AI‑ით მხარდაჭერილი ავტომატიზებული ISO 27001 კონტროლის Mapping უსაფრთხოების კითხვარისთვის

უსაფრთხოების კითხვარები vendor‑risk‑შეფასებებში ხაზის ბალამბია. აუდიტორებს ხშირად სჭირდებათ საბუთი, რომ SaaS პროვაიდერი ადევენ ISO 27001 სტანდარტს, მაგრამ მექანიკური შედარება სწორი კონტროლის, დამამხმარე პოლისის გახსნისა და შესანიშნავი პასუხის ფორმულირებისთვის შეიძლება დღეთა სამეგანძეო იყოს. ახალი AI‑ზე დაჭერილი პლატფორმები ამ პერსპექტივას ცვლის რეფლექსურ, ადამიან‑გრძეს პროცედურებიდან პროგნოზირურ, ავტომატიზირებულ სამუშაო ნაკადებში.

ამ სტატიის მიზანია წარმოჩნდეს პირველი თავის არენში‑სახის ძრავა, რომელიც:

ინტერიებს ყველა ISO 27001 კონტროლის ნაკრებს და მიბმავს ყველა კონტროლს ორგანიზაციის შიდა პოლისის საცავს.
ქმნის ცოდნის გრაფის ბმებაზე კონტროლო, პოლისის, დამადასტურებელ არტიფაქტებსა და მფლობელებზე.
იყენებს Retrieval‑Augmented Generation (RAG) პროქსეს, რომ ქმნიდა კითხვარზე პასუხებს, შესაცდელი, კონტექსტუალური და დროის მიხედვით განახლებული.
აღმოულინდება პოლისი‑დრიფტი რეალურ დროში, თვითგანსახლებით ახალი პასუხის გენერაციას, თუ პოლისის წყარო შეიცვალა.
უზრუნველყოფს low‑code UI‑ს, სადაც აუდიტორებს შეუძლია ფინალურად სწორი ან დადასტურებული პასუხის მიღება გადაგზავნის წინ.

ქვემოთ გაეცანებით არქიტექტურული კომპონენტებს, მონაცემთა ნაკადს, AI‑ტექნიკებსა და მიღებული შუალედურ სარგოლოგებს პილოტის ეტაპზე.

1. რატომ ISO 27001 კონტროლის Mapping მნიშვნელოვანია

ISO 27001 აძლევს საერთო დაშვებულ ფრეიმორკსა ინფორმაციის უსაფრთხოების მართვაზე. მისი Annex A შეიცავს 114 კონტროლს, ყოველთმა ქვეკონტროლსა და რეალურად გამოყენებით. როდესაც მესამე‑პარტიის უსაფრთხოების კითხვარი, მაგალითად, ითხოვს:

“აღწერეთ, თუ როგორ გმართავთ კრიპტოგრაფიული ღილაკის ცხოვრება ციკლს (Control A.10.1).”

უსაფრთხოების ჯგუფს სჭირდება შესაბამისი პოლისი, კონკრეტული პროცესის აღწერა და მისი სიტყვიერი გარდაქმნა კითხვარის მოთხოვნის მიხედვით. მრავალი კონტროლის შესანიშნავი მსგავსი მოთხოვნები მრავალ კითხვარში იზრდება:

დუბლირებული სამუშაო – იდენტური პასუხები წერენ ყოველ მოთხოვნაზე.
არასრედ, ენა – მცირე ფორმულირებების განსხვავება შეიძლება დაითვალოს შუალედურ შემცველობაში.
გაყრდენი ცოცხალი – პოლისები ევოლუციონებს, თუმცა კითხვარის მოიანის შენადმი ჩავარდება.

ISO 27001 კონტროლების Mapping‑ის ავტომატიზაცია, გადატანის ბლოკებიდან, ამ პრობლემებს მასშტაბში იკლება.

