კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების უფლებამოსილების მქონე ორგანიზაციათა მიერ ავტორიზაციის გავლის წესისა და ავტორიზაციის პროცედურების დადგენის შესახებ

კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების უფლებამოსილების მქონე ორგანიზაციათა მიერ ავტორიზაციის გავლის წესისა და ავტორიზაციის პროცედურების დადგენის შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება №8 2021 წლის 14 დეკემბერი ქ. თბილისი კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების უფლებამოსილების მქონე ორგანიზაციათა მიერ ავტორიზაციის გავლის წესისა და ავტორიზაციის პროცედურების დადგენის შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-6​1 მუხლის პირველი პუნქტის, „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის, „ნორმატიული აქტების შესახებ“ საქართველოს ორგანული კანონის 25-ე მუხლისა და „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში ცვლილების შეტანის თაობაზე“ 2021 წლის 10 ივნისის №632-IVმს-Xმპ საქართველოს კანონის მე-2 მუხლის მე-2 პუნქტის „თ“ ქვეპუნქტის შესაბამისად, ვბრძანებ: 1. დამტკიცდეს „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების უფლებამოსილების მქონე ორგანიზაციათა მიერ ავტორიზაციის გავლის წესი და ავტორიზაციის პროცედურები“. 2. ძალადაკარგულად გამოცხადდეს „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურების და ავტორიზაციის საფასურის დამტკიცების შესახებ” ციფრული მმართველობის სააგენტოს თავმჯდომარის 2020 წლის 16 ოქტომბრის №5 ბრძანება. 3. ეს ბრძანება ამოქმედდეს 2021 წლის 30 დეკემბრიდან. სსიპ ციფრული მმართველობის სააგენტოს თავმჯდომარედავით ნადირაშვილი კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების უფლებამოსილების მქონე ორგანიზაციათა მიერ ავტორიზაციის გავლის წესი და ავტორიზაციის პროცედურები თავი I. ზოგადი დებულებები მუხლი 1🔗. ინფორმაციული უსაფრთხოების აუდიტის და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების ავტორიზაციის მიზანი ამ წესის მიხედვით ორგანიზაციათა ავტორიზაცია მიზნად ისახავს კრიტიკული ინფორმაციული სისტემის სუბიექტის (შემდგომ − სუბიექტი) ინფორმაციული უსაფრთხოების აუდიტისა და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის შესაბამისი კვალიფიკაციის მქონე ორგანიზაციის მიერ ჩატარებას. მუხლი 2🔗. მოქმედების სფერო 1. ეს წესი, „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის (შემდგომ − კანონი) შესაბამისად, განსაზღვრავს ინფორმაციული უსაფრთხოების აუდიტისა და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩასატარებლად ორგანიზაციათა ავტორიზაციის წესს და ადგენს: ა) ავტორიზაციის შესახებ განცხადების ფორმასა და მისი წარდგენის წესს; ბ) ავტორიზაციის შესახებ განცხადებისა და წარმოდგენილი დოკუმენტაციის განხილვის წესსა და ვადებს; გ) ავტორიზაციის გავლის ან მასზე უარის თქმის საფუძვლებსა და შესაბამის ვადებს; დ) ავტორიზებული ორგანიზაციების აღრიცხვის ფორმას; ე) ავტორიზაციის გაუქმების საფუძვლებს. 