მგს 27003:2011 - data exchangedea.gov.ge/uploads/CERT DOCS/DEA27003-2011_V_1_0.pdf ·...

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა

1

მგს 27003:2011

22 ნოემბერი 2011 წელი

ვერსია 1.0

ინფორმაციული უსაფრთხოების მართვის სისტემის

დანერგვა

საქართველოს იუსტიციის სამინისტრო

სსიპ. მონაცემთა გაცვლის სააგენტო

წმ. ნიკოლოზის/ ნ. ჩხეიძის 2

0101 თბილისი, საქართველო

ტელ.: (+995 32) 2 91 51 40

ელ. ფოსტა: [email protected]

mailto:[email protected]


2

Contents

1 შესავალი .................................................................................................................................................... 4

2 ნორმატიული დოკუმენტაცია .................................................................................................................... 4

3 ტერმინები და განმარტებები ..................................................................................................................... 4

4 მოცემული სტანდარტის სტრუქტურა...................................................................................................... 5

4.1 პუნქტების ზოგადი სტრუქტურა ....................................................................................................... 5

4.2 პუნქტების ზოგადი სტრუქტურა ....................................................................................................... 6

4.3 დიაგრამები ............................................................................................................................................. 7

5 ხელმძღვანელობის მხრიდან ნებართვის მიღება იუმს-ის პროექტის ინიცირებისათვის ............. 8

5.1 იუმს-ის პროექტის ინიცირებისათვის ხელმძღვანელობის მხრიდან ნებართვის მიღების

პროცესის მიმოხილვა ................................................................................................................................. 8

5.2 ორგანიზაციაში იუმს-ის შემუშავებისათვის პრიორიტეტების გამოკვეთა ............................. 10

5.3 იუმს-ის წინასწარი საზღვრების დადგენა ..................................................................................... 12

5.3.1 იუმს-ის წინასწარი საზღვრების დადგენა .............................................................................. 12

5.3.2 იუმს-ის საწყის ფარგლებში ჩართული როლებისა და პასუხისმგებლობების

განსაზღვრა ............................................................................................................................................. 13

5.4 რეალური მაგალითისა და პროექტის გეგმის შექმნა ხელმძღვანელობის მხრიდან

თანხმობის მისაღებად .............................................................................................................................. 14

6.1 იუმს-ის გავრცელების სფეროს, საზღვრებისა და იუმს-ის პოლიტიკის მიმოხილვა ............ 16

6.2 ორგანიზაციული ფარგლებისა და საზღვრების დადგენა .......................................................... 18

6.3 ინფორმაციული საკომუნიკაციო ტექნოლოგიის ფარგლებისა და საზღვრების დადგენა .. 20

6.4 ფიზიკური ფარგლების და საზღვრების დადგენა ..................................................................... 21

6.5 თითოეული გავრცელების სფეროს და საზღვრის ინტეგრირება იუმს-ის გავრცელების

სფეროსა და საზღვრების დასადგენად .................................................................................................. 22

6.6 იუმს-ის პოლიტიკის შემუშავება და ხელმძღვანელობის მხრიდან თანხმობის მიღება ........ 23

7 ინფორმაციული უსაფრთხოების მოთხოვნების ანალიზი ................................................................. 24

7.1 ინფორმაციული უსაფრთხოების მოთხოვნების ანალიზის ჩატარების განხილვა ................. 24

7.2 იუმს-ის პროექტისათვის ინფორმაციული უსაფრთხოების მოთხოვნების განსაზღვრა ...... 26

7.3 იუმს-ის ფარგლებში არსებული აქტივების დადგენა .................................................................. 28

7.4. ინფორმაციული უსაფრთხოების შეფასება .................................................................................. 29

8. რისკების შეფასება და რისკების აღმოფხვრის დაგეგმვა .............................................................. 32

8.1 რისკების შეფასებადა რისკების აღმოფხვრის დაგეგმვის მიმოხლივა ...................................... 32

8.2 რისკების შეფასება ............................................................................................................................... 33

8.3 კონტროლის მიზნების და კონტროლების შერჩევა ...................................................................... 35


3

8.4. იუმს-ის დანერგვისა და ფუნქციონირებისთვის ხელმძღვანელობის მხრიდან

ნებართვის მიღება ...................................................................................................................................... 36

9. იუმს-ის ორგანიზაციული მოწყობა ................................................................................................... 37

9.1. იუმს-ის მიმოხილვა .......................................................................................................................... 37

9.2 ინფორმაციული უსაფრთხოების ორგანიზაციული მოწყობა .................................................... 41

9.2.1 . ინფორმაციული უსაფრთხოებისათვის საბოლოო ორგანიზაციული სტრუქტურის

შექმნა ........................................................................................................................................................ 41

9.2.2 იუმს-ის დოკუმენტაციის სტრუქტურა .................................................................................... 42

9.2.3 ინფორმაციული უსაფრთხოების პოლიტიკის დიზაინი ...................................................... 44

9.2.4 ინფორმაციული უსაფრთხოების სტანდარტების და პროცედურების შემუშავება ....... 46

9.3 ინფორმაციული საკომუნიკაციო ტექნოლოგიების და ინფორმაციის ფიზიკური

უსაფრთხოების დიზაინი ......................................................................................................................... 48

9.4 იუმს-ის ინფორმაციული უსაფრთხოების სპეციფიკური გეგმის შემუშავება ......................... 50

9.4.1 ხელმძღვანელობის მხრიდან განხილვის დაგეგმვა .............................................................. 50

9.4.2 ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის, ტრენინგისა და

სასწავლო პროგრამის შემუშავება ....................................................................................................... 53

9.5. იუმს-ის პროექტის საბოლოო გეგმის შექმნა ................................................................................. 55

დანართები ...................................................................................................................................................... 57

დანართი ა საკონტროლო საკითხების აღწერილობა ......................................................................... 57

დანართი ბ ინფორმაციული უსაფრთხოების როლები და პასუხისმგებლობები ..................... 66

დანართი გ ინფორმაცია შიდა აუდიტის შესახებ ......................................................................... 73

დანართი დ პოლიტიკების სტრუქტურა ............................................................................................ 75

დანართი ე მონიტორინგი და შეფასება ............................................................................................ 80


4

1 შესავალი

მოცემული სტანდარტი მოიცავს ინფორმაციული უსაფრთხოების მართვის სისტემის

წარმატებული დაგეგმვისა და დანერგვისათვის საჭირო კრიტიკულ ასპექტებს მგს 27001:2005 (

ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული უსაფრთხოების

მართვის სისტემები–მოთხოვნები)-ის თანახმად. იგი აღწერს იუმს-ის ძირითად ფუნქციებს და

დაგეგმვას, ასევე მოიცავს დანერგვის გეგმის შედგენას. მოცემულ სტანდარტში წარმოდგენილია

ხელმძღვანელობის მხრიდან იუმს-ის დანერგვისათვის ნებართვის მიღების პროცესი და იუმს-ის

დანერგვის პროექტი; აღნიშნული სტანდარტი წარმოადგენს სახელმძღვანელოს იმისთვის, თუ

როგორ უნდა დაიგეგმოს იუმს-ის პროექტი, რაც საბოლოოდ იუმს-ის დანერგვის გეგმაში

აისახება.

ეს სტანდარტი გამოიყენება იმ ორგანიზაციების მიერ, ვინც ნერგავს იუმს-ს. იგი მიესადაგება

ყველა ტიპისა და ზომის ორგანიზაციებს (მაგალითად: კომერციული, სამთავრობო უწყებები,

არაკომერციული ორგანიზაციები). თითოეული ორგანიზაციის კომპლექსურობა და რისკები

არის უნიკალური, რაც წარმოდგენს იუმს-ის დანერგვის წინაპირობას. შედარებით მცირე ზომის

ორგანიზაციები მოცემულ სტანდარტში აღმოაჩენენ იმ ქმედებებს, რომლებიც მათთვის

მისაღებია და შესაძლებელია მათი გამარტივებაც. მასშტაბური ან კომპლექსური

ორგანიზაციებისთვის აღნიშნულ სტანდარტში მოცემულია იერარქიული ორგანიზაციული

სტრუქტურა ან მართვის სისტემა. ორივე შემთხვევაში, საჭირო ქმედებები უნდა დაიგეგმოს

მოცემული სტანდარტის შესაბამისად.

სტანდარტში მოცემულია რეკომენდაციები და განმარტებები; იგი არ მოიცავს რაიმე სპეციფიკურ

მოთხოვნებს. მისი გამოყენება უნდა მოხდეს მგს (მგს) 27001:2011-თან და მგს 27002:2011-თან

კავშირში, მაგრამ არ ისახავს მიზნად მგს 27001:2011-ით დადგენილი მოთხოვნების შეცვლას

და/ან შემცირებას, ასევე მგს 27002:2011-ში მოცემული რეკომენდაციების შეცვლას და/ან

შემცირებას.

2 ნორმატიული დოკუმენტაცია

მგს 27001:2011 ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული

უსაფრთხოების მართვის სისტემები–მოთხოვნები.

3 ტერმინები და განმარტებები


უსაფრთხოების მართვის სისტემები–მოთხოვნები.

განსაზღვრული ტერმინებისა და განმარტებების მოცემულ დოკუმენტში გამოყენება.


5

3.1. იუმს პროექტი

ორგანიზაციის მიერ ინფორმაციული უსაფრთხოების მართვის სისტემის დასანერგად გატარებული

ორგანიზაციული ღონისძიებები.

4 მოცემული სტანდარტის სტრუქტურა

4.1 პუნქტების ზოგადი სტრუქტურა

იუმს-ის დანერგვა არის ორგანიზაციისთვის კრიტიკული მნიშვნელობის მქონე და მისი

განხორციელება პროექტის სახით ხდება. იუმს-ის საბოლოო დანერვის გეგმის პროცესი მოიცავს

ხუთ ეტაპს და თითოეული ეტაპი წარმოდგენილია ცალკეული პუნქტებით. ყველა პუნქტს აქვს

ერთნაირი სტრუქტურა და აღწერილია ქვემოთ:

ა) იუმს-ის პროექტის ინიცირებისათვის ხელმძღვანელობის მხრიდან თანხმობის მიღება (პუნქტი

5);

ბ) იუმს-ის გავრცელების სფეროს და პოლიტიკის განსაზღვრა (პუნქტი 6);

გ) ორგანიზაციის ანალიზის ჩატარება (პუნქტი 7);

დ) რისკების შეფასებისა და რისკების აღმოფხვრის დაგეგმვა; (პუნქტი 8)

ე) იუმს-ის დაგეგმვა (პუნქტი 9).

ნახაზი 1 წარმოადგენს იუმს-ის პროექტის დაგეგმვის ხუთ ეტაპს და გვიჩვენებს შედეგად

მიღებულ ძირითად დოკუმენტებს.

იუმს-ის პროექტის ინიცირებისათვის

მენეჯმენტის თანხმობის მიღება

5

იუმს-ის გამოყენების სფეროს დადგენა და

პოლიტიკის განსაზღვრა

6

ორგანიზაციული ანალიზის ჩატარება

7

რისკების შეფასებისა და რისკების

აღმოფხვრის გეგმის შესრულება

8

იუმს-ის პროექტირება (დიზაინი)

9

მენეჯმენტის თანხმობა იუმს-ის

პროექტის ინიცირებაზე

იუმს-ის პოლიტიკა

იუმს-ის ფარგლები და

ჩარჩოები

ინფორმაციული უსაფრთხოების

შეფასების შედეგები

ინფორმაციული აქტივები


მოთხოვნები

გამოყენებადობის შესახებ განცხადება, კონტროლის ობიექტები და შერჩეული

კონტროლები

რისკების აღმოფხვრის გეგმა

იუმს-ის დანერგვისათვის მენეჯმენტის

წერილობითი ნებართვა

იუმს-ის დანერგვის პროექტის საბოლოო

გეგმა

დრო

ნახაზი 1 - იუმს-ს პროექტის ეტაპები


6

დამატებითი ინფორმაცია მოცემულია დანართებში. ესენია:

დანართი ა: ქმედებების შეჯამება მგს 27001:2011-ის თანახმად და მასთან კავშირში.

დანართი ბ: ინფორმაციული უსაფრთხოების როლები და პასუხისმგებლობები

დანართი გ: ინფორმაცია შიდა აუდიტის დაგეგმვის შესახებ

დანართი დ: პოლიტიკების სტრუქტურა

დანართი ე: მონიტორინგისა და შეფასების დაგეგმვის შესახებ ინფორმაცია

4.2 პუნქტების ზოგადი სტრუქტურა

თითოეული პუნქტი მოიცავს:

ა) პუნქტების დასაწყისში მოცემულია ერთი ან მეტი დასახული მიზნის ფორმულირებას;

ბ) ერთი ან მეტი ქმედება, რაც აუცილებელია მიზნების მისაღწევად.

თითოეული ქმედება აღწერილია ქვეპუნქტებში.

ქვეპუნქტებში აღწერილ ქმედებას აქვს შემდეგი სტრუქტურა:

ქმედება

იგი აღწერს თუ რა არის საჭირო იმისათვის, რომ მიღწეული იქნას თითოეული ეტაპის მიზნები.

შემავალი რესურსები

ეს არის ათვლის წერტილი, მაგალითად: დოკუმენტირებული გადაწყვეტილებების არსებობა, ან

მოცემულ სტანდარტში აღწერილი სხვა ქმედებების შედეგები. შემავალი რესურსები

(ინფორმაცია) შეიძლება იყოს შესრულებული ქმედების შედეგი, ან რაიმე სპეციფიკური

ქმედების შესახებ დოკუმენტირებული ინფორმაცია.

სახელმძღვანელო მითითებები

ეს არის დეტალური ინფორმაცია იმის შესახებ, თუ როგორ უნდა შესრულდეს მოცემული

ქმედებები. შესრულების შესახებ ზოგიერთი მითითება შესაძლოა არ იყოს უნივერსალური და

მიზნების მისაღწევად სხვა გზები უფრო მისაღები აღმოჩნდეს.

შედეგი

შედეგი - ეს არის განსაზღვრული ქმედების დასრულებით მიღწეული შედეგი ან შედეგები.

შედეგები ყოველთვის ერთნაირია, მიუხედავად ორგანიზაციის ზომისა ან იუმს-ის

გავრცელების სფეროსა.

სხვა ინფორმაცია

ეს არის დამატებითი ინფორმაცია, რამაც შესაძლოა ხელი შეუწყოს ქმედების შესრულებას,

მაგალითად სხვა სტანდარტებთან კავშირი.


7

შენიშვნა: საჭიროებიდან გამომდინარე, სხვადასხვა ფაქტორის გათვალისწინებით ორგანიზაციას იუმს-ის

დანერგვისას შეუძლია შესაბამისი ქმედებები აირჩიოს ნებისმიერი თანმიმდევრობით.

4.3 დიაგრამები

პროექტი ხშირად წარმოდგენილია გრაფიკული გამოსახულებებით ან დიაგრამებით, რაც აღწერს

ქმედებებისა და შედეგების მიმოხილვას.

ნახაზი 2 წარმოადგენს დიაგრამების პირობით აღნიშვნებს, რაც გამოსახულია თითოეული

ეტაპის ქვეპუნქტების მიმოხილვით. დიაგრამები წარმოადგენენ თითოეულ ეტაპზე არსებული

ქმედებების მაღალი დონის მიმოხილვას.

ფაზა X

ფაზაY

ფაზა z

დოკუმენტი


დრო

იუმს-ის პროექტის დაგეგმვის ფაზები

ფაზების ქმედებები

ქმედებაA

ქმედებაB

ქმედებაC



დოკუმენტი დოკუმენტი

დოკუმენტი დოკუმენტი

დრო

ნახაზი 2 - მცოცავი დიაგრამა

ზემოთ მოცემული ნახაზი წარმოადგენს იუმს-ის პროექტის დაგეგმვის ეტაპებს. შესაბამის

პუნქტში განმარტებული ეტაპები ნაჩვენებია მისი ძირითადი შედეგებით: დოკუმენტებით.


8

ქვემოთ მოცემული დიაგრამა კი (ეტაპებში შემავალი ქმედებები) მოიცავს იმ ძირითად

ქმედებებს, რაც ახლავს ზემოთ მოცემულ ნახაზზე წარმოდგენილ ეტაპებს და ასევე მის მთავარ

შედეგებს: თითოეული ქმედების შედეგად მიღებულ დოკუმენტს.

ქვემოთ მოცემული დიაგრამის დროის მაჩვენებელი ემყარება ზემოთ მოცემული დიაგრამის

დროის მაჩვენებელს.

ა და ბ ქმედებები შესაძლოა განხორციელდეს ერთსა და იმავე დროს. ხოლო ქმედება გ უნდა

დაიწყოს მას შემდეგ, რაც დასრულდება ა და ბ.

5 ხელმძღვანელობის მხრიდან ნებართვის მიღება იუმს-ის პროექტის

ინიცირებისათვის

5.1 იუმს-ის პროექტის ინიცირებისათვის ხელმძღვანელობის მხრიდან ნებართვის

მიღების პროცესის მიმოხილვა

იუმს-ის შესახებ გადაწყვეტილების მიღების დროს გასათვალისწინებელია რამდენიმე ფაქტორი,

რასაცხელმძღვანელობა უნდა იცნობდეს. ხელმძღვანელობა ასევე უნდა აცნობიერებდეს იუმს-ის

დანერგვის პროექტის საჭიროებას და უნდა დაამტკიცოს იგი. აქედან გამომდინარე ამ ეტაპის

მიზანი არის:

მიზანი:

ხელმძღვანელობის მხრიდან ნებართვის მიღება იუმს-ის პროექტის დასაწყებად, საჭიროების

და პროექტის გეგმის განსაზღვრის ჩათვლით.

ხელმძღვანელობის მხრიდან ნებართვის მოსაპოვებლად, ორგანიზაციამ უნდა წარმოადგინოს

არგუმენტაცია (საჭიროება), რომელიც მოიცავს იუმს-ის დანერგვის პრიორიტეტებსა და მიზნებს,

ასევე იუმს-ის ორგანიზაციულ სტრუქტურას. აგრეთვე უნდა შეიქმნას იუმს-ის საწყისი პროექტი.

ამ ეტაპზე შესრულებული სამუშაო ორგანიზაციას საშუალებას მისცემს გააცნობიეროს იუმს-ის

საჭიროება და ნათელი გახადოს ინფორმაციული უსაფრთხოების როლები და

პასუხისმგებლობები რომელიც საჭიროა ორგანიზაციის ფარგლებში, იუმს-ის პროექტის

განხორციელებისთვის.

ამ ეტაპის მოსალოდნელი შედეგი იქნება იუმს-ის დანერგვისათვის ხელმძღვანელობის მხრიდან

წინასწარი თანხმობა და მზადყოფნა, ასევე ამ სტანდარტში აღწერილი ქმედებების შესრულება. ამ

პუნქტის შედეგი მოიცავს რეალური მაგალითის და იუმს-ის პროექტის წინასწარ გეგმას

შესაბამისი ძირითადი ეტაპებით.

ნახაზი 3 წარმოადგენს იუმს-ის პროექტის ინიცირებისთვის ხელმძღვანელობის მხრიდან

თანხმობის მიღების პროცესს.


9



5

იუმს-ის ფარგლების, საზღვრებისა და

პოლიტიკის განსაზღვრა

6

ინფორმაციული უსაფრთხოების მოთხოვნების

ანალიზის ჩატარება7

რისკების შეფასების ჩატარება და

რისკების აღმოფხვრის

დაგეგმვა8

იუმს-ის დიზაინი9

იუმს-ის პროექტის ინიცირებისთვის

მენეჯმენტის ნებართვა

დრო

მენეჯმენტის თანხმობისათვის

არგუმენტაციისა და პროექტის გეგმის

შექმნა 5.4

იუმს-ის წინასწარი ფარგლებისთვის

როლებისა და პასუხისმგებლობები

ს შემუშავება5.3.2

იუმს-ის წინასწარი

ფარგლების შემუშავება

5.3.1

იუმს-ის წინასწარი

ფარგლების დადგენა

5.3

ორგანიზაციის პრიორიტეტბის

ჩამოყალიბება იუმს-ის შემუშავებისათვის

5.2

იუმს-ის მიზნები

ორგანიზაციის ინფორმაციული

უსაფრთხოებისთვის საჭირო

მარეგულირებელი, სახელშეკრულებო და

დარგობრივი შეზღუდვების ჩამონათვალი

გამოკვეთილი მახასიათებლები

გამოკვეთილი მახასიათებლები

იუმს-ის დანერგვისათვის

როლებისა და პასუხიმგებლობებბის

აღწერა

არგუმენტაცია

იუმს-ის პროექტის

შეთავაზება

იუმს-ის პროექტის ნებართვა

დრო

ნახაზი 3 - იუმს-ის პროექტის ინიცირებისათვის ხელმძღვანელობის მხრიდან ნებართვის

მიღების მიმოხილვა


10

5.2 ორგანიზაციაში იუმს-ის შემუშავებისათვის პრიორიტეტების გამოკვეთა


ორგანიზაციის ერთ-ერთი მიზანი უნდა იყოს იუმს-ის დანერგვა ორგანიზაციის ინფორმაციული

უსაფრთხოების პრიორიტეტების და მოთხოვნების გათვალისწინებით.


ა) ორგანიზაციის სტრატეგიული მიზნები;

ბ) არსებული მართვის სისტემის მიმოხილვა;

გ)ორგანიზაციისთვის მისაღები იურიდიული, მარეგულირებელი და ხელშეკრულებით

გათვალისწინებული ინფორმაციული უსაფრთხოების მოთხოვნების ჩამონათვალი.


იუმს-ის პროექტის დასაწყებად საჭიროა ხელმძღვანელობის მხრიდან ნებართვა. ამდენად,

პირველი, რაც უნდა გაკეთდეს, არის საჭირო ინფორმაციის შეგროვება, რაც წარმოაჩენს

ორგანიზაციისთვის იუმს-ის ფასეულობას. ორგანიზაციამ მკაფიოდ უნდა ჩამოაყალიბოს, თუ

რატომ არის საჭირო იუმს, მიიღოს გადაწყვეტილება იუმს-ის დანერგვის მიზნების შესახებ და

მოახდინოს იუმს-ის პროექტის ინიცირება.

იუმს-ის დანერგვისათვის მიზნების განსაზღვრა შესაძლებელია შემდეგ კითხვებზე პასუხის

გაცემით:

ა) რისკების მართვა - როგორ გააუმჯობესებს იუმს ინფორმაციული უსაფრთოების რისკების

მართვას?

ბ) ეფექტიანობა - როგორ შეუძლია იუმს-ს გააუმჯობესოს ინფორმაციული უსაფრთხოების

მართვა?

გ) ბიზნეს უპირატესობა - როგორ შექმნის იუმს ორგანიზაციისათვის კონკურენტულ

უპირატესობას?

ამ შეკითხვებზე პასუხის გასაცემად, ორგანიზაციის უსაფრთხოების პრიორიტეტები და

მოთხოვნები დაკავშირებულია შემდეგ შესაძლო ფაქტორებთან:

ა) კრიტიკული ბიზნეს-პროცესები და ორგანიზაციული გარემოები:

1. რომელია კრიტიკული ბიზნეს-პროცესები და ორგანიზაციული გარემოები?

2. რომელი ორგანიზაციული გარემო განაპირობებს ბიზნეს-პროცესს და რაზეა იგი

კონცენტრირებული?

3. მესამე მხარესთან დადებული ხელშეკრულებების ტიპები.

4. არსებობს თუ არა რაიმე სახის გარედან მოწოდებული სერვისები?

ბ) სენსიტიური ან ფასეული ინფორმაცია:

1. რომელი ინფორმაციაა ორგანიზაციისათვის კრიტიკული?

2. რა იქნება სავარაუდო შედეგები იმისა, თუ რომელიმე ინფორმაცია გამოაშკარავდება

უნებართვოდ (მაგალითად: კონკურენტული უპირატესობის დაკარგვა, ბრენდის ან

რეპუტაციის დაზარალება, სასამართლო საქმე, და ა.შ.)?


11

გ) კანონები და მარეგულირებელი აქტები, რომლებიც იძლევიან ინფორმაციული უსაფრთხოების

საზომებს:

1. რისკების აღმოფხვრასთან ან ინფორმაციულ უსაფრთხოებასთან დაკავშირებული

რომელი კანონები მიესადაგება ორგანიზაციას?

2. არის თუ არა ორგანიზაცია საჯაროდ ფინანსურად ანგარიშვალდებული?

დ) სახელშეკრულებო ან ორგანიზაციული მოთხოვნები ინფორმაციული უსაფრთხოების

შესახებ:

1. მონაცემთა შენახვის რა მოთხოვნები არსებობს (მათ შორის შენახვის პერიოდი)?

2. არსებობს თუ არა ხელშეკრულებით გათვალისწინებული რაიმე მოთხოვნები ხარისხისა

ან კონფიდენციალურობის თვალსაზრისით (მაგალითად: სერვისის მოწოდების დონის

შესახებ შეთანხმება)?

ე) დარგობრივი მოთხოვნები, რომლებიც განსაზღვრავს ინფორმაციული უსაფრთხოების

კონტროლებს და საზომებს:

1. სექტორისთვის სპეციფიკური რომელი მოთხოვნები შეესაბამება ორგანიზაციას?

ვ) საფრთხეების გარემო:

1. რა სახის და რომელი საფრთხეებისგან დაცვაა საჭირო?

2. რომელ ინფორმაციულ კატეგორიებს სჭირდებათ დაცვა?

3. ინფორმაციის დამუშავების რა ტიპებს სჭირდებათ დაცვა?

ზ) კონკურენტული გარემო:

1. რა არის ბაზრის მინიმალური მოთხოვნები ინფორმაციის უსაფრთხოებისათვის?

2. კონკურენტულმა უპირატესობებმა რა დამატებითი კონტროლის მექნიზმები უნდა

უზრუნველყოს ორგანიზაციის ინფორმაციული უსაფრთხოებისათვის?

თ) ბიზნეს-პროცესების უწყვეტობის მოთხოვნები:

1. რომლებია კრიტიკული ბიზნესპ-როცესები?

2. რამდენ ხანს შეუძლია ორგანიზაციას გაუძლოს თითოეული კრიტიკული ბიზნეს-

პროცესის წყვეტას?

იუმს-ის წინასწარი მიზნები შეიძლება დადგინდეს ზემოთ ჩამოთვლილ შეკითხვებზე პასუხის

გაცემით. ეს ასევე აუცილებელია რეალური მაგალითისა და იუმს-ის პროექტის გეგმის

მოსამზადებლად, რათა ხელმძღვანელობამ დაამტკიცოს ისინი. იუმს-ის საზღვრების დადგენა

მოხდება იუმს-ის პროექტის შემუშავების დროს.

