პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტების დადგენის შესახებ

საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანება მოქმედი შინაგან საქმეები
მიღების თარიღი 03.05.2022
გამომცემი ორგანო საქართველოს ოპერატიულ-ტექნიკური სააგენტო
ნომერი №12
სარეგისტრაციო კოდი 140000000.65.077.016008
გამოქვეყნების წყარო ვებგვერდი, 04/05/2022
კონსოლიდირებული ვერსიები
★ 04.05.2022
matsne.gov.ge 904 სიტყვა · ~5 წთ
📄 ტექსტზე გადასვლა ↓
03.05.2022 მიღება
დამატებითი მეტამონაცემები (1)
საჯარო სამართლის იურიდიული პირის - საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსი კობა კობიძე საჯარო სამართლის იურიდიული პირის - საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსი
🧠 სემანტიკური 5
🕸️ გრაფი — კავშირების ვიზუალიზაცია

🧠 სემანტიკურად მსგავსი დოკუმენტები

მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისთვის მინიმალური სტანდარტების დადგენის შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება 93% 14.12.2021 პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტებისთვის ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დადგენის შესახებ საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანება 86% 21.12.2021 მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივების მართვის წესების დადგენის შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება 85% 14.12.2021 ტექნიკური მომსახურებისთვის პასუხისმგებელი პირის ინსპექტირების, მონიტორინგისა და ზედამხედველობის განხორციელების წესის დამტკიცების შესახებ საჯარო სამართლის იურიდიული პირის − სარკინიგზო ტრანსპორტის სააგენტოს დირექტორის ბრძანება 84% 29.12.2025 მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის დადგენის შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება 84% 14.12.2021

