SoA და რისკების მართვა: რას ამოწმებს აუდიტორი
SoA (Statement of Applicability, „გამოყენებადობის განცხადება“) ერთ-ერთია იმ დოკუმენტებს შორის, რომელსაც აუდიტორი ისეთივე ყურადღებით ეკიდება, როგორც ბუღალტერი — ანგარიშების შედარებას. იგი აჩვენებს, ინფორმაციული უსაფრთხოების რომელი კონტროლები აირჩიეთ, რომლები — არა და რაც მთავარია — რატომ. კომპანიებისთვის, რომლებისთვისაც მნიშვნელოვანია ბიზნესის დაცვა საქართველოში (განსაკუთრებით საერთაშორისო კლიენტების, აუთსორსინგის, ფინტექისა და e-commerce-ის არსებობისას), SoA ხდება მიდგომის სიმწიფის მტკიცებულება და არა უბრალოდ „ჩექლისთვის შექმნილი საქაღალდე“.
რა არის SoA და რატომ არის ის საჭირო
თუ ISO 27001 არის „თამაშის წესები“, SoA არის „თქვენი მოთამაშეების განლაგება მოედანზე“. SoA-ში, როგორც წესი, ფიქსირდება:
როგორ არის SoA დაკავშირებული რისკების მართვასთან
SoA ცალკე არ არსებობს — ის მჭიდროდ არის დაკავშირებული რისკების შეფასებასთან: აქტივები → საფრთხეები → მოწყვლადობები → რისკი → რისკის დამუშავების გადაწყვეტილება → კონტროლი → შესრულების დადასტურება. თუ საწარმოში გამართულია რისკების მართვის სისტემა, SoA ხდება მისი „ვიტრინა“ აუდიტორისთვის: მასზე სწრაფად ჩანს, რამდენად გააზრებულია კონტროლების არჩევანი.
ასევე მნიშვნელოვანია პროექტის რისკების მართვა: ISO 27001-ის დანერგვა არის პროექტი, და ჩავარდნები ხშირად არა „ცუდი სტანდარტის“, არამედ ვადების დარღვევის, როლების გაურკვევლობისა და პროცესების მფლობელების არარსებობის გამო ხდება. ამიტომ აუდიტორი ხშირად სვამს კითხვებს არა მხოლოდ ინფორმაციულ უსაფრთხოებაზე, არამედ იმაზე, როგორ მართავთ ცვლილებებს და გეგმის შესრულებას.
რას ამოწმებს აუდიტორი SoA-ში
სანამ ჩამონათვალზე გადავალთ — მთავარი აზრი: აუდიტორი ეძებს კავშირსა და თანმიმდევრულობას. მისთვის მნიშვნელოვანია დაინახოს, რომ SoA არ არის შაბლონიდან დაკოპირებული, არამედ ასახავს თქვენს კონტექსტს, ბიზნესს და რეალურ რისკებს.
ტიპური შეცდომები, რის გამოც SoA აუდიტზე სუსტდება
1) SoA არ არის მიბმული რისკების შეფასებაზე
კონტროლები აირჩევა „რადგან შაბლონში ასეა“. შედეგად არსებობს ზომები, რომლებიც მთავარ რისკებს არ ფარავს, და არ არსებობს ზომები იქ, სადაც ისინი საჭიროა.
2) „არ გამოიყენება“ რეალური დასაბუთების გარეშე
ფრაზა „ღრუბელს არ ვიყენებთ“ არ მუშაობს, თუ ელფოსტა SaaS-ზეა ან ბექაპები ღრუბლოვან საცავში ინახება.
3) შესრულების კვალის არარსებობა
კონტროლი ქაღალდზე არსებობს, მაგრამ არ არის ლოგები, ანგარიშები, შემოწმებების შედეგები ან თანამშრომელთა სწავლების დადასტურებები.