ზოგიერთი საკითხი, რომელიც გათვალისწინებული უნდა იყოს გადაწყვეტილების მიღებისას:

ა) რა ამოცანები აქვს ინფორმაციული უსაფრთხოების მართვას და რა ვალდებულებები ეკისრება

ორგანიზაციას გარედან და ხელმძღვანელობის მხრიდან?

ბ) არის თუ არა ერთზე მეტი მმართველი ჯგუფი პასუხისმგებელი შემოთავაზებულ სისტემაზე ?

(მაგალითად: სხვადასხვა ფილიალების ან დეპარტამენტების თანამშრომლები)?

გ) როგორია იუმს-სთან დაკავშირებული დოკუმენტაციის კომუნიკაცია ორგანიზაციის

ფარგლებში (მაგალითად: ქაღალდებით თუ კორპორატიული ინტრანეტის მეშვეობით)?

იუმს-ის მიზნები შეიძლება იყოს:

ა) ბიზნეს-პროცესების უწყვეტობისა და ავარიული სიტუაციების შემდეგ აღდგენის გამარტივება;


12

ბ) ინციდენტებზე რეგირების მოქნილობის გაუმჯობესება;

გ) იურიდიული და სახელშეკრულებო ვალდებულებების გათვალისწინება;

დ) სერტიფიცირების შესაძლებლობა;

ე) ორგანიზაციის განვითარება;

ვ) უსაფრთხოებასთან დაკავშირებული ხარჯების შემცირება;

ზ) სტრატეგიული ღირებულების მქონე აქტივების დაცვა;

თ) ეფექტიანი და ჯანსაღი შიდა კონტროლის მექნიზმების გარემოს შექმნა;

ი) დაინტერესებული პირებისთვის გარანტიების შექმნა იმის თაობაზე, რომ ინფორმაციული

აქტივები წესისამებრაა დაცული.

შედეგი

ამ ქმედების შედეგი არის:

ა) იუმს-ის მიზნების, ინფორმაციული უსაფრთხოების პრიორიტეტების და ორგანიზაციული

მოთხოვნების შემაჯამებელი დოკუმენტი.

ბ) მარეგულირებელი, ხელშეკრულებით გათვალისწინებული და დარგობრივი მოთხოვნების

ჩამონათვალი, რაც დაკავშირებულია ორგანიზაციის ინფორმაციულ უსაფრთხოებასთან.

გ) ბიზნესის, ორგანიზაციის, მისი ადგილმდებარეობის, აქტივებისა და ტექნოლოგიების

მახასიათებლები.

5.3 იუმს-ის წინასწარი საზღვრების დადგენა

5.3.1 იუმს-ის წინასწარი საზღვრების დადგენა


იუმს-ის დანერგვის მიზნები უნდა მოიცავდეს იუმს-ის წინასწარი გავრცელების სფეროს,

საზღვრების დადგენას.


ქმედება 5.2-ის შედეგი. ორგანიზაციაში იუმს-ის შემუშავებისათვის პრიორიტეტების გამოკვეთა.


იუმს-ის დანერგვის პროექტის ხელმძღვანელობისათვის განსაზღვრული უნდა იყოს

ორგანიზაციის სტრუქტურა. იუმს-ის წინასწარი საზღვრების დადგენა საჭიროა, რათა შეიქმნას

რეალური მაგალითი და შემოთავაზებული პროექტი დაამტკიცოს ხელმძღვანელობამ.

ამ ეტაპის შედეგი არის იუმს-ის საწყისი საზღვრების ამსახველი დოკუმენტი, რომელიც ასევე

მოიცავს:

ა) ორგანიზაციის ხელმძღვანელობის მიერ დადგენილი ინფორმაციული უსაფრთხოების

მართვის ამოცანების შეჯამებას და ორგანიზაციაზე გარედან დაკისრებულ ვალდებულებებს;

ბ) იმის აღწერას თუ როგორ ურთერთქმედებაშია გარემო სხვა მართვის სისტემებთან;

გ) ინფორმაციული უსაფრთხოების მართვის მიზნების ჩამონათვალი (პუნქტი 5.2);


13

დ) იმ კრიტიკული ბიზნეს-პროცესების, სისტემების, ინფორმაციული აქტივების,

ორგანიზაციული სტრუქტურის და გეოგრაფიული ადგილმდებარეობის ჩამონათვალი,

რომლებზეც უნდა ვრცელდებოდეს იუმს;

ე) არსებული მართვის სისტემების, რეგულაციების, თავსებადობის და ორგანიზაციის მიზნების

ურთიერთდამოკიდებულება;

ვ) ბიზნესის, ორგანიზაციის, მისი ადგილმდებარეობის, აქტივებისა და ტექნოლოგიის

მახასიათებლები.

დადგენილი უნდა იყოს არსებულ მართვის სისტემასა და შემოთავაზებულ იუმს-ს შორის

არსებული საერთო და განმასხვავებელი ელემენტები .

შედეგი

დოკუმენტი, რომელიც აღწერს იუმს-ის საწყის საზღვრებს.

5.3.2 იუმს-ის საწყის ფარგლებში ჩართული როლებისა და პასუხისმგებლობების განსაზღვრა


ყველა როლი და პასუხისმგებლობა უნდა იყოს დადგენილი.


ა) 5.3.1 -ის შედეგი იუმს-ის წინასწარი საზღვრების გავრცელების სფეროს დადგენა;

ბ) იმ დაინტერესებული პირების ჩამონათვალი, რომლებზეც დადებითად აისახება იუმს-ის

პროექტის შედეგები.


იუმს-ის პროექტის ხელმძღვანელობისათვის საჭიროა განისაზღვროს ორგანიზაციის როლი

მოცემული პროექტისათვის. ყოველ ორგანიზაციაში როლი სხვადასხვანაირია, რაც

განპირობებულია ინფორმაციული უსაფრთხოებით დაკავებული ადამიანების რაოდენობით.

ინფორმაციული უსაფრთხოების რესურსები და ორგანიზაციული სტრუქტურა იცვლება

ორგანიზაციის ტიპის, ზომისა და სტრუქტურის მიხედვით. მაგალითად, პატარა ორგანიზაციაში

ერთსა და იმავე პიროვნებას შეიძლება ქონდეს რამდენიმე როლი, მაგრამ ხელმძღვანელობამ

ნათლად უნდა გამოკვეთოს შესაბამისი როლი ინფორმაციული უსაფრთხოების სამართავად

(მაგალითად, ინფორმაციული უსაფრთხოების ოფიცერი, ინფორმაციული უსაფრთხოების

მენეჯერი და ა.შ.) რიგით თანამშრომლებსაც, შესაბამისად, უნდა მიენიჭოს როლები და

პასუხისმგებლობები მათზე დაკისრებული საქმიანობის განსახორციელებლად საჭირო უნარ-

ჩვევებზე დაყრდნობით. მნიშვნელოვანია იმის უზრუნველყოფა, რომ დავალებები შესრულდეს

ეფექტურად და ეფექტიანად.

ინფორმაციული უსაფრთხოების მართვაში როლების განსაზღვრისათვის ყველაზე

მნიშვნელოვანი მოსაზრება არის:

ა) დავალებებზე მთელი პასუხისმგებლობა რჩება ხელმძღვანელობის დონეზე,


14

ბ)ერთი პიროვნება (როგორც წესი ინფორმაციული უსაფრთხოების უფროსი ოფიცერი) ინიშნება

ინფორმაციული უსაფრთხოების პროცესის ხელშეწყობისა და კოორდინირებისათვის,

გ) თითოეული თანამშრომელი თანაბრად პასუხისმგებელია საკუთარ დავალებებსა და

ინფორმაციული უსაფრთხოების დაცვაზე სამუშაო ადგილსა და ორგანიზაციაში.

ინფორმაციული უსაფრთხოების მართვაში ჩართულმა პირებმა უნდა ითანამშრომლონ;

მაგალითად, ეს შეიძლება განხორციელდეს ინფორმაციული უსაფრთხოების საბჭოს ფორმატით,

ან მსგავსი ორგანოებით.

უზრუნველყოფილი უნდა იყოს შესაბამის დარგობრივ სპეციალისტებთან თანამშრომლობა (და

ამის დოკუმენტირება) იუმს-ის შემუშავების, დანერგვის, ფუნქციონირების და მხარდაჭერის

ყველა ეტაპზე.

დანერგვის ჯგუფის წევრები არიან შესაბამისი დეპარატმენტების წარმომადგენლები. ეს ჯგუფი

უნდა უზრუნველყოფდეს რესურსების სწრაფ და ეფექტიან გამოყენებას. ასეთი მხარეები არ

არიან მხოლოდ იუმს-ის საზღვრებში დაფიქსირებული მხარეები, არამედ ასევე ირიბად

დაკავშირებული განყოფილებები, როგორიცაა, მაგალითად, იურიდიული, რისკების მართვისა

და ადმინისტარციული დეპარტამენტები.

შედეგი

დოკუმენტი ან ცხრილი, რომელიც აღწერს როლებსა და პასუხისმგებლობებს სახელებითა და

გვარებით, ასევე იმ ორგანიზაციის მითითებით, რომელსაც სჭირდება იუმს-ის წარმატებული

დანერგვა.


დანართი ბ წარმოადგენს ორგანიზაციაში საჭირო როლებისა და პასუხისმგებლობების

დეტალებს, რათა წარმატებულად განხორციელდეს იუმს.

5.4 რეალური მაგალითისა და პროექტის გეგმის შექმნა ხელმძღვანელობის

მხრიდან თანხმობის მისაღებად


ხელმძღვანელობის თანხმობა და რესურსების გამოყოფა იუმს-ის დანერგვის პროექტისათვის

მოპოვებული უნდა იქნას რეალური მაგალითის შექმნითა და იუმს-ის პროექტის შეთავაზებით.


ა) 5.2-ის შედეგი

ბ) 5.3-ის შედეგი - დოკუმენტირებული:

1. იუმს-ის წინასწარი საზღვრები და

2. მასთან დაკავშირებული როლები და პასუხისმგებლობები.



15

არგუმენტაციაში ასახული ინფორმაცია და იუმს-ის საწყისი პროექტის გეგმა უნდა მოიცავდეს

დაანგარიშებულ დროს, რესურსებს და ძირითად ეტაპებს, რომლებიც საჭიროა მოცემული

სტანდარტის 6-ე და 9-ე პუნქტებში განსაზღვრული ქმედებების შესასრულებლად.

რეალური მაგალითი და იუმს-ის საწყისი პროექტის გეგმა წარმოადგენენ პროექტის

საფუძველს, მაგრამ ასევე უზრუნველყოფენ ხელმძღვანელობის მხრიდან ნებართვასა და საჭირო

რესურსების გამოყოფას იუმს-ის დანერგვისათვის. მეთოდი, რომლითაც დანერგილი იუმს

უზრუნველყოფს დასახული მიზნების მიღწევას, თავის წვლილს შეიტანს ორგანიზაციის

პროცესების ეფექტიანობაში და გაზრდის ბიზნესის ეფექტიანობას.

იუმს-ის დანერგვის რეალური მაგალითი უნდა მოიცავდეს ორგანიზაციის მიზნების მოკლე

ფორმულირებებს და ასევე შემდეგ საკითხებს:

1. სპეციფიკური მიზნები;

2. ორგანიზაციის სარგებელი;

3. იუმს-ის წინასწარ საზღვრებში მოქცეული-ბიზნეს პროცესები, რომლებზეც ის ახდენს

გავლენას;

4. იუმს-ის მიზნების მისაღწევად კრიტიკული ფაქტორები და პროცესები;

5. პროექტის მიმოხილვა მაღალ დონეზე;

6. წინასწარი დანერგვის გეგმა;

7. დადგენილი როლები და პასუხისმგებლობები;

8. საჭირო რესურსები (ტექნოლოგია და ადამიანები);

9. დანერგვის შესახებ მოსაზრებები, მათ შორის არსებული ინფორმაციული უსაფრთხოება;

10. დანერგვის დრო და ძირითადი ეტაპები;

11. მოსალოდნელი ხარჯები;

12. წარმატების კრიტიკული ფაქტორები;

13. ორგანიზაციისათვის მოტანილი სარგებლის რაოდენობის განსაზღვრა.

პროექტის გეგმა უნდა მოიცავდეს 6-9 პუნქტებში აღწერილი ეტაპების ქმედებებს.

უნდა განისაზღვროს ის ინდივიდები, რომლებიც იუმს-ზე ახდენენ გავლენას, ან მისი გავლენის

ქვეშ იმყოფებიან და მიეცეთ დრო იუმს-ის რეალურ მაგალითებსა და იუმს-ის შემოთავაზებულ

პროექტზე კომენტარების გამოთქმისთვის. რეალური მაგალითი და იუმს-ის პროექტის

შეთავაზება უნდა განახლდეს საჭიროებისამებრ. როგორც კი მიღებული იქნება შესაბამისი

მხარდაჭერა, რეალური მაგალითი და იუმს-ის პროექტი უნდა წარედგინოს ხელმძღვანელობას

დანერგვის ნებართვის მისაღებად.

ხელმძღვანელობა უნდა დაეთანხმოს რეალურ მაგალითს და საწყისი პროექტის გეგმას, რათა

უზრუნველყოფილი იყოს მთელი ორგანიზაციის მხრიდან მზადყოფნა და დაიწყოს იუმს-ის

პროექტის შესრულება.

ხელმძღვანელობის მხრიდან იუმს-ის დანერგვაზე თანხმობას გააჩნია შემდეგი დადებითი

მხარეები:

1. ინფორმაციულ უსაფრთხოებასთან დაკავშირებული მნიშვნელოვანი კანონების,

რეგულაციების, სახელშეკრულებო ვალდებულებების და სტანდარტების ცოდნა და

დანერგვა, რაც გამოიწვევს სანქციებისა და ჯარიმების თავიდან აცილებას,


16

2. ინფორმაციული უსაფრთხოების უზრუნველსაყოფად სხვადასხვაგვარი პროცესების

ეფექტიანი გამოყენება,

3. ინფორმაციული უსაფრთხოების რისკების გაუმჯობესებული მართვის შედეგად

მიღწეული სტაბილურობა;

4. ბიზნესისთვის კრიტიკული ინფორმაციის იდენტიფიცირება და დაცვა.

შედეგი

ამ აქტივობის შედეგებია:

1. ხელმძღვანელობის მხრიდან მოთხოვნილი რესურსებით იუმს-ის პროექტის

განხორციელებაზე დოკუმენტირებული თანხმობა ;

2. დოკუმენტირებული რეალური მაგალითი;

3. იუმს-ის პროექტის საწყისი შეთავაზება ისეთი ძირითადი ეტაპებით, როგორებიცაა

რისკების შეფასება, დანერგვა, შიდა აუდიტი და ხელმძღვანელობის მხრიდან

განხილვა.


მგს 27000:2011 იუმს-ის რეალური მაგალითი.6 იუმს-ის გავრცელების სფეროს, საზღვრების და

იუმს-ის პოლიტიკის დადგენა

6.1 იუმს-ის გავრცელების სფეროს, საზღვრებისა და იუმს-ის პოლიტიკის

მიმოხილვა

იუმს-ის დანერგვისათვის ხელმძღვანელობის თანხმობა ეფუძნება იუმს-ის წინასწარ დადგენილ

საზღვრებს, იუმს-ის რეალურ მაგალითს და პროექტის საწყის გეგმას. გავრცელების სფეროსა და

საზღვრების დეტალური განმარტება, იუმს-ის პოლიტიკის განსაზღვრა და მასზე თანხმობა და

მხარდაჭერა ხელმძღვანელობის მხრიდან არის იუმს-ის წარმატებული დანერგვის ძირითადი

ფაქტორები.

ამდენად, ამ ეტაპის მიზნებია:

მიზნები:

იუმს-ის გავრცელების სფეროს და მისი დეტალური საზღვრების დადგენა და იუმს-ის

პოლიტიკის შემუშავება, ასევე ხელმძღვანელობის მხრიდან მხარდაჭერის მოპოვება.


უსაფრთხოების მართვის სისტემები–მოთხოვნები. : 4.2.1 ა) და 4.2.1 ბ)

იმისათვის, რომ დადგინდეს იუმს-ის გავრცელების სფერო და მისი საზღვრები, საჭიროა

შემდეგი ქმედებების შესრულება:

ა) განისაზღვროს ორგანიზაციული ფარგლები და საზღვრები,

ბ)ინფორმაციული საკომუნიკაციო ტექნოლოგიების გავრცელების სფერო და მისი

საზღვრები და


17

გ) ფიზიკური გავრცელების სფერო და საზღვრები.

დ) მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები) 4.2.1 ა) და ბ)-ში

დადგენილი მახასიათებლები, როგორებიცაა ბიზნესი, ორგანიზაცია, ადგილმდებარეობა,

აქტივები და ფარგლებისა და საზღვრების ტექნოლოგიური ასპექტები, ასევე პოლიტიკა

განისაზღვრება ამ ფარგლებისა და საზღვრების დადგენის პროცესში.

ე) თავდაპირველი ფარგლებისა და საზღვრების ინტეგრირება იუმს-ის ფარგლებისა და

საზღვრების დასადგენად.

ორგანიზაციისათვის ეფექტური მართვის სისტემის შესაქმნელად, იუმს-ის დეტალური

საზღვრები დადგენილი უნდა იყოს ორგანიზაციის კრიტიკული ინფორმაციული აქტივების

გათვალისწინებით. მნიშვნელოვანია არსებობდეს საერთო ტერმინოლოგია და სისტემური

მიდგომა ინფორმაციული აქტივების აღმოჩენისადმი და სიცოცხლისუნარიანი უსაფრთხოების

მექანიზმების შეფასებისადმი. ეს დანერგვის ყველა ეტაპზე მარტივი კომუნიკაციის საშუალებას

იძლევა. ასევე მნიშვნელოვანია კრიტიკული ორგანიზაციული მხარეების ჩართვა დადგენილ

საზღვრებში.



5

იუმს-ის ფარგლების, ჩარჩოების და

პოლიტიკის დადგენა6









დრო

იუმს-ის ფარგლები და ჩარჩოები



18

იუმს-ის პოლიტიკის შემუშავება და მენეჯმენტის

მხრიდან ნებართვის მიღება

6.6

თითოეული ზღვარის ინტეგრირება იუმს-ის საბოლოო ფარგლებისა

და ჩარჩოების მისაღებად

6.5

ფიზიკური ფარგლებისა და

ჩარჩოების განასზღვრა

6.4

საინფორმაციო საკომუნიკაციო ტექნოლოგიის

ფარგლებისა და ჩარჩოების განსაზღვრა

6.3

ორგანიზაციული ფარგლებისა და

ჩარჩოების განსაზღვრა

6.2

იუმს-თვის ორგანიზაციული

ფარგლები

საინფორმაციო საკომუნიკაციო

ტექნოლოგიების ფარგლები და ჩარჩოები

ფიზიკური ფარგლები და


იუმს-ის ფარგელბი და



დრო

ცხრილი 4 - იუმს-ის გავრელების სფეროს, საზღვრების და იუმს-ის პოლიტიკის მიმოხილვა

6.2 ორგანიზაციული ფარგლებისა და საზღვრების დადგენა


უნდა განისაზღვროს ორგანიზაციული ფარგლები და საზღვრები


ა) 5.3-ის შედეგი - დოკუმენტირებული იუმს-ის გავრცელების სფერო, რომელიც ეხება:

1. არსებული მართვის სისტემის, რეგულაციების, თავსებადობის და ორგანიზაციის

მიზნების ურთიერთდამოკიდებულებას;

2. ბიზნესის, ორგანიზაციის, მისი ადგილმდებარეობის, აქტივების და ტექნოლოგიის

მახასიათებლებს.


19

გ) 5.2-ის შედეგი - იუმს-ის განსახორციელებლად ხელმძღვანელობის დოკუმენტირებული

თანხმობა და აუცილებელი რესურსებით პროექტის დაწყება.


იუმს-ის დანერგვისათვის საჭირო ძალისხმევა დამოკიდებულია მის მასშტაბზე, ამან შესაძლოა

გავლენა მოახდინოს ასევე ყველა იმ ქმედებაზე, რაც დაკავშირებულია ინფორმაციული

უსაფრთხოების შენარჩუნებასთან (პროცესი, ფიზიკური ადგილმდებარეობა, ინფორმაციული

ტექნოლოგიების სისტემები და ადამიანები), მათ შორის დანერგვა და კონტროლის მექნიზმები,

ოპერაციების მართვა და ამოცანების განხორციელება, როგორიცაა ინფორმაციული აქტივების

აღმოჩენა და რისკების შეფასება. თუ ხელმძღვანელობა გადაწყვეტს უშუალოდ

უხელმძღვანელოს ორგანიზაციის რომელიმე ნაწილს იუმს-ის ფარგლებიდან, ამის მიზეზი

აუცილებლად უნდა იყოს დოკუმენტირებული.

როდესად იუმს-ის ფარგლები დადგენილია, აუცილებელია მისი საზღვრების გასაგებად

განმარტება იმ პირებისათვის, რომლებიც არ იყვნენ ჩართული მათი დადგენის პროცესში.

ინფორმაციული უსაფრთხოების ზოგიერთი კონტროლის მექანიზმი შეიძლება ჯერ კიდევ

არსებობდეს სხვა მართვის სისტემების გამოყენების შედეგად. ეს აუცილებლად უნდა იქნას

გათვალისწინებული იუმს-ის დაგეგმვისას.

ორგანიზაციული საზღვრების დადგენისას გათვალისწინებული უნდა იყოს შემდეგი

ფაქტორები:

1. იუმს-ის ხელმძღვანელობის საბჭო უნდა შედგებოდეს იმ მენეჯერებისაგან, რომლებიც

პირდაპირ არიან ჩართული იუმს-ის ფარგლებში;

2. იუმს-ის ხელმძღვანელობის წევრი უნდა იყოს ის პირი, რომელიც პასუხისმგებელია

ყველა არსებულ გარემოებაზე;

3. თუ იუმს-ის მართვაზე პასუხისმგებელი პირი არ არის უმაღლესი რანგის

ხელმძღვანელობის წევრი, მაშინ უმაღლესი რანგის ხელმძღვანელობიდან

დაინტერესებულმა უფლებამოსილმა პირმა უნდა წაროადგინოს ინფორმაციული

უსაფრთხოების ინტერესები და იმოქმედოს, როგორც იუმს-ის ინტერესების დამცველმა

ორგანიზაციის უმაღლეს დონეზე.

4. ფარგლებისა და საზღვრების დადგენამ უნდა უზრუნველყოს რისკებზე რეაგირება,

რისკების შეფასებისას ყველა საჭირო აქტივის გათვალისწინებით.

თუ რომელიმე პროცესი არის გარედან, მესამე მხარის მიერ შემოთავაზებული, აუცილებლად

უნდა მოხდეს მისი დოკუმენტირება.

შედეგი

ამ ქმედების შედეგებია:

1. იუმს-თვის ორგანიზაციული საზღვრების აღწერა ( მათ შორის იუმს-ის ფარგლებიდან

ამოღებული ორგანიზაციული ნაწილის აღწერა),

2. იუმს-ის ფარგლებში არსებული ორგანიზაციული ნაწილის ფუნქციები და სტრუქტურა,

3. გაცვლილი (გაზიარებული) ინფორმაციის იდენტიფიცირება (ფარგლებისა და

საზღვრების გათვალისწინებით),


20

4. ფარგლებსა და მის გარეთ არსებულ ინფორმაციულ აქტივებზე პასუხისგმებლობები და

ორგანიზაციული პროცესები,

5. გადაწყვეტილების მიღების იერარქიული სტრუქტურა და იერარქია.

6.3 ინფორმაციული საკომუნიკაციო ტექნოლოგიის ფარგლებისა და საზღვრების

დადგენა


განსაზღვრული უნდა იყოს ინფორმაციული საკომუნიკაციო ტექნოლოგიის ელემენტების

ფარგლები და საზღვრები და სხვა ტექნოლოგიური საკითხები.


ა) 5.3-ის შედეგი - იუმს-ის წინასწარი ფარგლების ამსახველი დოკუმენტი

ბ) 6.2-ის შედეგი - ორგანიზაციული საზღვრებისა და ჩარჩოების განსაზღვრა


ინფორმაციული საკომუნიკაციო ტექნოლოგიების ფარგლების და საზღვრების დადგენა ხდება

ინფორმაციული სისტემის გათვალისწინებით (და არა ი.ტ-ზე დაფუძნებული მიდგომით).

როდესაც არსებობს ხელმძღვანელობის გადაწყვეტილება იუმს-ში ჩართული იყოს

ინფორმაციული სისტემის ბიზნეს-პროცესები, ამასთან ერთად გათვალისწინებული უნდა იყოს

ინფორმაციულ-საკომუნიკაციო ტექნოლოგიებთან დაკავშირებული ყველა ელემენტი. ეს

მოიცავს ორგანიზაციის ყველა იმ ნაწილს, რომელიც ინახავს, ამუშავებს და ახდენს კრიტიკული

ინფორმაციის, აქტივების გადაცემას, ან რომლებიც კრიტიკულია ორგანიზაციის ნაწილისათვის.

ინფორმაციული სისტემები შეიძლება მოიცავდეს ორგანიზაციულ ან სახელმწიფო საზღვრებს.

ასეთ შემთხვევაში გათვალისწინებული უნდა იყოს შემდეგი:

1. სოციალურ-კულტურული გარემო;

2. ორგანიზაციის შესაბამისი იურიდიული, მარეგულირებელი და სახელშეკრულებო

მოთხოვნები;

3. ძირითადი პასუხისმგებლობების ანგარიშავლდებულება;

4. ტექნიკური შეზღუდვები (მაგალითად: სიხშირის გამტარობის შესაძლებლობა, სერვისის

ხელმისაწვდომობა და ა.შ.);

ზემოთ ჩამოთვლილის გათვალისწინებით, ინფორმაციული საკომუნიკაციო ტექნოლოგიების

საზღვრები ასევე საჭიროების შემთხვევაში უნდა მოიცავდეს შემდეგი საკითხების აღწერას:

1. კომუნიკაციების ინფრასტრუქტურა, სადაც მენეჯერული პასუხისმგებლობა

ორგანიზაციას აკისრია (მათ შორის სხავდასხვა ტექნოლოგიები, მაგალითად: უსადენო,

კაბელიანი, მონაცემთა გადაცემის/სატელეფონო ქსელები).

2. ინფორმაციული საკომუნიკაციო ტექნოლოგიების აპარატურა, რომელიც საჭიროა ქსელის

ან ქსელებისთვის, თანხლების ან საწარმოო სისტემებისთვის.


21

3. როლები და პასუხისმგებლობები ინფორმაციული საკომუნიკაციო ტექნოლოგიების

აპარატურაზე, ქსელსა და პროგრამებზე.

