Информацион­ная безопасность и защита данных

Информационная безопасность является частью структурного подразделения в Дивизионе информационных технологий (Дивизион ИТ) Компании. Основными внутренними документами, регулирующими вопросы в области информационной безопасности, являются:

• Политика антивирусной защиты информационных систем АО «Казахтелеком»;
• Политика по защите персональных данных в АО «Казахтелеком»;
• Концепция по информационной безопасности;
• Дорожная карта развития информационной безопасности.

В 2022 году в Компании проведен предварительный Внешний аудит по оценке текущего уровня защищенности ИТ/ИБ инфраструктуры и выработке решений по реализации комплекса организационных и технических мер, направленных на реорганизацию существующей инфраструктуры ИТ/ИБ Компании для внедрения концепции Zero Trust Networks (нулевого доверия), а также на соответствие требованиям информационной безопасности по международному стандарту ISO 27001/2:2022. В результате оценки были выявлены основные зоны роста, а также определен текущий процент соответствия требованиям ISO 27001/2:2022, который составил 57%.

В отчетном периоде Дивизион информационных технологий был сфокусирован на стратегически важном проекте для АО «Казахтелеком», направленном на усовершенствование средств защиты инфраструктуры, внутренних корпоративных систем и обеспечении полноценной работы информационной безопасности в Компании. Для соответствия требованиям информационной безопасности Дивизион ИТ внедряет новые решения и методы работы с ресурсами, которые в перспективе позволят эффективно защищать Компанию от современных угроз в сфере кибербезопасности и утечек данных. В их числе: создание всей необходимой инфраструктуры и штата квалифицированных специалистов, формирование оперативного центра информационной безопасности и внедрение концепции ZeroTrust.

В 2022 году Дивизионом ИТ была разработана Стратегия по информационной безопасности и утвержден бизнес-план по модернизации средств защиты информационной безопасности на 2023–2025 годы, а также ряд нормативно-регламентирующих документов по ИБ в Компании. Кроме того, на заседании Архитектурного комитета была утверждена архитектура ИБ, основанная на концепции ZeroTrust. Данная концепция является наиболее популярной в сфере кибербезопасности и основана на полном отсутствии доверия к пользователям ресурсов. В рамках данной концепции корпоративные системы компании не имеют разделения на внешние и внутренние, а пользователи или устройства при каждой конкретной сессии должны пройти процедуру аутентификации и подтвердить свое право на доступ к тем или иным данным.

Дивизион ИТ планирует завершить внедрение концепции ZeroTrust в конце 2023 года. По итогам полного внедрения специалисты ИТ будут готовы пройти международную сертификацию на соответствие требованиям в системе менеджмента информационной безопасности — ISO 27001.

1. Создание подразделения ИБ в Службе безопасности ЦА, которое будет курировать и контролировать вопросы информационной безопасности в Компании на верхнем уровне.
2. Внедрение концепции Zero Trust.
3. Внедрение системы Anti APT.
4. Внедрение защиты от DDoS-атак.
5. Развитие системы сбора и корреляции событий.