ყაზახეთში, უზბეკეთში, საქართველოში და ყირგიზეთში ავიაკომპანიებს, აეროპორტებს, MRO-სა და IT-პროვაიდერებს სულ უფრო ხშირად უწევთ ერთდროულად ორი ლოგიკის დაკმაყოფილება: დარგობრივი (ავიაციური) და მმართველობითი (კორპორაციული). ამიტომ EASA Part-IS დსთ-ის სივრცეში აღარ არის უბრალოდ ახალი მოთხოვნა, არამედ მოსახერხებელი ტრიგერია — უსაფრთხოების ისე გადაწყობისთვის, რომ მან რეალურად დაუჭიროს მხარი უწყვეტ ფრენებსა და სერვისს და არ „იცხოვროს“ მხოლოდ პოლიტიკების ცალკე საქაღალდეში.
რატომ არის ავიაციის ინფორმაციული უსაფრთხოება ოპერაციებზე და არა მხოლოდ IT-ზე
ავიაციაში ციფრული სერვისების შეფერხება სწრაფად გადაიქცევა პროცესის შეფერხებად: დაგვიანებები, რეისების გაუქმება, მონაცემთა დაკარგვა, დაგეგმვის ან მომსახურების შეუძლებლობა. აქედან გამომდინარეობს მნიშვნელოვანი ნიუანსი: ავიაციის ინფორმაციული უსაფრთხოება არის იმ რისკების მართვა, რომლებიც შეიძლება გავლენას ახდენდეს ოპერაციულ მდგრადობაზე. მნიშვნელობა არ აქვს, სად მოხდა გაუმართაობა — ქსელში, კონტრაქტორთან თუ ღრუბელში — შედეგები აისახება განრიგსა და მომსახურების უსაფრთხოებაზე.
ISO/IEC 27001: მმართველობითი „ძრავა“, რომელზეც მოსახერხებელია განთავსება ავიაციური მოთხოვნები
ISO/IEC 27001 — ეს არის ინფორმაციული უსაფრთხოების მართვის სისტემა (ISMS): კონტექსტი, რისკები, ზომები, კონტროლი და გაუმჯობესება. რეგიონში, მათ შორის ყაზახეთსა და მეზობელ ქვეყნებში, ISO 27001-ზე მოთხოვნა ხშირად მოდის იმ ბიზნესებიდან, რომლებიც მუშაობენ საერთაშორისო მიწოდების ჯაჭვებთან, ფინანსურ სექტორთან და მსხვილ დამკვეთებთან: სტანდარტი გასაგებია, შემოწმებადია და პასუხისმგებლობების გამიჯვნას ამარტივებს.
იმისათვის, რომ სწრაფად გადაამოწმოთ, რა შედის სერტიფიკაციასა და ტრენინგში, შეგიძლიათ დაეყრდნოთ შესაბამის სერვისს ISO/IEC 27001:2022 — სერტიფიკაცია და ტრენინგი — იქ ნათლად ჩანს სისტემის აგების ლოგიკა მომზადებიდან დამტკიცებამდე.
რით განსხვავდება Part-IS და რატომ არ შეიძლება მისი დანერგვა ISO-ს პარალელურად
EASA Part-IS აძლიერებს დარგობრივ ნაწილს: მოლოდინებს საფრთხეებისა და ინციდენტების მართვაზე, კრიტიკულ სისტემებში ცვლილებების კონტროლზე, მომწოდებლებთან ურთიერთობაზე და კონტროლის მტკიცებადობაზე. მთავარი შეცდომაა ცალკე Part-IS სისტემის შექმნა ISO-ს პარალელურად: ორი რისკების რეესტრი, ორი ინციდენტების პროცესი, განსხვავებული როლები და ანგარიშგება.
მუშა მიდგომა არის EASA Part-IS-ისა და ISO 27001-ის ინტეგრაცია ერთიან მმართველობით კონტურში. ამ შემთხვევაში ყალიბდება ერთიანი ინფორმაციული უსაფრთხოების სისტემა, სადაც ISO პასუხობს კითხვას „როგორ ვმართავთ“, ხოლო Part-IS — „რა არის ავიაციისთვის კრიტიკული და როგორ დავამტკიცოთ ეს.
ინტეგრაციის პრაქტიკული სქემა: ერთი პროცესი — ორი მოთხოვნების ნაკრები
პირველ რიგში განსაზღვრეთ, რომელი პროცესები რეალურად „იჭერენ ცას“: ოპერაციები, საინჟინრო მომსახურება, სახმელეთო სერვისები, კომუნიკაციები, ცვლილებების მართვა, დაგეგმვა, კონტრაქტორების წვდომები. შემდეგ შეადგინეთ ერთიანი მატრიცა — „პროცესი → რისკები → ზომები → მტკიცებულებები“.