თუ ზემოთ ჩამოთვლილი ერთი ან მეტი პუნქტი არ კონტროლდება ორგანიზაციის მიერ, მაშინ

მესამე მხარის დამოკიდებულებები უნდა იქნას დოკუმენტირებული. იხილეთ 6.2

სახელმძღვანელო მითითებები.

შედეგი


1. ინფორმაციული საკომუნიკაციო ტექნოლოგიების ფარგლებში და მის საზღვრებს გარეთ

გასული ინფორმაცია;

2. იუმს-თვის ფიზიკური ფარგლების აღწერა, მათ შორის ორგანიზაციის ხელმძღვანელობის

მიერ უგულვებელყოფილი ინფორმაციული საკომუნიკაციო ტექნოლოგიები;

3. ინფორმაციული სისტემები და სატელეკომუნიკაციო ქსელები, რომლებიც აღწერს ამ

სისტემების ფარგლებში არსებულ როლებსა და პასუხისმგებლობებს. ფარგლებს გარეთ

არსებული სისტემები ზოგადად უნდა იქნას ფორმულირებული.

6.4 ფიზიკური ფარგლების და საზღვრების დადგენა


იუმს-ში არსებული ფიზიკური ფარგლების და საზღვრების დადგენა აუცილებელია.


1. 5.3-ის შედეგი - დოკუმენტი იუმს-ის წინასწარი ფარგლების შესახებ;

2. 6.2-ის შედეგი - ორგანიზაციული ფარგლებისა და საზღვრების დადგენა;

3. 6.3-ის შედეგი - ინფორმაციული საკომუნიკაციო ტექნოლოგიების ფარგლებისა და

საზღვრების დადგენა.


ფიზიკური ფარგლების და საზღვრების დადგენა მოიცავს ორგანიზაციის ადგილმდებარეობის ან

აპარატურის იდენტიფიცირებას, რაც იუმს-ის ნაწილი უნდა იყოს. ამოცანა უფრო

კომპლექსურია, როდესაც საქმე გვაქვს ინფორმაციულ სისტემებთან, რომლებიც კვეთენ

ფიზიკურ საზღვრებს და საჭირო ხდება:

1. დაშორებული ინფრასტრუქტურა;

2. მესამე მხარის მიერ გაწეული მომსახურების და ინფორმაციული სისტემების

ინტერფეისების გამოყენება მომხმარებლებისათვის;

3. შესაბამისი ინტერფეისები და მომსახურების დონეები.


22

ზემოთ ჩამოთვლილის გათვალისწინებით, ფიზიკური საზღვრები უნდა მოიცავდეს შემდეგი

საკითხების აღწერას:

1. პროცესების ან ფუნქციების აღწერა, რომლებიც ითვალისწინებს მათ ფიზიკურ

ადგილმდებარეობას და ორგანიზაციის კონტროლის ობიექტების მოცულობის გაზრდას;

2. ინფორმაციული საკომუნიკაციო ტექნოლოგიების აპარატურა ან მოცემულ საზღვრებში

არსებული მონაცემების შენახვის მიზნით გამოყენებული სპეციალური აღჭურვილობა

(მაგალითად: სარეზერვო ფირები).

თუ ზემოთ ჩამოთვლილი ერთი ან მეტი პუნქტი არ კონტროლდება ორგანიზაციის მიერ, მაშინ

მესამე მხარის ვალდებულებები უნდა იქნას დოკუმენტირებული. იხილეთ 6.2 სახელმძღვანელო

მითითებები.

შედეგი


1. იუმს-თვის ფიზიკური ფარგლების აღწერა, მათ შორის ორგანიზაციის ხელმძღვანელობის

მიერ უგულვებელყოფილი ფიზიკური ფარგლებიც).

2. საზღვრების დადგენისთვის აუცილებელი ორგანიზაციული და გეოგრაფიული

მახასიათებლების აღწერა.

6.5 თითოეული გავრცელების სფეროს და საზღვრის ინტეგრირება იუმს-ის

გავრცელების სფეროსა და საზღვრების დასადგენად


იუმს-ის გავრცელების სფეროს და საზღვრების დადგენა ხდება თითოეული გავრცელების

სფეროს და საზღვრის ინტეგრირებით.


1. 5.3-ის შედეგი - იუმს-ის ფარგლების წინასწარი დოკუმენტი

2. 6.2-ის შედეგი - ორგანიზაციული ფარგლების და საზღვრების დადგენა

3. 6.3-ის შედეგი - ინფორმაციული საკომუნიკაციო ტექნოლოგიების ფარგლების და

საზღვრების დადგენა;

4. 6.4-ის შედეგი - ფიზიკური ფარგლებისა და საზღვრების დადგენა.


იუმს-ის გავრცელების სფერო შეიძლება აღიწეროს და განიმარტოს მრავალნაირად. მაგალითად,

ფიზიკური ადგილმდებარეობა, როგორიცაა მონაცემთა ცენტრი, ან ოფისი და მისი კრიტიკული

პროცესების ჩამონათვალი; თითოეული მათგანი მოიცავს მონაცემთა ცენტრის გარეთ არსებულ


23

გარემოს, რომელსაც ჩართავს თავის ფარგლებში. მაგალითად, ერთ-ერთი ასეთი კრიტიკული

პროცესი შეიძლება იყოს ცენტრალურ ინფორმაციულ სისტემასთან. დისტანციური წვდომა

შედეგი

ამ ქმედების შედეგი არის დოკუმენტი, რომელიც აღწერს იუმს-ის გავრცელების სფეროსა და

საზღვრებს და შეიცავს შემდეგ ინფორმაციას:

1. ორგანიზაციის ძირითადი მახასიათებლები (მისი ფუნქცია, სტრუქტურა, სერვისები,

აქტივები, თითოეულ აქტივზე პასუხისმგებლობების ფარგლები და საზღვრები);

2. ფარგლებს შიგნით არსებული ორგანიზაციული პროცესები;

3. ფარგლებს შიგნით არსებული აღჭურვილობისა და ქსელების კონფიგურაცია;

4. ფარგლებს შიგნით არსებული ინფორმაციული აქტივების წინასწარი ჩამონათვალი;

5. ფარგლებს შიგნით არსებული ინფორმაციული საკომუნიკაციო ტექნოლოგიების

აქტივების ჩამონათვალი (მაგალითად, სერვერები);

6. ფარგლებს შიგნით არსებული ადგილმდებარეობების რუქები, რომლებიც მიუთითებენ

იუმს-ის ფიზიკურ საზღვრებს;

7. იუმს-ის ფარგლებში არსებული როლებისა და პასუხისმგებლობების აღწერები და მათი

ურთიერთობები ორგანიზაციულ სტრუქტურასთან;

8. იუმს-ის ფარგლებიდან ამოღებული საკითხების დეტალები და განმარტებები.

6.6 იუმს-ის პოლიტიკის შემუშავება და ხელმძღვანელობის მხრიდან თანხმობის

მიღება


უნდა შემუშავდეს იუმს-ის პოლიტიკა და ხელმძღვანელობის მხრიდან უნდა იქნას მიღებული

თანხმობა.


1. 6.5-ის შედეგი - დოკუმენტირებული იუმს-ის ფარგლები და საზღვრები;

2. 5.2-ის შედეგი - იუმს-ის დანერგვის დოკუმენტირებული მიზნები;

3. 5.4-ის შედეგი - დოკუმენტირებული:

ორგანიზაციის მოთხოვნები და ინფორმაციული უსაფრთხოების პრიორიტეტები,

იუმს-ის დანერგვის საწყისი პროექტის გეგმა ისეთი ძირითადი საკითხებით,

როგორიცაა რისკების შეფასების შესრულება, დანერგვა, შიდა აუდიტები და

ხელმძღვანელობის მხრიდან მიმოხილვა.



24

იუმს-ის პოლიტიკის განსაზღვრისას გათვალისწინებული უნდა იყოს შემდეგი ასპექტები:

1. იუმს-ის ისეთი მიზნების დადგენა, რომლებიც ეფუძნება ორგანიზაციის მოთხოვნებსა და

ორგანიზაციის ინფორმაციული უსაფრთხოების პრიორიტეტებს;

2. იუმს-ის მიზნების მისაღწევად განსახორციელებელი ქმედებების ხელმძღვანელობა;

3. ორგანიზაციის მოთხოვნების, იურიდიული, მარეგულირებელი და სახელშეკრულებო

ვალდებულებების მხედველობაში მიღება (ინფორმაციული უსაფრთხოების კუთხით);

4. რისკების მართვის გარემო ორგანიზაციის ფარგლებში;

5. რისკების შეფასებისათვის (იხილეთ მგს 27005:2011 ინფორმაციული უსაფრთხოების რისკების

მართვა) კრიტერიუმების დადგენა და რისკების შეფასების სტრუქტურის განსაზღვრა;

6. იუმს-ის გათვალისწინებით მაღალი დონის მენეჯერული პასუხისმგებლობების

გამოკვეთა;

7. ხელმძღვანელობის მხრიდან თანხმობის მიღება.

შედეგი

დოკუმენტი, რომელიც წარმოადგენს ხელმძღვანელობის მიერ დამტკიცებულ იუმს-ის

პოლიტიკას. მოცემული დოკუმენტი მოგვიანებით, პროექტის მომდევნო ეტაპზე უნდა იქნას

ხელახლა დამოწმებული, რადგანაც იგი დამოკიდებულია რისკების შეფასების შედეგებზე.


მგს 27005:2011 ინფორმაციული უსაფრთხოების რისკების მართვა) წარმოადგენს დამატებით

ინფორმაციას რისკების შეფასების კრიტერიუმების შესახებ.

7 ინფორმაციული უსაფრთხოების მოთხოვნების ანალიზი

7.1 ინფორმაციული უსაფრთხოების მოთხოვნების ანალიზის ჩატარების

განხილვა

ორგანიზაციაში არსებული სიტუაციის ანალიზი მნიშვნელოვანია, რადგანაც არსებობს ისეთი

მოთხოვნები და ინფორმაციული აქტივები, რომლებიც აუცილებლად უნდა იყოს

გათვალისწინებული იუმს-ის დანერგვისას. ამ ეტაპზე აღწერილი ქმედებები შესაძლოა

განხორციელდეს მე-6 პუნქტში აღწერილი ქმედებების პარალელურად, რათა

უზრუნველყოფილი იყოს ეფექტურობა და პრაქტიკულობა.

მიზნები:

საჭირო მოთხოვნების დასადგენად, რასაც მხარი უნდა დაუჭიროს იუმს-მ, უნდა

განისაზღვროს ინფორმაციული აქტივები და ასევე დადგენილი უნდა იყოს ინფორმაციული

უსაფრთხოების მიმდინარე სტატუსი არსებულ ფარგლებში.


25

მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები): 4.2.1.გ) 1) ნაწილობრივ,

4.2.1. დ), 4.2.1. ე)

ინფორმაციული უსაფრთხოების ანალიზის შედეგად მოპოვებულმა ინფორმაციამ უნდა:

უზრუნველყოს ხელმძღვანელობა საწყისი ინფორმაციით (მაგალითად, ზუსტი ძირითადი

მონაცემები);

უზურნველყოს დანერგვის პირობების იდენტიფიცირება და დოკუმენტირება;

უზრუნველყოს ორგანიზაციაში არსებული ტექნიკური კონცეფცია;

გაითვალისწინოს ორგანიზაციის ცალკელული ვითარებები და სიტუაციები;

დაადგინოს ორგანიზაციისთვის დაცვის სასურველი დონე;

განსაზღვროს ორგანიზაციისთვის ან მისი ნაწილისთვის საჭირო ინფორმაციის

გაერთიანება დანერგვის შემოთავაზებულ ფარგლებში.



5

იუმს-ის ფარგლების, ჩარჩოების და პოლიტიკის განსაზღვრა

6









დრო









26


შეფასების ჩატარება

7.4

იუმს-ის ფარგლებში აქტივების

განსაზღვრა7.3

იუმს-ის პროცესისათვის ინფორმაციული უსაფრთხოების მოთხოვნების განსაზღვრა

7.2



იდენტიფიცირებული აქტივები

ორგანიზაციის უსაფრთხოების

შეჯამებული სტატუსი

დრო

პროცესების/აქტივების კლასიფიკაცია

ნახაზი 5 -ინფორმაციული უსაფრთხოების მოთხოვნების ეტაპის მიმოხილვა

7.2 იუმს-ის პროექტისათვის ინფორმაციული უსაფრთხოების მოთხოვნების

განსაზღვრა


გაანალიზებული და დადგენილი უნდა იყოს იუმს-ის პროცესისთვის საჭირო ინფორმაციული

უსაფრთხოების დეტალური მოთხოვნები.


5.2-ის შედეგი - იუმს-ის განვითარებისათვის ორგანიზაციის პრიორიტეტების გამოკვეთა

- დოკუმენტები:

- იუმს-თვის მიზნების, ინფორმაციული უსაფრთხოების პრიორიტეტების და

ორგანიზაციული მოთხოვნების შეჯამება;


27

- ორგანიზაციის ინფორმაციული უსაფრთხოებისთვის საჭირო მარეგულირებელი,

ხელშეკრულებით გათვალისწინებული და დარგობრივი შეზღუდვების ჩამონათვალი;

6.5-ის შედეგი - თითოეული ზღვარის და ჩარჩოს ინტეგრირება იუმს-ის ფარგლების და

საზღვრების მისაღებად - იუმს-ის ფარგლები და საზღვრები;

6.6-ის შედეგი - იუმს-ის პოლიტიკის შემუშავება და ხელმძღვანელობის მხრიდან

ნებართვის მიღება - იუმს-ის პოლიტიკა.


პირველ რიგში საჭიროა იუმს-ისთვის საჭირო ინფორმაციის შეგროვება. საჭიროა

გადაწყვეტილების მიღება იმის თაობაზე, თუ რამდენად კრიტიკულია ინფორმაცია( მაგალითად,

დაცვის სასურველი დონე). უნდა განისაზღვროს შიდა გარემოებები/ვითარებები, რომლებმაც

შესაძლოა გავლენა იქონიოს ინფორმაციულ უსაფრთხოებაზე. საწყის ეტაპზე არ არის

აუცილებელი ინფორმაციული ტექნოლოგიის დეტალურად აღწერა.

ორგანიზაციული პროცესების ანალიზი იძლევა გარკვეულ ფორმულირებას ინფორმაციული

უსაფრთხოების ინციდენტების იმ გავლენების შესახებ, რომელსაც იგი ახდენს ორგანიზაციის

ქმედებებზე, ხშირ შემთხვევაში სასურველია აღიწეროს ორგანიზაციის ძირითადი პროცესები.

პროცესები, ფუნქციები, ადგილმდებარეობები, ინფორმაციული სისტემები და საკომუნიკაციო

ქსელები უნდა იყოს დადგენილი და დოკუმენტირებული, თუ ჯერ არ მომხდარა მათი ჩართვა

იუმს-ის ფარგლებში.

იუმს-ის ინფორმაციული უსაფრთხოების დეტალური მოთხოვნების გამოსავლენად უნდა

განხორცილედეს შემდეგი:

მნიშვნელოვანი ინფორმაციული აქტივების წინასწარი განსაზღვრა და ინფორმაციული

უსაფრთხოების მიმდინარე დაცვა;

ორგანიზაციის ხედვის განსაზღვრა და იმ ეფექტის დადგენა, რომელსაც იგი მომავალში

იქონიებს ინფორმაციის დამუშავების მოთხოვნებზე;

ინფორმაციის დამუშავების, სისტემის თანხლების, საკომუნიკაციო ქსელების, ქმედებების

ადგილმდებარეობის, ინფორმაციული ტექნოლოგიების რესურსების და ა.შ. მიმდინარე

ფორმების ანალიზი;

ყველა არსებითი მოთხოვნის იდენტიფიცირება (მაგალითად: იურიდიული და

მარეგულირებელი მოთხოვნები, სახელშეკრულებო ვალდებულებები, ორგანიზაციული

მოთხოვნები, დარგობრივი სტანდარტები, მომხმარებლებისა და მომწოდებლების

შეთანხმებები, დაზღვევის პირობები და ა.შ.);

ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის დონის დადგენა და

აქედან გამომდინარე, ტრენინგების და საგანმანათლებლო მოთხოვნების შემუშავება

თითოეული ოპერაციული და ადმინისტარციული ერთეულისათვის.


28

შედეგი


ძირითადი პროცესების, ფუნქციების, ადგილმდებარეობის, ინფორმაციული სისტემების

და საკომუნიკაციო ქსელების დადგენა;

ორგანიზაციის ინფორმაციული აქტივები;

კრიტიკული პროცესების/აქტივების კლასიფიკაცია;

ინფორმაციული უსაფრთხოების მოთხოვნები, რაც გამოიკვეთა ორგანიზაციის

იურიდიული, მარეგულირებელი და სახელშეკრულებო მოთხოვნებიდან;

საყოველთაოდ ცნობილი სისუსტეების ჩამონათვალი, რომელზეც მოხდება რეაგირება

უსაფრთხოების მოთხოვნების შედეგად;

ინფორმაციული უსაფრთხოების შესახებ ორგანიზაციის ტრენინგისა და

საგანმანათლებლო მოთხოვნების მომზადება.

7.3 იუმს-ის ფარგლებში არსებული აქტივების დადგენა


უნდა დადგინდეს იუმს-ის მიერ მხარდასაჭერი აქტივები.


6.5-ის შედეგი - იუმს-ის ფარგლები და საზღვრები;

6.6-ის შედეგი - იუმს-ის პოლიტიკა;

7.2-ის შედეგი - იუმს-ის პროცესისათვის ინფორმაციული უსაფრთხოების პოლიტიკის

განსაზღვრა.


იუმს-ის ფარგლებში არსებული აქტივების დასადგენად უნდა განისაზღვროს შემდეგი

ინფორმაციის ჩამონათვალი:

პროცესის უნიკალური სახელწოდება;

პროცესის აღწერა და მასთან დაკავშირებული ქმედებები (შექმნილი, შენახული,

გადაცემული, წაშლილი);

ორგანიზაციისთვის პროცესის კრიტიკულობა (კრიტიკული, მნიშვნელოვანი,

მხარდამჭერი);

პროცესის მფლობელი (ორგანიზაციული ერთეული);

პროცესები, რომლებიც იძლევიან მოცემული კონკრეტული პროცესის შემავალ

რესურსებსა და შედეგებს ;


29

პროცესის მხარდამჭერი ინფორმაციული ტექნოლოგიების თანხლებები/პროგრამული

უზრუნველყოფები;

ინფორმაციის კლასიფიკაცია (კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა,

კონტროლი წვდომაზე, წარმოშობის წყაროსთან ცალსახა შესაბამისობა, და/ან სხვა

მნიშვნელოვანი პრიორიტეტები, მაგალითად: რამდენ ხანს შეიძლება ინფორმაციის

შენახვა).

შედეგი


იუმს-ის ფარგლებში შემავალი, ძირითადი პროცესებისთვის საჭირო ინფორმაციული

აქტივები;

კრიტიკული პროცესების და შესაბამისი ინფორმაციული აქტივების უსაფრთხოების

კლასიფიკაცია.

7.4. ინფორმაციული უსაფრთხოების შეფასება


ინფორმაციული უსაფრთხოების შეფასება უნდა შესრულდეს შემდეგნაირად: ორგანიზაციის

არსებული ინფორმაციული უსაფრთხოების სტატუსი უნდა შედარდეს დასახულ

ორგანიზაციულ მიზნებთან.




7.2-ის შედეგი - იუმს-ის პროცესისათვის ინფორმაციული უსაფრთხოების მოთხოვნების

დადგენა;

7.3-ის შედეგი - იუმს-ის ფარგლებში აქტივების დადგენა;


ინფორმაციული უსაფრთხოების შეფასება განსაზღვრავს არსებული ინფორმაციული

უსაფრთხოების დონეს (მაგალითად: ინფორმაციის დაცვასთან დაკავშირებული მიმდინარე

პროცედურების ორგანიზაცია). ინფორმაციული უსაფრთხოების შეფასებამ უნდა,

უზრუნველყოს მართვის სისტემისთვის საჭირო ინფორმაცია, რომელიც წარმოდგენილი იქნება

პოლიტიკისა და სახელმძღვანელო მითითებების სახით. რა თქმა უნდა, აუცილებელია

ნაკლოვანებების მართვა ხდებოდეს პარალელურად, პრიორიტეტული სამოქმედო გეგმით.


30

ყველა ჩართულმა მხარემ კარგად უნდა იცოდეს ორგანიზაციის ანალიზის შედეგები,

სტანდარტული დოკუმენტები და ჰქონდეს კავშირი შესაბამის ხელმძღვანელობასთან.

ინფორმაციული უსაფრთხოების შეფასება აანალიზებს ორგანიზაციაში არსებულ სიტუაციას.

ანალიზის დროს ხდება ქვემოთ ჩამოთვლილი ინფორმაციის გამოყენება და ინფორმაციული

უსაფრთხოების მიმდინარე სტატუსის, ასევე არსებული სტანდარტების და პროცედურების

სისუსტეების დადგენა:

კრიტიკულ პროცესებზე დაყრდნობით გარემოს შესწავლა;

ინფორმაციული აქტივების კლასიფიკაცია;

ინფორმაციული უსაფრთხოების ორგანიზაციული მოთხოვნები.

ინფორმაციული უსაფრთხოების შეფასების შედეგები ორგანიზაციის მიზნებთან ერთად ხშირ

შემთხვევაში წარმოადგენენ ინფორმაციულ უსაფრთხოებაზე სამომავლო მუშაობის

მნიშვნელოვან მასტიმულირებელ ნაწილს. ინფორმაციული უსაფრთხოების შეფასება უნდა

შესრულდეს ორგანიზაციისგან დამოუკიდებელი შიდა ან გარე რესურსებით. ინფორმაციული

უსაფრთხოების შეფასებაში უნდა მონაწილეობდეს ის პირები, რომლებსაც გააჩნიათ არსებული

გარემოს, პირობების და ინფორმაციული უსაფრთხოებისთვის საჭირო საკითხების საფუძვლიანი

ცოდნა. ეს პირები ისე უნდა იქნან შერჩეული, რომ წარმოადგინონ ორგანიზაციის ფართო

სპექტრი და ასევე მოიცვან:

ორგანიზაციული ერთეულის ხელმძღვანელები;

პროცესის მფლობელები (მაგალითად: მნიშვნელოვანი ორგანიზაციული სფეროს

წარმომადგენელი);

სხვა პირები, რომლებსაც გააჩნიათ მიმდინარე გარემოს, პირობების და ინფორმაციული

უსაფრთხოებისთვის საჭირო სხვა საკითების შესახებ ღრმა ცოდნა. მაგალითად, ბიზნეს

პროცესის მომხმარებლები და ოპერაციული, ადმინისტრაციული და იურიდიული

ფუნქციების მქონე პირები.

ინფორმაციული უსაფრთხოების წარმატებული შეფასებისათვის აუცილებელია შემდეგი

ქმედებების განხორციელება:

ორგანიზაციისათვის საჭირო სტანდარტების დადგენა მგს 27002:2011 (ინფორმაციული

უსაფრთხოება - უსაფრთხოების მექანიზმები - ინფომრაციული უსაფრთხოების მართვის წესები

და ნორმები)

ცნობილი კონტროლის მექანიზმის მოთხოვნების დადგენა, რაც გამომდინარეობს

პოლიტიკებიდან, იურიდიული და მარეგულირებელი მოთხოვნებიდან,

ხელშეკრულებით გათვალისწინებული ვალდებულებებიდან, წინა აუდიტის

შედეგებიდან, ან წარსულში ჩატარებული რისკების შეფასებებიდან;


31

მისი, როგორც საცნობარო დუკუმენტის გამოყენება, რათა ჩატარდეს მიმდინარე

მოთხოვნების მიახლოებითი შეფასება, რაც დაკავშირებულია ინფორმაციული

უსაფრთხოების დონესთან.

ორგანიზაციის ანალიზთან დაკავშირებული პრიორიტეტების დადგენა წარმოადგენს

საფუძველს, რომლისთვისაც გათვალისწინებული უნდა იყოს უსაფრთხოების ზომები და

კონტროლის მექანიზმები.

ინფორმაციული უსაფრთხოების შეფასების შესასრულებლად არსებობს შემდეგი მიდგომები:

შეირჩეს ორგანიზაციის მნიშვნელოვანი ბიზნეს-პროცესები და ინფორმაციული

უსაფრთხოების მოთხოვნებთან დაკავშირებული პროცესების ეტაპები;

შეიქმნას მრავალმხრივი პროცესების სქემა, რომელიც მოიცავს ორგანიზაციის ძირითად

პროცესებს, მათ შორის ინფრასტრუქტურას (ლოგიკური და ტექნიკური), თუ ეს უკვე არ

არის მოცემული, ან შესრულებული ორგანიზაციის ანალიზის დროს;

ორგანიზაციაში არსებული სიტუაციის განხილვა და ანალიზი შესაბამის პერსონალთან

ერთად, რაც დაკავშირებული იქნება ინფორმაციული უსაფრთხოების მოთხოვნებთან.

მაგალითად, რომელი პროცესებია კრიტიკული, რამდენად კარგად მუშაობენ ისინი

მოცემულ ეტაპზე? (შედეგები გამოიყენება მოგვიანებით რისკების შეფასებაში);

დადგინდეს კონტროლის მექანიზმის ნაკლოვანებები, რისთვისაც არსებული

კონტროლის მექანიზმები წინასწარ დადგენილ კონტროლის მექნიზმების

მოთხოვნებთან უნდა შედარდეს;

არსებული სტატუსის სრულყოფა და დოკუმენტირება.

შედეგი

აქ ქმედების შედეგია:

შემაჯამებელი დოკუმენტი, რომელიც წარმოადგენს ინფორმაციული უსაფრთხოების

სტატუსის და მისი სისუსტების შეფასებას.


ამ ეტაპზე ინფორმაციული უსაფრთხოების შეფასების შედეგი წარმოადგენს მხოლოდ წინასწარ

ინფორმაციას ინფორმაციული უსაფრთხოების და სისუსტეების სტატუსის შესახებ, რადგანაც

ინფორმაციული უსაფრთხოების პოლიტიკებისა და სტანდარტების მთელი ნაკრები

შემუშავდება მოგვიანებით ეტაპზე (იხილეთ პუნქტი 9) და ამასთანავე, ჯერ კიდევ არ არის

განხორციელებული რისკების შეფასება.


32

8. რისკების შეფასება და რისკების აღმოფხვრის დაგეგმვა

8.1 რისკების შეფასებადა რისკების აღმოფხვრის დაგეგმვის მიმოხლივა

იუმს-ის დანერგვამ გავლენა უნდა მოახდინოს ინფორმაციული უსაფრთხოების მნიშვნელოვან

რისკებზე. ამ ეტაპზე ხდება რისკების იდენტიფიცირება, შეფასება და აღმოფხვრის დაგეგმილი

ღონისძიებების და ასევე კონტროლის მექანიზმების და კონტროლების შერჩევა. მგს 27005:2011

(ინფორმაციული უსაფრთხოების რისკების მართვა) წარმოადგენს ინფორმაციული

უსაფრთხოების რისკების მართვის სახელმძღვანელოს და განიხილება მე-8 პუნქტში.

