ციფრული ხელმოწერის სერტიფიკატისა და ციფრული ხელმოწერის სერტიფიკატის გამცემის მიმართ ტექნიკური რეგლამენტის დამტკიცების შესახებ

ციფრული ხელმოწერის სერტიფიკატისა და ციფრული ხელმოწერის სერტიფიკატის გამცემის მიმართ ტექნიკური რეგლამენტის დამტკიცების შესახებ p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family-f:'Times New Roman','serif';} p.MsoHeader, li.MsoHeader, div.MsoHeader {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family-f:'Times New Roman','serif';} p.MsoFooter, li.MsoFooter, div.MsoFooter {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family-f:'Times New Roman','serif';} p.MsoPlainText, li.MsoPlainText, div.MsoPlainText {margin:0in; margin-bottom:.0001pt; font-size:10.0pt; font-family-f:'Courier New';} p.parlamdrst, li.parlamdrst, div.parlamdrst { margin:0in; margin-bottom:.0001pt; text-align:justify; text-indent:14.15pt; font-size:11.0pt; font-family-f:SPLiteraturuly;} p.satauri, li.satauri, div.satauri { margin:0in; margin-bottom:.0001pt; text-align:center; font-size:13.0pt; font-family-f:'SPLiteraturuly MT'; font-weight:bold;} p.muxliparl, li.muxliparl, div.muxliparl { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:42.5pt; margin-bottom:.0001pt; text-indent:-42.5pt; line-height:12.0pt; page-break-after:avoid; font-size:11.0pt; font-family-f:SPDumbadze; font-weight:bold;} p.abzacixml, li.abzacixml, div.abzacixml { margin:0in; margin-bottom:.0001pt; text-align:justify; text-indent:14.15pt; font-size:11.0pt; font-family-f:'Sylfaen','serif';} p.sataurixml, li.sataurixml, div.sataurixml { margin-top:12.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:center; text-indent:14.15pt; font-size:12.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} p.tarigixml, li.tarigixml, div.tarigixml { margin-top:6.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:center; text-indent:14.2pt; font-size:11.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} p.mimgebixml, li.mimgebixml, div.mimgebixml { margin:0in; margin-bottom:.0001pt; text-align:center; text-indent:14.2pt; font-size:14.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} p.saxexml, li.saxexml, div.saxexml { margin-top:6.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; text-align:center; text-indent:14.15pt; font-size:11.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} p.adgilixml, li.adgilixml, div.adgilixml { margin-top:6.0pt; margin-right:0in; margin-bottom:6.0pt; margin-left:0in; text-align:center; text-indent:14.2pt; font-size:11.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} p.khelmoceraxml, li.khelmoceraxml, div.khelmoceraxml { margin-top:6.0pt; margin-right:0in; margin-bottom:0in; margin-left:0in; margin-bottom:.0001pt; text-indent:14.15pt; font-size:12.