მგს 27002:2011 - dea.gov.gedea.gov.ge/uploads/CERT DOCS/DEA27002-2011_V1_0_1.pdf · მონაცემთა გაცვლის სააგენტო მგს 27002:2011|

მონაცემთა გაცვლის სააგენტო მგს 27002:2011| ინფორმაციული უსაფრთხოების მართვის წესები და ნორმები

1

მგს 27002:2011

8 ნოემბერი 2011 წელი

ვერსია 1.0

ინფორმაციული უსაფრთხოება - უსაფრთხოების

მექანიზმები - ინფომრაციული უსაფრთხოების მართვის

წესები და ნორმები

საქართველოს იუსტიციის სამინისტრო

სსიპ. მონაცემთა გაცვლის სააგენტო

წმ. ნიკოლოზის/ ნ. ჩხეიძის 2

0101 თბილისი, საქართველო

ტელ.: (+995 32) 2 91 51 40

ელ. ფოსტა: [email protected]

mailto:[email protected]


2

Contents 0. შესავალი ............................................................................................................................................... 10

0.1. რა არის ინფორმაციული უსაფრთხოება?....................................................................................... 10

0.2. რატომ არის აუცილებელი ინფორმაციული უსაფრთხოება? ..................................................... 10

0.3. როგორ უნდა მოხდეს ინფორმაციული უსაფრთხოების მოთხოვნების ჩამოყალიბება? ...... 11

0.4. უსაფრთხოების რისკების შეფასება ................................................................................................. 11

0.5. კონტროლის მექანიზმების შერჩევა ................................................................................................ 12

0.6. ინფორმაციული უსაფრთხოების საწყისი წერტილი ................................................................... 12

0.7. წარამტების განმსაზღვრელი მნიშვნელოვანი ფაქტორები ......................................................... 13

0.8. საკუთარი სახელმძღვანელო მითითებების შემუშავება ............................................................. 13

1. გავრცელების სფერო ...................................................................................................................... 14

2. ტერმინები და განმარტებები ........................................................................................................ 14

3. მოცემული სტანდარტის სტრუქტურა ........................................................................................ 16

3.1. პუნქტები .............................................................................................................................................. 16

3.2. უსაფრთხოების ძირითადი კატეგორიები .................................................................................... 16

4. რისკების შეფასება და რისკებთან მოპყრობა ................................................................................. 17

4.1. უსაფრთხოების რისკების შეფასება ................................................................................................. 17

4.2. ინფორმაციული უსაფრთხოების რისკებთან მოპყრობა ............................................................. 18

5. უსაფრთხოების პოლიტიკა ............................................................................................................... 19

5.1. ინფორმაციული უსაფრთხოების პოლიტიკა ................................................................................ 19

5.1.1. ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი ................................................ 19

5.1.2. ინფორმაციული უსაფრთხოების პოლიტიკის განხილვა .................................................... 20

6. ინფორმაციული უსაფრთხოების ორგანიზება .............................................................................. 21

6.1. შიდა ორგანიზება ................................................................................................................................ 21

6.1.1. მენეჯმენტის მზადყოფნა ინფორმაციული უსაფრთხოებისთვის ...................................... 22

6.1.2. ინფორმაციული უსაფრთხოების კოორდინირება................................................................. 23

6.1.3. ინფორმაციულ უსაფრთხოებაზე პასუხისმგებლობების განაწილება ............................... 23


3

6.1.4. ინფორმაციის დამუშავების მოწყობილობების ავტორიზაციის პროცესი ........................ 24

6.1.5. შეთანხმება კონფიდენციალურობის შესახებ ......................................................................... 25

6.1.6. უფლებამოსილ პირებთან კონტაქტი ....................................................................................... 26

6.1.7. განსაკუთრებული ინტერესის მქონე ჯგუფთან კონტაქტი .................................................. 27

6.1.8. ინფორმაციული უსაფრთხოების დამოუკიდებელი განხილვა .......................................... 27

6.2. გარე მხარეები ..................................................................................................................................... 28

6.2.1. გარე მხარეებთან დაკავშირებული რისკების იდენტიფიცირება ...................................... 29

6.2.2. მომხმარებლებთან დაკავშირებულ რისკებზე რეაგირება ................................................... 31

6.2.3. მესამე მხარესთან გაფორმებულ ხელშეკრულებებში უსაფრთხოების გათვალისწინება32

7. აქტივების მართვა ............................................................................................................................... 35

7.1. პასუხისმგებლობა აქტივებზე .......................................................................................................... 35

7.1.1. აქტივების ინვენტარიზაცია ..................................................................................................... 35

7.1.2. აქტივების ფლობა ....................................................................................................................... 36

7.1.3. აქტივების დასაშვები/მისაღები გამოყენება .......................................................................... 36

7.2. ინფორმაციის კლასიფიკაცია ............................................................................................................ 37

7.2.1. კლასიფიკაციის სახელმძღვანელო ........................................................................................... 37

7. 2.2. ინფორმაციის მარკირება და დამუშავება .............................................................................. 38

8. ადაიანური რესურსების უსაფრთხოება ......................................................................................... 39

8.1. დასაქმებამდე ....................................................................................................................................... 39

8.1.1. როლი და პასუხისმგებლობა ..................................................................................................... 39

8.1.2. გადამოწმება ................................................................................................................................. 40

8.1.3. სახელშეკრულებო პირობები .................................................................................................... 41

8.2. დასაქმებულობის დროს ................................................................................................................... 42

8.2.1. ხელმძღვანელების პასუხისმგებლობა ................................................................................... 42

8.2.2. ცნობიერების ამაღლება, ინფორმირებულობა და ტრენინგი ინფორმაციულ

უსაფრთხოებაში ..................................................................................................................................... 43

8.2.3. დისციპლინარული პროცესი ..................................................................................................... 43


4

8.3. მუშაობის შეწყვეტა ან შეცვლა .......................................................................................................... 44

8.3.1. შეწყვეტაზე პასუხისმგებლობები ............................................................................................ 44

8.3.2. ორგანიზაციის კუთვნილი აქტივების დაბრუნება ................................................................ 45

8.3.3. წვდომის უფლებების ჩამორთმევა ........................................................................................... 46

9. ფიზიკური და გარემოს უსაფრთხოება .......................................................................................... 47

9.1. უსაფრთხოების ზონა ......................................................................................................................... 47

9.1.1. ფიზიკური უსაფრთხოების პერიმეტრი .................................................................................. 47

9.1.2. ფიზიკური წვდომის კონტროლი .............................................................................................. 48

9.1.3. ოფისების, ოთახებისა და ძირითადი საშუალებების უსაფრთხოება ................................. 49

9.1.4. გარე და გარემო ფაქტორების საფრთხეებისაგან დაცვა ........................................................ 50

9.1.5. უსაფრთხო ზონებში მუშაობა .................................................................................................... 50

9.1.6. საჯარო წვდომის, მიწოდებისა და ჩამოტვირთვის ადგილი ............................................... 51

9.2. აპარატურის უსაფრთხოება .............................................................................................................. 51

9.2.1. აპრატურის განლაგება და დაცვა .............................................................................................. 52

9.2.2. დამხმარე კომუნალური მომსახურებები .............................................................................. 53

9.2.3. კაბელების სისტემის უსაფრთხოება ........................................................................................ 54

9.2.4. აპარატურის მხარდაჭერა .......................................................................................................... 54

9.2.5. აპრატურის უსაფრთხოება ტერიტორიის გარეთ ................................................................... 55

9.2.6. აპრატურის ხმარებიდან ამოღება ან ხელმეორედ გამოყენება ............................................. 56

9.2.7. საკუთრების გადაადგილება ..................................................................................................... 56

10. კომუნიკაციებისა და ოპერაციების მართვა ................................................................................. 57

10.1. საოპერაციო პროცედურები და პასუხისმგებლობის განაწილება .......................................... 57

10.1.1. დოკუმენტირებული ოპერაციული პროცედურები ............................................................ 57

10.1.2. ცვლილებების მართვა .............................................................................................................. 58

10.1.3. ვალდებულებების გამიჯვნა .................................................................................................... 59

10.1.4. შემუშავების, ტესტირებისა და ოპერაციული საშუალებების გამიჯვნა .......................... 60

10.2. მესამე მხარის მიერ შემოთავაზებული მომსახურების მართვა............................................... 61


5

10.2.1. მომსახურების მიწოდება .......................................................................................................... 61

10.2.2. მესამე მხარის მიერ მიწოდებული მომსახურების მონიტორინგი და განხილვა .......... 62

10.2.3. მესამე მხარის მიერ გაწეულ მომსახურებაში ცვლილებების მართვა .............................. 63

10.3. სისტემის დაგეგმვა და მიღება ........................................................................................................ 64

10.3.1. წარმადობის მართვა .................................................................................................................. 64

10.3.2. სისტემის მიღება ........................................................................................................................ 65

10.4. მავნე და მობილური კოდისგან დაცვა ................................................................................... 66

10.4.1. მავნე კოდის კონტროლი .......................................................................................................... 66

10.4.2. მობილური კოდის კონტროლი ............................................................................................... 68

10.5. სარეზერვო ასლების გადაღება ....................................................................................................... 68

10.5.1. ინფორმაციის სარეზერვო ასლების გადაღება ...................................................................... 69

10.6. ქსელების უსაფრთხოების მართვა ................................................................................................. 70

10.6.1. ქსელის კონტროლის მექანიზმები .......................................................................................... 70

10.6.2. ქსელური მომსახურების უსაფრთხოება ............................................................................... 71

10.7. მედიის მართვა .................................................................................................................................. 72

10.7.1. ინფორმაციის გადაადგილებადი მედია- მატარებლების მართვა .................................... 72

10.7.2. ინფორმაციის მედია-მატარებლების ჩამოწერა ................................................................... 73

10.7.3. ინფორმაციასთან მოპყრობის პროცედურები....................................................................... 74

10.7.4. სისტემური დოკუმენტაციის უსაფრთხოება ........................................................................ 74

10.8. ინფორმაციის გაცვლა....................................................................................................................... 75

10.8.1. ინფორმაციის გაცვლის პოლიტიკა და პროცედურები ....................................................... 75

10.8.2. ინფორმაციის გაცვლის შეთანხმებები ................................................................................... 78

10.8.3. ინფორმაცის ფიზიკური მატარებლების ტრანსპორტირება .............................................. 79

10.8.4. შეტყობინებების ელექტრონული გაცვლა ............................................................................. 80

10.8.5. საინფორმაციო სისტემები ბიზნესისთვის ............................................................................ 81

10.9. ელექტრონული კომერციის სერვისები ........................................................................................ 82

10.9.1. ელექტრონული კომერცია ........................................................................................................ 82


6

10.9.2. ონლაინ ტრანზაქციები ............................................................................................................. 83

10.9.3. საჯარო ინფორმაცია ................................................................................................................. 84

10.10. მონიტორინგი .................................................................................................................................. 85

10.10.1. აუდიტის ლოგების წარმოება ................................................................................................ 86

10.10.2. სისტემის გამოყენების მონიტორინგი .................................................................................. 86

10.10.3. ლოგების მონაცემების დაცვა ................................................................................................ 88

10.10.4. ადმინისტრატორისა და ოპერატორის ლოგები ................................................................. 89

10.10.5. მწყობრიდან გამოსვლის ლოგი ............................................................................................ 89

10.10.6. საათების სინქრონიზაცია ....................................................................................................... 90

11. წვდომის კონტროლი ................................................................................................................. 91

11.1. ბიზნესის მოთხოვნები წვდომის კონტროლისთვის .................................................................. 91

11.1.1. წვდომის კონტროლის პოლიტიკა .......................................................................................... 91

11.2. მომხმარებლების წვდომის მართვა ........................................................................................ 92

11.2.1. მომხმარებელთა რეგისტრაცია ................................................................................................ 93

11.2.2. პრივილეგიების მართვა............................................................................................................ 94

11.2.3. მომხმარებლების პაროლების მართვა .................................................................................... 94

11.2.4. მომხმარებლის წვდომის უფლებების გადახედვა ............................................................... 95

11.3. მომხმარებლის პასუხისმგებლობები ..................................................................................... 96

11.3.1. პაროლების გამოყენება ......................................................................................................... 96

11.3.2. მომხმარებლების უმეთვალყურეოდ დატოვებული მოწყობილობები ....................... 97

11.3.3. „სუფთა მაგიდისა“ და „სუფთა ეკრანის“ პოლიტიკა ........................................................ 98

11.4. ქსელზე წვდომის კონტროლი ................................................................................................. 99

11.4.1. ქსელური მომსახურებებით სარგებლობის პოლიტიკა ..................................................... 99

11.4.2. გარედან დაკავშირების დროს მომხმარებლის აუთენტიკაცია ....................................... 100

11.4.3. ქსელებში აპარატურის იდენტიფიცირება ......................................................................... 101

11.4.4. დისტანციური დიაგნოსტიკისა და კონფიგურაციის პორტის დაცვა ............................ 102

11.4.5. ქსელებში იზოლირება ............................................................................................................ 103


7

11.4.6. ქსელების დაკავშირების კონტროლი ................................................................................... 104

11.4.7. ქსელის მარშრუტის კონტროლი ........................................................................................... 105

11.5. ოპერაციულ სისტემაზე წვდომის კონტროლი ................................................................... 105

11.5.1. სისტემაში უსაფრთხო შესვლის პროცედურები ................................................................ 106

11.5.2. მომხმარებლის იდენტიფიკაცია და აუთენტიფიკაცია ................................................... 107

11.5.3. პაროლების მართვის სისტემა ................................................................................................ 108

11.5.4. დამხმარე სისტემური პროგრამების გამოყენება ................................................................ 109

11.5.5. სესიის ვადის ამოწურვა .......................................................................................................... 110

11.5.6. კავშირის დროის შეზღუდვა .................................................................................................. 110

11.6. პროგრამებსა და ინფორმაციაზე წვდომის კონტროლი ........................................................... 111

11.6.1. ინფორმაციაზე წვდომის შეზღუდვა .................................................................................... 111

11.6.2. სენსიტიური სისტემის იზოლირება .................................................................................... 112

11.7. მობილური ტექნოლოგიები და დისტანციური მუშაობა ....................................................... 112

11.7.1. მობილური ტექნოლოგია და კომუნიკაციები .................................................................... 113

11.7.2. დისტანციური მუშაობა .......................................................................................................... 114

12. ინფორმაციული სისტემების შეძენა, შემუშავება და მხარდაჭერა ................................... 116

12.1. ინფორმაციული სისტემებისთვის უსაფრთხოების მოთხოვნები ......................................... 116

12.1.1. უსაფრთხოების მოთხოვნების ანალიზი და მახასიათებლები ........................................ 116

12.2. სწორი დამუშავება პროგრამებში ................................................................................................. 117

12.2.1. შემავალი მონაცემების შემოწმება ......................................................................................... 117

12.2.2. შიდა დამუშავების კონტროლი ............................................................................................. 118

12.2.3. შეტყობინებების ინტეგრირებულობა .................................................................................. 119

12.2.4. გამომავალი მონაცემების შემოწმება .................................................................................... 120

12.3. კრიპტოგრაფიული კონტროლის მექანიზმები ......................................................................... 120

12.3.1. კრიპტოგრაფიული კონტროლის მექანიზმების გამოყენების პოლიტიკა ..................... 120

12.3.2. გასაღებების მართვა................................................................................................................. 122

12.4. სისტემური ფაილების უსაფრთხოება ......................................................................................... 124


8

12.4.1. საოპერაციო პროგრამების კონტროლი ................................................................................ 124

12.4.2. სისტემის სატესტო მონაცემების დაცვა ............................................................................... 125

12.4.3. პროგრამის საწყის კოდზე წვდომის კონტროლის მექანიზმი .......................................... 126

12.5. შემუშავებისა და მხარდაჭერის პროცესების უსაფრთხოება .................................................. 127

12.5.1. ცვლილების კონტროლის პროცედურები ........................................................................... 127

12.5.2. ცვლილებების შემდეგ ტექნიკური განხილვა ..................................................................... 128

12.5.3. პროგრამულ პაკეტებში ცვლილებების შეზღუდვა ........................................................... 129

12.5.4 ინფორმაციის გადინება ........................................................................................................... 130

12.5.5. პროგრამების შმუშავების აუთსირსინგი ............................................................................ 130

12.6. ტექნიკური სისუსტეების მართვა ................................................................................................ 131

12.6.1. ტექნიკური სისუსტეების კონტროლი ................................................................................. 131

13. ინფორმაციული უსაფრთხოების ინციდენტების მართვა ................................................. 133

13.1. ინფორმაციული უსაფრთხოების შემთხვევების და სისუსტეების შესახებ ანგარიშგება . 133

13.1.1. ინფორმაციული უსაფრთხოების შემთხვევების შესახებ ანგარიშგება .......................... 133

13.1.2. უსაფრთხოების სისუსტეების შესახებ ანგარიშგება .......................................................... 135

13.2. ინფორმაციული უსაფრთხოების ინციდენტების და გაუმჯობესებების მართვა ............... 135

13.2.1. პასუხისმგებლობები და პროცედურები ............................................................................. 136

13.2.2. ინფორმაციული უსაფრთხოების ინციდენტების საფუძველზე სწავლა ....................... 137

13.2.3. მტკიცებულებების შეგროვება .............................................................................................. 137

14. ბიზნეს-პროცესების უწყვეტობის მართვა ............................................................................ 139

14.1. ბიზნეს-პროცესების უწყვეტობის მართვის ინფორმაციული უსაფრთხოების ასპექტები

..................................................................................................................................................................... 139

14.1.1. ინფორმაციული უსაფრთხოების ჩართვა ბიზნეს-უწყვეტობის მართვის პროცესში .. 139

14.1.2. ბიზნეს-პროცესების უწყვეტობა და რისკების შეფასება ................................................ 140

14.1.3. ინფორმაციული უსაფრთხოების შემცველი უწყვეტობის გეგმის შემუშავება და

განხორციელება .................................................................................................................................... 141

14.1.4. ბიზნეს-პროცესების უწყვეტობის დაგეგმვის სტრუქტურა ........................................... 142


9

14.1.5. ბიზნეს-პროცესების უწყვეტობის გეგმების ტესტირება, მხარდაჭერა და ხელახალი

შეფასება ................................................................................................................................................. 143

15. შესაბამისობა .............................................................................................................................. 145

15.1. კანონის მოთხოვნებთან შესაბამისობა ........................................................................................ 145

15.1.1. შესაბამისი კანონმდებლობის იდენტიფიცირება ........................................................... 145

15.1.2. ინტელექტუალური საკუთრების უფლებები ................................................................... 145

15.1.3. ორგანიზაციული ჩანაწერების დაცვა ................................................................................. 146

15.1.4. მონაცემების დაცვა და პირადი ინფორმაციის ხელშეუხებლობა .................................. 147

15.1.5. ინფორმაციის დამუშავების მოწყობილობების ბოროტად გამოყენებისგან დაცვა...... 148

15.1.6. კრიპტოგრაფიული კონტროლის მექანიზმების რეგულირება ....................................... 149

15.2. უსაფრთხოების პოლიტიკებთან და სტანდარტებთან შესაბამისობა, ტექნიკური

შესაბამისობა ............................................................................................................................................. 150

15.2.1. უსაფრთხოების პოლიტიკებთან და სტანდარტებთან შესაბამისობა ............................. 150

15.2.2. ტექნიკური შესაბამისობის შემოწმება .................................................................................. 151

15.3. ინფორმაციული სისტემების აუდიტის დასკვნები .................................................................. 152

15.3.1. ინფორმაციული სისტემების აუდიტის კონტროლის მექანიზმები ............................... 152

15.3.2. ინფორმაციული სისტემების აუდიტის საშუალებების დაცვა ........................................ 153


10

0. შესავალი

0.1. რა არის ინფორმაციული უსაფრთხოება?

ინფორმაცია ორგანიზაციისთვის ისეთივე არსებითი აქტივია, როგორც საქმიანობის მართვის

სხვა მნიშვნელოვანი აქტივები და მას შესაბამისი დაცვა სჭირდება. ეს საკითხი განსაკუთრებით

აქტუალური ხდება ურთიერთდამოკიდებულ და დაკავშირებულ ბიზნეს-გარემოში, რასაც

შედეგად მოსდევს სისუსტეებისა და საფრთხეების მზარდი რაოდენობის მიმართ ინფორმაციის

დაუცველობა.

ინფორმაცია შესაძლოა არსებობდეს მრავალი ფორმით. იგი შეიძლება იყოს ქაღალდზე,

ელექტრონული ფოსტის მეშვეობით ან სხვა საშუალებებით გადაცემული, ფილმებში ნაჩვენები,

ან საუბრისას ნათქვამი. რა ფორმითაც არ უნდა არსებობდეს, ან რა საშუალებებითაც არ უნდა

ხდებოდეს მისი გადაცემა, ინფორამცია ყოველთვის უნდა იყოს შესაბამისად დაცული.

ინფორმაციული უსაფრთხოება არის ინფორმაციის დაცვა მთელი რიგი საფრთხეებისაგან, რათა

უზრუნველყოფილი იყოს ბიზნეს-პროცესების უწყვეტობა, რისკების შემცირება და

ინვესტიციებიდან და ბიზნესის შესაძლებლობებიდან მოგების გაზრდა.

ინფორმაციული უსაფრთხოება მიიღწევა შესაბამისი კონტროლის მექანიზმების, მათ შორის

პოლიტიკების, პროცესების, პროცედურების, ორგანიზაციული სტრუქტურისა და პროგრამული

უზრუნველყოფისა, აგრეთვე კომპიუტერული ტექნიკის დანერგვით. უნდა მოხდეს აღნიშნული

კონტროლის მექანიზმების ჩამოყალიბება, დანერგვა, მონიტორინგი, გადახედვა და საჭიროების

შემთხვევაში, გაუმჯობესება, რათა ამით უზრუნველყოფილი იყოს ორგანიზაციისთვის

მნიშვნელოვანი ბიზნეს-მიზნების მიღწევა და დაცვა. ინფორმაციული უსაფრთხოების სისტემა

უნდა დაინერგოს და ფუნქციონირებდეს საქმიანობის მართვის სხვა პროცესებთან ერთად.

0.2. რატომ არის აუცილებელი ინფორმაციული უსაფრთხოება?

ინფორმაცია და მისი მხარდამჭერი პროცესები, სისტემები და ქსელები წარმოადგენენ

საქმიანობის ორგანიზების მნიშვნელოვან აქტივებს. ინფორმაციული უსაფრთხოების ფარგლების

დადგენა, მისი მიზნების მიღწევა, მხარდაჭერა და გაუმჯობესება შესაძლოა გადამწყვეტი იყოს

კონკურენტული უპირატესობის, ფულადი სახსრების მიმოქცევის, რენტაბელურობის, კანონთან

თავსებადობის და კომერციული იმიჯის შესანარჩუნებლად.

ორგანიზაციები. მათი ინფორმაციული სისტემები და ქსელები უშუალოდ დგანან ისეთი

საფრთხეების პირისპირ, როგორებიცაა კომპიუტერული თაღლითობა, შპიონაჟი, საბოტაჟი,

ვანდალიზმი, ხანძარი ან წყალდიდობა. მავნე კოდის შემცველი პროგრამები, კომპიუტერული

ჰაკერობა, კომპიუტერულ პროგრამაზე თავდასხმა მომხმარებლისთვის სერვისის შეფერხებით

მიწოდების მიზნით უფრო და უფრო დახვეწილი ხერხებით ხორციელდება. და ასეთი

ქმედებებიდან გამოწვეული ზარალი სულ უფრო იზრდება

ინფორმაციული უსაფრთხოება მნიშვნელოვანია როგორც საჯარო, ასევე კერძო სექტორის

საქმიანობისთის, აგრეთვე კრიტიკული ინფრასტრუქტურის დაცვისათვის. ინფორმაციული

უსაფრთხოება ორივე სექტორში შუამავლის ფუნქციას ასრულებს, მაგალითად, ის გამოიყენება

ელექტრონული მმართველობის, ან ელექტრონული ბიზნესის (საქამისწარმოების) მიზნების

მისაღწევად, ასევე ამ პროცესებთან დაკავშირებული რისკების შესამცირებლად ან თავიდან

ასარიდებლად. საჯარო და კერძო ქსელების ურთიერთდაკავშირება და ინფორმაციული


11

რესურსების გაზიარება ართულებს წვდომის კონტროლის მექანიზმების დანერგვასა და მისი

მიზნების მიღწევას. მონაცემების განაწილებულმა დამუშავებამ ასევე შეასუსტა კონტროლის

ძირითადი მექანიზმები.

ინფრომაციული სისტემების გარკვეული რაოდენობა არ შეიცავს უსაფრთხოების მოთხოვნებს.

უსაფრთხოება, რომელიც ტექნიკური საშუალებებით მიიღწევა, შეზღუდულია და მისი

მხარდაჭერა უნდა მოხდეს შესაბამისი მენეჯმენტისა და პროცედურების მეშვეობით. სასურველი

და საჭირო კონტროლის მექანიზმების გამოვლენა მოითხოვს ფრთხილ დაგეგმვას დეტალების

გათვალისწინებით. ინფორმაციული უსაფრთხოების მართვა მოითხოვს ყველა თანამშრომლის

თანამონაწილეობას. ამის გარდა, იგი შესაძლოა მოითხოვდეს დაინტერესებული წრეების,

მომწოდებლების, მესამე მხარის, მომხმარებლების ან გარე მხარეების მონაწილეობას.შესაძლოა

ასევე აუცილებელი გახდეს გარედან მოწვეული სპეციალისტის რჩევა .

0.3. როგორ უნდა მოხდეს ინფორმაციული უსაფრთხოების მოთხოვნების

ჩამოყალიბება?

მნიშვნელოვანია, რომ ორგანიზაციამ გამოავლინოს უსაფრთხოების საკუთარი მოთხოვნები.

არსებობს უსაფრთხოების მოთხოვნების სამი ძირითადი წყარო:

1. პირველი წყარო არის ორგანიზაციისთვის რისკების შეფასება, რაც ასევე ითვალისწინებს

ორგანიზაციის ბიზნესის სტრატეგიას და მიზნებს. რისკების შეფასების მეშვეობით

გამოვლენილია საფრთხეები, რომლებიც ემუქრება აქტივებს, შეფასებულია სისუსტეები,

მათი ხდომილების ალბათობა და მათი პოტენციური გავლენა.

2. მეორე წყარო არის იურიდიული, კანონით დადგენილი, მარეგულირებელი და

სახელშეკრულებო მოთხოვნები, რომლებიც ორგანიზაციამ, მისმა სავაჭრო პარტნიორმა,

კონტრაქტორებმა და მომსახურების მომწოდებლებმა უნდა დააკმაყოფილონ, აგრეთვე

გასათვალისწინებელია სოციალურ-კულტურული გარემო.

3. შემდეგი წყარო წარმოადგენს პრინციპების, მიზნებისა და ბიზნესის (საქმისწარმოების)

მოთხოვნების ნაკრებს, რომელიც შემუშავებულია ორგანიზაციაში ოპერაციების

მხარდამჭერი ინფორმაციის დამუშავებისთვის.

0.4. უსაფრთხოების რისკების შეფასება

უსაფრთხოების მოთხოვნების გამოვლენა ხდება უსაფრთხოების რისკების სისტემური და

რეგულარული შეფასების მეშვეობით. კონტროლის მექანიზმების გამოყენების ხარჯები უნდა

შეესაბამებოეს უსაფრთხოების გარღვევით გამოწვეულ უარყოფით შედეგებს.

რისკების შეფასების შედეგები დახმარებას გაუწევს შესაბამისი მენეჯერული ქმედებების

განსაზღვრას და გაძღოლას, ინფორმაციული უსაფრთხოების რისკების მართვის

პრიორიტეტების დადგენას, აგრეთვე, გამოვლენილი რისკების საპასუხოდ დაცვის შერჩეული

კონტროლის მექანიზმების დანერგვას.

რისკების შეფასება პერიოდულად უნდა ხორციელდებოდეს, რათა ნებისმიერ ცვლილებაზე

მოხდეს შესაბამისი რეაგირება , რამაც შესაძლოა გავლენა იქონიოს რისკების შეფასების

შედეგებზე.

დამატებითი ინფორმაცია უსაფრთხოების რისკების შეფასების შესახებ იხილეთ პუნქტში

4.1 „უსაფრთხოების რისკების შეფასება“.


12

0.5. კონტროლის მექანიზმების შერჩევა

მას შემდეგ, რაც გამოვლინდება უსაფრთხოების მოთხოვნები და რისკები, ასევე მიღებული

იქნება რისკებთან მოპყრობის შესახებ კონკრეტული გადაწყვეტილებები, უნდა მოხდეს

კონტროლის შესაბამისი მექანიზმების შერჩევა და დანერგვა, რათა უზრუნველყოფილი იყოს

რისკების შემცირება დასაშვებ, მისაღებ დონემდე. კონტროლის მექანიზმების შერჩევა შესაძლოა

მოხდეს მოცემული სტაბდარტიდან, ან კონტროლის მექანიზმების სხვა ნაკრებიდან, ან

სრულიად ახალი კონტროლის მექანიზმების შემუშავებით, რაც ხელს შეუწყობს სასურველი

მიზნების მიღწევას. უსაფრთხოების კონტროლის მექანიმზების შერჩევა დამოკიდებულია

ორგანიზაციის მიერ განსაზღვრულ დასაშვები რისკების მიღების კრიტერიუმებზე, რისკებთან

მოპყრობის სტრატეგიებზე და ზოგადად რისკების მართვისადმი ორგანიზაციის მიდგომაზე.

მოცემულ სტანდარტში წარმოდგენილი ზოგიერთი კონტროლის მექანიზმი მოიაზრება, როგორც

ინფორმაციული უსაფრთხოების მართვის სახელმძღვანელო პრინციპები და გამოყენებადია

ორგანიზაციების უმრავლესობისათვის. მათი დეტალური განმარტება მოცემულია ქვემოთ

„ინფორმაციული უსაფრთხოების საწყის წერტილში“.

დამატებითი ინფორმაცია კონტროლის მექანიზმების შერჩევის და რისკებთან მოპყრობის სხვა

სტრატეგიების შესახებ შეგიძლიათ იხილოთ პუნქტში 4.2 „უსაფრთხოების რისკებთან

მოპყრობა“.

0.6. ინფორმაციული უსაფრთხოების საწყისი წერტილი

კონტროლის მექანიზმების გარკვეული ერთობლიობა ინფორმაციული უსაფრთხოების

დანერგვის საწყისი წერტილად მოიაზრება. ისინი ეფუძნება ან საკანონმდებლო მოთხოვნებს, ან

განისაზღვრება, როგორც ინფორმაციული უსაფრთხოების ზოგადი წესები.

ორგანიზაციისთვის საკანონმდებლო თვალსაზრისით მნიშვნელოვანი კონტროლის მექანიზმები

მოიცავენ:

1. პირადი ინფორმაციის და მონაცემების დაცვას (იხ. 15.1.4);

2. ორგანიზაციული ჩანაწერების დაცვას (იხ. 15.1.3);

3. ინტელექტუალური საკუთრების უფლებებს (იხ. 15.1.2).

ინფორმაციული უსაფრთხოებისთვის ზოგად წესებად მიჩნეული კონტროლის მექანიზმები

მოიცავს შემდეგ საკითხებს:

1. ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი (იხ. 5.1.1);

2. ინფორმაციული უსაფრთხოების პასუხისმგებლობების განაწილება (იხ. 6.1.3);

3. ინფორმაციული უსაფრთხოების სფეროში ცნობიერების ამაღლება, სწავლება და

ტრენინგი (იხ. 8.2.2);

4. პროგრამულ უზრუნველყოფაში დამუშავების სწორი პროცესები (იხ. 12.2);

5. ტექნიკური სისუსტეების მართვა (იხ. 12.6);

6. ბიზნეს-პროცესების უწყვეტობის მართვა (იხ. 14);

7. ინფორმაციული უსაფრთხოების ინციდენტების მართვა და გაუმჯობესება (იხ. 13.2).

აღნიშნული კონტროლის მექანიზმები შეესაბამება ორგანიზაციების უმრავლესობას და და

გამოყენებადია თითქმის ყველა გარემოში.

მიუხედავად იმისა, რომ მოცემულ სტანდარტში წარმოდგენილი კონტროლის ყველა მექანიზმი

მნიშვნელოვანი და გასათვალისწინებელია, მაინც უნდა მოხდეს თითოეული კონტროლის

მექანიზმის საჭიროებისა და შესაბამისობის დადგენა ორგანიზაციის რისკებთან მიმართებაში.


13

ამდენად, ზემოთ წარმოდგენილი მიდგომა ვერ ჩაანაცვლებს რისკების შეფასებაზე დაყრდნობით

შერჩეულ კონტროლის მექანიზმებს.

0.7. წარამტების განმსაზღვრელი მნიშვნელოვანი ფაქტორები

გამოცდილებამ აჩვენა, რომ ქვემოთ ჩამოთვლილი ფაქტორები მნიშვნელოვანწილად

განსაზღვრავენ ორგანიზაციაში ინფორმაციული უსაფრთხოების წარმატებულ დანერგვას:

1. ინფორმაციული უსაფრთხოების პოლიტიკა, მიზნები და ქმედებები, რომლებიც ასახავს

ბიზნესის (საქმისწარმოების) მიზნებს;

2. ინფორმაციული უსაფრთხოების დანერგვის, მხარდაჭერის, მონიტორინგისა და

გაუმჯობესებისადმი მიდგომა და ჩარჩო, რომელიც თავსებადობაშია ორგანიზაციულ

კულტურასთან;

3. ყველა რანგის მენეჯმენტის მხრიდან მხარდაჭერა;

4. ინფორმაციული უსაფრთხოების მოთხოვნების, რისკების შეფასების და რისკების

მართვის სიღრმისეული გაცნობიერება;

5. ყველა რანგის მენეჯერების, თანამშრომლების და სხვა მხარეების მიერ ცნობიერების

ამაღლების მიზნით ინფორმაციული უსაფრთხოების ეფექტიანი მარკეტინგი;

6. ინფორმაციული უსაფრთხოების პოლიტიკის და სტანდარტების სახელმძღვანელო

მითითებების განაწილება და მიწოდება ყველა რანგის მენეჯერის, თანამშრომლისა და

სხვა მხარეებისთვის;

7. ინფორმაციული უსაფრთხოების მართვის დაფინანსების უზრუნველყოფა;

8. ცნობიერების ამაღლების, ტრენინგისა და სწავლების შესაბამისი უზრუნველყოფა;

9. ინფორმაციული უსაფრთხოების ინციდენტების მართვის ეფექტიანი პროცესის

ჩამოყალიბება;

10. შეფასების სისტემის დანერგვა, რომელიც გამოიყენება ინფორმაციული უსაფრთხოების

მართვის წარმადობის შესაფასებლად და მისი გაუმჯობესების შესახებ უკუკავშირის

უზრუნველსაყოფად.

0.8. საკუთარი სახელმძღვანელო მითითებების შემუშავება

წინამდებარე წესები და ნორმები შეიძლება მიჩნეული იქნას, როგორც ამოსავალი წერტილი

ორგანიზაციისთვის სპეციფიკური სახელმძღვანელო მითითებების შემუშავებისთვის. აქ

მოცემული ყველა წესი და ნორმა შესაძლოა არ იყოს გამოყენებადი. უფრო მეტიც, შეიძლება

აუცილებელი გახდეს დამატებითი კონტროლის მექანიზმები და სახელმძღვანელო მითითებები,

რომლებიც მოცემულ სტანდარტში არ არის წარმოდგენილი,. როდესაც შემუშავდება

დოკუმენტაცია, რომელიც მოიცავს დამატებით სახელმძღვანელო მითითებებსა და კონტროლის

მექანიზმებს, საჭიროების შემთხვევაში მითითებული უნდა იყოს კავშირი მოცემული

სტანდარტის ცალკეულ თავებსა და პუნქტებთან, რათა აუდიტორებისა და ბიზნეს-

პარტნიორებისათვის გამარტივდეს შესაბამისობის შემოწმება.

ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები - ინფორმაციული უსაფრთხოების

მართვის წესები და ნორმები


14

1. გავრცელების სფერო

მოცემული სტანდარტი წარმოადგენს სახელმძღვანელო მითითებებსა და ზოგად პრინციპებს

ორგანიზაციაში ინფორმაციული უსაფრთხოების მართვის ინიცირების, დანერგვის,

მხარდაჭერისა და გაუმჯობესებისთვის.

სტანდარტში წარმოდგენილი კონტროლის მიზნებისა და კონტროლის მექანიზმების ამოცანაა

მათი დანერგვა მოხდეს შეფასებული რისკების შედეგად გამოვლენილი მოთხოვნების

დაკმაყოფილებისთვის. მოცემული სტანდარტი შეიძლება გამოყენებული იქნას, როგორც

ორგანიზაციული უსაფრთხოების სტანდარტის და უსაფრთხოების ეფექტიანი მართვის წესების

შემუშავების პრაქტიკული სახელმძღვანელო . ის დახმარებას გაუწევს შიდა-ორგანიზაციული

ქმედებების სანდოობის გამყარებას.

2. ტერმინები და განმარტებები

მოცემული სტანდარტი გამოიყენებს შემდეგ ტერმინებსა და განმარტებებს.

2.1

აქტივი

ნებისმიერი რამ, რაც ფასეულია ორგანიზაციისათვის;

2.2

კონტროლის მექანიზმი

რისკების მართვა, მათ შორის პოლიტიკა, პროცედურები, სახელმძღვანელო მითითებები, ან

ორგანიზაციული სტრუქტურები, რომლებიც შეიძლება იყოს ადმინისტრაციული, ტექნიკური,

მენეჯერული ან იურიდიული ხასიათის;

2.3

სახელმძღვანელო მითითება

მკაფიო და ნათელი განმარტება და აღწერა იმისა, თუ რა და როგორ უნდა გაკეთდეს

პოლიტიკაში დასახული მიზნების მისაღწევად;

2.4

ინფორმაციის დამუშავების მოწყობილობები

ინფორმაციის დამუშავების ნებისმიერი სისტემა, მომსახურება ან ინფრასტრუქტურა, ან მათი

მომსახურე ფიზიკური ადგილმდებარეობები;

2.5

ინფორმაციული უსაფრთხოება

ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და

დაცვა; დამატებით შესაძლოა მოიცავდეს ასევე ისეთ მახასიათებლებს, როგორებიცაა:

აუთენტურობა, ანგარიშვალდებულება, წარმოშობის წყაროსთან ცალსახა შესაბამისობა და

სანდოობა;


15

2.6

ინფორმაციული უსაფრთხოების შემთხვევა

სისტემის, სერვისისა და ქსელის იდენტიფიცირებული მდგომარეობა, რაც მიუთითებს

ინფორმაციული უსაფრთხოების პოლიტიკის შესაძლო დარღვევაზე, ან დანერგილი კონტროლის

მექანიზმების წარუმატებლობაზე, ან წინასწარ უცნობ ისეთ სიტუაციაზე, რომელიც შესაძლოა

მნიშვნელოვანი იყოს უსაფრთხოების თვალსაზრისით;

2.7

ინფორმაციული უსაფრთხოების ინციდენტი

ინფორმაციული უსაფრთხოების მოულოდნელი ,ან არასასურველი, ცალკეული, ან სერიული

ხდომილებები, რომლებიც დიდი ალბათობით ახდნენ ბიზნეს-ოპერაციების დისკრედიტაციას,

ან ემუქრებიან ინფორმაციულ უსაფრთხოებას;

2.8

პოლიტიკა

მენეჯმენტის მიერ ფორმალურად გამოხატული მიზნები და მიმართულებები;

2.9

რისკი

მოვლენისა და მისი უარყოფითი შედეგების ალბათობის კომბინაცია;

2.10

რისკის ანალიზი

ინფორმაციის სისტემური გამოყენება რისკის წარმოშობის წყაროსა და მისი შეფასების

დასადგენად;

2.11

რისკის შეფასება

რისკის ანალიზისა და რისკის დონის დადგენის სრული პროცესი;

2.12

რისკის დონის დადგენა

რისკის მნიშვნელოვნების დასადგენად რისკის მიახლოებითი შეფასების შედეგების შედარება

რისკის მოცემულ კრიტერიუმებთან;

2.13

რისკის მართვა

ორგანიზაციის მართვისა და კონტროლისათვის საჭირო კოორდინირებული ქმედებების

განხორციელება რისკების გათვალისწინებით;

2.14

რისკებთან მოპყრობა

რისკის ცვლილებისთვის შეფასების საზომების შერჩევისა და მათი დანერგვის პროცესი;


16

2.15

მესამე მხარე

პირი ან სტრუქტურული ერთეული, რომელიც მოიაზრება როგორც სხვა ჩართული მხარეებისგან

დამოუკიდებელისუბიეტი , საკამათო/პრობლემურ საკითხების წარმოშობის დროს;

2.16

საფრთხე

არასასურველი მოვლენის პოტენციური მიზეზი, რამაც შეიძლება გამოიწვიოს სისტემის, ან

ორგანიზაციის ზიანი;

2.17

სისუსტე

აქტივის, ან აქტივთა ჯგუფისთვის დამახასიათებელი სისუსტე, რომლითაც შეიძლება იყოს

საფრთხის ან საფრთხეების შემცველი.

3. მოცემული სტანდარტის სტრუქტურა

სტანდარტი მოიცავს უსაფრთხოების კონტროლის მექანიზმების 11 პუნქტს, რომლებიც ჯამში

შეიცავენ უსაფრთხოების ძირითად 39 კატეგორიას და ერთ შესავალ პუნტქს, რომელიც

წარმოადგენს რისკის შეფასებასა და რისკებთან მოპყრობას.

3.1. პუნქტები

თითოეული პუნქტი მოიცავს უსაფრთხოების ძირითად კატეგორიებს. ეს 11 პუნქტი გახლავთ:

1. უსაფრთხოების პოლიტიკა (1);

2. ინფორმაციული უსაფრთხოების ორგანიზება (2);

3. აქტივების მართვა (2);

4. ადამიანური რესურსების უსაფრთხოება (3);

5. ფიზიკური და გარემოს უსაფრთხოება (2);

6. საკომუნიკაციო და საოპერაციო მართვა (10);

7. წვდომის კონტროლი (7);

8. ინფორმაციული სისტემების შეძენა, შემუშავება და მხარდაჭერა (6);

9. ინფორმაციული უსაფრთხოების ინციდენტების მართვა (2);

10. ბიზნეს-პროცესების უწყვეტობის მართვა (1);

11. შესაბამისობა (3).

შენიშვნა: მოცემულ სტანდარტში პუნქტების თანმიმდევრობა არ შეესაბამება მათ მნიშვნელოვნებას. ვითარებიდან გამომდინარე, ყველა პუნქტი შეიძლება იყოს საკმაოდ მნიშვნელოვანი, ამდენად, მოცემული სტანდარტის გამოყენებისას ორგანიზაციამ , უნდა გამოავლინოს გამოსაყენებელი პუნქტები, მათი მნიშვნელოვნება და ცალკეული, ინდივიდუალური ბიზნეს- პროცესისადმი მათი გამოყენებადობა.

3.2. უსაფრთხოების ძირითადი კატეგორიები

უსაფრთხოების თითოეული ძირითადი კატეგორია მოიცავს:

1. კონტროლის მიზანს, თუ რა უნდა იქნას მიღწეული; და


17

2. ერთ ან მეტ კონტროლის მექანიზმს, რომელიც შეიძლება გამოყენებული იქნას

კონტროლის მიზნის მისაღწევად.

კონტროლის მექანიზმების აღწერა წარმოდგენილია შემდეგი სახით:


განსაზღვრავს ფორმულირებას კონტროლის სპეციფიკური მექანიზმების შესახებ, იმისათვის,

რომ დაკმაყოფილებული იქნას კონტროლის მიზანი.

დანერგვის სახელმძღვანელო მითითებები

იძლევა დეტალურ ინფორმაციას კონტროლის მექანიზმების დანერგვისა და კონტროლის

მიზნების მისაღწევად. ზოგიერთი სახელმძღვანელო მითითება შესაძლოა არ იყოს ყველა

შემთხვევაში გამოყენებადი და ამდენად, სხვა კონტროლის მექანიზმების დანერგვა გახდეს

საჭირო.

სხვა ინფორმაცია

იძლევა დამატებით ინფორმაციას, რომელის გათვალისწინებაც მნიშვნელოვანია, მაგალითად,

იურიდიული თვალსაზრისით და სხვა სტანდარტებთან კავშირში.

4. რისკების შეფასება და რისკებთან მოპყრობა

4.1. უსაფრთხოების რისკების შეფასება

ორგანიზაციის მიზნებიდან გამომდინარე რისკის მიღების შესაბამისად, რიკსების შეფასების

შედეგად უნდა გამოვლინდეს, რაოდენობრივად შეფასდეს და განისაზღვროს რისკების

პრიორიტეტი.. შედგებმა უნდა განსაზღვროს მენეჯმენტის ის შესაძლო ქმედებები და

პრიორიტეტები კონტროლის მექანიზმების დანერგვის პროცესში, რომლებმაც ორგანიზაცია

ინფორმაციული უსაფრთხოების რისკებისგან უნდა დაიცვან. რიკსების შეფასების და

კონტროლის პროცესი შესაძლოა განხორციელდეს რამდენჯერმე, რათა დაიცვას ორგანიზაციის

სხვადასხვა მიმართულებები, ან საინფორმაციო სისტემები.

რისკის შეფასება უნდა შეიცავდეს სისტემურ მიდგომას. საჭიროა ფასდებოდეს რისკის

მაგნიტუდა (რისკების ანალიზი) და ხორციელდებოდეს მათი შედარება რისკების შეფასების

კრიტერუმთან, რათა მოხდეს რისკის მნიშვნელოვნების დადგენა (რისკის დონის დადგენა).

რისკების შეფასებები უნდა ხორციელდებოდეს პერიოდულად, რათა შეფასების დროს აისახოს

მომხდარი ცვლილებები. მაგალითად, უნდა შეფასდეს აქტივები, საფრთხეები, სისუსტეები,

რისკის ზემოქმედება. უნდა დადგინდეს რისკის დონე იმ შემთხვევებისთვის, როდესაც

ხორციელდება მნიშვნელოვანი ცვლილებები. რისკების შეფასება უნდა განხორცილედეს იმ

მეთოდური მიდგომით, რომლებიც შედარებად შედეგებს იძლევა.

ინფორმაცული უსაფრთხოების რისკის შეფასებას უნდა გააჩნდეს მკაფიოდ დადგენილი

ფარგლები, იმისათვის, რომ იყოს ეფექტიანი და ჰქონდეს კავშირი სხვა სფეროებში ჩატარებულ

რისკების შეფასებებებთან(საჭიროების შემთხვევაში).


18

რისკების შეფასება შეიძლება განხორციელდეს მთელი ორგანიზაციის მაშტაბით, მოიცავდეს

ორგანიზაციის ნაწილს, ინდივიდუალურ საინფორმაციო სისტემას, კონკრეტული სისტემის

კომპონენტებს, ან რომლიმე სერვისს. რისკების შეფასება საჭიროა ყველგან, სადაც ეს

შესაძლებელია, პრაქტიკულია და გამოსადეგარია. მაგალიდათ რისკების შეფასების

მეთოდოლოგია განხილულია ISO / IEC TR 13335-3

4.2. ინფორმაციული უსაფრთხოების რისკებთან მოპყრობა

რისკებთან მოპყრობის დაწყებამდე, ორგანიზაციამ უნდა განსაზღვროს რისკების მისაღებობის

კრიტერიუმები. რისკი შეიძლება იყოს მიღებული, თუ, მაგალითად, მის მიერ მიყენებული

პოტენციური ზარალი არის მცირე, ან მასთან მოპყრობის დანახრჯი არ არის მისაღები. ყოველი

მსაგვსი გადაწყვეტულება უნდა იყოს აღწერილი და დოკუმენტირებული.

თითოეული იდენტიფიცირებული რისკითვის, მათი შეფასების შესაბამისად უნდა

განხორციელდეს გარკვეული რეაგირება. რისკზე რეაგირება და მასთან მოპყრობა შესაძლოა

მოიცავდეს შემდეგ ვარიანტებს:

1. კონტროლის მექანიზმების დანერგვა რისკის შესამცირებლად;

2. რისკის მიღება შეგნებულად და ობიექტურად, რაც ნათლად და ცალსახად შეესაბამება

ორგანიზაციის პოლიტიკას, მიზნებს და რისკის მიღების კრიტერიუმს;

3. რისკების თავიდან აცილება, მათი გამომწვევი მოვლენების არდაშვების შედეგად;

4. რიკების გადაცემა ასოცირებული მხარეებისათვის, მაგალითად სადაზღვევო, სერვისების

მომწოდებლი, ან სხვა ორგანიზაციებისთვის.

იმ რისკებისთვის, რომელთა მოპყრობის გადაწყვეტილება იქნა მიღებული, უნდა დაინრეგოს

სათანადო კონტროლის მექნიზმები. ეს კონტროლის მექანიზმები უნდა შეირჩეს და დაინერგოს

რისკების შეფასების მოთხოვნების შესაბამისად.

კონტროლის მექანიზმები

კონტროლის მექანიზმმა უნდა უზრუნველყოსრისკებისმისაღებ დონეზე შემცირდება შემდეგის

გათვალისწინებით:

1. ეროვნული და საერთაშორისო საკონონმდებლო მოთხოვნები და რეგულაციები;

2. ორგანიზაციული მიზნები;

3. საოპერაციო მოთხოვნები;

4. დანერგვისა და ფუნქციონირების ხარჯები, რაც დაკავშირებულია შესამცირებელ

რისკებთან და არის ორგანიზაციის მოთხოვნების პროპორციული;

5. უსაფრთხოების ჩავარდნებიდან გამომდინარე სავარაუდო ზიანის შესაბამისად

კონტროლის მექანიზმების დანერგვისა და ფუნქციონირებისთვის ინვესტიციების

დაბალანსების საჭიროება .

ორგანიზაციის სპციფიური მოთხოვნების შესასრულებლად კონტროლის მექანიმები

შესაძლებელია ამ სტანდარტიდან შეირჩესს, და/ან სრულიად ახალი მექანიზმები შემუშავდეს.

აუცილებელია აღინიშნოს, რომ ყველა კონტროლის მექანიზმი არ არის გამოსადეგარი

ნებისმიერი გარემოსთვის, ან საინფორმაციო სისტემისათვის. მაგალითად 10.1.3.-ში ნაჩვენებია

როგორ უნდა გაიმიჯნოს უფლებები, რათა თავიდან ავირიდოთ თაღლითობა, ან შეცდომა. ამის


19

განხორციელება შეუძლებელია მცირე ზომის ორგანიაციაში, შესაბამისად მოსაძიებელი იქნება

რისკის თავიდან არიდების სხვა მეთოდები. 10.10-ში აღწერილია სისტემაზე მონიტორინგის

განხორციელება და მტკიცებულების შეგროვების შესაძლებლობა. მაგრამ ეს ქმედებები,

მაგალითად, მოვლენების ლოგირება, შესაძლოა ეწინააღმდეგებოდეს კანონმდებლობას და

პირადი ცხოვრების ხელშეუხებლობას.

ინფორმაციული უსაფრთხოების კონტროლის მექანიზმების გათვალისწინება აუცილებელია

სისტემების და პროექტების მოთხოვნების ჩამოყალიბების და დიზაინის პროცესში. სხვაგვარად

მოქცევამ შესაძლოა გამოიწვიოს პროექტის ღირებულების ზრდა, ან ინფორმაციული

უსაფრთხოების კონტროლის მექანიზმების გართულება ან/და შეუძლებლობა.

აუცილებელია აღინიშნოს, რომ ინფორმაციული უსაფრთხოების მიღწევ მხოლოდ კონტროლის

მექანიზმების დანერგვით არ არის შესაძლებელი ა და აუცილებელია დამატებითი

მმართველობითი ქმედებები: მონიტორინგი, განხილვა, ინფრომაციული უსაფრთხოების

კონტროლის მექნიზმების ეფექტიანობის გაუმჯბესება ორგანიზაციის მიზნების მიღწევის

მხარდასაჭერად.

5. უსაფრთხოების პოლიტიკა

5.1. ინფორმაციული უსაფრთხოების პოლიტიკა

მიზანი: მენეჯმენტის მხრიდან ინფორმაციული უსაფრთხოების მრთვის და მხარდაჭერის, რაც

თავსებადობაში იქნება ბიზნეს-პროცესების მოთხოვნებთან და სავალდებულო კანონებსა და

რეგულაციებთან.

მენეჯმენტმა უნდა ჩამოაყალიბოს პოლიტიკის ხედვა ბიზნეს-პროცესების მიზნებთან ერთად და

წარმოაჩინოს ინფორმაციული უსაფრთხოებისთვის მხარდაჭერა და მზადყოფნა მისი

დანერგვისთვის , რაც გამოიხატება ორგანიზაციაში ინფორმაციული უსაფრთხოების პოლიტიკის

გამოცემითა და მხარდაჭერით.

5.1.1. ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი


ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი უნდა იყოს დამტკიცებული

მენეჯმენტის მიერ, რის შემდეგაც უნდა გამოიცეს და მიეწოდოს ყველა თანამშრომელსა და

დაკავშირებულ გარე მხარეს.


ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი უნდა ასახავდეს მენეჯმენტის

მზადყოფნას და დაადგინოს ორგანიზაციის მიდგომა ინფორმაციული უსაფრთხოების

მართვისადმი. პოლიტიკის დოკუმენტი უნდა შეიცავდეს შემდეგი საკითხების ფორმულირებებს:


20

1. ინფორმაციული უსაფრთხოების განმარტება, მისი მიზნები და ფარგლები,

უსაფრთხოების, როგორც ინფორმაციის გაზიარების შუამავალი მექანიზმის (იხილეთ

შესავალი) მნიშვნელოვნება;

2. მენეჯმენტის მიზნების გაცხადება, ინფორმაციული უსაფრთხოების ამოცანებისა და

პრინციპების მხარდაჭერა ბიზნესის (საქმიანობის ორგანიზების) სტრატეგიებსა და

მიზნებთან ერთად;

3. კონტროლის მიზნებისა და მექანიზმების ჩამოყალიბების ჩარჩოები, მათ შორის რისკების

შეფასებისა და რისკების მართვის სტრუქტურა;

4. უსაფრთხოების პოლიტიკის, პრინციპების, სტანდარტების და თავსებადობის

მოთხოვნების მკაფიო განმარტება, რაც მოიცავს:

საკანონმდებლო, მარეგულირებელ და სახელშეკრულებო მოთხოვნებთან

თავსებადობას;

უსაფრთხოების შესახებ სწავლების, ტრეინინგისა და ცნობიერების ამაღლების

მოთხოვნებს;

ბიზნეს-პროცესების უწყვეტობის მართვას;

ინფორმაციული უსაფრთხოების პოლიტიკის დარღვევის უარყოფით შედეგებს;

5. ინფორმაციული უსაფრთხოების მართვისთვის დადგენილი ძირითადი და სპეციფიკური

პასხისმგებლობების განმარტება, მათ შორის ინფორმაციული უსაფრთხოების

ინციდენტის შესახებ ანგარიშგება;

6. პოლიტიკის მხარდამჭერი დოკუმენტაციის ჩამონათვალი, მაგალითად, უფრო

დეტალური უსაფრთხოების პოლიტიკა და პროცედურები სპეციფიკური ინფორმაციული

სისტემებისთვის ,ან უსაფრთხოების წესების მომხმარებლებისთვის.

ინფორმაციული უსაფრთხოების პოლიტიკა უნდა მიეწოდოს ორგანიზაციაში ყველა

მომხმარებელს იმ ფორმით, რომელიც ხელმისაწვდომი და გასაგები იქნება სამიზნე

აუდიტორიისთვის/მკითხველისთვის.


ინფორმაციული უსაფრთხოების პოლიტიკა შეიძლება ძირითადი პოლიტიკის დოკუმენტისა

ნაწილიც იყოს. თუ ინფორმაციული უსაფრთხოების პოლიტიკა უნდა მიეწოდოს ორგანიზაციის

ფარგლებს გარეთ არსებულ მხარეებს, მაშინ ყურადღება უნდა გამახვილდეს (სენსიტიური)

ინფორმაციის გაუმჟღავნებლობაზე. დამატებითი ინფორმაცია იხილეთ ISO/IEC 13335-1:2004-ში.

5.1.2. ინფორმაციული უსაფრთხოების პოლიტიკის განხილვა


ინფორმაციული უსაფრთხოების პოლიტიკის განხილვა უნდა მოხდეს დაგეგმილი

პერიოდულობით, ან მნიშვნელოვანი ცვლილებების შემთხვევაში, რათა უზრუნველყოფილი

იყოს მისი შემდგომი გამოყენებადობა, ადექვატურობა და ეფექტიანობა.


ინფორმაციული უსაფრთხოების პოლიტიკაისთვის უნდა განისაღვროს პასუხისგებელი პირი

(მფლობელი), რომელიც ამტკიცებს მენეჯმენტის პასუხისმგებლობას უსაფრთხოების

პოლიტიკის შემუშავებაზე, განხილვასა და შეფასებაზე. განხილვა უნდა მოიცავდეს

ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკის გაუმჯობესების შესაძლებლობებს


21

და ინფორმაციული უსაფრთხოების მართვისადმი მიდგომის ორგანიზაციული გარემოს,

ბიზნესის ვითარებების, საკანონმდებლო, ან ტექნიკური გარემოს ცვლილებების საპასუხოდ.

ინფორმაციული უსაფრთხოების პოლიტიკის განხილვის დროს გათვალისწინებული უნდა იყოს

მენეჯმენტის მიერ ჩატარებული განხილვების შედეგები. უნდა განისაზღვროს მენეჯმენტის

მხრიდან ჩასატარებელი განხილვების პროცედურები, მათ შორის განხილვების პერიოდულობა

ან განრიგი.

მენეჯმენტის მხრიდან ჩასატარებელი განხილვების საგანი უნდა მოიცავდეს შემდეგ საკითხებს:

1. უკუკავშირი დაინტერესებული მხარეებისგან;

2. დამოუკიდებელი განხილვების შედეგები (იხ. 6.1.8);

3. პრევენციული და მაკორექტირებელი ქმედებების სტატუსი (იხ. 6.1.8 და 15.2.1);

4. წინა მენეჯერული განხილვების შედეგები;

5. პროცესის წარმადობის მაჩვენებლები და ინფორმაციული უსაფრთხოების პოლიტიკის

შესაბამისობა;

6. ცვლილებები, რომლებმაც შესაძლოა გავლენა იქონიონ ორგანიზაციის მიდგომაზე

ინფორმაციული უსაფრთხოების მართვისადმი, მათ შორის ორგანიზაციული გარემოს,

ბიზნესის ვითარებების, რესურსების ხელმისაწვდომობის, სახელშეკრულებო,

მარეგულირებელი და საკანონმდებლო ვითარებების, ან ტექნიკური გარემოს

ცვლილებები;

7. საფრთხეებსა და სისუსტეებთან დაკავშირებული ტენდენციები;

8. ანგარიშგებები ინფორმაციული უსაფრთხოების ინციდენტების შესახებ (13.1);

9. შესაბამისი უფლებამოსილი პირების მიერ გამოცემული რეკომენდაციები (იხ. 6.1.6).

მენეჯმენტის მიერ ჩატარებული განხილვის შედეგები უნდა მოიცავდეს შემდეგ საკითხებთან

დაკავშირებულ გადაწყვეტილებებსა და ქმედებებს:

1. ინფორმაციული უსაფრთხოების მართვისადმი ორგანიზაციის მიდგომის და მისი

პროცესების გაუმჯობესება;

2. კონტროლის მიზნებისა და მექანიზმების გაუმჯობესება;

3. რესურსებისა და/ან პასუხისმგებლობების განაწილების გაუმჯობესება.

მენეჯმენტის მხრიდან ჩატარებული განხილვების შესახებ უნდa გაკეთდეს შესაბამისი

ჩანაწერები.

მენეჯმენტის მხრიდან საჭიროა ჩასწორებული პოლიტიკის დამტკიცება.

6. ინფორმაციული უსაფრთხოების ორგანიზება

6.1. შიდა ორგანიზება

მიზანი: ორგანიზაციის ფარგლებში ინფორმაციული უსაფრთხოების მართვა.

უნდა ჩამოყალიბდეს მენეჯმენტის სტრუქტურა, რომელიც მოახდენს ორგანიზაციაში

ინფორმაციული უსაფრთხოების ინიცირებას და განახორციელებს კონტროლს მის

დანერგვაზე.

მენეჯმენტმა უნდა დაამტკიცოს ინფორმაციული უსაფრთხოების პოლიტიკა, განსაზღვროს


22

და კონკრეტულ პირებს მიაკუთვნოს უსაფრთხოების როლები, განახორციელოს

ორგანიზაციაში უსაფრთხოების დანერგვის კოორდინირება და განხილვა.

საჭიროების შემთხვევაში, უნდა დადგინდეს სპეციალისტების მიერ ინფორმაციული

უსაფრთხოების დარგში რჩევების მიცემის წყარო და ის ხელმისაწვდომი გახდეს მთელი

ორგანიზაციის მასშტაბით. უნდა დამყარდეს და შენარჩუნდეს კონტაქტები გარე მხარის

უსაფრთხოების სპეციალისტებთან, ან ჯგუფებთან, მათ შორის მნიშვნელოვან

უფლებამოსილ პირებთან, რათა გათვალისწინებული იყოს დარგობრივი ტენდენციები,

სტანდარტებზე მონიტორინგის განხორციელება, შეფასების მეთოდები და ინფორმაციული

უსაფრთხოების ინციდენტების მართვის დროს უზრუნველყოფილი იყოს შესაბამისი

საკონტაქტო, დამაკავშირებელი რგოლი. უნდა მოხდეს ინფორმაციული უსაფრთხოებისადმი

მულტი-დისციპლინარული მიდგომის მხარდაჭერა.

6.1.1. მენეჯმენტის მზადყოფნა ინფორმაციული უსაფრთხოებისთვის


მენეჯმენტმა აქტიურად უნდა დაუჭიროს მხარი ორგანიზაციაში ინფორმაციულ უსაფრთხოებას

მკაფიო მითითებებით, ხელშეწყობისა და მზადყოფნის დემონსტრირებით, ინფორმაციული

უსაფრთხოების პასუხისმგებლობების მკაფიო გამიჯვნითა და დამტკიცებით.