ნავარაუდევია, რომ ხელმძღვანელობამ მიიღო იუმს-ის დანერგვის გადაწყვეტილება და

განისაზღვრა იუმს-ის გავრცელების სფერო და იუმს-ის პოლიტიკა, ასევე ცნობილია

ინფორმაციული აქტივები და ინფორმაციული უსაფრთხოების შეფასების შედეგები.

მიზანი:

რისკების შეფასების მეთოდოლოგიის განსაზღვრა, ინფორმაციული უსაფრთხოების

რისკების დადგენა, ანალიზი და შეფასება რისკების აღმოფხვრის სტრატეგიების შესარჩევად;

კონტროლის მექანიზმებისა და კონტროლის მიზნების არჩევა

მგს მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული

უსაფრთხოების მართვის სისტემები–მოთხოვნები) 4.2.1 გ) -დან 4.2.1ზ-მდე)



5


6









დრო








იუმს-ის დანერგვაზე მენეჯმენტის თანხმობის

წერილობითი განცხადება


გამოყენებადობის შესახებ განცხადება, მათ შორის

კონტროლის ობიექტები/მექანიზმები და შერჩეული



33

იუმს-ის დასანერგად და

ფუნქციონირებისათვის მენეჯმენტის

ნებართვის მიღება8.4

კონტროლის მიზნებისა და

კონტროლების შერჩევა

8.3

რისკების შეფასების ჩატარება

8.2

რისკების შეფასების მეთოდოლოგიები

შერჩეული კონტროლებისა და კონტროლების მიზნების

სია

იუმს-ის დანერგვაზე

თანხმობა

დრო


რისკების შეფასების შედეგი

არასისტემური რისკების მიღება


კონტროლის მიზნები და შერჩეული კონტროლები

ნახაზი 6 - რისკების შეფასების ეტაპის მიმოხილვა

8.2 რისკების შეფასება


უნდა განხორციელდეს რისკების შეფასება.


7-ე პუნქტის შედეგები - ინფორმაციული უსაფრთხოების მოთხოვნების ანალიზი -

ინფორმაცია, რომელიც ეხება:

- ინფორმაციული უსაფრთხოების დადგენილ სტატუსს;

- დადგენილ ინფორმაციულ აქტივებს;

6-ე პუნქტის შედეგები - იუმს-ის ფარგლების, საზღვრების და იუმს-ის პოლიტიკის

განსაზღვრა - დოკუმენტირებული:


34

- იუმს-ის გავრცელების სფერო

- იუმს-ის პოლიტიკა;

მგს 27005:2011 (ინფორმაციული უსაფრთხოების რისკების მართვა)


ბიზნეს გარემოში, უსაფრთხოების რისკების შეფასებას განსაკუთრებული მნიშვნელობა აქვს

იუმს-ის დანერგვის წარმატებისათვის, მგს 27001:2011 (ინფორმაციულიტექნოლოგიები

უსაფრთხოების საშუალებები ინფორმაციული უსაფრთხოების მართვის სისტემები–

მოთხოვნები) თანახმად. რისკების შეფასებამ უნდა:

მოახდინოს საფრთხეებისა და მისი წყაროების დადგენა;

დაადგინოს არსებული და დაგეგმილი კონტროლის მექანიზმები;

დაადგინოს სისუსტეები, საფრთხეები, რომლებმაც შეიძლება გამოიწვიონ აქტივების ან

ორგანიზაციის ზიანი;

დაადგინოს თანმდევი შედეგები, კონფიდენციალურობის, მთლიანობის,

ხელმისაწვდომობის, წარმოშობის წყაროსთან ცალსახა შესაბამისობის დაკარგვა;

შეაფასოს ბიზნესზე გავლენა, რაც შეიძლება გამოწვეული იყოს მოსალოდნელი ან

ფაქტიური უსაფრთხოების ინციდენტების მიერ;

შეაფასოს ინციდენტების სცენარების ალბათობა;

შეაფასოს რისკების დონე;

შეადაროს რისკების დონეები რისკების შეფასების და მისაღები რისკების

კრიტერიუმებთან.

რისკების შეფასებაში მონაწილეობა უნდა მიიღონ იმ პირებმა, რომლებიც კარგად ერკვევიან

ორგანიზაციის მიზნებსა და უსაფრთხოების საკითხებში (მაგალითად: აქვთ იმის სწორი ხედვა,

თუ რა არის აუცილებელი მოცემულ მომენტში საფრთხეებიდან გამომდინარე ორგანიზაციის

მიზნების გათვალისწინებით). ეს ინდივიდები უნდა წარმოადგენდნენ ორგანიზაციის ფართო

სპექტრს. მაგალითისათვის იხილეთ დანართი ბ, „როლები და პასუხისმგებლობები“.

ორგანიზაციამ შეიძლება გამოიყენოს რისკების შეფასების მეთოდოლოგია, რაც ეფუძნება

პროექტისთვის, კომპანიისთვის, ან სექტორისთვის სპეციფიურ სტანდარტებს.

შედეგი

მოცემული ქმედების შედეგებია:

რისკების შეფასების მეთოდოლოგიების აღწერა;

რისკების შეფასების შედეგები.


დანართი ბ - ინფორმაცია როლებისა და პასუხისმგებლობების შესახებ.


35

8.3 კონტროლის მიზნების და კონტროლების შერჩევა


უნდა დადგინდეს რისკების აღმოფხვრის სტრატეგიები და დადგენილი რისკების

აღმოფხვრის სტრატეგიების თანახმად გამოყენებული უნდა იყოს შესაბამისი კონტროლის

მექანიზმები.


8.2-ის შედეგი რისკების შეფასების განხორციელება - რისკების შეფასების შედეგი;

მგს 27005:2011 (ინფორმაციული უსაფრთხოების რისკების მართვა)

მგს 27002:2011 (ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები -

ინფომრაციული უსაფრთხოების მართვის წესები და ნორმები)


მნიშვნელოვანია განისაზღვროს დამოკიდებულება რისკებსა და მათი აღმოფხვრისთვის

შერჩეულ სტრატეგიებს შორის (მაგალითად: რისკების აღმოფხვრის გეგმა), რადგანაც იგი

წარმოადგენს რისკების აღმოფხვრის შეჯამებას. რისკების აღმოფხვრის შესაძლო სტრატეგიები

ჩამოთვლილია მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები) 4.2.1 ვ-ში.

მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული

უსაფრთხოების მართვის სისტემები–მოთხოვნები) დანართი ა (ნორმატიული) „კონტროლის

მიზნები და კონტროლის მექანიზმები“ აღწერს რისკების აღმოფხვრისთვის კონტროლის

მიზნების და კონტროლის მექაზნიმების შერჩევას. თუ დანართში ა-ში არ არსებობს შესაბამისი

კონტროლის მიზნები ან კონტროლეის მექანიზმები, უნდა განისაზღვროს და გამოყენებული

იქნას დამატებითი კონტროლის მიზნები და კონტროლის მექანიზმები. შერჩეულმა კონტროლის

მექანიზმებმა უნდა შეამციროს რისკები.


უსაფრთხოების მართვის სისტემები–მოთხოვნები) დანართ ა-ში მოცემული მონაცემები არ არის

სრულყოფილი. ბიზნესის სექტორისთვის სპეციფიკური კონტროლის მექანიზმები შეიძლება

დადგინდეს ბიზნესის სპეციფიკური მოთხოვნების, ასევე იუმს-ის მხარდასაჭერად.

რისკების შემცირების შემთხვევაში, თითოეულ რისკს, შერჩეული კონტროლის მიზნებსა და

კონტროლის მექანიზმებს შორის დამოკიდებულების მართვისას მიზანშეწონილია მოხდეს იუმს-

ის დანერგვის პროექტირება. იგი შეიძლება დაერთოს იმ ჩამონათვალს, რომელიც აღწერს

ურთიერთობებს რისკებსა და მათი აღმოფხვრისათვის შერჩეულ სტრატეგიებს შორის.

აუდიტის ხელშესაწყობად, ორგანიზაციამ უნდა ამოირჩიოს იმ კონტროლის მექანიზმების

ჩამონათვალი, რომელიც იუმს-ის ორგანიზაციისთვის არის შესატყვისი და გამოყენებადი.


36

მნიშვნელოვანია ვიცოდეთ, რომ კონტროლის მექანიზმების შესახებ შეჯამებული ინფორმაცია

დიდი ალბათობით შეიცავს სენსიტიურ ინფორმაციას. ამდენად, შესაბამისი ყურადღება უნდა

დაეთმოს ისეთ კონტროლის მექანიზმებს, რომლებიც ხელმისაწვდომია როგორც შიდა, ასევე

გარე მომხმარებლებისთვის.

შედეგი


შერჩეული კონტროლეის მექანიზმების და კონტროლების მიზნების ჩამონათვალი;

რისკების აღმოფხვრის გეგმა, რომლესაც თან ახლავს:

- რისკებისა და რისკების აღმოფხვრის შერჩეულ სტრატეგიებს შორის არსებული

ურთიერთობის აღწერა;

- რისკებსა და შერჩეული კონტროლის მიზნებსა და კონტროლის მექანიზმებს შორის

არსებული ურთიერთობის აღწერა (გასნაკუთრებით რისკების შემცირების

შემთხვევაში).


მგს 27002:2011 (ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები - ინფომრაციული

უსაფრთხოების მართვის წესები და ნორმები)

8.4. იუმს-ის დანერგვისა და ფუნქციონირებისთვის ხელმძღვანელობის

მხრიდან ნებართვის მიღება


იუმს-ის დანერგვისათვის მიღებული უნდა იქნას ხელმძღვანელობის თანხმობა, ასევე

სპეციფიკურ რისკებზე თანხმობის დოკუმენტი.


5.4-ის შედეგი - ხელმძღვანელობის მხრიდან თანხმობისათვის რეალური მაგალითებისა

და პროექტის გეგმის შექმნა - იუმს-ის პროექტზე მენეჯერული თანხმობა;

მე-6 პუნქტის შედეგი - იუმს-ის ფარგლების, საზღვრების და იუმს-ის პოლიტიკის

განსაზღვრა - დოკუმენტირებული ფორმულირება:

- იუმს-ის პოლიტიკისა და მიზნების დოკუმენტი;

- იუმს-ის ფარგლების და საზღვრების დოკუმენტი.

8.2-ის შედეგი - რისკების შეფასების განხორციელება - დოკუმენტირებული:

- რისკების შეფასების მეთოდოლოგიების აღწერა;

- რისკების შეფასების შედეგი.


37

8.3-ის შედეგი - კონტროლის მიზნების და კონტროლის მექანიზმების შერჩევა - რისკების

აღმოფხვრის გეგმა.


ხელმძღვანელობის მხრიდან თანხმობის მისაღებად, მოცემული ქვეპუნქტის რესურსებად

მიჩნეული დოკუმენტები უნდა მომზადდეს და გადაეცეს ხელმძღვანელობას შეფასებისა და

გადაწყვეტილების მიღებისთვის.

„გამოყენებადობის შესახებ განცხადების“ მომზადება უნდა მოიაზრებოდეს როგორც

ინფორმაციული უსაფრთხოების მართვის ნაწილი. კონტროლის მექანიზმების დეტალურობის

დონე უნდა პასუხობდეს ორგანიზაციის ხელმძღვანელობის მხრიდან ნებართვისთვის საჭირო

მოთხოვნებს.

საჭიროა მაღალი რანგის ხელმძღვანელობის თანხმობა, რათა გადაწყდეს რეაგირების გარეშე

დარჩენილი რისკების მიღება, ამასთან, საჭიროა ნებართვა იუმს-ის ფაქტიური

ფუნქციონირებისთვის. ეს გადაწყვეტილებები უნდა ეფუძნებოდეს რისკების და

შესაძლებლობების შეფასებას, რამაც შესაძლოა თავი იჩინოს იუმს-ის დანერგვის შემდეგ და

შედარდეს იმ შედეგებთან, რამაც შესაძლოა თავი იჩინოს მისი არ დანერგვის შემთხვევაში.

შედეგი


იუმს-ის დანერგვისათვის ხელმძღვანელობის წერილობითი თანხმობა;

სპეციფიკურ რისკებზე ხელმძღვანელობის თანხმობა;

გამოყენებადობის შესახებ განცხადება), რომელიც მოიცავს კონტროლის მიზნებსა და

შერჩეულ კონტროლის მექანიზმებს.

9. იუმს-ის ორგანიზაციული მოწყობა

9.1. იუმს-ის მიმოხილვა

ამ ეტაპზე უნდა მოხდეს იუმს-ის ორგანიზაციული მოწყობის, მისი დანერგვისათვის დაგეგმილი

ქმედებების შემუშავება. იუმს-ის საბოლოო პროექტის გეგმა იქნება უნიკალური ორგანიზაციის

სპეციფიკიდან გამომდინარე, რაც დამოკიდებულია წინა ქმედებების შედეგებსა და ასევე ამ

პუნქტში აღწერილი სპეციფიკური ქმედებების შედეგებზე.

ამ პუნქტის შედეგი არის იუმს-ის პროექტის დანერგვის საბოლოო გეგმა. ამ გეგმაზე

დაყრდნობით, იუმს-ის პროექტი შეიძლება გაეშვას ორგანიზაციაში როგორც „დაგეგმვა-

აღსრულება-შემოწმება-ქმედება“ ციკლის „აღსრულების“ ფაზის საწყი ეტაპი, რაც აღწერილია მგს


უსაფრთხოების მართვის სისტემები–მოთხოვნები).


38

ნავარაუდევია, რომ ხელმძღვანელობა დაეთანხმა იუმს-ის დანერგვას, რაც განსაზღვრულია

იუმს-ის გავრცელების სფეროში და იუმს-ის პოლიტიკაში. ამ მომემტისთვის არსებობს

ინფორმაციული აქტივები, ისევე როგორც ინფორმაციული უსაფრთხოების შეფასების შედეგები.

დამატებით, არსებობს რისკების აღმოფხვრის გეგმა, რომელიც აღწერს რისკებს, რისკების

აღმოფხვრის სტრატეგიებს, აგრეთვე შერჩეულ კონტროლის მიზნებსა და კონტროლის

მექანიზმებს.

აქ აღწერილი იუმს-ის ორგანიზაციული მოწყობა კონცენტრირებულია იუმს-ის შიდა

სტრუქტურასა და მოთხოვნებზე. უნდა აღინიშნოს, რომ ზოგიერთ შემთხვევაში, იუმს-ის

ორგანიზაციულ მოწყობას შესაძლოა პირდაპირი ან ირიბი გავლენა ჰქონდეს ბიზნეს-პროცესების

დიზაინზე. ასევე უნდა აღინიშნოს, რომ, როგორც წესი, საჭიროა იუმს-ის კომპონენტების

ინტეგრირება წინასწარ არსებულ მართვის სტრუქტურასა და ინფრასტრუქტურაში.

მიზანი:

იუმს-ის დანერგვის საბოლოო გეგმის სრულყოფა ორგანიზაციული უსაფრთხოების

შემუშავების მეშვეობით დაფუძნებულია რისკების აღმოფხვრისთვის შერჩეულ

ვარიანტებზე, ასევე ჩანაწერებისა და დოკუმენტების კუთხით არსებულ მოთხოვნებზე.

კონტროლის მექანიზმების შემუშავება ახდენს ინფორმაციულ საკომუნიკაციო

ტექნოლოგიებისთვის, ფიზიკური და ორგანიზაციული პროცესების უსაფრთხოების

უზრუნველყოფას, ინტეგრირებულობას.

მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები): 4.2.2 ა)-ე), თ)

იუმს-ის ორგანიზაციული მოწყობის შემუშავებისას გათვალისწინებული უნდა იყოს შემდეგი

საკითხები:

ორგანიზაციული უსაფრთხოება - მოიცავს ინფორმაციული უსაფრთხოების

ადმინისტრაციულ საკითხებს, მათ შორის ორგანიზაციის პასუხისმგებლობას რისკების

აღმოფხვრაზე. უნდა ჩამოყალიბდეს იმ ქმედებების ეთობლიობა, რაც განაპირობებს

ორგანიზაციის საჭიროებებისა და რისკების გათვალისწინებით ინფორმაციული

უსაფრთხოების გაუმჯობესებას პოლიტიკების, პროცესების და პროცედურების

მეშვეობით.

ინფორმაციული საკომუნიკაციო ტექნოლოგიების უსაფრთხოება მოიცავს

ინფორმაციული უსაფრთხოების ასპექტებს, რაც დაკავშირებულია ინფორმაციული

საკომუნიკაციო ტექნოლოგიების მეშვეობით რისკების შემცირებასთან. ეს საჭიროა, რათა

დაკმაყოფილდეს ორგანიზაციის მიერ დადგენილი მოთხოვნები და განხორციელდეს

რისკების შემცირების მიზნით კონტროლის მექანიზმების დანერგვა.


39

ფიზიკური უსაფრთხოება - მოიცავს ინფორმაციული უსაფრთხოების იმ ასპექტებს,

რომლებიც დაკავშირებულია ფიზიკური გარემოს მართვასთან რისკების შემცირების

მიზნით, მაგალითად შენობები და მათი ინფრასტრუქტურა. აღნიშნული საჭიროა, რათა

ორგანიზაციის მიერ დაკმაყოფილდეს მოთხოვნათა ჩამონათვალი და განხორცილდეს

კონტროლის მექანიზმების დანერგვა რისკების შესამცირებლად.

იუმს-ის სპეციფიური საკითხები - მოიცავს სხვადასხვა კონკრეტული მოთხოვნების

ასპექტებს იუმს-თვის მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების

საშუალებები ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები)

თანახმად, მიუხედავად იმისა, თუ რას მოიცვას წინა სამი ეტაპი. აქცენტი გაკეთებულია

იმ ცალკეულ ქმედებებზე, რომლებიც უნდა შესრულდეს დანერგვის პროცესში იუმს-ის

ფუნქციონირების მისაღწევად, რაც გულსიხმობს;

- მონიტორინგს;

- გაზომვა/შეფასებას;

- იუმს-ის შიდა აუდიტს;

- ტრენინგს და ინფორმირებულობას;

- ინციდენტების მართვას;

- ხელმძღვანელობის მიერ განხილვებს;

- იუმს-ის გაუმჯობესებას, რაც მოიცავს მაკორექტირებელ და პრევენციულ ქმედებებს.

იუმს-ის პროექტის შემუშავება და მასთან დაკავშირებული კონტროლის მექანიზმების

დაგეგმილი დანერგვის ქმედებები უნდა მოიცავდეს და გამოიყენებდეს იმ თანამშრომლების

გამოცდილებას და უნარ-ჩვევებს, რომლებიც მოქცეულნი არიან იუმს-ის ფარგლებში, ან

გააჩნიათ იუმს-თან დაკავშირებული მენეჯერული პასუხისმგებლობები. იუმს-ისთვის

სპეციფიკური ასპექტები ყალიბდება ხელმძღვანელობასთან დიალოგის შედეგად.

რისკების აღმოსაფხვრელად შერჩეული კონტროლის მექანიზმებისთვის გადამწყვეტია

ინფორმაციული საკომუნიკაციო ტექნოლოგიების და ფიზიკური უსაფრთხოების გარემოს და

ასევე ორგანიზაციული უსაფრთხოების გარემოს ორგანიზაციული მოწყობა. ინფორმაციული

საკომუნიკაციო ტექნოლოგიების უსაფრთხოებას კავშირი აქვს არა მხოლოდ ინფორმაციულ

სისტემებსა და ქსელებთან, არამედ ოპერაციულ მოთხოვნებთანაც. ფიზიკური უსაფრთხოება

დაკავშირებულია წვდომის კონტროლის ყველა ასპექტთან, წარმოშობის წყაროსთან ცალსახა

შესაბამისობასთან, ინფორმაციული აქტივების ფიზიკურ დაცვასთან და უსაფრთხოების

კონტროლის მექანიზმების დაცვის საშუალებებთან.

8.3-ში აღწერილი კონტროლები უნდა დაინერგოს გეგმის სპეციფიკური სტრუქტურისა და

დეტალურობის თანახმად, რაც, თავის მხრივ, იუმს-ის პროექტის გეგმის ნაწილია. იუმს-ის

პროექტის გეგმის ეს სპეციფიკური ნაწილი უნდა განსაზღვრავდეს, თუ როგორ უნდა მოხდეს

თითოეული რისკის მართვა კონტროლის მიზნების მისაღწევად. იუმს-ის პროექტის გეგმის ეს

ნაწილი საკვანძოა, თუ გვსურს შერჩეული კონტროლის მექანიზმების სწორად და ეფექტურად

დანერგვა. ინფორმაციული უსაფრთხოების მართვის ჯგუფი პასუხისმგებელია დანერგვის

გეგმის ამ ნაწილის შედგენაზე, რაც შემდგომში ქმნის იუმს-ის საბოლოო პროექტის გეგმას.


40



5


6









დრო








იუმს-ის დანერგვაზე მენეჯმენტის თანხმობის

წერილობითი განცხადება



კონტროლის მიზნები და შერჩეული კონტროლები

იუმს-ის დანერგვის საბოლოო

პრეოქტის გეგმა

იუმს-ის დოკუმენტაციისათვის სტრუქტურის

შექმნა9.2.2

საბოლოო ორგანიზაციული

სტრუქტურის დიზაინი

9.2.1

ორგანიზაციული ინფორმაციული უსაფრთხოების

დიზაინი9.2

ორგანიზაციის სტრუქტურა, და მისი როლები და

პასუხისმგებლობები

დრო

იუმს-ის ჩანაწერებისა და დოკუმენტების

სტრუქტურა

იუმს-ის ჩანაწერების საცავები და შაბლონები


პოლიტიკის დიზაინი

9.2.3


პოლიტიკა


სტანდარტების და პროცედურების

შემუშავება9.2.4

ინფორმაციული უსაფრთხოების სტანდარტების

ნაკრების სტრუქტურა


სტანდარტები, მათ შორის ორგანიზაციის

ბეიზლაინი

ინფორმაციული უსაფრთხოების პროცედურები

საინფორმაციო საკომუნიკაციო

ტექნოლოგიები და ფიზიკური ინფორმაციული

უსაფრთხოების დიზაინი9.3

საინფორმაციო საომუნიკაციო ტექნოლოგიები და ფიზიკურ

უსაფრთხოებასთან დაკავშირებულიკონტროლების

დანერგვის გეგმა

იუმს-თვის სპეციფიკური

ინფორმაციული უსაფრთხოების კონტროლების

დიზაინი9.4

მენეჯმენტის განხილვის გეგმა

9.4.1

ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის,

ტრენინგისა და საგანმანათლებლო

პროგრამის დიზაინი9.4.2

იუმს-ის საბოლოო

პროექტის გეგმის შექმნა

9.5

მენეჯმენტის განხილვის

შესასრულებლად საჭირო რესურსების

ჩამონათვალი

მენეჯმენტის განხილვის პროცედურა, მათ შორის აუდიტი, მონიტორინგი,

შეფასების ასპექტები


ტრენინგის მასალები

ინფორმაციული უსაფრთხოების ტრენინგის სტრუქტურა, როლები და


ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის,

განათლების და ტრენინგის გეგმები

ინფორმაციული უსაფრთხოების განათლების და

ტრენინგების შედეგების ჩანაწერები

იუმს-ის პროექტის დანერგვის

საბოლოო გეგმა

ნახაზი 7 - იუმს-ის ეტაპების დიზაინის მიმოხილვა


41

9.2 ინფორმაციული უსაფრთხოების ორგანიზაციული მოწყობა

9.2.1 . ინფორმაციული უსაფრთხოებისათვის საბოლოო ორგანიზაციული სტრუქტურის შექმნა


ორგანიზაციული ფუნქციები, როლები და პასუხისმგებლობები უნდა შეესაბამებოდეს რისკების

აღმოფხვრის ქმედებებს.


5.3.2-ის შედეგი - როლებისა და პასუხისმგებლობების ცხრილი;



7.2-ის შედეგი - იუმს-ის პროცესისთვის ინფორმაციული უსაფრთხოების მოთხოვნების

განსაზღვრა;

7.3-ის შედეგი - იუმს-ის ფარგლებში არსებული აქტივების განსაზღვრა;

7.4-ის შედეგი - ინფორმაციული უსაფრთხოების შეფასების განხორციელება;

8.2-ის შედეგი - რისკების შეფასების განხორციელება - რისკების შეფასების შედეგები;

8.3-ის შედეგი - კონტროლის მიზნებისა და კონტროლის მექანიზმების შერჩევა;




იუმს-ის შიდა ოპერაციების სტრუქტურა და პროცესები ინტეგრირებული უნდა იყოს უკვე

არსებულ გარემოში. ასევე, უფრო ფართო მენეჯერულ სტრუქტურაში (მაგალითად, შიდა

აუდიტი) მხედველობაში უნდა იქნას მიღებული იუმს-ის ინტეგრირება იუმს-ის პროექტირების

ეტაპზე.

იუმს-თვის შემუშავებული ორგანიზაციული სტრუქტურა უნდა ასახავდეს იუმს-ის

დანერგვასთან და ფუნქციონირებასთან დაკავშირებულ ქმედებებს, მაგალითად, მონიტორინგისა

და ჩანაწერების განხორციელების მეთოდებს როგორც იუმს-ის ოპერაციების შემადგენელ

ნაწილებს.

ამდენად, იუმს-ის ოპერაციების სტრუქტურა შემუშავებული უნდა იყოს იუმს-ის დანერგვის

გეგმის საფუძველზე და ითავლისწინებდეს შემდეგ საკითხებს:

საჭიროა თუ არა იუმს-ის დანერგვის თითოეული როლი იუმს-ის ფუნქციონირებისთვის?

უკვე დადგენილი როლები განსხვავდებიან თუ არა იუმს-ის დანერგვისათვის საჭირო

როლებისაგან?

რა როლები უნდა დაემატოს იუმს-ის დანერგვას?

მაგალითად, შემდეგი როლები უნდა დაემატოს იუმს-ის ოპერაციებს:


42

თითოეულ დეპარტამენტში ინფორმაციული უსაფრთხოების ოპერაციებზე

პასუხისმგებელი პირი (როგორც წესი დეპარტამენტის ხელმძღვანელი);

თითოეულ დეპარტამენტში იუმს-ის შეფასებაზე პასუხისმგებელი პირი (როგორც წესი

დეპარტამენტის ხელმძღვანელი);

დანართ ბ-ში - „როლები და პასუხისმგებლობები“ გამოკვეთილი საკითხების გათვალისწინება

მენეჯმენტს დაეხმარება იუმს-ის ფუნქციონირებისთვის სტრუქტურისა და როლების შესახებ

გადაწყვეტილების მიღებაში. ამასთან, უნდა გადაფასდეს იუმს-ის დანერგვის სტრუქტურა და

როლები.

