- KMF •
- Біз туралы •
-
Ақпараттық қауіпсіздік саясаты
Ақпараттық қауіпсіздік саясаты
Ақпараттық қауіпсіздік саясаты
1-ТАРАУ. ЖАЛПЫ ЕРЕЖЕЛЕР
1.1. Осы «Ақпараттық қауіпсіздік саясаты» (бұдан әрі – Саясат) «KMF (ҚМФ)» МҚҰ» ЖШС (бұдан әрі – Компания) ақпараттық қауіпсіздікті басқару жүйесінің (бұдан әрі – АҚБЖ) негізін қалаушы, Компанияның жүйелеріне және ақпараттық активтеріне тән әрі елеулі болатын қауіптер жағдайында ақпараттық қауіпсіздікті қамтамасыз етудің басымдылықтары мен қағидаларын анықтаушы құжат болып табылады, атап айтсақ: хакерлік, вирустық, фишингтік және DDoS- шабуылдар, құпия және дербес ақпаратты ұрлау және жариялау, Компанияның ақпараттық жүйелеріне рұқсатсыз қол сұғу сынды қауіптер.
1.2. Осы Саясат Қазақстан Республикасының ақпараттық қауіпсіздік саласындағы заңнамасына, ISO/IEC 27000 ақпараттық қауіпсіздік жөніндегі халықаралық стандарттар сериясына, COBIT, ITIL әдістемесіне, Қазақстан Республикасы Ұлттық Банк Басқармасының 2018 жылғы 27 наурыздағы № 47 және № 48 Қаулыларына, Компанияның ақпараттық инфрақұрылымының қазіргі жағдайына, жақын арадағы даму болашағына, сонымен қатар ақпаратты қорғаудың заманауи ұйымдық-техникалық әдістерінің мүмкіндіктеріне сәйкес әзірленген.
1.3. Компания басшылығы заңнамалық нормалардың дамуына, әлемдегі технологиялардың дамуына, Компания клиенттерінің және басқа мүдделі тараптардың қажеттіктеріне орай ақпараттық қауіпсіздікті қамтамасыз ету шараларын және құралдарын дамыту және жетілдіру маңыздылығы мен қажеттілігін түсінеді. Ақпараттық қауіпсіздік талаптарын сақтау Компания үшін бәсекелестік артықшылықтар туғызуға, оның қаржылық тұрақтылығын, тиімділігін, құқықтық, реттеушілік және шарттық нормаларға сәйкестігін қамтамасыз етуге және беделінің артуына септігін тигізеді.
1.4. Компания қоятын ақпараттық қауіпсіздік талаптары Компания Стратегиясына жауап береді және ақпараттық қауіпсіздікпен байланысты тәуекелдерді қажетті деңгейге азайтуға арналған. Компанияның ақпараттық қауіпсіздік саласында тәуекелдердің болуы оның корпоративтік басқаруына (менеджментіне), бизнес-процестерді ұйымдастыруға және жүзеге асыруға, қарсы агенттермен және клиенттермен өзара қарым-қатынасқа, ішкі шаруашылық қызметке ықпалын тигізеді. Компанияның ақпараттық қауіпсіздік саласындағы тәуекелдер Компанияның операциялық тәуекелдерінің бір бөлігін құрайды, осылайша Компанияның негізгі қызметіне әсер етеді.
1.5. Компанияның барлық қызметкерлері осы Саясаттың және ақпараттық қауіпсіздікті қамтамасыз етуге қатысты басқа ішкі нормативтік құжаттардың талаптарын орындауға міндетті.
1.6. Компанияның кез келген қызметкері және оның ресурстарын пайдаланушы осы Саясатқа қиындықсыз қол жеткізе алады. Осы Саясат ақпараттық қауіпсіздікті қамтамасыз етуге қатысты ресми қабылданған құжат болып табылады және ақпараттық қауіпсіздікті басқару жүйесін қалыптастыру қағидаларын белгілейді.