მენეჯმენტმა უნდა:

1. უზრუნველყოს ინფორმაციული უსაფრთხოების მიზნებისა და ამოცანების გამოვლენა, ის

უნდა აკმაყოფილებდეს ორგანიზაციულ მოთხოვნებს და ინტეგრირებული უნდა იყოს

შესაბამის პროცესებში;

2. ჩამოაყალიბოს ინფორმაციული უსაფრთხოების პოლიტიკის ფორმულირება, უნდა

განიხილოს და დაამტკიცოს იგი;

3. განიხილოს ინფორმაციული უსაფრთხოების პოლიტიკის დანერგვის ეფექტიანობა;

4. უსაფრთხოების ინიციატივების მხარდასაჭერად უზრუნველყოს მკაფიო მიმართულებები

და მართვის გამჭვირვალე პროცესი;

5. უზრუნველყოს ინფორმაციული უსაფრთხოებისთვის საჭირო რესურსები;

6. უზრუნველყოს მთელი ორგანიზაციის ფარგლებში ინფორმაციული უსაფრთხოებისთვის

სპეციფიკური როლებისა და პასუხისმგებლობების გამიჯვნა და მიკუთვნება;

7. ინფორმაციული უსაფრთხოების შესახებ ცნობიერების ამაღლების მხარდაჭერისთვის

უზრუნველყოს გეგმებისა და პროგრამების ინიცირება;

8. უზრუნველყოს ინფორმაციული უსაფრთხოების კონტროლის მექანიზმების დანერგვის

კოორდინაცია მთელი ორგანიზაციის მასშტაბით (იხ. 6.1.2).

მენეჯმენტმა უნდა განსაზღვროს ინფორმაციული უსაფრთხოების შიდა ან გარე სპეცილისტის

რჩევის საჭიროება, ასევე განახორციელოს მთელ ორგანიზაციაში ამ რჩევების შედეგების

კოორდინირება.

ორგანიზაციის ზომიდან გამომდინარე, ამგვარი პასუხისმგებლობები შეიძლება იმართებოდეს

სპეციალურად შექმნილი მენეჯმენტის ორგანოს ან არსებული მმართველი ორგანოს მიერ,

როგორიცაა, მაგალითად დირექტორთა საბჭო.


23

6.1.2. ინფორმაციული უსაფრთხოების კოორდინირება


ინფორმაციული უსაფრთხოების ქმედებების კოორდინირება, შესაბამისი როლებითა და სამუშაო

ფუნქციებით, უნდა ხორციელდებოდეს ორგანიზაციის სხვადასხვა ნაწილის წარმომადგენელთა

მიერ,.


როგორც წესი, ინფორმაციული უსაფრთხოების კოორდინირება უნდა მოიცავდეს მენეჯერების,

მომხმარებლების, ადმინისტრატორების, პროგრამული უზრუნველყოფის შემქმნელების

(პროგრამისტების), აუდიტორების და უსაფრთხოების პერსონალის, და სევე დარგობრივი

სფეროს სპეციალისტების, როგორებიცაა დაზღვევა, იურიდიული საკითხები, ადამიანური

რესურსები, ინფორმაციული ტექნოლოგიები, ან რისკების მართვა, - თანამშრომლობას.

აღნიშნულმა ქმედებებმა უნდა:

1. უზრუნველყოს უსაფრთხოების ქმედებების აღსრულება ინფორმაციული უსაფრთხოების

პოლიტიკასთან შესაბამისობაში;

2. განსაზღვროს, თუ როგორ იმოქმედოს შეუსაბამობების აღმოჩენის შემთხვევაში;

3. გააუმჯობესოს ინფორმაციული უსაფრთხოების მეთოდოლოგიები და პროცესები,

მაგალითად, რისკების შეფასება, ინფორმაციის კლასიფიკაცია;

4. გამოავლინოს მნიშვნელოვანი საფრთხეების ცვლილებები, ინფორმაციისა და

ინფორმაციის დამუშავების მოწყობილობების საფრთხის ქვეშ დაყენების შემთხვევები;

5. შეაფასოს ადექვატურობა და განახორციელოს ინფორმაციული უსაფრთხოების

კონტროლის მექანიზმების დანერგვის კოორდინირება;

6. ხელი შეუწყოს ორგანიზაციაში ინფორმაციული უსაფრთხოების სფეროში სწავლებას,

ტრენინგსა და ცნობიერების ამაღლებას;

7. შეაფასოს მონიტორინგის და ინფორმაციული უსაფრთხოების ინციდენტების განხილვის

შედეგები და შესაბამისი ქმედებების განსახორციელებლად გამოვლენილ ინფორმაციულ

ინციდენტებზე რეაგირების მიზნით გამოსცეს რეკომენდაციები.

თუ ორგანიზაციაში არ არის ცალკეული ჯგუფი, მაგალითად, იმიტომ, რომ ორგანიზაციის

ზომიდან გამომდინარე ამ ჯგუფების არსებობა არ არის მიზანშეწონილი, - მაშინ ზემოთ

აღწერილი ქმედებები უნდა განხორციელდეს სხვა, შესაბამისი მართვის ორგანოს, ან

ინდივიდუალური მენეჯერის მიერ.

6.1.3. ინფორმაციულ უსაფრთხოებაზე პასუხისმგებლობების განაწილება


მკაფიოდ და ნათლად უნდა განისაზღვროს ყველა პასუხისმგებლობა ინფორმაციულ

უსაფრთხოებაზე.



24

ინფორმაციულ უსაფრთხოებაზე პასუხისმგებლობების განსაზღვრა უნდა განხორციელდეს

ინფორმაციული უსაფრთხოების პოლიტიკის თანახმად (იხ. პუნქტი 4). ინდივიდუალური

აქტივების დაცვის და უსაფრთხოების სპეციფიკური პროცესების განსახორციელებლად

მკაფიოდ უნდა იყოს დადგენილი პასუხისმგებლობები. აღნიშნულ პასუხისმგებლობებს,

საჭიროების შემთხვევაში, უნდა დაემატოს, უფრო დეტალური სახელმძღვანელო

რეკომენდაციები და მითითებები, განსაკუთრებული ადგილმდებარეობისა და ინფორმაციის

დამუშავების მოწყობილობებისთვის. აქტივების დაცვისა და უსაფრთხოების სპეციფიკური

პროცესების (მაგალითად ბიზნეს-პროცესების უწყვეტობის დაგეგმვა) განსახორციელებლად

საჭირო ადგილობრივი პასუხისმგებლობები მკაფიოდ უნდა იყოს დადგენილი და გამიჯნული.

პირებმა, რომლებსაც განესაზღვრათ პასუხისმგებლობები უსაფრთხოებაზე, შეიძლება

მოახდინონ ამ პასუხისმგებლობების სხვა პირებზე დელეგირება. მიუხედავად ამისა, ისინი მაინც

რჩებიან პასუხისმგებელნი და უნდა დაადგინონ მათ მიერ დელეგირებული ამოცანების ზუსტი

და კორექტული შესრულება.

სფეროები, რომლებზედაც გარკვეული პირები არიან პასუხისმგებელნი,მკაფიოდ უნდა იყოს

განსაზღვრული; კერძოდ:

1. იდენტიფიცირებული და მკაფიოდ განსაზღვრული უნდა იყოს ცალკეული სისტემის

აქტივები და უსაფრთხოების პროცესები ;

2. უნდა მოხდეს იმ სტრუქტურული ერთეულის დადგენა, რომელიც პასუხისმგებელია

თითოეულ აქტივზე, ან უსაფრთხოების პროცესზე და განხორციელდეს ამ

პასუხისმგებლობების დეტალების დოკუმენტირება (იხ. ასევე 7.1.2);

ასევე მკაფიოდ განსაზღვრული და დოკუმენტირებული უნდა იყოს უფლებამოსილების

დონეები.


ბევრ ორგანიზაციაში ინფორმაციული უსაფრთხოების მენეჯერი უსაფრთხოების შემუშავებასა

და დანერგვაზე სრული პასუხისმგებლობით ინიშნება, მის ფუნქციებშ ასევე შედის კონტროლის

მექანიზმების იდენტიფიცირების მხარდაჭერა.

თუმცაღა, კონტროლის მექანიზმებისთვის რესურსების მოძიებაზე და მათ დანერგვაზე

პასუხისმგებლობები ხშირად ისევ ინდივიდუალურ მენეჯერებზე რჩება. მოქმედებს ერთი

ზოგადი წესი, რომელიც გულისხმობს აქტივისთვის მფლობელის დანიშვნას, რომელიც შემდეგ

პასუხისმგებელი ხდება ამ აქტივის ყოველდღიურ ფუნქციონირებაზე.

6.1.4. ინფორმაციის დამუშავების მოწყობილობების ავტორიზაციის პროცესი


უნდა განისაზღვროს და მენეჯმენტის მხრიდან დაინერგოს უფლებამოსილების განსაზღვრის

პროცესი ინფორმაციის დამუშავების ახალი მოწყობილობებისთვის.



25

უფლებამოსილების განსაზღვრის პროცესის დროს გათვალისწინებული უნდა იყოს შემდეგი

რეკომენდაციები და მითითებები:

1. ახალ მოწყობილობებს უნდა გააჩნდეს მომხმარებელთა მართვის შესაბამისი

უფლებამოსილება, რაც ახდენს მათი ამოცანებისა და მოხმარების, გამოყენების

ავტორიზებას. უფლებამოსილების მოპოვება ასევე ხდება იმ მენეჯერებისგან, რომლებიც

პაუხისმგებელნი არიან ინფორმაციული უსაფრთხოების ადგილობრივი გარემოს

მხარდაჭერაზე, რათა უზრუნველყოფილი იყოს ყველა საჭირო მოთხოვნისა და

უსაფრთხოების პოლიტიკის პირობების დაკმაყოფილება;

2. საჭიროების შემთხვევაში, პროგრამული უზრუნველყოფა და კომპიუტერული ტექნიკა

უნდა შემოწმდეს სხვა სისტემის კომპონენტებთან თავსებადობაზე;

3. პირადი ან პირად საკუთრებაში არსებული ინფორმაციის დამუშავების მოწყობილობების

გამოყენებამ, როგორიცაა მაგალითად, ლეპტოპები, სახლის კომპიუტერები, ან ჯიბის

მოწყობილობები, შეიძლება გამოიწვიონ ახალი სისუსტეები და ამდენად, საჭირო ხდება

კონტროლის ახალი მექაზნიმების გამოვლენა და დანერგვა.

6.1.5. შეთანხმება კონფიდენციალურობის შესახებ


უნდა განისაზღვროს და რეგულარულად გადაიხედოს ინფორმაციის დაცვისათვის საჭირო

ორგანიზაციული მოთხოვნები, რაც აისახება კონფიდენციალურობისა და გაუმჟღავნებლობის

შესახებ ხელშეკრულებების მოთხოვნებში.


კონფიდენციალურობისა და გაუმჟღავნებლობის შესახებ ხელსეკრულებები იურიდიული

ბერკეტების გამოყენებით უნდა აკმაყოფილებდნენ კონფიდენციალური ინფორმაციის დაცვის

მოთხოვნებს. კონფიდენციალურობის, ან გაუმჟღავნებლობის შესახებ ხელშეკრულებებითვის

მოთხოვნების გამოსავლენად გათვალისწინებული უნდა იყოს შემდეგი ელემენტები:

1. დასაცავი ინფორმაციის განსაზღვრა (მაგალითად, კონფიდენციალური ინფორმაცია);

2. ხელშეკრულების მოსალოდნელი ხანგრძლივობა, ან ისეთი ვითარებების გამოვლენა,

როდესაც კონფიდენციალურობის შენარჩნება და მხარდაჭერა უვადოდ უნდა მოხდეს;

3. ხელშეკრულების შეწყვეტის შემთხვევაშ განსახორციელებელი ქმედებები;

4. ხელისმომწერ პირთა პასუხისმგებლობები და ქმედებები, რათა თავიდან იქნას

არიდებული ინფორმაციის არაავტორიზებული განჟღავნება (როგორიცაა „მჭირდება

ვიცოდე“);

5. ინფორმაციის ფლობა, კომერციული საიდუმლოება და ინტელექტუალური საკუთრება

და მასთან დაკავშირებული კონფიდენციალური ინფორმაციის დაცვა;

6. კონფიდენციალური ინფორმაციის ნებადართული გამოყენება და ხელისმომწერი პირის

უფლებები ინფორმაციის გამოყენებაზე;

7. კონფიდენციალური ინფორმაციასთან დაკავშირებულ ქმედებებზე აუდიტისა და

მონიტორინგის უფლება;

8. არაავტორიზებული გამჟღავნების, ან კონფიდენციალური ინფორმაციის გამნჟღავნების

შესახებ შეტყობინებებისა და ანგარიშგების პროცესი;

9. ხელშეკრულების შეწყვეტის დროს ინფორმაციის დაბრუნების, ან განადგურების

პირობები და

10. ამ ხელშეკრულების დარღვევის შემთხვევაში გასატარებელი მოსალოდნელი

ღონისძიებები.


26

ორგანიზაციის უსაფრთხოების მოთხოვნებიდან გამომდინარე, კონფიდენციალურობის ან

გაუმჟღავნებლობის შესახებ ხელშეკრულებებში.შესაძლოა საჭირო გახდეს სხვა ელემენტების

ჩართვაც

კონფიდენციალურობის, ან გაუმჟღავნებლობის შესახებ ხელშეკრულებები უნდა შეესაბამებოდეს

ყველა გამოყენებულ კანონსა და რეგულაციას, არსებული კანონმდებლობის საფუძველზე (იხ.

15.1.1).

კონფიდენციალურობისა და გაუმჟღავნებლობის შესახებ ხელშეკრულებების გადახედვა უნდა

მოხდეს პერიოდულად და ცვლილებების შემთხვევაში.


კონფიდენციალურობისა და გაუმჟღავნებლობის შესახებ ხელშეკრულებები იცავენ

ორგანიზაციის ინფორმაციას და ხელმომწერ მხარეებს აცნობიერებენ მათ პასუხისმგებლობაში,

რაც გულისხმობს ინფორმაციის დაცვას, გამოყენებას და გამჟღავნებას მხოლოდ ნებადართულად

და სიფრთხილით.

შესაძლოა, ორგანიზაციას სხვადასხვა ვითარებების დროს კონფიდენციალურობის ან

გაუმჟღავნებლობის შესახებ სხვადასხვა ფორმის ხელშეკრულებების გამოყენება დასჭირდეს.

6.1.6. უფლებამოსილ პირებთან კონტაქტი


უფლებამოსილ პირებთან უნდა შენარჩუნდეს შესაბამისი კონტაქტი.


ორგანიზაციას უნდა გააჩნდეს პროცედურები, რომლებშიც მკაცრად იქნება გაწერილი თუ ვინ და

როდის უნდა დაეკონტაქტოს უფლებამოსილ პირებს (მაგალითად, სამართალდამცავი

ორგანოები, სახანძრო, ზედამხედველობის უფლებამოსილი პირები) და როგორ უნდა მოხდეს

ინფორმაციული უსაფრთხოების გამოვლენილი ინციდენტების შესახებ დროული

ანგარიშგება,იმ შემთხვევაში, თუ შემჩნეულია კანონის დარღვევის ფაქტი.

ორგანიზაციებს, რომლებზეც ხორციელდება შეტევა ინტერნეტიდან, შესაძლოა დაჭირდეთ გარე

მხარის (მაგალითად, ინტერნეტ მომსახურების მომწოდებლები, სატელეკომუნიკაციო

ოპერატორები) მიერ შეტევის საწინააღმდეგოდ გატარებული ღონისძიებები.


ამ კონტაქტების შენარჩუნება შესაძლოა ერთ-ერთ მოთხოვნად დაფიქსირდეს ინფორმაციული

უსაფრთხოების ინციდენტების მართვის (იხ. სექცია 13.2) მხარდასაჭერად ან ბიზნეს-პროცესების

უწყვეტობის და საგანგებო ვითარებების დაგეგმვის პროცესისთვის (იხ. 14-ე სექცია).

მარეგულირებელ ორგანოებთან კონტაქტი ასევე სასარგებლოა საკანონმდებლო ცვლილებების

შემთხვევაში საჭირო იმ მოსამზადებელი პროცესების განსახორციელებლად, რასაც ორგანიზაცია

უნდა დაექვემდებაროს. უფლებამოსილ პირებთან კონტაქტი მოიცავს კომუნალურ, სასწრაფო

დახმარების მომსახურებებს, ჯანდაცვასა და უსაფრთხოებას, მაგალითად, სახანძრო

დეპარტამენტებს (ბიზნეს-პროცესების უწყვეტობასთან დაკავშირებით), სატელეკომუნიკაციო


27

მომსახურებების მომწოდებლებს (ელეტროგადაცემის ხაზებთან და ხელმისაწვდომობასთან

დაკავშირებით), წყალმომარაგებას (ტექნიკისათვის საჭირო გამაგრილებელი მოწყობილობები).

6.1.7. განსაკუთრებული ინტერესის მქონე ჯგუფთან კონტაქტი


უნდა შენარჩუნდეს კონტაქტი განსაკუთრებული ინტერესის მქონე შესაბამის ჯგუფებთან, ან

სხვა უსაფრთხოების ფორუმებთან (ორგანოებთან )და პროფესიულ ასოციაციებთან.


განსაკუთრებული ინტერესის მქონე ჯგუფებში, ან ფორუმებში მონაწილეობა უნდა

განიხილებოდეს როგორც საშუალება:

1. საუკეთესო გამოცდილებების შესახებ ცოდნის ამაღლებისა და თანამედროვე

უსაფრთხოების ინფორმაციისათვის;

2. იმის უზრუნველსაყოფად, რომ ინფორმაციული უსაფრთხოების გარემო არის

თანამედროვე და სრულყოფილი;

3. შეტევებისა და სისუსტეების შესახებ გამაფრთხილებელი შეტყობინებების მისაღებად;

4. ინფორმაციული უსაფრთხოების სპეციალისტების რჩევებზე წვდომის მოსაპოვებლად;

5. ახალი ტექნოლოგიების, პროდუქტების, საფრთხეების, ან სისუსტეების შესახებ

ინფორმაციის გასაზიარებლად და გასაცვლელად;

6. ინფორმაციული უსაფრთხოების ინციდენტებზე რეაგირებისსას შესაბამისი შუამავალი

რგოლის უზრუნველსაყოფად (იხ. 13.2.1).


ინფორმაციის გაზიარების შესახებ შეთანხმებები შეიძლება შემუშავდეს იმ მიზნით, რომ

გაუმჯობესდეს უსაფრთხოების საკითხებზე თანამშრომლობა და მათი კოორდინირება. ასეთმა

შეთანხმებებმა უნდა გამოავლინოს მგრძნობიარე (სენსიტიური) ინფორმაციის დაცვის

მოთხოვნები.

6.1.8. ინფორმაციული უსაფრთხოების დამოუკიდებელი განხილვა


ინფორმაციული უსაფრთხოების მართვისა და მისი დანერგვისადმი(მაგალითად,

ინფორმაციული უსაფრთხოების კონტროლის მექანიზმები, კონტროლის მიზნები, პოლიტიკები,

პროცესები და პროცედურები) ორგანიზაციის მიდგომა უნდა გადაიხედოს დაგეგმილი

პერიოდულობით, ან როდესაც უსაფრთხოების დანერგვაში ხდება მნიშვნელოვანი ცვლილებები.



28

მენეჯმენტის მხირდან უნდა მოხდეს დამოუკიდებელი გადახედვის ინიცირება. ამგვარი

დამოუკიდებელი განხილვა საჭიროა ინფორმაციული უსაფრთხოების მართვისადმი

ორგანიზაციის მიდგომის მუდმივი შესაბამისობის, ადექვატურობის და ეფექტიანობის

უზრუნველსაყოფად. განხილვა უნდა მოიცავდეს გაუმჯობესების შესაძლებლობების შეფასებას

და უსაფრთხოებისადმი მიდგომის, მათ შორის პოლიტიკისა და კონტროლის მიზნების

ცვლილების საჭიროების განსაზღვრას..

ამგვარი განხილვა უნდა ჩატარდეს განსახილველი სფეროსგან დამოუკიდებელი პირების მიერ,

მაგალითად, შიდა აუდიტის ფუნქცია შეიძლება შეასრულოს დამოუკიდებელმა მენეჯერმა, ან

მესამე მხარის ორგანიზაციამ, რომლის სპეციალიზაციის სფეროს ასეთი განხილვები

წარმოადგესნ. ასეთი განხილვების ჩასატარებლად საჭიროა, რომ შესაბამისი პირები შესაბამის

გამოცდილებასა და უნარებს ფლობდნენ.

დამოუკიდებელი განხილვის შედეგები უნდა იქნას ჩაწერილი და მოხდეს მისი ანგარიშგება იმ

მენეჯმენტისადმი, რომელმაც განახორციელა განხილვის ინიცირება. ეს ჩანაწერები უნდა იყოს

დაცული და შენახული.

თუ დამოუკიდებელი განხილვების შედეგად გამოვლინდება, რომ ორგანიზაციის მიდგომა და

ინფორმაციული უსაფრთხოების დანერგვა არაადექვატურია, ან არ შეესაბამება ინფორმაციული

უსაფრთხოების პოლიტიკის დოკუმენტში (იხ. 5.1.1) ჩამოყალიბებულ ინფორმაციული

უსაფრთხოების მიმართულებებსა და მითითებეს, მაშინ მენეჯმენტმა უნდა განიხილოს

მაკორექტირებელი ღონისძიებები.


სფერო, რომლის განხილვას მენეჯერები რეგულარულად ახორციელებენ (იხ. 15.2.1), შესაძლოა

განხილული იქნას ასევე დამოუკიდებლად. გადახედვის ტექნიკები და მექანიზმები მოიცავს

მენეჯმენტის ინტერვიუს, ჩანაწერების შემოწმებას, ან უსაფრთხოების პოლიტიკის დოკუმენტის

გადახედვას. სექცია 15.3 ზუსტად განსაზღვრავს კონტროლის იმ მექანიზმებს, რომლებიც

საჭიროა საოპერაციო ინფორმაციული სისტემებისა და სისტემის აუდიტის ხელსაწყოების

გამოყენების დამოუკიდებელი განხილვისათვის.

6.2. გარე მხარეები

მიზანი: ორგანიზაციის იმ ინფორმაციისა და მისი დამუშავების მოწყობილობების

უსაფრთხოების მხარდაჭერა, რომლებზეც ხორციელდება წვდომა, ხდება დამუშავება, მათი

მეშვეობით ხორციელდება კომუნიკაცია, ან იმართება გარე მხარის მიერ.

ორგანიზაციის ინფორმაციისა და მისი დამუშავების მოწყობილობების უსაფრთხოება არ

უნდა შემცირდეს გარე მხარეებისათვის მომსახურების, ან პროდუქტის მიწოდებით.

ორგანიზაციის ინფორმაციის დამუშავების მოწყობილობებსა და ინფორმაციის დამუშავებასა

და მის კომუნიკაციაზე გარე მხარის მიერ ნებისმიერი სახის წვდომა უნდა

ექვემდებარებოდეს მკაცრ კონტროლს.

ბიზნესის (საქმიანობის) საჭიროებიდან გამომდინარე, თუ გარე მხარეებთან მუშაობისას

აუცილებელია, რომ მათ მიერ განხორციელდეს წვდომა ორგანიზაციის ინფორმაციაზე ან


29

მისი დამუშავების მოწყობილობებზე, ან მომსახურება და პროდუქტი მიღებული იქნას გარე

მხარისგან, ან მიეწოდოს მათ, - მაშინ უსაფრთხოების შედეგების და კონტროლის

მექანიზმების მოთხოვნების გამოსავლენად უნდა ჩატარდეს რისკის შეფასება. კონტროლის

მექანიზმები უნდა განისაზღვროს გარე მხარეებთან დადებულ შეთანხმებში.

6.2.1. გარე მხარეებთან დაკავშირებული რისკების იდენტიფიცირება


ორგანიზაციის ონფორმაციის და მისი დამუშავების მოწყობილობების რისკი, რაც შეიძლება

გამოწვეული იყოს ბიზნეს- პროცესებში გარე მხარეების ჩართვით, - უნდა გამოვლინდეს და

წვდომის უფლებების მინიჭებამდე დაინერგოს შესაბამისი კონტროლის მექანიზმები.


როდესაც საჭიროა, რომ გარე მხარეებს მიენიჭოთ წვდომის უფლებები ორგანიზაციის

ინფორმაციაზე ან მისი დამუშავების მოწყობილობებზე, - უნდა ჩატარდეს რისკის შეფასება (იხ.

სექცია 4), რათა გამოვლინდეს მოთხოვნები სპეციფიკური კონტროლის მექანიზმებისთვის. გარე

მხარისათვის წვდომის დაშვებასთან დაკავშირებული რისკების გამოვლენისას

გათვალისწინებული უნდა იყოს შემდეგი საკითხები:

1. ინფორმაციის დამუშავების მოწყობილობები, რომლებზეც წვდომა უნდა განახორციელოს

გარე მხარემ;

2. წვდომის ტიპი, რომელიც გარე მხარეს ექნება ინფორმაციასა და მისი დამუშავების

მოწყობილობებზე, მაგალითად:

ფიზიკური წვდომა, მაგალითად, ოფისებში, კომპიუტერულ დარბაზში, ფაილების

კაბინეტში;

ლოგიკური წვდომა, მაგალითად, ორგანიზაციის მონაცემთა ბაზებზე,

ინფორმაციულ სისტემებზე;

ქსელური კავშირი ორგანიზაციის და გარე მხარეების ქსელებს შორის, მაგალითად,

მუდმივი (პერმანენტული) კავშირი, დისტანციური წვდომა;

წვდომა ხორციელდება ადგილზე თუ ოფისის გარედან;

3. გამოყენებული ინფორმაციის ფასეულობა და მგრძნობიარობა (სენსიტიურობა), აგრეთვე

მისი კრიტიკულობა ბიზნეს-პროცესებისთვის;

4. კონტროლის მექანიზმები, რომლებიც საჭიროა იმ ინფორმაციის დასაცავად, რომელიც არ

უნდა იყოს ხელმისაწვდომი გარე მხარეებისთვის;

5. ორგანიზაციის ინფორმაციის მართვაში ჩართული გარე მხარის წარმომადგენელი;

6. როგორ უნდა გამოვლინდეს ის უფლებამოსილი ორგანიზაცია ან პერსონალი, რომელსაც

მიეცემა წვდომის უფლება, როგორ შემოწმდეს ავტორიზაცია და რა სიხშირითაა საჭირო

მისი ხელახლა დამოწმება;

7. გარე მხარის მიერ გამოყენებული სხვადასხვა საშუალებები და კონტროლის მექანიზმები

ინფორმაციის შენახვის, დამუშავების, კომუნიკაციის, გაზიარების და გაცვლის დროს;

8. გარე მხარისათვის, საჭიროების შემთხვევაში, აქტივზე ხელმისაწვდომობის არარსებობის

შედეგად გამოწვეული გავლენა, და გარე მხარე, რომელიც მიიღებს ან რომელსაც შეყავს

უზუსტო ან დამაბნეველი ინფორმაცია;

9. ინფორმაციული უსაფრთხოების ინციდენტების მართვის პრაქტიკა, პროცედურები და

პოტენციური ზარალი, ასევე ინფორმაციული უსაფრთხოების ინციდენტის შემთხვევაში

გარე მხარისთვის წვდომის გაგრძელების პირობები;


30

10. საკანონმდებლო და მარეგულირებელი მოთხოვნები და სხვა სახელშეკრულებო

ვალდებულებები, რაც გარე მხარემ უნდა გაითვალისწინოს;

11. ნებისმიერი დაინტერსებული მხარის ინტერესებზე რა გავლენას ახდენენ გატარებული

ღონისძიებები.

გარე მხარის მხრიდან ორგანიზაციის ინფორმაციაზე წვდომა არ უნდა იყოს შესაძლებელი მანამ,

სანამ არ მოხდება შესაბამისი კონტროლის მექნიზმების დანერგვა და, სადაც დასაშვებია, სანამ

ხელი არ მოეწერება შესაბამის ხელშეკრულებას, რომელშიც დადგენილი იქნება წვდომის, ან

კავშირის და სამუშაოს შესრულების პირობები. ზოგადად, უსაფრთხოების ყველა მოთხოვნა,

რომელიც გამომდინარეობს გარე მხარესთან მუშაობისგან, ან კონტროლის შიდა

მექანიზმებისგან, - უნდა აისახოს გარე მხარესთან დადებულ ხელშეკრულებებში (იხ. 6.2.2 და

6.2.3).

უზრუნველყოფილი უნდა იყოს, რომ გარე მხარეს გაცნობიერებული ქონდეს საკუთარი

ვალდებულებები და ეთანხმებოდეს პასუხისმგებლობებსა და ვალდებულებებს, რომლებიც

დაკავშირებულია ორგანიზაციის ინფორმაციასა და მისი დამუშავების მოწყობილობებზე

წვდომასთან, დამუშავებასთან, კომუნიკაციასთნ ან მართვასთან.


გარე მხარეების მიერ უსაფრთხოების არაადექვატური მართვის გამო ინფორმაცია შეიძლებას

შეიძლება საფრთხე შეექმნას. უნდა განისაზღვროს და გამოყენებული იქნას კონტროლის

მექანიზმები, რათა მოხდეს გარე მხარის მიერ ინფორმაციის დამუშავების მოწყობილობებზე

წვდომის ადმინისტრირება. მაგალითად, თუინფორმაციის კონფიდენციალურობისთვის

განსაკუთრებული საჭიროება არსებობს, მაშინ შესაძლოა დაიდოს ხელშეკრულება

გაუმჟღავნებლობის შესახებ.

ორგანიზაცია შესაძლოა წააწყდეს რისკებს შიდა-ორგანიზაციული პროცესების მართვის და

კომუნიკაციის დროსაც, იმ შემთხვევებშ როდესაც მომსახურებები მესამე მხარის მიერ

სამართავად მოწოდებლისთვის არის გადაცემული (აუტსორსინგი), ან როდესაც საქმეში

ჩართულია რამდენიმე გარე მხარე.

6.2.2-სა და 6.2.3-ში დასახელებული კონტროლის მექანიზმები ფარავენ გარე მხარეებთან

დადებულ სხვადასხვა ხელშეკრულებებს, მაგალითად:

მომსახურების მომწოდებლები, როგორიცაა მაგალითად ინტერნეტ-მომსახურების

მომწოდებლები, ქსელის მომწოდებლები, სატელეფონო მომსახურებები, მხარდაჭერისა

და შენარჩუნების მომსახურებები;

უსაფრთხოების მომსახურებების მართვა;

მომხმარებლები;

ოპერაციების და/ან აპარატურის აუთსორსინგი, მაგალითად, საინფორმაციო სისტემების,

მონაცემთა შეგროვების მომსახურებების, სატელეფონო ცენტრის ოპერატორების დ ა.შ.;

მენეჯმენტი და ბიზნეს - კონსულტანტები, აუდიტორები;

პროგრამისტები და მომწოდებლები, მაგალითად, პროგრამული უზრუნველყოფისა და

საინფორმაციო ტექნოლოგიების სისტემების მომწოდებლები;

დასუფთავების, კვების და სხვა აუთსორსირებული მხარდამჭერი მომსახურებები;

დროებითი პერსონალი, სტუდენტების პრაქტიკა, და სხვა დროებითი, ხანმოკლე

დანიშვნები.

ამ სახის ხელშეკრულებები დახმარებას გაუწევს გარე მხარესთან დაკავშირებული რისკების

შემცირებას.


31

6.2.2. მომხმარებლებთან დაკავშირებულ რისკებზე რეაგირება

კონტროლის მექანიზი

უსაფრთხოებისთვის დადგენილი ყველა მოთხოვნა უნდა დაკმაყოფილდეს მანამ, სანამ

მომხმარებელს მიეცემა ორგანიზაციის ინფორმაციულ აქტივებზე წვდომა.


სანამ მომხმარებელს მიეცემა ორგანიზაციის ნებისმიერ აქტივზე წვდომის საშუალება,

უსაფრთხოების მოთხოვნების დასაკმაყოფილებლად გათვალისწინებული უნდა იყოს შემდეგი

პირობები (დამოკიდებულია მინიჭებული წვდომის უფლებების ტიპსა და მასშტაბზე, შესაძლოა

ყველა ქვემოთ ჩამოთვლილი პირობა არ იქნას გამოყენებული):

1. აქტივების დაცვა, რაც მოიცავს შემდეგ საკითხებს:

ორგანიზაციის აქტივების დაცვის პროცედურები, მათ შორის ინფორმაციისა და

პროგრამული უზრუნველყოფების, ასევე ცნობილი სისუსტეების მართვა;

აქტივის საფრთხის ქვეშ დაყენების ფაქტის გამოვლენის პროცედურები,

მაგალითად, მონაცემთა დაკარგვა ან შეცვლა;

ინფორმაციის მთლიანობა;

ინფორმაციის კოპირებაზე ან გამჟღავნებაზე შეზღუდვები;

2. მიწოდებული სერვისის ან პროდუქტის აღწერა;

3. მომხმარებლის წვდომის სხვადასხვა დასასაბუთებელი მიზეზები, მოთხოვნები და

სარგებელი;

4. წვდომის კონტროლის პოლიტიკა, რომელის მოიცავს:

წვდომის დაშვების მეთოდებს და ისეთი უნიკალური მაიდენტიფიცირებლების

კონტროლსა და გამოყენებას, როგორებიცაა ID და პაროლები;

მომხმარებლებისათვის წვდომის და პრივილეგიების ავტორიზაციის პროცესს;

ყველა იმ წვდომის აკრძალვას, რომლებიც არ არის სწორად ავტორიზებული;

წვდომის უფლებების გაუქმების, ან სისტემებტან კავშირის შეწყვეტის პროცესს;

5. ინფორმაციის უზუსტობის (მაგალითად, პირადი მონაცემების), ინფორმაციული

უსაფრთხოების ინციდენტების და უსაფრთხოების დარღვევის შესახებ ანგარიშგების,

შეტყობინებებისა და გამოძიების ღონისძიებები;

6. თითოეული ხელმისაწვდომი მომსახურების აღწერა;

7. მომსახურების დაგეგმილი დონე და მომსახურების დაუშვებელი დონე;

8. ორგანიზაციის აქტივებთან დაკავშირებული ქმედებების მონიტორინგის, ან გაუქმების

უფლება;

9. ორგანიზაციისა და მომხმარებლის შესაბამისი ვალდებულებები;

10. პასუხისმგებლობები, რომლებიც ითვალისწინებენ იურიდიულ საკითხებს და მათი

უზრუნველყოფისთვის აუცილებელი იურიდიული მოთხოვნების დაკმაყოფილება,

მაგალითად, მონაცმეთა დაცვის კანონმდებლობა, განსაკუთრებით

გასათვალისწინებელია სხვადასხვა ქვეყნის საკანონმდებლო სისტემა, იმ შემთხვევაში თუ

ხელშეკრულებები ფორმდება სხვა ქვეყნის წარმომადგენლებთან (იხ. 15.1);

11. ინტელექტუალური საკუთრების უფლებები და საავტორო უფლების მინიჭება (იხ. 15.1.2)

და ერთობლივი სამუშაოს დაცვა (იხ. 6.1.5).


32


მომხმარებლის მიერ ორგანიზაციის აქტივებზე წვდომის უსაფრთხოების მოთხოვნები შესაძლოა

მნიშვნელოვანწილად იცვლებოდეს იმის მიხედვით, თუ რა სახის ინფორმაციაზე და მისი

დამუშავების რა მოწყობილობებზე უნდა განხორციელდეს წვდომა. ეს უსაფრთხოების

მოთხოვნები შეიძლება დაკმაყოფილდეს მომხმარებელთან გაფორმებული შეთანხმებებით,

რომლებიც მოიცავს ყველა ტიპის რისკებს და უსაფრთხოების მოთხოვნებს (იხ. 6.2.1).

გარე მხარესთან გაფორმებული ხელშეკრულებები შეიძლება ასევე მოიცავდეს სხვა მხარეებს.

შეთანხმებები, რომლებიც გარე მხარეს ანიჭებს წვდომას, უნდა მოიცავდეს სხვა უფლებამოსილი

მხარეების დაშვებას და მათი წვდომისა და ჩართულობისთვის შესაბამის პირობებს.

6.2.3. მესამე მხარესთან გაფორმებულ ხელშეკრულებებში უსაფრთხოების გათვალისწინება


ინფორმაციულოი უსაფრთხოების ყველა აუცილებელი მოთხოვნა უნდა დააკმაყოფილონ მესამე

მხარის იმ ხელშეკრულებმა, რომლებიც მოცავს ორგანიზაციის ინფორმაციაზე და მისი

დამუშავების მოწყობილობებზე წვდომას, დამუშავებას, კომუნიკაციას, ან მართვას, ან

ხელშეკრულების ფარგლებში ხდებაინფორმაციის დამუშავების მოწყობილობებზე პროდუქტის,

მომსახურების დამატება.


შეთანხმება უნდა უზრუნველყოფდეს ორგანიზაციასა და მესამე მხარეს შორის გაუგებრობების

არარსებობას. ორგანიზაციებმა უნდა უზრუნველყონ საკუთარი მოთხოვნების დაკმაყოფილება,

რაც, თავის მხრივ, წარმოადგენს მესამე მხარისთვის წარსადგენ გარანტიას.

უსაფრთხოების გამოვლენილი მოთხოვნების დასაკმაყოფილებლად შეთანხმებებშ

გათვალისწინებული უნდა იყოსშემდეგი საკითხები (იხ. 6.2.1):

1. ინფორმაციული უსაფრთხოების პოლიტიკა;

2. კონტროლის მექანიზმები აქტივების დაცვის უზურნველყოფისთვის, მათ შორის:

ორგანიზაციის აქტივების, მათ შორის ინფორმაციის, პროგრამული

უზურნველყოფის და კომპიუტერული ტექნიკის დაცვის პორცედურები;

ნებისმიერი სახის ფიზიკური დაცვის კონტროლის მექანიზმები;

კონტროლის მექანიზმები, რომლებიც უზრუნველყოფენ მავნე კოდისგან დაცვას

(იხ. 10.4.1);

პროცედურები, რომლებიც გამოავლენენ აქტივების, მაგლითად, ინფორმაციის,

პროგრამული უზრუნველყოფის და კომპიუტერული ტექნიკის დაკარგვის, ან

შეცვლის ფაქტს;

კონტროლის მექანიზმები, რომლებიც უზრუნველყოფენ ინფორმაციისა და

აქტივების დაბრუნებას, ან განადგურებას ხელშეკრულების დასრულებისას, ან

შეთანხმებული ვადის გასვლის შემდეგ;

აქტივების კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა და ნებისმიერი

სხვა საჭირო მახასიათებლები (იხ. 2.1.5);

ინფორმაციის კოპირების და გამჟღავნების შეზღუდვები და

კონფიდენციალურობის შესახებ შეთანხმებების გამოყენება (იხ. 6.1.5);


33

3. მომხმარებლებისა და ადმინისტარტორების ტრენინგი მეთოდებში, პროცედურებსა და

ინფორმაციულ უსაფრთხოებაში;

4. მომხმარებლების ცნობიერების ამაღლების უზრუნველყოფა ინფორმაციული

უსაფრთხოების პასუხისმგებლობებსა და საკითხებში;

5. საჭიროების შემთხვევაში შესაბამისი პერსონალით უზრუნველყოფა;

6. პასუხისმგებლობები კომპიუტერული ტექნიკის და პროგრამული უზრუნველყოფის

დაინსტალირებისა და მხარდაჭერის კუთხით;

7. მკაფიო და ნათელი ანგარიშგების სტრუქტურა და შეთანხმებული ანგარიშგების

ფორმატები;

8. ცვლილებების მართვის მკაფიოდ განსაზღვრული პროცესი;

9. წვდომაზე კონტროლის პოლიტიკა, რომელის სფეროშიც შედის:

ის მიზეზები, მოთხოვნები და სარგებელი, რაც აუცილებელს ხდის მესამე მხარის

მიერ წვდომას;

წვდომის დაშვებული მეთოდები და უნიკალური იდენტიფიქატორების

კონტროლის მექანიზმები და მათ გამოყენება, როგორებიცაა მომხმარებლის ID და

პაროლები;

მომხმარებლის წვდომისა და პრივილეგიების ავტორიზაციის პროცესი;

იმ ავტორიზებული პირების ჩამონათვალის მოთხოვნა, რომლებიც გამოიყენებენ

შესაბამის მომსახურებებს და მათი უფლებებისა და პრივილეგიების სია;

ყველა არასწორად ავტორიზებული წვდომის აკრძალვის შესახებ განაცხადი;

წვდომის უფლებების გაუქმებისა ან სისტემებს შორის კავშირის შეწყვეტის

პროცესი;

10. ინფორმაციული უსაფრთხოების ინციდენტებისა და უსაფრთხოების, ან

ხელშეკრულებით გათვალისწინებული მპოთხოვნების დარღვევისთვის ანგარიშგების,

შეტყობინებების და გამოძიების ღონისძიებები.;

11. მისაწოდებელი პროდუქტის, ან მომსახურების აღწერა, ასევე მისაწოდებელი

ინფორმაციის აღწერა უსაფრთხოების კლასიფიკაციის გათვალისწინებით (იხ. 7.2.1);

12. მომსახურებების დაგეგმილი და დაუშვებელი დონე;

13. წარმადობის შესამოწმებელი კრიტერიუმების დადგენა, მათი მონიტორინგი და

ანგარიშგება;

14. ორგანიზაციის აქტივებთან დაკავშირებული ქმედებების მონიტორინგის და გაუქმების

უფლება;

15. ხელშეკრულებით განსაზღვრული პასუხისმგებლობების აუდიტის უფლება, ამ აუდიტის

ჩატარება მესამე მხარის მიერ, ასევე აუდიტორების სავალდებულო უფლებების

ჩამონათვალი;

16. პრობლემის გადაჭრისათვის ესკალაციის პროცესის ჩამოყალიბება;

17. მომსახურების უწყვეტობის მოთხოვნები, მათ შორის ხელმისაწვდომობისა და სანდოობის

საზომები (შეფასებები), რაც შესაბამისობაში იქნება ორგანიზაციის ბიზნესის

(საქმიანობის) პრიორიტეტებთან;

18. მხარეთა მიერ გასათვალისწინებელი სახელშეკრულებო ვალდებულებები;

19. საკანონმდებლო საკითხებთან დაკავშირებული პასუხისმგებლობები და იურიდიული

მოთხოვნები, მაგალითად, მონაცემთა დაცვის შესახებ კანონი. თუ ხელშეკრულება

მოიცავს სხვა ქვეყნებში არსებულ ორგანიზაციებთან თანამშრომლობას, განსაკუთრებით

საყურადღებოა სხვადასხვა ქვეყნის საკანონმდებლო სისტემები.(იხ. 15.1);

20. ინტელექტუალური საკუთრების უფლებები და საავტორო უფლების მინიჭება (იხ. 15.1.2)

და ნებისმიერი სახის თანამშრომლობის დაცვა (იხ. 6.1.5);

21. მესამე მხარის დაკავშირება სუბკონრაქტორებთან, მათთვის უსაფრთხოების

კონტროლების დანერგვის აუცილებლობა;


34

22. ხელშეკრულებების შესახებ ხელახლა მოლაპარაკების ან მათი შეწყვეტის პირობები:

უნდა არსებობდეს საგანგებო ვითარებების გეგმა იმ შემთხვევისათვის, თუ

რომელიმე მხარე ხელშეკრულების ვადის გასვლამდე მოინდომებს ურთიერთიბის

შეწყვეტას;

ხელშეკრულების შესახებ ხელახალი მოლაპარაკებების გამართვა, იმ შემთხვევაში,

თუ ორგანიზაციის უსაფრთხოების მოთხოვნები იცვლება;

მიმდინარე აქტივების ჩამონათვალის, ლიცენზიების, შეთანხმებების, ან მასთან

დაკავშირებული უფლებების ამსახველი მიმდინარე დოკუმენტაცია.


ხელშეკრულებები შეიძლება მნიშვნელოვანწილად იცვლებოდეს ორგანიზაციების მიხედვით,

რასაც ასევე განსხვავებული ტიპის მესამე მხარეებიც განაპირობებენ. ამდენად, ყურადღება უნდა

მიექცეს იმას, რომ ხელშეკრულებებში აუცილებლად იყოს ჩადებული ყველა გამოვლენილი

რისკი და უსაფრთხოების მოთხოვნა (იხ. 6.2.1). სადაც საჭიროა, უსაფრთხოების მართვის გეგმაში

ასევე უნდა ჩაიდოს საჭირო კონტროლის მექანიზმები და პროცედურები.

თუ ინფორმაციული უსაფრთხოების მართვა ხდება გარედან მოწვეული სპეციალისტების მიერ,

ანაუთსორსირებულია, მაშინ ხელშეკრულებები უნდა მოიაცავდეს მესამე მხარის მიერ

ადექვატური უსაფრთხოების უზრუნველყოფას, როგორც ეს განსაზღვრულია რისკების

შეფასებაში.

აუთსორსირებასა და მესამე მხარის მიერ მოწოდებული სერვისების სხვა ფორმებს შორის

განსხვავებები მოიცავს სანდოობის საკითხებს, გარდამავალი პერიოდის დაგეგმვასა და

ოპერაციების შესაძლო განადგურებას ამ პერიოდის განმავლობაში, საგანგებო ვითარებების

დაგეგმვის ღონისძიებებს და განხილვებს შესასამის შემოწმებისათვის, უსაფრთხოების

ინციდენტების შეგროვებასა და მართვას. ამდენად, მნიშვნელოვანია ორგანიზაციამ დაგეგმოს და

მართოს აუსტორსირებულ ღონისძებებზე გადასვლა და ცვლილებების მართვისა და

შეთანხმებების შეწყვეტის, ან ხელახლა მოლაპარაკების მიზნით შექმნას შესაბამისი პროცესი.

ხელშეკრულებებში ასევე გათვალისწინებული უნდა იყოს ის ვითარება, როდესაც მესამე მხარეს

აღარ შეუძლია მომსახურების გაწევა, - ასეთ დროს უნდა არსებობდეს შესაბამისი პროცედურები,

რომლებიც ორგანიზაციას თავიდან აარიდებს შეფერხებებს მომსახურების ჩანაცვლების

უზრუნველყოფაში.

მესამე მხარესთან დადებული შეთანხმებები შესაძლოა ასევე მოიცავდეს სხვა მხარეებს.

ხელშეკრულებები, რომელთა საფუძველზეც მესამე მხარეს ეძლევა წვდომის უფლებები, უნდა

მოიცავდეს სხვა შესაძლო მხარეთათვის წვდომის და ჩართულობის შესაძლებლობებსა და

უფლებებს.

როგორც წესი, შეთანხმებები უპირატესად ორგანიზაციის მიერ დგინდება. შესაძლოა იყოს ისეთი

ვითარებებიც, როდესაც მესამე მხარე ამუშავებს შეთანხმებებს და ორგანიზაციას სთავაზობს .

ორგანიზაცია უნდა დარწმუნდეს და უზრუნველყოს, რომ მისი საკუთარი უსაფრთხოება არ

მოექცევა მესამე მხარის მიერ შემოთავაზებული შეთანხმების და მისი მოთხოვენების გავლენის

ქვეშ.


35

7. აქტივების მართვა

7.1. პასუხისმგებლობა აქტივებზე

მიზანი: ორგანიზაციაში აქტივების დაცვაზე კონტროლის უზრუნველყოფა.

სავალდებულოა, რომ ყველა აქტივი იყოს აღწერილი. აქტივს უნდა ჰყავდეს კონკრეტული

მფლობელი. უნდა გამოვლინდეს ყველა აქტივის მფლობელი და უნდა განისაზღვროს

კონტროლის შესაბამის მექანიზმებზე პასუხისმგებლობები. მფლობელებმა შესაძოა

განახორციელონ კონტროლის კონკრეტული მექანიზმების დანერგვის დელეგირება, მაგრამ

მფლობელი მაინც რჩება აქტივის სათანადო დაცვაზე პასუხისმგებელად.

7.1.1. აქტივების ინვენტარიზაცია


ყველა აქტივი ზუსტად უნდა იყოს განსაზღვრული და აღწერილი.


ორგანიზაციამ უნდა მოახდინოს ყველა აქტივის იდენტიფიცირება და მათი მნიშვნელობის

დოკუმენტირება. ინვეტარიზაციის დოკუმენტი უნდა მოიცავდეს ყველა ინფორმაციას,

ორგანიზაციას რომელიც საშუალებას მისცემს განადგურების შემთხვევაში აღადგინოს აქტივი,

ხოლო აღდგენა განხორციელდეს შესაბამის პოლიტიკაზე დაყრდნობით. ინფორმაცია უნდა

წარმოადგენდეს: აქტივის ტიპს, ფორმატს, განლაგებას, ასევე სარეზერვო ასლის, სალიცენზიო

და/ან სახელმწიფოს ან ორგანიზაციისთვის ფუნქციური მნიშვნელობის მქონე ინფორმაციას.

ინვენტარიზაციში გამორიცხული უნდა იყოს დუბლირება.

აღწერასთან ერთად ყველა აქტივისათვის განსაზღვრული, შეთანხმებული და

დოკუმენტირებულია აქტივების მფლობელი (იხ. 7.1.2) და ინფორმაციის კლასიფიკაცია (იხ. 7.2) .

ორგანიზაციისთვის აქტივის მნიშვნელობის, ფასეულობის, მისი უსაფრთხოების და დაცვის

დონეც შესაბამისადაა აღწერილი, შეთანხმებული და დოკუმენტირებული.

დამატებითი ინფორმაცია

აქტივების ტიპები შესაძლებელია მოიცავდეს:

ა) ინფორმაცია: მონაცემთა ბაზები და მონაცემთა ფაილები, კონტრაქტები და

შეთანხმებები, ტექნიკურ-სისტემური დოკუმენტები, კვლევების, ან საგამოძიებო

დოკუმენტები, მომხმარებლის დოკუმენტები, ტრენინგის დოკუმენტები, საოპერაციო, ან

დამხმარე ტიპის პროცედურების დოკუმენტები, ბიზნეს-უწყვეტობის გეგმები, აუდიტის

ანგარიშები და დაარქივებული ინფორმაცია;

ბ) პროგრამული აქტივები: პროგრამის აპლიკაციები, სისტემური პროგრამები,

პროგრამირებისათვის გამოყენებული საშუალებები;

გ) ფიზიკური აქტივები: კომპიუტერული ტექნიკა, კომუნიკაციის საშუალებები,

გადაადგილებადი მედია-მატარებლები და სხვა მოწყობილობები;


36

დ) სერვისები: გამოთვლითი და საკომუნიკაციო ტიპის სერვისები, ასევე კომუნალური

სერვისები, როგორიცაა გათბობა, განათება, ელექტროენერგიის მიწოდება და

კონდიცირება;

ე) თანამშრომლები, მათი კვალიფიკაცია და გამოცდილება;

ვ) არამატერიალური, როგორიცაა ლიცენზიები, ორგანიზაციის რეპუტაცია და იმიჯი.

აქტივების ინვენტარიზაცია ასევე გვეხმარება სხვა მნიშვნელოვანი ამოცანების

გადაჭრაში: ჯანმრთელობისა და ფიზიკური უსაფრთხოების დაცვა, დაზღვევა და

ფინანსების მართვა.

7.1.2. აქტივების ფლობა


ყველა ინფორმაციული აქტივის მფლობელი უნდა იყოს ორგანიზაციის კონკრეტული

ქვედანაყოფი.


აქტივის მფლობელი პასუხისმგებელია შემდეგზე:

ა) ინფორმაციის დამუშავებასთან დაკავშირებული ყველა აქტივის ადეკვატურად

კლასიფიცირების უზრუნველყოფა;

ბ) აქტივების გამოყენების პერიოდული შემოწმება და მათი კლასიფიკაცია, პროცესის

შესაბამისობის დაცვა წვდომის პოლიტიკაზე დაფუძნებით.

მფლობებელობა შესაძლოა გავრცელდეს შემდეგზე:

ა) ბიზნეს-პროცესი;

ბ) კონკრეტული ღონისძიებების ნაკრები;

გ) აპლიკაცია;

დ) მონაცემთა განსაზღვრული ერთობლიობა.

აქტივების ფლობასთან დაკავშირებული რუტინული ამოცანები შესაძლებელია დელეგირებულ

იქნას სხვა თანამშრომლებზე, მაგრამ აქტივზე პასუხისმგებელია მხოლოდ მისი მფლობელი.

რთული საინფორმაციო სისტემებისათვის გამოსადეგია აქტივთა ჯგუფის გამოყოფა

„მომსახურებად“, რომლიც ერთობლივად მოქმედებს, რათა მოიცვას ორგანიზაციის

კონკრეტული ფუნქცია, როგორც „მომსახურებამ“. ამ შემთხვევაში მფლობელი განისაზღვრება

მომსახურებისათვის და ის პასუხისმგებელია მომსახურების მიწოდებაზე.

7.1.3. აქტივების დასაშვები/მისაღები გამოყენება


აქტივების დასაშვები/მისაღები გამოყენების წესები დოკუმენტურად უნდა იყოს განსაზღვრული,

დანერგილი და აღსრულებული.


37


ყველა თანამშრომელი, კონტრაქტორი და მესამე მხარე უნდა იცავდეს ინფორმაციის

დამუშავებისა და საინფორმაციო სიმძლავრეებით სარგებლობის დროს აქტივებით გამოყენების

დასაშვებ/მისაღებ წესებს. მათ შორის:

ა) ინტერნეტით და ელექტრონული ფოსტით (E-mail) სარგებლობის წესი (იხ. 10.8);

ბ) განსაკუთრებით დაცული ტერიტორიის მიღმა პორტატული მოწყობილობებით სარგებლობის

წესი (იხ. 11.7.1).

სპეციფიკური წესები და სახელმძღვანელოები უნდა იქნას მიწოდებული შესაბამისი

მენეჯმენტისგან - უშუალო ხელმძღვანელისგან. ორგანიზაციის საკუთრებაში არსებული

ინფორმაციული აქტივებით სარგებლობის დროს მომხმარებლები, კონტრაქტორები და მესამე

მხარის წარმომადგენლები ზედმიწევნით ზუსტად უნდა იცნობდნენ მათ მიმართ დაწესებულ

შეზღუდვებს .

7.2. ინფორმაციის კლასიფიკაცია

მიზანი: ორგანიზაცია უნდა ახდენდეს ინფორმაციის კლასიფიკაციას მისი გამოყენების,

პრიორიტეტულობის და დაცვის ხარისხის მითითებით.

ინფორმაციას გააჩნია სხვადსხვა ხარისხის მგრძნობელობა და კრიტიკულობა. ზოგიერთი

მათგანისათვის გამოყენებული უნდა იქნას დაცვის განსაკუთრებული ხარისხი, ან

მოხმარების სპციფიური წესი. ინფორმაციის დაცვის დონე, ან გამოყენების სპეციფიური

საშუალებები განისაზღვრება ინფორმაციის კლასიფიკაციის სქემაზე დაყრდნობით.

7.2.1. კლასიფიკაციის სახელმძღვანელო


ინფორმაცია უნდა იყოს კლასიფიცირებული ორგანიზაციისთვის მისი ღირებულების,

საკანონმდებლო მოთხოვნის, სენსიტიური და კრიტიკულობის შესაბამისად.


კლასიფიცირება და მასთან დაკავშირებული დაცვის კონტროლის მექანიზმები უნდა

ითვალისწინებდეს ორგანიზაციის საჭიროებებს ინფორმაციის გადაცემა-გავრცელებასთან ან

მასზე წვდომის შეზღუდვასთან დაკავშირებით. ასევე გასათვალისწინებელია ორგანიზაციის

ფუნქციებზე და ამოცანებზე უარყოფითი გავლენის ფაქტორი მსგავსი მოთხოვნების დროს.

კლასიფიცირების სახელმძღვანელო უნდა მოიცავდეს გარკვეული პერიოდის შემდეგ ხელახალი

კლასფიკაციის შესახებ წინასწარ შეთანხმებას წვდომის კონტროლის განსაზრვრული

პოლიტკის გათვალისწინებით (იხ. 11.1.1). აქტივის კლასიფიცირება, მისი პერიოდული

გადახედვა, შესაბამის დონეზე აქტივის კლასიფიცირების გადმოწმება წარმოადგენს აქტივის

მფლობელის (იხ. 7.1.2) პრეროგატივასა და მოვალეობას. კლასიფიკაცია უნდა ითვალისწინებდეს

აგრეგირების ეფექტს (იხ. 10.7.2).


38


დაცვის ხარისხი შესაძლებელია შეფასებული იქნას ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის პრინციპებიდან გამომდინარე. ინფორმაციამ შესაძლოა

დაკარგოს კრიტიკულობა გარკვეული პერიოდის შემდეგ. მაგალითად, იმ შემთხვევაში,

როდესაც ინფორმაცია ხდება საჯარო. ეს ასპექტები გასათვალისწინებელია, რადგან არასაჭირო,

ან გადამეტებულად კრიტკულმა შეფასებამ შესაძლოა გამოიწვიოს ორგანიზაციის დანახარჯების

მნიშვნელოვანი ზრდა. კლასიფიკაცია წარმოადგენს პასუხს კითხვაზე თუ რა დონეზე მოხდეს

ინფორმაციის დაცვის უზრუნვლეყოფა.

ზოგადად, ინფორმაციისთვის მინიჭებული კლასიფიკაცია ინფორმაციასთან მოპყრობისა და

მისი დაცვის განსაზღვრის პირობითი მეთოდია.

7. 2.2. ინფორმაციის მარკირება და დამუშავება


ორგანიზაციის მიერ შექმნილი კლასიფიკაციის შესაბამისად აუცილებელია შეიქმნას და

დაინრეგოს ინფორმაციის მარკირებისა და დამუშავების პროცედურები.


პროცედურამ ინფორმაციის მარკირების შესახებ სრულად უნდა დაფაროს ინფორმაციული

აქტივები, როგორც ფიზიკურ, ისე ელექტრონულ ფორმატში. მარკირება უნდა განხორციელდეს

ინფორმაციის კლასიფიკატორებისა და კლასიფიკაციის წესების შესაბამისად.

კლასიფიცირებული ინფორმაციის შემცველი სისტემებიდან გამოვალი ინფორმაცია, რომელიც

კლასიფიცირებულია როგოც მგრძნობიარე, ან კრიტიკული, - სათანადოდ უნდა

იყოსმარკირებული. მარკირება უნდა ასახავდეს კლასიფიკაციას, რომელიც წარმოდგენილია

7.2.1-ში წარმოდგენილი წესების შესაბამისად.

გასათვალისწინებელია შემდეგი: ნაბეჭდი ანგარიშები, ეკრანული ფორმები, ჩამწერი

მოწყობილებები (ფირები, დისკები, CD), ელექტრონული შეტყობინებები და ფაილების გადაცემა.

სხვა ორგანიზაციებთან დადებული ხელშეკრულებები, რომლებიც ეხება ინფორმაციის

გაზიარებას, უნდა მოიცავდეს იმ პროცედურებს, რომლებიც ახდენენ ინფორმაციის

კლასიფიკაციის დადგენას და სხვა ორგანიზაციიდან მიღებული ინფორმაციის მარკირების

ინტერპრეტირებას.


კლასიფიცირებული ინფორმაციის მარკირება და უსაფრთხო დამუშავება წარმოადგენს

ინფორმაციით ერთობლივად სარგებლობის ძირითად მოთხოვნას. ფიზიკური მარკირება

წარმოადგენს მარკირების მთავარ ფორმას. ამასთან, უნდა აღინიშნოს, რომ ყველა დოკუმენტის

მარკირება შეუძლებელია, ელექტრონული დოკუმენტების ფიზიკურად მარკირება შეუძლებ

ელია, მაგრამ შესაძლებელია ეკრანზე გამონათდეს შეტყობინება მარკირების შესახებ.


39

8. ადაიანური რესურსების უსაფრთხოება

8.1. დასაქმებამდე

მიზანი: უზრუნველყოფა იმისა, რომ თანამშრომლები, კონტრაქტორები და მესამე მხარის

მომხმარებლები კარგად გაერკვნენ საკუთარ პასუხისმგებლობებში და შეეფერებოდნენ

დასაკავებელ თანამდებობებს. ასევე ქურდობის, თაღლითობისა და გადაცემული

საშუალებების ბოროტად გამოყენების თავიდან აცილება.

უსაფრთხოების პასუხისმგებლობის საკითხი უნდა შევიდეს სამუშაოს აღწერილობასა და

სამუშაოს პირობებში.

სავალდებულო წესით განხორციელდეს ყველა მომავალი თანამშრომლის, კონტრაქტორისა

და მესამე მხარის მომხმარებლის გადამოწმება. განსაკუთრებით მაშინ, როდესაც არსებული

თანამდებობა მგრძნობიარე ინფორმაციასთანაა დაკავშირებული.

თანამშრომლებმა, კონტრაქტორებმა და მესამე მხარის მომხმარებლებმა, რომლებსაც შეხება

აქვთ ინფორმაციის დამუშავების საშუალებებთან, ხელი უნდა მოაწერონ ხელშეკრულებას

მათზე დაკისრებული უსაფრთხოების როლისა და პასუხისმგებლობის შესახებ.

8.1.1. როლი და პასუხისმგებლობა


თანამშრომელთა, კონტრაქტორთა და მესამე მხარის მომხმარებელთა უსაფრთხოების როლი და

პასუხიმგებლობა უნდა შეესაბამებოდეს ორგანიზაციის საინფორმაციო უსაფრთხოების

პოლიტიკას.


უსაფრთხოების როლები და პასუხისმგებლობა უნდა შეიცავდეს შემდეგ მოთხოვნებს:

ა) ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკის შესაბამისი ქმედება (იხ. 5.1.);

ბ) ორგანიზაციის კუთვნილი ქონების დაცვა არალეგალური წვდომისაგან, გაცემისგან,

მოდიფიცირებისგან, განადგურებისგან;

გ) უსაფრთხოების კონკრეტული პროცესისა და ქმედებების განხორციელება;

დ) უზრუნველყოფა იმისა, რომ მის მიერ განხორციელებულ არასწორ ქმედებებზე პირს

დაეკისრება შესაბამისი პასუხისმგებლობა;

ე) უსაფრთხოებასთან დაკავშირებული მოვლენების, ან უსაფრთხოების რისკების სხვა შესახებ

ორგანიზაციისთვის ანგარიშის მიწოდება;

კანდიდატს სამსახურში აყვანის წინა პერიოდში ნათლად უნდა განესაზღვროს და განემარტოს

უსაფრთხოების როლი და პასუხისმგებლობა.


