ინფორმაციული უსაფრთხოების რისკების მართვის წესის დამტკიცების შესახებ

ინფორმაციული უსაფრთხოების რისკების მართვის წესის დამტკიცების შესახებ საქართველოს თავდაცვის მინისტრის ბრძანება №46 2022 წლის 8 ივლისი ქ. თბილისი ინფორმაციული უსაფრთხოების რისკების მართვის წესის დამტკიცების შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის 10​2 მუხლის მე-5 პუნქტის საფუძველზე, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს ინფორმაციული უსაფრთხოების რისკების მართვის წესი. მუხლი 2🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.საქართველოს თავდაცვის მინისტრიჯუანშერ ბურჭულაძე ინფორმაციული უსაფრთხოების რისკების მართვის წესი მუხლი 1🔗. ზოგადი დებულებები 1. ინფორმაციული უსაფრთხოების რისკების მართვის წესი (შემდგომში – წესი) წარმოადგენს ინფორმაციული უსაფრთხოების მართვის სისტემის (იუმს) საფუძველს, რომლის დანიშნულებაც არის ინფორმაციის დამცავი და უსაფრთხოების კონტროლის ადეკვატური მექანიზმების დანერგვა და დაინტერესებული მხარეების ნდობის გამყარება. 2. წესი თავსებადია, ერთი მხრივ, „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონთან, ხოლო, მეორე მხრივ, ითვალისწინებს ISO 27001 „ინფორმაციული უსაფრთხოების მართვის სისტემის“ მოთხოვნებს. 3. წესის დაცვა წარმოადგენს ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დანერგვის და წარმატებული ფუნქციონირების მნიშვნელოვან ფაქტორს. ამასთანავე, ეს წესი განიხილება ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების ერთ-ერთ მოთხოვნად. 4. წესი ვრცელდება თავდაცვის სფეროს კრიტიკული ინფორმაციული სისტემის სუბიექტებზე. მუხლი 2🔗. ტერმინთა განმარტებები წესში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა: ა)  ინფორმაციული აქტივი (შემდგომში – აქტივი) – ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, მომხმარებლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის; ბ) ინფორმაციული უსაფრთხოების ინციდენტი – ინფორმაციული უსაფრთხოების პოლიტიკის რეალური ან პოტენციური დარღვევა, რომელიც ხორციელდება ინფორმაციული ტექნოლოგიის გამოყენებით და იწვევს ინფორმაციის უნებართვო წვდომას, გამჟღავნებას, დაზიანებას, შეფერხებას ან ინფორმაციული რესურსის მიტაცებას; გ) ინფორმაციული უსაფრთხოების მართვის სისტემა (იუმს)  – მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია რისკებისადმი მიდგომაზე, რათა შესაძლებელი გახდეს ინფორმაციული უსაფრთხოების დანერგვა, ფუნქციონირება, მონიტორინგი, განხილვა, მხარდაჭერა და გაუმჯობესება; დ) ინფორმაციული უსაფრთხოების რისკი – შესაძლებლობა იმისა, რომ მოცემული საფრთხე ისარგებლებს ინფორმაციული უსაფრთხოების აქტივის ან აქტივების სისუსტით და ამგვარად გამოიწვევს ორგანიზაციისთვის ზიანის მიყენებას; ე) კონფიდენციალურობა – აქტივის მახასიათებელი, რომლის თანახმად აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; ვ) კრიტიკული ინფორმაციული სისტემის სუბიექტი – (შემდგომში – ორგანიზაცია) საქართველოს მთავრობის დადგენილებით თავდაცვის სფეროში განსაზღვრული სუბიექტები; ზ) მთლიანობა – აქტივის სიზუსტის და სისრულის მახასიათებელი; თ) რისკის გადაცემა – მესამე მხარესთან რისკისგან მიღებული სარგებლის ან მისი დაკარგვით გამოწვეულ სირთულეებზე პასუხისმგებლობის განაწილება; ი) რისკის დაშვება – ცალკეული რისკისგან მიღებულ სარგებელზე ან მისი დაკარგვით გამოწვეულ სირთულეებზე თანხმობა; კ) რისკის თავიდან არიდება – რისკის შემცველ სიტუაციაში არმონაწილეობის ან მასზე უარის თქმის შესახებ გადაწყვეტილების მიღება; ლ) რისკის იდენტიფიცირება – რისკის