2. ორგანიზაციათა ავტორიზაციასთან დაკავშირებით გადაწყვეტილებას იღებს საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი – ციფრული მმართველობის სააგენტოს (შემდგომ – სააგენტო). მუხლი 3🔗. ტერმინთა განმარტება ამ წესში გამოყენებულ ტერმინებს აქვთ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონით განსაზღვრული მნიშვნელობა. თავი II. ავტორიზაცია მუხლი 4🔗. ინფორმაციული უსაფრთხოების აუდიტის და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების ავტორიზაციის შინაარსი 1. ინფორმაციული უსაფრთხოების აუდიტისა და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების ავტორიზაცია წარმოადგენს სააგენტოს მომსახურებას, რომლის გაწევაც იწყება განცხადების რეგისტრაციის მომენტიდან. 2. ამ წესის მე-2 მუხლით განსაზღვრული ავტორიზაცია მოიცავს შემდეგ ეტაპებს: ა) ინფორმაციული უსაფრთხოების აუდიტისა ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის განხორციელების მსურველი ორგანიზაციის (შემდგომ – განმცხადებელი) ამ წესით დადგენილ მოთხოვნებთან შესაბამისობის შემოწმებას, რაც გულისხმობს ორგანიზაციაში დასაქმებული აუდიტორ(ებ)ის ან/და შეღწევადობის (პენეტრაციის) ტესტის განმახორციელებელი პირების (შემდგომ ტესტის განმახორციელებელი პირები) ცოდნისა და კვალიფიკაციის შემოწმებას; ბ) საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით განსაზღვრულ უსაფრთხოების მოთხოვნებთან ორგანიზაციის შესაბამისობის შემოწმებას (გარდა მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის/შეღწევადობის (პენეტრაციის) ტესტის განმახორციელებელი ორგანიზაციებისა); გ) საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით განსაზღვრული წესის შესაბამისად ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების უფლებამოსილების მქონე თანამშრომლის უსაფრთხოებაზე შემოწმებას (გარდა მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკების აუდიტორებისა/ტესტის განმახორციელებელი პირებისა). 3. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკში ინფორმაციული უსაფრთხოების აუდიტი ან/და პენეტრაციის ტესტი კომერციული ბანკის შერჩევით შეიძლება ჩაატარონ აგრეთვე კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებულმა ორგანიზაციებმა, რომელთა სიას კომერციული ბანკების მოთხოვნის საფუძველზე სააგენტოს წარუდგენს საქართველოს ეროვნული ბანკი. სააგენტო, ამ წესის შესაბამისად, უზრუნველყოფს აღნიშნული ორგანიზაციების ავტორიზაციას კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებული ორგანიზაციების დამატებით სიაში რეგისტრაციით. მუხლი 5🔗. ავტორიზებული ორგანიზაციები 1. ავტორიზაციის გავლის უფლება აქვს როგორც საქართველოში, ასევე − საზღვარგარეთ რეგისტრირებულ იურიდიულ პირს/მის ფილიალს. დაუშვებელია ავტორიზაციის გაცემა, თუ იურიდიული პირის საქმიანობიდან, მიზნებიდან ან/და რეპუტაციიდან გამომდინარე, არსებობს ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების პროცესში ან მის შემდგომ სუბიექტის ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო საფრთხე. 2. ინფორმაციული უსაფრთხოების აუდიტისა და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარებაზე უფლებამოსილ პირებს წარმოადგენენ ავტორიზებული ორგანიზაციის ის თანამშრომლები (აუდიტორები, ტესტის განმახორციელებელი პირები), რომლებიც მითითებულნი იქნებიან ავტორიზაციის მინიჭების შესახებ გადაწყვეტილებაში. მუხლი 6🔗. ავტორიზაციის შესახებ განცხადება 1. განმცხადებელი მისი უფლებამოსილი წარმომადგენლის მეშვეობით ავსებს ამ წესის №1ა/№1ბ დანართით განსაზღვრულ შესაბამისი განცხადების ფორმას, ხოლო ინფორმაციული უსაფრთხოების აუდიტორი/ტესტის გამარხორციელებელი პირი ავსებს ამ წესის №2 დანართით განსაზღვრულ შესაბამისი