Жылдық есебі / 2024
ДАМУ ЭНЕРГИЯСЫ

pdf Қаз Рус Eng
Cover 1

05

Корпоративтік басқару

«KEGOC» АҚ басқару құрылымы Корпоративтік басқару кодексінің сақталуы Акционерлердің жалпы жиналысы Дивидендтік саясат Директорлар кеңесінің қызметі туралы есеп Мүдделер қайшылығы Басқарма Корпоративтік этика Сыбайлас жемқорлыққа қарсы іс-қимыл Кері байланыс механизмдері Тәуекелдерді басқару және ішкі бақылау жүйелері Ішкі аудит қызметі Ақпараттық саясат пен қауіпсіздік

Ақпараттық саясат пен қауіпсіздік

2024 жылы «KEGOC» АҚ стейкхолдерлер үшін ақпаратты тең құқықты, толық, шынайы және жедел ашу қағидаттарына негізделген ақпараттық саясатын табысты жалғастырды. Бұл саясат Компанияның инвестициялық тартымдылығын қолдауда, инвестициялық қоғамдастықтың сенімін нығайтуда және даму стратегиясының мақсаттарына қол жеткізуде өзінің тиімділігін тағы да дәлелдеді.

«KEGOC» АҚ компания қызметі туралы маңызды ақпаратты жедел ашу арқылы сарапшылар қауымдастығымен, акционерлермен және инвесторлармен белсенді өзара іс-қимылды жалғастырды.

Бұл үшін келесі құралдар қолданылды:

  • жетекші бұқаралық ақпарат құралдарында жарияланымдар;
  • корпоративтік веб-сайт;
  • Facebook, Instagram, Telegram және Twitter әлеуметтік желілеріндегі ресми парақшалар;
  • телевизиялық бағдарламалардағы спикерлердің сөз сөйлеулері;
  • журналистер сұрауларына жауаптар мен түсініктемелер.

2024 жылдың негізгі ақпараттық оқиғаларына «KEGOC» АҚ-тың маңызды жетістіктері кірді. Жоғары табыстылық Компанияға акционерлер алдындағы міндеттемелерін сәтті орындауға мүмкіндік берді. Маңызды оқиғалардың бірі — Қазақстанның Батыс аймағының энергия жүйесін елдің Біртұтас энергетикалық жүйесімен біріктіру жобасын іске асырудың басталуы болды. Бұл жобаны қаржыландыру мақсатында Еуропа Қайта Құру және Даму Банкімен және «Қазақстан Даму Банкі» АҚ-мен несиелік келісімдер жасалды.

Компания қызметінің табысты көрсеткіштері Moody’s және S&P агенттіктерінен сақтандыру деңгейіне дейін бірқатар кредиттік рейтингтердің көтерілуіне ықпал етті. Бұдан бөлек, есепті кезеңде «KEGOC» АҚ корпоративтік сектордағы жоғары позицияларын растады — өндірістік қауіпсіздік талаптарының сақталуы және өндірістік персонал арасындағы әлеуметтік тұрақтылық деңгейі бойынша «Самұрық-Қазына» қорының портфельдік компаниялары арасында көшбасшы атанды (тұрақтылық деңгейі 87%).

«KEGOC» АҚ коммерциялық, қызметтік және өзге де заңмен қорғалатын құпияларды қорғауға қатысты заң талаптарын қатаң сақтайды. ақпараттық қауіпсіздік қағидаттары корпоративтік ақпаратты ашу және тарату процестерінің барлығына біріктірілген.

«Самұрық-Қазына» қорының сатып алуларындағы ашықтыққа ерекше көңіл бөлінді, бұл халықаралық серіктестер мен инвесторлардың сенімін арттыруға мүмкіндік берді.

2024 жылы «KEGOC» АҚ ақпараттық саясаты Компанияның инвестициялық тартымдылығын қолдауда, серіктестік қатынастарды нығайтуда және стратегиялық даму мақсаттарына қол жеткізуде өзінің тиімділігін тағы да көрсетті. Бұл саясатты одан әрі жетілдіру — Компанияның орнықты өсуі мен инвестициялық бағдарламаларын сәтті іске асыруының маңызды басымдығы болып қала береді.

ақпараттық қауіпсіздік

Ақпараттық қауіпсіздік (АҚ) қызметінің негізгі мақсаты — «KEGOC» АҚ-тың ақпараттық активтерінің қорғалуын қамтамасыз ету және оны арттыру, сондай-ақ ақпараттық қауіпсіздік саласындағы қызметті үйлестіру, жоспарлау және ұйымдастыру, соның ішінде АҚ-ты тиімді стратегиялық басқару және оның процестерінің жетілу деңгейін арттыру.

