პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტების დადგენის შესახებ

ჰკითხე AI-ს ამ კანონის შესახებ
საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანება მოქმედი სამართლდამცავი ორგანოები
მიღების თარიღი
03.05.2022 ბოლო ცვლილება 06.03.2023
გამომცემი ორგანო
საქართველოს ოპერატიულ-ტექნიკური სააგენტო
ნომერი
№12
სარეგისტრაციო კოდი
140000000.65.077.016008
გამოქვეყნების წყარო
matsne.gov.ge , 04/05/2022
🧬 მსგავსი 10
🕸️ გრაფი — კავშირების ვიზუალიზაცია
← უკუმითითება ცვლილება → 🧬 სემანტიკური ეს აქტი
🧬 სემანტიკურად მსგავსი დოკუმენტები — 10

ეს დოკუმენტები ნაპოვნია ვექტორული ემბედინგების (AI) საშუალებით — მათი შინაარსი ყველაზე ახლოსაა ამ აქტის ტექსტთან.

ცვლილებები (1)
1
„პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტების დადგენის შესახებ საჯარო სამართლის იურიდიული პირის - საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის 2022 წლის 3 მაისის №12 ბრძანებაში ცვლილების შეტანის შესახებ
06.03.2023
04.05.2022 06.03.2023

დოკუმენტის ტექსტი

 

საქართველოს სახელმწიფო უსაფრთხოების სამსახურის

სსიპ – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის

ბრძანება №12

2022 წლის 3 მაისი

ქ. თბილისი

 

პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტების დადგენის შესახებ
„ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-5 პუნქტის, „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს დებულების დამტკიცების შესახებ“ საქართველოს მთავრობის 2017 წლის 29 მარტის №157 დადგენილებით დამტკიცებული დებულების მე-6 მუხლის „ა“ და „ბ“ ქვეპუნქტების საფუძველზე, ვბრძანებ:

მუხლი 1
დამტკიცდეს „პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტები“ თანდართული რედაქციით.
მუხლი 2
ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.

საჯარო სამართლის იურიდიული პირის - საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსიკობა კობიძე



პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტები

მუხლი 1. მოქმედების სფერო
პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებისთვის მინიმალური სტანდარტები (შემდგომ - სტანდარტები) განსაზღვრავს პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების (შემდგომ - ორგანიზაცია) ინფორმაციული უსაფრთხოების მენეჯერების მიმართ არსებულ მოთხოვნებს და ინფორმაციული უსაფრთხოების მენეჯერების ძირითად ფუნქციებს და მოვალეობებს.

მუხლი 2. ინფორმაციული უსაფრთხოების მენეჯერის ანგარიშვალდებულება 
1. ორგანიზაცია ვალდებულია განსაზღვროს პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) განახორციელებენ ინფორმაციული უსაფრთხოების მენეჯერის მოვალეობებს. ინფორმაციული უსაფრთხოების მენეჯერი უნდა აკმაყოფილებდეს „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონით  და ამ სტანდარტებით განსაზღვრულ მოთხოვნებს. 

2. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. ყველა მნიშვნელოვანი გადაწყვეტილება, რომელიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღება ამ პუნქტით განსაზღვრული პირის (პირების) მიერ ან მასთან (მათთან) წინასწარი შეთანხმებით. ინფორმაციული უსაფრთხოების მენეჯერი ასევე წარმოადგენს საკუთარ ორგანიზაციას სახელმწიფო უსაფრთხოების სამსახურის მმართველობის სფეროში შემავალ საჯარო სამართლის იურიდიულ პირთან - საქართველოს ოპერატიულ-ტექნიკურ სააგენტოსთან (შემდგომ – სააგენტო) ურთიერთობაში „ინფორმაციული უსაფრთხოების შესახებ“ კანონისა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტების ფარგლებში.


მუხლი 3. ინფორმაციული უსაფრთხოების მენეჯერის უფლება-მოვალეობები
1. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია: 

ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი; 

ბ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერა; 

გ) ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (პოლიტიკები, ინსტრუქციები, სახელმძღვანელოები და ა.შ.) პროექტების მომზადების, დამტკიცების და გადახედვის პროცესების კოორდინაცია; 

დ) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი; 

ე) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა; 

ვ) ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება; 

ზ) სამოქმედო გეგმის შედგენა და ამ გეგმის შესრულების ყოველწლიური ანგარიშის ამ სტანდარტების მე-2 მუხლის მე-2 პუნქტით განსაზღვრული პირებისთვის და სააგენტოსთვის წარდგენა;   

თ) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

2. მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერი, გარდა ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულებებისა, დამოუკიდებლად ან ორგანიზაციის ამ სტანდარტების მე-2 მუხლის მე-2 პუნქტით განსაზღვრულ პირებთან შეთანხმებით, იღებს გადაწყვეტილებას ორგანიზაციის ქსელურ სენსორზე ან/და ორგანიზაციის ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის დაშვების შესახებ  და აცნობებს მას ამ გადაწყვეტილების თაობაზე.


მუხლი 4. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული მოთხოვნები

ინფორმაციული უსაფრთხოების მენეჯერი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს:

ა) ჰქონდეს არანაკლებ სამი წლის სამუშაო გამოცდილება ინფორმაციულ ტექნოლოგიებში, მენეჯმენტში ან პროექტების მართვაში;

ბ) ჰქონდეს სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), სტანდარტიზაციის ბრიტანული ინსტიტუტის (BSI), ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA), ინფორმაციული სისტემების უსაფრთხოების სერტიფიცირების საერთაშორისო კონსორციუმი (ISC) ან SANS (GIAC) Institute-ს მიერ გაცემული მოქმედი სერტიფიკატი ინფორმაციული უსაფრთხოების დარგში;

გ) აკმაყოფილებდეს ამ სტანდარტების მე-6 მუხლით განსაზღვრულ მოთხოვნებს.