როგორ მოვემზადოთ, რომ აუდიტმა მშვიდად ჩაიაროს
თუ გსურთ SoA და რისკების მართვის მოწესრიგება ზედმეტი ბიუროკრატიის გარეშე, უმჯობესია იმუშაოთ კონსულტანტებთან, რომლებიც კარგად იცნობენ როგორც სტანდარტს, ისე ადგილობრივ ბიზნეს-პრაქტიკას. Baltum Bureau-ის ვებგვერდზე შეგიძლიათ გაეცნოთ სამუშაო მიმართულებებსა და ფორმატს.
გონივრულად შედგენილი SoA ნიშნავს არა მხოლოდ აუდიტის გავლას, არამედ მკაფიო სურათს: რომელი რისკებია მნიშვნელოვანი თქვენი ბიზნესისთვის, როგორ ფარავთ მათ და როგორ ინარჩუნებთ ამას ყოველდღიურ პრაქტიკაში. ეს არის ბიზნესის პრაქტიკული დაცვა საქართველოში და არა „სერტიფიკატი სერტიფიკატისთვის“.
რა არის SoA და რატომ არის ის საჭირო
თუ ISO 27001 არის „თამაშის წესები“, SoA არის „თქვენი მოთამაშეების განლაგება მოედანზე“. SoA-ში, როგორც წესი, ფიქსირდება:
- კონტროლების ჩამონათვალი (ხშირად ISO/IEC 27002-ის საფუძველზე);
- სტატუსი: გამოყენებადი / არ გამოიყენება / ნაწილობრივ გამოიყენება;
- არჩევის ან გამორიცხვის დასაბუთება;
- რისკზე (ან რისკების ჯგუფზე) მითითება, რომელსაც კონტროლი ფარავს;
- კავშირი პოლიტიკებთან, პროცედურებთან და დანერგვის მტკიცებულებებთან.
როგორ არის SoA დაკავშირებული რისკების მართვასთან
SoA ცალკე არ არსებობს — ის მჭიდროდ არის დაკავშირებული რისკების შეფასებასთან: აქტივები → საფრთხეები → მოწყვლადობები → რისკი → რისკის დამუშავების გადაწყვეტილება → კონტროლი → შესრულების დადასტურება. თუ საწარმოში გამართულია რისკების მართვის სისტემა, SoA ხდება მისი „ვიტრინა“ აუდიტორისთვის: მასზე სწრაფად ჩანს, რამდენად გააზრებულია კონტროლების არჩევანი.
ასევე მნიშვნელოვანია პროექტის რისკების მართვა: ISO 27001-ის დანერგვა არის პროექტი, და ჩავარდნები ხშირად არა „ცუდი სტანდარტის“, არამედ ვადების დარღვევის, როლების გაურკვევლობისა და პროცესების მფლობელების არარსებობის გამო ხდება. ამიტომ აუდიტორი ხშირად სვამს კითხვებს არა მხოლოდ ინფორმაციულ უსაფრთხოებაზე, არამედ იმაზე, როგორ მართავთ ცვლილებებს და გეგმის შესრულებას.
რას ამოწმებს აუდიტორი SoA-ში
სანამ ჩამონათვალზე გადავალთ — მთავარი აზრი: აუდიტორი ეძებს კავშირსა და თანმიმდევრულობას. მისთვის მნიშვნელოვანია დაინახოს, რომ SoA არ არის შაბლონიდან დაკოპირებული, არამედ ასახავს თქვენს კონტექსტს, ბიზნესს და რეალურ რისკებს.
- SoA-ის ვერსიის აქტუალობა: ემთხვევა თუ არა თარიღები/რელიზები მიმდინარე რისკების შეფასებასა და რისკების დამუშავების გეგმას.
- კონტროლების დაფარვის სისრულე: განხილულია თუ არა ყველა რელევანტური კონტროლი და არ არსებობს „ხვრელები“ ახსნის გარეშე.