განცხადების ფორმას, სადაც მიეთითება მხოლოდ ერთი ინფორმაციული უსაფრთხოების აუდიტორი/ტესტის განმახორციელებელი პირი. 2. განცხადებასთან ერთად განმცხადებელი სააგენტოში ასევე წარადგენს:  ა) ინფორმაციული უსაფრთხოების აუდიტორის/ტესტის განმახორციელებელი პირის რეზიუმეს; ბ) ორგანიზაციაში დასაქმებული ინფორმაციული უსაფრთხოების აუდიტორის/ტესტის განმახორციელებელი პირის კომპეტენციის დამადასტურებელი დოკუმენტ(ებ)ის დედნის ნოტარიულად დამოწმებულ ასლს; გ) ორგანიზაციაში დასაქმებული ინფორმაციული უსაფრთხოების აუდიტორის/ტესტის განმახორციელებელი პირის წერილობით განცხადებას (დანართი №2) ინფორმაციული უსაფრთხოების აუდიტის/შეღწევადობის (პენეტრაციის) ტესტის ჩატარებისას დამოუკიდებლობის, კონფიდენციალურობის, ობიექტურობის და მიუკერძოებლობის პრინციპების დაცვის თაობაზე; დ) „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს მიერ მომსახურების გაწევის საფასურების განაკვეთების, საფასურების გადახდის, მათი გადახდისგან გათავისუფლებისა და გადახდილი საფასურების დაბრუნების წესის დამტკიცების შესახებ” საქართველოს მთავრობის 2020 წლის 13 ივლისის №438 დადგენილებით გათვალისწინებული საფასურის გადახდის დამადასტურებელ დოკუმენტს. 3. ამ მუხლის მე-2 პუნქტის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებული ტესტის განმახორციელებელი პირების შესახებ რეზიუმესა და კომპეტენციის დამადასტურებელი დოკუმენტის დედნის ნოტარიულად დამოწმებული ასლის წარმოდგენა არ არის სავალდებულო, თუკი განმცხადებელი დიდ ბრიტანეთში რეგისტრირებული არასამეწარმეო იურიდიული პირის − CREST (International)-ის (ს/ნ 09805375) მიერ შეღწევადობის (პენეტრაციის) ტესტის განხორციელებაზე აკრედიტებული იურიდიული პირია ან ტესტის განმახორციელებელი არის ამავე ორგანიზაციის მიერ სერტიფიცირებული სპეციალისტი, რაც დასტურდება განმცხადებლის მიერ წარმოდგენილი, CREST (International)-ის მიერ გაცემული სერტიფიკატით ან/და სხვა დოკუმენტით. 4. განცხადება და თანდართული დოკუმენტები შედგენილი უნდა იყოს ქართულ ენაზე, ხოლო უცხო ენაზე შედგენილ დოკუმენტს უნდა ერთოდეს სანოტარო წესით დამოწმებული თარგმანი ქართულ ენაზე. მუხლი 7🔗. ავტორიზაციის საფასური 1. ავტორიზაციისთვის დაწესებული საფასური (შემდგომ – საფასური) არის სავალდებულო გადასახდელი, რომელიც განსაზღვრულია „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს მიერ მომსახურების გაწევის საფასურების განაკვეთების, საფასურების გადახდის, მათი გადახდისგან გათავისუფლებისა და გადახდილი საფასურების დაბრუნების წესის დამტკიცების შესახებ“ საქართველოს მთავრობის 2020 წლის 13 ივლისის №438 დადგენილებით. 2. საფასურის გადახდა ხორციელდება განმცხადებლის მიერ სააგენტოში განცხადების შეტანისას. საფასური გადაიხდება ერთეულ განცხადებაზე. 3. ავტორიზაციაზე უარის ან მისი განუხილველად დატოვების შემთხვევაში, ავტორიზაციის საფასური არ ექვემდებარება უკან დაბრუნებას. მუხლი 8🔗. ავტორიზაციის შესახებ განცხადების განხილვა 1. სააგენტო ამოწმებს შემოსული განცხადებისა და მასზე თანდართული დოკუმენტების შესაბამისობას ამ წესის მოთხოვნებთან. თუ წარმოდგენილი განცხადება და მასზე თანდართული დოკუმენტები არასრული ან არაზუსტია, სააგენტო 10 დღის ვადაში ატყობინებს განმცხადებელს აღნიშნულის შესახებ წერილობით და დამატებითი დოკუმენტის ან/და ინფორმაციის წარსადგენად განუსაზღვრავს დამატებით ვადას, რომელიც არ შეიძლება იყოს 5 დღეზე ნაკლები. აღნიშნული ვადა განმცხადებლის მოთხოვნით სააგენტომ შესაძლოა გააგრძელოს მხოლოდ ერთხელ, მაგრამ არაუმეტეს 15 დღის ვადით. დამატებითი დოკუმენტის ან სხვა ინფორმაციის წარდგენამდე განცხადების განხილვის ვადის დინება შეჩერებულად ითვლება. განცხადების განხილვის ვადის დინება განახლდება შესაბამისი დოკუმენტის ან/და ინფორმაციის წარდგენისთანავე. 