შესავალი

ვისთვისაა გამიზნული წინამდებარე „სახელმძღვანელო“?

წინამდებარე „სახელმძღვანელო“ დაიწერა მარტივი მიზნით: დახმარებოდა პარლამენტს კიბერუსაფრთხოების გასაგები და რეალიზებადი გეგმის შემუშავებაში. რამდენადაც სამყარო სულ უფრო და უფრო გადადის ონლაინ რეჟიმზე, კიბერუსაფრთხოება უკვე აღარ არის მხოლოდ მოდური სიტყვა, არამედ პარლამენტების წარმატებისთვის საჭირო კრიტიკული კონცეფცია და ინფორმაციის უსაფრთხოება (როგორც ონლაინ, ისე ოფლაინ) არის გამოწვევა, რომელიც მოითხოვს ყურადღებას, ინვესტიციებს და სიფხიზლეს.

თქვენი პარლამენტი სავარაუდოდ - თუ უკვე არა - იქნება კიბერშეტევის სამიზნე. ეს არაა პანიკიორობა; ეს რეალობაა იმ პარლამენტებისთვისაც კი, რომლებიც არ მიიჩნევენ თავს კონკრეტულ სამიზნედ.

Center for Strategic and International Studies, რომელიც აწარმოებსგანახლებად სიას და რომელსაც ისინი „მნიშვნელოვან კიბერ-ინციდენტებს“ უწოდებენ, წლიურად, საშუალოდ, აღრიცხავს ასობით სერიოზულ კიბერ-შეტევას, რომელთაგან მრავალი წარმოადგენს სამიზნეს ერთბაშად, ასეულობით თუ არა, ათეულობით ორგანიზაციას მაინც. ამ ინფორმირებული შეტევების გარდა, არის ალბათ ასობით სხვა უფრო მცირე შეტევა, რომლებიც ყოველწლიურად შეუმჩნეველია ან არ ხდება მათი შეტყობინება, რომელთაგან ბევრის სამიზნეს წარმოადგენს სამთავრობო უწყებები, საკანონმდებლო ორგანოები და პოლიტიკური ორგანიზაციები.

აღნიშნულის მსგავს კიბერ-შეტევებს გააჩნია მნიშვნელოვანი შედეგები. მათ მიზანს წარმოადგენს პარლამენტის საქმიანობის ჩაშლა, რეპუტაციის შელახვა ან თუნდაც ინფორმაციის მოპარვა, რამაც შეიძლება ფსიქოლოგიური ან ფიზიკური ზიანი მიაყენოს პარლამენტის წევრებს ან თანამშრომლებს, მაგალითად მუქარა, სერიოზულად უნდა იქნას აღქმული.

კარგი ისაა, რომ თქვენი და თქვენი პარლამენტის საყოველთაო საფრთხეებისაგან დასაცავად არაა საჭირო იქცეთ პროგრამისტად ან ტექნოლოგად. თუმცა, მყარი საპარლამენტი უსაფრთხოების გეგმის შემუშავების და რეალიზაციისას მზად უნდა იყოთ ძალისხმევის, ენერგიის და დროის ინვესტიციისთვის. 

თუ არასოდეს გიფიქრიათ პარლამენტის კიბერუსაფრთხოებაზე, ამაზე ფოკუსირებისთვის არ გქონდათ დრო, ან იცნობთ თემის ზოგიერთ საფუძველს, მაგრამ ფიქრობთ, რომ თქვენს პარლამენტს შეუძლია გააუმჯობესოს კიბერუსაფრთხოება, ეს სახელმძღვანელო თქვენთვისაა. მიუხედავად იმისა, თუ საიდან ხართ, ეს სახელმძღვანელო შექმნილია იმისთვის, რომ თქვენს პარლამენტს მიაწოდოს ის ინფორმაცია, რომელიც მას სჭირდება ძლიერი უსაფრთხოების გეგმის შესამუშავებლად - გეგმა, რომელიც სცილდება მხოლოდ სიტყვების ქაღალდზე დაწერას და საშუალებას გაძლევთ დანერგოთ საუკეთესო პრაქტიკა.