შემცველი ელემენტების პოვნა, ჩამოთვლა და მახასიათებლების აღწერა; მ) რისკის შემცირება – ქმედება, რომელიც მიმართულია რისკთან დაკავშირებული ალბათობის ან/და უარყოფითი შედეგების შესამცირებლად; ნ) რისკების შესახებ ინფორმირება – ორგანიზაციის მიერ უწყვეტი და განმეორებადი პროცესების ჩატარება რისკზე ინფორმაციის მიღების, მიწოდების და გამიჯვნისათვის, აგრეთვე დაინტერესებულ მხარესთან რისკების მართვის შესახებ დიალოგის წარმოებისთვის; ო) რისკის შეფასება – რისკის იდენტიფიცირების, ანალიზის და შეფასების ზოგადი პროცესი; პ) ხელმისაწვდომობა – ავტორიზებული სუბიექტის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი. მუხლი 3🔗. ინფორმაციული უსაფრთხოების რისკების მართვის მიზნები 1. ინფორმაციული უსაფრთხოების რისკების მართვა არის ინფორმაციული უსაფრთხოების მართვის განუყოფელი ნაწილი და უნდა გამოიყენებოდეს იუმს-ის როგორც დანერგვის, ასევე მისი ფუნქციონირების ეტაპებზე. 2. ინფორმაციული უსაფრთხოების რისკების მართვა წარმოადგენს უწყვეტ პროცესს, რომელმაც რეკომენდაციების და გადაწყვეტილებების დასანერგად უნდა დაადგინოს ორგანიზაციული გარემო, შეაფასოს და გადაჭრას რისკები, რისკებთან მოპყრობის გეგმის მიხედვით. 3. ინფორმაციული უსაფრთხოების რისკების მართვა ხელს უწყობს: ა) რისკების იდენტიფიცირებას; ბ) რისკების შეფასებას, თუ რა შედეგები მოყვება მათ ბიზნესთან მიმართებაში და შეფასებას მათი ხდომილების ალბათობის მიხედვით; გ) ინფორმირებას ამ რისკების დადგომის ალბათობისა და მათი შესაძლო შედეგების შესახებ; დ) რისკებთან მოპყრობის პრიორიტეტულობის დადგენას; ე) რისკების შემცირების შესახებ ქმედებების პრიორიტეტულობას; ვ) რისკების მართვასთან დაკავშირებული გადაწყვეტილებების მიღებაში ჩართული დაინტერესებული პირების ინფორმირებას რისკების მართვის სტატუსის შესახებ; ზ) რისკებთან მოპყრობის მონიტორინგის ეფექტიანობას; თ) რისკებისა და მათი მართვის პროცესის რეგულარულ მონიტორინგსა და განხილვას; ი) რისკების მართვისადმი მიდგომის გაუმჯობესების მიზნით საჭირო ინფორმაციის შეგროვებას; კ) მენეჯერებისა და თანამშრომლების ინფორმირებას რისკებისა და მათი შემცირების შესაძლებლობებისა და ღონისძიებების შესახებ. მუხლი 4🔗. ინფორმაციული უსაფრთხოების რისკების მართვის წესის გამოყენების სფერო და საზღვრები 1. ინფორმაციული უსაფრთხოების რისკის მართვის გამოყენების სფეროსა და საზღვრებთან (დანართი №1), რისკების შეფასებისას, ყველა საჭირო აქტივის გათვალისწინებით, განისაზღვროს ინფორმაციული უსაფრთხოების რისკების მართვის პროცესის მიზნები. 2. სუბიექტმა ინფორმაციული უსაფრთხოების რისკების მართვის წესის გამოყენების სფეროსა და საზღვრების დადგენის პროცესში გაითვალისწინოს შემდეგი: ა) სუბიექტის სტრატეგიული ბიზნესმიზნები, სტრატეგია და პოლიტიკა; ბ) სამუშაო (ბიზნეს) პროცესები; გ) სუბიექტის ფუნქციები და სტრუქტურა; დ) სუბიექტის შესაბამისი იურიდიული, მარეგულირებელი და სახელშეკრულებო მოთხოვნები; ე) სუბიექტის ინფორმაციული უსაფრთხოების პოლიტიკა; ვ) სუბიექტის ზოგადი მიდგომა რისკების მართვისადმი; ზ) ინფორმაციული აქტივები; თ) სუბიექტის ადგილმდებარეობა და მისი გეოგრაფიული მახასიათებლები; ი) სუბიექტზე გავლენის მომხდენი ფაქტორები; კ) მესამე მხარის მოლოდინები; ლ) სოციალურ-კულტურული გარემო. მუხლი 5🔗. ინფორმაციული უსაფრთხოების რისკების მართვის ორგანიზაციული სტრუქტურა დადგინდეს და დაცულ იქნეს ინფორმაციული უსაფრთხოების რისკების მართვის პროცესისთვის საჭირო ორგანიზაციული სტრუქტურა და პასუხისმგებლობები, კერძოდ: ა) ორგანიზაციაზე მორგებული ინფორმაციული უსაფრთხოების რისკების მართვის პროცესის შემუშავება; ბ) დაინტერესებული პირების გამოვლენა; გ) ყველა მხარის (როგორც შიდა, ასევე გარე) როლისა და პასუხისმგებლობის განსაზღვრა ორგანიზაციისთვის; დ) გადაწყვეტილების მიღების წესის განსაზღვრა; ე) აღრიცხვიანობის (რეგისტრირების, ჩანაწერების) მახასიათებლები. მუხლი 6🔗. ინფორმაციული უსაფრთხოების რისკების მართვის პროცესი 1.