2. სააგენტო უფლებამოსილია, განმცხადებელს მოსთხოვოს დამატებითი ინფორმაციის წარდგენა ან/და წარდგენილი ინფორმაციის დაზუსტება. 3. ამ წესის მე-12 მუხლით გათვალისწინებულ შემთხვევებში, სააგენტო მიმართავს შესაბამის სახელმწიფო ორგანოს ავტორიზაციის მინიჭების მიზანშეწონილობის თაობაზე გადაწყვეტილების მიღების მოთხოვნით. გადაწყვეტილების მიღებამდე განცხადების განხილვის ვადის დინება შეჩერებულად ითვლება. განცხადების განხილვის ვადის დინება განახლდება შესაბამისი ინფორმაციის მიღებისთანავე. 4. სააგენტო გადაწყვეტილებას იღებს დოკუმენტაციის სრულად წარდგენიდან 90 კალენდარული დღის განმავლობაში.  5. სააგენტო, ამ წესის მე-6 მუხლით გათვალისწინებული დოკუმენტაციის შემოწმების შედეგად და ამ წესის მე-12 მუხლით გათვალისწინებულ შემთხვევებში, უფლებამოსილი ორგანოსგან მიღებული ინფორმაციის გათვალისწინებით, იღებს ერთ-ერთ შემდეგ გადაწყვეტილებას: ა) ავტორიზაციის შესახებ განცხადების სრულად დაკმაყოფილების თაობაზე; ბ) ავტორიზაციის შესახებ განცხადების დაკმაყოფილებაზე უარის თქმის თაობაზე; გ) ავტორიზაციის შესახებ განცხადების განუხილველად დატოვების თაობაზე. 6. სააგენტოს გადაწყვეტილება მისი მიღებიდან 5 დღის განმავლობაში გადაეცემა ან ფოსტის/ელექტრონული ფოსტის მეშვეობით ეგზავნება განმცხადებელს. 7. ავტორიზაციისას უზრუნველყოფილი უნდა იყოს დამოუკიდებლობის, კონფიდენციალურობის, ობიექტურობის და მიუკერძოებლობის პრინციპების დაცვა. 8. აუდიტის განმახორციელებელ ორგანიზაციას ან/და აუდიტორს ეკრძალება სუბიექტში ინფორმაციული უსაფრთხოების აუდიტის ჩატარება, თუ მას ამ სუბიექტში დანერგილი აქვს ინფორმაციული უსაფრთხოების მართვის სისტემა (იუმს). აღნიშნული შეზღუდვა მოქმედებს, ინფორმაციული უსაფრთხოების მართვის სისტემის (იუმს) დანერგვიდან 3 წლის განმავლობაში. 9. სააგენტოს მიერ მიღებული გადაწყვეტილება შესაძლოა გასაჩივრდეს სასამართლოში საქართველოს კანონმდებლობით დადგენილი წესითა და პირობებით. მუხლი 9🔗. მოთხოვნები ინფორმაციული უსაფრთხოების აუდიტის განხორციელების მსურველი ორგანიზაციის მიმართ 1. განცხადებაში მითითებულ, განმცხადებელთან დასაქმებულ აუდიტორ(ებ)ს უნდა ჰქონდეს ინფორმაციული უსაფრთხოების აუდიტის მიმართულებით კომპეტენციის დამადასტურებელი ერთ-ერთი შემდეგი მოქმედი სერტიფიკატი: ინფორმაციული უსაფრთხოების მართვის სისტემის (იუმს) აუდიტორის/წამყვანი აუდიტორის სერტიფიკატი (ISMS Auditor/Lead Auditor Certificate), რომელიც აღიარებულია სერტიფიცირებული აუდიტორების საერთაშორისო რეესტრის (The International Register of Certificated Auditors (IRCA)) მიერ ან ინფორმაციული სისტემების აუდიტისა კონტროლის ასოციაციის (Information Systems Audit and Control Association) მიერ გაცემული CISA სერტიფიკატი. განცხადების წარმოდგენის მომენტისთვის აღნიშნული სერტიფიკატის ვადის გასვლამდე დარჩენილი უნდა იყოს არანაკლებ 6 თვისა. 