დოკუმენტის სტრუქტურა
განმარტებების დათვალიერება
დაკავშირებული დოკუმენტები
დოკუმენტის მონიშვნები
კონსოლიდირებული პუბლიკაციები
ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დამტკიცების შესახებ | |
---|---|
დოკუმენტის ნომერი | 2 |
დოკუმენტის მიმღები | მონაცემთა გაცვლის სააგენტოს თავმჯდომარე |
მიღების თარიღი | 04/02/2013 |
დოკუმენტის ტიპი | მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება |
გამოქვეყნების წყარო, თარიღი | ვებგვერდი, 07/02/2013 |
ძალის დაკარგვის თარიღი | 19/10/2020 |
სარეგისტრაციო კოდი | 010320000.59.071.016005 |
კონსოლიდირებული პუბლიკაციები |
დოკუმენტის კონსოლიდირებული ვარიანტის ნახვა ფასიანია, აუცილებელია სისტემაში შესვლა და საჭიროების შემთხვევაში დათვალიერების უფლების ყიდვა, გთხოვთ გაიაროთ რეგისტრაცია ან თუ უკვე რეგისტრირებული ხართ, გთხოვთ, შეხვიდეთ სისტემაში
პირველადი სახე (07/02/2013 - 16/10/2020)
|
,,საჯარო სამართლის იურიდიული პირის - მონაცემთა გაცვლის სააგენტოს შექმნის შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის ბ1 ქვეპუნქტისა და ,,ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-4 მუხლის მე-2 პუნქტის და მე-11 მუხლის მე-2 პუნქტის ,,დ“ ქვეპუნქტის თანახმად, ვბრძანებ: |
მუხლი 1.
დამტკიცდეს ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები. |
მუხლი 2.
ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე. |
|
ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები
|
თავი I
ზოგადი დებულებები |
მუხლი 1.
შესავალი |
1.
ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები (შემდგომში - „მოთხოვნები“) სავალდებულოა შესასრულებლად „ინფორმაციული უსაფრთხოების შესახებ“ კანონის მე-11 მუხლის პირველი პუნქტის თანახმად იდენტიფიცირებული კრიტიკული ინფორმაციული სისტემის სუბიექტებისათვის (შემდგომში - „ორგანიზაცია“). |
2.
„ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები“ თავსებადობაშია, ერთი მხრივ, საქართველოს კანონთან „ინფორმაციული უსაფრთხოების შესახებ“, ხოლო, მეორეს მხრივ, ISO 27000 სტანდარტის განხორციელების საუკეთესო პრაქტიკებს. |
მუხლი 2.
ტერმინები და განმარტებები |
1.
ამ ბრძნებაში გამოყენებული ტერმინები და განმარტები არ უნდა განიმარტოს „ინფორმაციული უსაფრთხოების შესახებ“ კანონით დადგენილი ანალოგიური ტერმინებისაგან გასხვავებულად, არამედ გამოიყენება როგორც კანონით დადგენილი ტერმინების დამატებითი და დამაზუსტებელი განმარტებები. |
2.
ბრძანებაში გამოყენებული ტერმინებს ამ ბრძნების მიზნებისთვის აქვს შემდეგი განმარტებები: |
ა)
ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები - საბაზისო მოთხოვნები, რომლებიც ორგანიზაციამ უნდა შეასრულოს თანმიმდევრულად სამი წლის ვადაში ინფორმაციული უსაფრთხოების მართვის სისტემის დასანერგად; |
ბ)
ინფორმაციული აქტივი (შემდგომში - „აქტივი“) – ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის. ინფორმაციული აქტივი შეუძლებელია არსებობდეს დამოუკიდებლად, მასთან დაკავშირებული აქტივის გარეშე; |
გ)
ავტორიზებული ერთეული - ინდივიდი, სუბიექტი ან პროცესი, რომელსაც გააჩნია აქტივზე წვდომის უფლება; |
დ)
ხელმისაწვდომობა - ავტორიზებული სუბიექტის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი; |
ე)
კონფიდენციალურობა - აქტივის მახასიათებელი, რომლის თანახმადაც აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; |
ვ)
მთლიანობა - აქტივის სიზუსტის და სისრულის მახასიათებელი; |
ზ)
ინფორმაციული უსაფრთხოება - საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენტიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას; |
თ)
ინფორმაციული უსაფრთხოების მართვის სისტემა - იუმს - მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნესის რისკებისადმი მიდგომაზე, რათა შესაძლებელი გახდეს ინფორმაციული უსაფრთხოების დანერგვა, ფუნქციონერება, მონიტორინგი, განხილვა, მხარდაჭერა და გაუმჯობესება; |
ი)
რეაგირების გარეშე ნარჩენი რისკი - რისკების მოპყრობის შემდეგ დარჩენილი რისკი; |
კ)
რისკის მიღება - გადაწყვეტილება რისკის მიღების თაობაზე; |
ლ)
რისკის ანალიზი - ინფორმაციის სისტემური გამოყენება რისკის წარმოშობის წყაროსა და მისი შეფასების დასადგენად; |
მ)
რისკის დონის დადგენა - რისკის მნიშვნელოვნების დასადგენად რისკის მიახლოებითი შეფასების შედეგების შედარება მოცემულ რისკის კრიტერიუმებთან; |
ნ)
რისკების მართვა - ორგანიზაციის მართვისა და კონტროლისათვის საჭირო კოორდინირებული ქმედებების განხორციელება რისკების გათვალისწინებით; |
ო)
რისკების მოპყრობა - რისკის შეცვლისათვის შეფასების საზომების შერჩევისა და მათი დანერგვის პროცესი; |
პ)
კონტროლის მექანიზმების გამოყენებადობის განაცხადი - ორგანიზაციის იუმს-ისთვის გამოსადეგი და გამოყენებადი კონტროლის მიზნებისა და კონტროლის მექანიზმების დოკუმენტირებული განაცხადი. |
თავი II
ორგანიზაციისთვის პირველ წელს შესასრულებელი მოთხოვნები |
მუხლი 3.
ორგანიზაციაში ინფორმაციული უსაფრთხოების აუცილებლობის გაცნობიერება და ხელმძღვანელობის მხრიდან მხარდაჭერა |
ორგანიზაციაში უნდა არსებობდეს შინასამსახურებრივი დოკუმენტი ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვის შესახებ (იხ. დანართი 1, მგს 27001:2011, თავი 5.1 და 5.2; აგრეთვე დანართი ა-დან კონტროლი ა.6.1.1.). |
მუხლი 4.
ორგანიზაციული მოწყობა |
ორგანიზაციამ უნდა განსაზღვროს პირი ან პირები (მაგალითად, ინფორმაციული უსაფრთხოების საბჭო, რომელიც შედგება ინფორმაციული უსაფრთხოების მენეჯერისა და საკვანძო, დარგობრივი ან მიმართულებების ხელმძღვანელი პირებისაგან), რომელიც განახორციელებს ინფორმაციული უსაფრთხოების მართვას (იხ. დანართი 1, მგს 27001:2011, თავი 5.1; კონტროლები: ა.6.1.1; ა.6.1.2; ა.6.1.3.“). |
მუხლი 5.
გავრცელების სფერო |
ორგანიზაციამ უნდა განსაზღვროს და დოკუმენტირებულად წარმოადგინოს იუმს-ის გავრცელების სფერო და საზღვრები საქმიანობის, ორგანიზაციული სტრუქტურის, ადგილმდებარეობის, აქტივებისა და ტექნოლოგიების ჭრილში, მათ შორის დაასაბუთოს დაშვებული გამონაკლისების მიზეზები და შეათანხმოს ისინი საჯარო სამართლის იურიდიულ პირ მონაცემთა გაცვლის სააგენტოსთან (შემდგომში - „სააგენტო“) (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ა). |
მუხლი 6.
იუმს-ის პოლიტიკა |
1.