2-ТАРАУ. КОМПАНИЯНЫҢ МӘНМӘТІНІ
1. Компания және оның мәнмәтіні туралы ұғым
2.1. «KMF (ҚМФ)» МҚҰ» ЖШС – Қазақстандағы ең ірі микроқаржылық ұйым және халықаралық қатысуға ие Орталық Азияның микроқаржылық секторындағы көшбасшылардың бірі. Компанияның ауқымды аймақтық желісі тек ірі қалаларда ғана емес, Қазақстанның шалғай ауылды аймақтарында орналасқан бөлімшелермен танытылған. Компания кәсіпкерлікті қолдауға, халықтың әл-ауқатын арттыруға және ауыл шаруашылығын дамытуға бағытталған кредиттік өнімдерді ұсынады.
2.2. Компания клиенттермен өзара сенім, түсіністік және құрметке негізделген ұзақ мерзімді әріптестік қатынастарды құруды мақсат тұтады.
2.3. 1997 жылдан бастап Компания ҚР келесі ірі қалаларында 14 филиалын ашты: Нұр-Сұлтан, Алматы, Талдықорған, Ақтөбе, Шымкент, Қызылорда, Түркістан, Қостанай, Павлодар, Петропавл, Тараз, Орал, Өскемен, Көкшетау.
2.4. Әрбір филиалдың жанында ауылдық бөлімшелер мен қосалқы кеңселер жұмыс істейді, бүкіл Қазақстан бойынша олардың саны 110-нан асады.
2. Компанияның миссиясы және міндеттері
2.5. Компания сапалы микроқаржылық қызметтерді қол жетімді ету арқылы кіші, шағын және агробизнес өкілдерінің әл-ауқатының артуына ықпал етеді.
2.6. Компанияның басты міндеттері:
1) Қазақстан бойынша, соның ішінде ауылдық аймақтарда қаржылық қызметтерді қол жетімді ету және кіші, шағын және агробизнес өкілдерін барынша қамту;
2) Микроқаржылық қызметтердің мәдениетін дамыта отырып, сапалы микроқаржылық қызметтерді көрсету, кері байланыс және бағалау арқылы қызметтердің сапасын арттыру;
3) Табыс таба отырып, қоғамға пайда әкелу, кәсіпкерлікті қолдау және клиенттердің әл- ауқатын арттыру.
3. Мүдделі тараптардың қажеттіліктері мен болжалдарын түсіну
2.7. Сапалы қызмет көрсету мақсатында Компания барлық мүдделі тараптардың қажеттіліктері мен болжалдарын анықтау үшін барынша күш салады.
2.8. Мүдделі тараптарға:
1) Қазақстан Республикасының Ұлттық Банкі;
2) Компанияның қызметін реттейтін өзге мемлекеттік және заңнамалық органдар;
3) Компания клиенттері;
4) кредиторлар мен инвесторлар;
5) ішкі тұтынушылар – Компания қызметін атқару процесінде өзара әрекет жасайтын құрылымдық бөлімшелердің қызметкерлері;
6) қызмет жеткізушілер жатады.
2.9. Барлық мүдделі тараптардың қажеттіліктері мен болжалдары сауалнама жүргізу және кері байланысты жинау құралдары арқылы үнемі бақыланады, ағымдағы қызметті атқару үшін талданады. Компанияның дамуын жоспарлау кезінде барлық мүдделі тараптардың талаптары, болжалдары және қажеттіліктері Компанияның ағымдағы және жаңа бағыттарын өзгерту және дамыту, жаңа қызметтер енгізу үшін негіз болып табылады.
4. Компания мүмкіндіктері
2.10. Компания АҚБЖ күтілетін нәтижелеріне қол жеткізуге кепілдік беретін келесі мүмкіндіктерге ие:
1) Кәсіби дайындықтан өткен және жүйелі түрде біліктілігін арттыратын құзыретті әрі білімді қызметкерлер;
2) тиісті инфрақұрылым және деректерді өңдеу орталықтары анықталған, қажетті заттармен қамтамасыз етілген және жұмыс барысы жолға қойылған;
3) қызметінің барынша ашықтығы және Компанияның әлеуметтік жауапкершілігі;
4) заманауи стандарттарға және үздік әлемдік тәжірибелерге жауап беретін мықты басқару жүйесі.
3-ТАРАУ. АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ ҚАМТАМАСЫЗ ЕТУ ҰҒЫМЫ, МАҚСАТТАРЫ ЖӘНЕ МІНДЕТТЕРІ
2.11. Ақпараттық қауіпсіздік ақпараттың және оны өңдеу құралдарының табиғи немесе жасанды сипаттағы кездейсоқ немесе қасақана ықпалдардан қорғалуын білдіреді.
