შესაბამისობა EASA Part-IS‑თან: როგორ მოემზადონ საქართველოს საავიაციო ორგანიზაციები აუდიტისთვის
EASA Part-IS — ეს არის რეგულატორული მოთხოვნები ინფორმაციული უსაფრთხოების (IS) რისკების მართვისთვის, რომლებიც შეიძლება გავლენას ახდენდეს საავიაციო უსაფრთხოებაზე. საქართველოს კომპანიებისთვის (თბილისი, ბათუმი), რომლებიც თანამშრომლობენ ევროკავშირთან, ეს გავლენას ახდენს დამტკიცებებსა და კონტრაქტებზე: Implementing Regulation (EU) 2023/203 ძალაში შედის 2026 წლის 22 თებერვლიდან.
ვინ ვალდებულია დაიცვას EASA Part-IS
ვინ უნდა დაიცვას EASA Part-IS — ორგანიზაციები, რომლებიც ექვემდებარებიან ევროპულ საავიაციო ზედამხედველობას და მათი კრიტიკული კონტრაქტორები. ამ სიაში შედის, მაგალითად, CAMO და ოპერატორები, ATO, ANSP; ცალკე რეგულირდება აეროპორტები და design/production ორგანიზაციები.
საქართველოს ბაზრისთვის ყველაზე ხშირად ყურადღების ცენტრში არიან:
· MRO ორგანიზაციები Part‑145 დამტკიცებით (მათ შორის foreign Part‑145);
· CAMO/CAO ორგანიზაციები ევროპული მოთხოვნების მქონე კლიენტებისთვის;
· IT/SaaS/ფინტექ მომწოდებლები, რომლებიც დაკავშირებულია დამკვეთის სისტემებთან ან ამუშავებენ ევროკავშირის მონაცემებს.
როგორ მოვემზადოთ EASA Part-IS‑ისთვის: რას ამოწმებს აუდიტორი
EASA Part‑IS აუდიტისთვის მოსამზადებლად აუდიტს უნდა მიუდგეთ როგორც მოქმედი სისტემის შემოწმებას და არა მხოლოდ პოლიტიკების საქაღალდეს. ყველაზე ხშირად პრობლემები ჩნდება scope‑ის განსაზღვრაში, მტკიცებულებებში და მომწოდებლების მართვაში.
სამუშაო ეტაპები:
1. განსაზღვრეთ scope: რომელი სისტემები/მონაცემები და ინტეგრაციები შეიძლება გავლენას ახდენდეს უსაფრთხოებაზე (ტექ. მომსახურება, წვდომები, კონფიგურაციები, პარტნიორებთან მონაცემთა გაცვლა).
2. მოარგეთ ISMS საავიაციო კონტექსტს: რისკების რეესტრი და მათი მიღების კრიტერიუმები safety/compliance გუნდების მონაწილეობით.
3. გააკონტროლეთ მომწოდებლების ჯაჭვი: წვდომის მოთხოვნები, ინციდენტებზე SLA, ცვლილებების კონტროლი პროვაიდერებში.
4. დაამუშავეთ ინციდენტები: როლები, კონტაქტები, სცენარები, სავარჯიშოები და შედეგების ანალიზი.
5. მოამზადეთ მტკიცებულებები: ტრენინგები, წვდომების გადახედვა, ტესტებისა და სკანირების შედეგები, პროტოკოლები, მეტრიკები.
ჩეკლისტი EASA Part-IS აუდიტამდე
ქვემოთ მოცემულია პრაქტიკული EASA Part‑IS ჩეკლისტი თვითშეფასებისთვის. მონიშნეთ, სად გაქვთ მხოლოდ დოკუმენტი და სად რეალურად მუშაობს პროცესი.
· განსაზღვრულია როლები და პროცესების მფლობელები (ISMS, incident, vendor, change), არსებობს პასუხისმგებლობის მატრიცა.
· აღწერილია scope: აქტივები, ლოკაციები, cloud/outsourcing, ინტეგრაციები, კრიტიკული სისტემები.
· რისკების შეფასება დაკავშირებულია საავიაციო უსაფრთხოებაზე გავლენასთან; რისკის მიღების კრიტერიუმები დამტკიცებულია.
· კონტროლები იმართება როგორც სისტემა: წვდომები, MFA, სარეზერვო ასლები, ლოგირება/მონიტორინგი, ცვლილებების მართვა.
· მომწოდებლები კონტროლის ქვეშ არიან: due diligence, კონტრაქტული მოთხოვნები, ინციდენტების შესახებ შეტყობინება.
· ინციდენტები და სისუსტეები რეგისტრაციიდან დახურვამდე მართვაშია; არსებობს გაკვეთილები და გაუმჯობესების გეგმა.
