Информацион­ная политика и безопасность

АО «KEGOC» продолжило активно взаимодействовать с экспертным сообществом, акционерами и инвесторами через оперативное раскрытие значимой информации о деятельности компании.

Для этого были использованы:

• Публикации в ведущих СМИ;
• Корпоративный веб-сайт;
• Официальные страницы компании в социальных сетях (Facebook, Instagram, Telegram, Twitter);
• Выступление спикеров в телевизионных передачах;
• Комментарии и ответы на журналистские запросы.

Основными информационными событиями 2024 года стали значимые достижения компании АО «KEGOC». Высокая доходность позволила компании успешно выполнить свои обязательства перед акционерами.

Одним из важнейших событий стало начало реализации проекта по объединению энергосистемы Западной зоны Казахстана с Единой энергосистемой страны. Для финансирования этого проекта были заключены кредитные соглашения с Европейским банком реконструкции и развития и АО «Банк ­развития Казахстана».

Успешные показатели деятельности компании способствовали повышению ряда кредитных рейтингов до страхового уровня от агентств Moody’s и S&P. Кроме того, в отчетном периоде АО «KEGOC» подтвердила высокие позиции в корпоративном секторе, став лидером среди портфельных компаний фонда «Самрук-Қазына» по соблюдению производственной безопасности и уровню социальной стабильности среди производственного персонала, который составил 87%.

АО «KEGOC» строго соблюдает законодательные требования по защите коммерческой, служебной и иной охраняемой тайны. Принципы информационной безопасности интегрированы во все процессы раскрытия и распространения корпоративной информации.

Особое внимание было уделено прозрачности закупок фонда «Самрук-Қазына», что позволило укрепить доверие международных партнеров и инвесторов.

Информационная политика АО «KEGOC» в 2024 году вновь продемонстрировала свою эффективность в поддержке инвестиционной привлекательности компании, укреплении партнерских отношений и достижении стратегических целей развития. Дальнейшее совершенствование этой политики остаётся важным приоритетом для обеспечения устойчивого роста и успешной реализации инвестиционных программ компании.

Основной целью деятельности по информационной безопасности (ИБ) является обеспечение и повышение защищенности информационных активов АО «KEGOC», а также координация, планирование и организация деятельности информационной безопасности, включая эффективное стратегическое управление ИБ и повышение уровня зрелости процессов ИБ.

СУИБ разработана и внедрена на основе ISO/IEC 27001 и является состав­ной частью интегрированной системы менеджмента Компании.

Областью применения СУИБ в АО «KEGOC» является информационная система управления процессами финансово-экономического блока АО «KEGOC», обеспечивающая выполнение основных и вспомогательных бизнес-процессов.

Для соответствия требованиям и определения контекста Компании утверждена Политика информационной безопасности.

В соответствии с установленными в АО «KEGOC» регламентами информационной безопасности, проведены работы по анализу новых критериев для информационных активов, которые имеют ценность для АО «KEGOC». В 2024 году в АО «KEGOC» продолжено усиление мер по обеспечению безопас­ности информационных активов.

Согласно требованиям СУИБ в Компании утверждена единая корпоративная этика в вопросах ИБ, поддерживающая осведомленность работников.

АО «КEGOC» обеспечивает соответствующую компетентность (образование, подготовка, опыт) персонала, который несет ответственность за обеспечение ИБ, путем проведения технической учебы, специального обучения на курсах повышения квалификации, инструктажей, также внедрена система профессиональной подготовки и профессионального развития персонала.

Также в 2024 году проведены обучения для работников Компании в рамках повышения осведомленности по вопросам соблюдения кибер-гигиены и требований Политики информационной безопасности Компании. Проведено тестирование работников Компании для определения их уровня осведомленности.

Кроме того, в целях самообразования на портале Компании существует раздел «Информационная безопасность». В котором размещается информация по действующим угрозам, дайджесты по информационной безопасности и спам рассылкам.

При приеме вновь принятого работника проводится вводный инструктаж по ИБ и заполняется контрольный лист инструктажа согласно Стандарт по управлению персоналом. За 2024 года инструктаж прошли 54 человека.

В АО «KEGOC» разработаны процессы по обучению пользователей по процедурам защиты и правильному обращению с информационными ресурсами. Выработаны процессы по направлению и получению необходимых сведении о правилах АО «KEGOC» и принятых в них процедурах, включая требования к безопасности и другим средствам контроля. Данные процессы также действуют в отношении пользователей информационных систем из сторонних организаций, имеющих постоянный или временный доступ к информационным ресурсам АО «KEGOC».

