Информационная безопасность

Основной целью деятельности по ИБ является обеспечение и повышение защищенности информационных активов АО «KEGOC», а также координация, планирование и организация деятельности информационной безопасности, включая эффективное стратегическое управление ИБ и повышение уровня зрелости процессов ИБ.

В АО «KEGOC» ежегодно проходит внутренний и внешний аудит системы управления информационной безопасности (СУИБ) на предмет соответствия международному стандарту ISO 27001.

СУИБ разработана и внедрена на основе ISO/IEC 27001:2013 и является составной частью интегрированной системы менеджмента Компании.

Областью применения СУИБ в АО «KEGOC» является информационная система управления процессами финансово-экономического блока АО «KEGOC», обеспечивающая выполнение основных и вспомогательных бизнес-процессов.

Для соответствия требованиям и определения контекста Компании утверждена Политика информационной безопасности.

В соответствии с установленными в АО «KEGOC» регламентами информационной безопасности, проведены работы по анализу новых критериев для информационных активов, которые имеют ценность для АО «KEGOC». В 2022 году в АО «KEGOC» продолжено усиление мер по обеспечению безопасности информационных активов.

 Основные достижения

  • По результатам внешнего аудита за 2022 год АО «KEGOC» получен сертификат соответствия международному стандарту ISO 27001, который подтверждает, что Компания соответствует высоким стандартам управления информационной безопасностью. Это значительный шаг в направлении обеспечения безопасности информационных систем и данных Компании.
  • Проведены работы по усилению мер по защите данных, включая шифрование и резервное копирование данных в дополнительных местах (георезервирование), что позволило обеспечить надежную защиту данных от потенциальных угроз и повысить уровень их доступности.
  • Проведен аудит разрешенных ПО в Компании в рамках утвержденного Реестра программных обеспечений, используемых в AO «KEGOC».

 Повышение осведомленности

Согласно требованиям СУИБ в Компании утверждена единая корпоративная этика в вопросах ИБ, поддерживающая осведомленность работников.

АО «КEGOC» обеспечивает соответствующую компетентность (образование, подготовка, опыт) персонала, который несет ответственность за обеспечение ИБ, путем проведения технической учебы, специального обучения на курсах повышения квалификации, инструктажей, также внедрена система профессиональной подготовки и профессионального развития персонала.

Руководство СУИБ позволяет персоналу структурных подразделений АО «КEGOC» понимать:

  1. важность соответствия Политике информационной безопасности, процедурам и требованиям СУИБ;
  2. обязанности и ответственность по достижению Политики, а также требований СУИБ по обеспечению ИБ;
  3. потенциальные последствия отступлений от установленных рабочих процедур.   

 Организация профессионального обучения и профессионального развития персонала включает:

  1. систематическое самостоятельное обучение работников (самообразование);
  2. обучение на семинарах, курсах, проводимых внешними организациями;
  3. обучение в учебных центрах и институтах повышения квалификации.

 В 2022 году проведены следующие обучения для работников Компании:

  • Что такое ИБ
  • ИБ парольная защита
  • ИБ электронная почта
  • ИБ антивирусная защита
  • ИБ Обновления
  • Социальная инженерия

 Кроме того, в 2022 году для работников Компании занятых ИБ проведены следующие обучения:

  • Обучение ключевых пользователей по программно-аппаратному комплексу межсетевые экраны нового поколения NGFW;
  • Обучение ключевых пользователей по системе контроля привилегированных пользователей PAM;

В АО «KEGOC» разработаны процессы по обучению пользователей по процедурам защиты и правильному обращению с информационными ресурсами. Выработаны процессы по направлению и получению необходимых сведении о правилах АО «KEGOC» и принятых в них процедурах, включая требования к безопасности и другим средствам контроля. Данные процессы также действуют в отношении пользователей информационных систем из сторонних организаций, имеющих постоянный или временный доступ к информационным ресурсам АО «KEGOC».

В целях повышения осведомленности работников АО «KEGOC» были подготовлены методические разработки по вопросам обеспечения ИБ. Данные материалы ежемесячно размещаются на едином портале AO «KEGOC» в разделе «Информационная безопасность».