ვინ მართავს საპარლამენტო კიბერუსაფრთხოებას?

ეფექტური და უსაფრთხო პარლამენტი საჭიროებს პერსონალს, რომელსაც აქვს უნარები და შესაფერისი უფლებამოსილება, რომ განახორციელოს წინამდებარე სახელმძღვანელოში მოცემული რეკომენდაციები. აღნიშნულიდან გამომდინარე, პარლამენტებში კიბერუსაფრთხოებაზე პასუხისმგებელი პირები შეიძლება ძალიან განსხვავდებოდეს და არ არსებობს კონკრეტული „სწორი“ მოდელი, თუ ვინ უნდა იყოს კიბერუსაფრთხოებაზე პასუხისმგებელი. ზოგიერთ შემთხვევაში, ეს შეიძლება იყოს კიბერუსაფრთხოების სპეციალური გუნდი IT დეპარტამენტში, ზოგჯერ კი ეს შეიძლება იყოს სხვადასხვა ადმინისტრაციული პერსონალი და თანამშრომლები. გაითვალისწინეთ, მიუხედავად იმისა, რომ მნიშვნელოვანია გყავდეთ პარლამენტის კიბერუსაფრთხოებაზე პასუხისმგებელი კარგი გუნდი, ყველას პასუხისმგებლობაა, პარლამენტში და მის გარშემო დაიცვას პარლამენტის უსაფრთხოებისთვის აუცილებელი პოლიტიკა და პროცედურები. ქვემოთ მოცემულია საპარლამენტო კიბერუსაფრთხოების მართვის სხვადასხვა პერსონალის მოდელების რამდენიმე მაგალითი:

აშშ-ს წარმომადგენელთა პალატა

საინტერესოა, რომ აშშ-ის წარმომადგენელთა პალატა-ში, ზოგიერთი ოფისი ქირაობს სისტემური ადმინისტრატორი, რომელიც პასუხისმგებელია ოფისის მიერ გამოყენებული ყველა კომპიუტერული ტექნიკისა და პროგრამული სისტემის მართვაზე, მათ შორის კიბერუსაფრთხოების საკითხების მართვაზე - და თანამშრომლების მომზადების მოწინავე მეთოდებზე. ინსტიტუციურ დონეზე, წარმომადგენელთა პალატის მთავარ ადმინისტრაციულ ოფიცერს შემადმგენლობაში ჰყავს საინფორმაციო რესურსების ჯგუფი, რომელიც მოიცავს ინფორმაციულ უსაფრთხოებასთან დაკავშირებულ დეპარტამენტს.

ზამბიის ეროვნული ასამბლეა

ზამბიის ეროვნული ასამბლეა -ს საინფორმაციო და საკომუნიკაციო ტექნოლოგიების დეპარტამენტის (ICT) იმედი აქვს სხვადასხვა ფუნქციების შესასრულებლად, მათ შორის პარლამენტის პროგრამული უზრუნველყოფის, აპარატურის და საინფორმაციო ინფრასტრუქტურის მართვის, წევრების ტრენინგის ან პარლამენტის და პერსონალის ტექნოლოგიების შერჩევის შემთხვევაში, სისტემების და პარლამენტის საინფორმაციო ინფრასტრუქტურის შიდა და გარე კიბერ საფრთხეებისგან დაცვაში.

მალაიზიის პარლამენტი

მალაიზიის pპარლამენტში არის საინფორმაციო ტექნოლოგიების დეპარტამენტი, რომელიც ექვემდებარება პარლამენტის მთავარ ადმინისტრატორს, რაც საშუალებას აძლევს მას მოემსახუროს პარლამენტის ორივე პალატას. ამ ერთეულს აქვს ქსელის უსაფრთხოების კონრეტული პოზიცია, რაც საშუალებას აძლევს მას უზრუნველყოს ქსელური სისტემების, მონაცემთა ცენტრების და ICT ინფრასტრუქტურის შესაბამისობა და მაქსიმალური უსაფრთხოება.


რა არის უსაფრთხოების გეგმა და რატომ უნდა ჰქონდეს ის პარლამენტს?

