Добро пожаловать на сайт АО "ЕНПФ"
Алматы Адрес: Алмалинский р-н, ул. Шевченко, 80
x

Выберите филиал:

  • Абай
  • Абай (село)
  • Айтеке би
  • Акколь
  • Аккыстау
  • Акмол
  • Аксай
  • Аксу
  • Аксу (село)
  • Аксу-Аюлы
  • Аксуат
  • Актау
  • Актобе
  • Актогай (село)
  • Актогай (станция)
  • Алга
  • Алматы
  • Алтай
  • Аральск
  • Аркалык
  • Аршалы
  • Арыс
  • Астана
  • Астраханка
  • Атакент
  • Атбасар
  • Атырау
  • Аулиеколь
  • Аягоз
  • Әйет
  • Б.Момышулы
  • Балпык би
  • Балхаш
  • Баянаул
  • Бейнеу
  • Бескарагай
  • Боровское
  • Бородулиха
  • Булаево
  • Глубокое
  • Державинск
  • Ерейментау
  • Есик
  • Есиль
  • Жаксы
  • Жалагаш
  • Жанаарка
  • Жанакорган
  • Жанаозен
  • Жанатас
  • Жангала
  • Жанибек
  • Жансугурово
  • Жаркент
  • Жезказган
  • Железинка
  • Жетысай
  • Житикара
  • Жосалы
  • Жымпиты
  • Зайсан
  • Зеренда
  • Индер
  • Казыгурт
  • Калбатау
  • Кандыагаш
  • Карабалык
  • Карабулак
  • Караганда
  • Каражал
  • Карасу
  • Каратау
  • Каратобе
  • Карауылкелды
  • Каркаралинск
  • Каскелен
  • Касым Кайсенова
  • Кеген
  • Кентау
  • Кобда
  • Кокпекты
  • Кокшетау
  • Конаев
  • Кордай
  • Костанай
  • Кулан
  • Кульсары
  • Курчатов
  • Курчум
  • Кызылорда
  • Құрманғазы
  • Ленгер
  • Лисаковск
  • Макат
  • Макинск
  • Мангистау
  • Мартук
  • Махамбет
  • Мерке
  • Миялы
  • Новоишимское
  • Нура
  • Осакаровка
  • Отеген батыр
  • Павлодар
  • Петропавловск
  • Пресновка
  • Риддер
  • Рудный
  • Сайхин
  • Сарань
  • Сарканд
  • Сарыагаш
  • Сарыколь
  • Сарыозек
  • Сатпаев
  • Саумалколь
  • Семей
  • Сергеевка
  • Степногорск
  • Т.Рыскулова
  • Тайынша
  • Талгар
  • Талдыкорган
  • Талшик
  • Тараз
  • Таскала
  • Текели
  • Темирбек Жургенов
  • Темирлановка
  • Темиртау
  • Теренколь
  • Теренозек
  • Тобыл
  • Торгай
  • Торетам
  • Туркестан
  • Узунколь
  • Узынагаш
  • Улкен Нарын
  • Уральск
  • Урджар
  • Усть-Каменогорск
  • Ушарал
  • Уштобе
  • Федоровка (село)
  • Форт-Шевченко
  • Хромтау
  • Чапаево
  • Чингирлау
  • Чунджа
  • Шалкар
  • Шарбакты
  • Шардара
  • Шаулдер
  • Шахтинск
  • Шаян
  • Шелек
  • Шемонаиха
  • Шетпе
  • Шиели
  • Шолаккорган
  • Шортанды
  • Шу
  • Шубаркудук
  • Шымкент
  • Щучинск
  • Экибастуз
Национальный
фонд - детям
 личный
 кабинет
 напишите
 нам
 поиск
 по сайту
 1418
 call
 центр
СМИ о нас

СМИ О НАС


16.11.2021

Цифровые угрозы. Как ЕНПФ защищает тайну пенсионных накоплений

Закон "О пенсионном обеспечении в Республике Казахстан" гарантирует вкладчикам тайну пенсионных накоплений. В тайне должны оставаться сведения об остатках и о движении денег на индивидуальных пенсионных счетах вкладчиков (получателей). Эта информация может быть раскрыта самому вкладчику, а также третьим лицам, но только в случаях, перечисленных в нормах закона

Многие услуги вкладчикам ЕНПФ  предоставляются в формате онлайн, постоянно запускаются новые цифровые проекты. А значит, на первый план выходит информационная безопасность, чтобы персональные данные вкладчиков не попали в руки к злоумышленникам. Как ЕНПФ обеспечивает информационную безопасность? Давайте разберёмся.

№1. Свидетельства информационной безопасности ЕНПФ 

О том, что данные вкладчиков в безопасности, можно судить по тому, что:

  • ЕНПФ ежегодно успешно проходит различные аудиты системы управления8 информационной безопасностью, что является подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации АО "ЕНПФ". К примеру, получен сертификат соответствия международному стандарту ISO/IEC 27001:2013 от TÜV Rheinland;

  • ЕНПФ получил аттестат на соответствие требованиям информационной безопасности согласно Закону РК "Об информатизации", свидетельствующий о прохождении фондом государственной аттестации на соответствие стандартам безопасности РК;

  • с момента ввода в промышленную эксплуатацию системы межсетевого экранирования для веб-приложений (подробно о ней мы расскажем ниже) суммарно отражено более 105 млн различных сетевых атак. При этом кибератаки не повлекли за собой нарушения систем безопасности ЕНПФ или утечки персональных данных вкладчиков (получателей).

