ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის (ნატო) საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების წესის დამტკიცების შესახებ

ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის (ნატო) საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების წესის დამტკიცების შესახებ საქართველოს მთავრობის დადგენილება №168 2016 წლის 8 აპრილი ქ. თბილისი ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის (ნატო) საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების წესის დამტკიცების შესახებ მუხლი 1🔗 „სახელმწიფო საიდუმლოების შესახებ“ საქართველოს კანონის 39-ე მუხლის საფუძველზე, დამტკიცდეს ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის (ნატო) საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების წესი. მუხლი 2🔗 დადგენილება ამოქმედდეს გამოქვეყნებისთანავე. პრემიერ-მინისტრიგიორგი კვირიკაშვილი ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის (ნატო) საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების წესი მუხლი 1🔗. ძირითადი დებულებები 1. წინამდებარე წესი განსაზღვრავს საკომუნიკაციო  სისტემებითა და ინფორმაციული ტექნოლოგიებით, ასევე სხვა ელექტრონული საშუალებებით, ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის (ნატო) კლასიფიცირებული ინფორმაციის შენახვის, დამუშავებისა და გადაცემისათვის საჭირო მხარდამჭერი სისტემების, სერვისებისა და რესურსების დაცვისათვის საჭირო პოლიტიკასა და მინიმალურ სტანდარტებს. 2. ეს წესი მიზნად ისახავს ნატოს კლასიფიცირებული ინფორმაციის დამამუშავებელი საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების (შემდგომში – სსიტ) უსაფრთხოების ძირითადი პრინციპებისა და სტანდარტების დაცვასა და გამოყენებას. 3. სსიტის უსაფრთხოება ინფორმაციული უზრუნველყოფის ერთ-ერთი ელემენტია და   განსაზღვრავს საკომუნიკაციო, ინფორმაციული და სხვა ელექტრონული სისტემებისა და ტექნოლოგიების უსაფრთხოების წესებს.  სსიტის უსაფრთხოება ასევე განსაზღვრავს ხსენებული სისტემებით შენახული, დამუშავებული და გადაცემული ინფორმაციის დაცვას, კონფიდენციალურობას,  მთლიანობას, ხელმისაწვდომობას, ავთენტურობას, ავტორიზაციასა და არარეპუდირებას. 4.  ეს წესი მოიცავს სსიტის უსაფრთხოების აქტივობებს მთელი სიცოცხლის ციკლის მანძილზე, სსიტის უსაფრთხოების მართვასა (უსაფრთხოების რისკების მართვა, უსაფრთხოების აკრედიტაცია, უსაფრთხოებასთან დაკავშირებული დოკუმენტაცია და ინსპექტირება) და მისი განხორციელების ასპექტებს (ქსელების უსაფრთხოება და ურთიერთდაკავშირება, კრიპტოგრაფიული უსაფრთხოება,  გადაცემული დოკუმენტების უსაფრთხოება,  გამოცემული დოკუმენტების უსაფრთხოება და ა.შ.). მუხლი  2🔗.  ტერმინთა განმარტება ამ  დოკუმენტში გამოყენებულ ტერმინებს აქვთ შემდეგი მნიშვნელობა: ა) მხარდამჭერი სისტემების სერვისები და რესურსები – მომსახურება (სერვისები) და რესურსები, რომლებიც  უზრუნველყოფენ სსიტის უსაფრთხოების მიზნების მიღწევას.  აღნიშნული მოიცავს კრიპტოგრაფიულ პროდუქტებსა და მექანიზმებს, მასალებს, დირექტორიების მომსახურებას, გარემოსდაცვით საშუალებებსა და კონტროლის მექანიზმებს; ბ) არარეპუდირება – პირის მიერ ინფორმაციის მიღების/გაგზავნის არ/ვერ უარყოფა (ხშირ შემთხვევაში გამოიყენება ციფრული ხელმოწერა); გ) სიცოცხლის ციკლი (life-cycle) – ინფორმაციის სიცოცხლის ციკლი მოიცავს ინფორმაციის დაგეგმვას, შეგროვებას, შექმნას, ორგანიზებას, გამოთხოვას, გამოყენებას, ხელმისაწვდომობას, გადაცემას, შენახვას, დაცვასა  და საბოლოოდ მის განადგურებას;  დ) უსაფრთხოების აკრედიტაცია – უსაფრთხოების კონკრეტული სისტემის სერტიფიცირება ნიშნად იმისა, რომ სისტემა აკმაყოფილებს ინფორმაციის უსაფრთხო გადაცემის, შენახვისა და დამუშავებისათვის დადგენილ სტანდარტებსა და ნორმებს;  ე) უსაფრთხოების აკრედიტაციის ორგანო – ორგანო, რომელიც გასცემს ნებართვას ინფორმაციული სისტემების გამოყენებისათვის; ვ) ინფორმაციის დამუშავება (handling) – ინფორმაციის  დამუშავება ინფორმაციული ტექნოლოგიების გამოყენებით, რაც მოიცავს ინფორმაციის  მიღებას, შეგროვებას, შექმნას, გამოცემას, მიმოცვლას, გადაცემას, გადაგზავნას, გამრავლებას, შენახვას, დაარქივებას, გაუქმებასა