ЖЫЛДЫҚ ЕСЕП / 2023

Ақпараттық саясат пен қауіпсіздік

2023 жылы ақпаратты стейкхолдерлерге тең құқықты, толық, шынайы және жедел ашу қағидаттарын сақтау мақсатында «KEGOC» АҚ ақпараттық саясатын іске асыруды жалғастырды.

«KEGOC» АҚ акцияларды қайталма орналастыруды (SPO) сәтті өткізді және эмиссияны ақпараттық қолдау шеңберінде Компания инвестициялық қоғамдастықпен, сондай-ақ әлеуетті инвесторлардың кең аудиториясымен өзара іс-қимыл бойынша белсенді жұмыс жүргізді. Мәселен, есепті кезеңде акционерлер мен инвесторлардың мүдделерін қозғайтын ақпаратты дер кезінде ашудан басқа, Компания БАҚ үшін бірқатар іс-шаралар өткізді: KASE алаңындағы брифингтер, сұхбаттар, «Эмитент күні». Олардың барысында инвесторлар, бағалы қағаздар нарығының кәсіби қатысушылары және БАҚ өкілдері Компания қызметінің нәтижелерімен, стратегиялық жоспарларды орындау, инвестициялық жобаларды іске асыру барысымен танысты.

Оң инвестициялық имиджді қалыптастыру мақсатында «KEGOC» АҚ ақпараттық-талдау қызметтерін көрсету, Компания мен сарапшылар қауымдастығы, инвесторлар мен акционерлер арасында сенімді қарым-қатынастарды қалыптастыру бойынша жұмысты жалғастырды. Пайдаланушылар үшін маңызды ақпараттың тиімділігі мен қолжетімділігін қамтамасыз ету үшін «KEGOC» АҚ БАҚ-та, сондай-ақ Компанияның корпоративтік веб-сайтында және Facebook, Instagram, Telegram мен Twitter әлеуметтік желілерінде парақшаларында өндірістік-қаржылық қызметі, Жүйелік оператордың 26 жылдағы қызметінің нәтижелері мен жетістіктері, соның ішінде ардагер энергетиктердің өткен форумы, «жасыл» облигацияларды шығару, кредиттік қарыздарды мерзімінен бұрын өтеу, Батыс энергетикалық аймақтың электр желілерін күшейту жобасы бойынша 220 кВ жаңа желілерді іске қосу, ҰЭТ-ты жаңғырту және жыл сайынғы жөндеу науқанының қорытындылары туралы материалдардың жариялануын қамтамасыз етті. Сондай-ақ, топ-менеджменттің сұхбаттары мен баяндамалары ұйымдастырылып, Компанияның инвестициялық қызметін, қойылған мақсаттарын қол жеткізуді және қызметінің әртүрлі салаларындағы жетістіктерін кеңінен суреттеу үшін мүдделі тұлғалардың қатысуымен қоғамдық тыңдаулар өткізілді.

«KEGOC» АҚ ақпаратты ашу кезінде коммерциялық, қызметтік және заңмен қорғалатын өзге де құпияны құрайтын ақпаратты, сондай-ақ таратылуы шектеулі ақпаратты қорғауды басшылыққа алады.

Ақпараттық қауіпсіздік

Ақпараттық қауіпсіздік (АҚ) қызметінің негізгі мақсаты «KEGOC» АҚ ақпараттық активтерінің қауіпсіздігін қамтамасыз ету және арттыру, сондай-ақ ақпараттық қауіпсіздік қызметін үйлестіру, жоспарлау және ұйымдастыру, соның ішінде АҚ-ты тиімді стратегиялық басқару және АҚ процестерінің жетілу деңгейін арттыру болып табылады.

«KEGOC» АҚ-да жыл сайын ақпараттық қауіпсіздікті басқару жүйесінің (АҚБЖ) ISO 27001 халықаралық стандартына сәйкестігіне ішкі және сыртқы аудит өтеді.

АҚБЖ ISO/IEC 27001:2013 негізінде әзірленіп, енгізілді және Компанияның біріктірілген менеджмент жүйесінің құрамдас бөлігі болып табылады.

Негізгі және қосалқы бизнес-процестердің орындалуын қамтамасыз ететін «KEGOC» АҚ-ның қаржылық-экономикалық блогының процестерін басқарудың ақпараттық жүйесі «KEGOC» АҚ-да АҚБЖ-ның қолданылу аясы болып табылады.

Талаптарға сәйкес келу және Компанияның контекстін анықтау үшін Ақпараттық қауіпсіздік саясаты бекітілді.