40


უსაფრთხოების როლისა და პასუხისმგებლობის დოკუმენტურად გაწერისათვის შესაძლებელია

სამუშაოს აღწერილობის გამოყენება. უსაფრთხოების როლი და პასუხისმგებლობა ნათლად უნდა

განესაზღვროს და განემარტოს იმ ინდივიდებსაც, რომლებიც სამსახურში აიყვანეს, არა

უშუალოდ ორგანიზაციის დასაქმების ნორმების დაცვით, არამედ მესამე მხარის ორგანიზაციის

საშუალებით.

8.1.2. გადამოწმება


მომავალ თანამშრომლებზე, კონტრაქტორებზე და მესამე მხარის მომხმარებლებზე დამატებითი

ინფორმაციის მოპოვება და შემოწმება უნდა განხორციელდეს შესაბამისი კანონების,

რეგულაციებისა და ეთიკის ნორმების დაცვით, რომლებიც უნდა შეესაბამებოდეს ორგანიზაციის

მოთხოვნებს, დაფუძნებულს ინფორმაციის კლასიფიკაციასა და იდენტიფიცირებულ რისკებზე.


ინფორმაციის შემოწმების დროს გათვალისწინებული უნდა იქნას კონფიდენციალურობის

დაცვა, პირადი ინფორმაციის დაცვა და დასაქმებასთან დაკავშირებული კანონმდებლობა. ხოლო

სადაც შესაძლებელია, ინფორმაციის გადამოწმება უნდა მოიცავდეს შემდეგ საკითხებს:

ა) ერთი სამსახურებრივი და ერთი პირადი დადებითი რეკომენდაციის მოპოვება;

ბ) კანდიდატის CV-ს შემოწმება (სისრულე და სიზუსტე);

გ) მითითებული აკადემიური და პროფესიული კვალიფიკაციის გადამოწმება და დადასტურება;

დ) დამოუკიდებელი შემოწმება (პასპორტი ან პირადობის დამადასტურებელი დოკუმენტი);

ე) დეტალური შემოწმება, როგორიცაა საკრედიტო ისტორია და კანდიდატის ნასამართლეობის

შესახებ ინფორმაციის მოპოვება.

როდესაც პოზიცია (საწყისი დანიშვნა და დაწინაურებაც) ითვალისწინებს ინფორმაციის

დამუშვების საშუალებებთან თანამშრომლის წვდომას , ან ,თუ საქმე ეხება მაღალი

მგრძნობელობის მქონე ინფორმაციას, მაგალითად, ფინანსურ ინფორმაციას, ან სხვა

კონფიდენციალურ ინფორმაციას, ორგანიზაციამ უნდა ჩაატაროს უფრო დეტალური შემოწმება.

პროცედურებმა უნდა განსაზღვროს კრიტერიუმები და შეზღუდვები შემოწმებისთვის,

მაგალითად: ვის აქვს უფლება მოახდინოს გადამოწმება და თუ როგორ გააკეთოს ეს, ასევე

რატომ და როდის ტარდება გადამოწმება.

გადამოწმების პროცესი აგრეთვე უნდა განხორციელდეს კონტრაქტორებისა და მესამე მხარის

მომხმარებლებისთვის. თუ კონტრაქტორები სააგენტოს საშულებით არიან აყვანილი,

კონტრაქტში ნათლად უნდა იყოს ჩამოყალიბებული სააგენტოს მოვალეობები იმასთან

დაკავშირებით, როგორ განახორციელოს გადამოწმებისა და შეტყობინების პროცედურები, იმ

შემთხვევაშ თუ გადამოწმება არ დასრულებულა, ან საეჭვო შედეგებია. იგივე უნდა მოხდეს

(იხილეთ პარაგრაფი 6.2.3.) მესამე მხარესთან დაკავშირებითაც.


41

ინფორმაცია ყველა კანდიდატის შესახებ უნდა შეგროვდეს და გაანალიზდეს შესაბამისი

არსებული კანონმდებლობის მიხედვითა და მისი სრული დაცვით.

8.1.3. სახელშეკრულებო პირობები


თანამშრომელმა, კონტრაქტორმა და მესამხე მხარის მომხმარებელმა თანხმობა უნდა

დაადასტუროს შრომით ხელშეკრულებაზე ხელმოწერით, რომელშიც ნათლად არის გაწერილი

მათი და ორგანიზაციის პასუხიმგებლობები ინფორმაციული უსაფრთხოების თვალსაზრისით.


ქვემოთ ჩამოთვლილი საკითხების ჩამოყალიბებასთან და განმტკიცებასთან ერთად,

სამუშაო პირობებში უნდა აისახოს ორგანიზაციის უსაფრთხოების პოლიტიკა: ა) ყველა

თანამშრომელმა, კონტრაქტორმა და მესამე მხარის მომხმარებელმა, რომელთაც აქვთ

კონფიდენციალურ ინფორმაციაზე წვდომა, ინფორმაციის დამუშავების საშუალებებზე

წვდომამდე ხელი უნდა მოაწერონ ხელშეკრულებას კონფიდენციალობის და გაუმჟღავნებლობის

შესახებ;

ბ) თანამშრომელთა, კონტრაქტორებისა და სხვა ნებისმიერი მომხმარებლის იურიდიული

პასუხიმგებლობა და უფლებები (მაგ. საავტორო უფლებების შესახებ კანონი, ან მონაცემთა

დაცვის კანონმდებლობა იხ. 15.1.1. და 15.1.2);

გ) ინფორმაციის კლასიფიკაციისა და ორგანიზაციის აქტივების მართვა, რაც დაკავშირებულია

ინფორმაციულ სისტემებთან, მომსახურებასთან და რასაც უზრუნველყოფს თანამშრომელი,

კონტრაქტორი და მესამე მხარის მომხმარებელი (იხილეთ 7.2.1 და 10.7.3);

დ) თანამშრომლის, კონტრაქტორის და მესამე მხარის პასუხისმგებლობა სხვა კომპანიებიდან და

გარე წყაროებიდან მიღებული ინფორმაციის კონტროლზე;

ე) ორგანიზაციის პასუხისმგებლობა პირადი ინფორმაციის კონტროლზე, რომელშიც შედის

ორგანიზაციასთან მუშობის შედეგად ან მუშაობის დროს შექმნილი პირადი ინფორმაცია.15.1.4);

ვ) პასუხისმგებლობა, რომელიც სცილდება ორგანიზაციის შენობას და სამუშაო საათებს,

მაგალითად, სახლში მუშაობის შემთხვევაში (იხ. 9.2.5 და 11.7.1);

ზ) ქმედებების ჩამონათვალი იმ შემთხვევებისთვის, თუ თანამშრომელი, კონტრაქტორი, ან

მესამე მხარის მომხმარებელი უგულვებელყოფს ორგანიზაციის უსაფრთხოების მოთხოვნებს (იხ.

8.2.3).

ორგანიზაცია უნდა დარწმუნდეს, რომ თანამშრომლები, კონტრაქტორები და მესამე მხარის

წარმომადგენლები ეთანხმებიან როგორც ინფორმაციის უსაფრთხოებასთან დაკავშირებულ

პირობებს, ისე წვდომის უფლებებს, რაც მათ ინფორმაციული სისტემებისა და მომსახურებების

სარგებლობის დროს ექნებათ.

როდესაც შესაძლებელია, პასუხისმგებლობები, შრომითი ურთიერთობების შეწყვეტიდან

განსაზღვრული პერიოდის მანძილზ ძალაში უნდა დარჩეს სამუშაო პირობებით

გათვალისწინებული ე (იხ. 8.3).


42


შესაძლებელია სტანდარტი ჩაანაცვლოს ქცევის კოდექსის გამოყენებამ, რომელშიც შევა

თანამშრომლის, კონტრაქტორის, ან მესამე მხარის პასუხისმგებლობა, რომელმაც უნდა

გაითვალისწინოს პოლიტიკით განსაზღვრული შეზღუდვები, დაშვებები და მოქმედების წესი.

8.2. დასაქმებულობის დროს

მიზანი: თანამშრომლები, კონტრაქტორები და მესამე მხარის მომხმარებლები უნდა

აცნობიერებდნენ ინფორმაცასთან დაკავშირებულ საფრთხეებს, მათ პასუხისმგებლობებსა

და ვალდებულებებს, აგრეთვე მზად უნდა იყვნენ ორგანიზაციის უსაფრთხოების

პოლიტიკის მხარდასაჭერად და ადამიანური ფაქტორით გამოწვეული შეცდომის რისკის

შემცირებლად.

უნდა განისაზღვროს მენეჯმენტის პასუხისმგებლობები, რათა უზრუნველყოფილი იყოს

ორგანიზიაში დასაქმებული პირის უსაფრთხოება.

უნდა განისაზღვროს უსაფრთხოების პროცედურების შესახებ ცოდნისა და სწავლების

შესაბამისი დონე და დასაქმებულს, კონტრაქტორებსა და მესამე მხარის მომხმარებლებს

უნდა მგადაეცეთ შესაბამისი ცოდნა ინფორმაციის დამუშავების საშუალებების სწორი

გამოყენების შესახებ, რათა შემცირდეს უსაფრთხოების შესაძლო რისკები. უნდა

ჩამოყალიბდეს ფორმალური დისციპლინარული პროცესი უსაფრთხოების დარღვევების

მართვის მიზნით.

8.2.1. ხელმძღვანელების პასუხისმგებლობა


ხელმძღვანელობამ უნდა მოსთხოვოს თანამშრომლებს, კონტრაქტორებსა და მესამე მხარეს,

ორგანიზაციაში არსებული პოლიტიკისა და პროცედურების შესაბამისად დაიცვან

ინფორმაციული უსაფრთხოების მოთხოვნები..


ხელმძღვანელობის მოვალეობაა დარწმუნებული იყოს, რომ თანამშრომლები, კონტრაქტორები

და მესამე მხარე:

ა) კარგად არიან ინფორმირებულნი ინფორმაციული უსაფრთხოების პოლიტიკასთან

დაკავშირებული მოვალეობების შესახებ, განსაკუთრებით იმ შემთხვევებში თუ მათ აქვთ წვდომა

მნიშვნელოვან ინფორმაციაზე ან ინფორმაციულ სისტემებზე;

ბ) უზრუნველყოფილნი არიან შესაბამისი სახელმძღვანელოებითა და ტრენინგით, რათა

დააკმაყოფილონ ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნები;

გ) მოტივირებულნი არიან, რომ გაატარონ ორგანიზაციაში მოქმედი უსაფრთხოების პოლიტიკა;


43

დ) როლებისა და პასუხიმგებლობების შესაბამისი უსაფრთხოების შესახებ შესაბამისი

ცნობადობის დონის მიღწევა (იხ. 8.2.2);

ე) შესაბამისობაში მოვიდნენ თანამშრომლის ქცევის წესებთან, რომელიც მოიცავს

ინფორმაციული უსაფრთხოების პოლიტიკას და შესაბამის მეთოდებს.

ვ) გააჩნიათ შესაბამისი კვალიფიკაცია და უნარები.


თუ თანამშრომლები, კონტრაქტორები, ან მესამე მხარე არ არიან შესაბამისად ინფორმირებულნი

ინფორმაციული უსაფრთხოების შესახებ, მათ შეუძლიათ ორგანიზაციას მიაყენონ

მნიშვნელოვანი ზიანი. მოტივირებული პერსონალი უფრო სანდოა და მათი მიზეზით

ინფორმაციული უსაფრთხოების ნაკლები ინციდენტი ფიქსირდება.

8.2.2. ცნობიერების ამაღლება, ინფორმირებულობა და ტრენინგი ინფორმაციულ უსაფრთხოებაში


ორგანიზაციის ყველა თანამშრომელმა, კონტრაქტორმა და მესამე მხარის მომხმარებლებმა მათი

ფუნქციების შესაბამისად უნდა გაიარონ სათანადო ტრენინგი და მიიღონ რეგულარულად

განახლებული ინფორმაცია ორგანიზაციის პოლიტიკებისა და პრიცედურების შესახებ,.

დანერგვის სახელძღვანელო მითითებები

ცნობიერების ამაღლების ტრენინგი უნდა იწყებოდეს ფორმალური შესავალით, რომლის მიზანია

წარადგინოს ორგანიზაციის უსაფრთხოების პოლიტიკები და მოლოდინები მანამ, სანამ

მინიჭებული იქნება წვდომა ინფორმაციასა ან მომსახურებებზე.

მიმდინარე ტრენინგები უნდა მოიცავდეს უსაფრთხოების მოთხოვნებს, იურიდიულ

პასუხისმგებლობებსა და ბიზნეს-პროცესების კონტროლის მექანიზმებს, ისევე როგორც,

ტრენინგს ინფორმაციის დამუშავების საშუალებების სათანადოდ გამოყენების სფეროში,

მაგალითად: სისტემაში შესვლის პრიცედურებს, პროგრამული პაკეტების გამოყენების და

დისციპლინარული პროცესის შესახებ ინფორმაციებს (იხ. 8.2.3).


უსაფრთხოების შესახებ ცნობიერების ამაღლების უნდა შეესაბამებოდეს და პასუხობდეს

როლებს, პასუხისმგებლობებსა და უნარებს, ასევე უნდა მოიცავდეს ინფორმაციას ცნობილი

საფრთხეების შესახებ, საკონტაქტო ინფორმაციას უსაფრთხოების სფეროში რჩევის მისაღებად

და ინციდენტების შესახებ ანგარიშგების სწორ არხებს (იხ. 13.1).

8.2.3. დისციპლინარული პროცესი



44

ორგანიზაციის ის თანამშრომლები, რომლებმაც უსაფრთხოების ნორმების დაცვის დროს

დაუშვეს შეცდომები (ან გადაცდომები), ჩართულნი უნდა იყვნენ დისციპლინარულ პროცესში.


დისციპლინარული პროცესი არ უნდა დაიწყოს, თუ დადგენილი არ არის ინფორმაციული

უსაფრთხოების პოლიტიკის დარღვევა (იხ. 13.2.3 მტკიცებულებების შეგროვების შესახებ).

დისციპლინარულმა პროცესმა უნდა უზრუნველყოს სწორი და სამართლიანი მოპყრობა იმ

თანამშრომლების მიმართ, რომლებიც ეჭვმიტანილნი არიან უსაფრთხოების პოლიტიკის

დარღვევაში. დისციპლინარულმა პროცესმა უნდა უზრუნველყოს სრულყოფილი პასუხის

მიღება იმ საკითხებზე, რომლებიც მოიცავენ ისეთ ფაქტორებს, როგორიცაა დარღვევის ტიპი,

სიმძიმე და მისი გავლენა ორგანიზაციაზე, მიუხედავად იმისა პირველია თუ განმეორებითი

დარღვევა, სრულყოფილად ჩაუტარდა თუ არა დამრღვევს ტრენინგი, შესაბამისი

კანონმდებლობის, ხელშეკრულებებისა და სხვა ფაქტორების მოთხოვნების შესაბამისად.

სერიოზული დარღვევისას უნდა დავუშვათ მოვალეობების მყისიერი ჩამორთმევა, საჭიროების

შემთხვევაში კი - ზედამხედველობის ქვეშ სამუშაო ადგილიდან დამრღვევის დაუყოვნებლივ

გაყვანა.


თანამშრომელთა, კონტრაქტორთა და მესამე მხარის მომხმარებლების მიერ ორგანიზაციის

უსაფრთხოების პოლიტიკისა და პროცედურების დარღვევისა და სხვა დაზიანებების პრევენციის

მიზნით გამოყენებული უნდა იქნას დისციპლინარული პროცესი.

8.3. მუშაობის შეწყვეტა ან შეცვლა

მიზანი: უზრუნველყოფა იმისა, რომ თანამშრომლები, კონტრაქტორები და მესამე მხარე

სათანადო წესების დაცვით მიდიანორგანიზაციიდან მიდიან ან იცვლიან სამუშაოს.

უნდა არსებობდეს პასუხისმგებლობები, რათა დასაქმებულის, კონტრაქტორის ან მესამე

მხარის ორგანიზაციიდან წასვლის პროცესი განხორციელდეს ორგანიზებულად. ასევე

უზრუნველყოფილ იქნას დასაქმებულზე გადაცემული მოწყობილობების დაბრუნება და

მასზე გაწერილი წვდომის ყველა უფლების ჩამორთმევა.

ორგანიზაციის შიგნით პასუხისმგებლობებისა და სამუშაოს შეცვლა უნდა იმართებოდეს

როგორც შესაბამისი პასუხისმგებლობის ან საქმიანობის შეწყვეტა ზემოთ მოყვანილი

შესაბამისად და ნებისმიერი ახალი საქმიანობის მართვა უზრუნველყოფილი უნდა იქნეს (მე-

8.1 ) შესაბამისად.

8.3.1. შეწყვეტაზე პასუხისმგებლობები


სამუშაოს შეწყვეტაზე ან შეცვლაზე პასუხისმგებლობა მკაფიოდ უნდა განისაზღვროს და

განაწილდეს.


45


შეწყვეტაზე პასუხისმგებლობები უნდა მოიცავდეს უსაფრთხოების მოქმედ მოთხოვნებს, ასევე

კონფიდენციალურობის შესახებ იურიდიულ პასუხისმგებლობებს, რომლებიც შედის

ხელშეკრულებაში (იხ. 6.1.5) და სამუშაოს პირობებს (იხ. 8.1.3), რომელიც გრძელდება

დასაქმებულის, კონტრაქტორის და მესამე მხარის მომხმარებლის მიერ სამუშაოს დასრულების

შემდეგ განსაზღვული პერიოდის მანძილზე.

კონტრაქტი თანამშრომლებთან და მესამე მხარესთან უნდა ითვალისწინებდეს

პასუხისმგებლობას და მოვალეობას, რომლებიც ძალაში დარჩება სამუშაოს დასრულების

შემდეგ.

უნდა განხორციელდეს პასუხისმგებლობის, ან სამუშაოს შეცვლის პროცესის მართვა, რადგან

აუცილებელია შესაბამისი პასუხისმგებლობის, ან სამუშაოს შეწყვეტისა და ახალი სამუშაოს და

პასუხისმგებლობის წარმოქმნის გაკონტროლება (იხ. 8.1).


ადამიანური რესურსების მართვის განყოფილება ზოგადად პასუხისმგებელია სამსახურიდან

წასვლასთან დაკავშირებულ პროცესზე და პირდაპირ მუშაობს იმ თანამშრომლის უშუალო

ხელმძღვანელთან, რომელიც ტოვებს სამსახურს, რათა უზრუნველყოს უსაფრთხოების

შესაბამისი პროცედურების დაცვა.

კონტრაქტორის შემთხვევაში სამსახურიდან წასვლის პროცესის კონტროლი შეიძლება

განახორციელოს კონტრაქტორზე პასუხისმგებელმა სტრუქტურულმა ერთეულმა.

შესაძლოა აუცილებელი გახდეს თანამშრომლების, მომხმარებლების, კონტრაქტორების ან მესამე

მხარის წარმომადგენლების ინფორმირება პერსონალთან დაკავშირებული ცვლილებებისა და

ოპერაციების შესახებ.

8.3.2. ორგანიზაციის კუთვნილი აქტივების დაბრუნება


ყველა თანამშრომელი, კონტრაქტორი, ან მესამე მხარის მომხმარებელი ვალდებულია შრომითი

ურთიერთობების დასრულებისას დააბრუნოს ორგანიზაციის კუთვნილი ქონება.


შეწყვეტის პროცესი უნდა იყოს ფორმალიზებული და უნდა მოიცავდეს ყველა გადაცემული

პროგრამული უზრუნველყოფის, კორპორაციული დოკუმენტების და აპარატურის დაბრუნებას.

სხვა ორგანიზაციის აქტივები, როგორებიცაა მობილური ტექნოლოგოოს აპარატები, საკრედიტო

ბარათები, საშვის ბარათები, პროგრამული უზრუნველყოფები, ინსტრუქციები და ელექტრონულ

მედია-მატარებელზე განთავსებული ინფორმაცია ასევე უნდა დაბრუნდეს.


46

თუ თანამშრომელმა, კონტრაქტორმა, ან მესამე მხარის წარმომადგენელმა შეისყიდა

ორგანიზაციის აღჭურვილობა, ან იყენებს საკუთარს, დაცული უნდა იქნას პროცედურები იმის

უზრუნველსაყოფად, რომ ყველა ინფორმაცია გადაეცეს ორგანიზაციას და უსაფრთხოდ

წაიშალოს აპარატურიდან (იხ.10.7.1).

იმ შემთხვევაში, თუ თანამშრომელს, კონტრაქტორს, ან მესამე მხარის მომხმარებელს მიაჩნია,

რომ მიმდინარე ოპერაციებისთვის ინფორმაცია მნიშვნელოვანია, უნდა მოხდეს ამ ინფორმაციის

დოკუმენტირება და ორგანიზაციისთვის გადაცემა.

8.3.3. წვდომის უფლებების ჩამორთმევა


შრომითი ურთიერთობების შეწყვეტის შემდეგ ყველა თანამშრომელს, კონტრაქტორს და მესამე

მხარის მომხმარებელს უნდა ჩამოერთვას ინფორმაციაზე და ინფორმაციის დამუშვების

საშუალებებზე წვდომის უფლება, ან მოხდეს უფლებების მ ოიფიკაცია ცვლილებებთან

შესაბამისად.


თანამშრომლის სამსახურიდან წასვლისას უნდა გადაიხედოს ინფორმაციულ სისტემაზე

წვდომის უფლებები. ამით განისაზღვრება აუცილებელია თუ არა წვდომის უფლებების

ჩამორთმევა. სამუშაოსთან დაკავშირებული ცვლილებები უნდა აისახოს წვდომის უფლებების

ჩმორთმევაში, რომელიც არ არის დაშვებული ახალი პოზიციისთვის. წვდომის უფლებები,

რომელიც თანამშრომელს უნდა, ჩამოერთვას ან მოხდეს მისი ადაპტაცია, გულისხმობს ფიზიკურ

და ლოგიკურ წვდომას, გასაღებს, საიდენტიფიკაციო ბარათებს, ინფორმაციის დამუშავების

საშუალებებს (იხ. 11.2.4.), მომახმარებელთა ჯგუფებში გაწევრიანება და ნებისმიერი ტიპის

დოკუმენტაციიდან ჩამოშორება, რომელიც ახდენს პიროვნების ორგანიზაციის მიმდინარე

თანამშრომლად იდენტიფიცირებას. თუ თანამშრომელმა, კონტრაქტორმა, ან მესამე მხარის

მომხმარებელმა იცოდა მოქმედი მომხმარებლის პაროლი, შრომითი ურთიერთობების

შეწყვეტის ან შეცვლის შემდეგ უნდა მოხდეს მათი შეცვლა ან გაუქმება.

ინფორმაციის დამუშვების საშუალებებზე წვდომა თანამშრომელს უნდა შეუმცირდეს ან

ჩამოერთვას მანამ, სანამ იგი შეწყვეტს, ან შეიცვლის სამუშაოს. უნდა შეფასდეს ისეთი რისკ-

ფაქტორები, როგორიცაა:

ა) კონტრაქტის შეწყვეტის მიზეზი (სამუშაოს შეცვლა, შეწყვეტა, ხელმძღვანელობის მხრიდან

მიღებული ამგვარი გადაწყვეტილება და გადაწყვეტილების მიზეზი);

ბ) თანამშრომლის, კონტრაქტორის, ან მესამე მხარის მიმდინარე ვალდებულებები;

გ) თანამშრომლის განკარგულებაში მყოფი აქტივების ღირებულება.


ზოგიერთ შემთხვევაში წვდომის უფლებები შესაძლოა ისე გადანაწილდეს, რომ ისინი

ხელმისაწვდომი იყოს არა მხოლოდ თანამშრომლებისთვის, კონტრაქტორისა და მესამე მხარის

მომხმარებლისთვის. მაგალითად: მომხმარებლების ჯგუფის იდენტიფიკატორი (ID). ასეთ

შემთხვევებში, თანამშრომლები, რომლებიც სამსახურიდან აპირებენ წასვლას, უნდა ამოვიღოთ


47

ჯგუფური წვდომის სიებიდან. პარალელურად სხვა თანამშრომლებს აეკრძალოთ ინფორმაციის

გაზიარება.

თუ სამსახურიდან წასვლა მენეჯმენტის მიერ არის ინიცირებული, შესაძლოა განაწყენებულმა

თანამშრომელმა, კონტრაქტორმა თუ მესამე მხარის მომხმარებელმა განზრახ დააზიანოს

ინფორმაცია ან მისი დამამუშვებელი საშუალებები. იმ შემთხვევაში, თუ პიროვნებები მიდიან

სამსახურიდან, შესაძლოა მათ მიერ მოხდეს ინფორმაციის შეგროვება, სამომავალოდ მისი

გამოყენების მიზნით.

9. ფიზიკური და გარემოს უსაფრთხოება

9.1. უსაფრთხოების ზონა

მიზანი: ორგანიზაციის შენობაზე, ასევე ინფორმაციაზე არაავტორიზებული ფიზიკური

წვდომის,ზიანისა და ჩარევის პრევენცია.

კრიტიკული და მნიშვნელოვანი ინფორმაციის დამუშავების საშუალებები უნდა განთავსდეს

უსაფრთხოების ზონაში, რომელიც დაცულია უსაფრთხოების განსაზღვრული

პერიმეტრებით, შესაბამისი უსაფრთხოების ბარიერებითა და შესვლაზე კონტროლით. ისინი

ფიზიკურად უნდა იყვნენ დაცულნი არაავტორიზებული წვდომის, ზიანის მიყენებისა და

ჩარევისაგან.

დაცვა უნდა შეესაბამებოდეს იდენტიფიცერებულ რისკებს.

9.1.1. ფიზიკური უსაფრთხოების პერიმეტრი


უსაფრთხოების პერიმეტრები (ბარიერი, როგორიცაა კედლები, ბარათით კონტროლირებადი

შესასვლელი, ან მისაღები, სადაც ადამიანი ზის) გამოყენებული უნდ აიქნან იმ ზონების

დასაცავად, რომლებშიც განთავსებულია ინფორმაცია და ინფორმაციის დამუშვების

საშუალებები.


ფიზიკური უსაფრთხოების პერიმეტრებისთვის გასათვალისწინებელია შემდეგი პრინციპები:

ა) ნათლად უნდა განისაზღვროს უსაფრთხოების პერიმეტრები, თითოეული პერიმეტრის

მდებარეობა და სიძლიერე დამოკიდებული უნდა იყოს პერიმეტრის შიგნით მდებარე აქტივების

უსაფრთხოების მოთხოვნებზე და რისკის შეფასების შედეგებზე;

ბ) შენობის პერიმეტრები, ან ადგილი, სადაც განთავსებულია ინფორმაციის დამუშვების

საშუალებები ფიზიკურად საიმედოდ უნდა იყოს დაცული (მაგ.: არ უნდა იყოს ნაპრალი

პერიმეტრში, ან ისეთი ზონა, სადაც შეჭრა იოლად არის შესაძლებელი); ადგილის გარე

კედლები უნდა იყოს მყარი კონსტრუქციის და ყველა გარე კარი შესაბამისად უნდა იყოს

დაცული არაავტორიზებული შეღწევისაგან კონტროლის მექანიზმებით, მაგ.: ძელაკები,

ურდულეები, სიგნალიზაცია; როდესაც პერიმეტრზე არავინაა, კარები და ფანჯრები უნდა


48

ჩაირაზოს, და გარე დაცვა განსაკუთრებით იმ ფანჯრებზე უნდა გაძლიერდეს, რომლებიც

პირველ სართულზეა;

გ) გამოყენებულ უნდა იქნას ფიზიკური შეღწევის საწინააღმდეგო საშუალებები. შენობაში

დაშვებულ უნდა იქნას მხოლოდ ავტორიზებული მომხმარებელი;

დ) სადაც სდაჭიროა, უნდა აიგოს ფიზიკური ბარიერები, რათა თავიდან იქნას აცილებული

არაავტორიზებული ფიზიკური შეღწევა;

ე) უსაფრთხოების პერიმეტრის ყველა სათადარიგო გასასვლეზე უნდა დამონტაჟდეს

სიგნალიზაცია, ჩატარდეს მონიტორინგი და ტესტირება კედლებთან დაკავშირებით, რათა

უზრუნველყოფილი იყოს წინააღმდეგობის გაწევის საჭირო დონე რეგიონული, ეროვნლი და

საერთაშორისო სტანდარტების შესაბამისად. ვ) უნდა დამონტაჟდეს რეგიონალური, ეროვნული,

ან საერთაშორისო სტანდარტების შესაბამისი დარღვევების აღმომჩენი სისტემები და უნდა

მოხდეს მათი ტესტირება ყველა გარე კარსა და ფანჯარაზე, რომელთა მეშვეობითაც შესაძლოა

განხორციელდეს წვდომა. ამ ზონებში უნდა მოხდეს განგაშის სიგნალის დამონტაჟება. დაცული

უნდა იყოს სხვა ტერიტორიებიც, მაგ.: კომპიუტერის ან კომუნიკაციების ოთახები;

ზ) ორგანიზაციის მიერ მართული ინფორმაციის დამუშვების საშუალებები მესამე მხარის მიერ

მართული ინფორმაციის დამუშავების საშუალებებისგან ფიზიკურად უნდა იყოს

გამოცალკევებული.


ფიზიკური დაცვის მიღწევა შესაძლებელია ერთი, ან მეტი ფიზიკური ბარიერის შექმნით

ორგანიზაციის შენობებისა და ინფორმაციის დამუშვების საშუალებების გარშემო. რამდენიმე

ბარიერის გამოყენება იძლევა დამატებითი დაცვის საშუალებას, სადაც ერთი ბარიერის

წარუმატებლობა არ ნიშნავს უსაფრთხოების მყისიერ დარღვევას.

უსაფრთხო ზონა შესაძლებელია იყოს ოფისი, რომელიც იკეტება, ან შიდა ფიზიკური

ბარიერებით გარშემორტყმული რამდენიმე ოთახი. უსაფრთხოების პერიმეტრის შიგნით

არსებული უსაფრთხოების სხვადასხვა მოთხოვნების მქონე ზონებს შორის ფიზიკური წვდომის

კონტროლისთვის შესაძლოა საჭირო გახდეს დამატებითი ბარიერები და პერიმეტრები.

განსაკუთრებული ყურადღება უნდა მიექცეს უსაფრთხოებას იმ შენობებში, სადაც რამდენიმე

ორგანიზაციაა განთავსებული.

9.1.2. ფიზიკური წვდომის კონტროლი


უსაფრთხოების ზონები დაცული უნდა იყოს შენობაში შესვლის შესაბამისი კონტროლით იმის

უზრუნველსაყოფად, რომ დაშვებული იყოს მხოლოდ ავტორიზებული პოერსონალი.


გათვალისწინებული უნდა იყოს შემდეგი პრინციპები:

ა) უნდა იქნას ჩაწერილი ვიზიტორის შესვლა/გასვლის თარიღი და საათი და უნდა

განხორციელდეს თითოეული მათგანის ზედამხეველობა, თუ მისი შესვლა წინასწარ არ არის


49

ნებადართული. მათ შესვლის უფლება უნდა მიენიჭოთ კონკრეტული ავტორიზებული

მიზნებისათვის;

ბ) უნდა მოხდეს იმ ზონაზე წვდომის გაკონტროლება, სადაც მუშავდება ან ინახება

მნიშვნელოვანი ინფორმაცია და ეს მხოლოდ ავტორიზებულ პირთა კომპეტენციას უნდა

წარმოადგენდეს. ასევე გამოყენებული უნდა იყოს აუთენტიფიკაციის მექანიზმები. მაგ.:

დაშვების კონტროლის ბარათს დამატებული პირადი ინდენტიფიკაციის ნომერი (PIN), რათა

ყველა წვდომა განხორციელდეს ავტორიზაციის შემდეგ. ყველა წვდომის შესახებ უნდა

წარმოებოდეს აუდიტის საკონტროლო ჩანაწერები;

გ) ყველა თანამშრომელი, კონტრაქტორი და მესამე მხარის მომხმარებელი უნდა ატარებდეს

განმასხვავებელ ნიშანს და თუ თანამშრომლები შეხვდებიან ვიზიტორს განმასხვავებელი ნიშნის

გარეშე, მაშინვე უნდა აცნობონ უსაფრთხოების პერსონალს;

დ) მესამე მხარის დამხმარე პერსონალს საჭიროებიდან გამომდინარე უნდა ჰქონდეს

შეზღუდული წვდომა უსაფრთხოების ზონაზე ან მნიშვნელოვანი ინფორმაციის დამუშვების

საშუალებებზე, . უნდა მოხდეს ამ წვდომის ავტორიზება და მონიტორინგი;

ე) უსაფრთხოების ზონებზე წვდომის უფლება რეგულარულად უნდა განიხილებოდეს და

ახლდებოდეს. საჭიროების შემთხვევაში უნდა შეიცვალოს კიდეც. იხილეთ (იხ. 8.3.3).

9.1.3. ოფისების, ოთახებისა და ძირითადი საშუალებების უსაფრთხოება


უნდა მოხდეს ფიზიკური უსაფრთხოების ოფისების, ოთახებისა და ძირითადი საშუალებების

დაპროექტება და გამოყენება.


გასათვალისწინებელია შემდეგი პრინციპები:

ა) ყურადღება უნდა მიექცეს პერსონალის ჯანმრთელობისა და შესაბამისი უსაფრთხოების

რეგულაციებსა და სტანდარტებს;

ბ) პერიმეტრზე უნდა განთავსდეს სპეციალური დანიშნულების ნაგებობები, რათა

საზოგადოების მიერ წვდომა თავიდან იქნას აცილებული;

გ) სადაც საჭიროა, შენობები არ უნდა იყოს თვალშისაცემი და მინიმალურ დონეზე უნდა

მიანიშნებდეს მის დანიშნულებაზე. შენობის შიგნით ან მის გარეთ არ უნდა იყოს შესამჩნევი

ნიშნები, რაც მიუთითებს ინფორმაციის დამუშვების აქტივობებზე;

დ) უნდა არსებობდეს საძიებელი და შიდა სატელეფონო წიგნები, რომელშიც მითითებული

იქნება მნიშვნელოვი ინფორმაციის დამუშვების საშუალებების ადგილმდებარეობა. ეს

ინფორმაცია მარტივად ხელმისაწვდომი უნდა იყოს უფლებამოსისლი პირებისათვის.


50

9.1.4. გარე და გარემო ფაქტორების საფრთხეებისაგან დაცვა


უნდა დაიგეგმოს და განმოიყენებოდეს ფიზიკური დაცვა ხანძრის, წყალდიდობის, მიწისძვრის,

აფეთქების, სამოქალაქო არეულობითა და სხვა ადამიანის მიერ თუ ბუნების ძალით გამოწვეული

უბედურებისაგან.


გათვალისწინებული უნდა იყოს ნებისმიერი საფრთხე, რომელიც მომდინარეობს მიმდებარე

შენობებიდან, მაგ.: ხანძარი მეზობელ შენობაში, წყლის გაჟონვა ან აფეთქება ქუჩაში;

ზემოთ ჩამოთვლილი უბედური შემთხვევების თავიდან ასაცილებლად გასათვალისწინებელია

შემდეგი საკითხები:

ა) სახიფათო და აალებადი მასალები უნდა ინახებოდეს უსაფრთხოების ზონიდან მოშორებით.

მარაგები, როგორიცაა საკანცელარიო ნივთები, არ უნდა ინახებოდეს უსაფრთხოების ზონაში;

ბ) საერეზრვო აპარატურა და ინფორმაციის სარეზერვო ასლები უნდა განთავსდეს ცენტრალური

ადგილმდებარეობიდან ისეთი დაშორებით, რომ მას ზიანი ვერ მიაყენოს უბედურმა შემთხვევამ;

გ) უზრუნველყოფილი უნდა იყოს შესაბამისი ხანძარსაწინააღმდეგო მოწყობილობის განთავსება;

9.1.5. უსაფრთხო ზონებში მუშაობა


უსაფრთხო ზონაში მუშაობისათვის უნდა დაიგეგმოს და განხორციელდეს ფიზიკური დაცვის

ნორმები და პრინციპები.



ა) პერსონალს უნდა გააჩნდეს უსაფრთხოების ზონის არსებობისა და მის შიგნით მიმდინარე

პროცესების შესახებ აუცილებელი ცოდნა;

ბ) უსაფრთხოების ზონაში ზედამხედველობის გარეშე მუშაობა არ არის მიზანშეწონილი როგორც

უსაფრთხოების თვალსაზრისით, ისე სხვა არასასურველი ქმედებების თავიდან აცილების

მიზნითაც;


51

გ) თავისუფალი უსაფრთხოების ადგილები ფიზიკურად უნდა ჩაიკეტოს და პერიოდულად

შემოწმდეს;

დ) ფოტოგრაფიული, ვიდეო, აუდიო ან სხვა ჩამწერი აპარატურა, როგორიცაა კამერები

მობილურ აპარატებში, უნდა აიკრძალოს, თუ ეს აპარატურა ავტორიზებული არ არის.

უსაფრთხოების ზონაში მუშაობა გულისხმობს თანამშრომელთა, მესამე მხარის მომხმარებელთა

და კონტრაქტორთა კონტროლს და ასევე სხვა მესამე მხარის ქმედებების კონტროლს.

9.1.6. საჯარო წვდომის, მიწოდებისა და ჩამოტვირთვის ადგილი


უნდა გაკონტროლდეს წვდომის პუნქტები, როგორიცაა ინფორმაციის მიწოდებისა და

ჩამოტვირთვის ადილი და სხვა პუნქტები, სადაც შესაძლოა შევიდნენ არაავტორიზებული

პირები. თუ შესაძლებელია, უნდა მოხდეს ინფორმაციის დამუშავების საშუალებებიდან მათი

იზოლირება არაავტორიზებული წვდომის თავიდან ასაცილებლად.

დანერგის სახელმძღვანელო მითითებები


ა) მიწოდების და ჩამოტვირთვის ადგილზე წვდომა შეზღუდული უნდა იყოს მხოლოდ

იდენტიფიცირებულ და ავტორიზებულ პერსონალზე;

ბ) მიწოდების და ჩამოტვირთვის არეალი ისე უნდა იყოს მოწყობილი, რომ მარაგის ატვირთვა

განხორციელდეს მომწოდებელი მხრის მიერ შენობის სხვა ნაწილებში შესვლის გარეშე;

გ) მიწოდებისა და ჩამოტვირთვის ადგილის გარე კარი დაცული უნდა იყოს იმ შემთხვევაში,

როდესაც შიდა კარი ღიაა, რათა თავიდან იქნას აცილებული არასანქცირებული წვდომა;

დ) პოტენციური საფრთხის (იხ. 9.2.1.დ) თავიდან ასაცილებლად შემოსული მასალები მანამდე

უნდა შემოწმდეს, სანამ ეს მასალა მიწოდებისა და ჩამოტვირთის ზონიდან გამოყენების პუნქტში

გადავა;

ე) შემოსული მასალა ტერიტორიაზე მოხვედრისთანავე უნდა დარეგისტრირდეს აქტივების

მართვის პროცედურების შესაბამისად (იხ. 7.1.1).

ვ) შემომავალი და გამავალი ტვირთები შეძლებისდაგვარად უნდა განცალკევდეს.

9.2. აპარატურის უსაფრთხოება

მიზანი: აქტივის დაზიანების, დაკარგვის, ქურდობისა და ორგანიზაციის საქმიანობის


52

შეწყვეტის თავიდან აცილება.

აპარატურა დაცული უნდა იყოს ფიზიკური და გარე ფაქტორების საფრთხეებისაგან.

აპარატურის დაცვა (ექსპლოატაციის ადგილიდან მოშორებით გამოყენებული და გატანილი

საკუთრების ჩთვლით) აუცილებელია ინფორმაციაზე არაავტორიზებული წვდომის რისკის

შესამცირებლად, ზიანისა და დანაკარგის თავიდან ასაცილებლად. ეს ასევე უნდა

ითვალისწინებდეს აპარატურის განთავსებასა და განკარგვას. შესაძლოა საჭრო

გახდესსპეციალური კონტროლი ფიზიკური საფრთხისგან დაცვის და დამხმარე

საშუალებების უსაფრთხოების მიზნით, როგორიცაა ელექტრო ენერგიის მოწოდება და

კაბელების ინფრასტრუქტურა.

9.2.1. აპრატურის განლაგება და დაცვა


აპარატურა უნდა მოთავსდეს და დაცული იქნას ისე, რომ შემცირდეს გარე ფაქტორებით

გამოწვეული საფრთხე და არავტორიზებული წვდომის შესაძლებლობა.


აპარატურის დასაცავად გასათვალისწინებელია შემდეგი პრინციპები:

ა) აპარატურა ისე უნდა დაინსტალირდეს, რომ სამუშაო ზონაში შემცირდეს არააუცილებელი

წვდომა;

ბ) ინფორმაციის დამუშავების საშუალებები, რომლებსაც შეხება აქვთ მნიშვნელოვან

მონაცემებთან, ისე უნდა განლაგდეს და მათი დანახვის კუთხე ისე შეიზღუდოს, რომ შემცირდეს

არაავტორიზებული პირების მიერ ინფორმაციაზე წვდომა, ასევე უნდა მოხდეს შენახვის

საშუალებების დაცვა;

გ) აპარატურა, რომელიც განსაკუთრებულ დაცვას მოითხოვს, იზოლირებული უნდა იყოს, რათა

შემცირდეს არსებული რისკის საერთო დონე;

დ) უნდ ადაწესდეს შესაბამისი კონტროლი, რათა შემცირდეს პოტენციური ფიზიკური საფრთხის

რისკი, მაგ.: ქურდობა, ხანძარი, აფეთქება, წყალი (წყლის მარაგის შეფერხება), კვამლი, მტვერი,

ვიბრაცია, ქიმიური ეფექტი, ელექტროენერგიის მიწოდების შეფერხება, ელექტრომაგნიტური

რადიაცია და ვანდალიზმი;

ე) უნდა დადგინდეს ინფორმაციის დამუშავების საშუალებების სიახლოვეს კვებისა და მოწევის

წესები;

ვ) უნდა განხორციელდეს ტემპერატურის, ტენიანობის მონიტორინგი;

ზ) ყველა შენობაზე უნდა დამონტაჟდეს მეხამრიდი და მეხამრიდის ფილტრები უნდა მოერგოს

ყველა შემომავალ ენერგო და კომუნიკაციის ხაზებს;

თ) ინდუსტრიულ გარემოში აპრატურისთვის გათვალისწინებული უნდა იქნას სპეციალური

დაცვის მეთოდების გამოყენება, როგორიცა მემბრანიანი კლავიატურა და ა.შ.


53

ი) აპარატურა, რომელიც მნიშვნელოვან ინფორმაციას ამუშვებს, დაცული უნდა იყოს იმგვარად,

რომ შემცირდეს გამოსხივების გამო ინფორმაციის გაჟონვის რისკი.

9.2.2. დამხმარე კომუნალური მომსახურებები


აპრატურა დაცული უნდა იყოს ენერგომოწოდების შეფერხებებისაგან დაკომუნალური

მომსახურებისთან დაკავშირებული სხვა მიზეზით გამოწვეული შეფერხებებისგან.


ყველა დამხმარე კომუნალური მომსახურება, როგორიცაა ელექტროენერგია, წყლის მოწოდება,

კანალიზაცია, გათბობა/ვენტილაცია და კონდიცირება, უნდა შეესაბამებოდეს იმ სისტემებს,

რომლის მხარდაჭერასაც თავად უზრუნველყოფენ. უნდა მოხდეს მათი რეგულარული

შემოწმება და ტესტირება. უზრუნველყოფილი უნდა იყოს ისეთი ელექტრო მომარაგება,

რომელიც შეესაბამება აპარატურის მწარმოებლის მახასიათებლებს.

რეკომენდირებულია უწყვეტი ელექტრო კვების (UPS) სისტემის უზრუნველყოფა იმ

აპარატურისთვის, რომელიც კრიტიკული ბიზნეს-ოპერაციის მხარდაჭერას ახორციელებს. ელ.

ენერგიასთან დაკავშირებული გაუთვალისწინებელი შემთხვევების გეგმა უნდა მოიცავდეს იმ

ქმედებებს, რომლებიც უნდა განხორციელდეს უწყვეტი ელექტრო კვების (UPS) სისტემის

მუშობის შეფერხებისას. გათვალისწინებული უნდა იყოს სარეზერვო გენერატორი, იმ

შემთხვევისთვის თუ ელ/ენერგიის ხანგრძლივი მიუწოდებლობის შემთხვევაში საჭირო გახდა

დამუშვების გაგრძელება. გენერატორის ხანგრძლივი მუშაობის უზრუნველსაყოფად საჭიროა

საწვავის შესაბამისი მარაგი. უნდა მოხდეს უწყვეტი ელექტრო-კვების (UPS) სისტემის შემოწმება

მწარმოებლის რეკომენდაციების გათვალისწინებით. დამატებით, გათვალისწინებული უნდა

იყოს ელექტროენერგიის რამოდენიმე წყაროს გამოყენება, ან თუ ტერიტორია დიდია, უნდა

დამონტაჟდეს ცალკე ენერგო ქვესადგური.

სარეზერვო კვების გამომრთველები უნდა განთავსდეს ავარიულ გასასვლელებთან ახლოს, იმ

ოთახებში, სადაც აპარატურა დგას იმისთვის, რომ ავარიული მდგომარეობის დროს სწრაფად

მოხდეს ელ. ენერგიის გამორთვა. ასევე ელ.ენერგიის მიუწოდებლობის შემთხვევაში

უზრუნველყოფილი უნდა იყოს ავარიული განათება.

წყალი სტაბილურად უნდა მიეწოდებოდეს და ამარაგებდეს კონდიცირების, დამატენიანებელ

აპარატურას და ხანძარსაწინააღმდეგო სისტემებს (სადაც გამოიყენება). წყლის შეფერხებით

მიწოდებამ შესაძლოა დააზიანოს აპარატურა, ან ხანძარსაწიააღმდეგო სისტემა. უნდა შეფასდეს

პოტენციური საფრთხეები და საჭიროების შემთხვევაში დაინსტალირდეს სიგნალიზაციის

სიტემა.

სატელეკომუნიკაციო აპარატურა უნდა შეუერთდეს მომსახურების მომწოდებელს მინიმუმ ორი

სხვადასხვა ხაზით, რათა თავიდან ავიცილოთ ერთი მათგანის გათიშვით გამოწვეული ზიანი.

ხმოვანი მომსახურება უნდა შეესაბამებოდეს ავარიული კავშირების ადგილობრივ

საკანონმდებლო მოთხოვნებს.


დენის უწყვეტად მიწოდების უზრუნველყოფის ერთ-ერთი ვარიანტია მომარაგების რამდენიმე

არხის მიყვანა კრიტიკულ ინფრასრტუქტურამდე.


54

9.2.3. კაბელების სისტემის უსაფრთხოება


უნდა განხორციელდეს ელექტროენერგიისა და ტელეკომუნიკაციების, ან დამხმარე

მომსახურებების დაცვა დაზიანებისგან, ან მოსმენისგან.



ა) ელექტროენერგიისა და ტელეკომუნიკაციების ხაზები, ინფორმაციის დამუშვების

საშუალებები, სადაც შესაძლებელია, მიწის წვეშ უნდა იყოს განთავსებული, ან

უზრუნველყოფილ იქნას დაცვის ალტერნატიული საშუალებები;

ბ) ქსელის კაბელი დაცული უნდა იყოს არაავტორიზებული მოსმენისა და დაზიანებისაგან, მაგ.:

გადაცემის დაცული არხის გამოყენება, ან მთავარი მარშრუტის საჯარო ადგილებისგან არიდება;

გ) კვების კაბელები უნდა გამოცალკევდეს კომუნიკაციების კაბელებისგან;

დ) უნდა მოხდეს კაბელების იდენტიფიცირებადი და აპარატურის მარკირების გამოყენება, რომ

შემცირდეს არასწორ გამოყენებასთან დაკავშირებული შეცდომები, როგორიცაა შემთხვევით

პატჩების დაყენება, ან ქსელის კაბელების დანიშნულების ადგილამდე არასწორად მიყვანა;

ე) უნდა გამოიყენებოდეს დოკუმენტირებული პატჩების სია, იმისათვის რომ შემცირდეს

შეცდომების შესაძლებლობა;

ვ) მნიშვნელოვანი ანდა კრიტიკული სისტემების შემდგომი კონტროლისთვის

გასათვალისწინებელია:

1) ბრონირებული გადამცემი არხის დაინსტალირება, ჩაკეტილი ოთახები და ყუთები

შემოწმებისა და სარისკო პუნქტებში.

2) ალტერნატირული მარშუტებისა და გადამცემი საშუალებების გამოყენება შესაბამისი

უსაფრთხოების უზრუნველყოფით;

3) ოპტიკურ-ბოჭკოვანი კაბელების გამოყენება;

4) ელექტრომაგნიტური დაცვის გამოყენება კაბელებისათვის;

5) ტექნიკური გაწმენდების და ფიზიკური შემოწმების დაწყება კაბელებზე

არაავტორიზებული მოწყობილობების მიერთების პრევენციის მიზნით;

6) კონტროლირებადი წვდომა პაჩ-პანელებზე და კაბელის ოთახებზე;

9.2.4. აპარატურის მხარდაჭერა



55

აუცილებელია, რომ აპრატურა ტექნიკურად გამართული იყოს, რათა უზრუნველვყოთ მისი

ხელმისაწვდომობა და გამართულად მუშაობა.


გასათვალისწინებელია შემდეგი პრონციპები:

ა) აპარატურის მხარდაჭერა უნდა განხორციელდეს მომწოდებლის მიერ რეკომენდირებული

მომსახურების ინტერვალებით და მახასიათებლებით;

ბ) მხოლოდ ავტორიზებული ტექნიკური მომსახურების თანმშრომლებმა უნდა განახორციელონ

აპარატურის რემონტი და მხარდაჭერა;

გ) უნდა მოხდეს ყველა ხარვეზის, აგრეთვე პრევენციული და სარემოტო ტექნიკური

სამუშაოების ჩაწერა;

დ) აპრატურის ტექნიკური უზრუნველყოფის გრაფიკთან დაკავშირებით უნდა განხორცილედეს

შესაბამისი კონტროლი და შემოწმდეს ასრულებენ თუ არა ამ გრაფკს ადგილობრივი

თანამშრომლები. საჭიროების შემთხვევაში, წაიშალოს მგრძნობიარე (სენსიტიური) ინფორმაცია

აპრატურიდან, ან სათანადოდ იქნას შემოწმებული მომსახურე პერსონალი.

ე) უზრუნველყოფილი უნდა იყოს სადაზღვევო პოლისის მიერ დაკისრებული ყველა მოთხოვნის

შესრულება.

9.2.5. აპრატურის უსაფრთხოება ტერიტორიის გარეთ


უსაფრთხოება უნდა შეეხოს ტერიტორიის გარეთ მდებარე აპრატურასაც, ორგანიზაციის

ტერიტორიის გარეთ მუშაობის სხვადასხვა რისკის გათვალისწინებით.


ორგანიზაციის ტერიტორიის გარეთ არსებული ინფორმაციის დამუშვების აპრატურის

გამოყენების უფლება მფლობელობის მიუხედავად უნდა გასცეს მენეჯმენტმა.


ა) დაუშვებელია საჯარო ადგილებში შენობიდან გატანილი აპრატურისა და საშუალებების

ზედამხედველობის გარეშე დატოვება; პორტატული კომპიუტერები უნდა იყოს გატანილი

როგორც ხელბარგი, როდესაც შესაძლებელია, მოგზაურობისას უნდა მოხდეს მათი შენიღბვა;

ბ) გასათვალისწინებელია აპრატურის დაცვასთან დაკავშირებით მწარმოებლის ინსტრუქციები;

გ) სახლში მუშობის კონტროლი უნდა განისაზღვროს რისკის შეფასების საშუალებით და

დაწესდეს შესაბამისი კონტროლის მექანიზმები: მაგ.: ჩასაკეტი დოკუმენტების შესანახი კარადა.

სუფთა მაგიდის პრინციპი, კომპიუტერებზე წვდომის კონტროლი და უსაფრთხო კავშირი

ოფისებთან;

დ) სამუშაო ტერიტორიის გარეთ მდებარე აპრატურის დასაცავად უნდა არსებობდეს შესაბამისი

სადაზღვევო პასუხიმგებლობა.


56

უსაფრთხოების რისკები, მაგ.: დაზიანება, ქურდობა, მოსმენა, შესაძლოა შესამჩნევად შეიცვალოს

ადგილმდებარეობებიდან გამომდინარე. ამდენად, კონტროლის განსაზღვრისას აღნიშნული

ფაქტორი გათვალისწინებული უნდა იყოს.


ინფორმაციის დამუშავებისა და შენახვის აპარატურა მოიცავს პერსონალური კომპიუტერების

ყველა ფორმას, აგრეთვე ორგანაიზერებს, მობილურ ტელეფონებს, სმარტ ბარათებს, ქაღალდს ან

სხვა ფორმას, რომელიც სახლში სამუშაოდ გამოიყენება, ან გადაადგილდება ჩვეული სამუშაო

ადგილიდან. მეტი ინფორმაცია მობილური მოწყობილობის დაცვის შესახებ იხილეთ 11.7.1.

9.2.6. აპრატურის ხმარებიდან ამოღება ან ხელმეორედ გამოყენება


ინფორმაციის შენახვის საშუალებების შემცველი ხმარებიდან ამოღებული აპარატურა უნდა

შემოწმდეს იმის დასადგენად, განხორციელდა თუ არა სენსიტიური ინფორმაციისა და

ლიცენზირებული პროგრამული უზრუნველყოფის დეინსატალაცია, ან უსაფრთხოდ გადაწერა.


მნიშვნელოვანი ინფორმაციის შემცველი მოწყობილობა ფიზიკურად უნდა განადგურდეს, ან

საკუთრივ ინფორმაცია წაიშალოს, ან გადაეწეროს სხვა მასალა, იმ ფორმით, რომ ინფორმაციის

ორიგინალის აღდგენა ვერ მოხდეს. ამისთვის გამოყენებული უნდა იქნას სპეციალური ტექნიკა

და არა უბრალოდ სტანდარტული წაშლის ან დაფორმატების ფუნქცია.


დაზიანებული მოწყობილობისთვის, რომელიც მნიშვნeლოვან ინფორმაციას შეიცავს, შესაძლოა

საჭირო გახდეს რისკის შეფასება იმის დასადგენად განხორციელდეს თუ არა აპარატურის

ფიზიკური განადგურება, თუ გაიგზავნოს შესაკეთებლად, ან წაიშალოს ინფორმაცია.

შესაძლოა მოხდეს ინფორმაციის საფრთხის ქვეშ დაყენება მოწყობილობის დაუდევრად

გაცემის, ან ხელმეორედ გამოყენების გამო (იხ. 10.7.2)

9.2.7. საკუთრების გადაადგილება


აპარატურა, ინფორმაცია თუ პროგრამული უზრუნველყოფა არ უნდა იქნას გატანილი

ტერიტორიიდან წინასწარი ავტორიზაციის გარეშე.


გასათვალისწინებელია შედეგი პრინციპები:


57

ა)აპარატურა, ინფორმაცია, თუ პროგრამული უზრუნველყოფა წინასწარი ავტორიზაციის

გარეშე არ უნდა იქნას ტერიტორიიდან გატანილი;

ბ) უნდა მოხდეს იმ თანამშრომელთა, კონტრაქტორთა და მესამე მხარის მომხმარებელთა

ცალსახა იდენტიფიცირება, რომლებსაც უფლება აქვთ ტერიორიიდან საკუთრების

გატანის ნებართვა გასცენ;

გ) უნდა განისაზღვროს აპარატურის გატანის ვადა და შემოწმდეს დაბრუნების ფაქტი;

დ) საჭიროებისამებრ უნდა მოხდეს ინფორმაციის ჩაწერა აპრატურის გატანა -

დაბრუნების შესახებ;


საკუთრების არაავტორიზებული გატანის აღმოჩენის მიზნით შესაძლოა ჩატარდეს შერჩევითი

რევიზიები არაავტორიზებული ჩამწერი მოწყობილობების, ან იარაღების აღმოსაჩენად და მათი

ტერიტორიაზე შემოტანის პრევენციის მიზნითაც. ასეთი რევიზია უნდა ჩატარდეს კანონებისა

და რეგულაციების შესაბამისად. პიროვნებებს უნდა ეცნობოთ რევიზიის შესახებ და შემოწმება

უნდა განხორცილედეს იურიდული და მარეგულირებელი მოთხოვნების შესაბამისად.

10. კომუნიკაციებისა და ოპერაციების მართვა

10.1. საოპერაციო პროცედურები და პასუხისმგებლობის განაწილება

მიზანი: ინფორმაციის დამუშავების საშუალებების სწორი და უსაფრთხო მუშაობის

უზრუნველყოფა.

ინფორმაციის დამუშავების ყველა საშუალების მართვისა და ფუნქციონირებისთვის უნდა

დადგინდეს შესაბამისი ვალდებულებები და პროცედურები. ეს საკუთარ თავში მოიცავს

შესაფერისი ოპერაციული პროცედურების შემუშავებას.

იქ, სადაც ამის საჭიროება იკვეთება, უნდა მოხდეს ვალდებულებების გამიჯვნა, რათა

შემცირდეს სისტემის არასწორად გამოყენების უნებლიე, ან მიზანმიმამრთული ქმედების

რისკი.

10.1.1. დოკუმენტირებული ოპერაციული პროცედურები


ოპერაციული პროცედურები უნდა იყვნენ დოკუმენტირებული, მუდმივად მუშა

მდგომარეობაში და ხელმისაწვდომი ნებისმიერი მომხმარებლისთვის, რომელსაც ისინი

სჭირდება.


უნდა მომზადდეს დოკუმენტირებული პროცედურები სისტემური ქმედებების ტიპებისთვის,

რომლებიც უკავშირდება ინფორმაციის დამუშავების და ინფორმაციის გაცვლის საშუალებებს,


58

როგორებიცაა კომპიუტერის ჩატვირთვის და მუშაობის შეწყვეტის პროცედურები, სარეზერვო

ასლების შექმნა, მოწყობილობების მომსახურება, ინფორმაციის მატარებლებთან მოპყრობა,

კომპიუტერების ოთახის და კორესპონდენციების დამუშავების მართვა, აგრეთვე უსაფრთხოება.

ოპერაციულმა პროცედურებმა უნდა განსაზღვრონ თითოეული სამუშაოს განხორციელების

დეტალური ინსტრუქციები ქვემოთ ჩამოთვლილი საკითხების გათვალისწინებით:

ა) ინფორმაციის დამუშავება და მოპყრობა;

ბ) სარეზერვო ასლები (იხ. 10.5);

გ) მოთხოვნების დაგეგმვა - სხვა სისტემებთან ურთიერთდამოკიდებულების, ყველაზე

ადრიანი სამუშაოს დაწყების და ყველაზე გვიანი სამუშაოს დამთავრების დროების

ჩათვლით;

დ) სამუშაოს შესრულების დროს წამოჭრილ შეცდომებზე და სხვა გამონაკლის

შემთხვევებზე რეაგირების ინსტრუქციები, მათ შორის დამხმარე სისტემური

პროგრამების გამოყენების შეზღუდვა (იხ. 11.5.4);

ე) მხარდამჭერი კონტაქტები ექსპლუატაციის პროცესში წამოჭრილი მოულოდნელი

ტექნიკური სირთულეების შემთხვევაში;

ვ) სპეციალური ინსტრუქციები ინფორმაციის გამოტანისთვის და ინფორმაციის

მატარებლებთან მოპყრობისთვის, მაგალითად, სპეციალური საკანცელარიო საქონლის

გამოყენება, ან კონფიდენციალური ინფორმაციის გამოტანის მართვა; მათ შორის,

წარუმატებელი სამუშაოს (იხ. 10.7.2. და 10.7.3) შედეგების ხმარებიდან ამოღების

უსაფრთხოების პროცედურები;

ზ) სისტემის განმეორებით გაშვების და აღდგენის პროცედურები სისტემის მუშაობის

შეფერხების შემთხვევისთვის;

თ) კონტროლისა და აუდიტის საკონტროლო ჩანაწერების მართვა (იხ. 10.10).

ოპერაციულ პროცედურები, აგრეთვე სისტემური ქმედებების დოკუმენტირებული

პროცედურები უნდა განვიხილოთ, როგორც ოფიციალური დოკუმენტები, რომლებშიც

ნებისმიერი სახის ცვლილება უნდა მოხდეს ხელმძღვანელობის ნებართვით. იქ, სადაც ეს

ტექნიკურად განხორციელებადია, ინფორმაციული სისტემების მართვა უნდა ხდებოდეს

თანამიმდევრულად, ერთი და იმავე პროცედურების, ინსტრუმენტალური საშუალებებისა და

დამხამრე პროგრამების გამოყენებით.

10.1.2. ცვლილებების მართვა


სისტემებში და ინფორმაციის დამუშავების საშუალებებში შეტანილი ცვლილებები მართვას

უნდა ექვემდებარებოდეს.



59

ოპერაციული სისტემები და პროგრამული აპლიკაციები ცვლილებების მართვის მკაცრი

კონტროლის ქვეშ უნდა იყოს.

კონკრეტულად, განხილული უნდა იქნას შემდეგი საკითხები:

ა) მნიშვნელოვანი ცვლილებების განსაზღვრა და ჩანაწერების გაკეთება;

ბ) ცვლილებების დაგეგმვა და ტესტირება;

გ) ცვლილებების მიერ მოხდენილი გავლენის შეფასება უსაფრთხოების სისტემაზე

გავლენის ჩათვლით;

დ) შემოთავაზებული ცვლილებების დამტკიცების ფორმალური პროცედურა;

ე) ცვლილებების შესახებ დეტალური ინფორმაციის მიწოდება ყველა იმ პირისთვის,

რომლებიც საქმესთან კავშირში არიან;

ვ) გაუმართაობების გამოსწორების პროცედურები, იმ პროცედურებისა და

ვალდებულებების ჩათვლით, რომლებიც გამოიყენება წარუმატებელი ცვლილებების და

გაუთვალისწინებელი შემთხვევების დროს პროცესის შეწყვეტისა და აღდგენის

შემთხვევაში.

