Professional Documents
Culture Documents
5. ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
5. ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
5. ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
ვერსია 1.0
2 ნორმატიული დოკუმენტაცია
3 ტერმინები და განმარტებები
გამოყენებადობის შესახებ
ინფორმაციული განცხადება, კონტროლის
უსაფრთხოების ობიექტები და შერჩეული
შეფასების შედეგები კონტროლები
დრო
ქმედება
იგი აღწერს თუ რა არის საჭირო იმისათვის, რომ მიღწეული იქნას თითოეული ეტაპის მიზნები.
შემავალი რესურსები
ეს არის ათვლის წერტილი, მაგალითად: დოკუმენტირებული გადაწყვეტილებების არსებობა, ან
მოცემულ სტანდარტში აღწერილი სხვა ქმედებების შედეგები. შემავალი რესურსები
(ინფორმაცია) შეიძლება იყოს შესრულებული ქმედების შედეგი, ან რაიმე სპეციფიკური
ქმედების შესახებ დოკუმენტირებული ინფორმაცია.
სახელმძღვანელო მითითებები
ეს არის დეტალური ინფორმაცია იმის შესახებ, თუ როგორ უნდა შესრულდეს მოცემული
ქმედებები. შესრულების შესახებ ზოგიერთი მითითება შესაძლოა არ იყოს უნივერსალური და
მიზნების მისაღწევად სხვა გზები უფრო მისაღები აღმოჩნდეს.
შედეგი
შედეგი - ეს არის განსაზღვრული ქმედების დასრულებით მიღწეული შედეგი ან შედეგები.
შედეგები ყოველთვის ერთნაირია, მიუხედავად ორგანიზაციის ზომისა ან იუმს-ის
გავრცელების სფეროსა.
სხვა ინფორმაცია
ეს არის დამატებითი ინფორმაცია, რამაც შესაძლოა ხელი შეუწყოს ქმედების შესრულებას,
მაგალითად სხვა სტანდარტებთან კავშირი.
4.3 დიაგრამები
დოკუმენტი
დოკუმენტი
დრო
ფაზების ქმედებები
ქმედება
A
დოკუმენტი
დოკუმენტი
ქმედება ქმედება
B C
დოკუმენტი დოკუმენტი
დოკუმენტი დოკუმენტი
დრო
მიზანი:
ხელმძღვანელობის მხრიდან ნებართვის მიღება იუმს-ის პროექტის დასაწყებად, საჭიროების
და პროექტის გეგმის განსაზღვრის ჩათვლით.
იუმს-ის პროექტის
ინიცირებისთვის
მენეჯმენტის ნებართვა
დრო
ორგანიზაციის
პრიორიტეტბის
ჩამოყალიბება იუმს-
ის შემუშავებისათვის
5.2
იუმს-ის მიზნები
ორგანიზაციის
ინფორმაციული
უსაფრთხოებისთვის
საჭირო
მარეგულირებელი,
სახელშეკრულებო და
დარგობრივი
შეზღუდვების
ჩამონათვალი
გამოკვეთილი
მახასიათებლები
იუმს-ის წინასწარი
იუმს-ის იუმს-ის
ფარგლებისთვის
წინასწარი წინასწარი
როლებისა და
ფარგლების ფარგლების
პასუხისმგებლობები
დადგენა შემუშავება
ს შემუშავება
5.3 5.3.1
5.3.2
მენეჯმენტის
იუმს-ის თანხმობისათვის
გამოკვეთილი
დანერგვისათვის არგუმენტაციისა და
მახასიათებლები
როლებისა და პროექტის გეგმის
პასუხიმგებლობებბის შექმნა
აღწერა 5.4
არგუმენტაცია
იუმს-ის
პროექტის
შეთავაზება
იუმს-ის
პროექტის
ნებართვა
დრო
ქმედება
ორგანიზაციის ერთ-ერთი მიზანი უნდა იყოს იუმს-ის დანერგვა ორგანიზაციის ინფორმაციული
უსაფრთხოების პრიორიტეტების და მოთხოვნების გათვალისწინებით.
შემავალი რესურსები
ა) ორგანიზაციის სტრატეგიული მიზნები;
ბ) არსებული მართვის სისტემის მიმოხილვა;
გ)ორგანიზაციისთვის მისაღები იურიდიული, მარეგულირებელი და ხელშეკრულებით
გათვალისწინებული ინფორმაციული უსაფრთხოების მოთხოვნების ჩამონათვალი.
სახელმძღვანელო მითითებები
იუმს-ის პროექტის დასაწყებად საჭიროა ხელმძღვანელობის მხრიდან ნებართვა. ამდენად,
პირველი, რაც უნდა გაკეთდეს, არის საჭირო ინფორმაციის შეგროვება, რაც წარმოაჩენს
ორგანიზაციისთვის იუმს-ის ფასეულობას. ორგანიზაციამ მკაფიოდ უნდა ჩამოაყალიბოს, თუ
რატომ არის საჭირო იუმს, მიიღოს გადაწყვეტილება იუმს-ის დანერგვის მიზნების შესახებ და
მოახდინოს იუმს-ის პროექტის ინიცირება.
იუმს-ის დანერგვისათვის მიზნების განსაზღვრა შესაძლებელია შემდეგ კითხვებზე პასუხის
გაცემით:
ა) რისკების მართვა - როგორ გააუმჯობესებს იუმს ინფორმაციული უსაფრთოების რისკების
მართვას?
ბ) ეფექტიანობა - როგორ შეუძლია იუმს-ს გააუმჯობესოს ინფორმაციული უსაფრთხოების
მართვა?
გ) ბიზნეს უპირატესობა - როგორ შექმნის იუმს ორგანიზაციისათვის კონკურენტულ
უპირატესობას?