«KEGOC» АҚ-да белгіленген ақпараттық қауіпсіздік регламенттеріне сәйкес «KEGOC» АҚ үшін құндылығы бар ақпараттық активтерге қатысты жаңа критерийлерді талдау бойынша жұмыс жүргізілді. 2023 жылы «KEGOC» АҚ-да ақпараттық активтердің қауіпсіздігін қамтамасыз ету бойынша шараларды күшейту жұмысы жалғастырылды.

Негізгі жетістіктер

2023 жылғы сыртқы аудит нәтижелері бойынша «KEGOC» АҚ ISO 27001 халықаралық стандартына сәйкестік сертификатын алды, бұл Компанияның ақпараттық қауіпсіздікті басқарудың жоғары стандарттарына сай болатынын растайды. Бұл Компанияның ақпараттық жүйелері мен деректерінің қауіпсіздігін қамтамасыз ету жолындағы маңызды қадам.

2023 жылдың нәтижелері бойынша барлық АҚ жүйелері дұрыс жұмыс істейді. Компанияның кибер-шабуылдардан қорғану жүйелерінің жұмысқа қабілеттілігін қолдау бойынша тұрақты мониторинг жүргізілуде. АҚ жүйелерінің (DLP, SIEM, CyberArk) саясаты жаңартылып тұруда. Вирусқа қарсы БЖ арқылы корпоративтік желі апта сайын сканерленеді. Компанияның қорғаныс жүйесі (Kaspersky) зиянды БЖ-ны (шифрлаушы вирустарды) табысты анықтап тойтарады. Құпия деректердің талдауы жүргізіліп, фишингтік таратулар мен спамдар ағып кетудің алдын алу жүйесі (DLP) арқылы бұғатталады. Қазіргі таңда антивирустық БЖ мен DLP жүйесін баптау жөніндегі жұмыс жүргізілуде.

«KEGOC» АҚ Қауіпсіздік департаментінің Ақпараттық қауіпсіздік бөлімі «QazCloud» ЖШС-нің жұмыскерлерімен бірлесіп, АҚОО-ның мониторинг аймағын кеңейту бойынша іс-шаралар өткізді. Бүгінгі таңда Компанияның корпоративтік желісі АҚОО-ға толығымен қосылған («Самұрық-Қазына» АҚ Киберқалқанына толық қосылу орындалды). «KEGOC» АҚ-та пайдаланылатын бекітілген Бағдарламалық жасақтама тізілімінің шеңберінде Компанияда рұқсат етілген БЖ-ның аудиті жүргізілді.

2023 жылы Компанияның қорғау жүйесі (Kaspersky) вирус-құрттармен және заңсыз БЖ-мен байланысты зиянды БЖ-ны анықтап, табысты жойды. Вирустарды анықтау және жою бойынша іс-шараларды орындауға байланысты қызметтік тексеру жүргізу қажеттілігі туындамады. Криптовалюталарға байланысты фишингтік хаттар бұғатталды.

Хабардарлықты арттыру

АҚБЖ талаптарына сәйкес Компанияда жұмыскерлердің хабардар болуын қолдайтын АҚ мәселелеріндегі бірыңғай корпоративтік әдеп бекітілді.

«KEGOC» АҚ техникалық оқыту, біліктілікті арттыру курстарында арнайы оқыту, нұсқамалықтарды өткізу арқылы АҚ-ны қамтамасыз етуге жауапты қызметкерлер құрамының тиісті құзыреттілігін (білімі, даярлығы, тәжірибесі) қамтамасыз етеді, сондай-ақ қызметкерлер құрамын кәсіби даярлау мен кәсіби дайындау жүйесі енгізілген.

2023 жылы Компания жұмыскерлері үшін келесі оқыту курстары өткізілді:

  • АҚ дегеніміз не;
  • АҚ құпиясөзбен қорғау;
  • АҚ электрондық почта;
  • АҚ вирусқа қарсы қорғау;
  • АҚ жаңартулары;
  • Әлеуметтік инженерия.

Сонымен қатар, 2023 жылы өздігінен білім алу мақсатында Компания порталында «Ақпараттық қауіпсіздік» бөлімі бар болады. Онда ағымдағы қауіптер туралы ақпарат, ақпараттық қауіпсіздік пен спам таратулары бойынша дайджесттер бар. Сондай-ақ АД, филиалдар мен ЕҰ-ның барлық жұмыскерлеріне жоғарыда аталған бөлімде ІНҚ мен АҚ бойынша ұсынымдармен танысу мүмкіндігі туралы тарату жіберілді.

АҚ туралы хабардарлықты арттыру үшін тест әзірленді. Жаңадан қабылданған жұмыскер жұмысқа қабылданған кезде АҚ бойынша кіріспе нұсқамалық өткізіліп, Қызметкерлер құрамын басқару стандартына сәйкес нұсқамалықтың бақылау парағы толтырылады. 2023 жылы 100-ден астам адам нұсқамалықтан өтті.

