005, г-н Овчинников рекомендует до начала проекта ознакомить со стандартом (в рамках базовых представлений о нем) всех специалистов, задействованных в основных бизнес-процессах, на которые стандарт будет распространен, и, конечно, ИБ-специалистов. Он советует провести общие мероприятия по повышению ИБ-осведомленности рядовых сотрудников и мероприятия, направленные на увеличение заинтересованности всех руководителей (включая топ-менеджеров) в росте уровня корпоративной ИБ. По мнению г-на Овчинникова, связанные с внедрением стандарта ИБ-меры следует реализовывать без больших изменений бизнес-процессов: ограничения, связанные с обеспечением ИБ, не должны доставлять неудобства бизнесу.
Планы по развитию проекта
Развитие СУИБ в холдинге АРМЗ, как заявили участники проекта, в первую очередь направлено на устранение замечаний, выданных в ходе сертификации аудиторами из BSI. В холдинге намерены уделить внимание обеспечению непрерывности основного бизнес-процесса, разработать необходимые для этого планы и проводить обучение сотрудников.
Продолжается автоматизация процессов СУИБ (обеспечения сетевой безопасности и защиты информации от утечек), нацеленная на снижение нагрузки на ИТ- и ИБ-специалистов. Принимаются меры по оптимизации расходов на обеспечение ИБ.