2.12. Ақпараттық қауіпсіздік басты мақсат емес, оны қамтамасыз ету Компанияның ақпараттық активтерін (оны сақтау және (немесе) өңдеу үшін пайдаланылатын ақпарат және бағдарламалық- аппараттық кешен) барабар қорғау, Компанияның ақпараттық активтеріне және ресурстарына (Компанияның негізгі ақпараттық жүйелері және деректер базасы, Компанияның берілген
заемдары, әдіснамасы бойынша деректер, компьютерлік, телекоммуникациялық және серверлік жабдық) төнген қауіптермен байланысты экономикалық шығындарды және тәуекелдерді азайту.
2.13. Ақпараттық қауіпсіздікті қамтамасыз ету аясында ақпараттың басты ерекшеліктері қолдауға ие болады (1-сурет):
1) Құпиялылық – бұл рұқсаты бар адамдар және процестер ғана ақпаратты оқи алатынына және пайдалана алатынына кепілдік. Құпиялықты қамтамасыз ету арнайы рұқсаты жоқ пайдаланушылардың ақпаратқа қол жеткізуіне жол бермейтін тәртіптер мен шаралардан тұрады.
2) Бүтіндік – бұл ақпараттың өзгеріссіз, дұрыс және түпнұсқалық күйде қалатындығына кепілдік. Бүтіндікті қамтамасыз ету ақпаратты рұқсатсыз құруға, өзгертуге немесе жоюға жол бермеуді қарастырады.
3) Қолжетімділік – бұл арнайы рұқсаты бар пайдаланушылардың өздеріне қажетті ақпараттық активтерді, ресурстарды және жүйелерді пайдалана алатынына және олармен жұмыс істей алатынына кепілдік. Қолжетімділікті қамтамасыз ету жүйенің істен шығуы және қолжетімділікті қасақана бұзу әрекеттерін қосқанда, кедергілер жасау мүмкіндігіне қарамастан ақпараттың қолжетімділігін қолдау шараларынан тұрады.
1-сурет. Ақпараттық қауіпсіздіктің негізгі басты ерекшеліктері (CIA Triad)
2.14. Ақпараттық қауіпсіздіктің негізгі мақсаттары:
1) Компанияға маңыздылығын ескере отырып, ақпараттың тиісті түрде қорғалуын қамтамасыз ету;
2) ақпараттың құпиялығын, бүтіндігін және қолжетімділігін, дербес деректердің қорғалуын қамтамасыз ету;
3) физикалық және логикалық рұқсатсыз қол жеткізуге, Компанияның ақпаратын және ақпаратты өңдеу құралдарын зақымдауға және қол сұғуға жол бермеу;
4) ақпараттық жүйелердің бүкіл қолданысы кезінде ақпараттық жүйелердің ажырамас бөлігі ретінде ақпараттық қауіпсіздікті қамтамасыз ету;
5) қауіпсіздік жағдайлары туралы хабарламаларды және әлсіз тұстарды қосқанда, ақпараттық қауіпсіздік жағдайларын басқаруда үздіксіз және нәтижелі әдісті қамтамасыз ету.