ორგანიზაციამ უნდა წარმოადგინოს ინფორმაციული უსაფრთხოების მართვის სისტემის (იუმს) პოლიტიკის დოკუმენტი, რომელშიც ასახული იქნება ორგანიზაციის მიერ ინფორმაციული უსაფრთხოების მართვის სისტემის ხედვა, დასახული მიზნები და სასურველი შედეგები და დამტკიცებული იქნება ხელმძღვანელობის მიერ (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ბ-5). |
2.
ორგანიზაციის ინფორმაციული უსაფრთხოების მართვის სისტემა უნდა უზრუნველყოფდეს დაგეგმვის, დანერგვის, ფუნქციონირების, მონიტორინგისა და გაუმჯობესებისთვის საჭირო ფაზებს (იხ. დანართი 1, მგს 27001:2011, თავები: 4.1; 4.3.1ა,ბ,გ; კონტროლები: ა.5.1.1; ა.5.1.2“). |
3.
ინფორმაციული უსაფრთხოების პოლიტიკა: |
ა)
შეიცავს ორგანიზაციის ინფორმაციული უსაფრთხოების მართვის სისტემის მიზანს, ძირითად მიმართულებას და პრინციპებს (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ბ-1); |
ბ)
ითვალისწინებს განაცხადს „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის და სხვა სტანდარტების მოთხოვნებთან შესაბამისობის შესახებ (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ბ-2; კონტროლი ა. 15.1); |
გ)
პასუხობს ორგანიზაციის რისკების მართვის კონტექსტს, რომლის ფარგლებშიც მოხდება იუმს-ის ჩამოყალიბება და მხარდაჭერა (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ბ-3). |
მუხლი 7.
აქტივების მართვა |
1.
ორგანიზაციამ უნდა განახორციელოს დადგენილ გავრცელების სფეროში გამოვლენილი აქტივების მართვა, რაც გულისხმობს აქტივების აღწერის, კლასიფიცირების, შეცვლისა და განადგურების წესების შემუშავებასა და უზრუნველყოფას. (ასევე, იხ. დანართი 1, მგს 27001:2011, კონტროლები: ა.7.1 და ა.7.2 სრულად). |
2.
ორგანიზაციამ აქტივების მართვა უნდა განახორციელოს „ინფორმაციული აქტივების მართვის წესების შესახებ“ მონაცემთა გაცვლის სააგენტოს ბრძანების შესაბამისად. |
მუხლი 8.
რისკების მართვა |
1.
ორგანიზაციამ უნდა განსაზღვროს რისკების შეფასების მიდგომა (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.გ); |
2.
ორგანიზაციამ უნდა გამოავლინოს რისკები და გაანალიზოს მათი გავლენა (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.დ); |
3.
ორგანიზაციამ უნდა ჩაატაროს გამოვლენილი რისკების ანალიზი და შეფასება (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ე); |
4.
ორგანიზაციამ უნდა გამოავლინოს და შეაფასოს რისკების მოპყრობის გზები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ვ); |
5.
ორგანიზაციამ რისკების მოპყრობის მიზნით უნდა შეარჩიოს კონტროლის მიზნები და კონტროლის მექანიზმები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.ზ); |
6.
ორგანიზაციის ხელმძღვანელობამ უნდა დაადასტუროს ნარჩენ რისკებზე თანხმობა (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.თ). |
მუხლი 9.
კონტროლის მექანიზმების გამოყენებადობის განაცხადი |
ორგანიზაციამ უნდა მოამზადოს კონტროლის მექანიზმების გამოყენებადობის განაცხადი (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.1.კ), რომელიც შეიცავს: |
ა)
ამ მოთხოვნების მე-8 მუხლის მე-5 პუნქტში შერჩეულ კონტროლის მიზნებს და კონტროლის მექანიზმებს, ასევე მათი შერჩევის დასაბუთებას; |
ბ)
ორგანიზაციაში უკვე დანერგილ კონტროლის მიზნებს და კონტროლის მექანიზმებს; |
გ)
მგს 27001:2011-ის დანართი ა-დან ნებისმიერი გამორიცხული კონტროლის მიზნის და კონტროლის მექანიზმების ჩამონათვალს და გამორიცხვის დასაბუთებას. |
მუხლი 10.
ორგანიზაციის იუმს-ის დოკუმენტაციის მართვა |
1.
ორგანიზაციამ უნდა უზრუნველყოს ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის უახლესი ვერსიის ხელმისაწვდომობა ყველა უფლებამოსილი პირისთვის, ასევე იუმს-ის დოკუმენტაცის სათანადოდ დაცვა და კონტროლი (იხ. დანართი 1, მგს 27001:2011 თავი 4.3.2.). |
2.
ორგანიზაციამ უნდა აწარმოოს ჩანაწერები და უზრუნველყოს მათი მხარდაჭერა იუმს-ის მოთხოვნებთან შესაბამისობისა და ეფექტიანი ფუნქციონირების მიზნით. ჩანაწერები უნდა იყოს სათანადოდ დაცული და კონტროლდებოდეს (იხ. მგს 27001:2011 თავი 4.3.3). |
3.
ორგანიზაციის იუმს-ის დოკუმენტაცია მოიცავს (იხ. მგს 27001:2011 თავი 4.3.1): |
ა)
იუმს-ის პოლიტიკას; |
ბ)
იუმს-ის გავრცელების სფეროს; |
გ)
იუმს-ის მხარდამჭერ პროცედურებსა და კონტროლებს; |
დ)
რისკების შეფასების მეთოდოლოგიის აღწერას; |
ე)
რისკების შეფასების ანგარიშს; |
ვ)
რისკების მოპყრობის გეგმას (არ არის სავალდებულო პირველ წელს); |
ზ)
კონტროლის მექანიზმების ეფექტიანობის საზომების აღწერას (არ არის სავალდებულო პირველ წელს); |
თ)
ჩანაწერებს; |
ი)
კონტროლის მექანიზმების გამოყენებადობის განაცხადს. |
თავი III
ორგანიზაციისთვის მეორე წელს შესასრულებელი მოთხოვნები |
მუხლი 11.
რისკების მოპყრობის გეგმა |
1.
ორგანიზაციამ უნდა ჩამოაყალიბოს და დანერგოს რისკების მოპყრობის გეგმა (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.2.ა-ბ), რომელიც განსაზღვრავს ინფორმაციული უსაფრთხოების რისკების მართვისათვის საჭირო ქმედებებს ხელმძღვანელობის მხრიდან, რესურსებს (იხ. დანართი 1, მგს 27001:2011, თავი 5.2.1), პასუხისმგებლობებს და პრიორიტეტებს. |
2.
ორგანიზაციამ უნდა უზრუნველყოს კონტროლის მიზნების მიღწევა, რაც გულისხმობს სახსრების განაწილებას და პასუხისმგებლობების და როლების განსაზღვრას. |
მუხლი 12.
ორგანიზაციაში კონტროლის მექანიზმების დანერგვა |
ინფორმაციული უსაფრთხოების მიზნების მისაღწევად ორგანიზაციამ უნდა: |
ა)
დანერგოს ამ მოთხოვნის პირველი წლის მე-8 მუხლის მე-5 პუნქტში შერჩეული კონტროლის მექანიზმები; |
ბ)
კონტროლის მექანიზმების დანერგვისთანავე ორგანიზაციამ უნდა აწარმოოს მათზე დაკვირვება; |
გ)
ორგანიზაციამ უნდა გააანალიზოს დაკვირვების შედეგები და, საჭიროების შემთხვევაში, განსაზღვროს გაუმჯობესების გზები. |
მუხლი 13.
კონტროლის მექანიზმების ეფექტიანობის საზომების განსაზღვრა |
1.
ორგანიზაციამ უნდა განსაზღვროს შერჩეული კონტროლის მექანიზმების ან კონტროლის მექანიზმთა ჯგუფის ეფექტიანობის საზომები და დაადგინოს თუ როგორ და ვის მიერ მოხდება ამ საზომების გამოყენება, რათა შეფასდეს კონტროლის მექანიზმების ეფექტიანობა და მიღებული იქნას შედარებადი და განმეორებადი შედეგები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.2.დ). |
2.
