„ინფორმაციული უსაფრთხოების პოლიტიკის დამტკიცების შესახებ“

„ინფორმაციული უსაფრთხოების პოლიტიკის დამტკიცების შესახებ“ p.MsoNormal, li.MsoNormal, div.MsoNormal {margin-top:0in; margin-right:0in; margin-bottom:10.0pt; margin-left:0in; line-height:115%; font-size:11.0pt; } h1 { margin-top:24.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; line-height:115%; page-break-after:avoid; font-size:14.0pt; color:#365F91;} h2 { margin-top:10.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; line-height:115%; page-break-after:avoid; font-size:13.0pt; color:#4F81BD;} h3 { margin-top:10.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; line-height:115%; page-break-after:avoid; font-size:10.0pt; color:#4F81BD;} p.MsoCommentText, li.MsoCommentText, div.MsoCommentText { margin-top:0in; margin-right:0in; margin-bottom:10.0pt; margin-left:0in; line-height:115%; font-size:10.0pt; } p.MsoPlainText, li.MsoPlainText, div.MsoPlainText {margin-top:0in; margin-right:0in; margin-bottom:10.0pt; margin-left:0in; line-height:115%; font-size:10.0pt; } p.MsoCommentSubject, li.MsoCommentSubject, div.MsoCommentSubject { margin-top:0in; margin-right:0in; margin-bottom:10.0pt; margin-left:0in; line-height:115%; font-size:10.0pt; font-weight:bold;} p.MsoAcetate, li.MsoAcetate, div.MsoAcetate { margin:0in; margin-bottom:.0001pt; font-size:8.0pt; } p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph {margin-top:0in; margin-right:0in; margin-bottom:10.0pt; margin-left:.5in; line-height:115%; font-size:11.0pt; } p.MsoListParagraphCxSpFirst, li.MsoListParagraphCxSpFirst, div.MsoListParagraphCxSpFirst {margin-top:0in; margin-right:0in; margin-bottom:0in; margin-left:.5in; margin-bottom:.0001pt; line-height:115%; font-size:11.0pt; } p.MsoListParagraphCxSpMiddle, li.MsoListParagraphCxSpMiddle, div.MsoListParagraphCxSpMiddle {margin-top:0in; margin-right:0in; margin-bottom:0in; margin-left:.5in; margin-bottom:.0001pt; line-height:115%; font-size:11.0pt; } p.MsoListParagraphCxSpLast, li.MsoListParagraphCxSpLast, div.MsoListParagraphCxSpLast {margin-top:0in; margin-right:0in; margin-bottom:10.0pt; margin-left:.5in; line-height:115%; font-size:11.0pt; } p.Normal, li.Normal, div.Normal { margin:0in; margin-bottom:.0001pt; text-autospace:none; font-size:12.0pt; } span.Heading2Char { color:#4F81BD; font-weight:bold;} span.Heading3Char { color:#4F81BD; font-weight:bold;} span.Heading1Char { color:#365F91; font-weight:bold;} span.BalloonTextChar { } span.CommentTextChar { } span.CommentSubjectChar { font-weight:bold;} p.abzacixml, li.abzacixml, div.abzacixml { margin:0in; margin-bottom:.0001pt; text-align:justify; text-indent:14.15pt; font-size:11.0pt; } p.tarigixml, li.tarigixml, div.tarigixml { margin-top:6.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:center; text-indent:14.2pt; font-size:11.0pt; font-weight:bold;} p.mimgebixml, li.mimgebixml, div.mimgebixml { margin:0in; margin-bottom:.0001pt; text-align:center; text-indent:14.2pt; font-size:14.0pt; font-weight:bold;} p.saxexml, li.saxexml, div.saxexml { margin-top:6.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; text-align:center; text-indent:14.15pt; font-size:11.0pt; font-weight:bold;} p.adgilixml, li.adgilixml, div.adgilixml { margin-top:6.