· ტრენინგები დადასტურებულია ჩანაწერებით; კრიტიკული როლებისთვის — გაღრმავებული მოდულები.
· მტკიცებულებების პაკეტი მზად არის: პოლიტიკები, პროცედურები, ჟურნალები, ანგარიშები, KPI.
სწრაფი რჩევა: ჩაატარეთ mini‑pre‑audit 2–3 სცენარის მიხედვით (ინციდენტი, წვდომა, ცვლილება) — ასე წინასწარ აღმოაჩენთ სუსტ ადგილებს.
რა უნდა მოამზადოთ აუდიტის პირველ დღემდე
აუდიტორისთვის მნიშვნელოვანია სწრაფად დაინახოს კავშირი „რისკი → კონტროლი → მტკიცებულება“. მოამზადეთ მინიმუმი, რომლის ჩვენებაც 15 წუთში იქნება შესაძლებელი.
· scope‑ის რუკა და კრიტიკული აქტივებისა და ინტეგრაციების სია.
· რისკების რეესტრი ბოლო გადახედვით + 2–3 მაგალითი მტკიცებულებისა (ტრენინგი, წვდომების გადახედვა, ინციდენტი).
EASA Part-IS‑ისა და ISO 27001‑ის განსხვავება
EASA Part‑IS‑სა და ISO 27001‑ს შორის მთავარი განსხვავება არის საავიაციო უსაფრთხოებაზე ფოკუსი და ზედამხედველობის ლოგიკა. ISO/IEC 27001 უზრუნველყოფს უნივერსალურ ჩარჩოს ISMS‑ისთვის, ხოლო Part‑IS მოითხოვს ინფორმაციული უსაფრთხოების რისკების დაკავშირებას safety‑კონტექსტთან და მათი მიღების დონეებთან.
EASA Part-IS სერტიფიკაცია საქართველოში: როგორ სწორად ავაწყოთ პროექტი
საქართველოში EASA Part‑IS სერტიფიკაცია, როგორც წესი, ნიშნავს შემოწმებისთვის მზადებას და შესაბამისობის დამაჯერებელ დადასტურებას. Part‑IS დადასტურებულია ზედამხედველობის/აუდიტის გზით საავიაციო დამტკიცებების ფარგლებში, ამიტომ სტრატეგია მოიცავს gap‑assessment‑ს, ხარვეზების დახურვის გეგმას და გუნდის მომზადებას ინტერვიუსა და შერჩევითი შემოწმებებისთვის.
Baltum Bureau დაგეხმარებათ ამ გზის გავლაში: დიაგნოსტიკა, ISMS‑ის ადაპტაცია თქვენი scope‑ის მიხედვით და აუდიტისთვის მომზადება.
ვინ ვალდებულია დაიცვას EASA Part-IS
ვინ უნდა დაიცვას EASA Part-IS — ორგანიზაციები, რომლებიც ექვემდებარებიან ევროპულ საავიაციო ზედამხედველობას და მათი კრიტიკული კონტრაქტორები. ამ სიაში შედის, მაგალითად, CAMO და ოპერატორები, ATO, ANSP; ცალკე რეგულირდება აეროპორტები და design/production ორგანიზაციები.
საქართველოს ბაზრისთვის ყველაზე ხშირად ყურადღების ცენტრში არიან:
· MRO ორგანიზაციები Part‑145 დამტკიცებით (მათ შორის foreign Part‑145);
· CAMO/CAO ორგანიზაციები ევროპული მოთხოვნების მქონე კლიენტებისთვის;
· IT/SaaS/ფინტექ მომწოდებლები, რომლებიც დაკავშირებულია დამკვეთის სისტემებთან ან ამუშავებენ ევროკავშირის მონაცემებს.
როგორ მოვემზადოთ EASA Part-IS‑ისთვის: რას ამოწმებს აუდიტორი
EASA Part‑IS აუდიტისთვის მოსამზადებლად აუდიტს უნდა მიუდგეთ როგორც მოქმედი სისტემის შემოწმებას და არა მხოლოდ პოლიტიკების საქაღალდეს. ყველაზე ხშირად პრობლემები ჩნდება scope‑ის განსაზღვრაში, მტკიცებულებებში და მომწოდებლების მართვაში.
სამუშაო ეტაპები:
1. განსაზღვრეთ scope: რომელი სისტემები/მონაცემები და ინტეგრაციები შეიძლება გავლენას ახდენდეს უსაფრთხოებაზე (ტექ. მომსახურება, წვდომები, კონფიგურაციები, პარტნიორებთან მონაცემთა გაცვლა).