კონტროლის მექანიზმის ეფექტიანობის გაზომვა ხელმძღვანელობას და პერსონალს საშუალებას აძლევს განსაზღვრონ, შერჩეული კონტროლის მექანიზმი რამდენად ეფექტიანად იძლევა კონტროლის მიზნების მიღწევის საშუალებას. |
მუხლი 14.
ტრენინგები, ცნობიერების ამაღლება და კომპეტენცია |
1.
ორგანიზაციამ უნდა შეიმუშავოს და განახორციელოს სატრენინგო და ცნობიერების ამაღლების პროგრამები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.2.ე). ორგანიზაციამ უნდა უზრუნველყოს პერსონალის კვალიფიციურობა იუმს-სთან მიმართებაში შემდეგი საკითხების გათვალისწინებით: |
ა)
იუმს-ში ჩართული პერსონალისთვის აუცილებელი ცოდნის განსაზღვრა; |
ბ)
ტრენინგების და სხვა ღონისძიებების ჩატარება (მაგ. კომპეტენტური პერსონალის აყვანა) იუმს-ის საჭიროებების დასაკმაყოფილებლად; |
გ)
სწავლების, ტრენინგის, უნარ-ჩვევების, გამოცდილების და კომპეტენციის შესახებ ჩანაწერების წარმოება. |
2.
ორგანიზაციამ უნდა უზრუნველყოს, რომ შესაბამისი პერსონალი აცნობიერებს ინფორმაციული უსაფრთხოების ღონისძიებების მნიშვნელოვნებას და მათ მიერ იუმს-ის მიზნების მიღწევაში შეტანილ წვლილს. |
მუხლი 15.
იუმს-ის მონიტორინგისთვის საჭირო ქმედებების განსაზღვრა და დანერგვა |
ორგანიზაციამ უნდა დანერგოს პროცედურები და სხვა კონტროლის მექანიზმები, რაც საშუალებას მისცემს აღმოაჩინოს უსაფრთხოების შემთხვევები და რეაგირება მოახდინოს ინფორმაციული უსაფრთხოების ინციდენტებზე (იხ. დანართი 1, 27001:2011, თავი 4.2.2. თ). |
თავი IV
ორგანიზაციისთვის მესამე წელს შესასრულებელი მოთხოვნები |
მუხლი 16.
მონიტორინგი |
1.
ორგანიზაციამ უნდა დანერგოს და განახორციელოს მონიტორინგის და განხილვის პროცედურები, ასევე სხვა კონტროლის მექანიზმები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.3.ა), რომელთა მიზანია: |
ა)
დამუშავების შედეგებში შეცდომების მყისიერი აღმოჩენა; |
ბ)
უსაფრთხოების გარღვევის მცდელობების და წარმატებული მცდელობების, აგრეთვე ინციდენტების მყისიერი აღმოჩენა; |
გ)
მიეცეს ხელმძღვანელობას მსჯელობის საშუალება, თუ რამდენად ეფექტიანად მუშაობს უსაფრთხოების ესა თუ ის ღონისძიება; |
დ)
გამოავლინოს უსაფრთხოების შემთხვევების ინდიკატორების მეშვეობით; |
ე)
განსაზღვროს, იყო თუ არა გარღვევის მცდელობის აღმოფხვრა ეფექტიანი. |
2.
ორგანიზაციამ პერიოდულად უნდა განიხილოს იუმს-ის ეფექტიანობა (მათ შორის, იუმს პოლიტიკის და მიზნების, უსაფრთხოების კონტროლის მექანიზმების მიმოხილვა). პერიოდული მიმოხილვის დროს ორგანიზაციამ უნდა გაითვალისწინოს ინფორმაციული უსაფრთხოების აუდიტის შედეგები, ინციდენტები, ეფექტიანობის გაზომვის შედეგები და დაინტერესებული მხარეებისგან მიღებული შემოთავაზებები და უკუკავშირი (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.3.ბ). |
3.
ორგანიზაციამ უნდა გაზომოს კონტროლის მექანიზმების ეფექტიანობა უსაფრთხოების მოთხოვნების დაკმაყოფილების დასადასტურებლად (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.3.გ). |
მუხლი 17.
რისკების შეფასების გადახედვა |
ორგანიზაციამ დაგეგმილი პერიოდულობით უნდა განახორციელოს რისკების შეფასების, ნარჩენი რისკებისა და რისკების მისაღები დონეების გადახედვა (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.3.დ), შემდეგი საკითხების გათვალისწინებით: |
ა)
ორგანიზაციულ-სტრუქტურული ცვლილება; |
ბ)
ტექნოლოგიური ცვლილება; |
გ)
ცვლილება საქმიანობის მიზნებსა და პროცესებში; |
დ)
ახლადაღმოჩენილი საფრთხეები; |
ე)
დანერგილი კონტროლის მექანიზმების ეფექტიანობის ცვლილება; |
ვ)
გარე მოვლენები, ისეთი როგორიცაა საკანონმდებლო ცვლილებები; |
ზ)
შეცვლილი საკონტრაქტო ვალდებულებები და ცვლილებები სოციალურ გარემოში; |
მუხლი 18.
ორგანიზაციაში იუმს-ის შიდა აუდიტი |
1.
ორგანიზაცია ვალდებულია ჩაატაროს იუმს-ის აუდიტი (იხ. დანართი 1, მგს 27001:2011 თავი 6) დაგეგმილი პერიოდულობით და დაადგინოს იუმს-ის მიზნები, კონტროლის მექანიზმები, პროცესები და პროცედურები: |
ა)
შეესაბამება თუ არა სტანდარტის, საკანონმდებლო მოთხოვნებს; |
ბ)
შეესაბამება თუ არა გამოვლენილ უსაფრთხოების მოთხოვნებს; |
გ)
ეფექტიანად ხდება თუ არა მისი დანერგვა და მხარდაჭერა; |
დ)
ფუნქციონირებს თუ არა გეგმის შესაბამისად. |
2.
ხელმძღვანელობას, რომლის მართვის სფეროში მყოფი საქმიანობაც მოწმდება, ევალება შეუსაბამობების და მათი გამომწვევი მიზეზების აღმოფხვრა. შემდგომი ღონისძიებები გულისხმობს მათ შემოწმებას და შემოწმების შედეგების ანგარიშგებას (იხ. დანართი 1, მგს 27001:2011 თავი 8). |
მუხლი 19.
ხელმძღვანელობის მიერ იუმს-ის მიმოხილვა |
1.
ორგანიზაციამ უნდა განახორციელოს იუმს-ის პერიოდული მიმოხილვა, რათა უზრუნველყოფილი იყოს ადეკვატური გავრცელების სფერო და იუმს-ს პროცესის გაუმჯობესებების აღმოჩენა (იხ. დანართი 1, მგს 27001:2011, თავი 7). |
2.
ხელმძღვანელობა ვალდებულია აწარმოოს იუმს-ს მიმოხილვა დაგეგმილი პერიოდულობით (სულ მცირე წელიწადში ერთხელ) მუდმივი შესაბამისობის, ადექვატურობისა და ეფექტიანობის უზრუნველსაყოფად. მიმოხილვა უნდა მოიცავდეს გაუმჯობესების გზების მოძიებას და იუმს-ის ცვილებების საჭიროებას, მათ შორის ინფორმაციული უსაფრთხოების პოლიტიკას და მიზნებს. |
3.
მიმოხილვის შედეგები უნდა იყოს დოკუმენტირებული და ხდებოდეს ჩანაწერების წარმოება (იხ. დანართი 1, მგს 27001:2011 თავი 4.3.3). |
მუხლი 20.
ინფორმაციული უსაფრთხოების ღონისძიებების გეგმების განახლება |
ორგანიზაციამ მონიტორინგის და მიმოხილვის შედეგების გათვალისწინებით უნდა განაახლოს ინფორმაციული უსაფრთხოების ღონისძიებების გეგმები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.3.ზ). |
მუხლი 21.