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:center; text-indent:14.2pt; font-size:11.0pt; font-weight:bold;} span.saxexmlChar { font-weight:bold;} p.sulcvlilebaxml, li.sulcvlilebaxml, div.sulcvlilebaxml { margin:0in; margin-bottom:.0001pt; text-indent:14.15pt; font-size:11.0pt; font-weight:bold;} p.zogadinacilixml, li.zogadinacilixml, div.zogadinacilixml { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; text-align:center; text-indent:-42.5pt; line-height:12.0pt; page-break-after:avoid; font-size:11.0pt; font-weight:bold;} p.gansakutrebulinacilixml, li.gansakutrebulinacilixml, div.gansakutrebulinacilixml { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; text-align:center; text-indent:-42.5pt; page-break-after:avoid; font-size:11.0pt; font-weight:bold;} p.sataurixml, li.sataurixml, div.sataurixml { margin-top:12.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:center; text-indent:14.15pt; font-size:12.0pt; font-weight:bold;} p.satauri2, li.satauri2, div.satauri2 { margin:0in; margin-bottom:.0001pt; text-align:center; font-size:11.0pt; font-weight:bold;} p.danartixml, li.danartixml, div.danartixml { margin-top:6.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:right; text-indent:14.2pt; font-size:10.0pt; font-weight:bold; font-style:italic;} p.khelmoceraxml, li.khelmoceraxml, div.khelmoceraxml { margin-top:6.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-indent:14.15pt; font-size:11.0pt; font-weight:bold;} p.ckhrilixml, li.ckhrilixml, div.ckhrilixml { margin:0in; margin-bottom:.0001pt; font-size:9.0pt; } p.muxligazette, li.muxligazette, div.muxligazette { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:42.5pt; margin-bottom:.0001pt; text-indent:-42.5pt; line-height:12.0pt; page-break-after:avoid; font-size:11.0pt; font-weight:bold;} p.muxlixml, li.muxlixml, div.muxlixml { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:42.5pt; margin-bottom:.0001pt; text-indent:-42.5pt; line-height:12.0pt; page-break-after:avoid; font-size:11.0pt; font-weight:bold;} p.tavixml, li.tavixml, div.tavixml { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; text-align:center; font-size:11.0pt; font-weight:bold;} p.tavisataurixml, li.tavisataurixml, div.tavisataurixml { margin-top:0in; margin-right:0in; margin-bottom:12.0pt; margin-left:0in; text-align:center; font-size:11.0pt; font-weight:bold;} @page Section1 {size:8.5in 11.0in; margin:56.9pt 56.9pt 35.45pt 56.9pt;} div.Section1 {page:Section1;} ol {margin-bottom:0in;} ul {margin-bottom:0in;} საქართველოს იუსტიციის მინისტრის ბრძანება № 245 2010 წლის 31 დეკემბერი ქ. თბილისი ინფორმაციული უსაფრთხოების პოლიტიკის დამტკიცების შესახებ „საქართველოს მთავრობის სტრუქტურის, უფლებამოსილებისა და საქმიანობის წესის შესახებ“ საქართველოს კანონის მე-20 მუხლის მე-2 პუნქტის  „ა“  ქვეპუნქტისა და „საქართველოს  იუსტიციის  სამინისტროს  დებულების  დამტკიცების  თაობაზე“  საქართველოს  პრეზიდენტის  2008   წლის  7  ნოემბრის  № 541  ბრძანებულებით  დამტკიცებული  დებულების მე-3 მუხლის „ე“ ქვეპუნქტის შესაბამისად, ვბრძანებ: 1.   დამტკიცდეს თანდართული ინფორმაციული უსაფრთხოების პოლიტიკა. 2. დაევალოს საჯარო სამართლის იურიდიულ პირს – მონაცემთა გაცვლის საგენტოს   საქართველოს იუსტიციის სამინისტოში ინფორმაციული უსაფრთხოების პოლიტიკის იმპლემენტაციისათვის საჭირო  ორგანიზაციული  ღონისძიებების  კოორდინაცია. 