📋 ეს დოკუმენტი აუქმებს 1 აქტს

ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ

საქართველოს მინისტრის ბრძანება მოქმედი თავდაცვა
მიღების თარიღი 08.07.2022
გამომცემი ორგანო საქართველოს თავდაცვის მინისტრი
ნომერი №48
სარეგისტრაციო კოდი 120340000.22.026.017004
გამოქვეყნების წყარო ვებგვერდი, 12/07/2022
matsne.gov.ge 811 სიტყვა · ~4 წთ
📄 ტექსტზე გადასვლა ↓
08.07.2022 მიღება
📖 ტერმინთა განმარტებები (7)
ავტორიზებული ერთეული
ინდივიდი, სუბიექტი ან პროცესი, რომელსაც გააჩნია აქტივზე წვდომის უფლება
მუხლი 2
ინფორმაციული აქტივი (შემდგომში
„აქტივი“) – ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის
მუხლი 2
კონფიდენციალურობა
აქტივის მახასიათებელი, რომლის თანახმადაც აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის
მუხლი 2
კრიტიკული ინფორმაციული სისტემის სუბიექტი  (შემდგომში
„ორგანიზაცია“) – საქართველოს მთავრობის დადგენილებით თავდაცვის სფეროში განსაზღვრული სუბიექტები
მუხლი 2
მთლიანობა
აქტივის სიზუსტის და სისრულის მახასიათებელი
მუხლი 2
მფლობელი
პირი ან ორგანიზაციული ერთეული, რომელსაც გააჩნია აქტივის შემუშავების, განვითარების, მხარდაჭერის, გამოყენების და დაცვის მართვის დადასტურებული  უფლება. „მფლობელი“ არ ნიშნავს, რომ მას გააჩნია აქტივზე რაიმე სახის საკუთრების უფლება
მუხლი 2
ხელმისაწვდომობა
ავტორიზებული სუბიექტის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი.
მუხლი 2
დამატებითი მეტამონაცემები (1)
საქართველოს თავდაცვის მინისტრი ჯუანშერ ბურჭულაძე საქართველოს თავდაცვის მინისტრი
📋 აუქმებს 1 📥 უკუმითითებები 1 🧠 სემანტიკური 5
🕸️ გრაფი — კავშირების ვიზუალიზაცია
📋 აუქმებს — 1 აქტი
📥 უკუმითითებები — 1 დოკუმენტი

🧠 სემანტიკურად მსგავსი დოკუმენტები

მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივების მართვის წესების დადგენის შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება 86% 14.12.2021 აჭარის ავტონომიური რესპუბლიკის საკუთრებაში არსებულ სანერგე, საჩი­თილე და სასათბურე მეურნეობებში წარმოებული ადგილობრივი და ინტრო­დუ­ცირებული ერთწლიანი და მრავალწლიანი სასოფლო-სამეურნეო და დეკორატიული კულტურების, სარგავი/სათესლე მასალის, ნაყოფისა და გადამუშავების შედეგად მიღებული პროდუქციის საფასურის განსაზღვრის, ამ ქონების აღრიცხვის, შენახვის, შეფასებისა და განკარგვის წესის დამტკიცების თაობაზე ავტონომიური რესპუბლიკის მთავრობის დადგენილება 84% 04.08.2015 „შეცდომაში შემყვან პროდუქტებთან დაკავშირებით, რომლებიც საფრთხის ქვეშ აყენებს მომხმარებლის ჯანმრთელობას ან უსაფრთხოებას“ − ტექნიკური რეგლამენტის დამტკიცების შესახებ საქართველოს მთავრობის დადგენილება 83% 30.12.2016 პროდუქტის უსაფრთხოებისა და თავისუფალი მიმოქცევის კოდექსში ცვლილების შეტანის შესახებ ნორმატიული აქტების პროექტები 82% 11.11.2019 მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტისთვის ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დადგენის შესახებ ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება 82% 14.12.2021

