Presentation is loading. Please wait.

Presentation is loading. Please wait.

ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა

Published byGuillaume Olivier Guérard Modified over 6 years ago

Similar presentations

Presentation on theme: "ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა"— Presentation transcript:

1 ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა
საქართველო, თბილისი 2016

2 რა არის ინფორმაცია? ინფორმაცია არის აქტივი, რომელსაც, სხვა აქტივების მსგავსად, გააჩნია კონკრეტული ფასეულობა და მოითხოვს შესაბამის დაცვას. ცოდნა ან მონაცემები, რომელიც კონკრეტულ ფასეულობას წარმოადგენს.

3 ინფორმაციის ტიპები ქაღალდზე ნაბეჭდი და ნაწერი; ელექტრონულად შენახული;
ფოსტის ან ელექტრონული საშუალებებით გადაეცეს; ნაჩვენები იყოს ვიდეოში; ნაჩვენები / გამოქვეყნებული; ზეპირსიტყვიერი. რა სახითაც არ უნდა იყოს წარმოდგენილი და რა სახითაც არ უნდა ინახებოდეს ან ხდებოდეს მისი გაზიარება, ინფორმაცია ყოველთვის საჭიროებს სათანადო დაცვას.

4 ინფორმაციის მახასიათებლები
ISO განსაზღვრავს ინფორმაციულ უსაფრთხოებას როგორც ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და დაცვა. კონფიდენციალურობა მახასიათებლები იმისა, რომ ინფორმაცია არ არის ხელმისაწვდომი არაავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის;

5 ინფორმაციის მახასიათებლები
ISO განსაზღვრავს ინფორმაციულ უსაფრთხოებას როგორც ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და დაცვა. კონფიდენციალურობა მთლიანობა ხელმისაწვდომობა მახასიათებლები იმისა, რომ ინფორმაცია არ არის ხელმისაწვდომი არაავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; აქტივის სიზუსტის და სრულყოფილების დაცვის მახასიათებელი თვისება; ავტორიზებული სუბიექტის მიერ მოთხოვნის შესაბამისად ხელმისაწვდომობისა და გამოყენებადობის მახასიათებლები;

6 უსაფრთხოების რისკები პროცესები არ აღწევენ თავიანთ მიზნებს;
არასწორი ინფორმაციის საფუძველზე ოპერირება. საქმიანობის წყვეტა; ფინანსური ზარალი; დაინტერესებული მხარეების ნდობის დაკარგვა; ინტელექტუალური და მატერიალური საკუთრების დაკარგვა; რეპუტაცი ული რისკები; საკანონმდებლო შეუსაბამობა (პერსონალური მონაცემები, ინფორმაციული უსაფრთხოება); ...

7 საფრთხეები თანამშრომლები; გარე მხარეები; ტექნოლოგიური საფრთხეები
უსაფრთხოების საკითხებში დაბალი ინფორმირებულობა; ბუნებრივი მოვლენები, მაგ. ხანძარი, წყალდიდობა, მიწისძვრა. ჰაკერების ხელსაწყოების და ვირუსების სირთულისა და ეფექტურობის ზრდა; ...

8 რა არის ინფორმაციული უსაფრთხოება?
ინფორმაციის მახასიათებლების კონფიდენციალურობის, ხელმისაწვდომობის და მთლიანობის სათანადო დონეზე უზრუნველყოფა. უსაფრთხოება პროცესია და არა პროდუქტი.

9 რა არის ინფორმაციული უსაფრთხოების მართვის სისტემა?
ინფორმაციის მახასიათებლების კონფიდენციალურობის, ხელმისაწვდომობის და მთლიანობის სათანადო დონეზე უზრუნველყოფა. ინფორმაციული უსაფრთხოება არის “ორგანიზაციული ამოცანა” და არა “IT პრობლემა”; უზრუნველყოფს ინფორმაციული რისკების მართვას; უზრუნველყოფს ბიზნეს-უწყვეტობას; ახდენს ფინანსური დანაკარგების მინიმიზაციას; უზრუნველყოფს ინვესტიციის/რესურსების ოპტიმიზაცია; ზრდის შესაძლებლობებს ....