3. ბრძანების შესრულებაზე კონტროლი დაევალოს საქართველოს  იუსტიციის მინისტრის მოადგილეს  ჯ. ებანოიძეს . 4.  ეს ბრძანება  ამოქმედდეს  გამოქვეყნებისთანავე. ზ. ადეიშვილი ინფორმაციული უსაფრთხოების პოლიტიკა თავი I ზოგადი დებულებები მუხლი 1🔗. შესავალი 1. საქართველოს იუსტიციის სამინისტროს ინფორმაციული უსაფრთხოების პოლიტიკა ეფუძნება ინფორმაციული უსაფრთხოების საერთაშორისო სტანდარტს ISO 27002. 2. ინფორმაციული უსაფრთხოების პოლიტიკა უზრუნველყოფს სამინისტროს მიერ კანონმდებლობით განსაზღვრული ფუნქციებისა და უფლებამოსილებების განხორციელებისას ამ პოლიტიკით გათვალისწინებული დებულებების დაცვას. 3. ინფორმაციული უსაფრთხოების პოლიტიკა განსაზღვრავს იუსტიციის სამინისტროს თანამშრომელთა და სხვა მომხმარებელთა მიერ ინფორმაციის, ინფორმაციული ტექნოლოგიებისა და ინფორმაციული სისტემების მოხმარების წესს (შემდგომში – „ი.ტ/ი.ს“). მუხლი 2🔗. ტერმინთა განმარტება ბრძანებაში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა: ა) კონფიდენციალურობა – ინფორმაციის ხელმისაწვდომობა მხოლოდ მასზე წვდომის უფლების მქონე პირთათვის ; ბ) მთლიანობა – უტყუარი ცოდნა იმისა, რომ ძირითადი მონაცემები და ინფორმაცია არის სწორი, არ არის შეცვლილი განზრახ ან გაუფრთხილებლობით და ასახავს ზუსტ ფაქტებს; გ) ხელმისაწვდომობა – უტყუარი ცოდნა იმისა, რომ ინფორმაცია საჭირო დროს იქნება ხელმისაწვდომი ავტორიზებული მომხმარებლებისათვის; დ) კონტროლის მექანიზმი  – ოპერაციების განხორციელებაზე შეზღუდვებისა და წესების შესრულების უზრუნველსაყოფად შექმნილი ქმედებების და ტექნოლოგიების ერთობლიობა;   ე) ძირითადი ინფორმაცია – იუსტიციის სამინისტროს ძირითადი ფუნქციების შესრულებისთვის აუცილებელი ინფორმაცია; ვ) მეორეხარისხოვანი ინფორმაცია – ყველა ის ინფორმაცია , რომელიც არ არის ძირითადი; ზ) ინფორმაციული აქტივი – ყველა სახის ინფორმაცია, ინფორმაციის  შენახვის, დამუშავების, გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ; თ) კრიტიკული სისტემები – ინფორმაციული სისტემები, რომლებიც ამუშავებს ძირითად ინფორმაციას; ი) მესამე მხარე – ფიზიკური ან იურიდიული პირი , რომელიც არ შედის იუსტიციის სამინისტროს დაქვემდებარებაში; კ) საარქივო მასალა – ინფორმაცია, რომელიც მნიშვნელოვანია ორგანიზაციისთვის, მაგრამ მიმდინარე ოპერაციების დროს არ გამოიყენება; ლ) ავტორიზებული მომხმარებელი – სუბიექტი, რომელსაც ინფორმაციული უსაფრთხოების საბჭოს (შემდგომში – საბჭო) მიერ უფლებამოსილი პირისგან გააჩნია თანხმობა ისარგებლოს ინფორმაციით, ინფორმაციული სისტემებით, ინფორმაციული ტექნოლოგიებით და ახორცილებდეს მათ მართვას; მ) სასიცოცხლოდ მნიშვნელოვანი სისტემა – სისტემა, რომელზეც არასანქცირებულმა წვდომამ შესაძლოა გამოიწვიოს სამინისტორს ფუნქციონირების მნიშვნელოვანი შეფერხება. მუხლი  3🔗. ინფორმაციული უსაფრთხოების პოლიტიკის რეგულირების სფერო 1. ინფორმაციული უსაფრთხოების პოლიტიკა (შემდგომში – პოლიტიკა) უზრუნველყოფს საქართველოს იუსტიციის სამინისტროში (შემდგომში – სამინისტრო) ინფორმაციული უსაფრთხოების კონტროლის მექანიზმების შექმნას. 2. პოლიტიკა წარმოადგენს საწყის ბაზისს, რომლის საფუძველზეც, დამატებით საბჭოს წარდგინებით, მინისტრის მიერ დამტკიცდება ინფორმაციული უსაფრთხოების დეტალური სტანდარტები, პროცედურები, სახელმძღვანელოები. 3. პოლიტიკის საფუძველზე მიღებული დამატებითი სტანდარტები, თემატიკიდან გამომდინარე,  საჭიროებისამებრ გავრცელდება სამინისტროზე, კონკრეტულ სუბიექტებზე ან კონკრეტულ თანამდებობებზე. 