შედეგი

აღნიშნული ქმედების შედეგი არის დოკუმენტი:

ორგანიზაციული სტრუქტურა, მისი როლები და პასუხისმგებლობები.


დანართი ბ - ინფორმაცია როლების და პასუხისმგებლობების შესახებ

დანართი გ - ინფორმაცია აუდიტის დაგეგმვის შესახებ

9.2.2 იუმს-ის დოკუმენტაციის სტრუქტურა


იუმს-ს ჩანაწერების და დოკუმენტაციის კონტროლის მექანიზმი უნდა განხორციელდეს იმ

მოთხოვნებისა და ჩარჩოების მიხედვით, რაც უზრუნველყოფს ჩანაწერებსა და დოკუმენტაციაზე

არსებული კონტროლის მექანიზმებისადმი მოთხოვნების შესრულებას.



იუმს-ის ფარგლების და საზღვრების განმარტება;


8.4-ის შედეგი - იუმს-ის დანერგვისათვის და ოპერაციისთვის ხელმძღვანელობის

მხრიდან ნებართვის მიღება;

9.2-ის შედეგი - ინფორმაციული უსაფრთხოების საბოლოო ორგანიზაციული

სტრუქტურის დიზაინი;




43


იუმს-ის ჩანაწერების დიზაინის შემუშავება მოიცავს შემდეგ აქტივობებს:

დიზაინის აღწერა, რომელიც მოიცავს იუმს-ის დოკუმენტაციის პრინციპებს, იუმს-ის

დოკუმენტირების პროცედურების სტრუქტურას, როლებს, მონაცემთა ფორმატებს და

ხელმძღვანელობისთვის ანგარიშის წარდგენის საშუალებებს;

დოკუმენტაციის მოთხოვნების ფორმატი;

ჩანაწერების მოთხოვნების ფორმატი.

იუმს-ის დოკუმენტაცია უნდა მოიცავდეს ხელმძღვანელობის გადაწყვეტილებების ამსახველ

ჩანაწერებს; უზრუნველყოფილი უნდა იყოს ქმედებებზე თვალყურის დევნის საშუალება

ხელმძღვანელობის გადაწყვეტილებებთან და ჩანაწერებში დაფიქსირებული შედეგების

განმეორებადობასთან მიმართებაში.

იუმს-ის დოკუმენტაცია უნდა იძლეოდეს მტკიცებულებას იმისა, რომ კონტროლის მექანიზმები

შერჩეულია რისკების შეფასების და რისკების აღმოფხვრის შედეგებზე დაყრდნობით.

დოკუმენტაცია მნიშვნელოვან როლს თამაშობს შედეგებისა და პროცედურების

განმეორებითობაში. ისევე, როგორც შერჩეული კონტროლის მექანიზმების შემთხვევაში,

პროცედურების დადგენა და დოკუმენტირება დაკავშირებულია იმ პირთან, რომელიც

პასუხისმგებელია დოკუმენტაციის კონკრეტულ ნაწილზე.

იუმს-ის დოკუმენტაცია უნდა მოიცავდეს მგს 27001:2011 (ინფორმაციულიტექნოლოგიები

უსაფრთხოების საშუალებები ინფორმაციული უსაფრთხოების მართვის სისტემები–

მოთხოვნები) განსაზღვრულ დოკუმენტაციას (4.3.1.).

იუმს-ის დოკუმენტაცია საჭიროების შემთხვევაში აუცილებლად უნდა იყოს პერსონალისთვის

ხელმისაწვდომი. იგი მოიცავს შემდეგს:

1. იუმს-ის დოკუმენტაციის მართვის ადმინისტრაციული პროცედურის ჩამოყალიბება;

2. დოკუმენტების ადექვატურობის ფორმალური დამტკიცება მათ გამოცემამდე;

3. დოკუმენტების ცვლილების და მიმდინარე მიმოხილვის სტატუსის დადგენა;

4. დოკუმენტების, როგორც ორგანიზაციის ინფორმაციული აქტივების, დაცვა და

კონტროლი.

მნიშვნელოვანია, რომ თანმხლები დოკუმენტაციის ვერსიები მკაფიო და გამოსაყენებლად

ხელმისაწვდომი იყოს. მათი გადაცემა, შენახვა და საბოლოოდ მათი ლიკვიდაცია უნდა მოხდეს

მათივე კლასიფიკაციის თანმხლები პროცედურების შესაბამისად.

უზრუნველყოფილი უნდა იყოს გარე წარმომავლობის დოკუმენტებისთვის იმის განსაზღვრა,

რომ დოკუმენტების განაწილება გადის შემოწმებას, თავიდან არის არიდებული მოძველებული

დოკუმენტების შემთხვევითი გამოყენება და რომ მათზე ხორციელდება შესაბამისი

მეთვალყურეობა იმ შემთხვევაში, თუ რაიმე მიზნით ხდება მათი შენახვა.


44

უნდა იქმნებოდეს ჩანაწერები, ხდებოდეს მათი გამოყენება და შემოწმება, რაც ორგანიზაციის

იუმს-ის მგს მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები) შესაბამისობის და

ოპერაციების ეფექტურობის მტკიცებულებას წარმოადგენს.

ასევე აუცილებელია გაკეთდეს შემდეგი სახის ჩანაწერები: მთლიანად „დაგეგმვა-აღსრულება-

შემოწმება-ქმედება“ ეტაპის დანერგვის სტატუსის, ინფორმაციული უსაფრთხოების

ინციდენტების და შემთხვევების, განათლების, ტრენინგის, უნარ-ჩვევების, გამოცდილების და

კვალიფიკაციის, იუმს-ის შიდა აუდიტის, მაკორექტირებელი და პრევენციული ქმედებების

შესახებ და აგრეთვე ორგანიზაციული ჩანაწერები.

ჩანაწერებზე კონტროლის მიზნით უნდა შესრულდეს შემდეგი დავალებები:

1. მონაცემთა იდენტიფიცირებისათვის, შენახვისათვის, დაცვისათვის, კვლევისთვის და

მათზე უარის თქმისათვის საჭირო კონტროლის მექანიზმების დოკუმენტირება და მათი

შენახვის ხანგრძლივობის ამსახველი დოკუმენტის შექმნა;

2. ოპერაციული მართვის პროცესებში განისაზღვროს თუ რისი ჩაწერაა სავალდებულო და

რა მოცულობით;

3. თუ რომელიმე კანონი განსაზღვრავს შენახვის პერიოდს, მაშინ ამ პერიოდის დადგენა

უნდა შეესაბამებოდეს კანონით დადგენილ მოთხოვნებს.

შედეგი

აღნიშნული აქტივობის შედეგია:

იუმს-ის ჩანაწერების მოთხოვნების და დოკუმენტაციის შემოწმების შემაჯამებელი

დოკუმენტი;

იუმს-თვის საჭირო ჩანაწერების საცავები და შაბლონები.

9.2.3 ინფორმაციული უსაფრთხოების პოლიტიკის დიზაინი


იუმს-ის ფუნქციონირების გათვალისწინებით დოკუმენტირებული უნდა იყოს

ხელმძღვანელობისა და ადმინისტრაციის სტრატეგიული პოზიცია ინფორმაციული

უსაფრთხოების მიზნების შესახებ.


5.2-ის შედეგი - შეჯამებული მიზნები და მოთხოვნების ჩამონათვალი;


45

5.4-ის შედეგი - რეალური მაგალითების და პროექტის გეგმის შექმნა ხელმძღვანელობის

მხრიდან თანხმობის მისაღებად - იუმს-ის საწყის პროექტზე ხელმძღვანელობის

თანხმობა;



7.2-ის შედეგი - იუმს-თვის ინფორმაციული უსაფრთხოების მოთხოვნების განსაზღვრა;

7.3-ის შედეგი - იუმს-ის ფარგლებში არსებული აქტივების დადგენა;

7.4-ის შედეგი - ინფორმაციული უსაფრთხოების შეფასება;

8.2-ის შედეგი - რისკების შეფასება - რისკების შეფასების შედეგები. 8.3-ის შედეგი,

კონტროლის მიზნების და კონტროლის მექანიზმების შერჩევა;

9.2.1-ის შედეგი - ინფორმაციული უსაფრთხოებისთვის საბოლოო ორგანიზაციული


9.2.2-ის შედეგი - იუმს-ის დოკუმენტაციისთვის ჩარჩოს დიზაინი;

მგს 27002:2011 5.1.1. (ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები -



ინფორმაციული უსაფრთხოების პოლიტიკა დოკუმენტირებულად წარმოადგენს ორგანიზაციის

სტრატეგიულ პოზიციას, ითვალისწინებს რა ინფორმაციული უსაფრთხოების მიზნებს.

პოლიტიკა ეფუძნება ინფორმაციასა და ცოდნას. პოლიტიკაში ხაზგასმული უნდა იყოს

ხელმძღვანელობის მიერ წინა ანალიზებიდან გამოკვეთილი მნიშვნელოვანი საკითხები, რათა

ორგანიზაციას მიეცეს სტიმული და მოტივაცია. ასევე უნდა იქნას აღნიშნული ის შემთხვევა,

როდესაც პოლიტიკა არ ხორციელდება. და რა ხდება ამ დროს. კანონებისა და რეგულაციების

გავლენებიც მნიშვნელოვანია.

ინფორმაცული უსაფრთხოების პოლიტიკის ნიმუში შეიძლება შეიქმნას ლიტერატურის,

ინტერნეტის, ინტერესთა ჯგუფების და დარგობრივი ასოციაციების საფუძველზე.

ფორმულირება შესაძლოა ეფუძნებოდეს წლიურ ანგარიშებს, პოლიტიკის შესახებ სხვა

დოკუმენტებს და მართვის სხვა დოკუმენტაციას.

პოლიტიკის მოცულობა შესაძლოა საკამათო საკითხი გახდეს ინტერპრეტაციების და

მოთხოვნების მხრივ. უნდა მოხდეს საკმაოდ მარტივი დოკუმენტის შექმნა, რათა პერსონალმა

გაიგოს, რისთვის არის შექმნილი პოლიტიკა. აგრეთვე უნდა განისაზვროს, რომელი მიზნები

მიეკუთვნება გარე რეგულაციებს და რომლები ორგანიზაციულ მიზნებს.

დიდი და კომპლექსური ორგანიზაციებისთვის (მაგალითად: საკმაოდ განსხვავებული

ოპერაციული არეალით) შესაძლოა საჭირო გახდეს ზოგადი პოლიტიკის და ოპერაციულად

მასზე დაქვემდებარებული პოლიტიკების შემუშავება.


46

ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტის შინაარსის მართვა წარმოდგენილია

მგს 27002:2011 5.1.1. ში (ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები


შემოთავაზებული პოლიტიკა (ვერსიის ნომრით და თარიღით) ორგანიზაციაში ოპერაციების

მენეჯერის მიერ უნდა განისაზღვროს და მოწმდებოდეს. ხელმძღვანელობის ან ექვივალენტური

ჯგუფის ფარგლებში ჩამოყალიბების შემდეგ, ოპერაციების მენეჯერი ამტკიცებს ინფორმაციული

უსაფრთხოების პოლიტიკას. შემდგომ, ორგანიზაციაში მიღებული პოლიტიკის შესახებ ხდება

ყველას ინფორმირება მისაღები, ხელმისაწვდომი და მკითხველისთვის გასაგები ფორმით.

შედეგი

ამ აქტივობის შედეგი არის ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი.


დანართი ბ - ინფორმაცია როლებისა და პასუხისმგებლობების შესახებ.

დანართი დ - ინფორმაცია პოლიტიკის სტრუქტურის შესახებ.

9.2.4 ინფორმაციული უსაფრთხოების სტანდარტების და პროცედურების შემუშავება


შემუშავებული უნდა იყოს ინფორმაციული უსაფრთხოების სტანდარტები და პროცედურები,

რომელიც შეესაბამება მთელს ორგანიზაციას, ან მის სპეციფიურ ნაწილებს.




8.2-ის შედეგი - რისკების შეფასება;

8.3-ის შედეგი - კონტროლის მიზნების და კონტროლის მექანიზმების შერჩევა;

8.4-ის შედეგი - შესატყვისობის შესახებ განცხადება, მათ შორის კონტროლის მიზნები და

შერჩეული კონტროლის მექანიზმები;

9.2.1-ის შედეგი - ინფორმაციული უსაფრთხოების საბოლოო ორგანიზაციული


9.2.2-ის შედეგი - იუმს-ის დოკუმენტაციის ჩარჩოს დიზაინი;

9.2.3-ის შედეგი - ინფორმაციული უსაფრთხოების პოლიტიკის დიზაინი;




47


იმისათვის, რომ ორგანიზაციაში შეიქმნას ინფორმაციული უსაფრთხოების კუთხით სამუშაო

საფუძველი, ინფორმაციული უსაფრთხოების სტანდარტები და სხვა თანმხლები იურიდიული

და მარეგულირებელი მოთხოვნები ხელმისაწვდომი უნდა იყოს მათთვის, ვისაც ის ესაჭიროება.

ორგანიზაციის სხვადასხვა ნაწილის წარმომადგენლები უნდა მონაწილეობდნენ სტანდარტების

და პროცედურების შემუშავების პროცესში. ამ მონაწილეებს უნდა გააჩნდეთ

უფლებამოსილებები და წარმოადგენდნენ ორგანიზაციას. მაგალითად, შემდეგი როლები

შესაძლოა მოიცავდეს:

1. ინფორმაციული უსაფრთხოების მენეჯერებს,

2. ფიზიკური უსაფრთხოების წარმომადგენლებს,

3. ინფორმაციული სისტემების მფლობელებს, და

4. სტრატეგიული და ოპერაციული პროცესების მფლობელებს.

მიზანშეწონილია რედაქტორების ჯგუფი იყოს რაც შეიძლება მცირე, საჭიროების შემთხვევაში

გუნდში დროებითი სპეციალისტის დამატების შესაძლებლობით. ყოველი წარმომადგენელი

ინტენსიურად უნდა უკავშირდებოდეს ორგანიზაციაში საკუთარი პასუხისმგებლობის სფეროს

წარმომადგენლებს შეუფერხებელი საოპრაციო მუშაობის უზრუნველსაყოფად, რაც მოგვიანებით

პროცედურის სახეს მიიღებს.

ინფორმაციული უსაფრთხოების სტანდარტებისა და პროცედურებისადმი მიდგომის საუკეთესო

საშუალება არის მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები) და მგს 27002:2011

(ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები - ინფომრაციული უსაფრთხოების

მართვის წესები და ნორმები) მოცემული დანერგვის სახელმძღვანელოს თითოეული პუნქტის

გათვალისწინება. უნდა გადაიხედოს ინფორმაციული უსაფრთხოების არსებული

სტანდარტების და პროცედურების შეფასებები. მაგალითად, შესაძლებელია თუ არა მათი

გაუმჯობესება და განვითარება, ან საჭიროა თუ არა მათი მთლიანად შეცვლა?

თითოეულ თანამშრომელს დადგენილ ვადებში უნდა წარედგინოს საჭირო და განახლებული

დოკუმენტაცია. ინფორმაციული უსაფრთხოების სტანდარტები და პროცედურები უნდა იქნას

გამოყენებული მთელ ორგანიზაციაში, ან გაირკვეს თუ რომელ როლებს, სისტემებს და არეალს

მოიცავს იგი.

გადახედვის და განხილვის პროცესი უნდა განისაზღვროს ადრეულ ეტაპზე. შემდეგ კი უნდა

ჩამოყალიბდეს სტრატეგია, თუ როგორ უნდა გავრცელდეს ინფორმაცია პოლიტიკის

ცვლილებების შესახებ.


48

შედეგი

1. ამ აქტივობის შედეგი არის კონტროლის მექანიზმების სტრუქტურული და დეტალური

დანერგვის გეგმა, რაც მოიცავს ინფორმაციული უსაფრთხოების სტანდარტების

დოკუმენტაციის ნაკრებს;

2. ინფორმაციული უსაფრთხოების სტანდარტები, მათ შორის ორგანიზაციის საბაზისო

სტანდარტები;

3. ინფორმაციული უსაფრთხოების პროცედურების მეშვეობით დანერგილი

ინფორმაციული უსაფრთხოების სტანდარტები.


დანართი დ - ინფორმაცია პოლიტიკის დიზაინის შესახებ.

9.3 ინფორმაციული საკომუნიკაციო ტექნოლოგიების და ინფორმაციის

ფიზიკური უსაფრთხოების დიზაინი


უნდა განისაზღვროს საინფორმაციო საკომუნიკაციო ტექნოლოგიების და ფიზიკური

უსაფრთხოების გარემოს კონტროლები.




7.2-ის შედეგი - იუმს-ის პროცესისათვის ინფორმაციული უსაფრთხოების მოთხოვნების

განსაზღვრა;

7.3-ის შედეგი - იუმს-ის ფარგლებში არსებული აქტივების განსაზღვრა;

7.4-ის შედეგი - ინფორმაციული უსაფრთხოების შეფასება;

8.3-ის შედეგი - კონტროლის მიზნებისა და კონტროლის მექანიზმების შერჩევა;

8.4-ის შედეგი - შესატყვისობის შესახებ განცხადება, მათ შორის კონტროლის მიზნები და

შერჩეული კონტროლის მექანიზმები;




49


მოცემული აქტივობის ფარგლებში თითოეული კონტროლის მექანიზმისთვის

დოკუმენტირებული უნდა იყოს შემდეგი საკითხები, რაც, თავის მხრივ, უნდა წარმოადგენდეს

იუმს-ის პროექტის გეგმის ნაწილს:

1. კონტროლის მექანიზმიგანხორციელებაზე პასუხისმგებელი პირის სახელი და გვარი;

2. განსახორციელებელი კონტროლის მექანიზმის პრიორიტეტულობა;

3. კონტროლის განსახორციელებლად საჭირო დავალებები ან აქტივობები;

4. ვადა, რომლის განმავლობაშიც უნდა მოხდეს კონტროლის მექანიზმის დანერგვა;

5. პიროვნება, რომელსაც უნდა წარედგინოს ანგარიში კონტროლის მექანიზმის

დანერგვის შესახებ, მას შემდეგ რაც კონტროლის მექანიზმის დანერგვა დასრულდება;

6. დანერგვისთვის საჭირო რესურსები (ადამიანური რესურსები, რესურსების

მოთხოვნები, გარემოს მოთხოვნები, ხარჯები).

თავდაპირველად უნდა შემუშავდეს ინფორმაციული საკომუნიკაციო ტექნოლოგიების და

ფიზიკური უსაფრთხოების კონცეპტუალური გეგმა. გათვალისწინებული უნდა იყოს შემდეგი:

თავდაპირველი დანერგვის პროცესის პასუხისმგებლობები ზოგადად მოიცავს:

1. კონტროლის მიზნების განსაზღვრა მოსალოდნელი მდგომარეობის აღწერით;

2. რესურსების განაწილება (დატვირთულობა, ფინანსური რესურსები);

3. კონტროლის მექანიზმის დანერგვისთვის რეალური დროის განსაზღვრა;

4. ინფორმაციული საკომუნიკაციო ტექნოლოგიებთან ინტეგრაციის საკითხები, ფიზიკური

და ორგანიზაციული უსაფრთხოება.

კონცეპტუალური გეგმის შემუშავების შემდეგ, უნდა შემუშავდეს რეალური გეგმა, როგორიცაა,

მაგალითად სისტემის შემუშავება, რათა მიღწეული იქნას და დაინერგოს ორგანიზაციის

საუკეთესო გამოცდილებები. გასათვალისწინებელია შემდეგი:

ფაქტიური დანერგვის პროცესზე პასუხისმგებლობები, რაც მოიცავს:

1. ინფორმაციული საკომუნიკაციო ტექნოლოგიებისთვის შერჩეული კონტროლის

მექანიზმების, აგრეთვე საოპერაციო დონეზე განსაზღვრული ფიზიკური და

ორგანიზაციული არეების დაგეგმვა;

2. შეთანხმებული დიზაინის თანახმად თითოეული კონტროლის მექანიზმის ინიცირება;

3. უსაფრთხოების შესახებ ინფორმირებულობისათვის საჭირო პროცედურები და

ინფორმაცია, სატრენინგო კურსები;

4. სამუშაო ადგილზე დახმარების გაწევა და კონტროლის მექანიზმების დანერგვა.

კონტროლის მექანიზმების ტიპებიდან გამომდინარე (ინფორმაციული საკომუნიკაციო

ტექნოლოგიები, ფიზიკური ან ორგანიზაციული); ყოველთვის მისაღები ან აუცილებელი არ არის

მკვეთრი საზღვრის დადგენა დანერგვის პროცესის საწყის და საბოლოო ნაწილს შორის.


50

კონტროლის მექანიზმების დანერგვა ხშირად მოითხოვს თანამშრომლობას ორგანიზაციის

ფარგლებში არსებულ სხვადასხვა როლებს შორის. მაგალითად, მათ, ვისაც აქვთ

პასუხისმგებლობა სისტემაზე, დასჭირდებათ ტექნიკური აპარატურის შეძენა, დამონტაჟება და

მხარდაჭერა. სხვა როლები შესაძლოა უკეთ შეესატყვისებოდეს პროცედურების შექმნასა და მათ

დოკუმენტირებას, რაც განაპირობებს სისტემების მართვას.

ინფორმაციული უსაფრთხოება ორგანიზაციის მასშტაბით უნდა იყოს ინტეგრირებული

პროცედურებსა და პროცესებში. თუ მისი დანერგვა სირთულეს წარმოადგენს ორგანიზაციის

ნაწილისთვის, ან მესამე მხარისათვის, მაშინ აუცილებლად უნდა მოხდეს კომუნიკაცია შესაბამის

მხარეებს შორის, რათა შეთანხმებული იქნას პრობლემის გადაწყვეტილება. ამ ტიპის პრობლემის

გადაჭრა მოიცავს პროცესებისა და პროცედურების შეცვლას, როლებისა და პასუხისმგებლობების

ხელახლა გადანაწილებას და ტექნიკური პროცედურების მორგებას.

იუმს-ის კონტროლების დანერგვის შედეგებია:

1. დანერგვის გეგმა, რომელიც განსაზღვრავს კონტროლის მექანიზმების,

მაგალითად, დანერგვის ჯგუფის გრაფიკის, სტრუქტურისა და ა.შ. დანერგვის

დეტალებს;

2. დანერგვის შედეგების ჩანაწერები და დოკუმენტაცია.

შედეგი

ამ ქმედების შედეგი არის ინფორმაციული საკომუნიკაციო ტექნოლოგიების და ფიზიკურ

უსაფრთხოებასთან დაკავშირებული კონტროლის მექანიზმების სტრუქტურული და დეტალური

გეგმა, რომელიც თავის მხრივ არის იუმს-ის პროექტის გეგმის ნაწილი და თოთოეული

კონტროლის მექანიზმისთვის მოიცავს:

1. დეტალურ აღწერას;

2. დაგეგმვასა და დანერგვაზე პასუხისმგებლობებს;

3. დანერგვის მოსალოდნელ ვადას;

4. დაკავშირებულ დავალებებს;

5. საჭირო რესურსებს;

6. მფლობელობას (ანაგრიშების წარდგენა).

9.4 იუმს-ის ინფორმაციული უსაფრთხოების სპეციფიკური გეგმის შემუშავება

9.4.1 ხელმძღვანელობის მხრიდან განხილვის დაგეგმვა


უნდა შემუშავდეს გეგმა, რათა უზრუნველყოფილი იქნას ხელმძღვანელობის ჩართულობა და

დახმარება იუმს-ის ოპერაციებისა და მიმდინარე გაუმჯობესებების მიმოხილვის კუთხით.


51


1. 6.5-ის შედეგი - იუმს-ის ფარგლები და საზღვრები;

2. 6.6-ის შედეგი - იუმს-ის პოლიტიკა;

3. 8.4-ის შედეგი - გამოყენებადობის შესახებ განცხადება, მათ შორის კონტროლის მიზნები

და შერჩეული კონტროლის მექანიზმები;

4. 9.2.3-ის შედეგი - ინფორმაციული უსაფრთხოების პოლიტიკის დიზაინი;

5. მგს 27004:2011 (ინფორმაციული უსაფრთხოების მართვის შეფასება)


იუმს-ისთვის დამახასიათებელი ქმედებების განხილვა ხელმძღვანელობის მხრიდან უნდა

დაიწყოს იუმს-ის მახასიათებლების და რეალური მაგალითის შემუშავების ადრეულ ეტაპებზე

და გაგრძელდეს იუმს-ის ოპერაციების რეგულარული განხილვის მანძილზე.

ხელმძღვანელობის განხილვის დაგეგმვა მოიცავს იმის დადგენას, თუ როდის და როგორ უნდა

ჩატარდეს ხელმძღვანელობის მხრიდან განხილვა. დეტალური ინფორმაცია ხელმძღვანელობის

განხილვის წინაპირობების გათვალისწინებით მოცემულია მგს 27001:2011

(ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული უსაფრთხოების

მართვის სისტემები–მოთხოვნები) ქვეპუნქტში 7.2.

განხილვის დასაგეგმად უნდა განხორციელდეს ჩასართავი როლების შეფასება.

ხელმძღვანელობის თანხმობა აუცილებელია როლების არჩევისათვის და შემდეგ, რაც შეიძლება

მალე, უნდა მოხდეს ამ როლების შესაბამისი პირების ინფორმირება. სასურველია,

ხელმძღვანელობას მიეწოდოს ადექვატური მონაცემები, რაც აუცილებელია მიმოხილვის

პროცესის მიზნის მისაღწევად როლებისა და პასუხისმგებლობების შესახებ(დეტალური

ინფორმაციისათვის იხილეთ დანართი ბ).

ხელმძღვანელობის განხილვა უნდა ემყარებოდეს იუმს-ის შეფასების შედეგებს და სხვა

ინფორმაციას, რომელიც დაგროვდა იუმს-ის ფუნქციონირების დროს. აღნიშნული ინფორმაცია

გამოიყენება იუმს-ის ხელმძღვანელობის მიერ, რათა განისაზღვროს იუმს-ის დახვეწილობა და

ეფექტურობა. იუმს-ის შეფასებისთვის საჭირო რესურსები და შედეგები წარმოდგენილია მგს მგს

27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული

უსაფრთხოების მართვის სისტემები–მოთხოვნები), ხოლო დამატებითი ინფორმაცია იხილეთ

დანართში ე.

