ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ

ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება №3 2020 წლის 16 ოქტომბერი ქ. თბილისი ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის, „საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის, მე-13 მუხლის პირველი და მე-7 პუნქტებისა და „ნორმატიული აქტების შესახებ“ საქართველოს ორგანული კანონის 25-ე მუხლის შესაბამისად, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს „ქსელური სენსორის კონფიგურაციის წესები“. მუხლი 2🔗 ძალადაკარგულად გამოცხადდეს „ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ“ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის 2013 წლის 4 თებერვლის №3 ბრძანება. მუხლი 3🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.სსიპ ციფრული მმართველობის სააგენტოს თავმჯდომარეგიორგი მეჟლუმიანი ქსელური სენსორის კონფიგურაციის წესები მუხლი 1🔗. ზოგადი დებულებები 1. კრიტიკული ინფორმაციული სისტემის სუბიექტთან (შემდგომ – სუბიექტი) შეთანხმებით, საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი – ციფრული მმართველობის სააგენტო (შემდგომ – სააგენტო) და კომპიუტერული უსაფრთხოების სპეციალისტი კრიტიკული ინფორმაციული სისტემის სუბიექტის ქსელში ახორციელებენ კომპიუტერული ინციდენტების იდენტიფიცირებისა და კვლევისათვის აუცილებელი ქსელური სენსორის (სენსორების სისტემის) კონფიგურირებასა და მართვას. 2. ქსელური სენსორი არის ქსელის უსაფრთხოების მონიტორინგისთვის განკუთვნილი სპეციალური მოწყობილობა, რომლის საშუალებითაც ხდება ისეთი ქმედებების გამოვლენა, რომლებიც მიუთითებს ინფორმაციული სისტემის წინააღმდეგ წარმოებულ შეტევაზე ან მასში შეღწევაზე. 3. სუბიექტი უფლებამოსილია შეარჩიოს მასთან განთავსებული ქსელური სენსორის მომსახურების სახე, კერძოდ, ქსელის ზედაპირული მონიტორინგი ან ქსელის პაკეტების ღრმა ანალიზის მონიტორინგი. 4. ქსელური სენსორის ძირითადი დანიშნულებაა ორგანიზაციის სამიზნე ქსელზე განხორციელებული კიბერშეტევების, კომპიუტერული ინციდენტების მუდმივი მონიტორინგი და მათი დროული აღმოჩენა.  5. ინფორმაცია, რომელსაც შეიცავს ქსელური სენსორის მიერ გენერირებული მონაცემები, მნიშვნელოვან დახმარებას უწევს როგორც სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფს, ასევე ორგანიზაციის კიბერუსაფრთხოების სპეციალისტს და სხვა ტექნიკურ პერსონალს ინციდენტის სწრაფად, დროულად და ეფექტიანად გამოვლენაში. მუხლი 2🔗. ქსელის ზედაპირული მონიტორინგი 1. ქსელის ზედაპირული მონიტორინგის დროს ქსელური მოწყობილობების საშუალებით შემგროვებელ სერვერზე იგზავნება შემდეგი მონაცემები: ა) შემავალი და გამავალი კავშირების მიმართულება: კონკრეტული IP მისამართები; ბ) კავშირების დამყარების და დასრულების თარიღი; გ) კავშირის დროს გამოყენებული ქსელური პროტოკოლები; დ) ტრაფიკის მოცულობა; ე) სტატისტიკური მონაცემები ნებისმიერი ჩამოთვლილი პარამეტრის მიხედვით. 2. შემგროვებელი სერვერი, რომელიც განთავსებულია ციფრული მმართველობის სააგენტოში, ამ მუხლის პირველი პუნქტის „ა“–„ე“ ქვეპუნქტებში ჩამოთვლილ მონაცემებზე დაყრდნობით ახდენს მონაცემთა ანალიზს სპეციალური მოდულების გამოყენებით და ახორციელებს დაინფიცირებული კომპიუტერებისა და კიბერშეტევების იდენტიფიცირებას. 3. ორგანიზაციიდან გამოგზავნილი Netflow მონაცემები (მეხუთე ვერსია) შეიცავს შემდეგი სახის ინფორმაციას (საერთო 5 მახასიათებელი): ა) საწყისი მისამართი – Source IP address; ბ) საბოლოო მისამართი – Destination IP address; გ) IP პროტოკოლი – IP protocol; დ) პროტოკოლების საწყისი პორტები; ე) პროტოკოლების საბოლოო პორტები. 