უსაფრთხოების პოლიტიკა

შესავალი

 

სკაპის  მისიაა მომხმარებელთა კეთილდღეობის გაუმჯობესება მარტივი, სწრაფი და ინოვაციური ფინანსური გადაწყვეტილებებით.

 

ვქმნით ფინანსურ სივრცეს, სადაც ყველაფერი ერთად არის თავმოყრილი - საჭიროება, გადაწყვეტა და სერვისი. ჩვენი მიზანია გავხდეთ უნივერსალური საფინანსო ორგანიზაცია და მომხმარებლისთვის, ონლაინ თუ ფიზიკურ სივრცეებში, მარტივად და უსაფრთხოდ უზრუნველვყოთ ყველა მნიშვნელოვან ფინანსურ სერვისზე წვდომა.

 

ვაშენებთ მომავალს, სადაც ფინანსური სერვისები მდგრად განვითარებას ემსახურება - ვზრუნავთ გარემოზე, მხარს ვუჭერთ მოქალაქეებს და გულმოდგინედ ვითვალისწინებთ პასუხისმგებლიანი მართვის პრინციპებს.

 

მიზანი

წინამდებარე პოლიტიკის მიზნებია:

  • „სკაპის“ ინფორმაციული უსაფრთხოების მართვის სისტემის (იუმს) სტრუქტურირებული აღწერა;
  • „სკაპში“ ინფორმაციული უსაფრთხოების მართვის პროცესების განმარტება და რეგულირება;
  • დაინტერესებული მხარეების ინფორმირება ინფორმაციული უსაფრთხოების მოთხოვნებზე;

 

შენიშვნა: წინამდებარე დოკუმენტში აღწერილი არის სკაპ-ში არსებული ზოგადი პრაქტიკა და, მისი ინტერესებიდან გამომდინარე, არ არის დასახელებული კონკრეტული ხელსაწყოები, რომელიც უზრუნველყოფს ინფორმაციული უსაფრთხოების რისკების შემცირებას. 

 

ტერმინთა განმარტება

პოლიტიკაში გამოყენებული ინფორმაციული უსაფრთხოების ტერმინები და მათი განმარტებები:

  • იუმს - ინფორმაციული უსაფრთხოების მართვის სისტემა, რომელიც მოიცავს პოლიტიკებს, პროცესებსა და კონტროლის მექანიზმებს ინფორმაციული უსაფრთხოების უზრუნველსაყოფად.
  • კონფიდენციალურობა - მონაცემებზე წვდომა მხოლოდ უფლებამოსილი პირებისთვის.
  • მთლიანობა - მონაცემების სიზუსტისა და სანდოობის შენარჩუნება.
  • ხელმისაწვდომობა - ინფორმაციის დროული და უწყვეტი ხელმისაწვდომობა ავტორიზებული პირებისთვის.
  • რისკის მართვა - პროცესების ერთობლიობა, რომელიც გამოიყენება ინფორმაციული უსაფრთხოების რისკების იდენტიფიცირებისთვის, შეფასებისა და მოპყრობისათვის.
  • ნარჩენი რისკი - რისკი, რომელიც რჩება რისკების მოპყრობის შემდეგ.
  • ფიზიკური უსაფრთხოება - უსაფრთხოების ზომები, რომლებიც იცავს ფიზიკურ აქტივებს, მონაცემთა ცენტრებსა და მოწყობილობებს.
  • წვდომის კონტროლი - პროცესი, რომლებიც განსაზღვრავს, ვის, როდის და როგორ შეუძლია წვდომა IT სისტემებსა და მონაცემებზე.
  • ავთენტიფიკაცია - პროცესი, რომელიც უზრუნველყოფს მომხმარებლის, ან სისტემის იდენტობის გადამოწმებას (მაგ., პაროლით, ბიომეტრიით, ორფაქტორიანი ავთენტიფიკაციით).
  • ავტორიზაცია - პროცესი, რომელიც განსაზღვრავს, აქვს თუ არა მომხმარებელს უფლება კონკრეტული ქმედებების განხორციელებაზე.
  • მონაცემთა კლასიფიკაცია - ინფორმაციის კატეგორიზაცია მისი კრიტიკულობისა და დაცვის საჭიროების მიხედვით (მაგ., საჯარო, კონფიდენციალური, საიდუმლო).
  • შიფრაცია - მონაცემთა კოდირების მეთოდი კრიპტოგრაფიის გამოყენებით, რომელიც უზრუნველყოფს, რომ ინფორმაცია ხელმისაწვდომი იყოს მხოლოდ უფლებამოსილი პირებისთვის.
  • ინფორმაციული უსაფრთხოების ინციდენტი (შემდგომში „ინციდენტი“) - ნებისმიერი მოვლენა, რომელიც საფრთხეს უქმნის ინფორმაციულ უსაფრთხოებას (მაგ., მონაცემთა გაჟონვა, DDoS შეტევა, სისტემაში არაუფლებამოსილი წვდომა).
  • ინციდენტების მართვა - პროცესი, რომელიც უზრუნველყოფს ინციდენტების დროულ აღმოჩენას, ეფექტიან რეაგირებას, გამოძიებასა და აღმოფხვრას.
  • SIEM (Security Information and Event Management) - უსაფრთხოების ინფორმაციისა და მოვლენების მართვის სისტემა, რომელიც აგროვებს და აანალიზებს სერვერული, ქსელური და უსაფრთხოების სისტემების ლოგებსა და ინციდენტებს.
  • მესამე მხარის რისკი - რისკი, რომელიც დაკავშირებულია პარტნიორების, მომწოდებლების ან სხვა იურიდიული, თუ ფიზიკური პირების მიერ მოწოდებულ სერვისებთან ან/და პროდუქტებთან.
  • ბიზნეს უწყვეტობა - პროცესების ერთობლიობა, რომელიც უზრუნველყოფს „სკაპის“ საქმიანობის უწყვეტ ოპერირებას კრიზისის დროს.
  • მესამე მხარე - ორგანიზაცია ან პირი, რომელიც არ არის უშუალოდ დაკავშირებული „სკაპის“ შიდა საქმიანობებთან, მაგრამ არის ჩართული ან გავლენას ახდენს მის პროცესებზე, სერვისებზე ან ინფორმაციაზე. მესამე მხარე შეიძლება იყოს გარე მიმწოდებელი, პარტნიორი, ან სერვისის პროვაიდერი, რომელსაც „სკაპს“ ენდობა გარკვეული სერვისების, პროდუქტების ან მხარდაჭერის მიწოდებაში.

 

ინფორმაციული უსაფრთხოების მართვის სისტემა (იუმს)

ინფორმაციული უსაფრთხოები მართვის მიზნით „სკაპიში“ შეიქმნა ინფორმაციული უსაფრთხოების საბჭო, რომელიც დაკომპლექტებული არის სხვადასხვა სტრუქტურული ერთეულების ხელმძღვანელებით. ინფორმაციული უსაფრთხოების ყოველდღიურ პროცესებზე პასუხისმგებელი არის ინფორმაციული უსაფრთხოების მენეჯერი.

 

„სკაპში“ დანერგილი არის ისეთი ძირითადი პროცესები, როგორიც არის: 

 

  • ინფორმაციული აქტივების ინვენტარიზაცია 
  • ინფორმაციული უსაფრთხოების რისკების შეფასება და სამოქმედო გეგმის განსაზღვრა
  • ინფორმაციული უსაფრთხოების კონტროლის მექანიზმების ყოველდღიური მონიტორინგი
  • ინფორმაციული უსაფრთხოების რისკების შეფასება ახალ პროექტებში 
  • წვდომის გადახედვის პროცესი ძირითად ინფორმაციულ სისტემებში. 
  • თანამშრომლებისთვის ინფორმაციული უსაფრთხოების ცნობიერების ასამაღლებელი აქტივობები
  • წვდომის კონტროლი და სხვა

 

„სკაპში“ დოკუმენტირებული და საჭიროების შემთხვევაში თანამშრომლებთან მიწოდებულია ყველა საჭირო პოლიტიკა და პროცედურა ინფორმაციული უსაფრთხოები მართვის ჭრილში. 

