Информационная безопасность и защита данных
Компания осознает важность обеспечения информационной безопасности и защиты данных своих клиентов. В АО «Казахтелеком» продолжается развитие надежной системы управления информационной безопасностью и защитой данных.
Наш подход
Информационная безопасность является частью структурного подразделения в Дивизионе информационных технологий (Дивизион ИТ) Компании.
Основными внутренними документами, регулирующими вопросы в области информационной безопасности, являются:
- Политика информационной безопасности.
- Политика антивирусной защиты информационных систем АО «Казахтелеком».
- Политика по защите персональных данных в АО «Казахтелеком».
- Концепция по информационной безопасности.
С документами Компании, регулирующими вопросы в области информационной безопасности, можно ознакомиться на сайте компании в разделе «Устойчивое развитие», подраздел «Информационная безопасность и защита данных».
Основные принципы обеспечения информационной безопасности:
- исполнение законодательных норм;
- вовлеченность высшего руководства Общества в процесс обеспечения ИБ;
- сориентированность на бизнес;
- процессный подход;
- комплексное использование способов, методов и средств защиты информации;
- следование лучшим практикам;
- разумная достаточность;
- информированность и персональная ответственность.
Для обеспечения информационной безопасности АО «Казахтелеком» применяет системный подход. Одним из важных аспектов является круглосуточный контроль данных на всех этапах их жизненного цикла, начиная с момента их поступления в инфраструктуру Компании и заканчивая их архивацией или безвозвратным уничтожением.
На данный момент в Компании используются лучшие мировые практики методов обеспечения информационной безопасности. Наши внутренние системы защищены с помощью таких решений, как безопасный удаленный доступ к информационным ресурсам, безопасное использование интернета, контроль привилегированных пользователей (РАМ), сканеры уязвимостей и другие. Компания стремится противостоять внешним угрозам и внедряет новые решения и методы работы с ресурсами, включая создание необходимой инфраструктуры в Компании, обучение квалифицированных специалистов, формирование оперативного центра информационной безопасности и внедрение концепции ZeroTrust.
Также в Компании используются такие важные элементы безопасности, как встраивание в государственную систему кибербезопасности ЕШДИ, безопасность Интернета вещей, использование ловушек Honeypot, Machine Learning и другое. Кроме того, на постоянной основе проводится обучение и повышение ИБ-осведомленности сотрудников Компании.
Защита персональных данных
В Компании разработана и внедрена «Политика защиты персональных данных», в которой определены основные принципы обработки персональных данных клиентов, поставщиков, деловых партнеров, работников и других лиц, а также определены основные действия по сбору, хранению и обработке персональных данных, а также меры по их защите.
Политика является основополагающим документом в области защиты персональных данных, устанавливает цели, задачи и принципы в области защиты ПД, которыми руководствуется Общество в своей деятельности. Служит руководством при разработке соответствующих документов защиты персональных данных.
Основные принципы обеспечения защиты персональных данных:
- соблюдение конституционных прав и свобод человека и гражданина;
- законность обеспечения защиты персональных данных;
- конфиденциальность персональных данных ограниченного доступа;
- вовлеченность руководства Общества в процесс обеспечения защиты персональных данных;
- ориентированность на бизнес;
- процессный подход;
- комплексное использование способов, методов и средств защиты;
- следование лучшим практикам;
- разумная достаточность;
- информированность и персональная ответственность.
Основные результаты за отчетный период
В части направления работ по информационной безопасности в 2023 году Дивизион ИТ переформатировал работу подразделения информационной безопасности и контроля, в обязанности которого входит расследование инцидентов, поиск уязвимостей, подготовка рекомендаций по устранению инцидентов информационной безопасности, защита периметра Компании, управление доступом к информационным системам/ ресурсам, управление решениями информационной безопасности.
Создано подразделение информационной безопасности в ЦА – Служба информационной безопасности – в непосредственном подчинении у Управляющего директора по безопасности, которая контролирует вопросы информационной безопасности в Компании на верхнем уровне. В 2024 году планируется разработать и утвердить Стратегию информационной безопасности на 2025–2028 гг.
В 2023 году также реализован первый этап перехода Компании к модели ZeroTrust, начато внедрение аппаратно-программного комплекса, что позволит обеспечить сегментацию корпоративной сети, гранулированное управление доступом и защиту конечных станций сотрудников.
Все эти инициативы позволили приступить к практической работе по организации оперативного центра информационной безопасности (ОЦИБ) для мониторинга, реагирования на инциденты информационной безопасности, отражения и противодействия внешним угрозам. Также, в 2023 году проведена подготовка специалистов Дивизиона информационных технологий к сертификации ISO27001, 27005 и 27035 – это международные стандарты информационной безопасности. Получение филиалом Дивизионом ИТ сертификата ISO27001 обеспечит стандартизированный подход к управлению информационной безопасностью, гарантируя клиентам сохранность данных, безопасность и конфиденциальность. В 2024 году продолжится работа по подготовке Дивизиона информационных технологий к получению сертификата соответствия ISO 27001.