უნდა განისაზღვროს ხელმძღვანელობის ოფიციალური ვალდებულება და პროცედურები

აპარატურაში, პროგრამულ უზრუნველყოფაში და პროცედურებში შეტანილი ცვლილებების

დამაკმაყოფილებელი კონტროლის მიზნით. ცვლილებების შემთხვევაში უნდა ინახებოდეს

აუდიტის საკონტროლო ჩანაწრები, რომელიც შეიცავს მთელს ღირებულ და მნიშვნელოვან

ინფორმაციას.


სისტემებსა და ინფორმაციის დამუშავების საშუალებებში განხორციელებული ცვლილებების

არაადექვატური მართვა სისტემის დაცვაში არსებული ხარვეზების ძირითად მიზეზს

წარმოადგენს. საოპერაციო გარემოში მომხდარი ცვლილებებმა, განსაკუთრებით სისტემის

შემუშავების სტადიიდან მისი ექსპლუატაციის სტადიაში გადაცემის დროს, შეიძლება სისტემის

საიმედოობაზე მოახდინოს გავლენა (იხ. 12.5.1).

ოპერაციულ სისტემებში ცვლილებები უნდა განხორციელდეს მხოლოდ მკვეთრად გამოხატული

საჭიროების შემთხვევაში. სისტემის ყველაზე ბოლო ვერსიებით განახლება ყოველთვის არ შედის

ბიზნეს-პროცესების ინტერესებში, იმდენად რამდენადაც ამან შეიძლება უფრო მეტი საფრთხე და

არასტაბილურობა გამოიწვიოს, ვიდრე არსებულმა ვერსიამ. ამასთან, შესაძლოა საჭირო გახდეს

დამატებითი ტრენინგი, ლიცენზიების ღირებულება, სისტემის ტექნიკური მხარდაჭერის,

მომსახურების და ადმინისტრირების ხარჯები, ახალი აპარატურული უზრუნველყოფა,

განსაკუთრებით მიგრაციის დროს.

10.1.3. ვალდებულებების გამიჯვნა



60

ვალდებულებები და პასუხისმგებლობის სფეროები უნდა გაიმიჯნოს, იმისთვის, რომ

შემცირდეს უნებლიე და არაავტორიზებული მოდიფიკაციების, ან ორგანიზაციის აქტივების

არასწორი გამოყენების შესაძლებლობა.


ვალდებულებების გამიჯვნა წარმოადგენს სისტემის უნებლიედ ან მიზანმიმართულად

არასწორად გამოყენების რისკების შემცირების მეთოდს. უნდა ვიზრუნოთ იმაზე, რომ არც ერთ

ადამიანს არ ჰქონდეს აქტივებზე წვდომის, მათი გამოყენების ან მოდიფიკაციის შესაძლებლობა

შესაბამისი ნებართვის გარეშე. მოვლენის ინიცირება და მისი ავტორიზება უნდა ხდებოდეს

იზოლირებულად. მართვის საშუალებების დაგეგმვისას განხილული უნდა იქნას კოლიზიის

(ორგანიზაციისთვის საზიანო საიუდუმლო შეთანხმება) შესაძლებლობა.

მცირე ორგანიზაციებში ვალდებულებების გამიჯვნა შეიძლება რთულად განსახორციელებელი

ჩანდეს, მაგრამ მისი პრინციპი იმდენად უნდა იქნას გამოყენებული, რამდენადაც ეს

შესაძლებელი და პრაქტიკაში განხორციელებადია. ყოველთვის, როდესაც გამიჯვნა

შეუძლებელი ხდება, გამოყენებული უნდა იქნას მართვის სხვა საშუალებები, როგორიცაა

ქმედებების მუდმივი კონტროლი, აუდიტის საკონტროლო ჩანაწერები და ხელმძღვანელობის

ზედამხედველობა. მნიშვნელოვანია, რომ უსაფრთხოების სისტემის კონტროლი

დამოუკიდებელი დარჩეს.

10.1.4. შემუშავების, ტესტირებისა და ოპერაციული საშუალებების გამიჯვნა


შემუშავების, ტესტირებისა და ოპერაციული საშუალებები უნდა გაიმიჯნოს, იმისათვის, რომ

შემცირდეს სისტემაზე არასანქცირებული წვდომის, ან მასში ცვლილებების განხორციელების

რისკი.


უნდა მოხდეს გამიჯვნის დონეების განსაზღვრა ოპერაციულ გარემოს, ტესტირების გარემოს და

შემუშავების გარემოს შორის, იმისათვის, რომ თავიდან ავიცილოთ ექსპლუატაციასთან

დაკავშირებული პრობლემები და რეალიზებული იქნას შესაბამისი მართვის საშუალებები.

განხილული უნდა იქნას შემდეგი პუნქტები:

ა) პროგრამული უზრუნველყოფის შემუშავების სტადიიდან რეალურ რეჟიმში

ფუნქციონირების სტადიაში გადაყვანის წესები წინასწარ უნდა იქნას განსაზღვრული და

დოკუმენტურად დადასტურებული.

ბ) შემუშავებისა და საოპერაციო პროგრამული უზრუნველყოფა უნდა მუშაობდეს

სხვადასხვა სისტემებში, ან სხვადასხვა კომპიუტერულ პროცესორებზე და განსხვავებულ

დომენებსა და დირექტორიებში;


61

გ) კომპილატორები, რედაქტორები და სხვა ინსტრუმენტული საშუალებები, ან დამხმარე

პროგრამები ხელმისაწვდომი არ უნდა იყოს უშუალოდ ოპერაციული სისტემებიდან, თუ

ამის აუცილებლობა არ არსებობს;

დ) ტესტირების გარემო მაქსიმალურად მიახლოებული უნდა იყოს საოპერაციო

გარემოსთან;

ე) მომხმარებლებმა უნდა გამოიყენონ განსხვავებული პროფილები საოპერაციო და

ტესტირების სისტემებისთვის, ხოლო მენიუში უნდა აისახოს შესაბამისი

მაიდენტიფიცირებელი გზავნილები, რაც შეცდომის რისკს ამცირებს;

ვ) სისტემის სატეტსო გარემოში არ უნდა მოხდეს მგრძნობიარე მონაცემების კოპირება.


შემუშავებასა და ტესტირებასთან დაკავშირებულმა ქმედებებმა შესაძლოა სერიოზული

სირთულეები გამოიწვიოს, მაგალითად ფაილების, ან სისტემური გარემოს არასასურველი

მოდიფიკაცია, ან სისტემის მუშაობის წარუმატებლობა. ასეთ შემთხვევაში აუცილებელია

მნიშვნელოვანი ტესტირების შესრულებისთვის საჭირო ცნობილი და სტაბილური გარემოს მუშა

მდგომარეობაში შენარჩუნება.

თუ პერსონალი, რომელიც შემუშავებაში ან ტესტირებაში იღებს მონაწილეობას, ოპერაციულ

სისტემაზე წვდომის უფლებას ფლობს, მას შეუძლია გაუტესტავი და არაავტორიზებული კოდის

შეყვანა, ან საექსპლუატაციო მონაცემების შეცვლა. ზოგიერთ სისტემებში ეს შეიძლება

გამოყენებული იქნას თაღლითური ქმედების განსახორციელებლად, რამაც შესაძლოა

სერიოზული საექსპლუატაციო პრობლემები გამოიწვიოს.

პროგრამული უზრუნველყოფის შემქნელები და ისინი, ვინც მის ტესტირებას ახორციელებენ,

ინფორმაციის კონფიდენციალურობისთვის საფრთხეს წარმოადგენენ. შემუშავებისა და

ტესტირების პროცესში გატარებული ქმდებების სხვადასხვა სახეებმა შეიძლება გამოიწვიოს

პროგრამული უზრუნველყოფის, ან ინფორმაციის უნებლიე ცვლილებები. შესაბამისად,

შემუშავების, ტესტირებისა და ოპერაციული საშუალებების გამიჯვნა სასურველია, იმისათვის,

რომ შემცირდეს სისტემური პროგრამული უზრუნველყოფის და საქმიანი ინფორმაციის

უნებლიე ცვლილებების რისკი.

10.2. მესამე მხარის მიერ შემოთავაზებული მომსახურების მართვა

მიზანი: ინფორმაციისა და მომსახურების დაცვის საიმედო დონის რეალიზება და

მხარდაჭერა იმ შეთანხმებების შესაბამისად, რომლის მიხედვითაც მესამე მხარე აწარმოებს

მომსახურებას.

ორგანიზაცია უნდა ამოწმებდეს შეთანხმებების რეალიზებას, ახორციელებდეს მათი

შესრულების მონიტორინგს და მართვადეს ცვლილებებს იმისათვის, რომ შემოთავაზებული

მომსახურებები სრულად შეესაბამებოდეს მესამე მხარესთან შეთანხმებულ მოთხოვნებს.

10.2.1. მომსახურების მიწოდება


62


უზრუნველყოფილი უნდა იყოს, რომ დაცვის საშუალებები, განსაზღვრული მომსახურებები და

მისი დონეები, რომლებიც შესულია მესამე მხარესთან გაფორმებულ შეთანხმებაში,

რეალიზებულია, ოპერაციულ რეჟიმშია და მუდმივად მხარდაჭერილია მესამე მხარის მიერ.


მესამე მხარის მიერ მომსახურების გაწევა უნდა მოიცავდეს უსაფრთხოების უზრუნველყოფის

შეთანხმებულ ღონისძიებებს, მომსახურებების განსაზღვრას და მისი მართვის საკითხებს.

ღონისძიებების აუთსორსინგის შემთხვევაში ორგანიზაციამ უნდა განახორციელოს ინფორმაციის

და მისი დამუშავების საშუალებების გადაცემის დაგეგმვა და სამუშაო პროცესში მათი მუშა

მდგომარეობაში შენარჩუნების უზრუნველყოფა.

10.2.2. მესამე მხარის მიერ მიწოდებული მომსახურების მონიტორინგი და განხილვა


მესამე მხარის მიერ უზრუნველყოფილი მოსახურებაზე, ანგარიშებზე და ჩანაწერებზე უნდა

განხორციელდეს მონიტორინგი და განხილვა, ასევე რეგულარულად უნდა განხორციელდეს

აუდიტი.


მესამე მხარის მიერ გაწეული მომსახურების მონიტორინგი და განხილვა უნდა

უზრუნველყოფდეს ინფორმაციის დაცვისა და სწორი მენეჯმენტის შეთანხმებულ პირობებს. ეს

უნდა მოიცავდეს ორგანიზაციასა და მესამე მხარეს შორის მომსახურების მენეჯმენტის

ურთიერთობას და მიმდინარე პროცესს იმისთვის, რომ:

ა) შეთანხმებების შესრულების შემოწმების მიზნით მუდმივად გაკონტროლდეს

მომსახურების დონეები;

ბ) განიხილებოდეს მომსახურების შესახებ მესამე მხარის მიერ მომზადებული

ანგარიშები და რეგულარულად ჩატარდეს თათბირი სამუშაოს მსვლელობასთან

დაკავშირებით;

გ) უზრუნველყოფილი იქნას ინფორმაციის დაცვის სისტემაში ინციდენტების შესახებ

მონაცემების ასახვა და ორგანიზაციისა და მესამე მხარის მიერ ამ ინფორმაციის განხილვა;

დ) ურუნველყოფილი იქნას ინფორმაციის დაცვის სისტემაში, გაწეულ მომსახურებასთან

დაკავშირებული ექსპლუატაციური პრობლემების, გაუმართაობის და დაზიანების

შემთხვევების შესახებ მესამე მხარის აუდიტის საკონტროლო ჩანაწერების განხილვა;

ე) მოგვარდეს ყველა გამოვლენილი პრობლემა და მოხდეს მათი მართვა;

მესამე მხარესთან ურთიერთობის მართვასთან დაკავშირებული პასუხისმგებლობა უნდა

განესაზღვროს ერთ კონკრეტულ პირს, ან ჯგუფს, რომლებიც მომსახურების მენეჯმენტის

სფეროში საქმიანობენ. ამასთან, ორგანიზაციამ უნდა უზრუნველყოს, რომ მესამემ მხარეს

განესაზროს ვალდებულება შეთანხმების მოთხოვნების შესაბამისობის შემოწმებასთან

დაკავშირებით. შეთანხმების (იხ. 6.2.3) ამ მოთხოვნების შესრულების კონტროლისთვის, კერძოდ


63

კი ინფორმაციის დაცვის მოთხოვნებისთვის ხელმისაწვდომი უნდა იყოს საკმარისი ტექნიკური

უნარ-ჩვევები და რესურსები. მომსახურებაში აღმოჩენილი ნაკლოვანებების დროს გატარებული

უნდა იქნას შესაბამისი ქმედებები.

ორგანიზაციამ უნდა უზრუნველყოს სრული კონტროლის და მონიტორინგის საკმარისი ხარისხი

დაცვის ყველა ასპექტისთვის, როდესაც საქმე ეხება მნიშვნელოვან, ან კრიტიკულ ინფორმაციას,

ან ინფორმაციის დამუშავების საშუალებებს, რომლებზეც წვდომა, დამუშავება და მათი მართვა

ხორციელდება მესამე მხარის მიერ. ორგანიზაციამ უნდა განახორციელოს ინფორმაციის

დაცვასთან დაკავშირებული ქმედებების შესახებ საკუთარი დაკვირვებები, მაგალითად

ცვლილებების მართვა, სისუსტეების აღმოჩენა, ინციდენტების შესახებ ანგარიშები, რომლის

პროცესი, ფორმატი და სრუქტურა მკაფიოდ უნდა იყოს განსაზღვრული.


აუთსორსინგის შემთხვევაში, ორგანიზაცია აუცილებლად უნდა აცნობიერებდეს, რომ მესამე

მხარის მიერ დამუშავებულ ინფორმაციასთან დაკავშირებული საბოლოო პასუხისმგებლობა

ორგანიზაციას ეკისრება.

10.2.3. მესამე მხარის მიერ გაწეულ მომსახურებაში ცვლილებების მართვა


გაწეულ მომსახურებაში შეტანილი ცვლილებები, რომლებიც მოიცავენ არსებული პოლიტიკის

მხარდაჭერასა და გაუმჯობესებას, ინფორმაციის დაცვის სფეროში არსებულ პროცედურებსა და

მართვის საშუალებებს, უნდა იყოს მართული პროცესში ჩართული სისტემებისა და პროცესების

კრიტიკულობის გათვალისწინებით.


მესამე მხარის მიერ გაწეულ მომსახურებაში ცვლილებების მართვის პროცესი უნდა

ითვალისწინებდეს შემდეგს:

ა) ცვლილებები, რომელსაც ორგანიზაცია ახორციელებს შემდეგი პუნქტების

რეალიზებისთვის:

1. მიმდინარე შეთავაზებული მომსახურების გაუმჯობესება;

2. ახალი აპლიკაციებისა და სისტემების შემუშავება;

3. ორგანიზაციის პოლიტიკისა და პროცედურების მოდიფიკაცია, ან განახლება;

4. ინფორმაციის დაცვის სისტემაში ინციდენტების მოგვარების მართვის კონტროლის

ახალი მექანიზმები.

ბ) ცვლილებები, რომელსაც მესამე მხარე ახორციელებს შემდეგი პუნქტების

რეალიზებისთვის:

1. ქსელების ცვლილება და გაუმჯობესება;

2. ახალი ტექნოლოგიების გამოყენება;


64

3. ახალი პროდუქტების, ან ვერსიების დანერგვა;

4. ახალი ინსტრუმენტალური საშუალებები და გარემო;

5. მომსახურების წერტილების ფიზიკური ადგილმდებარეობების ცვლილებები;

6. მომწოდებელი ორგანიზაციების ცვლილებები.

10.3. სისტემის დაგეგმვა და მიღება

მიზანი: სისტემის ფუნქციონირების შეწყვეტის რისკის მინიმიზაცია.

გრძელვადიანი დაგეგმვა და მომზადება საჭიროა იმისათვის, რომ უზრუნველყოფილი იყოს

საჭირო წარმადობა და რესურსები სისტემის გამართულად მუშაობისთვის.

წარმადობის მიმართ სამომავლო მოთხოვნების პროგნოზების გაკეთება აუცილებელია,

იმისათვის, რომ შემცირდეს სისტემის გადატვირთულობის რისკი.

ახალი სისტემების საოპერაციო მოთხოვნები მათ მიღებამდე და გამოყენებამდე წინასწარ

უნდა იყოს დადგენილი, დოკუმენტურად დადასტურებული და ტესტირებული.

10.3.1. წარმადობის მართვა


რესურსების გამოყენება მუდმივად უნდა კონტროლდებოდეს და კონფიგურირდებოდეს. უნდა

კეთდებოდეს პროგნოზი წარმადობის სამომავლო მოთხოვნებთან დაკავშირებით, რათა

უზრუნველყოფილი იქნას სისტემის გამართულად მუშაობა.


ყოველი ახალი და მიმდინარე ქმედებისათვის უნდა განისაზღვროს წარმადობის მოთხოვნები.

სისტემის კონფიგურირება და მუდმივი მონიტორინგი აუცილებელია, იმისათვის, რომ

უზრუნველყოფილი იყოს და საჭიროების შემთხვევაში გაუმჯობესდეს სისტემის

ხელმისაწვდომობა და ეფექტურობა. უნდა იქნას დანერგილი აღმოჩენის საშუალებები, რათა

დროულად დაფიქსირდეს პრობლემები და გაუმართაობები. წარმადობის სამომავლო პროგნოზი

უნდა ითვალისწინებდეს ბიზნეს-პროცესებისა და სისტემურ მოთხოვნებს, აგრეთვე მიმდინარე

და პროგნოზირებულ ტენდენციებს ორგანიზაციის მიერ მონაცემების დამუშავების

შესაძლებლობების შესახებ.

განსაკუთრებული ყურადღება უნდა დაეთმოს ისეთ რესურსებს, რომელთა შეძენა მოითხოვს

დიდ დროს და დანახარჯებს; შესაბამისად, მენეჯერებმა მუდმივად უნდა აკონტროლონ

სისტემის ძირითადი რესურსები. მათ უნდა გამოავლინონ რესურსების გამოყენების

ტენდენციები, განსაკუთრებით იმ შემთხვევებში, რომლებიც ეხება ბიზნეს-აპლიკაციებს, ან

მართვის სისტემის ინსტრუმენტალურ საშუალებებს.


65

მენეჯერებმა ეს ინფორმაცია უნდა გამოიყენონ იმისათვის, რომ დროულად მოხდესსისუსტეების

გამოვლენა და ინციდენტების თავიდან აცილება, აგრეთვე იმ წამყვან პერსონალზე ზედმეტი

დამოკიდებულების თავიდან ასაცილებლად, რომლებიც შეიძლება საფრთხეს უქმნიდნენ

სისტემურ დაცვას.

10.3.2. სისტემის მიღება


უნდა განისაზღვროს ახალი ინფორმაციული სისტემების, მოდერნიზებული და ახალი

ვერსიების მიღების კრიტერიუმები და უნდა ჩატარდეს შესაბამისი ტესტირება სისტემის

შემუშავებიდან მის მიღებამდე.


მენეჯერებმა უნდა უზრუნველყონ, რომ ახალი სისტემის მიღების მოთხოვნები და

კრიტერიუმები მკაფიოდ იყოს ჩამოყალიბებული, შეთანხმებული, დოკუმენტურად

დადასტურებული და ტესტირებული. ახალი ინფორმაციული სისტემები, მოდერნიზებული და

ახალი ვერსიები წარმოებაში უნდა გადავიდეს მხოლოდ ფორმალური მიღების შემდეგ.

ფორმალურ მიღებამდე აუცილებელია შემდეგი პუნქტების განხილვა:

ა) ფუნქციონალური და კომპიუტერის წარმადობასთან დაკავშირებული მოთხოვნები;

ბ) შეცდომების შემთხვევაში აღდგენისა და ხელახალი გაშვების პროცედურები, აგრეთვე

საგანგებო გეგმები;

გ) ექსპლუატაციის რუტინული პროცედურების მომზადება და გამოცდა გარკვეული

სტანდარტების შესაბამისად;

დ) დაცვის უზრუნველყოფის შეთანხმებული საშუალებების ნაკრები;

ე) ეფექტური სამუშაო პროცედურები;

ვ) ბიზნეს-პროცესების უწყვეტობის უზრუნველყოფის ღონისძიებები (იხ. 14.1);

ზ) იმის მტკიცებულება, რომ ახალი სისტემის დაყენება არ მოახდეს ნეგატიურ

ზეგავლენას არსებულ სისტემებზე, განსაკუთრებით ყველაზე უფრო ინტენსიური

მუშაობის დროს, მაგალითად თვის ბოლოს;

თ) მტკიცებულება იმისა, რომ განხილული იქნა ახალი სისტემის გავლენა ორგანიზაციის

დაცვის სრულ სისტემაზე;

ი) ტრენინგი ახალ სისტემებთან მუშაობასა ან მათ გამოყენებაში;

კ) გამოყენების მოხერხებულობა, იმდენად რამდენადაც ეს გავლენას ახდენს

მომხმარებლის მუშაობის ხარისხზე და ამცირებს ადამიანური შეცდომების ალბათობას.

ახალი, მნიშვნელოვანი პროდუქტის შემთხვევაში, შემუშავების პროცესის ყველა სტადიაზე უნდა

განხორციელდეს კონსულტაციები პროგრამულ განყოფილებასთან და მომხმარებლებთან, რათა

მიღწეული იქნას საექსპლუატაციო ეფექტურობა სისტემის შემოთავაზებული საპროექტო


66

გადაწყვეტისთვის. უნდა ჩატარდეს შესაბამისი ტესტირება იმის დასადასტურებლად, რომ

მიღების ყველა კრიტერიუმი სრულად იქნა დაკმაყოფილებული.


მიღება შეიძლება საკუთარ თავში მოიცავდეს ოფიციალური სერტიფიცირებისა და

აკრედიტაციის პროცესს, იმის დადასტურებისთვის, რომ დაცვის მოთხოვნები სწორად იქნა

გათვალისწინებული.

10.4. მავნე და მობილური კოდისგან დაცვა

მიზანი: ინფორმაციის და პროგრამული უზრუნველყოფის მთლიანობის დაცვა.

იმისთვის, რომ თავიდან ავიცილოთ, ან აღმოვაჩინოთ მავნე კოდი, ან არაავტორიზებული

მობილური კოდი, აუცილებელია პრევენციული ღონისძიებების გატარება.

პროგრამული ინფორმაცია და ინფორმაციის დამუშავების გარემო მგრძნობიარეა ისეთი მავნე

კოდების მიმართ, როგორიცაა კომპიუტერული ვირუსი, ქსელური ჭიები, ტროიანები და

ლოგიკური ბომბები. მომხმარებლები უნდა აცნობიერებდნენ მავნე კოდებიდან მომდინარე

საფრთხეებს, მენეჯერებმა საჭიროების შემთხვევაში უნდა შემოიღონ კონტროლის

მექანიზმები, იმისთვის, რომ თავიდან აიცილონ, გამოავლინონ და გაანადგურონ მავნე

კოდები, ან მართონ მობილური კოდები.

10.4.1. მავნე კოდის კონტროლი


რეალიზებული უნდა იყოს აღმოჩენის, თავიდან აცილების და აღდგენის მართვის საშუალებები

მავნე კოდისგან თავის დასაცავად, აგრეთვე შესაბამისი პერსონალის ინფორმირების

პროცედურები.


მავნე კოდისგან დაცვა უნდა ეფუძნებოდეს მისი აღმოჩენისა და განადგურების პროგრამულ

უზრუნველყოფებს, აგრეთვე სისტემაზე წვდომის კონტროლის შესაბამის მექანიზმებს და

ცვლილებების მართვას. განხილული უნდა იქნას შემდეგი მითითებები:

ა) ფორმალური პოლიტიკის შექმნა, რომელიც არ დაუშვებს ისეთი პროგრამული

უზრუნველყოფის გამოყენებას, რომელიც არ იქნება ნებადართული (იხ. 15.1.2);

ბ) ფორმალური პოლიტიკის შექმნა იმ რისკების ასარიდებლად, რომლებიც უკავშირდება

ფაილების და პროგრამული უზრუნველყოფის მიღებას გარე ქსელებიდან, ან მათი

გავლით, ან ინფორმაციის ნებისმიერი სხვა მატარებლის შემთხვევაში;

გ) იმ პროგრამული უზრუნველყოფისა და სისტემური მონაცემების რეგულარული

განხილვა, რომლებსაც ეფუძნება კრიტიკული ბიზნეს-პროცესები. ნებისმიერი სახის

დაუდასტურებელი ფაილის, ან არაავტორიზებული ცვლილება ოფიციალურად უნდა

იქნას გამოძიებული;


67

დ) მავნე კოდის აღმომჩენი და გამანადგურებელი პროგრამის დაყენება და მუდმივად

განახლება კომპიუტერისა და ინფორმაციის მატარებლების სკანირებისთვის, როგორც

პრევენციის მიზნით, ასევე სამუშაო რეჟიმში. შემოწმება უნდა მოიცავდეს შემდეგს:

1. ელექტრონულ ან ოპტიკურ მატარებელზე არსებული, აგრეთვე ქსელიდან მიღებული

ნებისმიერი ფაილის შემოწმება;

2. ელექტრონულ წერილებზე მიმაგრებული და ჩამოტვირთული ფაილების შემოწმება

გამოყენების წინ; ასეთი შემოწმება სხვადასხვა ადგილზე უნდა განხორციელდეს,

მაგალითად ელექტრონული ფოსტის სერვერზე, პერსონალურ კომპიუტერში და

ორგანიზაციის ქსელში მოხვედრის დროს;

3. ვებ-გვერდების შემოწმება მავნე კოდის აღმოჩენის მიზნით.

ე) მავნე კოდებისგან დამცველ სისტემებთან მუშაობის, მათი გამოყენების მომზადების,

ანგარიშების წარდგენის და მავნე კოდით შეტევის შემდეგ აღდგენის პროცედურებისა და

პასუხისმგებლობების განსაზღვრა (იხ. 13.1. და. 13.2);

ვ) მავნე კოდით შეტევის შემდეგ ბიზნეს პროცესების უწყვეტობის აღდგენის შესაბამისი

გეგმების მომზადება, მონაცემებისა და პროგრამული უზრუნველყოფების ყველა

აუცილებელი სარეზერვო ასლის მომზადების ჩათვლით, აგრეთვე აღდგენის

ღონისძიებების აღწერა (იხ. 14).

ზ) ინფორმაციის რეგულარული შეგროვების პროცედურების განხორციელება,

მაგალითად საფოსტო გზავნილების გამოწერა და/ან იმ ვებ-გვერდების შემოწმება,

რომელზეც შეიძლება იყოს ინფორმაცია ახალი მავნე კოდის შესახებ;

თ) მავნე კოდთან დაკავშირებული ინფორმაციის შემოწმების პროცედურების

განხორციელება და გამაფრთხილებელი ბიულეტენების სიზუსტის და

ინფორმატიულობის უზრუნველყოფა; მენეჯერებმა უნდა უზრუნველყონ კომპეტენტური

წყაროების გამოყენება (მაგალითად სოლიდური ჟურნალების, საიმედო ვებ-გვერდების,

ან მავნე კოდებისგან დამცავი პროგრამული პროდუქტების მომწოდებლების), იმისათვის,

რომ შესაძლებელი იყოს მცდარი და რეალური მავნე კოდების გამორჩევა. ყველა

მომხმარებელი უნდა იცნობდეს მცდარ მავნე კოდთან დაკავშირებულ პრობლემას და

იმას, თუ როგორ უნდა მოიქცნენ მათი მიღებისას.


სხვადასხვა მომწოდებლისგან მავნე კოდისგან დამცავი ორი ან მეტი პროგრამული პროდუქტის

მიღებამ შეიძლება გაზარდოს მავნე კოდისგან დაცვის ეფექტიანობა.

მავნე კოდისგან დამცავი პროგრამული უზრუნველყოფა შეიძლება იმგვარად დავაინსტალიროთ,

რომ უზრუნველყოს განმსაზღვრელი ფაილების ავტომატური განახლება სკანირების

მექანიზმების დაცვის სიზუსტის გასაზრდელად. დამატებით, ეს პროგრამული უზრუნველყოფა

შეიძლება დაინსტალირდეს ყველა კომპიუტერზე და უზრუნველყოს ავტომატური განახლება.

უნდა ვიზრუნოთ დაცვის მექანიზმებზე ტექნიკური მომსახურების, ან საგანგებო ვითარებების

პროცედურების დროს, რომლებმაც შეიძლება გვერდი აუარონ დაცვის ჩვეულებრივ

საშუალებებს.


68

10.4.2. მობილური კოდის კონტროლი


იქ, სადაც მობილური კოდის გამოყენება დასაშვებია, კონფიგურაცია უნდა უზრუნველყოფდეს

იმას, რომ ნებადართული მობილური კოდი მოქმედებდეს დაცვის მკაფიოდ განსაზღვრული

პოლიტიკის შესაბამისად, ხოლო არაავტორიზებული მობილური კოდის გამოყენება აღკვეთილი

უნდა იქნას.


ისეთი მობილური კოდისგან დაცვისთვის, რომელიც არაავტორიზებულ ქმედებებს

ახორციელებს, განხილული უნდა იქნას შემდეგი ღონისძიებები:

ა) მობილური კოდის გაშვება და შესრულება ლოგიკურად იზოლირებულ გარემოში;

ბ) მობილური კოდის ნებისმიერი გამოყენების ბლოკირება;

გ) მობილური კოდის მიღების ბლოკირება;

დ) კონკრეტული სისტემისთვის ხელმისაწვდომი ტექნიკური ზომების აქტივაცია,

მობილური კოდის მართვის მისაღწევად;

ე) იმ რესურსების კონტროლი, რომლებიც ხელმისაწვდომია მობილური კოდისთვის;

ვ) მართვის კრიპტოგრაფიული კონტროლის მექანიზმების გამოყენება მობილური კოდის

ცალსახა აუტენთიფიკაციის მიზნით.


მობილური კოდი წარმოადგენს პროგრამულ კოდს, რომელიც გადადის ერთი კომპიუტერიდან

მეორეზე და შემდეგ ავტომატურ რეჟიმში ასრულებს გარკვეულ ფუნქციას მომხმარებლის

მინიმალური მონაწილეობით, ან საერთოდ მისი მონაწილეობის გარეშე. მობილური კოდი

უკავშირდება შუალედურ პროგრამულ უზრუნველყოფებთან დაკავშირებულ გარკვეულ

სერვისებს.

იმის გარკვევის გარდა, რომ მობილური კოდი არ შეიცავს მავნე კოდ(ებ)ს, მისი მართვა

მნიშვნელოვანია იმისთვისაც, რომ თავიდან ავიცილოთ სისტემის, ქსელის ან აპლიკაციების

არაავტორიზებული გამოყენება, ან მისი ფუნქციონირების დარღვევა.

10.5. სარეზერვო ასლების გადაღება

მიზანი: ინფორმაციის და ინფორმაციის დამუშავების საშუალებების მთლიანობის და

ხელმისაწვდომობის მხარდაჭერა.

ინფორმაციის სარეზერვო ასლების გადაღების სფეროში შეთანხმებული პოლიტიკისა და

სტრატეგიების განხორციელებისთვის უნდა შეიქმნას სტანდარტული პროცედურები


69

მონაცემების სარეზერვო ასლების გადაღების და მათი დროული აღდგენის განმეორების

მიზნით.

10.5.1. ინფორმაციის სარეზერვო ასლების გადაღება


ინფორმაციისა და პროგრამული უზრუნველყოფის სარეზერვო ასლები რეგულარულად უნდა

იქნას გადაღებული და გამოიცადოს სარეზერვო ასლების შეთანხმებული პოლიტიკის

შესაბამისად.


გათვალისწინებული უნდა იქნას სარეზერვო ასლების შექმნის ადექვატური საშუალებები

იმისათვის, რომ მთელი არსებული ინფორმაცია და პროგრამული უზრუნველყოფა აღდგენილი

იქნას უბედური შემთვხვევის შემდეგ, ან ინფორმაციის მატარებლის დაზიანების შემთხვევაში.

ინფორმაციის სარეზერვო ასლების გადაღებისას უნდა გავითვალისწინოთ შემდეგი საკითხები:

ა) უნდა განისაზღვროს ინფორმაციის სარეზერვო ასლების შექნის აუცილებელი დონე;

ბ) სარეზერვო ასლების შესახებ უნდა განხორციელდეს ზუსტი და სრული ჩანაწერები და

შეიქმნას აღდგენის დოკუმენტირებული პროცედურები;

გ) სარეზერვო ასლების გადაღების მოცულობა (მაგალითად სრული, ან შერჩევითი) და

სიხშირე უნდა პასუხობდეს ორგანიზაციის ბიზნეს-პროცესების, პროცესში ჩართული და

კრიტიკული ინფორმაციის დაცვის და ორგანიზაციის უწყვეტად ფუნცქიონირების


დ) სარეზერვო ასლები საკმარისად დაშორებული უნდა იყოს ძირითად ინფორმაციასთან

იმისთვის, რომ უბედური შემთხვევის დროს არ მოხდეს მათი დაზიანება;

ე) დარეზერვებულ ინფორმაციას უნდა მიენიჭოს ფიზიკური და გარემოს დაცვის

საკმარისი ხარისხი (იხ. 9), იმ სტანდარტების შესაბამისად, რომლებიც ადგილზე

გამოიყენება. მართვის საშუალებები, რომლებსაც ადგილზე ვიყენებთ ინფორმაციის

მატარებლისთვის, უნდა გაფართოვდეს იმდენად, რომ მოიცვას სარეზერვო ასლების

ადგილმდებარეობა;

ვ) სარეზერვო ასლების მედია-მატარებლები რეგულარულად უნდა ექვემდებარებოდეს

ტესტირებას, იმის უზრუნველსაყოფად, რომ ავარიული გამოყენების დროს

გარანტირებული იყოს მათი საიმედოობა;

ზ) აღდგენის პროცედურები რეგულარულად უნდა შემოწმდეს და გამოიცადოს, იმის

უზრუნველსაყოფად, რომ მათი განხორციელება შესაძლებელია დროის იმ შუალედში,

რომელიც გამოყოფილია აღდგენის პროცედურებისთვის;

ე) იმ შემთხვევაში, როდესაც მნიშვნელოვანია კონფიდენციალურობა, სარეზერვო ასლები

დაცული უნდა იყოს დაშიფრვის საშუალებით.

ცალკეული სისტემებისთვის სარეზერვო ასლების გადაღების ღონისძიებები რეგულარულად

უნდა გამოიცადოს იმის მისაღწევად, რომ ისინი პასუხობდნენ ბიზნეს-პროცესების უწყვეტობის


70

გეგმის მოთხოვნებს (იხ. 14). კრიტიკული სისტემებისთვის სარეზერვო ასლების გადაღების

ღონისძიებები უნდა მოიცავდეს სისტემის სრულ ინფორმაციას, ყველა პროგრამულ პროდუქტს

და მონაცემებს, რომლებიც აუცილებელია სისტემის სრული აღდგენისთვის.

ბიზნეს-პროცესებთან დაკავშირებული მნიშვნელოვანი ინფორმაციისთვის უნდა არსებობდეს

შენახვის განსაზღვრული ვადები (იხ. 15.1.3).


სარეზერვო ასლების გადაღების ღონისძიებები შეიძლება ავტომატიზირებული იქნას იმისათვის,

რომ გაამარტივოს ასლის გადაღებისა და აღდგენის პროცესები. ასეთი ავტომატიზირებული

გადაწყვეტები უნდა გადიოდეს ტესტირებას, როგორც უშუალოდ დანერგვის წინ, ასევე

პერიოდულად.

10.6. ქსელების უსაფრთხოების მართვა

მიზანი: ქსელებში ინფორმაციის და დამხმარე ინფრასტრუქტურის დაცვის უზრუნველყოფა.

უსაფრთხო მენეჯმენტი იმ ქსელებისა, რომლებიც შეიძლება არ იყვნენ მოქცეული

ორგანიზაციულ საზღვრებში, მოითხოვს მონაცემთა ნაკადების, იურიდიული შედეგების,

მონიტორინგისა და დაცვის ზედმიწევნით ყურადღებით განხილვას.

შესაძლოა ასევე საჭირო გახდეს დამატებითი კონტროლის მექანიზმები საჯარო ქსელებში

გადინაბადი მგრძნობიარე ინფორმაციის დასაცავად.

10.6.1. ქსელის კონტროლის მექანიზმები


ქსელები ადექვატურად უნდა იმართოს და გაკონტროლდეს, იმისათვის, რომ დაცული იყვნენ

საფრთხეებისგან და უზრუნველყოფდნენ იმ სისტემებისა და აპლიკაციების დაცვას, რომლებიც

იყენებენ ქსელებს (ტრანზიტული ინფორმაციის ჩათვლით).


ქსელის მენეჯერებმა უნდა მოახდინონ კონტროლის მექანიზმების დანერგვა ქსელში

ინფორმაციის დაცვის უზრუნველსაყოფად, აგრეთვე მათთან დაკავშირებული სერვისების

არასანქცირებული წვდომისგან დასაცავად. კერძოდ, განხილული უნდა იყოს შემდეგი პუნქტები:

ა) თუ ეს შესაძლებელია, ქსელების ექსპლუატაციაზე პასუხისმგებლობა უნდა გაიმიჯნოს

კომპიუტერების ფუნქციონირებაზე პასუხისმგებლობისგან (იხ. 10.1.3);

ბ) უნდა განისაზღვროს ვალდებულებები და პროცედურები დისტანციური

მოწყობილებების მართვისთვის, სამომხმარებლო ზონების აპარატურის ჩათვლით;

გ) იმ მონაცემების კონფიდენციალურობისა და მთლიანობის დაცვისთვის, რომლებიც

საერთო მოხმარების, ან უკაბელო ქსელების საშუალებით გადაიცემა, უნდა დადგინდეს

მართვის სპეციალური კონტროლის მექანიზმები, რომლებიც აგრეთვე ამ დაკავშირებული

სისტემისა და აპლიკაციების დაცვას უზრუნველყოფენ (იხ. 11.4 და 12.3). კონტროლის


71

სპეციალური მექანიმზები შეიძლება საჭირო იყოს ქსელური სერვისების

ხელმისაწვდომობის მხარდაჭერისთვის და კომპიუტერების მიერთებისთვის.

დ) უსაფრთხოებასთან დაკავშირებული ქმედებების შესახებ ჩანაწერების

უზრუნველსაყოფად, გამოყენებული უნდა იყოს ლოგირება და მონიტორინგი;

ე) მენეჯმენტის ქმედებები ზედმიწევნით უნდა იყოს კოორდინირებული, იმისათვის, რომ

გაუმჯობდეს ორგანიზაციის მომსახურების ხარისხი, აგრეთვე იმის უზრუნველსაყოფად,

რომ მართვის საშუალებები სათანადოდ გამოიყენებოდეს ინფორმაციის დამუშავების

სრული ინფრასტრუქტურისთვის.

10.6.2. ქსელური მომსახურების უსაფრთხოება


ქსელური მომსახურების დაცვის მახასიათებლები, მომსახურების პირობები და მენეჯმენტის

მიმართ მოთხოვნები წინასწარ უნდა იყოს განსაზღვრული და მოიცავდეს ქსელური სერვისის

განხორციელებასთან დაკავშირებულ ნებისმიერ შეთანხმებას, იმის მიუხედავად, ეს მომსახურება

უშუალოდ ორგანიზაციის შიგნით ხორციელდება, თუ აუთსორსინგის საშუალებით.


ქსელური მომსახურების მომწოდებლის მხრიდან შეთანხმებული მომსახურებების უსაფრთხოდ

განხორციელების შესაძლებლობა წინასწარ უნდა განისაზღვროს და მუდმივად უნდა

კოტროლდებოდეს, ამასთან, შეთანხმებული უნდა იყოს აუდიტის განხორციელების

უფლებამოსილებაც.

უნდა განისაზღვროს უსაფრთხოების უზრუნველყოფის ზომები, რომლებიც აუცილებელია

კონკრეტული მომსახურებისთვის - ისეთები, როგორიცაა დაცვის მახასიათებლები,

მომსახურების დონეები და მოთხოვნები მენეჯმენტის მიმართ. ორგანიზაციამ უნდა

უზრუნველყოს, რომ ქსელური მომსახურების მომწოდებლებმა განახორციელონ ეს ზომები.


ქსელური მომსახურება მოიცავს შეერთებების უზრუნველყოფას, კერძო ქსელების მომსახურებას,

აგრეთვე ქსელებს დამატებითი მომსახურების და ქსელის დაცვის მართვად საშუალებებს,

როგორიცაა დამცავი ბარიერები (ფაიერვოლი) და შეტევის აღმომჩენი სისტემები.

ქსელური მომსახურების დაცვის მახასიათებლები შეიძება იყოს:

ა) ქსელური მომსახურების დაცვისთვის გამოყენებული ტექნოლოგია, როგორიცაა

აუთენტიფიკაცია, დაშიფრვა და ქსელური შეერთებების მართვის საშუალებები;

ბ) ტექნიკური პარამეტრები, რომლებიც აუცილებელია ქსელურ სერვისებთან დაცული

შეერთებისთვის;

გ) ქსელური მომსახურების გამოყენების პროცედურები ქსელურ სერვისებზე და,

აუცილებლობის შემთხვევაში, აპლიკაციებზე დაშვების შეზღუდვის მიზნით


72

10.7. მედიის მართვა

მიზანი: ინფორმაციული აქტივების არასანქცირებული გამჟღავნების, მოდიფიკაციის,

წაშლის ან განადგურების აღკვეთა და ორგანიზაციის ბიზნეს-პროცესების უწყვეტობის

დაცვა.

ინფორმაციის მედია-მატარებლები უნდა ექვემდებარებოდეს მართვას და

უზრუნველყოფილი უნდა იყოს მათი ფიზიკური დაცულობა.

დოკუმენტების, ინფორმაციის კომპიუტერული მედია-მატარებლების (მაგალითად,

მაგნიტური ლენტი, დისკი), შემავალი და გამომავალი ინფორმაციის და სისტემური

დოკუმენტაციის არასანქცირებული გამჟღავნების, მოდიფიკაციის, წაშლის ან

განადგურებისგან დაცვისთვის უნდა განისაზღვროს შესაბამისი საოპერაციო პროცედურები.

10.7.1. ინფორმაციის გადაადგილებადი მედია- მატარებლების მართვა


ინფორმაციის გადაადგილებადი მედია-მატარებლებისთვის ადგილზე უნდა არსებობდეს

მართვის პროცედურები.


ინფორმაციის გადაადგილებადი მედია-მატარებლების მართვისთვის განხილული უნდა იქნას


ა) თუ სამომავლოდ საჭირო აღარ იქნება, ორგანიზაციიდან ამოღებული მრავალჯერადი

მოხმარების ნებისმიერი მედია-მატარებლის შიგთავსი არააღდგენადი უნდა გახდეს;

ბ) თუ აუცილებელი და მიზანშეწონილია, ორგანიზაციიდან მედია-მატარებლის

ამოღებისას უნდა მოითხოვებოდეს შესაბამისი ნებართვა და უნდა ინახებოდეს აუდიტის

საკონტროლო ჩანაწერები ამოღების შესახებ;

გ) ინფორმაციის ყველა მატარებელი უნდა ინახებოდეს უსაფრთხო, დაცულ გარემოში

მწარმოებლის სპეციფიკაციების შესაბამისად;

დ) ინფორმაცია, რომელიც ინახება მედია-მატარებელზე და მისი შენახვის ვადა აჭარბებს

მედია-მატარებლის საექსლპუატაციო ვადას, დამატებით უნდა ინახებოდეს კიდევ სხვა

ადგილას;

ე) ინფორმაციის გადაადგილებადი მოწყობილობის რეგისტრაცია განხილული უნდა

იქნას მონაცემების დაკარგვის შესაძლებლობის შესაზღუდად;

ვ) ინფორმაციის დაგროვების გადაადგილებადი საშუალებების გამოყენება შეიძლება

მხოლოდ იმ შემთხვევაში, თუ ამისთვის არსებობს მნიშვნელოვანი მიზეზი ბიზნეს-

პროცესებიდან გამომდინარე.

ყველა პროცედურა და ავტორიზაციის დონე მკაფიოდ უნდ აიყოს დოკუმენტირებული.


73


ინფორმაციის გადაადგილებადი მედია-მატარებლები მოიცავს ლენტებს, ფლეშ-დისკებს,

გადატანად მყარ დისკებს, CD, DVD დისკებს და ინფორმაციის ბეჭდვით მატარებლებს.

10.7.2. ინფორმაციის მედია-მატარებლების ჩამოწერა


როდესაც ინფორმაციის მედია-მატარებელი საჭირო აღარ არის, ის ოფიციალური პროცედურების

მიხედვით საიმედოდ და უსაფრთხოდ უნდა განადგურდეს.


ინფორმაციის მედია-მატარებლების განადგურების ოფიციალურმა პროცედურებმა მინიმუმამდე

უნდა შეამცირონ არაავტორიზებული პირებისთვის ინფორმაციის გაჟონვის რისკი.

მნიშვნელოვანი ინფორმაციის მედია-მატარებლის უსაფრთხო ლიკვიდაციის პროცედურები

უნდა შეესაბამებოდეს ამ ინფორმაციის კონფიდენციალურობას. საჭიროა შემდეგი პუნქტების

განხილვა:

ა) მგრძნობიარე ინფორმაციის მედია-მატარებელი უნდა ინახებოდეს და განადგურდეს

საიმედოდ და უსაფრთხოდ, მაგალითად დაწვის, ან დაქუცმაცების გზით. ან მოხდეს

ინფორმაციის წაშლა სამომავლოდ ამ მედია-მატარებლის ორგანიზაციაში სხვა

მიზნებისთვის გამოყენების შემთხვევაში;

ბ) შემოღებული უნდა იქნას შესაბამისი პროცედურები ისეთი ელემენტების

გამოსავლენად, რომლებიც მოითხოვენ უსაფრთხო ლიკვიდაციას;

გ) შესაძლოა უფრო მარტივი იყოს უსაფრთხოდ ლიკვიდაციისთვის განსაზღვრული

ინფორმაციის ყველა მედია-მატარებლის ერთად მოგროვება, ვიდრე მათ შორის

განსაკუთრებით მნიშვნელოვანი ელემენტების ცალკე გამოყოფა;

დ) ბევრი ორგანიზაცია სთავაზობს კლიენტებს მომსახურებას, რომელიც უკავშირდება

ქაღალდის დოკუმენტების, მოწყობილობებისა და ინფორმაციის მედია-მატარებლების

ლიკვიდაციას. საჭირო გამოცდილებისა და მართვის ადექვატური საშუალებების მქონე

მომსახურების მომწოდებლის მოძიებისას საჭიროა განსაკუთრებული სიფრთხილის

გამოჩენა;

ე) ლიკვიდაცია შეძლებისდაგვარად აღრიცხული უნდა იყოს.

ლიკვიდაციისთვის განკუთვნილი ინფორმაციის მედია-მატარებლების დიდი რაოდენობით

დაგროვებისას გათვალისწინებული უნდა იქნას დაგროვების ეფექტი, რომლის მიხედვითაც

შეიძლება დიდი რაოდენობის უმნიშვნელო ინფორმაციამ ჯამში მნიშვნელოვანი ინფორმაცია

მოგვცეს.


ინფორმაციის მედია-მატარებლების დაუდევარი განადგურების შედეგად შესაძლოა მოხდეს

მნიშვნელოვანი ინფორმაციის გამჟღავნება (იხ. 9.2.6).


74

10.7.3. ინფორმაციასთან მოპყრობის პროცედურები


არასანქცირებული გამჟღავნებისგან, ან არასწორი გამოყენებისგან დაცვის მიზნით უნდა

განისაზღვროს ინფორმაციასთან მოპყრობის და ინფორმაციის შენახვის პროცედურები.


უნდა განისაზღვროს ინფორმაციასთან მოპყრობის, მისი დამუშავების, ინფორმაციის შენახვისა

და გაცვლის პროცედურები მისი კლასიფიკაციის შესაბამისად (იხ. 7.2). მხედველობაში უნდა

იქნას მიღებული შემდეგი პუნქტები:

ა) ინფორმაციის მედია-მატარებლებთან მობყრობა, მათზე სპეციალური ჭდეების

(მარკერების) დატანა მათი კლასიფიკაციის მითითებული დონის მიხედვით;

ბ) წვდომის შეზღუდვა არაავტორიზებული პერსონალის მიერ წვდომის გამორიცხვის

მიზნით;

გ) მონაცემების ავტორიზებული მიმღებების შესახებ ოფიციალური ჩანაწერების

წარმოება;

დ) შემავალი მონაცემების სისრულის, მონაცემების სწორად და სრულყოფილად

დამუშავების და გამომავალი ინფორმაციის ნამდვილობის შემოწმების უზრუნველყოფა;

ე) გამოტანის მომლოდინე რეჟიმში მყოფი ბუფერული მონაცემების დაცვა მათი

კონფიდენციალურობის გათვალისწინებით;

ვ) ინფორმაციის მედია-მატარებლების შენახვა მათი მწარმოებლების სპეციფიკაციების

შესაბამისად;

ზ) მონაცემების გავრცელების მინიმუმამდე დაყვანა;

თ) ავტორიზებული მიმღების ყურადღების მიქცევის მიზნით ინფორმაციის მატარებლის

ყველა ერთეულის მკაფიო მარკირება;

ი) დაგზავნის სიებისა და ავტორიზებული მიმღებების რეგულარული განხილვა.


ეს პროცედურები ეხება ინფორმაციას, რომელიც თავმოყრილია დოკუმენტებში, კომპიუტერულ

სისტემებში, ქსელებში, მობილურ კომპიუტერულ გარემოში, კავშირის მობილურ სისტემებში,

ფოსტაში, ხმოვან ფოსტაში, ხმის გადამცემ მოწყობილობებში, მულტიმედიაში, ფაქსის

აპარატებში და ნებისმიერ სხვა ელემენტებში, როგორიცაა, მაგალითად ცარიელი ჩეკი და

ინვოისები.

10.7.4. სისტემური დოკუმენტაციის უსაფრთხოება


75


სისტემური დოკუმენტაცია დაცული უნდა იყოს არასანქცირებული წვდომისგან.


სისტემური დოკუმენტაციის დაცვისთვის განხილული უნდა იქნას შემდეგი პუნქტები:

ა) სისტემური დოკუმენტაცია უსაფრთხოდ უნდა ინახებოდეს;

ბ) სისტემის დოკუმენტაციაზე წვდომის უფლებების სია მინიმუმამდე უნდა იქნას

დაყვანილი და დამტკიცებული უნდა იყოს აპლიკაციის მფლობელის მიერ;

გ) სისტემური დოკუმენტაცია, რომელიც საერთო გამოყენების ქსელებში ინახება, ან ამ

ქსელის საშუალებით მიეწოდება, უნდა იყოს დაცული შესაბამისი საშუალებებით.


სისტემური დოკუმენტაცია შეიძლება მნიშვნელოვანი ინფორმაციის ფართო სპექტრს მოიცავდეს,

მაგალითად აპლიკაციის, პროცესების, პროცედურების, მონაცემთა სტრუქტურების აღწერას.

10.8. ინფორმაციის გაცვლა

მიზანი: იმ ინფორმაციისა და პროგრამული უზრუნველყოფის დაცვა, რომლის გაცვლაც

ხორციელდება ორგანიზაციასა და ნებისმიერ გარე ერთეულს შორის.

ორგანიზაციებს შორის ინფორმაციისა და პროგრამული უზრუნველყოფის გაცვლა უნდა

ეფუძნებოდეს გაცვლის ფორმალურ პოლიტიკას, რომლის გატარებაც ხდება გაცვლასთან

დაკავშირებული შეთანხმებების საფუძველზე და შეესაბამება ნებისმიერ კანონს, რომელთა

რეგულირების სფეროსაც იგი განეკუთვნება (იხ. 15).

ინფორმაციისა და მისი ფიზიკური მატარებლების (რომელებიც გადაადგილების პროცესში

არიან) დასაცავად უნდა დადგინდეს შესაბამისი პროცედურები და სტანდარტები.

10.8.1. ინფორმაციის გაცვლის პოლიტიკა და პროცედურები


კავშირის ყველა ტიპის საშუალებით გავცლილი ინფორმაციის დასაცავად მიღებული უნდა იქნას

ფორმალური პოლიტიკა, გაცვლის პროცედურები და ინფორმაციის გაცვლის მართვის




76

პროცედურები და მართვის საშუალებები, რომელთა გამოყენებაც აუცილებელია კავშირის

ელექტრონული საშუალებების გამოყენებისას ინფორმაციის გაცლისთვის, უნდა

ითვალისწინებდეს შემდეგ პუნქტებს:

ა) პროცედურები, რომლებიც შემუშავებულია გასაცვლელი ინფორმაციის დაცვისათვის

შემდეგი საფრთხეების თავიდან ასაცილებლად: მიტაცება, კოპირება, მოდიფიკაცია,

არასწორი მარშრუტიზაცია და განადგურება;

ბ) კავშირის ელექტრონული საშუალებებით გადაცემადი მავნე კოდის აღმოჩენისა და

მისგან დაცვის პროცედურები (იხ. 10.4.1);

გ) გადასაცემი მგრძნობიარე ელექტრონული ინფორმაციის (რომელიც იგზავნება

თანდართული ფაილის ფორმით) დაცვის პროცედურები;

დ) კავშირის ელექტრონული საშუალებების დასაშვები გამოყენების მონახაზის

განმსაზღვრელი პოლიტიკა და მითითებები (იხ. 7.1.3);

ე) იმ უკაბელო კავშირგაბმულობის საშუალებების გამოყენების პროცედურები,

რომლებიც გარკვეულ რისკებთანაა დაკავშირებული;

ვ) დასაქმებულის, მომწოდებლის, ან ნებისმიერი სხვა მომხმარებლის ვალდებულება, არ

მოახდინოს ორგანიზაციის კომპრომეტირება, მაგალითად, დისკრედიტაციის,

ინპერსონაციის, „ბედნიერების წერილების“ დაგზავნის, არასანქცირებული შენაძენების

და სხვა საშუალებებით;

ზ) კრიპტოგრაფიული მეთოდების გამოყენება, მაგალითად, კონფიდენციალურობის,

მთლიანობის და ინფორმაციის აუთენტურობის დასაცავად (იხ. 12.3);

თ) სახელმწიფო და ადგილობრივი კანონმდებლობის შესაბამისად მთელი საქმიანი

კორესპონდენციის შენახვის, ან ლიკვიდაციის შესახებ განკარგულებები და მითითებები;

ი) არ იქნას დაშვებული მგრძნობიარე, ან კრიტიკული ინფორმაციის დატოვება ბეჭდვის

საშუალებებში, მაგალითად ასლგადამღებ მოწყობილობებში, პრინტერებსა და ფაქსის

აპარატებში, იმდენად რამდენადაც ამ მოწყობილობებზე წვდომა შეუძლია

არაავტორიზებულ პერსონალსაც;

კ) კონტროლის მექანიზმები და შეზღუდვები, რომლებიც უკავშირდება დაგზავნას,

როგორიცაა ელექტრონული ფოსტის ავტომატური დაგზავნა გარე საფოსტო

მისამართებზე:

ლ) პერსონალისთვის იმის შეხსენება, რომ მათ უნდა უზრუნველყონ უსაფრთხოების

სათანადო ზომების გამოყენება, მაგალითად არ გაამჟღავნონ მნიშვნელოვანი ინფორმაცია,

სატელეფონო საუბრების დროს თავიდან აირიდონ მოსმენა, ან ინფორმაციის მიტაცება:

1. იმ ადამიანების მხრიდან, რომლებიც ახლოს იმყოფებიან, განსაკუთრებით

მობილური ტელეფონების გამოყენების დროს;

2. უშუალოდ ტელეფონის ყურმილზე, ან სატელეფონო ხაზზე ფიზიკური წვდომის,

ან სკანირების ფუნქციის მქონე რადიომიმღებების საშუალებით;

3. იმ ადამიანების მხრიდან, რომლებიც ინფორმაციის მიღების ბოლო წერტილში

იმყოფებიან.


77

მ) თავიდან იქნას არიდებული მნიშვნელოვანი ინფორმაციის მქონე შეტყობინების

დატოვება ავტომოპასუხეზე, იმდენად, რამდენადაც მათი გამოყენება შეუძლია

არაავტორიზებულ პირებს, აგრეთვე ისინი შეიძლება შენახული იქნან საერთო

სისტემებში, ანტელეფონის ნომრის შეცდომით აკრეფის შემთხვევაში არასწორად იქნან

შენახული,;

ნ) პერსონალისთვის ფაქსის აპარატის გამოყენებასთან დაკავშირებული პრობლემების

შეხსენება, კერძოდ:

1. ჩამონტაჟებულ მოწყობილობებზე არასანქცირებული წვდომა შეტყობინების

წაკითხვის, ან ამოღების მიზნით;

2. აპარატების წინასწარგანზრახული, ან შემთვევითი დაპროგრამება იმისთვის, რომ

კონკრეტულ ნომრებზე მოხდეს შეტყობინებების დაგზავნა;

3. დოკუმენტების, ან შეტყობინებების არასწორ ნომერზე გაგზავნა, ნომრის

არასწორად აკრეფის შემთხვევაში, ან არასწორად ჩაწერილი ნომრის შემთხვევაში.

ო) პერსონალისთვის იმის შეხსენება, რომ არ მოხდეს დემოგრაფიული მონაცემების

რეგისტრაცია, როგორიცაა ელექტრონული ფოსტის მისამართი, ან სხვა პირადი

ინფორმაცია, ისეთ პროგრამაში, რომელიც შეიძლება საერთო მოხმარებისა იყოს;

პ) პერსონალისთვის იმის შეხსენება, რომ თანამედროვე ფაქსისა და ასლგადამღებ

აპარატებს აქვთ ქეშირებული მეხსიერება და ქაღალდთან დაკავშირებული პრობლემების,

ან ინფორმაციის გადაცემაში მომხდარი შეფერხების დროს, ისინი ინახავენ გვერდებს,

რომლებიც მაშინვე დაიბეჭდება, როგორც კი დეფექტი გასწორდება.

ამის გარდა, პერსონალისთვის აუცილებელია იმის შეხსენება, რომ არ აწარმოონ

კონფიდენციალური საუბრები საზოგადოებრივი თავშეყრის ადგილებში, ან ღია ოფისებში და

ისეთ ადგილას, რომელსაც არ აქვს ხმაგაუმტარი კედლები.

ინფორმაციის გაცვლის საშუალებები უნდა შეესაბამებოდეს ყველა არსებულ ნორმატიულ

მოთხოვნას (იხ. 15).


ინფორმაციის გაცვლა შეიძლება განხორციელდეს გაცვლის ბევრი სხვადასხვა საშუალებით,

ელექტრონული ფოსტის, ხმის გადამცემი მოწყობილობის, ფაქსის აპარატების და

ვიდეოკავშირის ჩათვლით.

პროგრამული უზრუნველყოფის გაცვლა შეიძლება მოხდეს ბევრი განსხვავებული საშუალებით,

როგორიცაა ინტერნეტიდან ჩამოტვირთვა და მომწოდებლისგან შესყიდვა.

გათვალისწინებული უნდა იქნას, ბიზნეს-პროცესებთან დაკავშირებული, იურიდიული და

უსაფრთხოების დარღვევის მოსალოდნელი შედეგები, რომლებიც ელექტრონული ინფორმაციის

გაცვლას და ელექტრონულ ვაჭრობას შეეხება, აგრეთვე გასათვალისწინებელია მოთხოვნები

მართვის საშუალებების მიმართ.

ინფორმაცია შეიძლება საფრთხის ქვეშ აღმოჩნდეს იმ შემთხვევაში, თუ არ მოხდა პერსონალის

საკმარისად ინფორმირება, ან ხარვეზებია პოლიტიკაში და ინფორმაციის გაცვლის საშუალებების

გამოყენების პროცედურებში, მაგალითად მობილურ ტელეფონზე საზოგადოებრივი თავშეყრის

ადგილზე განხორციელებული მოსმენის გზით, ელეტქრონული გზავნილის არასწორი


78

მიმართულების გაგზავნის შემთხვევაში, ავტომოპასუხის მოსმენის გზით, ან არასწორ ნომერზე

ფაქსის შემთხვევითი გაგზავნის დროს.

შეიძლება მოხდეს ბიზნეს-პროცესების დარღვევა და ინფორმაციის გამჟღავნება, თუ კავშირის

საშუალებები შეფერხებით მუშაობს, გადატვირთულია, ან ხდება მათი მუშაობის შეწყვეტა (იხ.

10.3 და 14). ინფორმაცია შეიძლება საფრთხის ქვეშ დადგეს, თუ მასზე წვდომა განახორციელა

არაავტორიზებულმა მომხმარებელმა (იხ. 11).

10.8.2. ინფორმაციის გაცვლის შეთანხმებები


დადგენილი უნდა იყოს ორგანიზაციასა და გარე მხარეებს შორის ინფორმაციისა და

პროგრამული უზრუნველყოფის გაცვლის შეთანხმებები.


ინფორმაციის გაცვლის შეთანხმებები უნდა ითვალისწინებდეს უსაფრთხოების

უზრუნველყოფის შემდეგ პირობებს:

ა) ინფორმაციის გადაცემის, გაგზავნის და მიღების, აგრეთვე ამ ყველაფრის

დადასტურების მართვასთან დაკავშირებით ხელმღვანელობის ვალდებულებები;

ბ) გამგზავნისთვის გადაცემის, გაგზავნის და მიღების შესახებ შეტყობინების

პროცედურები;

გ) პროცედურები თვალის მიდევნების უზრუნველსაყოფად და უარყოფის გამოსარიცხად;

დ) შეფუთვისა და გადაცემის მინიმალური ტექნიკური სტანდარტები;

ე) შეთანხმება პირობითი დეპოზიტის შესახებ;

ვ) კურიერის პირადობის დამდგენი სტანდარტები;

ზ) ინფორმაციის დაცვის სისტემაში მომხდარი ინციდენტის შემთხვევაში (როგორიცაა

მონაცემების დაკარგვა) მოვალეობისა და ვალდებულების განსაზღვრა;

თ) მარკირების შეთანხმებული სისტემის გამოყენება კრიტიკული ინფორმაციისთვის,

რომელიც უზრუნველყოფს მარკერების მნიშვნელობის დაუყოვნებლივ გაგებას და

ინფორმაციის სათანადო დაცვას;

ი) მონაცემების დაცვასთან, საავტორო უფლებებთან, ლიცენზიების შესაბამისობასთან და

პროგრამული უზრუნველყოფის გამოყენებასთან მიმართებაში ვალდებულებების

განსაზღვრა (იხ. 16.1.2 და 15.1.4);

კ) ინფორმაციისა და პროგრამული უზრუნველყოფის ჩაწერისა და წაკითხვის ტექნიკური

სტანდარტები;


79

ლ) კონტროლის სპეციალური მექანიზმები, რომლებიც შეიძლება გამოყენებული იქნას

კრიტიკული ელემენტების დასაცავად, მაგალითად, კრიპტოგრაფიული გასაღებები (იხ.