2.15. Ақпараттық қауіпсіздікті қамтамасыз ету мақсаттарына жету үшін Компания келесі міндеттердің тиімді шешілуін қамтамасыз етеді:
1) Компанияның ақпараттық активтерін түгендеу және жіктеу (АҚБЖ қолданылу аясына кіретін барлық бизнес-бөлімшелердегі ақпараттық активтердің иегерлерімен);
2) Ақпараттық қауіпсіздік тәуекелдерін және осы тәуекелдердің ықтимал мүмкіндіктерін анықтау және бағалау (ақпараттық қауіпсіздіктің қауіп-қатер үлгісіне сүйене отырып);
3) ақпараттық қауіпсіздік тәуекелдерін басқару бойынша шараларды әзірлеу (әдістемелік, қолмен басқарылатын және автоматтандырылған бақылау құралдарын қосқанда);
4) ақпараттық қауіпсіздікті бағалау және талдау процестерін қосқанда, ақпараттық қауіпсіздікті бақылау жүйелерін қалыптастыру және жетілдіру (АҚБЖ ішкі, сондай-ақ сыртқы бағалау және аудит жүргізу);
5) ақпараттық қауіпсіздікті қамтамасыз етудің басты талаптарын және тәртіптерін анықтау және құжаттандыру;
6) ақпаратты қорғау құралдарын ендіру және икемдеу;
7) ақпараттық қауіпсіздік саласында Компания қызметкерлерін үйрету;
8) Компания активтерінің осал жерлерін уақытылы анықтау және жою, ақпараттық қауіпсіздіктің қауіп-қатерлері орын алуы салдарында Компанияның бизнес-процестеріне зақым тигізу ықтималдылығын алдын алу және қалыпты жұмысының бұзылуына жол бермеу;
9) ақпараттық қауіпсіздіктің қау-қатерлері орын алған жағдайда Компанияға тиетін залалды барынша азайту, соның ішінде ықтимал үзілістерден кейін қалпына келтіру уақытын барынша қысқарту;
10) ақпараттық қауіпсіздік жағдайларын және оқиғаларын бақылау және өңдеу;
11) Компанияның ақпараттық қауіпсіздігін қамтамасыз етуге кететін шығындарды жоспарлау және оңтайландыру.
4-ТАРАУ. АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ ҚАМТАМАСЫЗ ЕТУ ҚАҒИДАЛАРЫ
4.1. Компанияда ақпараттық қауіпсіздікті қамтамасыз етудің негізгі қағидаттары:
1) Заңдылық – ақпараттық қауіпсіздікті қамтамасыз ету үшін қабылданатын кез келген әрекеттер заңмен рұқсат етілген барлық анықтау, алдын алу, оқшаулау және жолын кесу әдістерін қолдана отырып, қолданыстағы заңнама негізінде жүргізіледі;
2) Жүйелік – Компанияның ақпараттық қауіпсіздігін қамтамасыз ету үшін маңызды барлық өзара байланысты, өзара әрекет ететін және уақыт өте өзгеретін элементтер, жағдайлар және факторлар ескеріледі.
3) Кешенділік – ақпараттық қауіпсіздікке қатер туғызуы мүмкін барлық арналарды жабатын және оның жеке құрамбөліктерінің түйісінде әлсіз тұстары жоқ қорғау жүйесінің бүтіндігін құру кезінде әркелкі құралдарды келісе қолдану.
4) Үздіксіздік – физикалық, техникалық және бағдарламалық қорғау құралдарын тұрақты қолдау, сонымен қатар Компанияның ағымдағы бизнес-процестерін үзбей немесе тоқтатпай ақпараттық қауіпсіздік талаптарының орындалуын үздіксіз бақылау.
5) Уақытылылық – ақпараттық қауіпсіздік қауіптерін уақытылы анықтау, олардың ықтимал даму жолдарын болжау, бизнес-процестерге ықпал ету дәрежесін бағалау және қажет болған жерде және уақытта ақпараттық қауіпсіздік шараларын қолдану.
6) Баламалылық – ақпараттық қауіпсіздіктің қабылданатын шаралары тиімді және ондай шараларды жүзеге асыруға кететін шығындарды ескере отырып, ақпараттық қауіпсіздік тәуекелдеріне барабар.
7) Сабақтастық және жетілдіру – ұйымдастырушылық және техникалық шешімдердің және кадрлық құрам сабақтастығының негізінде қорғау шараларын және құралдарын тұрақты жетілдіру.
8) Икемділік – Компанияның АҚБЖ сыртқы ортаның және Компанияның өз қызметін атқару жағдайларының өзгерістеріне жауап беруге қабілетті.
9) Пайдаланушыларға ыңғайлылық – пайдаланушылардың қорғау құралдарымен жұмыс істеуі және ақпараттық қауіпсіздікті қамтамасыз етудің негізгі процедураларын орындауы кезінде ықтимал қиындықтар ескеріледі және барынша азайтылады.
10) Құжат жүзінде бекіту – ақпараттық қауіпсіздіктің барлық талаптары және шаралары, сонымен қатар ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызмет нәтижелері құжат жүзінде бекітіледі.
