Information Security Policy

032 2 845 444

032 2 84 54 44

ინფორმაციული უსაფრთხოების პოლიტიკა

შინაარსი
1. ორგანიზაციის მიზნების ეფექტიანად განხორციელებისთვის მნიშვნელოვანია ორგანიზაციის ინფორმაციული აქტივების უსაფრთხოების უზრუნველყოფა და სათანადო დონეზე დაცვა (კონფიდენციალობა, ხელმისაწვდომობა და მთლიანობა).
2. ინფორმაციული უსაფრთხოების პოლიტიკა აღწერს ინფორმაციული უსაფრთხოების მართვის სისტემის ფუნქციონირების ძირითად პრინციპებს ISO/IEC 27001 სტანდარტის და „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის შესაბამისად.

ტერმინთა განმარტება

ამ პოლიტიკის მიზნებისთვის მასში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ინფორმაციული უსაფრთხოება – საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენთიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას;
ინფორმაციული აქტივი − ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია ორგანიზაციისათვის;
ინფორმაციული უსაფრთხოების მართვის სისტემა - მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნესის რისკებისადმი მიდგომაზე, რათა შესაძლებელი გახდეს ინფორმაციული უსაფრთხოების დანერგვა, ფუნქციონირება, მონიტორინგი, განხილვა, მხარდაჭერა და გაუმჯობესება;
ხელმისაწვდომობა - ავტორიზებული სუბიექტის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი;
კონფიდენციალობა - აქტივის მახასიათებელი, რომლის თანახმადაც აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის;
მთლიანობა - აქტივის სიზუსტის და სისრულის მახასიათებელი;
ორგანიზაცია - შპს სელფ.ჯი;
რისკის ანალიზი - ინფორმაციის სისტემური გამოყენება რისკის წარმოშობის წყაროსა და მისი შეფასების დასადგენად;
რისკების მართვა - ორგანიზაციის მართვისა და კონტროლისათვის საჭირო კოორდინირებული ქმედებების განხორციელება რისკების გათვალისწინებით;
რისკების მოპყრობა - რისკის შეცვლისათვის შეფასების საზომების შერჩევისა და მათი დანერგვის პროცესი;
პასუხისმგებელი პირი - აქტივთან, რისკთან ან სხვა მიმართებაში პასუხისმგებელ პირად შეიძლება განისაზღვროს როგორც კონკრეტული როლი და პირი, ასევე სტრუქტურული ერთეული.

ინფორმაციული უსაფრთხოების პოლიტიკის მიზანი

ინფორმაციული უსაფრთხოების პოლიტიკის მიზანია ორგანიზაციაში ინფორმაციული უსაფრთხოების უზრუნველყოფისთვის საჭირო ძირითადი პრინციპებისადა მიდგომების განსაზღვრა;

პოლიტიკის მოქმედების სფერო
1. ინფორმაციული უსაფრთხოების პოლიტიკა ვრცელდება ორგანიზაციის:
  1. ყველა თანამშრომელზე;
  2. ყველა ბიზნეს პროცესზე (ძირითად და მხარდამჭერ პროცესებზე);
  3. ყველა ტიპის ინფორმაციულ აქტივზე;
  4. მესამე პირებზე, რომელთაც წვდომა აქვთ ორგანიზაციის ინფორმაციულ აქტივებზე ან მონაწილეობენ მათ დამუშავებაში.
2. მოქმედების სფეროს დაზუსტებულია ინფორმაციული უსაფრთხოების მართვის სისტემის გავრცელების სფეროს დოკუმენტში.

ინფორმაციული უსაფრთხოების საბჭო
1. ორგანიზაცია ქმნის ინფორმაციული უსაფრთხოების საბჭოს, რომლის მიზანია ინფორმაციული უსაფრთხოების მართვის სისტემის ეფექტიანი ფუნქციონირება, შესაბამისობა და ადეკვატურობა.
2. ინფორმაციული უსაფრთხოების საბჭოს მიზანი, ამოცანები ფუნქციები, საბჭოს შემადგენლობა, საბჭოს რეგლამენტი და ორგანიზაციულ-ტექნიკური მხარდაჭერის დეტალები ასახულია საბჭოს დებულებაში.

ინფორმაციული უსაფრთხოების ოფიცერი
1. ინფორმაციული უსაფრთხოების ოფიცერი ანგარიშვალდებულია ინფორმაციული უსაფრთხოების საბჭოსთან;
2. ინფორმაციული უსაფრთხოების ოფიცრის ვალდებულებები და ფუნქციები მოიცავს, მაგრამ არ შემოიფარგლება შემდეგით:
  1. ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;
  2. ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;
  3. ინფორმაციული უსაფრთხოების პოლიტიკის შინაუწყებრივი დოკუმენტაციის მომზადება;
  4. ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;
  5. ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;
  6. ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;
  7. სხვა მოვალეობები, რომლებსაც განსაზღვრავს ორგანიზაციის ხელმძღვანელი.