დოკუმენტის ტექსტი

პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტების დადგენის შესახებ საქართველოს სახელმწიფო უსაფრთხოების სამსახურის სსიპ – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანება №12 2022 წლის 3 მაისი ქ. თბილისი პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტების დადგენის შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-5 პუნქტის, „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს დებულების დამტკიცების შესახებ“ საქართველოს მთავრობის 2017 წლის 29 მარტის №157 დადგენილებით დამტკიცებული დებულების მე-6 მუხლის „ა“ და „ბ“ ქვეპუნქტების საფუძველზე, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს „პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტები“ თანდართული რედაქციით. მუხლი 2🔗 ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.საჯარო სამართლის იურიდიული პირის - საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსიკობა კობიძე პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტები მუხლი 1🔗. მოქმედების სფერო პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტები (შემდგომ - სტანდარტები) განსაზღვრავს პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების (შემდგომ - ორგანიზაცია) ინფორმაციული უსაფრთხოების მენეჯერების მიმართ არსებულ მოთხოვნებს და ინფორმაციული უსაფრთხოების მენეჯერების ძირითად ფუნქციებს და მოვალეობებს. მუხლი 2🔗. ინფორმაციული უსაფრთხოების მენეჯერის ანგარიშვალდებულება  1. ორგანიზაცია ვალდებულია განსაზღვროს პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) განახორციელებენ ინფორმაციული უსაფრთხოების მენეჯერის მოვალეობებს. ინფორმაციული უსაფრთხოების მენეჯერი უნდა აკმაყოფილებდეს „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონით  და ამ სტანდარტებით განსაზღვრულ მოთხოვნებს.  2. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. ყველა მნიშვნელოვანი გადაწყვეტილება, რომელიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღება ამ პუნქტით განსაზღვრული პირის (პირების) მიერ ან მასთან (მათთან) წინასწარი შეთანხმებით. ინფორმაციული უსაფრთხოების მენეჯერი ასევე წარმოადგენს საკუთარ ორგანიზაციას სახელმწიფო უსაფრთხოების სამსახურის მმართველობის სფეროში შემავალ საჯარო სამართლის იურიდიულ პირთან - საქართველოს ოპერატიულ-ტექნიკურ სააგენტოსთან (შემდგომ – სააგენტო) ურთიერთობაში „ინფორმაციული უსაფრთხოების შესახებ“ კანონისა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტების ფარგლებში. მუხლი 3🔗. ინფორმაციული უსაფრთხოების მენეჯერის უფლება-მოვალეობები 1. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია:  ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;  ბ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;  გ) ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (პოლიტიკები, ინსტრუქციები, სახელმძღვანელოები და ა.შ.) პროექტების მომზადების, დამტკიცების და გადახედვის პროცესების კოორდინაცია;  დ) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;  ე) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;  ვ) ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;  ზ) სამოქმედო გეგმის შედგენა და ამ გეგმის შესრულების ყოველწლიური ანგარიშის ამ სტანდარტების მე-2 მუხლის მე-2 პუნქტით განსაზღვრული პირებისთვის და სააგენტოსთვის წარდგენა;    თ) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი. 2. მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერი, გარდა ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულებებისა, დამოუკიდებლად ან ორგანიზაციის ამ სტანდარტების მე-2 მუხლის მე-2 პუნქტით განსაზღვრულ პირებთან შეთანხმებით, იღებს გადაწყვეტილებას ორგანიზაციის ქსელურ სენსორზე ან/და ორგანიზაციის ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის დაშვების შესახებ  და აცნობებს მას ამ გადაწყვეტილების თაობაზე. მუხლი 4🔗. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული მოთხოვნები ინფორმაციული უსაფრთხოების მენეჯერი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს: ა) ჰქონდეს არანაკლებ სამი წლის სამუშაო გამოცდილება ინფორმაციულ ტექნოლოგიებში, მენეჯმენტში ან პროექტების მართვაში; ბ) ჰქონდეს სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), სტანდარტიზაციის ბრიტანული ინსტიტუტის (BSI), ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA), ინფორმაციული სისტემების უსაფრთხოების სერტიფიცირების საერთაშორისო კონსორციუმი (ISC) ან SANS (GIAC) Institute-ს მიერ გაცემული მოქმედი სერტიფიკატი ინფორმაციული უსაფრთხოების დარგში; გ) აკმაყოფილებდეს ამ სტანდარტების მე-6 მუხლით განსაზღვრულ მოთხოვნებს. მუხლი 5🔗. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებულ მოთხოვნებთან შესაბამისობის შემოწმება 1. სააგენტო უზრუნველყოფს ინფორმაციული უსაფრთხოების მენეჯერების ბაზის წარმოებას, რომელშიც აღირიცხებიან პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების მენეჯერები. ამ მიზნით, ორგანიზაცია წარუდგენს სააგენტოს ინფორმაციული უსაფრთხოების მენეჯერობის კანდიდატს (შემდგომ - კანდიდატი) და მის საკონტაქტო ინფორმაციას. თუ კანდიდატი აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით  განსაზღვრულ მოთხოვნებს, ის  აღირიცხება  ინფორმაციული უსაფრთხოების  მენეჯერთა სააგენტოს ბაზაში და აღნიშნულის შესახებ ეცნობება ორგანიზაციას.  2. თუ კანდიდატი ვერ აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით გათვალისწინებულ მოთხოვნებს, მის მიმართ გამოიყენება ამ სტანდარტების მე-7 მუხლის დებულებები. მუხლი 6🔗. სახელმწიფო საიდუმლოებაზე დაშვება 1. ინფორმაციული უსაფრთხოების მენეჯერი უნდა ფლობდეს სახელმწიფო საიდუმლოებაზე დაშვებას.  2. ინფორმაციული უსაფრთხოების მენეჯერის სახელმწიფო საიდუმლოებაზე დაშვებისთვის აუცილებელი პროცედურების განხორციელებას უზრუნველყოფს ორგანიზაცია მოქმედი კანონმდებლობით დადგენილი წესით. ორგანიზაცია აცნობებს სააგენტოს ინფორმაციული უსაფრთხოების მენეჯერის სახელმწიფო საიდუმლოებაზე დაშვების შესახებ.   3. თუ ინფორმაციული უსაფრთხოების მენეჯერი ვერ მოიპოვებს სახელმწიფო საიდუმლოებაზე დაშვებას, ორგანიზაცია უზრუნველყოფს სააგენტოს ინფორმირებას აღნიშნულის თაობაზე, რის საფუძველზეც პირი მოიხსნება ინფორმაციული უსაფრთხოების მენეჯერთა სააგენტოს ბაზაში აღრიცხვიდან. ორგანიზაცია უზრუნველყოფს ახალი კანდიდატის სააგენტოსთვის წარდგენას ამ სტანდარტებით დადგენილი წესის შესაბამისად. მუხლი 7🔗. გარდამავალი დებულებები 1. თუ ორგანიზაციის მიერ სააგენტოსთვის წარდგენილი კანდიდატი ვერ აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით განსაზღვრულ მოთხოვნებს, იგი უფლებამოსილია 2022 წლის 31 დეკემბრამდე სააგენტოს წარუდგინოს საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში შემავალი საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს მიერ გაცემული ინფორმაციული უსაფრთხოების მენეჯერის მოქმედი სერტიფიკატი. ასეთ შემთხვევაში, კანდიდატი სააგენტოს მიერ აღირიცხება ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა სააგენტოს ბაზაში და ეკისრება ვალდებულება წარმოდგენილი სერტიფიკატის ვადის მოქმედების ამოწურვამდე უზრუნველყოს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტში მითითებული ერთ-ერთი სერტიფიკატის წარმოდგენა. აღნიშნულ ვადაში სერტიფიკატის წარმოუდგენლების შემთხვევაში მიიჩნევა, რომ პირი ვერ აკმაყოფილებს ინფორმაციული უსაფრთხოების მენეჯერისთვის ამ სტანდარტებით განსაზღვრულ მოთხოვნებს, რის შესახებაც ეცნობება ორგანიზაციას, ხოლო აღნიშნული პირი კი მოიხსენება ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა სააგენტოს ბაზაში აღრიცხვიდან. 2. თუ ორგანიზაციის მიერ სააგენტოსთვის წარდგენილი კანდიდატი ვერ აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით ან ამ მუხლის პირველი პუნქტით განსაზღვრულ მოთხოვნებს, იგი სააგენტოს მიერ აღირიცხება ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა ბაზაში და ეკისრება ვალდებულება 2022 წლის 31 დეკემბრამდე უზრუნველყოს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტში მითითებული ერთ-ერთი სერტიფიკატის წარმოდგენა. აღნიშნულ ვადაში სერტიფიკატის წარმოუდგენლების შემთხვევაში მიიჩნევა, რომ პირი ვერ აკმაყოფილებს ინფორმაციული უსაფრთხოების მენეჯერისთვის ამ სტანდარტებით განსაზღვრულ მოთხოვნებს, რის შესახებაც ეცნობება ორგანიზაციას, ხოლო აღნიშნული პირი  მოიხსენება  ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა სააგენტოს ბაზაში აღრიცხვიდან.