Ақпараттық қауіпсіздікті басқару жүйесі (АҚБЖ) ISO/IEC 27001 стандарты негізінде әзірленіп, енгізілген және Компанияның біріктірілген менеджмент жүйесінің құрамдас бөлігі болып табылады.

«KEGOC» АҚ-та АҚБЖ-ның қолданылу аясы — негізгі және қосалқы бизнес-процестердің орындалуын қамтамасыз ететін қаржылық-экономикалық блоктың процестерін басқарудың ақпараттық жүйесі болып табылады.

Компания талаптарына сәйкестікті қамтамасыз ету және Компанияның контекстін айқындау мақсатында ақпараттық қауіпсіздік саясаты бекітілді.

«KEGOC» АҚ-та ақпараттық қауіпсіздік бойынша бекітілген регламенттерге сәйкес Компания үшін құндылығы бар ақпараттық активтерге қойылатын жаңа өлшемшарттарға талдау жүргізілді. 2024 жылы ақпараттық активтердің қауіпсіздігін қамтамасыз ету шараларын күшейту жұмыстары жалғастырылды.

Негізгі жетістіктер

2024 жыл бойынша жүргізілген сыртқы аудит нәтижесінде «KEGOC» АҚ ақпараттық қауіпсіздік менеджменті саласындағы жоғары халықаралық стандарттарға сәйкестігін растайтын ISO 27001 халықаралық стандартына сәйкестік сертификатын алды. Бұл Компанияның ақпараттық жүйелері мен деректерінің қауіпсіздігін қамтамасыз ету жолындағы маңызды қадам болып табылады.

2024 жылдың қорытындысы бойынша ақпараттық қауіпсіздік (АҚ) жүйелерінің барлығы қалыпты жұмыс істеуде. Компанияның кибершабуылдардан қорғану жүйелерінің жұмысқа жарамдылығы тұрақты түрде бақыланады. АҚ жүйелерінің саясаттары (деректердің сыртқа шығуын болдырмау жүйесі — DLP, артықшылықты қолжетімділікті басқару жүйесі — PAM) жаңартылуда. Корпоративтік желіге апталық негізде антивирустық бағдарламалық қамтамасыз ету (БҚ) арқылы тексерулер жүргізіледі. Компания қолданатын антивирустық БҚ (Kaspersky) шифрлайтын вирустар сияқты зиянды бағдарламаларды (ЗБ) сәтті анықтап, жояды. DLP жүйесі арқылы құпия деректерге талдау жүргізіледі, ал спам және фишингтік хабарламалар anti-spam жүйесі арқылы бұғатталады. Қашықтан VPN арқылы қосылуға арналған екі факторлы аутентификация (2FA) енгізілді, бұл Компанияның жұмыс станцияларына сырттан бұзылу қаупін едәуір азайтты.

Компания «QazCloud» ЖШС-мен бірлесіп ақпараттық қауіпсіздік орталығының (АҚО) мониторинг аумағын кеңейту бойынша іс-шаралар жүргізді. Бүгінгі күні Компанияның корпоративтік желісі толықтай АҚО-ға қосылған (яғни, «Самұрық-Қазына» АҚ-ның Киберқорған жүйесіне толықтай интеграцияланған). «KEGOC» АҚ-та қолданылатын бағдарламалық қамтамасыз етуге арналған бекітілген тізілім аясында рұқсат етілген БҚ-ға аудит жүргізілді.

2024 жылы Компанияның қорғаныс жүйесі (Kaspersky) компьютерлік құрттар және рұқсат етілмеген БҚ-мен байланысты зиянды бағдарламаларды сәтті анықтап, жойды. Вирустарды анықтау және жою шаралары уақтылы орындалғандықтан, қызметтік тергеу жүргізудің қажеттілігі туындаған жоқ. Сонымен қатар, криптовалютаға қатысты фишингтік хаттар бұғатталды.

Хабардарлықты арттыру

Ақпараттық қауіпсіздікті басқару жүйесінің (АҚБЖ) талаптарына сәйкес, Компанияда ақпараттық қауіпсіздік (АҚ) мәселелеріне қатысты бірыңғай корпоративтік әдеп бекітілген, ол қызметкерлердің хабардар болуын қолдайды.

«KEGOC» АҚ ақпараттық қауіпсіздікті қамтамасыз етуге жауапты персоналдың қажетті құзыреттілігін (білім, даярлық, тәжірибе) техникалық оқыту, біліктілікті арттыру курстарында арнайы оқыту, нұсқамалар өткізу арқылы қамтамасыз етеді. Сонымен қатар, кадрларды кәсіби даярлау және кәсіби дамыту жүйесі енгізілген.