4. ინფორმაციული უსაფრთხოების პოლიტიკის დაცვის სფეროებს წარმოადგენს: ა) სამინისტროს ი.ტ/ი.ს ინფრასტრუქტურა; ბ) სამინისტროში არსებული ძირითადი მონაცემები და ინფორმაცია; გ) პირები, რომლებიც იყენებენ ინფორმაციულ სისტემებს ან ახორციელებენ მის ადმინისტრირებას; დ) პირები, რომლებიც ახორციელებენ ძირითადი მონაცემებისა და ინფორმაციის მართვას. 5. პოლიტიკა განსაზღვრავს: ა) სამინისტროს დაცულობას ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის თვალსაზრისით; ბ) პასუხისმგებლობებს ინფორმაციულ უსაფრთხოებაზე. 6. პოლიტიკა ასევე მოიცავს მეორეხარისხოვანი ინფორმაციისა და ინფრასტრუქტურის უსაფრთხოების საკითხებს, რაც ზრდის სამინისტროს ინფორმაციული დაცულობის ხარისხს. მუხლი  4🔗. ინფორმაციული უსაფრთხოების პოლიტიკის მიზნები 1. ინფორმაციული უსაფრთხოების პოლიტიკის მიზანია სამინისტროში არსებული ინფორმაციის, კანონმდებლობით დაკისრებული ფუნქციებისა და რეპუტაციის დასაცავად კონტროლის მექანიზმების შექმნა და მისი მეშვეობით კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფა. 2. პოლიტიკა მიზნად ისახავს შიდა და გარე საფრთხეების მიმართ ინფორმაციული უსაფრთხოების დამცავი მექანიზმების, კრიზისული სიტუაციებისა და განზრახ დაზიანებების წინააღმდეგ ქცევის ძირითადი წესების შექმნას. მუხლი  5🔗. ინფორმაციული უსაფრთხოების პოლიტიკის სუბიექტები 1. პოლიტიკის რეგულირების სფერო ვრცელდება სამინისტროს შემდეგ თანამშრომლებსა და სხვა მომხმარებლებზე (შემდგომში – სუბიექტი): ა) სამინისტროს საჯარო მოსამსახურეებზე; ბ) ხელშეკრულების საფუძველზე დაქირავებულ პირზე; გ) პირი, რომელიც სამინისტროს სისტემაში გადის სტაჟირებას; დ) ყველა პირზე, რომელსაც შეიძლება მიეცეს დაშვება სამინისტროს ძირითად მონაცემებთან ან ინფორმაციასთან. 2. სუბიექტები ვალდებულნი არიან დაიცვან პოლიტიკის მოთხოვნები და აიღონ პასუხისმგებლობა მათთვის დაწესებული სტანდარტებისა და წესების სრულყოფილად და ზედმიწევნით შესრულებაზე. მუხლი  6🔗. ინფორმაციული უსაფრთხოების პოლიტიკის ძირითადი მიმართულებები ინფორმაციული უსაფრთხოების პოლიტიკის ძირითადი მიმართულებებია: ა) ორგანიზაციული უსაფრთხოება; ბ) ინფორმაციული აქტივების მართვა; გ) თანამშრომელთა უსაფრთხოება; დ) ფიზიკური უსაფრთხოება; ე) ინფორმაციული უსაფრთხოების ინციდენტების იდენტიფიცირება; ვ) კომუნიკაციებისა და ოპერაციების მართვა; ზ) წვდომის კონტროლის მართვა; თ) ინფორმაციული სისტემების დანერგვა და მხარდაჭერა; ი) ბიზნესუწყვეტობის მართვა; კ) კანონმდებლობასთან თავსებადობა. თავი II ინფორმაციული უსაფრთხოების მართვის ორგანიზაციული სტრუქტურა მუხლი 7🔗. ინფორმაციული უსაფრთხოების საბჭო 1. საქართველოს იუსტიციის მინისტრის ბრძანების საფუძველზე  იქმნება საბჭო, რომლის წევრებიც არიან პოლიტიკის განხორციელებასა და განახლებაზე უფლებამოსილი პირები.  2. საბჭო მონაწილეობს   პოლიტიკის აღსრულების, პერიოდული განხილვის და განახლების პროცესში. მუხლი 8🔗. ინფორმაციული უსაფრთხოების ოფიცერი ინფორმაციული უსაფრთხოების ოფიცერი არის სამინისტროში ხელშეკრულების საფუძველზე დასაქმებული პირი, რომელიც საბჭოს წარდგინებით ინიშნება მინისტრის მიერ და მის მოვალეობაში შედის სამინისტროში არსებული ინფორმაციული უსაფრთხოების საკითხების ყოველდღიური მონიტორინგი, ინფორმაციული აქტივების და მასზე წვდომის აღწერა, პოლიტიკის უზრუნველმყოფი დოკუმენტაციის მომზადება, ინციდენტების შეგროვება და მათზე რეაგირების მონიტორინგი, საბჭოსთვის ანგარიშების,  სხდომების ოქმებისა და  დღის წესრიგის მომზადება. მუხლი 9🔗. ინფორმაციული უსაფრთხოების შიდა აუდიტი  სამინისტროს სტრუქტურული ერთეული – გენერალური ინსპექცია, რომელიც უზრუნველყოფს ინფორმაციული უსაფრთხოების კონტროლის მექანიზმების პერიოდულ შემოწმებასა და შესაბამისი ანგარიშების საბჭოსთვის  წარდგენას. თავი III ინფორმაციული აქტივების მართვა მუხლი 10🔗. ინფორმაციული აქტივების მართვა სამინისტრო უზრუნველყოფს ინფორმაციული აქტივების მუდმივ აღწერას, ინფორმაციული აქტივების კრიტიკულობის კატეგორიების განსაზღვრას და მათ შესაბამის მართვას. თავი IV თანამშრომელთა უსაფრთხოება მუხლი  11🔗.  