Қазақстан, Өзбекстан, Грузия және Қырғызстандағы әуе компаниялары, әуежайлар, MRO ұйымдары мен ИТ-провайдерлерге барған сайын екі логикаға бірдей жауап беру қажет: салалық (авиациялық) және басқарушылық (корпоративтік). Сондықтан ТМД елдерінде EASA Part-IS жай ғана жаңа талап емес, қауіпсіздік жүйесін қайта құруға ыңғайлы триггерге айналуда: ол қауіпсіздік үздіксіз ұшулар мен сервисті шын мәнінде қолдауы тиіс, ал саясаттар сақталатын бөлек папкада ғана өмір сүрмеуі керек.
Неліктен авиациядағы ақпараттық қауіпсіздік — тек ИТ туралы емес, операциялар туралы
Авиацияда цифрлық сервистердегі ақау өте тез процестегі іркіліске айналады: кідірістер, рейстердің тоқтатылуы, деректердің жоғалуы, жоспарлау немесе қызмет көрсету мүмкіндігінің болмауы. Осыдан маңызды бір жайт туындайды: авиациядағы ақпараттық қауіпсіздік — операциялық тұрақтылыққа әсер етуі мүмкін тәуекелдерді басқару туралы. Ақау қай жерде орын алса да — желіде, мердігерде немесе бұлтта — оның салдары кестеге және қызмет көрсету қауіпсіздігіне әсер етеді.
ISO/IEC 27001 — орнатуға ыңғайлы басқарушылық қозғалтқыш авиациялық талаптар
ISO/IEC 27001 — бұл ақпараттық қауіпсіздік менеджменті жүйесі (ISMS): контекст, тәуекелдер, бақылау шаралары, қадағалау және үздіксіз жетілдіру. Қазақстанда және көршілес елдерде ISO 27001-ге сұраныс көбіне халықаралық жеткізу тізбектерімен, қаржы секторымен және ірі тапсырыс берушілермен жұмыс істейтін бизнес тарапынан туындайды: стандарт түсінікті, тексерілетін және жауапкершілікті нақты бөлуге көмектеседі.
Сертификаттау мен оқытуға не кіретінін жылдам тексеру үшін қызметке сүйенуге болады ISO/IEC 27001:2022 — сертификаттау және оқыту — онда жүйені дайындаудан бастап растауға дейінгі құру логикасы айқын көрінеді.
Part-IS пен ISO арасындағы айырмашылық неде және неге оларды бөлек енгізуге болмайды
EASA Part-IS салалық талаптарды күшейтеді: қауіптер мен инциденттерді басқару, маңызды жүйелердегі өзгерістерді бақылау, жеткізушілермен өзара әрекеттесу және бақылау шараларының дәлелділігін қамтамасыз ету. Ең үлкен қателік — ISO-ға параллель жеке Part-IS жүйесін құру: екі тәуекел тізілімі, инциденттерді басқарудың екі процесі, әртүрлі рөлдер мен есептілік.
Тиімді тәсіл — EASA Part-IS пен ISO 27001-ді бір басқару контурына біріктіру. Сонда сізде бірыңғай ақпараттық қауіпсіздік жүйесі қалыптасады: ISO «қалай басқарамыз?» деген сұраққа жауап береді, ал Part-IS «авиация үшін нақты не маңызды және оны қалай дәлелдейміз?» дегенге жауап береді.
Интеграцияның практикалық схемасы: бір процесс — екі талаптар жиынтығы
Алдымен шын мәнінде «аспанды ұстап тұрған» процестерді анықтаңыз: пайдалану (эксплуатация), инженерлік қызмет көрсету, жерүсті сервистері, коммуникациялар, өзгерістерді басқару, жоспарлау, мердігерлердің қолжетімділігі. Содан кейін бірыңғай матрица құрыңыз: «процесс → тәуекелдер → шаралар → дәлелдер».
Тізімге өтпес бұрын маңызды қағида: екі әлсіз құжаттар жиынтығынан гөрі бір мықты процесс пен біртұтас жазбалар жиынтығы әлдеқайда тиімді.
- Scope-ты авиациялық тәсілмен анықтау: тек ИТ-бөлімді ғана емес, сонымен қатар маңызды авиациялық процестерге қатысатын барлық жүйелер мен мердігерлерді қосыңыз (бұлттық сервистер, SOC, сервис-деск, байланыс арналары қоса алғанда).
- Бірыңғай тәуекелдер тізілімі: тек осалдықтың «техникалық» деңгейін емес, операцияларға әсерін бағалаңыз (қызмет көрсету/жоспарлау/байланыс үзілістері).
- Өзгерістерді басқару: маңызды жүйелердегі кез келген өзгеріс тәуекелдерді бағалаудан, тестілеуден және процесс иесінің (тек әкімші емес) ресми «қабылдауынан» өтеді.
- Инциденттер және оқу-жаттығулар: бір жіктеу схемасы, бір басқару терезесі, тұрақты жаттығулар (жеткізушілердегі сценарийлер мен бұлттық сервистің қолжетімсіздігін қоса алғанда).
- Жеткізушілер және қолжетімділіктер: мердігерлерге қойылатын талаптар, артықшылықты қолжетімділіктерді бақылау, хабарлау міндеттемелері, шаралардың орындалуын тексеру.
- Үздіксіздік: қалпына келтіру жоспарлары, RTO/RPO, резервтеу және міндетті қалпына келтіру тесттері — «жоспарланған» емес, нақты «тексерілген».
Осындай біріктіруден кейін сізде салалық күтулер мен корпоративтік талаптарды қайталанусыз қамтитын бір басқарылатын контур қалады.
Part-IS + ISO жобалары көбіне қай жерде «бұзылады» (және алдын ала қалай сақтануға болады)
Әдетте мәселелер құжат жазу емес, процестің шын мәнінде жұмыс істейтінін көрсету қажет болған жерде туындайды: жазбалар, логтар, хаттамалар, оқу-жаттығу нәтижелері, тәуекелдер бойынша шешімдер, жеткізушілерді бақылау.
Бұл олқылықтарды сыртқы аудит кезінде емес, алдын ала анықтау үшін ішкі тексеру жүргізіп, дәлелдеме базасын дайындаған жөн. Мұнда мына материал пайдалы болуы мүмкін «ISO бойынша ішкі аудитке қалай дайындалуға болады: қадамдық нұсқаулық»— оның құрылымы авиациялық контурға да жақсы бейімделеді.
Нені таңдау керек: 27001:2013 пе, әлде 27001:2022 (және бұл интеграцияға неге әсер етеді)
Егер сіз жүйені нөлден бастап құрып жатсаңыз немесе қолданыстағы жүйені жаңартып жатсаңыз, бірден қолданыстағы өзекті редакцияға сүйену қисынды. Негізгі қағидаларды түсіну үшін түсіндірме мақаладан бастауға болады: ISO/IEC 27001 деген не және оны қалай енгізуге боладысодан кейін ISO/IEC 27001:2022 жаңа нұсқасының талаптарын қарау қажет. Осылайша авиациялық талаптарды заманауи бақылау шараларымен байланыстыру жеңілірек болады және бір жылдан кейін жүйені қайта өзгертудің қажеті болмайды.
Егер мұндай модельді өңірлік ерекшеліктерге бейімдеп құрастыруда көмек қажет болса, ТМД елдерінде «Систем Менеджмент» әдетте қысқа диагностика мен сәйкестік матрицасынан бастайды. Бұл маңызды процестерді, міндетті дәлелдемелерді және артық бюрократиясыз енгізу жоспарын жылдам анықтауға мүмкіндік береді.