Біріктірілген жылдық есеп 2023
ҚАЗ
РУС
ENG

Ақпараттық қауіпсіздік және деректерді қорғау

Компания ақпараттық қауіпсіздікті қамтамасыз етудің және өз клиенттерінің деректерін қорғаудың маңыздылығын түсінеді. «Қазақтелеком» АҚ-да ақпараттық қауіпсіздік пен деректерді қорғауды басқарудың сенімді жүйесін дамыту жалғасуда.

Біздің тәсіл

GRI 418-1, GRI 3-3

Ақпараттық қауіпсіздік Компанияның Ақпараттық технологиялар дивизионының (АТ дивизионы) құрылымдық бөлімшесінің бөлігі болып табылады.

Ақпараттық қауіпсіздік саласындағы мәселелерді реттейтін негізгі ішкі құжаттар:

  • Ақпараттық қауіпсіздік саясаты.
  • «Қазақтелеком» АҚ ақпараттық жүйелерін вирусқа қарсы қорғау саясаты.
  • «Қазақтелеком» АҚ-да жеке деректерді қорғау саясаты.
  • Ақпараттық қауіпсіздік тұжырымдамасы.

Ақпараттық қауіпсіздік саласындағы мәселелерді реттейтін Компания құжаттарымен Компанияның сайтында «Тұрақты даму» бөлімінің «Ақпараттық қауіпсіздік және деректерді қорғау» тармақшасында танысуға болады.


Ақпараттық қауіпсіздікті қамтамасыз етудің негізгі қағидаттары:

  1. заңнамалық нормаларды орындау;
  2. Қоғамның жоғары басшылығының АҚ-ны қамтамасыз ету процесіне қатысуы;
  3. бизнеске бағдарлану;
  4. процестік тәсіл;
  5. ақпаратты қорғау тәсілдерін, әдістері мен құралдарын кешенді пайдалану;
  6. үздік тәжірибелерді ұстану;
  7. ақылға қонымды жеткіліктілік;
  8. хабардарлық және жеке жауапкершілік.

Ақпараттық қауіпсіздікті қамтамасыз ету үшін «Қазақтелеком» АҚ жүйелі тәсілді қолданады. Маңызды аспектілердің бірі – деректерді Компанияның инфрақұрылымына енген сәттен бастап мұрағаттауға немесе қайтарымсыз жоюға дейінгі өмірлік циклінің барлық кезеңдеріндегі оларды тәулік бойы бақылау.

Қазіргі уақытта Компанияда ақпараттық қауіпсіздікті қамтамасыз ету әдістерінің үздік әлемдік тәжірибелері қолданылады. Біздің ішкі жүйелеріміз ақпараттық ресурстарға қауіпсіз қашықтан қол жеткізу, интернетті қауіпсіз пайдалану, артықшылықты пайдаланушыларды (РАМ) бақылау, осалдық сканерлері және т.б. сияқты шешімдермен қорғалған. Компания сыртқы қауіптерге қарсы тұруға ұмтылады және ресурстармен жұмыс істеудің жаңа шешімдері мен әдістерін, соның ішінде Компанияда қажетті инфрақұрылымды құруды, білікті мамандарды оқытуды, ақпараттық қауіпсіздіктің жедел орталығын қалыптастыруды және ZeroTrust тұжырымдамасын енгізеді.

Сонымен бірге, Компания ИҚБШ мемлекеттік киберқауіпсіздік жүйесіне кіріктіру, интернет заттарының қауіпсіздігі, Machine Learning, Honeypot тұзақтарын пайдалану және т.б. сияқты маңызды қауіпсіздік элементтерін пайдаланады. Бұдан басқа, Компания қызметкерлерін оқыту және АҚ-хабардарлығын арттыру тұрақты негізде жүргізіледі.

Дербес деректерді қорғау

GRI 418-1

Компанияда «Дербес деректерді қорғау саясаты» әзірленді және енгізілді, онда клиенттердің, жеткізушілердің, іскер серіктестердің, қызметкерлердің және басқа да тұлғалардың дербес деректерін өңдеудің негізгі қағидаттары айқындалды, сондай-ақ дербес деректерді жинау, сақтау және өңдеу жөніндегі негізгі іс-әрекеттер мен оларды қорғау жөніндегі шаралар айқындалды.

Саясат дербес деректерді қорғау саласындағы негізгі құжат болып табылады және Қоғам өз қызметінде басшылыққа алатын дербес деректерді қорғау саласындағы мақсаттарды, міндеттерді және қағидаттарды белгілейді. Сонымен қатар, дербес деректерді қорғаудың тиісті құжаттарын әзірлеу кезінде басшылық ретінде қызмет етеді.

