ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ

ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება №7 2020 წლის 16 ოქტომბერი ქ. თბილისი ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტის „ზ“ ქვეპუნქტის, „საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის, მე-13 მუხლის პირველი და მე-7 პუნქტებისა და „ნორმატიული აქტების შესახებ“ საქართველოს ორგანული კანონის 25-ე მუხლის შესაბამისად, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს „ინფორმაციული აქტივების მართვის წესები“. მუხლი 2🔗 ძალადაკარგულად გამოცხადდეს „ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ“ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის 2013 წლის 7 თებერვლის №7 ბრძანება. მუხლი 3🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.სსიპ ციფრული მმართველობის სააგენტოს თავმჯდომარეგიორგი მეჟლუმიანი ინფორმაციული აქტივების მართვის წესები მუხლი 1🔗. ტერმინთა განმარტება 1. ინფორმაციული აქტივი (შემდგომ – „აქტივი“) – ყველა ინფორმაცია და ცოდნა (ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის. ინფორმაციული აქტივი შეუძლებელია არსებობდეს დამოუკიდებლად, მასთან დაკავშირებული აქტივის გარეშე. 2. მფლობელი – პირი ან ორგანიზაციული ერთეული, რომელსაც გააჩნია აქტივის შემუშავების, განვითარების, მხარდაჭერის, გამოყენების და დაცვის დადასტურებული მართვის უფლება. „მფლობელი“ არ ნიშნავს, რომ მას გააჩნია აქტივზე რაიმე სახის საკუთრების უფლება. 3. ავტორიზებული ერთეული – ინდივიდი, სუბიექტი ან პროცესი, რომელსაც გააჩნია აქტივზე წვდომის უფლება. 4. ხელმისაწვდომობა – ავტორიზებული ერთეულის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი. 5. კონფიდენციალურობა – აქტივის მახასიათებელი, რომლის თანახმადაც აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ერთეულისათვის. 6. მთლიანობა – აქტივის სიზუსტის და სისრულის მახასიათებელი.  მუხლი 2🔗. მიზანი 1. „ინფორმაციული აქტივების მართვის წესები“ თავსებადია, ერთი მხრივ, „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონთან, ხოლო, მეორე მხრივ, იგი ითვალისწინებს და ეფუძნება ცმს 27001:2011 „ინფორმაციული უსაფრთხოების მართვის სისტემის მოთხოვნებს“ და ასევე სხვა საუკეთესო პრაქტიკებს. 2. აქტივების მართვის წესების მიზანია განახორციელოს ინფორმაციული უსაფრთხოების მართვის სისტემის (შემდგომ – „იუმს“) გავრცელების სფეროში გამოვლენილი ყველა აქტივის მართვა. კრიტიკული ინფორმაციული სისტემის სუბიექტმა (შემდგომ –„ორგანიზაცია“) უნდა განსაზღვროს კონკრეტულ აქტივზე პასუხისმგებელი პირი ან სტრუქტურული ერთეული.  3. აქტივები წარმოადგენს იუმს-ის საფუძველს, რომლის დანიშნულება არის აქტივების დამცავი და ადექვატური უსაფრთხოების კონტროლის მექანიზმების დანერგვა და დაინტერესებული მხარეების ნდობის გამყარება. 4. აქტივების სრულყოფილი მართვა წარმოადგენს ორგანიზაციაში იუმს-ის დანერგვის და წარმატებული ფუნქციონირების მნიშვნელოვან ფაქტორს. ამასთანავე, აქტივების მართვა განიხილება საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს (შემდგომ – სააგენტო) თავმჯდომარის ბრძანებით დამტკიცებული „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების“ ერთ-ერთ მოთხოვნად. მუხლი 3🔗. აქტივების მართვა „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-5 მუხლის მე-4 პუნქტის თანახმად, აქტივების მართვა გულისხმობს შემდეგს: აღწერა, კლასიფიცირება, წვდომა, შეცვლა, განადგურება. მუხლი 4🔗. აქტივების აღწერა 1. აქტივების ინვენტარიზაცია – სავალდებულოა, რომ ყველა აქტივი ზუსტად იყოს გამოვლენილი და აღწერილი.  2. აქტივების მფლობელის დადგენა – აქტივს უნდა ჰყავდეს კონკრეტული მფლობელი. უნდა გამოვლინდეს ყველა აქტივის მფლობელი და განისაზღვროს პასუხისმგებლობები კონტროლის შესაბამის მექანიზმებზე. მფლობელებმა შესაძლოა განახორციელონ კონტროლის კონკრეტული მექანიზმების დანერგვის დელეგირება, მაგრამ მფლობელი მაინც რჩება აქტივის სათანადო დაცვაზე პასუხისმგებელ პირად. 3. აქტივების სათანადო გამოყენება – ინფორმაციის და ინფორმაციის დამუშავებასთან დაკავშირებული აქტივების მართვის წესები უნდა ჩამოყალიბდეს, მოხდეს მისი დოკუმენტირება და დანერგვა. 4. აქტივების აღწერისთვის ნიმუშის ფორმები წარმოდგენილია დანართი №2-ში. მუხლი 5🔗. აქტივების შეფასება 1. ორგანიზაციის მიერ აქტივების ზემოთ ჩამოთვლილი ეტაპების მიხედვით აღწერის შემდგომ, მას მოეთხოვება რისკების ანალიზის და შეფასების ჩატარება მოცემულ აქტივებთან მიმართებაში. 