ასევე უნდა აღინიშნოს, რომ ეს უნდა მოიცავდეს მეთოდოლოგიისა და რისკების შეფასების

შედეგების განხილვას. აღნიშნული შესაძლოა განხორცილდეს დაგეგმილი ინტერვალებით, რის

დროსაც გასათვალისწინებელია გარემოში მომხდარი ნებისმიერი ცვლილება, იქნება ის

ორგანიზაციული თუ ტექნოლოგიური ცვლილებები.


52

1. იუმს-ის შიდა აუდიტის დაგეგმვა აუცილებელია იუმს-ის რეგულარული

შეფასებისთვის, მას შემდეგ, რაც მოხდება მისი დანერგვა. იუმს-ის შიდა აუდიტის

შედეგები წარმოადგენს მნიშვნელოვან რესურსებს იუმს-ის ხელმძღვანელობის

განხილვებისთვის. ამდენად, იუმს-ის შიდა აუდიტი უნდა დაიგეგმოს

ხელმძღვანელობის განხილვის განხორცილდებამდე. იუმს-ის შიდა აუდიტი უნდა

შეიცავდეს მოსაზრებებს იუმს-ის კონტროლის მექანიზმების, კონტროლების, პროცესების

და პროცედურების ეფექტურად დანერგვის შესახებ და თუ რამდენად შეესაბამებიან

ისინი: მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები

ინფორმაციული უსაფრთხოების მართვის სისტემები–მოთხოვნები) მოთხოვნებს,

2. აუცილებელ საკანონმდებლო აქტებსა თუ რეგულაციებს, და

3. იდენტიფიცირებულ ინფორმაციული უსაფრთხოების მოთხოვნებს,

(აუდიტის დაგეგმვის შესახებ შემდგომი ინფორმაცია იხილეთ დანართში „გ“).

ხელმძღვანელობის განხილვის წინაპირობას წარმოადგენს ის ინფორმაცია, რომელიც

შეგროვებულია დანერგილი და შემუშავებული იუმს-ის საფუძველზე. განხილვის გუნდისათვის

წარდგენილი ინფორმაცია შეიძლება მოიცავდეს შემდეგ საკითხებს:

1. ფუნქციონირების ბოლო პერიოდში არსებული ინციდენტების ანგარიშები;

2. კონტროლის ეფექტურობის შემოწმება და იდენტიფიცირებული შეუსაბამობა;

3. სხვა რეგულარული შემოწმებების შედეგები (უფრო დეტალიზებული, როდესაც

შემოწმებები აღმოაჩენს პოლიტიკასთან შეუსაბამობას);

4. იუმს-ის გაუმჯობესების რეკომენდაციები.

მონიტორინგის გეგმამ დოკუმენტალურად უნდა წარმოადგინოს მონიტორინგის შედეგები,

რომელიც ჩაიწერება და ანგარიშის სახით მიეწოდება ხელმძღვანელობას (მონიტორინგის შესახებ

დამატებითი ინფორმაციისათვის იხილეთ დანართი „ე“).

შედეგი

შედეგი არის დოკუმენტი, რომელშიც მოცემულია ხელმძღვანელობის განხილვისთვის საჭირო

გეგმა, და მოიცავს:

1. იუმს-ის ხელმძღვანელობის მიერ განხილვისთვის საჭირო რესურსებს;

2. ხელმძღვანელობის მიერ განხილვისთვის საჭირო პროცედურებს, რომელიც მოიცავს

აუდიტის, მონიტორინგისა და შეფასების ასპექტებს.


დანართი ბ - ინფორმაციული უსაფრთხოების როლები და პასუხისმგებლობები;

დანართი გ - ინფორმაცია შიდა აუდიტის შესახებ;

დანართი ე - ინფორმაცია მონიტორინგისა და შეფასების დარეგულირების შესახებ.


53

9.4.2 ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის, ტრენინგისა და სასწავლო

პროგრამის შემუშავება


შემუშავებული უნდა იქნას ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის,

სატრენინგო და სასწავლო პროგრამები.




7.2-ის შედეგი - ცალკეულ შემთხვევებში ორგანიზაციული მოთხოვნები

ინფორმაციული უსაფრთხოების ტრენინგისა და სწავლებისათვის;

8.4-ის შედეგები - გამოყენებადობის შესახებ განცხადება, მათ შორის კონტროლის

მიზნები და შერჩეული კონტროლის მექანიზმები ;

8.3-ის შედეგები - რისკების აღმოფხვრის გეგმა;

9.2.3-ის შედეგები - ინფორმაციული უსაფრთხოების პოლიტიკის დიზაინი;

9.2.4-ის შედეგები - ინფორმაციული უსაფრთხოების სტანდარტების და

პროცედურების შემუშავება;

ორგანიზაციის ზოგადი საგანმანათლებლო და ტრენინგის პროგრამების მიმოხილვა.


ხელმძღვანელობა პასუხისმგებელია სწავლებისა და ტრენინგის ჩატარებაზე, რათა ყველა

თანამშრომელისთვის, რომელსაც მინიჭებული აქვს განსაზღვრული როლი, უზრუნველყოფილი

იყოს საჭირო ოპერაციების შესასრულებლად საკმარისი კომპეტენცია. იდეალურ შემთხვევაში,

სწავლებისა და ტრენინგის შინაარსი ყველა ჩართულ თანამშრომელს უნდა ეხმარებოდეს

ინფორმაციული უსაფრთხოების მნიშვნელობისა და არსის გაგებაში, და ასევე იმის

გაცნობიერებაში, თუ რა წვლილი უნდა შეიტანონ იუმს-ის მიზნების მიღწევაში.

მნიშვნელოვანია, უზრუნველყოფილი იქნას თითოეული თანამშრომელის მიერ იუმს-ის

ფარგლებში საჭირო უსაფრთხოების ტრენინგის და/ან სწავლების მიღება. დიდ ორგანიზაციებში,

ერთი სატრენინგო მასალა არ არის საკმარისი და ეფექტური, რადგანაც იგი შეიცავს ძალიან ბევრ

მონაცემს, რომლებიც საჭიროა მხოლოდ სპეციფიკური სახის სამუშაოს შესასრულებლად და,

ამდენად, არის საკმაოდ მოცულობითი, კომპლექსური და რთულად გამოსაყენებელი. ასეთ

შემთხვევებში, სასურველია არსებობდეს ტრენინგის მასალების სხვადასხვა ნაკრები თითოეული

ტიპის როლისათვის, მაგალითად ოფისის თანამშრომლები, ი.ტ. პერსონალი, ან მძღოლები, რაც

მორგებული იქნება სპეციფიკურ მოთხოვნებზე.

ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის ტრენინგებმა და სასწავლო

პროგრამებმა უნდა უზრუნველყონ უსაფრთხოების ტრენინგებისა და სწავლების შესახებ

ჩანაწერების შექმნა. აღნიშნული ჩანაწერები რეგულარულად უნდა იქნას გადახედილი, რათა


54

უზრუნველყოფილი იყოს ყველა თანამშრომლის საჭიროებისამებრ დატრენინგება. უნდა

დადგინდეს აღნიშნულ პროცესზე პასუხისმგებელი როლი.

ინფორმაციული უსაფრთხოების ტრენინგის მასალები დაკავშირებული უნდა იყოს

ორგანიზაციის მიერ გამოყენებულ სხვა ტრენინგის მასალებთან, განსაკუთრებით

ინფორმაციული ტექნოლოგიების სისტემების მომხმარებელთა სატრენინგო კურსებთან.

ინფორმაციული უსაფრთხოების ტრენინგი ინტეგრირებული უნდა იყოს ი.ტ. მომხმარებლების

ყველა სატრენინგო კურსში.

ინფორმაციული უსაფრთხოების შესახებ ტრენინგის მასალები სამიზნე აუდიტორიიდან

გამომდინარე უნდა შეიცავდეს მინიმუმ შემდეგ საკითხებს,:

1. ინფორმაციულ უსაფრთხოებასთან დაკავშირებული რისკები და საფრთხეები;

2. ინფორმაციული უსაფრთხოების ძირითადი ტერმინები;

3. უსაფრთხოების ინციდენტის განმარტება: თუ როგორ უნდა მოხდეს მისი

(ინციდენტის) იდენტიფიცირება, აღმოფხვრა და მის შესახებ ანგარიშის წარდგენა;

4. ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკა, სტანდარტები და

პროცედურები;

5. ორგანიზაციაში ინფორმაციულ უსაფრთხოებასთან დაკავშირებული

პასუხისმგებლობები და ანგარიშგების არხები;

6. სახელმძღვანელო იმის თაობაზე, თუ როგორ უნდა მოხდეს ინფორმაციული

უსაფრთხოების გაუმჯობესება;

7. სახელმძღვანელო ინფორმაციული უსაფრთხოების ინციდენტებისა და ანგარიშგების

შესახებ;

8. სად უნდა მოიძიონ შემდგომი ინფორმაცია.

ინფორმაციული უსაფრთხოების შესახებ სატრენინგო ჯგუფმა უნდა შეასრულოს შემდეგი

დავალებები:

1. სატრენინგო ჩანაწერების შექმნა და მართვა;

2. სატრენინგო მასალების შექმნა და მართვა;

3. ტრენინგის ჩატარება.

ეს დავალებები შეიძლება განაწილდეს არსებულ სატრენინგო ჯგუფზე. მაგრამ არსებულ

ტრენინგ ჯგუფს შესაძლოა დასჭირდეს მნიშვნელოვანი ტრენინგი ინფორმაციული

უსაფრთხოების კონცეფციებსა და პრინციპებში გასარკვევად, რათა უზრუნველყოფილი იყოს

მათ მიერ ტრენინგის ჩატარების სიზუსტე და ეფექტიანობა.

ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის, ტრენინგისა და სწავლების

პროგრამები უნდა მოიცავდეს პროცედურას, რომელიც უზურნველყოფს ტრენინგის მასალების

რეგულარულ განახლებასა და გადახედვას. უნდა არსებობდეს როლი, რომელიც იქნება ამ

კონკრეტულ საქმიანობაზე პასუხისმგებელი.


55

შედეგი

აღნიშნული ქმედების შედეგებია:

1. ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის, სწავლებისა და

ტრენინგის მასალები;

2. ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის, სწავლების და

ტრენინგის, მათ შორის როლების და პასუხისმგებლობების ჩამოყალიბება;

3. ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის, სწავლების და

ტრენინგების გეგმები;

4. ინფორმაციულ უსაფრთხოებაში თანამშრომლების ინფორმირებულობის, სწავლებისა და

ტრენიგის შედეგების ჩანაწერები.

9.5. იუმს-ის პროექტის საბოლოო გეგმის შექმნა


შემუშავებული უნდა იყოს იუმს-ის პროექტის საბოლოო გეგმა, ის უნდა მოიცავდეს იმ

აუცილებელ ქმედებებს, რაც საჭიროა შერჩეული კონტროლის მექანიზმების

განსახორციელებლად.


1. 6.5-ის შედეგი - იუმს-ის ფარგლები და საზღვრები;

2. 6.6-ის შედეგი - იუმს-ის პოლიტიკა;

3. 9.2-ის შედეგი - ორგანიზაციული ინფორმაციული უსაფრთხოების დიზაინის შემუშავება;

4. 9.3-ის შედეგი - საინფორმაციო საკომუნიკაციო ტექნოლოგიების და ფიზიკური

ინფორმაციული უსაფრთხოების დიზაინის შემუშავება;

5. 9.4-ის შედეგი - იუმს-თვის სპეციფიკური ინფორმაციული უსაფრთხოების დიზაინის

შემუშავება;




იუმს-თან დაკავშირებული შერჩეული კონტროლის მექანიზმების და სხვა ქმედებების

შესასრულებლად საჭირო ქმედებები ჩამოყალიბებული უნდა იყოს დანერგვის დეტალურ

გეგმაში, როგორც იუმს-ის საბოლოო პროექტის შემადგენელი ნაწილი. დანერგვის დეტალური

გეგმა ასევე შესაძლოა მოიცავდეს დანერგვის შემოთავაზებული ხერხებისა და მეთოდების

აღწერას. რადგანაც იუმს-ის პროექტი მოიცავს ორგანიზაციაში არსებულ ბევრ სხვადასხვა როლს,

მნიშვნელოვანია პასუხისმგებელ მხარეებს დაევალოთ მათ მიერ შესასრულებელი ქმედებები და


56

გეგმის შესახებ კომუნიკაცია უზრუნველყოფილი იყოს მთელს ორგანიზაციაშიპროექტის

ადრეული სტადიიდან.

ისევე, როგორც ნებისმიერი სხვა პროექტის შემთხვევაში, აქაც მნიშვნელოვანია პროექტზე

პასუხისმგებელმა პირმა უზრუნველყოს პროექტისთვის შესაბამისი რესურსების გამოყოფა.

შედეგი

აღნიშნული აქტივობის შედეგი არის იუმს-ის პროექტის დანერგვის საბოლოო გეგმა.


57

დანართები

დანართი ა საკონტროლო საკითხების აღწერილობა

მიზანი:

იუმს-ის განსაზღვრისა და დანერგვისთვის საჭირო ქმედებების საკონტროლო საკითხების

ჩამონათვალი;

იუმს-ის დანერგვის პროგრესის მონიტორინგი;

მგს 27001 გამოდინარე იუმს-ის დანერგვასთან შესაბამისობა.

დანერგვის

ეტაპი

მგს 27003 საფ

ეხუ

რებ

ი

ქმედებები მგს 27003

წი

ნაპი

რო

ბა

დოკუმენტირებუ

ლი შედეგი

კავშირი

მგს 27001-

თან

5 იუმს-ის

დანერგვაზე

ხელმძღვანელო

ბის მხრიდან

თანხმობის

მიღება

1 მიზნების თავმოყრა არა მიზნების


არ

არსებობს

2 მართვის არსებული

სისტემის გააზრება

არა მართვის

არსებული

სისტემის აღწერა

არ


3 5.2 იუმს-ისთვის

მიზნების, ინფორმაციის,

უსაფრთხოების

საჭიროების, ბიზნეს

მოთხოვნების განსაზღვრა

1, 2 მიზნების,

ინფრომაციული


საჭიროების და

ბიზნეს

მოთხოვნების

რეზიუმე

არ


4 საჭირო რეგულაციების,

შესაბამისობებისა და

დარგობრივი

სტანდარტების შეგროვება

არა საჭირო

რეგულაციების,

შესაბამისობების

ა და

დარგობრივი

სტანდარტების

რეზიუმე

არ


5 5.3 იუმს-ის წინასწარი 3, 4 იუმს-ის არ


58

გავრცელების სფეროს


წინასწარი

გავრცელების

სფეროს აღწერა

(5.3.1)


იუმს-ის

როლებისა და

პასუხისმგებლობ

ების განსაზღვრა

(5.3.2)

არ


6 5.4 ხელმძღვანელობის

თანხმობისათვის

რეალური მაგალითის და

პროექტის გეგმის შექმნა

5 რეალური

მაგალითი და

შემოთავზებული

პროექტის გეგმა

არ


7 5.5 იუმს-ის დანერგვის

პროექტის

ინიცირებისათვის

ხელმძღვანელობის

მხარდაჭერა და

დამტკიცება



პროექტის

დასაწყებად

ხელმძღვანელობ

ის მხრიდან

თანხომა

არ




სფეროსა და

იუმს-ის

პოლიტიკის


8 6.2 ორგანიზაციული

საზღვრების დადგენა

7 -

ორგანიზაციული

საზღვრების

აღწერა

-ორგანიზაციის

ფუნქციები და

სტრუქტურა

-საზღვრების

გარეთ

ინფორმაციის

გაცვლა

არსებული

ინფორმაციული

აქტივების

შესახებ

4.2.1 ა)

(ნაწილობრ

ივ)


59


ები და ბიზნეს-

პროცესები

9 6.3 ინფორმაციული

საკომუნიკაციო

ტექნოლოგიის

ფარგლების დადგენა

7 ინფორმაციული

საკომუნიკაციოტ

ექნოლოგიის

ფარგლების

აღწერა


სისტემების და

სატელეკომუნიკა

ციო ქსელების

აღმწერი

დოკუმენტაცია

4.2.1 ა)


ივ)

10 6.4 ფიზიკური

საზღვრების დადგენა

7 -იუმს-ისთვის

ფიზიკური

საზღვრების

აღწერა


და მისი

გეოგრაფიული

მახასიათებლები

ს აღწერა


სფეროს შიგნით

და გარეთ

4.2.1 ა)


ივ)

11 6.5 იუმს-ის გავრცელების

სფეროს ფარგლების

საბოლოო დადგენა

8, 9, 10 იუმს-ის


სფეროს აღმწერი


4.2.1 ა)

12 6.6 იუმს-ის პოლიტიკის

შემუშავება

11 ხელმძღვანელობ

ის მიერ

დამტკიცებული

იუმს-ის

პოლიტიკა

4.2.1 ბ)


60

7

ორგანიზაციუ

ლი ანალიზის

ჩატარება

13 7.2 იუმს-ის მხარდამჭერი



მოთხოვნების განსაზღვრა

12 ძირითადი

პროცესების,

ფუნქციების,

ადგილმდებარეო

ბის,


სისტემების,


ქსელების


არ


ორგანიზაციის


დაკავშირებული

კონფიდენციალუ

რობასთან,

მთლიანობასა და

ხელმისაწვდომო

ბასთან

არ


საკანონმდებლო,

მარეგულირებელ

ი,

სახელშეკრულებ

ო და ბიზნეს-

ინფორმაციის



4.2.1 გ)1)

ნაწილობრ

ივ

ორგანიზაციისთ

ვის ცნობილი

სისუსტეების


4.2.1 დ)3)

14 7.3 იუმს-ის გავრცელების

სფეროში შემავალი


იდენტიფიცირება

13 ორგანიზაციის

ძირითადი

პროცესების

აღწერა

ც


ძირითადი

4.2.1 დ)1)


61




იდნტიფიკაცია

კრიტიკული

პროცესების/აქტი

ვების

კლასიფიკაცია

არ



უსაფრთხოების შეფასების


14 ინფორმაციული


სტატუსის და

შეფასების

დოკუმენტი,

რომელიც

შეიცავს



კონტროლებს


შეფასებული

ნაკლოვანებების


4.2.1 ე)2)


ივ

8 რისკების


ჩატარება და

რისკების

აღმოფხვრის

ვარიანტების

ამორჩევა

16 8.2 რისკების შეფასების


15 -რისკების


ფარგლები

-რისკების



მეთოდოლოგია,


კავშირშია


სტრატეგიული


მართვასთან

-რისკების

4.2.1 გ)1)


62

მიღების

კრიტერიუმები

17 8.3 კონტროლის

მიზნებისა და

კონტროლის

მექანიზმების არჩევა

16 დოკუმენტირებუ

ლი მაღალი

დონის რისკების

შეფასება

4.2.1 ე)3)


ივ


დამატებითი

სიღრმისეული


საჭიროების

გამოვლენა

არ



ლი რისკების

სიღრმისეული


4.2.1 ე)3)


ივ



შეჯამებული

შედეგები

არ


18 8.4 იუმს-ის

დანერგვისათვის


მხრიდან თანხმობის

მიღება

17 რისკები და მათი

აღმოფხვრის

გამოვლენილი

სტრატეგიები

4.2.1 ვ)


შემცირებისათვი

ს შერჩეული

კონტროლის

მიზნები და


4.2.1 ზ)

19 ხელმძღვანელობის

მხრიდან თანხმობა

რეაგირების გარეშე

დარჩენილ რისკებზე


ის


ლი თანხმობა

რეაგირების

4.2.1 თ)


63

გარეშე

დარჩენილ

რისკებზე (უნდა

იყოს 8.4-ის

შედეგი)

20 იუმს-ის დანერგვისა და

ფუნქციონირებისთვის


ნებართვა


ის


ლი ნებართვა

იუმს-ის

დანერგვისა და

ფუნქციონირები

სათვის (უნდა

იყოს 8.4-ის

შედეგი)

4.2.1 ი)

21 გამოყენებადობის შესახებ

განცხადების

ჩამოყალიბება

18 გამოყენებადობი

ს შესახებ

განცხადება

4.2.1 კ)


ორგანიზაციუ

ლი მოწყობა

22 9.2 ორგანიზაციული

უსაფრთხოების მოწყობა

20 ორგანიზაციის

სტრუქტურა, და

მისი


უსაფრთხოება

როლებისა და


ების

გათვალისწინები

თ

5.1 გ)

-იუმს-თან

დაკავშირებული

დოკუმენტაციის

იდენტიფიცირებ

ა

-იუმს-ის

ჩანაწერების

შაბლონები და

მათი

4.3


64

გამოყენების და

შენახვის

ინსტრუქციები



პოლიტიკის


მგს

27002:2011;

5.1.1



პოლიტიკები და

პროცედურები



ტექნოლოგიების

ორგანიზაციული მოწყობა

და ფიზიკური

უსაფრთხოება

20, 21 ინფორმაციული



და ფიზიკური

უსაფრთხოებისა

თვის დანერგვის


4.2.2 გ)

24 9.4 იუმს-ისთვის

სპეციფიკური



ორგანიზაციული მოწყობა

22, 23 ანგარიშგების და


ის მხრიდან

განხილვის


აღმწერი

პროცედურები

7.1

25 აუდიტის,

მონიტორინგისა

და შეფასების

აღწერები

4.2.3 ა)


ივ

4.2.3 ბ)


ივ; 6


65

26 ტრენინგისა და

ინფორმირებულ

ობის პროგრამა

5.2.2

27 9.5 იუმს-ის საბოლოო

პროექტის გეგმის შედგენა

25 დანერგვის

პროცესებისათვი

ს


ის მიერ




არ


28 საბოლოო იუმს-ის




პროექტის გეგმა,


მოიცავს

ორგანიზაციული

, ინფორმაციული



და ინფორმაციის

ფიზიკური


დაგეგმილ

განოხრციელებას

.


66

დანართი ბ ინფორმაციული უსაფრთხოების როლები და პასუხისმგებლობები

დანართში წარმოდგენილია ინფორმაციულ უსაფრთხოებასთან დაკავშირებული,

ორგანიზაციაში არსებული როლებისა და პასუხისმგებლობების შესახებ დამატებითი

მითითებები. როლები თავდაპირველად მოცემულია იუმს-ის დანერგვის ორგანიზაციული

ხედვით. ცხრილი აჯამებს ამ ინფორმაციას და იძლევა როლებისა და პასუხისმგებლობების

ზოგად მაგალითებს.

1. ინფორმაციული უსაფრთხოების კომიტეტის როლი

ინფორმაციული უსაფრთხოების კომიტეტს ორგანიზაციაში უნდა გააჩნდეს წამყვანი

როლი იუმს-თვის. ინფორმაციული უსაფრთხოების კომიტეტი პასუხისმგებელი უნდა

იყოს ორგანიზაციის ინფორმაციული აქტივების მართვაზე და კარგად უნდა ერკვეოდეს

ინფორმაციული უსაფრთხოებისთვის საჭირო ამოცანების ხელმძღვანელობაში,

მონიტორინგსა და შესრულებაში.

ინფორმაციული უსაფრთხოების კომიტეტის შესაძლო როლების მაგალითები:

ა) რისკების მართვის სრულყოფა, იუმს-ის დოკუმენტებისთვის გეგმის შედგენა, ამ

დოკუმენტების შინაარსის განსაზღვრაზე პასუხისმგებლობა და ხელმძღვანელობის მხრიდან

თანხმობის მიღება;

ბ) ახალი მოწყობილობების შესყიდვის დაგეგმვა და/ან ორგანიზაციის საკუთრებაში არსებული

მოწყობილობის ხელახლა გამოყენება;

გ) ნებისმიერი შესაძლო პრობლემის მოგვარება;

დ) იუმს-ის დანერგვისა და შეფასების შემდგომ გამოკვეთილი გაუმჯობესებების

გათვალისწინება;

ე) იუმს-თვის სტრატეგიული მიმართულების მიცემა (როგორც დანერგვის პროექტის დროს ასევე

ოპერირებისას);

ვ) უმაღლესი რანგის ხელმძღვანელობას, დანერგვის ჯგუფის წევრებსა და ინფორმაციული

უსაფრთხოების თანამშრომლებს შორის კომუნიკაცია.

2. ინფორმაციული უსაფრთხოების დაგეგმვის ჯგუფის როლები:

3.

იუმს-ზე პასუხისმგებელ პროექტის ჯგუფს, პროექტის დაგეგმვისას, დახმარება უნდა

გაუწიონ იმ თანამშრომლებმა, რომლებსაც დიდი ცოდნა აქვთ მნიშვნელოვანი

ინფორმაციული აქტივების შესახებ იუმს-ის ფარგლებში, და ასევე იციან როგორ მართონ

ეს ინფორმაცია. მაგალითად, ინფორმაციული აქტივის მართვის განსაზღვრისას შესაძლოა

არსებობდეს განსხვავებული მოსაზრებები იუმს-ის ფარგლებში არსებულ

დეპარტამენტებს შორის, ასე რომ შესაძლოა საჭირო გახდეს გეგმის დადებითი და


67

უარყოფითი გავლენების დაზუსტება. საპროექტო გუნდმა უნდა იმუშაოს როგორც

კონფლიქტების კოორდინატორმა დეპარტამენტებითან მუშაობისას. ამისათვის, მის

წევრებს უნდა გააჩნდეთ კომუკინაციის უნარ-ჩვევები, რაც დაფუძნებული იქნება მათ

გამოცდილებასა და კოორდინაციის უნარზე, აგრეთვე უსაფრთხოების შესახებ მაღალი

დონის ცოდნაზე.

4. სპეციალისტები და გარედან მოწვეული კონსულტანტები

იუმს-ის დადგენამდე, ორგანიზაციამ უნდა შეარჩიოს წევრები ზემოთ ჩამოთვლილი

მოვალეობებისთვის (თუ შესაძლებელია წევრები, რომლებსაც ექნებათ მხოლოდ ერთი

ექსკლუზიური როლი). ამ ადამიანებს უნდა გააჩნდეთ დიდი ცოდნა და გამოცდილება

ინფორმაციული უსაფრთხოების სფეროში, როგორიცაა „ინფორმაციული ტექნოლოგიები“,

„მენეჯერული გადაწყვეტილებები“ და „ორგანიზაციული ხედვა“. ორგანიზაციაში მოცემულ

ოპერაციებზე პასუხისმგებელი ადამიანები საუკეთესონი არიან თავიანთი საქმიანობის სფეროში.