ორგანიზაციაში იუმს-ის გაუმჯობესება და კომუნიკაცია |
ორგანიზაცია ვალდებულია: |
ა)
იუმს-ში დანერგოს გამოვლენილი გაუმჯობესები (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.4.ა); |
ბ)
განახორციელოს ყველა დაინტერესებული პირის ინფორმირება გატარებული ქმედებების და გაუმჯობესებების თაობაზე დეტალიზაციის შესაბამისი დონის გათვალისწინებით და, საჭიროების შემთხვევაში, შეათანხმოს შემდგომი ნაბიჯები ინფორმაციული უსაფრთხოების მართვის სისტემაზე პასუხისმგებელ პირებთან (იხ. დანართი 1, მგს 27001:2011, თავი 4.2.4.გ;). |
მუხლი 22.
იუმს-ის მხარდაჭერა |
1.
ორგანიზაცია ვალდებულია მუდმივად იზრუნოს იუმს-ის ეფექტიანობის გაუმჯობესებაზე შემდეგი საკითხების გათვალისწინებით: |
ა)
ინფორმაციული უსაფრთხოების პოლიტიკა და ინფორმაციული უსაფრთხოების მიზნები; |
ბ)
აუდიტის შედეგები; |
გ)
მონიტორინგის შედეგად აღმოჩენილი მოვლენების ანალიზი, მაკორექტირებელი და პრევენციული ქმედებები; |
დ)
ხელმძღვანელობის მიერ იუმს-ის მიმოხილვა (იხ. დანართი 1, მგს 27001:2011 თავი 7). |
2.
ორგანიზაციამ უნდა: |
ა)
განახორციელოს მგს 27001:2011-ის 8.2-სა და 8.3-ის თანახმად შესაბამისი მაკორექტირებელი და პრევენციული ქმედებები; |
ბ)
უზრუნველყოს გაუმჯობესებების შედეგად დასახული მიზნების მიღწევა.
|
დანართი №
1
|
მგს 27001:2011ინფორმაციული ტექნოლოგიები - უსაფრთხოების საშუალებები - ინფორმაციული უსაფრთხოების მართვის სისტემები - მოთხოვნებიშესავალი წინამდებარე სტანდარტის მიზანი არის ინფორმაციული უსაფრთხოების მართვის სისტემის (შემდგომში „იუმს“) ჩამოყალიბება, დანერგვა, ფუნქციონირება, ზედამხედველობა, მხარდაჭერა და გაუმჯობესება. იუმს-ის ორგანიზაციაში მიღება სტრატეგიული გადაწყვეტილება უნდა იყოს. ორგანიზაციაში იუმს-ის დიზაინი და დანერგვა განპირობებულია ორგანიზაციის საჭიროებებით და მიზნებით, უსაფრთხოების მოთხოვნებით, არსებული პროცესებით და ორგანიზაციული სტრუქტურით, რომლებიც შესაძლოა დროთა განმავლობაში იცვლებოდეს. მოსალოდნელია, რომ იუმს-ის დანერგვა შეიცვლება ორგანიზაციის საჭიროებების მიხედვით. სტანდარტი შესაძლოა გამოყენებულ იქნეს შესაბამისობის შესამოწმებლად შიდა და გარე დაინტერესებული პირების მიერ. 1.გავრცელების სფერო1.1.ზოგადიწინამდებარე სტანდარტი ვრცელდება კრიტიკული ინფორმაციული სისტემის მქონე სუბიექტებზე (შემდეგში ‘“ორგანიზაციაზე“). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერისა და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით. სტანდარტი აღწერს უსაფრთხოების კონტროლის მექანიზმების დანერგვის მოთხოვნებს ყოველი კონკრეტული ორგანიზაციისათვის, ან მისი ნაწილისათვის. იუმს-ის დანიშნულებაა ინფორმაციული აქტივების დამცავი, ადეკვატური და პროპორციული უსაფრთხოების კონტროლის მექანიზმების დანერგვა და დაინტერესებული მხარეების დარწმუნებულობის გამყარება. შენიშვნა 1: „ბიზნესის“ გამოყენება სტანდარტში უნდა განიხილებოდეს, როგორც ძირითად საქმიანობათა ერთობლიობა, რომელიც აუცილებელია ორგანიზაციის არსებობისათვის. შენიშვნა 2: სტანდარტი წარმოადგენს დანერგვის სახელმძღვანელოს, რომელიც შესაძლოა გამოყენებულ იქნეს კონტროლის მექანიზმის დიზაინის სტადიაზე. 1.2.გამოყენებასტანდარტში ჩამოყალიბებული მოთხოვნები არის ზოგადი და უნდა გამოიყენებოდეს ორგანიზაციაში, მიუხედავად მისი სიდიდის, ზომის და ტიპისა. იმისათვის, რომ ორგანიზაცია თავსებადობაში იყოს აღნიშნულ სტანდარტთან, არ დაიშვება 4, 5, 6, 7 და 8 პუნქტებში ჩამოთვლილი არცერთი მოთხოვნის ამოღება. ნებისმიერი კონტროლის მექანიზმის ამოღება, რომელიც აუცილებელია რისკის მისაღებად, უნდა იყოს დაფიქსირებული და გააზრებული და უნდა არსებობდეს მტკიცებულება იმისა, რომ შესაბამისი რისკები მიღებულია პასუხისმგებელი პირების მიერ. სტანდარტთან შესაბამისობა შეუძლებელია, თუ რომელიმე მოთხოვნა ამოღებული იქნება, გარდა იმ შემთხვევებისა, როდესაც ასეთი გამონაკლისები პირდაპირ არის საკანონმდებლო ან მარეგულირებელ ბაზასთან წინააღმდეგობაში, ან უარყოფითად მოქმედებს ორგანიზაციის მიერ ინფორმაციული უსაფრთხოების მიწოდების შესაძლებლობაზე.
