ДТЕК трансформується відповідно до нових викликів
Ландшафт загроз стрімко розширюється, що вимагає адаптації та зміни підходів до захисту інформації та систем. В ДТЕК реалізовується комплексний підхід до управління інформаційної безпеки.
Основними цілями інформаційної безпеки є:
- Реалізація системного підходу до управління інформаційною безпекою в ДТЕК, з урахуванням стратегічних цілей ДТЕК, ризик-орієнтованого підходу, вимог застосовного законодавства, кращих міжнародних стандартів та практик
- Забезпечення конфіденційності, цілісності і доступності інформації та даних, що обробляються в ДТЕК, відповідно до вимог застосовного законодавства
- Підвищення обізнаності працівників щодо актуальних загроз інформаційній безпеці для зменшення ризиків, пов’язаних із людським фактором
- Забезпечення кібербезпеки ІТ-інфраструктури та ОТ-інфраструктури ДТЕК відповідно до застосовного законодавства та міжнародних стандартів з інформаційної безпеки.
До принципів інформаційної безпеки відносяться:
Постійне вдосконалення
управління інформаційною безпекою базується на циклі PDCA (Plan-Do-Check-Act) - перманентний процес розвитку та вдосконалення.
Комплаєнс
впровадження заходів і засобів інформаційної безпеки з урахуванням чинних вимог законодавства у сфері інформаційної безпеки та захисту інформації.
Інформування
забезпечення своєчасного та належного інформування зацікавлених сторін у справах, що стосуються інформаційної безпеки.
Структура та регулювання
визначення, опис і стандартизація бізнес-процесів інформаційної безпеки для забезпечення єдиного формату та коректності застосування.
Комплексність
системний підхід до забезпечення інформаційної безпеки під час всього життєвого циклу розробки та впровадження програмного забезпечення та інформаційних систем.
Мінімальні привілеї
надання користувачам мінімально необхідних прав для доступу до інформаційних активів, достатніх для якісного виконання функціональних обов'язків.
Виявлення та реагування
реалізація заходів з локалізації та нейтралізації інцидентів інформаційної безпеки для своєчасного виявлення загроз та посилення захисту інформаційних активів ДТЕК.
Безперервність
забезпечення безперервності заходів і засобів інформаційної безпеки здійснюється з урахуванням безперервності бізнес-процесів та наслідків можливих надзвичайних ситуацій.
Підвищення обізнаності
проведення періодичних заходів направлених на підвищення обізнаності співробітників з питань інформаційної безпеки та кібербезпеки (кібергігієни). Проведення перевірки рівня обізнаності та засвоєння матеріалів.
Конфіденційність
Захист інформації та даних, що обробляються в ДТЕК, є пріоритетною задачею. Захист інформації з обмеженим доступом і надання доступу до такої інформації здійснюється з урахуванням вимог законодавства.
Для досягнення цілей інформаційної безпеки в «ДТЕК» впроваджується сукупність організаційних і технічних заходів, а також засобів і методів захисту, спрямованих на забезпечення захисту інформаційних активів від несанкціонованого доступу, використання, порушення конфіденційності, модифікації або знищення. Під час впровадження враховуються рекомендації стандартів ISO/IEC та NIST. Здійснюється регулярний контроль досягнення цілей інформаційної безпеки. За потреби для проведення такої оцінки залучаються зовнішні аудитори.
Підхід до впровадження заходів інформаційної безпеки
Для досягнення цілей інформаційної безпеки в ДТЕК впроваджується сукупність організаційних і технічних заходів, а також засобів і методів захисту, спрямованих на забезпечення захисту інформаційних активів від несанкціонованого доступу, використання, розкриття, порушення, модифікації або знищення. Під час впровадження враховуються рекомендації стандартів ISO/IEC та NIST.
У ДТЕК використовується ризик-орієнтований підхід до забезпечення інформаційної безпеки, системний та процесний підхід до діяльності.
High-level cyber security framework
З метою управління ризиками інформаційної безпеки
впроваджуються засоби контролю для підвищення захисту інформаційних активів ДТЕК:
- Організаційні контролі елементи керування для налаштування найважливіших бізнес-процесів інформаційної безпеки та їх документування.
- Технологічні контролі пов'язані з інформаційними технологіями.
- Контролі персоналу впровадження контролів за персоналом для забезпечення дотримання вимог та правил інформаційної безпеки.
- Фізичні контролі пов'язані з безпечними зонами та захистом обладнання.
Комплексний підхід до забезпечення кіберстійкості ДТЕК базується на 4 основних напрямках:
1. Виявлення та запобігання загрозам у режимі реального часу
- Забезпечення конфіденційності, цілісності і доступності інформаційних ресурсів і активів компанії широким переліком сучасних систем забезпечення інформаційної безпеки.
- Технології виявлення та запобігання вторгненням в інформаційну мережу компанії;
- Програмні рішення для захисту серверів, робочих станцій та віртуальних середовищ від зловмисного коду;
- Засоби багатофакторної автентифікації для доступу до критичних інформаційних ресурсів компанії;
- Автоматичне виявлення вразливостей в інформаційних системах компанії та оперативне усунення їх;
- Контроль правильності налаштувань політик безпеки хмарних сервісів;
- Проходження періодичних незалежних тестів (PEN tests) на проникнення для критичних сервісів.
2. Моніторинг інцидентів і реагування на них (24х7 SOC)
- Моніторинг подій в ІТ-інфраструктурі та оперативне реагування на інциденти інформаційної безпеки.
- Високо навчені професіонали 24 години на добу, 365 днів на рік забезпечують виявлення загроз у реальному часі та моніторинг підозрілої активності засобами системи управління подіями (SIEM).
- ДТЕК взаємодіє з профільними експертами та кіберцентрами як енергетичного сектору, так і на державному рівні.
3. Захист інформації
З метою забезпечення безпеки інформації компанії та її контрагентів ДТЕК використовує різноманітні механізми захисту конфіденційної інформації та контролю доступу до неї, зокрема угоди про нерозголошення (NDA).
Компанія докладає всіх зусиль і постійно працює над удосконаленням підходів до забезпечення безпеки конфіденційної інформації, враховуючи актуальні тенденції та загрози, щоб гарантувати належний рівень захисту конфіденційної інформації та персональних даних.
4. Обізнаність у сфері інформаційної безпеки
Формування навичок кібергігієни у співробітників ДТЕК з метою зменшення інцидентів інформаційної безпеки.
В ДТЕК впроваджені механізми регулярного інформування працівників щодо сучасних типів загроз інформаційної безпеки та актуальних правил інформаційної безпеки направлені на формування відповідального ставлення співробітників до забезпечення інформаційної безпеки та на свідоме виконання ними вимог та правил інформаційної безпеки.
Матеріали обов’язкового навчання з питань інформаційної безпеки регулярно оновлюються для посилення знань про наявні та нові кіберзагрози.