12.3.).

ტრანსპორტირებისას ინფორმაციისა და ამ ინფორმაციის ფიზიკური მატარებლების დასაცავად

უნდა იქნას განსაზღვრული პოლიტიკა, პროცედურები და სტანდარტები (იხ. 10.8.3), უნდა

მოხდეს მათი მუდმივი მხარდაჭერა და ისინი უნდაა ისახოს ინფორმაციის გაცვლის

შეთანხმებებში.


შეთანხმება შეიძლება იყოს როგორც ელექტრონულ ფორმატში, ასევე წერილობითი სახით და

შეუძლიათ მიიღოს, როგორც ოფიციალური ხელშეკრულების, ასევე დაქირავების პირობების

ფორმა. მნიშვნელოვანი ინფორმაციის გაცვლის კონკრეტული მექანიზმები ერთგვაროვანი უნდა

იყოს ყველა ორგანიზაციისათვის და შეთანხმების ყველა ტიპისათვის.

10.8.3. ინფორმაცის ფიზიკური მატარებლების ტრანსპორტირება


ორგანიზაციის ფიზიკური საზღვრების მიღმა ტრანსპორტირებისას ინფორმაციის მატარებელი

დაცული უნდა იყოს არასანქცირებული წვდომისგან, არასწორი გამოყენებისგან, ან

დაზიანებისგან.


ინფორმაციის მატარებლის ერთი წერტილიდან მეორე წერტილამდე ტრანსპორტირებისას,

განხილული უნდა იქნას შემდეგი მითითებები:

ა) უნდა გამოიყენებოდეს საიმედო ტრანსპორტი, ან კურიერი;

ბ) უფლებამოსილი კურიერების სია შეთანხმებული უნდა იყოს ხელმძღვანელობასთან;

გ) შემუშავებული უნდა იქნას პროცედურები კურიერის პირადობის დამადასტურებელი

დოკუმენტის შემოწმებისთვის;

დ) შეფუთვა ტრანსპორტირების პროცესში მისი შიგთავსის ნებისმიერი ფიზიკური ზიანისგან

დაცვისთვის საკმარისი უნდა იყოს და შეესაბამებოდეს მწარმოებლის სპეციფიკაციებს.

მაგალითად შეიძლება მოვიყვანოთ გარემოს ზემოქმედების ფაქტორებისგან დაცვა, როგორიცაა

სითბოს, სინესტის ან ელექტრომაგნიტური ველის ზემოქმედება;

ე) მნიშვნელოვანი ინფორმაციის არასანქცირებული გამჟღავნებისგან, ან მოდიფიკაციისგან

დასაცავად აუცილებლობის შემთხვევაში მიღებული უნდა იქნას კონტროლის შემდეგი

მექანიზმები:


80

1) დახურული კონტეინერების გამოყენება;

2) ხელიდან ხელში მიწოდება;

3) შეფუთვა, რომელიც არასანქცირებული წვდომის მცდელობების იდენტიფიცირებას

ახდენს;

4) გამონაკლის შემთხვევებში ტვირთის დანაწევრება და სხვადასხვა მარშრუტით

გაგზავნა.


ინფორმაცია შეიძლება დაექმევდებაროს არასანქცირებულ წვდომას, არასწორ მოპყრობას, ან

დაზიანებას ფიზიკური ტრანსპორტირების დროს, მაგალითად ინფორმაციის მატარებლის

ფოსტით, ან კურიერის საშუალებით გაგზავნის დროს.

10.8.4. შეტყობინებების ელექტრონული გაცვლა


ინფორმაცია, რომელიც ჩართულია შეტყობინებების ელექტრონულ გაცვლაში, სათანადოდ უნდა

იყოს დაცული.


მოსაზრებები, რომლებიც ელექტრონული შეტყობინებების უსაფრთხო გაცვლას უკავშირდება,

უნდა მოიცავდეს შემდეგს:

ა) შეტყობინების დაცვა არასანქცირებული წვდომისგან, მოდიფიკაციისგან, ან

მომსახურების შეწყვეტისგან;

ბ) შეტყობინების სწორი დამისამართებისა და ტრანსპორტირების უზრუნველყოფა;

გ) მომსახურების ზოგადი საიმედოობა და ხელმისაწვდომობა;

დ) იურიდიული საკითხები, მაგალითად ელექტრონული ხელმოწერის მოთხოვნა;

ე) კავშირის ისეთი გარე სერვისების გამოყენების წინ, როგორიცაა შეტყობინებების

დაუყოვნებელი გადაცემის სისტემა, ან ფაილის ერთობლივი გამოყენება, -დადასტურების

მიღება.

ვ) საზოგადოებრივი მოხმარების ქსელებიდან მართული წვდომის აუთენტიფიკაციის

მაღალი დონეები.



81

შეტყობინებების ელექტრონული გაცვლა, როგორიცაა ელექტრონული ფოსტა, მონაცემების

ელექტრონული გაცვლა (EDI) და შეტყობინებების დაუყოვნებელი გადაცემის სისტემა ძალიან

მნიშვნელოვან როლს თამაშობს ბიზნეს-კომუნიკაციაში. შეტყობინებების ელექტრონულ

გაცვლას ახასიათებს რისკები, რომლებიც განსხვავდება დაბეჭდილი ინფორმაციის გაცვლის

რისკებისგან.

10.8.5. საინფორმაციო სისტემები ბიზნესისთვის


იმ ინფორმაციის დასაცავად, რომელიც ბიზნესის საინფორმაციო სისტემებს უკავშირდება, უნდა

შემუშავდეს და დაინერგოს პოლიტიკა და პროცედურები.


ასეთი სისტემების ურთიერთკავშირის უსაფრთხოების დასაცავად გათვალისწინებული უნდა

იყოს შემდეგი:

ა) ადმინისტრირებისა და აღრიცხვის სისტემებში ცნობილი სისუსტეები, სადაც

ინფორმაციას ერთობლივად იყენებს ორგანიზაციის სხვადასხვა დანაყოფი;

ბ) ბიზნეს-ინფორმაციის გადაცემის სისტემებში სისუსტეები, მაგალითად: სატელეფონო

ზარების, ან კონფერენციების ჩაწერა, ზარების კონფიდენციალურობა, ფაქსის აპარატების

მეხსიერება, ფოსტით მოსული ღია შეტყობინებები, ფოსტის გავრცელება;

გ) ინფორმაციის ერთობლივი გამოყენების კონტროლის მექანიზმები და პოლიტიკა;

დ) მგრძნობიარე ბიზნეს-ინფორმაციის და კლასიფიცირებული დოკუმენტების

კატეგორიის გამორიცხვა, თუ სისტემა არ უზრუნველყოფს დაცვის შესაბამის დონეს (იხ.

7.2);

ე) ამორჩეულ პირებთან დაკავშირებული სარეგისტრაციო ჟურნალის (მაგალითად,

სენსიტიურ პროექტებზე მომუშავე პერსონალი) ინფორმაციაზე წვდომის შეზღუდვა;

ვ) პერსონალის, მომწოდებლების, ან საქმიანი პარტნიორების კატეგორიები, რომელთაც

სისტემის გამოყენების უფლება აქვთ და ის ადგილები, საიდანაც სისტემაზე წვდომა არის

შესაძლებელი (იხ. 6.2 და 6.3);

ზ) მომხმარებელთა კონკრეტული კატეგორიებისათვის გარკვეულ მოწყობილობებზე

წვდომის შეზღუდვა;

თ) მომხმარებლის სტატუსის იდენტიფიკაცია, მაგალითად, დირექტორიებში;

ი) სისტემაში არსებული ინფორმაციის შენახვა და სარეზერვო ასლების გადაღება (იხ.

10.5.1);

კ) საგანგებო მდგომარეობების შემდეგ აღდგენის მოთხოვნები და შეთანხმებები (იხ. 14).



82

საოფისე ინფორმაციული სისტემები წარმოადგენს საქმიანი ინფორმაციის უფრო სწრაფად

გავრცელებისა და ერთობლივი გამოყენების საშუალებას შემდეგი კომბინაციის გამოყენებით:

დოკუმენტები, კომპიუტერები, დამუშავების მობილური საშუალებები, კავშირის მობილური

საშუალებები, ფოსტა, ხმოვანი ფოსტა, კავშირის ხმოვანი საშალებები, მულტიმედია, საფოსტო

სამსახურები/საშუალებები და ფაქსის აპარატები.

10.9. ელექტრონული კომერციის სერვისები

მიზანი: ელექტრონული კომერციის მომსახურების დაცვის უზრუნველყოფა და მათი

უსაფრთხო გამოყენება;

განხილული უნდა იქნას ელექტრონული კომერციის მომსახურებებთან დაკავშირებული

უსაფრთხოების დარღვევის მოსალოდნელი შედეგები, ონლაინ-გარიგებების ჩათვლით,

აგრეთვე უნდა განისაზღვროს მოთხოვნები კონტროლის მექანიზმების მიმართ. ამასთან,

განხილული უნდა იყოს იმ ინფორმაციის მთლიანობა და ხელმისაწვდომობა, რომლებიც

საერთო მოხმარების სისტემებში გამოქვეყნებულია ელექტრონული საშუალებებით.

10.9.1. ელექტრონული კომერცია


ინფორმაცია, რომელსაც ელექტრონული კომერცია მოიცავს და საერთო მოხმარების ქსელებში

გადის, დაცული უნდა იყოს თაღლითური ქმედებისგან, ხელშეკრულებასთან დაკავშირებული

დავებისგან, აგრეთვე არასანქცირებული გამჟღავნებისა და მოდიფიკაციისგან.


მოსაზრებები, რომლებიც ელექტრონული კომერციის უსაფრთხოების უზრუნველყოფას

უკავშირდება, უნდა მოიცავდეს შემდეგს:

ა) დარწმუნებულობის ხარისხი, რომელიც სჭირდება თითოეულ მხარეს ერთმანეთის

მიერ წარმოდგენილი იდენტიფიცირებული ინფორმაციის მიმართ;

ბ) ავტორიზაციის პროცესები, რომლებიც უკავშირდება იმას, თუ ვის აქვს ფასის

დადგენის უფლება, ან ძირითადი კომერციული დოკუმენტების გამოცემისა და

ხელმოწერის უფლება;

გ) უზრუნველყოფა იმისა, რომ კომერციული პარტნიორები სრულად იყვნენ

ინფორმირებული საკუთარი უფლებამოსილების შესახებ;

დ) კონფიდენციალურობის, მთლიანობის, მნიშვნელოვანი დოკუმენტების გაგზავნისა და

მიღების მტკიცებულების და ხელშეკრულებაზე უარის თქმის არიდების მოთხოვნების

განსაზღვრა და აღსრულება, მაგალითად სატენდერო მოთხოვნები;

ე) ოფიციალური ფასების ჩამონათვალის შესაბამისობა მთლიანობის მოთხოვნასთან

დაკავშირებულ ნდობის ხარისხთან;


83

ვ) ნებისმიერი მგრძნობიარე მონაცემისა და ინფორმაციის კონფიდენციალურობა;

ზ) შეკვეთებთან დაკავშირებული ნებისმიერი გარიგების, მიწოდების მისამართის

კონფიდენციალურობა და მთლიანობა;

თ) შემოწმების ხარისხი, რომელიც საკმარისია გადახდასთან დაკავშირებული

ინფორმაციის შესამოწმებლად;

ი) ანგარიშგების ყველაზე შესაფერისი ფორმის არჩევა, იმისათვის, რომ თავიდან იქნას

არიდებული თაღლითობა;

კ) შეკვეთის შესახებ ინფორმაციის მთლიანობისა და კონფიდენციალურობის

უზრუნველყოფისთვის საჭირო დაცულობის დონე;

ლ) გარიგებასთან დაკავშირებული ინფორმაციის დაკარგვის, ან დუბლირების

გამორიცხვა;

მ) ნებისმიერ თაღლითურ გარიგებასთან დაკავშირებული პასუხისმგებლობა;

ნ) სადაზღვევო მოთხოვნები.

ზემოთ მოყვანილი მოსაზრებებიდან ბევრი შეიძლება გათვალსიწინებული იქნას კონტროლის

კრიპტოგრაფიული მექანიზმების გამოყენებით (იხ. 12.3). ამ დროს გასათვალისწინებელია

კანონის შესაბამისი მოთხოვნებიც (იხ. 15.1, განსაკუთრებით 15.1.6).

სავაჭრო პარტნიორებს შორის ელექტრონულ კომერციასთან დაკავშირებული შეთანხმება

გაფორმებული უნდა იყოს დოკუმენტური ხელშეკრულებით, რომელიც ორივე მხარეს უყენებს

კომერციის შეთანხმებულ პირობებს. შესაძლოა საჭირო გახდეს საინფორმაციო სამსახურებთან

და ქსელური მომსახურების მომწოდებლებთან დამატებითი შეთანხმებები.

კომერციის საერთო მოხმარების სისტემები საკუთარ მომხმარებლებს უნდა ატყობინებდეს

საქმისწარმოების საკუთარ პირობებს.


ელექტრონული კომერცია ქსელიდან მომდინარე გარკვეულ რისკებთანაა დაკავშირებული.

ელექტრონულ კომერციას შეუძლია აუტენტიფიკაციის უსაფრთხო მეთოდების გამოყენება,

მაგალითად, ღია გასაღებით კრიპტოგრაფია და ელექტრონული ხელმოწერა (იხ. 12.3),

იმისათვის, რომ რისკები შემცირდეს. შესაძლებელია გამოყენებული იქნას საიმედო მესამე

მხარეები, იქ, სადაც აუცილებელია მათი მომსახურება.

10.9.2. ონლაინ ტრანზაქციები


ინფორმაცია, რომელსაც მოიცავს ონლაინ ტრანზაქციები, დაცული უნდა იყოს იმისათვის, რომ

გამოირიცხოს არასრული გადაცემა, არასწორი მარშრუტიზაცია, ინფორმაციის

არასანქცირებული ცვლილება, არასანქცირებული გამჟღავნება და დუბლირება.


84


ონლაინ ტრანზაქციების უსაფრთხოებასთან დაკავშირებული მოსაზრებები უნდა მოიცავდეს

შემდეგს:

ა) გარიგებაში ჩართული თითოეული მხარის მიერ ელექტრონული ხელმოწერის გამოყენება;

ბ) შემდეგი პუნქტების უზრუნველყოფა:

1) მომხმარებელთა რწმუნებულება (Credential) ყველა მხარის მომხმარებლებისთვის

შემოწმებული და დადასტურებულია;

2) ტრანზაცია კონფიდენციალურია და

3) კონფიდენციალურობა შენარჩუნებულია ყველა ჩართული მხარისათვის.

გ) ყველა ჩართული მხარის კავშირის არხი დაშიფრულია;

დ) ყველა ჩართული მხარის მიერ გამოყენებული ოქმები დაცულია;

ე) იმის უზრუნველყოფა, რომ ტრანზაქციასთან დაკავშირებული დეტალური ინფორმაციის

შენახვა მოხდეს ისეთ გარემოში, რომელიც საჯაროდ ხელმისაწვდომი არ არის, მაგალითად

ორგანიზაციის შიდა ქსელში არსებულ შემნახველ პლატფორმაში და არა ისეთ მატარებელზე,

რომელიც არ არის დაცული და ინტერნეტის საშუალებითაა ხელმისაწვდომი;

ვ) ისეთ შემთხვევაში, როდესაც გამოიყენება დიდი სანდოობის მქონე ორგანიზაცია (მაგალითად,

ციფრული ხელმოწერის და ციფრული სერტიფიკატის პროვაიდერი), მაშინ დაცვა

ინტეგრირებული უნდა იყოს მენეჯმენტის მთელ პროცესზე.


კონტროლის მიღებული მექანიზმების მოცულობა უნდა შეესაბამებოდეს რისკის დონეს,

რომელიც დაკავშირებულია ყოველი ონლაინ ტრანზაქციის თითოეულ ფორმასთან.

არსებობს ტრანზაქციების ბევრი ფორმა, რომლებიც შეიძლება განხორციელდეს ონლაინ რეჟიმში,

მაგალითად სახელშეკრულებო, ფინანსური ტრანზაქციები და ა.შ.

10.9.3. საჯარო ინფორმაცია


იმ ინფორმაციის მთლიანობა, რომელიც საჯაროდ ხელმისაწვდომ სისტემაშია განთავსებული,

დაცული უნდა იყოს არასანქცირებული მოდიფიკაციისგან.


პროგრამული უზრუნველყოფა, მონაცემები და სხვა ინფორმაცია, რომელიც მთლიანობის მაღალ

დონეს მოითხოვს და ხელმისაწვდომია საჯარო მოხმარების სისტემაში, დაცული უნდა იყოს

შესაფერისი მექანიზმებით, მაგალითად ციფრული ხელმოწერით (იხ. 12.3). საჯარო სისტემა


85

უნდა გამოიცადოს სისუსტეების აღმოჩენის მიზნით, მანამ, სანამ ინფორმაცია ხელმისაწვდომი

გახდება.

მანანდე, სანამ ინფორმაცია საჯარო გახდება, უნდა განხორციელდეს მისი დამტკიცების

ფორმალური პროცესი. ამასთან, ყველა შემავალი მონაცემი, რომელიც სისტემაში გარედან

ხვდება, შემოწმებული და დამტკიცებული უნდა იყოს.

ელექტრონული საგამომცემლო სისტემები, განსაკუთრებით ისინი, რომლებსაც უკუკავშირის

ფუნქცია და ინფორმაციის პირდაპირ შეტანის საშუალება აქვთ, მკაცრად უნდა გაკონტროლდეს,

იმისათვის, რომ:

ა) ინფორმაცია მიიღებოდეს მონაცემთა დაცვის კანონმდებლობის შესაბამისად (იხ.

15.1.4);

ბ) ინფორმაცია, რომელიც შედის საჯაროდ გამოქვეყნების სისტემაში და მის მიერ

მუშავდება, დამუშავდეს სრულად, ზუსტად და დროულად;

გ) მგრძნობიარე ინფორმაცია დაცული იყოს შეგროვების, დამუშავებისა და შენახვის

პროცესში;

დ) საჯაროდ გამოქვეყნების სისტემაზე დაშვება არ იძლეოდეს იმ ქსელებზე უნებლიე

წვდომის საშუალებებს, რომლებთანაც ეს სისტემაა დაკავშირებული.


შესაძლოა საჭირო გახდეს, რომ საჯარო სისტემაში განთავსებული ინფორმაცია (მაგალითად,

ინტერნეტის საშუალებით ხელმისაწვდომი), შეესაბამებოდეს კანონებს, წესებს და რეგულაციებს

იმ იურისდიქციაში, რომლის ფარგლებშიც მოქმედებს სისტემა. გამოქვეყნებული ინფორმაციის

არასანქცირებულ მოდიფიკაციას შეუძლია ამ ინფორმაციის გამომქვეყნებელი ორგანიზაციის

რეპუტაციის შელახვა.

10.10. მონიტორინგი

მიზანი: ინფორმაციის დამუშავებისას არაავტორიზებული ქმედებების აღმოჩენა;

მუდმივად უნდა ხორციელდებოდეს სისტემის მონიტორინგი და ინფორმაციული

უსაფრთხოების შემთხვევების ჩაწერა. ინფორმაციის დაცვის სისტემაში პრობლემების

გამოვლენის უზრუნველყოფისთვის უნდა გამოიყენებოდეს ოპერატორის ლოგები და

შეფერხებების რეგისტრაცია.

ორგანიზაცია უნდა შეესაბამებოდეს ყველა იურიდიულ მოთხოვნას, რომლებიც მიესადაგება

მის საქმიანობას მონიტორინგისა და ლოგირების ქმედებების კუთხით.

სისტემის მონიტორინგი უნდა გამოიყენებოდეს იმისთვის, რომ შემოწმდეს კონტროლის

დამტკიცებული მექანიზმების ეფექტიანობა, აგრეთვე იმისთვისაც, რომ მოხდეს წვდომის

პოლიტიკის შესაბამისი მოდელების შემოწმება.


86

10.10.1. აუდიტის ლოგების წარმოება


აუდიტის ლოგები, რომლებიც არეგისტრირებენ მომხმარებლების ქმედებებს, ინფორმაციის

დაცვის სისტემებში დაფიქსირებულ შემთხვევებსა და გამონაკლისებს, უნდა შეიქმნას და

ინახებოდეს შეთანხმებული პერიოდის მანძლზე იმისათვის, რომ ხელი შეუწყოს სამომავლო

გამოძიებებს და წვდომის მუდმივ მონიტორინგს.


აუდიტის ლოგები უნდა მოიცავდეს შემდეგს:

ა) მომხმარებლების იდენტიფიკატორები (User IDs);

ბ) ძირითადი შემთხვევების თარიღი, დრო და დეტალები, მაგალითად, სისტემაში შესვლა

და სისტემიდან გამოსვლა;

გ) ტერმინალის მაიდენტიფიცირებელი ინფორმაცია და თუ ეს შესაძლებელია,

ტერმინალის ადგილმდებარეობა;

დ) ჩანაწერები სისტემაში შესვლის წარმატებული და უარყოფილი მცდელობების შესახებ;

ე) ჩანაწერები მონაცემებზე და რესურსებზე წარმატებული და უარყოფილი წვდომის

მცდელობების შესახებ;

ვ) ცვლილებები სისტემურ კონფიგურაციაში;

ზ) პრივილეგიების გამოყენება;

თ) დამხმარე პროგრამებისა და აპლიკაციების გამოყენება;

ი) ფაილები, რომლებზეც განხორციელდა წვდომა და წვდომის ტიპი;

კ) ქსელური მისამართები და ოქმები;

ლ) განგაში, რომელიც გამოაცხადა წვდომის მართვის სისტემამ;

მ) დაცვის სისტემის აქტივაცია და დეაქტივაცია, როგორიცაა ანტი-ვირუსული სისტემები

და შეღწევის აღმომჩენი სისტემები.


აუდიტის ლოგები შეიძლება შეიცავდეს კონფიდენციალურ პირად მონაცემებს. მიღებული უნდა

იქნას კონფიდენციალურობის დაცვის შესაბამისი ზომები იქ, სადაც ეს შესაძლებელია (იხ. 15.1.4).

სისტემურ ადმინისტრატორებს არ უნდა ჰქონდეთ საკუთარი ქმედების შესახებ ლოგების

წაშლის ან ლოგირების პროცესის გათიშვის უფლება.

10.10.2. სისტემის გამოყენების მონიტორინგი


87


ინფორმაციის დამუშავების საშუალებების მონიტორინგისთვის უნდა განისაზღვროს შესაბამისი

პროცედურები, ხოლო მონიტორინგის შედეგები რეგულარულად გადაიხედოს.


ცალკეული საშუალებებისთვის საჭირო მონიტორინგის დონე უნდა განისაზღროს რისკების

შეფასების საფუძველზე. ორგანიზაცია უნდა შეესაბამებოდეს ყველა ნორმატიულ მოთხოვნას,

რომელიც მიესადაგება მონიტორინგის კუთხით მისი საქმიანობის სფეროს. სფეროები,

რომლებიც ასეთ დროს უნდა იყოს გათვალისწინებული, მოიცავს შემდეგს:

ა) ნებადართული წვდომა, შემდეგი მონაცემების ჩათვლით:

1) მომხმარებლის იდენტიფიკატორი;

2) მნიშვნელოვანი შემთხვევების თარიღი და დრო;

3) შემთხვევების ტიპები;

4) ფაილები, რომლებზეც წვდომა განხორციელდა;

5) გამოყენებული პროგრამები/დამხმარე სისტემური პროგრამები.

ბ) ყველა პრივილეგირებული ოპერაცია, მაგალითად:

1) აღრიცხვის პრივილეგირებული ჩანაწერების გამოყენება, მაგალითად, სუპერვიზორი,

ადმინისტრატორი.

2) სისტემის გაშვება და გაჩერება;

3) შეტანა/გამოტანის მოწყობილობის მიერთება/გამოერთება.

გ) არაავტორიზებული წვდომის მცდელობები, მაგალითად:

1) მომხმარებლის ქმედებები, რომლებიც შეფერხებით განხორციელდა, ან უარყოფილი იქნა

სისტემის მხრიდან;

2) მომხმარებლის ქმედებები, რომლებიც შეფერხებით განხორციელდა, ან უარყოფილი იქნა

სისტემის მხრიდან, მონაცემებისა და სხვა რესურსების ჩათვლით;

3) კარიბჭის და დამცავი ბარიერის წვდომის პოლიტიკის დარღვევა და შეტყობინება;

4) შეღწევის აღმომჩენი სპეციალიზირებული სისტემებიდან საგნგაშო სიგნალები.

დ) სისტემური გაფრთხილებები და გაუმართაობები, მაგალითად;

1) კონსოლის გაფრთხილება ან შეტყობინება;

2) სისტემური ჟურნალიდან გამორიცხვა;

3) ქსელის მართვის ავარიის საგანგაშო სიგნალი;

4) განგაში, რომელიც გამოაცხადა წვდომის მართვის სისტემამ.


88

ე) უსაფრთხოების სისტემის პარამეტრებისა და კონტროლის მექანიზმების ცვლილებება, ან

ცვლილების მცდელობა.

ის, თუ რამდენად ხშირად უნდა მოხდეს მონიტორინგის შედეგების განხილვა, დამოკიდებულია

პროცესში იდენტიფიცირებულ რისკებზე. რისკ-ფაქტორები, რომლებიც ასეთ დროს უნდა იყოს

გათვალისწინებული, მოიცავს შემდეგს:

ა) აპლიკაციის პროცესების კრიტიკულობა;

ბ) მოცული ინფორმაციის ფასეულობა და კრიტიკულობა;

ბ) სისტემაში შეღწევისა და მისი არასწორად გამოყენების წარსული გამოცდილება,

აგრეთვე სისუსტეების გამოყენების სიხშირე;

გ) სისტემათშორისი კავშირის დონე (განსაკუთრებით საერთო მოხმარების ქსელებში);

დ) ლოგირების წარმოების მოწყობილობების გათიშვა.


მონიტორინგის პროცედურების გამოყენება აუცილებელია იმისათვის, რომ მომხმარებელმა

განახორციელოს მხოლოდ ის ქმედება, რომელიც ცალსახად ნებადართულია.

აუდიტის ლოგების განხილვა მოიცავს იმ საფრთხეების გააზრებას, რომელთა წინაშეც აღმოჩნდა

სისტემა და ამ საფრთხეების წარმოშობის მიზეზების დადგენას.

10.10.3. ლოგების მონაცემების დაცვა


ლოგების წარმოების საშუალებები და ინფორმაცია, რომელსაც ლოგები შეიცავს, დაცული უნდა

იყოს საიდუმლო ჩარევისა და არასანქცირებული წვდომისგან.


კონტროლის მექანიზმები უნდა ცდილობდნენ ლოგების წარმოების საშუალებების დაცვას

არასანქცირებული ცვლილებებისა და საექსპლუატაციო პრობლემებისგან, მათ შორის:

ა) ჩაწერილი შეტყობინებების ტიპებში შეტანილი ცვლილებები;

ბ) სისტემური ლოგების ფაილის რედაქტირება, ან წაშლა;

გ) იმ ინფორმაციის მატარებლის ტევადობის გადამეტება, რომელზეც არის შენახული

სისტემური ლოგის ფაილი.

შესაძლოა საჭირო გახდეს აუდიტის ზოგიერთი ლოგის დაარქივება დოკუმენტების შენახვის

ერთიანი პოლიტიკის ფარგლებში ან მტკიცებულებების მოძიებისა და შენახვისთვის (იხ. 13.2.3).


89


სისტემური ლოგები ხშირად შეიცავენ დიდი მოცულობის ინფორმაციას, რომლის დიდი

ნაწილიც არ განეკუთვნება უსაფრთხოების მონიტორინგის ინტერესის სფეროს. იმისათვის, რომ

უსაფრთხოების მონიტორინგისთვის გამოვლენილი იქნას მნიშვნელოვანი შემთხვევები,

განხილული უნდა იქნას ჩანაწერების სათანადო ტიპების კოპირება მეორე ჟურნალში ან/და

შესაბამისი დამხმარე სისტემური პროგრამების გამოყენება.

სისტემური ლოგები დაცული უნდა იყოს რადგან, თუ მოხდა მათში არსებული მონაცემების

მოდიფიკაცია ან წაშლა, მათმა არსებობამ შეიძლება უსაფრთხოების და დაცულობის

უსაფუძვლო განცდა შექმნას.

10.10.4. ადმინისტრატორისა და ოპერატორის ლოგები


სისტემური ადმინისტრატორისა და სისტემური ოპერატორის ქმედებები უნდა აისახოს ლოგში.


ლოგი უნდა მოიცავდეს შემდეგს:

ა) შემთხვევის მოხდენის დრო;

ბ) შემთხვევის, ან შეფერხების შესახებ ინფორმაცია (მაგალითად, ფაილები, მომხდარი

შეცდომა და მაკორექტირებელი ქმედება);

გ) რა აღრიცხული ჩანაწერი და რომელი ადმინისტრატორი ან ოპერატორი იყვნენ

ჩართული;

დ) რა პროცესები იყო ჩართული.

სისტემური ადმინისტრატორისა და ოპერატორის ლოგები რეგულარულად უნდა

განიხილებოდეს.


სისტემური და ქსელის ადმინისტრატორების ქმედებების მონიტორინგისთვის შეიძლება

გამოყენებული იქნას შეღწევის აღმოჩენის სისტემა, რომელიც იმართება სისტემისა და ქსელის

ადმინისტრატორების კონტროლის სფეროების გარედან.

10.10.5. მწყობრიდან გამოსვლის ლოგი



90

მყწობრიდან გამოსვლის ყველა შემთხვევა უნდა აღირიცხოს ლოგებში, გაანალიზდეს და

გატარებული უნდა იქნას შესაბამისი ღონისძიებები.


მყწობრიდან გამოსვლის შემთხვევები, რომელთა შესახებაც შეტყობინება განახორციელეს

მომხმარებლებმა, ან სისტემურმა პროგრამებმა და რომლებიც ინფორმაციის დამუშავების, ან

ინფორმაციის გაცვლის სისტემებს უკავშირდებიან, აუცილებლად უნდა აისახოს ლოგებში.

შემოღებული უნდა იქნას მკაფიო წესები მსგავსი შეტყობინებებისათვის, ქვემოთ მოყვანილის

ჩათვლით:

ა) მწყობრიდან გამოსვლის შემთხვევების ლოგების განხილვა იმის უზრუნველსაყოფად,

რომ მწყობრიდან გამოსვლასთან დაკავშირებული პრობლემები მოგვარდა;

ბ) მაკორექტირებელი ქმედებების განხილვა იმის უზრუნველსაყოფად, რომ კონტროლის

მექანიზმები არ არის საფრთხის ქვეშ და გატარებული ქმედებები ნებადართულია.


შეცდომებისა და მწყობრიდან გამოსვლის შემთხვევების ლოგირებამ შეიძლება სისტემის

ფუნქციონირებაზე მოახდინოს გავლენა. ასეთი ლოგირება უნდა განხორციელდეს

კომპეტენტური პერსონალის მიერ, ხოლო კონკრეტული სისტემისთვის ლოგირების დონე უნდა

განისაზღვროს რისკების შეფასების საფუძველზე, სისტემის ფუნქციონირების გაუარესების

გათვალისწინებით.

10.10.6. საათების სინქრონიზაცია


ინფორმაციის დამუშავების ყველა მნიშვნელოვანი სისტემის ან უსაფრთხოების გავრცელების

სფეროების საათები უნდა იყოს სინქრონიზებული და ზუსტი დროის წყაროსთან

შეთანხმებული.


თუ კომპიუტერს, ან კავშირის მოწყობილობას გააჩნია რეალური დროის საათების მართვის

საშუალება, მაშინ ეს საათები უნდა მუშაობდეს შეთანხმებულ ეტალონთან შესაბამისად,

მაგალითად უნივერსალურ დროსთან (გრინვიჩის UTC), ან ადილობრივ სტანდარტულ დროსთან

შესაბამისად. იმდენად, რამდენადაც, ცნობილია, რომ დროთა განმავლობაში ზოგიერთი საათი

ჩამორჩება ან წინ მიდის, უნდა არსებობდეს პროცედურა, რომელიც შეამოწმებს და გამოასწორებს

და ნებისმიერ მნიშვნელოვან გადახრას.

ადგილობრივი სპეციფიკა (სეზონურ დროზე საათების გადაწევა) უნდა იყოს

გათვალისწინებული.



91

კომპიუტერის საათის გამართულად მუშაობა მნიშვნელოვანია აუდიტის საკონტროლო ლოგების

გამართულად მუშაობისთვის.

11. წვდომის კონტროლი

11.1. ბიზნესის მოთხოვნები წვდომის კონტროლისთვის

მიზანი: ინფორმაციაზე წვდომის გაკონტროლება.

ინფორმაციაზე, მისი დამუშავების მოწყობილობებსა და ბიზნეს- პროცესებზე წვდომა უნდა

კონტროლდებოდეს ბიზნესის (საქმიანობის) და უსაფრთხოების მოთხოვნების საფუძველზე.

წვდომის უფლებების კონტროლის წესებმა უნდა გაითვალისწინოს ინფორმაციის

გავრცელებისა და ავტორიზაციის პოლიტიკები.

11.1.1. წვდომის კონტროლის პოლიტიკა


წვდომის კონტროლის პოლიტიკა უნდა ჩამოყალიბდეს და დოკუმენტალურად გაიწეროს,

პერიოდულად უნდა ხდებოდეს მისი გადახედვა და განხილვა ბიზნესის (საქმიანობის) და

აქტივების უსაფრთხოების მოთხოვნების საფუძველზე.


თითოეული მომხმარებლისთვის, ან მომხმარებელთა ჯგუფისთვის მკაფიოდ უნდა

განისაზღვროს წვდომის კონტროლის წესები შესაბამის პოლიტიკაში. წვდომის კონტროლის

მექანიზმები მოიცავს როგორც ფიზიკური, ასევე ლოგიკური წვდომის კონტროლის მექანიზმებს

(იხ. 9) და, ამდენად, ისინიერთად უნდა იყოს გათვალისწინებული. მომხმარებლებს და

მომსახურების მომწოდებლებს უნდა მიეცეთ მკაფიო და ნათელი განმარტება ბიზნეს

(საქმიანობის) მოთხოვნების შესახებ, რაც დაკმაყოფილებული უნდა იყოს წვდომის

კონტროლების მიერ.

პოლიტიკა უნდა ითვალისწინებდეს:

1. ინდივიდუალური ბიზნესის პროგრამული უზრუნველყოფისთვის უსაფრთხოების


2. პროგრამულ უზრუნველყოფასთან დაკავშირებული ყველა ინფორმაციის

იდენტიფიკაციას და რისკებს, რომლებსაც აწყდება ინფორმაცია;

3. ინფორმაციის გავრცელებისა და ავტორიზაციის პოლიტიკებს, მაგალითად, ინფორმაციის

პრინციპებსა და უსაფრთხოების დონეებს და ინფორმაციის კლასიფიკაციას (იხ. 7.2);

4. შესაბამისობას წვდომის კონტროლსა და ინფორმაციის კალსიფიკაციის პოლიტიკას

შორის სხვადასხვა სისტემებსა და ქსელებში;

5. შესაბამის კანონმდებლობას და ნებისმიერი სახის სახელშეკრულებო ვალდებულებებს

მონაცემებზე, ან მომსახურებებზე წვდომის გათვალისწინებით (იხ. 15.1);


92

6. ორგანიზაციაში საერთო სამუშაო როლებისთვის მომხმარებელთა წვდომის

სტანდარტულ პროფილებს;

7. განაწილებულ და ქსელურ გარემოში წვდომის უფლებების მართვას, რაც მოიცავს ყველა

შესაძლო კავშირის ტიპს;

8. წვდომის კონტროლის როლების გამოყოფას, მაგალითად, მოთხოვნა წვდომაზე, წვდომის

ავტორიზაცია, წვდომის ადმინისტრირება;

9. წვდომის მოთხოვნის ფორმალური ავტორიზაციის მოთხოვნებს (იხ. 11.2.1);

10. წვდომის კონტროლების პერიოდული განხილვის მოთხოვნებს (იხ. 11.2.4);

11. წვდომის უფლებების გაუქმებას (იხ. 8.3.3).


ყურადღებით უნდა მოხდეს წვდომის კონტროლის წესების ჩამოყალიბება, რათა

გათვალისწინებული იყოს:

1. სხვაობა წესებსა და ნებაყოფლობით, ან პირობით რეკომენდაციებს შორის;

2. წინაპირობაზე დაფუძნებული წესების ჩამოყალიბება: „ყველაფერი აკრძალულია, რაც არ

არის დაშვებული“, და არ უნდა იყოს გამოყენებული წესების შემასუსტებელი მოსაზრება,

როგორიცაა: „ყველაფერი დაშვებულია, რაც არ არის აკრძალული“;

3. ცვლილებები ინფორმაციულ მარკირებაში (იხ. 7.2), რომელიც ინიცირებულია

ავტომატურად ინფორმაციის დამუშავების მოწყობილობების მიერ და რომლებიც

ინიცირებულია მომხმარებლის მიერ;

4. ცვლილებებს მომხმარებელთა დაშვებებში, რაც ინიცირებულია ავტომატურად

ინფორმაციული სისტემის მიერ და ადმინისტრატორის მიერ;

5. წესებს, რომლებიც მოითხოვენ სპეციფიკურ დამოწმებას ძალაში შესვლამდე, და იმ

წესებს, რომლებსაც ეს არ სჭირდებათ.

წვდომის კონტროლის წესების მხარდაჭერა უნდა ხდებოდეს ფორმალური პროცედურებით და

მკაფიოდ დადგენილი პასუხისმგებლობებით (იხილეთ, მაგალითად, 6.1.3, 11.3, 10.4.1, 11.6).

11.2. მომხმარებლების წვდომის მართვა

მიზანი:

ინფორმაციულ სისტემებზე ავტორიზებულ მომხმარებელთა წვდომის უფლების

უზრუნველყოფა და უფლების არმქონე მომხმარებელთა შეღწევისგან თავის დაცვა.

უნდა არსებობდეს ფორმალური პროცედურები, რათა განხორციელდეს ინფორმაციულ

სისტემებსა და მომსახურებებზე წვდომის უფლებების კონტროლი.

პროცედურებმა უნდა მოიცვას მომხმარებელთა წვდომის უფლებების მთლიანი სასიცოცხლო

ციკლი, დაწყებული ახალი მომხმარებლის რეგისტრაციიდან, დამთავრებული მისი

ჩანაწერის გაუქმებით (როდესაც მას აღარ აქვს საინფორმაციო სისტემებთან ან

მომსახურებაზე წვდომის უფლება).

პრივილეგირებულ წვდომის უფლებებზე, რომელიც სისტემის კონტროლის მექანიზმების

უგულვებელყოფის საშუალებას აძლევს, უნდა დადგინდეს განსაკუთრებული კონტროლის

მექანიზმები.


93

11.2.1. მომხმარებელთა რეგისტრაცია


საინფორმაციო სისტემებსა და მომსახურებებზე წვდომის უფლების მინიჭებისა და

გაუქმებისათვის უნდა არსებობდეს მომხმარებელთა რეგისტრაციისა და მათი ჩანაწერის

გაუქმების ფორმალური პროცედურა.


მომხმარებელთა რეგისტრაციისა და მათი ჩანაწერის გაუქმებისათვის არსებული წვდომის

უფლებების კონტროლის პროცედურა უნდა შეიცავდეს შემდეგ პუნქტებს:

ა) თითოეულ მომხმარებელს უნდა მიენიჭოს მომხმარებლის უნიკალური

იდენტიფიქატორი (ID), რათა ცალსახად მოხდეს მათ მიერ განხორციელებულ

ქმედებებთან მათი დაკავშირება და შესაბამისი პასუხისმგებლობის დაკისრება.

მომხმარებლის ჯგუფური იდენტიფიქატორების (ID) დაშვება შესაძლებელია, მხოლოდ იმ

შემთხვევებში, როდესაც ეს გამოწვეულია ორგანიზაციის ძირეული ფუნქციებით, ან

საოპერაციო მიზეზებით. მომხმარებლის ჯგუფური იდენტიფიქატორების (ID) გამოყენება

ნებადართული და დოკუმენტირებული უნდა იყოს;

ბ) უნდა ხდებოდეს შემოწმება, აქვს თუ არა მომხმარებელს სისტემის მფლობელის მიერ

მინიჭებული საინფორმაციო სისტემებსა და სერვისებზე წვდომის ავტორიზაცია.

სასურველია, თუ ორგანიზაციის ხელმძღვანელობა, თავის მხრივ, დაადასტურებს

მომხმარებლის წვდომის უფლებებს;

გ) უნდა შემოწმდეს შეესაბამება თუ არა მომხმარებლისთვის მინიჭებული წვდომის დონე

ორგანიზაციის ფუნქციებიდან (იხ. 11.1) გამომდინარე მოთხოვნებს და ხომ არ

ეწინააღმდეგება ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას,

მაგალითად, არ უნდა მოხდეს უფლებათა განაწილების საფრთხის ქვეშ დაყენება (იხ.

10.1.3);

დ) მომხმარებელს მისი წვდომის უფლებები წერილობითი ფორმით უნდა გადაეცეს ;

ე) მომხმარებლებს უნდა მოეთხოვოს, ხელი მოაწერონ დოკუმენტს, რომლითაც

დაადასტურებენ, რომ გაეცნენ და ეთანხმებიან მათთვის წვდომის მინიჭებულ

უფლებებს;

ვ) მომსახურების მომწოდებლებს უნდა მოეთხოვოს, რომ არ მისცენ მომხმარებელს

წვდომის უფლება მანამ, სანამ არ დამთავრდება მისი ავტორიზაციის პროცედურა;

ზ) უნდა წარმოებდეს ფორმალური ჩანაწერები ყველა იმ მომხმარებლისა, რომელსაც

მომსახურების გამოყენების უფლება აქვს;

თ) დაუყოვნებლივ უნდა დაებლოკოს წვდომის უფლებები იმ მომხმარებლებს,

რომლებსაც შეეცვალათ სისტემის მოხმარების როლები, ან სამსახურეობრივი პოზიცია, ან

თუ მათ დატოვეს ორგანიზაცია;

ი) პერიოდულად უნდა შემოწმდეს და დაიბლოკოს, ან გაუქმდეს ზედმეტი

მომხმარებლის იდენტიფიქატორები (ID), ან ჩანაწერები (იხ. 11.2.4);

კ) მომხმარებლებს არ უნდა მიენიჭოს ზედმეტი იდენტიფიქატორები (ID).



94

უნდა შეიქმნას მომხმარებლის ზოგადი პროფილი, რომლის წვდომის უფლებები უნდა

განისაზღვროს ბიზნეს-მოთხოვნების შესაბამისად. წვდომის უფლებების მოთხოვნების მართვა

უფრო ადვილია ასეთ პროფილთან მიმართებაში (იხ. 11.2.4).

11.2.2. პრივილეგიების მართვა


პრივილეგიების მინიჭების პროცესი უნდა იყოს შეზღუდული და მკაცრად კონტროლირებადი.


მრავალმომხმარებლიან სისტემებში, რომლებიც დაცული უნდა იყვნენ არაავტორიზირებული

წვდომისგან, უნდა არსებობდეს მომხმარებელთა უფლებების რეესტრი, რომელიც

კონტროლირებადია ფორმალური ავტორიზაციის პროცესით. უნდა იყოს განსაზღვრული

შემდეგი ეტაპები:

ა) უნდა იყოს განსაზღვრული თითოეულ სისტემასთან (ოპერაციული სისტემა,

მონაცემთა ბაზის მართვის სისტემა და ნებისმიერი პროგრამული პროდუქტი) წვდომის

უფლებები და მომხმარებლები, რომელთაც ეს უფლებები ენიჭებათ;

ბ) წვდომის უფლებები მომხმარებლებს უნდა მიენიჭოს მხოლოდ იმ მინიმალური

ოდენობით, რაც საჭიროებიდანაა გამომდინარე, წვდომის უფლებების კონტროლის

პოლიტიკის გათვალისწინებით (იხ. 11.1.1);

გ) ავტორიზაციის პროცესი და წვდომის უფლებების რეესტრი უნდა იყოს შენახული და

დაცული. წვდომის უფლებები არ უნდა მიენიჭოს მომხმარებელს მანამ, სანამ

ავტორიზაციის პროცესი არ დამთავრდება;

დ) უნდა მოხდეს სისტემური პროგრამების შექმნისა და გამოყენების ხელშეწყობა, რათა

თავიდან იქნას არიდებული მომხარებლებისთვის ზედმეტი პრივილეგიების მინიჭება;

ე) პრივილეგიები უნდა მიენიჭოს ჩვეულებრივი-ბიზნეს მოთხოვნების მქონე

მომხმარებლისგან განსხვავებულ მომხმარებლს ID-ებს.


სისტემის პრივილეგიების არასწორი ადმინისტრირება (საინფორმაციო სისტემის ნებისმიერი

თვისება ან მოწყობილობა, რომელიც მომხმარებელს საშუალებას აძლევს გამოიწვიოს სისტემის,

ან კონტროლის მწყობრიდან გამოსვლა) შეიძლება გახდეს სისტემის დაზიანების, ან მწყობრიდან

გამოსვლის მთავარი გამომწვევი მიზეზი.

11.2.3. მომხმარებლების პაროლების მართვა



95

პაროლების მინიჭების მართვა უნდა კონტროლდებოდეს მართვის ფორმალური პროცესის

მეშვეობით.


პროცესი უნდა მოიცავდეს შემდეგ მოთხოვნებს:

1. მომხმარებლებს უნდა მოეთხოვოთ ხელმოწერა განაცხადზე იმის შესახებ, რომ პირადი

პაროლები არის კონფიდენციალური და ასევე საერთო მოხმარების პაროლების დაცვა

უნდა მოხდეს მხოლოდ ჯგუფის წევრების მიერ; ეს ხელმოწერილი განაცხადი შეიძლება

ჩაიდოს დასაქმების შესახებ პირობებში (იხ. 8.13);

2. თუ მომხმარებლებს მოეთხოვებათ იქონიონ საკუთარი პაროლები, მაშინ მათ

თავდაპირველად უნდა მიეცეთ უსაფრთხო დროებითი პაროლი (იხ. 11.3.1), რომელიც

სასწრაფოდ უნდა გამოცვალონ;

3. მომხმარებლის ნამდვილობის შემოწმების პროცედურების შესრულება მანამ, სანამ

მომხმარებელს მიეცემა ახალი, შეეცვლება ძველი ან დროებითი პაროლი;

4. დროებითი პაროლი მომხმარებელს უნდა მიეცეს უსაფრთხოების დაცვით; მესამე მხარის,

ან დაუცველი (ღია ტექსტი) ელექტრონული ფოსტის შეტყობინებები თავიდან უნდა იყოს

არიდებული;

5. დროებითი პაროლები უნდა იყოს უნიკალური თითოეული პირისათვის და არ უნდა

იყოს ადვილად გამოსაცნობი;

6. მომხმარებლებმა უნდა დაადასტურონ პაროლების მიღება;

7. პაროლები არ უნდა ინახებოდეს კომპიუტერულ სისტემაში დაუცველი ფორმით;

8. მომწოდებლების ავტომატური პაროლები უნდა იცვლებოდეს სისტემების, ან

პროგრამული უზრუნველყოფების ინსტალირების შესაბამისად.


პაროლები წარმოადგენენ საერთო საშუალებას მომხმარებლის ნამდვილობის შესამოწმებლად

მანამ, სანამ მათ მიეცემათ წვდომა ინფორმაციულ სისტემაზე, ან მომსახურებაზე მომხმარებლის

ავტორიზაციის თანახმად. ამასთან ერთად უნდ აგანიხილებოდეს და გამოიყენებოდეს

მომხმარებლის იდენტიფიცირების და აუტენტიფიკაციის სხვა ტექნოლოგიები, როგორებიცაა

მაგალითად, ბიომეტრიული მონაცემები, თითის ანაბეჭდის შემოწმება, ხელმოწერის შემოწმება,

კომპიუტერული ტექნიკის ჟეტონების/ბარათების გამოყენება, მაგალითად, ე.წ. „სმარტ-

ბარათები“.

11.2.4. მომხმარებლის წვდომის უფლებების გადახედვა


ხელმძღვანელობამ ფორმალური პროცესის გამოყენებით, დადგენილი პერიოდულობით უნდა

გადახედოს მომხმარებლების წვდომის უფლებებს.


მომხმარებლების წვდომის უფლებების გადახედვის ფორმალური პროცესი უნდა

ითვალისწინებდეს შემდეგ რეკომენდაციებს:


96

ა) მომხმარებლების წვდომის უფლებები უნდა გადაიხედოს რეგულარული

პერიოდულობით, მაგალითად 6 თვეში ერთხელ, და ყოველი ცვლილებისას, მაგალითად

თანამშრომლის დაწინაურების, დაქვეითების, სამსახურიდან დათხოვნის დროს (იხ.

11.2.1);

ბ) მომხმარებლის წვდომის უფლებები უნდა გადაიხედოს იმავე ორგანიზაციაში სხვა

თანამდებობაზე გადაყვანისას;

გ) სპეციალური პრივილეგირებული წვდომის უფლებების მქონე მომხმარებლების

ჩანაწერები (იხ. 11.2.2) უფრო დიდი სიხშირით უნდა გადაიხედოს, მაგალითად 3 თვეში

ერთხელ;

დ) პრივილეგიების ჩანაწერები პერიოდულად უნდა გადამოწმდეს, რათა დავრწმუნდეთ,

რომ სისტემაში არ არის არაავტორიზებული პრივილეგიები;

ე) პრივილეგირებული მომხმარებლების ანგარიშების ცვლილებები უნდა იყოს

დაფიქსირებული, რათა მოხდეს მათი პერიოდული შემოწმება.


აუცილებელია მომხმარებლების წვდომის უფლებების რეგულარული გადახედვა, რათა

შესაძლებელი იყოს ინფორმაციულ მომსახურებებსა და მონაცემებზე წვდომის ეფექტური

კონტროლის განხორციელება.

11.3. მომხმარებლის პასუხისმგებლობები

მიზანი: მომხმარებლის არაავტორიზებული წვდომის, ინფორმაციის, ან მისი დამუშავების

მოწყობილობების საფრთხის ქვეშ დაყენების, ან დატაცების თავიდან არიდება.

ავტორიზებული მომხმარებლების მუშაობა არსებითია ეფექტიანი უსაფრთხოებისათვის.

მომხმარებლებს გაცნობიერებული უნდა ჰქონდეთ საკუთარი პასუხისმგებლობები წვდომის

ეფექტიანი კონტროლის მხადაჭერისთვის, განსაკუთრებით პაროლების გამოყენებისა და

მომხმარებელთა მოწყობილობების უსაფრთხოების გათვალისწინებით.

უნდა დაინერგოს „სუფთა ეკრანისა“ და „სუფთა მაგიდის“ პოლიტიკა, რათა შემცირდეს

ქაღალდებზე, მედია-მატარებლებზე და ინფორმაციის დამუშავების მოწყობილობებზე

არაავტორიზებული წვდომა, ან მათი დაზიანება.

11.3.1. პაროლების გამოყენება


მომხმარებლებს უნდა მოეთხოვოთ საუკეთესო პრაქტიკის დაცვა პაროლების შერჩევისა და

გამოყენების თვალსაზრისით.



97

ყველა მომხმარებელმა უნდა გაითვალისწინოს შემდეგი რჩევები:

1. პაროლების კონფიდენციალურობის დაცვა;

2. პაროლების ჩაწერის თავიდან არიდება (მაგალითად, ქაღალდზე, პროგრამულ ფაილში, ამ

რაიმე ჯიბის მოწყობილობაზე), გარდა იმ შემთხვევისა, თუ პაროლები დაცულია

უსაფრთხო მეთოდით და შენახვის მეთოდი დამტკიცებული და მიღებულია;

3. პაროლების დაუყოვნებელი შეცვლა, იმ შემთხვევებში როდესაც არსებობს რაიმე

მინიშნება სისტემის, ან პაროლის შესაძლო საფრთხის ქვეშ დაყენების შესახებ;

4. ხარისხიანი პაროლების შერჩევა შესაბამისი საკმარისი მინიმალური სიმბოლოებით.

პაროლების მიმართ ძირითადი მოთხოვნებია:

უნდა იყოს ადვილად დასამახსოვრებელი;

არ უნდა იყოს სხვა პირის მიერ ადვილად გამოსაცნობი და არ ეფუძნებოდეს

პიროვნების პირად ინფორმაციას, მაგალითად, სახელი, ტელეფონის ნომერი,

დაბადების თარიღი ან ა.შ.;

არ უნდა შეიცავდეს ლექსიკონური პაროლის სისუსტეებს (მაგალითად, არ უნდა

შეიცავდეს ლექსიკონში არსებულ სიტყვებს);

არ უნდა შეიცავდეს თანმიმდევრულ სიმბოლოებს, ციფრულ ან ანბანის

სიმბოლოებს;

5. მოხდეს პაროლების შეცვლა რეგულარულად, ან წვდომების რაოდენობის საფუძველზე

(პრივილეგირებული ანგარიშებისთვის პაროლები უნდა შეიცვალოს უფრო ხშირად,

ვიდრე ეს სტანდარტული პაროლების შემთხვევაშია) და ძველი პაროლების ხელახლა

გამოყენების თავიდან არიდება;

6. სისტემაზე პირველივე წვდომის განხორციელებისას დროებითი პაროლის შეცვლა;

7. პაროლები არ უნდა იყოს ჩართული არანაირი სახის ავტომატური ლოგირების პროცესში,

მაგალითად, არ უნდა ინახებოდეს მაკრო, ან ფუნქციონალურ ღილაკზე/გასაღებში;

8. არ უნდა მოხდეს ინდივიდუალური პაროლების გაზიარება;

9. ერთი და იგივე პაროლები არ უნდა იქნას გამოყენებული პირადი და ბიზნეს

(საქმიანობის) მიზნებისთვის.

თუ მომხმარებელს სჭირდება ბევრ მომსახურებაზე, სისტემებსა თუ პლატფორმებზე წვდომა,

მაშინ მას მოეთხოვება იქონიოს ბევრი განსხვავებული პაროლი, მომხმარებელს უნდა მიეცეს

რეკომენდაციები და რჩევები იმის თაობაზე, რომ უნდა გამოიყენონ მარტივი, ხარისხიანი

პაროლები (იხილეთ პუნქტი 4 ზემოთ) ყველა მომსახურებისთვის; მომხმარებელი

დარწმუნებული უნდა იყოს თითოეული მომსახურების, სისტემისა თუ პლატფორმისთვის

გამოყენებული პაროლების დაცვის ხარისხში.


„მომსახურების მხარდაჭერის სამსახური“ (help-desk), რომელიც ახორციელებს დაკარგული, ან

დავიწყებული პაროლების მართვას, საჭიროებს განსაკუთრებულ სიფრთხილესა და

ყურადღებას, რადგანაც იგი შესაძლოა გამოყენებული იქნას როგორც პაროლების სისტემაზე

შეტევის საშუალება.

11.3.2. მომხმარებლების უმეთვალყურეოდ დატოვებული მოწყობილობები



98

მომხმარებლებმა უნდა უზრუნველყონ უმეთვალყურეოდ დატოვებული მოწყობილობის

შესაბამისი დაცვა.


ყველა მომხმარებელი ინფორმირებული უნდა იყოს უსაფრთხოების მოთხოვნების და

უმეთვალყურეოდ დატოვებული მოწყობილობის დაცვის პროცედურების შესახებ, ასევე ამ

პროცედურების დანერგვისათვის აუცილებელი პასუხისმგებლობების შესახებ. მომხმარებლებმა

უნდა გაითვალისწინონ შემდეგი რჩევიები:

1. აქტიური სესიების შეწყვეტა დასრულების შემდეგ, თუ არ არსებობს მათი დაცვის

შესაბამისი მექანიზმი, მაგალითად, პაროლით უზრუნველყოფილი ეკრანის დამცავი

(screen saver);

2. ძირითადი მანქანის, სერვერების და საოფისე პერსონალური კომპიუტერების სეანსის

დასრულება (მაგალითად, არა მხოლოდ პერსონალური კომპიუტერის ეკრანის, ან

ტერმინალის გამორთვა);

3. პერსონალური კომპიუტერების, ან ტერმინალების დაცვა არაავტორიზებული

გამოყენებისგან გასაღებით/კლავიშით, ან შესაბამისი კონტროლის მექანიზმით,

მაგალითად, პაროლებზე წვდომა, როდესაც მოწყობილობა გამოყენებაში არ არის (იხ.

11.3.3);


მომხმარებლებთან დაინსტალირებული ტექნიკა, მაგალითად, სამუშაო ადგილი

სტაციონარული კომპიუტერით ან ფაილების სერვერები, - შესაძლოა საჭიროებდნენ

სპეციფიკურ დაცვას არაავტორიზებული წვდომისაგან იმ შემთვევებში, როდესაც ტექნიკა

დიდი ხნით არის უმეთვალყურეოდ დარჩენილი.

11.3.3. „სუფთა მაგიდისა“ და „სუფთა ეკრანის“ პოლიტიკა


დამტკიცებული უნდა იყოს სუფთა მაგიდის პოლიტიკა ქაღალდებისა და გადაადგილებადი

მეტია საცავებისთვის და სუფთა ეკრანის პოლიტიკა ინფორმაციის დამუშავების

მოწყობილობებისთვის.


სუფთა მაგიდისა და სუფთა ეკრანის პოლიტიკა უნდა ითვალისწინებდეს ინფორმაციის

კლასიფიკაციას (იხ. 7.2), იურიდიულ და სახელშეკრულებო მოთხოვნებს (იხ. 15.1) და

ორგანიზაციაში არსებულ შესაბამის რისკებსა და კულტურულ ასპექტებს. გათვალისწინებული

უნდა იყოს შემდეგი მითითებები:

1. სენსიტიური, ან კრიტიკული ბიზნეს-ინფორმაცია, მაგალითად, ქაღალდზე, ან

ელექტრონულ მედია-საცავზე არსებული ინფორმაცია, უნდა ჩაიკეტოს დაცულად

(საუკეთესო შემთხვევაში, სეიფში ან კაბინეტში ან სხვა უსაფრთხო ადგილას), იმ

შემთხვევებში როდესაც საჭირო არ არს მისი გამოყენება, განსაკუთრებით მაშინ, როდესაც

ოფისი გარკვეული დროით იკეტება;


99

2. იმ შემთხვევებში როდესაც აპარატურა რჩება უმეთვალყურეოდ, კომპიუტერები, ან

ტერმინალები უნდა იყოს გამორთული, ან დაცული კლავიატურის და ეკრანის დამცავი

მექანიზმით, რომლის კონტროლიც ხორციელდება პაროლით, ბარათით ან მომხმარებლის

აუტენტიფიკაციის მსგავსი მექანიზმით.

3. დაცული უნდა იყოს შემომავალი და გამავალი ელექტრონული ფოსტის ადგილი და

ფაქსიმილიის აპარატები;

4. თავიდან უნდა იყოს არიდებული ფოტოასლების გადამღები მანქანებისა და სხვა

მაკოპირებელი ტექნოლოგიების (მაგალითად, სკანერების, ციფრული კამერების)

არაავტორიზებული გამოყენება;

5. დოკუმენტები, რომლებიც შეიცავენ სენსიტიურ, ან კლასიფიცირებულ ინფორმაციას,

დაუყოვნებლივ უნდა იქნას ამოღებული პრინტერებიდან.


სუფთა მაგიდის/ეკრანის პოლიტიკა ამცირებს ჩვეული სამუშაო საათების დროს, ან

ზეგანაკვეთური სამუშაოს შესრულებისას ინფორმაციაზე არაავტორიზებული წვდომის, მისი

დაკარგვის და დაზიანების რისკებს. სეიფებში, ან სხვა სახის უსაფრთხო საცავ მოწყობილობებში

შესაძლოა დაცული იყოს ინფორმაცია ისეთი კატასტროფებისგან, როგორებიცაა ხანძარი,

მიწისძვრა, წყალდიდობა ან აფეთქება.

გასათვალისწინებელია ასევე პინ-კოდიანი პრინტერების გამოყენება, მხოლოდ ამ პინ-კოდის

მფლობელს შეუძლია ამ პრინტერის გამოყენება და ისიც მხოლოდ მაშინ, როდესაც ფიზიკურად

პრინეტერთან იმყოფება.

11.4. ქსელზე წვდომის კონტროლი

მიზანი: ქსელში ჩართულ მომსახურებებზე არაავტორიზებული წვდომის თავიდან არიდება.

უნდა გაკონტროლდეს წვდომა როგორც შიდა, ასევე გარე ქსელებში ჩართულ

მომსახურებებზე.

ქსელებსა და ქსელურ მომსახურებებზე მომხმარებლის წვდომა საფრთხის ქვეშ არ უნდა

აყენებდეს ქსელური მომსახურებების უსაფრთხოებას, რაც უზრუნველყოფილი უნდა იყოს

შემდეგი საკითხებით:

1. შესაბამისი ინტერფეისების არსებობა ორგანიზაციის ქსელებსა და სხვა

ორგანიზაციების მფლობელობაში არსებულ და საჯარო ქსელებს შორის;

2. შესაბამისი აუტენტიფიკაციის მექანიზმის გამოყენება მომხმარებლებისა და

აპარატურისთვის;

3. მოქმედ ინფორმაციულ მომსახურებეზე მომხმარებლის წვდომის კონტროლი.

