Отчет об устойчивом развитии / 2024

O'Z Ру En ОУР CSR

Информационная безопасность

GRI 418-1

Компания последовательно внедряет подходы устойчивого развития, придавая особое значение надёжности информационных процессов и защите данных. Политика Конфиденциальности была разработана с учетом Указа Президента Республики Узбекистан от 5 октября 2020 года № УП–6079 «Об утверждении стратегии «Цифровой Узбекистан — 2030» и мерах по её эффективной реализации», в соответствии со статьями 367-369 Гражданского кодекса Республики Узбекистан, отраслевых стандартов и уровня актуальных киберрисков. При проектировании и эксплуатации информационных систем учитываются характер обрабатываемых данных, критичность бизнес-процессов, а также потенциал внешних и внутренних угроз.

Система управления информационной безопасностью включает правовые, организационные и стратегические компоненты.

Законодательное и нормативное соответствие:

Компания обеспечивает выполнение требований законодательства Республики Узбекистан в области защиты информации, персональных данных и цифровых технологий. Внутренние политики приведены в соответствие с действующими нормативно-правовыми актами, а также с международными стандартами в сфере информационной безопасности. Постоянное взаимодействие с профильными государственными органами способствует соблюдению всех регуляторных требований.

Организация и контроль:

Функции по обеспечению информационной безопасности распределены между различными уровнями управления. В Компании действует система внутреннего контроля и оценки рисков, связанных с защитой данных. Регулярно проводятся внутренние аудиты и проверки, позволяющие отслеживать эффективность применяемых мер и оперативно реагировать на потенциальные угрозы. Структурно служба безопасности подчиняется Заместителю Председателя Правления по информационной безопасности и режиму и включает 4 штатные единицы, а также сотрудников, ответственных за обеспечение информационной безопасности в филиалах.

Стратегический подход и управление рисками:

В целях устойчивого функционирования осуществляется регулярный анализ угроз, включая риски утечки данных, технических сбоев и других уязвимостей. Внедрены инструменты мониторинга и реагирования, а политика информационной безопасности встроена в общую стратегию устойчивого развития Компании.

Обработка информации преимущественно осуществляется в автоматизированном режиме, без участия сотрудников или подрядчиков. В случаях, когда доступ к данным необходим для исполнения трудовых или договорных обязанностей, он предоставляется строго в минимально необходимом объеме, при обязательном соблюдении требований информационной безопасности. Все сотрудники и внешние исполнители обязаны следовать внутренним политикам, процедурам и техническим регламентам по защите информации, включая меры по обеспечению конфиденциальности пользовательских данных.

TC-TL-220a.1, 2, 3, 4

В соответствии с Законом Республики Узбекистан «О персональных данных», Компания не передает и не обрабатывает конфиденциальные персональные данные абонентов для целей рекламы, предоставления дополнительных персонализированных услуг или вторичных целей (включая аналитику и передачу третьим лицам) без получения предварительного отдельного согласия субъекта. Персональные данные также не предоставляются по запросам правоохранительных органов, если иное не предусмотрено законом. По итогам 2024 года судебные разбирательства, связанные с нарушением неприкосновенности частной жизни клиентов, отсутствовали, в связи с чем финансовые потери по данному основанию не зафиксированы.

TC-TL-230a.1, 2, GRI 418-1

Фактов утечки, краж или потерь персональных данных не зафиксировано. Общее количество подтверждённых жалоб, полученных в связи с нарушениями конфиденциальности персональных данных клиентов, в том числе жалобы, полученные от внешних сторон и жалобы, поступившие от регулирующих органов, отсутствовали. Сведений о пострадавших субъектах персональных данных не имеется. В Компании реализован комплексный подход к выявлению и устранению рисков информационной безопасности, включающий:

  • разработку и внедрение соответствующих политик, включая Политику конфиденциальности (регламентирует сбор, хранение и защиту данных пользователей и технические меры безопасности);
  • развитие партнерств и совместных программ для внедрения необходимого программного обеспечения, включая международное сотрудничество по направлению zero-trust доступа, включая запуск собственной услуги безопасности для корпоративных клиентов;
  • облачные и дата-центр решения с дополнительной защитой и аутентификацией;
  • дополнительное обучение противодействию угрозам, включая информирование абонентов и вебинары и конференции по информационной безопасности, включая тематики DLP и защиты персональных данных;
  • оценка угроз и анализ уязвимостей (на постоянной основе);
  • проактивный мониторинг и реагирование.

Деятельность по обеспечению кибербезопасности осуществляется с учётом рекомендаций Центра обеспечения информационной безопасности при Государственном комитете связи, информатизации и телекоммуникационных технологий ­Республики Узбекистан. Обеспечены ­антивирусная защита, мониторинг сетевого трафика и анализ инцидентов безопасности.

TC-TL-550a.1, 2

В 2024 году сбоев в работе телекоммуникационного оборудования не зафиксировано. Несмотря на отключение основного электроснабжения со стороны поставщика — «Региональные электросети», оборудование сети Компании, оснащенное резервными (вторичными) источниками электропитания, что обеспечивает бесперебойное предоставление телекоммуникационных услуг. Благодаря этому прерываний в предоставлении сервисов зафиксировано не было. Со стороны Компании были приняты все необходимые меры для соблюдения требований закона «О телекоммуникациях», а также соответствующих отраслевых и нормативных документов, включая O’z DSt 3207:2023, гармонизированный с рекомендациями ITU-T.

Таким образом, Компания обеспечивает соблюдение принципов информационной устойчивости и поддерживает доверие со стороны пользователей, клиентов и партнеров за счет системного подхода к кибербезопасности.

TC-TL-520a.3

Компания придерживается принципов сетевого нейтралитета и не применяет практик платной ­приоритезации трафика. Компания не ограничивает доступ пользователей к легальному контенту, не замедляет скорость сервисов не оказывает предпочтительных услуг отдельным поставщикам услуг. На момент подготовки отчета, не зафиксировано случаев, указывающих на риски, связанные с нарушением сетевого нейтралитета, в том числе жалоб пользователей или обращений со стороны регулирующих органов. Такие риски оцениваются Компанией как незначительные.

перейти в следующий раздел

Проекты, направленные на поддержку и повышение качества жизни в регионах присутствия