Қауіпсіздік – сапаның басты өлшемі

Қауіпсіздік – сапаның басты өлшемі

Сондай-ақ қордың Қазақстан Республикасының «Ақ­параттандыру туралы» заңын­да бел­гіленген ақпараттық қауіпсіздік та­лаптарына сәйкестігі туралы ат­тестаты бар, ол Қордың Қазақстан Рес­публикасының қауіпсіздік стан­дарттарына сәйкестік бойын­ша мемлекеттік аттес­тат­таудан өткенін дәлелдейді. БЖЗҚ ақпараттық жүйелерінің жұ­мыс істеуі және жаңа жобаларды іс­ке қосу ақпараттық қауіпсіздік мә­се­лелеріне ерекше назар аударуды та­лап етеді. Киберқорғау мақсатында Қор деректерді қорғаудың қабатты муль­типлатформалық (көпдеңгейлі) жүйесін құру­ға ұмтылады. Ал бұл деген не? Қабатты қорғаныс – бұл заманауи ақ­параттық ортадағы көп векторлы, үнемі өз­геріп отыратын қауіптермен күресудің тиімді тәсілі. Осы орайда Қор екі сайтты бірдей қамтуға болатын бір метрокластер сақ­тау жүйесін құрастыру жұмысын аяқ­тады. Мұның артықшылығы – апат орын алған жағдайда осы метрокластер қам­тып отырған екі сайттың бірінде де­ректердің толық көшірмесі қалады. Де­ректерді өңдеудің осындай резервтік орталықтары Алматы мен Нұр-Сұлтан қа­ла­ларында қалыптастырылды, бұл өз кезегінде БЖЗҚ-ға республика өңір­лері­нің бірінде жаһандық немесе таби­ғи апаттар болған кезде ақпараттық зей­нетақы қызметтерін үздіксіз ұсынуға мүм­кіндік береді. Қазіргі уақытта жүйелер базасындағы мұн­дай резервтік орталықтар ешқандай ақау­сыз жұмыс істеуде және олар-дың үздіксіз жұмыс істеу көрсеткіші 99,98%-ды  құрайды. 2019 жылы Қор «БЖЗҚ» АҚ-ның WEB-серверлері мен қосымшаларының қор­ғанысын қамтамасыз ету үшін Web Application Firewall (веб-қосым­ша­лар үшін желіаралық экрандау) бағ­дар­ламалық-аппараттық кешенін өнер­кәсіптік пайдалануға енгізді, ол мына сайт­тардың қауіпсіздігін қамтамасыз етеді: ● негізгі сайт – www.enpf.kz; ● ұялы қосымша клиенттерінің сұра­ныс­тарын өңдеу сайты; ● чаттардан түскен сұраныстарды өң­деу сайты; ● ұялы қосымша клиенттерінің сұра­ныстарын өңдеудің сынақ сайты. Web желіаралық экранының көме­гі­мен жоғарыда көрсетілген WEB-сер­верлер мен Қор қосымшаларын ке­шенді кибершабуылдардан, SQL-инъек­циялардан (сайттарды бұзу тәсілі, яғни әкім­шілік қолжетімділікті алу үшін өз ко­дын енгізу), DDoS шабуылдардан (жүйе­ге пайдаланушылардың кіруіне мүм­кіндік бермейтін ақауға дейін жет­кізу мақсатында жасалатын хакерлік шабуыл), сайтаралық скриптингтен (web-сайтқа одан әрі сайтқа кіретін барлық пайдаланушыларға таралатын зиян­ды код енгізу), Қордың Web ресурс­тарын заңсыз пайдаланудан және OWASP TOP -10 (Open Web Application Security Project - бүкіл әлемдегі веб-қо­сымшалардың осалдығын бағалау бойын­ша ең танымал әдістеме) тізбе­сін­дегі басқа да қауіптерден қорғау жүзеге асы­рылды. Бұл ретте жүйе Bugtraq, CVE, Snort және басқа да осалдықтардың ха­лықаралық тізбелерінде хабарланатын осал­дықтарды дербес зерделейді, қор­ға­ныстағы қосымшаларға жасалатын шабуылдардан қорғау әдістерін әзірлеу үшін жеке талдау жүргізеді. Өнеркәсіптік