თანამშრომელთა უსაფრთხოება 1. სამინისტრო უზრუნველყოფს ადამიანური ფაქტორის რისკის შესამცირებლად (შეცდომა, თაღლითობა, სისტემებზე წვდომის ბოროტად გამოყენება და ა.შ.) კონტროლის მექანიზმების დანერგვას. 2. თანამშრომელთა უსაფრთხოების უზრუნველსაყოფად სამინისტრო იყენებს სწავლების, ტრენინგისა და ინსტრუქტაჟის მეთოდებს. მუხლი 12🔗. ინფორმირებულობა და ტრენინგი. 1. ინფორმაციული უსაფრთხოების შესახებ ტრენინგი ან ინსტრუქცია ხელმისაწვდომი უნდა იყოს სუბიექტებისთვის. განსაზღვრული უნდა იყოს ის თანამდებობები, რომლებისთვისაც აუცილებელია ამ ტიპის ტრენინგი. 2. სამინისტრო უზრუნველყოფს სუბიექტებისა და მესამე მხარის წარმომადგენლებისათვის  განკუთვნილი ინფორმაციის უსაფრთხოებასთან დაკავშირებული ვალდებულებების შესახებ ინფორმაციის მიწოდებას, გაცნობას.  3. სუბიექტები და მესამე მხარის წარმომადგენლები წერილობით ადასტურებენ მათთვის განკუთვნილი ინფორმაციის უსაფრთხოებასთან დაკავშირებული  ვალდებულებების აღების შესახებ. თავი V ფიზიკური უსაფრთხოება მუხლი  13🔗.  ფიზიკური უსაფრთხოება 1. სამინისტრო ახორციელებს კონტროლს ინფორმაციულ აქტივებზე არაავტორიზებული წვდომის, ჩარევის, დატაცებისა ან დაზიანების თავიდან ასაცილებლად. 2. სავალდებულოა კომპიუტერული სისტემებისა და ქსელების დაცულობის უზრუნველყოფა ფიზიკური, ტექნიკური, პროცედურული და გარემოს უსაფრთხოების კონტროლის მექანიზმებით. 3. სამინისტრო ახორციელებს ფიზიკური წვდომის კონტროლს იმ მოწყობილობებზე, რომლებიც შეიცავს ან ამუშავებს მაღალი კრიტიკულობის და/ან მგრძნობელობის ინფორმაციას. ასეთი მოწყობილობები განთავსებული უნდა იქნეს  ფიზიკურად დაცულ ადგილას. თავი VI ინფორმაციული უსაფრთხოების ინციდენტები მუხლი  14🔗.  ინფორმაციული უსაფრთხოების ინციდენტების იდენტიფიცირება სამინისტრო ვალდებულია განახორციელოს უსაფრთხოების ინციდენტების იდენტიფიცირება, რაც ასევე გულისხმობს თითოეული ინციდენტის შესწავლას, აღწერასა და მათზე ადეკვატურ რეაგირებას.  თავი VII კომუნიკაციებისა და ოპერაციების მართვა მუხლი  15🔗.   კომუნიკაციებისა და ოპერაციების მართვა სამინისტრო ახორციელებს მუდმივ კონტროლს ინფორმაციის დამამუშავებელ მოწყობილობებზე მათი სწორი და უსაფრთხო სარგებლობის უზრუნველყოფის მიზნით. მუხლი 16🔗. ოპერაციების წარმოების დოკუმენტაცია სამინისტრო უზრუნველყოფს ინფორმაციის დამამუშვებელი სისტემების დოკუმენტაციის შექმნას, მათ შორის, გამოყენებული ტექნოლოგიების კონფიგურაციების ჩათვლით. ინფორმაცია, რომელიც შეიცავს ინფორმაციული უსაფრთხოებისათვის მნიშვნელოვან მონაცემებს, შეინახება უსაფრთხო ადგილას და ინფორმაციის მიღების აუცილებლობის მიხედვით შეიზღუდება მასზე წვდომა. მუხლი 17🔗. უფლებების გამიჯვნა 1. სამინისტრო ახორციელებს ინფორმაციული ოპერაციების კრიტიკულობის იდენტიფიცირებას და, აუცილებლობიდან გამომდინარე, იღებს ზომებს მათზე ფუნქციური კონტროლის გამიჯვნის მიზნით. 2. კრიტიკულ ინფორმაციასა და მონაცემებზე წვდომის უფლება მინიჭებული უნდა იყოს არსებული ინფორმაციის გამოყენების აუცილებლობიდან გამომდინარე. 3. კრიტიკული სისტემების კონტროლზე უფლებების გამიჯვნა შენარჩუნებული უნდა იყოს როგორც სამუშაო, ისე სატესტო გარემოში. 