11) Ақпараттық қауіпсіздік мәдениеті және талаптары туралы хабардар болу – Компанияда ақпараттық қауіпсіздік мәдениеті сақталады және Компанияның барлық қызметкерлері өздерінің ағымдағы қызметтік міндеттеріне қажетті көлемде ақпараттық қауіпсіздік талаптарын жақсы біледі және өз жұмыстарында осы талаптарды басшылыққа алады.
12) Өз клиенттерін және қызметкерлерін білу – Компания өз клиенттері туралы ақпаратты жақсы біледі, қызметкерлерді және қызмет көрсететін жұмыскерлерді мұқият іріктейді,
Компанияның ақпараттық активтерді басқару қызметі үшін жайлы әрі сенімді ортаны құра отырып, корпоративтік әдепті қалыптастырады және қолдайды.
5-ТАРАУ. АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ БАСҚАРУ ЖҮЙЕСІН (АҚБЖ) ҰЙЫМДАСТЫРУ
1. АҚБЖ анықтамасы
5.1. АҚБЖ Компанияда ақпараттық қауіпсіздік тәуекелдерін бағалауға және ақпараттық қауіпсіздікті әзірлеуге, жүзеге асыруға, пайдалануға, бақылауға, талдауға, сүйемелдеуге және жетілдіруге арналған Компанияны жалпы басқару жүйесінің бір бөлігін танытады.
5.2. АҚБЖ ұйымдастырушылық құрылымнан, саясаттардан, жоспарларды әзірлеуден, жауапкершілікті бөлуден, нұсқаулардан, рәсімдерден, процестер мен ресурстардан тұрады.
2. АҚБЖ қолданылу саласы
5.3. АҚБЖ қолданылу саласына клиенттерге қызмет көрсету және қаржы қызметтерін ұсынуға қатысты Компанияның негізгі бизнес-процестері (клиенттерге кеңселерде, қосалқы кеңселерде және бөлімшелерде қызмет көрсету процестерінен өзге, тәуекелдерді басқарумен, операцияларды есепке алумен, материалды-техникалық және ақпараттық қамтамасыз етумен, маркетингпен және бизнесті дамытумен байланысты бэк-офистік процестерді қоса), Компанияның барлық материалдық және ақпараттық активтері, Компанияның қызметкерлері және Компанияның қызметтерін көрсететін/алатын тұлғалар жатады.
5.4. Қорғалуға тиісті нысандар:
1) Компанияның жұмысына қажетті барлық ақпараттық активтер, ұсынылған нысанына және түріне байланыссыз;
2) АТ-инфрақұрылымның барлық элементтері, оған ақпараттық технологиялар, техникалық және бағдарламалық құрастыру құралдары, ақпаратты өңдеу, жеткізу, сақтау (соның ішінде мұрағаттау) және пайдалану құралдары,кітапханалар, мұрағаттар, деректер базасы, ақпараттық алмасу және телекоммуникация арналары, ақпаратты қорғау жүйелері және құралдары, Компанияның АТ-инфрақұрылымының қорғалған элементтері орналасқан нысандар мен жайлар жатады;
3) Компанияның барлық құрылымдық бөлімшелері;
4) Компанияда ақпаратты өңдеудің барлық процестері, регламенттері және процедуралары;
5) Компания клиенттерінің, қызметкерлерінің және жеткізушілерінің дербес деректері.
3. АҚБЖ жүзеге асыру
5.5. Компанияның АҚБЖ іске асуы және қызмет етуі «процестік тәсілге» негізделеді. АҚБЖ циклдық процесс болып табылады әрі ол үздіксіз жетілдіріліп отырады (2-сурет).
