Сондай-ақ қордың Қазақстан Республикасының «Ақпараттандыру туралы» заңында белгіленген ақпараттық қауіпсіздік талаптарына сәйкестігі туралы аттестаты бар, ол Қордың Қазақстан Республикасының қауіпсіздік стандарттарына сәйкестік бойынша мемлекеттік аттестаттаудан өткенін дәлелдейді.
БЖЗҚ ақпараттық жүйелерінің жұмыс істеуі және жаңа жобаларды іске қосу ақпараттық қауіпсіздік мәселелеріне ерекше назар аударуды талап етеді. Киберқорғау мақсатында Қор деректерді қорғаудың қабатты мультиплатформалық (көпдеңгейлі) жүйесін құруға ұмтылады. Ал бұл деген не?
Қабатты қорғаныс – бұл заманауи ақпараттық ортадағы көп векторлы, үнемі өзгеріп отыратын қауіптермен күресудің тиімді тәсілі. Осы орайда Қор екі сайтты бірдей қамтуға болатын бір метрокластер сақтау жүйесін құрастыру жұмысын аяқтады. Мұның артықшылығы – апат орын алған жағдайда осы метрокластер қамтып отырған екі сайттың бірінде деректердің толық көшірмесі қалады. Деректерді өңдеудің осындай резервтік орталықтары Алматы мен Нұр-Сұлтан қалаларында қалыптастырылды, бұл өз кезегінде БЖЗҚ-ға республика өңірлерінің бірінде жаһандық немесе табиғи апаттар болған кезде ақпараттық зейнетақы қызметтерін үздіксіз ұсынуға мүмкіндік береді.
Қазіргі уақытта жүйелер базасындағы мұндай резервтік орталықтар ешқандай ақаусыз жұмыс істеуде және олар-дың үздіксіз жұмыс істеу көрсеткіші 99,98%-ды құрайды.
2019 жылы Қор «БЖЗҚ» АҚ-ның WEB-серверлері мен қосымшаларының қорғанысын қамтамасыз ету үшін Web Application Firewall (веб-қосымшалар үшін желіаралық экрандау) бағдарламалық-аппараттық кешенін өнеркәсіптік пайдалануға енгізді, ол мына сайттардың қауіпсіздігін қамтамасыз етеді:
● негізгі сайт – www.enpf.kz;
● ұялы қосымша клиенттерінің сұраныстарын өңдеу сайты;
● чаттардан түскен сұраныстарды өңдеу сайты;
● ұялы қосымша клиенттерінің сұраныстарын өңдеудің сынақ сайты.
Web желіаралық экранының көмегімен жоғарыда көрсетілген WEB-серверлер мен Қор қосымшаларын кешенді кибершабуылдардан, SQL-инъекциялардан (сайттарды бұзу тәсілі, яғни әкімшілік қолжетімділікті алу үшін өз кодын енгізу), DDoS шабуылдардан (жүйеге пайдаланушылардың кіруіне мүмкіндік бермейтін ақауға дейін жеткізу мақсатында жасалатын хакерлік шабуыл), сайтаралық скриптингтен (web-сайтқа одан әрі сайтқа кіретін барлық пайдаланушыларға таралатын зиянды код енгізу), Қордың Web ресурстарын заңсыз пайдаланудан және OWASP TOP -10 (Open Web Application Security Project - бүкіл әлемдегі веб-қосымшалардың осалдығын бағалау бойынша ең танымал әдістеме) тізбесіндегі басқа да қауіптерден қорғау жүзеге асырылды. Бұл ретте жүйе Bugtraq, CVE, Snort және басқа да осалдықтардың халықаралық тізбелерінде хабарланатын осалдықтарды дербес зерделейді, қорғаныстағы қосымшаларға жасалатын шабуылдардан қорғау әдістерін әзірлеу үшін жеке талдау жүргізеді.
Өнеркәсіптік пайдалануға енгізілген сәттен бастап жалпы алғанда 105 млн астам түрлі желілік шабуылдар жасалған. Бірақ кибершабуылдар БЖЗҚ қауіпсіздік жүйесінің бұзылуы немесе салымшылардың (алушылардың) жеке деректерінің таралуы тәрізді салдарын тигізе алмады.
Қазіргі кезде киберқылмыстың негізгі түрі «фишинг» деп аталады. Бұл – мақсаты пайдаланушылардың құпия деректеріне (логиндерге және парольдерге) қол жеткізу немесе фишингтік хаттарды салымшылардың да, Қор қызметкерлерінің де электрондық поштасына жаппай жіберу болып табылатын интернет-алаяқтықтың бір түрі.
Осыған байланысты «БЖЗҚ» АҚ-ның ақпараттық-коммуникациялық инфрақұрылымына және электронды ақпараттық ресурстарына қатысты киберқауіпті анықтау және оның жолын кесу бойынша тиісті мемлекеттік органдармен өзара қарым-қатынас реттелуде.
Ішкі бақылау жүйелерін дамыту және бизнес-процестерді оңтайландыру бағытында БЖЗҚ-да көпдеңгейлі қорғаныс жүйесі енгізілді, ол:
– Қор қызметін қорғаудың үш деңгейлі жүйесіне, өкілеттіктерді бөлуге, ішкі бақылау және ішкі бақылау жүйесінің мониторингі субъектілерінің жауапкершілігін айқындауға;
– жауапты тұлғалардың/басшылардың алдын ала келісуі бойынша жасалатын міндетті рәсімдердің иерархиясын/реттілігін сақтау талаптарына негізделген.
Сондай-ақ COVID-19 коронавирус инфекциясының таралуына байланысты пандемия жағдайын да айтпай кетуге болмас. ҚР Президентінің Жарлығымен Алматы және Нұр-Сұлтан қалаларында ТЖ режимі жарияланып, Қор қызметкерлері жұмыстарын өзін-өзі оқшаулау жағдайында жалғастырулары керек болды. Ол үшін қысқа мерзім ішінде көпфакторлы аутентификация орнатылған сенімді байланыс арнасы (VPN), желіаралық экрандар мен IDS-тегі қауіпсіздік саясатының тиісті баптаулары жасалып, жұмыс орындарына қашықтан кіру ұйымдастырылды және физикалық қолжетімділік пен сақтықты бақылау күшейтілді. Бұл ауқымды жұмыс салымшыларға қызмет көрсету процесін бір күнге тоқтатпастан, жедел және кәсіби түрде жүргізілді.
Қор өзі қол жеткізген табыстармен шектеліп қалмайды, алда салымшылар туралы ақпаратты қамтитын криптографиялық деректерді қорғау құралдары мен тетіктерін, оның ішінде қызмет көрсету орталықтарын, мобильді кеңселер мен барып қызмет көрсететін мамандарды қоса алғанда Қордың корпоративтік желісінің барлық байланыс арналарын шифрлеу құралдарын одан әрі дамыту бойынша ауқымды жұмыстар күтіп тұр. Сондай-ақ Қор киберқауіпсіздікті күшейту мақсатында БЖЗҚ ақпараттық жүйелерінен құпия деректердің шығуын болдырмау технологиясын дамыту, салымшылар мен қызметкерлердің олармен жұмыс істеу сәтінде жүйені қолданушыны тану және оған қандай да бір өкілеттілік құқығын беру процесін күшейтуді жоспарлап отыр. Киберқорғауды күшейту жөніндегі тағы бір шара – Ақпараттық қауіпсіздікті басқару жөніндегі операциялық орталықты (SOC) құру. Қордың басты міндеті – ақпараттық қауіпсіздік және салымшылар деректерінің құпия сақталуы!