ინფორმაციული უსაფრთხოების მართვის პროცესი (დანართი №2) შედგება შემდეგი თანმიმდევრული პროცესებისგან: ა) ორგანიზაციული გარემოს განსაზღვრა (დანართი №3): ბ) რისკების შეფასება (დანართი №4): გ) რისკებთან მოპყრობა (დანართი №5): დ) რისკების მიღება (დანართი №6): ე) რისკების შესახებ ინფორმირება (დანართი №7): ვ) რისკების მონიტორინგი და განხილვა (დანართი №8) . 2. რისკების შეფასებისა ან/და რისკებთან მოპყრობის ქმედებების თვალსაზრისით, ინფორმაციული უსაფრთხოების მართვის პროცესი შეიძლება იყოს განმეორებადი ხასიათის. რისკის შეფასების მართვის განმეორებადობამ შესაძლოა გააღრმავოს და უფრო დეტალური გახადოს შეფასება ყოველი შემდგომი ციკლისას. განმეორებადი ხასიათის მიდგომა წარმოადგენს საუკეთესო ბალანსს დროის დაზოგვასა და კონტროლის მექანიზმის იდენტიფიცირებას შორის, ამავდროულად, უზრუნველყოფს მაღალი დონის რისკების შესაბამის შეფასებას. მუხლი 7🔗. ძირითადი კრიტერიუმები 1. შერჩეული და შემუშავებული იქნეს რისკების მართვის ისეთი მიდგომა, რომელიც ითვალისწინებს ისეთ ძირითად კრიტერიუმებს, როგორებიცაა: რისკების შეფასების, გავლენის და რისკების მიღების კრიტერიუმები. 2. ორგანიზაციის ინფორმაციული უსაფრთხოების რისკების შეფასების მიზნით შემუშავებულ იქნეს რისკების დონის დადგენის კრიტერიუმები, რაც გულისხმობს: ა) ინფორმაციული აქტივების კრიტიკულობას; ბ) იურიდიულ და მარეგულირებელ მოთხოვნებს, სახელშეკრულებო ვალდებულებებს; გ) ხელმისაწვდომობის, კონფიდენციალურობისა და მთლიანობის მნიშვნელობას; დ) დაინტერესებული პირების მოლოდინებსა და აღქმას, ასევე რეპუტაციის შელახვის უარყოფით შედეგებს. 3. ორგანიზაციისთვის მიყენებული ზიანის ან ხარჯების დონის გათვალისწინებით, რომელიც შესაძლოა გამოწვეული იყოს ინფორმაციული უსაფრთხოების შემთხვევის მიერ, შემუშავებულ და განსაზღვრულ იქნეს გავლენის კრიტერიუმები, რაც მოიცავს შემდეგს: ა) რისკის გავლენის ქვეშ არსებული ინფორმაციული აქტივის კლასიფიკაციის დონეს; ბ) ინფორმაციული უსაფრთხოების ინციდენტს (მაგალითად: კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დაკარგვა): გ) შეფერხებას სამუშაო პროცესებში (შიდა ან მესამე მხარის): დ) ფინანსურ ზიანს; ე) გეგმებისა და მათი შესრულების ვადების დარღვევას; ვ) რეპუტაციის შელახვას; ზ) იურიდიული, მარეგულირებელი და სახელშეკრულებო მოთხოვნების დარღვევას. 4. შემუშავებულ და განსაზღვრულ იქნეს რისკის მიღების კრიტერიუმები (დანართი №1). რისკის მიღების კრიტერიუმები დამოკიდებულია ორგანიზაციის პოლიტიკაზე, მიზნებზე და დაინტერესებული პირების ინტერესებზე. ორგანიზაციამ თავად უნდა განსაზღვროს დასაშვები რისკის საკუთარი სქემა, თუმცა რისკის მიღების კრიტერიუმები უნდა ითვალისწინებდეს და ეფუძნებოდეს: ა) ინფორმაციული აქტივის კრიტიკულობას; ბ) სამართლებრივ ასპექტებს; გ) სამუშაო პროცესებს; დ) ტექნოლოგიას; ე) ფინანსებს; ვ) სოციალურ და ადამიანურ ფაქტორებს. მუხლი 8🔗. წესის გადახედვა წესში ცვლილებების განხორციელების საჭიროების თაობაზე წინადადებების არსებობის შემთხვევაში, საქართველოს თავდაცვის სამინისტროს სისტემის შესაბამისი სტრუქტურული ქვედანაყოფი მიმართავს სსიპ – კიბერუსაფრთხოების ბიუროს, რომელიც თავის მხრივ ახორციელებს შესაბამისი ცვლილებების ინიციირებას.