№2. Как информационная система ЕНПФ защищена от аварий и отказов?

В настоящий момент ЕНПФ выстраивает эшелонированную мультиплатформенную систему защиты данных. Она нужна для того, чтобы не складывать всю информацию и проведение важных операций по предоставлению услуг вкладчикам фонда в одну корзину. 

Для этого построен метрокластер – одна система хранения, растянутая на два сайта. В случае непредвиденных ситуаций на одном из сайтов, всегда остаётся полная копия данных. Также сформированы резервные центры обработки данных в городах Алматы и Нур-Султан, что позволит ЕНПФ непрерывно предоставлять пенсионные услуги даже в случаях глобальных аварий или катастроф природного характера в одной из областей страны.

В настоящее время резервные центры ЕНПФ работают на базе систем без единой точки отказа, так называемых fault tolerance систем. Конструкция подразумевает дублирование всех критически важных узлов. Показатель бесперебойной работы составляет 99,98%.

№3. Как Web-серверы и приложения ЕНПФ защищены от кибератак?

В 2019 году ЕНПФ ввёл в промышленную эксплуатацию программно-аппаратный комплекс - межсетевое экранирование для веб-приложений (МСЭ Web) - который позволяет обеспечивать безопасность: 

  • основного сайта – enpf.kz;

  • сайта обработки запросов от мобильных клиентов;

  • сайта обработки чат-запросов;

  • тестового сайта обработки запросов от мобильных клиентов.

Благодаря МСЭ Web реализована защита указанных серверов и приложений от: 

  • комплексных кибератак;

  • SQL-инъекций (это способ взлома сайтов путем внедрения собственного кода злоумышленника для получения административного доступа);

  • межсайтового скриптинга (внедрения в web-сайт вредоносного кода, который в дальнейшем распространяется ко всем входящим на сайт пользователям);

  • незаконного использования Web-ресурсов ЕНПФ;

  • других угроз из перечня OWASP top-10 (Open Web Application Security Project, который является признанной методологией оценки уязвимостей веб-приложений во всём мире).

При этом система самостоятельно изучает уязвимости, анонсируемые международными перечнями уязвимостей Bugtraq, CVE, Snort и другими и проводит собственный анализ для выработки методов защиты от этих атак.

№4. Была ли обеспечена безопасность данных на удалённых рабочих местах сотрудников ЕНПФ?

Разгар пандемии коронавируса привёл к карантинным ограничениям, когда сотрудникам ЕНПФ пришлось работать на самоизоляции. Для того чтобы обеспечить сохранность персональных данных вкладчиков, на удалённом доступе к рабочим местам ЕНПФ оперативно:

  • установил многофакторную аутентификацию;

  • организовал доверенного канала связи (VPN);

  • произвёл соответствующие настройки политики безопасности на межсетевых экранах и IDS;

  • усилил контроль физического доступа и сохранности.

№5. Внимание – фишинг!

Огромную роль играет и человеческий фактор. Ярким примером, когда личная ответственность и информированность каждого вкладчика и сотрудника фонда могут спасти данные от утечки, является фишинг. Он сейчас остаётся основным видом киберугрозы.

Фишинг – это массовая рассылка злоумышленниками писем на электронную почту вкладчиков и работников фонда. Цель такой рассылки – получить доступ к конфиденциальным данным пользователей – логинам и паролям.

Как борются с фишингом в ЕНПФ?

Для этого внедрена многоуровневая система защиты, которая включает:

  • взаимодействие с соответствующими госорганами по выявлению и пресечению киберугроз;

  • трёхуровневую систему защиты деятельности фонда, разделение полномочий, определение ответственности субъектов внутреннего контроля и мониторинга системы внутреннего контроля;

  • требования по соблюдению иерархии (последовательности) обязательных процедур предварительного согласования ответственных лиц/руководителей.

Что нужно знать вкладчику о фишинге?

Рассылка электронных писем нередко происходит от имени популярных брендов (например, банков), в виде личных сообщений внутри различных сервисов (например, в соцсетях и мессенджерах).

В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на фейковую страницу, мошенники пытаются различными психологическими приёмами побудить его ввести свои логин и пароль, которые он использует для доступа к определённому сайту. Это позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Помните! Официальные сервисы не рассылают писем с просьбами сообщить ваши учётные данные и пароль.

№6. Как ЕНПФ будет совершенствовать систему информационной безопасности?

Сейчас ЕНПФ продолжает активно работать над усилением кибербезопасности и планирует:

  • развивать средства и механизмы криптографической защиты данных, содержащих информацию о вкладчиках, в том числе и средства шифрования всех каналов связи корпоративной сети фонда (включая центры обслуживания, мобильные офисы и работников выездного обслуживания);

  • развивать технологию предотвращения утечек конфиденциальных данных из информационных систем и усиливать аутентификацию при работе с ними;

  • построить Операционный центр по управлению информационной безопасностью (SOC).

Информационная безопасность и обеспечение конфиденциальности данных вкладчиков – важная задача для ЕНПФ, фонд намерен уделять ей самое пристальное внимание.


Подробнее: informburo.kz

 


Возврат к списку