2. რისკების ანალიზი და შეფასება ორგანიზაციამ უნდა განახორციელოს სააგენტოს თავმჯდომარის ბრძანებით დამტკიცებული „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების“ დანართი №1.ა. 7.2.1 ნაწილის, მე-8 მუხლის მე-4 პუნქტის მიხედვით და დანართი №1 (ცმს 27005:2011), მე-8 თავის შესაბამისად. მუხლი 6🔗. აქტივების კლასიფიცირება 1. აქტივების კლასიფიცირების მიზანია ინფორმაციის დაცვის სათანადო დონის უზრუნველყოფა. 2. ინფორმაციას გააჩნია სხვადასხვა ხარისხის სენსიტიურობა და კრიტიკულობა, რაც მოითხოვს შესაბამისი დაცვის ხარისხის უზრუნველყოფას ან მოპყრობის გარკვეული წესების არსებობას. ინფორმაციის დაცვის დონე ან/და მოპყრობის საშუალებები განისაზღვრება ინფორმაციის კლასიფიკაციაზე დაყრდნობით სააგენტოს თავმჯდომარის ბრძანებით დამტკიცებული „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების“ დანართი №1.ა. მე-7 ნაწილის შესაბამისად. 3. „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონი შესახებ აწესებს ინფორმაციული აქტივების კრიტიკულობის ორ კლასს: კონფიდენციალურ და შინასამსახურებრივი გამოყენების ინფორმაციას. 4. ყველა ინფორმაციული აქტივი, რომელიც არ არის კლასიფიცირებული კონფიდენციალურ და შინასამსახურებრივი გამოყენების ინფორმაციად, მაინც ექვემდებარება შესაბამის მარკირებას. მუხლი 7🔗. კლასიფიცირების პროცედურები 1. კლასიფიკაციის სახელმძღვანელო – ინფორმაციის კლასიფიცირება უნდა მოხდეს ორგანიზაციაში მისი ღირებულების, საკანონმდებლო მოთხოვნების, სენსიტიურობისა და კრიტიკულობის გათვალისწინებით (სააგენტოს თავმჯდომარის ბრძანებით დამტკიცებული „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების“ დანართი №1.ა .7.2.1 ნაწილით);  2. ინფორმაციის მარკირება და მოპყრობა – ინფორმაციის მარკირებისა და მისი მოპყრობის სათანადო პროცედურები ყალიბდება და ინერგება ორგანიზაციაში მიღებული კლასიფიკაციის სქემის შესაბამისად (სააგენტოს თავმჯდომარის ბრძანებით დამტკიცებული „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების“ დანართი №1.ა. 7.2.2 ნაწილი). 3. ორგანიზაციამ უნდა მოახდინოს იმ უარყოფითი შედეგების იდენტიფიცირება, რამაც შეიძლება გამოიწვიოს აქტივების კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დაკარგვა.  4. ორგანიზაციამ უნდა გამოავლინოს აქტივებზე კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დარღვევით გამოწვეული დანაკარგები (მაგალითისთვის, იხ. დანართი №1, ცმს 27005:2011, თავი 8.2.1.6.). შემდეგ ეტაპზე ჩაატაროს გავლენის შეფასება (იხ. დანართი №1, ცმს 27005:2011, 8.2.2.2.), რის შედეგადაც აქტივს მიენიჭება კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შესაბამისი დონე (მაგალითად, მაღალი, საშუალო, დაბალი). 5. უარყოფითი გავლენის ანალიზისთვის საჭირო კრიტერიუმები შემუშავებული და განსაზღვრული უნდა იყოს ორგანიზაციისთვის მიყენებული სავარაუდო ზიანის ან დანახარჯების მოცულობის გათვალისწინებით. უარყოფითი გავლენა შესაძლოა გამოწვეული იყოს ინფორმაციული უსაფრთხოების ინციდენტით (ინციდენტის სცენარი არის საფრთხის მიერ სუსტი წერტილით ან სუსტი წერტილების ნაკრებით სარგებლობის აღწერა ინფორმაციული უსაფრთხოების ინციდენტის დროს) და გავლენა იქონიოს შემდეგზე: ინფორმაციული უსაფრთხოების დარღვევა (მაგალითად: კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დაკარგვა; ორგანიზაციის საქმიანობის და ფინანსური ღირებულების შემცირება; გეგმებისა და მათი შესრულების ვადების დარღვევა; რეპუტაციის შელახვა; იურიდიული, მარეგულირებელი და სახელშეკრულებო მოთხოვნების დარღვევა).  6. ორგანიზაციამ უნდა განსაზღვროს ინციდენტის თითოეული სცენარის გავლენა ორგანიზაციის საქმიანობაზე. მან შესაძლოა გავლენა იქონიოს ერთ ან მეტ აქტივზე ან მის ნაწილზე. თუმცა აქტივებს შესაძლოა დადგენილი ჰქონდეთ ფასეულობა როგორც ფინანსური თვალსაზრისით, ასევე, ორგანიზაციის საქმიანობისთვის უარყოფითი შედეგების კუთხით, თუკი მოხდება მათი დაზიანება ან საფრთხის ქვეშ დაყენება. უარყოფითი შედეგები შესაძლოა იყოს დროებითი ან პერმანენტული, მაგალითად, აქტივის განადგურება. მუხლი 8🔗. აქტივის მართვის წესები ორგანიზაცია განსაზღვრავს ინფორმაციული უსაფრთხოების პოლიტიკიდან, პროცედურებიდან და კონტროლის მექანიზმებიდან გამომდინარე აქტივების მართვის წესებს აღნიშნული ბრძანების დანართი №1-ის შესაბამისად.