კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ

კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №4 2013 წლის 4 თებერვალი ქ. თბილისი კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ ,,საჯარო სამართლის იურიდიული პირის - მონაცემთა გაცვლის სააგენტოს შექმნის შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის ბ​1 ქვეპუნქტისა და ,,ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტის ,,ბ“ ქვეპუნქტის თანახმად, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტები. მუხლი 2🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.მონაცემთა გაცვლის სააგენტოს თავმჯდომარეირაკლი გვენეტაძე კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტები მუხლი 1🔗. მიზანი და გავრცელების სფერო 1. აღნიშნული ბრძანებით მტკიცდება ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული აუცილებელი მოთხოვნები, კომპეტენციის სფერო, უფლება-მოვალეობები, ანგარიშვალდებულება, აღნიშნული თანამდებობის დასაკავებლად პირთა კონკურსში მონაწილეობისა და შერჩევის წესი.  2. აღნიშნული წესი ვრცელდება „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის პირველი პუნქტის შესაბამისად იდენტიფიცირებულ კრიტიკული ინფორმაციული სისტემის სუბიექტებზე (შემდგომში - ორგანიზაცია). 3. აღნიშნული წესი გამოიყენება როგორც კერძო, ასევე საჯარო სექტორის  ორგანიზაციების ინფორმაციული უსაფრთხოების მენეჯერების მიმართ ორგანიზაციის მოცულობის, საქმიანობის სფეროს და სტრუქტურის მიუხედავად. მუხლი 2🔗. ინფორმაციული უსაფრთხოების მენეჯერი 1. ინფორმაციული უსაფრთხოების მენეჯერი - კრიტიკული ინფორმაციული სისტემის სუბიექტის თანამშრომელი, რომელიც პასუხისმგებელია ორგანიზაციის წინაშე არსებული ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებაზე. 2. ინფორმაციული უსაფრთხოების მოთხოვნების შესრულების მიზნით ორგანიზაცია უფლებამოსილია განსაზღვროს/დანიშნოს ინფორმაციული უსაფრთხოების მენეჯერი ან შექმნას ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფი (კოლეგიური ორგანო). მუხლი 3🔗. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობები 1. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია: ა) ინფორმაციული უსაფრთხოების მართვის სისტემის მინიმალური მოთხოვნების შესრულების კოორდინირება; ბ) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი; გ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერის ხარისხის უზრუნველყოფა; დ) ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (პოლიტიკის, პროედურების, სახელმძღვანელოების) მომზადების, განხილვის, დამტკიცების და გადახედვის პროცესის კოორდინაცია;  ე) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვების კოორდინაცია და მათზე რეაგირების მონიტორინგი; ვ) ადგენს ინფორმაციული უსაფრთხოების სამოქმედო გეგმას და ამ გეგმის შესრულების შესახებ ყოველწლიურ ანგარიშს წარუდგენს ანგარიშვალდებულ პირებს და მონაცემთა გაცვლის სააგენტოს; ზ) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობის წარმართვა; თ) იღებს გადაწყვეტილებას მონაცემთა გაცვლის სააგენტოს დახმარების ჯგუფის მიერ ორგანიზაციის ინფორმაციული აქტივის, ინფორმაციული სისტემის ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალი საგნის წვდომის შესაძლებლობის/შეუძლებლობის შესახებ; ი) ორგანიზაციის თანამშრომლებისთვის ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება; კ) ინფორმაციული უსაფრთხოების აუდიტის პროცესის ხელშეწყობა. 2. კონკრეტული ორგანიზაცია უფლებამოსილია განსაზღვროს ინფორმაციული უსაფრთხოების მენეჯერისთვის სხვა დამატებითი მოვალეობები, რომლებიც ხელს შეუწყობს ორგანიზაციაში ინფორმაციული უსაფრთხოების მოთხოვნების იმპლემენტაციას. მუხლი 4🔗. ინფორმაციული უსაფრთხოების მენეჯერის ანგარიშვალდებულება 1. