Казакстан, Өзбекстан, Грузия жана Кыргызстандагы авиакомпаниялар, аэропорттор, MRO уюмдары жана ИТ-провайдерлер барган сайын эки логикага бир убакта жооп берүүгө муктаж: тармактык (авиациялык) жана башкаруучулук (корпоративдик). Ошондуктан КМШ өлкөлөрүндө EASA Part-IS жөн гана жаңы талап эмес, ыңгайлуу триггерге айланууда: коопсуздукту учуулардын жана сервистин үзгүлтүксүз иштешин чындап колдогондой кылып кайра түзүү, ал эми саясаттар сакталган өзүнчө папка болуп калбашы керек.
Эмне үчүн авиациядагы маалымат коопсуздугу — бул ИТ жөнүндө гана эмес, операциялар жөнүндө
Авиацияда санариптик сервистердеги үзгүлтүк тез эле процесстеги бузулууга айланат: кечигүүлөр, рейстердин токтотулушу, маалыматтын жоголушу, пландоонун же тейлөөнүн мүмкүн болбой калышы. Мындан маанилүү нюанс чыгат: авиациядагы маалымат коопсуздугу — бул операциялык туруктуулукка таасир эте ала турган тобокелдиктерди башкаруу жөнүндө. Кайсы жерде көйгөй чыкканы маанилүү эмес — тармакта, подрядчикте же булутта — анын кесепети расписаниеге жана тейлөө коопсуздугуна таасир этет.
ISO/IEC 27001: авиациялык талаптарды ыңгайлуу жайгаштырууга боло турган башкаруучу кыймылдаткыч авиационные требования
ISO/IEC 27001 — бул маалымат коопсуздугун башкаруу системасы (ISMS): контекст, тобокелдиктер, чаралар, көзөмөл жана жакшыртуу. Аймакта, анын ичинде Казакстанда жана коңшу өлкөлөрдө, ISO 27001ге болгон суроо-талап көбүнчө эл аралык жеткирүү чынжырлары, финансы сектору жана ири заказчылар менен иштеген бизнес тарабынан келип чыгат: стандарт түшүнүктүү, текшерүүгө жарактуу жана жоопкерчиликти так бөлүштүрүүгө жардам берет.
Сертификация жана окутууга эмне кирерин тез тактоо үчүн кызматка таянууга болот ISO/IEC 27001:2022 — сертификаттоо жана окутуу — анда даярдыктан тартып тастыктоого чейинки системаны куруунун логикасы жакшы көрсөтүлгөн.
Part-IS эмнеси менен айырмаланат жана аны ISOдон өзүнчө киргизүүгө болбойт
EASA Part-IS тармактык бөлүгүн күчөтөт: коркунучтарды жана инциденттерди башкарууга, критикалык системалардагы өзгөртүүлөргө, жеткирүүчүлөр менен өз ара аракеттенүүгө жана көзөмөлдүн далилдүүлүгүнө болгон күтүүлөрдү тактайт. Негизги ката — ISOго параллелдүү өзүнчө Part-IS системасын түзүү: эки тобокелдик реестри, инциденттерди башкаруунун эки процесси, ар башка ролдор жана отчеттуулук.
Иш жүзүндөгү туура ыкма — EASA Part-IS менен ISO 27001ди бирдиктүү башкаруу контуруна интеграциялоо. Анда сизде бирдиктүү маалымат коопсуздугу системасы пайда болот: ISO «кантип башкарабыз» дегенге жооп берет, ал эми Part-IS — «авиация үчүн эмнеси критикалык жана аны кантип далилдейбиз» дегенге жооп берет.
Интеграциянын практикалык схемасы: бир процесс — эки талаптар топтому
Алгач кайсы процесстер чындап эле «асманды кармап турарын» аныктаңыз: эксплуатация, инженердик тейлөө, жер үстүндөгү сервистер, коммуникациялар, өзгөртүүлөрдү башкаруу, пландоо, подрядчиктердин жеткиликтүүлүгү. Андан кийин бирдиктүү «процесс → тобокелдиктер → чаралар → далилдер» матрицасын түзүңүз.
