ISO 27001 სემინარი

21 მარტს, საქართველოს დამსაქმებელთა ასოციაციამ (Georgian Employers Association) და შპს “მენეჯმენტის სისტემებმა” მოაწყო სემინარი ინფორმაციული უსაფრთხოების საერთაშორისო სტანდარტის ISO 27001-ის შესახებ. სემინარს უძღვებოდა მოწვეული აუდიტორი უკრაინიდან ალექსანდრ დიმიტრიევი. სემინარი “მიონის” ბიზნესცენტრში ჩატარდა, რომელიც ბელიაშვილის ქუჩაზე, “ორიენტ ლოჯიკის” და “ალტას” ოფისების უკან მდგარი შენობა აღმოჩნდა. ეს ადგილი ერთგვარი ქართული სილიკონის ველია იმდენი ტექნოლოგიების სფეროში მოღვაწე კომპანიის ოფისია თავმოყრილი.

ISO 27001 Seminar

სემინარის შინაარსი შეიძლება 2 ნაწილად დავყოთ. პირველი იყო ზოგადი მიმოხილვა – რას ემსახურება ISO 27001 სტანდარტი, რაში გვეხმარება და რატომ არის საჭირო. მეორე ნაწილი კი სტანდარტის შინაარსის მიმოხილვა იყო. რეალურად სემინარი უფრო მეტად ბიზნეს მენეჯერებისთვის იყო, ვიდრე IT ან უსაფრთხოების სპეციალისტებისთვის. თუმცა რამდენიმე საინტერესო ასპექტის დაჭერა მაინც შეიძლებოდა.

ISO 27001-ის შინაარსზე არ გავჩერდები და ინფორმაციული უსაფრთხოების მენეჯმენტის პოსტ-საბჭოთა vs. ევროპულ მიდგომებზე დავწერ, რომელიც დიმიტრიევმა რამდენჯერზე ახსენა. მისი მოყვანილი მაგალითები საინტერესო, თუმცა ზოგიერთ შემთხვევაში საკამათო იყო.

მაგალითად, პოსტ-საბჭოთა სტილია ინფორმაციულ აქტივად მხოლოდ ინფორმაციის მიჩნევა. ევროპული მიდგომა კი (ინფორმაციულ) აქტივად ყველაფერს თვლის – რასაც ღირებულება გააჩნია (ბოთლი წყალი, ჭიქა, შენობა და ა.შ.).

პოსტ-საბჭოთა მენეჯმენტის სტილია ინფორმაციული უსაფრთხოების ტრიადიდან (კონფიდენციალობა, მთლიანობა, ხელმისაწვდომობა) მხოლოდ კონფიდენციალობაზე ყურადღების გამახვილება. ევროპულის კი ტრიადის სამივე კომპონენტზე.

დიმიტრიევმა ასევე ისაუბრა ინფორმაციული უსაფრთხოების მენეჯმენტში გავრცელებულ შეცდომებზე. მაგალითად მოყვანილი იყო რისკების იდენტიფიკაციის დაწყება აქტივების გამოვლენამდე.

კიდევ ერთი შეცდომაა (და ასევე პოსტ-საბჭოთა მენეჯმენტის მეთოდისთვის დამახასიათებელი) ყველა რისკის გამოვლენის მცდელობა და გამოსწორების სამოქმედო გეგმის მხოლოდ ამის შემდეგ დაწყება. რისკების მოგვარება მათი გამოვლენისთანავე უნდა დაიწყოს (რაც არის კიდევ ევროპული მიდგომა – იმის აღმოფხვრა, რაც არის მოცემული მომენტისთვის იდენტიფიცირებული).

დიმიტრიევმა ასევე განაცხადა, რომ მისი დაკვირვებით საქართველოში, ბოლო წლების რეფორმების მიუხედავად, მენეჯმენტისადმი პოსტ-საბჭოთა მიდგომა დიდად არ შეცვლილა. ამის არგუმენტად კი მან მოიყვანა ის, რომ ხშირ შემთხვევაში პოსტ-საბჭოთა ქვეყნებში (ინფორმაციული) სისტემების მართვას, მონიტორინგს, შეფასებას ერთი და იგივე გუნდი ახორციელებს, არ ხდება სერვისის მომწოდებლების კონტროლი ინფორმაციული უსაფრთხოების თვალსაზრისით (შეიძლება კონტრაქტში იდოს ინფორმაციული უსაფრთხოების საკითხები, მაგრამ მონიტორინგს არავინ ახორციელებს).

დიმიტრიევმა აუდიტზეც ისაუბრა. მან მოიყვანა მაგალითი, რომ შეიძლება რაიმე არ ეთანხმებოდეს საღ აზრს (მაგალითად, დატა ცენტრში სერვერი იდოს ოთახის შუაში, კონდიცირების საშუალება კი იყოს ფანჯარა), შეუსაბამობის (non-conformity) დაფიქსირება არ შეიძლება, თუ ეს არ ეწინააღმდეგება მოცემულ ორგანიზაციაში არსებულ პროცედურებს/გაიდლაინებს. აუდიტორს ამ შემთხვევაში შეუძლია დაწეროს მხოლოდ რეკომენდაცია.

საბოლოო ჯამში, სემინარები საინტერესო გამოდგა (მიუხედავად იმისა, რომ შაბათ დილას 10:00 საათზე იყო). ბოლოს და ბოლოს, თუ შინაარსი არ გამოდგა მიმზიდველი, ცნობიერების ამაღლებასაც მაინც შეუწყობს ხელს.