2-сурет. Шухарт-Деминг циклі (PDCA)
Компанияда ақпараттық қауіпсіздікті жүзеге асыру және қолдау үшін процестердің төрт тобы жүргізіледі:
1) жоспарлау («Plan») – осы Саясатты, ақпараттық қауіпсіздік тәуекелдерін басқаруға және ақпараттық қауіпсіздікті жетілдіруге қатысты мақсаттарды, міндеттерді, шекараларды, процестерді, рәсімдерді, бағдарламалық-аппараттық құралдарды анықтау, Компанияның жалпы стратегиясына және мақсаттарына сәйкес нәтижелер алу үшін жоспарды әзірлеу;
2) жүзеге асыру («Do») - осы Саясатты, бақылау механизмдерін, процестерді, рәсімдерді, бағдарламалық-аппараттық құралдарды ендіру және пайдалану, Компания қызметкерлерін оқыту және біліктілігін арттыру;
3) тексеру («Check») – АҚБЖ тиімділігін бағалау және осы Саясатқа, мақсаттарға және практикалық тәжірибеге сәйкес орындалу сипаттамаларын өлшеу, ақпараттық ресурстардың қорғалуына ықпал ететін сыртқы және ішкі факторлардың өзгерісін талдау, талдау үшін басшылыққа есептерді ұсыну;
4) түзету («Act») – ақпараттық қауіпсіздік жүйесін үздіксіз жетілдіруді қамтамасыз ету мақсатында ақпараттық қауіпсіздіктің ішкі және сыртқы тексерістерінің нәтижелеріне, басшылық қойған талаптарға, өзге факторларға негізделген түзету және алдын алу шараларын қабылдау.
5.6. Компания басшылығы ақпараттық қауіпсіздікті қамтамасыз ету мәселелерінің маңыздылығын түсіне отырып, ықтимал тәуекелдермен бизнесті одан әрі дамыту үшін жағдайлар жасауға қолдау көрсететін АҚБЖ процестерінің орындалуы туралы бастама көтереді, қолдайды, талдайды және бақылайды.
6-ТАРАУ. АҚБЖ ДАМЫТУ ЖӘНЕ ЖЕТІЛДІРУ БАҒЫТТАРЫ
6.1. Осы Саясат АҚБЖ тұрақты дамытудың және жетілдірудің келесі негізгі бағыттарын анықтайды:
1) ақпараттық қауіпсіздікті қамтамасыз ету саласында Компания қызметкерлерінің функцияларын және жауапкершілігін бөлу - АТ-, бизнес-функциялар, басшылық, тәуекелдерді басқару функциясы, ақпараттық қауіпсіздік функциясы арасында;
2) АҚБЖ құжаттарын басқару – АҚБЖ қатысты құжаттамаларды әзірлеу, ресімдеу, келісу, тіркеу, сақтау, тапсыру және жою;
3) ақпараттық қауіпсіздік тәуекелдерін басқару – ақпараттық қауіпсіздіктің ықтимал тәуекелдерін және оның салдарын талдау, тәуекелді қажетті деңгейге дейін азайту үшін Компанияның іс-әрекеттері туралы шешімдер қабылдау;
4) АҚБЖ процестерін бақылау, тиімділігін талдау және жетілдіру – АҚБЖ талдау, салдарында қауіпсіздікті тексеру нәтижелері, ақпараттық қауіпсіздік жағдайлары бойынша статистика және қосымша ақпарат, ақпараттық қауіпсіздік процестерінің тиімділігін бағалау нәтижелері, барлық мүдделі тараптардың ұсыныстары мен пікірлері ескеріледі;
5) қызметкерлермен жұмыс істеу кезінде ақпараттық қауіпсіздікті қамтамасыз ету
– жұмысқа қабылдау, еңбек шарты қолданыста болатын кезде, жұмыстан шығару немесе басқа қызметке ауыстыру кезінде Компания қызметкерлерін ақпараттық қауіпсіздік мәселелері бойынша хабардар ету;
6) Компания қызметкерлерінің ақпараттық қауіпсіздік саласындағы білім деңгейін арттыру және білімін тексеру – тренингтер өткізу, ақпараттық хабарламалар жіберу, тестілеу арқылы АҚБЖ саласына кіретін бөлімше қызметкерлерінің біліктілігін арттыру;
7) басқа ұйымдармен жұмысты ұйымдастыру – басқа ұйымдарға Компанияның ақпараттық активтеріне рұқсат берген кезде ақпараттық қауіпсіздікті қамтамасыз ету;
8) дене қауіпсіздігін қамтамасыз ету және жабдықты қорғау;
9) ақпараттық қауіпсіздікті қамтамасыз етудің техникалық және ұйымдастырушылық шаралары – ақпараттық қауіпсіздікті қамтамасыз етудің механизмдерін пайдалану және жетілдіру;
10) Компанияның АТ-инфрақұрылымын басқару – АТ-инфрақұрылымы компоненттерінің бүкіл өмірлік циклі аясында ақпараттық қауіпсіздікті қамтамасыз ету;
11) ақпараттық қауіпсіздік жағдайларын басқару – ақпараттық қауіпсіздік жағдайларын және оқиғаларын, сонымен қатар оларға жауап беру механизмдерін бақылауды қамтамасыз ету;
12) бизнестің тоқтаусыз қызмет етуін басқару - алдын алу және түзету шараларын қолдану арқылы Компанияның ақпараттық жүйесінде орын алатын апаттар мен іркілістер салдарында туындайтын ықтимал шығындарды барынша азайту;
13) заңнама талаптарын сақтау;
14) лицензиясы бар бағдарламалық жасақтамаларды пайдалану;
15) ақпараттық қауіпсіздіктің ішкі аудиттері – АҚБЖ бақылау процестері мен механизмдерін тексеру мақсатында АҚБЖ тұрақты түрде ішкі аудит жүргізу.