2023 жылы Компанияның АҚ-мен айналысатын жұмыскерлері үшін келесі оқытулар өткізілді:

  • «Palo Alto Networks» жаңа буын желіаралық экрандар бағдарламалық-аппараттық кешені бойынша негізгі пайдаланушыларды оқыту;
  • Негізгі пайдаланушыларды PAM артықшылық берілген пайдаланушыларды басқару жүйесі бойынша оқыту.

«KEGOC» АҚ-да пайдаланушыларды қауіпсіздік рәсімдеріне және ақпараттық ресурстармен дұрыс жұмыс істеуге үйрету процестері әзірленді. «KEGOC» АҚ-ның ережелері және онда қабылданған рәсімдері, соның ішінде қауіпсіздік талаптары мен басқа да бақылаулар туралы қажетті ақпаратты жолдау және алу процестері әзірленді. Бұл процестер «KEGOC» АҚ-ның ақпараттық ресурстарына тұрақты немесе уақытша рұқсаты бар үшінші тарап ұйымдарының ақпараттық жүйелерін пайдаланушыларына да қолданылады.

«KEGOC» АҚ жұмыскерлерінің хабардар болуын арттыру мақсатында ақпараттық қауіпсіздік мәселелері бойынша әдістемелік әзірлемелер дайындалды. Бұл материалдар ай сайын «KEGOC» АҚ-ның бірыңғай порталының «Ақпараттық қауіпсіздік» бөлімінде орналастырылады.

Инциденттерді басқару

Компанияда ақпараттық қауіпсіздік инциденттерін басқару жөніндегі қағидалар бекітілді, олар АҚ-ның әртүрлі инциденттері туындаған кезде Компанияның АЖ-ның жұмысқа қабілеттілігін сақтаудың (қолдаудың) негізгі шараларын, әдістері мен құралдарын, сондай-ақ АЖ мен компоненттердің жұмысқа қабілеттілігі бұзылған жағдайда ақпаратты және оны өңдеу процестерін қалпына келтіру тәсілдері мен құралдарын айқындайды. АҚ инциденттерін басқару процесінің негізгі мақсаттары залалды азайту, АЖ-ның бастапқы жай-күйін тезірек қалпына келтіру және болашақта осындай инциденттердің алдын алу жоспарын әзірлеу болып табылады.

Ақпараттық жүйелерді пайдаланушы Компания қызметкерлері қауіпсіздікке қауіп төндіретін оқиғалар туралы әкімшілік арналар арқылы кідіріссіз хабарлауы тиіс. Мұндай оқиғалардың тізбесі мен құрамы пайдаланушыларға қызметтік міндеттерін орындау кезінде олардың ақпараттық қауіпсіздікті қамтамасыз ететіндігі туралы хабарлау кезінде, сондай-ақ ақпараттық ресурстар мен ақпараттық жүйелердің сервистерін пайдалану қағидаларын оқыту кезінде олардың назарына жеткізілуі тиіс.

«KEGOC» АҚ-ның ақпараттық ресурстарын пайдаланушылары қауіпсіздік жүйесіндегі байқалған немесе болжалды кемшіліктерді тіркеуі және олар тралы хабарлауы тиіс. Пайдаланушылар мұндай инциденттер туралы уәкілетті жұмыскерлерге дереу хабарлаулары тиіс. Ешқандай жағдайда олар Ақпаратты қорғау жүйесіндегі әлсіздіктерді тексеруге тырыспауы тиіс.

«KEGOC» АҚ ақпараттық ресурстарын пайдаланушылар бағдарламалық жасақтаманың жұмыс істеуі олар үшін дұрыс емес болып көрінетін, яғни, сипаттізімге сәйкес емес барлық жағдайларды тіркеуге міндетті, ал олар жаңылыстың компьютерлік вирус сияқты зиянды бағдарлама әсерінен пайда болды деген күдік туралы уәкілетті жұмыскерлерге хабарлаулары тиіс.

Пайдаланушылар күдікті бағдарламалық жасақтаманы жою арқылы бағдарламалық жасақтаманың жұмыс істеуін қалпына келтіруге әрекет жасамаулары тиіс.

2023 жылдың қорытындысы бойынша ақпараттық қауіпсіздіктің 290 инциденті анықталып, олар бойынша АҚ тәуекелдерін барынша азайтуға бағытталған тиісті іс-шаралар жүргізілді.