10 როგორი ? რამდენად ძლიერი ? ინფორმაციული უსაფრთხოება გვჭირდება ?
კითხვა როგორი ? რამდენად ძლიერი ? ინფორმაციული უსაფრთხოება გვჭირდება ?

11 კითხვა ვინ ? განსაზღვრავს რამდენად ძლიერი ინფორმაციული უსაფრთხოება გვჭირდება ?

12 მფლობელი (Owner) მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით. იუმს-ის დანუშნულებაა ინფორმაციული აქტივების დამცავი, ადეკვატური და პროპორციული უსაფრთხოების კონტროლის მექანიზმების დანერგვა. რომლებიც განისაზღვრება შესაბამისი მფლობელების მიერ. პირი ან სტრუქტურული ერთეული, რომელსაც გააჩნია ინფორმაციის, პროცესის მართვის დადასტურებული უფლება.

13 არის ინსტრუმენტი და არა მიზანი
ინფორმაციული უსაფრთხოების მართვის სისტემა ისევე როგორც სხვა მართვის სისტემები არის ინსტრუმენტი და არა მიზანი

14 მართვის სისტემები ISO 9001 ხარისის მართვის სისტემა;

15 ყველა მართვის სისტემა მათ შორის ISO 27001
მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით.

16 ISO 27001 მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით. იუმს-ის დანუშნულებაა ინფორმაციული აქტივების დამცავი, ადეკვატური და პროპორციული უსაფრთხოების კონტროლის მექანიზმების დანერგვა. რომლებიც განისაზღვრება შესაბამისი მფლობელების მიერ. პირი ან სტრუქტურული ერთეული, რომელსაც გააჩნია აქტივის მართვის დადასტურებული უფლება.

17 ISO 27001 Plan, Do, Check, Act (PDCA) პროცესისადმი მიდგომა და მოდელი;
პროცესზე ორიენტირებული მიდგომა; პროცესების მუდმივი გაუმჯობესება; მოიცავს ინფორმაციულ უსაფრთხოებას და არა მხოლოდ IT უსაფრთხოებას; ითვალისწინებს ადამიანებს, პროცესებს, ტექნოლოგიებს;

18 PDCA მიდგომა

19 კონტექსტი - გარემოს შესწავლა და დაინტერესებული მხარეები
დაინტერესებული მხარეების მოლოდინი და მოთხოვნები საკანონმდებლო გარემო ორგანიზაციული კულტურა გადაწყვეტილების მიღება კომუნიკაციის კულტურა სერვისები, პროდუქტები შესაძლებლობები თანამშრომელთა კომპეტენცია სხვა დამატებითი ფაქტორები (პოლიტიკური მდგომარეობა, ფინანსური, სოციალური ფაქტორები, და ა.შ.)

20 გავრცელების სფერო ფიზიკური ადგილმდებარეობა;
ორგანიზაციული / სტრუქტურული ერთეულები; პროცესები; პროდუქტები; და ა.შ.

21 მიმართულებები ინფორმაციული უსაფრთხოების პოლიტიკა
შესაბამისობა ინფორმაციული უსაფრთხოების ორგანიზება ბიზნეს უწყვეტობის მართვა აქტივების მართვა კონფიდენციალურობა მთლიანობა ინციდენტების მართვა ადამიანური რესურსების უსაფრთხოება ინფორმაცია ხელმისაწვდომობა დამუშავება და მხარდაჭერა ფიზიკური უსაფრთხოება წვდომის კონტროლი კომუნიკაციები და საოპერაციო მართვა

22 ინფორმაციული უსაფრთხოება არის “ორგანიზაციული ამოცანა” და არა “IT პრობლემა”;

23 დანერგვის შედეგები მართვადი რისკები ინფორმაციული უსაფრთხოების კუთხით.
ბიზნეს-უწყვეტობას უზრუნველყოფა; ფინანსური დანაკარგების შემცირება; ინვესტიციის/რესურსების ოპტიმიზაცია; ....

