Ақпараттық қауіпсіздік

Ақпараттық қауіпсіздік жөніндегі қызметтің негізгі мақсаты «KEGOC» АҚ Ақпараттық активтерінің қорғалуын қамтамасыз ету және арттыру, сондай-ақ ақпараттық қауіпсіздікті тиімді стратегиялық басқаруды және ақпараттық қауіпсіздік процестерінің жетілу деңгейін арттыруды қоса алғанда, ақпараттық қауіпсіздік қызметін үйлестіру, жоспарлау және ұйымдастыру болып табылады.        

«KEGOC» АҚ-да жыл сайын ақпараттық қауіпсіздікті басқару жүйесінің (АҚБЖ) ISO 27001 халықаралық стандартына сәйкестігі тұрғысынан ішкі және сыртқы аудит өтеді.

АҚБЖ ISO/IEC 27001:2013 негізінде әзірленген және енгізілген және Компанияның біріктірілген менеджмент жүйесінің құрамдас бөлігі болып табылады.

Негізгі және қосалқы бизнес-процестердің орындалуын қамтамасыз ететін «KEGOC» АҚ қаржы-экономикалық блогының процестерін басқарудың ақпараттық жүйесі «KEGOC» АҚ-да АҚБЖ қолдану саласы болып табылады. Талаптарға сай болу және Компанияның контекстін айқындау үшін Ақпараттық қауіпсіздік саясаты бекітілді.

«KEGOC» АҚ-да белгіленген ақпараттық қауіпсіздік регламенттеріне сәйкес, «KEGOC» АҚ үшін бағалы ақпараттық активтер үшін жаңа критерийлерді талдау бойынша жұмыстар жүргізілді. 2022 жылы «KEGOC» АҚ-да активтердің ақпараттық қауіпсіздігін қамтамасыз ету шараларын күшейту жалғасын тапты.

Негізгі жетістіктер

  • 2022 жылғы сыртқы аудит нәтижелері бойынша «KEGOC» АҚ компанияның ақпараттық қауіпсіздікті басқарудың жоғары стандарттарына сәйкес келетіндігін растайтын ISO 27001 халықаралық стандартына сәйкестік сертификатын алды. Бұл Компанияның ақпараттық жүйелері мен деректерінің қауіпсіздігін қамтамасыз етудегі маңызды қадам болып табылады.
  • Қосымша орындарда деректерді шифрлауды және резервтік көшіруді (георезервациялау) қоса алғанда, деректерді қорғау жөніндегі шараларды күшейту бойынша жұмыстар жүргізілді, бұл деректерді ықтимал қауіптерден сенімді қорғауды қамтамасыз етуге және олардың қолжетімділік деңгейін арттыруға мүмкіндік берді.
  • «KEGOC» АҚ-да қолданылатын бағдарламалық жасақтаманың бекітілген тізілімі шеңберінде Компанияда рұқсат етілген БЖ-ға аудит жүргізілді. 

Хабардарлықты арттыру

АҚБЖ талаптарына сай Компанияда қызметкерлердің хабардарлығын қолдайтын АҚ мәселелеріндегі бірыңғай корпоративтік этика бекітілді.

«КEGOC» АҚ техникалық оқу, біліктілікті арттыру курстарында арнайы оқыту, брифингтер өткізу арқылы АҚ-ны қамтамасыз ету үшін жауапты персоналдың тиісті құзыреттілігін (білімін, даярлығын, тәжірибесін) қамтамасыз етеді, сондай-ақ персоналды кәсіби даярлау және кәсіби дамыту жүйесін енгізді.

АҚБЖ нұсқаулығы «КEGOC» АҚ құрылымдық бөлімшелерінің персоналына келесіні түсінуге мүмкіндік береді:

1)   Ақпараттық қауіпсіздік саясатына, АҚБЖ рәсімдеріне және талаптарына сәйкестіктің маңыздылығы;

2)   АҚ қамтамасыз ету бойынша Саясатқа, АҚБЖ талаптарына қол жеткізу бойынша міндеттер мен жауапкершілік;

3) белгіленген жұмыс рәсімдерінен ауытқудың ықтимал салдары. 

Персоналды кәсіптік оқыту мен кәсіптік дамытуды ұйымдастыру мыналарды қамтиды:

1) қызметкерлерді жүйелі түрде өз бетінше оқыту (өзін-өзі тәрбиелеу);

2) сыртқы ұйымдар өткізетін семинарларда, курстарда оқыту;

3) оқу орталықтарында және біліктілікті арттыру институттарында оқыту. 