და  განადგურებას; ზ) აქტივობები – ინფორმაციული უსაფრთხოების ღონისძიებები, რომლებიც უზრუნველყოფენ ინფორმაციის უსაფრთხოებას,  სანდოობას, საიმედოობასა და დაცვას; თ) პროტოკოლი – ინსტრუქციის/წესების კრებული, რომლითაც მონაცემების/ინფორმაციის გადაცემის, შენახვის და/ან გამოყენების დროს განისაზღვრება თითოეული ქმედება. კომუნიკაციების პროტოკოლები მოიცავენ ავთენტურობას, ავტორიზაციას, შეცდომის აღმოჩენასა და კორექტირებას; ი) კრიპტოგრაფია – ინფორმაციის უსაფრთხოების დაცვის მეთოდი, რომლის გამოყენებისას ინფორმაცია იცვლება იმგვარად, რომ მისი წაკითხვა შეუძლებელია სპეციალური საშუალების (გასაღების) გამოყენების გარეშე; კ) კრიპტოგრაფიული საშუალებები და მასალა –   ნებისმიერი სახის კლასიფიცირებული მასალა, როგორებიცაა: კრიპტოგასაღები, კრიპტოინფორმაციის შემცველი დოკუმენტაცია, მოწყობილობა ან  აღჭურვილობა, რომელიც გამოიყენება კრიპტოგრაფიაში საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების უზრუნველსაყოფად და საჭიროებს განსაკუთრებული ზომების დაცვას; ლ) იტერაცია (iteration) – ბრძანებების განმეორებადი განხორციელება.  იტერაციული მიდგომა გულისხმობს სამუშაოთა შესრულებას მიღებული შედეგების უწყვეტი ანალიზის პარალელურად და სამუშაოს წინა ეტაპების კორექტირებას; მ) ელექტრომაგნიტური გადაცემა – გადაცემა, რომელსაც ორივე – ელექტრო და მაგნიტური ხასიათი და თვისებები გააჩნია და  სხვასთან ერთად მოიცავს ხილულ სინათლეს, რადიოტალღებს, მიკროტალღურ და ინფრაწითელ გამოსხივებას. მუხლი  3🔗.  სსიტის უსაფრთხოების მიზნები 1. სსიტით დამუშავებული ნატოს კლასიფიცირებული ინფორმაციის სათანადო დაცვისათვის უნდა განისაზღვროს  უსაფრთხოების  დაბალანსებული ზომები (ფიზიკური, ინფორმაციის, პერსონალისა და სსიტების უსაფრთხოების), რომლებიც უზრუნველყოფენ სსიტის ფუნქციონირების უსაფრთხო გარემოს შექმნასა და უსაფრთხოების შემდეგი მიზნების მიღწევას: ა) ნატოს კლასიფიცირებული ინფორმაციისა და მხარდამჭერი სისტემების სერვისებისა და რესურსების კონფიდენციალურობის უზრუნველყოფა ინფორმაციის გაუმჟღავნებლობისა და წვდომის კონტროლით; ბ) ნატოს კლასიფიცირებული ინფორმაციისა და მხარდამჭერი სისტემების სერვისებისა და რესურსების მთლიანობის უზრუნველყოფა; გ) ნატოს კლასიფიცირებული ინფორმაციის,  მხარდამჭერი სისტემების სერვისებისა და რესურსების  ხელმისაწვდომობის უზრუნველყოფა; დ) ნატოს კლასიფიცირებული ინფორმაციის დამამუშავებელ სსიტებზე წვდომის მქონე პირების,  მომსახურებისა და  მოწყობილობების იდენტიფიცირების, ავტორიზაციისა და ავთენტურობის საიმედოობის უზრუნველყოფა; ე) ფიზიკური და იურიდიული პირების მიერ ნატოს კლასიფიცირებული ინფორმაციის არარეპუდირება. 2.  ნატოს კლასიფიცირებული ინფორმაცია და მისი მხარდამჭერი სისტემების სერვისები და რესურსები დაცული უნდა იქნეს იმ მინიმალური ზომების ერთობლიობით, რომელიც მიზნად ისახავს სხვადასხვა ინციდენტებისაგან მათ დაცვას. დამატებითი ზომები უნდა იქნეს მიღებული რისკების შეფასების შედეგად გამოვლენილი ახალი საფრთხეებისა და, გარემოებებიდან გამომდინარე, სისტემის მოწყვლადობის  შემთხვევებში. 3. სსიტის უსაფრთხოების ზომების დარღვევის შემთხვევაში, ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოებაზე პასუხისმგებელი ორგანო (NSA) უზრუნველყოფს იმ რისკისა თუ ზიანის დონის შეფასებას, რომელიც  ხსენებულმა დარღვევამ  შესაძლოა გამოიწვიოს. 4. უნდა დადგინდეს ნატოს კლასიფიცირებული ინფორმაციის შემნახველი, დამამუშავებელი და გადამცემი საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების, უსაფრთხოების ღონისძიებების სიცოცხლის ციკლი, რომელიც ნატოს კლასიფიცირებული ინფორმაციის დაცვის დონის შესაბამისობის იდენტიფიცირებისათვის არის აუცილებელი. 5. ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოებაზე პასუხისმგებელი ორგანო (NSA) პასუხისმგებელია ამ წესების განხორციელებაზე და უნდა უზრუნველყოს მათი თანმიმდევრული იმპლემენტაცია. მუხლი 4🔗.  ნატოს კლასიფიცირებული ინფორმაციის საკომუნიკაციო და საინფორმაციო საშუალებებით დაცვაზე პასუხისმგებელი ორგანო  (National Communication Security Authority (NCSA)) 1.  