2. ავტორიზებული ორგანიზაციის სახელით ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლება აქვს მხოლოდ სააგენტოს გადაწყვეტილებაში მითითებულ აუდიტორ(ებ)ს, მისი სერტიფიკატ(ებ)ის მოქმედების ვადის განმავლობაში. მუხლი 10🔗. მოთხოვნები ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის განხორციელების მსურველი ორგანიზაციის მიმართ 1. განცხადებაში მითითებულ, განმცხადებელთან დასაქმებულ ტესტის განმახორციელებელ პირს უნდა ჰქონდეს კომპეტენციის დამადასტურებელი მოქმედი ერთ-ერთი სერტიფიკატი: წითელი გუნდის სერტიფიცირებული პროფესიონალი (CRTP – Certified Red Team Professional), „ოფენსივ სექურითი“-ს მიერ სერტიფიცირებული პროფესიონალი (OSCP – Offensive Security Certified Professional), ელექტრონული სწავლების უსაფრთხოების შეღწევადობის განმახორციელებელი სერტიფიცირებული პროფესიონალი (eCPPT – eLearnSecurity Certified Professional Penetration Tester), აშშ-ში რეგისტრირებული სამეწარმეო იურიდიული პირის – „SANS“ (SysAdmin, Audit, Network, and Security)-ის მიერ გაცემული GCIH – GIAC Certified Incident Handler ან სისტემების და ქსელის აუდიტის უსაფრთხოების სერტიფიკატი (SANS GSNA). 2. ავტორიზებული ორგანიზაციის სახელით შეღწევადობის (პენეტრაციის) ტესტის განხორციელების უფლება აქვს მხოლოდ სააგენტოს გადაწყვეტილებაში მითითებულ ტესტის განმახორციელებელ პირ(ებ)ს მისი სერტიფიკატის მოქმედების ვადის განმავლობაში, ხოლო ამ წესის მე-6 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაში − აკრედიტაციის ვადის განმავლობაში. მუხლი 11🔗. მოთხოვნები მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის/შეღწევადობის (პენეტრაციის) ტესტის განმახორციელებელი ორგანიზაციების მიმართ 1. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკში ინფორმაციული უსაფრთხოების აუდიტი ან/და პენეტრაციის ტესტი კომერციული ბანკის შერჩევით შეიძლება ჩაატარონ აგრეთვე კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებულმა ორგანიზაციებმა, რომელთა სიას კომერციული ბანკების მოთხოვნის საფუძველზე სააგენტოს წარუდგენს საქართველოს ეროვნული ბანკი ამ წესის მე-6 მუხლით განსაზღვრული წესით. 2. ციფრული მმართველობის სააგენტო ინფორმაციის მიღებიდან 10 დღის ვადაში უზრუნველყოფს ამ მუხლის მე-2 პუნქტის შესაბამისად წარმოდგენილი განცხადებისა და სხვა დოკუმენტაციის განხილვას ამ წესის მე-8 მუხლით განსაზღვრული წესით. 3. ამ მუხლით გათვალისწინებულ შემთხვევებში ორგანიზაციისთვის ავტორიზაციის მინიჭების პროცესი არ საჭიროებს ამ წესის მე-12 მუხლის მიხედვით ორგანიზაციის და მისი თანამშრომლის უსაფრთხოებაზე შემოწმებას. მუხლი 12🔗. უსაფრთხოებაზე შემოწმება 1. ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის განმცხადებელი (გარდა მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის/შეღწევადობის (პენეტრაციის) ტესტის განმახორციელებელი ორგანიზაციებისა) უნდა აკმაყოფილებდეს საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით განსაზღვრულ უსაფრთხოების მოთხოვნებს, ხოლო მისი ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების უფლებამოსილების მქონე თანამშრომელს, საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით დადგენილი წესის შესაბამისად, გავლილი უნდა ჰქონდეს უსაფრთხოებაზე შემოწმება. 2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ, საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით განსაზღვრულ უსაფრთხოების მოთხოვნებთან შესაბამისობის თაობაზე ინფორმაციის მიღების მიზნით, სააგენტო განცხადების მიღებიდან 5 დღის ვადაში მიმართავს უფლებამოსილ სახელმწიფო ორგანოს. 