Дербес деректерді қорғауды қамтамасыз етудің негізгі қағидаттары:

  1. адамның және азаматтың конституциялық құқықтары мен бостандықтарын қорғау;
  2. дербес деректерді қорғауды қамтамасыз етудің заңдылығы;
  3. қолжетімділігі шектеулі дербес деректердің құпиялылығы;
  4. Қоғам басшылығының дербес деректерді қорғауды қамтамасыз ету процесіне қатысуы;
  5. бизнеске бағдарлану;
  6. процестік тәсіл;
  7. қорғау тәсілдерін, әдістері мен құралдарын кешенді пайдалану;
  8. үздік тәжірибелерді ұстану;
  9. ақылға қонымды жеткіліктілік;
  10. ақпараттандыру және дербес жауапкершілік.

Есепті кезеңдегі негізгі нәтижелер

2023 жылы ақпараттық қауіпсіздік жөніндегі жұмыстарды бағыттау бөлігінде АТ дивизионы ақпараттық қауіпсіздік және бақылау бөлімшесінің жұмысын қайта пішімдеді, оның міндеттеріне инциденттерді тергеу, осалдықтарды іздеу, ақпараттық қауіпсіздік инциденттерін жою бойынша ұсыныстар дайындау, Компанияның периметрін қорғау, ақпараттық жүйелерге/ресурстарға қол жеткізуді басқару, ақпараттық қауіпсіздік шешімдерін басқару кіреді.

ОА-да Компаниядағы ақпараттық қауіпсіздік мәселелерін жоғарғы деңгейде бақылайтын қауіпсіздік жөніндегі Басқарушы директорға тікелей бағынатын ақпараттық қауіпсіздік бөлімшесі – Ақпараттық қауіпсіздік қызметі құрылды. 2024 жылы 2025–2028 жылдарға арналған Ақпараттық қауіпсіздік стратегиясын әзірлеу және бекіту жоспарлануда.

2023 жылы Компанияның ZeroTrust моделіне көшуінің бірінші кезеңі іске асырылды, аппараттық-бағдарламалық кешенді енгізу басталды, бұл корпоративтік желіні сегменттеуді, қол жеткізуді егжей-тегжейлі басқаруды және қызметкерлердің соңғы станцияларын қорғауды қамтамасыз етуге мүмкіндік береді.

Осы бастамалардың барлығы ақпараттық қауіпсіздік инциденттеріне мониторинг жүргізу, жауап беру, сыртқы қатерлерге тойтарыс беру және оларға қарсы іс-қимыл жасау үшін ақпараттық қауіпсіздік жедел орталығын (АҚЖО) ұйымдастыру бойынша практикалық жұмысқа кірісуге мүмкіндік берді. Сонымен қатар, 2023 жылы Ақпараттық технологиялар дивизионының мамандарын ақпараттық қауіпсіздіктің халықаралық стандарттары болып табылатын ISO27001, 27005 және 27035 сертификаттауына дайындық жүргізілді. АТ дивизионы филиалының ISO27001 сертификатын алуы клиенттердің деректердің сақталуына, қауіпсіздігіне және құпиялылығына кепілдік бере отырып, ақпараттық қауіпсіздікті басқарудың стандартталған тәсілін қамтамасыз етеді. 2024 жылы Ақпараттық технологиялар дивизионын ISO27001 сәйкестік сертификатын алуға дайындық жұмыстары жалғасады.

Есепті кезеңде клиенттің дербес деректерін өңдеудің ықтимал бұзылуына қатысты жедел желі бойынша бір өтініш тіркелді. Клиент деректерінің таралу фактісі расталмады.

Есепті кезеңде Компанияда деректерінің таралу фактілері анықталған жоқ.


ZERO TRUST тұжырымдамасын енгізу

Бұл тұжырымдама пайдаланушыларға процестер мен жүйелерді мүлдем сеніп тапсырмауға негізделеді. Бұл дегеніміз, әрбір нақты сессия үшін пайдаланушы, мейлі құрылғы болсын, қолданба болсын, аутентификация процедурасынан өтіп, белгілі бір деректерге қол жеткізу құқығын растауы керек. Бұрынғы Forrester талдаушысы Джон Киндерваг Zero Trust тұжырымдамасын жасаған және ол бүгінде киберқауіпсіздік саласындағы ең танымал тұжырымдамалардың бірі болып табылады.

2023 жылы ZeroTrust ядросы сатып алынды, ОА-да Ақпараттық қауіпсіздік қызметі құрылды, зиянды БЖ-ны енгізу және тарату әрекеттерінің алдын алынды. ZeroTrust бірінші кезеңін іске асыру барысында қызметкерлердің корпоративтік дербес компьютерлерінің зақымдалуының көптеген фактілері анықталды. WannaCry «бопсалаушы вирус» деп аталатын белгілі вирустың таралуына жол берілмеді.

2024 жылы ZeroTrust моделіне көшудің 2-ші кезеңін іске асыру, ақпаратты қорғау құралдарын жетілдіру үшін бірқатар шешімдерді енгізу жоспарланған. Жыл соңына қарай ақпараттық қауіпсіздіктің корпоративтік жедел орталығын іске қосу жоспарлануда.

Жалпы, Компанияда ZeroTrust-ты қолдану ақпараттық қауіпсіздік деңгейін айтарлықтай арттыруға мүмкіндік береді.