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} p.muxlixml, li.muxlixml, div.muxlixml { margin-top:12.0pt; margin-right:0in; margin-bottom:0in; margin-left:42.5pt; margin-bottom:.0001pt; text-indent:-42.5pt; line-height:12.0pt; page-break-after:avoid; font-size:11.0pt; font-family-f:'Sylfaen','serif'; font-weight:bold;} @page Section1 {size:8.5in 11.0in; margin:1.0in .75in 45.0pt .75in;} div.Section1 {page:Section1;} ol {margin-bottom:0in;} ul {margin-bottom:0in;} საქართველოს მთავრობის დადგენილება №88 2009 წლის 12 მაისი ქ. თბილისი ციფრული ხელმოწერის სერტიფიკატისა და ციფრული ხელმოწერის სერტიფიკატის გამცემის მიმართ ტექნიკური რეგლამენტის დამტკიცების შესახებ     მუხლი 1🔗.  „ელექტრონული ხელმოწერისა და ელექტრონული დოკუმენტის შესახებ“ საქართველოს კანონის მე-19 მუხლის მე-2 პუნქტის საფუძველზე დამტკიცდეს ციფრული ხელმოწერის სერტიფიკატისა და ციფრული ხელმოწერის სერტიფიკატის გამცემის მიმართ ტექნიკური რეგლამენტი.     მუხლი 2🔗.  დადგენილება ამოქმედდეს გამოქვეყნებისთანავე. პრემიერ-მინისტრი        ნ. გილაური ციფრული ხელმოწერის სერტიფიკატისა და ციფრული ხელმოწერის სერტიფიკატის გამცემის მიმართ ტექნიკური რეგლამენტი     მუხლი 1🔗. ზოგადი დებულებები 1. ეს ტექნიკური რეგლამენტი ადგენს ციფრული ხელმოწერის სერტიფიკატის გამცემის (შემდგომში – სგ) აკრედიტაციის პირობებსა და აკრედიტაციის მისაღებად აუცილებელ სგ-ის საინფორმაციო სისტემის ინფორმაციული სისტემების აუდიტის წესებს. 2. სგ-ის აკრედიტაციის მინიჭების შესახებ გადაწყვეტილებას იღებს აკრედიტაციის ერთიანი ეროვნული ორგანო – აკრედიტაციის ცენტრი, კანონმდებლობით დადგენილ ნორმებსა და მოთხოვნებთან სგ-ის საინფორმაციო სისტემისა და მისი ექსპლუატაციის შესაბამისობის შესახებ დასკვნის საფუძველზე. 3. სგ-ის ინფორმაციული სისტემების აუდიტი ტარდება: ა) თავდაპირველი აკრედიტაციისათვის; ბ) აკრედიტაციის გასაგრძელებლად – ყოველწლიურად თავდაპირველი აკრედიტაციის მინიჭების თარიღისათვის.     მუხლი 2🔗. ინფორმაციული სისტემების აუდიტორი 1. ინფორმაციული სისტემების აუდიტის ჩატარების მიზნით სგ-ს შეუძლია მიმართოს ნებისმიერ პირს, რომელსაც გააჩნია ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (Information Systems Audit and Control Association, ISACA) მიერ გაცემული ინფორმაციული სისტემების აუდიტორის სერტიფიკატი (Certified Information Systems Auditor – CISA). ინფორმაციული სისტემების აუდიტორის სერტიფიკატი ძალაში უნდა იყოს ინფორმაციული სისტემების აუდიტის ჩატარების განმავლობაში. 2. ინფორმაციული სისტემების აუდიტორი თავის საქმიანობაში დამოუკიდებელია. დაუშვებელია სხვა პირთა მიერ მასზე რაიმე ზემოქმედების მოხდენა ან ჩარევა მის საქმიანობაში. 3. ინფორმაციული სისტემების აუდიტორი უნდა იყოს დამოუკიდებელი სგ-სგან, რომელსაც უტარდება ინფორმაციული სისტემების აუდიტი, და ეს ორივე მხარის ხელმოწერით უნდა დადასტურდეს. 4. ინფორმაციული სისტემების აუდიტორი უნდა მოქმედებდეს ობიექტურად იმ ორგანიზაციასთან მიმართებაში, სადაც ინფორმაციული სისტემების აუდიტორი არის დასაქმებული, ან ხელშეკრულება აქვს დადებული. იგივე მოთხოვნები მოქმედებს ინფორმაციული სისტემების აუდიტის ჩატარებაში ჩართული სხვა ნებისმიერი ორგანიზაციის ან მის პირდაპირ კონტროლს დაქვემდებარებული თანამშრომლის მიმართ. 5. ინფორმაციული სისტემების აუდიტორი უნდა მოქმედებდეს დამოუკიდებლად და მიუკერძოებლად, უნდა განაცხადოს იმ საქმიან თუ ნათესაურ კავშირებზე, რაც შეიძლება მას ჰქონდეს იმ სგ-სთან, რომელიც უნდა შეაფასოს, და უარი უნდა თქვას ნებისმიერ დავალებაზე. 