შენიშვნა: იმ შემთხვევაში, როდესაც ორგანიზაციას უკვე გააჩნია ბიზნეს-პროცესის მართვის სისტემა (მაგ. ხარისხის მართვის სისტემები ISO 9001 ან გარემოს მართვის სისტემა ISO 14001), უმეტეს შემთხვევაში სასურველია შესაბამისობა წინამდებარე სტანდარტთან მართვის არსებული სისტემის ფარგლებში. 2.ნორმატიული აქტებიდოკუმენტში დასახელებული სხვა დოკუმენტები წარმოადგენს წინამდებარე სტანდარტის განუყოფელ ნაწილს. 3.ტერმინები და განმარტებებიშენიშვნა: დოკუმენტის ამ ნაწილში მოყვანილი ტერმინები და განმარტებები არ უნდა განიმარტოს „ინფორმაციული უსაფრთხოების შესახებ“ კანონით დადგენილი ანალოგიური ტერმინებისაგან გასხვავებულად, არამედ გამოიყენება როგორც კანონით დადგენილი ტერმინების დამატებითი და დამაზუსტებელი განმარტებები. 3.1.აქტივი ნებისმიერი რამ, რაც ფასეულია ორგანიზაციისათვის; 3.2.ხელმისაწვდომობა ავტორიზებული სუბიექტის მიერ მოთხოვნის შესაბამისად ხელმისაწვდომობისა და გამოყენებადობის მახასიათებლები. 3.3.კონფიდენციალურობა მახასიათებლები იმისა, რომ ინფორმაცია არ არის ხელმისაწვდომი არაავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; 3.4.ინფორმაციული უსაფრთხოება ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და დაცვა; დამატებით შესაძლოა მოიცავდეს ასევე ისეთ მახასიათებლებს, როგორებიცაა: ავთენტურობა, ანგარიშვალდებულება, წარმოშობის წყაროსთან ცალსახა შესაბამისობა და სანდოობა; 3.5.ინფორმაციული უსაფრთხოების მოვლენა სისტემის, სერვისისა და ქსელის იდენტიფიცირებული მდგომარეობა, რაც მიუთითებს ინფორმაციული უსაფრთხოების პოლიტიკის შესაძლო დარღვევაზე ან დანერგილი კონტროლის მექანიზმების წარუმატებლობაზე, ან წინასწარ უცნობ ისეთ სიტუაციაზე, რომელიც შესაძლოა მნიშვნელოვანი იყოს უსაფრთხოების თვალსაზრისით; 3.6.ინფორმაციული უსაფრთხოების ინციდენტი ინფორმაციული უსაფრთხოების მოულოდნელი ან არასასურველი ცალკეული ან სერიული ხდომილებები, რომლებიც დიდი ალბათობით ახდნენ ბიზნეს-ოპერაციების დისკრედიტაციას ან ემუქრებიან ინფორმაციულ უსაფრთხოებას; 3.7. ინფორმაციული უსაფრთხოების მართვის სისტემა - იუმს მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნესის რისკებისადმი მიდგომაზე, რათა შესაძლებელი გახდეს ინფორმაციული უსაფრთხოების დანერგვა, ფუნქციონირება, მონიტორინგი, განხილვა, მხარდაჭერა და გაუმჯობესება;
3.8 მთლიანობა აქტივის სიზუსტის და სრულყოფილების დაცვის მახასიათებელი თვისება; 3.9 რეაგირების გარეშე დარჩენილი რისკი რისკების მოპყრობის შემდეგ დარჩენილი რისკი; 3.10. რისკის მიღება გადაწყვეტილება რისკის მიღების თაობაზე; 3.11. რისკის ანალიზი ინფორმაციის სისტემური გამოყენება რისკის წარმოშობის წყაროსა და მისი შეფასების დასადგენად; 3.12. რისკის შეფასება რისკის ანალიზისა და რისკის დონის დადგენის სრული პროცესი; 3.13. რისკის დონის დადგენა რისკის მნიშვნელოვნების დასადგენად რისკის მიახლოებითი შეფასების შედეგების შედარება მოცემულ რისკის კრიტერიუმებთან; 3.14. რისკის მართვა ორგანიზაციის მართვისა და კონტროლისათვის საჭირო კოორდინირებული ქმედებების განხორციელება რისკების გათვალისწინებით; 3.15. რისკების მოპყრობა რისკის შეცვლისათვის შეფასების საზომების შერჩევისა და მათი დანერგვის პროცესი; 3.16. გამოყენებადობის შესახებ განაცხადი ორგანიზაციის იუმს-ისთვის საჭირო და გამოყენებადი კონტროლის მიზნებისა და კონტროლის მექანიზმების დოკუმენტირებული განაცხადი. 4.ინფორმაციული უსაფრთხოების მართვის სისტემა4.1.ზოგადი მოთხოვნებიორგანიზაციამ უნდა ჩამოაყალიბოს ორგანიზაციამ უნდა ჩამოაყალიბოს, დანერგოს, გამოიყენოს, განახორციელოს მონიტორინგი, განიხილოს, მხარი დაუჭიროს და გააუმჯობესოს დოკუმენტირებული იუმს ორგანიზაციაში ასრებული ყველა ბიზნეს-პროცესის და რისკების გათვალისწინებით. ამ სტანდარტის მიზნებისთვის გამოიყენება „დაგეგმვა-აღსრულება-შემოწმება-ქმედება“ მოდელი, რომელიც ნაჩვენებია ნახაზზე.
4.2.იუმს-ის ჩამოყალიბება და მართვა4.2.1.იუმს-ის ჩამოყალიბებაორგანიზაციამ უნდა შეასრულოს შემდეგი: ა) განსაზღვროს იუმს-ის გავრცელების სფერო და საზღვრები ბიზნესის, ორგანიზაციის, ადგილმდებარეობის, აქტივების და ტექნოლოგიების ჭრილში, მათ შორის დაასაბუთოს დაშვებული გამონაკლისების მიზეზები (იხილეთ პუნქტი 1.2.) ბ) განსაზღვროს იუმს პოლიტიკა ბიზნესის, ორგანიზაციის, ადგილმდებარეობის, აქტივების და ტექნოლოგიების ჭრილში, რომელიც:
შენიშვნა: წინამდებარე სტანდარტის მიზნებიდან გამომდინარე იუმს პოლიტიკა განიხილება, როგორც ინფორმაციული უსაფრთხოების პოლიტიკის მომცველი. თუმცა, ეს პოლიტიკები შესაძლოა ერთ დოკუმენტად იყოს ჩამოყალიბებული.
გ) განისაზღვროს ორგანიზაციის რისკების შეფასების მიდგომა.
რისკების შეფასების შერჩეულმა მეთოდოლოგიამ უნდა უზრუნველყოს რისკების შეფასების შედარებადი და განმეორებადი შედეგები. შენიშვნა: არსებობს რისკების შეფასების სხვადასხვა მეთოდოლოგია. მაგალითები მოყვანილია დოკუმენტში ISO/IEC TR 13335-3, Information technology — Guidelines for the management of IT Security — Techniques for the management of IT Security. დ) გამოვლინდეს რისკები: 1. გამოვლინდეს იუმს-ის ფარგლებში აქტივები და მათი მფლობელები*; 2. გამოვლინდეს ამ აქტივებთან დაკავშირებული საფრთხეები; 3. გამოვლინდეს სისუსტეები, რომელებითაც შესაძლოა ისარგებლონ საფრთხეებმა; 4.გამოვლინდეს აქტივებზე კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დარღვევით გამოწვეული დანაკარგები. შენიშვნა: ტერმინი „მფლობელი“ გამოიყენება ინდივიდის ან ობიექტის აღსაწერად, რომელსაც გააჩნია აქტივის წარმოების, შენარჩუნების ან დაცვის მოვალეობა. „მფლობელი“ არ ნიშნავს იმას, რომ პიროვნებას გააჩნია აქტივზე საკუთრების უფლება. ე) გააანალიზოს და შეაფასოს რისკები.