ნატოს კლასიფიცირებული ინფორმაციის საკომუნიკაციო და საინფორმაციო საშუალებებით დაცვაზე პასუხისმგებელი ორგანოს უფლებამოსილებას ახორციელებს საქართველოს თავდაცვის სამინისტროს ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოების სამსახურის საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების განყოფილება. 2. საკომუნიკაციო და საინფორმაციო საშუალებებით დაცვაზე პასუხისმგებელი ორგანოს ძირითადი ფუნქციებია: ა) ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოებისათვის საჭირო კრიპტოგრაფიული ტექნიკური ინფორმაციის  კონტროლი; ბ) ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოების უზრუნველყოფისათვის საჭირო კრიპტოგრაფიული სისტემების, პროდუქციისა და დაცვის მექანიზმების შერჩევა, ფუნქციონირება და შენარჩუნება; გ) ნატოს კლასიფიცირებული ინფორმაციის დაცვის ტექნიკურ და ორგანიზაციულ ღონისძიებათა განხორციელების უზრუნველსაყოფად სათანადო რეკომენდაციების გაცემა და  მათი შესრულების კონტროლი. მუხლი 5🔗.  ნატოს  კრიპტოგრაფიული მასალის დისტრიბუციაზე პასუხისმგებელი ორგანო (National Distribution Authority (NDA)) 1. ნატოს  კრიპტოგრაფიული მასალის დისტრიბუციაზე პასუხისმგებელი ორგანოა  საქართველოს თავდაცვის სამინისტროს ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოების სამსახურის საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების განყოფილება. 2. ნატოს კრიპტოგრაფიული მასალის დისტრიბუციაზე პასუხისმგებელი ორგანო ახორციელებს ნატოს კრიპტოგრაფიული მასალის მართვას  საქართველოში  და უზრუნველყოფს შესაბამისი ზომების გატარებას  მისი სრული აღრიცხვის, უსაფრთხო გადაცემის, შენახვის, მოხმარების, დისტრიბუციისა და კრიპტომასალის განადგურებისათვის საჭირო პროცედურების განსახორციელებლად. მუხლი 6🔗. უსაფრთხოების აკრედიტაციის ორგანო  (Security Approval/Accreditation Authority (SAA)) 1. უსაფრთხოების აკრედიტაციის ორგანოს უფლებამოსილებას ახორციელებს საქართველოს თავდაცვის სამინისტროს ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოების სამსახურის საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების განყოფილება. 2. ნატოს უსაფრთხოების აკრედიტაციის ორგანო პასუხისმგებელია: ა) ნატოს კლასიფიცირებული ინფორმაციის დამუშავებისათვის გამოყენებული საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების აკრედიტაციაზე; ბ) ნატოს კლასიფიცირებული ინფორმაციის დასაცავად გამოყენებული სისტემების აკრედიტაციაზე; გ) იმ ეროვნული საკომუნიკაციო და ინფორმაციული სისტემების სანქცირებასა და კონტროლზე, რომლის საშუალებითაც ხორციელდება ნატოს კლასიფიცირებული ინფორმაციის დაცვა, დამუშავება და გადაცემა. მუხლი 7🔗.  უსაფრთხოების პრინციპები უსაფრთხოების  მიზნების მისაღწევად აუცილებელია უსაფრთხოების შემდეგი პრინციპების  დაცვა: ა) უსაფრთხოების რისკების მართვა  (Security Risk Management) – უნდა მიმდინარეობდეს სსიტის მთელი სიცოცხლის ციკლის განმავლობაში, რათა უზრუნველყოფილ იქნეს რისკების შეფასება, გამოვლენა,  შემცირება, ელიმინაცია/აღმოფხვრა, თავიდან აცილება ან/და რისკის მიღება; ბ) მინიმალურობა (Minimality) – დაინსტალირებულ  და გამოყენებულ უნდა იქნეს მხოლოდ ის ფუნქციები, პროტოკოლები და სერვისები, რომლებიც აუცილებელია ოპერაციული ამოცანების შესასრულებლად; გ) ნაკლები პრივილეგია (Least Privilage) – საკომუნიკაციო სისტემებსა და ინფორმაციულ ტექნოლოგიებთან მომუშავე პირებს უნდა მიეცეთ მხოლოდ მათი ამოცანებისა და მოვალეობების  შესასრულებლად საჭირო დონის პრივილეგიები და უფლებამოსილებანი; დ) თვითდაცვა (Self – protecting CIS) –  ინფორმაციის გაცვლის უსაფრთხოების კონტროლის მიზნით, თითოეული სსიტი სხვა საკომუნიკაციო და ინფორმაციულ სისტემას უნდა განიხილავდეს  როგორც არასანდოს და  ახორციელებდეს უსაფრთხოების შესაბამის ზომებს; ე) დაცვა სიღრმეში (Defence-in-Depth) – დაცვითი ზომები უნდა განისაზღვროს არქიტექტურული მიდგომით და უნდა დაინერგოს სსიტის შემადგენელ  კომპონენტებში, რათა უზრუნველყოფილ იქნეს უსაფრთხოების მრავალშრიანი დაცვის  ხაზი; ვ) განახლებადობა (Up-to-date Security