ინფორმაციული უსაფრთხოების საერთაშორისო სტანდარტები

წარმატებული კომპანიების  უმრავლესობისთვის კიბერუსაფრთხოება ერთ-ერთი პრიორიტეტული სფეროა. მატერიალური ზარალის გარდა, კიბერ შეტევები იწვევენ უმნიშვნელოვანესი კონფიდენციალური ინფორმაციის დაკარგვას/გასაჯაროებას და სერიოზულ დარტყმას აყენებენ მათ რეპუტაციას – ეს კი თავის მხრივ კლიენტებს აკარგვინებს კომპანიას, რაც საბოლოოდ გაკოტრებამდეც შეიძლება მივიდეს.

კიბერ საფრთხეებისგან თავდაცვის ერთიანი სისტემის შესაქმნელად და უსაფრთხოების ზოგადი წესების ჩამოყასაყალიბებლად არაერთი საერთაშორისო სტანდარტია შექმნილი. მათზე დაყრდნობა ხშირად მნიშვნელოვნად აუმჯობესებს ორგანიზაციების მზადყოფნას კიბერ შეტევების წინააღმდეგ როგორც ჰაკერების, ისე თანამშრომლების (ინსაიდერების) მხრიდან.

საქართველოში კრიტიკული ინფორმაციული სისტემის სუბიექტებისთვის (რომელიც კანონითაა განსაზღვრული) ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა სავალდებულო გახდა და 2013-2016 წლებში ეტაპობრივად უნდა განხორციელებულიყო. კანონის მოთხოვნები, საერთო ჯამში, მეტ-ნაკლები წარმატებით შესრულდა კიდეც. რაც შეეხება კერძო კომპანიებსა და ორგანიზაციებს, უსაფრთხოების სავალდებულო მოთხოვნები მათ არ ეხებათ.

ამ ფონზე, უპრიანი იქნება მოკლედ მიმოვიხილოთ და მკითხველს გავაცნოთ მსოფლიოში ყველაზე ხშირად გამოყენებული კიბერ უსაფრთხოების სტანდარტები, რომლებიც კომპანიებსა და ორგანიზაციებს უსაფრთხოების ძირითად წესებს ჰკარნახობს.

აქვე უნდა შევნიშნოთ, რომ საერთაშორისო სტანდარტებს არც თუ იშვიათად ფრეიმვორქებად მოიხსენიებენ. ჩვენმა მკითხველმა უნდა იცოდეს, რომ ფრეიმვორქი (framework) – ეს მრავალდონიანი, კარგად ჩამოყალიბებული სტრუქტურაა, რომელიც აჩვენებს თუ რა პროგრამებია შესაქმნელი კონკრეტული ამოცანის მისაღწევად და რა ურთიერთკავშირი უნდა არსებობდეს მათ შორის.

COBIT

COBIT (Control Objectives for Information and Related Technology) – ინფორმაციული უსაფრთხოების ფრეიმვორქია, რომელიც ISACA-ს (Information Systems Audit and Control Association) მიერ შეიქმნა 90-იან წლებში. პირველი ვერსია, რომელიც 1996 წელს გამოქვეყნდა ძირითადად ორიენტირებული იყო ტექნოლოგიური რისკების შემცირებასა და აუდიტზე, რითაც ეხმარებოდა კომპანიის აღმასრულებლებს ზოგადი მიზნების ჩამოყალიბებაში. წლების განმავლობაში COBIT-მა ცვლილებები განიცადა და 2013 წელს გამოშვებულ ვერსიაში აქცენტი უკვე ინფორმაციული მმართველობის მნიშვნელობაზეა გადატანილი, დამატებულია რა ინფორმაციული უსაფრთხოებისა და ბიზნეს-სტრატეგიული გეგმების თანხვედრის წესები და ასევე მოიცავს რჩევებს ორგანიზაციული რისკების მენეჯმენტის შესახებ.

