"БЖЗҚ" АҚ сайтына қош келдіңіздер
Алматы қ. Мекенжайы: Алмалы ауданы, Шевченко көш., 80
x

Филиалды таңдаңыз:

  • Абай
  • Абай (ауылы)
  • Әйтеке би
  • Ақкөл
  • Аққу
  • Аққыстау
  • Акмол
  • Ақсай
  • Ақсу
  • Ақсу (ауылы)
  • Ақсу-Аюлы
  • Ақсуат
  • Ақтау
  • Ақтөбе
  • Ақтоғай (ауылы)
  • Ақтоғай (бекеті)
  • Алға
  • Алматы
  • Алтай
  • Арал
  • Арқалық
  • Аршалы
  • Арыс
  • Астана
  • Астраханка
  • Атакент
  • Атбасар
  • Атырау
  • Әулиекөл
  • Аягөз
  • Әйет
  • Б. Момышұлы
  • Балпық би
  • Балқаш
  • Баянаул
  • Бейнеу
  • Бесқарағай
  • Боровской
  • Бородулиха
  • Булаево
  • Глубокое
  • Державинск
  • Ерейментау
  • Есік
  • Есіл
  • Жақсы
  • Жалағаш
  • Жаңаарқа
  • Жаңақорған
  • Жаңаөзен
  • Жаңатас
  • Жаңғалы
  • Жәнібек
  • Жансүгіров
  • Жаркент
  • Жезқазған
  • Железинка
  • Жетісай
  • Жітіқара
  • Жосалы
  • Жымпиты
  • Зайсан
  • Зеренді
  • Индер
  • Ертіс
  • Казталов
  • Қазығұрт
  • Қалбатау
  • Қандыағаш
  • Қапшағай
  • Қарабалық
  • Қарабұлақ
  • Қарағанды
  • Қаражал
  • Қарасу
  • Қаратау
  • Қаратөбе
  • Қарауылкелді
  • Қарқаралы
  • Қаскелең
  • Қасым Қайсенов
  • Кеген
  • Кентау
  • Қобда
  • Көкпекті
  • Көкшетау
  • Комсомольское
  • Қордай
  • Қостанай
  • Құлан
  • Күлсары
  • Курчатов
  • Күршім
  • Қызылорда
  • Құрманғазы
  • Ленгер
  • Лисаковск
  • Мақат
  • Макинск
  • Маңғыстау
  • Мәртөк
  • Махамбет
  • Меркі
  • Миялы
  • Новоишимское
  • Нұра
  • Осакаровка
  • Өтеген батыр
  • Павлодар
  • Петропавл
  • Пресновка
  • Риддер
  • Рудный
  • Сайқын
  • Сарань
  • Сарқанд
  • Сарыағаш
  • Сарыкөл
  • Сарыөзек
  • Сәтпаев
  • Саумалкөл
  • Семей
  • Сергеевка
  • Степногорск
  • Т.Рысқұлов
  • Тайынша
  • Талғар
  • Талдықорған
  • Талшық
  • Тараз
  • Тасқала
  • Текелі
  • Темірлан
  • Теміртау
  • Тереңкөл
  • Тереңөзек
  • Тобыл
  • Торғай
  • Төретам
  • Түркістан
  • Ұзынкөл
  • Ұзынағаш
  • Үлкен Нарын
  • Орал
  • Ұржар
  • Өскемен
  • Ушарал
  • Үштөбе
  • Федоровка а.
  • Форт-Шевченко
  • Хромтау
  • Чапаев
  • Шыңғырлау
  • Шонжы
  • Шалқар
  • Шарбақты
  • Шардара
  • Шәуілдір
  • Шахтинск
  • Шаян
  • Шелек
  • Шемонаиха
  • Шетпе
  • Шиелі
  • Шолаққорған
  • Шортанды
  • Шу
  • Шұбарқұдық
  • Шымкент
  • Щучинск
  • Екібастұз
  • Явленка
 жеке
 кабинет
 бізге
 жазыңыз
 сайттан
 іздеу
1418
 байланыс
 орталығы

БАҚ БІЗ ТУРАЛЫ


16.11.2021

Цифровые угрозы. Как ЕНПФ защищает тайну пенсионных накоплений

Закон "О пенсионном обеспечении в Республике Казахстан" гарантирует вкладчикам тайну пенсионных накоплений. В тайне должны оставаться сведения об остатках и о движении денег на индивидуальных пенсионных счетах вкладчиков (получателей). Эта информация может быть раскрыта самому вкладчику, а также третьим лицам, но только в случаях, перечисленных в нормах закона

Многие услуги вкладчикам ЕНПФ  предоставляются в формате онлайн, постоянно запускаются новые цифровые проекты. А значит, на первый план выходит информационная безопасность, чтобы персональные данные вкладчиков не попали в руки к злоумышленникам. Как ЕНПФ обеспечивает информационную безопасность? Давайте разберёмся.

№1. Свидетельства информационной безопасности ЕНПФ 

О том, что данные вкладчиков в безопасности, можно судить по тому, что:

  • ЕНПФ ежегодно успешно проходит различные аудиты системы управления8 информационной безопасностью, что является подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации АО "ЕНПФ". К примеру, получен сертификат соответствия международному стандарту ISO/IEC 27001:2013 от TÜV Rheinland;

  • ЕНПФ получил аттестат на соответствие требованиям информационной безопасности согласно Закону РК "Об информатизации", свидетельствующий о прохождении фондом государственной аттестации на соответствие стандартам безопасности РК;

  • с момента ввода в промышленную эксплуатацию системы межсетевого экранирования для веб-приложений (подробно о ней мы расскажем ниже) суммарно отражено более 105 млн различных сетевых атак. При этом кибератаки не повлекли за собой нарушения систем безопасности ЕНПФ или утечки персональных данных вкладчиков (получателей).