- „არ გამოიყენება“ სტატუსის დასაბუთება: ლოგიკა უნდა იყოს ნათელი და შემოწმებადი (მაგალითად, „დისტანციური წვდომა არ არსებობს“ — მაშინ აჩვენეთ, როგორ არის იგი ტექნიკურად გამორიცხული).
- ტრასირებადობა „რისკი → კონტროლი“: შესაძლებელია თუ არა SoA-ის მიხედვით გაიგოთ, კონკრეტული კონტროლი რომელ რისკს ფარავს და სად არის ეს ასახული დოკუმენტებში.
- დანერგვის მტკიცებულებები: პოლიტიკები, პროცედურები, ჟურნალები, სწავლების ჩანაწერები, ტესტირების შედეგები, მონიტორინგის ანგარიშები.
- პრაქტიკული გამოყენებადობა: შეესაბამება თუ არა დაწერილი რეალობას (მაგალითად, „წვდომის მართვა არსებობს“, მაგრამ სინამდვილეში ყველას ერთი საერთო ანგარიში აქვს — ეს სწრაფად გამოვლინდება).
ტიპური შეცდომები, რის გამოც SoA აუდიტზე სუსტდება
1) SoA არ არის მიბმული რისკების შეფასებაზე
კონტროლები აირჩევა „რადგან შაბლონში ასეა“. შედეგად არსებობს ზომები, რომლებიც მთავარ რისკებს არ ფარავს, და არ არსებობს ზომები იქ, სადაც ისინი საჭიროა.
2) „არ გამოიყენება“ რეალური დასაბუთების გარეშე
ფრაზა „ღრუბელს არ ვიყენებთ“ არ მუშაობს, თუ ელფოსტა SaaS-ზეა ან ბექაპები ღრუბლოვან საცავში ინახება.
3) შესრულების კვალის არარსებობა
კონტროლი ქაღალდზე არსებობს, მაგრამ არ არის ლოგები, ანგარიშები, შემოწმებების შედეგები ან თანამშრომელთა სწავლების დადასტურებები.
როგორ მოვემზადოთ, რომ აუდიტმა მშვიდად ჩაიაროს
- გადაამოწმეთ, რომ SoA განახლებულია და შეესაბამება მიმდინარე რისკებსა და დამუშავების გეგმას.
- თითოეული საკვანძო კონტროლისთვის შეაგროვეთ „მტკიცებულებების პაკეტი“: დოკუმენტი + ჩანაწერი/ლოგი + გამოყენების მაგალითი.
- შეადარეთ SoA რეალურ პროცესებს: წვდომები, ინციდენტები, რეზერვული კოპირება, ცვლილებების მართვა.
- დანიშნეთ კონტროლების მფლობელები — აუდიტორისთვის მნიშვნელოვანია, რომ „ზომას ჰყავდეს პასუხისმგებელი“, და არა „ეს სადღაც IT-შია“.
თუ გსურთ SoA და რისკების მართვის მოწესრიგება ზედმეტი ბიუროკრატიის გარეშე, უმჯობესია იმუშაოთ კონსულტანტებთან, რომლებიც კარგად იცნობენ როგორც სტანდარტს, ისე ადგილობრივ ბიზნეს-პრაქტიკას. Baltum Bureau-ის ვებგვერდზე შეგიძლიათ გაეცნოთ სამუშაო მიმართულებებსა და ფორმატს.
გონივრულად შედგენილი SoA ნიშნავს არა მხოლოდ აუდიტის გავლას, არამედ მკაფიო სურათს: რომელი რისკებია მნიშვნელოვანი თქვენი ბიზნესისთვის, როგორ ფარავთ მათ და როგორ ინარჩუნებთ ამას ყოველდღიურ პრაქტიკაში. ეს არის ბიზნესის პრაქტიკული დაცვა საქართველოში და არა „სერტიფიკატი სერტიფიკატისთვის“.