ამ შეკითხვებზე პასუხის გასაცემად, ორგანიზაციის უსაფრთხოების პრიორიტეტები და
მოთხოვნები დაკავშირებულია შემდეგ შესაძლო ფაქტორებთან:
ა) კრიტიკული ბიზნეს-პროცესები და ორგანიზაციული გარემოები:
1. რომელია კრიტიკული ბიზნეს-პროცესები და ორგანიზაციული გარემოები?
2. რომელი ორგანიზაციული გარემო განაპირობებს ბიზნეს-პროცესს და რაზეა იგი
კონცენტრირებული?
3. მესამე მხარესთან დადებული ხელშეკრულებების ტიპები.
4. არსებობს თუ არა რაიმე სახის გარედან მოწოდებული სერვისები?
ბ) სენსიტიური ან ფასეული ინფორმაცია:
1. რომელი ინფორმაციაა ორგანიზაციისათვის კრიტიკული?
2. რა იქნება სავარაუდო შედეგები იმისა, თუ რომელიმე ინფორმაცია გამოაშკარავდება
უნებართვოდ (მაგალითად: კონკურენტული უპირატესობის დაკარგვა, ბრენდის ან
რეპუტაციის დაზარალება, სასამართლო საქმე, და ა.შ.)?
შედეგი
ამ ქმედების შედეგი არის:
ა) იუმს-ის მიზნების, ინფორმაციული უსაფრთხოების პრიორიტეტების და ორგანიზაციული
მოთხოვნების შემაჯამებელი დოკუმენტი.
ბ) მარეგულირებელი, ხელშეკრულებით გათვალისწინებული და დარგობრივი მოთხოვნების
ჩამონათვალი, რაც დაკავშირებულია ორგანიზაციის ინფორმაციულ უსაფრთხოებასთან.
გ) ბიზნესის, ორგანიზაციის, მისი ადგილმდებარეობის, აქტივებისა და ტექნოლოგიების
მახასიათებლები.
ქმედება
იუმს-ის დანერგვის მიზნები უნდა მოიცავდეს იუმს-ის წინასწარი გავრცელების სფეროს,
საზღვრების დადგენას.
შემავალი რესურსები
ქმედება 5.2-ის შედეგი. ორგანიზაციაში იუმს-ის შემუშავებისათვის პრიორიტეტების გამოკვეთა.
სახელმძღვანელო მითითებები
იუმს-ის დანერგვის პროექტის ხელმძღვანელობისათვის განსაზღვრული უნდა იყოს
ორგანიზაციის სტრუქტურა. იუმს-ის წინასწარი საზღვრების დადგენა საჭიროა, რათა შეიქმნას
რეალური მაგალითი და შემოთავაზებული პროექტი დაამტკიცოს ხელმძღვანელობამ.
ამ ეტაპის შედეგი არის იუმს-ის საწყისი საზღვრების ამსახველი დოკუმენტი, რომელიც ასევე
მოიცავს:
ა) ორგანიზაციის ხელმძღვანელობის მიერ დადგენილი ინფორმაციული უსაფრთხოების
მართვის ამოცანების შეჯამებას და ორგანიზაციაზე გარედან დაკისრებულ ვალდებულებებს;
ბ) იმის აღწერას თუ როგორ ურთერთქმედებაშია გარემო სხვა მართვის სისტემებთან;
გ) ინფორმაციული უსაფრთხოების მართვის მიზნების ჩამონათვალი (პუნქტი 5.2);
შედეგი
დოკუმენტი, რომელიც აღწერს იუმს-ის საწყის საზღვრებს.
ქმედება
ყველა როლი და პასუხისმგებლობა უნდა იყოს დადგენილი.
შემავალი რესურსები
ა) 5.3.1 -ის შედეგი იუმს-ის წინასწარი საზღვრების გავრცელების სფეროს დადგენა;
ბ) იმ დაინტერესებული პირების ჩამონათვალი, რომლებზეც დადებითად აისახება იუმს-ის
პროექტის შედეგები.
სახელმძღვანელო მითითებები
იუმს-ის პროექტის ხელმძღვანელობისათვის საჭიროა განისაზღვროს ორგანიზაციის როლი
მოცემული პროექტისათვის. ყოველ ორგანიზაციაში როლი სხვადასხვანაირია, რაც
განპირობებულია ინფორმაციული უსაფრთხოებით დაკავებული ადამიანების რაოდენობით.
ინფორმაციული უსაფრთხოების რესურსები და ორგანიზაციული სტრუქტურა იცვლება
ორგანიზაციის ტიპის, ზომისა და სტრუქტურის მიხედვით. მაგალითად, პატარა ორგანიზაციაში
ერთსა და იმავე პიროვნებას შეიძლება ქონდეს რამდენიმე როლი, მაგრამ ხელმძღვანელობამ
ნათლად უნდა გამოკვეთოს შესაბამისი როლი ინფორმაციული უსაფრთხოების სამართავად
(მაგალითად, ინფორმაციული უსაფრთხოების ოფიცერი, ინფორმაციული უსაფრთხოების
მენეჯერი და ა.შ.) რიგით თანამშრომლებსაც, შესაბამისად, უნდა მიენიჭოს როლები და
პასუხისმგებლობები მათზე დაკისრებული საქმიანობის განსახორციელებლად საჭირო უნარ-
ჩვევებზე დაყრდნობით. მნიშვნელოვანია იმის უზრუნველყოფა, რომ დავალებები შესრულდეს
ეფექტურად და ეფექტიანად.
ინფორმაციული უსაფრთხოების მართვაში როლების განსაზღვრისათვის ყველაზე
მნიშვნელოვანი მოსაზრება არის:
ა) დავალებებზე მთელი პასუხისმგებლობა რჩება ხელმძღვანელობის დონეზე,
შედეგი
დოკუმენტი ან ცხრილი, რომელიც აღწერს როლებსა და პასუხისმგებლობებს სახელებითა და
გვარებით, ასევე იმ ორგანიზაციის მითითებით, რომელსაც სჭირდება იუმს-ის წარმატებული
დანერგვა.