№2. Как информационная система ЕНПФ защищена от аварий и отказов?

В настоящий момент ЕНПФ выстраивает эшелонированную мультиплатформенную систему защиты данных. Она нужна для того, чтобы не складывать всю информацию и проведение важных операций по предоставлению услуг вкладчикам фонда в одну корзину. 

Для этого построен метрокластер – одна система хранения, растянутая на два сайта. В случае непредвиденных ситуаций на одном из сайтов, всегда остаётся полная копия данных. Также сформированы резервные центры обработки данных в городах Алматы и Нур-Султан, что позволит ЕНПФ непрерывно предоставлять пенсионные услуги даже в случаях глобальных аварий или катастроф природного характера в одной из областей страны.

В настоящее время резервные центры ЕНПФ работают на базе систем без единой точки отказа, так называемых fault tolerance систем. Конструкция подразумевает дублирование всех критически важных узлов. Показатель бесперебойной работы составляет 99,98%.

№3. Как Web-серверы и приложения ЕНПФ защищены от кибератак?

В 2019 году ЕНПФ ввёл в промышленную эксплуатацию программно-аппаратный комплекс - межсетевое экранирование для веб-приложений (МСЭ Web) - который позволяет обеспечивать безопасность: 

  • основного сайта – enpf.kz;

  • сайта обработки запросов от мобильных клиентов;

  • сайта обработки чат-запросов;

  • тестового сайта обработки запросов от мобильных клиентов.

Благодаря МСЭ Web реализована защита указанных серверов и приложений от: 

  • комплексных кибератак;

  • SQL-инъекций (это способ взлома сайтов путем внедрения собственного кода злоумышленника для получения административного доступа);

  • межсайтового скриптинга (внедрения в web-сайт вредоносного кода, который в дальнейшем распространяется ко всем входящим на сайт пользователям);

  • незаконного использования Web-ресурсов ЕНПФ;

  • других угроз из перечня OWASP top-10 (Open Web Application Security Project, который является признанной методологией оценки уязвимостей веб-приложений во всём мире).

При этом система самостоятельно изучает уязвимости, анонсируемые международными перечнями уязвимостей Bugtraq, CVE, Snort и другими и проводит собственный анализ для выработки методов защиты от этих атак.

№4. Была ли обеспечена безопасность данных на удалённых рабочих местах сотрудников ЕНПФ?

Разгар пандемии коронавируса привёл к карантинным ограничениям, когда сотрудникам ЕНПФ пришлось работать на самоизоляции. Для того чтобы обеспечить сохранность персональных данных вкладчиков, на удалённом доступе к рабочим местам ЕНПФ оперативно:

  • установил многофакторную аутентификацию;

  • организовал доверенного канала связи (VPN);

  • произвёл соответствующие настройки политики безопасности на межсетевых экранах и IDS;

  • усилил контроль физического доступа и сохранности.

№5. Внимание – фишинг!

Огромную роль играет и человеческий фактор. Ярким примером, когда личная ответственность и информированность каждого вкладчика и сотрудника фонда могут спасти данные от утечки, является фишинг. Он сейчас остаётся основным видом киберугрозы.

Фишинг – это массовая рассылка злоумышленниками писем на электронную почту вкладчиков и работников фонда. Цель такой рассылки – получить доступ к конфиденциальным данным пользователей – логинам и паролям.

Как борются с фишингом в ЕНПФ?

Для этого внедрена многоуровневая система защиты, которая включает:

  • взаимодействие с соответствующими госорганами по выявлению и пресечению киберугроз;

  • трёхуровневую систему защиты деятельности фонда, разделение полномочий, определение ответственности субъектов внутреннего контроля и мониторинга системы внутреннего контроля;

  • требования по соблюдению иерархии (последовательности) обязательных процедур предварительного согласования ответственных лиц/руководителей.

Что нужно знать вкладчику о фишинге?

Рассылка электронных писем нередко происходит от имени популярных брендов (например, банков), в виде личных сообщений внутри различных сервисов (например, в соцсетях и мессенджерах).

В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на фейковую страницу, мошенники пытаются различными психологическими приёмами побудить его ввести свои логин и пароль, которые он использует для доступа к определённому сайту. Это позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Помните! Официальные сервисы не рассылают писем с просьбами сообщить ваши учётные данные и пароль.

№6. Как ЕНПФ будет совершенствовать систему информационной безопасности?

Сейчас ЕНПФ продолжает активно работать над усилением кибербезопасности и планирует:

  • развивать средства и механизмы криптографической защиты данных, содержащих информацию о вкладчиках, в том числе и средства шифрования всех каналов связи корпоративной сети фонда (включая центры обслуживания, мобильные офисы и работников выездного обслуживания);

  • развивать технологию предотвращения утечек конфиденциальных данных из информационных систем и усиливать аутентификацию при работе с ними;

  • построить Операционный центр по управлению информационной безопасностью (SOC).

Информационная безопасность и обеспечение конфиденциальности данных вкладчиков – важная задача для ЕНПФ, фонд намерен уделять ей самое пристальное внимание.


Подробнее: informburo.kz

 


Тізімге оралу