სიის წინ მნიშვნელოვანი პრინციპი: სჯობს ერთი ძლიერი პროცესი და ერთი ჩანაწერების ნაკრები, ვიდრე ორი სუსტი დოკუმენტაციის კომპლექტი.
- ავიაციური scope: მოიცავს არა მხოლოდ IT განყოფილებას, არამედ ყველა სისტემასა და კონტრაქტორს, რომლებიც მონაწილეობენ კრიტიკულ ავიაციურ პროცესებში (მათ შორის ღრუბლოვანი სერვისები, SOC, service desk, საკომუნიკაციო არხები).
- ერთიანი რისკების რეესტრი: შეაფასეთ გავლენა ოპერაციებზე (მომსახურების/დაგეგმვის/კომუნიკაციის შეფერხება) და არა მხოლოდ მოწყვლადობის „ტექნიკურობა“.
- ცვლილებების მართვა: კრიტიკულ სისტემებში ნებისმიერი ცვლილება გადის რისკების შეფასებას, ტესტირებას და პროცესის მფლობელის მიერ დამტკიცებას (არა მხოლოდ ადმინისტრატორის).
- ინციდენტები და სწავლებები: ერთი კლასიფიკაციის სქემა, ერთი მართვის ფანჯარა, რეგულარული ტრენინგები (მათ შორის მომწოდებლების და ღრუბლის მიუწვდომლობის სცენარები).
- მომწოდებლები და წვდომები: კონტრაქტორების მიმართ მოთხოვნები, პრივილეგირებული წვდომების კონტროლი, შეტყობინების ვალდებულებები, ზომების შესრულების გადამოწმება.
- უწყვეტობა: აღდგენის გეგმები, RTO/RPO, რეზერვირება და სავალდებულო აღდგენის ტესტები — „შემოწმებული“ და არა უბრალოდ „დაგეგმილი“.
ასეთი გაერთიანების შემდეგ თქვენ გრჩებათ ერთი მართვადი კონტური, რომელიც ფარავს როგორც დარგობრივ მოლოდინებს, ისე კორპორაციულ მოთხოვნებს დუბლირების გარეშე.
სად „ტყდება“ ყველაზე ხშირად Part-IS + ISO პროექტები (და როგორ დავაზღვიოთ თავი წინასწარ)
ჩვეულებრივ პრობლემები იქ ჩნდება, სადაც საჭიროა არა უბრალოდ დოკუმენტის დაწერა, არამედ იმის ჩვენება, რომ პროცესი რეალურად მუშაობს: ჩანაწერები, ლოგები, ოქმები, სწავლებების შედეგები, რისკებზე მიღებული გადაწყვეტილებები, მომწოდებლების კონტროლი.
იმისთვის, რომ ეს ხარვეზები გარე შემოწმებაზე არ გამოვლინდეს, ჯობს წინასწარ ჩატარდეს შიდა შემოწმება და მომზადდეს მტკიცებულებითი ბაზა. აქ სასარგებლოა მასალა „როგორ მოვემზადოთ ISO-ს შიდა აუდიტისთვის: ნაბიჯ-ნაბიჯ გზამკვლევი“ — მისი სტრუქტურა კარგად გადადის ავიაციურ კონტურზეც.
რა ავირჩიოთ: 27001:2013 თუ 27001:2022 (და რატომ ახდენს ეს გავლენას ინტეგრაციაზე)
თუ სისტემას ნულიდან აშენებთ ან არსებულს აახლებთ, ლოგიკურია თავიდანვე აქტუალურ რედაქციაზე ორიენტირება. ძირითადი პრინციპების გასაგებად შეგიძლიათ დაიწყოთ განმარტებითი სტატიით: რა არის ISO/IEC 27001 და როგორ დავნერგოთ იგიშემდეგ კი გაეცნოთ ISO/IEC 27001:2022-ის ახალი ვერსიის მოთხოვნებს. ასე უფრო მარტივია ავიაციური მოლოდინების დაკავშირება თანამედროვე კონტროლებთან და არ მოგიწევთ სისტემის თავიდან გადაკეთება ერთი წლის შემდეგ.
თუ ასეთი მოდელის მორგებაში რეგიონულ რეალობებზე დახმარება გჭირდებათ, დსთ-ის სივრცეში „System Management“ ჩვეულებრივ იწყებს მოკლე დიაგნოსტიკით და შესაბამისობის მატრიცით, რათა სწრაფად განსაზღვროს კრიტიკული პროცესები, სავალდებულო მტკიცებულებები და დანერგვის გეგმა ზედმეტი ბიუროკრატიის გარეშე.