• Акционеры
• Совет директоров
  • О вознаграждении Совета директоров
  • Деятельность Совета директоров
    • Заседания
  • Комитеты Совета директоров
• Правление
• Корпоративные документы
• Система управления рисками
• Устойчивое развитие
  • Кадровая политика
    • Структура персонала
    • Политика найма
    • Социальная поддержка
    • Развитие персонала
    • Оценка персонала
  • Охрана окружающей среды
    • Влияние на воздух
    • Управление отходами
    • Влияние на воду
    • Влияние на биоразнообразие
    • Энергоэффективность
  • Охрана труда
  • Информационная безопасность
    • Политика конфиденциальности
  • Интегрированная система менеджмента
  • Профсоюз и Коллективный договор
• Омбудсмен
• Служба комплаенс
• Служба внутреннего аудита
• Корпоративный секретарь

В АО «КЕGОС» действует Политика по обеспечению информационной безопасности и сохранности конфиденциальной информации, утвержденная Советом директоров, которая распространяется на все направления обеспечения информационной безопасности и сохранности конфиденциальной информации во всех областях деятельности АО «KEGOC» и на всех участках его информационных и телекоммуникационных систем с учетом особенности деятельности АО «KEGOC», его организационной структуры, структуры и размещения информационных систем и характера решаемых задач.

Основной целью защиты информационных ресурсов и информационных систем АО «KEGOC» является защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем АО «KEGOC», или несанкционированного доступа к циркулирующей в них информации и ее незаконного использования.

Основными задачами по обеспечению информационной безопасности и сохранности конфиденциальной информации являются:

• обеспечение необходимой доступности информационных ресурсов АО «KEGOC» в целях обеспечения непрерывности бизнеса;
• обеспечение целостности информационных ресурсов АО «KEGOC» в целях обеспечения требуемой поддержки деятельности АО «KEGOC» в информационной сфере, включая задачи принятия решений;
• обеспечение конфиденциальности информации, отнесенной к закрытым сведениям АО «KEGOC»;
• обеспечение достоверности и актуальности обрабатываемой информации;
• установление ответственности за использование информационных активов АО «KEGOC» и управления ими;
• применение обоснованных, экономически выгодных и совместимых организационных и технических мер ИБ, как для информационных технологий, так и для АО «KEGOC» в целом;
• утверждение единой корпоративной этики в вопросах информационной безопасности, поддерживающей осведомленность работников;
• защиту законных прав АО «KEGOC» и работников, в случаях неправомерного использования или злоупотребления информационными активами;
• защиту от несанкционированных действий в процессах функционирования информационных систем;
• разграничение прав доступа к информации, серверам и рабочим станциям, средствам защиты.

Основными угрозами безопасности информационных и телекоммуникационных средств и систем в АО «KEGOC» могут являться:

• несанкционированный доступ к информации, обрабатываемой, хранимой и передаваемой в информационных и телекоммуникационных системах АО «KEGOC»;
• нарушения технологии обработки информации;
• внедрение вредоносных программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
• уничтожение, повреждение или разрушение средств и систем обработки информации, телекоммуникации и связи;
• воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
• уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
• перехват информации в сетях передачи данных и на линиях связи, обработка этой информации и навязывание ложной информации.

Защита информационных ресурсов и систем осуществляется путем принятия правовых, организационных и технических (программно-технических) мер:

• правовые меры защиты - заключаемые собственником/владельцем информационных ресурсов с пользователями информации договоры, в которых устанавливаются условия доступа к определенным информационным ресурсам и ответственность за нарушение условий доступа и использования информационных ресурсов, соглашение о неразглашении конфиденциальной информации, разработка и актуализация внутренних нормативных документов, регулирующих вопросы обеспечения кибербезопасности;
• организационные меры защиты - обеспечение особого режима допуска на территории (үй-жайларға), где может быть осуществлен доступ к информации (к материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации, ограничение прав доступа пользователей к информационным системам и ресурcам;
• технические меры защиты - меры по физической защите информационных систем, использование средств защиты информации (межсетевые экраны, антивирусные программы и др.), в том числе криптографических, а также систем мониторинга и контроля доступа и регистрации фактов доступа к информации.

Вопросы обеспечения безопасности, направлены на уменьшение риска реализации событий, обусловленных ошибками работников, кражами информационных и технических ресурсов, мошенничеством или незаконным использованием ресурсов работниками АО «KEGOC».

Управление рисками информационной безопасности является частью корпоративной системы управления рисками АО «КЕGОС».

Целью управления рисками информационной безопасности является обеспечение улучшения качества процессов путем своевременной идентификации, оценки и принятия мер по управлению рисками ИБ, предоставления разумных гарантий основным заинтересованным сторонам внутри и вне организации в эффективном управлении рисками.

Управление рисками включает идентификацию рисков, оценку рисков; разработку мероприятий по минимизации рисков; мониторинг выполнения мероприятий по минимизации рисков.

Ответственность за управление процедурой по обеспечению информационной безопасности и сохранности конфиденциальной информации несет Департамент безопасности.

Вся информация, хранимая, обрабатываемая и передаваемая по каналам связи в информационных и телекоммуникационных системах
АО «KEGOC», которая не была специально идентифицирована как собственность третьих сторон, является собственностью АО «KEGOC».

Политика информационной безопасности АО «KEGOC» запрещает несанкционированный доступ к информации, обрабатываемой, хранимой и передаваемой в информационных системах АО «KEGOC», ее раскрытие, копирование, изменение, удаление, ненадлежащее использование, а также неправомерное обращение с носителями этой информации. Кроме того, АО «KEGOC» защищает принадлежащую третьим сторонам, в том числе потребителю информацию, переданную АО «KEGOC» на условиях конфиденциальности.

При работе с поставщиками доступ к информации для поставщиков предоставляется в объеме, необходимом и достаточном для исполнения их задач согласно соответствующему договору после подписания соглашения о неразглашении конфиденциальной информации.

Работники Компании ознакамливаются с требованиями правил АО «KEGOC» и принятых процедурах, включая требования к информационной безопасности и другим средствам контроля, а также обучены правильно использовать информационные ресурсы и сервисы информационных систем.

Работник обязан хранить в тайне ставшие ему известными по работе конфиденциальные сведения, а также пресекать действия других лиц, которые могут привести к разглашению таких сведений.

Работник Компании со дня приема на работу подписывает документ о неразглашении сведений, составляющих конфиденциальную информацию.

За несоблюдение требований, установленных документацией документами по информационной безопасности работники несут ответственность в пределах, определенных Трудовым кодексом Республики Казахстан и внутренними нормативными документами АО «KEGOC».

В целях соблюдения политики обеспечению информационной безопасности и сохранности конфиденциальной информации, а также исполнения законодательных норм Компания проводит:

• внутренний аудит на предмет соответствия требованиям ВНД и международным стандартам ИБ
• тестирование на проникновение. Тестирование проводится с использованием различных методов и техник, которые были выбраны с учетом специфики Компании и информационных систем.

В соответствии Правилами по кадровому администрированию в АО «КЕGOC» за совершение работником дисциплинарного проступка/инцидента информационной безопасности АО «KEGOC» применяются дисциплинарные взыскания.

В АО «KEGOC» в соответствии с Планом аудита проводятся внешние и внутренние аудиты по СУИБ. Аудит проводится по всем процессам системы, включая соблюдение политики конфиденциальности, устанавливая связь между целями процесса, ходом реализации и результатами процесса, выявляя слабые стороны и области для улучшения.