6. ინფორმაციული სისტემების აუდიტორმა არ უნდა მიიღოს საჩუქრები, საკომისიო, ფასდაკლება ან ნებისმიერი სხვა სახის სარგებელი იმ ორგანიზაციებიდან, რომლებსაც აფასებს, არც მათი წარმომადგენლების, ან სხვა დაინტერესებული პირისაგან. ასევე შეგნებულად არ უნდა დართოს ნება მსგავს მოქმედებებზე იმ თანამშრომლებს, რომლებისთვისაც იგი არის პასუხისმგებელი. 7. ინფორმაციული სისტემების აუდიტორმა არ უნდა გაანდოს მესამე პირებს შეფასების პროცესში მიღებული ინფორმაცია, თუ ამისთვის არ გააჩნია წერილობითი თანხმობა იმ ორგანიზაციიდან, რომლის შეფასებაც ხდება, და იმ კომპანიიდან, რომელმაც ინფორმაციული სისტემების აუდიტორი დაიქირავა. 8. სამსახურებრივი მოვალეობის შესრულების დროს ინფორმაციული სისტემების აუდიტორმა უნდა დაიცვას მის მიერ მოპოვებული ნებისმიერი ფორმის ინფორმაციის კონფიდენციალურობა, გარდა საქართველოს კანონმდებლობით განსაზღვრული შემთხვევებისა. 9. ინფორმაციული სისტემების აუდიტორის მოქმედება არ უნდა ლახავდეს იმ კომპანიის ინტერესებს, რომელმაც ეს ინფორმაციული სისტემების აუდიტორი დაიქირავა.     მუხლი 3🔗. ინფორმაციული სისტემების აუდიტის ჩატარება 1. სგ ინფორმაციული სისტემების აუდიტს ატარებს საკუთარი ხარჯით. 2. ინფორმაციული სისტემების აუდიტი უნდა ჩატარდეს სგ-ის საინფორმაციო სისტემის იმ ნაწილში, რომელიც აუცილებელია შესაბამისი მომსახურების უზრუნველყოფისათვის. 3. სგ ვალდებულია ინფორმაციული სისტემების აუდიტორს წარუდგინოს „ელექტრონული ხელმოწერისა და ელექტრონული დოკუმენტის შესახებ“ საქართველოს კანონის მე-10 მუხლის მე-2 პუნქტის „ა“ ქვეპუნქტის შესაბამისად მომზადებული სერტიფიკატის გაცემისა და მასთან დაკავშირებული მომსახურების შინაგანაწესი. 4. ინფორმაციული სისტემების აუდიტის ჩატარებისათვის წარდგენილი უნდა იყოს სგ-ის „ელექტრონული ხელმოწერისა და ელექტრონული დოკუმენტის შესახებ“ საქართველოს კანონის მე-10 მუხლით განსაზღვრული ვალდებულებების შესრულების დამადასტურებელი დოკუმენტაცია. ასევე წარდგენილი უნდა იყოს სგ-ის საინფორმაციო სისტემის კონფიგურაციის მართვასთან დაკავშირებული დოკუმენტები. 5. თუ უკანასკნელი ინფორმაციული სისტემების აუდიტის დასრულების შემდეგ სგ-მა ცვლილებები შეიტანა ამ მუხლის მე-3-მე-4 პუნქტებით გათვალისწინებულ დოკუმენტებში, იგი ვალდებულია წარადგინოს ამ დოკუმენტების ყველა დამოწმებული ვერსია მათი მოქმედების ვადის აღნიშვნით. 6. ინფორმაციული სისტემების აუდიტორის მოთხოვნის შემთხვევაში სგ-მა უნდა წარადგინოს ნებისმიერი დამატებითი დოკუმენტები. 7.  სგ-მა ინფორმაციული სისტემების აუდიტის ჩატარების პერიოდში უნდა უზრუნველყოს საინფორმაციო სისტემის ხელმისაწვდომობა ინფორმაციული სისტემების აუდიტორისათვის. 8. ნორმებსა და მოთხოვნებთან შესაბამისობის ინფორმაციული სისტემების აუდიტი მოხდება ინ-ფორმაციული სისტემების აუდიტორის მიერ დადგენილი ინფორმაციის საფუძველზე. 9. ინფორმაციული სისტემების აუდიტის განმავლობაში უნდა შემოწმდეს: ა) „ელექტრონული ხელმოწერისა და ელექტრონული დოკუმენტის შესახებ“ საქართველოს კანონით სგ-სთვის განსაზღვრული ვალდებულებების შესრულება; ბ) იმ მოთხოვნებთან შესაბამისობა, რომლებიც ჩამოყალიბებულია საქართველოს სტანდარტების, ტექნიკური რეგლამენტების და მეტროლოგიის ეროვნული სააგენტოს მიერ რეგისტრირებული ETSI TR 101 456 „Policy Requirements for Certification Authorities issuing Qualified Certificates“ სტანდარტის უახლეს ვერსიაში და, მათ შორის, უნდა მოიცავდეს სგ-ის ფუნქციების შემდეგ მიმართულებებს: ბ.