Posture) – საფრთხეების შემცველი გარემოების ცვლილებების შესაბამისად აუცილებელია სსიტის უსაფრთხო კონფიგურაციების განვითარება უსაფრთხოების სათანადო დონის შესანარჩუნებლად; ზ) მოქნილობა (Resilience) – უსაფრთხოების ზომების ნებისმიერი დარღვევის შემთხვევაში, სსიტს უნდა ჰქონდეს სწრაფად  ადაპტირების ან/და აღდგენის უნარი, ოპერაციების უსაფრთხოების მისაღებ დონეზე გასაგრძელებლად  არსებული ზიანის გათვალისწინებით; თ) ფუნქციონირების  უზრუნველყოფა (Security Functionality Assurance) – იმ მექანიზმებისა და პროდუქციის  ფუნქციონირების უსაფრთხოება, რომელიც საშუალებას იძლევა ან უზრუნველყოფს სსიტის უსაფრთხოებას და მისი უზრუნველყოფა უნდა განახორციელოს უფლებამოსილმა ორგანომ ((ნატოს კლასიფიცირებული ინფორმაციის საკომუნიკაციო და საინფორმაციო საშუალებებით დაცვაზე პასუხისმგებელი ორგანო) NCSA); ი)  შესაბამისობა (Security Compliance) – უსაფრთხოების პრინციპების გამოყენებისა და დაცვის უზრუნველყოფისათვის საჭირო ზომების შესაბამისობა დადგენილი უნდა იქნეს  უსაფრთხოების აკრედიტაციის ორგანოს (SAA) მიერ, რომელმაც ასევე უნდა განახორციელოს მუდმივი მონიტორინგი და პერიოდული შეფასება. მუხლი  8🔗.  უსაფრთხოების ზომები ნატოს კლასიფიცირებული ინფორმაციის, სერვისებისა და რესურსების დასაცავად უსაფრთხოების თანმიმდევრული ზომები  უნდა იქნეს გატარებული. უსაფრთხოების ზომები მოიცავს: ა) საშუალებას, რომელიც უზრუნველყოფს ნატოს კლასიფიცირებული ინფორმაციისა და მხარდამჭერი სისტემის სერვისებისა და რესურსების უსაფრთხოების მიზნების განზრახ ან შემთხვევით დარღვევის გამოვლენას და ამ დარღვევებისაგან მიყენებული ზიანის აღმოფხვრას; ბ) საშუალებას, რომელიც დაადასტურებს ავტორიზებული პირების, მოწყობილობებისა და სერვისების ავთენტურობას. სსიტთან წვდომის მაკონტროლებელი ინფორმაცია და  მასალა დაცული უნდა იქნეს იმ კლასიფიცირებული ინფორმაციის დონის შესაბამისად, რომელზეც სისტემა იძლევა წვდომას; გ) საშუალებას, რომელიც უზრუნველყოფს ნატოს კლასიფიცირებულ ინფორმაციას და მხარდამჭერ სერვისებსა და რესურსებზე წვდომის და გამჟღავნების კონტროლს; დ) საშუალებებს, რომლებიც დაადასტურებენ ნატოს კლასიფიცირებული ინფორმაციის და მხარდამჭერი სერვისების და რესურსების წარმოშობასა და მთლიანობას; ე) საშუალებებს, რომლებიც შეინარჩუნებენ ნატოს კლასიფიცირებული ინფორმაციის და  მხარდამჭერი სერვისებისა და რესურსების მთლიანობას და ხელმისაწვდომობას; ვ) საშუალებას, რომელიც გააკონტროლებს კლასიფიცირებული ინფორმაციის დამამუშავებელი სსიტის კავშირებს; ზ) საშუალებას, რომელიც უზრუნველყოფს საკომუნიკაციო სისტემებისა და ინფორმაციული  ტექნოლოგიების დაცვის მექანიზმების სანდოობის განსაზღვრას; თ) საშუალებას, რომელიც შეაფასებს და დაადასტურებს საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების დაცვის მექანიზმების სათანადო ფუნქციონირებას სისტემის სიცოცხლის ციკლის განმავლობაში; ი) საშუალებას, რომელიც შეისწავლის მომხმარებლის და საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების აქტივობებს; კ) საშუალებას, რომელიც კლასიფიცირებული ინფორმაციის გამგზავნს უზრუნველყოფს მიმღების მიერ ინფორმაციის მიღების დადასტურებისა და არარეპუდირების, ხოლო მიმღებს კი გამგზავნის იდენტიფიცირების გარანტიით; ლ) საშუალებას, რომელიც დაიცავს ნატოს კლასიფიცირებულ ინფორმაციას ისეთ ადგილებში, სადაც არ არის უზრუნველყოფილი ფიზიკური უსაფრთხოების მინიმალური მოთხოვნები. მუხლი 9🔗.  საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების კონტროლი 1. უსაფრთხოების მოთხოვნები და მოქმედებები უნდა განიხილებოდეს სსიტის სიცოცხლის ციკლის ყოველ ეტაპზე იტერაციული მიდგომით, რაც ხელს შეუწყობს მაღალი დონის ორგანიზაციული, საპროცესო და ტექნიკური ხასიათის კონტროლით ჩამოაყალიბოს  უსაფრთხოების სპეციალური ზომები. 