4. ორგანიზაციიდან Netflow-ს მონაცემების გამოგზავნა ციფრული მმართველობის შემგროვებელ სერვერზე ხორციელდება დაცული არხის საშუალებით. 5. Netflow მონიტორინგი წარმოადგენს ორგანიზაციის ქსელური ტრაფიკის პასიური მონიტორინგის საშუალებას, კერძოდ, არ ხორციელდება ქსელის ტრაფიკის შესახებ სრული ინფორმაციის შეგროვება და დამუშავება, როგორიცაა ინფორმაციის ორგანიზაციის მომხმარებლების კონკრეტული საქმიანობის, მოქმედების, ფაილების და გადაგზავნილი დოკუმენტების შესახებ. მუხლი 3🔗. ქსელის მონიტორინგის პაკეტების ღრმა ანალიზი 1. შემგროვებელი სერვერის კონფიგურირება ხდება სააგენტოს ან სუბიექტის ფიზიკურ მოწყობილობაზე (სერვერზე) დაყენებული ოპერაციული სისტემისა და პროგრამული პროდუქტების მეშვეობით, რომელთა მიზანია ორგანიზაციის ლოკალურ ქსელში არსებული ქსელური მოწყობილობიდან ქსელური ტრაფიკის მიღება და გაანალიზება. 2. შემგროვებელი სერვერი განთავსებულია სუბიექტის ინფრასტრუქტურაში. 3. შემგროვებელი სერვერის კონფიგურირებისათვის სააგენტო ახორციელებს: ა) სენსორისთვის განკუთვნილ მოწყობილობაზე ოპერაციული სისტემის „Alienvault OSSIM“-ის ბოლო ვერსიის ინსტალაციას; ბ) სისტემაში პროგრამული პროდუქტის „Snort IDS“ ბოლო ვერსიის ინსტალაციას; გ) სისტემაში Snort წესების ავტომატური ინტეგრაციის მიზნით პროგრამის „Barnyard“-ის ან სხვა მწარმოებლის მიერ შექმნილი წესების ინტეგრაციას სუბიექტთან შეთანხმებით. 4. ქსელის მონიტორინგის დროს ქსელური მოწყობილობებიდან შემგროვებელ სერვერზე იგზავნება შემდეგი მონაცემები: ა) შემავალი და გამავალი კავშირების მიმართულება, კონკრეტული IP მისამართები; ბ) კავშირების დამყარების და დასრულების თარიღი; გ) კავშირის დროს გამოყენებული ქსელური პროტოკოლები; დ) ტრაფიკის მოცულობა; ე) ქსელური პაკეტების შიგთავსი; ვ) სტატისტიკური მონაცემები ნებისმიერი ჩამოთვლილი პარამეტრის მიხედვით. 5. Snort ახორციელებს ქსელის მონიტორინგის დროს ქსელური მოწყობილობებიდან შემგროვებელ სერვერზე გადაგზავნილი მონაცემების გაფილტვრას ამ მუხლის მე-4 პუნქტის „ა“–„ვ“ ქვეპუნქტებში ჩამოთვლილ მონაცემებზე დაყრდნობით, წინასწარდადგენილი წესების მიხედვით, და ინახავს მიღებულ შედეგს. მუხლი 4🔗. ინფორმაციაზე წვდომა და კონფიდენციალობის დაცვა 1. სუბიექტს, შემგროვებელ სერვერთან ერთად, გადაეცემა სერვერზე დაყენებული ოპერაციული სისტემის და აპლიკაციის ადმინისტრატორისა და მომხმარებლის პაროლები. სერვერის ადმინისტრირებას ახორციელებს სუბიექტის კიბერუსაფრთხოებაზე პასუხისმგებელი პირი ან პირები. 2. სააგენტოს არ გააჩნია წვდომა ქსელის მონიტორინგის პაკეტების ღრმა ანალიზის საშუალებებზე. სააგენტო, სუბიექტთან შეთანხმებით, უფლებამოსილია: ა) მონიტორინგის მოწყობილობით შეუზღუდავად მიიღოს ამ წესების მე-3 მუხლის მე-5 პუნქტის შესაბამისად დამუშავებული ინფორმაცია; ბ) შეუფერხებლად მიიღოს სისტემის კონფიგურაციის შესახებ სრული ინფორმაცია; გ) მოითხოვოს სისტემის კონფიგურაციის ცვლილება ან/და განახლება. 3. სუბიექტი ვალდებულია დაუყოვნებლივ აცნობოს მის მიერ დაგეგმილი ან გადაუდებელი პირობებით გამოწვეული ნებისმიერი ცვლილება ქსელის მონიტორინგის პაკეტების ღრმა ანალიზის ინფრასტრუქტურაში. 4. სუბიექტი უფლებამოსილია მოითხოვოს სააგენტოსა და სუბიექტს შორის ინფორმაციის გაუხმაურებლობის შესახებ ხელშეკრულების გაფორმება.