4. თანამშრომელთა მუდმივი და სრული წვდომა სასიცოცხლოდ მნიშვნელოვან სისტემებზე  ექვემდებარება განსაკუთრებულ კონტროლს. მუხლი 18🔗. სისტემების დაგეგმვა და დანერგვაზე თანხმობა ახალი სისტემების დაგეგმვისა და დანერგვის პროცესში გათვალისწინებულ უნდა იქნეს სისტემების ტექნიკური და ფუნქციური შესაძლებლობები, რათა არ მოხდეს კრიტიკული სისტემების გამართული მუშაობის შეფერხება. მუხლი 19🔗. ინფორმაციულ სისტემებში ცვლილებების განხორციელება სასიცოცხლოდ მნიშვნელოვანი სისტემის ყველა ცვლილება უნდა შეესაბამებოდეს  ცვლილების მართვის წინასწარ განსაზღვრულ პროცესს. მუხლი 20🔗. საზიანო პროგრამებზე კონტროლი 1. საზიანო ან თაღლითური პროგრამების გამოყენების თავიდან აცილების მიზნით აუცილებელია კრიტიკულ სისტემებზე კონტროლის განხორციელება. 2. კრიტიკულ სისტემებში სიახლეების და/ან ცვლილებების დანერგვამდე თანამშრომელთა და მესამე პირთა მიერ შექმნილმა პროგრამულმა პროდუქტებმა ინფორმაციული უსაფრთხოების რისკების შესაბამისად უნდა გაიაროს დეტალური შემოწმება. მუხლი 21🔗. ვირუსებისგან დაცვა 1. სამინისტრო ახორციელებს შესაბამის კონტროლს, რათა თავიდან იქნეს აცილებული ვირუსების გავრცელება სამინისტროს შიგნით და  სამინისტროს მიზეზით – მის გარეთ; 2. სამინისტროს თანამშრომლებმა, რომლებიც პასუხისმგებელნი არიან სისტემის ყოველდღიურ მართვაზე, უნდა განახორციელონ შესაბამისი ქმედებები. მუხლი 22🔗. სისტემები, აპლიკაციები და მონაცემთა სარეზერვო ასლები 1. ყველა კრიტიკული სისტემის, აპლიკაციისა და ძირითადი მონაცემის სარეზერვო ასლების აღება უნდა განხორციელდეს საბჭოს მიერ შეთანხმებული პერიოდულობით, დროულად და ხარისხიანად. 2. განსაზღვრული პერიოდულობით უნდა განხორციელდეს  სარეზერვო ასლების სატესტო აღდგენა. მუხლი 23🔗.    არქივირება უნდა განხორციელდეს საარქივო მასალის უსაფრთხოდ შენახვა და მართვა. მუხლი 24🔗. კომპიუტერული ქსელის მართვა კომპიუტერული ქსელის (მათ შორის, უკაბელო) ექსპლუატაციაში გაშვების, მხარდაჭერისა და ადმინისტრირებისათვის უნდა არსებობდეს კონტროლის მექანიზმები. მუხლი 25🔗. ინფორმაციის მატარებლების გამოყენება და უსაფრთხოება ინფორმაციული მატარებლები, რომლებიც შეიცავენ ინფორმაციული კლასიფიკაციიდან გამომდინარე მაღალი კრიტიკულობის მქონე ინფორმაციას, აღიწერება და მათი გამოყენება, შენახვა და განადგურება დაექვემდებარება მკაცრ კონტროლს. მუხლი 26🔗. ინფორმაციის გაცვლა და სამომხმარებლო პროგრამები 1. აუცილებელია კონტროლის მექანიზმების არსებობა სამომხმარებლო პროგრამებისა და ინტერნეტის გამოყენებაზე. 2. სისტემები, რომლებიც უზრუნველყოფს გარე სერვისებს (როგორიცაა ელ-ფოსტის სერვერები, ინფორმაციის ელექტრონული გაცვლა სხვა ორგანიზაციებთან), ექვემდებარება განსაკუთრებულ კონტროლს.  უსაფრთხოებასთან დაკავშირებული ნებისმიერი შეტყობინება მიწოდებული უნდა იყოს პასუხისმგებელი პირისთვის. თავი VIII წვდომის კონტროლი მუხლი 27🔗. ინფორმაციულ სისტემებზე წვდომის მოთხოვნები 1. ელექტრონული სერვისების  გამოყენება, სამინისტროს ქსელთან დაკავშირება და მოხმარება უნდა ხორციელდებოდეს წინასწარ განსაზღვრული წესების შესაბამისად. 2. დაშორებული წვდომა (დაშვება, შეზღუდვა, მართვა) სამინისტროს ინფორმაციულ ტექნოლოგიებზე, ინფორმაციული სისტემების მოწყობილობებზე და მთავარ მონაცემებზე, ექვემდებარება კონტროლს. 3. პრივილეგიების მართვა (დაშვება, შეზღუდვა, მართვა) სამინისტროს ინფორმაციულ ტექნოლოგიებზე, ინფორმაციული სისტემების მოწყობილობებზე და მთავარ მონაცემებზე, ექვემდებარება კონტროლს. სავალდებულოა შეიზღუდოს და გაკონტროლდეს სისტემის პრივილეგიების გამოყენება თითოეული კომპიუტერული მოწყობილობისთვის. 