2. ნატოს საკომუნიკაციო სისტემები და ინფორმაციული ტექნოლოგიები დაცული უნდა იქნეს ეფექტიანად შერჩეული უსაფრთხოების ზომების დაბალანსებული მიდგომით. სსიტების უსაფრთხოების პოლიტიკა, პროცესები, როლები და უსაფრთხოების ზომები უნდა შეესაბამებოდეს და ავსებდეს საქართველოს კანონმდებლობით დადგენილი პერსონალის უსაფრთხოებას, ფიზიკურ უსაფრთხოებას, ინფორმაციის უსაფრთხოებასა და ინდუსტრიულ უსაფრთხოებას. მუხლი 10🔗. რისკების მართვა 1. უსაფრთხოების რისკების მართვა უნდა ხორციელდებოდეს სისტემური მიდგომით, რათა მუდმივად განისაზღვრებოდეს უსაფრთხოების ის კონტრზომები, რომლებიც ნატოს კლასიფიცირებულ ინფორმაციას და საკომუნიკაციო სისტემებსა და ინფორმაციულ ტექნოლოგიებს დაიცავენ აქტივების ღირებულების, საფრთხის, მოწყვლადობისა და უსაფრთხოების მიზნებზე მათი გავლენის შეფასების საფუძველზე. რისკების მართვა მოიცავს დაგეგმვის, ორგანიზების, მართვისა და კონტროლის რესურსებს, რისკების მისაღებ საზღვრებში მოქცევის უზრუნველსაყოფად. 2. უსაფრთხოების რისკების მართვის პროცესები გამოყენებულ უნდა იქნეს საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების რისკების მონიტორინგის, შემცირების, აღმოფხვრის, თავიდან აცილების ან მიღების პროცედურებისათვის. მისი მიზანია ნატოს კლასიფიცირებული ინფორმაციისა და სსიტის უსაფრთხოების დაცვა ნატოს უსაფრთხოების პოლიტიკისა და საქართველოს კანონმდებლობის შესაბამისი იმ მინიმალური მოთხოვნებით, რომელიც მისაღებია მომხმარებლის, რესურსებისა და ნარჩენი რისკის არსებობის დროსაც. 3. ნატოს კლასიფიცირებული  ინფორმაციის  დამამუშავებელი საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების რისკების შეფასება, როგორც  უსაფრთხოების რისკების მართვის ნაწილი ჩართული უნდა იყოს სისტემის განვითარების პროცესში, რაც მოიცავს  არსებული ან ახალი პარამეტრების, მათ შორის,  დაბალანსებული ტექნიკური და არატექნიკური უსაფრთხოების ზომების შეფასებას. 4. სსიტის სისტემაში უსაფრთხოების ზომების გატარებისას შესაძლოა დარჩეს უსაფრთხოების ნარჩენი  რისკები. ნარჩენი  რისკების არსებობა ნიშნავს, რომ ვერ ხერხდება ყველა რისკის საწინააღმდეგო ზომების გატარება და მოწყვლადობა ვერ იქნება სრულად აღმოფხვრილი ან შემცირებული. გამომდინარე იქიდან, რომ საფრთხეები და რისკები დინამიკური ხასიათისაა, შესაბამისად ნარჩენი რისკებიც ცვალებადია. ამგვარად, რისკების მართვა უნდა ხდებოდეს სსიტის სიცოცხლის ციკლის მანძილზე, უსაფრთხო და დაცული კონფიგურაციების, უსაფრთხოებაზე სისტემური ცვლილებების გავლენის ანალიზისა და უსაფრთხოების ანგარიშგების  შედგენის მეშვეობით.  მუხლი 11🔗. ბიზნესის უწყვეტობა 1. ბიზნესის უწყვეტობა არის პროცესი, რომელიც განსაზღვრავს საფრთხის შემცველი ქმედებების პოტენციურ გავლენას ორგანიზაციის მიზნებზე. ეს პროცესი შესაძლებლობების ფარგლებში რეაგირებს ორგანიზაციის  მუშაობის შემაფერხებელ მიზეზებზე და მინიმუმამდე  დაჰყავს ისინი. 2. ბიზნესის უწყვეტობის კონტექსტში მნიშვნელოვანია დაინერგოს სსიტის მოქნილობის ხელშემწყობი უსაფრთხოების ზომები, შესაბამისი გეგმებისა და პროცედურების ჩათვლით. ასევე უნდა განისაზღვროს უსაფრთხოების რისკების შეფასებისა და სამუშაო პროცესზე მათი ზეგავლენის ანალიზი, რომელიც გაიწერება ორგანიზაციის სამუშაო პროცესის უწყვეტობის ერთიან  გეგმაში. 3. უსაფრთხოების რისკის შეფასება ავლენს იმ კრიტიკულ ფუნქციებსა და აქტივებს და რისკებს, რომლებმაც შესაძლოა გამოიწვიონ ორგანიზაციის მიზნების მიღწევის შეფერხებები. უნდა განხორციელდეს სამუშაო პროცესზე ამგვარი ფაქტორების ზეგავლენის ანალიზი, რათა დადგინდეს ინციდენტის შედეგად მიღებული პოტენციური დაზიანება ან, დაკარგვის შემთხვევაში, რა ფორმის დაზიანება ან დაზიანების ხარისხი შეიძლება მიიღოს ორგანიზაციამ დროთა განმავლობაში. 4. ბიზნესის უწყვეტობის სრული პროცესი დეტალურად განისაზღვრება ნატოს უსაფრთხოების პოლიტიკის ან სათანადო დირექტივების შესაბამისად. მუხლი 12🔗.  საფრთხეები  და მოწყვლადობა 1. რისკების შეფასება უნდა ეფუძნებოდეს არსებული საფრთხეების პერმანენტულ შეფასებას და მიმართული უნდა იყოს საფრთხეებისა და მოწყვლადობის განსაზღვრაზე, რომელიც  გავლენას ახდენს უსაფრთხოების  მიზნებზე. საფრთხედ განისაზღვრება ნებისმიერი მოვლენა, რომელიც  შემთხვევით ან განზრახ რისკის ქვეშ აყენებს უსაფრთხოების სისტემას. 