2. ძირითად არქიტექტურული Blueprint

ინჟინერიება სამ ღრუბლოში:

პილარი	სამიზნე	მნიშვნელოვანი ტექნოლოგიები
კონტროლ‑პოლისი ცოდნის გრაფიკი	ნორმალიზuje ISO 27001 კონტროლებს, შიდა პოლისებს, არტიფაქტებს და მფლობელებს შემოწმებად გრაფიკად.	Neo4j, RDF, Graph Neural Networks (GNN)
RAG პასუხის გენერაცია	იღებს ყველაზე შესაბამისი პოლისი‑ნაწებს, დამატებით კონტექსტს და ქმნის დამამუშავებულ პასუხს.	Retrieval (BM25 + Vector Search), LLM (Claude‑3, Gemini‑Pro), Prompt Templates
პოლისი დრიფტის აღმოჩენა & ავტომატური განახლება	მონიტორავს წყარო‑პოლისებს ცვლილებების შემთხვევაში, ირგვლივაცის გენერაციას და აცნობს სტეიკჰოლდერებს.	Change Data Capture (CDC), Diff‑Auditing, Event‑Driven Pub/Sub (Kafka)

ქვემოთ წარმოდგენილია Mermaid დიაგრამა, რომელიც გამხილავთ მონაცემთა ნაკადს ინტერგირებიდან პასუხის მიწოდებაზე.

  graph LR
    A[ISO 27001 Control Catalog] -->|Import| KG[Control‑Policy Knowledge Graph]
    B[Internal Policy Store] -->|Sync| KG
    C[Evidence Repository] -->|Link| KG
    KG -->|Query| RAG[Retrieval‑Augmented Generation Engine]
    RAG -->|Generate| Answer[Questionnaire Answer Draft]
    D[Policy Change Feed] -->|Event| Drift[Policy Drift Detector]
    Drift -->|Trigger| RAG
    Answer -->|Review UI| UI[Security Analyst Dashboard]
    UI -->|Approve/Reject| Answer

All node labels are wrapped in double quotes as required by the Mermaid syntax.

3. კონტროლ‑პოლისი ცოდნის გრაფის შექმნა

3.1 მონაცემთა მოდელირება

Control Nodes – თითოეული ISO 27001 კონტროლი (მაგ. “A.10.1”) ცისზე სანახაობა title, description, reference, family.
Policy Nodes – შიდა უსაფრთხოების პოლისები შემოიქმნება Markdown‑დან, Confluence‑დან ან Git‑რეპოზიტორებიდან. ატრიბუტებია version, owner, last_modified.
Evidence Nodes – ბმული აუდიტ‑ლოგის, კონფიგურაციის სინოპსის ან მესამე‑პარტიის სერტიფიკატების მიმართ.
Ownership Edges – MANAGES, EVIDENCE_FOR, DERIVES_FROM.

გრაფის სქემა ქმნის SPARQL‑პაქტის მსგავს კითხვებს, მაგალითად:

MATCH (c:Control {id:"A.10.1"})-[:DERIVES_FROM]->(p:Policy)
RETURN p.title, p.content LIMIT 1

3.2 განაღშენელება GNN‑ით

გრაფის ნერვური ქსელი (Graph Neural Network) ტრეინდება ისტორიული კითხვა‑პასუხის ცალკეულ ცნებებს, რათა შეიქმნას სემანტიკური მსგავსება კონტროლსა და პოლისი‑ფრაგმენტის შორის. ეს score ინახება relevance_score როგორც ცემა‑პროვერტი, რაც výrazně გაუმჯობესებს მიღებაზე სიზუსტის დალაპარაკებას ბმული-კვანძის მიხედვით, ვიდრე მხოლოდ საკვანძო სიტყვური შესასვლელზე.

4. Retrieval‑Augmented Generation (RAG) პროქსი

4.1 Retrieval საფაზა

Keyword Search – BM25 პოლისის ტექსტზე.
Vector Search – Sentence‑Transformers‑ის ენმედში სემანტიკური შესაბამისობა.
Hybrid Ranking – BM25‑სა და GNN‑ის relevance_score‑ის ლინერული შერევა (α = 0.6 სემანტიკური, 0.4 ლექსიკალური).

მოტვირთული top‑k (ია 3) პოლისი‑ნაწლები გადაეცემა LLM‑ს, კითხვარის შაბლონით.

4.2 Prompt Engineering

დინამიური პრომპტი უშლიან კონტროლის ოჯახის მიხედვით:

You are a compliance assistant. Using the following policy excerpts, craft a concise answer (max 200 words) for ISO 27001 control "{{control_id}} – {{control_title}}". Maintain the tone of the source policy but tailor it to a third‑party security questionnaire. Cite each excerpt with a markdown footnote.