В отчетном периоде было зафиксировано одно обращение по горячей линии касательно возможного нарушения обработки персональных данных клиента. Факт утечки данных клиента не подтвержден.

В отчетном периоде в Компании не было выявлено фактов утечки данных клиентов.
Внедрение концепции ZERO TRUST
Цель концепции ZeroTrust – защитить Компанию от современных угроз в сфере кибербезопасности и утечек данных. Эта концепция основана на полном отсутствии доверия к пользователям процессов и систем. Это означает, что для каждой конкретной сессии пользователь, будь то устройство или приложение, должен пройти процедуру аутентификации и подтвердить свое право на доступ к определенным данным. Zero Trust была разработана бывшим аналитиком Forrester Джоном Киндервагом и сегодня является одной из наиболее популярных концепций в области кибербезопасности.
В 2023 году приобретено ядро ZeroTrust, создана в ЦА Служба информационной безопасности, предотвращены попытки внедрения и распространения вредоносного ПО. В ходе реализации первого этапа ZeroTrust, было выявлено множество фактов заражения корпоративных ПК сотрудников. Предотвращено распространение известного вируса под название WannaCry («вирус-вымогатель»).
В 2024 году запланирована реализация 2-го этапа перехода на модель ZeroTrust, внедрение ряда решений для усовершенствования средств защиты информации. К концу года запланирован запуск корпоративного оперативного центра информационной безопасности.
В целом применение ZeroTrust в Компании позволит значительно повысить уровень информационной безопасности.
В 2023 году в Компании было выявлено 160 000 событий информационной безопасности. Благодаря ZeroTrust Компания сможет ускорить процесс оперативного реагирования на кибератаки и скоординировано решать вопросы по информационной безопасности.
Важным также является тот факт, что по итогам полного внедрения концепции ZeroTrust Компания планирует пройти международную сертификацию ISO 27001 на соответствие требованиям к системе менеджмента информационной безопасности.

Цифровизация клиентских путей В2В и В2С сегментов
В рамках направления цифровизации взаимодействия с клиентами на платформах telecom.kz и ismet.kz, в 2023 году Дивизион ИТ перевел ИТ-продукты Компании на платформу для бизнеса ismet.kz, завершил переход на новую платформу New Hosting с реализацией продуктов хостинга для МСБ. На платформе реализован полный цифровой клиентский путь без участия человеческого фактора.
В 2024 году запланировано изменение дизайна хостинговой платформы, вывод новых сервисов, расширение контента и цифровизация отдельных процессов. Создана модель данных для системы электронного документооборота KT Docs, которую планируется использовать как унифицированную систему электронного документооборота, охватывающую все цифровые каналы продаж в организации. Система электронного документооборота IsmetDocs разрабатывается на новой микросервисной архитектуре. Планируется интеграция системы с государственной системой ЕСУТД и ЕСЭДО (включая системы ЕНСИ и ЕХЭД). Дополнительно была реализована интеграция с государственной информационной системой «Единый государственный кадастр недвижимости» (ИС ЕГКН). Совместно с коллегами из Дивизиона по корпоративному бизнесу был представлен новый маркетплейс – IsmetMarket (Business.ismet.kz), в котором пользователи имеют возможность размещать свои товары и услуги. Также на этом маркетплейсе пользователи смогут стать партнерами/подрядчиками Компании по прокладке волоконно-оптических линий связи в кабельной канализации.
По сегменту B2C проводились работы по оптимизации клиентских путей на портале telecom.kz и в мобильном приложении. Проведены работы по модернизации личного кабинета, включая добавление новых типов взаимодействия, возможность автоматической оплаты банковской картой в заданный день через сервисы БВУ, просмотр квитанций для детализации счетов абонентов. Кроме того, запускаются пилотные проекты голосового бота для автоматического предоставления консультаций гражданам посредством телефонного звонка, опрос абонентов в отделениях при помощи QR сканирования анкеты, вывод услуг в мобильном приложении Egov Mobile в рамках стратегии по увеличению клиентской базы.
Информирование и обучение сотрудников по вопросам информационной безопасности
В Компании на постоянной основе проводятся обучающие мероприятия среди сотрудников для обеспечения основных принципов информационной безопасности – конфиденциальности, целостности и доступности данных.
Информационная безопасность обеспечивается как на административном уровне – каждый сотрудник обязан ознакомиться и исполнять требования регламентов, правил, политик Компании в области информационной безопасности, так и на техническом и физическом уровне – в компании используются различные аппаратно-программные комплексы, средства криптографической защиты информации и прочее.
Кроме того, специалисты Дивизиона ИБ регулярно проходят различные курсы повышения квалификации по информационной безопасности, кибербезопасности, рискам и угрозам ИБ. Для сотрудников подразделений по работе с клиентами и по работе с персоналом, где риск неправомерного использования данных достаточно высокий, проводится общее обучение/ тестирование по цифровой гигиене.