3. ამ მუხლის მე-2 პუნქტით განსაზღვრული უფლებამოსილი სახელმწიფო ორგანო სააგენტოს მოთხოვნილ ინფორმაციას წარუდგენს საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით დადგენილ ვადაში და წესით. უფლებამოსილი სახელმწიფო ორგანოს მიერ 60 სამუშაო დღის ვადაში სააგენტოსათვის საჭირო ინფორმაციის წარუდგენლობის შემთხვევაში, ითვლება, რომ განმცხადებელი/განცხადებაში მითითებული თანამშრომელი აკმაყოფილებს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით განსაზღვრულ უსაფრთხოების მოთხოვნებს. მუხლი 13🔗. ავტორიზაციის შესახებ განცხადების სრულად დაკმაყოფილება 1. ინფორმაციული უსაფრთხოების აუდიტის ჩატარების თაობაზე ავტორიზაციის შესახებ განცხადებისა და მასზე თანდართული დოკუმენტების/ინფორმაციის კანონთან და ამ წესთან სრულად შესაბამისობის დადგენის შემთხვევაში, სააგენტო იღებს გადაწყვეტილებას ავტორიზაციის მინიჭების შესახებ. გადაწყვეტილებაში აღინიშნება ინფორმაცია ავტორიზებულ ორგანიზაციაში დასაქმებული აუდიტორის შესახებ, რომელიც უფლებამოსილია მისი სერტიფიკატის მოქმედების ვადის განმავლობაში ავტორიზებული ორგანიზაციის სახელით ჩაატაროს ინფორმაციული უსაფრთხოების აუდიტი. 2. ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის განხორციელების თაობაზე ავტორიზაციის შესახებ განცხადებისა და მასზე თანდართული დოკუმენტების/ინფორმაციის კანონთან და ამ წესთან სრულად შესაბამისობის დადგენის შემთხვევაში, სააგენტო იღებს გადაწყვეტილებას ავტორიზაციის მინიჭების შესახებ. გადაწყვეტილებაში აღინიშნება ინფორმაცია ავტორიზებულ ორგანიზაციაში დასაქმებული ტესტის განმახორციელებელი იმ პირის შესახებ, რომელიც უფლებამოსილია: ა) სერტიფიკატის არსებობის შემთხვევაში, მისი მოქმედების ვადის განმავლობაში ავტორიზებული ორგანიზაციის სახელით განახორციელოს ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტი; ბ) ამ წესის მე-6 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაში, აკრედიტაციის ვადის განმავლობაში ავტორიზებული ორგანიზაციის სახელით განახორციელოს ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტი. 3. ავტორიზებულ ორგანიზაციაზე გაიცემა ავტორიზაციის შესაბამისი სერტიფიკატი უნიკალური ნომრით, რომელიც დამოწმებული იქნება სააგენტოს კვალიფიციური ელექტრონული შტამპით. 4. ავტორიზაციის ვადის ათვლა იწყება სააგენტოს მიერ ავტორიზებული ორგანიზაციებისა და აუდიტორების/ტესტის განმახორციელებელი პირების ამ წესის მე-16 მუხლით გათვალისწინებულ სიაში შეტანის მომენტიდან. მუხლი 14🔗. ავტორიზაციაზე უარის თქმის შესახებ გადაწყვეტილება თუ განცხადებასა და თანდართულ მასალებში მითითებული ინფორმაცია ვერ აკმაყოფილებს ავტორიზაციის მინიჭებისათვის კანონითა და ამ წესით დადგენილ მოთხოვნებს, სააგენტო იღებს გადაწყვეტილებას ავტორიზაციაზე უარის თქმის შესახებ. მუხლი 15🔗. ავტორიზაციის შესახებ განცხადების განუხილველად დატოვება თუ ამ წესის მე-8 მუხლის პირველი პუნქტით დადგენილ ვადაში განმცხადებელი არ წარადგენს შესაბამის დოკუმენტს ან/და ინფორმაციას, სააგენტო გამოიტანს გადაწყვეტილებას განცხადების განუხილველად დატოვების შესახებ. მუხლი 16🔗. ავტორიზებული ორგანიზაციების აღრიცხვა 1. სააგენტო საჯაროდ ხელმისაწვდომს ხდის მის მიერ ავტორიზებული ორგანიზაციებისა და აუდიტორების/ტესტის განმახორციელებელი პირების სიას (დანართი №3). 