სხვა ინფორმაცია
დანართი ბ წარმოადგენს ორგანიზაციაში საჭირო როლებისა და პასუხისმგებლობების
დეტალებს, რათა წარმატებულად განხორციელდეს იუმს.
ქმედება
ხელმძღვანელობის თანხმობა და რესურსების გამოყოფა იუმს-ის დანერგვის პროექტისათვის
მოპოვებული უნდა იქნას რეალური მაგალითის შექმნითა და იუმს-ის პროექტის შეთავაზებით.
შემავალი რესურსები
ა) 5.2-ის შედეგი
ბ) 5.3-ის შედეგი - დოკუმენტირებული:
1. იუმს-ის წინასწარი საზღვრები და
2. მასთან დაკავშირებული როლები და პასუხისმგებლობები.
სახელმძღვანელო მითითებები
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 14
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
არგუმენტაციაში ასახული ინფორმაცია და იუმს-ის საწყისი პროექტის გეგმა უნდა მოიცავდეს
დაანგარიშებულ დროს, რესურსებს და ძირითად ეტაპებს, რომლებიც საჭიროა მოცემული
სტანდარტის 6-ე და 9-ე პუნქტებში განსაზღვრული ქმედებების შესასრულებლად.
რეალური მაგალითი და იუმს-ის საწყისი პროექტის გეგმა წარმოადგენენ პროექტის
საფუძველს, მაგრამ ასევე უზრუნველყოფენ ხელმძღვანელობის მხრიდან ნებართვასა და საჭირო
რესურსების გამოყოფას იუმს-ის დანერგვისათვის. მეთოდი, რომლითაც დანერგილი იუმს
უზრუნველყოფს დასახული მიზნების მიღწევას, თავის წვლილს შეიტანს ორგანიზაციის
პროცესების ეფექტიანობაში და გაზრდის ბიზნესის ეფექტიანობას.
იუმს-ის დანერგვის რეალური მაგალითი უნდა მოიცავდეს ორგანიზაციის მიზნების მოკლე
ფორმულირებებს და ასევე შემდეგ საკითხებს:
1. სპეციფიკური მიზნები;
2. ორგანიზაციის სარგებელი;
3. იუმს-ის წინასწარ საზღვრებში მოქცეული-ბიზნეს პროცესები, რომლებზეც ის ახდენს
გავლენას;
4. იუმს-ის მიზნების მისაღწევად კრიტიკული ფაქტორები და პროცესები;
5. პროექტის მიმოხილვა მაღალ დონეზე;
6. წინასწარი დანერგვის გეგმა;
7. დადგენილი როლები და პასუხისმგებლობები;
8. საჭირო რესურსები (ტექნოლოგია და ადამიანები);
9. დანერგვის შესახებ მოსაზრებები, მათ შორის არსებული ინფორმაციული უსაფრთხოება;
10. დანერგვის დრო და ძირითადი ეტაპები;
11. მოსალოდნელი ხარჯები;
12. წარმატების კრიტიკული ფაქტორები;
13. ორგანიზაციისათვის მოტანილი სარგებლის რაოდენობის განსაზღვრა.
პროექტის გეგმა უნდა მოიცავდეს 6-9 პუნქტებში აღწერილი ეტაპების ქმედებებს.
უნდა განისაზღვროს ის ინდივიდები, რომლებიც იუმს-ზე ახდენენ გავლენას, ან მისი გავლენის
ქვეშ იმყოფებიან და მიეცეთ დრო იუმს-ის რეალურ მაგალითებსა და იუმს-ის შემოთავაზებულ
პროექტზე კომენტარების გამოთქმისთვის. რეალური მაგალითი და იუმს-ის პროექტის
შეთავაზება უნდა განახლდეს საჭიროებისამებრ. როგორც კი მიღებული იქნება შესაბამისი
მხარდაჭერა, რეალური მაგალითი და იუმს-ის პროექტი უნდა წარედგინოს ხელმძღვანელობას
დანერგვის ნებართვის მისაღებად.
ხელმძღვანელობა უნდა დაეთანხმოს რეალურ მაგალითს და საწყისი პროექტის გეგმას, რათა
უზრუნველყოფილი იყოს მთელი ორგანიზაციის მხრიდან მზადყოფნა და დაიწყოს იუმს-ის
პროექტის შესრულება.