2022 жылы Компания қызметкерлері үшін келесі оқыту өткізілді:

  • АҚ деген не
  • АҚ құпиясөзбен қорғау
  • АҚ электрондық почта
  • АҚ антивирустық қорғау
  • АҚ жаңартулар
  • Әлеуметтік инженерия 

Сонымен қатар, 2022 жылы АҚ-мен айналысатын Компания қызметкерлері үшін келесі оқыту өткізілді:

  • Негізгі пайдаланушыларды NGFW жаңа буынның желіаралық экрандары бағдарламалық-аппараттық кешені бойынша оқыту;
  • PAM артықшылық берілген пайдаланушыларды бақылау жүйесі бойынша негізгі пайдаланушыларды оқыту.

«KEGOC» АҚ-да пайдаланушыларды қорғау рәсімдері және ақпараттық ресурстармен дұрыс жұмыс істеу бойынша оқыту процестері әзірленді. Қауіпсіздікке және басқа да бақылау құралдарына қойылатын талаптарды қоса алғанда, «KEGOC» АҚ ережелері және оларда қабылданған рәсімдер туралы қажетті мәліметтерді алу және бағыты бойынша процестер әзірленді. Бұл процестер «KEGOC» АҚ ақпараттық ресурстарына тұрақты немесе уақытша қолжетімділігі бар тараптық ұйымдардың ақпараттық жүйелерін пайдаланушыларға қатысты да қолданылады.

«KEGOC» АҚ қызметкерлерінің хабардарлығын арттыру мақсатында АҚ қамтамасыз ету мәселелері бойынша әдістемелік әзірлемелер әзірленді. Аталған материалдар ай сайын «KEGOC» АҚ-ның бірыңғай порталында «Ақпараттық қауіпсіздік» бөлімінде орналастырылады.

Инциденттерді басқару

Компанияда АҚ-ның әртүрлі инциденттері туындаған жағдайда Компанияның ақпараттық қауіпсіздігінің жұмыс қабілеттілігін сақтаудың (қолдаудың) негізгі шараларын, әдістері мен құралдарын, сондай-ақ АҚ мен компоненттердің жұмыс қабілеттілігі бұзылған жағдайда ақпаратты және оны өңдеу процестерін қалпына келтіру тәсілдері мен құралдарын айқындайтын «KEGOC 00-801-19-ПР Ақпарттық қауіпсіздік инциденттерін басқару» АҚ инциденттерін басқару рәсімдері жөніндегі қағидалары белгіленді.

АҚ инциденттерін басқару процесінің негізгі мақсаттары зиянды азайту, АҚ бастапқы күйін тезірек қалпына келтіру және болашақта осындай инциденттердің алдын алу жоспарын әзірлеу болып табылады.

Компания қызметкерлері, Ақпараттық жүйелерді пайдаланушылар қауіпсіздікке қауіп төндіретін оқиғалар туралы әкімшілік арналар арқылы кідіріссіз хабарлауы тиіс. Мұндай оқиғалардың тізбесі мен құрамы пайдаланушыларға қызметтік міндеттерін орындау кезінде олардың ақпараттық қауіпсіздікті қамтамасыз ететіндігі туралы хабарлау кезінде, сондай-ақ ақпараттық ресурстар мен ақпараттық жүйелердің сервистерін пайдалану қағидаларын оқыту кезінде олардың назарына жеткізілуі тиіс.

«KEGOC» АҚ ақпараттық ресурстарын пайдаланушылар қауіпсіздік жүйесіндегі байқалған немесе болжанған әлсіздіктерді тіркеуге және олар туралы хабарлауға міндетті. Пайдаланушылар мұндай оқиғаларды дереу ақпараттық қауіпсіздік бөлімінің уәкілетті қызметкерлеріне жеткізуі тиіс. Ешқандай жағдайда олар ақпаратты қорғау жүйесіндегі әлсіздіктерді өз бетімен тексеруге тырыспауы тиіс.

«KEGOC» АҚ ақпараттық ресурстарын пайдаланушылар бағдарламалық жасақтаманың жұмыс істеуі олар үшін дұрыс емес болып көрінетін, яғни спецификацияға сәйкес келмейтін барлық жағдайларды тіркеуге міндетті, ал ақаулық зиянды бағдарламадан, мысалы, компьютерлік вирустан туындаған деген күдік туралы олар ақпараттық қауіпсіздік бөлімінің уәкілетті қызметкерлеріне хабарлауы тиіс.

