კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ

კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება №2 2020 წლის 16 ოქტომბერი ქ. თბილისი კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის, „საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის, მე-13 მუხლის პირველი და მე-7 პუნქტების და „ნორმატიული აქტების შესახებ“ საქართველოს ორგანული კანონის 25-ე მუხლის შესაბამისად, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტები“. მუხლი 2🔗 ძალადაკარგულად გამოცხადდეს „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ“ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის 2013 წლის 4 თებერვლის №4 ბრძანება. მუხლი 3🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.სსიპ ციფრული მმართველობის სააგენტოს თავმჯდომარეგიორგი მეჟლუმიანი კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტები მუხლი 1🔗. მიზანი და მოქმედების სფერო 1. კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტები (შემდგომ – მინიმალური სტანდარტები) განსაზღვრავს ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული აუცილებელ მოთხოვნებს, კომპეტენციის სფეროს, უფლება-მოვალეობებს, ანგარიშვალდებულებას, ასევე, აღნიშნული თანამდებობის დასაკავებლად პირთა კონკურსში მონაწილეობისა და შერჩევის წესს.  2. მინიმალური სტანდარტები ვრცელდება „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის პირველი პუნქტის შესაბამისად იდენტიფიცირებულ კრიტიკული ინფორმაციული სისტემის სუბიექტებზე (შემდგომ – ორგანიზაცია). 3. მინიმალური სტანდარტები გამოიყენება როგორც კერძო, ასევე საჯარო სექტორის ორგანიზაციების ინფორმაციული უსაფრთხოების მენეჯერების მიმართ, ორგანიზაციის მოცულობის, საქმიანობის სფეროსა და სტრუქტურის მიუხედავად. მუხლი 2🔗. ინფორმაციული უსაფრთხოების მენეჯერი 1. ინფორმაციული უსაფრთხოების მენეჯერი არის კრიტიკული ინფორმაციული სისტემის სუბიექტის თანამშრომელი, რომელიც პასუხისმგებელია ორგანიზაციის წინაშე არსებული ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებაზე. 2. ინფორმაციული უსაფრთხოების მოთხოვნების შესრულების მიზნით ორგანიზაცია უფლებამოსილია განსაზღვროს/დანიშნოს ინფორმაციული უსაფრთხოების მენეჯერი ან შექმნას ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფი (კოლეგიური ორგანო). მუხლი 3🔗. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობები 1. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია: ა) ინფორმაციული უსაფრთხოების მართვის სისტემის მინიმალური მოთხოვნების შესრულების კოორდინირება; ბ) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი; გ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერის ხარისხის უზრუნველყოფა; დ) ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (პოლიტიკის, პროცედურების, სახელმძღვანელოების) მომზადების, განხილვის, დამტკიცების და გადახედვის პროცესის კოორდინაცია; ე) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვების კოორდინაცია და მათზე რეაგირების მონიტორინგი; ვ) ინფორმაციული უსაფრთხოების სამოქმედო გეგმის შედგენა და ამ გეგმის შესრულების შესახებ ყოველწლიური ანგარიშის წარდგენა ანგარიშვალდებული პირებისა და საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიულ პირის -ციფრული მმართველობის სააგენტოსთვის (შემდგომ - სააგენტო); ზ) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობის წარმართვა; თ) გადაწყვეტილების მიღება სააგენტოს კომპიუტერული ინციდენტების დახმარების ჯგუფის მიერ ორგანიზაციის ინფორმაციული აქტივის, ინფორმაციული სისტემის ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალი საგნის წვდომის შესაძლებლობის/შეუძლებლობის შესახებ; ი) ორგანიზაციის თანამშრომლებისთვის ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება; კ) ინფორმაციული უსაფრთხოების აუდიტის პროცესის ხელშეწყობა. 