ხელმძღვანელობის მხრიდან იუმს-ის დანერგვაზე თანხმობას გააჩნია შემდეგი დადებითი
მხარეები:
1. ინფორმაციულ უსაფრთხოებასთან დაკავშირებული მნიშვნელოვანი კანონების,
რეგულაციების, სახელშეკრულებო ვალდებულებების და სტანდარტების ცოდნა და
დანერგვა, რაც გამოიწვევს სანქციებისა და ჯარიმების თავიდან აცილებას,
სხვა ინფორმაცია
მგს 27000:2011 იუმს-ის რეალური მაგალითი.6 იუმს-ის გავრცელების სფეროს, საზღვრების და
იუმს-ის პოლიტიკის დადგენა
რისკების შეფასების
იუმს-ის პროექტის ინფორმაციული
იუმს-ის ფარგლების, ჩატარება და
ინიცირებისათვის უსაფრთხოების
ჩარჩოების და რისკების იუმს-ის დიზაინი
მენეჯმენტის მოთხოვნების
პოლიტიკის დადგენა აღმოფხვრის 9
თანხმობის მიღება ანალიზის ჩატარება
6 დაგეგმვა
5 7
8
იუმს-ის პროექტის
ინიცირებისთვის იუმს-ის ფარგლები
მენეჯმენტის ნებართვა და ჩარჩოები
იუმს-ის პოლიტიკა
დრო
იუმს-თვის
ორგანიზაციული
ფარგლები
საინფორმაციო
საკომუნიკაციო
ტექნოლოგიის
ფარგლებისა და
ჩარჩოების განსაზღვრა
6.3
საინფორმაციო
საკომუნიკაციო
ტექნოლოგიების
ფარგლები და ჩარჩოები
ფიზიკური
ფარგლებისა და
ჩარჩოების
განასზღვრა
6.4
ფიზიკური
ფარგლები და
ჩარჩოები
თითოეული ზღვარის
ინტეგრირება იუმს-ის
საბოლოო ფარგლებისა
და ჩარჩოების
მისაღებად
6.5
იუმს-ის
ფარგელბი და
ჩარჩოები
იუმს-ის პოლიტიკის
შემუშავება და
მენეჯმენტის
მხრიდან ნებართვის
მიღება
6.6
იუმს-ის
პოლიტიკა
დრო
ქმედება
უნდა განისაზღვროს ორგანიზაციული ფარგლები და საზღვრები
შემავალი რესურსები
ა) 5.3-ის შედეგი - დოკუმენტირებული იუმს-ის გავრცელების სფერო, რომელიც ეხება:
1. არსებული მართვის სისტემის, რეგულაციების, თავსებადობის და ორგანიზაციის
მიზნების ურთიერთდამოკიდებულებას;
2. ბიზნესის, ორგანიზაციის, მისი ადგილმდებარეობის, აქტივების და ტექნოლოგიის
მახასიათებლებს.
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 18
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
გ) 5.2-ის შედეგი - იუმს-ის განსახორციელებლად ხელმძღვანელობის დოკუმენტირებული
თანხმობა და აუცილებელი რესურსებით პროექტის დაწყება.
სახელმძღვანელო მითითებები
იუმს-ის დანერგვისათვის საჭირო ძალისხმევა დამოკიდებულია მის მასშტაბზე, ამან შესაძლოა
გავლენა მოახდინოს ასევე ყველა იმ ქმედებაზე, რაც დაკავშირებულია ინფორმაციული
უსაფრთხოების შენარჩუნებასთან (პროცესი, ფიზიკური ადგილმდებარეობა, ინფორმაციული
ტექნოლოგიების სისტემები და ადამიანები), მათ შორის დანერგვა და კონტროლის მექნიზმები,
ოპერაციების მართვა და ამოცანების განხორციელება, როგორიცაა ინფორმაციული აქტივების
აღმოჩენა და რისკების შეფასება. თუ ხელმძღვანელობა გადაწყვეტს უშუალოდ
უხელმძღვანელოს ორგანიზაციის რომელიმე ნაწილს იუმს-ის ფარგლებიდან, ამის მიზეზი
აუცილებლად უნდა იყოს დოკუმენტირებული.
როდესად იუმს-ის ფარგლები დადგენილია, აუცილებელია მისი საზღვრების გასაგებად
განმარტება იმ პირებისათვის, რომლებიც არ იყვნენ ჩართული მათი დადგენის პროცესში.
ინფორმაციული უსაფრთხოების ზოგიერთი კონტროლის მექანიზმი შეიძლება ჯერ კიდევ
არსებობდეს სხვა მართვის სისტემების გამოყენების შედეგად. ეს აუცილებლად უნდა იქნას
გათვალისწინებული იუმს-ის დაგეგმვისას.
ორგანიზაციული საზღვრების დადგენისას გათვალისწინებული უნდა იყოს შემდეგი
ფაქტორები:
1. იუმს-ის ხელმძღვანელობის საბჭო უნდა შედგებოდეს იმ მენეჯერებისაგან, რომლებიც
პირდაპირ არიან ჩართული იუმს-ის ფარგლებში;
2. იუმს-ის ხელმძღვანელობის წევრი უნდა იყოს ის პირი, რომელიც პასუხისმგებელია
ყველა არსებულ გარემოებაზე;
3. თუ იუმს-ის მართვაზე პასუხისმგებელი პირი არ არის უმაღლესი რანგის
ხელმძღვანელობის წევრი, მაშინ უმაღლესი რანგის ხელმძღვანელობიდან
დაინტერესებულმა უფლებამოსილმა პირმა უნდა წაროადგინოს ინფორმაციული
უსაფრთხოების ინტერესები და იმოქმედოს, როგორც იუმს-ის ინტერესების დამცველმა
ორგანიზაციის უმაღლეს დონეზე.
4. ფარგლებისა და საზღვრების დადგენამ უნდა უზრუნველყოს რისკებზე რეაგირება,
რისკების შეფასებისას ყველა საჭირო აქტივის გათვალისწინებით.
თუ რომელიმე პროცესი არის გარედან, მესამე მხარის მიერ შემოთავაზებული, აუცილებლად
უნდა მოხდეს მისი დოკუმენტირება.
შედეგი
ამ ქმედების შედეგებია:
1. იუმს-თვის ორგანიზაციული საზღვრების აღწერა ( მათ შორის იუმს-ის ფარგლებიდან
ამოღებული ორგანიზაციული ნაწილის აღწერა),
2. იუმს-ის ფარგლებში არსებული ორგანიზაციული ნაწილის ფუნქციები და სტრუქტურა,
3. გაცვლილი (გაზიარებული) ინფორმაციის იდენტიფიცირება (ფარგლებისა და
საზღვრების გათვალისწინებით),
ქმედება
განსაზღვრული უნდა იყოს ინფორმაციული საკომუნიკაციო ტექნოლოგიის ელემენტების
ფარგლები და საზღვრები და სხვა ტექნოლოგიური საკითხები.