пайдалануға енгізілген сәт­­тен бастап жалпы алғанда 105 млн ас­там түрлі желілік шабуылдар жа­сал­­ған. Бірақ кибершабуылдар БЖЗҚ қауіпсіздік жүйесінің бұзылуы немесе са­лымшылардың (алушылардың) жеке деректерінің таралуы тәрізді салдарын тигізе алмады. Қазіргі кезде киберқылмыстың не­гіз­гі түрі «фишинг» деп аталады. Бұл – мақсаты пайдаланушылардың құ­пия деректеріне (логиндерге және па­роль­дерге) қол жеткізу немесе фишингтік хат­тарды салымшылардың да, Қор қыз­меткерлерінің де электрондық пош­та­сына жаппай жіберу болып табылатын интернет-алаяқтықтың бір түрі. Осыған байланысты «БЖЗҚ» АҚ-ның ақпараттық-коммуникациялық инфрақұрылымына және электронды ақпараттық ресурстарына қатысты ки­берқауіпті анықтау және оның жолын кесу бойынша тиісті мемлекеттік орган­дармен өзара қарым-қатынас реттелуде. Ішкі бақылау жүйелерін дамыту жә­не бизнес-процестерді оңтайландыру ба­ғытында БЖЗҚ-да көпдеңгейлі қор­ғаныс жүйесі енгізілді, ол: – Қор қызметін қорғаудың үш дең­гейлі жүйесіне, өкілеттіктерді бөлуге, іш­кі бақылау және ішкі бақылау жүйе­сі­нің мониторингі субъектілерінің жауап­кершілігін айқындауға; –  жауапты тұлғалардың/басшы­лар­дың алдын ала келісуі бойынша жа­салатын міндетті рәсімдердің иерар­хия­сын/реттілігін сақтау талаптарына негізделген. Сондай-ақ COVID-19 коронавирус­ инфекциясының таралуына бай­ланысты пандемия жағдайын да айтпай ке­туге болмас. ҚР Президентінің Жар­лы­ғымен Алматы және Нұр-Сұлтан қа­лаларында ТЖ режимі жарияланып, Қор қызметкерлері жұмыстарын өзін-өзі оқшаулау жағдайында жалғастырулары керек болды. Ол үшін қысқа мерзім ішін­де көпфакторлы аутентификация ор­натылған сенімді байланыс арнасы (VPN), желіаралық экрандар мен IDS-те­гі қауіпсіздік саясатының тиісті бап­таулары жасалып, жұмыс орындарына қа­­шықтан кіру ұйымдастырылды және фи­зикалық қолжетімділік пен сақтықты ба­қылау күшейтілді. Бұл ауқымды жұмыс салымшыларға қызмет көрсету процесін бір күнге тоқтатпастан, жедел және кә­сіби түрде жүргізілді. Қор өзі қол жеткізген табыстармен шек­теліп қалмайды, алда салымшылар ту­ралы ақпаратты қамтитын крип­тог­ра­фиялық деректерді қорғау құрал­дары мен тетіктерін, оның ішінде қызмет көрсету орталықтарын, мо­биль­ді кеңселер мен барып қызмет көр­сететін мамандарды қоса алғанда Қор­дың корпоративтік желісінің бар­лық байланыс арналарын шифрлеу құралдарын одан әрі дамыту бойынша ауқымды жұмыстар күтіп тұр. Сондай-ақ Қор киберқауіпсіздікті күшейту мақ­сатында БЖЗҚ ақпараттық жүйелерінен құпия деректердің шығуын болдырмау технологиясын дамыту, салымшылар мен қызметкерлердің олармен жұмыс істеу сәтінде жүйені қолданушыны тану және оған қандай да бір өкілеттілік құқығын беру про­це­сін күшейтуді жоспарлап отыр. Ки­берқорғауды күшейту жөніндегі та­ғы бір шара – Ақпараттық қауіпсіздікті бас­қару жөніндегі операциялық ор­та­лықты (SOC) құру. Қордың басты мін­деті – ақпараттық қауіпсіздік және са­лымшылар деректерінің құпия сақталуы!  

Серік ӘЛІМЖАНОВ