Տիպային դեպք տեղեկատվական անվտանգության կառավարչի մասնագիտական առօրյաից․

Օրերից մի օր ձեր մոտ հասունանում է ISO 27001 ստանդարտի ներդրման  գաղափարը, որի ներդրումը, ինչպես դուք համոզված եք, կօգնի ձեր ընկերությունը կառավարվել  միջազգային ստանդարտների համապատասխանության ընթացակարգերով, գրավել նոր հաճախորդների, նվազեցնել միջադեպերի պատճառած վնասները եւ պարզեցնել ՏՏ գործընթացները: Առաջին հայացքոից գաղափարը գեղեցիկ է թվում, բայց, երբ խոսքը վերաբերում է դրա իրականացմանը՝ ամեն ինչ բարդանում է:

Նախեւառաջ դուք մի քանի օր, իսկ որոշ դեպքորում նաև՝ ամիսներ շարունակ սկսում եք համոզել ձեր ղեկավարությանը, որ ISO 27001 ստանդարտների ներդրումն իսկապես անհրաժեշտ է ձեր ընկերությունում: Ղեկավար մարմինները, սովորաբար, զբաղված են լինում բիզնեսի առաջնային(գումար վաստակելու) գործառույթների կառավարչական պարտավորություններով եւ սահմանափակված են սեղմ ժամկետներով։ Գրեթե անհավանական է, որ նրանք կստանձնեն զուգահեռ եւս մեկ նախագծի իրականացումը, ուստի ամեն ինչ բարդվում է նախագծի գաղափարակրի ուսերին:

Եվ նույնիսկ, եթե ձեզ հաջողվում է ընկերության ղեկավարությանն ապացուցել ISO ստանդարտների առավելությունները, անիջապես ծագում է երկրորդ կարևոր հարցը` ինչպե՞ս ֆինանսավորել դրանց իրականացումը: Առաջին հայացքից կարող է թվալ, որ, – «այդ փաստաթղթերը չպետք է թանկ արժենան», բայց շուտով պարզվում է, որ անհրաժեշտ է վճարել խորհրդատուի մատուցած ծառայությունների, նշանակված մասնագետի գրականության ձեռք բերման, աշխատակիցների ուսուցման, նոր ծրագրային ապահովվումների եւ սարքավորումների ներդրման, հավաստագրերի  և այլ ակտիվների ձեռքբերման համար:

Գումարներն հայթհայթելուց հետո առաջ է գալիս մեկ այլ ոչ պակաս կարևոր հարցը . Ո՞վ պետք է իրականացնի ISO ստանդարտի ներդրումը ընկերությունում: Դուք սկսում եք  համապատասխան խորհրդատու- մասնագետ փնտրել և, եթե բախտը ժպտա ձեզ՝ դուք կկարողանք գտնել բարեխիղճ խորհրդատույի, իսկ բարեխիղճ խորհրդատուն ձեզ անպայման կասի, որ նա չի բավարարվի պարզապես ISO ստանդարատների տիպային փաստաթղթերի մի խուրց ձեզ հանձնելով։ Դուք պետք է խմբագրեք և համապատասխանեցնեք դրանք ձեր ընկերության ներքին գործընթացային պահանջներին համապատասխան: Լավ խորհրդատուն կպարատվորեցնի նաև ձեզ՝ մշտապես հետևել այդ փաստաթղթերով սահմանված պահանջների կառավրման ըթացակարգերին։

Խորհրդատվության արդյունքուն կպարզվի նաև, որ ձեզ անհրաժեշտ է իրականացնել տեղեկատվական ակտիվների դասակարգում, հայեցակարգերի և կարգերի մշակում, տեղեկատվական անվտանգության քաղաքականության ներդրում և ևս մի շարք այլ փաստաթղթերի ընդունում, որոնց մասին դուք ոգևորված սկսում եք պատմել Ձեր ընկերության բոլոր ստորաբաժանումներում, փորձելով հասկանալ, ինչպես կարող եք միահամուռ ուժերով իրականացնել ԻՍՕ 27001 ստանդարատների ներդման գործընթացը։ Եվ քանի, որ ոչ մեկ ոչինչ չի հասկանում ձեր ասածներից, բոլորը սկսում են խոսել իրենց հոգեհարազատ թեմաներից։ Դուք ստիպված խնդրում եք կադրերի բաժնի պետին Ձեզ համար գտնել տեղեկատվական անվտանգության կառավարչի, որը ինչպես պարզվում է տվյալ մասնագետների մեծ պահանջարկի և սակավության պատճառով՝ անընդունելի թանկարժեք հաճույք է ընկերության բյուջեյի համար։

Ի վերջո դուք ինքներդ ակամայից ստանձնում եք ISO 27001 կառավարչի պարտականությունները` չնչին բյուջեյով, տեղեկատվական անվտանգության կանոնների կարևորությամբ չմտահոգված աշխատակազմով և ամեն աստծո օր ISO 27001 ստանդարտի վկայական պահանջող ղեկավարությունով։

Ահա այսքանից հետո միայն սկսվում է ISO ստանդարտների բուն գործընթացը։

Պատրաստեց՝ Վահագն Նավասարդյանը