უსაფრთხოების გეგმა წარმოადგენს იმ წერილობითი პოლიტიკების, პროცედურების და მითითებების კრებულს, რომლებზეც შეთანხმდა თქვენი ორგანიზაცია უსაფრთხოების იმ დონის მისაღწევად, რომელიც თქვენ და თქვენს გუნდს მიაჩნია შესაფერისად თქვენი ხალხის, პარტნიორების და ინფორმაციის უსაფრთხოებისათვის.

კარგად შედგენილი და განახლებული ორგანიზაციული უსაფრთხოების გეგმა უზრუნველყოფს თქვენს უსაფრთხოებას და ეფექტურობის ამაღლებას თქვენს გონებაში სიმშვიდის დამყარებით, რაც აუცილებელია თქვენი პარლამენტის მნიშვნელოვან ყოველდღიურ საქმიანობაზე კონცენტრაციისათვის. ამომწურავი გეგმის გარეშე ფიქრის პროცესში, მეტად მარტივია ვერ ხედავდეთ ზოგიერთი ტიპის საფრთხეს და ზედმეტი ყურადღება დაუთმოთ ერთ რისკს ან არ მიაქციოთ ყურადღება კიბერუსაფრთხოებას მანამ, სანამ არ დადგება კრიზისი.

უსაფრთხოების გეგმის შემუშავების დაწყებისას საკუთარ თავს უნდა დაუსვათ რამდენიმე მნიშვნელოვანი კითხვა, რასაც რისკების შეფასება ეწოდება. ხსენებულ კითხვებზე პასუხის გაცემა დაეხმარება თქვენს პარლამენტს, აღიქვას თქვენ წინაშე არსებული უნიკალური საფრთხეები და საშუალებას მოგცემთ, შეჩერდეთ და ყოველმხრივ დაფიქრდეთ, თუ რა გჭირდებათ დაცვისათვის და ვისგან საჭიროებთ დაცვას. ტრენირებულ შემფასებლებს, სტრუქტურის შემმოწმებელი „ინტერნიუსის“ SAFETAG-ის მსგავსი სისტემების გამოყენებით, გააჩნიათ უნარი, დაეხმარონ თქვენს პარლამენტს ხსენებული პროცესის გავლაში. თუ თქვენ გაქვთ ამ დონის პროფესიონალური გამოცდილება, ეს ამად ღირს, მაგრამ მაშინაც კი, თუ ვერ გაივლით სრულ შეფასებას, უნდა შეხვდეთ დაინტერესებულ მხარეებს პარლამენტში, რათა განიხილოთ შემდეგი ძირითადი საკითხვები:

1

რა აქტივები აქვს თქვენს პარლამენტს და რისი დაცვა გსურთ?

თქვენ შეგიძლიათ დაიწყოთ ამ კითხვებზე პასუხის გაცემა თქვენი პარლამენტის მთელი აქტივების კატალოგის შექმნით. ინფორმაცია, როგორიცაა შეტყობინებები, ელ-ფოსტა, კონტაქტები, დოკუმენტები, კალენდრები და ლოკაციები, ყველა წარმოადგენს შესაძლო აქტივს. აქტივი, შესაძლოა, იყოს ტელეფონები, კომპიუტერები და სხვა მოწყობილობები. ასევე, შესაძლოა, აქტივი იყოს ადამიანები, კავშირები და ურთიერთობებიც. შეადგინეთ თქვენი აქტივების სია და სცადეთ, მოახდინოთ მათი კატალოგიზება ორგანიზაციისათვის მნიშვნელობის მიხედვით , სადაც შეინახავთ მათ (სავარაუდოდ, რამდენიმე ციფრულ ან ფიზიკურ ადგილზე), ეს კი საშუალებას არ მისცემს სხვებს, იქონიონ მათზე წვდომა და დააზიანონ ან აურიონ ისინი. გახსოვდეთ, რომ ყველაფერი თანაბრად მნიშვნელოვანი არაა. თუ პარლამენტის ზოგიერთი მონაცემი საჯაროა ან წარმოადგენს თქვენ მიერ უკვე გამოქვეყნებულ ინფორმაციას, ის არაა საიდუმლო, რომლის დაცვაც გესაჭიროებათ. 