11.4.1. ქსელური მომსახურებებით სარგებლობის პოლიტიკა



100

მომხმარებლებისთვის უზრუნველყოფილ უნდა იყოს მხოლოდ იმ მომსახურებებზე წვდომა,

რომლის ავტორიზაციაც გაიარეს.


ჩამოყალიბებული უნდა იყოს ქსელებისა და ქსელური მომსახურებების გამოყენების პოლიტიკა.

ეს პოლიტიკა უნდა ფარავდეს შემდეგ საკითხებს:

1. წვდომაზე ნებადართული ქსელები და ქსელური მომსახურებები;

2. ავტორიზაციის პროცედურა, რომელიც განსაზღვრავს, ვის აქვს ქსელებსა და ქსელურ

მომსახურებებზე წვდომის უფლება;

3. მენეჯმენტის კონტროლი და პროცედურები, რათა დაცული იყოს წვდომა ქსელურ

კავშირებზე და ქსელურ მომსახურებებზე;

4. ქსელებზე წვდომის და ქსელური მომსახურების წვდომისთვის გამოყენებული

საშუალებები (მაგალითად, სატელეფონო ხაზით ინტერნეტ პროვაიდერებზე, ან

დისტანციურ სისტემებზე წვდომის პირობები).

ქსელური მომსახურებების გამოყენების პოლიტიკა შესაბამისობაში უნდა იყოს წვდომის

კონტროლის ზოგად პოლიტიკასთან (იხ. 11.1).


ქსელურ მომსახურებებზე არაავტორიზებულმა წვდომამ და საფრთხის შემცველმა კავშირებმა

შესაძლოა გავლენა იქონიოს მთელ ორგანიზაციაზე. ამგვარი კონტროლის მექანიზმი

განსაკუთრებით მნიშვნელოვანია სენსიტიური, ან კრიტიკული ბიზნეს-პროცესების პროგრამულ

უზურნველყოფასთან, ან მაღალი რისკის დონის შემცველი ადგილმდებარეობის მქონე

მომხმარებლებისთვის, რომლებიც ახორციელებენ ქსელურ დაკავშირებას, მაგალითად, საჯარო

ან გარე მხარები, რომლებიც განთავსებულია ორგანიზაციის უსაფრთხოების მართვისა და

კონტროლის ფარგლებს გარეთ.

11.4.2. გარედან დაკავშირების დროს მომხმარებლის აუთენტიკაცია


გამოყენებული უნდა იყოს აუთენტიფიკაციის შესაბამისი მეთოდები, რათა განხორციელდეს

კონტროლი დისტანციური მომხმარებლების მიერ განხორციელებულ წვდომაზე.

დანერგვის სახლემძღვანელო მითითებები

დისტანციური მომხმარებლების აუთენტიფიკაცია შესაძლოა განხორცილედეს, მაგალითად,

კრიპტოგრაფიული ტექნიკების, კომპიუტერული ტექნიკის ბარათების/ჟეტონების, ან

რეაგირების ოქმების გამოყენებით. ამგვარი ტექნიკის შესაძლო დანერგვა შესაძლოა შეგვხვდეს

სხვადასხვა ვირტუალური პირადი ქსელის (VPN) გადაწყვეტებში. სპეციალურად გამოყოფილი

პირადი ხაზები შეიძლება ასევე გამოიყენებოდეს კავშირის წყაროს სანდოობის

უზრუნველსაყოფად.

აბონენტთან უკუდაკავშირების პროცედურებმა და კონტროლის მექანიზმებმა, მაგალითად,

უკუდაკავშირების მოდემების გამოყენებამ, შესაძლოა უზრუნველყოს ორგანიზაციის

ინფორმაციის დამუშავების მოწყობილობებთან არაავტორიზებული და არასასურველი


101

დაკავშირების საწინააღმდეგო დაცვა. ამ ტიპის კონტროლის მექანიზმი ახდენს იმ

მომხმარებლების აუთენტიფიკაციას, რომლებიც დისტანციური ადგილიდან ცდილობენ

დაამყარონ კავშირი ორგანიზაციის ქსელთან. ამ კონტროლის მექანიზმის გამოყენებისას,

ორგანიზაციამ არ უნდა გამოიყენოს ქსელური მომსახურებები, რომლებიც მოიცავენ ზარის

გადამისამართებას, და თუ მაინც ხდება ზარის გადამისამართების გამოყენება, მაშინ

ორგანიზაციამ ეს ფუნქცია უნდა გათიშოს, რათა თავიდან იქნას არიდებული ზარის

გადამისამართებასთან დაკავშირებული საფრთხეები. აბონენტთან უკუდაკავშირების პროცესმა

უნდა უზრუნველყოს ორგანიზაციის მხარესთან კავშირის გაწყვეტა. სხვაგვარად, დისტანციურ

მომხმარებელს შეუძლია დატოვოს ხაზი ღია და მოაჩვენოს თავი, თითქოს უკუდაკავშრების

შემოწმება მიმდინარეობს. ამ მიზნით უნდა დაიტესტოს უკუდაკავშირების პროცედურები და

კონტროლის მექანიზმები .

კვანძის (ქსელის) აუთენტიფიკაცია შესაძლოა დისტანციური მომხმარებლების ჯგუფის

აუტენტიფიკაციის ალტერნატიული საშუალება იყოს, როდესაც ისინი დაკავშირებული არიან

უსაფრთხო, ზიარ კომპიუტერულ მოწყობილობებთან. კრიპტოგრაფიული ტექნიკები,

მაგალითად, მანქანის სერთიფიკატები, შეიძლება გამოყენებული იყოს კვანძის

აუთენტიფიკაციისთვის. ეს არის სხვადასხვა ვირტუალურ პირად ქსელზე დაფუძნებული

გადაწყვეტების ნაწილი.

აუთენტიფიკაციის დამატებითი კონტროლის მექანიზმები უნდა დაინერგოს უსადენო ქსელებზე

წვდომის გასაკონტროლებლად. ზოგიერთ შემთხვევაში, განსაკუთრებული ყურადღებაა საჭირო

უსადენო ქსელებისთვის კონტროლის მექანიზმების არჩევის დროს, რათა არსებობს დიდი

ალბათობა და შესაძლებლობა იმისა, რომ მოხდეს ფარული მოსმენა და ქსელის ტრაფიკში

ჩართვა.


გარედან განხორციელებული დაკავშირებები წარმოადგენენ ბიზნეს- ინფორმაციაზე

არაავტორიზებული წვდომის შესაძლებლობას, მაგალითად, სატელეფონო ხაზით წვდომა.

არსებობს აუთენტიფიკაციის მეთოდის სხვადასხვა ტიპი, ზოგიერთი მათგანი უფრო მაღალი

დონის დაცვას უზრუნველყოფს, ვიდრე სხვა დანარჩენი, მაგალითად, კრიპტოგრაფიულ

ტექნიკებზე დაფუძნებული მეთოდები უზრუნველყოფენ მკაცრ აუტენტიფიკაციას.

მნიშვნელოვანია, რისკების შეფასების საფუძველზე განისაზღვროს დაცვის საჭირო დონე. ეს,

თავის მხრივ, აუცილებელია აუტენტიფიკაციის შესაბამისი მეთოდის შერჩევისთვის.

დისტანციურ კომპიუტერთან ავტომატური დაკავშირების მოწყობილობა შესაძლოა

წარმოადგენდეს პროგრამულ უზრუნველყოფაზე არაავტორიზებული წვდომის მოპოვების

შესაძლებლობას. ეს განსაკუთრებით მნიშვნელოვანია მაშინ, როდესაც დაკავშირებისას

გამოიყენება ქსელი/კავშირი, რომელიც არ ექვემდებარება ორგანიზაციის უსაფრთხოების

მართვას.

11.4.3. ქსელებში აპარატურის იდენტიფიცირება


გათვალისწინებული უნდა იყოს ტექნიკისა და აპარატურის ავტომატური იდენტიფიკაცია,

როგორც სპეციფიკური ადგილმდებარეობიდან და ტექნიკის მეშვეობით დაკავშირების

აუთენტიფიკაციის საშუალება.


102


აპარატურის იდენტიფიკაცია შესაძლოა გამოყენებული იყოს იმ შემთხვევებშ, თუ

მნიშვნელოვანია, რომ კომუნიკაციის ინიცირება მხოლოდ სპეციფიკური ადგილმდებარეობიდან,

ან ტექნიკის გამოყენებით მოხდეს. მაიდენტიფიცირებელი, რომელიც აპარატურაშია, ან

მიბმულია მასზე, შესაძლოა გამოყენებული იყოს იმის მისათითებლად, არის თუ არა ეს

აპარატურა ნებადართული ქსელთან დასაკავშრებლად. ეს მაიდენტიფიცირებლები მკაფიოდ და

ნათლად უნდა მიუთითებდნენ, რომელ ქსელტან დაკავშირებაზეა აპარატურა ნებადართული,

მაშინ როდესაც არსებობს ერთზე მეტი ქსელი და ეს ქსელები სხავდასხვა სენისიტიურობის

არიან. შესაძლოა აუცილებლი გახდეს იმის გათვალისწინება, რომ დაცული იყოს აპარატურის

ფიზიკური უსაფრთხოება, რათა მოხდეს აპარატურის მაიდენტიფიცირებელის უსაფრთხოების

მხარდაჭერა.


კონტროლის ეს მექანიზმი შეიძლება დამატებით მოიცავდეს მომხმარებლის აპარატურის

აუტენტიფიკაციის სხვა საშუალებესაც (იხ. 11.4.2). მოწყობილობების იდენტიფიკაცია შესაძლოა

დამატებით გამოყენებული იყოს მომხმარებლის აუთენტიფიკაციის დროს.

11.4.4. დისტანციური დიაგნოსტიკისა და კონფიგურაციის პორტის დაცვა


აუცილებლად უნდა განხორციელდეს კონტროლი დიაგნოსტიკურ და კონფიგურაციის

პორტებზე ლოგიკური და ფიზიკური წვდომისას.


დიაგნოსტიკურ და კონფიგურაციის პორტებზე წვდომისთვის საჭირო კონტროლის

პოტენციური მექანიზმები მოიცავს კლავიატურის/გასაღების და სხვა მხარდამჭერი

პროცედურების გამოყენებას, რათა განხორციელდეს კონტროლი პორტზე ფიზიკური

წვდომისას. ამგვარი მხარდამჭერი პროცედურების მაგალითს წარმოადგენს იმის

უზრუნველყოფა, რომ დიაგნოსტიკური და კონფიგურაციის პორტები წვდომადი იყოს მხოლოდ

მაშინ, როდესაც არსებობს შეთანხმება კომპიუტერული მომსახურების მენეჯერსა და

კომპიუტერული ტექნიკის/პრორგამული უზრუნველყოფის მხარდამჭერ იმ პერსონალს შორის,

რომელთაც სჭირდებათ წვდომა.

პორტები, მომსახურებები და მსგავსი მოწყობილობები, რომლებიც დაინსტალირებულია

კომპიუტერზე, ან ქსელურ მოწყობილობებზე და არ წარმოადგენენ აუცილებლობას ბიზნეს-

პროცესების ფუნქციონირებისთვის, - უნდა წაიშალოს ან გაითიშოს.


ბევრი კომპიუტერული სისტემა, ქსელური სისტემა და საკომუნიკაციო სისტემა

დაინსტალირებულია მხარდაჭერის ინჟინრების მიერ დისტანციური ან კონფიგურაციული


103

მოწყობილობის მეშვეობით. თუ აღნიშნული დიაგნოსტიკური პორტები არ არის დაცული, მაშინ

ისინი წარმოადგენენ არაავტორიზებული წვდომის საშუალებებს.

11.4.5. ქსელებში იზოლირება


ინფორმაციული მომსახურებების, მომხმარებლების და ინფორმაციული სისტემების ჯგუფები

ქსელებში უნდა იყოს იზოლირებული.


დიდი ქსელების უსაფრთხოების კონტროლის ერთ-ერთი მეთოდი არის მისი დაყოფა ცალკეულ,

ლოგიკურ ქსელურ დომენებად, მაგალითად, ორგანიზაციის შიდა ქსელური დომენები და გარე

ქსელური დომენები, რომლებიც დაცული იქნება უსაფრთხოების დადგენილი პერიმეტრით.

დახარისხებული კონტროლის მექანიზმების ნაკრები შესაძლოა გამოყენებული იყოს სხვადასხვა

ლოგიკურ ქსელურ დომენებში, რათა შემდგომ მოხდეს ქსელის უსაფრთხოების გარემოს

იზოლირება/დაყოფა, მაგალითად, საჯაროდ ხელმისაწვდომი სისტემები, შიდა ქსელები და

კრიტიკული აქტივები. დომენები უნდა განისაზღვროს რისკების შეფასების და უსაფრთხოების

სხვადასხვა მოთხოვნების საფუძველზე(თითოეული დომენის ფარგლებში).

ამგვარი ქსელური პერიმეტრი შესაძლოა დაინერგოს ორ ქსელს შორის უსაფრთხო კარიბჭეების

დაინსტალირებით., მათზე წვდომა და ინფორმაციის დინება განხორციელდეს ამ ორ დომენს

შორის. ეს კარიბჭე უნდა იყოს კონფიგურირებული ისე, რომ გაფილტროს ამ დომენებს შორის

ტრაფიკი (იხ. 11.4.6 და 11.4.7) და დაბლოკოს არაავტორიზებული წვდომა ორგანიზაციის მიერ

დადგენილი წვდომის კონტროლის პოლიტიკის შესაბამისად (იხ. 11.1). ამ ტიპის კარიბჭის

მაგალითი არის საზოგადოდ ცნობილი დამცავი ბარიერი (ფაიერვოლი).ლოგიკური დომენების

დაყოფის სხვა მეთოდი არის ქსელური წვდომის შეზღუდვა ვირტუალური პირადი ქსელის

გამოყენებით ორგანიზაციის ფარგლებში არსებული მომხმარებელთა ჯგუფისთვის.

ქსელების დაყოფა შესაძლებელია ასევე ქსელური მოწყობილობის ფუნქციონალის გამოყენებით,

მაგალითად ინტერნეტ-პროვაიდერის გათიშვით/კომუტაციით. ასეთ შემთხვევებშ ცალკეული

დომენების დანერგვა შესაძებელია ქსელური მონაცემების დინების კონტროლის მეშვეობით,

რომლის დროსაც გამოიყენება მარშრუტიზაციის/კომუტაციის შესაძლებლობები, როგორებიცაა

წვდომის კონტროლის ჩამონათვალი.

დომენებად ქსელის დაყოფის კრიტერიუმები უნდა ეფუძნებოდეს წვდომის კონტროლის

პოლიტიკასა და წვდომის მოთხოვნებს (იხ. 10.1), ასევე უნდა ითვალისწინებდეს შესაბამის

ხარჯებსა და წარამდობის გავლენას შესაბამის ქსელურ მარშრუტში ჩართვის, ან კარიბჭის

ტექნოლოგიის თვალსაზრისით (იხ. 11.4.6. და 11.4.7).

დამატებით, ქსელების დანაწილება უნდა ეფუძნებოდეს ქსელებში დაცული, ან დამუშავებული

ინფორმაციის ფასეულობას და კლასიფიკაციას, სანდოობის დონეს, ან ბიზნესის (საქმიანობის)

მიმართულებებს, რათა შემცირდეს მომსახურების შეწყევტით გამოწვეული მთლიანი გავლენა.

გათვალისწინებული უნდა იყოს უსადენო ქსელების შიდა და პირადი ქსელებისგან

გამოცალკევება. იმდენად, რამდენადაც უსადენო ქსელების პერიმეტრები არ არის მკაფიოდ

დადგენილი, უნდა ჩატარდეს რისკების შეფასება, რათა გამოვლინდეს ქსელის დანაწილების


104

მხარდამჭერი კონტროლის მექანიზმები (მაგალითად, მკაცრი აუტენტიფიკაცია, კრიპტოგრაფიის

მეთოდები და სიხშირის შერჩევა).


ქსელების გავრცელევის სფერო სულ უფრო იზრდება ტარდიციული ორგანიზაციული

საზღვრების გარეთ, რადგანაც ბიზნესი-პარტნიორობა ხშირ შემთვევაში ჩამოყალიბებულია

იმგვარად, რომ შესაძლოა საჭირო გახდეს ურთიერთდაკავშირება, ან ინფორმაციის დამუშავებისა

და ქსელური მოწყობილობების გაზიარება. ამგვარმა გაფართოებამ შეიძლება გაზარდოს

არაავტორიზებული წვდომის რისკი არსებულ საინფორმაციო სისტემებზე, რომელბიც

გამოიყენებენ ქსელებს, რომელთაგანაც ზოგიერთი შესაძლოა საჭიროებდეს სხვა ქსელის

მომხმარებლისგან დაცვას სენსიტიურობისა, ან კრიტიკულობის გამო.

11.4.6. ქსელების დაკავშირების კონტროლი


საჯარო, ზიარი ქსელებისთვის, განსაკუთრებით ორგანიზაციის ფარგლებს გარეთ გამავალი

ქსელებისთვის მომხმარებელთა ქსელში ჩართვის შესაძლებლობები უნდა იყოს წვდომის

კონტროლის პოლიტიკისა და პროგრამული უზრუნველყოფის მოთხოვნების გათვალისწინებით

(იხ. 11.1).


მომხმარებლისათვის ქსელზე წვდომის უფლებები უნდა იყოს დაცული და ს მისი განახლება

ხდებოდე წვდომის კონტროლის პოლიტიკის საფუძველზე (იხ. 11.1.1).

მომხმარებლების დაკავშირება შესაძლოა შეზღუდული იყოს ქსელის კარიბჭის მიერ, რომელიც

ფილტრავს ტრაფიკს წინასწარ დადგენილი ცხრილებისა თუ წესების მეშვეობით. ქვემოთ

მოყვანილია პროგრამული უზრუნველყოფის მაგალითები, რომლებზეც უნდა გავრცელდეს

შეზღუდვები:

1. შეტყობინებები, მაგალითად, ელექტრონული ფოსტა;

2. ფაილების გადაცემა;

3. ინტერაქტიული წვდომა;

4. პროგრამული უზრუნველყოფის წვდომა.

გათვალისწინებული უნდა იყოს დღის სხვადასხვა დროსთან ან სხავდასხვა თარიღებთან ქსელზე

წვდომის უფლებების დაკავშირება.


კონტროლის მექანიზმების ჩართვა მომხმარებელთა დაკავშირების შესაძლებლობების

შეზღუდვისათვის შეიძლება გამომდინარეობდეს წვდომის კონტროლის პოლიტიკიდან,

რომელიც დადგენილია საჯარო, ზიარი ქსელებისათვის, განსაკუთრებით ორგანიზაციის

ფარგლებს გარეთ გავრცელებული ქსელებისთვის.


105

11.4.7. ქსელის მარშრუტის კონტროლი


ქსელებისთვის უნდა დაინერგოს მარშრუტის კონტროლის მექანიზმები, რათა

უზრუნველყოფილი იყოს კომპიუტერული კავშირებისა და ინფორმაციის ნაკადების მხრიდან

ბიზნეს (ორგანიზაციულ) პროგრამულ უზრუნველყოფაზე წვდომის კონტროლის პოლიტიკის

დაცვა.


მარშრუტის კონტროლის მექანიზმები უნდა ეფუძნებოდეს მექანიზმების შემოწმების

დადასტურებულ წყაროსა და დანიშნულების მისამართს.

უსაფრთხოების კარიბჭეებს შეუძლია დაამოწმონ წყაროსა და დანიშნულების მისამართები

როგორც შიდა, ასევე გარე ქსელის კონტროლის წერტილები, თუ პროქსი და/ან ქსელური

მისამართების გარდაქმნის ტექნოლოგიები (NAT) არის გამოყენებული. დამნერგავებმა უნდა

იცოდნენ ნებისმიერი გამოყენებული მექანიზმის სიმძლავრე და ნაკლი. ქსელის მარშრუტის

კონტროლის მოთხოვნები უნდა ეფუძნებოდეს წვდომის კონტროლის პოლიტიკას (იხ. 11.1).


ზიარი ქსელები, განსაკუთრებით ორგანიზაციის ფარგლებს გარეთ გავრცელებული ქსელები,

შესაძლოა საჭიროებდნენ მარშრუტის კონტროლის დამატებით მექანიზმებს. ეს განსაკუთრებით

ეხება ისეთ ვითარებას, როდესაც ქსელები ზიარია მესამე მხარის (ორგანიზაციის გარეთ)

მომხმარებლებისთვის.

11.5. ოპერაციულ სისტემაზე წვდომის კონტროლი

მიზანი: ოპერაციულ სისტემებზე არაავტორიზებული წვდომის თავიდან არიდება.

უსაფრთხოების მოწყობილობები გამოყენებული უნდა იყოს ოპერციულ სისტემებზე

ავტორიზებული მომხმარებელბის წვდომების შეზღუდვისთვის. მოწყობილობებს უნდა

გააჩნდეთ შემდეგი შესაძლებლობები:

1. ავტორიზებული მომხმარებლის აუთენტიფიკაცია დადგენილი წვდომის

კონტროლის პოლიტიკის თანახმად;

2. ჩანაწერების განხორციელება სისტემური აუთენტიფიკაციის წარმატებული და

წარუმატებული მცდელობების შესახებ;

3. ჩანაწერების განხორციელება სპეციალური სისტემური პრივილეგიების გამოყენების


4. საგანგაშო შეტყობინებების დაგზავნა სისტემის უსაფრთხოების პოლიტიკის

დარღვევის შემთხვევაში;

5. აუტთნტიფიკაციისთვის შესაბამისი საშუალებების გამოყენება;


106

6. საჭიროების შემთხვევაში, მომხმარებლებისთვის დაკავშირების დროის შეზღუდვა.

11.5.1. სისტემაში უსაფრთხო შესვლის პროცედურები


ოპერაციულ სისტემებზე წვდომა უნდა კონტროლდებოდეს უსაფრთხო შესვლის პროცედურის

მიერ.


ოპერაციულ სისტემაში შესვლის პროცედურის მიზანი უნდა იყოს არაავტორიზებული წვდომის

შესაძლებლობების შემცირება. ამდენად ,შესვლის პროცედურა უნდა იძლეოდეს მინიმალურ

ინფორმაციას სისტემის შესახებ, რათა თავიდან იქნას არიდებული არაავტორიზებული

მომხმარებლისთვის ნებისმიერი დახმარების გაწევა. შესვლის კარგი პროცედურა უნდა

აკმაყოფილებდეს შემდეგ საკითხებს:

1. არ გამოვიდეს ეკრანზე სისტემის, ან პროგრამის მაიდენტიფიცირებლები მანამ, სანამ

შესვლის პროცედურა წარმატებით არ დასრულდება;

2. ეკრანზე გამოვიდეს შეტყობინება, რომ კომპიუტერზე წვდომა შეუძლია მხოლოდ

ავტორიზებულ მომხმარებლებს;

3. შესვლის პროცედურის დროს არ გამოვიდეს დამხმარე შეტყობინებები , რაც დაეხმარება

არაავტორიზებულ მომხარებელს;

4. შესვლის ინფორმაცია დამოწმდეს მხოლოდ ყველა მონაცემის შეტანის დასრულებისას.

როდესაც მცდარი მონაცემების შეტანა მოხდება, სისტემამ არ უნდა მიუთითოს, თუ

რომელი მონაცემი იყო მცდარი, ან სწორი;

5. შეზღუდული უნდა იყოს წარუმატებელი შესვლის მცდელობების დაშვებული

რაოდენობა, მაგალითად, სამი მცდელობა. ასევე გათვალისწინებული უნდა იყოს

შემდეგი:

წარმატებული და წარუმატებელი მცდელობების ამსახველი ჩანაწერების

განხორციელება;

დროის შეფერხების ფორსირება მანამ, სანამ შემდგომი შესვლის მცდელობები

დაიშვება, ან ნებისმიერი შემდგომი მცდელობების უარყოფა სპეციფიკური

ავტორიზაციის გარეშე;

მონცემთა კავშირის გათიშვა;

განგაშის შეტყობინებების გაგზავნა სისტემის კონსოლთან, თუ შესვლის

მცდელობებმა მაქსიმალურ რაოდენობას მიაღწია;

პაროლის შეტანის რაოდენობის განსაზღვრა პაროლის მინიმალური სიგრძის და

დასაცავი სისტემის ღირებულების გათვალისწინებით;

6. შეიზღუდოს შესვლის პროცედურის მაქსიმალური და მინიმალური დასაშვები დრო. თუ

მომხარებელი ამ დროს გადააჭარბებს, მაშინ სისტემამ უნდა შეწყვიტოს შესვლის

პროცედურა;

7. წარმატებულად დასრულებული შესვლის შემთხვევაში ეკრანზე უნდა გამოვიდეს

შემდეგი ინფორმაცია:

წინა წარმატებული შესვლის თარიღი და დრო;

ბოლო წარმატებული შესვლიდან მოყოლებული ნებისმიერი წარუმატებელი

შესვლის მცდელობების შესახებ დეტალები;


107

8. ეკრანზე არ ჩანდეს შეტანილი პაროლი, ან გათვალისწინებული იყოს პაროლის

მახასიათებლების დაფარვა სიმბოლოებით;

9. პაროლები სუფთა ტექსტის სახით ქსელში არ გადაიცეს.


თუ შესვლის დროს პაროლები ქსელში სუფთა ტექსის სახით გადაიცემა , მაშინ შესაძლებელია

ქსელური მომსმენი პროგრამის მიერ განხორციელდეს მათზე „მოსმენა“.

11.5.2. მომხმარებლის იდენტიფიკაცია და აუთენტიფიკაცია


ყველა მომხმარებელს უნდა ქონდეს უნიკალური იდენტიფიკატორი (ID) მხოლოდ პირადი

გამოყენებისათვის და მომხმარებლის პიროვნების დადასტურებისთვის შერჩეული უნდა იყოს

შესაბამისი აუთენტიფიკაციის ტექნიკა.


ეს კონტროლის მექანიზმი გამოყენებული უნდა იყოს ყველა ტიპის მომხმარებლისთვის (მათ

შორის ტექნიკური მხარდაჭერის პერსონალი, ოპერატორები, ქსელის ადმინისტრატორები,

სისტემის პროგრამისტები და მონაცმენთა ბაზების ადმინისტრატორები).

მომხმარებლის ID გამოყენებული უნდა იყოს პასუხისმგებელი პირის ქმედებებზე თავლყურის

დევნის მიზნით. მომხმარებლების რეგულარული ქმედებები არ უნდა სრულდებოდეს

პრივილეგირებული ანგარიშების გამოყენებით.

გამონაკლის ვითარებებში, როდესაც არსებობს მკაფიო და ნათელი სარგებელი, საჯარო

მომხმარებლის ID-ები უნდა იყოს გამოყენებული მომხმარებელთა ჯგუფებისთვის, ან

სპეციფიკური სამუშაოსთვის. ასეთ შემთხვევებში უნდა არსებობდეს მენეჯმენტის მხრიდან

დოკუმენტირებული თანხმობა. შესაძლოა ანგარიშვალდებულების მხარდასაჭერად საჭირო

გახდეს დამატებითი კონტროლის მექანიზმები.

საერთო მოხმარების ID-ები ინდივიდუალური გამოყენებისთვის მხოლოდ მაშინ უნდა იყოს

დაშვებული, როდესაც ID-სთვის ხელმისაწვდომი ფუნქციები, ან მის მიერ გატარებული

ღონისძიებები არ საჭიროებენ თავლყურის დევნებას (მაგალითად, მხოლოდ წაკითხვაზე

წვდომა), ან როდესაც არსებობს სხვა სახის კონტროლის მექანიზმები.

როდესაც საჭიროა მკაცრი აუტენტიფიკაცია და იდენტიფიკაციის შემოწმება, გამოყენებული

უნდა იქნას პაროლებისგანაგნსხვავებული აუტენტიფიკაციის მეთოდები, როგორებიცაა

კრიპტოგრაფიული საშუალებები, სმარტ-ბარათები, ბარათები/ჟეტონები ან ბიომეტრული




108

პაროლები (იხ. ასევე 11.3.1. და.11.5.3) წარმოადგენენ ყველაზე გავრცელებულ წესს

იდენტიფიკაციისა და აუტენტიფიკაციის უზრუნველსაყოფად, რაც დაფუძნებულია

საიდუმლოზე, რომელიც მხოლოდ მომხმარებელმა იცის. იმავე შედეგის მიღწევა შესაძლებელია

კრიპტოგრაფიული საშუალებებით და აუთენტიფიკაციის ოქმებით. მომხმარებლის

იდენტიფიკაციისა და აუთენტიფიკაციის სიმძლავრე უნდა შეესაბამებოდეს იმ ინფორმაციის

სენსიტიურობას, რომელზეც ხორციელდება წვდომა.

ისეთი ობიექტები, როგორებიცაა მეხსიერების ბარათები, ან სმარტ-ბარათები, რომელსაც

მომხმარებელი ფლობს, ასევე შესაძლოა გამოყენებული იყოს იდენტიფიკაციისა და

აუტენტიფიკაციისთვის. ბიომეტრული აუტენტიფიკაციის ტექნოლოგიები, რომლებიც

გამოიყენებენ პიროვნების უნიკალურ მახასიათებლებს, ან ატრიბუტებს, შეიძლება ასევე

გამოყენებული იყოს პიროვენების აუთენტიფიკაციისთვის. ერთმანეთთან უსაფრთხოდ

დაკავშირებული ტექნოლოგიებისა და მექანიზმების კომბინაცია შედეგად იძლევა

გაუმჯობესებულ აუტენტიფიკაციას.

11.5.3. პაროლების მართვის სისტემა


პაროლების მართვის სისტემა უნდა იყოს ინტერაქტიული და უნდა უზრუნველყოს ხარისხანი

პაროლები.


პაროლების მართვის სისტემამ უნდა:

1. სავალდებულო გახადოს ინდივიდუალური მომხმარებელბის ID-ების და პაროლების

გამოყენება, რათა მოხდეს ანგარიშგების მხარდაჭერა;

2. მომხმარებლებს მისცეს საკუთარი პაროლების შერჩევისა და შეცვლის შესაძლებლობა და

მოიცავდეს დადასტურების პროცედურას, რათა დაგფიქსირდეს მცდარი მონაცემების

შეტანა.;

3. სავალდებულო გახადოს ხარისხიანი პაროლების არჩევა (იხ. 11.3.1);

4. სავალდებულო გახადოს პაროლის პერიოდული შეცვლა (იხ. 11.3.1);

5. მომხმარებელს დროებითი პაროლი შეაცვლევინოს პირველივე შესვლაზე (იხ. 11.2.3);

6. ინახავდეს მომხმარებლის წინა პაროლების შესახებ ჩანაწერებს და თავიდან აირიდოს

ხელახლა გამოყენება;

7. შეტანისას არ უნდა აჩვენოს ეკრანზე პაროლები;

8. შეინახოს პაროლების ფაილები სისტემური მონაცემებისგან იზოლირებულად;

9. დაცულად გადასცეს და შეინახოს პაროლები (მაგალითად, დაშიფრულად ან

ჰეშირებულად).


პაროლები წარმოადგენენ ერთ-ერთ კომპიუტრულ მომსახურებებზე წვდომაზე მომხამრებლის

უფლებამოსილების გადამოწმების ერთ ერთ პრინციპულად მნიშვნელოვან საშუალებას


109

ზოგიერთი პროგრამა საჭიროებს მოხმარებლის პაროლის მინიჭებას დამოუკიდებელი

უფლებამოსილი პირის მიერ; ასეთ შემთხვევებში, ზემოთ ნახსენები დანერგვის

სახელმძღვანელო მითითებების 2)-ე, 4)-ე და 5)-ე პუნქტები არ გამოიყენება. ხშირ შემთხვევაში

პაროლების შერჩევა და შენახვა ხდება მომხამრებლის მიერ. იხილეთ სექცია 11.3.1 პაროლების

გამოყენების სახელმძღვანელო მითითებებისთვის.

11.5.4. დამხმარე სისტემური პროგრამების გამოყენება


იმ დამხმარე პროგრამების გამოყენება, რომლებსაც შესაძლოა გააჩნდეთ სისტემისა და

პროგრამის კონტროლის მექანიზმების შეცვლის/იგნორირების შესაძლებლობა, უნდა

შეიზღუდოს და განხორციელდეს მკაცრი კონტროლი.


სისტემის დამხმარე პროგრამების გამოყენებისას უნდა იქნას გათვალისწინებული შემდეგი

სახელმძღვანელო მითითებები:

1. დამხამრე სისტემური პროგრამებისთვის იდენტიფიკაციის, აუთენტიფიკაციის და

ავტორიზაციის პროცედურების გამოყენება;

2. დამხამრე სისტემური პროგრამების გამოყოფა პროგრამული უზრუნველყოფიდან;

3. დამხამრე სისტემური პროგრამების გამოყენების შეზღუდვა ავტორიზებული, სანდო

მომხმარებლების მინიმალურ პრაქტიკულ რაოდენობამდე (იხ. 11.2.2);

4. დამხამრე სისტემური პროგრამების სპონტანური, შემთხვევითი გამოყენების

ავტორიზაცია;

5. დამხამრე სისტემური პროგრამების ხელმისაწვდომობის შეზღუდვა, მაგალითად,

ავტორიზებული ცვლილების პერიოდში;

6. დამხამრე სისტემური პროგრამების ყველა გამოყენების ლოგირება;

7. დამხამრე სისტემური პროგრამებისთვის ავტორიზაციის დონის გამოვლენა და

დოკუმენტირება;

8. ყველა არასაჭირო პროგრამულ უზრუნველყოფაზე დაფუძნებული დამხმარე

პროგრამებისა და სისტემური პროგრამების წაშლა, ან გათიშვა;

9. დამხამრე სისტემური პროგრამები არ უნდა იყოს ხელმისაწვდომი იმ

მომხმარებელბისთვის, რომლებსაც გააჩნიათ სისტემის იმ პროგრამებზე წვდომა, სადაც

აუციელბელია ვალდებულებების იზოლირება.


კომპიუტერული ინსტალაციების უმრაველსობას გააჩნია ერთი, ან მეტი დამხამრე სისტემური

პროგრამა, რომელსაც შეუძლია სისტემის ჩანაცვლება/იგნორირება და პროგრამის

გაკონტროლება.


110

11.5.5. სესიის ვადის ამოწურვა


უმოქმედობის განსაზღვრული დროის შემდეგ უნდა დაიხუროს არააქტიური სესიები.

დანერგვის სახელმძღავნელო მითითებები

უმოქმედობის განსაზღვრული დროის შემდეგ ვადის ამოწურვის მოწყობილობამ უნდა

გაასუფთაოს სესიის ამსახველი ეკრანი და ასევე, შესაძლოა მოგვიანებით, დახუროს როგორც

პროგრამის, ასევე ქსელური სესიები. ვადის ამოწურვის შეფერხებამ უნდა ასახოს

ადგილმდებარეობის/არეალის უსაფრთხოების რისკები, ინფორმაციის კლასიფიკაცია და

გამოყენებული პროგრამული უზრუნველყოფები, ასევე ტექნიკისა და აპარატურის

მომხმარებლებთან დაკავშირებული რისკები.

ვადის ამოწურვის მოწყობილობის შეზღუდული ფორმა შესაძლოა ესახურებოდეს ზოგიერთ

სისტემას, რომლებიც ასუფთავებენ ეკრანს და უზრუნველყოფენ არაავტორიზებული წვდომის

თავიდან არიდებას, მაგრამ არ ხურავენ პრორგამის, ან ქსელურ სეანსს.


კონტროლის ეს მექანიზმები განსაკუთრებით მნიშვნელოვანია მაღალი რისკების შემთხვევაში,

რაც ასევე მოიცავს ორგანიზაციის უსაფრთხოების მართვის მიღმა საჯარო, ან გარე არეებს.

სესიების დახურვა უნდა მოხდეს, რათა თავიდან იქნას არიდებული არაავტორიზებული

პირების მიერ წვდომა და მომსახურებების შეფერხების მიზნით განხორციელებული შეტევები.

11.5.6. კავშირის დროის შეზღუდვა


უსაფრთხოების მაღალი რისკის შემცველი პროგრამებისთვის გამოყენებული უნდა იყოს

კავშირის დროის შეზღუდვები.

დანერგვის სახელმძღავნელო მითითებები

კავშირის დროის კონტროლის მექანიზმები გათვალისწინებული უნდა იყოს სენსიტიური

კომპიუტერული პროგრამებისთვის, განსაკუთრებით მაღალი რისკის შემცველი ადგილებიდან,

(მაგალითად, საჯარო ან, გარე არეები), რომლებიც არიან ორგანიზაციის უსაფრთხოების მართვის

მიღმა. ამგვარი შეზღუდვების მაგალითებია:

1. წინსწარ დადგენილი დროის ინტერვალის გამოყენება, მაგალითად, პაკეტური ფაილების

გადაცემისთვის, ან მოკლე რეგულარული ინტერაქტიული სესიები;

2. კავშირის დროის შეზღუდვა სამუშაო საათებისთვის, თუ არ არსებობს ზეგანაკვეთური

საათების, ან გაზრდილი საათობრივი ოპერაციების მოთხოვნა;

3. წინასწარ დადგენილ დროის ინტერვალებში ხელახალი აუტენტიფიკაციის

გათვალისწინება.



111

პერიოდის შეზღუდვა, რომლის დროსაც კომპიუტერულ მომსახურებებთან დაკავშირება არის

ნებადართული, ამცირებს არაავტორიზებული წვდომის შესაძლებლობების დროის შუალედს.

აქტიური სესიების ხანგრძლივობის შეზღუდვა თავიდან არიდებს მომხმარებელს სესია ქონდეს

გახსნილი ხელახალი აუტენტიფიკაციისთვის.

11.6. პროგრამებსა და ინფორმაციაზე წვდომის კონტროლი

მიზანი: პროგრამებში დაცულ ინფორმაციაზე არაავტორიზებული წვდომის თავიდან

არიდება.

პროგრამებზე და მათ შიგნით წვდომის შეზღუდვისთვის გამოყენებული უნდ აიქნას

უსაფრთხოების მოწყობილობები.

პროგრამულ უზრუნველყოფაზე და ინფორმაციაზე ლოგიკური წვდომის შესაძლებლობა

უნდა ჰქონდეთ მხოლოდ მხოლოდ ავტორიზებული მომხმარებლებს. პროგრამები:

1. წინასწარ დადგენილი წვდომის კონტროლის პოლიტიკის თანახმად უნდა

აკონტროლებდნენ წვდომას ინფორმაციასა და პროგრამების ფუნქციებზე,;

2. უნდა უზურნველყოფდნენ ნებისმიერი დამხმარე პროგრამის, ოპერაციული სისტემის

პროგრამის და მავნე კოდის მიერ არაავტორიზებული წვდომისგან დაცვას, რამაც

შეიძლება გამოიწვიოს სისტემის ან პროგრამის კონტროლის მექანიზმების შეცვლა ან

უგულვებელყოფა;

3. არ უნდა აყენებდნენ საფრთხის ქვეშ სხვა სისტემებს, რომლებთანაც ხდება

რესურსების გაზიარება.

11.6.1. ინფორმაციაზე წვდომის შეზღუდვა


ინფორმაციასა და სისტემების ფუნქციებზე წვდომა მომხმარებლებისა და მხარდაჭერის

პერსონალის მიერ უნდა იყოს შეზღუდული წინასწარ დადგენილი წვდომის კონტროლის

პოლიტიკის თანახმად.


წვდომის შეზღუდვები უნდა ეფუძნებოდეს ბიზნეს სისტემების ინდივიდუალურ მოთხოვნებს.

წვდომის კონტროლის პოლიტიკა თავსებადობაში უნდა იყოს ასევე წვდომის ორგანიზაციულ

პოლიტიკასთან (იხ. სექცია 11.1).

გათვალისწინებული უნდა იყოს შემდეგი სახელმძღვანელო მითითებების გამოყენება, რათა

მოხდეს წვდომის შეზღუდვების მოთხოვნების მხარდაჭერა:

1. სისტემური პროგრამების ფუნქციებზე წვდომის კონტროლისთვის მენიუს

უზრუნველყოფა;

2. მომხმარებლების წვდომის უფლებების გაკონტროლება, მაგალითად, წაკითხვა, ჩაწერა,

წაშლა და შესრულება;

3. სხვა აპლიკაციების წვდომის უფლებების გაკონტროლება;


112

4. იმის უზრუნველყოფა, რომ სენსიტიურ ინფორმაციასთან მომუშავე სისტემური

პროგრამებიდან მიღებული შედეგები მოიცავდნენ მხოლოდ იმ ინფორმაციას,

მნიშვნელოვანიაა ამ შედეგების გამოყენებისთვის და იგი იგზავნება მხოლოდ

ავტორიზებულ ტერმინალზე და დანიშნულების ნებადართულ ადგილზე ; ეს პროცესი

ასევე უნდა მოიცავდეს ამ შედეგების პერიოდულ განხილვებს, რათა უზრუნველყოფილი

იყოს ზედმეტი ინფორმაციის წაშლა.

11.6.2. სენსიტიური სისტემის იზოლირება


სენსიტიურ სისტემებს უნდა გააჩნდეთ სპეციალურად მათთვის გამოყოფილი (იზოლირებული)

კომპიუტერული გარემო.


სენსიტიური სისტემების იზოლირებისას გათვალისწინებული უნდა იყოს შემდეგი საკითხები:

1. სისტემური პროგრამის სენსიტიურობა დეტალურად უნდა იქნას განსაზღვრული და

დოკუმენტირებული მისი მფლობელის მიერ (იხ. 7.1.2);

2. თუ სენსიტიური პროგრამა უნდა გაეშვას ზიარ გარემოში, მაშინ აუცილებლად უნდა

იქნას გამოვლენილი და სენსიტიური პროგრამული უზრუნველყოფის მფლობელის მიერ

მიღებული ის სისტემები (მასთან დაკავშრებული რისკებით), რომლებთანაც სენსიტიური

პროგრამა გაცვლის რესურსებს..


ზოგიერთი სისტემა იმდენად მგრძნობიარე პოტენციური დანაკარგების მიმართ, რომ მათ

განსაკუთრებული მოპყრობა სჭირდება. სენსიტიურობა შესაძლოა მიუთითებდეს, რომ სისტემა:

1. უნდა გაეშვას მხოლოდ მისთვის გამოყოფილ კომპიუტერზე; ან

2. რესურსები უნდა გაცვალოს მხოლოდ სანდო სისტემებთან.

იზოლირება მიიღწევა როგოც ლოგიკური, ასევე ფიზიკური მეთოდების გამოყენებით (იხ. ასევე

11.4.5).

11.7. მობილური ტექნოლოგიები და დისტანციური მუშაობა

მიზანი: ინფორმაციული უსაფრთხოების უზრუნველყოფა მობილური ტექნოლოგიების

გამოყენებისას და დისტანციური მუშაობის დროს.

საჭირო დაცვა უნდა შეესაბამებოდეს ამ განსაკუთრებული სამუშაო პირობებისგან

მომდინარე რისკებს. მობილური ტექნოლოგიების გამოყენებისას გათვალისწინებული უნდა

იყოს დაუცველ გარემოში მუშაობის რისკები და გამოყენებული უნდა იყოს შესაბამისი


113

დაცვა. დისტანციურად მუშაობის შემთხვევაში ორგანიზაციამ უნდა უზრუნველყოს

შესაბამისი ადგილის დაცვა და განახორციელოს ამ ტიპის სამუშაოს შესრულების დროს

საჭირო ღონისძოებები.

11.7.1. მობილური ტექნოლოგია და კომუნიკაციები


უნდა არსებობდეს ფორმალური პოლიტიკა და შემუშავებული უნდა იყოს შესაბამისი

უსაფრთხოების ღონისძიებები, რათა განხორციელდეს იმ რისკებისგან დაცვა, რომელიც თან

ახლავს მობილური ტექნოლოგიებისა და კომუნიკაციის საშუალებებს.


როდესაც ხდება მობილური ტექნოლოგიების და საკომუნიკაციო მოწყობილოებების,

როგორებიცაა ნოუთბუკები, ჯიბის კომპიუტერები, ლეპტოპები, სმარტ-ბარათები ან მობილური

ტელეფონები, გამოყენება, განსაკუთრებული ყურადღება უნდა დაეთმოს ბიზნეს ინფორმაციის

დაცვის საკითხს. მობილური ტექნოლოგიების პოლიტიკა უნდა ითვალისწინებდეს მობილური

აპარატურის გამოყენებით მუშაობასთან დაკავშირებულ რისკებს დაუცველ გარემოში.

მობილური ტექნოლოგიების პოლიტიკა ასევე უნდა მოიცავდეს ფიზიკური დაცვის, წვდომის

კონტროლის მექანიზმების, კრიპტოგრაფიული ტექნიკების, სარეზერვო ასლების, და

ვირუსისგან დაცვის მოთხოვნებს. ეს პოლიტიკა ასევე უნდა განიხილავდეს ქსელში მობილური

მოწყობილობების ჩართვის წესებსა, რეკომენდაციებს და სახელმძღავნელო მითითებებს იმის

შესახებ, თუ როგორ უნდა ხდებოდეს ამ მოწყობილობების გამოყენება საჯარო ადგილებში.

განსაკუთრებული ყურადღება უნდა დაეთმოს მობილური ტექნოლოგიების გამოყენებას

საჯარო ადგილებში, საკონფერენციო ოთახებსა და სხვა დაუცელ ადგილებში ორგანიზაციის

ფარგლებს გარეთ. უნდა არსებობდეს არაავტორიზებული წვდომისა, ან ამ მოწყობილობებზე

შენახული და მათი მეშვეობით დამუშავებული ინფორმაციის გამჟღავნების თავიდან

ასარიდებელი დაცვის მექანიზმები, მაგალითად, კრიპტოგრაფიული ტექნიკების გამოყენება (იხ.

12.3).

საჯარო ადგილებში მობილური ტექნოლოგოოს გამოყენებისას მომხმარებლებმა უნდა

გაითავლისწინონ არსებული რისკები და თავიდან აირიდონ არაავტორიზებული პირის მიერ

თვალთვალი/დაკვირვება. ასევე უნდა არსებობდეს მავნე კოდის საწინააღმდეგო პროცედურები

და უზრუნველყოფილი იყოს მათი განახლება (იხ. 10.4).

კრიტიკული ბიზნეს-ინფორმაციის სარეზერვო ასელბის გადაღება უნდა განხორციელდეს

რეგულარულად. ხელმისაწვდომი უნდა იყოს შესაბამისი აპარატურა ინფორმაციის სარეზერვო

ასლების სწრაფი და მარტივი გადაღებისათვის. ეს სარეზერვო ასლები შესაბამისად უნდა იყოს

დაცული, მაგალითად, გამოყენებული უნდა იქნას ინფორმაციის დაკარგვის ან დატაცების

საწინააღმდეგო დაცვა.

ასევე სათანადოდ უნდა იყოს დაცული ქსელებში ჩართული მობილური ტექნოლოგიების

საშუალებების გამოყენება. საჯარო ქსელის მეშვეობით მობილური ტექნოლოგიების გამოყენება

ბიზნეს-ინფორმაციაზე დისტანციური წვდომის განსახორციელებლად მხოლოდ მაშინ უნდა

იყოს შესაძლებელი, როდესაც წარმატებულად განხორციელდება იდენტიფიკაცია და

აუთენტიფიკაცია, ასევე უნდა არსებობდეს წვდომის კონტროლის შესაბამისი მექანიზმები (იხ.

11.4).


114

მობილური ტექნოლოგიები უნდა იყოს ფიზიკურად დაცული დატაცებისგან, განსაკუთრებით

მაშინ, როდესაც ხდება მათი დატოვება, მაგალითად, მანქანებში ან ტრანსპორტის სხვა

სახეობებში, სასტუმროს ოთახებში, საკონფერენციო ცენტრებში, შეხვედრების ოთახებში.

ჩამოყალიბებული უნდა იყოს სპეციალური პროცედურები, რომელბიც გაითვალისწინებს

ორგანიზაციაში არსებულ იურიდიულ, სადაზღვევო და სხვა უსაფრთხოების მოთხოვნებს

მობილური მოწყობილობების დატაცებისა, ან დაკარგვის შემთხვევისთვის. მოწყობილობები,

რომლებზეც ინახება მნიშვნელოვანი, სენსიტიური და/ან კრიტიკული ბიზნეს- ინფორმაცია, არ

უნდა იქნას უმეთვალყურეოდ დატოვებული და, სადაც ეწს შესაძლებელია ფიზიკურად უნდა

ჩაკეტოს, ან გამოიყენებოდეს აპარატურის დაცვის სპეციალური საკეტები(იხ. 9.2.5).

უნდა ჩატარდეს ტრენინგი იმ პირებისთვის, რომლებიც მობილური ტექნოლოგიის

მოწყობილობებს იყენებენ, რათა მათ ჰქონდეთ ინფორმაცია ასეთ მოწყობილობებთან

დაკავშირებული დამატებითი რისკების და კონტროლის შესაბამისი მექანიზმების შესახებ.


მობილური ქსელის უსადენო დაკავშირება ისეთივე ტიპის ქსელური კავშირია, როგორც სხვა

დანარჩენი, მაგრამ მას ასევე გააჩნია მნიშვნელოვანი განსხვავებები, რაც აუცილებლად უნდა

იქნას გათვალისწინებული კონტროლის მექანიზმების დადგენისას. ტიპიური განსხვავებებია:

1. ზოგიერთი უსადენო კავშირის უსაფრთხოების ოქმები არ არის ბოლომდე

ჩამოყალიბებული და გააჩნიათ სუსტი წერტილები;

2. შეიძლება არ მოხდეს მობილურ კომპიუტერებზე შენახული ინფორმაციის სარეზერვო

ასლების გადაღება, რადგანაც შეზღუდულია ქსელის გამტარი ხაზი და/ან მობილური

აპარატურის დაკავშირება არ ხდება იმ დროს, როდესაც გრაფიკით დაგეგმილია

სარეზერვო ასლების გადაღება.

11.7.2. დისტანციური მუშაობა


უნდა შემუშავდეს და დაინერგოს პოლიტიკა, საოპერციო გეგმები და პროცედურები

დისტანციური მუშაობისთვის.


ორგანიზაციებმა დისტანციური მუშაობის პრაქტიკა უნდა დაუშვან მხოლოდ იმ შემთხვევაში,

თუ ის მხარდაჭერილია არსებული უსაფრთხოების ღონისძიებებით და კონტროლის

მექანიზმებით და თავსებადია ორგანიზაციის უსაფრთხოების პოლიტიკასთან.

დისტანციური მუშაობის ადგილი შესაბამისად უნდა იყოს დაცული, მაგალითად, აპარატურისა

და ინფორმაციის დატაცებისგან, ინფორმაციის არაავტორიზებული გამჟღავნებისგან,

ორგანიზაციის შიდა სისტემებზე არაავტორიზებული დისტანციური წვდომისგან, ან

მოწყობილობების არასათანადო/ბოროტად გამოყენებისგან. დისტანციურად მუშაობისთვის

საჭირო ღონისძიებები უნდა იყოს ნებადართული და კონტროლდებოდეს მენეჯმენტის მხრიდან,


115

ასევე უზრუნველყოფილი უნდა იყოს ამგვარი მუშაობისთვის შესაბამისი ღონისძიებების

განხორციელება.


1. დისტანციური მუშაობის ადგილის არსებული ფიზიკური უსაფრთხოება, რაც ასევე უნდა

ითვალისწინებდეს ადგილობრივი გარემოსა და შენობის ფიზიკურ უსაფრთხოებას;

2. მუშაობის შემოთავაზებული ფიზიკური გარემო;

3. კომუნიკაციების უსაფრთხოების მოთხოვნები, რაც ითვალისწინებს ორგანიზაციის შიდა

სისტემებზე დისტანციური წვდომის აუცილებლობას, წვდომადი ინფორმაციის

სენსიტიურობას, საკომუნიკაციო ხაზზე გატარებასა და შიდა სისტემის სენსიტიურობას;

4. ინფორმაციაზეწ, ან რესურსებზე არაავტორიზებული წვდომის საფრთხე, რომელიც

მომდიონარეობს სხვა პირებისაგან, მაგალითად, ოჯახი და მეგობრები;

5. სახლის ქსელების გამოყენება და უსადენო ქსელური მომსახურებების კონფიგურაციის

მოთხოვნები და შეზღუდვები;

6. პირად მფლობელობაში არსებულ აპარატურაზე ინტელექტუალური საკუთრების

უფლებების შესახებ კამათის თავიდან არიდებისთვის შესაბამისი პოლიტიკები და

პროცედურები;

7. პირად მფლოებლობაში არსებულ მოწყობილობებზე წვდომა (რათა შემოწმდეს

მოწყობილობების უსაფრთხოება, ან გამოძიების დროს), რაც რასაც შესაძლოა

კანონმდებლობა კრძალავდეს;

8. პროგრამული უზრუნველყოფის ლიცენზირების შეთანხმებები, რომლებიც

ორგანიზაციებს ავალდებულებენ განახორციელონ კლიენტის პროგრამული

უზრუნველყოფის ლიცენზირება მის სამუშაო კომპიუტერზე, რომელსაც პირადად

ფლობს თანამშრომელი, კონტრაქტორი ან მესამე მხარის მომხმარებელი;

9. ანტივირუსით დაცვა და დამცავი ბარიერის (ფაიერვოლის) მოთხოვნები.

სახელმძღვანელო მითითებები და განსახილველი ღონისძიებები უნდა მოიცავდეს შემდეგს:

1. დისტანციური მუშაობის დროს შესაბამისი აპარატურით და შესანახი ავეჯით აღჭურვა,

იმ შემთხვევებში, როდესაცდაუშვებელია პირად მფლობელობაში არსებული აპარატურის

გამოყენება, რომელიც არ ექვემდებარება ორგანიზაციის კონტროლს;

2. დაშვებული სამუშაოს, სამუშაო საათების, გამოყენებული ინფორმაციის კალსიფიკაციისა,

შიდა სისტემებისა და მომსახურებების დადგენა, რომლებზეც წვდომის ავტორიზაციაც

ეძლევა დისტანციურად მომუშავე პირს;

3. შესაბამისი საკომუნიკაციო აპარატურის, მათ შორის უსაფრთხო დისტანციური წვდომის

მეთოდების უზრუნველყოფა;

4. ფიზიკური უსაფრთხოება;

5. ოჯახისა და სტუმრების მიერ აპარატურასა და ინფორმაციაზე წვდომის წესები და

რეკომენდაციები;

6. კომპიუტერული ტექნიკისა და პროგრამული უზრუნველყოფის მხარდაჭერისა და

შენარჩუნების უზრუნველყოფა;

7. დაზღვევის უზრუნველყოფა;

8. სარეზერვო ასლების გადაღებისა და ბიზნესი-პროცესების უწყვეტობის პროცედურები;

9. აუდიტისა და უსაფრთხოების მონიტორინგი;

10. უფლებამოსილებისა და წვდომის უფლებების ანულირება, აპარატურის დაბრუნება

დისტანციური მუშაობის შეწყვეტის შემთხვევაში.



116

დისტანციური მუშაობისას გამოიყენება საკომუნიკაციო ტექნოლოგიები, რათა პერსონალმა

შეძლოს ორგანიზაციის ფარგლებს გარეთ, ფიზიკურად დაშორებული ფიქსირებული

ადგილიდან მუშაობა.

12. ინფორმაციული სისტემების შეძენა, შემუშავება და მხარდაჭერა

12.1. ინფორმაციული სისტემებისთვის უსაფრთხოების მოთხოვნები

მიზანი: უზრუნველყოფა იმისა, რომ უსაფრთხოება ინფორმაციული სისტემების

შემადგენელი ნაწილი იყოს.

ინფორამციული სისტემები მოიცავს საოპერაციო სისტემებს, ინფრასტრუქტურას, ბიზნეს

აპლიკაციები, სტანდარტულ პროდუქტებს, მომსახურებებს და მომხმარებლისთვის შექმნილ

აპლიკაციებს. ბიზნეს-პროცესების მხარდამჭერი ინფორმაციული სისტემის შემუშავება და

დანერგვა შესაძლოა კრიტიკული იყოს უსაფრთხოებისთვის. უსაფრთხოების მოთხოვნები

უნდა გამოვლინდეს და შეთანხმდეს ინფორმაციული სისტემების შემუშავებამდე და/ან

დანერგვამდე.

უსაფრთხოების ყველა მოთხოვნა უნდა გამოვლინდეს საპროექტო მოთხოვნების შემუშავების

ეტაპზე ისინი უნდა იყვნენ არგუმენტირებული, შეთანხმებული დ ადოკუმენტირებული,

როგორც პროექტის ეკონომიური დასაბუთების შემადგენელი ნაწილი.

12.1.1. უსაფრთხოების მოთხოვნების ანალიზი და მახასიათებლები


ახალი ინფორმაციული სისტემისთვის, ან არსებული სისტემის გაუმჯობესებისთვის

ჩამოყალიბებულმა ბიზნეს(საქმიანობის)-მოთხოვნებმა უნდა განსაზღვროს უსაფრთხოების

კონტროლის მექანიზმების მოთხოვნების მახასიათებლები.


კონტროლის მექანიზმებისთვის შემუშავებულიმოთხოვნების მახასიათებლები უნდა

ითვალისწინებდეს ინფორმაციულ სისტემაში ინტეგრირებულ კონტროლის ავტომატურ

მექანიზმებსა, აგრეთვე ხელით მართვადი კონტროლის მექანიზმების მხარდაჭერის

აუცილებლობას. ანალოგიური მოსაზრებები უნდა იყოს გათვალისწინებული , შემუშავებული ,

ან შეძენილი პაკეტური პორგრამების ბიზნეს აპლიკაციების შეფასებისას.

უსაფრთხოების მოთხოვნები და კონტროლის მექანიზმები უნდა ასახავდეს ჩართული

ინფორმაციული აქტივების ბიზნეს-ფასეულობას (იხ. ასევე 7.2) და პოტენციურ ზიანს, რომელიც

შეიძლება მიადგეს ბიზნესს (საქმიანობას), რაც შესაძლოა გამოწვეული იყოს უსაფრთხოების

დაღვევით, ან მისი საერთოდ არარსებობით.

ინფორმაციული უსაფრთხოების სისტმის მოთხოვნები და უსაფრთხოების დანერგვის

პროცესები ინფორმაციული სისტემის პროექტების ადრეულ ეტაპზევე უნდა იყოს


117

ინტეგრირებული. დაგეგმვის ეტაპზე წარმოდგენილი კონტროლის მექანიზმები დასანერგად და

შესანარჩუნებლად, მნიშვნელოვნად იაფია ვიდრე კონტროლის ის მექანიზმები, რომელთა

ჩართვაც ხდება დანერგვის დროს, ან მისი დასრულების შემდეგ.

თუ პორდუქტი შეძენილია, უნდა განხორციელდეს ტესტირების ფორმალიზებული პროცესი.

მომწოდებლებთან გაფორმებული ხელშეკრულებები უნდა აკმაყოფილებდნენ უსაფრთხოების

გამოვლენილ მოთხოვნებს. როდესაც წარმოდგენილ პროდუქტში უსაფრთხოების ფუნქციონალი

არ აკმაყოფილებს დადგენილ მოთხოვნებს, მაშინ პროდუქტის შეძენამდე აუცილებლად უნდა

იქნას გათვალისწინებული კონტროლის მექანიზმებთან დაკავშირებული რისკები. იქ სადაც

დამატებითი ფუნქიონალის მოწოდება ხდება და იგი იწვევს უსაფრთხოების რისკებს, უნდა

მოხდეს მისი გათიშვა, ან გადაიხედოს შემოთავაზებული კონტროლის მექანიზმის სტრუქტურა,

რათა განისაზღვროს, არის თუ არა გაუმჯობესებული ფუნქციონალი სარგებლის მომტანი.

12.2. სწორი დამუშავება პროგრამებში

მიზანი: აპლიკაციებში შეცდომების, ინფორმაციის დაკარგვის, არაავტორიზებული

ცვლილებისა და ინფორმაციის არამართებულად გამოყენების თავიდან არიდება.

ჩამოყალიბებული უნდა იყოს შესაბამისი კონტროლის მექანიზმები აპლიკაციებითვის,

(მომხმარებლების მიერ შემუშავებულ აპლიკაციების ჩათვლით), რათა უზრუნველყოფილი

იყოს სწორი, სათანადო დამუშავება. კონტროლის ეს მექანიზმები უნდა მოიცავდეს შესატანი

მონაცემების, შიდა დამუშავებისა და გამომავალი მონაცემების დამოწმებისას.

დამატებითი კონტროლის მექანიზმებია საჭირო ისეთი სისტემებისთვის, რომლებიც

ამუშავებენ, ან გავლენას ახდენენ სენსიტიურ, ფასეულ ან კრიტიკულ ინფორმაციაზე.

კონტროლის ამგვარი მექანიზმები უნდა დადგინდეს უსაფრთხოების მოთხოვნებისა და

რისკების შეფასების საფუძველზე.

12.2.1. შემავალი მონაცემების შემოწმება


აპლიკაციებში მონაცემების შეტანა უნდა შემოწმდეს და დამოწმდეს, რათა უზრუნველყოფილი

იყოს ამ მონაცმების სისწორე და შესაბამისობა.


უნდა შემოწმდეს ბიზნეს ტრანზაქციების, ფიქსირებული მონაცემების (მაგალითად, სახელი და

გვარი, მისამართი, საკრედიტო ლიმიტი, მომხმარებლის სარეგისტრაციო ნომერი) და

პარამეტრების ცხრილების (მაგალითად, სავაჭრო ფასები, ვალუტის კონვერტაციის პროცენტი,

გადასახადების პროცენტი) შეტანა. გათვალისწინებული უნდა იყოს შემდეგი სახელმძღვანელო

მითითებები:

1. ორი არხის გამოყენებით მონაცემთა შეტანის, ან სხვა სახის შემოწმება, როგორებიცაა

საზღვრების შემოწმება (boundary checking), ან სპეციფიკური შემავალი მონაცემებისთვის

ველების შეზღუდვა, რათა გამოვლინდეს შემდეგი შეცდომები:


118

დიაპაზონის გარეთ არსებული მნიშვნელობები;

არასწორი სიმბოლოები მონაცემთა ველებში;

მონაცემების არარსებობა ან არასრულყოფილი მონაცემები;

მონაცემთა მოცულობის ზედა და ქვედა ზღვრის გადაჭარბება;

კონტროლის არაავტორიზებული, ან შეუსაბამო მონაცემები;

2. ძირითადი ველების, ან მონაცემთა ფაილების შიგთავსის პერიოდული მიმოხილვა, რათა

მოხდეს მათი დადასტურება და უზრუნველყოფილი იყოს მთლიანობა;

3. ნაბეჭდი შემავალი დოკუმენტაციის შემოწმება არაავტორიზებული ცვლილების

თვალსაზრისით (შემავალ დოკუმენტაციაში არსებული ყველა ცვლილება უნდა იყოს

ავტორიზებული);

4. დადასტურების შეცდომებზე რეაგირების პროცედურები;

5. შემავალი მონაცემების ნამდვილობის შემოწმების პროცედურები;

6. მონაცემთა შეტანის პროცესში ჩართული ყველა პერსონალის პასუხისმგებლობის

დადგენა;

7. მონაცემთა შეტანის პროცესში ჩართული ქმედებების ლოგირების განხორციელება (იხ.