2023 жылы инциденттерді тоқсан бойынша бөлу

Сыртқы инциденттердің ең көп саны алынбалы тасымалдағышта анықталған «вирустар» санаты бойынша тіркелді. «KEGOC» АҚ-да кадрлық әкімшілендіру қағидаларына сәйкес «KEGOC» АҚ-да қызметкердің тәртіптік теріс қылық/ақпараттық қауіпсіздік инцидентін жасағаны үшін «KEGOC» АҚ-да тәртіптік жазалар қолданылды.

Авариялық жағдайларға дайындық

Компанияда «KEGOC» АҚ-ның қызметіне ішкі және сыртқы жағымсыз факторлардың әсер ету дәрежесін шектеуге бағытталған бизнестің үздіксіздігін қамтамасыз ету рәсімдері белгіленген. Ақпараттық инфрақұрылым мен ақпараттық объектілер жұмысының үздіксіздігін қамтамасыз ету жоспарына сәйкес «KEGOC» АҚ Ақпараттық қауіпсіздік инциденттері анықталған кезде ҮҚҚ жоспары шеңберінде кибер-инцидентке тестілеу және жоспарлы тергеу жүргізілді. Бұл Жоспар жыл сайын тексеріледі.

2023 жылғы қызметтің нәтижесі компанияның ақпараттық активтеріне қатысты қаржылық және бедел шығындарына әкеп соқтыратын ақпараттық қауіпсіздік инциденттеріне жол бермеу болды.

Сыртқы және ішкі аудит

Аудит жоспарына сәйкес, «KEGOC» АҚ-да АҚБЖ бойынша сыртқы және ішкі аудиттер жүргізіледі. Аудит жүйенің барлық процестері бойынша өткізіліп, процестің мақсаттары, іске асыру барысы және процестің нәтижелері арасындағы байланысты анықтайды, әлсіз жақтары мен жақсартылуы тиіс бағыттарды айқындайды.

Заңнамалық нормаларды орындау үшін Компания жыл сайын енуге сыртқы тестілеу өткізеді. Тестілеу Компанияның және ақпараттық жүйелердің ерекшеліктерін ескере отырып, таңдалған әртүрлі әдістер мен техниканы пайдалану арқылы өткізіледі.

Тәуекелдер және қолданылған шаралар

Ақпараттық қауіпсіздік саласындағы тәуекелдерді басқару «KEGOC» АҚ-ның тәуекелдерді басқарудың корпоративтік жүйесінің элементі болып табылады.

Ақпараттық қауіпсіздік саласындағы тәуекелдерді бағалау «KEGOC» АҚ барлық активтері үшін жүргізіледі. Оның негізінде бағалау туралы есеп және АҚ саласындағы тәуекелдерді өңдеу жоспары қалыптасады.

Анықталған тәуекелдерді басқару үшін «KEGOC» АҚ АҚБЖ қауіпсіздік шараларын енгізу бойынша бақылау іс-шараларының жоспары, Жұмыскерлер үшін ақпараттық қауіпсіздік бойынша тақырыптық сабақтар өткізу жоспары, сондай-ақ өндірістік жүйелердің ақпараттық қауіпсіздік деңгейін арттыруға бағытталған бірінші кезектегі ақпараттық қауіпсіздік шаралар мен іс-шаралар жоспары әзірленді.

Біз ақпараттық жүйелердің қауіпсіздігін қамтамасыз ету шараларын үнемі жақсартып тұруға және бүкіл Компаниямыздың сенімділігін қамтамасыз етуге ұмтыламыз. Біз озық тәжірибелер мен жаңа технологияларға сәйкес процестерді және қауіпсіздік шараларын жетілдіруді жалғастыратын боламыз.

Құпиялылық саясаты

Ақпараттың құпиялылығын қамтамасыз ету «KEGOC» АҚ тәуекелдерді басқарудың корпоративтік жүйесінің элементі болып табылады. Компания қызметкерлері жұмысқа қабылданған күннен бастап ішкі құжаттардың талаптарына сәйкес құпия ақпаратты құрайтын мәліметтерді жария етпеу туралы құжатқа қол қояды және тиісті нұсқаулықтан өтеді. Өнім берушілермен жасалған шарттарда осы компаниялардың құпиялылығын қамтамасыз ету шарттары жеке бөлімімен белгіленеді.

Тұтынушыларды құпиялықты қорғау туралы ақпараттандыру механизмі туралы

2023 жылы «KEGOC» АҚ-да өнім берушілермен жұмыс істеу кезінде ақпараттық қауіпсіздікті қамтамасыз ету қағидалары әзірленіп, қабылданды.

2-мақсатты жүзеге асыру индикаторлары

ҚНК атауы КПД 2019 факт 2020 факт 2021 факт 2022 факт 2023 жоспар 2023 факт
LTIFR, коэффициент 0 0 0,15 0,45 0,65 0,15
ESG рейтингі > индикатор 2022 жылы белгіленген 30 51