ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარებისთვის ავტორიზაციის მსურველი ორგანიზაციის ან/და შესაბამისი თანამშრომლის უსაფრთხოებაზე შემოწმების წესის დადგენის შესახებ

✨ ჰკითხე AI-ს ამ კანონის შესახებ

საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ბრძანება მოქმედი სახელმწიფო მმართველობა

მიღების თარიღი

21.12.2021

გამომცემი ორგანო

საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსი

ნომერი

№50

სარეგისტრაციო კოდი

130000000.63.075.016142

გამოქვეყნების წყარო

matsne.gov.ge , 21/12/2021

🧬 მსგავსი 10

🕸️ გრაფი — კავშირების ვიზუალიზაცია

← უკუმითითება ცვლილება → 🧬 სემანტიკური ეს აქტი

🧬 სემანტიკურად მსგავსი დოკუმენტები — 10

ეს დოკუმენტები ნაპოვნია ვექტორული ემბედინგების (AI) საშუალებით — მათი შინაარსი ყველაზე ახლოსაა ამ აქტის ტექსტთან.

დოკუმენტის ტექსტი

საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის

ბრძანება №50

2021 წლის 21 დეკემბერი

ქ. თბილისი

„ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის 6¹ მუხლის მე-2 პუნქტის, „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში ცვლილების შეტანის თაობაზე“ (საქართველოს საკანონმდებლო მაცნე (www.matsne.gov.ge), 15.06.2021, სარეგისტრაციო კოდი: 140000000.05.001.020338) საქართველოს კანონის მე-2 მუხლის მე-5 პუნქტისა და „სახელმწიფო უსაფრთხოების სამსახურის დებულების დამტკიცების შესახებ“ საქართველოს მთავრობის 2015 წლის 30 ივლისის №385 დადგენილებით დამტკიცებული დებულების მე-4 მუხლის მე-2 პუნქტის „ა“ და „ბ“ ქვეპუნქტების საფუძველზე, ვბრძანებ:

მუხლი 1

თანდართული რედაქციით დამტკიცდეს „ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარებისთვის ავტორიზაციის მსურველი ორგანიზაციის ან/და შესაბამისი თანამშრომლის უსაფრთხოებაზე შემოწმების წესი“.

მუხლი 2

ბრძანება ამოქმედდეს 2021 წლის 30 დეკემბრიდან.

საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსი		გრიგოლ ლილუაშვილი

მუხლი 1. წესის რეგულირების სფერო და მიზანი

ინფორმაციული უსაფრთხოების აუდიტის ან/და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარებისთვის ავტორიზაციის მსურველი ორგანიზაციის ან/და შესაბამისი თანამშრომლის უსაფრთხოებაზე შემოწმების წესი (შემდგომში – წესი) განსაზღვრავს უსაფრთხოების მოთხოვნებს, რომლებსაც უნდა აკმაყოფილებდნენ ინფორმაციული აუდიტის ჩატარებაზე ან/და შეღწევადობის ტესტის ჩატარებაზე ავტორიზაციის მსურველი ორგანიზაცია (შემდგომში – ორგანიზაცია), ასევე აღნიშნული ორგანიზაცის ან/და ინფორმაციული უსაფრთხოების აუდიტის ან შეღწევადობის (პენეტრაციის) ტესტის ჩატარებაზე უფლებამოსილი თანამშრომლის (შემდგომში – უფლებამოსილი თანამშრომელი) უსაფრთხოებაზე შემოწმებასთან დაკავშირებულ ორგანიზაციულ და პროცედურულ საკითხებს.