2. მოწყვლადობა არის უსაფრთხოების კონტროლის სისუსტე ან  არარსებობა, რაც ხელს შეუწყობს ან საშუალებას მისცემს კონკრეტული აქტივის ან მიზნის წინააღმდეგ საფრთხეების გააქტიურებას. მოწყვლადობა შეიძლება იყოს დაუდევრობის, უმოქმედობის ან კონტროლის საშუალებების სისრულისა და თანმიმდევრობის ნაკლებობის შედეგი. მოწყვლადობა თავისი ხასიათით შეიძლება იყოს ტექნიკური, პროცედურული ან საოპერაციო. მუხლი 13🔗.  უსაფრთხოების აკრედიტაცია 1. უსაფრთხოების აკრედიტაციის პროცესი განსაზღვრავს სსიტის უსაფრთხოების ზომების იმ ფარგლებს, რომელმაც უნდა დაიცვას ნატოს კლასიფიცირებული ინფორმაციის უსაფრთხოება ისევე, როგორც  თავად საკომუნიკაციო სისტემები და საინფორმაციო ტექნოლოგიები უსაფრთხოების მოთხოვნების შექმნის პროცესში. 2. უსაფრთხოების აკრედიტაციით უნდა განისაზღვროს უსაფრთხოების  სათანადო დონის მიღწევისა და შენარჩუნების პროცესი, რომელშიც ცენტრალური ადგილი ნარჩენი რისკის  დონის იდენტიფიცირებას უჭირავს. ნარჩენი რისკი უნდა იყოს მისაღები და მისი  მონიტორინგი უნდა მიმდინარეობდეს სსიტის უსაფრთხოების მთელი სიცოცხლის ციკლის განმავლობაში. 3. უსაფრთხოების აკრედიტაციის პროცესი ხორციელდება ნატოს უსაფრთხოების პოლიტიკისა და საქართველოს კანონმდებლობის შესაბამისად ყველა იმ  სსიტისთვის, რომელიც ამუშავებს ნატოს კლასიფიცირებულ ინფორმაციას. 4. უსაფრთხოებასთან დაკავშირებული დოკუმენტაცია დამტკიცებულ და დაცული უნდა იქნეს ნატოს უსაფრთხოების პოლიტიკისა და საქართველოს კანონმდებლობის შესაბამისად. უსაფრთხოებასთან დაკავშირებული დოკუმენტები სავალდებულო უნდა იყოს სსიტის მთელი სიცოცხლის ციკლის მანძილზე.  მუხლი 14🔗. უსაფრთხოების აუდიტი 1. უსაფრთხოების აუდიტის ჩატარების მიზანია სსიტის უსაფრთხოების შესაბამისობის დადგენა ნატოს უსაფრთხოების პოლიტიკასა და საქართველოს კანონმდებლობასთან. უსაფრთხოების აუდიტს ატარებს უსაფრთხოების აკრედიტაციის ორგანო, ხოლო დაწესებულებამ/ორგანომ უნდა უზრუნველყოს აუდიტის შეუფერხებელი ჩატარება.  უსაფრთხოების აუდიტი ასევე შეიძლება გამოყენებულ იქნეს ინციდენტების პრევენციისა და  გამოძიების მხარდასაჭერად. 2. უსაფრთხოების აუდიტის მეთოდები მოიცავს უსაფრთხოების ინსპექტირებას, შემოწმებას, ინტერვიუებს/გასაუბრებასა და ტესტებს. შეძლებისდაგვარად, შემოწმება და  ტესტირება უნდა ხორციელდებოდეს ავტომატიზებული ინსტრუმენტებით. 3.  სსიტის უსაფრთხოების აუდიტი ასევე უნდა ჩატარდეს, რათა: ა) გადამოწმდეს, რომ უსაფრთხოების რისკების მართვის პროცესიდან გამომდინარე,უსაფრთხოების ზომები სწორად არის გატარებული და შენარჩუნებული; ბ) შეფასდეს უსაფრთხოების რისკების მართვის პროცესისა და მისი შედეგების მიზანშეწონილობა; გ) შეფასდეს სსიტის უსაფრთხოების პროცესებისა და შესაძლებლობების ეფექტურობა  და მასთან დაკავშირებული პროგრამების/პროექტების განხორციელების მიმდინარეობა. მუხლი 15🔗.  მართვის ოპერაციების  უსაფრთხოების რეჟიმები 1. ნატოს კლასიფიცირებული ინფორმაციის დამამუშავებელი სსიტი   უნდა ოპერირებდეს ერთი ან რამდენიმე უსაფრთხოების რეჟიმის გამოყენებით. 2. მართვის ოპერაციების უსაფრთხოების რეჟიმები და მათი გამოყენების წესები განისაზღვრება ნატოს უსაფრთხოების პოლიტიკის შესაბამისად. მუხლი 16🔗. საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების ურთიერთკავშირი 1. ნატოს კლასიფიცირებული ინფორმაციის დამამუშავებელი სსიტების ურთიერთკავშირი აკრედიტებული და ნებადართული უნდა იქნეს უსაფრთხოების აკრედიტაციის ორგანოს მიერ, ნატოს უსაფრთხოების პოლიტიკის შესაბამისად. 2. ნატოს კლასიფიცირებული ინფორმაციის დამამუშავებელი ყველა სსიტი და მათი ურთიერთკავშირი ექვემდებარება უსაფრთხოების აკრედიტაციის ორგანოს ან ნატოს მიერ განსაზღვრული ორგანოს მიერ შემდეგი მიმართულებების სანქცირებას: ა) ურთიერთკავშირის მეთოდი და მომსახურება; ბ) უსაფრთხოების რისკების შეფასებისა და მართვის მეთოდოლოგიის გამოყენება; გ) უსაფრთხოების ამოცანების მისაღწევად უსაფრთხოების არქიტექტურისა და უსაფრთხოების ზომების უზრუნველყოფა; დ) უსაფრთხოებასთან დაკავშირებული დოკუმენტები, მათ შორის,  ტექნიკური დოკუმენტაცია. 