ვ) აღმოჩენილ იქნეს და შეფასდეს რისკების მიღების ნაირსახეობები. შესაძლო ქმედებები არის:
ზ) რისკების სამართავად უნდა მოხდეს კონტროლის მიზნების და კონტროლის მექანიზმების შერჩევა, რომელიც უნდა შეესაბამებოდეს რისკების შეფასების და რისკების მოპყრობის პროცესს. შერჩევა უნდა ეფუძნებოდეს რისკების მიღების კრიტერიუმებს (იხ 4.2.1 გ)2)), აგრეთვე საკანონმდებლო, მარეგულირებელ და საკონტრაქტო მოთხოვნებს. დანართში ა მოცემული კონტროლის მიზნები და კონტროლის მექანიზმები უნდა იყოს ამ პროცესის შემადგენელი. თუმცა, დანართში ა მოცემული კონტროლის მექანიზმები და კონტროლის მიზნები არ წარმოადგენს ამომწურავ ჩამონათვალს, ამიტომ შესაძლებელია შეირჩეს დამატებითი კონტროლის მექანიზმები. შენიშვნა: დანართი ა წარმოადგენს კონტროლის მექანიზმების და კონტროლის მიზნების ზოგად ჩამონათვალს. წინამდებარე სტანდარტის მომხმარებლები განიხილავენ დანართ ა-ს კონტროლის მექანიზმების შერჩევის საწყის წერტილად, რათა არ მოხდეს მნიშვნელოვანი კონრტოლის მექანიზმების გამოტოვება. თ) რეაგირების გარეშე დარჩენილი რისკების შესახებ მენეჯმენტისგან თანხმობის მიღება. ი) იუმს-ის დანერგვასა და ფუნქციონირების თაობაზე მენეჯმენტისგან თანხმობის მიღება. კ) გამოყენებადობის შესახებ განაცხადი უნდა მომზადდეს და ძირითადად უნდა შეიცავდეს: 1. კონტროლის მიზნებს და 4.2.1თ) -ში შერჩეულ კონტროლის მექანიზმებს და მათი შერჩევის მიზეზებს; 2. არსებული კონტროლების მიზნებს და კონტროლის მექანიზმებს (იხ.4.2.1 ე)2); 3. ნებისმიერი კონტროლის მიზნების და კონტროლის მექანიზმების ამოღებას დანართი ა-დან და ამოღების დასაბუთებას. შენიშვნა: გამოყენებადობის შესახებ განაცხადი წარმოადგენს გადაწყვეტილებათა შეჯამებას რისკებთან მოპყრობის შესახებ. გამონაკლისების ახსნა კიდევ ერთი შემოწმების საშუალებაა იმისა, რომ არაფერი გამოგვრჩა მნიშვნელოვანი. 4.2.2.იუმს-ის დანერგვა და ფუნქციონირებაორგანიზაციამ უნდა შეასრულოს შემდეგი: ა) ჩამოაყალიბოს რისკთან მოპყრობის გეგმა, რომელიც აღწერს ინფორმაციული უსაფრთხოების რისკების მართვისათვის საჭირო მენეჯმენტის ქმედებებს, რესურსებს, პასუხისმგებლობებს და პრიორიტეტებს (იხილეთ პუნქტი 5). ბ) დანერგოს რისკების მოპყრობის გეგმა, რათა მოხდეს კონტროლის მიზნების მიღწევა, რაც გულისხმობს სახსრების განაწილებას და პასუხისმგებლობების და როლების განსაზღვრას. გ) დაინერგოს 4.2.1 ზ-ში ნახსენები კონტროლის მექანიზმები, რათა მოხდეს კონტროლის მიზნების მიღწევა. დ) განისაზღვროს შერჩეული კონტროლის მექანიზმების ან კონტროლის მექანიზმების ჯგუფის ეფექტიანობის გაზომვის საშუალებები და დადგინდეს თუ როგორ მოხდება ამ საზომების გამოყენება (4.2.3გ). შენიშვნა: კონტროლის მექანიზმის ეფექტიანობის გაზომვა მენეჯერებს და პერსონალს საშუალებას აძლევს განსაზღვრონ, შერჩეული კონტროლის მექანიზმი რამდენად ეფექტიანად იძლევა კონტროლის მიზნების მიღწევის საშუალებას. ე) დაინერგოს სატრენინგო და ცნობიერების ამაღლების პროგრამები (იხილეთ 5.2.2.); ვ) მართოს იუმს ფუნქციონირება; ზ) მართოს იუმს რესურსები (იხილეთ 5.2); თ) დანერგოს პროცედურები და სხვა კონტროლის მექანიზმები, რომლებიც დაეხმარება უსაფრთხოების მოვლენების აღმოჩენაში და ამ ინციდენტებზე რეაგირებაში (იხილეთ 4.2.3. ა)). 4.2.3.იუმს-ის მონიტორინგი და განხილვაორგანიზაცია ვალდებულია: ა) განახორციელოს მონიტორინგი და განხილვის პროცედურები და სხვა კონტროლის მექანიზმები, რათა:
ბ) აწარმოოს იუმს ეფექტიანობის პერიოდული მიმოხილვა (მათ შორის, იუმს პოლიტიკის და მიზნების, უსაფრთხოების კონტროლის მექანიზმების მიმოხილვა) უსაფრთხოების აუდიტების, ინციდენტების, ეფექტიანობის გაზომვის შედეგების გათვალისწინებით და დაინტერესებული მხარეებისგან შემოთავაზებების და უკუკავშირის გათვალისწინებით. გ) გაზომოს კონტროლის მექანიზმების ეფექტიანობა უსაფრთხოების მოთხოვნების დაკმაყოფილების შესამოწმებლად; დ) განახორციელოს რისკების შეფასების განხილვა დროის დაგეგმილ ინტერვალებში, რეაგირების გარეშე დარჩენილი რისკების და რისკების მისაღები დონის განხილვა, შემდეგი ცვლილებების გათვალისწინებით:
ე) განხორციელდეს იუმს-ის პერიოდული აუდიტები (იხილეთ პუნქტი 6). შენიშვნა: შიდა აუდიტების განხორციელება ხდება ორგანიზაციის მიერ ან ორგანიზაციის სახელით, შიდა მიზნებიდან გამომდინარე. ვ) განხორციელდეს იუმს-ის პერიოდული განხილვა, რათა უზურნველყოფილი იყოს ადექვატური გავრცელების სფერო და იუმს-ის პროცესის გაუმჯობესებების აღმოჩენა (იხ 7.1); ზ) განაახლოს უსაფრთხოების გეგმები მონიტორინგის დაკვირვებების და განხილვის შედეგების გათვალისწინებით; თ) ქმედებების და მოვლენების დაფიქსირება, რომლებმაც შეიძლება გავლენა იქონიოს იუმს-ის ეფექტიანობაზე ან წარმადობაზე (იხ. 4.3.3). 4.2.4.იუმს-ის შენარჩუნება და გაუმჯობესებაორგანიზაცია ვალდებულია პერიოდულად განახორციელოს: ა) აღმოჩენილი გაუმჯობესების იუმს-ში დანერგვა; ბ) 8.2 და 8.3 თანახმად განახორციელოს შესაბამისი მაკორექტირებელი და პრევენციული ქმედებები. გამოიყენოს სხვა ორგანიზაციების და საკუთარი გამოცდილება ამ საკითხში. გ) მოახდინოს ყველა დაინტერესებული პირის შეტყობინება განხორციელებული ქმედებების და გაუმჯობესებების თაობაზე ვითარების შესაბამისი დეტალიზაციის დონის გათვალისწინებით და შეათანხმოს შემდგომი ნაბიჯები. დ) უზრუნველყოს დაგეგმილი მიზნების რეალიზაცია გაუმჯობესებების მეშვეობით. 4.3.დოკუმენტაციის მოთხოვნები4.3.1.