დღეს COBIT ყველაზე ხშირად გამოიყენება მაშინ, როდესაც ორგანიზაციას სურს თანხვედრაში იყოს Sarbanes-Oxley რეგულაციასთან (https://en.wikipedia.org/wiki/Sarbanes%E2%80%93Oxley_Act).

ISO 27000 სერია

ინფორმაციული უსაფრთხოების რისკებზე ორიენტირებული ISO 27000 სერია საერთაშორისო სტანდარტების ორგანიზაციის (International Standards Organization; აქვე შევნიშნავთ რომ ISO არ არის აბრევიატურა, არამედ მომდინარეობს ბერძნული სიტყვიდან “iso” (იზო), რაც ნიშნავს გაზომვას) მიერაა შექმნილი და ის ყველაზე ფართოდ გამოყენებული ინფორმაციული უსაფრთხოების სტანდარტია.

ISO 27000 სერია ფრიად მრავლისმომცველი სტანდარტია, რომლის გამოყენებაც ყველა ტიპისა და ზომის ორგანიზაციას შეუძლია. მისი მნიშვნელობა იმდენად დიდია, რომ თავისუფლად შეიძლება მივიჩნიოთ  ISO 9000 – ხარისხის სტანდარტის – ეკვივალენტად ინფორმაციული უსაფრთხოების სფეროში.

ISO 27000 სერია შინაარსის მიხედვით დაყოფილია ქვესტანდარტებად. ასე მაგალითად, ISO 27000 მოიცავს ინფორმაციული უსაფრთხოების ტერმინთა ლექსიკონსა და განმარტებებს; ISO 27001 განსაზღვრავს ინფორმაციული უსაფრთხოების პროგრამის მოთხოვნებს, რომლებსაც ამ დოკუმენტის თანახმად კონტროლები (Controls) ეწოდება; ISO 27002 ადგენს თუ რა კონკრეტული ნაბიჯები უნდა გადაიდგას ISO 27001-ში არსებული მოთხოვნების შესასრულებლად, ანუ როგორ უნდა მოხდეს კონტროლების იმპლემენტაცია პრაქტიკაში; ISO 27003 – უსაფრთხოების პროგრამის იმპლემენტაციისთვის საჭირო დირექტივებს გვთავაზობს, ISO 27004 – გვეუბნება თუ როგორ უნდა გაიზომოს წარმატებული ინფორმაციული უსაფრთხოების მენეჯმენტი და რა კონკრეტული საზომები არსებობს ამისთვის (security metrics), ISO 27005 – ინფორმაციული უსაფრთხოების რისკების მენეჯმენტში გვეხმარება და ასე შემდეგ. 27k სერიებიდან ყველას ჩამოთვლა შორს წაგვიყვანს. დაინტერესებულ მკითხველს სრული ჩამონათვალი შეუძლია იხილოს შემდეგ მისამართზე: http://www.iso27001security.com/html/timeline.html

ISO 27k სერია კონკრეტულ სფეროებსაც მოიცავს, ასე მაგალითად, ISO 27799 – ადგენს ინფორმაციული უსაფრთხოების წესებს ჯანდაცვის ორგანიზაციებში (მაგ. საავადმყოფოები). ასევე, მიმდინარეობს მუშაობა საუკეთესო პრაქტიკების დადგენისთვის ღრუბლოვანი სერვისებში, ინფორმაციის სანახი მოწყობილობების უსაფრთხოებასა და ციფრული მტკიცებულებების მოპოვებისა და შენახვისთვის.

ISO 27k ფრეიმვორქი ნებისმიერ ინდუსტრიას შეუძლია გამოიყენოს, თუმცა სერთიფიკატის მინიჭებისთვის აუცილებელია კომპანიას გააჩნდეს აქტიური ინფორმაციული უსაფრთხოების პროგრამა, რომელიც აკმაყოფილებს შესაბამის მოთხოვნებს.