შემავალი რესურსები
ა) 5.3-ის შედეგი - იუმს-ის წინასწარი ფარგლების ამსახველი დოკუმენტი
ბ) 6.2-ის შედეგი - ორგანიზაციული საზღვრებისა და ჩარჩოების განსაზღვრა
სახელმძღვანელო მითითებები
ინფორმაციული საკომუნიკაციო ტექნოლოგიების ფარგლების და საზღვრების დადგენა ხდება
ინფორმაციული სისტემის გათვალისწინებით (და არა ი.ტ-ზე დაფუძნებული მიდგომით).
როდესაც არსებობს ხელმძღვანელობის გადაწყვეტილება იუმს-ში ჩართული იყოს
ინფორმაციული სისტემის ბიზნეს-პროცესები, ამასთან ერთად გათვალისწინებული უნდა იყოს
ინფორმაციულ-საკომუნიკაციო ტექნოლოგიებთან დაკავშირებული ყველა ელემენტი. ეს
მოიცავს ორგანიზაციის ყველა იმ ნაწილს, რომელიც ინახავს, ამუშავებს და ახდენს კრიტიკული
ინფორმაციის, აქტივების გადაცემას, ან რომლებიც კრიტიკულია ორგანიზაციის ნაწილისათვის.
ინფორმაციული სისტემები შეიძლება მოიცავდეს ორგანიზაციულ ან სახელმწიფო საზღვრებს.
ასეთ შემთხვევაში გათვალისწინებული უნდა იყოს შემდეგი:
1. სოციალურ-კულტურული გარემო;
2. ორგანიზაციის შესაბამისი იურიდიული, მარეგულირებელი და სახელშეკრულებო
მოთხოვნები;
3. ძირითადი პასუხისმგებლობების ანგარიშავლდებულება;
4. ტექნიკური შეზღუდვები (მაგალითად: სიხშირის გამტარობის შესაძლებლობა, სერვისის
ხელმისაწვდომობა და ა.შ.);
ზემოთ ჩამოთვლილის გათვალისწინებით, ინფორმაციული საკომუნიკაციო ტექნოლოგიების
საზღვრები ასევე საჭიროების შემთხვევაში უნდა მოიცავდეს შემდეგი საკითხების აღწერას:
1. კომუნიკაციების ინფრასტრუქტურა, სადაც მენეჯერული პასუხისმგებლობა
ორგანიზაციას აკისრია (მათ შორის სხავდასხვა ტექნოლოგიები, მაგალითად: უსადენო,
კაბელიანი, მონაცემთა გადაცემის/სატელეფონო ქსელები).
2. ინფორმაციული საკომუნიკაციო ტექნოლოგიების აპარატურა, რომელიც საჭიროა ქსელის
ან ქსელებისთვის, თანხლების ან საწარმოო სისტემებისთვის.
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 20
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
3. როლები და პასუხისმგებლობები ინფორმაციული საკომუნიკაციო ტექნოლოგიების
აპარატურაზე, ქსელსა და პროგრამებზე.
თუ ზემოთ ჩამოთვლილი ერთი ან მეტი პუნქტი არ კონტროლდება ორგანიზაციის მიერ, მაშინ
მესამე მხარის დამოკიდებულებები უნდა იქნას დოკუმენტირებული. იხილეთ 6.2
სახელმძღვანელო მითითებები.
შედეგი
ამ ქმედების შედეგებია:
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
1. დაშორებული ინფრასტრუქტურა;
2. მესამე მხარის მიერ გაწეული მომსახურების და ინფორმაციული სისტემების
ინტერფეისების გამოყენება მომხმარებლებისათვის;
3. შესაბამისი ინტერფეისები და მომსახურების დონეები.
შედეგი
ამ ქმედების შედეგებია:
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 23
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
იუმს-ის პოლიტიკის განსაზღვრისას გათვალისწინებული უნდა იყოს შემდეგი ასპექტები:
შედეგი
სხვა ინფორმაცია
მგს 27005:2011 ინფორმაციული უსაფრთხოების რისკების მართვა) წარმოადგენს დამატებით
ინფორმაციას რისკების შეფასების კრიტერიუმების შესახებ.
მიზნები:
საჭირო მოთხოვნების დასადგენად, რასაც მხარი უნდა დაუჭიროს იუმს-მ, უნდა
განისაზღვროს ინფორმაციული აქტივები და ასევე დადგენილი უნდა იყოს ინფორმაციული
უსაფრთხოების მიმდინარე სტატუსი არსებულ ფარგლებში.