ზოგადიდოკუმენტაცია უნდა შეიცავდეს ჩანაწერებს მენეჯერული გადაწყვეტილებების შესახებ, უზრუნველყოს მოქმედებების ცალსახა იდენტიფიცირება მენეჯერულ გადაწყვეტილებებთან და პოლიტიკებთან და უზრუნველყოს დაფიქსირებული შედეგების განმეორებადობა. მნიშვნელოვანია ურთიერთკავშირის დამყარება შერჩეულ კონტროლის მექანიზმებსა და რისკების შეფასების და რისკების მოპყრობის პროცესებს შორის, აგრეთვე იუმს პოლიტიკასა და მიზნებთან. იუმს დოკუმენტაცია უნდა შეიცავდეს: ა) იუმს-ის პოლიტიკის დოკუმენტირებულ ფორმულირებას (4.2.1 ბ) და მიზნებს; ბ) იუმს-ის გავრცელების სფეროს (4.2.1 ა); გ) იუმს-ის მხარდამჭერ პროცედურებსა და კონტროლის მექანიზმებს; დ) რისკების შეფასების მეთოდოლოგიის აღწერას (4.2.1 გ); ე) რისკების შეფასების ანგარიშს (4.2.1 გ-დან 4.2.1 ზ-მდე); ვ) რისკების მოპყრობის გეგმას (4.2.2 ბ); ზ) უსაფრთხოების პოლიტიკის პროცესების ეფექტიანი დაგეგმარებისა, ფუნქციონირების და კონტროლისათვის აუცილებელ ორგანიზაციულ დოკუმენტირებულ პროცედურებს და აღიწეროს, თუ როგორ უნდა განხორციელდეს კონტროლის მექანიზმების ეფექტიანობის გაზომვა (4.2.3 გ); თ) წინამდებარე სტანდარტით აუცილებელ ჩანაწერებს (4.3.3); ი) გამოყენებადობის შესახებ განაცხადს. შენიშვნა 1: ტერმინი „დოკუმენტირებული პროცედურა“ გამოიყენება წინამდებარე სტანდარტში, ნიშნავს, რომ პროცედურა არის ჩამოყალიბებული, დოკუმენტირებული, დანერგილი და მხარდაჭერილი. შენიშვნა 2: იუმს დოკუმენტაციის დაწვრილმანება შესაძლოა ვარირებდეს სხვადასხვა ორგანიზაციაში შემდეგის გათვალისწინებით:
შენიშვნა 3: დოკუმენტები და ჩანაწერები შესაძლოა იყოს ინფორმაციის ნებისმიერი სახის ან ტიპის მატარებელზე. 4.3.2.დოკუმენტებზე კონტროლი
იუმს-ის მიერ მოთხოვნილი დოკუმენტები უნდა იყოს დაცული. ჩამოსაყალიბებელი დოკუმენტირებული პროცედურა განისაზღვრავს მენეჯმენტის შემდეგ ქმედებებს: ა) დოკუმენტის გამოქვეყნებამდე მისი დადასტურება; ბ) დოკუმენტების განხილვა და ცვლილება აუცილებლობის შემთხვევაში და მისი თავიდან დადასტურება; გ) უზრუნველყოს დოკუმენტების მიმდინარე ვერსიისა და ცვლილებების დაფიქსირება; დ) უზრუნველყოს დოკუმენტის სხვადასხვა ვერსიების ხელმისაწვდომობა საჭიროების შემთხვევაში; ე) უზრუნველყოს, რომ დოკუმენტები არის ჩამოყალიბებული მკაფიოდ და ცალსახად იდენტიფიცირებადია; ვ) უზრუნლველყოს დოკუმენტების ხელმისაწვდომობა ყველა უფლებამოსილი მხარისათვის და მათი გადაადგილების, შენახვის და განადგურების არსებულ კლასიფიცირების პროცედურებთან შესაბამისობა. ზ) უზრუნველყოს გარე წარმოშობის დოკუმენტების იდენტიფიცირება; თ) უზრუნველყოს დოკუმენტების განაწილებაზე კონტროლი; ი) აიკრძალოს ძველი დოკუმენტების არასათანადოდ გამოყენება, და; კ) ნებისმიერი მიზნით შენახვის შემთხვევაში გამოიყენებოდეს სათანადო იდენტიფიცირება; 4.3.3. ჩანაწერთა კონტროლიჩანაწერები უნდა შეიქმნას და შენარჩუნდეს, რათა უზრუნველყოფილი იყოს იუმს-ის მოთხოვნებთან შესაბამისობა და ეფექტიანი ფუნქციონირება. ჩანაწერები უნდა იყოს დაცული და კონტროლდებოდეს. იუმს-მა უნდა გაითვალისწინოს ნებისმიერი საკანონმდებლო, მარეგულირებელი ან სახელშეკრულებო ვალდებულება. ჩანაწერები უნდა იყოს მკაფიო, იდენტიფიცირებადი და ხელმისაწვდომი. იდენტიფიცირების, შენახვის, დაცვის, ხელმისაწვდომობის, განადგურების ვადის და განთავსებისთვის საჭირო კონტროლის მექანიზმები უნდა იყოს აღწერილი და დანერგილი. პროცესის წარმადობის და იუმს-ის ყველა უსაფრთხოების ინციდენტის შესახებ ჩანაწერების შენახვა უნდა მოხდეს 4.2-ს მიხედვით. მაგალითი: ჩანაწერთა მაგალითი შესაძლოა იყოს ვიზიტორების სარეგისტრაციო ჟურნალი, აუდიტის ანგარიში და წვდომის დაშვების ფორმა. 5.მენეჯმენტის პასუხისმგებლობა5.1. მენეჯმენტის მზადყოფნამენეჯმენტი ვალდებულია წარადგინოს მზადყოფნის შესახებ მტკიცებულება იუმს-ის ჩამოყალიბებაზე, დანერგვაზე, ფუნქციონირებაზე, მონიტორინგზე, განხილვაზე, შენარჩუნებაზე და გაუმჯობესებაზე შემდეგი ჩამონათვლის გათვალისწინებით: ა) იუმს პოლიტიკის ჩამოყალიბებით; ბ) იუმს მიზნების და გეგმების ჩამოყალიბებით; გ) ინფორმაციული უსაფრთხოების როლების და პასუხისმგებლობების ჩამოყალიბებით; დ) ორგანიზაციისადმი ინფორმაციული უსაფრთხოების მიზნების და პოლიტიკის მნიშვნელობის, მისი საკანონმდებლო პასუხისმგებლობის და მუდმივი გაუმჯობესების აუცილებლობის ახსნით; ე) იუმს-ის ჩამოსაყალიბებლად, დასანერგად, ფუნქციონირებისათვის, მონიტორინგისათვის, შენარჩუნებისათვის, განხილვისათვის და გაუმჯობესებისათვის საკმარისი რესურსების გამოყოფა (იხილეთ 5.2.1); ვ) განსაზღვროს რისკის მიღების და დასაშვები რისკის დონეების კრიტერიუმები; ზ) უზრუნველყოს იუმს-ის შიდა აუდიტების წარმოება (იხ.6); თ) მოახდინოს იუმს-ის მენეჯერული განხილვა (იხ.7). 5.2. რესურსების მართვა5.2.1. რესურსებით უზრუნველყოფა ორგანიზაცია ვალდებულია განსაზღვროს და გამოყოს აუცილებელი რესურსები, რათა მოხდეს: ა) იუმს ჩამოყალიბება, დანერგვა, ფუნქციონირება, მონიტორინგი, შენარჩუნება, განხილვა და გაუმჯობესება; ბ) ინფორმაციული უსაფრთხოების პროცედურების მიერ ბიზნეს მოთხოვნების მხარდაჭერა; გ) საკანონმდებლო და მარეგულირებელი მოთხოვნების და სახელშეკრულებო ვალდებულებების გამოვლენა და დაკმაყოფილება; დ) ყველა დანერგილი კონტროლის მექანიზმის სათანადო გამოყენებით ადექვატური უსაფრთხოების შენარჩუნება; ე) საჭიროების შემთხვევაში განხილვა და განხილვის შედეგად შესაბამისი რეაგირება; ვ) იუმს-ის ეფექტიანობის გაუმჯობესება, სადაც ეს მიზანშეწონილი იქნება. 5.2.2. სწავლება, ინფორმირება და ცნობიერების ამაღლებაორგანიზაციამ უდა უზრუნველყოს იუმს-ისთან მიმართებაში პერსონალის კვალიფიციურობა შემდეგი საქმიანობის შესრულებით: ა) განისაზღვროს იუმს-ში ჩართული პერსონალის აუცილებელი ცოდნა; ბ) ტრენინგების და სხვა ღონისძიებების ჩატარება (მაგ. მცოდნე პერსონალის აყვანა) საჭიროებების დასაკმაყოფილებლად; გ) განხორციელებული ქმედებების ეფექტიანობის შეფასება; დ) სწავლების, ტრენინგის, ცოდნის, გამოცდილების და კვალიფიკაციის შესახებ ინფორმაციის დაგროვება; ორგანიზაციამ აგრეთვე უნდა უზრუნველყოს, რომ შესაბამისი პერსონალი აცნობიერებს ინფორმაციული უსაფრთხოების ღონისძიებების მნიშვნელობას და მათ მიერ იუმს-ის მიზნების მიღწევაში შეტანილ წვლილს. 6.