10.10.1).


სადაც საჭიროა გათვალისწინებული უნდა იყოს შემავალი მონაცემების ავტომატური შემოწმება

და დადასტურება, რათა შემცირდეს შეცდომების რისკი და თავიდან იქნას არიდებული

სტანდარტული შეტევები, მათ შორის ბუფერის გადავსება და კოდის ინექცია.

12.2.2. შიდა დამუშავების კონტროლი


აპლიკაციებში ჩადებული უნდა იყოს დადასტურების შემოწმება , რათა აღმოჩენილი იქნას

შეცდომით, ან განზრახ ქმედების შედეგად ინფორმაციის საფრთხის ქვეშ დაყენების ნებისმიერი

მცდელობა.


აპლიკაციების მომზადება და დანერგვა უნდა უზრუნველყოფდეს შეცდომების რისკის

მინიმუმამდე დაყვანას. გასათვალისწინებელია შემდეგი სპეციფიური საკითხები:

1. მონაცემთა ცვლილების განსახორციელებლად დამატების, შეცვლის და წაშლის

ფუნქციების გამოყენება;

2. პროგრამის მცდარი თანმიმდევრობით მუშაობის, ან წინა დამუშავების წარუმატებლობის

შემდეგ პროგრამის გაშვების თავიდან არიდების პროცედურები, (იხ. 10.1.1);

3. შესაბამისი პროგრამების გამოყენება წარუმატებლობის შემდეგ სიტუაციის აღსადგენად,

რათა უზრუნველყოფილი იყოს მონაცემების სწორი დამუშავება;

4. ბუფერის გადავსების მიზნით განხორციელებული შეტევების თავიდან არიდება.

უნდა მომზადდეს შესაბამისი საკონტროლი საკითხების ჩამონათვალი, უნდა მოხდეს

ქმედებების დოკუმენტირება და შედეგების დაცულად შენახვა. საკონტროლო საკითხების

მაგალითებია:


119

1. სესიების ან პაკეტების კონტროლის მექანიზმები, რათა ტრანზაქციის განახლების შემდეგ

მოხდეს მონაცემთა ფაილების ბალანსის შესაბამისობის უზრუნველყოფა;

2. ბალანსის კონტროლირება, რათა შემოწმდეს ბალანსის გახსნა წინა ბალანსის

დახურვასთან მიმართებაში, კერძოდ:

run to run შესრულებიდან-შესრულებამდე კონტროლის მექანიზმები;

ფაილების განახლების სრული ჯამი;

program-to-program კონტროლის მექანიზმები;

3. სისტემის მიერ გენერირებული შემავალი მონაცემების დადასტურება (იხ. 12.2.1);

4. ცენტრალურ და დისტანციურ კომპიუტერებს შორის ჩამოტვირთული, ან ატვირთული

მონაცემების, ან პროგრამული უზრუნველყოფის მთლიანობის, აუთენტურობის ან

უსაფრთხოების სხვა ფუნქციების შემოწმება;

5. ჩანაწერებისა და ფაილების ჰეშირებული ჯამი;

6. შემოწმებები, რათა უზრუნველყოფილი იყოს პროგრამების შესაბამის, სწორ დროს

გაშვება;

7. შემოწმებები, რათა უზრუნველყოფილი იყოს პროგრამების სწორი თანმიმდევრობით

გაშვება და ჩავარდნის შემთხვევაში შეწყვეტა, ასევე შემდგომი დამუშავების შეჩერება

მანამ, სანამ არ გადაიჭრება პრობლემა;

8. დამუშავების ქმედებების ლოგების წარმოება (იხ. 10.10.1).


სწორად შეტანილი მონაცემები შესაძლოა საფრთხის ქვეშ აღმოჩნდნენ კომპიუტერული

ტექნიკის შეცდომების, დამუშავების შეცდომებისმ ან განზრახ ჩადენილი ქმედებების გამო.

დადასტურების აუცლებელი შემოწმებები დამოკიდებულია აპლიკაციის ტიპსა და საფრთხის

ქვეშ დაყენებული მონაცემების მიერ განხორციელებულ ბიზნეს (საქმიანობის)-გავლენაზე.

12.2.3. შეტყობინებების ინტეგრირებულობა


დადგენილი უნდ აიყოს აპლიკაციებში შეტყობინებების ინტეგრირებულობის დაცვისა და

აუთენტურობის უზრუნველყოფის მოთხოვნებიდა განისაზღვროს და დაინერგოს კონტროლის

შესაბამისი მექანიზმები.


უნდა ჩატარდესც უსაფრთხოების რისკების შეფასება, რათა გამოვლინდეს არის თუ არა

შეტყობინების ინტეგრირებულობა აუცილებელი და დადგინდეს დანერგვის ყველაზე

შესაბამისი მეთოდი.


შეტყობინებების აუთენტიფიკაციის შესაბამის საშუალებად შესაძლოა დაინერგოს და

გამოყენებული იქნას კრიპტოგრაფიული ტექნიკები (იხ. 12.3).


120

12.2.4. გამომავალი მონაცემების შემოწმება


აპლიკაციიდან გამომავალი მონაცემები უნდა შემოწმდეს, რათა უზრუნველყოფილი იყოს

დაცული ინფორმაციის დამუშავების სისწორე და გარემოებებთან შესაბამისობა


გამომავალი მონაცმების შემოწმება შეიძლება მოიცავდეს:

1. დამაჯერებლობის შემოწმებას, რათა გადამოწმდეს, არის თუ არა გამომავალი მონაცემები

ლოგიკური;

2. კონტროლის რაოდენობების შესაბამისობა, რათა უზრუნველყოფილი იყოს ყველა

მონაცემის დამუშავება;

3. შესაბამისი საკმარისი ინფორმაციის მიწოდება წამკითხველისთვის, ან მონაცემთა

შემდგომი დამუშავების სისტემისთვის, რათა განისაზღვროს ინფორმაციის სისწორე,

სრულყოფილება, სიზუსტე და კლასიფიკაცია;

4. გამომავალი მონაცემების დამოწმების ტესტებზე რეაგირების პროცედურები;

5. მონაცემთა გამოტანის პროცესში ჩართული პერსონალის პასუხისმგებლობის დადგენა;

6. გამომავალი მონაცემების დამოწმების პროცესის შესახებ ლოგების წარმოება.


როგორც წესი, სისტემები და აპლიკაციების ეფუძნება იმ დაშვეებს, რომ თუ უკვე

განხორციელდა შესაბამისი შემოწმება და ტესტირება, - გამომავალი მონაცემები ყოველთვის

სწორი იქნება. თუმცა, ეს დაშვებები არ არის ყოველთვის სწორი; მაგალითად, ტესტირებული

სისტემები გარკვეულ ვითარებებში შესაძლოა ჯერ კიდევ იძლეოდნენ არასწორ შედეგებს.

12.3. კრიპტოგრაფიული კონტროლის მექანიზმები

მიზანი: კრიპტოგრაფიული საშუალებებით ინფორმაციის კონფიდენციალურობის,

აუთენტურობისა ან მთლიანობის დაცვა.

უნდა შემუშავდეს პოლიტიკა კრიპტოგრაფიული კონტროლის მექანიზმების გამოყენების

შესახებ. უნდა არსებობდეს გასაღებების მართვა, რათა მოხდეს კრიპტოგრაფიული

ტექნიკების გამოყენების მხარდაჭერა.

12.3.1. კრიპტოგრაფიული კონტროლის მექანიზმების გამოყენების პოლიტიკა



121

ინფორმაციის დასაცავად შემუშავებული და დანერგილი უნდა იყოს კრიპტოგრაფიული

კონტროლის მექანიზმების გამოყენების შესახებ პოლიტიკა .


კრიპტოგრაფიული პოლიტიკის შემუშავებისას გათვალისწინებული უნდა იქნას შემდეგი

საკითხები:

1. ხელმძღვანელობის მიდგომა მთელს ორგანიზაციაში კრიპტოგრაფიული კონტროლის

მექანიზმების გამოყენებისსაკითხთან დაკავშირებით, მათ შორის იმ ძირითადი

პრინციპების მიმართ, რომელთაც უნდა ექვემდებარებოდეს ბიზნეს-ინფორმაციის დაცვა

(იხ. 5.1.1);

2. რისკების შეფასებაზე დაფუძნებით, დაცვის საჭირო დონის გამოვლენა, რომელიც

გაითვალისწინებს დაშიფრვის საჭირო ალგორითმის ტიპს, სიმძლავრეს და ხარისხს;

3. მობილურ, ან გადაადგილებად მედია-მატარებლეზე, მოწყობილობებზე, ან

საკომუნიკაციო ხაზებში არსებული სენსიტიური ინფორმაციის დაცვისთვის დაშიფვრის

გამოყენება;

4. გასაღებების მართვისადმი მიდგომა, რაც მოიცავს დაშიფვრის გასაღებების დაცვასთან

დაკავშირებულ მეთოდებსა და დაშიფრული ინფორმაციის აღდგენას გასაღების

დაკარგვის, საფრთხის ქვეშ დაყენების, ან დაზიანების შემთხვევაში;

5. როლები და პასუხისმგებლობები - მაგალითად, ვინ არის პასუხისმგებელი:

პოლიტიკის დანერგვაზე;

გასაღებების მართვაზე, მათ შორის გასაღებების გენერირებაზე (იხ. 12.3.2);

ორგანიზაციაში მიღებული სტანდარტების ეფექტიან დანერგვაზე (რომელი

გადაწყვეტა გამოიყენება რომელი ბიზნეს-პროცესისათვის);

გაშიფრული ინფორმაციის გამოყენების გავლენაზე კონტროლის იმ მექანიზმების

მიმართ, რომლებიც დამოკიდებულია შიგთავსის შემოწმებაზე (მაგალითად,

ვირუსის აღმოჩენა).

ორგანიზაციის კრიპტოგრაფიული პოლიტიკის დანერგვისას აუცილებლად უნდა გამახვილდეს

ყურადღება იმ რეგულაციებსა და სახელმწიფოებრივ შეზღუდვებზე, რომლებიც სხვადასხვა

ქვეყნებში გამოიყენება კრიპტოგრაფიული ტექნიკებისადმი და ასევე გასათვალისწინებელია ის

საკითხები, რომლებიც დაკავშირებულია დაშიფრული ინფორმაციის სახელმწიფო საზღვრის

გადაკვეთასთან (იხ.15.1.6).

კრიპტოგრაფიული კონტროლის მექანიზმები შეიძლება გამოიყენებოდეს უსაფრთხოების

სხვადასხვა მიზნების მისაღწევად, მაგალითად:

1. კონფიდენციალურობა: ინფორმაციის დაშიფვრის გამოყენება სენსიტიური, ან

კრიტიკული ინფორმაციის დასაცავად, იქნება ეს შენახული თუ გადაცემის პროცეში

მყოფი ინფორმაცია;

2. მთლიანობა/აუთენტურობა: ციფრული ხელმოწერის გამოყენება, ან შეტყობინებების

აუთენტიფიკაციის კოდის გამოყენება, რათა დაცული იქნას შენახული, ან გადაცემის

პროცესში მყოფი სენსიტიური, ან კრიტიკული ინფორმაციის აუთენტურობა და

მთლიანობა;

3. წარმოშობის წყაროსთან ცალსახა შესაბამისობა: კრიპტოგრაფიული ტექნიკების

გამოყენება, რათა მოპოვებული იქნას მოვლენის, ან ქმედების განხორციელების ან

არგანხოციელების მტკიცებულება.



122

კრიპტოგრაფიული მეთოდის შესაბამისობის შესახებ გადაწყვეტილების მიღება უნდა

განიხილებოდეს რისკების შეფასების და კონტროლის მექანიზმების შერჩევის პროცესის

შემადგენელ ნაწილად. ეს შეფასება შემდეგ შესაძლოა გამოყენებული იყოს კრიპტოგრაფიული

კონტროლის მექანიზმის შესაბამისობის დასადგენად, ასევე თუ რა ტიპის კონტროლი უნდა იყოს

გამოყენებული რა მიზნით და რომელი ბიზნეს-პროცესისთვის.

კრიპტოგრაფიული კონტროლის მექანიზმების გამოყენების პოლიტიკა აუცილებელია მისგან

სარგებელის გაზრდისა და რისკების შემცირების მიზნით, ასევე მისი არაშესაბამისი ან

არასათანადო გამოყენების თავიდან ასარიდებლად. როდესაც გამოიყენება ციფრული

ხელმოწერა, გათვალისწინებული უნდა იყოს შესაბამისი კანონმდებლობა, განსაკუთრებით კი ის

მომენტი, სადაც აღწერილია ის პირობები, როდესაც ციფრული ხელმოწერა კანონითაა

სავალდებულო (იხ. 15.1).

უნდა იყოს გათვალისწინებული სპეციალისტების რჩევა, რათა მოხდეს დაცვის შესაბამისი

დონის გამოვლენა და განისაზღვროს ის მახასიათებლები, რომლებიც უზრუნველყოფენ

უსაფრთხო გასაღებების მართვის სისტემის საჭირო დაცვასა და დანერგვის მხარდაჭერას (იხ.

12.3.2).

12.3.2. გასაღებების მართვა


გასაღებების მართვამ უნდა განახორციელოს ორგანიზაციის მიერ კრიპტოგრაფიული ტექნიკების

გამოყენების მხარდაჭერა.


ყველა კრიპტოგრაფიული გასაღები უნდა იყოს დაცული შეცვლისგან, დაკარგვისა და

განადგურებისგან. ამასთან, საიდუმლო და პირადი გასაღებები საჭიროებენ დაცვას

არაავტორიზებული გამჟღავნებისაგან. გასაღებების გენერირების, შენახვისა და არქივირების

აპარატურა უნდა იყოს ფიზიკურად დაცული.

გასაღებების მართვის სისტემა უნდა ეფუძნებოდეს შეთანხმებულ სტანდარტებს, პროცედურებსა

და უსაფრთხოების მეთოდებს შემდეგი საკითხებისთვის:

1. სხვადასხვა კრიპტოგრაფიული სისტემებისა და აპლიკაციებისთვის გასაღებების

გენერირება;

2. საჯარო გასაღების სერთიფიკატის გენერირება და მიღება;

3. გასაღებების დაგზავნა შესაბამისი მომხმარებლებისთვის, შესაბამისი ინსტრუქციით, თუ

როგორ უნდა მოხდეს გასაღების აქტივაცია, როცა მომხმარებელი მას მიიღებს;

4. გასაღებების შენახვა, შესაბამისი ინსტრუქციით, თუ როგორ მოიპოვებენ ავტორიზებული

მომხმარებელები გასაღებებზე წვდომას;

5. გასაღებების შეცვლა ან განახლება, მათ შორის ის წესები, თუ როდის უნდა შეიცვალოს და

როგორ უნდა გაკეთდეს ეს;

6. საფრთხის ქვეშ დაყენებულ გასაღებებთან მოპყრობა;

7. გასაღბების გაუქმება, შესაბამისი ინსტრუქციით, თუ როგორ უნდა მოხდეს გასაღებების

წაშლა ან დეაქტივაცია, მაგალითად, როდესაც გასაღებები საფრთხის ქვეშ იმყოფებიან, ან


123

როდესაც მომხმარებელი ტოვებს ორგანიზაციას (ასეთ შემთხვევაში უნდა მოხდეს

გასაღებების არქივირება);

8. გასაღებების აღდგენა დაკარგვის, ან დამახინჯების შემთხვევაში, როგორც ბიზნეს-

პროცესების უწყვეტობის მართვის ნაწილი, მაგალითად, დაშიფრული ინფორმაციის

აღდგენა;

9. გასაღებების არქივირება, მაგალითად, ინფორმაციის არქივირებისთვის, ან სარეზერვო

ასლებისთვის;

10. გასაღებების განადგურება;

11. გასაღებების მართვასთან დაკავშირებული ღონისძიებების ლოგირება და აუდიტი.

იმისათვის, რომ შემცირდეს გასაღებების მონაცემების საფრთხის ქვეშ დაყენების ალბათობა,

აქტივაციის ან დეაქტივაციის თარიღები იმგვარად უნდა აგანისაზღვროს, რომ გასაღებების

მოხმარება შესაძლებელი იყოს მხოლოდ შეზღუდული პერიოდისთვის. დროის ეს პერიოდი

უნდა იყოს დამოკიდებული იმ ვითარებებზე, რომლის პირობებშიც ხდება კრიპტოგრაფიული

კონტროლის მექანიზმების გამოყენება, აგრეთვე სავარაუდო რისკებზე.

უსაფრთხოდ მართული საიდუმლო და პირადი გასაღებების შესახებ დამატებით უნდა

აღნიშნოს, რომ აუცილებლად უნდა იყოს გათვალისწინებული საჯარო გასაღებების

აუთენტიფიკაცია. აუთენტიფიკაციის ეს პროცესი უნდა განხორციელდეს საჯარო გასაღების

სერთიფიკატის გამოყენებით, რომელიც გამოიცემა შესაბამისი კონტროლის მექანიზმებით და

პროცედურებით აღჭურვილი სერთიფიცირების უფლების მქონე ორგანიზაციის მიერ, რათა

უზრუნველყოფილი იყოს სანდოობის აუცილებელი დონე.

კრიპტოგრაფიული მომსახურების მომწოდებელ გარე ორგანიზაციასთან, მაგალითად,

რომელსაც გააჩნია სერტიფიცირების უფლებამოსილება, - დადებული შეთანხმებები, ან

ხელშეკრულებები მომსახურების დონის შესახებ უნდა მოიცავდეს ვალდებულებების,

მომსახურებების საიმედოობისა და მომსახურების გაწევაზე რეაგირების დროის შესახებ

შესაბამის საკითხებს (იხ. 6.2.3).


კრიპტოგრაფიული გასაღებების მართვა არსებითია კრიპტოგრაფიული ტექნიკების ეფექტიანი

გამოყენებისათვის. კრიპტოგრაფიული ტექნიკების ორი ტიპს წარმოადგენს:

1. საიდუმლო გასაღებების ტექნიკები - ორი ან მეტი მხარე იყენებს ერთსა და იმავე გასაღებს

როგორც ინფორმაციის დაშიფვრის, ასევე მისი გაშიფვრის მიზნით; ეს გასაღები უნდა

ინახებოდეს საიდუმლოდ, რათა ვინმემ არ მოიპოვოს მასზე წვდომა და მისი

გამოყენებით არ გაშიფროს ყველა დაშიფრული ინფორმაცია, ან ამ გასაღების არ მოხდეს

გამოყენებით არაავტორიზებული ინფორმაციის შეყვანა;

2. საჯარო გასაღების ტექნიკა, როდესაც თითოეულ მომხმარებელს აქვს გასაღების წყვილი,

საჯარო გასაღები (რომლის განდობაც შესაძლებელია) და პირადი გასაღები (რომელიც

საიდუმლოდ უნდა იყოს შენახული); საჯარო გასაღების ტექნიკა შეიძლება გამოყენებული

იყოს დაშიფვრისთვის და ციფრული ხელმოწერისთვის.

არსებობს ციფრული ხელმოწერის ფალსიფიცირების საფრთხე, რაც მომხმარებლის საჯარო

გასაღების ჩანაცველბით შეიძლება იყოს გამოწვეული. ეს პრობლემა გვარდება საჯარო გასაღების

სერტიფიკატის გამოყენებით.


124

კრიპტოგრაფიული ტექნიკები შესაძლოა ასევე გამოყენებული იყოს კრიპტოგრაფიული

გასაღებების დასაცავად. შესაძლოა გასათვალისწინებელი იყოს კრიპტოგრაფიულ გასაღებებზე

წვდომის იურიდიული მოთხოვნების პროცედურები, მაგალითად, დაშიფრული ინფორმაცია

მტკიცებულებისს სახით სასამართლოს დაუშიფრავი სახით უნდა წარედგინოს.

12.4. სისტემური ფაილების უსაფრთხოება

მიზანი: სისტემური ფაილების უსაფრთხოების უზრუნველყოფა.

უნდა განხორციელდეს სისტემური ფაილებზე და კოდზე წვდომის კონტროლი, ასევე

ინფორმაციული ტექნოლოგიების პროექტები და მხარდამჭერი ღონისძიებები უნდა

განხორიელდეს უსაფრთხოდ. ყურადღება უნდა გამახვილდეს იმაზე, რომ თავიდან იქნას

არიდებული სენსიტიური მონაცმების გამოყენება სატესტო გარემოში.

12.4.1. საოპერაციო პროგრამების კონტროლი


უნდა არსებობდეს პროცედურები, რომლებიც გააკონტროლებენ პროგრამული

უზრუნველყოფისა და ოპერაციული სისტემების ინსტალაციას.


ოპერაციული სისტემების საფრთხის ქვეშ დაყენების რისკების შესამცირებლად, ცვლილებების

კონტროლის განსახორციელებლად გათვალისწინებული უნდა იყოს შემდეგი სახელმძღვანელო

მითითებები:

1. სოპერაციო პროგრამების, აპლიკაციების და პროგრამული ბიბლიოთეკების განახლება

ხელმძღვანელობის შესაბამისი ნებართვის შემთხვევაში უნდა განახორციელოს მხოლოდ

დატრენინგებულმა ადმინისტრატორმა (იხ. 12.4.3);

2. საოპერაციო სისტემები უნდა ინახავდნენ მხოლოდ დამტკიცებულ შესრულებად კოდს

და არა საწყის კოდს ან კომპილატორებს;

3. აპლიკაციების და ოპერაციული სისტემების დანერგვა უნდა მოხდეს მხოლოდ

ფართომასშტაბიანი და წარმატებული ტესტირების შემდეგ; ტესტები უნდა მოიცავდეს

ტესტებს გამოყენებადობის, უსაფრთხოების, სხვა სისტემებზე გავლენის მოხდენისა და

მომხმარებლისათვის გამოყენების კომფორტულობის შესახებ, ამ ტესტების ჩატარება

უნდა მოხდეს ცალკეულ სისტემებზე (იხ. ასევე 10.1.4); უზრუნველყოფილი უნდა იყოს

ყველა დაკავშირებული პროგრამის საწყისი ბიბლიოთეკის განახლებები;

4. უნდა გამოიყენებოდეს კონფიგურაციის კონტროლის სისტემა, რათა განხორციელებული

იყოს კონტროლი როგორც ყველა დანერგილ პროგრამულ უზრუნველყოფაზე, ასევე

სისტემის დოკუმენტაციაზე;

5. უნდა არსებობდეს პროგრამის დაბრუნების სტრატეგია, რომელიც ცვლილებების

დანერგვამდე უნდა იყოს გამოყენებული;

6. შენახული უნდა იყოს საოპერაციო პროგრამების ბიბლიოთეკის ყველა განახლების

აუდიტის ლოგები;

7. შენარჩუნებული უნდა იყოს პროგრამული უზრუნველყოფის წინა ვერსიები;


125

8. დაარქივებული უნდა იყოს პროგრამული უზრუნველყოფის ძველი ვერსიებიყველა

საჭირო ინფორმაციასთან და პარამეტრებთან, პროცედურებთან, კონფიგურაციის

დეტალებთან და მხარდამჭერ სისტემებთან ერთად, იმდენი ხნით რამდენი ხნითაც ხდება

მონაცემების არქივირება.

მომწოდებლის მიერ მოწოდებული პროგრამული უზრუნველყოფის გამოყენება ოპერაციულ

სისტემებში უნდა განხორციელდეს მომწოდებლის მიერ შესაბამისი დონის მხარდაჭერით.

დროთა განმავლობაში, პროგრამული უზრუნველყოფის მომწოდებლები უარს ამბობენ და

წყვეტენ ძველი პროგრამული უზრუნველყოფის მხადაჭერას. ორგანიზაციამ უნდა

გაითვალისწინოს მხადაჭერის გარეშე დარჩენილი პროგრამული უზრუნველყოფასთან

დაკავშირებული რისკები.

ახალ ვერსიაზე გადასვლის გადაწყვეტილება უნდა ითავლსიწინებდეს ცვლილებებისთვის

საჭირო ბიზნეს-მოთხოვენებს და ახალი ვერსიის უსაფრთხოებას, მაგალითად, უსაფრთხოების

სფეროში ახალი ფუნქციონალის წარდგენას, ან ამ ვერსიასთვის არსებული უსაფრთხოების

პრობლემების რაოდენობა და მრავალფეროვნებას. პროგრამული უზრუნველყოფის

გამოსწორებები (პაჩები) უნდა იქნას გამოყენებული მაშინ, როდესაც მათ შეუძლიათ დახმარების

გაწევა უსაფრთხოების სისუსტეების აღმოფხვრაში, ან შემცირებაში (იხ. 12.6.1).

მომწოდებელს ფიზიკური და ლოგიკური წვდომა უნდა მიეცეს მხოლოდ მხარდაჭერის მიზნით,

აუცილებლობის შემთხვევაში და მხოლოდ ხელმძღვანელობის თანხმობით. მომწოდებლის

ქმედებებზე უნდა განხორციელდეს მონიტორინგი.

კომპიუტერული ტექნიკა შესაძლოა ემყარებოდეს გარედან მოწოდებულ პროგრამულ

უზრუნველყოფას და მოდულებს, რომლებზეც უნდა განხორციელდეს მონიტორინგი და

კონტროლი, რათა თავიდან იქნას არიდებული არაავტორიზებული ცვლილებები, რამაც, თავის

მხრივ, შეიძლება გამოიწვიოს უსაფრთხოების სისუსტეები.


საოპერაციო სისტემა უნდა განახლდეს მხოლოდ მაშინ, როდესაც ამის მოთხოვნა არსებობს,

მაგალითად, თუ მიმდინარე ვერსია ვეღარ ახდებს ბიზნეს-მოთხოვნების მხარდაჭერას.

განახლებები არ უნდა განხორციელდეს მხოლოდ იმიტომ, რომ არსებობს ოპერაციული სისტემის

ახალი ვერსია. ახალი ვერსიები შესაძლოა იყოს ნაკლებად უსაფრთხო, ნაკლებად სტაბილური და

უფრო რთულად გასაგები, ვიდრე სისტემის მიმდინარე ვერსია.

12.4.2. სისტემის სატესტო მონაცემების დაცვა


ყურადღებით უნდა მოხდეს სატესტო მონაცემების შერჩევა , აუციელებლია მათი დაცვა და

გაკონტროლება.

დანერგვის სახელმღვანელო მითითებები

თავიდან უნდა იქნას არიდებული ტესტირების მიზნით საოპერაციო მონაცემთა ბაზის

გამოყენება, რომელიც შეიცავს პირად ინფორმაციას, ან სხვა სენსიტიურ ინფორმაციას, - . თუ


126

ტესტირებისთვის გამოიყენება პერსონალური, ან სხვა სახისსენსიტიური ინფორმაცია , მაშინ

გამოყენებამდე უნდა წაიშალოს, ან შეიცვალოს ყველა სენსიტიური დეტალი და შიგთავსი.

როდესაც ხდება საოპერაციო მონაცემების ტესტირების მიზნით გამოყენება, მათ დასაცავად

გათვალისწინებული უნდა იყოს შემდეგი სახელმძღვანელო მითითებები:

1. წვდომის კონტროლის პროცედურები, რომლებიც გათვალისწინებულია სამუშაო,

საოპერაციო სიტემებისთვის, უნდა იყოს გამოიყენებოდესსატეტსო სისტემებისთვისაც;

2. საოპერაციო ინფორმაციის სატესტო სისტემაში კოპირებისთვის ყოველ ჯერზე უნდა

ხდებოდეს ავტორიზაცია;

3. როგორც კი ტესტირება დასრულდება, საოპერაციო ინფორმაცია დაუყოვნებლივ უნდა

წაიშალოს სატესტო სისტემიდან;

4. საოპერაციო ინფორმაციის კოპირებასა და გამოყენებაზე უნდა განხორციელდეს

ლოგირება, რათა უზურნველყოფილი იყოს აუდიტის ჩანაწერები.


სისტემისა და მიღება-ჩაბარების ტესტირება, როგორც წესი, მოითხოვს სატესტო მონაცემების

მნიშვნელოვან მოცულობას, რომლებიც მაქსიმალურად მიახლოებული უნდა იყოს საოპერაციო

მონაცემებთან.

12.4.3. პროგრამის საწყის კოდზე წვდომის კონტროლის მექანიზმი


პროგრამის საწყის კოდზე წვდომა უნდა იყოს მკაცრად შეზღუდული.


პროგრამის საწყის კოდზე და მასთან დაკავშირებულ ობიექტებზე წვდომა (როგორებიცაა

დიზაინი, მახასიათებლები, შემოწმების და დადასტურების გეგემები) უნდა იყოს მკაცრად

გაკონტროლებული, რათა თავიდან იქნას არიდებული არაავტორიზებული ფუნქციონალის

წარმოდგენა და დაუგეგმავი ცვლილებები. პროგრამის საწყისი კოდისთვის ეს შესაძლებელია

მიღწეული იყოს ამგვარი კოდის ცენტრალური საცავის გაკონტროლებით, უპირატესად

პროგრამის საწყისი კოდის ბიბლიოთეკებში. გათვალისწინებული უნდა იყოს შემდეგი

სახელმძღვანელო მითითებები (იხ. ასევე 11), რათა განხორციელდეს კონტროლი პროგრამის

საწყისი კოდის ბიბლიოთეკების წვდომაზე, რაც მიზნად ისახავს კომპიუტერული პროგრამების

საფრთხის ქვეშ დაყენების შესაძლებლობის შემცირებას:

1. სადაც შესაძლებელია, პროგრამის საწყისი კოდის ბიბლიოთეკები არ უნდა ინახებოდეს

საოპერაციო სისტემებში;

2. პროგრამის საწყისი კოდისა და ბიბლიოთეკების მართვა უნდა ხდებოდეს დადგენილი

პროცედურების შესაბამისად;

3. მხადაჭერის პერსონალს არ უნდა ჰქონდეთ შეუზღდავი წვდომა პროგრამის საწყის

ბიბლიოთეკებზე;


127

4. პროგრამის საწყისი ბიბლიოთეკების და მასთან დაკავშირებული ობიექტების განახლება,

ასევე პროგრამული წყაროს პროგრამისტებისთვის გამოცემა უნდა შესრულდეს

შესაბამისი ავტორიზაციის მიღების შემდეგ;

5. პროგრამული კოდის სია (Listing) უნდა ინახებოდეს დაცულ გარემოში (იხ. 10.7.4);

6. პროგრამის საწყის ბიბლიოთეკებზე ყველა წვდომა უნდა ჩაიწეროს აუდიტისთვის;

7. პროგრამის საწყისი ბიბლიოთეკების მხარდაჭერა და კოპირება უნდა ექვემდებარებოდეს

ცვლილებების მკაცრი კონტროლის პროცედურებს (იხ. 12.5.1).


პროგრამის საწყისი კოდი არის პორგარმისტის მიერ დაწერილი კოდი, რომელიც

დაკომპილირებულია (და დაკავშირებულია), რათა შეიქმნას შესრულებადი ფაილები.

ზოგიერთი პროგრამული ენა ფორმალურად არ მიჯნავს ერთმანეთისგან საწყის კოდსა და

შესრულებად ფაილებს, რადგანაც შესრულებადი ფაილები იქმნება მათივე აქტივაციის დროს.

12.5. შემუშავებისა და მხარდაჭერის პროცესების უსაფრთხოება

მიზანი: პროგრამული უზრუნველყოფის სისტემებისა და ინფორმაციის უსაფრთხოების

შენარჩუნება და მხარდაჭერა.

მკაცრად უნდა კონტროლდებოდეს საპროექტო და მხარდაჭერის გარემო.

პროგრამულ უზრუნველყოფაზე პასუხისმგებელი მენეჯერები ასევე პასუხისმგებელნი უნდა

იყვნენ პროექტის უსაფრთხოებასა და მხადაჭერის გარემოზე. მათ უნდა უზრუნველყონ

შემოთავაზებული სისტემური ცვლილებების გადახედვა იმ მიზნით, რომ ისინი არ

წარმოადგენდნენ საფრთხეს როგორც სისტემისთვის, ასევე საოპერაციო გარემოსთვის.

12.5.1. ცვლილების კონტროლის პროცედურები


ცვლილებების დანერგვა უნდა კონტროლდებოდეს ცვლილებების კონტროლის ფორმალური

პროცედურის გამოყენებით.


ცვლიელების კონტროლის ფორმალური პროცედურები უნდა იყოს დოკუმენტირებული და

აღსრულებული, რათა შემცირდეს ინფორმაციული სისტემის საფრთხის ქვეშ დაყენების

შესაძლებლობა. ახალი სისტემის შემოთავაზება და არსებულ სისტემებში მნიშვნელოვანი

ცვლილებების შეტანა უნდა იყოს დოკუმენტირებული, აღწერილი და ექვემდებარებოდეს

ტესტირების, ხარისხის კონტროლისა და დანერგვის მართვის ფორმალურ პროცესს.

ეს პროცესი ასევე მოიცავს რისკების შეფასებას, ცვლილების გავლენის ანალიზსა და

უსაფრთხოების კონტროლის საჭირო მექანიზმების მახასიათებლებს. ამ პროცესმა ასევე უნდა

უზრუნველყოს უსაფრთხოებისა და კონტროლის არსებული პროცედურების დაცვა,

მხადაჭერის პროგრამისტებისთვის მხოლოდ სისტემის იმ ნაწილზე წვდომის მიცემა, რაც მათი


128

სამუშაოსთვის არის საჭირო, ასევე ნებისმიერი ცვლილების შეთანხმებისა და დამტკიცების

ფორმალიზება.

იქ, სადაც შესაძლებელია, უნდა მოხდეს აპლიკაციებისა და ოპერაციული ცვლილებების

კონტროლის პროცედურების ინტეგრირება (იხ. ასევე 10.1.2). ცვლიელების პროცედურები უნდა

მოიცავდეს:

1. შეთანხმებული ავტორიზებული დონეების შესახებ ჩანაწერების წარმოებას;

2. ავტორიზებული მომხმარებლების მიერ ცვლილებების დამტკიცებას;

3. კონტროლისა და მთლიანობის პროცედურების გადახედვას, განხროციელებული

ცვლილების შედეგადმათი საფრთხის ქვეშ დაყენების თავიდან ასარიდებლად;

4. ყველა პროგრამული უზრუნველყოფის, ინფორმაციის, მონაცემთა ბაზების მოდულის და

კომპიუტერული ტექნიკის გამოვლენას, რომლებიც საჭიროებს ცვლილებებს;

5. დეტალური შემოთავაზების ფორმალური დამტკიცებას სამუშაოს დაწყებამდე ;

6. ავტორიზებული მომხმარებელბის მიერ ცვლილებების მიღების უზრუნველყოფას

დანერგვამდე;

7. ყოველი ცვლილების განხორციელების შემდეგ სისტემის დოკუმენტაციის განახლების

უზრუნველყოფას და ძველი დოკუმენტაციის არქივირებას, ან ჩამოწერას;

8. სისტემური განახლების ყველა ვერსიის კონტროლს;

9. ცვლილების შესახებ ყევლა მოთხოვნის აუდიტის საკონტროლო ჩანაწერების

უზრუნველყოფას;

10. საოპერაციო დოკუმენტაციის (იხ. 10.1.1) და მომხმარებლების პროცედურების

ცვლილების უზრუნველყოფას, რათა დაცული იყოს შესაბამისობა;

11. ცვლილების ამოცანების დანერგვის დროულობისა და სისწორის უზრუნველყოფას, რათა

მათ ხელი არ შეუშალონ შესაბამის ბიზნეს-პროცესებს.


პროგრამული უზრუნველყოფის ცვლილებამ შესაძლოა გავლენა იქონიოს საოპერაციო

გარემოზე.

საუკეთესო პრაქტიკა ითვალისწინებს ახალი პროგრამის ტესტირებას საოპერაციო და ასევე

საპროექტოსგან განცალკევებულ გარემოში (იხ. 10.1.4). ეს კი საშუალებას იძლევა გვქონდეს

კონტროლის მექანიზმები ახალ პროგრამაზე და დამატებითი დაცვა განვახორციელოთ

საოპერაციო ინფორმაციისთვის, რომელიც გამოიყენება ტესტირების მიზნით. ეს მოიცავს ასევე

პაჩებს, განახლებების პაკეტებს და სხვა განახლებებს. კრიტიკულ სისტემებზე არ უნდა იქნას

გამოყენებული ავტომატური განახლებები, რადგანაც ზოგიერთი განახლება შესაძლოა იწვევდეს

კრიტიკული აპლიკაციის ჩავარდნას (იხ. 12.6).

12.5.2. ცვლილებების შემდეგ ტექნიკური განხილვა


როდესაც იცვლება ოპერაციული სისტემები, ბიზნესისითვის კრიტიკული აპლიკაციები უნდა

გადაიხედოს და დაიტესტოს, რათა თავიდან იქნას არიდებული ორგანიზაციულ ოპერაციებსა ან

უსაფრთხოებაზე უარყოფითი გავლენა.


129


ეს პროცესი უნდა ფარავდეს შემდეგ საკითხებს:

1. აპლიკაციების კონტროლისა და მთლიანობის პროცედურების გადახედვა, რათა

ოპერაციული სისტემის ცვლილებებმა ისინი საფრთხის ქვეშ არ დააყენონ;

2. მხადაჭერის წლიური გეგმა და ბიუჯეტი უნდა მოიცავდეს განხილვებსა და სისტემის

ტესტირებას, რაც გამოწვეულია ოპერაციული სისტემის ცვლილებიდან;

3. ოპერაციული სისტემის ცვლილების შესახებ შეტყობინება დროულად უნდა იქნას

მიწოდებული, რათა შესაძლებელი იყოს შესაბამისი ტესტების ჩატარება და განხილვები

დანერგვამდე;

4. ბიზნესის-უწყვეტობის გეგმებში ასახული უნდა იყოს შესაბამისი ცვლილებები (იხ.

თავი14).

სპეციალური ჯგუფი, ან პიროვნება უნდა იყოს პასუხისმგებელი სისუსტეებისა და

მომწოდებლის პაჩებისა და გასწორებების მონიტორინგზე (იხ. 12.6).

12.5.3. პროგრამულ პაკეტებში ცვლილებების შეზღუდვა


პროგრამული პაკეტების ცვლილებები უნდა იყოს მინიმუმამდე შეზღუდული და ყველა

ცვლილება მკაცრად უნდა კონტროლდებოდეს.


რამდენადაც შესაძლებელია და შესრულებადია, მომწოდებლის მიერ მოწოდებული

პროგრამული უზრუნველყოფის პაკეტები მოდიფიკაციის გარეშე უნდა იქნას გამოყენებული.

თუ პროგრაგმული პაკეტები საჭიროებენ მოდიფიკაციას, მაშინ აუცილებლად


1. ინტეგრირებული კონტროლის მექანიზმებიდან მომდინარე რისკები და მთლიანობის

უზრუნველყოფის პროცესები, რომლებიც შეიძლება საფთხის ქვეშ აღმოჩნდნენ;

2. არის თუ არა საჭირო მომწოდებლის თანხმობა;

3. შესაძლებელია თუ არა საჭირო ცვლილების განხორციელება მომწოდებლის მიერ

პროგრამის სტანდარტული განახლებების სახით;

4. გავლენა, თუ ცვლილების შედეგად ორგანიზაცია ხდება პასუხისმგებელი პროგრამის

მომავალ მხარდაჭერაზე.

თუ საჭიროა ცვლილებების განხორციელება, მაშინ თავდაპირველი პროგრამა უნდა შეინახოთ

და ცვლილებები მის ზუსტ ასლზე განახორციელოთ. ყველა ცვლილება სრულყოფილად უნდა

გაიტესტოს და მოხდეს დოკუმენტირება, რათა შესაძლებელი იყოს მათი ხელახალი გამოყენება

პორგრამული უზრუნველყოფის მომავალი ვერსიებისთვის. თუ საჭიროა, მოდიფიაკცია უნდა

გაიტესტოს და დადასტურდეს დამოუკიდებელი შემფასებელი ორგანოს მიერ.


130

12.5.4 ინფორმაციის გადინება


თავიდან უნდა იყოს არიდებული ინფორმაციის გადინების შესაძლებლობები .


ინფორმაციის გადინების რისკის შესამცირებლად გათვალისწინებული უნდა იყოს შემდეგი

საკითხები:

1. გამავალი მედია-მატარებლების და კომუნიკაციების სკანირება ფარული ინფორმაციის

აღმოჩენის მიზნით;

2. სისტემებისა და კომუნიკაციების შენიღბვა და მოდულირება, რათა შემცირდეს მესამე

მხარის მიერ ინფორმაციაზე დაკვირვების შესაძლებლობები;

3. სისტემებისა და პროგრამული უზრუნველყოფის გამოყენება უნდა ითვალისწინედბდეს

მაღალი დონის ინტეგრირებულობას, მაგალითად, შეფასებული პროდუქტების

გამოყენებით;

4. პერსონალისა და სისტემების ქმედებებზე რეგულარული მონიტორინგი, სადაც ეს

ნებადართულია არსებული კანონმდებლობებისა და რეგულაციების მეშვეობით;

5. რესურსების გამოყენების მონიტორინგი კომპიუტერულ სისტემებში.


საიდუმლო არხები წარმოადგენენ გზებს, რომელიც არ გამოიყენება ინფორმაციის დინებისთვის,

მაგრამ რომელიც შესაძლოა არსებობდეს სისტემასა თუ ქსელში. მაგალითად,

პაკეტებისსაკომუნიკაციო ოქმში ბიტების მანიპულირება შესაძლოა გამოყენებული იყოს

როგორც სიგნალირების ფარული მეთოდი. მათი ბუნებიდან გამომდინარე, ყველა შესაძლო

საიდუმლო არხის არსებობის თავიდან არიდება რთული იქნება, თუ შეუძლებელი არა. თუმცა,

ამგვარი არხების გამოყენებას ხშირად თან ახლავს ტროას კოდი (იხ. ასევე 10.4.1).

ქსელზე არაავტორიზებული წვდომის თავიდან არიდება (11.4), ასევე პერსონალის მიერ

საინფრომაციო მომსახურებების ბოროტად გამოყენების შემცირების პოლიტიკები და

პროცედურები (15.1.5) დახმარებას გაუწევს საიდუმლო არხების საწინდააღმდეგო დაცვას.

12.5.5. პროგრამების შმუშავების აუთსირსინგი


ორგანიზაციის მიერ უნდა განხორციელდეს აუთსორსირებული პროგრამის შემოწმება და

მონიტორინგი.


როდესაც ხდება პროგრამის აუთსორსირება, აუცილებლად უნდა იყოს გათვალისწინებული



131

1. კოდის ფლობის და ინტელექტუალური საკუთრების უფლებების და ლიცენზირების

შეთანხმებები (იხ. 15.1.2);

2. ხარისხის და ჩატარებული სამუშაოების სიზუსტის სერტიფიცირება;

3. პირობითი დეპოზიტის შესახებ შეთანხმება მესამე მხარის წარუმატებლობის შემთხვევაში

;

4. შესრულებული სამუშაოს სიზუსტისა და ხარისხის აუდიტისთვის წვდომის უფლებები;

5. კოდის ხარისხისა და უსაფრთხოების ფუნქციონალურობის სახელშეკრულებო

მოთხოვნები;

6. ინსტალაციამდე ტესტირების ჩატარება მავნე კოდის და ტროას კოდის აღმოჩენის

მიზნით.

12.6. ტექნიკური სისუსტეების მართვა

მიზანი: ტექნიკური სისუსტეებით სარგებლობისგან გამოწვეული რისკების შემცირება.

ტექნიკური სისუსტეეების მართვა უნდა განხორციელდეს ეფექტიანად, სისტემურად და

განმეორებადი მეთოდით, რაც ასევე მოიცავს მისი ეფექტიანობის შეფასების საზომებზე

დასტურს. ზემოაღნიშნდფული უნდა მოიცავდეს ოპერაციულ სისტემებს და სხვა

გამოყენებულ აპლიკაციებს.

12.6.1. ტექნიკური სისუსტეების კონტროლი


მოპოვებული უნდა იყოს დროული ინფორმაცია ინფორმაციული სისტემების ტექნიკური

სისუსტეების შესახებ, შეფასდეს, რამდენადაა დაუცველია ორგანიზაცია ამგვარი

სისუსტეებისგან და განხორციელდეს რისკებზე რეაგირების შესაბამისი ღონისძიებები.


მიმდინარე და სრულყოფილი აქტივების რეესტრი (იხ. 7.1) წარმოადგენს ტექნიკური

სისუსტეების ეფექტიანი მართვის წინაპირობას. სპეციფიკური ინფორმაცია, რომელიც საჭიროა

ტენიკური სისუსტეების მართვის მხარდასაჭერად, მოიცავს პროგრამული უზრუნველყოფის

მომწოდებელს, ვერსიების ნომრებს, დამუშავების მიმდინარე სტადიას (მაგალითად, რა

პროგრამაა დაინსტალირებული რომელ სისტემებზე) და პროგრამებზე პასუხისმგებელ პირებს

ორგანიზაციის ფარგლებში.

შესაბამისი, დროული ქმედება უნდა განხორციელდეს პოტენციური ტექნიკური სისუსტეების

იდენტიფიცირების საპასუხოდ. ტექნიკური სისუსტეების მართვის ეფექტიანი პროცესის

ჩამოსაყალიბებლად უნდა შესრულდეს შემდეგი მითითებები:

1. ორგანიზაციამ უნდა განსაზღვროს და დაადგინოს ტექნიკური სისუსტეების მართვაზე

პასუხისმგებელი პირები და როლები, რაც მოიცავს სისუსტეების მონიტორინგს,

სისუსტეების რისკების შეფასებას, პაჩების გატარებას, აქტივებზე თავლყურის დევნებას

და საჭირო პასუხისმგებლობების კოორდინირებას;

2. პროგრამებისა და სხვა ტექნოლოგიებისთვის (რაც ეფუძნება აქტივების რეესტრის

ჩამონათვალს, იხ. 7.1.1) უნდა გამოვლინდეს ინფორმაციული რესურსები, რომლებიც


132

გამოიყენება შესაბამისი ტექნიკური სისუსტეების გამოსავლენად და მათ შესახებ

ცნობიერების ასამაღლებლად. ეს ინფორმაციული რესურსები უნდა განახლდეს

რეესტრის ცვლილების საფუძველზე ან მაშინ როდესად გამოვლენილი იქნება ახალი, ან

სასარგებლო რესურსები;

3. უნდა დადგინდეს პოტენციურ ტექნიკურ სისუსტეებზე რეაგირების პერიოდი;

4. როგორც კი გამოვლინდება პოტენციური ტექნიკური სისუსტე, ორგანიზაციამ უნდა

დაადგინოს მასთან დაკავშირებული რისკები და გასატარებელი ღონისძიებები; ეს

ღინისძიებები შესაძლოა მოიცავდეს სისუსტეების შემცველ სისტემებზე პაჩის გატარებას

და/ან სხვა კონტროლის მექანიზმების გამოყენებას;

5. გამომდინარე იქედან, თუ რამდენად სასწრაფოდ უნდა მოხდეს ტექნიკურ სისუსტეზე

რეაგირება, - ღონისძიებები უნდა გატარდეს ცვლიელებების მართვის კონტროლის

მექანიზმების თანახმად (იხ. 12.5.1), ან ინფორმაციული უსაფრთხოების ინციდენტზე

რეაგირების შესაბამისი პროცედურის თანახმად (იხ. 13.2);

6. პაჩის დაინსტალირებამდე უნდა შეფასდეს მისი რისკები (სისუსტის მიერ წარმოდგენილი

რისკები უნდა შედარდეს პაჩის დაინსტალირების რისკებთან);

7. პაჩები უნდა დაიტესტოს და შეფასდეს მათ დაინსტალირებამდე, რათა

უზრუნველყოფილი იყოს მათი ეფექტიანობა და რომ ისინი არ გამოიწვევენ ისეთ

გვერდით მოვლენებს, რასაც ორგანიზაცია ვერ დატოვებს რეაგირების გარეშე; თუ პაჩები

არ არის ხელმისაწვდომი, მაშინ გათვალისწინებული უნდა იყოს კონტროლის სხვა

მექანიზმები, როგორებიცაა:

სისუსტეებთან დაკავშირებული მომსახურებების, ან შესაძლებლობების

გათიშვა;

წვდომის კონტროლის მიღება, ან დამატება, მაგალითად, ქსელის

საზღვარზე დამცავი ბარიერები (იხ. 11.4.5);

აქტუალური შეტევების აღმოჩენის, ან მათი თავიდან არიდების

გაძლიერებული მონიტორიგნი;

სისუსტეების შესახებ ცნობიერების ამაღლება;

აუდიტის ლოგები უნდა ინახებოდეს ყველა გატარებული პროცედურის


ტექნიკური სისუსტეების მართვის პროცესზე უნდა ხდებოდეს

რეგულარული მონიტორინგი და შეფასებები, რათა უზრუნველყოფილი

იყოს მისი ეფექტიანობა და ეფექტურობა;

პირველ რიგში რეაგირება უნდა მოხდეს მაღალი დონის რისკების შემცველ

სისტემებზე.

სხვა ინფრომაცია

ორგანიზაციის ტექნიკური სისუსტეების მართვის სწორი ფუნქციონირების პროცესი

კრიტიკულია ბევრი ორგანიზაციისთვის და ამდენად, რეგულარულად უნდა განხორციელდეს

მასზე მონიტორინგი. ზუსტი რეესტრი არსებითია პოტენციური ტექნიკური სისუსტეების

გამოსავლენად.

ტექნიკური სისუსტეების მართვა შესაძლოა განიხილებოდეს, როგორც ცვლიელების მართვის

ქვე-პროცესი და ამდენად, იგი გამოიყენებს ცვლიელების მართვის პროცესებსა და პროცედურებს

(იხ. 10.1.2 და 12.5.1).

მომწოდებლები ხშირად მნიშვნელოვანი ზეწოლის ქვეშ ცდილობენ რაც შეიძლება მალე

განახორციელონ ახალი პაჩების გამოშვება, ამდენად, შესაძლოა პაჩმა ვერ მოახდინოს

პრობლემაზე ადექვატური რეაგირება და იქონიოს ნეგატიური გავლენა. ასევე, ზოგიერთ

შემთხვევაში, პაჩების ინსტალაციის წაშლა შესაძლოა არც ისე ადვილი იყოს.


133

თუ პაჩების ადექვატური ტესტირება შეუძლებელია, მაგალითად, ხარჯების ან რესურების

დეფიციტის გამო, - მაშინ შეიძლება განხილული იყოს პაჩების შეფერხების შესაძლებლობაც

მასთან დაკავშირებული რისკების შესაფასებლად, რაც ეფუძნება სხვა მომხმარებელბის მიერ

მოწოდებულ გამოცდილებას.

13. ინფორმაციული უსაფრთხოების ინციდენტების მართვა

13.1. ინფორმაციული უსაფრთხოების შემთხვევების და სისუსტეების შესახებ

ანგარიშგება

მიზანი: ინფორმაციულ სისტემებთან დაკავშირებული ინფორმაციული უსაფრთხოების

შემთხვევების და სისუსტეების შესახებ დროული ინფორმირება, რაც მაკორექტირებელი

ქმედებების განხორციელების საშუალებას იძლევა.

უნდა არსებობდეს ინფორმაციული უსაფრთხოების შემთხვევების შესახებ ფორმალური

ანგარიშგების და ესკალაციის პროცედურები. ყველა თანამშრომელს, კონტრაქტორსა და

მესამე მხარის მომხმარებელს უნდა მიეწოდოს ინფორმაცია სხვადასხვა ტიპის შემთხვევების

და სისუსტეების (რამაც შესაძლოა გავლენა იქონიოს ორგანიზაციის აქტივების

უსაფრთხოებაზე) შესახებ ანგარიშგების პროცედურების თაობაზე. მათ უნდა

მოეთხოვებოდეთ ინფორმაციული უსაფრთხოების ნებისმიერი შემთხვევის და სისუსტის

შესახებ ანგარიშგება სპეციალურად გამოყოფილ საკონტაქტო პირთან რაც შეიძლება

სწრაფად.

13.1.1. ინფორმაციული უსაფრთხოების შემთხვევების შესახებ ანგარიშგება


შესაბამისი მართვის არხების მეშვეობით უნდა მოხდეს ინფორმაციული უსაფრთხოების

შემთხვევების შესახებ რაც შეიძლება სწრაფი ანგარიშგება.


უნდა ჩამოყალიბდეს ინფრმაციული უსაფრთხოების შემთხთხვის შესახებ ანგარიშგების

ფორმალური პროცედურა, რაც ასევე მოიცავს ინციდენტზე რეაგირებისა და ესკალაციის

პროცედურას, რომელიც განსაზღვრავს ინფორმაციული უსაფრთხოების შემთხვევის შესახებ

ანგარიშგებისთვის გასატარებელ ღონისძიებებს. უნდა დაინიშნოს საკონტაქტო პირი

ინფორმაციული უსაფრთხოების შემთხვევების შესახებ ანგარიშგებისთვის. უზრუნველყოფილი

უნდა იყოს, რომ ეს საკონტაქტო პირის შესახებ ინფორმაცია ჰქონდეს მთელმს ორგანიზაციას, იგი

იყოს ყოველთვის ხელმისაწვდომი და შეეძლოს ადექვატური და დროული რეაგირების მოხდენა.

ყველა თანამშრომელს, კონტრაქტორსა და მესამე მხარის მომხმარებელს უნდა ჰქონდეს

გაცნობიერებული პასუხისმგებლობა ნებისმიერი სახის ინფორმაციული უსაფრთხოების

შემთხვევების შესახებ მყისიერი ანგარიშგების თაობაზე. ისინი ასევე უნდა იცნობდნენ

ინფორმაციული უსაფრთხოების შემთხვევების შესახებ ანგარიშგების პროცედურებს და

საკონტაქტო პირს. ანგარიშგების პრიცედურები უნდა მოიცავდეს:


134

1. შესაბამისი უკუკავშირის პროცესებს, რათა უზრუნველყოფილი იყოს ინფორმაციული

უსაფრთხოების ანგარიშგებული შემთხვევების შესახებ შედეგების შეტყობინება მას

შემდეგ, რაც პრობლემა მოგვარდა და დაიხურა;

2. ინფორმაციული უსაფრთხოების შემთხვევების ანგარიშგების ფორმებს, რათა მოხდეს

ანგარიშგების ქმედებების მხარდაჭერა და დახმარება გაეწიოს ანგარიშის წარმდგენ პირს,

რათა დაიმახსოვროს ინფორმაციული უსაფრთხოების შემთხვევის შემთხვევაში

განსახორციელებელი ყველა აუცილებელი ქმედება;

3. ინფორმაციული უსაფრთხოების შემთხვევების შემთხვევაში სწორად მოქცევას,

მაგალითად:

ყველა მნიშვნელოვანი დეტალის ჩანიშვნა (შეუსაბამობის ან დარღვევის ტიპი,

სავარაუდო მავნე პროგრამის ფუნქციონირება, ეკრანზე გამოსული

შეტყობინებები, უცნაური ქმედება);

საკუთარი მოსაზრებების მიხედვით ქმედებისგან თავის შეკავება მყისიერი

დაუკავშირ ბა საკონტაქტო პირთან და ანგარიშის წარდგენა;

4. უსაფრთხოების დარღვევაში შემჩნეული პერსონალის, კონტრაქტორების და მესამე

მხარის მომხმარებლების მიმართ ორგანიზაციაში ჩამოყალიბებული დისციპლინარული

პროცესების გამოყენება.

მაღალი რისკის შემცველ გარემოში შესაძლოა გამოყენებული იყოს იძულების ალამი, რომლის

მეშვეობითაც პიროვნება იძულებით იძლვეა მითითებას, რომ ამგვარი პრობლემა არსებობს.

იძულების შეტყობინებებზე რეაგირება უნდა ასახავდეს მაღალი დონის რისკების სიტუაციას.


ინფორმაციული უსაფრთხოების შემთხვევებისა და ინციდენტების მაგალითებია:

1. მომსახურების, აპარატურისა, ან მოწყობილობის დაკარგვა;

2. სისტემის გაუმართაობა, ან გადატვირთვა;

3. ადამიანური ფაქტორით გამოწვეული შეცდომები;

4. პოლიტიკებთან ან სახელმძღვანელო მითითებებთან შეუსაბამობები;

5. ფიზიკური უსაფრთხოების ღონისძიებების დაღვევა;

6. არაკონტროლირებადი სისტემური ცვლილებები;

7. პროგრამული უზრუნველყოფის, ან კომპიუტერული ტექნიკის გაუმართაობა;

8. წვდომის უფლებების დარღვევა.

კონფიდენციალურობის ასპექტებზე ყურადღების სათანადოდ გამახვილებით, ინფორმაციული

უსაფრთხოების ინციდენტები შესაძლოა გამოყენებული იყოს მომხმარეებლთა ტრენინგის დროს

(იხ. 8.2.2) როგორც მაგალითი იმისა, თუ რა შეიძლება მოხდეს, როგორ უნდა განხორციელდეს

რეაგირება ამგვარ ინციდენტებზე და როგორ უნდა ავირიდოთ ისინი მომავალში თავიდან.

ინფორმაციული უსაფრთხოების ინციდენტებსა და შემთხვევებზე რეაგირების სწორად

მოხდენისთვის შესაძლოა აუცილებელი იყოს ყველა მტკიცებულების რაც შეიძლება სწრაფად

მოგროვება (იხ. 13.2.3).

გაუმართაობები, ან სხვა სახის ანომალური სისტემური ქცევები შესაძლოა იყოს უსაფრთხოებაზე

შეტევის, ან უსაფრთხოების დარღვევის ინდიკატორი , ამდენად, უნდა მოხდეს მისი, როგორც

ინფორმაციული უსაფრთხოების შემთხვევის ანგარიშგება,.


135

დამატებითი ინფორმაცია ინფორმაციული უსაფრთხოების შემთხვევების ანგარიშგებისა და

ინფორმაციული უსაფრთხოების ინციდენტების მართვის შესახებ შეგიძლიათ იხილოთ დეა

270035 -ში.

13.1.2. უსაფრთხოების სისუსტეების შესახებ ანგარიშგება


ყველა თანამშრომელს, კონტრაქტორებსა და ინფორმაციული სისტემებისა და მომსახურებების

მესამე მხარის მომხმარებლებს უნდა მოეთხოვებოდეთ აწარმოონ ანგარიშგება უსისტემებსა ან

მომსახურებებში უსაფრთხოების კუთხით ნებისმიერი შემჩნეული, ან საეჭვო სისუსტეების

შესახებ.


ყველა თანამშრომელმა, კონტრაქტორმა და მესამე მხარის მომხმარებელმა რას შეიძლება

სწრაფად უნდ ააწარმოონ ანგარიშგება ზემოაღნიშნულ საკითხებზე საკუთარ მენეჯმენტთან, ან

უშალოდ მომსახურების მომწოდებელთან, რათა თავიდან იქნას არიდებული ინფორმაციული

უსაფრთხოების ინციდენტები. ანგარიშგების მექნიზმები უნდა იყოს შეძლებისდაგვარად

მარტივი და ხელმისაწვდომი. მათ უნდა ეცნობოთ, რომარავითარ შემთხვევაში არ უნდა სცადონ

საეჭვო სისუსტის დამტკიცება.


თანამშრომლებს, კონტრაქტორებსა და მესამე მხარის მომხმარებლებს უნდა მიეცეთ რჩევა იმის

თაობაზე, რომ არ სცადონ უსაფრთხოების საეჭვო სისუსტის დამტკიცება. სისუსტეების

ტესტირება შესაძლოა ინტერპრეტირებული იყოს, როგორც სისტემის ბოროტად გამოყენება და

დააზიანოს ინფორმაციული სისტემა, ან მომსახურება და გამოიწვიოს იურიდიული

ვალდებულებების წარმოშობა ინდივიდუალური ტესტირების ჩატარებისთვის.

13.2. ინფორმაციული უსაფრთხოების ინციდენტების და გაუმჯობესებების

მართვა

მიზანი: ინფორმაციული უსაფრთხოების ინციდენტების მართვაში თანმიმდევრული და

ეფექტიანი მიდგომის გამოყენება.

უნდა არსებობდეს პასუხისმგებლობები და პროცედურები ინფორმაციული უსაფრთხოების

შემთხვევების და სისუსტეების ეფექტიანიად სამართავად, მას შემდეგ, რაც მიხდება მათ

შესახებ ანგარიშგება. ინფორმაციული უსაფრთხოების ინციდენტებზე რეაგირებისთვის,

მათზე მონიტორინგის განსახორციელებლად, შესაფასებლად და სამართავად უნდა

გამოიყენებოდეს უწყვეტი გაუმჯობესების პროცესი .

სადაც საჭიროა მტკიცებულებები, ისინი აუციელბლად უნდა შეგროვდეს, რათა

უზრუნველყოფილი იყოს კანონთან შესაბამისობა.


136

13.2.1. პასუხისმგებლობები და პროცედურები


უნდა ჩამოყალიბდეს მენეჯმენტის პასუხისმგებლობები და პროცედურები, რათა

უზრუნველყოფილი იყოს სწრაფი, ეფექტიანი და თანმიმდევრული რეაგირება ინფორმაციული

უსაფრთხოების ინციდენტებზე.


ინფორმაციული უსაფრთხოების ინციდენტების გამოსავლენად ინფორმაციული უსაფრთხოების

შემთხვევების და სისუსტეების შესახებ ანგარიშგებასთან (იხ. 13.1) ერთად დამატებით უნდა

იყოს გამოყენებული სისტემების, შეტყობინებების და სისუსტეების (10.10.2) მონიტორინგი.