Пайдаланушылар күдікті бағдарламалық жасақтаманы жою арқылы бағдарламалық жасақтаманың жұмысын өздігінен қалпына келтіруге тырыспауы керек.

2022 жылдың қорытындысы бойынша ақпараттық қауіпсіздіктің 395 оқиғасы анықталды. Олар бойынша АҚ тәуекелдерін барынша азайтуға бағытталған тиісті іс-шаралар жүргізілді.

               ішкі                                      сыртқы                  

 

Инциденттерді 2022 жылы тоқсан бойынша бөлу

 

Сыртқы оқиғалардың ең көп саны алынбалы тасымалдаушыларда табылған «вирустар» санаты бойынша тіркелді. «Қ KEGOC 00-344-18-Б «КЕGOC» АҚ-да кадрлық әкімшілендіру» қағидаларының 17-бөліміне сәйкес, қызметкердің тәртіптік теріс қылық/ақпараттық қауіпсіздік инцидентін жасағаны үшін ҚР ЕК сәйкес тәртіптік жазалар қолданылды. 

Авариялық жағдайларға дайындық

Компанияда ішкі және сыртқы жағымсыз факторлардың «KEGOC» АҚ қызметіне әсер ету дәрежесін шектеуге бағытталған қызметтің үздіксіздігін қамтамасыз ету рәсімдері белгіленген. Ақпараттық инфрақұрылым мен ақпараттық объектілер жұмысының үздіксіздігін қамтамасыз ету жоспарына сәйкес «KEGOC» АҚ Ақпараттық қауіпсіздік инциденттерін анықтаған кезде ҚҮҚ жоспары шеңберінде кибер-инцидентті тестілеу және жоспарлы тергеу жүргізді. Бұл жоспар жыл сайын тексеріледі.

2022 жылғы қызметтің нәтижесі Компанияның ақпараттық активтеріне қатысты қаржылық және беделге қатысты шығындарға әкеп соқтыратын ақпараттық қауіпсіздік инциденттеріне жол бермеу болды. 

Сыртқы және ішкі аудит

«KEGOC» АҚ-да Аудит жоспарына сәйкес АҚБЖ бойынша сыртқы және ішкі аудиттер жүргізіледі. Аудит жүйенің барлық процестері бойынша жүзеге асырылады, процестің мақсаттары, іске асыру барысы мен процестің нәтижелері арасындағы байланысты орнатады, жақсартудың әлсіз жақтары мен бағыттарын анықтайды.

Заңнамалық нормаларды орындау мақсатында Компания жыл сайын рұқсатсыз кіруге сыртқы тестілеу жүргізеді. Тестілеу Компанияның ерекшеліктерін және ақпараттық жүйелерді ескере отырып таңдалған әртүрлі әдістер мен техникаларды қолдану арқылы жүзеге асырылады.

Тәуекелдер мен қабьылданған шаралар

Ақпараттық қауіпсіздік саласындағы тәуекелдерді басқару «KEGOC» АҚ тәуекелдерді басқарудың корпоративтік жүйесінің элементі болып табылады.

Ақпараттық қауіпсіздік саласындағы тәуекелдерді бағалау «KEGOC» АҚ-ның барлық активтері үшін жүзеге асырылады. Оның негізінде АҚ саласындағы тәуекелдерді бағалау туралы есеп және өңдеу жоспары қалыптастырылады.

Анықталған тәуекелдерді басқару үшін «KEGOC» АҚ АҚБЖ қауіпсіздік шараларын енгізу бойынша бақылау іс шараларының жоспары, Қызметкерлер үшін ақпараттық қауіпсіздік бойынша тақырыптық сабақтар өткізу жоспары, сондай-ақ ақпараттық қауіпсіздіктің бірінші кезектегі шараларының жоспары және өндірістік жүйелердің ақпараттық қауіпсіздік деңгейін арттыруға бағытталған іс-шаралар әзірленді.

Біз ақпараттық жүйелердің қауіпсіздігін қамтамасыз ету жөніндегі шараларымызды үнемі жетілдіруге және Компания жұмысының сенімділігін қамтамасыз етуге ұмтыламыз. Біз ең жақсы тәжірибелер мен жаңа технологияларға сәйкес процестеріміз бен қауіпсіздік шараларымызды жетілдіруді жалғастырамыз.


Құпиялылық саясаты

Жедел желі

Кері байланыс