დოკუმენტის ტექსტი

ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ საქართველოს თავდაცვის მინისტრის ბრძანება №48 2022 წლის 8 ივლისი ქ. თბილისი ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-6 პუნქტის „გ“ ქვეპუნქტისა და „ნორმატიული აქტების შესახებ“ საქართველოს ორგანული კანონის 25-ე მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტის საფუძველზე,  ვბრძანებ: მუხლი 1🔗 დამტკიცდეს ინფორმაციული აქტივების მართვის წესები. მუხლი 2🔗 ძალადაკარგულად გამოცხადდეს „ინფორმაციული აქტივების მართვის წესების დამტკიცების შესახებ” საქართველოს თავდაცვის მინისტრის 2014 წლის 7 აპრილის №28 ბრძანება. მუხლი 3🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.საქართველოს თავდაცვის მინისტრიჯუანშერ ბურჭულაძე ინფორმაციული აქტივების მართვის წესები მუხლი 1🔗. ზოგადი დებულებები 1. „ინფორმაციული აქტივების მართვის წესები“ (შემდგომ – „წესები“) თავსებადია, ერთი მხრივ, „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონთან, ხოლო, მეორე მხრივ, იგი ითვალისწინებს ISO 27001 „ინფორმაციული უსაფრთხოების მართვის სისტემის“ მოთხოვნებს. 2. აქტივების მართვის წესების მიზანია განახორციელოს ინფორმაციული უსაფრთხოების მართვის სისტემის (შემდგომში – „იუმს“) გავრცელების სფეროში გამოვლენილი ყველა აქტივის მართვა. 3. აქტივები წარმოადგენს იუმს-ის საფუძველს, რომლის დანიშნულება არის აქტივების დამცავი და უსაფრთხოების კონტროლის ადეკვატური  მექანიზმების დანერგვა და დაინტერესებული მხარეების ნდობის გამყარება. 4. აქტივების სრულყოფილი მართვა წარმოადგენს ორგანიზაციაში იუმს-ის დანერგვის და წარმატებული ფუნქციონირების მნიშვნელოვან ფაქტორს. ამასთანავე, აქტივების მართვა განიხილება ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების ერთ-ერთ მოთხოვნად. მუხლი 2🔗. ტერმინთა განმარტებები  წესებში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა: ა) ავტორიზებული ერთეული – ინდივიდი, სუბიექტი ან პროცესი, რომელსაც გააჩნია აქტივზე წვდომის უფლება; ბ) ინფორმაციული აქტივი (შემდგომში – „აქტივი“) – ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის; გ) კონფიდენციალურობა – აქტივის მახასიათებელი, რომლის თანახმადაც აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; დ) კრიტიკული ინფორმაციული სისტემის სუბიექტი  (შემდგომში – „ორგანიზაცია“) – საქართველოს მთავრობის დადგენილებით თავდაცვის სფეროში განსაზღვრული სუბიექტები; ე) მთლიანობა – აქტივის სიზუსტის და სისრულის მახასიათებელი; ვ) მფლობელი – პირი ან ორგანიზაციული ერთეული, რომელსაც გააჩნია აქტივის შემუშავების, განვითარების, მხარდაჭერის, გამოყენების და დაცვის მართვის დადასტურებული  უფლება. „მფლობელი“ არ ნიშნავს, რომ მას გააჩნია აქტივზე რაიმე სახის საკუთრების უფლება; ზ) ხელმისაწვდომობა – ავტორიზებული სუბიექტის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი. მუხლი 3🔗. აქტივების მართვა აქტივების მართვა მოიცავს: აქტივის აღწერას, მის შეფასებას, კლასიფიცირებას, წვდომას, შეცვლას, გაცემას (გამოქვეყნებას) და განადგურებას. მუხლი 4🔗. აქტივების აღწერა 1. აქტივების აღწერა გულისხმობს: ა) აქტივების ინვენტარიზაციას – ყველა აქტივი ზუსტად იქნეს გამოვლენილი და აღწერილი; ბ) ორგანიზაციის მიერ კონკრეტულ აქტივზე პასუხისმგებელი პირის ან სტრუქტურული ერთეულის განსაზღვრას; გ) მფლობელის დადგენას –  გამოვლინილ იქნეს ყველა აქტივის მფლობელი და განისაზღვროს პასუხისმგებლობები კონტროლის შესაბამის მექანიზმებზე. მფლობელს უფლება აქვს განახორციელოს კონტროლის კონკრეტული მექანიზმების დანერგვის დელეგირება, თუმცა ის მაინც რჩება  აქტივის სათანადო დაცვაზე პასუხისმგებელ პირად; დ) აქტივების სათანადო გამოყენებას ინფორმაციისა და ინფორმაციის დამუშავებასთან დაკავშირებული აქტივების მართვის წესების ჩამოყალიბებით, დოკუმენტირებითა და დანერგვით. 2. აქტივების აღწერისთვის ნიმუშის ფორმები წარმოდგენილია №2 დანართში. მუხლი 5🔗. აქტივების შეფასება 1. ორგანიზაციას, ამ წესის მე-4 მუხლის პირველი პუნქტის შესაბამისად, აქტივების აღწერის შემდეგ, მოეთხოვება რისკების ანალიზის და შეფასების ჩატარება. 