მუხლი 2. შემოწმების დაწყების საფუძველი

საქართველოს სახელმწიფო უსაფრთხოების სამსახურის (შემდგომში – სამსახური) მიერ ორგანიზაციის ან/და უფლებამოსილი თანამშრომლის შემოწმების განხორციელების დაწყების საფუძველია საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში შემავალი საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს (შემდგომში – ციფრული მმართველობის სააგენტო) მომართვა სამსახურის მმართველობის სფეროში შემავალი საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოსადმი (შემდგომში – ოპერატიულ-ტექნიკური სააგენტო) ორგანიზაციის ან/და უფლებამოსილი თანამშრომლის შემოწმების თაობაზე. წერილობით მომართვას თან უნდა ერთოდეს ავტორიზაციის პროცესში ციფრული მმართველობის სააგენტოსთვის მიწოდებული ინფორმაცია ორგანიზაციის ან/და უფლებამოსილი თანამშრომლების შესახებ.

მუხლი 3. ორგანიზაციის უსაფრთხოების მოთხოვნები

ორგანიზაცია უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს:

ა) რეგისტრირებული იყოს საქართველოში, ჩრდილოატლანტიკური ხელშეკრულების ორგანიზაციის ან ევროკავშირის წევრ სახელმწიფოში;

ბ) მისი დამფუძნებელი ან მისი წილის მფლობელი არ უნდა იყოს „კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ მონაცემების მიღებისთვის, დამუშავებისთვის, შენახვისთვის ან/და გადაცემისთვის გამოყენებული აპარატული ან/და პროგრამული უზრუნველყოფის საშუალებების მწარმოებელ ქვეყნებთან დაკავშირებული დამატებითი მოთხოვნების განსაზღვრის შესახებ“ საქართველოს მთავრობის დადგენილებით გათვალისწინებულ ქვეყნაში რეგისტრირებული საწარმო ან ამ ქვეყნის მოქალაქე;

გ) საქართველოს კანონმდებლობის და სამსახურის საერთაშორისო ხელშეკრულებების შესაბამისად განხორციელებული უსაფრთხოებაზე შემოწმების შედეგად მიღებული მასალები არ უნდა იძლეოდეს ავტორიზაციის შესახებ განაცხადის დაკმაყოფილებაზე უარის თქმის რეკომენდაციის გაცემის საფუძველს.

მუხლი 4. უსაფრთხოებაზე შემოწმების ეტაპები

1. ორგანიზაციის ან/და უფლებამოსილი თანამშრომლების უსაფრთხოებაზე შემოწმება ხორციელდება ორ ეტაპად.

2. პირველი ეტაპი მოიცავს ოპერატიულ-ტექნიკური სააგენტოს მიერ ორგანიზაციის ამ წესის მე-3 მუხლის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შემოწმებას. თუ ორგანიზაცია ვერ აკმაყოფილებს ამ წესის მე-3 მუხლის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებულ უსაფრთხოების მოთხოვნებს, უსაფრთხოებაზე შემოწმების პროცედურა წყდება და ოპერატიულ-ტექნიკური სააგენტო უგზავნის ციფრული მმართველობის სააგენტოს ამ მუხლის მე-4 პუნქტით გათვალისწინებულ რეკომენდაციას ორგანიზაციის ავტორიზაციის შესახებ განაცხადის დაკმაყოფილებაზე უარის თქმის შესახებ.

3. თუ ორგანიზაცია აკმაყოფილებს ამ ბრძანების მე-3 მუხლის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებულ მოთხოვნებს, იწყება უსაფრთხოებაზე შემოწმების პროცედურის მეორე ეტაპი, რაც მოიცავს ორგანიზაციის შემოწმებას ამ წესის მე-3 მუხლის „გ“ ქვეპუნქტით გათვალისწინებული მოთხოვნის დაკმაყოფილებაზე და ასევე უფლებამოსილი თანამშრომლების შემოწმებას. ამ მიზნით სააგენტო უზრუნველყოფს ორგანიზაციის ან/და უფლებამოსილი თანამშრომლების შესახებ მიღებული ინფორმაციის გადაგზავნას სამსახურის დანაყოფებში, რომელთაც აქვთ ოპერატიულ-სამძებრო ან/და კონტრდაზვერვითი ღონისძიებების განხორციელების უფლებამოსილება (შემდგომში – უფლებამოსილი დანაყოფები). უფლებამოსილი დანაყოფები მიღებულ ინფორმაციას ამუშავებენ ამ ბრძანებით, საქართველოს მოქმედი კანონმდებლობითა და სამსახურის საერთაშორისო ხელშეკრულებებით გათვალისწინებული წესისა და პროცედურების შესაბამისად. სამსახურის უფლებამოსილი დანაყოფების მიერ განხორციელებული შემოწმების შედეგები იგზავნება ოპერატიულ-ტექნიკურ სააგენტოში.