 

თანამშრომლებთან და მესამე მხარეებთან ურთიერთობაში გათვალისწინებულია კონფიდენციალურობის, პერსონალური მონაცემების დაცვის საკითხები. 

 

 

ქსელის უსაფრთხოება 

 

კომპიუტერული ქსელის უსაფრთხოების ეფექტური მართვა ინფორმაციული უსაფრთხოების მართვის სისტემის შესაბამისად მოიცავს სხვადასხვა კონტროლის მექანიზმებს, რომელთა მიზანია ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის (CIA) დაცვა. ამ მიზნით დანერგილია შემდეგი კონტროლის მექანიზმები: 

 

  • „სკაპში“ შიდა ქსელი არის სეგმენტირებული - ერთმანეთისგან გამიჯნულია მომხმარებლების და სერვერული ქვე-ქსელები. ქვე-ქსელებს შორის კომუნიკაცია ხორციელდება Firewall-ის გავლით.
  • გარე ქსელის პერიმეტრი დაცულია კომერციული და ვენდორის მიერ მხარდაჭერილი NG Firewall-თ, რომელსაც აქვს IPS/IDS, Antivirus, URL Filtering ფუნქციონალი და ისინი დაკონფიგურირებულია „სკაპის“ შიდა პოლიტიკების და იდენტიფიცირებული რისკების შესაბამისად.
  •  „სკაპის“ თანამშრომლებს კორპორატიული ლეპტოპებიდან შიდა სერვერულ რესურსებზე დისტანციური წვდომა აქვთ კორპორატიული VPN სისტემის გამოყენებით.
  • ქსელური კომუნიკაციის დროს გამოყენებულია TLS 1.2/1.3 შიფრაციის მექანიზმები. 
  • ხორციელდება ქსელური მოწყობილობების ოპერაციული სისტემების განახლებების პერიოდული ინსტალაცია ახალი, კრიტიკული სისუსტის, ან ხარვეზის აღმოსაფხვრელად. 

 

 

იდენტობისა და წვდომის კონტროლის პროცესი

იდენტობისა და წვდომის კონტროლის პროცესის მიზანია უზრუნველყოს, რომ მხოლოდ უფლებამოსილ მომხმარებლებს, სისტემებსა და აპლიკაციებს ჰქონდეთ წვდომა „სკაპის“ იმ IT რესურსებზე და იმ მინიმალური წვდომის დონით, რომელიც საჭიროა მათი ფუნქციების შესასრულებლად. ეს პროცესი ხელს უწყობს ინფორმაციული აქტივების კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის (CIA) დაცვას.

 

„სკაპში“ კრიტიკულ ბიზნეს აპლიკაციებად ითვლება ისეთი სისტემები, რომლებიც გამოყენებულია, ერთი მხრივ, პროგრამული უზრუნველყოფის განვითარების კუთხით და, მეორე მხრივ, ადმინისტრაციულ საქმიანობაში. 

 

თითოეულ სისტემაში მომხმარებლებს აქვთ ინდივიდუალური მომხმარებლის სახელი და „სკაპის“ პაროლების პოლიტიკის შესაბამისი რთული პაროლი, რომელიც სავალდებულო წესით იცვლება პერიოდულად. 

 

„სკაპში“ დანერგილია სრულყოფილი Onboarding/Offboarding პროცესი, რაც გულისხმობს თანამშრომლებისთვის საჭირო წვდომების მინიჭებას საჭიროებების მიხედვით, ასევე წასული თანამშრომლებისთვის წვდომის დროულ გაუქმებას არაავტორიზებული, წვდომის რისკის შესამცირებლად. მინიმუმ წელიწადში ერთხელ ინფორმაციული უსაფრთხოების მენეჯერის მხრიდან ხორციელდება წვდომის უფლებების გადახედვა. 