NIST Special Publication SP 800 სერია

ამერიკის შეერთებული შტატების სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი (U.S. National Institute of Standards and Technology – NIST) ინფორმაციული უსაფრთხოების სტანდარტებისა და საუკეთესო პრაქტიკების შემუშავებას თითქმის 3 ათწლეულია ახორციელებს. NIST-ის 800 სერიის პირველი პუბლიკაცია 1990 წელს გამოიცა და ის იმ დონემდე განვითარდა, რომ დღესდღეობით ინფორმაციული უსაფრთხოების პრაქტიკულად ყველა ასპექტს მოიცავს.

ინფორმაციული უსაფრთხოების საკითხში პუბლიკაცია NIST SP 800-53 არის მთავარი მოდელი, ინფორმაციული კონტროლების ერთგვარი კატალოგი, რომელიც ამერიკის შეერთებული შტატების ფედერალური ინსტიტუტებისთვის შეიქმნა (ეროვნული უსაფრთხოების გამოკლებით) და რომლის ბაზაზეც შემდეგ ჩამოყალიბდა სპეციალური პუბლიკაციების მთელი რიგი დოკუმენტები. კომპანიებს, რომლებსაც სურთ, რომ თანხვედრაში იყვნენ ამერიკის ინფორმაციების დამუშავების ფედერალურ სტანდარტთან (FIPS 200), სწორედ NIST SP 800-53-ის იმპლემენტაციას ახდენენ.

NIST SP800-53 ხუთ მთავარ ფუნქციადაა დაყოფილი. ესენია: იდენტიფიცირება, დაცვა, გამოვლენა, საპასუხო ქმედებები და სიტუაციის გამოსწორება. ფუნქციები კი თავის მხრივ კატეგორიებად და ქვეკატეგორიებადაა დაყოფილი. სურათზე შეგიძლიათ ნახოთ აღნიშნული ფუნქციები, კატეგორიები და ქვეკატეგორიები:

მიუხედავად იმისა, რომ NIST ფრეიმვორქი სამთავრობო სააგენტოებისთვის შეიქმნა, მისი გამოყენება, ფაქტიურად, ნებისმიერ ინდუსტრიაში შეიძლება. ის ერთ-ერთი წამყვანი ინფორმაციული უსაფრთხოების სტანდარტია მსოფლიოში და კომპანიამ, რომელსაც სურს ჰქონდეს კარგი ინფორმაციული უსაფრთხოების პოლიტიკა და მის ბაზაზე შექმნას შესაბამისი უსაფრთხოების პროგრამა, აუცილებლად უნდა მიაქციოს სათანადო ყურადღება NIST ფრეიმვოქრში არსებულ კონტროლებს.

ITIL – ინფორმაციული ტექნოლოგიების ინფრასტრუქტურის ბიბლიოთეკა

ITIL – Information Technology Infrastructure Library – დიდი ბრიტანეთის კომპიუტერებისა და ტელეკომუნიკაციების ცენტრალური სააგენტოს (CCTA) მიერ შეიქმნა ჯერ კიდევ 1980 წელს, როგორც უსაფრთხოების რეკომენდაციები სამთავრობო სააგენტოებისა და კერძო კომპანიებისთვის, რომლებმაც ერთიანი სისტემის არარსებობის გამო საკუთარი დანაწევრებული ინფორმაციული უსაფრთხოების პრაქტიკების დანერგვა დაიწყეს.

შექმნის დღიდან მოყოლებული ITIL-მა მრავალი ცვლილება განიცადა.

დღეს მოქმედი ვერსია ITIL v3 2007 წელს ჩამოყალიბდა და 2011 წელს განახლდა. ის ინფორმაციული ტექნოლოგიების სერვისების მენეჯმენტის დეტალურ პრაქტიკებს გვთავაზობს და ფოკუსირებულია ინფორმაციული ტექნოლოგიების სერვისებისა და ბიზნეს საჭიროებების ერთმანეთთან მორგებაზე. სურათზე თქვენ ხედავთ ITIL სერვისების ციკლს:

ITIL v3 სერვისების ციკლი 5 ნაწილადაა დაყოფილი (სტრატეგია, დიზაინი, ცვლილება, ოპერაციები და სერვისების მუდმივი გაუმჯობესება), რომელიც ინფორმაციული და კიბერ უსაფრთხოების თითქმის ყველა სფეროს მოიცავს და განიხილავს როგორც პროცესებს ისე ფუნქციებს.