2. ავტორიზებული ორგანიზაციები და აუდიტორები წინასწარ აძლევენ თანხმობას სააგენტოს მათ მიერ წარმოდგენილი მონაცემების სიაში განთავსებისა და ამგვარად, საჯაროდ ხელმისაწვდომობის შესახებ. 3. სია შეიცავს შემდეგ ინფორმაციას: ა) ავტორიზებული აუდიტორული ორგანიზაციის დასახელებასა და საიდენტიფიკაციო ნომერს; ბ) ავტორიზებული აუდიტორული ორგანიზაციის საკონტაქტო ინფორმაციას; გ) ავტორიზებულ აუდიტორულ ორგანიზაციაში დასაქმებული ავტორიზებული აუდიტორის სახელს, გვარს და პირად ნომერს/სხვა მაიდენტიფიცირებელ ნომერს (ასეთის არსებობის შემთხვევაში); დ) ავტორიზაციის გაცემის თარიღსა და მოქმედების ვადას; ე) აუდიტორის/ტესტის განმახორციელებელი პირის კვალიფიკაციის დამადასტურებელი დოკუმენტის მოქმედების ვადას (ასეთის არსებობის შემთხვევაში). 4. ამ წესის მე-11 მუხლით გათვალისწინებულ შემთხვევაში, სააგენტო უზრუნველყოფს ორგანიზაციების ავტორიზაციას კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებული ორგანიზაციების დამატებით სიაში (დანართი №4) რეგისტრაციით. თავი III. ავტორიზებული ორგანიზაციების ზედამხედველობა მუხლი 17🔗. ავტორიზებული ორგანიზაციების ზედამხედველობა 1. ავტორიზებული ორგანიზაცია ვალდებულია ყოველწლიურად ჩაატაროს შუალედური თვითშეფასება ავტორიზაციის მოთხოვნებთან შესაბამისობის შემოწმების მიზნით. ამ წესით დადგენილ მოთხოვნებთან მიმართებით აღმოჩენილი შეუსაბამობები მათი აღმოჩენიდან 10 დღის ვადაში უნდა ეცნობოს სააგენტოს. 2. ავტორიზაცია შეწყდება:  ა) თუ ავტორიზებული აუდიტორი/შეღწევადობის (პენეტრაციის) ტესტის ჩამტარებელი არცერთი პირი აღარ არის დასაქმებული ავტორიზებულ ორგანიზაციაში; ბ) ავტორიზებული აუდიტორის/შეღწევადობის (პენეტრაციის) ტესტის ჩამტარებლის სერტიფიკატი ძალადაკარგულია ინფორმაციული უსაფრთხოების აუდიტის/შეღწევადობის (პენეტრაციის) ტესტის ჩატარებისას; გ) თუ სააგენტოსთვის ცნობილი გახდა, რომ ავტორიზაციის მინიჭების მიზნით წარდგენილი დოკუმენტ(ები)ი იყო არასწორი ან შეცდომაში შემყვანი; დ) ამ წესის მე-8 მუხლის მე-8 პუნქტით გათვალისწინებულ შემთხვევაში. 3. ავტორიზებული ორგანიზაცია, თუ მან დაკარგა ავტორიზაცია ზემოაღნიშნული საფუძვლით, იმისათვის რათა მოიპოვოს ინფორმაციული უსაფრთხოების აუდიტის/ შეღწევადობის (პენეტრაციის) ტესტის ჩატარების უფლება, ვალდებულია ხელახლა გაიაროს ავტორიზაციის პროცედურა. 4. ავტორიზებული ორგანიზაციის აუდიტორის/შეღწევადობის (პენეტრაციის) ტესტის ჩამტარებლის სხვა ორგანიზაციაში გადასვლა არ იწვევს ამ უკანასკნელის მიერ ავტორიზაციის მოპოვებას. აღნიშნულმა ორგანიზაციამ უნდა გაიაროს ავტორიზაცია ამ წესის შესაბამისად. 5. სააგენტოს გადაწყვეტილებაში მითითებულ პირებს ინფორმაციული უსაფრთხოების აუდიტის/შეღწევადობის (პენეტრაციის) ტესტის ჩატარება შეუძლიათ მხოლოდ ერთი ავტორიზებული ორგანიზაციის სახელით. მუხლი 18🔗. სააგენტოსთან კომუნიკაცია 1. ამ წესით გათვალისწინებული განცხადება და სხვა დოკუმენტ(ებ)ი სააგენტოს მიეწოდება წერილობითი ფორმით, მატერიალური სახით ან ელექტრონულად. ელექტრონული დოკუმენტი უნდა აკმაყოფილებდეს „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონის მოთხოვნებს. 2. სააგენტო განმცხადებელს/ავტორიზებულ ორგანიზაციას ამ წესით გათვალისწინებულ დოკუმენტ(ებ)ს უგზავნის მისთვის ცნობილ მისამართზე/ელექტრონული ფოსტის მისამართზე.