იუმს-ის შიდა აუდიტებიორგანიზაცია ვალდებულია ჩაატაროს იუმს აუდიტი დაგეგმილ დროის ინტერვალებში და დაადგინოს იუმს-ის მიზნები, კონტროლის მექანიზმები, პროცესები და პროცედურები: ა) შეესაბამება სტანდარტის, საკანონმდებლო და მარეგულირებელ მოთხოვნებს; ბ) შეესაბამება გამოვლენილ უსაფრთხოების მოთხოვნებს; გ) ეფექტიანად ხდება მისი დანერგვა და შენარჩუნება; დ) მოქმედებს დაგეგმილის შესაბამისად. აუდიტის პროგრამა უნდა დაიგეგმოს პროცესების და არეების მნიშვნელობის და სტატუსის გათვალისწინებით, აგრეთვე წინა აუდიტის შედეგების გათვალისწინებით. უნდა განისაზღვროს აუდიტის კრიტერიუმები, გავრცელების სფერო, სიხშირე და მიდგომა. აუდიტორების შერჩევამ და აუდიტის წარმოებამ უნდა უზრუნველყოს აუდიტის პროცესის ობიექტურობა და დამოუკიდებლობა. აუდიტორებმა არ უნდა შეამოწმონ საკუთარი ნამუშევარი. აუდიტის დაგეგვის და წარმოების უფლება-მოვალეობები და მოთხოვნები, აგრეთვე ანგარიშგების შედეგები უნდა განისაზღვროს დოკუმენტირებული პროცედურის მიერ (იხ. 4.3.3). მენეჯმენტს, რომლის მართვის სფეროში მყოფი საქმიანობაც მოწმდება, ევალება შეუსაბამობების და გამომწვევი მიზეზების დაუყოვნებლივი აღმოფხვრა. გამოსწორების შემდეგ უნდა მოხდეს მისი შემოწმება და შემოწმების შედეგების შესახებ ანგარიშგება (იხ. 8). შენიშვნა: ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing წარმოადგენს სასარგებლო სახელმძღვანელოს იუმს-ის შიდა აუდიტის წარმოებისათვის. 7.იუმს-ის მენეჯერული განხილვა7.1. ზოგადიმენეჯმენტი ვალდებულია აწარმოოს იუმს-ის განხილვა დაგეგმილ დროის ინტერვალებში (სულ ცოტა წელიწადში ერთხელ) მიმდინარე შესაბამისობის, ადექვატურობისა და ეფექტიანობის უზრუნველსაყოფად. განხილვა უნდა მოიცავდეს გაუმჯობესების გზების მოძიებას და იუმს-ის ცვილებების აუცილებლობას, ინფორმაციული უსაფრთხოების პოლიტიკისა და მიზნების გათვალისწინებით. განხილვის შედეგები ცალსახად უნდა იყოს დოკუმენტირებული და ჩანაწერები უნდა შენარჩუნდეს (იხ 4.3.3). 7.2. განსახილველი საკითხების ჩამონათვალიმენეჯერული განხილვისთვის საჭირო საკითხები უნდა მოიცავდეს: ა) იუმს-ის აუდიტის შედეგებს და განხილვებს; ბ) დაინტერესებულ პირთა უკუკავშირს; გ) იუმს წარმადობისა და ეფექტიანობის გაუმჯობესების ტექნიკას, პროდუქტს ან პროცედურას; დ) პრევენციული ან მაკორექტირებელი ქმედებების სტატუსს; ე) რისკების წინა შეფასების დროს არასათანადოდ რეაგირებულ სისუსტეებს ან საფრთხეებს; ვ) ეფექტიანობის გაზომვის შედეგებს; ზ) წინა სამენეჯერო განხილვის შემდგომ განხორციელებულ ქმედებებს; თ) ნებისმიერ ცვლილებას, რომელმაც შესაძლოა გავლენა იქონიოს იუმს-ზე; ი) გაუმჯობესების რეკომედაციებს. 7.3.განხილვის შედეგიმენეჯერული განხილვის შედეგი უნდა მოიცავდეს ნებისმიერ გადაწყვეტილებას და ქმედებას შემდეგ საკითხებთან მიმართებაში: ა) იუმს-ის ეფექტიანობის გაუმჯობესებას; ბ) რისკების შეფასების და რისკების მოპყრობის გეგმის განახლებას; გ) ინფორმაციული უსაფრთხოების პროცედურების და კონტროლის მექანიზმის ცვლილებას, რომელიც იუმს-ის შიდა ან გარე ფაქტორებისგან დაცვას ემსახურება, მათ შორის:
დ) საჭირო რესურსები; ე) კონტროლის მექანიზმების ეფექტიანობის შეფასების გაუმჯობესება. 8. იუმს-ის გაუმჯობესება 8.1.უწყვეტი გაუმჯობესებაორგანიზაცია ვალდებულია მუდმივად გააუმჯობესოს იუმს-ის ეფექტიანობა ინფორმაციული უსაფრთხოების პოლიტიკის, ინფორმაციული უსაფრთხოების მიზნების, აუდიტის შედეგების, მონიტორინგის შედეგად აღმოჩენილი მოვლენების ანალიზის, მაკორექტირებელი და პრევენციული ქმედებების და მენეჯერული განხილვის გზით (იხ. 7). 8.2. მაკორექტირებელი ქმედებაორგანიზაცია ვალდებულია იუმს-ის მოთხოვნებთან შეუსაბამობების შემთხვევაში განახორციელოს გარკვეული ქმედება, რათა თავიდან აიცილოს ფაქტის განმეორება. მაკორექტირებელი ქმედების დოკუმენტირებული პროცედურა უნდა განსაზღვრავდეს: ა) შეუსაბამობების აღმოჩენას; ბ) შეუსაბამობების მიზეზების გამოვლენას; გ) შეაფასოს ქმედების საჭიროება, რათა არ მოხდეს შეუსაბამობის განმეორება; დ) გამოავლინოს და დანერგოს მაკორექტირებელი ქმედება; ე) განხორციელებული ქმედების შედეგების დაფიქსირებას (იხ. 4.3.3); ვ) მაკორექტირებელი ქმედების განხილვას. 8.3.პრევენციული ქმედებაორგანიზაციამ უნდა განსაზღვროს იუმს-ის მოთხოვნებთან პოტენციური შეუსაბამობის აღმოსაფხვრელად საჭირო ქმედება, რათა თავიდან აიცილოს მათი დადგომა ან განმეორება. პრევენციული ქმედება პოტენციური პრობლემის შესაბამისი უნდა იყოს. პრევენციული ქმედების შესაბამისი დოკუმენტირებული პროცედურა უნდა განსაზღვრავდეს მოთხოვნებს შემდეგი საკითხებისთვის: ა) პოტენციური შეუსაბამობის აღმოჩენა და მათ მიზეზები; ბ) ქმედების საჭიროების შეფასება შეუსაბამობის თავიდან ასაცილებლად; გ) პრევენციული ქმედების გამოვლენა და დანერგვა; დ) განხორციელებული ქმედების შედეგის შესახებ ჩაწერის გაკეთება (იხ. 4.3.3); ე) გატარებული პრევენციული ღონისძიების განხილვა. ორგანიზაცია ვალდებულია გამოავლინოს შეცვლილი რისკები და პრევენციული ქმედებების მოთხოვნები, მნიშვნელოვანწილად შეცვლილ რისკებზე ყურადღების გამახვილებით. პრევენციული ქმედებების პრიორიტეტულობა უნდა განისაზღვრებოდეს რისკების შეფასების საფუძველზე. შენიშვნა: ხშირად პრევენციული ქმედება უფრო ეფექტიანია ხარჯების მხრივ, ვიდრე მაკორექტირებელი ქმედება. დანართი ანორმატიული კონტროლის მიზნები და კონტროლის მექანიზმები ა.1 ცხრილში ჩამოთვლილი კონტროლის მიზნები და კონტროლის მექანიზმები პირდაპირ გამომდინარეობს და დაკავშირებულია მგს 27002:2011 სტანდარტის 5-დან 15-მდე პუნქტებთან. ცხრილის ჩამონათვალი არ არის სრულყოფილი და ორგანიზაციამ შესაძლოა ჩათვალოს, რომ საჭირო არის დამატებითი კონტროლების მიზნები და კონტროლის მექანიზმები. კონტროლის მიზნები და კონტროლის მექანიზმები ამ ცხრილიდან უნდა შეირჩეს როგორც 4.2.1-ში აღწერილი იუმს-ის პროცესის ნაწილი. მგს 27002:2011 სტანდარტის პუნქტები 5-დან 15-მდე წარმოადგენს დანერგვის სახელმძღვანელოს საუკეთესო პრაქტიკებიდან.
ცხრილი ა.1 - კონტროლის მიზნები და კონტროლის მექანიზმები
|
დოკუმენტის კომენტარები