2024 жылы Компания қызметкерлері үшін кибер-гигиена талаптары мен Компанияның ақпараттық қауіпсіздік саясатын сақтау мәселелері бойынша хабардарлықты арттыру шеңберінде оқыту курстары өткізілді. Сондай-ақ қызметкерлердің хабардарлық деңгейін анықтау мақсатында тестілеу ұйымдастырылды.

Өзін-өзі дамыту мақсатында Компания порталында «ақпараттық қауіпсіздік» бөлімі жұмыс істейді. Бұл бөлімде өзекті қауіптер туралы ақпарат, ақпараттық қауіпсіздік және спам-жаңалықтар бойынша шолулар жарияланып тұрады.

Компанияға жаңадан қабылданған қызметкерлерге ақпараттық қауіпсіздік бойынша кіріспе нұсқамалық өткізіледі және Қызметкерлер құрамын басқару стандартына сәйкес нұсқамалықтың бақылау парағы толтырылады. 2024 жылы 54 адам нұсқамалықтан өтті.

«KEGOC» АҚ-да пайдаланушыларды қорғау рәсімдеріне және ақпараттық ресурстармен дұрыс жұмыс істеуге үйрету процестері әзірленген. Компанияда қабылданған ережелер мен рәсімдер, соның ішінде қауіпсіздік талаптары мен бақылау құралдары бойынша қажетті ақпаратты жіберу және қабылдау процестері жолға қойылған.

Аталған процестер «KEGOC» АҚ ақпараттық ресурстарына тұрақты немесе уақытша қолжетімділігі бар үшінші тарап ұйымдарының ақпараттық жүйелерін пайдаланушыларға да қолданылады.

2024 жылы ақпараттық қауіпсіздікті қамтамасыз ету мәселелері бойынша әдістемелік материалдар дайындалып, Компанияның бірыңғай порталындағы «ақпараттық қауіпсіздік» бөлімінде ай сайын жарияланып отырды.

Инциденттерді басқару

Компанияда ақпараттық қауіпсіздік инциденттерін басқару қағидалары бекітілген, олар ақпараттық қауіпсіздіктің (АҚ) әртүрлі инциденттері туындаған кезде Компанияның ақпараттық жүйелерінің (АЖ) жұмысқа қабілеттілігін қолдау шараларын, әдістері мен құралдарын, сондай-ақ АЖ мен олардың компоненттерінің жұмысқа қабілеттілігі бұзылған жағдайда АҚпарат пен оны өңдеу процестерін қалпына келтіру тәсілдері мен құралдарын айқындайды. АҚ инциденттерін басқару процесінің негізгі мақсаттары — залалды барынша азайту, АЖ-ның бастапқы жай-күйін жедел қалпына келтіру және болашақта осындай инциденттердің алдын алу жоспарын әзірлеу.

Компания қызметкерлері, яғни ақпараттық жүйелерді пайдаланушылар, қауіпсіздікке қауіп төндіруі мүмкін оқиғалар туралы әкімшілік арналары арқылы кідіріссіз хабарлауға міндетті. Мұндай оқиғалардың тізбесі мен мазмұны пайдаланушыларға қызметтік міндеттерді орындау кезінде ақпараттық қауіпсіздікті қамтамасыз ету талаптары түсіндірілгенде және ақпараттық ресурстар мен жүйелердің сервистерін пайдалану ережелері бойынша оқыту барысында жеткізілуі тиіс.

«KEGOC» АҚ-ның ақпараттық ресурстарын пайдаланушылар қауіпсіздік жүйесіндегі барлық байқалған немесе болжамды осалдықтарды тіркеуге және бұл туралы уәкілетті қызметкерлерге дереу хабарлауға міндетті. Ешқандай жағдайда пайдаланушылар ақпаратты қорғау жүйесіндегі әлсіздіктерді өз бетімен тексеруге тырыспауы керек.

Сол сияқты, пайдаланушылар бағдарламалық қамтамасыз етудің (БҚ) жұмысы күмән туғызған жағдайларды да тіркеуге міндетті, егер ол сипаттамаға сәйкес келмесе немесе АҚаудың себебі зиянды бағдарлама (мысалы, компьютерлік вирус) деп күдіктенсе. Мұндай жағдайларда бұл туралы да уәкілетті қызметкерлерге хабарлауы тиіс.

Пайдаланушылар ешбір жағдайда күмәнді БҚ-ны өз бетімен өшіру арқылы жүйенің жұмысын қалпына келтіруге тырыспауы керек.

2024 жылдың қорытындысы бойынша ақпараттық қауіпсіздіктің 445 инциденті анықталды. Бұл инциденттер бойынша АҚ тәуекелдерін азайтуға бағытталған тиісті шаралар қабылданды.