3. ნატოს კლასიფიცირებული ინფორმაციის გადაცემა ნატოსა თუ სხვა სსიტების საშუალებით, სრულიად საიდუმლო ინფორმაციის ჩათვლით,  პირდაპირი ან კასკადური ურთიერთკავშირით ინტერნეტითა თუ ქსელებით, რომლებიც ჩართულნი არიან საზოგადოებრივ (საჯარო) დომეინში,  უნდა ხორციელდებოდეს შემდეგნაირად: ა) მკაცრი კონტროლით; ბ) უნდა ექვემდებარებოდეს უსაფრთხოების აკრედიტაციის ორგანოს ან ნატოს მიერ განსაზღვრული პასუხისმგებელი ორგანოს მიერ დადგენილ წესებს; გ) უნდა ექვემდებარებოდეს უსაფრთხოების აკრედიტაციის ორგანოს ან ნატოს მიერ განსაზღვრული პასუხისმგებელი ორგანოს შეფასებასა და სერტიფიცირებას და/ან უსაფრთხოების აკრედიტაციის ორგანოს მიერ დამტკიცებული ნატოს ტექნიკური და აღსრულების დირექტივის მოთხოვნებს; დ) უნდა ექვემდებარებოდეს მოწყვლადობის პერიოდულ და ფორმალურ  შეფასებას. მუხლი 17🔗. ნატოს ინფორმაცია ინტერნეტსა და საზოგადოებრივ (საჯარო) დომეინში ჩართულ ქსელებში 1. ღია ტექსტით (არადაშიფრული, არაკრიპტოგრაფიული) შესაძლებელია შემდეგი შინაარსის ინფორმაციის გადაცემა: ა) ღია და საჯარო ინფორმაცია ან ნატოს ინფორმაცია, რომელიც სპეციალურად დამტკიცებულია საზოგადოებისათვის გასამჟღავნებლად; ბ) ნატოს არაკლასიფიცირებული (UNCLASSIFIED (NU)) და არასენსიტიური ინფორმაცია. ინფორმაცია, რომელსაც ინფორმაციის ავტორის მიერ მინიჭებული აქვს დამატებითი ადმინისტრაციული მარკირება (მაგ.:  სამედიცინო) ან ინფორმაციის გავრცელების შეზღუდვის მარკირება და რომელიც ავტორის მიერ განსაზღვრული არის როგორც საჯარო და არ საჭიროებს დამატებით ადმინისტრაციულ მარკირებას. 2. საჯარო ინფორმაცია ან ნატოს ინფორმაცია, რომელიც სპეციალურად დამტკიცებულია საზოგადოებისათვის გასამჟღავნებლად, შეიძლება განთავსებულ იქნეს საჯაროდ, საინფორმაციო დაფებსა და ვებგვერდებზე და ექვემდებარება ინფორმაციის ავტორის მიერ განსაზღვრული ინფორმაციის მთლიანობის დაცვას და უსაფრთხოების მოთხოვნებსა და წესებს. მუხლი 18🔗. აპლიკაციის უსაფრთხოება 1. ნატოს კლასიფიცირებული ინფორმაციის დასამუშავებლად   ინდივიდუალურად შექმნილ პროგრამულ უზრუნველყოფაში  გათვალისწინებული უნდა იყოს უსაფრთხოების შესაბამისი ზომები მისი მთელი სიცოცხლის ციკლის განმავლობაში, სსიტისთვის საჭირო უსაფრთხოების მიზნების გათვალისწინებით. 2. აპლიკაციები და პროგრამები ექვემდებარება უსაფრთხოების ტესტირებას. კონფიგურაციებისა (მაგ.: საბაზისო) და ცვლილებების კონტროლი (მაგ.: პრობლემის აღმოფხვრა, გამოსწორება) უნდა განსაზღვროს და მართოს აკრედიტაციის ორგანომ,  სსიტის უსაფრთხოების მიზნების სათანადოობის დადგენის მიზნით. მუხლი 19🔗. ნატოს კლასიფიცირებული ინფორმაციის ელექტრომაგნიტური გადაცემა ნატოს კლასიფიცირებული ინფორმაციის ელექტრომაგნიტური საშუალებებით გადაცემისას მიღებული უნდა იქნეს შესაბამისი უსაფრთხოების ზომები მისი კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დასაცავად. პასუხისმგებელი ორგანო განსაზღვრავს ინფორმაციის გადაცემის დაცვით ზომებს. საკომუნიკაციო სისტემებით გადაცემული ინფორმაცია დაცული უნდა იქნეს გამოვლენის, უკანონოდ ხელში ჩაგდებისა და ექსპლუატაციისაგან. მუხლი  20🔗.  კრიპტოგრაფიული უსაფრთხოება  1. კრიპტოგრაფიული პროდუქცია და/ან მექანიზმები, რომლებიც  გადასცემენ, ამუშავებენ ან ინახავენ ნატოს კლასიფიცირებულ ინფორმაციას,   უნდა შეესაბამებოდეს  ნატოს უსაფრთხოების პოლიტიკის მოთხოვნებს.  2. NATO SECRET (NS) (სრულიად საიდუმლო), NATO CONFIDENTIAL (NC) (საიდუმლო) ან NATO RESTRICTED (NR) (შეზღუდული სარგებლობისათვის) კლასიფიკაციის დონის ინფორმაციის გადაცემისას დაცული უნდა იქნეს მათი კონფიდენციალურობა ნატოს უსაფრთხოების პოლიტიკის შესაბამისი კრიპტოგრაფიული პროდუქციით ან მექანიზმებით. 3. გამონაკლის შემთხვევებში (განსაკუთრებულ ოპერატიულ ვითარებაში), გარდაუვალი ან ფაქტობრივი კრიზისის, კონფლიქტის ან საომარი მოქმედებების დროს, როდესაც ინფორმაციის მიწოდების სიჩქარეს გადამწყვეტი მნიშვნელობა ენიჭება, ხოლო დაშიფვრის საშუალებები ხელმისაწვდომი არ არის  და ჩაითვლება, რომ გადაცემული ინფორმაციის გამოყენება ვერ მოახდენს უარყოფით გავლენას ოპერაციებზე ნატოს კლასიფიცირებული ინფორმაცია შეიძლება გადაცემულ იქნეს ღია ტექსტით. თითოეული ასეთი შემთხვევა დაუყოვნებლივ უნდა ეცნობოს საქართველოს თავდაცვის მინისტრს. 4. კრიპტომასალა დაცული უნდა იყოს მისი შესაძლო გამჟღავნების  შედეგად გამოწვეული სავარაუდო ზიანის შესაბამისად. 