ა) ციფრული ხელმოწერის სერტიფიკატის გამცემთა მიერ სერტიფიკატების გაცემის მომსახურების გაწევის პირობებს; ბ.ბ) ციფრული ხელმოწერის პროგრამულ უზრუნველყოფასთან დაკავშირებულ უსაფრთხოების ნორმებს; ბ.გ) ციფრული ხელმოწერის სერტიფიკატის გაცემისათვის საჭირო მოთხოვნებს ინფრასტრუქტურასთან დაკავშირებით; ბ.დ) ციფრული ხელმოწერის სერტიფიკატის გამცემთა საქმიანობის შეჩერება-შეწყვეტისა და ხელახალი ამოქმედების პროცედურებს; ბ.ე) მოთხოვნებს სერტიფიკატის გამცემი ცენტრის მომსახურე პერსონალის მიმართ; ბ.ვ) ციფრული ხელმოწერის სერტიფიკატის გაცემის შეჩერება-ამოქმედების, მოქმედების ვადის გაგრძელების, გაუქმების ზუსტი თარიღისა და დროის დადგენის საშუალებებსა და მექანიზმებს; ბ.ზ) ციფრული ხელმოწერის დახურული და ღია გასაღებების გენერირებისათვის განკუთვნილ საიმედო არასანქცირებულ და მოდიფიცირებისაგან დაცულ ელექტრონულ საშუალებებს, მათ შორის, ალგორითმების სისტემებს; ბ.თ) ციფრული ხელმოწერის სერტიფიკატის შესახებ მონაცემთა ბაზაში ინფორმაციის შენახვის პირობებს. 10. ინფორმაციული სისტემების აუდიტის მეთოდოლოგია და ანგარიში უნდა შეესაბამებოდეს საქართველოს სტანდარტების, ტექნიკური რეგლამენტების და მეტროლოგიის ეროვნული სააგენტოს მიერ რეგისტრირებული ETSI TR 102 437 „Guidance on TS 101 456“ სტანდარტის უახლესი ვერსიის მოთხოვნებს.     მუხლი 4🔗. ინფორმაციული სისტემების აუდიტის შედეგები 1. ინფორმაციული სისტემების აუდიტი ჩაითვლება ჩატარებულად, თუ სრულად არის დაცული ამ ტექნიკური რეგლამენტით დადგენილი მოთხოვნები. 2. ინფორმაციული სისტემების აუდიტის შემაჯამებელი შედეგები ინფორმაციული სისტემების აუდიტის ანგარიშის სახით უნდა წარედგინოს სგ-ს, რომელსაც ხელს აწერს ინფორმაციული სისტემების აუდიტორი. ანგარიში უნდა შეიცავდეს: ა) სგ-ს დასტურს ინფორმაციული სისტემების აუდიტის ჩატარების შესახებ მოცემულ პერიოდში; ბ) ინფორმაციული სისტემების აუდიტის შესახებ ინფორმაციას ძალაში მყოფი CISA სერტიფიკატის ფლობის შესახებ ინფორმაციის ჩათვლით; გ) ინფორმაციული სისტემების აუდიტის ჩატარების ხანგრძლივობასა და პერიოდს; დ) ინფორმაციული სისტემების აუდიტის ჩატარების პროცესს, შეფასებებს, აუდიტის ჩატარების პროცესში გამოვლენილ გარემოებებსა და დასკვნებს იმ მოთხოვნების შესაბამისად, რომლებიც გათვალისწინებულია ამ ტექნიკური რეგლამენტის მე-3 მუხლის მე-9 პუნქტით; ე) ინფორმაციული სისტემების აუდიტორის გადაწყვეტილებას იმის შესახებ, თუ რამდენად შეესაბამება სგ-ის საინფორმაციო სისტემა ამ ტექნიკური რეგლამენტით გათვალისწინებულ მოთხოვნებს. 3. ინფორმაციული სისტემების აუდიტორმა შემოწმების ანგარიში და მასთან დაკავშირებული დოკუმენტაცია უნდა შეინახოს ინფორმაციული სისტემების აუდიტის ჩატარებიდან მინიმუმ სამი წლის განმავლოაში. 4. აკრედიტაციის მიღების ან გაგრძელებისათვის ინფორმაციული სისტემების აუდიტის შედეგები წარედგინება აკრედიტაციის ერთიან ეროვნულ ორგანოს – აკრედიტაციის ცენტრს. 5. აკრედიტაციის ერთიანი ეროვნული ორგანოს – აკრედიტაციის ცენტრის მოთხოვნის შემთხვევაში სგ ვალდებულია წარადგინოს დამატებითი ინფორმაცია.