LLM თავის თავში ჩანაწებია placeholders‑ის ცვლილება სრულიად დატარებული პუნქტებით, რათა მოახდინეს ციტატირებულ დისტრიროკტორებში.

4.3 Post‑Processing

Fact‑Check Layer – ორიფერე LLM‑ის ციკლი, რათა ყველა გამოთქმა იყოს მითითებული მიღებული ტექსტით.
Redaction Filter – იგნორირებულია ნებისმიერი კონფიდენციალური ინფორმაცია, რომელიც არ უნდა იყოს გამოსაყენებლად.
Formatting Module – დედის გადაყვეთა დაკვეთილი საკითხის ფორმატში (HTML, PDF, სოციალური ტექსტი).

5. რეალურ‑დრო Polisi Drift დე‑ტექნოლოგია

პოლსისები დიდად არ არიან სტატიკური. Change Data Capture (CDC) connector უყურებს წყარო‑საცავს კომიტს, მერგს ან შლისას. როცა გარკვეული ცხრილზე ცვლილება აუდიონის ISO‑კონტროლს:

გამოტანას diff hash ძველი‑და‑ახალი‑პოლისის შორის.
იგზავნება drift event Kafka‑ის policy.drift‑ტოპიკში.
ითავრდება RAG‑პროექტი დაზოგული პასუხებისთვის.
იგზავნება შეტყობინება პოლისის მფლობელს და ანალიტიკის ცალკეულ ბრძანებულ დეშ ბურთზე.

უჭერთ ბილიკზე თითოეული გამოცემული უსაფრთხოების კითხვარის პასუხი მოხდება მიმდინარე შიდა კონტროლებთან.

6. მომხმარებელ‑გამოტანა: Analyst Dashboard

UI‑ში გრიდი pending‑შეკითხვებით, ფერით‑კოდირებულია სტატუსით:

მწვანე – პასუხი გენერირებულია, ვერია დრიფტი, მზადაა ექსპორტისთვის.
ყვითელი – ბოლო პოლისი‑ცხრილში შეცდომა, გენერაციაზე მოლოდინი.
წითელი – საჭიროია ადამიან‑გადამოწმება (მაგ. გაურკვეველი პოლისი ან რედაქტირების ალარმი).

მნიშვნელოვანია:

ერთ‑დაკლიკის ექსპორტი PDF‑ზე ან CSV‑ზე.
ინ‑ლაინ ედიტი კიდ‑ქეთს‑გაყვარებით.
ვერსიის ისტორია პვითიკული პოლისი‑ვერსიის გამოტანა თითოეული პასუხისათვის.

მოკლე ვიდეო‑დემოთ (დაგეგმვა‐პლატფორმაზე) აჩვენებს იპოვილს: კონტროლის არჩევა, ავტომატიზებული პასუხის მიმოხილვა, დადასტურა, ექსპორტი.

7. მაგისტრალური ბიზნესი‑მნიშვნელობა

მაჩვენებელი	ავტომატიზაციის წინ	ავტომატიზაციის შემდეგ (პილოტი)
საშუალო პასუხის შექმნის დრო	45 წთ კონტროლში	3 წთ კონტროლში
კითხვარის გადაცემა (მთლიანი)	12 დღე	1,5 დღე
პასუხის თანმეორეობითი ქმედება (audit)	78 %	96 %
პოლისი‑დრიფტის ლათინურობა	7 დღე (ხელით)	< 2 საათი (ავტო)

პილოტი, იმოქმედა საშუალო SaaS‑ფირმაზე (≈ 250 თანამშრომელი), დარეგისტრირებულია ≈ 30 საათი კვირით უსაფრთხოების გუნდის სამუშაო დატვირთვითა და 4‑სიმტყის კომპლიციონული ინციდენტის, რომელიც დაკავშირება დაგებია უვარგისული პასუხებით.