7-ТАРАУ. ТАЛАПТАРДЫҢ ОРЫНДАЛУЫН БАҚЫЛАУ
7.1. Компанияның жауапты бөлімшелері өздерінің өкілеттіктері аясында Компанияның ішкі нормативтік құжаттарына және Қазақстан Республикасының заңнамасына сәйкес барлық ақпараттық қауіпсіздік ережелерінің, процедураларының және стандарттарының қолданылуына және сақталуына бақылау жүргізеді.
8-ТАРАУ. ЖАУАПКЕРШІЛІК
8.1. Компанияның барлық құрылымдық бөлімшелері өздерінің өкілеттіктері аясында және осы Саясатта және оның негізінде әзірленген құжаттарға сәйкес Компанияның ақпараттық қауіпсіздігін қамтамасыз етуге жауапты болады.
8.2. Құрылымдық бөлімшелердің басшылары:
1) өз бөлімшелеріндегі қызметкерлерді ақпараттық қауіпсіздік саласындағы Компанияның ішкі нормативтік құжаттарының талаптарымен уақытылы таныстыруға;
2) өз бөлімшелеріндегі қызметкерлердің ақпараттық қауіпсіздік саласындағы Компанияның ішкі нормативтік құжаттарының талаптарын орындауын қамтамасыз етуге жауапты болады.
8.3. Компанияның барлық қызметкерлері Компанияның ақпараттық инфрақұрылымында жұмыс істеу және Компанияның қорғалған ақпараттық активтерін пайдалану кезінде өз іс- әрекеттері, сонымен қатар осы Саясатта және оның негізінде әзірленген құжаттарда белгіленген ақпараттық қауіпсіздік талаптарының орындалуы үшін жеке жауапкершілік көтереді.
8.4. Осы Саясаттың және оның негізінде әзірленген құжаттардың талаптарын бұзған жағдайда Компанияның ішкі нормативтік құжаттарына және ҚР заңнамасына сәйкес жауапкершілік қарастырылған.
9-ТАРАУ. ҚАЙТА ҚАРАУ ЖӘНЕ ӨЗГЕРІСТЕРДІ ЕНГІЗУ ТӘРТІБІ
9.1. Осы Саясаттың ережелері тұрақты түрде, кемінде екі жылда бір рет қайта қаралады.
9.2. Келесі жағдайларда осы Саясат жоспардан тыс қаралуы мүмкін:
1) ақпараттық қауіпсіздік талаптарын анықтайтын ҚР нормативтік-құқықтық құжаттарының, Компанияның ішкі құжаттарының өзгеруі;
2) Компанияның ақпараттық қауіпсіздігінің жалпы деңгейінің төмендеуі (ішкі немесе сыртқы аудит қорытындылары бойынша);
3) Компанияның ұйымдастырушылық және/немесе инфрақұрылымының, ресурстарының және бизнес-процестердің елеулі өзгеруі;
4) Осы Саясатта регламенттелген шараларды орындау барысында елеулі кемшіліктердің анықталуы, сонымен қатар Саясат ережелерінің Компанияның басқа ішкі құжаттарымен қайшы келуі.
9.3. Осы Саясатты қайта қарау, сондай-ақ оған өзгерістер енгізу Компанияда белгіленген тәртіпке сәйкес жүргізіледі.