24 საკანომდებლო მოთხოვნები

25 კრიტიკული ინფორმაციული სისტემის სუბიექტი?
სახელმწიფო ორგანო ან იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისათვის საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ

26 საკანონმდებლო მოთხოვნებთან შესაბამისობა
საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ 2012 წლის 5 ივნისი. №6391- Iს კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ საქართველოს პრეზიდენტის ბრძანებულება №157 11/03/2013 ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება № /02/2013 ინფორმაციული აქტივების მართვის წესების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №7 07/02/2013 მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №5 07/02/2013 კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №4 07/02/2013 ქსელური სენსორის კონფიგურაციის წესების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №3 07/02/2013 ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურებისა და ავტორიზაციის საფასურის შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №6 07/02/2013 ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №1 07/02/2013

27 მინიმალური მოთხოვნები
წელი 1: ინფორმაციული უსაფრთხოების დაგეგმვა; აქტივების აღწერა, რისკების შეფასება, რისკების მოპყრობა; წელი 2: ინფორმაციული უსაფრთხოების დანერგვა: კონტროლის მექანიზმების დანერგვა, ბიუჯეტირება, ადამიანური რესურსების გამოყოფა; წელი 3: მონიტორინგი და გაუმჯობესება: შიდა აუდიტი, კონტროლების შეფასება; ხელმძღვანელობის მიერ გადახედვა

28 საკანონმდებლო მოთხოვნების მიმოხილვა
მინიმალური მოთხოვნები პოლიტიკა + მინიმალური მოთხოვნები; ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები; ინფორმაციული აქტივების მართვა; ინფორმაციული უსაფრთხოების მენეჯერი; ინფორმაციული უსაფრთხოების აუდიტი ორგანიზაციული როლები კომპიუტერული უსაფრთხოების სპეციალისტი ; კომპიუტერული ინციდენტის მართვა;

29 მონაცემთა გაცვლის სააგენტო

30 მონაცემთა გაცვლის სააგენტო
დაარსდა 2010 წელს იუსტიციის სამინისტრო ინფორმაციული უსაფრთხოების პოლიტიკის განვითარება, დანერგვა, მონიტორინგი CERT.GOV.GE (Computer Emergency Response Team) Public Sector + Subject of Critical Infrastructure Systems State Secret Military

31 ინფორმაციული უსაფრთხოების ძირითადი მიმართულებები
ინფორმაციული უსაფრთხოების რჩევები ინფორმაციული უსაფრთხოების დოკუმენტაციის მიმოხილვა: პოლიტიკა, გეგმები, აუდიტის შედეგები, გავრცელების სფერო 39 ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა პროექტები: სერვისების განვითარების სააგენტო, საჯარო რეესტრის სააგენტო 2 სერტიფიცირებული ტრენინგები მართვის სისტემებში ინფორმაციული უსაფრთხოების მართვის სისტემის შესავალი, დანერგვა და შიდა აუდიტი, სასერთიფიკაციო გამოცდა >250 NATO SPS Project Trained Professionals from Afghanistan, Macedonia, Moldova, Montenegro, Azerbaijan x2, Ukraine, Mongolia >150 ინფორმაციული სისტემები აუდიტი ინფორმაციული სისტემების აუდიტის სერვისი 1

32 ინფორმაციული უსაფრთხოების და პოლიტიკის სამართველო
ინფორმაციული უსაფრთხოების ჯგუფი All Team Members are BSI Certified Professionals: BSI/ISO (Information Security) LI/LA 5 Member of Team BSI/ISO (Business Continuity) LI/LA 4 Member of Team BSI/ISO 9001 (Quality Management) LA ISO (Risk Management) CISM (Certified Information Security Manager) 4 Member of Team CISA (Certified Information System Auditor) 2 Member of Team CRISC (Certified in Risk and Information Systems Control) 1 Member of Team CGEIT (Certified in the Governance of Enterprise IT) 3 Member of Team