АҚ оқиғаларын 2024 жылғы тоқсандар бойынша бөлу

Ақпараттық қауіпсіздік инциденттерінің ең көп саны пайдаланушылардың жұмыс станцияларында анықталған «зиянды бағдарлама» (Malware) санаты бойынша тіркелді.

Авариялық жағдайларға дайындық

Компанияда «KEGOC» АҚ-ның қызметіне ішкі және сыртқы жағымсыз факторлардың әсер ету дәрежесін шектеуге бағытталған бизнестің үздіксіздігін қамтамасыз ету рәсімдері белгіленген. Ақпараттық инфрақұрылым мен ақпараттық объектілер жұмысының үздіксіздігін қамтамасыз ету жоспарына сәйкес, «KEGOC» АҚ ақпараттық қауіпсіздік инциденттері анықталған кезде ҮҚҚ (үздіксіз қызметті қамтамасыз ету) жоспары бойынша тестілеу жүргізілді. Бұл Жоспар жыл сайын тексеріледі.

2024 жылғы қызметтің нәтижесі — Компанияның ақпараттық активтеріне қатысты қаржылық және бедел шығындарына әкеп соғатын ақпараттық қауіпсіздік инциденттерінің алдын алу болып табылады.

Сыртқы және ішкі аудит

«KEGOC» АҚ-та аудит жоспарына сәйкес ақпараттық қауіпсіздікті басқару жүйесі (АҚБЖ) бойынша сыртқы және ішкі аудиттер жүргізіледі. Аудит жүйенің барлық процестерін қамти отырып, процестің мақсаттары, іске асыру барысы және нәтижелері арасындағы байланысты анықтап, әлсіз жақтар мен жетілдіруге қажетті салаларды айқындайды.

Компания жыл сайын ISO 27001 стандарты талаптарына сәйкестік бойынша қайта сертификаттаудан өтеді.

Заңнамалық талаптарды орындау мақсатында Компания жыл сайын енуге арналған сыртқы тестілеу өткізеді. Бұл тестілеу Компания мен оның ақпараттық жүйелерінің ерекшеліктерін ескере отырып, түрлі әдістер мен тәсілдерді қолдану арқылы жүзеге асырылады.

Тәуекелдерді басқару және қабылданған шаралар

Ақпараттық қауіпсіздік саласындағы тәуекелдерді басқару «KEGOC» АҚ-ның корпоративтік тәуекелдерді басқару жүйесінің құрамдас бөлігі болып табылады.

Ақпараттық қауіпсіздік тәуекелдерін бағалау «KEGOC» АҚ-ның барлық активтеріне жүргізіледі. Осы бағалау негізінде есеп пен ақпараттық қауіпсіздік саласындағы тәуекелдерді өңдеу жоспары қалыптастырылады.

Анықталған тәуекелдерді басқару мақсатында келесі құжаттар әзірленді: АҚБЖ қауіпсіздік шараларын енгізу бойынша бақылау іс-шараларының жоспары; Компания қызметкерлеріне арналған ақпараттық қауіпсіздік бойынша тақырыптық сабақтар жоспары;өндірістік жүйелердің ақпараттық қауіпсіздігін арттыруға бағытталған бірінші кезектегі шаралар кешені.

«KEGOC» АҚ ақпараттық жүйелердің қауіпсіздігін қамтамасыз ету шараларын тұрақты жетілдіруге және бүкіл Компанияның сенімділігін қамтамасыз етуге ұмтылады. Біз қауіпсіздік процестері мен шараларын үздік тәжірибелер мен заманауи технологияларға сай жетілдіруді жалғастырамыз.

Ақпараттық қауіпсіздікті басқару жүйесінің (АҚБЖ) талаптарына сәйкестігін растау мақсатында, 2023 жылы «KEGOC» АҚ-та «MS CERTIFICATION SERVICES PRIVATE LIMITED» (Үндістан) тәуелсіз сертификаттау органы арқылы сертификаттау аудиті өткізілді, ал 2024 жылы — қадағалау аудиті жүргізілді. Аудиттер АҚБЖ талаптарына сәйкестікті растады.

Ақпараттың құпиялылығын қамтамасыз ету — «KEGOC» АҚ-ның корпоративтік тәуекелдерді басқару жүйесінің элементі болып табылады. Компания қызметкерлері жұмысқа қабылданған күннен бастап ішкі құжаттардың талаптарына сәйкес құпия ақпарат болып табылатын мәліметтерді жария етпеу туралы құжатқа қол қояды және тиісті нұсқамадан өтеді. Жеткізушілермен жасалатын шарттарда Компания деректерінің құпиялылығын қамтамасыз ету талаптары жеке бөлім ретінде көрсетіледі.