Интегрированный годовой отчет 2023
ҚАЗ
РУС
ENG

Информационная безопасность и защита данных

Компания осознает важность обеспечения информационной безопасности и защиты данных своих клиентов. В АО «Казахтелеком» продолжается развитие надежной системы управления информационной безопасностью и защитой данных.

Наш подход

GRI 418-1, GRI 3-3

Информационная безопасность является частью структурного подразделения в Дивизионе информационных технологий (Дивизион ИТ) Компании.

Основными внутренними документами, регулирующими вопросы в области информационной безопасности, являются:

  • Политика информационной безопасности.
  • Политика антивирусной защиты информационных систем АО «Казахтелеком».
  • Политика по защите персональных данных в АО «Казахтелеком».
  • Концепция по информационной безопасности.

С документами Компании, регулирующими вопросы в области информационной безопасности, можно ознакомиться на сайте компании в разделе «Устойчивое развитие», подраздел «Информационная безопасность и защита данных».


Основные принципы обеспечения информационной безопасности:

  1. исполнение законодательных норм;
  2. вовлеченность высшего руководства Общества в процесс обеспечения ИБ;
  3. сориентированность на бизнес;
  4. процессный подход;
  5. комплексное использование способов, методов и средств защиты информации;
  6. следование лучшим практикам;
  7. разумная достаточность;
  8. информированность и персональная ответственность.

Для обеспечения информационной безопасности АО «Казахтелеком» применяет системный подход. Одним из важных аспектов является круглосуточный контроль данных на всех этапах их жизненного цикла, начиная с момента их поступления в инфраструктуру Компании и заканчивая их архивацией или безвозвратным уничтожением.

На данный момент в Компании используются лучшие мировые практики методов обеспечения информационной безопасности. Наши внутренние системы защищены с помощью таких решений, как безопасный удаленный доступ к информационным ресурсам, безопасное использование интернета, контроль привилегированных пользователей (РАМ), сканеры уязвимостей и другие. Компания стремится противостоять внешним угрозам и внедряет новые решения и методы работы с ресурсами, включая создание необходимой инфраструктуры в Компании, обучение квалифицированных специалистов, формирование оперативного центра информационной безопасности и внедрение концепции ZeroTrust.

Также в Компании используются такие важные элементы безопасности, как встраивание в государственную систему кибербезопасности ЕШДИ, безопасность Интернета вещей, использование ловушек Honeypot, Machine Learning и другое. Кроме того, на постоянной основе проводится обучение и повышение ИБ-осведомленности сотрудников Компании.

Защита персональных данных

GRI 418-1

В Компании разработана и внедрена «Политика защиты персональных данных», в которой определены основные принципы обработки персональных данных клиентов, поставщиков, деловых партнеров, работников и других лиц, а также определены основные действия по сбору, хранению и обработке персональных данных, а также меры по их защите.

Политика является основополагающим документом в области защиты персональных данных, устанавливает цели, задачи и принципы в области защиты ПД, которыми руководствуется Общество в своей деятельности. Служит руководством при разработке соответствующих документов защиты персональных данных.

Основные принципы обеспечения защиты персональных данных:

  1. соблюдение конституционных прав и свобод человека и гражданина;
  2. законность обеспечения защиты персональных данных;
  3. конфиденциальность персональных данных ограниченного доступа;
  4. вовлеченность руководства Общества в процесс обеспечения защиты персональных данных;
  5. ориентированность на бизнес;
  6. процессный подход;
  7. комплексное использование способов, методов и средств защиты;
  8. следование лучшим практикам;
  9. разумная достаточность;
  10. информированность и персональная ответственность.

Основные результаты за отчетный период

В части направления работ по информационной безопасности в 2023 году Дивизион ИТ переформатировал работу подразделения информационной безопасности и контроля, в обязанности которого входит расследование инцидентов, поиск уязвимостей, подготовка рекомендаций по устранению инцидентов информационной безопасности, защита периметра Компании, управление доступом к информационным системам/ ресурсам, управление решениями информационной безопасности.

Создано подразделение информационной безопасности в ЦА – Служба информационной безопасности – в непосредственном подчинении у Управляющего директора по безопасности, которая контролирует вопросы информационной безопасности в Компании на верхнем уровне. В 2024 году планируется разработать и утвердить Стратегию информационной безопасности на 2025–2028 гг.

В 2023 году также реализован первый этап перехода Компании к модели ZeroTrust, начато внедрение аппаратно-программного комплекса, что позволит обеспечить сегментацию корпоративной сети, гранулированное управление доступом и защиту конечных станций сотрудников.

Все эти инициативы позволили приступить к практической работе по организации оперативного центра информационной безопасности (ОЦИБ) для мониторинга, реагирования на инциденты информационной безопасности, отражения и противодействия внешним угрозам. Также, в 2023 году проведена подготовка специалистов Дивизиона информационных технологий к сертификации ISO27001, 27005 и 27035 – это международные стандарты информационной безопасности. Получение филиалом Дивизионом ИТ сертификата ISO27001 обеспечит стандартизированный подход к управлению информационной безопасностью, гарантируя клиентам сохранность данных, безопасность и конфиденциальность. В 2024 году продолжится работа по подготовке Дивизиона информационных технологий к получению сертификата соответствия ISO 27001.