33 ინფორმაციული უსაფრთხოების და პოლიტიკის სამართველო
CERT.GOV.GE All Team Members are SANS Certified Professionals: SANS GIAC Certified Professionals 2 Member of Team Systems and Network Auditor (GSNA) 2 Member of Team Trained by Terena (TI) 2 Member of Team

34 მონაცემთა გაცვლის სააგენტო
ინფორმაციული უსაფრთხოების დაგეგმვა და კონსალტინგი; დანერგვის წინა და შემდგომი მიმოხილვა; ინფორმაციული უსაფრთხოების სტანდარტთან და ინფორმაციული უსაფრთხოების შესახებ კანონთან შესაბამისობის მიმოხილვა (აუდიტი). მონაცემთა გაცვლის სააგენტო - თქვენი მეგზური ინფორმაციული უსაფრთხოების დარგში

35 გმადლობთ ყურადღებისთვის

Download ppt "ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა"

Similar presentations

Information Technology Management (ITM101) Week 01: Introduction Matthew W. Stephan: CISM, CISSP, CGEIT, CRISC, PMP.

Information Technology Management (ITM101) Week 01: Introduction Matthew W. Stephan: CISM, CISSP, CGEIT, CRISC, PMP.
DoD Information Assurance Certification

DoD Information Assurance Certification
North American Leadership Conference Dallas, Texas USA April 13-14, 2013 Hyatt Regency.

North American Leadership Conference Dallas, Texas USA April 13-14, 2013 Hyatt Regency.
Security and Personnel

Security and Personnel
APAC Defense Forum Learning and IT Capacity Building for Defense Sector.

APAC Defense Forum Learning and IT Capacity Building for Defense Sector.
1 Information Security Management Working in Iraq Bill Casti, CQA, SSCP, CISM, CISA, CITP, ITIL Foundations ASQ Section 0511 Northern Virginia 20 June.

1 Information Security Management Working in Iraq Bill Casti, CQA, SSCP, CISM, CISA, CITP, ITIL Foundations ASQ Section 0511 Northern Virginia 20 June.
Insider Threats Stephen Helms Jen Hugg Matt McNealy.

Insider Threats Stephen Helms Jen Hugg Matt McNealy.
Security Organization

Security Organization
Security Certification

Security Certification
Third Annual Shopping on the Job: ISACA’s Online Holiday Shopping and Workplace Internet Safety Survey Commissioned by ISACA (www.isaca.org) November 2010.

Third Annual Shopping on the Job: ISACA’s Online Holiday Shopping and Workplace Internet Safety Survey Commissioned by ISACA ( November 2010.
Security Certifications

Security Certifications
ISACA Wellington: 2014 Strategy. Background ISACA’s vision: Trust in, and value from, information and information systems ISACA’s mission: For professionals.

ISACA Wellington: 2014 Strategy. Background ISACA’s vision: Trust in, and value from, information and information systems ISACA’s mission: For professionals.
The Top Ten of Security. Ten best practices for securing your network. Ten best security web sites. Eight certifications.

The Top Ten of Security. Ten best practices for securing your network. Ten best security web sites. Eight certifications.
Certification and Training Presented by Sam Jeyandran.

Certification and Training Presented by Sam Jeyandran.
Why Information Governance….instead of Records & Information Management? Angela Fares, RHIA, CRM, CISA, CGEIT, CRISC, CISM 817.352.4929 or

Why Information Governance….instead of Records & Information Management? Angela Fares, RHIA, CRM, CISA, CGEIT, CRISC, CISM or
© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.

© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.
1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, 12-13 October 2009 Introduction to IT audits PART II IT.

1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, October 2009 Introduction to IT audits PART II IT.
Cybersecurity nexus (CSX)

Cybersecurity nexus (CSX)
Natick Public Schools Technology Presentation February 6, 2006 Dennis Roche, CISA Director of Technology.

Natick Public Schools Technology Presentation February 6, 2006 Dennis Roche, CISA Director of Technology.
Corporate Presentation Protecting the ABCs of your business. TM TECHNOLOGICS & CONTROLS 11.

Corporate Presentation Protecting the ABCs of your business. TM TECHNOLOGICS & CONTROLS 11.

Similar presentations

Ads by Google