2. მოარგეთ ISMS საავიაციო კონტექსტს: რისკების რეესტრი და მათი მიღების კრიტერიუმები safety/compliance გუნდების მონაწილეობით.
3. გააკონტროლეთ მომწოდებლების ჯაჭვი: წვდომის მოთხოვნები, ინციდენტებზე SLA, ცვლილებების კონტროლი პროვაიდერებში.
4. დაამუშავეთ ინციდენტები: როლები, კონტაქტები, სცენარები, სავარჯიშოები და შედეგების ანალიზი.
5. მოამზადეთ მტკიცებულებები: ტრენინგები, წვდომების გადახედვა, ტესტებისა და სკანირების შედეგები, პროტოკოლები, მეტრიკები.
ჩეკლისტი EASA Part-IS აუდიტამდე
ქვემოთ მოცემულია პრაქტიკული EASA Part‑IS ჩეკლისტი თვითშეფასებისთვის. მონიშნეთ, სად გაქვთ მხოლოდ დოკუმენტი და სად რეალურად მუშაობს პროცესი.
· განსაზღვრულია როლები და პროცესების მფლობელები (ISMS, incident, vendor, change), არსებობს პასუხისმგებლობის მატრიცა.
· აღწერილია scope: აქტივები, ლოკაციები, cloud/outsourcing, ინტეგრაციები, კრიტიკული სისტემები.
· რისკების შეფასება დაკავშირებულია საავიაციო უსაფრთხოებაზე გავლენასთან; რისკის მიღების კრიტერიუმები დამტკიცებულია.
· კონტროლები იმართება როგორც სისტემა: წვდომები, MFA, სარეზერვო ასლები, ლოგირება/მონიტორინგი, ცვლილებების მართვა.
· მომწოდებლები კონტროლის ქვეშ არიან: due diligence, კონტრაქტული მოთხოვნები, ინციდენტების შესახებ შეტყობინება.
· ინციდენტები და სისუსტეები რეგისტრაციიდან დახურვამდე მართვაშია; არსებობს გაკვეთილები და გაუმჯობესების გეგმა.
· ტრენინგები დადასტურებულია ჩანაწერებით; კრიტიკული როლებისთვის — გაღრმავებული მოდულები.
· მტკიცებულებების პაკეტი მზად არის: პოლიტიკები, პროცედურები, ჟურნალები, ანგარიშები, KPI.
სწრაფი რჩევა: ჩაატარეთ mini‑pre‑audit 2–3 სცენარის მიხედვით (ინციდენტი, წვდომა, ცვლილება) — ასე წინასწარ აღმოაჩენთ სუსტ ადგილებს.
რა უნდა მოამზადოთ აუდიტის პირველ დღემდე
აუდიტორისთვის მნიშვნელოვანია სწრაფად დაინახოს კავშირი „რისკი → კონტროლი → მტკიცებულება“. მოამზადეთ მინიმუმი, რომლის ჩვენებაც 15 წუთში იქნება შესაძლებელი.
· scope‑ის რუკა და კრიტიკული აქტივებისა და ინტეგრაციების სია.
· რისკების რეესტრი ბოლო გადახედვით + 2–3 მაგალითი მტკიცებულებისა (ტრენინგი, წვდომების გადახედვა, ინციდენტი).
EASA Part-IS‑ისა და ISO 27001‑ის განსხვავება
EASA Part‑IS‑სა და ISO 27001‑ს შორის მთავარი განსხვავება არის საავიაციო უსაფრთხოებაზე ფოკუსი და ზედამხედველობის ლოგიკა. ISO/IEC 27001 უზრუნველყოფს უნივერსალურ ჩარჩოს ISMS‑ისთვის, ხოლო Part‑IS მოითხოვს ინფორმაციული უსაფრთხოების რისკების დაკავშირებას safety‑კონტექსტთან და მათი მიღების დონეებთან.
EASA Part-IS სერტიფიკაცია საქართველოში: როგორ სწორად ავაწყოთ პროექტი
საქართველოში EASA Part‑IS სერტიფიკაცია, როგორც წესი, ნიშნავს შემოწმებისთვის მზადებას და შესაბამისობის დამაჯერებელ დადასტურებას. Part‑IS დადასტურებულია ზედამხედველობის/აუდიტის გზით საავიაციო დამტკიცებების ფარგლებში, ამიტომ სტრატეგია მოიცავს gap‑assessment‑ს, ხარვეზების დახურვის გეგმას და გუნდის მომზადებას ინტერვიუსა და შერჩევითი შემოწმებებისთვის.
Baltum Bureau დაგეხმარებათ ამ გზის გავლაში: დიაგნოსტიკა, ISMS‑ის ადაპტაცია თქვენი scope‑ის მიხედვით და აუდიტისთვის მომზადება.