2. რისკების ანალიზი და შეფასება ორგანიზაციის მიერ ხორციელდება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დამტკიცების შესახებ“ საქართველოს თავდაცვის მინისტრის 2014 წლის 7 აპრილის №26 ბრძანების შესაბამისად. მუხლი 6🔗. აქტივების კლასიფიცირება 1. აქტივების კლასიფიცირების მიზანია ინფორმაციის დაცვის სათანადო დონის უზრუნველყოფა. 2. ინფორმაციას გააჩნია სხვადასხვა ხარისხის სენსიტიურობა და კრიტიკულობა, რაც მოითხოვს დაცვის შესაბამისი ხარისხის უზრუნველყოფას ან მოპყრობის გარკვეული წესების არსებობას. ინფორმაციის დაცვის დონე ან/და მოპყრობის საშუალებები განისაზღვრება ინფორმაციის კლასიფიკაციაზე დაყრდნობით, „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დამტკიცების შესახებ“ საქართველოს თავდაცვის მინისტრის 2014 წლის 7 აპრილის №26 ბრძანების შესაბამისად. 3. ინფორმაციული აქტივი, მიუხედავად იმისა არის თუ არა კლასიფიცირებული კონფიდენციალურ და შინასამსახურებრივი გამოყენების ინფორმაციად, ექვემდებარება შესაბამის მარკირებას. მუხლი 7🔗. კლასიფიცირების პროცედურები 1. კლასიფიკაციის სახელმძღვანელოში,  ინფორმაციის კლასიფიცირება განხორციელებულ იქნეს მისი ღირებულების, საკანონმდებლო მოთხოვნების, სენსიტიურობისა და კრიტიკულობის გათვალისწინებით. 2. ჩამოყალიბდეს და დაინერგოს ინფორმაციის მარკირებისა და მისი მოპყრობის სათანადო პროცედურები. 3. იდენტიფიცირებულ იქნეს ის უარყოფითი შედეგები, რამაც შეიძლება გამოიწვიოს აქტივების კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დაკარგვა. 4. გამოვლინდეს აქტივებზე კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დარღვევით გამოწვეული დანაკარგები, ჩატარდეს გავლენის შეფასება, რომლის შედეგადაც აქტივს მიენიჭება კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შესაბამისი დონე (მაგ.: მაღალი, საშუალო, დაბალი). 5. უარყოფითი გავლენის ანალიზისთვის საჭირო კრიტერიუმები შემუშავდეს და განისაზღვროს მიყენებული სავარაუდო ზიანის ან დანახარჯების მოცულობის გათვალისწინებით. უარყოფითი გავლენა შესაძლოა გამოწვეული იქნეს ინფორმაციული უსაფრთხოების ინციდენტით (ინციდენტის სცენარი არის საფრთხის მიერ სუსტი წერტილით ან სუსტი წერტილების ნაკრებით სარგებლობის აღწერა ინფორმაციული უსაფრთხოების ინციდენტის დროს) და გავლენა იქონიოს: ა) ინფორმაციული უსაფრთხოების დარღვევაზე (მაგალითად: კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის დაკარგვა); ბ) ორგანიზაციის საქმიანობისა და ფინანსური ღირებულების შემცირებაზე; გ) გეგმებისა და მათი შესრულების ვადების დარღვევაზე; დ) რეპუტაციის შელახვასა და იურიდიული, მარეგულირებელი და სახელშეკრულებო მოთხოვნების დარღვევაზე. 6. განისაზღვროს ინციდენტის თითოეული სცენარის გავლენა საქმიანობაზე, რამაც შესაძლოა გავლენა იქონიოს ერთ ან მეტ აქტივზე ან მის ნაწილზე. აქტივებს შესაძლოა დადგენილი ჰქონდეთ ფასეულობა, როგორც ფინანსური, ასევე, საქმიანობისთვის უარყოფითი შედეგების კუთხით, უარყოფითი შედეგები შესაძლოა იყოს დროებითი ან პერმანენტული, მაგალითად, აქტივის განადგურება. მუხლი 8🔗. აქტივების წვდომა და შეცვლა 1. აქტივის მფლობელი უზრუნველყოფს, ორგანიზაციებისთვის, აქტივებზე შეუფერხებელ წვდომას. 2. აქტივის მფლობელის თანხმობით, შესაძლებელია აქტივის შეცვლა, გადაცემა და განადგურება. მუხლი 9🔗. აქტივის მართვის წესები ორგანიზაცია ინფორმაციული უსაფრთხოების პოლიტიკიდან, პროცედურებიდან და კონტროლის მექანიზმებიდან გამომდინარე განსაზღვრავს აქტივების მართვის წესებს ამ ბრძანების №1 დანართის შესაბამისად. მუხლი 10🔗. წესების გადახედვა წესებში ცვლილებების განხორციელების საჭიროების თაობაზე წინადადებების არსებობის შემთხვევაში,საქართველოს თავდაცვის სამინისტროს სისტემის შესაბამისი სტრუქტურული ქვედანაყოფი მიმართავს სსიპ კიბერუსაფრთხოების ბიუროს, რომელიც თავის მხრივ ახორციელებს შესაბამისი ცვლილებების ინიცირებას.