მოწვეული უნდა იქნან ის სპეციალისტები, რომლებიც ორგანიზაციაში თავიანთი საქმის

ექსპერტებად არიან მიჩნეულნი. ასევე მნიშვნელოვანია ამ ექსპერტიზისა და ფართო ცოდნის

დაბალანსება ორგანიზაციის მიზნების მისაღწევად. გარედან მოწვეული ექსპერტები იძლევიან

განზოგადებულ რჩევებს ორგანიზაციის შესახებ საკუთარი მსგავსი გამოცდილებიდან

გამომდინარე, მიუხედავად იმისა, რომ არ გააჩნიათ სიღრმისეული ცოდნა ორგანიზაციის

სპეციფიკასა და ორგანიზაციის ოპერაციულ დეტალებზე. ზემოთ მოცემული ტერმინები,

როგორებიცაა ინფორმაციული უსაფრთხოების კომიტეტი და ინფორმაციული უსაფრთხოების

დაგეგმვის ჯგუფი, არ არის მნიშვნელოვანი, მეტი ყურადღება უნდა დაეთმოს თითოეული

სტრუქტურის ფუნქციებს და ისინი კარგად იქნას გაცნობიერებული. იდეალურ ვარიანტში,

ორგანიზაციის ინფორმაციული უსაფრთხოების კოორდინაციისათვის უნდა არსებობდეს შიდა

სტრუქტურები, თოთოეულ ტექნიკურ დეპარტამენტთან კომუნიკაციისა და მჭიდრო

თანამშრომლობისათვის.

5. ინფორმაციული აქტივის მფლობელები

თითოეული ორგანიზაციული პროცესისათვის უნდა დაინიშნოს მცოდნე პიროვნება; ეს

პიროვნება მოქმედებს როგორც ე.წ. „ინფორმაციული აქტივის მფლობელი“ საკონტაქტო

პირი ან პროცესის მფლობელი. იგი პასუხისმგებელია, მაგალითად, ამოცანების

დელეგირებასა და ინფორმაციის მართვაზე მოცემული პროცესის ფარგლებში.

რისკების გაზიარების, რისკების თავიდან აცილების და რისკების მიღების შემთხვევაში,

საჭირო ქმედებები უნდა განხორციელდეს ორგანიზაციული უსაფრთხოებიდან

გამომდინარე. თუ მიღებული იქნა გადაწყვეტილება რისკების გადაცემის შესახებ, მაშინ

უნდა განხორციელდეს შესაბამისი ქმედებები, როგორებიცაა: სადაზღვევო

ხელშეკრულებები, გარანტიები და ახალი ორგანიზაციული სტრუქტურები, მაგალითად:

პარტნიორობა და ერთობლივი საწარმო.


68

ნახაზი ბ.1 გვიჩვენებს იუმს-ის ორგანიზაციული სტრუქტურის მაგალითს. ქვემოთ

მოცემული ორგანიზაციის ძირითადი როლები და პასუხისმგებლობები მოცემულ ნიმუშს

ემყარება.

ნახაზი ბ.1 - იუმს-ის ორგანიზაციული სტრუქტურის ნიმუში

ორგანიზაციული ურთიერთქმედება

ყველა ჩართულმა მხარემ უნდა გადახედოს და კარგად იცნობდეს ორგანიზაციის აქტივების

დაცვის მოცემულ მოთხოვნებს. ორგანიზაციულ ანალიზში უნდა მონაწილეობდნენ ის

პირები, რომლებსაც გააჩნიათ ორგანიზაციისა და გარემოს (რომელშიც მოღვაწეობენ) შესახებ

საფუძვლიანი ცოდნა. ამ პირებმა უნდა წარმოადგინონ ორგანიზაციის ფართო სპექტრი:

ა) უმაღლესი რანგის ხელმძღვანელობა (მაგალითად, ოპერაციების დირექტორი და

ფინანსური დირექტორი);

ბ) ინფორმაციული უსაფრთხოების კომიტეტის წევრები;

გ) ინფორმაციული უსაფრთხოების დაგეგმვის ჯგუფის წევრები;


69

დ) ორგანიზაციული ერთეულების უფროსები;

ე) პროცესების მფლობელები;

ვ)ინფორმაციული უსაფრთხოების სპეციალისტები და გარედან მოწვეული კონსულტანტები;

ინფორმაციულ უსაფრთხოებასთან დაკავშირებული ზოგადი როლებისა და

პასუხისმგებლობების მაგალითები

ინფორმაციული უსაფრთხოება გავლენას ახდენს მთელ ორგანიზაციაზე. ამდენად, ნათლად

განსაზღვრული უსაფრთხოების პასუხისმგებლობები არსებითია წარმატებული

დანერგვისათვის. რადგანაც უსაფრთხოებასთან დაკავშირებული როლები და

პასუხისმგებლობები ცვალებადია, ამდენად, სხვადასხვა როლების გაცნობიერება

მნიშვნელოვანია მოგვიანებით ამ სტანდარტში აღწერილი ზოგიერთი ქმედების

გაგებისათვის. ქვემოთ მოცემული ცხრილში ნაჩვენებია უსაფრთხოებასთან დაკავშირებული

როლები და პასუხისმგებლობები. უნდა აღინიშნოს, რომ ეს როლები არის ზოგადი და

საჭიროა სპეციფიკური აღწერა იუმს-ის ინდივიდუალური დანერგვისათვის.

ცხრილი ბ.1 - ინფორმაციული უსაფრთხოებისთვის საჭირო როლებისა და

პასუხისმგებლობების ნიმუშების ჩამონათვალი

როლი პასუხისმგებლობის მოკლე აღწერა

უმაღლესი რანგის

ხელმძღვანელობა (მაგალითად,

ოპერაციების მენეჯერი,

აღამსრულებელი დირექტორი და

ფინანსური დირექტორი)

სტრატეგიული გადაწყვეტილებებისა და

ხედვისათვის, იგი ახდენს ასევე ორგანიზაციის

ხელმძღვანელობისა და კონტროლისათვის საჭირო

ქმედებების კოორდინირებას

ორგანიზაციული ერთეულების

უფროსები

ორგანიზაციულ ფუნქციებზე პასუხისმგებლობა


მთავარი ოფიცერი

აქვს პასუხისმგებლობა და ხელმძღვანელობს

ინფორმაციულ უსაფრთხოებას, რაც

უზრუნველყოფს ინფორმაციული აქტივების

სწორად მართვას


კომიტეტი (მისი წევრი)

ინფორმაციული აქტივების მართვა და აქვს იუმს-ის

წამყვანი როლი ორგანიზაციაში

ინფორმაციული უსაფრთხოების იუმს-ის დანერგვის ოპერაციების დროს დაგეგმვის


70

დაგეგმვის ჯგუფი (მისი წევრი) ჯგუფი მუშაობს დეპარტამენტებში და აგვარებს

კონფლიქტებს მანამ, სანამ არ იქნება დაგეგმილი

იუმს.

დაინტერესებული პირი მოცემულ კონტექსტში, დაინტერესებული პირი

განიმარტება როგორც პიროვენებები/ორგანოები,

რომლებიც არ მონაწილეობენ ოპერაციაში -

როგორებიცაა, საბჭო, მფლობელები (ორივე

შემთხვევაში: თუ ორგანიზაცია არის ჯგუფის

ნაწილი ან სამთავრობო ორგანიზაცია, და/ან

პირდაპირი მფლობელები, მაგალითად: კერძო

ორგანიზაციაში აქციონერი). დაინტერესებული

პირების სხვა მაგალითებია: შვილობილი

კომპანიები, კლიენტები, მომწოდებლები ან საჯარო

ორგანიზაციები, მაგალითად: სამთავრობო

ფინანსური კონტროლის სააგენტოები ან საფონდო

ბირჟები, თუ ორგანიზაცია არის კატალოგში

დაფიქსირებული.

სისტემური ადმინისტრატორი სისტემური ადმინისტრატორი პასუხისმგებელია

ი.ტ. სისტემაზე.

ინფორმაციული ტექნოლოგიების

მენეჯერი

ი.ტ-ში შემავალი ყველა რესურსის მენეჯერი

(მაგალითად; ი.ტ დეპარტამენტის მენეჯერი)

ფიზიკური უსაფრთხოება ფიზიკურ უსაფრთხოებაზე პასუხისმგებელი პირი,

მაგალითად: შენობები და ა.შ., ხშირად როგორც

ინფრასტრუქტურის მენეჯერი.

რისკების მართვა პიროვნება/პიროვნებები პასუხისმგებელნი არიან

ორგანიზაციაში რისკების მართვაზე, რაც მოიცავს

რისკების შეფასებას, რისკების აღმოფხვრას და

რისკების მონიტორინგს.

იურიდიული მრჩეველი ინფორმაციული უსაფრთხოების ბევრ რისკს გააჩნია

იურიდიული ასპექტები და იურიდიული

მრჩეველის პასუხისმგებლობა სწორედ ამ

ასპექტების გათვალისწინებაში მდგომარეობს.

ადამიანური რესურსები პიროვნება/პიროვნებები, რომელნიც

პასუხისმგებელი არიან პერსონალზე

არქივი ყველა ორგანიზაციას აქვს არქივი, რომელიც ინახავს


71

სასიცოცხლო ინფორმაციას დიდი ხნით.

ინფორმაცია შესაძლოა მოთავსებული იყოს

სხვადასხვა ტიპის მატარებელზე და კონკრეტული

ადამიანი უნდა იყოს პასუხისმგებელი ამ საცავის

უსაფრთხოებაზე.

პირადი მონაცემები თუ ამას მოითხოვს სახელმწიფო კანონი, შესაძლოა

დაინიშნოს პასუხისმგებელი პირი, რომელიც იქნება

საკონტაქტო პირი მონაცემთა ინსპექციის

საბჭოსთვის ან მსგავსი ოფიციალური

ორგანიზაციისთვის, რომელიც ზედამხედველობას

უწევს პირადი ინფორმაციის მთლიანობას და

პირად ინფორმაციასთან დაკავშირებულ საკითხებს.

პროგრამისტი იმ შემთხვევაში, თუ ორგანიზაცია ამუშავებს

საკუთარ ინფორმაციულ სისტემას, მაშინ უნდა იყოს

განსაზღვრული ამ პროცესზე პასუხისმგებელი

პირი.

სპეციალისტი/ექსპერტი სპეციალისტები და ექსპერტები, რომლებიც

პასუხისმგებელნი არიან ორგანიზაციის ცელკეულ

ოპერაციაზე

გარედან მოწვეული

კონსულტანტი

გარედან მოწვეულ ექსპერტებს შეუძლიათ რჩევის

მიცემა ორგანიზაციისთვის მათი ზოგადი

თვალთახედვისა და საკუთარი დარგობრივი

გამოცდილებიდან გამომდინარე. მათ შესაძლოა არ

გააჩნდეთ კონკრეტული ორგანიზაციისა და

ოპერაციების შესახებ სიღრმისეული ცოდნა.

თანამშრომელი/მომხმარებელი თითოეული თანამშრომელი თანაბრად

პასუხისმგებელია ინფორმაციული უსაფრთხოების

დაცვაზე საკუთარ სამუშაო ადგილზე და მის

გარემოში.

აუდიტორი აუდიტორი პასუხისმგებელია იუმს-ის შეფასებაზე

ტრენერი ტრენერი ახორციელებს ტრენინგისა და

ინფორმირებულობის პროგრამებს.

ინფორმაციულ ტექნოლოგიებზე

და ინფორმაციულ სისტემებზე

ადგილობრივი პასუხისმგებელი

შედარებით უფრო დიდ ორგანიზაციებში, ხშირად

არსებობს ისეთი პირი, რომელიც პასუხისმგებელია

ადგილობრივ ი.ტ საკითხებზე და, შესაძლოა, ასევე


72

ინფორმაციულ უსაფრთხოებაზე.

გავლენიანი პირი ეს არ არის პასუხისმგებლობის მქონე როლი, მაგრამ

დიდ ორგანიზაციებში ძალიან კარგია თუ არსებობენ

ისეთი ადამიანები, რომლებსაც აქვთ სიღრმისეული

ცოდნა იუმს-ის დანერგვის შესახებ. მათ შეიძლება

დადებითი გავლენა მოახდინონ დანერგვის

მიდგომებზე.


73

დანართი გ ინფორმაცია შიდა აუდიტის შესახებ

ეს დანართი წარმოადგენს დამატებით სახელმძღვანელო მითითებებს აუდიტის დაგეგმვის

მხარდასაჭერად.

იუმს-ის დანერგვა უნდა შეფასდეს რეგულარულად შიდა და დამოუკიდებელი აუდიტორების

მეშვეობით. იგი ასევე ემსახურება იმ მიზანს, რომ შეგროვდეს და შეფასდეს ყოველდღიური

პრაქტიკიდან მიღებული გამოცდილება. იუმს-ის დანერგვისათვის უნდა დაიგეგმოს აუდიტის

სახე.

იუმს-ის აუდიტი, აუდიტის შედეგები უნდა განისაზღვროს მტკიცებულებების საფუძველზე.

იუმ-ის შიდა აუდიტი რეგულარულად უნდა იქნას განხორცილებული, რათა შეფასებული იქნას

იუმს-ის კონტროლის მიზნების, კონტროლების, პროცესებისა და პროცედურების შესბამისობა


უსაფრთხოების მართვის სისტემები–მოთხოვნები)-ის, საკანონმდებლო და მარეგულირებელ

მოთხოვნებთან, ასევე ინფორმაციული უსაფრთხოების მოთხოვნებთან შესატყვისობა და

მოხდეს მათი ეფექტური დანერგვა და შენარჩუნება.

იუმს-ის შიდა აუდიტორის შერჩევა საკმაოდ რთულია პატარა კომპანიებისათვის. თუ არ არის

საკმარისი რესურსები, იმისაათვის, რომ ასეთი ტიპის აუდიტს შესარულდეს გამოცდილი შიდა

კადრის მიერ, მაშინ ამ საქმით უნდა დაკავდენ გარედან მოწვეული ექსპერტები. თუ კომპანია

გარედან მოიწვევს აუდიტორს, მაშინ აუცილებლად უნდა იქნას გათვალისწინებული შემდეგი:

გარედან მოწვეული აუდიტორები საკმაოდ კარგად ერკვევიან იუმს-ის შიდა აუდიტში; თუმცა,

შესაძლოა არ გააჩნდეთ დიდი ცოდნა კონკრეტული ორგანიზაციული გარემოს შესახებ. ეს

ინფრომაცია მათ შიდა კადრებმა უნდა მიაწოდონ. მეორე მხრივ, შიდა აუდიტორებმა შესაძლოა

შეასრულონ საკმაოდ დეტალური აუდიტი კონკრეტული ორგანიზაციული გარემოს

თვალსაზრისით, მაგრამ არ ფლობდნენ საკმარის ცოდნას იუმს-ის აუდიტის შესასრულებლად.

ორგანიზაციებმა უნდა გაიაზრონ შიდა და გარე აუდიტორების მახასიათებლები და

პოტენციური მინუსები იუმს-ის შიდა აუდიტის ჩატარების კუთხით.

დანერგილი და განხორციელებული კონტროლის მექანიზმების ეფექტურობა და ეფექტიანობა

(იხილეთ მგს 27004:2011 აუცილებლად უნდა შემოწმდეს შიდა აუდიტის ფარგლებში.

მნიშვნელოვანია, რომ აუდიტი არ ჩატარდეს იმ პირების მიერ, ვინც ჩართული იყო

უსაფრთხოების მიზნების დაგეგმვასა და დიზაინში, რადგანაც რთულია საკუთარი შეცდომების

პოვნა. ამდენად, ორგანიზაციული ერთეულები ან პირები, რომლებიც არ მონაწილეობენ იუმს-ის

დაგეგმვასა და დანერგვაში,ხელმძღვანელობის მიერ არჩეულნი უნდა იყვნენ აუდიტორებად. ამ

აუდიტორებმა უნდა დაგეგმონ, გაატარონ და აწარმოონ ანგარიშები და ბოლომდე შეასრულონ

იუმს-ის შიდა აუდიტი ხელმძღვანელობის მხრიდან მხარდაჭერის მოსაპოვებლად.

იუმს-ის შიდა აუდიტისას უნდა შემოწმდეს იუმს-ის ეფექტური ფუნქციონირება და მხარდაჭერა

არსებულიმოლოდინის შესაბამისად. აუდიტორებმა აუდიტის დაგეგმვისას მხედველობაში


74

უნდა მიიღონ ხელმძღვანელობის მიზნები, ასევე კონტროლები, პროცესები და პროცედურები,

რომელთა აუდიტიც უნდა განხორციელდეს, ასევე საყურადღებოა წინა აუდიტის შედეგები.

აუდიტის ჩატარებისას უნდა მოხდეს აუდიტის კრიტერიუმების, გავრცელების სფეროს,

სიხშირისა და მეთოდების დოკუმენტირება.

აუდიტორების არჩევისას უზრუნველყოფილი უნდა იყოს აუდიტის პროცესის ობიექტურობა და

სამართლიანობა. აუდიტორს მოეთხოვება კომპეტენტურობა აუდიტის შემდეგი პროცესების

განხორციელებისას:

ა) აუდიტის დაგეგმვა და ჩატარება;

ბ) შედეგების შესახებ ანგარიშის წარდგენა;

გ) გამოვლენილი სისუსტეების გამოსწორების და პრევენციული ქმედებების შეთავაზება, და ა.შ.

დამატებით, ორგანიზაციამ უნდა განსაზღვროს აუდიტორის პასუხისმგებლობა, ასევე აუდიტის

პროცესების ჩამონათვალი, რაც აისახება პროცედურულ დოკუმენტაციაში.

შესამოწმებელი პროცესის მენეჯერმა დაუყოვნებლივ უნდა მოახდინოს რეაგირება აღმოჩენილ

შეუსაბამობებსა და მათ მიზეზებზე. თუმცა ეს არ ნიშნავს, რომ შეუსაბამობა აუცილებლად

საჭიროებს სასწრაფო შესწორებას. შესრულებული შესწორებები უნდა შეიცავდეს

განხორციელებული ქმედებების შემოწმებას და შემოწმების შედეგების შესახებ ანგარიშს.

ხელმძღვანელობის თვალსაზრისიდან გამომდინარე, იუმს-ის შიდა აუდიტი შეიძლება

ეფექტურად განოხრციელდეს როგორც ორგანიზაციის შიდა აუდიტის შემადგენლობაში, ასევე

შიდა აუდიტორებთან თანამშრომლობით.


75

დანართი დ პოლიტიკების სტრუქტურა

მოცემული დანართი წარმოადგენს დამატებით სახელმძღვანელო მითითებებს პოლიტიკის

სტრუქტურის შესახებ, მათ შორის ინფორმაციული უსაფრთოების პოლიტიკისათვის.

ზოგადად, პოლიტიკა არის ხელმძღვანელობის მიერ ფორმალურად დადგენილი მიზნებისა და

მიმართულებების ფორმულირება მგს 27002:2011. პოლიტიკის შინაარსი განსაზღვრავს

პოლიტიკის საგანთან დაკავშირებულ ქმედებებსა და გადაწყვეტილებებს. ორგანიზაციას

შესაძლოა ქონდეს რამდენიმე პოლიტიკა - თითოეული ცალკეული ქმედების სფეროსათვის,

რომლებიც მნიშვნელოვანია ორგანიზაციისათვის. ზოგიერთი პოლიტიკა ერთმანეთისაგან

დამოუკიდებელია, მაშინ როდესაც სხვა პოლიტიკებს აქვთ იერარქიული დამოკიდებულება.

უსაფრთხოების სფეროში პოლიტიკები ზოგადად იერარქიულადაა ორგანიზებული. ტიპიურად,

ორგანიზაციის უსაფრთხოების პოლიტიკა არის უმაღლესი დონის პოლიტიკა. იგი

გამყარებულია უფრო სპეციფიკური პოლიტიკებით, მათ შორის ინფორმაციული უსაფრთხოების

პოლიტიკა და ინფორმაციული უსაფრთხოების მართვის სისტემის პოლიტიკა. თუ

თანმიმდვერულად მივყვებით, ინფორმაციული უსაფრთხოების პოლიტიკა შეიძლება

გამყარებული იყოს უფრო დეტალური პოლიტიკებით და ამ პოლიტიკების საგნებით, რაც

დაკავშირებულია ინფორმაციული უსაფრთხოების ასპექტებთან. მათი ერთობლიობა

განხილულია მგს 27002:2011-ში, მაგალითად, ინფორმაციული უსაფრთხოების პოლიტიკა

გამყარებულია წვდომაზე კონტროლის, „სუფთა მაგიდისა“ და „სუფთა ეკრანის”, ქსელის

სერვისების გამოყენების და დაშიფვრის კონტროლების გამოყენების პოლიტიკებით.

შესაძლებელია პოლიტიკებს ზოგიერთ შემთხვევაში დაემატოსდამატებითი დონე . ეს

სისტემატიზაცია წარმოდგენილია ნახაზზე დ1.

ნახაზი დ1. - პოლიტიკის იერარქია

მგს 27001:2011 ორგანიზაციებისგან მოითხოვს ქონდეთ როგორც იუმს-ის პოლიტიკა, ასევე

ინფორმაციული უსაფრთხოების პოლიტიკა. თუმცა, იგი მკაცრად არ განსაზღვრავს რაიმე


76

სპეციფიკურ დამოკიდებულებებს მოცემულ პოლიტიკებს შორის. იუმს-ის პოლიტიკის

მოთხოვნები მოცემულია მგს 27001:2011-ის პუნქტში 4.2.1. ინფორმაციული უსაფრთხოების

პოლიტიკების სახელმძღვანელო მითითებები მოცემულია მგს 27002:2011-ის პუნქტში 5.1.1.

ეს პოლიტიკები შესაძლოა შემუშავდეს როგორც თანაბარი პოლიტიკები, იუმს-ის პოლიტიკა

შეიძლება ექვემდებარებოდეს ინფორმაციული უსაფრთხოების პოლიტიკას, ან

ინფორმაციული უსაფრთხოების პოლიტიკა ექვემდებარებოდეს იუმს-ის პოლიტიკას.

პოლიტიკების შინაარსი ემყარება იმ გარემოს, რომელშიც ორგანიზაცია ფუნქციონირებს.

რომელიმე პოლიტიკის შემუშავებისას გათვალისწინებული უნდა იყოს შემდეგი:

ორგანიზაციის მიზნები და განზრახვები;

მიზნების მისაღწევად დამტკიცებული სტრატეგიები;

ორგანიზაციის მიერ დამტკიცებული სტრუქტურა და პროცესები;

პოლიტიკის საგანთან დაკავშირებული მიზნები და განზრახვები;

იერარქიულად მაღალი დონის პოლიტიკების მოთხოვნები.

აღნიშნული ნაჩვენებია ნახაზზე დ2.

ნახაზი დ.2 - პოლიტიკის შემუშავების რესურსები

პოლიტიკებს შეიძლება ქონდეთ შემდეგი სტრუქტურა:

1. პოლიტიკის რეზიუმე - ერთი ან ორი წინადადება მიმოხილვის მიზნით. (შეიძლება

გაერთიანებული იყოს შესავალში);

2. შესავალი - პოლიტიკის საგნის მოკლე განმარტება;

3. გავრცელების სფერო - აღწერს ორგანიზაციის იმ ქმედებებს ან ნაწილებს, რომელზეც

გავლენას ახდენს პოლიტიკა. საჭიროების შემთხვევაში, გავრცელების სფერო


77

განსაზღვრავს ასევე სხვა დანარჩენი პოლიტიკების ჩამონათვალს, რომელიც ამ მოცემული

პოლიტიკითაა გამყარებული;

4. მიზნები - აღწერს პოლიტიკის მიზნებს;

5. პრინციპები - აღწერს მიზნების მისაღწევად საჭირო ქმედებებისა და გადაწყვეტილებების

წესებს. ზოგ შემთხვევაში კარგი იქნებოდა საკვანძო პროცესების გამოვლენა, რაც

დაკავშირებულია პოლიტიკის საგანთან და ამის შემდგომკონკრეტული პროცესების

ოპერაციების წესები;

6. პასუხისმგებლობები - აღწერს პოლიტიკის მოთხოვნების დასაკმაყოფილებლად

განხორციელებულ ქმედებებზე პასუხისმგებელ პირს. ზოგ შემთხვევაში ეს შეიძლება

მოიცავდეს ორგანიზაციული მოწყობის აღწერასა და ასევე პასუხსმგებლობებს,

განსაზღვრული როლებით;

7. ძირითადი შედეგები - აღწერს ბიზნეს შედეგბს თუ მიზნები არის მიღწეული;

8. დაკავშირებული პოლიტიკები - აღწერს სხვა პოლიტიკებს, რომლებიც დაკავშირებული

არიან მიზნების მიღწევასთან, ჩვეულებრივ, დამატებითი დეტალების მეშვეობით;

ქვემოთ მოცემულია ინფორმაციული უსაფრთხოების პოლიტიკის ნიმუში, ნაჩვენებია მისი

სტრუქტურა და შინაარსის მაგალითები.

ინფორმაციული უსაფრთხოების პოლიტიკა (ნიმუში)

პოლიტიკის რეზიუმე

ინფორმაცია ყოველთვის უნდა იყოს დაცული, მიუხედავად მისი ფორმისა და საერთო

სარგებლობისა, გაცვლისა ან შენახვისა.

შესავალი

ინფორმაცია შეიძლება არსებობდეს მრავალი ფორმით. შეიძლება იყოს ნაბეჭდი ან

ფურცელზე დაწერილი, ელექტრონულად შენახული, ფოსტის ან ელექტრონული

საშუალებებით გადაცემული, ან საუბრისას ნათქვამი.

ინფორმაციული უსაფრთხოება არის ინფორმაციის დაცვა საფრთხეებისგან, რათა

უზრუნველყოფილი იყოს ბიზნესის უწყვეტობა, ბიზნესის რისკების შემცირება,

ინვესტიციებით და ბიზნესის შესაძლებლობებით მოგების გაზრდა.

გავრცელების სფერო

ეს პოლიტიკა მხარს უჭერს ორგანიზაციის ზოგად უსაფრთხოების პოლიტიკას.

ეს პოლიტიკა მიესადაგება მთლიან ორგანიზაციას.


78

ინფორმაციული უსაფრთხოების მიზნები

1. სტრატეგიული და ოპერაციული ინფორმაციის უსაფრთხოების რისკები

გაცნობიერებული და დამუშავებულია, რათა მისაღები (დასაშვები) იყოს

ორგანიზაციისათვის.

2. მომხმარებლის შესახებ ინფორმაციის კონფიდენციალურობა, პროდუქტის შემუშავება და

მარკეტინგის გეგმა არის დაცული.

3. სააღრიცხვო ჩანაწერების მთლიანობა არის დაცული.

4. საჯარო ვებ-სერვისები და შიდა ქსელები შეესაბამებიან განსაზღვრულ

ხელმისაწვდომობის სტანდარტებს.

ინფორმაციული უსაფრთხოების პრინციპები

1. იგი აძლევს სტიმულს რისკების მიღებას და რისკების მიმართ ტოლერანტულობას.

რისკების შეფასებისა და აღმოფხვრის შესახებ დეტალური მიდგომები იხილეთ იუმს-ის

პოლიტიკაში.

2. ყველა თანამშრომელი ინფორმირებულია და ანაგრიშვალდებულია ინფორმაციულ

უსაფრთხოებაზე მათი სამუშაო როლიდან გამომდინარე.