4. სამინისტრომ უნდა უზრუნველყოს უსაფრთხოების საუკეთესო პრაქტიკის გამოყენება პაროლების შერჩევის, მოხმარებისა და მართვის პროცესში; 5. ქსელური მომსახურებების გამოყენება, სამინისტროს ქსელთან დაკავშირება და საინფორმაციო სისტემების მოხმარება უნდა განხორციელდეს დადგენილი წესის მიხედვით. მუხლი 28🔗. ოპერაციულ სისტემაზე და პროგრამულ უზრუნველყოფაზე წვდომის კონტროლი 1. სამსახურებრივი აუცილებლობის არარსებობისას ავტორიზებულ მომხმარებლებს უნდა შეეზღუდოთ ოპერციულ სისტემებზე და პროგრამულ უზრუნველყოფაზე წვდომა. 2. არაავტორიზებულ მომხმარებლებს უნდა შეეზღუდოთ ოპერაციულ სისტემებზე და პროგრამულ უზრუნველყოფაზე ნებისმიერი ხარისხის წვდომა. მათ ხელი არ უნდა მიუწვდებოდეთ ოპერაციულ სისტემებზე,  პროგრამულ უზრუნველყოფაზე დაშვების პროცესისათვის კი უნდა არსებობდეს კონტროლის მექანიზმები. მუხლი 29🔗. სისტემებზე წვდომის და მოხმარების მონიტორინგი კრიტიკულ სისტემებზე წვდომისა და მოხმარების პროცესი ექვემდებარება მონიტორინგს და უნდა არსებობდეს შესაბამისი ჩანაწერების ჟურნალი. თავი IX საინფორმაციო სისტემების დანერგვა და მხარდაჭერა მუხლი 30🔗. საინფორმაციო სისტემების დანერგვა და მხარდაჭერა ინფორმაციული სისტემის დანერგვისა და განვითარების დროს განხორციელდება კონტროლი, რათა დაკმაყოფილდეს უსაფრთხოების მოთხოვნები. მუხლი 31🔗. სამინისტროს ფარგლებში განსახორციელებელი პროექტების   უსაფრთხოების მოთხოვნები სამინისტროს ფარგლებში განსახორციელებელი პროექტების ინიციირებისას უნდა განხორციელდეს ინფორმაციულ უსაფრთხოებასთან დაკავშირებული რისკების იდენტიფიცირება, რათა დაცული იყოს სამინისტროს ინფორმაციული უსაფრთხოების მოთხოვნები. მუხლი 32🔗. კრიპტოგრაფიის გამოყენება სისტემის ადმინისტრირებისა და მომხმარებლების პაროლები მუდმივად უნდა იყოს დაშიფრული კრიპტოგრაფიული მეთოდის გამოყენებით. მუხლი 33🔗. სისტემების უსაფრთხოება ტესტირებისა და შექმნის პროცესში სისტემების ტესტირება უნდა ხდებოდეს იზოლირებულ გარემოში, რათა სასიცოცხლოდ მნიშვნელოვანი კრიტიკული სისტემები დაცულ იქნეს შეცდომით განადგურების და/ან დაზიანებისაგან. თავი X ბიზნესუწყვეტობის მართვა მუხლი 34🔗. ბიზნესუწყვეტობის მართვა განხორციელდება კონტროლი, რათა უზრუნველყოფილ იქნეს სამინისტროს ინფორმაციის დამუშავების უწყვეტობა და განადგურებისაგან დაცვა. მუხლი 35🔗. უწყვეტობის სტრატეგია ბიზნესის უწყვეტობის შემუშავებულმა სტრატეგიამ და მისმა ფუნქციონირებამ უნდა უზრუნველყოს სამინისტროს ინფორმაციის დამუშავების პროცესში მოულოდნელი წყვეტის რისკის შემცირება და მოახდინოს მისი დროული აღდგენა. მუხლი 36🔗. ინფორმაციის დამგროვებლები ძირითადი მონაცემები შენახული უნდა იქნეს საერთო მოხმარების ქსელურ რესურსებზე, რომლებიც უზრუნველყოფენ მონაცემებზე დაცულობის მაღალი ხარისხით წვდომას. მუხლი 37🔗. სარეზერვო ასლები ძირითადი ინფორმაციის სარეზერვო ასლების აღება, ტრანსპორტირება, მართვა, შენახვა და მოძიება უნდა განხორციელდეს მკაცრი კონტროლის ქვეშ. ყველა შესაბამისი პროცესი უნდა ექვემდებარებოდეს პერიოდულ აუდიტსა და ტესტირებას. თავი XI შესაბამისობა მუხლი 38🔗. საკანონმდებლო ბაზასთან თავსებადობა უნდა მოხდეს ინფორმაციული უსაფრთხოების პოლიტიკის მუდმივი კონტროლი მოქმედ კანონმდებლობასთან თავსებადობის უზრუნველყოფის მიზნით. თავი XII პოლიტიკის განახლება და ცვლილებების შეტანა მუხლი 39🔗. უსაფრთხოების პოლიტიკის გადახედვა 1. პოლიტიკის განხილვა საბჭოს  მიერ ხორციელდება მისი შეხედულებისამებრ, წელიწადში ერთხელ მაინც. 