Тизмеден мурун маанилүү принцип: эки алсыз документтер топтомунан көрө, бир күчтүү процесс жана бирдиктүү жазуулар топтому жакшыраак.
- Авиациялык ыкмадагы scope: ИТ-бөлүм менен гана чектелбестен, критикалык авиациялык процесстерге катышкан бардык системаларды жана подрядчиктерди (анын ичинде булут кызматтарын, SOC, сервис-дескти, байланыш каналдарын) камтыңыз.
- Бирдиктүү тобокелдик реестри: алсыздыктын «техникалык» жагын гана эмес, операцияларга тийгизген таасирин (тейлөөнүн/пландоонун/байланыштын үзгүлтүгү) баалаңыз.
- Өзгөртүүлөрдү башкаруу: критикалык системалардагы ар бир өзгөртүү тобокелдиктерди баалоодон, тестирлөөдөн жана процесс ээси тарабынан «кабыл алуудан» өтүшү керек (администратор гана эмес).
- Инциденттер жана машыгуулар: классификациянын бир схемасы, башкаруунун бирдиктүү терезеси, туруктуу машыгуулар (жеткирүүчүлөрдөгү сценарийлерди жана булуттун жеткиликсиздигин кошкондо).
- Жеткирүүчүлөр жана жеткиликтүүлүк: подрядчиктерге талаптар, артыкчылыктуу жеткиликтүүлүктү көзөмөлдөө, кабарлоо милдеттенмелери, чаралардын аткарылышын текшерүү.
- Үзгүлтүксүздүк: калыбына келтирүү пландары, RTO/RPO, резервдөө жана милдеттүү калыбына келтирүү тесттери — «пландалган» эмес, «текшерилген».
Ушундай интеграциядан кийин сизде тармактык күтүүлөрдү жана корпоративдик талаптарды кайталоосуз жапкан бирдиктүү, башкарылуучу контур калат.
Part-IS + ISO долбоорлору көбүнчө кайсы жерде “сынып” калат (жана алдын ала кантип даярдануу керек)
Адатта көйгөйлөр документ жазуу керек болгон жерде эмес, процесстин чындап иштеп жатканын көрсөтүү керек болгон жерде чыгат: жазуулар, логдор, протоколдор, машыгуулардын жыйынтыктары, тобокелдиктер боюнча чечимдер, жеткирүүчүлөрдү көзөмөлдөө.
Бул боштуктарды тышкы текшерүүдө аныктабоо үчүн, алдын ала ички текшерүүдөн өтүп, далил базасын даярдап коюу керек. Бул жерде материал пайдалуу. «ISO боюнча ички аудитке кантип даярдануу керек: кадам-кадам колдонмо»— анын түзүмүн авиациялык контурга да ийгиликтүү колдонсо болот.
Эмне тандоо керек: 27001:2013 же 27001:2022 (жана бул интеграцияга эмне үчүн таасир этет)
Эгер сиз системаны нөлдөн баштап түзүп жатсаңыз же бар болгонун жаңыртып жатсаңыз, дароо актуалдуу редакцияга багыт алуу логикалуу. Негизги принциптерди түшүнүү үчүн түшүндүрмө макаладан баштоого болот: ISO/IEC 27001 деген эмне жана аны кантип киргизүү керек,андан кийин ISO/IEC 27001:2022нин жаңы версиясынын талаптарын карап чыгууга болот. Ошондо авиациялык күтүүлөрдү заманбап контролдорго туурараак байланыштырып, системаны бир жылдан кийин кайра өзгөртүүгө туура келбейт.
Эгер мындай моделди аймактык реалдуулукка ылайык чогултууда жардам керек болсо, КМШдагы «Систем Менеджмент» адатта кыска диагностикадан жана шайкештик матрицасынан баштайт, ошондо критикалык процесстерди, милдеттүү далилдерди жана ашыкча бюрократиясыз ишке ашыруу планын тез аныктоого болот.