რისკების შეფასების
იუმს-ის პროექტის იუმს-ის ფარგლების, ინფორმაციული
ჩატარება და
ინიცირებისათვის ჩარჩოების და უსაფრთხოების
რისკების იუმს-ის დიზაინი
მენეჯმენტის პოლიტიკის მოთხოვნების
აღმოფხვრის 9
თანხმობის მიღება განსაზღვრა ანალიზის ჩატარება
დაგეგმვა
5 6 7
8
ინფორმაციული
აქტივები
იუმს-ის პოლიტიკა
ინფორმაციული
უსაფრთხოების
შეფასების
შედეგები
დრო
ინფორმაციული
უსაფრთხოების
მოთხოვნები
იუმს-ის
ფარგლებში
აქტივების
განსაზღვრა
7.3
იდენტიფიცირებული
აქტივები
პროცესების/აქტივების
კლასიფიკაცია
ინფორმაციული
უსაფრთხოების
შეფასების
ჩატარება
7.4
ორგანიზაციის
უსაფრთხოების
შეჯამებული სტატუსი
დრო
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
ამ ქმედების შედეგებია:
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
ამ ქმედების შედეგებია:
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
აქ ქმედების შედეგია:
სხვა ინფორმაცია
მიზანი:
ინფორმაციული რისკების
აქტივები აღმოფხვრის გეგმა
იუმს-ის პოლიტიკა
ინფორმაციული
უსაფრთხოების გამოყენებადობის შესახებ
შეფასების განცხადება, მათ შორის
შედეგები კონტროლის ობიექტები/
მექანიზმები და შერჩეული
კონტროლები
დრო
რისკების შეფასების
მეთოდოლოგიები
რისკების შეფასების
შედეგი
კონტროლის
მიზნებისა და
კონტროლების
შერჩევა
8.3
შერჩეული კონტროლებისა
და კონტროლების მიზნების
სია
რისკების აღმოფხვრის
გეგმა
იუმს-ის დასანერგად
და
ფუნქციონირებისათვის
მენეჯმენტის
ნებართვის მიღება
8.4
იუმს-ის
დანერგვაზე
თანხმობა
არასისტემური
რისკების მიღება
გამოყენებადობის შესახებ
განცხადება, მათ შორის
კონტროლის მიზნები და
შერჩეული კონტროლები
დრო
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
ბიზნეს გარემოში, უსაფრთხოების რისკების შეფასებას განსაკუთრებული მნიშვნელობა აქვს
იუმს-ის დანერგვის წარმატებისათვის, მგს 27001:2011 (ინფორმაციულიტექნოლოგიები
უსაფრთხოების საშუალებები ინფორმაციული უსაფრთხოების მართვის სისტემები–
მოთხოვნები) თანახმად. რისკების შეფასებამ უნდა:
შედეგი
სხვა ინფორმაცია
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
ამ ქმედების შედეგებია:
სხვა ინფორმაცია
მგს 27002:2011 (ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები - ინფომრაციული
უსაფრთხოების მართვის წესები და ნორმები)
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
ამ ქმედების შედეგებია:
მიზანი:
- მონიტორინგს;
- გაზომვა/შეფასებას;
- იუმს-ის შიდა აუდიტს;
- ტრენინგს და ინფორმირებულობას;
- ინციდენტების მართვას;
- ხელმძღვანელობის მიერ განხილვებს;
- იუმს-ის გაუმჯობესებას, რაც მოიცავს მაკორექტირებელ და პრევენციულ ქმედებებს.
ინფორმაციული რისკების
აქტივები აღმოფხვრის გეგმა
იუმს-ის პოლიტიკა
ინფორმაციული
უსაფრთხოების გამოყენებადობის შესახებ
შეფასების განცხადება, მათ შორის
შედეგები კონტროლის მიზნები და
შერჩეული კონტროლები
დრო
ინფორმაციული
ორგანიზაციული საბოლოო იუმს-ის ინფორმაციული უსაფრთხოების
ინფორმაციული ორგანიზაციული დოკუმენტაციისათ უსაფრთხოების სტანდარტების და
უსაფრთხოების სტრუქტურის ვის სტრუქტურის პოლიტიკის პროცედურების
დიზაინი დიზაინი შექმნა დიზაინი შემუშავება
9.2 9.2.1 9.2.2 9.2.3 9.2.4
ორგანიზაციის ინფორმაციული
სტრუქტურა, და იუმს-ის ინფორმაციული
უსაფრთხოების
მისი როლები და ჩანაწერებისა და უსაფრთხოების
სტანდარტების
პასუხისმგებლობები დოკუმენტების პოლიტიკა
ნაკრების სტრუქტურა
სტრუქტურა
ინფორმაციული
უსაფრთხოების
იუმს-ის ჩანაწერების სტანდარტები, მათ
საცავები და შორის ორგანიზაციის
შაბლონები ბეიზლაინი
ინფორმაციული
უსაფრთხოების
პროცედურები
საინფორმაციო
საკომუნიკაციო
ტექნოლოგიები და
ფიზიკური ინფორმაციული
უსაფრთხოების დიზაინი
9.3
საინფორმაციო საომუნიკაციო
ტექნოლოგიები და ფიზიკურ
უსაფრთხოებასთან
დაკავშირებულიკონტროლების
დანერგვის გეგმა
იუმს-თვის ინფორმაციული
სპეციფიკური უსაფრთხოების შესახებ
ინფორმაციული მენეჯმენტის ინფორმირებულობის,
უსაფრთხოების განხილვის გეგმა ტრენინგისა და
კონტროლების 9.4.1 საგანმანათლებლო
დიზაინი პროგრამის დიზაინი
9.4 9.4.2
ინფორმაციული იუმს-ის
მენეჯმენტის ინფორმაციული უსაფრთხოების შესახებ საბოლოო
განხილვის უსაფრთხოების ინფორმირებულობის, პროექტის გეგმის
შესასრულებლად ტრენინგის მასალები განათლების და ტრენინგის შექმნა
საჭირო რესურსების გეგმები 9.5
ჩამონათვალი
ინფორმაციული
ინფორმაციული
მენეჯმენტის განხილვის უსაფრთხოების ტრენინგის
უსაფრთხოების
პროცედურა, მათ შორის სტრუქტურა, როლები და იუმს-ის
განათლების და
აუდიტი, მონიტორინგი, პასუხისმგებლობები პროექტის
ტრენინგების შედეგების
შეფასების ასპექტები დანერგვის
ჩანაწერები
საბოლოო გეგმა
დრო
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
სხვა ინფორმაცია
ქმედება
შემავალი რესურსები
შედეგი
ქმედება
შემავალი რესურსები
სახელმძღვანელო მითითებები
შედეგი
ამ აქტივობის შედეგი არის ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი.
სხვა ინფორმაცია
დანართი ბ - ინფორმაცია როლებისა და პასუხისმგებლობების შესახებ.
დანართი დ - ინფორმაცია პოლიტიკის სტრუქტურის შესახებ.