2

ვინ არიან თქვენი კონკურენტები და რა შესაძლებლობები და მოტივაცია გააჩნიათ მათ?

„მეტოქე“ არის ტერმინი, რომელიც ჩვეულებრივ გამოიყენება ორგანიზაციულ უსაფრთხოებაში. მარტივად რომ ვთქვათ, მეტოქეები არიან ის მოქმედი პირები (ფიზიკური პირები ან ჯგუფები), რომლებიც დაინტერესებული არიან თქვენს ორგანიზაციაზე შეტევით, თქვენი სამუშაოს შეფერხებით და თქვენს ინფორმაციაზე წვდომით, ან მისი განადგურებით: ცუდი ბიჭები. პოტენციური მეტოქეების მაგალითებია ფინანსური თაღლითები, მტრულად განწყობილი მთავრობები ან იდეოლოგიურად ან პოლიტიკურად მოტივირებული ჰაკერები. მნიშვნელოვანია, შეადგინოთ თქვენი მეტოქეების სია და კრიტიკულად შეაფასოთ ვის შეიძლება სურდეს თქვენს პარლამენტზე და პერსონალზე ნეგატიური გავლენის მოხდენა. გარე მოქმედი პირების (მაგალითად, უცხოური მთავრობა ან კონკრეტული პოლიტიკური ჯგუფი) მეტოქეებად წარმოდგენა მარტივია, მაგრამ ასევე გახსოვდეთ, რომ მეტოქე შეიძლება იყოს თქვენი ნაცნობიც, როგორიცაა უკმაყოფილო თანამშრომელი, პერსონალის ყოფილი წევრი და გაუტანელი ოჯახის წევრი ან პარტნიორი.

სხვადასხვა მეტოქე სხვადასხვა საფრთხეს ქმნის და სხვადასხვა რესურსი და შესაძლებლობა აქვს თქვენი საქმიანობის შესაფერხებლად და თქვენს ინფორმაციაზე წვდომის მოსაპოვებლად ან მის გასანადგურებლად. მაგალითად, მთავრობებს ხშირად ბევრი ფული და მძლავრი შესაძლებლობები აქვთ ინტერნეტის გამორთვის თუ ძვირადღირებული სათვალთვალო ტექნოლოგიების ჩათვლით; მობილურ ქსელებს და ინტერნეტ-პროვაიდერებს, სავარაუდოდ, გააჩნიათ წვდომა ზარების ჩანაწერებზე და ბრაუზინგის ისტორიებზე; კვალიფიციურ ჰაკერებს შეუძლიათ ჩაერთონ საჯარო Wi-Fi ქსელებში სუსტად დაცულ კომუნიკაციებში ან ფინანსურ ტრანზაქციებში. შესაძლოა, თქვენს საკუთარ მეტოქედაც კი იქცეთ, მაგალითად, მნიშვნელოვანი ფაილების შემთხვევითი წაშლით ან პირადი შეტყობინებების არადანიშნულებისამებრ გაგზავნით.

მეტოქეების მოტივები, სავარაუდოდ, განსხვავდება მათი შესაძლებლობის, ინტერესების და სტრატეგიის მიხედვით. ისინი დაინტერესებულნი არიან თქვენი პარლამენტის დისკრედიტაციით? იქნებ თქვენი გზავნილის მიჩუმებას ან პარლამენტის ჩაშლას აპირებენ? მნიშვნელოვანია, გავიგოთ მეტოქის მოტივაცია, რადგან ეს შეიძლება დაეხმაროს თქვენს პარლამენტს, უკეთ შეაფასოს საფრთხეები, რომლებიც მან შეიძლება წარმოქმნას.

3

რა საფრთხეების წინაშე დგას თქვენი პარლამენტი? და რამდენად რეალური და გავლენიანია ისინი?

