KEG04 «АҚ басқарудың мақсатты үлгісін енгізу» жобасы бойынша бастапқы жиналыс пресс-релизі

Қазақ

Ағымдағы жылдың 7 қарашасында «АҚ басқарудың мақсатты үлгісін енгізу» жобасы бойынша Жоба демеушісі, Құқықтық сүйемелдеу және тәуекелдер жөніндегі басқарушы директор, Басқарма мүшесі Сафуани Төлеген Есенқұлұлының, жоба командасының, «INFOMAX» ЖШС және Қор кеңесшілерінің өкілдерінің қатысуымен бастапқы жиналыс өтті.

Жоба трансформация жобалары портфелінің құрамына кіреді және басымдыларының бірі болып табылады. «АҚ басқарудың мақсатты үлгісін енгізу» жобасының негізгі міндеті АҚБЖ кемелденуінің деңгейін арттыру және ақпараттық қауіпсіздік бойынша тиімді бизнеске бағытталған стратегия жасау болып табылады.

Бүгінгі күні Компанияда корпоративтік, сонымен қатар ҰЭТ модернизациялау жобаларынан кейін енгізілген өндірістік секторларда ақпараттық жүйелердің көп мөлшері жұмыс істейді. Компания үшін қауіпсіздік (құпиялылық, тұтастық және қолжетімділік) саласындағы ақпарат өте бағалы, себебі бұл Компания үшін маңызды зиян келтіруі, және «KEGOC» АҚ стратегиялық мақсаттарына жетуіне әсер етуі мүмкін.

Бүгінгі күні компанияда Компанияның кіріктірілген менеджмент жүйесінің құрама бөлігі болып табылатын IEC/ИСО 27001:2013 стандартының (бұдан әрі – АҚБЖ) негізіндегі Ақпараттық қауіпсіздік жүйесі жұмыс істейді. Жүйе 2015 жылы TUV NORD компаниясымен енгізілді. Сонымен қатар бүгінгі күні жүйе дамуының бастапқы кезеңінде.

Бизнесті трансформациялау бағдарламасының шеңберінде «KEGOC» АҚ диагностика және дизайн кезеңінде, KPMG Компаниясы мен Қор кеңесшілерімен бірге үздік әлемдік тәжірибелер негізінде АҚБЖ-нің 9 мақсатты процесі жасалды. 2018 жылдың соңына дейін жүйені ендіру үшін кеңесшіні шақыру арқылы енгізуді толық жүзеге асыру жоспарлануда.

Мақсатты процестерді енгізгеннен кейін бар ІНҚ жасау және өндірістік технологиялық жүйелерде жүру саласын кеңейту арқылы АҚБЖ-ның қолданыстағы процестері жетілдіріледі. АҚ рөлдерімен жауапты тұлғалар тағайындалады, мақсатты процестерге сай ҚПК (қызметтің процестік көрсеткіштері) бекітіледі және мақсатты мәндер анықталады. АҚБЖ кемелдену деңгейі өседі. СТТ09 жобасының физикалық нәтижелерінің бірі болып табылатын  ақпараттық қауіпсіздік қақтығыстары мен оқиғаларын (SIEM), басқару жүйесі енгізіледі.

SIEM (Security information and event management) жүйесі – «Оқиғаларды жинау және корреляциялау жүйесі». Бұндай жүйелер өз бетінше бір нәрсенің алдын аламайды және қорғамайды. Олардың міндеті басқада – әртүрлі жүйелерден, мысалы, антивирустер, DLP (жойылуды болдырмау жүйесі), IDS (шабуылды болдырмау жүйесі), маршрутизаторлар, желіаралық экрандар, серверлер мен қолданушылық ДК-ның операциялық жүйелеріне түсетін ақпаратты талдау, сонымен қоса белгілі бір критерилер нормасынан ауытқуын детектірлеу. Егер ондай ауытқу анықталса – жүйе оқиғаны түрлендіреді.

Жобаны жүзеге асырудың негізгі пайдасы:

§ Ақпараттың қауіптерін: жайылып кетуі, өзгеруі, жойылуы, және қолжетімсіздігін кеміту арқылы ақпараттық активтердің қорғанысын арттыру.

§ Стандарттарды қатаң ұстану және үздік әлемдік тәжірибе арқылы АҚ кемелділігінің жоғары деңгейі есебінен беделін арттыру, серіктестердің, мемлекеттік органдардың, энергетика субъектілерінің, қызметкерлердің және еншілес ұйымдардың (ЕҰ) сенімділігін арттыру.

  Қызметкерлердің мәдениетінің және АҚ-дан хабардар болу деңгейлерін арттыру.

  АҚБЖ әрдайым жетілдіру.

 Күтпеген жағдайлар, бизнес-процестердегі ауытқулардан кейін шығындарды және ақпараттық жүйелер мен мекеменің жұмысқа қабілеттілігінің қалпына келу уақытын кеміту.

§ 

Оқиғаларды уақтылы мониторингтеу және талдау.