 

ზემოაღნიშნულ თითოეულ სისტემას ჰყავს შესაბამისი პასუხისმგებელი პირი, რომლებიც უზრუნველყოფენ წვდომის მინიჭებისა და გაუქმების პროცესს მინიმალური წვდომის პრინციპის შესაბამისად. 

 

თანამშრომელთა სამსახურში აყვანის წინ ხორციელდება ე.წ. Background Check, რომლის მიზანიცაა, შეფასდეს რამდენად კვალიფიციური და რელევანტურია თანამშრომელი სამსახურის მოთხოვნების და ბიზნეს პროცესების მიმართ. საჭიროების შემთხვევაში (დეველოპერები) წერენ შესაბამის ტესტს რათა გაიზომოს მათი ტექნიკური კომპეტენციის დონე. 

 

ცვლილებების მართვის პროცესი

ცვლილებების მართვის პროცესი (Change Management) წარმოადგენს კრიტიკულ პროცესს ინფორმაციული ტექნოლოგიების, ბიზნეს ოპერაციების და უსაფრთხოების მართვისთვის. მისი მიზანია, უზრუნველყოს ცვლილებების უსაფრთხო, სტრუქტურირებული და კონტროლირებადი განხორციელება, რაც „სკაპის“ ეხმარება გარდაუვალი რისკების მინიმუმამდე დაყვანასა და სტაბილური ოპერაციების შენარჩუნებაში.

 

„სკაპში“ ორი სხვადასხვა ცვლილება განისაზღვრება, ეს არის: 

 

  • ინფრასტრუქტურული ცვლილება IT სისტემებში
  • Software Development-ის დროს განხორციელებული ცვლილება

პროგრამული პროდუქტების საწყისი კოდების სათავსოდ, ასევე ვერსიების კონტროლისთვის გამოიყენება ერთიანი სისტემა, სადაც წვდომა შეზღუდული არის უფლება-მოვალეობებისა და როლების შესაბამისად.

 

Software Development-ის პროცესში განსაზღვრული არის სხვადასხვა გარემო, კერძოდ: 

  • სატესტო გარემო - გარემო, სადაც ხდება აპლიკაციების ტესტირება რეალურ გარემოში გადატანამდე; 
  • რეალური გარემო - გარემო სადაც განთავსებულია დახვეწილი და უშეცდომო აპლიკაცია, რომელიც შესაბამისობაშია დამკვეთის, ან მარეგულირებელ მოთხოვნებთან. 

პროგრამული ცვლილებების ტესტირების ფაზაში ჩართულნი არიან ბიზნეს ანალიტიკოსები და აპლიკაციის ტესტერები, რომლებიც არიან პასუხისმგებელი კოდის უსაფრთხოებასა და აპლიკაციების სათანადო ფუნქციონირებაზე

 

 

სამუშაო გარემოს უსაფრთხოება 

თანამშრომლების სამუშაო გარემოს უსაფრთხოებისათვის „სკაპიში“ დანერგილი არის ისეთი კონტროლის მექანიზმები, როგორიცაა: 

  • ანტივირუსული დაცვა
  • პრივილეგირებული წვდომის შეზღუდვა 
  • წვდომის შეზღუდვა ინფორმაციის გარე მატარებლებზე
  • კომპლექსური პაროლის გამოყენება
  • ორ დონიანი ავთენტიფიკაციის მექანიზმი
  • განახლებების მართვის პროცესი
  • წვდომის შეზღუდვა არა საჭირო ვებ რესურსებზე 
  • VPN კავშირი დისტანციური წვდომისთვის (შეზღუდულად, მხოლოდ კრიტიკული აუცილებლობის შემთხვევაში)

მოწყვლადობებისა და განახლებების მართვა

„სკაპში“ დანერგილია:

  • მოწყვლადობების მართვის ავტომატიზებული სისტემა, რომლის მეშვეობითაც ხორციელდება კრიტიკული სისტემების რეგულარული სკანირება და რეპორტინგი.
  • განახლებების მართვის ავტომატიზებული სისტემა, რომლის მეშვეობითაც ხორციელდება განახლებების მაქსიმალურად ავტომატიზებული პროცესი: ჩამოტვირთვა-ტესტირება-ინსტალაცია სერვერებისა და სამომხმარებლო კომპიუტერებისათვის

     

 

ფიზიკური უსაფრთხოება 

“სკაპის“ სათავო ოფისის მისამართია, თბილისი, ა. წერეთლის გამზ. #118, I პავილიონი. გარდა ამისა საქართველოს მასშტაბი კომპანიას აქვს რამდენიმე ფილიალი.

სამუშაო გარემოში ფიზიკური დაშვებისას გამოიყენება ისეთი კონტროლის მექანიზმები, როგორიცაა: 

  • პერიმეტრზე და ოფისის ოთახებში დაშვების სისტემა მაგნიტური ბარათის გამოყენებით
  • ტურნიკეტი
  • დაცვის სამსახური 
  • ვიდეო სამეთვალყურეო სისტემა, რომელზეც ხორციელდება უწყვეტი მონიტორინგი

 

მონაცემთა დამუშავების ცენტრებში დანერგილია შემდეგი კონტროლის მექანიზმები: 

  • ხანძარქრობის სისტემა 
  • გაგრილების სისტემა
  • უწყვეტი კვების წყარო
  • გენერატორი
  • ფიზიკური დაშვების სისტემა მაგნიტური ბარათისა და ბიომეტრიული ავთენტიფიკაციის გამოყენებით,- რომელზეც ხორციელდება უწყვეტი მონიტორინგი
  • ვიდეო სამეთვალყურეო სისტემა, რომელზეც ხორციელდება უწყვეტი მონიტორინგი
  • დაცვის სამსახური

 

 

 

აპლიკაციების უსაფრთხოება 

აპლიკაციების უსაფრთხოება წარმოადგენს კრიტიკულ ელემენტს „სკაპის“  მიერ შემუშავებული პროგრამული უზრუნველყოფისთვის. 

აპლიკაციების უსაფრთხოების ძირითადი პრინციპები, რომლებიც დაცულია Software Development-ის დროს: 

  • OWASP Top 10-ის დაცვა - აპლიკაციები დაცულია ყველაზე გავრცელებული კიბერსაფრთხეებისგან (SQL Injection, XSS, CSRF და სხვა).
  • შიფრაცია (Encryption) - მონაცემები დაცულია გადაცემისას (In-Transit).
  • Zero Trust Authentication - მხოლოდ ავთენტიფიცირებულ და ავტორიზებული მომხმარებლებს აქვთ წვდომა.

 

პერსონალური მონაცემების დაცვა 

„სკაპზე“ ვრცელდება საქართველოს კანონი „პერსონალური მონაცემების დაცვის შესახებ“.  

„სკაპს“ ჰყავს პერსონალურ მონაცემთა დაცვის ოფიცერი, ასევე აქვს პერსონალური მონაცემების დაცვის პოლიტიკა, რომელიც ხელმისაწვდომია ყველა დაინტერსებული მხარისთვის ჩვენს ვებ გვერდზე. 

თანამშრომლების ინფორმირებულები არიან:

  • თუ რა მონაცემები მუშავდება მათ შესახებ 
  • რა მიზნობრიობით მუშავდება პერსონალური მონაცემები 
  • რა არის მათი, როგორც მონაცემთა სუბიექტების უფლებები
  • რამდენ ხანში ნადგურდება მათი პერსონალური მონაცემები
  • რომელ მესამე მხარეებს მიეწოდება მათი მონაცემები და რა მიზნით 
  • რა უსაფრთხოების ზომები არის მიღებული მათი პერსონალური მონაცემების დაცვის მიზნით

შემუშავებულია ვიდეო მეთვალყურეობის პოლიტიკა და შენობის პერიმეტრზე განთავსებულია შესაბამისი მანიშნებლები