ქმედება
შემავალი რესურსები
სხვა ინფორმაცია
ქმედება
შემავალი რესურსები
შედეგი
ამ ქმედების შედეგი არის ინფორმაციული საკომუნიკაციო ტექნოლოგიების და ფიზიკურ
უსაფრთხოებასთან დაკავშირებული კონტროლის მექანიზმების სტრუქტურული და დეტალური
გეგმა, რომელიც თავის მხრივ არის იუმს-ის პროექტის გეგმის ნაწილი და თოთოეული
კონტროლის მექანიზმისთვის მოიცავს:
1. დეტალურ აღწერას;
2. დაგეგმვასა და დანერგვაზე პასუხისმგებლობებს;
3. დანერგვის მოსალოდნელ ვადას;
4. დაკავშირებულ დავალებებს;
5. საჭირო რესურსებს;
6. მფლობელობას (ანაგრიშების წარდგენა).
ქმედება
უნდა შემუშავდეს გეგმა, რათა უზრუნველყოფილი იქნას ხელმძღვანელობის ჩართულობა და
დახმარება იუმს-ის ოპერაციებისა და მიმდინარე გაუმჯობესებების მიმოხილვის კუთხით.
სახელმძღვანელო მითითებები
იუმს-ისთვის დამახასიათებელი ქმედებების განხილვა ხელმძღვანელობის მხრიდან უნდა
დაიწყოს იუმს-ის მახასიათებლების და რეალური მაგალითის შემუშავების ადრეულ ეტაპებზე
და გაგრძელდეს იუმს-ის ოპერაციების რეგულარული განხილვის მანძილზე.
შედეგი
შედეგი არის დოკუმენტი, რომელშიც მოცემულია ხელმძღვანელობის განხილვისთვის საჭირო
გეგმა, და მოიცავს:
1. იუმს-ის ხელმძღვანელობის მიერ განხილვისთვის საჭირო რესურსებს;
2. ხელმძღვანელობის მიერ განხილვისთვის საჭირო პროცედურებს, რომელიც მოიცავს
აუდიტის, მონიტორინგისა და შეფასების ასპექტებს.
სხვა ინფორმაცია
დანართი ბ - ინფორმაციული უსაფრთხოების როლები და პასუხისმგებლობები;
დანართი გ - ინფორმაცია შიდა აუდიტის შესახებ;
დანართი ე - ინფორმაცია მონიტორინგისა და შეფასების დარეგულირების შესახებ.
ქმედება
შემუშავებული უნდა იქნას ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის,
სატრენინგო და სასწავლო პროგრამები.
შემავალი რესურსები
6.5-ის შედეგი - იუმს-ის ფარგლები და საზღვრები;
6.6-ის შედეგი - იუმს-ის პოლიტიკა;
7.2-ის შედეგი - ცალკეულ შემთხვევებში ორგანიზაციული მოთხოვნები
ინფორმაციული უსაფრთხოების ტრენინგისა და სწავლებისათვის;
8.4-ის შედეგები - გამოყენებადობის შესახებ განცხადება, მათ შორის კონტროლის
მიზნები და შერჩეული კონტროლის მექანიზმები ;
8.3-ის შედეგები - რისკების აღმოფხვრის გეგმა;
9.2.3-ის შედეგები - ინფორმაციული უსაფრთხოების პოლიტიკის დიზაინი;
9.2.4-ის შედეგები - ინფორმაციული უსაფრთხოების სტანდარტების და
პროცედურების შემუშავება;
ორგანიზაციის ზოგადი საგანმანათლებლო და ტრენინგის პროგრამების მიმოხილვა.
სახელმძღვანელო მითითებები
ხელმძღვანელობა პასუხისმგებელია სწავლებისა და ტრენინგის ჩატარებაზე, რათა ყველა
თანამშრომელისთვის, რომელსაც მინიჭებული აქვს განსაზღვრული როლი, უზრუნველყოფილი
იყოს საჭირო ოპერაციების შესასრულებლად საკმარისი კომპეტენცია. იდეალურ შემთხვევაში,
სწავლებისა და ტრენინგის შინაარსი ყველა ჩართულ თანამშრომელს უნდა ეხმარებოდეს
ინფორმაციული უსაფრთხოების მნიშვნელობისა და არსის გაგებაში, და ასევე იმის
გაცნობიერებაში, თუ რა წვლილი უნდა შეიტანონ იუმს-ის მიზნების მიღწევაში.
ქმედება
შემუშავებული უნდა იყოს იუმს-ის პროექტის საბოლოო გეგმა, ის უნდა მოიცავდეს იმ
აუცილებელ ქმედებებს, რაც საჭიროა შერჩეული კონტროლის მექანიზმების
განსახორციელებლად.
შემავალი რესურსები
1. 6.5-ის შედეგი - იუმს-ის ფარგლები და საზღვრები;
2. 6.6-ის შედეგი - იუმს-ის პოლიტიკა;
3. 9.2-ის შედეგი - ორგანიზაციული ინფორმაციული უსაფრთხოების დიზაინის შემუშავება;
4. 9.3-ის შედეგი - საინფორმაციო საკომუნიკაციო ტექნოლოგიების და ფიზიკური
ინფორმაციული უსაფრთხოების დიზაინის შემუშავება;
5. 9.4-ის შედეგი - იუმს-თვის სპეციფიკური ინფორმაციული უსაფრთხოების დიზაინის
შემუშავება;
მგს 27002:2011 (ინფორმაციული უსაფრთხოება - უსაფრთხოების მექანიზმები - ინფომრაციული
უსაფრთხოების მართვის წესები და ნორმები)
სახელმძღვანელო მითითებები
იუმს-თან დაკავშირებული შერჩეული კონტროლის მექანიზმების და სხვა ქმედებების
შესასრულებლად საჭირო ქმედებები ჩამოყალიბებული უნდა იყოს დანერგვის დეტალურ
გეგმაში, როგორც იუმს-ის საბოლოო პროექტის შემადგენელი ნაწილი. დანერგვის დეტალური
გეგმა ასევე შესაძლოა მოიცავდეს დანერგვის შემოთავაზებული ხერხებისა და მეთოდების
აღწერას. რადგანაც იუმს-ის პროექტი მოიცავს ორგანიზაციაში არსებულ ბევრ სხვადასხვა როლს,
მნიშვნელოვანია პასუხისმგებელ მხარეებს დაევალოთ მათ მიერ შესასრულებელი ქმედებები და
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 55
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
გეგმის შესახებ კომუნიკაცია უზრუნველყოფილი იყოს მთელს ორგანიზაციაშიპროექტის
ადრეული სტადიიდან.
