Функционирование информационных систем ЕНПФ и запуск новых проектов требует особого внимания к вопросам информационной безопасности.
В конце 2017 года Фондом успешно пройден ресертификационный аудит Системы Управления информационной безопасности (СУИБ) – международный сертификат BSI № IS665369). Сертификация служит подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации АО «ЕНПФ».
Также отметим, что Фонд успешно прошел государственную аттестацию на соответствие требованиям информационной безопасности Республики Казахстан согласно Закону РК «Об информатизации».
В конце 2017 года также был проведен аудит информационных систем Фонда аудиторской компанией KPMG. В целом, аудиторы отметили, что общий уровень автоматизации основных процессов Фонда составляет 82%.
Наряду с этим налаживаются взаимодействия с соответствующими государственными органами по выявлению и пресечению киберугроз в отношении информационно-коммуникационной инфраструктуры и электронных информационных ресурсов АО «ЕНПФ».
Всего за 2017 год системами Фонда было отражено 95 типов сетевых атак или 884 437 случаев атак, выявлено и удалено 208 видов вирусов. При этом кибератаки не повлекли за собой нарушение систем безопасности ЕНПФ или утечки персональных данных вкладчиков (получателей).
В направлении по развитию системы внутреннего контроля и оптимизации бизнес-процессов в ЕНПФ внедрен многоуровневый уровень защиты, который основывается на: трехуровневой системе защиты деятельности Фонда, разделении полномочий, определении ответственности субъектов внутреннего контроля и мониторинга системы внутреннего контроля; требованиях по соблюдению иерархии/последовательности обязательных процедур предварительного согласования ответственных лиц/руководителей.
Начиная со второго полугодия 2017 года Фондом ведется контроль времени простоя основных систем, необходимых для оказания пенсионных услуг. Показатель бесперебойной работы информационных систем составил 99,98% при целевом значении 99,7%.
В 2018 году предстоит масштабная работа по дальнейшему развитию средств и механизмов криптографической защиты данных, содержащих информацию о вкладчиках, в том числе и средств шифрования всех каналов связи Корпоративной сети Фонда, включая центры обслуживания, мобильные офисы и работников выездного обслуживания. Также Фонд в целях усиления кибербезопасности планирует развивать технологию предотвращения утечек конфиденциальных данных из информационных систем ЕНПФ и усилить аутентификации при работе с ними как вкладчиками, так и работниками Фонда. Еще одной мерой по усилению киберзащиты будет построение Операционного центра по управлению информационной безопасности (SOC).
Кроме того, в планах ЕНПФ на следующий год усовершенствовать основную информационную систему Фонда с учетом изменений законодательства и изменений требований в накопительной пенсионной системе, построить сервис-ориентированного ИТ Фонда на основе методологии управления ИТ услугами ITIL (Information Technology Infrastructure Library). Вместе с тем, планируется провести модернизацию всей ИТ-инфраструктуры, разработать и провести тестирования Плана действий ЕНПФ на случай возникновения чрезвычайной/кризисной ситуации для обеспечения непрерывности и восстановления деятельности Фонда.
5491