მესამე მხარეები
1. მესამე მხარე (მათ შორის კონტრაქტორი ორგანიზაციის წარმომადგენელი, მომწოდებელი ორგანიზაციის უფლებამოსილი პირი), რომელსაც ექნება წვდომა ორგანიზაციის კუთვნილ ინფორმაციულ აქტივზე ან/და მიიღებს მონაწილეობას მათ დამუშავებაში, ვალდებულია გაეცნოს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას და შეასრულოს პოლიტიკის რეგულაციები.

აქტივების მართვა
1. ორგანიზაცია უზრუნველყოფს ინფორმაციული აქტივების იდენტიფიკაციას და კლასიფიკაციას, ასევე მათი შეცვლისა და განადგურების წესების დადგენას.
2. ინფორმაციული აქტივების იდენტიფიცირებისა და კლასიფიკაციის წესები განსაზღვრულია ინფორმაციული აქტივების იდენტიფიცირებისა და კლასიფიკაციის მეთოდოლოგიაში;

რისკების მართვა
1. ორგანიზაციის ინფორმაციული უსაფრთხოების მართვის სისტემა დაფუძნებულია ინფორმაციული უსაფრთხოების რისკების მართვის პროცესზე, რომლის ფარგლებში ორგანიზაცია:
  1. განსაზღვრავს ინფორმაციული უსაფრთხოების რისკების იდენტიფიცირებისა და შეფასების მიდგომებს;
  2. გამოავლენს ინფორმაციული უსაფრთხოების რისკებს და გაანალიზებს მათ გავლენას და ჩაატარებს რისკების ანალიზს;
  3. რისკების მოპყრობის მიზნით შეარჩევს საჭირო კონტროლის მექანიზმებს და განსაზღვრავს მისაღები რისკის დონეს;
  4. მოამზადებს რისკების მოპყრობის გეგმას.
2. რისკების მართვის პროცესის დეტალები მოცემულია რისკების იდენტიფიცირებისა და შეფასების მეთოდოლოგიაში.

კონტროლის მექანიზმების გამოყენებადობის განაცხადი
1. ინფორმაციის უსაფრთხოების ოფიცერი მოამზადებს კონტროლის მექანიზმების გამოყენებადობის განაცხადს, რომელიც შეიცავს:
  1. ინფორმაციული უსაფრთხოების მოთხოვნებისთვის შერჩეულ კონტროლის მექანიზმებს, ასევე მათი შერჩევის დასაბუთებას;
  2. ორგანიზაციაში უკვე დანერგილ კონტროლის მექანიზმებს;
  3. უარყოფილი (კონტროლის მექანიზმები, რომლის გამოყენებაც არ მოხდა) კონტროლების კონტროლის მექანიზმების ჩამონათვალს, ასევე გამორიცხვის დასაბუთებას.
  4. ორგანიზაცია უზრუნველყოფს კონტროლის მექანიზმების მიზნების მიღწევას, რაც გულისხმობს ეფექტურობისა და რესურსების განაწილებას, ასევე საჭირო როლებისა და პასუხისმგებლობების განსაზღვრას.
2. ინფორმაციული უსაფრთხოების მართვის სისტემის მიზნების მისაღწევად ორგანიზაცია:
  1. დანერგავს შერჩეულ კონტროლის მექანიზმებს;
  2. კონტროლის მექანიზმების დანერგვის შემდგომ აწარმოებს მათზე დაკვირვებას;
  3. გაანალიზებს დაკვირვების შედეგებს და საჭიროების შემთხვევაში განსაზღრავს სამოქმედო გეგმას.

ცნობიერების ამაღლება და კომპეტენციების განვითარება
1. ორგანიზაცია შეიმუშავებს და განახორციელებს ინფორმაციული უსაფრთხოების ცნობიერების ამაღლების პროგრამებს, ასევე მუდმივად იზრუნებს თანამშრომელთა კომპეტენციების განვითარებაზე.
2. ორგანიზაციის მიდგომები ცნობიერების ამაღლებაზე და კომპეტენციების განვითარების მიმართულებით ორგანიზაცია:
  1. განსაზღვრავს ინფორმაციული უსაფრთხოების მართვის სისტემის გავრცელების ფარგლებში მოქცეული თანამშრომლების საჭირო ცოდნის დონეს;
  2. ჩაატარებს ტრენინგებს და სხვადასხვა აქტივობებს ინფორმაციული უსაფრთხოების მოთხოვნების დასაკმაყოფილებლად;
  3. აწარმოებს ჩანაწერებს სწავლების, ტრენინგის, უნარ-ჩვევების, გამოცდილების და კომპეტენციის შესახებ;
  4. შეაფასებს პერსონალის ცოდნის და ცნობიერების დონეს ინფორმაციული უსაფრთხოების მიმართყლებით.

ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტების მართვა
1. ორგანიზაცია იზრუნებს ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (ელექტრონული ფორმით) უახლესი ვერსიის ხელმისაწვდომობას ყველა დაინტერესებული პირისთვის, ასევე უზრუნველყოფს მართვის სისტემის დოკუმენტაციის სათანადოდ დაცვასა და კონტროლს.
2. ორგანიზაცია ინფორმაციული უსაფრთხოების მართვის სისტემის ფარგლებში აწარმოებს სათანადო ჩანაწერებს, უზრუნველყოფს მათ მხარდაჭერას, დაცვას და კონტროლს მართვის სისტემის მოთხოვნების შესაბამისად, დეტალური ინფორმაცია მოცემულია დოკუმენტების კონტროლის პროცედურაში.

ინფორმაციული უსაფრთხოების ინციდენტების მართვა
1. ორგანიზაცია უზრუნველყოფს ინფორმაციული უსაფრთხოების ინციდენტების მართვის პროცესის ეფექტიან განხორციელებას;
2. ინფორმაციული უსაფრთხოების ყველა ინციდენტი აღირიცხება და მუშავდება დადგენილი წესის შესაბამისად.
3. ინფორმაციული უსაფრთხოების ინციდენტების მართვის პროცესი მოიცავს ინციდენტის იდენტიფიცირების, რეაგირების, ჩანაწერების შეგროვების, აღმოფხვრის, განხილვის და ცოდნის გაზიარების ეტაპებს.
4. ორგანიზაცია უზრუნველყოფს ინციდენტების შესახებ დაინტერესებულ მხარეებთან კომუნიკაციას წინასწარ შეთანხმებული წესების შესბამისად.

ბიზნეს უწყვეტობის მართვა
1. ორგანიზაცია შეიმუშავებს უწყვეტობის გეგმებს, რომელიც საშუალებას მისცემს ორგანიზაცის კატასტროფის დროს აღადგინოს ყველა საჭირო სერვისი დროის მოკლე მონაკვეთში.
2. ინფორმაციული უსაფრთხოების მართვის სისტემის მიზნებისთვის, ორგანიზაცია განსაზღვრავს ინფორმაციული უსაფრთხოებისა უწყვეტობის კრიტერიუმებს, როლებს და პასუხისმგებლობებს, პროცედურებს მსხვილი ინციდენტის დადგომისას და სერვისის ხელმისაწვდომობის სამიზნე მაჩვენებლებს;

ინფორმაციული უსაფრთხოების მართვის სისტემის შიდა აუდიტი
1. ორგანიზაცია დადგენილი პერიოდულობით ჩაატარებს ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტს და დაადგენს სისტემის შესაბამისობას:
  1. სტანდარტის მოთხოვნებთან;
  2. ორგანიზაციის ინფორმაციული უსაფრთხოების მიზნებთან;
2. გამოვლენილი შეუსაბამობების აღმოსაფხვრელად, ორგანიზაცია მოამზადებს გეგმას და უზრუნველყოფს აღმოფხვრის პროცესის ეფექტიან განხორციელებას.

ინფორმაციულ სისტემაში შეღწევადობის ტესტირება
1. ორგანიზაცია დადგენილი პერიოდულობით ჩაატარებს ინფორმაციული სისტემების შეღწევადობის ტესტირებას, რომელიც მიზნად ისახავს სისტემებში არსებული არასწორი კონფიგურაციის/სისუსტეების გამოვლენას;
2. ტესტირების შედეგად გამოვლენილი სისუსტეების აღმოსაფხვრელად ორგანიზაცია მოამზადებს სამოქმედო გეგმას და უზრუნველყოფს აღმოფხვრის პროცესის ეფექტიან განხორციელებას.

პოლიტიკის გადახედვის გეგმა
1. პოლიტიკის განახლებას, მუდმივ სრულყოფას და მის შესაბამისობას ორგანიზაციის მიზნებსა და ამოცანებთან უზრუნველყოფს ინფორმაციული უსაფრთხოების ოფიცერი;
2. პოლიტიკა უნდა გადაიხედოს არანაკლებ წელიწადში ერთხელ, ასევე ორგანიზაციაში განხორციელებული მნიშვნელოვანი ცვლილებების შემდგომ.

დაკავშირებული დოკუმენტები

ინფორმაციული უსაფრთხოების პოლიტიკა დაკავშირებულია შემდეგ დოკუმენტებთან:

ინფორმაციული უსაფრთხოების გავრცელების სფეროს დოკუმენტი;
ინფორმაციული უსაფრთხოების საბჭოს დებულება;
ორგანიზაციული კონტექსტის დოკუმენტი.