В отчетном периоде было зафиксировано одно обращение по горячей линии касательно возможного нарушения обработки персональных данных клиента. Факт утечки данных клиента не подтвержден.

В отчетном периоде в Компании не было выявлено фактов утечки данных клиентов.


Внедрение концепции ZERO TRUST

Цель концепции ZeroTrust – защитить Компанию от современных угроз в сфере кибербезопасности и утечек данных. Эта концепция основана на полном отсутствии доверия к пользователям процессов и систем. Это означает, что для каждой конкретной сессии пользователь, будь то устройство или приложение, должен пройти процедуру аутентификации и подтвердить свое право на доступ к определенным данным. Zero Trust была разработана бывшим аналитиком Forrester Джоном Киндервагом и сегодня является одной из наиболее популярных концепций в области кибербезопасности.

В 2023 году приобретено ядро ZeroTrust, создана в ЦА Служба информационной безопасности, предотвращены попытки внедрения и распространения вредоносного ПО. В ходе реализации первого этапа ZeroTrust, было выявлено множество фактов заражения корпоративных ПК сотрудников. Предотвращено распространение известного вируса под название WannaCry («вирус-вымогатель»).

В 2024 году запланирована реализация 2-го этапа перехода на модель ZeroTrust, внедрение ряда решений для усовершенствования средств защиты информации. К концу года запланирован запуск корпоративного оперативного центра информационной безопасности.

В целом применение ZeroTrust в Компании позволит значительно повысить уровень информационной безопасности.

В 2023 году в Компании было выявлено 160 000 событий информационной безопасности. Благодаря ZeroTrust Компания сможет ускорить процесс оперативного реагирования на кибератаки и скоординировано решать вопросы по информационной безопасности.

Важным также является тот факт, что по итогам полного внедрения концепции ZeroTrust Компания планирует пройти международную сертификацию ISO 27001 на соответствие требованиям к системе менеджмента информационной безопасности.

Цифровизация клиентских путей В2В и В2С сегментов

GRI 418-1

В рамках направления цифровизации взаимодействия с клиентами на платформах telecom.kz и ismet.kz, в 2023 году Дивизион ИТ перевел ИТ-продукты Компании на платформу для бизнеса ismet.kz, завершил переход на новую платформу New Hosting с реализацией продуктов хостинга для МСБ. На платформе реализован полный цифровой клиентский путь без участия человеческого фактора.

В 2024 году запланировано изменение дизайна хостинговой платформы, вывод новых сервисов, расширение контента и цифровизация отдельных процессов. Создана модель данных для системы электронного документооборота KT Docs, которую планируется использовать как унифицированную систему электронного документооборота, охватывающую все цифровые каналы продаж в организации. Система электронного документооборота IsmetDocs разрабатывается на новой микросервисной архитектуре. Планируется интеграция системы с государственной системой ЕСУТД и ЕСЭДО (включая системы ЕНСИ и ЕХЭД). Дополнительно была реализована интеграция с государственной информационной системой «Единый государственный кадастр недвижимости» (ИС ЕГКН). Совместно с коллегами из Дивизиона по корпоративному бизнесу был представлен новый маркетплейс – IsmetMarket (Business.ismet.kz), в котором пользователи имеют возможность размещать свои товары и услуги. Также на этом маркетплейсе пользователи смогут стать партнерами/подрядчиками Компании по прокладке волоконно-оптических линий связи в кабельной канализации.

По сегменту B2C проводились работы по оптимизации клиентских путей на портале telecom.kz и в мобильном приложении. Проведены работы по модернизации личного кабинета, включая добавление новых типов взаимодействия, возможность автоматической оплаты банковской картой в заданный день через сервисы БВУ, просмотр квитанций для детализации счетов абонентов. Кроме того, запускаются пилотные проекты голосового бота для автоматического предоставления консультаций гражданам посредством телефонного звонка, опрос абонентов в отделениях при помощи QR сканирования анкеты, вывод услуг в мобильном приложении Egov Mobile в рамках стратегии по увеличению клиентской базы.

Информирование и обучение сотрудников по вопросам информационной безопасности

GRI 418-1

В Компании на постоянной основе проводятся обучающие мероприятия среди сотрудников для обеспечения основных принципов информационной безопасности – конфиденциальности, целостности и доступности данных.

Информационная безопасность обеспечивается как на административном уровне – каждый сотрудник обязан ознакомиться и исполнять требования регламентов, правил, политик Компании в области информационной безопасности, так и на техническом и физическом уровне – в компании используются различные аппаратно-программные комплексы, средства криптографической защиты информации и прочее.

Кроме того, специалисты Дивизиона ИБ регулярно проходят различные курсы повышения квалификации по информационной безопасности, кибербезопасности, рискам и угрозам ИБ. Для сотрудников подразделений по работе с клиентами и по работе с персоналом, где риск неправомерного использования данных достаточно высокий, проводится общее обучение/ тестирование по цифровой гигиене.