დეტალური პრაქტიკების არსებობის, იმპლემენტაციის შედარებითი სიმარტივისა და ბიზნეს საჭიროებებზე ორიენტირებულობის გამო, ITIL-ის პოპულარობა ბოლო პერიოდში მნიშვნელოვნად გაიზარდა, განსაკუთრებით მმართველობით წრეებში.

ITIL მოიცავს ინფორმაციული უსაფრთხოებისთვის საჭირო ბევრ კომპონენტს და დეტალურად ხსნის მათ. ამ კომპონენტებიდან განსაკუთრებით აღსანიშნავია ინციდენტების მენეჯმენტი, წვდომის მენეჯმენტი, ცვლილებების მენეჯმენტი, IT ოპერაციების კონტროლი და კონფიგურაციების მენეჯმენტი. პროცესებისა და ფუნქციების სრული ჩამონათვალი შეგიძლიათ იხილოთ სურათზე:

 

ევროკავშირის ქსელებისა და ინფორმაციული სისტემების დირექტივა

ალბათ გაგიჩნდებათ კითხვა, რას იყენებს ევროკავშირი?

ევროკავშირს გააჩნია სპეციალური დირექტივა, რომელსაც ქსელებისა და ინფორმაციული სისტემების (ქ.ი.ს) დირექტივა (network and information systems (NIS Directive)) ეწოდება. აღნიშნული დირექტივა ევროპარლამენტმა 2016 წლის 6 ივლისს დაამტკიცა და ძალაში იმავე წლის აგვისტოში შევიდა. ევროკავშირის წევრებს, ამ მომენტიდან მიეცათ 21 თვე აღნიშნული დირექტივის შესაბამისი ცვლილებების განსახორციელებლად საკუთარ კანონმდებლობაში.

ევროკავშირის NIS დირექტივა წევრ სახელმწიფოებს გარკვეულ მოთხოვნებს უყენებს კიბერუსაფრთხოების საერთო დონის გაუმჯობესების მიზნით. დირექტივის მოთხოვნებიდან აღვნიშნავთ რამდენიმეს:

  • წევრი ქვეყნები სათანადოდ უნდა იყვნენ მზად კიბერ შეტევის მოსაგერიებლად და ამისთვის მათ უნდა გააჩნდეთ სპეციალურად ჩამოყალიბებული კომპიუტერულ ინციდენტებზე სწრაფი რეაგირების ჯგუფი.
  • წევრი სახელმწიფოები კიბერ ინციდენტების საკითხებში ერთმანეთთან უნდა თანამშრომლობდნენ და უნდა ჩამოყალიბდეს კომპიუტერულ ინციდენტებზე სწრაფი რეაგირების ჯგუფების ერთიანი ქსელი.
  • სასიცოცხლოდ მნიშვნელოვანი სფეროების წარმომადგენელ, როგორც საჯარო ისე კერძო, კომპანიებსა და ორგანიზაციებში უნდა ჩამოყალიბდეს და არსებობდეს კიბერ უსაფრთხოების განვითარებული კულტურა. ასეთ ორგანიზაციებს განეკუთვნება კომპანიები რომლებიც საქმიანობენ შემდეგ სფეროებში: ენერგეტიკა, ტრანსპორტი, წყალმომარაგება, საბანკო სისტემა, ფინანსური ბაზრები, ჯანდაცვა და ციფრული ინფრასტრუქტურა.

და ბოლოს, კარგი იქნება თუ კომენტარებში გაგვიზიარებთ ჩვენც და მკითხველსაც, რომელ სტანდარტს ან სტანდარტებს იყენებს თქვენი ორგანიზაცია.