ინფორმაციული უსაფრთხოების ინციდენტების მართვის პროცედურებისთვის


1. უნდა ჩამოყალიბდეს პროცედურები სხვადასხვა ტიპის ინფორმაციული უსაფრთხოების

ინციდენტების სამართავად, მათ შორისაა:

ინფორმაციული სისტემის ჩავარდნა და მომსახურების დაკარგვა;

მავნე კოდი (იხ. 10.4.1);

მომსახურების შეფერხება;

არასრულყოფილი, ან დამახინჯებული ბიზნეს- მონაცემებისგან გამოწვეული

შეცდომები;

კონფიდენციალურობისა და მთლიანობის დარღვევა;

ინფორმაციული სისტემების არასათანადო გამოყენება;

2. საგანგებო ვითარებების გეგმასთან ერთად (იხ. 14.1.3), პროცედურებმა დამატებით უნდა

დაფარონ შემდეგი საკითხები (იხ. ასევე 13.2.2):

ინციდენტის მიზეზების ანალიზი და გამოვლენა;

ინციდენტის შედეგების გავრცელების შეკავება;

საჭიროების შემთხვევაში, მაკორექტირებელი ქმედებების დაგეგვა და დანერგვა

განმაორებითი ინციდენტის თავიდან ასაცილებლად;

ინციდენტის შემდეგ აღდგენაში ჩართულ, ან ინციდენტის მიერ გავლენის ქვეშ

მყოფ პირებთან და მხარეებთან კომუნიკაცია;

შესაბამის უფლებამოსილ მხარესთან ქმედების შესახებ ანგარიშგება;

3. უნდა შეგროვდეს აუდიტის საკონტროლო ჩანაწერები და მსგავსი მტკიცებულებები (იხ.

13.2.3) და დაცული იქნას შემდეგი მიზნებისთვის:

შიდა პრობლემების ანალიზი;

სასამართლო ექსპერტიზის მონაცემების გამოყენება სახელშეკრულებო, ან

ნორმატიული მოთხოვნების დარღვევის გამო, ან სამოქალაქო, ან კრიმინალური

საქმის შემთხვევაში, მაგალითად, კომპიუტერის არასათანადო გამოყენების ან

მონაცემთა დაცვის კანონმდებლობის მიხედვით;

კომპენსაციის შესახებ მოლაპარაკება პროგრამისა და მომსახურების

მომწოდებელთან;

4. უსაფრთხოების დარღვევის და სისტემის ჩავარდნის შემდეგ აღდგენის ქმედებები უნდა

გაკონტროლოდეს ყურადღებით და კორექტულად; პროცედურებმა უნდა უზრუნველყოს

შემდეგი:


137

მხოლოდ მკაფიოდ დადგენილ და ავტორიზებულ პერსონალს უნდა ჰქონდეს

შესაძლებლობა გაანხორციელონ წვდომა მუშა (Live) სისტემებსა და მონაცემებზე

(იხ. ასევე 6.2. გარე წვდომისთვის);

დეტალურად უნდა იყოს დოკუმენტირებული ყველა საგანგებო ქმედება;

სასწრაფო ქმედებების შესახებ ანგარიშები უნდა წარდგინოს მენეჯმენტს და უნდა

გადაიხედოს წესისამებრ;

ბიზნეს-სისტემებისა და კონტროლის მექანიზმების მთლიანობა გადადების გარეშე

უნდა დადასტურდეს.

მენეჯმენტთან უნდა შეთანხმდეს ინფორმაციული უსაფრთხოების ინციდენტების

მართვის მიზნები და უზრუნველყოფილი უნდა იყოს, რომ ინფორმაციული

უსაფრთხოების ინციდენტების მართვაზე პასუხისმგებელი პირები აცნობიერებდნენ

ორგანიზაციის ინფორმაციული უსაფრთხოების ინციდენტების მართვის პრიორიტებებს.


ინფორმაციული უსაფრთხოების ინციდენტები შესაძლოა გასცდეს ორგანიზაციულ და

სახელმწიფოებრივ საზღვრებს. ამგვარ ინციდენტებზე რეაგირებისთვის არსებობს

რეაგირების კოორდინირებისა და ზიარი ინფორმაციის მზარდი აუცილებლობა.

13.2.2. ინფორმაციული უსაფრთხოების ინციდენტების საფუძველზე სწავლა


უნდა არსებობდეს მექანიზმები იმისათვის, რომ რაოდენობრივად განისაზღვროს ინციდენტების

ტიპები, მოცულობა და ღირებულება და მათზე მონიტორინგი განსახორციელდეს.


ინფორმაციული უსაფრთხოების ინციდენტების შეფასებიდან მიღებული ინფორმაცია

გამოყენებული უნდა იქნას მაღალი დონის გავლენის მქონე ინციდენტების, ან გამეორებებთი

ინციდენტების გამოსავლენად.


ინფორმაციული უსაფრთხოების ინციდენტების შეფასება შესაძლოა მიუთითებდეს კონტროლის

დამატებითი, ან გაფართოებული მექანიზმების აუცილებლობაზე, იმისათვის, რომ შეიზღუდოს

მათი სიხშირე, ასევე შემცირდეს ზარალი და შემდგომი ხარჯები, ან ეს საკითხები

გათვალისწინებული უნდა იყოს უსაფრთხოების პოლიტიკის გადახედვის პროცესში (იხ. 5.1.2).

13.2.3. მტკიცებულებების შეგროვება


როდესაც ინფორმაციული უსაფრთხოების ინციენტის შემდეგ პირის, ან ორგანიზაციის

წინააღმდეგ დაიწყება გამოძიება, რაც მოიცავს იურიდიულ ქმედებებს (სამოქალაქო ან


138

კრიმინალურ), მტკიცებულებები უნდა შეგროვდეს, შენარჩუნდეს და წარედგნილი იქნას

შესაბამისი კანონმდებლობის წესების თანახმად.


ორგანიზაციის ფარგლებში დისციპლინარული ღონისძიებების განსახორციელებლად

მტკიცებულებების შეგროვებისა და წარედგენისთვის უნდა შემუშავდეს და განხორციელდეს

შიდა პროცედურები.

ზოგადად, წესები მტკიცებულებების შესახებ მოიცავს:

მტკიცებულებების ხელმისაწვდომობის დონე: შეიძლება თუ არა მტკიცებულების

სასამართლოში გამოყენება;

მტკიცებულებების მტკიცებულებითი ძალა: მტკიცებულებების ხარისხი და

სრულფასოვნება.

მტკიცებულებების ხელმისაწვდომობის დონის მიღწევისთვის ორგანიზაციამ უნდა

უზრუნველყოს საკუთარი ინფორმაციული სისტემების შესაბამისობა გამოქვეყნებულ

სტანდარტებთან, ან ხელმისაწვდომი მტკიცებულებების წარმოების წესებთან.

წარმოდგენილი მტკიცებულებების მტკიცებულებითი ძალა უნდა შეესაბამებოდეს ნებისმიერ

მისაღებ მოთხოვნებს.

უნდა დაკმაყოფილდეს შემდეგი მოთხოვნები:

ქაღალდზე არსებული დოკუმენტებისთვის: ორიგინალი უნდა ინახებოდეს უსაფრთხოდ

იმ პირის ჩანაწერით, ვინც იპოვნა დოკუმენტი, აგრეთვე სად იპოვნა დოკუმენტი და ვინ

იყო აღმოჩენის თვითმხილველი; ნებისმიერი გამოძიება უნდა ცალსახად ადასტურებდეს,

რომ ორიგინალები არ არის დამახინჯებული;

კომპიუტერულ მედია-მატარებელზე არსებული ინფრომაციისთვის: უნდა გაკეთდეს

სარკული ან ჩვეულებრივი ასლები, (დამოკიდებულია შესაბამის მოთხოვენებზე)

ნებისმიერი სახის გადაადგილებადი მედია-მატარებელბისა, მყარ დისკზე, ან

მეხსიერებაში არსებული ინფორმაციისა, რათა უზრუნველყოფილი იყოს

ხელმისაწვდომობა; ასლების გადაღების ყველა პროცესს უნდა ესწრებოდეს

თვითმხილველი და უნდა განხორციელდეს შესაბამისი ლოგირება; ორიგინალი მედია-

მატარებელი და ლოგები უნდა იქნას დაცული და იყოს ხელშეუხებელი.

საგამოძიებო სამუშაოებში გამოყენებული უნდა იყოს მხოლოდ მტკიცებულებების ასლები.

დაცული უნდა იყოს ყველა მტკიცებულების მთლიანობა. მტკიცებულებების ასლების

გადაღებაზე უნდა განხორციელდეს ზედამხედველობა სანდო პირების მიერ და ინფორმაცია,

იმის შესახებ თუ როდის და სად განხორციელდა კოპირება, ვინ შეასრულა კოპირება და რა

ხელსაწყოების და პროგრამების გამოყენებით განხორციელდა ასლის გადაღება, აუცილებლად

უნდა იყოს ჩაწერილი.


როდესაც პირველად ხდება ინფორმაციული უსაფრთხოების შემთხვევის აღმოჩენა, შესაძლოა არ

იყოს ნათელი, რამდენად იქნება ეს მოვლენა სასამართლო განხილვის საგანი. შესაბამისად, არის

საფრთხე იმისა, რომ მტკიცებულებები განადგურდს განზრახ ან შემთხვევით მანამ, სანამ


139

გააზრებული იქნება ინციდენტის სერიოზულობა. რეკომენდირებულია იურისტის ან პოლიციის

ჩართვა ადრეულ ეტაპზე და მტკიცებულებების შესახებ საჭირო რჩევების მიღება.

მტკიცებულებები შესაძლოა გასცდნენ ორგანიზაციულ და/ან საკანონმდებლიო საზღვრებს.

მაგვარ ვითარებებში, უზრუნველყოფილი უნდა იყოს ორგანიზაციის უფლებამოსილება საჭირო

ინფორმაციის როგორც მტკიცებულებებად მოგროვებისთვის.

14. ბიზნეს-პროცესების უწყვეტობის მართვა

14.1. ბიზნეს-პროცესების უწყვეტობის მართვის ინფორმაციული უსაფრთხოების

ასპექტები

მიზანი: ბიზნეს-საქმიანობის შეწყვეტის შემთხვევაში შესაბამისი ნეიტრალიზაციის

მოხდენა,წინააღმდეგობის გაწევა და კრიტიკული ბიზნეს-პროცესების დაცვა იმ შედეგებისა

და გავლენებისაგან, რომლის გამოწვევაც შეუძლია ინფორმაციული სისტემების

გაუმართაობას, ან უბედურ შემთხვევებს, კატასტროფებს; ასევე მათი დროულად აღდგენისა

უზრუნველყოფა.

ბიზნეს-უწყვეტობის მართვის პროცესი უნდა დაინერგოს იმ მიზნით, რომ შემცირდეს

ორგანიზაციაზე გავლენა და მოხდეს ინფორმაციული აქტივების დაკარგვის აღდგენა (რაც

შესაძლოა იყოს გამოწვეული, მაგალითად, ბუნებრივი კატასტროფებით, უბედური

შემთხვევებით, აპარატურის გაუმართაობით და განზრახ ჩადენილი ქმედებით) სასურველ

და მისაღებ დონემდე, რომლის დროსაც გამოყენებული უნდა იქნას კონტროლის

პრევენციული და აღდგენითი მექანიზმების კომბინაცია. ამ პროცესმა უნდა

დააიდენტიფიციროს კრიტიკული ბიზნეს-პროცესები და მოახდინოს ბიზნეს-უწყვეტობის

ინფორმაციული უსაფრთხოების მართვის მოთხოვნების ინტეგრირება უწყვეტობის სხვა

მოთხოვნებთან, რომელიც დაკავშირებულია ისეთ ასპექტებთან როგორებიცაა ოპერაციები,

პერსონალი, მასალები, ტრანსპორტი და მოწყობილობები.

კატასტროფების, უსაფრთხოების დარღვევის, სერვისების დაკარგვის და სერვისის

ხელმისაწვდომობის შედეგები უნდა წარმოადგენდეს ბიზნეს-პროცესებზე გავლენის

ანალიზის საგანს. ბიზნეს-პროცესების უწყვეტობის გეგმები უნდა შემუშავდეს და

განხორციელდეს იმ მიზნით, რომ დროულად მოხდეს ძირითადი ოპერაციების აღდგენა.

ინფორმაციული უსაფრთხოება უნდა იყოს ბიზნეს-უწყვეტობის პროცესების შემადგენელი

ნაწილი (ასევე სხვა მენეჯერული პროცესებისაც, რომელსაც ორგანიზაციის ფარგლებში

მიმდინარეობს).

ბიზნეს-პროცესების უწყვეტობის მართვა უნდა მოიცავდეს კონტროლის მექანიზმებს

რისკების იდენტიფიცირებისა და შემცირებისათვის. ზოგადად რისკების შეფასების

პროცესთან ერათად, მან უნდა უზრუნველყოს ზარალის მომტანი ინციდენტების

შესაძლებლობების შეზღუდვა, ასევე ბიზნეს- პროცესებისთვის საჭირო ინფორმაციის

ხელმისაწვდომობა.

14.1.1. ინფორმაციული უსაფრთხოების ჩართვა ბიზნეს-უწყვეტობის მართვის პროცესში


140


მთელს ორგანიზაციაში უნდა შემუშავდეს და დაინერგოს ორგანიზაციის ბიზენს-

უწყვეტობისთვის აუცილებელი მართვის პროცესი, რომელიც პასუხობს ინფორმაციული

უსაფრთხოების მოთხოვნებს.


პროცესმა უნდა გააერთიანოს ბიზნეს-უწყვეტობის მართვის შემდეგი საკვანძო ელემენტები:

იმ რისკების გაცნობიერება, რომელსაც აწყდება ორგანიზაცია ალბათობისა და გავლენის,

მათ შორის კრიტიკული ბიზნეს-პროცესების იდენტიფიკაციისა და პრიორიტეტულობის

მიხედვით დალაგების გათვალისწინებით (იხილეთ 14.1.2);

ყველა იმ აქტივის იდენტიფიცირება, რომელიც ჩართულია კრიტიკულ ბიზნეს-

პროცესებში (იხილეთ 7.1.1);

საქმიანობაზე გავლენის გაცნობიერება, რომელიც ინფორმაციული უსაფრთხოების

ინციდენტის შედეგად ორგანიზაციის საქმიანობის შეწყვეტა/შეჩერებამ შეიძლება

განაპირობოს, (მნიშვნელოვანია იმ გადაწყვეტილებების მიგნება, რომლებიც მოაგვარებენ

როგორც მცირე გავლენის მქონე ინციდენტებს, ასევე ისეთ მნიშვნელოვან ინციდენტებს,

რომლებიც საფრთხეს უქმნიან ორგანიზაციის სიცოცხლისუნარიანობას), და

ინფორმაციის დამუშავების მოწყობილობებისთვის ბიზნეს-მიზნების დადგენა;

შესაბამისი დაზღვევის შეძენა, რომელიც თავისთავად იქნება ბიზნეს-პროცესების

უწყვეტობის გეგმის და ასევე ოპერაციული რისკების მართვის ნაწილი;

კონტროლის დამატებითი პრევენციული და უარყოფითი გავლენის შემამცირებელი

მექანიზმების დანერგვის იდენტიფიცირება და გათვალისწინება;

იმ შესაბამისი, დამაკმაყოფილებელი ფინანსური, ორგანიზაციული, ტექნიკური და

გარემო რესურსების იდენტიფიცირება, რომლებიც პასუხობენ ინფორმაციული

უსაფრთხოების მოთხოვნებს;

პერსონალის უსაფრთხოების და ინფორმაციის დამუშავების მოწყობილობის და

ორგანიზაციის საკუთრების დაცვის უზრუნველყოფა;

ბიზნესპროცესებისუწყვეტობის გეგმის ფორმულირება და დოკუმენტირება, რომელიც

პასუხობს ინფორმაციული უსაფრთხოების მოთხოვნებსა და ასევე ბიზნეს-უწყვეტობის

შეთანხმებულ სტრატეგიას (იხილეთ 14.1.3);

არსებული გეგმებისა და პროცესების რეგულარული ტესტირება და განახლება (14.1.5);

ბიზნესი-უწყვეტობის მართვის გაერთიანება ორგანიზაციის პროცესებსა და

სტრუქტურაში; ბიზნეს-უწყვეტობის მართვის პროცესზე პასუხისმგებელი პირი უნდა

დაინიშნოს ორგანიზაციის ფარგლებში, შესაბამის დონეზე (იხილეთ 6.1.1).

14.1.2. ბიზნეს-პროცესების უწყვეტობა და რისკების შეფასება


ის მოვლენები, რომელსაც შუძლია გამოიწვიოს ბიზნეს- პროცესების შეწყვეტა/შეჩერება, უნდა

იქნას იდენტიფიცირებული მათ ალბათობასთან დაინფორმაციული უსაფრთხოებისთვის

შესაძლო გავლენის შედეგებთან ერთად.



141

ბიზნესი-პროცესების უწყვეტობის ინფორმაციული უსაფრთხოების ასპექტები უნდა

ეფუძნებოდეს მოვლენების/შემთხვევების (ან მოვლენების შედეგების) იდენტიფიცირებას, რამაც

შეიძლება გამოიწვიოს ორგანიზაციის ბიზნეს-პროცესების შეწყვეტა, მაგალითად,

მოწყობილობის გაუმართაობა, ადამიანის ფაქტორით გამოწვეული შეცდომები, დატაცება,

ხანძარი, ბუნებრივი კატასტროფები და ტერორისტული აქტები. ამის შემდეგ უნდა მოხდეს

რისკების შეფასება, რათა დადგინდეს ამგვარი შეფერხების/შეწყვეტის ალაბთობა და გავლენა,

დროის, ზარალის შკალისა და აღდგენის პერიოდის გათვალისწინებით.

ბიზნესის უწყვეტობის რისკების შეფასება უნდა ჩატარდეს შესაბამისი რესურსებისა და

პროცესების მფლობელების სრული ჩართულობით. ეს შეფასება უნდა ითვალისწინებდეს ყველა

ბიზნეს-პროცესს და არ უნდა შემოიფარგლოს მხოლოდ ინფორმაციის დამუშავების

მოწყობილობებით, იგი ასევე უნდა მოიცავდეს ინფორმაციული უსაფრთხოებისთვის

სპეციფიკურ შედეგებს. სხვადასხვა რისკების ასპექტების დაკავშირება მნიშვნელოვანია, რათა

მივიღოთ ორგანიზაციის ბიზნეს-პროცესების უწყვეტობის მოთხოვნების სრული სურათი.

შეფასებამ უნდა მოახდინოს რისკების იდენტიფიცირება, რაოდენრივად განსაზღვროს და

პრიორიტეტები დაუწესოს იმ კრიტერიუმების და მიზნების შესაბამისად, რომლებიც

რელევანტურია ორგანიზაციისთვის, კრიტიკული რესურსების, შეფერხების ან შეწყვეტის

გავლენების, დაშვებული მოცდენის დროების და აღდგენის პრიორიტეტების ჩათვლით.

რისკების შეფასების შედეგებზე დაყრდნობით უნდა შემუშავდეს ბიზნეს-პროცესების

უწყვეტობის სტრატეგია, რათა განსიაზღვროს მიდგომები ბიზნეს-პროცესების უწყვეტობისადმი.

როგორც კი ეს სტრატეგია შეიქმნება, დამტკიცებისთვის უნდა მიეწოდოს ხელმძღვანელობას,

შემდეგ ამ სტრატეგიის დანერგვის მიზნით შეიქმნას და დამტკიცდეს შესაბამისი გეგმა .

14.1.3. ინფორმაციული უსაფრთხოების შემცველი უწყვეტობის გეგმის შემუშავება და

განხორციელება


უნდა შემუშავდეს და დაინერგოს შესაბამისი გეგმები, რათა მოხდეს ოპერაციების შენარჩუნება

და აღდგენა და შეწყვეტა/შეჩერების, ან კრიტიკული ბიზნეს-პოცესის გაუმართაობის

შემთხვევაში გარანტირებული იყოს ინფორმაციის საჭირო დონეზე და საჭირო დროის პერიოდში

ხელმისაწვდომობა.


ბიზნესი-უწყვეტობის დაგეგმვის პროცესის დროს გათვალისწინებული უნდა იყოს შემდეგი:

1. ყველა პასუხისმგებლობისა და ბიზნეს-უწყვეტობის პროცედურის იდენტიფიცირება და

შეთანხმება;

2. ინფორმაციისა და სერვისების დაკარგვის დასაშვები დონის იდენტიფიცირება;

3. პროცედურების დანერგვა, რათა დროის მოთხოვნილ პერიოდში შესაძლებელი იყოს

ბიზნეს-ოპერაციების აღდგენა და ინფორმაციის ხელმისაწვდომობა; განსაკუთრებული

ყურადღება უნდა მიექცეს შიდა და გარე ბიზნეს-დამოკიდებულებების შეფასებას და

არსებულ კონტრაქტებს;

4. ოპერაციული პროცედურები, რომლებიც უნდა განხორციელდეს აღდგენისა და დაფარვის

დასრულების შემდეგ;

5. შეთანხმებული პროცედურებისა და პროცესების დოკუმენტირება;


142

6. თანამშრომლების შესაბამისი ინფორმირება შეთანხმებული პროცედურებისა და

პროცესების შესახებ, მათ შორის კრიზისის მართვის სფეროში;

7. გეგმების ტესტირება და განახლება;

დაგეგმვის პროცესი კონცენტრირებული უნდა იყოს უმთავრეს ბიზნეს-მიზნებზე, მაგალითად,

სპეციფიკური საკომუნიკაციო სერვისების აღდგენა მომხმარებლისათვის დროის მისაღებ

პერიოდში. უნდა იქნას იდენტიფიცირებული ამ პროცესის დამხმარე რესურსები და სერვისები,

მათ შორის კადრებით დაკოპლექტება, დამუშავების არა-ინფორმაციული რესურსები, ასევე

ინფორმაციის დამუშავების მოწყობილობის გაუმართაობის ნეიტრალიზაციის ღონისძიებები.

ბიზნეს-პროცესების უწყვეტობის გეგმა უნდა ეხმიანებოდეს ორგანიზაციის სისუსტეებს და

ამდენად, შესაძლოა შეიცავდეს იმ სენსიტიურ ინფორმაციას, რომელსაც სჭირდება შესაბამისი

დაცვა. ბიზნეს-პროცესების უწყვეტობის გეგმების ასლი უნდა ინახებოდეს მოშორებულ

ადგილზე, რათა ძირითად ადგილზე შესაძლო კატასტროფის შემთხვევაში თავიდან იქნას

არიდებული მისი დაზიანება. ხელმძღვანელობამ უნდა უზრუნველყოს ბიზნეს-პროცესების

უწყვეტობის გეგმების ასლების განახლებები და მათი იმავე უსაფრთხოების დონეზე დაცვა,

როგორც ეს ხდება ორგანიზაციის ძირითად ადგილას. უწყვეტობის გეგმების მაკონტროლებელი

სხვა საჭირო დოკუმენტებიც ასევე უნდა იქნას დაცული და შენახული მოშორებულ ადგილზე.

თუკი გამოიყენება ალტერნატიული დროებითი ადგილი, მაშინ უსაფრთხოების კონტროლის

იგივე დონე უნდა იქნას დანერგილი ამ ალტერნატიულ ადგილზე, რაც ადექვატური იქნება

ძირითად ადგილას დანერგილი კონტროლის მექანიზმებისა.


უნდა აღინიშნოს, რომ კრიზისის მართვის გეგმები და აქტივობები (იხილეთ ზემოთ 6-ე პუნქტი)

შესაძლოა განსხვავებული იყოს ბიზნეს-პროცესების უწყვეტობის მართვისგან, მაგალითად,

შესაძლოა თავი იჩინოს კრიზისმა, რომლის მოგვარებაც შესაძლებელი იქნება მართვის

სტანდარტული პროცედურებით.

14.1.4. ბიზნეს-პროცესების უწყვეტობის დაგეგმვის სტრუქტურა


ბიზნეს-პროცესების უწყვეტობის გეგმების მარტივი სტრუქტურა უნდა უზრუნველყოფდეს, რომ

ყველა გეგმა თავსებადი და თანმიმდევრული იყოს, პასუხობდეს ინფორმაციული

უსაფრთხოების მოთხოვნებს და აიდენტიფიცირებდეს ტესტირებისა და გამოყენების

პრიორიტეტებს.


ბიზნეს-პროცესების უწყვეტობის თითოეული გეგმა უნდა აღწერდეს უწყვეტობისადმი

მიდგომას, მაგალითად მიდგომას, რომლის მიხედვითაც გარანტირებულია ინფორმაციის, ან

ინფორმაციული სისტემის ხელმისაწვდომობა და უსაფრთხოება. თითოეული გეგმა ასევე

ზუსტად უნდა განსაზღვრავდეს ესკალაციის გეგმას და მისი აქტივაციის პირობებს, იმ პირებსაც,

რომლებიც პასუხისმგებლები არიან გეგმის თითოეული კომპონენტის აღსრულებაზე. როდესაც

განისაზღვრება ახალი მოთხოვნები, ნებისმიერი არსებული საგანგებო პროცედურები,

მაგალითად ევაკუაციის გეგმები ან აღდგენის ღონისძიებები წესისამებრ უნდა შესწორდეს.

პროცედურები უნდა შევიდეს ორგანიზაციის ცვლილებების მართვის პროგრამაში, რათა

უზრუნველყოფილი იქნას ბიზნეს-პროცესების უწყვეტობის საკითხებზე შესაბამისი რეაგირება.


143

თითოეულ გეგმისთვის უნდა განისაზღვროს კონკრეტული მფლობელი. საგანგებო სიტუაციების

პროცედურები, აღდგენის გეგმების ინსტრუქციები უნდა იყოს შესაბამისი ბიზნეს-რესურსების,

ან პროცესების მფლობელების პასუხისმგებლობის ქვეშ. ალტერნატიული ტექნიკური

სერვისების გაუმრთაობის აღდგენის ღონისძიებები, როგორებიცაა ინფორმაციის დამუშავების

და კომუნიკაციის მოწყობილობა, როოგრც წესი უნდა იყოს სერვისის პროვაიდერების

პასუხისმგებლობის ქვეშ.

ბიზნეს-პროცესების უწყვეტობის დაგეგმვის სტრუქტურა უნდა პასუხობდეს ინფორმაციული

უსაფრთხოების იდენტიფიცირებულ მოთოვნებს და გაითვალისწინოს შემდეგი:

1. იმ გეგმების აქტივაციის პირობები, რომლებიც აღწერს შესასრულებელ პროცესებს

(მაგალითად, როგორ შევაფასოთ სიტუაცია, ვინ უნდა იყოს ჩართული) მანამ, სანამ

მოხდება გეგმის აქტივაცია;

2. საგანგებო პროცედურები, რომლებიც აღწერს აქტივობებს, რომლებიც უნდა

განხორციელდეს ინციდენტის შემთხვევაში, რომელიც საფრთხის ქვეშ აყენებს

ბიზნეს-ოპერაციებს;

3. გაუმართაობის აღდგენის პროცედურები, რომელიც აღწერს იმ ქმედებებს,

რომლებიც უნდა განხორციელდეს არსებითი ბიზნეს-აქტივობების, ან

მხარდამჭერი სერვისების ალტერნატიულ დროებით ადგილზე გადასატანად და

იმისათვის, რომ ბიზნეს-პროცესები არადგინონ ფუნქციონირება დროის საჭირო

პერიოდში;

4. დროებითი ოპერაციული პროცედურები, რომლებიც უნდა განხორციელდეს

აღდგენისა და დაფარვის დასრულების შემდეგ;

5. აღდგენის პროცედურები, რომლებიც აღწერენ ჩვეულ ბიზნეს-რეჟიმში

დასაბრუნებელ ქმედებებს;

6. გრაფიკი, რომელიც განსაზღვრავს როგორ და როდის უნდა მოხდეს გეგმის

ტესტირება, ასევე გეგმის გამოყენების პროცესი;

7. ინფორმირებულობა, სწავლება და ტრენინგები, რომლის მიზანია გაგებული და

გაცნობიერებული იქნას ბიზნესის უწყვეტობის პროცესები და გარანტირებული

იქნას პროცესების ეფექტიანობა;

8. პირების პასუხისმგებლობები, რაც აღწერს თუ ვინ არის პასუხისმგებელი გეგმის

კონკრეტული კომპონენტის აღსრულებაზე. საჭიროების შემთხვევაში უნდა იქნას

დასახელებული ალტერნატივები;

9. კრიტიკულ აქტივებს და რესურსებს მოეთხოვებათ საგანგებო სიტუაციების,

გაუმართაობის აღდგენის პროცედურების შესრულება.

14.1.5. ბიზნეს-პროცესების უწყვეტობის გეგმების ტესტირება, მხარდაჭერა და ხელახალი

შეფასება


ბიზნეს-პროცესების უწყვეტობის გეგმები უნდა გამოიცადოს და მათი მოხდეს განახლება

რეგულარულად, რათა უზრუნველყოფილი იქნას მათი ეფექტიანობა.


ბიზნეს-პროცესების უწყვეტობის გეგმის ტესტებმა უნდა უზრუნველყოს, რომ აღმდგენი ჯგუფი

და სხვა მნიშვნელოვანი პერსონალი ინფორმირებული იყოს გეგმებისა და მათი


144

პასუხისმგებლობების შესახებ ბიზნეს-პროცესების უწყვეტობის და ინფორმაციული

უსაფრთხოების კუთხით და იცოდეს გეგმის განხორციელების შემთხვევაში საკუთარი როლის

შესახებ.

ბიზნესის უწყვეტობის გეგმ(ებ)ის ტესტირების გრაფიკი უნდა მიუთითებდეს, თუ როგორ და

როდის უნდა დაიტესტოს გეგმის თითოეული ელემენტი. გეგმ(ებ)ის თითოეული ელემენტი

ხშირად უნდა დაიტესტოს.

სხავდასხვა ტექნიკა უნდა იქნას გამოყენებული, რათა გარანტირებული იქნას გეგმ(ებ)ის

რეალურ რეჟიმში ფუნქციონირება. ტესტირება მოიცავს შემდეგ საკითხებს:

სხვადასხვა სცენარების ე.წ. „Table-top“ ტესტირება (ბიზნეს-პროცესების აღდგენის

ღონისძიებების განხილვა შეწყვეტის მაგალითებზე);

სიმულაციები (განსაკუთრებით დასატრენინგებელი პირებისთვის, რომლებიც

იმყოფებიან პოსტ-ინციდენტის/კრიზისის მართვის სიტუაციაში);

ტექნიკური აღდგენის ტესტირება (გარანტირებული უნდა იყოს, რომ ინფორმაციული

სისტემების აღდგენა ეფექტიანად მოხდება);

აღდგენის ტესტირება ალტერნატიულ ადგილას (ბიზნეს-პროცესის გაშვება აღდგენის

ოპერაციების პარალელურად ძირითადი ადგილიდან მოშორებით);

მომწოდებელთა მოწყობილობებისა და მომსახურებების ტესტირება (გარანტირებული

უნდა იყოს, რომ გარედან გაწეული მომსახურებები და მოწოდებული პროდუქტები

აკმაყოფილებენ კონტრაქტით გათვალისწინებული ვალდებულებების შესრულებას);

სრული რეპეტიცია (ანუ, ტესტირება იმ მიზნით, რომ ორგანიზაციას, პერსონალს,

მოწყობილობას, ტექნიკას და პროცესებს შეუძლია გაუძლოს/გაუმკლავდეს

შეწყვეტას/შეჩერებას).

ამ მეთოდების გამოყენება შეუძლია ნებისმიერმა ორგანიზაციამ. ტესტირების შედეგები უნდა

იქნას დოკუმენტირებული და აუცილებლობის შემთხვევაში განხორციელდეს გაუმჯობესების

ქმედებები.

უნდა განისაზღვროს პასუხისმგებლობები ბიზნეს-პროცესების უწყვეტობის თითოეული გეგმის

რეგულარული გადახედვისთვის. ცვლილებების იდენტიფიცირების (რაც ჯერ კიდევ არ არის

ასახული უწყვეტობის გეგმებში) შემდეგი ნაბიჯი უნდა იყოს გეგმის შესაბამისად განახლება.

ცვლილებების კონტროლის ეს ფორმალური პროცესი უნდა უზრუნველყოფდეს განახლებული

გეგმების გავრცელებას და მთლიანი გეგმის გამყარებას რეგულარული გადახედვების

მეშვეობით.

ცვლილებების მაგალითები, რის გამოც უნდა მოხდეს ბიზნეს-პროცესების უწყვეტობის გეგმების

განახლება, გახლავთ ახალი მოწყობილობის შეძენა, სისტემის გაუმჯობესება და ცვლილებები:

პერსონალში;

მისამართებსა და ტელეფონის ნომრებში;

ბიზნეს-სტრატეგიაში;

ადგილმდებარეობაში, მოწყობილობასა და რესურსებში;

კანონმდებლობაში;

კონტრაქტორებში, მომწოდებლებსა და ძირითად მომხმარებლებში;

პროცესებში;

რისკებში (ოპერაციული და ფინანსური).


145

15. შესაბამისობა

15.1. კანონის მოთხოვნებთან შესაბამისობა

მიზანი: კანონის, ვალდებულებების, რეგულაციების, ან სახელშეკრულებო

ვალდებულებების, ასევე უსაფრთხოების მოთხოვნების დარღვევის თავიდან არიდება.

ინფორმაციული სისტემების დაგეგმვა, ოპერაცია, გამოყენება და მართვა შესაძლოა იყოს

კანონით დადგენილი ვალდებულებების, რეგულაციებისა და საკონტრაქტო უსაფრთხოების

მოთხოვნების საგანი.

სპეციფიკური იურიდიული მოთხოვნების შესახებ კონსულტაციისთვის ორგანიზაციამ უნდა

მიმართოს საკუთარ იურიდიულ მრჩეველებს, ან შესაბამის, კვალიფიციურ იურისტებს.

საკანონმდებლო მოთხოვნები იცვლება ქვეყნების მიხედვით და ასევე შეიძლება

იცვლებოდეს იმისმიხედვით, რომელ ქვეყანაში შეიქმნა ინფორმაცია და რომელში იგზავნება

(მაგალითად,მონაცემთა საზღვრებსშორისი გადინება).

15.1.1. შესაბამისი კანონმდებლობის იდენტიფიცირება


კანონით დადგენილი ყველა საჭირო ვალდებულება, რეგულაციები და სახელშეკრულებო

მოთხოვნები, აგრეთვე ორგანიზაციის მიდგომა ამ მოთხოვნების დასაკმაყოფილბის მიმართ

დეტალურად უნდა იყოს განსაზღვრული, დოკუმენტირებული და ინახებოდეს თითოეული

ინფორმაციული სისტემისა და ორგანიზაციისთვის განახლებული ვერსიებით.


სპეციფიკური კონტროლის მექანიზმები და ამ მექანიზმების აღსრულების პიროვნული

პასუხისმგებლობები ცალსახად უნდა იყოს გამოვლინილი და დოკუმენტირებული.

15.1.2. ინტელექტუალური საკუთრების უფლებები


დანერგილი უნდა იყოს შესაბამისი პროცედურები, რომლებიც უზრუნველყოფენ კანონთან,

რეგულაციებთან და სახელშეკრულებო მოთხოვნებთან შესაბამისობას იმ მასალების

გამოყენებისას, რომელბზეც შესაძლოა ვრცელდებოდეს ინტელექტუალური საკუთრების

უფლებები, ეს პროცედურები ასევე უნდა ვრცელდებოდეს დაპატენტებული პროგრამული

პროდუქტების გამოყენებიზე.


1. აუცილებელია იმ მასალების დაცვა, რომლებზეც ვრცელდება ინტელექტუალური

საკუთრება, ამასთან, გათვალისწინებული უნდა იყოს შემდეგი რეკომენდაციები:


146

2. ინტელექტუალური საკუთრების უფლებებთან შესაბამისობმისი პოლიტიკის გამოცემა,

რომელიც განსაზღვრავს პროგრამისა და ინფორმაციული პროდუქტების კანონიერ

გამოყენებას;

3. პროგრამების შეძენა მხოლოდ ცნობილი და კარგი რეპუტაციის მქონე წყაროებისგან, რათა

უზრუნველყოფილი იყოს საავტორო უფლების დაცვა;

4. ინტელექტუალური საკუთრების უფლების დასაცავად შესაბამისი პოლიტიკების შესახებ

ცნობიერების ამაღლების ხელშეყწობა და ამ უფლებების დამრღვევებისთვის,

დისციპლინარული სასჯელის შესახებ შეტყობინების და შენიშვნის მიცემა იმ;

5. შესაბამისი აქტივების რეგისტრაცია, რაც გამოავლენს ყველა იმ აქტივს, რომლებსაც

სჭირდებათ ინტელექტუალური საკუთრების უფლების დაცვა;

6. ლიცენზიების, ინსტრუქციების და ა.შ. ფლობის დადასტურება და შესაბამისი

მტკიცებულებების წარმოება;

7. კონტროლის მექანიზმების დანერგვა იმისათვის, რომ არ მოხდეს მომხმარებლების

მაქსიმალური დასაშვები რაოდენობის გადაჭარბება;;

8. შემოწმებების ჩატარება იმ მიზნით, რომ მხოლოდ ავტორიზებულ პროგრამები და

ლიცენზირებული პროდუქტები იყოს დაინსტალირებული;

9. შესაბამისი ლიცენზირების პირობების უზრუნველყოფის პოლიტიკის გატარება;

10. პოლიტიკის გატარება, რომელიც ითვალისწინებს პროგრამის სხვაზე გადაცემისა ან

ჩამოწერის პირობებს ;

11. შესაბამისი აუდიტის ხელსაწყოების გამოყენება;

12. საჯარო ქსელებიდან პროგრამებისა და ინფორმაციის მოპოვებისთვის არსებულ

პიროებებთან შესაბამისობა;

13. დაუშვებელია კომერციული ღირებულების პროდუქტის ასლის დამზადება, სხვა

ფორმატში კონვერტაცია, ან კომერციული ჩანაწერების (ფილმი, აუდიო) ამოღება, იმ

გამონაკლისების გარდა, რომლებიც გათვალისწინებულია საავტორო უფლეების შესახებ

კანონმდებლობით.

14. დაუშვებელია წიგნების, სტატიების, ანგარიშების და სხვა დოკუმენტების სრულად, ან

ნაწილობრივ გამოყენება, იმ გამონაკლისების გარდა, რომლებიც გათვალისწინებულია

საავტორო უფლეების შესახებ კანონმდებლობით.


ინტელექტუალური საკუთრების უფლებები მოიცავს პროგრამების, ან დოკუმენტების საავტორო

უფლებებს, დიზაინის უფლებებს, სავაჭრო ნიშანს, პატენტებს და საწყისი კოდის ლიცენზირებას.

საკანონმდებლო, მარეგულირებელმა და სახელშეკრულებო მოთხოვნებმა შესაძლოა

დაპატენტებული მასალების გამოყენებაზე შეზღუდვები დააწესონ. კერძოდ, შესაძლოა

არსებობდეს მოთხოვნები რომ გამოყენებული იყოს მხოლოდ ის მასალა, რომელიც

შემუშავებულია ორგანიზაციის მიერ, ან ლიცენზირებულია ორგანიზაციის მიერ, ან

ორგანიზაციას წარედგინება პროგრამისტის მიერ. საავტორო უფლების დარღვევამ შესაძლოა

გამოიწვიოს იურიდიული პასუხისმგებლობა.

15.1.3. ორგანიზაციული ჩანაწერების დაცვა



147

კანონით დადგენილი ვალდებულებების, რეგულაციების, სახელშეკრულებო და ბიზნეს

მოტხოვნების თანახმად მნიშვნელოვანი ჩანაწერები დაცული უნდა იყოს დაკარგვისგან,

განადგურებისგან და ფალსიფიცირებისგან.


ჩანაწერების კატეგორიებად დაყოფა უნდა მოხდეს ჩანაწერების ტიპების მიხედვით, მაგალითად,

სააღრიცხვო ჩანაწერები, მონაცემთა ბაზების ჩანაწერები, ტრანზაქციების ლოგები, აუდიტის

ლოგები და საოპერაციო პროცედურები, თითოეულ ჩანაწერს დეტალურად უნდა ჰქონდეს

მითითებული შენახვის პერიოდი და ინფორმაციის მატარებლის ტიპი, მაგალითად, ქაღალდი,

მაგნიტური, ოპტიკური მატარებლები. ასევე უნდა ინახებოდეს კრიპტოგრაფიულ გასაღებებთან

დაკავშირებული მასალები და პროგრამები, რომლებიც არქივის ან ციფრული ხელმოწერის

დაშიფვრას ახდენენ (იხ. 12.3), რათა შესაძლებელი იყოს ჩანაწერების გაშიფვრა.

როდესაც ხდება ელექტრონული მედიამატარებლის არჩევა, უნდა არსებობდეს პროცედურები,

რომლებიც უზრუნველყოფენ გარკვეული დროის შემდეგ მონაცემებზე წვდომის

შესაზლებლობას.

მონაცემთა შენახვის სისტემები უნდა შეირჩეს იმგვარად, რომ საჭირო მონაცემები აღდგენილი

იქნას მისაღებ დროსა და ფორმატში.

შენახვისა და მართვის სისტემა მკაფიოდ უნდა განსაზღვარავდეს ჩანაწერების მკაფიოდ

განსაზღვრას და მათი შებახვუს პერიოდს, რაც დადგენილია სახელმწიფო, ან რეგიონალური

კანონმდებლობით, ან რეგულაციებით. თუ ისინი ორგანიზაციას აღარ სჭრიდება, ამ სისტემამ

ჩანაწერები უნდა გაანადგუროს გარკვეული პერიოდის შემდეგ.

ჩანაწერების დაცვის ამ მიზნების მისაღწევად ორგანიზაციამ უნდა გადადგას შემდეგი ნაბიჯები:

უნდა გამოიცეს რეკომენდაციები ინფორმაციის და ჩანაწერების შენარჩუნების, დაცვის,

მართვის და განადგურების შესახებ;

უნდა შეიქმნას შენახვის ვადების, რომელიც გამოავლენს ჩანაწერებს და დროის პერიოდს,

რომლის განმავლობაშიც უნდა მოხდეს მათი შენარჩუნება;

დაცული უნდა იყოს მნიშვნელოვანი ინფორმაციის ძირითადი წყარების რეესტრი;

უნდა დაინერგოს კონტროლის შესაბამისი მექანიზმები, რათა ჩანაწერები და

ინფორმაცია დაცული იყოს დაკარგვის, განადგურებისა და ფალსიფიცირებისგან.


ზოგერთი ჩანაწერის შენარჩუნება საჭიროა კანონის ვალდებულებების, რეგულაციების ან

სახელშეკრულებო მოთხოვნების დასაკმაყოფილებლად, ასევე მნიშვნელოვანი ბიზნეს-

პროცესების მხარდასაჭერად. მაგალითები მოიცავს იმ ჩანაწერებს, რომლებიც შესაძლოა

გამოყენებულ იქნას როგორც მტკიცებულებების. ინორმაციის შენარჩუნებისთვის დროის

მონაკვეთი და მონაცემთა შიგთავსი შესაძლოა დადგენილი იყოს კანონით ან სხვა

რეგულაციებით.

15.1.4. მონაცემების დაცვა და პირადი ინფორმაციის ხელშეუხებლობა



148

უზრუნველყოფილი უნდა იყოს მონაცემთა დაცვა და პირადი ცხოვრების ხელშეუხელბლობა,

ისე როგორც ამას მოითხოვს შესაბამისი კანონმდებლობა, რეგულაციები და სახელშეკრულებო

მოთხოვნები.


უნდა შემუშავდეს და დაინერგოს ორგანიზაციული მონაცემების და პირადი ცხოვრების

ხელშეუხელბლობის დაცვისა და უსაფრთხოების პოლიტიკა. ეს პოლიტიკა უნდა მიეწოდოს

ყველა იმ თანამშრომელს, რომელიც ჩართულია პირადი ინფორმაციის დამუშავების პროცესებში.

პოლიტიკასა და მონაცემთა დაცვის კანონმდებლობასა და რეგულაციებთან შესაბამისობა

მოითხოვს შესაბამისი მენეჯერულ სტრუქტურასა და კონტროლს. ხშირად ამის მისაღწევად

ინიშნება პასუხისმგებელი პირი, როგორიცაა მაგალითად მონაცემთა დაცვის ოფიცერი,

რომელიც მენეჯერებს, მომხმარებლებს და მომსახურების მომწოდებლებს აძლევს მითითებებსა

და რეკომენდაციებს იმ პასუხისმგელბობებისა და სპეციფიკური პროცედურების შესახებ,

რომელთა დაცვაც აუციელებელია. პირადი ინფორმაციის დაცვისა და მონაცემთა დაცვის

პრინციპების შესახებ ცოდნა ერთმანეთთან შესაბამისობაში უნდა მოდიოდეს. პირადი

ინფორმაციის დასაცავად მიღებული უნდა იქნას შესაბამისი ტექნიკური და ორგანიზაციული

ზომები.


ზოგ ქვეყანაში არსებობს კანონმდებლობა, რომელიც პირადი მონაცემების შეგროვების,

დამუშავებისა და გადაცემის კონტროლის მექანიზმებს იძლევა (როგორც წესი, ეს არის

ინფორმაცია იმ პირების შესახებ, რომელთა იდენტიფიცირებაც შესაძლებელია ამ ინფორმაციაზე

დაყრდნობით). შესაბამის სახელმწიფო კანონმდებლობაზე დაყრდნობით, კონტროლის ამგვარი

მექანიზმები შესაძლოა წარმოშობდეს ვალდებულებებს პირადი ინფორმაციის შეგროვებაზე,

დამუშავებასა და გავრცელებაზე, და ასევე შესაძლოა აკრძალოს, ან შეზღუდოს სხვა ქვეყნებში ამ

ინფორმაციის გადაცემა.

15.1.5. ინფორმაციის დამუშავების მოწყობილობების ბოროტად გამოყენებისგან დაცვა


მომხმარებლები თავი უნდა შეიკავონ ინფორმაციის დამუშავების მოწყობილობების

არაავტორიზებული მიზნებისათვის გამოყენებისგან.


ხელმძღვანელობამ უნდა დაამტკიცოს ინფორმაციის დამუშავების მოწყობილობების გამოყენება.

მენეჯმენტის თანხმობის გარეშე ამ მოწყობილობების ნებისმიერი სახის გამოყენება არასაქმიანი

მიზნებისთვის (იხ. 6.1.4), ან რაიმე არაავტორიზებული მიზნებისთვის, - უნდა ჩაითვალოს ამ

მოწყობილობების არასწორ გამოყენებად. თუ მონიტორინგის შედეგად ან სხვა საშუალებებით

რაიმე სახის არაავტორიზებული ქმედებები გამოვლიდება, - მაშინ ეს ქმედებები უდნა გახდეს

მენეჯერის განხილვის საკითხი, რაც დაკავშირებულია დისციპლინარულ ან/და იურიდიულ

ქმედებებთან.

მონიტორინგის პროცედურების დანერგვამდე უნდა იყოს გათვალისწინებული იურიდიული

რჩევები.


149

ყველა მომხმარებელმა უნდა იცოდეს მათი დაშვებული წვდომის ზუსტი ზღვარი და იცნნობდეს

ასევე იმ მონიტორინგის წესებს, რაც ხორციელდება არაავტორიზებული წვდომების

აღმოსაჩენად. ამის მოგვარება ხდება მომხმარებლებისთვის წერილობითი ავტორიზაციის

მიცემით, რომლის ასლიც ხელმოწერილი უნდა იყოს მომხმარებლის მიერ და უსაფრთხოდ უნდა

ინახებოდეს ორგანიზაციაში. ორგანიზაციის თანამშრომლებს, კონტრაქტორებს და მესამე მხარის

მომხმარებლებს უნდა მიეცეთ გაფრთხილება, რომ არ დაიშვება წვდომა გარდა ავტორიზებული

წვდომისა.

სისტემაში შესვლის დროს, გამაფრთხილებელი შეტყობინებები უნდა მიუთითებდეს, რომ

ინფორმაციის დამუშავების მოწყობილობა, რომელშიც განხორციელდა შესვლა, ეკუთვნის

ორგანიზაციას და არ დაიშვება არაავტორიზებული წვდომა. მომხმარებელმა შესაბამისი

რეაგირება უნდა მოახდინოს ეკრანზე გამოსულ შეტყობინებაზე, რათა შეძლოს შესვლის

პროცედურის გაგრძელება (იხ. 11.5.1).


ორგანიზაციის ინფორმაციის დამუშავების მოწყობილობების უპირატესად განკუთვნილი არიან

საქმიანი მიზნებისთვის.

შეღწევის აღმოჩენა, შიგთავსის შემოწმება და მონიტორინგის სხვა საშუალებები ორგანიზაცის

ეხმარებიან ინფორმაციის დამუშავების მოწყობილობების ბოროტად გამოყენების თავიდან

არიდებასა და მსგავს ქმედებების აღმოჩენაში.

ბევრ ქვეყანას გააჩნია შესაბამისი კონონმდებლობა კომპიუტერის ბოროტად გამოყენების

საწინააღმდეგოდ. კომპიუტერის ბოროტი განზრახვით გამოყენება შესაძლოა კრიმინალური

დანაშაულიც კი იყოს.

მონიტორინგის კანონიერება შეიძლება იცვლებოდეს ქვეყნების მიხედვით და მენეჯმენტის

მხრიდან მოითხოვდეს მომხმარებლებისთვის გაფრთხილებას ამგვარი მონიტორინგის შესახებ

და/ან მათთან შეთანხმების მიღწევას. როდესაც სისტემა, რომელშიც ხდება შესვლა, გამოიყენება

საჯარო წვდომისთვის (მაგალითად, საჯარო ვებ-სერვერი) და წარმოადგენს უსაფრთხოების

მონიტორინგის ობიექტს, - მაშინ აუცილებელია ამის შესახებ მითითებული იყოს ეკრანზე

გამოსულ შეტყობიებაში.

15.1.6. კრიპტოგრაფიული კონტროლის მექანიზმების რეგულირება


კრიპტოგრაფიული კონტროლის მექანიზმები აუცილებელ შეთანხმებებთან, კანონთან და

რეგულაციებთან შესაბამისობით უნდა გამოიყენებოდეს .


შეთანხმებებთან, კანონსა და რეგულაციებთან შესაბამისობის უზრუნველსაყოფად

გასათვალისწინებელია შემდეგი საკითხები:

1. კრიპტოგრაფიული ფუნციების შესასრულებლად კომპიუტერული ტექნიკისა და

პროგრამული უზრუნველყოფის იმპორტზწ და/ან ესქპორტზე შეზღუდვების დაწესება;


150

2. შეზღუდვები იმ კოპიუტერული ტექნიკისა და პროგრამული უზრუნველყოფის

იმპორტსა და/ან ესქპორტზე, რომლებსაც ემატება კრიპტოგრაფიული ფუნქციები;

3. დაშიფვრის გამოყენების შეზღუდვა;

4. შიგთავსის კონფიდენციალურობის უზრუნველსაყოფად კომპიუტერული ტექნიკისა, ან

პროგრამული უზრუნველყოფის გამოყენებით დაშიფრულ ინფორმაცაზე ქვეყნის

უფლაბემოსილი ორგანოების მიერ წვდმის განხორციელების სავალდებულო, ან

საკუთარი მოსაზრებებით შერჩეული მეთოდების გამოყენება.

სახელმწიფო კანონმდებლობასა და რეგიულაციებთან შესაბამისობის უზრუნველსაყოფად

აუცილებელია იურიდიული რჩევის გათვალისწინება.მანამ, სანამ მოხდება კონტროლოს

კრიპტოგრაფიული მექანიზმებით დაშიფრული ინფორმაციის სხვა ქვეყანაში გადაცემა,

აუცილებელია იურიდიული რჩევის მიღება.

15.2. უსაფრთხოების პოლიტიკებთან და სტანდარტებთან შესაბამისობა,

ტექნიკური შესაბამისობა

მიზანი: სისტემების შესაბამისობის უზრუნევლყოფა ორგანიზაციის უსაფრთხოების

პოლიტიკებსა და სტანდარტებთან.

რეგულარულად უნდა გადაიხედოს ინფორმაციული სისტემების უსაფრთხოება.

ეს განხილვა უნდა განახორციელდეს უსაფრთხოების შესაბამის პოლიტიკებთან და

ტექნიკურ პლატფორმებთან მიმართებაში და ინფორმაციული სისტემებისთვის ჩატარდეს

აუდიტი იმ მიზნით, რომ უზრუნველყოფილი იყოს უსაფრთხოების დანერგვის

სტანდარტებსა და დოკუმენტირებული უსაფრთხოების კონტროლის მექანიზმებთან

შესაბამისობა.

15.2.1. უსაფრთხოების პოლიტიკებთან და სტანდარტებთან შესაბამისობა


მენეჯერებმა უნდა უზრუნველყონ, რომ მათი პასუხისმგებლობის არეში არსებული

უსაფრთხოების ყველა პროცედურა სწორად ჩატარდეს, რათა მიღწეული იქნას უსაფრთხოების

პოლიტიკებსა და სტანდარტებთან შესაბამისობა.


მენეჯრებმა რეგულარულად უნდა გადახედონ ინფორმაციის დამუშავების შესაბამისობას მათი

პასუხისმგებლობის არეში არსებულ უსაფრთხოების შესაბამის პოლიტიკებთან, სტანდარტებთან

და უსაფრთხოების სხვა მოთხოვნებთან.

თუ განხილვის შედეგად აღმოჩენილი იქნება რაიმე სახის შეუსაბამობა , მაშინ მენეჯერებმა:

უნდა გამოავლინონ შეუსაბამობის მიზეზები;

შეაფასონ ქმედებების საჭიროება, რაც უზრუნველყოფს შეუსაბამობების აღმოფხვრას;

უნდა განსაზღვრონ და დანერგონ შესაბამისი მაკორექტირებელი ქმედებები;


151

უნდა განახორციელონ მაკორექტირებელი ქმედებების განხილვა.

მენეჯერების მიერ განხილვებისა და მაკორექტირებელი ქმედებების ჩატარების შედეგები უნდა

იყოს ჩაწერილი და ეს ჩანაწერები უნდა იყოს დაცული. მენეჯერებმა შედეგების შესახებ

ანგარიშები უნდა წაუდგინონ იმ პირებს, რომლებმაც ჩაატარეს დამოუკიდებელი განხილვები

(იხ. 6.1.8), იმ შეთხვევებში როდესაც დამოუკიდებელი განხილვები ტარდება მათი

პასუხისმგებლობის არეში.


სისტემის გამოყენების მუდმივი ოპერატიული მონიტორინგი განხილულია 10.10 თავში.

15.2.2. ტექნიკური შესაბამისობის შემოწმება


ინფორმაციული სისტემები უნდა გადაიხედოს რეგულარულად, რათა შემოწმდეს

უსაფრთხოების დანერგვის სტანდარტებთან შესაბამისობა.


ტექნიკური შესაბამისობის შემოწმება უნდა შესრულდეს ან ხელით (საჭიროების შემთხვევაში

შესაბამისი პროგრამული უზრუნველყოფის ხელსაწყოების გამოყენებით,) გამოცდილი

სისტემური ინჟინერის მიერ, და/ან ავტომატური ხელსაწყოების დახმარებით, რომელიც

ტექნიკური სპეციალისტისტებისთვის აგენენირებს შესაბამის ანგარიშებს.

თუ გამოიყენება შეღწევადობის ტესტები ან სისუსტეების შეფასებები, მაშინ სიფრთხილე და

წინდახედულობაა საჭირო, რათა ამ ქმედებებმა არ გამოიწვიოს სისტემის საფრთხის ქვეშ

დაყენება. ამგვარი ტესტები უნდა დაიგეგმოს, იყოს დოკუმენტირებული და განმეორებადი.

ნებისმიერი სახის ტექნიკური შესაბამისობის შემოწმება უნდა ჩატარდეს კომპეტენტური,

უფლებამოსილი პირის მიერ, ან ასეთი პირის ზედამხედველობით.


ტექნიკური შესაბამისობის შემოწმება მოიცავს ოპერაციული სისტემების გამოცდას, რათა

უზრუნველყოფილი იყოს კომპიუტერული ტექნიკისა და პროგრამული უზრუნველყოფის

კონტროლის მექანიზმების სწორად დანერგვა. შესაბამისობის ამ ტიპის შემოწმება მოითხოვს

სპეციალისტებს ტექნიკური ექსპერტიზის დარგში.

შესაბამისობის შემოწმება მოიცავს, მაგალითად, შეღწევადობის ტესტირებას და სისუსტეების

შეფასებას, რაც შესაძლოა შესრულდეს სპეციალურად ამ მიზნით ხელშეკრულებით

დაქირავებული ექსპერტის მიერ. ეს ასევე სასარგებლოა სისტემაში სისუსტეების აღმოსაჩენად და

იმის შემოწმებისათვის, თუ რამდენად ეფექტიანია კონტროლის მექანიზმები

არაავტორიზებული წვდომის თავიდან არიდების საკითხში.

შეღწევადობის ტესტირება და სისუსტეების შეფასება წარმოადგენს ერთგვარ ასახვას იმისა, თუ

რა სტადიაზეა სისტემა დროის გარკვეულ მონაკვეთსა და ვითარებაში.


152

15.3. ინფორმაციული სისტემების აუდიტის დასკვნები

მიზანი: ინფორმაციული სისტემების აუდიტის პროცესების ეფექტიანობის გაზრდა და

ინფორმაციული სისტემების აუდიტის პროცესებში, ან ამ პროცესის მხრიდან

დაბრკოლებების შემცირება.

ინფორმაციული სისტემის აუდიტისას უნდა არსებობდეს ოპერაციული სისტემის და

აუდიტის ტექნიკური საშუალებების დაცვის კონტროლის მექანიზმები.

დაცვა ასევე ესაჭიროება აუდიტის ტექნიკური საშუალებების მთლიანობის შენარჩუნებას და

მათი არასწორად გამოყენების თავიდან არიდებესაც.

15.3.1. ინფორმაციული სისტემების აუდიტის კონტროლის მექანიზმები


აუდიტის მოთხოვნები და საქმიანობა, რომელიც მოიცავს ოპერაციული სისტემების შემოწმებას,

ფრთხილად და განსაკუთრებით ყურადღებით უნდა დაიგეგმოს, რათა ბიზნეს-პროცესების

წყვეტის რისკი მინიმუმამდე შემცირდეს.

დანერგვის სახელმძღვანელო

გასათვალისწინებელია შემდგომი სახელმძღვანელო წესები:

ა) აუდიტის მოთხოვნები შეთანხმებული უნდა იქნას შესაბამის პასუხისმგებელ პირებთან;

ბ) შემოწმების ფარგლები შეთანხმებული და გაკონტროლებული უნდა იყოს;

გ) შემოწმების დროს პროგრამულ უზრუნველყოფაზე და მონაცემებზე დაშვება უნდა

შეიზღუდოს „მხოლოდ წაკითხვის“ უფლებით;

დ) “მხოლოდ წაკითვხის“ უფლებისგან განსხვავებული წვდომის უფლებები დასაშვებია

მხოლოდ სისტემური ფაილების იზოლირებულ ასლებზე, რომლებიც უნდა განადგურდეს

აუდიტის დასრულებისას, ან სათანადო დაცვით შეინახოს აუდიტის დოკუმენტაციაში;

ე) შემოწმების ჩასატარებლად გამოსაყენებელი რესურსების ზუსტი იდენტიფიცირება და მათი

ხელმისაწვდომობა;

ვ) სპეციალური ან დამატებითი პროცედურების აუცილებლობის იდენტიფიცირება და

შეთანხმება;

ზ) უნდა ფიქსირდებოდეს და ინახებოდეს კრიტიკულ ინფორმაციაზე, ან სისტემაზე წვდომის

ყველა შემთხვევა. როგორც წვდომის ობიექტის და სუბექტის, ისე წვდომის დროის და

ხანგრძლივობის გათვალისწინებით ეს ინფორმაცია წარმოადგენს აუდიტის წყაროს;

თ) ყველა პროცედურა, მოთხოვნა და პასუხისმგებლობა დოკუმენტირებული უნდა იქნას;

ი) აუდიტის განმახორციელებელი პირები დამოუკიდებლები უნდა იყვნენ აუდიტს

დაქვემდებარებული საქმიანობისგან.


153

15.3.2. ინფორმაციული სისტემების აუდიტის საშუალებების დაცვა


ინფორმაციული სისტემების აუდიტის საშუალებებზე წვდომა ექვემდებარება კონტროლს, რათა

არ მოხდეს მათი არასათანადოდ გამოყენება, ან კომპრომეტირება.

დანერგვის სახელმძღვანელო

ინფორმაციული სისტემების აუდიტის საშუალებები, მაგალითად, პროგრამული

უზრუნველყოფა და მონაცემთა ფაილები განცალკევებული უნდა იქნას პროგრამირების და

ოპერაციულ საქმიანობაში გამოყენებული სისტემებისგან, დამატებითი სათანადო დაცვის

მექანიზმების გარეშე მათი შენახვა არ შეიძლება მომხმარებელთა ხელმისაწვდომობის არეალში.


თუკი აუდიტს ატარებენ მესამე პირები, არსებობს ამ მესამე პირებისაგან და მათი ორგანიზაციის

მხრიდან ინფორმაციული სისტემების აუდიტის საშუალებებზე არასათანადო წვდომის და მათი

არასწორად გამოყენების რისკები. აღნიშნულ რისკის შესამცირებლად გასათვალისწინებელია

6.2.1 (რისკების შეფასება) და 9.1.2 (ფიზიკური წვდომის შეზღუდვა) კონტროლის მექანიზმები.

ამასთან განსახორციელებელია სხვა სახის ქმედებები, როგორიცაა როგორიცაა, მაგალითად,

აუდიტორებისთვის მიცემული პაროლების მყისიერი შეცვლა.

მგს 27002:2011 - dea.gov.gedea.gov.ge/uploads/CERT DOCS/DEA27002-2011_V1_0_1.pdf · მონაცემთა გაცვლის სააგენტო მგს 27002:2011|

Documents