2023 жылы Компанияда 160 000 ақпараттық қауіпсіздік оқиғасы анықталды. ZeroTrust арқасында Компания кибершабуылдарға жедел әрекет ету процесін жеделдете алады және ақпараттық қауіпсіздік мәселелерін үйлестірілген түрде шеше алады.

ZeroTrust тұжырымдамасын толық енгізу қорытындысы бойынша Компания ақпараттық қауіпсіздік менеджменті жүйесіне қойылатын талаптарға сәйкестіне ISO27001 Халықаралық сертификаттаудан өтуді жоспарлап отырғаны да маңызды факт болып табылады.

В2В және В2С сегменттерінің клиенттік жолдарын цифрландыру

GRI 418-1

telecom.kz және ismet.kz платформаларында клиенттермен өзара әрекеттесуді цифрландыру аясында 2023 жылы АТ дивизионы Компанияның АТ өнімдерін ismet.kz бизнес-платформасына ауыстырды және ШОБ үшін хостинг өнімдерін сатумен New Hosting платформасына көшуді аяқтады. Платформада адам факторының қатысуынсыз толық цифрлық клиенттік жол іске асырылды.

2024 жылы хостинг платформасының дизайнын өзгерту, жаңа қызметтерді шығару, контентті кеңейту және жеке процестерді цифрландыру жоспарланған. KT Docs электрондық құжат айналымы жүйесі үшін деректер моделі құрылды, оны ұйымдағы барлық цифрлық сату арналарын қамтитын бірыңғай электрондық құжат айналымы жүйесі ретінде пайдалану жоспарлануда. IsmetDocs электрондық құжат айналымы жүйесі жаңа микросервистік архитектурада әзірленуде. Жүйені ЕШЕБЖ және ЭҚАБЖ мемлекеттік жүйесімен (БНАА және ЭҚБҚ жүйелерін қоса алғанда) біріктіру жоспарлануда. Сонымен қатар, «Жылжымайтын мүліктің бірыңғай мемлекеттік кадастры» мемлекеттік ақпараттық жүйесімен (ЖМБМК АЖ) бірігу жүзеге асырылды. Корпоративтік бизнес бойынша дивизионның әріптестерімен бірге жаңа маркетплейс – IsmetMarket (Business.ismet.kz) таныстырылды, онда пайдаланушылар өз тауарлары мен қызметтерін орналастыра алады. Сондай-ақ, осы маркетплейсте пайдаланушылар кабельдік кәрізге талшықты-оптикалық байланыс желілерін тарту бойынша Компанияның серіктестері/мердігерлері бола алады.

B2C сегменті бойынша telecom.kz порталында және мобильді қосымшада клиенттік жолдарды оңтайландыру жұмыстары жүргізілді. Өзара әрекеттесудің жаңа түрлерін қосуды, ЕДБ сервистері арқылы белгіленген күні банк картасымен автоматты түрде төлеу мүмкіндігін, абоненттердің шоттарын егжей-тегжейлі көрсету үшін түбіртектерді қарауды қоса алғанда, жеке кабинетті жаңғырту бойынша жұмыстар жүргізілді. Бұдан басқа, телефон қоңырауы арқылы азаматтарға автоматты түрде кеңес беру үшін дауыстық боттың пилоттық жобалары, сауалнаманы QR сканерлеу арқылы бөлімшелердегі абоненттергеден сұрақ-жауап алу, клиенттік базаны ұлғайту стратегиясы шеңберінде Egov Mobile мобильді қосымшасында қызметтерді шығару іске қосылады.

Ақпараттық қауіпсіздік мәселелері бойынша қызметкерлерді ақпараттандыру және оқыту

GRI 418-1

Компанияда ақпараттық қауіпсіздіктің негізгі қағидаттары - деректердің құпиялылығы, тұтастығы және қолжетімділігін қамтамасыз ету мақсатында қызметкерлер арасында оқыту іс-шаралары жүйелі түрде өткізіледі.

Ақпараттық қауіпсіздік әкімшілік деңгейде де – әрбір қызметкер Компанияның ақпараттық қауіпсіздік саласындағы регламенттерінің, ережелерінің, саясаттарының талаптарымен танысуға және орындауға міндетті, сондай-ақ техникалық және физикалық деңгейде де қамтамасыз етіледі – Компанияда әртүрлі аппараттық-бағдарламалық кешендер, ақпаратты криптографиялық қорғау құралдары және т.б. пайдаланылады.

Сонымен қатар, АҚ дивизионының мамандары ақпараттық қауіпсіздік, киберқауіпсіздік, АҚ тәуекелдері мен қауіптері бойынша біліктілікті арттыру курстарынан тұрақты түрде өтеді. Деректерді дұрыс пайдаланбау қаупі жоғары клиенттермен жұмыс жасау және персоналмен жұмыс жасау бөлімшелерінің қызметкерлері үшін цифрлық гигиена бойынша жалпы оқыту/тестілеу жүргізіледі.