3. ინფორმაციული სისტემის ბოროტად გამოყენების მიზნით თაღლითობის შესაძლებლობა

გათვალისწინებული უნდა იყოს ინფორმაციული უსაფრთხოების მართვისას.

4. ინფორმაციული უსაფრთხოების სტატუსის შესახებ ანგარიშები უნდა იყოს

ხელმისაწვდომი.

5. ინფორმაციული უსაფრთხოების რისკებზე უნდა მოხდეს მონიტორინგი და გატარდეს

ღონისძიება, როდესაც ცვლილებები განაპირობებენ დაუშვებელ რისკებს.

6. რისკების კლასიფიკაციისა და რისკების მიღების კრიტერიუმები მოცემულია იუმს-ის

პოლიტიკაში.

7. არ დაიშვება ისეთი სიტუაციები, რომლის დროსაც ორგანიზაცია შეიძლება არღვევდეს

კანონს და კანონის მიერ დადგენილ რეგულაციებს.


1. უმაღლესი რანგის ხელმძღვანელობამ უნდა უზრუნველყოს ინფორმაციული

უსაფრთხოების ადექვატური მიღება მთელს ორგანიზაციაში.

2. თითოეული უმაღლესი რანგის მენეჯერი პასუხისმგებელია, რომ მათი კონტროლის ქვეშ

მომუშავე ადამიანები იცავენ ინფორმაციას ორგანიზაციული სტანდარტების შესაბამისად.

3. უფროსი უსაფრთხოების ოფიცერი აძლევს რჩევებს უმაღლესი რანგის ხელმძღვანელობას,

უზურნველყოფს ექსპერტულ მხარდაჭერას ორგანიზაციის თანამშრომლებისთვის და

იძლევა გარანტიებს, რომ ინფორმაციული უსაფრთხოების სტატუსების შესახებ

ანაგრიშები არის ხელმისაწვდომი.

4. თითოეულ თანამშრომელს აქვს პასუხისმგებლობა ინფორმაციულ უსაფრთხოებაზე.


79

ძირითადი შედეგები

1. ინფორმაციული უსაფრთხოების ინციდენტები არ გამოიწვევენ სერიოზულ ხარჯებს ან

სერვისების და ბიზნეს ქმედებების სერიოზულ შეფერხებებს.

2. თაღლითობა აღმოჩენილი იქნება.

დაკავშირებული პოლიტიკები

შემდეგი დეტალური პოლიტიკები წარმოადგენენ ინფორმაციული უსაფრთხოების

ასპექტების პრინციპებსა და მითითებებს.

1. ინფორმაციული უსაფრთხოების მართვის სისტემის (იუმს) პოლიტიკა;

2. წვდომაზე კონტროლის მექანიზმების პოლიტიკა;

3. „სუფთა მაგიდისა“ და „სუფთა ეკრანის“ პოლიტიკა;

4. არაავტორიზებული პროგრამების პოლიტიკა;

5. მობილურ კოდთან დაკავშირებული პოლიტიკა;

6. სარეზერვო ასლების პოლიტიკა;

7. ორგანზიაციებს შორის ინფორმაციის გაცვლის პოლიტიკა;

8. ელექტრო საკომუნიკაციო აპარატურის გამოყენების პოლიტიკა;

9. ჩანაწერის დამახსოვრების პოლიტიკა;

10. ქსელური სერვისების გამოყენების პოლიტიკა;

11. მობილური კომპიუტერებისა და კომუნიკაციების პოლიტიკა;

12. სახლიდან მუშაობის (რომლის დროსაც გამოიყენება ტელეფონი, ფაქსი, მოდემი და ა.შ)

პოლიტიკა;

13. დაშფვრის კონტროლების გამოყენების პოლიტიკა;

14. თავსებადობის პოლიტიკა;

15. პროგრამული უზრუნველყოფის ლიცენზირების პოლიტიკა;

ყველა ეს პოლიტიკა უზურნველყოფს:

რისკების იდენტიფიცირებას;

რისკების აღმოფხვრას.

რისკების იდენტიფიცირება და რისკების აღმოფხვრა არის პროცესები, რომლებიც

განსაზღვრულია პოლიტიკის პრინციპების ნაწილში. დეტალებისთვის იხილეთ იუმს-ის

პოლიტიკა.


80

დანართი ე მონიტორინგი და შეფასება

ეს დანართი წარმოადგენს სახელმძღვანელო მითითებებს მონიტორინგისა და შეფასების

დაგეგმვისათვის.

მონიტორინგისა და შეფასებისთვის საჭირო ინფორმაცია

იუმს-ის მოთხოვნები მოიცავს უსაფრთხოების მონიტორინგისა და შეფასების სამოქმედო

გეგმას, რაც ხელმძღვანელობის მხრიდან მის განხილვას შეუწყობს ხელს.

მონიტორინგი

ნახაზი ე.1 - მონიტორინგის პროცესის მიმდინარეობა

მომზადება და კოორდინაცია: მონიტორინგისათვის საჭირო აქტივების გამოვლენა

საყურადღებოა, რომ მონიტორინგი არის მუდმივი პროცესი და პროექტირება უნდა

ითვალისწინებდეს მონიტორინგის პროცესის დანერგვას,ასევე მონიტორინგის საჭიროებებსა და

ქმედებებს. წინა ინფორმაციაზე დაყრდნობით, რისკების ანალიზისა და კონტროლის

მექანიზმების შერჩევის შედეგებთან ერთად, შეიძლება განისაზღვროს მონიტორინგის მიზნები.

ეს მიზნები უნდა მოიცავდეს:

რა უნდა იქნას აღმოჩენილი;

როდის;

რის შესაბამისად.

პრაქტიკულად, წარსულში დადგენილი ორგანიზაციული პროცესები/ქმედებები და მასთან

დაკავშირებული აქტივები წარმოადგენენ მონიტორინგის ძირითად გავრცელების სფეროს

(პუნქტი - „რის შესაბამისად“). მონიტორინგის პროექტირებისათვის შესაძლოა საჭირო გახდეს

დამატებითი შერჩევა, რათა უზრუნველყოფილი იქნას მნიშვნელოვანი აქტივების


81

გათვალისწინება ინფორმაციული უსაფრთხოების თვალსაზრისით. მხედველობაში უნდა იქნას

მიღებული ასევე რისკების აღმოფხვრა და კონტროლის მექანიზმების ამორჩევა, რათა

დადგინდეს თუ რა აქტივებზე უნდა მოხდეს მონიტორინგი და მასთან დაკავშირებული

ორგანიზაციული ქმედებები/პროცესები. (ეს დაადგენს რა უნდა იქნას აღმოჩენილი და როდის).

რადგანაც მონიტორინგს შესაძლოა ქონდეს იურიდიული ასპექტები, მნიშვნელოვანია შემოწმდეს

მონიტორინგის დაგეგმვა, რათა არ არსებობდეს რაიმე სახის იურიდიული დარღვევები.

მონიტორინგის ეფექტურობის უზრუნველსაყოფად მნიშვნელოვანია მონიტორინგისათვის

საჭირო ყველა ქმედების კოორდინაცია და მათი საბოლოო პროექტირება.

ქმედებების მონიტორინგი

ინფორმაციული უსაფრთხოების დონის უზრუნველსაყოფად, ინფორმაციული უსაფრთხოების

გამოვლენილი კონტროლის მექანიზმები სწორად უნდა იქნას გამოყენებული; უსაფრთხოების

ინციდენტების აღმოჩენა და მათზე რეაგირება უნდა მოხდეს დროულად. ინფორმაციული

უსაფრთოების მართვის სისტემის ფუნქციონირებაზე უნდა განხორციელდეს რეგულარული

მონიტორინგი. რეგულარული შემოწმებები უნდა შესრულდეს იმ მიზნით, რომ დადგინდეს

გამოყენებულია თუ არა ყველა კონტროლის მექანიზმი და ხორციელდება თუ არა იგი

ჩამოყალიბებული ხედვის შესაბამისად. ეს მოიცავს ასევე იმის შემოწმებას, რომ ტექნიკური

კონტროლები (მაგალითად, კონფიგურაციებთან დაკავშირებით) და ორგანიზაციული

კონტროლები (მაგალითად, პროცესები, პროცედურები და ოპერაციები) შესრულებულია.

შემოწმებისას მნიშვნელოვანია მონაწილეებთან ერთად განხილული იქნას პრობლემების

შესაძლო გადაჭრა და შესაბამისი დამცავი საშუალებების წინასწარი მომზადება.

შემოწმებები უნდა ჩატარდეს ყურადღებით, რათა უზრუნველყოფილი იყოს მისი მიზნების

მიღწევა რაც შეიძლება ეფექტურად და, ამავდროულად, ამან არ გამოიწვიოს დასაშვებზე მეტი

შეფერხებები სამუშაოს შესრულებისას. შემოწმებების ზოგადი განხორციელება წინასწარ უნდა

იყოს კოორდინირებული ხელმძღვანელობასთან. გეგმა შეიძლება მოიცავდეს სამ სხვადასხვა

ძირითად ფორმას:

ანგარიშები ინციდენტების შესახებ;

კონტროლის ფუნქციონალურობის შემოწმება ან შეუსაბამობა;

სხვა რეგულარული შემოწმებები.

შემდგომ, ამ ქმედებების შედეგები უნდა მოერგოს ჩანაწერებს და ხელმძღვანელობისთვის

წარსადგენ ინფორმაციას. უნდა შეიქმნას შესაბამისი დოკუმენტების ნაკრები.

მონიტორინგის მოთხოვნები

შედეგებია:

ა) შესაბამისი დეტალურობის დონეზე შესრულებული მონიტორინგის ჩანაწერები -

მონიტორინგის შედეგები ანგარიშის სახით უნდა წარედგინოს ხელმძღვანელობას. ყველა

ინფორმაცია, რაც ხელმძღვანელობას სჭირდება საკუთარი მენეჯერული და ზედამხედევლობის


82

მოვალეობების შესასრულებლად, უნდა იქნას ასახული ამ ანგარიშში დეტალურობის საჭირო

დონეზე.

ბ) გადაწყვეტილების მისაღებად ხელმძღვანელობისათვის ინფორმაციის მიწოდება, რაც

აუცილებელია სასწრაფო ზომების მიღებისას - ხელმძღვანელობისათვის წარსადგენი ანგარიშები

ყოველთვის უნდა მთავრდებოდეს რეკომენდირებული ქმედებების ჩამონათვალით, შესაბამისი

პრიორიტეტებით, თითოეული ამ ქმედების განხორციელების შედეგად მოსალოდნელი

ხარჯების რეალურ შეფასებასთან ერთად. ეს უზრუნველყოფს, რომ ხელმძღვანელობა

ხემლზღვანელობის მხრიდან გადაწყვეტილების დროულად მიღებას.

ინფორმაციული უსაფრთხოების შეფასების პროგრამის დანერგვა

ინფორმაციული უსაფრთხოების შეფასების პროგრამის დიზაინის განხილვა

შეფასების პროცესი ინტეგრირებული უნდა იყოს პროექტის, ან ორგანიზაციის იუმს-ის ციკლში

და უნდ აგამოიყენებოდეს უსაფრთხოებასთან დაკავშირებული პროცესების მუდმივი

გაუმჯობესებისათვის, ასევე ამ პროექტის ან ორგანიზაციის შედეგებზე გავლენის მოსახდენად.

იგი ასევე მოიაზრება, როგორც ინფორმაციული უსაფრთხოების შეფასების პროგრამა მგს

27004:2011 (ინფორმაციული უსაფრთხოების მართვის შეფასება). პროგრამის დიზაინი საჭიროებს

გადახედვას იუმს-ის ციკლის კუთხით. შემდეგი მონაცემები აჩვენებს, თუ როგორ ჯდება

შეფასების პროცესი იუმს-ის ციკლში.

იმისათვის, რომ უზრუნველყოფილი იყოს აუცილებელი დამაკმაყოფილებელი მოლოდინები

მართვის სისტემას მოეთხოვება შემდეგი ფუნქციების რეალიზება: მნიშვნელოვანია “დაგეგმვა-

აღსრულება-შემოწმება-ქმედება“-ს სტრუქტურირება; შედეგების შემოწმების და მისი

ეფექტურობის გაზომვა; პროცესების მენეჯერებისთვის შეფასების შედეგებზე უკუკავშირის

უზრუნველყოფა.

სწორი გაზომვების უზრუნველსაყოფად მნიშვნელოვანია წინასწარ მოპოვებული ინფორმაცია,

განსაკუთრებით:

ა) იუმს-ის პოლიტიკა, მათ შორის გავრცელების სფერო და საზღვრები;

ბ) რისკების შეფასების შედეგი;

გ) კონტროლების არჩევა;

დ) კონტროლის მიზნები;

ე) ინფორმაციული უსაფრთხოების მიზნები;

ვ) პროცესები და რესურსები და მათი კლასიფიკაცია.

ხელმძღვანელობამ ხელი უნდა შეუწყოს შეფასების მთლიან პროცესს. შეფასების პროცესის

დანერგვისას ხელმძღვანელობამ უნდა:


83

ა) დაეთანხმოს შეფასების მოთხოვნებს; დეტალებისთვის იხილეთ მგს 27004:2011

ბ) ყურადღება მიაქციოს ინფორმაციულ საჭიროებას, დეტალებისთვის იხილეთ მგს 27004:2011

გ) უზრუნველყოს თანამშრომლების დაინტერესება/ჩართულობა შემდეგ საკითხებში:

ორგანიზაციამ უნდა წარმოადგინოს თავისი ვალდებულება (დაინტერესება) მაგალითად,

ორგანიზაციისათვის შეფასების პოლიტიკის მეშვეობით, პასუხისმგებლობებისა და

მოვალეობების გადანაწილება, ტრენინგი და ბიუჯეტისა და სხვა რესურსების

განაწილება;

უნდა დაინიშნოს შეფასების პროგრამაზე პასუხისმგებელი ორგანიზაციული ერთეული ან

პირი;

პიროვნება ან ორგანიზაციული ერთეული პასუხისმგებელია იუმს-ის შეფასების

მნიშვნელობისა და შედეგების კომუნიკაციაზე მთელს ორგანიზაციაში, რათა

უზრუნველყოფილი იყოს მასზე თანხმობა, მისი გამოყენება და ხელმძღვანელობის

მხარდაჭერა;

უზრუნველყოფილი იყოს იუმს-ის შეფასების შედეგების შეგროვება, ანალიზი და

ინფორმაციული უსაფრთხოების უფროსი ოფიცრისთვის და სხვა დაინტერესებული

პირებისთვის ანგარიშის წარდგენა;

საგანმანათლებლო პროგრამა სტრუქტურული ერთეულების ხელმძღვანელებისთვის

იუმს-ის შეფასების შედეგების შესახებ, რათა გამოყენებული იქნას პოლიტიკაში,

რესურსების განაწილებასა და ბიუჯეტის შესახებ გადაწყვეტილების მიღებაში.

ინფორმაციული უსაფრთოების შეფასების პროგრამა და დიზაინი უნდა მოიცავდეს შემდეგ

როლებს:

ა) უმაღლესი რანგის ხელმძღვანელობა;

ბ) უსაფრთხოების პროდუქტების მომხმარებლები;

გ) ინფორმაციულ სისტემებზე პასუხისმგებელი პირები;

დ) ინფორმაციულ უსაფრთხოებაზე პასუხისმგებელი პირები.

ინფორმაციული უსაფრთოების შეფასების პროგრამა ყალიბდება იმ მიზნით, რომ მოპოვებული

იქნას იუმს-ის ეფექტურობის ინდიკატორები, კონტროლის მიზნები და კონტროლები. პროგრამა

აღწერილია მგს 27004:2011-ში.

დაგეგმვის ეტაპის შედეგის შესაბამისი საზომები გამოყენებული უნდაიქნბას ამ მიზნების

მისაღწევად.

ინფორმაციული უსაფრთხოების შეფასების პროგრამა სხვადასხვანაირია ორგანიზაციის

სტრუქტურიდან გამომდინარე:

ზომა;

სირთულე;


84

ინფორმაციული უსაფრთხოების რისკების ზოგადი მახასაითებლები/აუცილებლობა.

ზოგადად, რაც უფრო დიდი და კომპლექსურია ორგანიზაცია, მით უფრო ფართო შეფასების

პროგრამაა საჭირო, მაგრამ რისკების დონე გავლენას ახდენს შეფასების პროგრამის მასშტაბზეც.

თუ ინფორმაციული უსაფრთხოების შედეგები არის მკაცრი, მაშინ შედარებით მცირე ზომის

ორგანიზაციას შესაძლოა უფრო მარავალმხრივი შეფასების პროგრამა დაჭირდეს რისკების

აღმოსაფხვრელად, ვიდრე უფრო დიდ ორგანიზაციებს. შეფასების პროგრამის მასშტაბი

შეიძლება შეფასდეს შერჩეული კონტროლის ემქანიზმების საფუძველზე.

ინფორმაციული უსაფრთხოების შეფასების პროგრამის პროექტირება

ინფორმაციული უსაფრთხოების შეფასების პროგრამაზე პასუხისმგებელმა პირმა უნდა

გაითვალისწინოს შემდეგი:

გავრცელების სფერო;

საზომები;

შეფასების ჩატარება;

შეფასების პერიოდები;

ანგარიშები.

შეფასების პროგრამის გავრცელების სფერომ უნდა მოიცვას იუმს-ის გავრცელების სფერო,

კონტროლის მიზნები და კონტროლის მექანიზმები. იუმს-ის შეფასების მიზნები და ჩარჩოები

უნდა დადგინდეს ორგანიზაციის მახასიათებლებიდან, ორგანიზაციიდან, მისი

ადგილმდებარეობიდან, აქტივებისა და ტექნოლოგიიდან გამომდინარე. ის ასევე უნდა

მოიცავდეს დეტალებს და იუმს-ის ვადებიდან ნებისმიერი გადაცდენის არგუმენტაცაის. ეს

შეიძლება იყოს ერთი რომელიმე უსაფრთხოების კონტროლი, პროცესი, სისტემა,

ფუნქციონირების არეალი, მთელი საწარმო, მხარე, ან მრავალმხრივი ორგანიზაცია.

ცალკეული საზომის შერჩევისას, მგს 27004:2011 ინფორმაციული უსაფრთოების შეფასების

პროცესი განაპირობებს, რომ ათვლის წერტილი არის შეფასების ობიექტი. შეფასების პროგრამის

განხორციელებისთვის უნდა მოხდეს ამ ობიექტების გამოვლენა. ეს ობიექტები შეიძლება იყოს

პროცესი, ან შემავალი რესურსები. (დეტალებისთვის იხილეთ მგს 27004:2011). პროგრამის

განსაზღვრის დროს, იუმს-ის გავრცელების არეალში მოქცეული ობიექტები ხშირად დაიყოფა

ნაწილებად, რათა აღმოჩენილი იქნას შესაფასებელი ობიექტი. ეს პროცესი შესაძლოა ამგვარად

წარმოვიდგინოთ: მაგალითად, ორგანიზაცია არის საერთო ობიექტი - ორგანიზაციის პროცესი

და/ან ი.ტ. სისტემა - X არის ამ ობიექტის ნაწილი და თავადაც იყოფა ობიექტებად - ობიექტები,

რომლებიც ამ პროცესში შედიან, გავლენას ახდენენ ინფორმაციულ უსაფრთხოებაზე

(ადამიანები, წესები, ქსელი, თანხლება, აპარატურა და ა.შ) და არიან ზოგადად შეფასების

ობიექტები. ინფორმაციული უსაფრთხოების შეფასების პროგრამის დანერგვისას, ყურადღება

უნდა გამახვილდეს იმ მოსაზრებაზე, რომ შეფასების ობიექტები შეიძლება ემსახურებოდეს


85

იუმს-ის ფარგლებში არსებულ მრავალ ორგანიზაციულ პროცესს და ამდენად, უფრო დიდი

გავლენა იქონიოს იუმს-ის და კონტროლის მიზნების ეფექტურობაზე. ასეთი ობიექტები

ზოგადად უნდა დალაგდეს პრიორიტეტების მიხედვით, მაგალითად უსაფრთხოების

ორგანიზაციული მოწყობა და მასთან დაკავშირებული პროცესი, სამანქამე დარბაზი , კოლეგები

ინფორმაციული უსაფრთოების კუთხით და ა.შ.

შეფასების ინტერვალი შეიძლება ცვალებადი იყოს, მაგრამ სასურველია შეფასება შესრულდეს

ზუსტი ინტერვალებით, რათა მოერგოს ხელმძღვანელობის მხრიდან განხილვას და მუდმივი

გაუმჯობესების პროცესს, ასევე იუმს-ის მიზნებს. პროგრამის პროექტიც ზუსტად ამას უნდა

ასახავდეს.

შედეგების შესახებ ანგარიშები წარმოდგენილი უნდა იყოს იმგვარად, რომ უზრუნველყოფილი

იყოს კომუნიკაცია მგს 27004:2011-ის თანახმად.

ინფორმაციული უსაფრთხოების შეფასების პროგრამის პროექტი წარმოდგენილი უნდა იყოს

დოკუმენტით, რომელიც განაპირობებს პროცედურებს, რომლებიც ხელმძღვანელობამ უნდა

დაამტკიცოს. დოკუმენტი უნდა მოიცავდეს შემდეგს:

ა) ინფორმაციული უსაფრთხოების შეფასების პროგრამაზე პასუხისმგებლობები;

ბ) კომუნიკაციაზე პასუხისმგებლობები;

დ) შეფასების ფარგლები;

ე) როგორ უნდა მოხდეს მისი შესრულება (გამოყენებული ძირითადი მეთოდი, გარე და შიდა

შესრულება, და ა.შ.);

ვ) როდის უნდა შესრულდეს;

ზ) როგორი სახით უნდა მოხდეს ანგარიშის წარდგენა.

ორგანიზაცია შეიმუშავებს საკუთარ შეფასების წერტილებს, რაც დოკუმენტირებული უნდა იყოს

როგორც პროექტირების ეტაპის ნაწილი; შემდგომი ინფორმაციისათვის იხილეთ მგს 27004:2011.

ეს დოკუმენტი საკმაოდ მოცულობითი შეიძლება იყოს და არ საჭიროებს ხელმძღვანელობის

მიერ დამტკიცებას, რადგანაც დანერგვის დროს შეიძლება დეტალები შეიცვალოს.

იუმს-ის ეფექტურობის შეფასება

ინფორმაციული უსაფრთხოების შეფასების პროგრამის ფარგლების დადგენისას, აუცილებლად

უნდა გამახვილდეს ყურადღება იმაზე, რომ ობიექტები არ იყოს ზედმეტად მრავალრიცხოვანი.

თუკი ასეთი რამ მოხდება, აუცილებლად უნდა მოხდეს პროგრამის დაყოფა სხვადასხვა

ნაწილებად. ამ ნაწილების ფარგლები უნდა იყოს შედარების ცალკეული საზომები, მაგრამ

პრივილეგია მაინც მთავარ მიზანს ენიჭება: საზომების კომბინაცია წარმოადგენს იუმს-ის

ეფექტურობის შეფასების ინდიკატორს. ეს ქვე-ფარგლები ჩვეულებრივ არიან ორგანიზაციული

ერთეულები, რომლებსაც უნდა ქონდეთ ზუსტი ჩარჩოები. ობიექტების კომბინაცია, რომელიც

შესაძლოა ემსახურებოდეს ორგანიზაციის რამდენიმე პროცესს და ამ ობიექტების საზომები


86

ერთობლიობაში ქმნიან ინფორმაციული უსაფრთხოების შეფასების პროგრამისთვის

დამახასიათებელ ფარგლებს.

რადგანაც მიზნები არსებობს იუმს-ის ეფექტურობის შეფასებისთვის, მნიშვნელოვანია

კონტროლის მიზნებისა და კონტროლების შეფასებაც. კონტროლების დასაშვები რაოდენობა

არის ერთი მხარე, ხოლო ის, რომ ეს კონტროლები არის საკმარისი იუმს-ის ეფექტურობის

შესაფასებლად, ეს უკვე მეორე მხარეა. (აქ შეიძლება არსებობდეს სხვა მიზეზები ინფორმაციული

უსაფრთხოების შეფასების პროგრამის ფარგლების შეზღუდვისათვის, რის შესახებაც საუაბრია

მგს 27004:2011-ში).

იუმს-ს ეფექტურობის შეფასება

დაინტერესებული მხარეები

რესურსები

მოთხოვნები და მოლოდინები

დაინტერესებული მხარეები

შედეგები

მართვადი ვითარება

განხილვა

დაგეგმვა

აღსრულება ქმედება

შემოწმება


პროცესი 1 პროცესი 2 პროცესი 3

თითოეული პროცესის ეფექტურობის შეფასება

ნახაზი ე.2 - იუმს-ის „დაგეგმვა-აღსრულება-შემოწმება-ქმედება“ პროცესის მეშვეობით შეფასებული

ეფექტურობის ორი მხარე და ორგანიზაციის ფარგლებში არსებული პროცესების ნიმუშები

იუმს-ის, კონტროლის მიზნებისა და კონტროლის მექანიზმების ეფექტურობის შეფასების

შედეგების გამოყენებისას მნიშვნელოვანია ხელმძღვანელობა საქმის კურსში იყოს

ინფორმაციული უსაფრთოების შეფასების პროგრამის ვადების და მიზნების შესახებ. შეფასების

პროგრამაზე პასუხისმგებელ პირს უნდა ქონდეს ხელმძღვანელობის მხრიდან ნებართვა

ინფორმაციული უსაფრთხოების შეფასების პროგრამის დასაწყებად.


87

შეფასება შეიძლება ჩატარდეს შიდა ან გარედან მოწვეული კადრების მიერ, ან მათი

კომბინაციით. ორგანიზაციის ზომა, სტრუქტურა და კულტურა არის სწორედ ის ფაქტორები,

რომლებიც გათვალისწინებული უნდა იყოს შიდა და გარე რესურსების შეფასებისას. პატარა და

საშუალო ზომის კომპანიები მეტ სარგებელს პოულობენ გარედან მოწვეული კადრებისგან,

ვიდრე დიდი ორგანიზაციები. გარე რესურსების გამოყენებით მიღებულმა შედეგები,

ორგანიზაციის კულტურიდან გამომდინარე შეიძლება უფრო ეფექტური აღმოჩნდეს,. თუ

ორგანიზაცია შეჩვეულია შიდა აუდიტს, მაშინ შიდა რესურსებსაც იგივე ეფექტი ექნებათ.

მგს 27003:2011 - data exchangedea.gov.ge/uploads/CERT DOCS/DEA27003-2011_V_1_0.pdf ·...

Documents

Transcript of მგს 27003:2011 - data exchangedea.gov.ge/uploads/CERT DOCS/DEA27003-2011_V_1_0.pdf ·...