 Управление инцидентами

В Компании установлены правила по процедуре управления инцидентами ИБ «KEGOC 00-801-19-ПР Управление инцидентами информационной безопасности», которые определяют основные меры, методы и средства сохранения (поддержания) работоспособности ИС Компании при возникновении различных инцидентов ИБ, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности ИС и компонентов. Основными целями процесса по управлению инцидентами ИБ являются минимизация ущерба, скорейшее восстановление исходного состояния ИС и разработка плана по недопущению подобных инцидентов в будущем.

Работники Компании, пользователи информационных систем должны без промедления сообщать по административным каналам о событиях, потенциально несущих угрозу безопасности. Перечень и состав таких событий должен быть доведен до сведения пользователей при их информировании об обеспечении ими информационной безопасности при выполнении служебных обязанностей, а также при обучении правилам использования информационных ресурсов и сервисов информационных систем.

Пользователи информационных ресурсов АО «KEGOC» обязаны регистрировать любые наблюдаемые или предполагаемые слабости в системе безопасности и сообщать о них. Пользователи должны незамедлительно доводить подобные инциденты до уполномоченных работников Отдела информационной безопасности. Ни при каких обстоятельствах они не должны пытаться проверять предполагаемые слабости в системе защиты информации.

Пользователи информационных ресурсов АО «KEGOC» обязаны регистрировать все случаи, когда функционирование программного обеспечения представляется им неправильным, т.е. не соответствующим спецификации, а о подозрениях, что сбой вызван вредоносной программой, например, компьютерным вирусом они должны сообщать уполномоченным работникам Отдела информационной безопасности.

Пользователи не должны пытаться самостоятельно восстановить функционирование программного обеспечения путем удаления подозрительного программного обеспечения.

По итогам 2022 года было выявлено 395 инцидентов информационной безопасности, по которым были проведены соответствующие мероприятия, направленные на минимизацию рисков ИБ.

  внутренние                             внешние     

                        

 

Наибольшее количество внешних инцидентов было зарегистрировано по категории «вирусы», обнаруженных на съемных носителях. В соответствии с 17 разделом правил «ПР KEGOC 00-344-18-ПР Кадровое администрирование в АО «КЕGOC» за совершение работником дисциплинарного проступка/инцидента информационной безопасности АО «KEGOC» были применены дисциплинарные взыскания в соответствии с ТК РК.

Готовность к аварийным ситуациям

В Компании установлены процедуры обеспечения непрерывности деятельности направленные на ограничения степени воздействия внутренних и внешних негативных факторов на деятельность АО «KEGOC». В соответствии с Планом обеспечения непрерывности работы информационной инфраструктуры и информационных объектов при обнаружении инцидентов информационной безопасности АО «KEGOC» проводилось тестирование и плановое расследование кибер-инцидента в рамках плана ОНД. Данный План тестируется каждый год.

Результатом деятельности в 2022 году явилось недопущение инцидентов информационной безопасности, влекущих финансовые и репутационные потери в отношении информационных активов Компании.

Внешний и внутренний аудит

В АО «KEGOC» в соответствии с Планом аудита проводятся внешние и внутренние аудиты по СУИБ. Аудит проводится по всем процессам системы, устанавливая связь между целями процесса, ходом реализации и результатами процесса, выявляя слабые стороны и области для улучшения.

Во исполнения законодательных норм Компания ежегодно проводит внешнее тестирование на проникновение. Тестирование проводится с использованием различных методов и техник, которые были выбраны с учетом специфики Компании и информационных систем.

Риски и принятые меры

Управление рисками в области информационной безопасности является элементом корпоративной системы управления рисками АО «KEGOC».

Оценка рисков в области информационной безопасности осуществляется для всех активов АО «KEGOC», на основании которой формируется отчет об оценке и План обработки рисков в области ИБ.

Для управления выявленными рисками разработаны План контрольных мероприятий по внедрению мер безопасности СУИБ АО «KEGOC», План проведения тематических занятий по информационной безопасности для работников, а также план первоочередных мер информационной безопасности и мероприятия, направленные на повышение уровня информационной безопасности производственных систем.

Мы стремимся постоянно улучшать наши меры по обеспечению безопасности информационных систем и обеспечить надежность работы всей нашей компании. Мы будем продолжать совершенствовать наши процессы и меры безопасности в соответствии с лучшими практиками и новыми технологиями.


Политика кофиденциальности

Горячая линия

Обратная связь