2. კონკრეტული ორგანიზაცია უფლებამოსილია განსაზღვროს ინფორმაციული უსაფრთხოების მენეჯერისთვის სხვა, დამატებითი მოვალეობები, რომლებიც ხელს შეუწყობს ორგანიზაციაში ინფორმაციული უსაფრთხოების მოთხოვნების დანერგვასა და დაცვას. მუხლი 4🔗. ინფორმაციული უსაფრთხოების მენეჯერის ანგარიშვალდებულება 1. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია ორგანიზაციის ხელმძღვანელის, მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. 2. ინფორმაციული უსაფრთხოების მენეჯერი ვალდებულია ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღოს ანგარიშვალდებულ პირთან/ორგანოსთან წინასწარი შეთანხმებით. მუხლი 5🔗. ინფორმაციული უსაფრთხოების მენეჯერის სამუშაოზე აყვანის წესი 1. „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის თანახმად, ორგანიზაცია ვალდებულია დანიშნოს/განსაზღვროს ინფორმაციული უსაფრთხოების მენეჯერი. 2. ინფორმაციული უსაფრთხოების მენეჯერის სამსახურში აყვანისას ორგანიზაციამ უნდა გაითვალისწინოს საქართველოს კანონმდებლობით გათვალისწინებული მოთხოვნები, მათ შორის, მინიმალური სტანდარტები. მუხლი 6🔗. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციაზე კანდიდატის შერჩევის პროცედურა 1. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციაზე აპლიკანტის შესარჩევად ორგანიზაცია აცხადებს ღია კონკურსს. 2. ორგანიზაციის მიერ განცხადებაში მითითებულ სავალდებულოდ წარსადგენ სააპლიკაციო დოკუმენტებთან ერთად, აპლიკანტი ასევე ვალდებულია წარმოადგინოს: ა) სამუშაო და პროფესიული გამოცდილების დამადასტურებელი დოკუმენტაცია; ბ) შესაბამისი სერტიფიკატები. მუხლი 7🔗. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული აუცილებელი მოთხოვნები, კომპეტენციის სფერო ინფორმაციული უსაფრხთოების მენეჯერის პოზიციის დასაკავებლად პირი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს: ა) სამუშაო გამოცდილება - მინიმუმ 5 წელი; ბ) სასურველია ჰქონდეს გამოცდილება შემდეგ სფეროებში: ინფორმაციულ ტექნოლოგიები, მენეჯერული, პროექტებისა და მართვის სტანდარტების დანერგვა; გ) სერტიფიკატები - სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), სტანდარტიზაციის ბრიტანული ინსტიტუტის (BSI) ან ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ გაცემული სერტიფიკატი ინფორმაციული უსაფრთხოების დარგში; IT Infrastructure Library (ITIL) ექსპერტის ცოდნის დამადასტურებელი სერტიფიკატი; დ) თუ ინფორმაციული უსაფრთხოების მენეჯერს ან კანდიდატს არ გააჩნია ზემოთ აღნიშნული სერტიფიკატებიდან ერთ-ერთი, იგი ვალდებულია გაიაროს გაიაროს მინიმალური სტანდარტების მე-8 მუხლით გათვალისწინებული პროცედურა. მუხლი 8🔗. ციფრული მმართველობის სააგენტოს მონაწილეობა ინფორმაციული უსაფრთხოების მენეჯერის შერჩევაში 1. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციის მნიშვნელობის, დაკისრებული ამოცანების სირთულისა და კრიტიკულობის გათვალისწინებით, სააგენტო მონაწილეობას იღებს ინფორმაციული უსაფრთხოების მენეჯერის შერჩევის პროცესში.  2. სააგენტოს მონაწილეობა ინფორმაციული უსაფრთხოების მენეჯერის შერჩევის პროცესში შემოიფარგლება ინფორმაციული უსაფრთხოების მენეჯერის ან კანდიდატის ინფორმაციული უსაფრთხოების კუთხით ცოდნისა და გამოცდილების, მისი კომპეტენციის შეფასება-დადასტურებაში, რაც აუცილებელია ინფორმაციული უსაფრთხოების მენეჯერის პოზიციის დასაკავებლად.  3. ამ მუხლის მე-2 პუნქტის შესაბამისად, ორგანიზაცია კონკურსის შედეგად შერჩეული კანდიდატის მონაცემებს და განცხადებას უგზავნის სააგენტოს, რომელიც შერჩეული კანდიდატის ინფორმაციული უსაფრთხოების კუთხით ცოდნის, კომპეტენციისა და გამოცდილების აფასებს/ადასტურებს ტესტირების საფუძველზე. სააგენტო ორაგნიზაციას 5 სამუშაო დღის განმავლობაში აცნობებს ტესტირების თარიღს. ტესტირების პასუხები ტესტირებიდან 5 სამუშაო დღეში ეცნობება როგორც კანდიდატს, ასევე დამსაქმებელ ორგანიზაციას. 4. სააგენტო ტესტირების შედეგებთან ერთად ორგანიზაციას უგზავნის წარმოდგენილი კანდიდატის ინფორმაციული უსაფრთხოების მენეჯერად დანიშვნის მიზანშეწონილობის შესახებ დასკვნას.