2. პოლიტიკაში შესატან ცვლილებაზე წინადადება ინფორმაციული უსაფრთხოების საბჭოზე წარსადგენად უნდა მიეწოდოს ინფორმაციული უსაფრთხოების ოფიცერს. წინადადება შეიძლება წარდგენილი იყოს წერილობით,  ნებისმიერი სუბიექტის მიერ. საბჭო  ვალდებულია განიხილოს ყველა შემოსული წინადადება. თავი XIII გამონაკლისების დაშვების წესი მუხლი 40🔗. გამონაკლისები თუ ვერ სრულდება პოლიტიკით გათვალისწინებული შესაბამისი უსაფრთხოების კონტროლის მექანიზმების ზოგიერთი მოთხოვნა, ინფორმაციული უსაფრთხოების ოფიცრის მეშვეობით აღნიშნული წერილობით უნდა ეცნობოს საბჭოს  და ნებართვის შემთხვევაში მოხდეს შესაბამისი გამონაკლისის დაშვება. თავი XIV ინფორმაციული უსაფრთხოების საბჭო მუხლი 41🔗. ინფორმაციული უსაფრთხოების საბჭოს ამოცანები ინფორმაციული უსაფრთხოების საბჭოს (შემდგომში – საბჭო) ძირითად ამოცანას წარმოადგენს ინფორმაციული უსაფრთხოების პოლიტიკით გათვალისწინებულ მიმართულებებზე ზრუნვა და ინფორმაციული უსაფრთხოების მართვა. მუხლი 42🔗. საბჭოს უფლებამოსილება 1. საბჭო განიხილავს და მინისტრს დასამტკიცებლად წარუდგენს: ა) ცვლილებებს ინფორმაციული უსაფრთხოების პოლიტიკაში; ბ) ინფორმაციული უსაფრთოების ოფიცრის ფუნქციებსა და მოვალეობებს; გ) ინფორმაციული უსაფრთხოების სფეროში განსახორციელებელ პროექტებს, პრიორიტეტებისა და რესურსების შესაბამისად. 2. საბჭო ამტკიცებს: ა) ინფორმაციული უსაფრთხოების სტანდარტებსა და პროცედურებს; ბ) ინფორმაციული უსაფრთხოების ოფიცრის ყოველწლიურ გეგმას; გ) შიდა აუდიტის გეგმას ინფრომაციული უსაფრთხოებისთვის. 3. საბჭო განიხილავს ინფორმაციული უსაფრთხოების კრიტიკულ ინციდენტებს. 4. საბჭო წინასწარ დადგენილი პერიოდულობით განიხილავს შიდა აუდიტის ანგარიშებს. 5. საბჭო ქმნის ყოველწლიურ ანგარიშს ინფორმაციულ უსაფრთხოებაში არსებული მდგომარეობის შესახებ. 6. საბჭო უზრუნველყოფს ინფორმაციული უსაფრთხოებაზე ზრუნვის კოორდინირებულობას სამინისტროს მასშტაბით. 7. საბჭო ამტკიცებს სტანდარტიდან გამონაკლისების გამოყენების წესს და ახორციელებს დაშვებას სტანდარტის თავიდან არიდების კონკრეტული შემთხვევისათვის. მუხლი  43🔗. საბჭოს შემადგენლობა 1. საბჭოს თავმჯდომარეობას უწევს საქართველოს  იუსტიციის მინისტრის ერთ-ერთი მოადგილე, რომელიც განისაზღვრება მინისტრის მიერ ინდივიდუალური ადმინისტრაციული სამართლებრივი აქტით . 2. საბჭოს დაკომპლექტება ხდება შემდეგი შემადგენლობით: ა) საინფორმაციო ტექნოლოგიების დეპარტამენტის უფროსი; ბ) ადამიანური რესურსების მართვის დეპარტამენტის უფროსი; გ) გენერალური ინსპექციის უფროსი; დ) ეკონომიკური დეპარტამენტის უფროსი; ე) ინფორმაციული უსაფრთხოების ოფიცერი; ვ) საქართველოს იუსტიციის სამინისტროს საქვეუწყებო დაწესებულების ხელმძღვანელი. მუხლი 44🔗. საბჭოს საქმიანობის ორგანიზება 1.  საბჭოს სხდომებს იწვევს და ხელმძღვანელობს საბჭოს თავმჯდომარე. 2. საბჭოს თავმჯდომარეს ჰყავს მოადგილე, რომელიც ასრულებს თავმჯდომარის უფლებამოსილებას მისი არყოფნის შემთხვევაში. 3. საბჭოს სხდომები მოიწვევა პერიოდულად. საბჭოს სხდომების მოწვევისა და მუშაობის ადმინისტრაციულ ორგანიზებას უზრუნველყოფს სამინისტროს ადმინისტრაცია. 4. საბჭოს სხდომის დროსა და სხდომის დღის წესრიგს ამტკიცებს საბჭოს თავმჯდომარე. საბჭოს სხდომის დრო და სხდომის დღის წესრიგი წინასწარ ეცნობებათ საბჭოს წევრებს. 5. საბჭოს სხდომა უფლებამოსილია, თუ მას ესწრება წევრთვა ნახევარზე მეტი. გადაწყვეტილება მიიღება ღია კენჭისყრით, სხდომაზე დამსწრე წევრების ხმათა უბრალო უმრავლესობით. ხმების თანაბრად გაყოფის შემთხვევაში გადამწყვეტია საბჭოს თავმჯდომარის ხმა. 6. საბჭოს სხდომა ფორმდება საბჭოს ოქმით, რომელსაც ხელს აწერენ საბჭოს თავმჯდომარე და მდივანი. 7. საბჭოს გადაწყვეტილებაში აღინიშნება მისი მიღების თარიღი, რიგითი ნომერი, და საფუძვლები. საბჭოს გადაწყვეტილებას ხელს აწერს საბჭოს თავმჯდომარე.