ისევე, როგორც ნებისმიერი სხვა პროექტის შემთხვევაში, აქაც მნიშვნელოვანია პროექტზე
პასუხისმგებელმა პირმა უზრუნველყოს პროექტისთვის შესაბამისი რესურსების გამოყოფა.
შედეგი
აღნიშნული აქტივობის შედეგი არის იუმს-ის პროექტის დანერგვის საბოლოო გეგმა.
მიზანი:
კავშირი
საფეხურები
წინაპირობა
დანერგვის ქმედებები მგს 27003 დოკუმენტირებუ მგს 27001-
ეტაპი ლი შედეგი თან
მგს 27003
იუმს-ის არ
როლებისა და არსებობს
პასუხისმგებლობ
ების განსაზღვრა
(5.3.2)
-საზღვრების
გარეთ
ინფორმაციის
გაცვლა
არსებული
ინფორმაციული
აქტივების
შესახებ
ინფორმაციული
სისტემების და
სატელეკომუნიკა
ციო ქსელების
აღმწერი
დოკუმენტაცია
-ორგანიზაციის
და მისი
გეოგრაფიული
მახასიათებლები
ს აღწერა
გავრცელების
სფეროს შიგნით
და გარეთ
ორგანიზაციის არ
მოთხოვნები არსებობს
დაკავშირებული
კონფიდენციალუ
რობასთან,
მთლიანობასა და
ხელმისაწვდომო
ბასთან
კრიტიკული არ
პროცესების/აქტი არსებობს
ვების
კლასიფიკაცია
-ორგანიზაციის
შეფასებული
ნაკლოვანებების
დოკუმენტი
ვარიანტების შეფასების
ამორჩევა დამტკიცებული
მეთოდოლოგია,
რომელიც
კავშირშია
ორგანიზაციის
სტრატეგიული
რისკების
მართვასთან
-რისკების
რისკების არ
დამატებითი არსებობს
სიღრმისეული
შეფასების
საჭიროების
გამოვლენა
რისკების არ
შეფასების არსებობს
შეჯამებული
შედეგები
-იუმს-თან 4.3
დაკავშირებული
დოკუმენტაციის
იდენტიფიცირებ
ა
-იუმს-ის
ჩანაწერების
შაბლონები და
მათი
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 63
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
გამოყენების და
შენახვის
ინსტრუქციები
მგს
ინფორმაციული
უსაფრთხოების 27002:2011;
პოლიტიკის
5.1.1
დოკუმენტი
ინფორმაციული
უსაფრთხოების
პოლიტიკები და
პროცედურები
25 აუდიტის, 4.2.3 ა)
მონიტორინგისა ნაწილობრ
და შეფასების ივ
აღწერები
4.2.3 ბ)
ნაწილობრ
ივ; 6
ორგანიზაციული ურთიერთქმედება
ე) პროცესების მფლობელები;
იუმ-ის შიდა აუდიტი რეგულარულად უნდა იქნას განხორცილებული, რათა შეფასებული იქნას
იუმს-ის კონტროლის მიზნების, კონტროლების, პროცესებისა და პროცედურების შესბამისობა
მგს 27001:2011 (ინფორმაციულიტექნოლოგიები უსაფრთხოების საშუალებები ინფორმაციული
უსაფრთხოების მართვის სისტემები–მოთხოვნები)-ის, საკანონმდებლო და მარეგულირებელ
მოთხოვნებთან, ასევე ინფორმაციული უსაფრთხოების მოთხოვნებთან შესატყვისობა და
მოხდეს მათი ეფექტური დანერგვა და შენარჩუნება.
პოლიტიკის რეზიუმე
შესავალი
გავრცელების სფერო
პასუხისმგებლობები
დაკავშირებული პოლიტიკები
რისკების იდენტიფიცირებას;
რისკების აღმოფხვრას.
მონიტორინგი
ქმედებების მონიტორინგი
მონიტორინგის მოთხოვნები
შედეგებია:
გ) კონტროლების არჩევა;
დ) კონტროლის მიზნები;
ზომა;
სირთულე;
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 83
მგს 27003:2011|ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა
ინფორმაციული უსაფრთხოების რისკების ზოგადი მახასაითებლები/აუცილებლობა.
ზოგადად, რაც უფრო დიდი და კომპლექსურია ორგანიზაცია, მით უფრო ფართო შეფასების
პროგრამაა საჭირო, მაგრამ რისკების დონე გავლენას ახდენს შეფასების პროგრამის მასშტაბზეც.
თუ ინფორმაციული უსაფრთხოების შედეგები არის მკაცრი, მაშინ შედარებით მცირე ზომის
ორგანიზაციას შესაძლოა უფრო მარავალმხრივი შეფასების პროგრამა დაჭირდეს რისკების
აღმოსაფხვრელად, ვიდრე უფრო დიდ ორგანიზაციებს. შეფასების პროგრამის მასშტაბი
შეიძლება შეფასდეს შერჩეული კონტროლის ემქანიზმების საფუძველზე.
გავრცელების სფერო;
საზომები;
შეფასების ჩატარება;
შეფასების პერიოდები;
ანგარიშები.
ბ) კომუნიკაციაზე პასუხისმგებლობები;
დ) შეფასების ფარგლები;
ე) როგორ უნდა მოხდეს მისი შესრულება (გამოყენებული ძირითადი მეთოდი, გარე და შიდა
შესრულება, და ა.შ.);
დაგეგმვა
რესურსები შედეგები
აღსრულება ქმედება