8. უსაფრთხოება & გవరნანტის საკითხები

მონაცემთა ადგილმდებარეობა – ყველა ცოდნის‑გრაფის მონაცემი ორგანიზაციის კერძო VPC‑ში; LLM‑ის ინფერენცია ხდება ಲೋಕალურ ჰარდვერში ან dedikasi‑private‑cloud‑endpoint‑ზე.
წვდომის კონტროლის – როლ‑ბაზირებული უფლებები აკრძალავენ, ვინ შეძლებს პოლისის დამუშავებას, გენერაციის ტრიგერირებას, შესამოწმებლად პასუხის ნახვას.
აუდიტის ტრასა – თითოეული პასუხის დრაფტში ინახება კრიპტოგრაფიული ჰეში, რომელიც უკავშირდება კონკრეტული პოლისი‑ვერსის.
explaining – Dashboard‑ზე traceability view აჩვენებს მიღებული პოლისი‑ნაწვრებითა და relevance‑score‑ით, რაც რეგულატორებს აძლევს აჩვენებს AI‑ის იუზირის პასუხისმგებლობას.

9. ძრავის გაფართობა ISO 27001‑ის გადაჭირვაზე

ჰაკის პროტოტიპი ორიენტირებულია ISO 27001-ზე, თუმცა არქიტექტურა რეგულატორ‑გარეშეა:

SOC 2 Trust Services Criteria – Mapping‑ის გაკეთება იმავე გრაფიკზე, სხვა კონტროლური ოჯახებით.
HIPAA Security Rule – 18 სტანდარტის ტრანსფორმირება ჯანდაცვის‑სპეციფიკური პოლისებით.
PCI‑DSS – ბინების‑მონაცემებზე მიმართული პროცედურის მსგავსია.

ახალი ფრეიმორკის დამატება უბრალოდ რეგისტრირება მართავს მისი კონტროლის კატალოგი და მიერთება არსებული პოლისის ნოდებს. GNN‑ი ადაპტირდება ngokuათ, მეტი ტრენინგ‑პეისის დაწერისას.

10. დაწყება: ნაბიჯ‑ნაბიჯ სია

ISO 27001 კონტროლის კატალოგის შეგროვება (თავისუფალი Annex A CSV‑ის ჩამოტვირთვა).
შიდა პოლისების ექსპორტირება სტრუქტურირებულ ფორმაში (Markdown, front‑matter‑ით ვერსიისთვის).
გახადეთ ცოდნის‑გრაფის დეპლოი (Neo4j Docker‑image, დეფოლტ სქემა).
RAG‑სამსახურის ინსტალირება (Python FastAPI კონტეინერი LLM‑Endpoint‑ით).
CDC-ის კონფიგურაცია (Git‑hook ან ფაილ‑სისტემა‑მოკვალერი) Drift‑Detector‑ის feed‑ზე.
Dashboard‑ის ლანჩირება (React UI, OAuth2‑ით Authentication).
პილოტის კითხვარის გაშვება და პრომპტ‑ტემპლატების იტერაციული კორექტირება.

ამ რუკის მიხედვით, ინსტალება საერთოდ 4‑6 კვირის ფარგლებში შეძლებს უფასო ISO 27001 Mapping‑ის აკრეფის მჭერს.

11. მომავალის მიმართულებები

Federated Learning – უცნობი‑პოლისი‑მიუნტირებული embeddings‑ის გაცენება პარტნიორი კომპანიებთან, უშუალოდ პოლისის გაგზავნის გარეშე, რათა აუმჯობესდეს სემანტიკური რეალობა.
Multimodal Evidence – დიაგრამები, კონფიგურაციის ფაილები, ლოგ‑სნეპშოტები გადატანაზე Vision‑LLMs‑ის დახმარებით, პასუხის ბრწყინვალებით.
Generative Compliance Playbooks – ერთი‑სათავე პასუხისგან გადასვლა სრულ კონტროლის Narrative‑ით, დილექტის ცხრილითა და რისკ‑ანალიზით.

გრაფი, RAG, პოლისი‑დრიფტის მონიტორინგის შეერთება, ეხმარება უსაფრთხოების კითხვარის ავტომატიზაციაზე ახალი ბასული. ადრეული ადაპტორებმა სარგებლობენ მხოლოდ სიჩქარეით, არამედ დაუშვით, მიმდინარე, აუდიტირებად პასუხებით.

AI‑ით მხარდაჭერილი ავტომატიზებული ISO 27001 კონტროლის Mapping უსაფრთხოების კითხვარისთვის

1. რატომ ISO 27001 კონტროლის Mapping მნიშვნელოვანია