მუხლი 5. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებულ მოთხოვნებთან შესაბამისობის შემოწმება
1. სააგენტო უზრუნველყოფს ინფორმაციული უსაფრთხოების მენეჯერების ბაზის წარმოებას, რომელშიც აღირიცხებიან პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების მენეჯერები. ამ მიზნით, ორგანიზაცია წარუდგენს სააგენტოს ინფორმაციული უსაფრთხოების მენეჯერობის კანდიდატს (შემდგომ - კანდიდატი) და მის საკონტაქტო ინფორმაციას. თუ კანდიდატი აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით  განსაზღვრულ მოთხოვნებს, ის  აღირიცხება  ინფორმაციული უსაფრთხოების  მენეჯერთა სააგენტოს ბაზაში და აღნიშნულის შესახებ ეცნობება ორგანიზაციას. 

2. თუ კანდიდატი ვერ აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით გათვალისწინებულ მოთხოვნებს, მის მიმართ გამოიყენება ამ სტანდარტების მე-7 მუხლის დებულებები.


მუხლი 6. სახელმწიფო საიდუმლოებაზე დაშვება
1. ინფორმაციული უსაფრთხოების მენეჯერი უნდა ფლობდეს სახელმწიფო საიდუმლოებაზე დაშვებას. 

2. ინფორმაციული უსაფრთხოების მენეჯერის სახელმწიფო საიდუმლოებაზე დაშვებისთვის აუცილებელი პროცედურების განხორციელებას უზრუნველყოფს ორგანიზაცია მოქმედი კანონმდებლობით დადგენილი წესით. ორგანიზაცია აცნობებს სააგენტოს ინფორმაციული უსაფრთხოების მენეჯერის სახელმწიფო საიდუმლოებაზე დაშვების შესახებ.  

3. თუ ინფორმაციული უსაფრთხოების მენეჯერი ვერ მოიპოვებს სახელმწიფო საიდუმლოებაზე დაშვებას, ორგანიზაცია უზრუნველყოფს სააგენტოს ინფორმირებას აღნიშნულის თაობაზე, რის საფუძველზეც პირი მოიხსნება ინფორმაციული უსაფრთხოების მენეჯერთა სააგენტოს ბაზაში აღრიცხვიდან. ორგანიზაცია უზრუნველყოფს ახალი კანდიდატის სააგენტოსთვის წარდგენას ამ სტანდარტებით დადგენილი წესის შესაბამისად.


მუხლი 7. გარდამავალი დებულებები
1. თუ ორგანიზაციის მიერ სააგენტოსთვის წარდგენილი კანდიდატი ვერ აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით განსაზღვრულ მოთხოვნებს, იგი უფლებამოსილია 2022 წლის 31 დეკემბრამდე სააგენტოს წარუდგინოს საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში შემავალი საჯარო სამართლის იურიდიული პირის – ციფრული მმართველობის სააგენტოს მიერ გაცემული ინფორმაციული უსაფრთხოების მენეჯერის მოქმედი სერტიფიკატი. ასეთ შემთხვევაში, კანდიდატი სააგენტოს მიერ აღირიცხება ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა სააგენტოს ბაზაში და ეკისრება ვალდებულება წარმოდგენილი სერტიფიკატის ვადის მოქმედების ამოწურვამდე უზრუნველყოს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტში მითითებული ერთ-ერთი სერტიფიკატის წარმოდგენა. აღნიშნულ ვადაში სერტიფიკატის წარმოუდგენლების შემთხვევაში მიიჩნევა, რომ პირი ვერ აკმაყოფილებს ინფორმაციული უსაფრთხოების მენეჯერისთვის ამ სტანდარტებით განსაზღვრულ მოთხოვნებს, რის შესახებაც ეცნობება ორგანიზაციას, ხოლო აღნიშნული პირი კი მოიხსენება ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა სააგენტოს ბაზაში აღრიცხვიდან.

2. თუ ორგანიზაციის მიერ სააგენტოსთვის წარდგენილი კანდიდატი ვერ აკმაყოფილებს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტით ან ამ მუხლის პირველი პუნქტით განსაზღვრულ მოთხოვნებს, იგი სააგენტოს მიერ აღირიცხება ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა ბაზაში და ეკისრება ვალდებულება 2022 წლის 31 დეკემბრამდე უზრუნველყოს ამ სტანდარტების მე-4 მუხლის „ბ“ ქვეპუნქტში მითითებული ერთ-ერთი სერტიფიკატის წარმოდგენა. აღნიშნულ ვადაში სერტიფიკატის წარმოუდგენლების შემთხვევაში მიიჩნევა, რომ პირი ვერ აკმაყოფილებს ინფორმაციული უსაფრთხოების მენეჯერისთვის ამ სტანდარტებით განსაზღვრულ მოთხოვნებს, რის შესახებაც ეცნობება ორგანიზაციას, ხოლო აღნიშნული პირი  მოიხსენება  ინფორმაციული უსაფრთხოების მენეჯერის ფუნქციის დროებით შემსრულებელთა სააგენტოს ბაზაში აღრიცხვიდან.