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია ორგანიზაციის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე.   2. ინფორმაციული უსაფრთხოების მენეჯერი ვალდებულია ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღოს  ანგარიშვალდებულ პირთან/ორგანოსთან წინასწარი შეთანხმებით. მუხლი 5🔗. ინფორმაციული უსაფრთხოების მენეჯერის სამუშაოზე აყვანის წესი 1. ,,ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის თანახმად, ორგანიზაცია ვალდებულია დანიშნოს/განსაზღვროს ინფორმაციული უსაფრთხოების მენეჯერი. 2. ინფორმაციული უსაფრთხოების მენეჯერის სამსახურში აყვანისას ორგანიზაციამ უნდა გაითვალისწინოს საქართველოს კანონმდებლობით გათვალისწინებული მოთხოვნები, მათ შორის, აღნიშნული ბრძანებით განსაზღრული წესი.  მუხლი 6🔗. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციაზე კანდიდატის შერჩევის პროცედურა 1. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციაზე აპლიკანტის შესარჩევად ორგანიზაციამ უნდა გამოაცხადოს ღია კონკურსი. 2. ორგანიზაციის მიერ განცხადებაში მითითებულ სავალდებულოდ წარსადგენ სააპლიკაციო დოკუმენტებთან ერთად, აპლიკანტი ასევე ვალდებულია წარმოადგინოს: ა) სამუშაო და პროფესიული გამოცდილების დამადასტურებელი დოკუმენტაცია; ბ) შესაბამისი სერტიფიკატები. მუხლი 7🔗. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული აუცილებელი მოთხოვნები, კომპეტენციის სფერო ინფორმაციული უსაფრხთოების მენეჯერის პოზიციის დასაკავებლად პირი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს: ა) სამუშაო გამოცდილება - მინიმუმ 5 წელი; ბ) სასურველია ჰქონდეს გამოცდილება შემდეგ სფეროებში: ინფორმაციულ ტექნოლოგიები, მენეჯერული, პროექტებისა და მართვის სტანდარტების დანერგვა; გ) სერტიფიკატები - სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), სტანდარტიზაციის ბრიტანული ინსტიტუტის (BSI) ან ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ გაცემული სერტიფიკატი ინფორმაციული უსაფრთხოების დარგში; IT Infrastructure Library (ITIL)  ექსპერტის ცოდნის დამადასტურებელი სერტიფიკატი; დ) იმ შემთხვევაში, თუ ინფორმაციული უსაფრთხოების მენეჯერს ან კანდიდატს არ გააჩნია ზემოთ აღნიშნული სერტიფიკატებიდან ერთ-ერთი, მაშინ მან უნდა გაიაროს მუხლი 8🔗-ით გათვალისწინებული პროცედურა. მუხლი 8🔗. მონაცემთა გაცვლის სააგენტოს მონაწილეობა ინფორმაციული უსაფრთხოების მენეჯერის შერჩევაში 1. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციის მნიშვნელობის, დაკისრებული ამოცანების სირთულისა და კრიტიკულობის გათვალისწინებით, მონაცემთა გაცვლის სააგენტო მონაწილეობას იღებს ინფორმაციული უსაფრთხოების მენეჯერის შერჩევის პროცესში.  2. მონაცემთა გაცვლის სააგენტოს მონაწილეობა აღნიშნულ პროცესში შემოიფარგლება ინფორმაციული უსაფრთხოების მენეჯერის ან კანდიდატის ინფორმაციული უსაფრთხოების კუთხით ცოდნისა და გამოცდილების, მისი კომპეტენციის შეფასება-დადასტურებაში, რაც აუცილებელია ინფორმაციული უსაფრთხოების მენეჯერის პოზიციის დასაკავებლად.  3. აღნიშნული მუხლის მე-2 პუნქტის შესაბამისად, ორგანიზაცია კონკურსის შედეგად შერჩეული კანდიდატის მონაცემებს და განცხადებას უგზავნის მონაცემთა გაცვლის სააგენტოს. სააგენტო შერჩეული კანდიდატის ინფორმაციული უსაფრთხოების კუთხით ცოდნის, კომპეტენციისა და გამოცდილების შეფასება-დადასტურებას ახდენს ტესტირების საფუძველზე. მონაცემთა გაცვლის სააგენტო ორაგნიზაციას 5 სამუშაო დღის განმავლობაში აცნობებს ტესტირების თარიღს. ტესტირების პასუხები ტესტირებიდან 5 სამუშაო დღეში ეცნობება როგორც კანდიდატს, ასევე დამსაქმებელ ორგანიზაციას. 4. მონაცემთა გაცვლის სააგენტო ტესტირების შედეგებთან ერთად ორგანიზაციას უგზავნის წარმოდგენილი კანდიდატის ინფორმაციული უსაფრთხოების მენეჯერად დანიშვნის მიზანშეწონილობის შესახებ დასკვნას.