4. ამ მუხლის მე-3 პუნქტის შესაბამისად მიღებული ინფორმაციის საფუძველზე სააგენტო ამზადებს პასუხს ორგანიზაციის ან/და მისი უფლებამოსილი თანამშრომლების უსაფრთხოებაზე შემოწმების შედეგების შესახებ და აწვდის ციფრული მმართველობის სააგენტოს რეკომენდაციას ორგანიზაციის ავტორიზაციის შესახებ განაცხადის დაკმაყოფილების ან დაკმაყოფილებაზე უარის თქმის შესახებ ან/და უფლებამოსილი თანამშრომლისთვის აუდიტის ან პენეტრაციის ტესტის ჩატარებაზე უფლებამოსილ პირად რეგისტრაციის ან რეგისტრაციაზე უარის თქმის შესახებ.

მუხლი 5. შემოწმების ვადები

1. ოპერატიულ-ტექნიკური სააგენტოსა და უფლებამოსილი დანაყოფების მიერ ორგანიზაციის ან/და უფლებამოსილი თანამშრომლების უსაფრთხოებაზე შემოწმების საერთო ვადა არ უნდა აღემატებოდეს 60 სამუშაო დღეს ციფრული მმართველობის სააგენტოს მომართვის დღიდან. აქედან:

ა) შემოწმების პირველი ეტაპის ვადა არ შეიძლება აღემატებოდეს 5 სამუშაო დღეს;

ბ) შემოწმების მეორე ეტაპის ვადა არ შეიძლება აღემატებოდეს 55 სამუშაო დღეს.

2. თუ ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებულ ვადაში უფლებამოსილი დანაყოფების მიერ ოპერატიულ-ტექნიკურ სააგენტოში არ იქნა წარმოდგენილი ინფორმაცია ორგანიზაციის ან/და უფლებამოსილი თანამშრომლების უსაფრთხოებაზე შემოწმების შედეგების შესახებ, მიიჩნევა, რომ უსაფრთხოების თვალსაზრისით ორგანიზაციის ავტორიზაციის, ხოლო ამ წესის მე-6 მუხლით გათვალისწინებულ შემთხვევაში, უფლებამოსილი თანამშრომლის მიერ აუდიტის ან პენეტრაციის ტესტის ჩატარების დამაბრკოლებელი გარემოება არ არსებობს, რის შესახებაც ოპერატიულ-ტექნიკური სააგენტო ატყობინებს ციფრული მმართველობის სააგენტოს.

მუხლი 6. საგამონაკლისო რეგულაცია

„ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის 6¹მუხლის მე-4 პუნქტით გათვალისწინებულ გამონაკლის შემთხვევაში, არ გამოიყენება ორგანიზაციის უსაფრთხოებაზე შემოწმების ამ წესით გათვალისწინებული დებულებები. კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებული ორგანიზაციების უფლებამოსილი თანამშრომლის უსაფრთხოებაზე შემოწმების შესახებ ოპერატიულ-ტექნიკურ სააგენტოს მიმართავს საქართველოს ეროვნული ბანკი. ამ შემთხვევაში უფლებამოსილი თანამშრომლის უსაფრთხოებაზე შემოწმების შედეგები ეცნობება საქართველოს ეროვნულ ბანკს.