5. სპეციალური პროცედურები უნდა იქნეს დაცული იმ ტექნიკური ინფორმაციის გაზიარებისას, რომელიც გამოიყენება კრიპტოგრაფიული პროდუქციისა და მექანიზმების შერჩევის, შექმნისა და შესყიდვის რეგულირებისათვის. მუხლი  21🔗.  ემისიის (ელექტრომაგნიტური გამოსხივება) უსაფრთხოება NATO RESTRICTED და უფრო მაღალი კლასიფიკაციის დონის ინფორმაციის კომპრომეტირებისა და არამიზნობრივი ელექტრომაგნიტური ემისიისაგან დასაცავად გატარებული უნდა იქნეს შესაბამისი უსაფრთხოების ზომები ნატოს უსაფრთხოების პოლიტიკისა და საქართველოს კანონმდებლობის  შესაბამისად.  მუხლი  22🔗.  მავნე პროგრამებისაგან დაცვა 1. მავნე პროგრამული უზრუნველყოფის არსებობა აღიარებულია  როგორც მნიშვნელოვანი საფრთხე. ამგვარი პროგრამული უზრუნველყოფის განვითარებისაკენ სწრაფვის და მიზანმიმართული შეტევის განხორციელების უნარი გაძლიერებულ ყურადღებას მოითხოვს. 2. უსაფრთხოების მიზნებიდან გამომდინარე, ნატოს კლასიფიცირებული ინფორმაციის დამამუშავებელ სსიტებს უნდა გააჩნდეთ მავნე კოდების გამომვლენი პროგრამული  უზრუნველყოფა  ამ მავნე კოდების  დაყენების, გამოყენების თავიდან აცილების, მისი კარანტინში მოყოლის, პასუხისმგებელი პერსონალის გაფრთხილებისა და ინციდენტებზე საპასუხო ქმედებებისათვის. მუხლი  23🔗.  წვდომის კონტროლი 1.  წვდომის კონტროლი არის დაცვის პირველი ხაზი, რადგან იგი იძლევა ნებისმიერი იმ ობიექტის (მაგ.: პიროვნება, მოწყობილობა, სერვისები) იდენტიფიცირების,  ავთენტურობის, ავტორიზაციისა და აღრიცხვის  საშუალებას, რომელიც ითხოვს სსიტსა და მის ელემენტებთან (მაგ.: მონაცემები, მოწყობილობები, სერვისები) წვდომას. სსიტსა და მის ელემენტებთან არაავტორიზებული ოპერაციების თავიდან აცილების მიზნით, უნდა გატარდეს წვდომის კონტროლის ზომები. 2. წვდომის კონტროლის მოდელისა და მასთან დაკავშირებული უსაფრთხოების ზომების შერჩევისას გათვალისწინებული უნდა იქნეს შემდეგი ფაქტორები: ა) საშუალება და სივრცე, რომელშიც დაწესებულება/ორგანო ახორციელებს ინფორმაციის მართვას  და რომელმაც  შესაძლოა ზეგავლენა იქონიოს წვდომის კონტროლის ზომებზე; ბ) ტექნიკური ზომები უნდა განისაზღვროს სსიტის საერთო უსაფრთხოების კონტექსტში, რათა შესაძლებელი იყოს სსიტის ფიზიკური და ადმინისტრაციული წვდომის კონტროლის ზომებთან  შეწყობილ და კოორდინირებულ გარემოში მუშაობა. მუხლი  24🔗.  ინციდენტებზე რეაგირება 1. სსიტის უსაფრთხოების ინციდენტი არის ნებისმიერი აღმოჩენილი ანომალია, რომელსაც პოტენციურად შეუძლია ინფორმაციის, კომუნიკაციის  და სხვა ელექტრონული სისტემების ან ამ სისტემებით შენახული, დამუშავებული ან გადაცემული ინფორმაციის კომპრომეტირება. 2. საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოებასთან დაკავშირებული ნებისმიერი ინციდენტი უნდა ეცნობოს უსაფრთხოების აკრედიტაციის ორგანოს შესაბამისი რეაგირებისა და ინსპექტირების ჩატარების მიზნით. 3. განსაკუთრებული დარღვევების შემთხვევაში ინციდენტის შესახებ დაუყოვნებლივ უნდა ეცნობოს ნატოს უსაფრთხოების ოფისს. განსაკუთრებული ინციდენტებია: ა) უსაფრთხოების დარღვევა, რომელიც მოიცავს COSMIC TOP SECRET ((CTS) განსაკუთრებული მნიშვნელობის) და NATO SECRET  დონის ნატოს კლასიფიცირებულ ინფორმაციას; ბ) ნატოს კლასიფიცირებული ინფორმაციის უნებართვო გამჟღავნება მედიის (მაგ.: პრესა, ბლოგები, საიტები, ...) ან სხვა ფიზიკური და იურიდიული პირებისათვის (პოლიტიკური, დანაშაულებრივი და ტერორისტული ჯგუფები); გ) დიდი ოდენობით მონაცემების უნებართვო მოპოვება; დ) ეჭვის მიტანა ჯაშუშობაში; ე) შიდა ბოროტი განზრახვითი საქმიანობა (მაგ.: შიდა საფრთხე); ვ) ინციდენტები, რომლებიც  მოიცავს სსიტთან პრივილეგირებულ წვდომას; ზ) ინციდენტები, რომლებიც მოიცავს  კრიპტოგრაფიულ ელემენტებს; თ) ინციდენტები, რომლებიც დაწესებულებაზე/ორგანოზე მნიშვნელოვან გავლენას იქონიებს. მუხლი 25🔗. საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების უსაფრთხოების შესახებ სწავლება და ინფორმირებულობა სსიტის უსაფრთხოების სათანადო მდგომარეობისა და ინფორმირებულობის მისაღწევად საკომუნიკაციო სისტემებისა და ინფორმაციული ტექნოლოგიების ყველა მომხმარებელს უნდა უტარდებოდეს სწავლება/ტრენინგი უსაფრთხოების საკითხებში.