В целях повышения осведомленности работников АО «KEGOC» были подготовлены методические разработки по вопросам обеспечения ИБ. Данные материалы ежемесячно размещаются на едином портале AO «KEGOC» в разделе «Информационная безопасность».

Управление инцидентами

В Компании утверждены Правила по управлению инцидентами информационной безопасности, которые определяют основные меры, методы и средства сохранения (поддержания) работоспособности ИС Компании при возникновении различных инцидентов ИБ, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности ИС и компонентов. Основными целями процесса по управлению инцидентами ИБ являются минимизация ущерба, скорейшее восстановление исходного состояния ИС и разработка плана по недопущению подобных инцидентов в будущем.

Работники Компании, пользователи информационных систем должны без промедления сообщать по административным каналам о событиях, потенциально несущих угрозу безопасности. Перечень и состав таких событий должен быть доведен до сведения пользователей при их информировании об обеспечении ими информационной безопасности при выполнении служебных обязанностей, а также при обучении правилам использования информационных ресурсов и сервисов информационных систем.

Пользователи информационных ресурсов АО «KEGOC» обязаны регистрировать любые наблюдаемые или предполагаемые слабости в системе безопасности и сообщать о них. Пользователи должны незамедлительно доводить подобные инциденты до уполномоченных работников. Ни при каких обстоятельствах они не должны пытаться проверять предполагаемые слабости в системе защиты информации.

Пользователи информационных ресурсов АО «KEGOC» обязаны регистрировать все случаи, когда функционирование программного обеспечения представляется им неправильным, т.е. не соответствующим спецификации, а о подозрениях, что сбой вызван вредоносной программой, например, компьютерным вирусом они должны сообщать уполномоченным работникам.

Пользователи не должны пытаться самостоятельно восстановить функционирование программного обеспечения путем удаления подозрительного программного обеспечения.

По итогам 2024 года было выявлено 445 инцидентов информационной безопасности, по которым были проведены соответствующие мероприятия, направленные на минимизацию рисков ИБ.

Распределение событий ИБ по кварталам в 2024 году в разрезе критичности

Наибольшее количество инцидентов ИБ было зарегистрировано по категории «Malware» (вредоносная программа), обнаруженных на рабочих станциях пользователей.

В Компании установлены процедуры обеспечения непрерывности деятельности направленные на ограничения степени воздействия внутренних и внешних негативных факторов на деятельность АО «KEGOC». В соответствии с Планом обеспечения непрерывности работы информационной инфраструктуры и информационных объектов при обнаружении инцидентов информационной безопасности АО «KEGOC» проводилось тестирование плана ОНД. Данный План тестируется ежегодно.

Результатом деятельности в 2024 году явилось недопущение инцидентов информационной безопасности, влекущих финансовые и репутационные потери в отношении информационных активов Компании.

Внешний и внутренний аудит

В АО «KEGOC» в соответствии с Планом аудита проводятся внешние и внутренние аудиты по СУИБ. Аудит проводится по всем процессам системы, устанавливая связь между целями процесса, ходом реализации и результатами процесса, выявляя слабые стороны и области для улучшения.

Компания ежегодно проходит ресертификацию на соответствие требования стандарта ISO 27001.

Во исполнения законодательных норм Компания ежегодно проводит внешнее тестирование на проникновение. Тестирование проводится с использованием различных методов и техник, которые были выбраны с учетом специфики Компании и информационных систем.

Управление рисками в области информационной безопасности является элементом корпоративной системы управления рисками АО «KEGOC».

Оценка рисков в области информационной безопасности осуществляется для всех активов АО «KEGOC», на основании которой формируется отчет об оценке и План обработки рисков в области ИБ.

Для управления выявленными рисками разработаны План контрольных мероприятий по внедрению мер безопасности СУИБ АО «KEGOC», План проведения тематических занятий по информационной безопасности для работников, а также план первоочередных мер информационной безопасности и мероприятия, направленные на повышение уровня информационной безопасности производственных систем.

АО «KEGOC» стремится постоянно улучшать меры по обеспечению безопасности информационных систем и обеспечивать надежность работы всей Компании. Компания будет продолжать совершенствовать процессы и меры безопасности в соответствии с лучшими практиками и новыми технологиями.

Обеспечение конфиденциальности информации является элементом корпоративной системы управления рисками АО «KEGOC». Работники Компании со дня приема на работу подписывают документ о неразглашении сведений, составляющих конфиденциальную информацию, в соответствии с требованиями внутренних документов и проходят соответствующий инструктаж. В договорах с поставщиками прописываются отдельным разделом условия обеспечения конфиденциальности данных Компаний.