შესაძლო საფრთხეების იდენტიფიკაციის შემდეგ, სავარაუდოდ, გექნებათ გრძელი სია, რომელიც შეიძლება გადაჭარბებული აღმოჩნდეს. შესაძლოა, იგრძნოთ, რომ ნებისმიერი ძალისხმევა უსაგნოა ან არ იცოდეთ, საიდან დაიწყოთ. თქვენი პარლამენტის მიერ შემდგომი პროდუქტიული ნაბიჯების გადასადგმელად ძალების მოკრებაში დახმარების მიზნით სასარგებლოა აწარმოოთ თითოეული საფრთხის ანალიზი გამომდინარე ორი ფაქტორიდან: ალბათობა, რომ საფრთხე წარმოიშობა და მისი გავლენა წარმოშობის შემთხვევაში.

საფრთხის ალბათობის გასაზომად (სავარაუდოდ „დაბალი, საშუალო ან მაღალი“ იმის და მიხედვით, რომ მოცემული შემთხვევა ნაკლებად სავარაუდოა, მოხდეს, შესაძლოა, მოხდეს ან ხდება ხშირად), შეგიძლიათ, გამოიყენოთ მეტოქეების შესაძლებლობებზე თქვენთვის ცნობილი ინფორმაცია, უსაფრთხოების წარსული ინციდენტების ანალიზი, სხვა მსგავსი პარლამენტის გამოცდილება და, რა თქმა უნდა, თქვენი პარლამენტის მიერ მანამდე დანერგილი შედეგების შერბილების რაიმე სტრატეგიის არსებობა.

საფრთხის გავლენის გასაზომად დაფიქრდით როგორი იქნებოდა თქვენი სამყარო საფრთხის რეალურად წარმოშობის შემთხვევაში. დასვით კითხვები, როგორიცაა „როგორ დაგვაზიანა საფრთხემ, როგორც პარლამენტი და როგორც ხალხი, ფიზიკურად და მენტალურად?“, „რამდენად გრძელვადიანი იყო ეფექტი?“, „წარმოშობს ეს სხვა საზიანო სიტუაციებს?“ და „რამდენად ამცირებს ის ჩვენს უნარს, მივაღწიოთ ჩვენს მიზნებს ახლა და მომავალში?” ამ კითხვებზე პასუხის შემდეგ დაფიქრდით, როგორია გავლენა: სუსტი, საშუალო თუ ძლიერი.

რისკების შეფასების ხსენებული პროცესის მართვაში დასახმარებლად განიხილეთ ისეთი დიაგრამის გამოყენება, როგორიცაა Electronic Frontier Foundation-ის მიერ შემუშავებული ეს დიაგრამა. გახსოვდეთ, რომ ამ პროცესის ფარგლებში თქვენს მიერ შექმნილი ინფორმაცია (როგორიცაა მეტოქეების და მათთან დაკავშირებული საფრთხეების სია) შესაძლოა იყოს სენსიტიური, ამდენად, მნიშვნელოვანი მისი უსაფრთხოების დაცვა.

თქვენი საფრთხეების ალბათობის და გავლენის მიხედვით დალაგების შემდეგ შეგიძლიათ, შეუდგეთ უფრო ინფორმირებული სამოქმედო გეგმის შედგენას. იმ საფრთხეებზე კონცენტრაციით, რომლებიც უფრო სავარაუდოა, რომ წარმოიშვას და რომლებიც იქონიებს მნიშვნელოვან ნეგატიურ გავლენას, თქვენ მიმართავთ თქვენს შეზღუდულ რესურსებს მაქსიმალურად შესაძლო ქმედითი და შედეგიანი მიმართულებით. თქვენი მუდმივი მიზანია, მაქსიმალურად შეამციროთ რისკი, თუმცა, არავის, მათ შორის რესურსებით მაქსიმალურად უზრუნველყოფილ მთავრობას თუ კომპანიასაც კი, არ შეუძლია რისკების სრულად აღმოფხვრა. და ეს კარგია: ბევრი რამის გაკეთება შეგიძლიათ საკუთარი თავის, კოლეგების და პარლამენტის დასაცავად ყველაზე სერიოზულ საფრთხეებზე ფოკუსირების გზით.

შეიმუშავეთ უსაფრთხოების გეგმა