უსაფრთხოების აუდიტის სამართლებრივი მოთხოვნები (ISO 27001)
საქართველოში მოქმედი კანონმდებლობა, კერძოდ კანონი "ინფორმაციული უსაფრთხოების შესახებ", გარკვეული კატეგორიის ორგანიზაციებს (კრიტიკული ინფორმაციული სისტემის სუბიექტებს) ავალდებულებს რეგულარული აუდიტის ჩატარებას. ეს აუდიტი არ არის მხოლოდ ტექნიკური შემოწმება; ეს არის სამართლებრივი პროცესი, რომელიც ადასტურებს, რომ ორგანიზაცია აკმაყოფილებს სახელმწიფოს მიერ დადგენილ მინიმალურ სტანდარტებს, რომლებიც ძირითადად ეფუძნება საერთაშორისო სტანდარტს ISO/IEC 27001. აუდიტის მოთხოვნების შეუსრულებლობა ან უარყოფითი დასკვნა იწვევს არა მხოლოდ ადმინისტრაციულ ჯარიმებს, არამედ შესაძლოა გახდეს ლიცენზიის შეჩერების ან ბაზარზე ოპერირების უფლების შეზღუდვის საფუძველი. ამიტომ, აუდიტისთვის მომზადება მოითხოვს როგორც ტექნიკური, ისე იურიდიული დეპარტამენტების კოორდინირებულ მუშაობას.
უსაფრთხოების აუდიტის სამართლებრივი მხარდაჭერა გეხმარებათ გაიაროთ სავალდებულო შემოწმება წარმატებით და დააკმაყოფილოთ მარეგულირებლის მოთხოვნები. მომსახურება მოიცავს:
- წინასააუდიტო სამართლებრივი შეფასება (Pre-audit Assessment): ორგანიზაციის მზადყოფნის შემოწმება, დოკუმენტაციის სისრულის ანალიზი და შეუსაბამობების იდენტიფიცირება ოფიციალურ აუდიტამდე.
- აუდიტორის შერჩევა და კონტრაქტი: ავტორიზებული აუდიტორის შერჩევა კანონმდებლობის შესაბამისად და მასთან მომსახურების ხელშეკრულების სამართლებრივი გაფორმება, სადაც დაცული იქნება კონფიდენციალურობა (NDA).
- ISO 27001 სტანდარტთან სამართლებრივი შესაბამისობა: სტანდარტის მოთხოვნების (მაგ. A.18 - შესაბამისობა კანონმდებლობასთან) შესრულების დოკუმენტირება.
- მარეგულირებელთან კომუნიკაცია: აუდიტის შედეგების წარდგენა ოპერატიულ-ტექნიკურ სააგენტოში ან ციფრული მმართველობის სააგენტოში; ხარვეზების აღმოფხვრის გეგმის (Remediation Plan) სამართლებრივი შეთანხმება.
- შიდა აუდიტის ფუნქციის სამართლებრივი რეგულირება: შიდა აუდიტის სამსახურის დებულების და პროცედურების შემუშავება.
პრაქტიკული პრობლემები ხშირად უკავშირდება აუდიტის ფარგლებს (Scope). მაგალითად, ბანკმა შესაძლოა აუდიტი ჩაატაროს მხოლოდ სათაო ოფისის სისტემებზე და გამოტოვოს ფილიალები ან ახალი ციფრული პროდუქტი. მარეგულირებელმა ეს შეიძლება ჩათვალოს არასრულყოფილ აუდიტად და დააჯარიმოს ორგანიზაცია. მეორე გავრცელებული პრობლემაა აუდიტორის მიერ აღმოჩენილი "შეუსაბამობების" (Non-conformities) არასწორი ინტერპრეტაცია. იურისტს შეუძლია დაეხმაროს ორგანიზაციას აუდიტორთან არგუმენტირებულ კამათში, თუ აუდიტორის მოთხოვნა სცდება კანონის ფარგლებს. ასევე, ხშირია შემთხვევები, როდესაც აუდიტის დროს ვლინდება პერსონალური მონაცემების დარღვევები, რაც მოითხოვს სასწრაფო იურიდიულ რეაგირებას.
აუდიტის ვალდებულება გამომდინარეობს საქართველოს კანონიდან "ინფორმაციული უსაფრთხოების შესახებ" და შესაბამისი კანონქვემდებარე აქტებიდან, რომლებიც ამტკიცებენ აუდიტის ჩატარების წესებს. კრიტიკული ინფორმაციული სისტემის სუბიექტები ვალდებულნი არიან ჩაატარონ აუდიტი კანონით დადგენილი პერიოდულობით (ჩვეულებრივ, წელიწადში ერთხელ ან ორ წელიწადში ერთხელ, კატეგორიის მიხედვით). მნიშვნელოვანია ასევე ISO/IEC 27001 სტანდარტი, რომელიც ქართულ კანონმდებლობაში აღიარებულია, როგორც ძირითადი სახელმძღვანელო დოკუმენტი.
იურისტთან მუშაობა უზრუნველყოფს, რომ აუდიტის პროცესი იყოს გამჭვირვალე და კანონიერი. იურისტი ეხმარება ორგანიზაციას შეაგროვოს საჭირო მტკიცებულებები (პოლიტიკები, ლოგები, ოქმები), ესწრება აუდიტორთან ინტერვიუებს და ამოწმებს აუდიტის ანგარიშის პროექტს ფაქტობრივ და სამართლებრივ სიზუსტეზე. ეს ამცირებს უარყოფითი დასკვნის მიღების რისკს.
Legal.ge გაძლევთ საშუალებას დაუკავშირდეთ სპეციალისტებს, რომლებსაც აქვთ გამოცდილება როგორც სამართალში, ისე ინფორმაციული უსაფრთხოების აუდიტში. სავალდებულო აუდიტი არ უნდა იყოს სტრესი; ეს არის შესაძლებლობა, გააუმჯობესოთ თქვენი უსაფრთხოება. მოემზადეთ პროფესიონალურად და გაიარეთ აუდიტი წარმატებით ჩვენი ექსპერტების დახმარებით.
განახლდა: ...