Document structure
View explanations
Referenced documents
Document Highlights
Consolidated publications
Return back Consolidated versions (08/07/2015 - 12/06/2020)
საქართველოს კანონი
ინფორმაციული უსაფრთხოების შესახებ
ამ კანონის მიზანია, ხელი შეუწყოს ინფორმაციული უსაფრთხოების დაცვის ქმედით და ეფექტიან განხორციელებას, დააწესოს საჯარო და კერძო სექტორების უფლება-მოვალეობები ინფორმაციული უსაფრთხოების დაცვის სფეროში, აგრეთვე განსაზღვროს ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების სახელმწიფო კონტროლის მექანიზმები.
ამ კანონში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:
ა) ინფორმაციული უსაფრთხოება – საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენტიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას;
ბ) ინფორმაციული უსაფრთხოების პოლიტიკა – ამ კანონით, საქართველოს სხვა ნორმატიული აქტებითა და საერთაშორისო შეთანხმებებით გათვალისწინებული ნორმებისა და პრინციპების, აგრეთვე პრაქტიკის ერთობლიობა, რომელიც ემსახურება ინფორმაციული უსაფრთხოების უზრუნველყოფას და შეესაბამება მისი დაცვის სფეროში დადგენილ საერთაშორისო სტანდარტებს;
გ) კიბერსივრცე – სივრცე, რომლის განმასხვავებელი ნიშანია ელექტრონული მოწყობილობებისა და ელექტრომაგნიტური სპექტრის გამოყენება ქსელით დაკავშირებული სისტემებისა და დამხმარე ფიზიკური ინფრასტრუქტურის მეშვეობით მონაცემთა შენახვისათვის, შეცვლისათვის ან გაცვლისათვის;
დ) კიბერშეტევა – ქმედება, როდესაც ელექტრონული მოწყობილობა ან/და მასთან დაკავშირებული ქსელი ან სისტემა გამოიყენება კრიტიკულ ინფორმაციულ სისტემაში შემავალი სისტემების, ქონების ან ფუნქციების მთლიანობის დარღვევის, შეფერხების ან განადგურების ან ინფორმაციის უკანონოდ მოპოვების გზით;
ე) კომპიუტერული ინციდენტი – ინფორმაციული უსაფრთხოების პოლიტიკის რეალური ან პოტენციური დარღვევა, რომელიც ხორციელდება ინფორმაციული ტექნოლოგიის გამოყენებით და იწვევს ინფორმაციის უნებართვო წვდომას, გამჟღავნებას, დაზიანებას ან შეფერხებას ან ინფორმაციული რესურსის მიტაცებას;
ვ) კრიტიკული ინფორმაციული სისტემა − ინფორმაციული სისტემა, რომლის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალური ფუნქციონირებისათვის;
ზ) კრიტიკული ინფორმაციული სისტემის სუბიექტი – სახელმწიფო ორგანო ან იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისათვის;
თ) კონფიდენციალური ინფორმაცია – ინფორმაცია, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფას, სავარაუდოდ, მოჰყვება კრიტიკული ინფორმაციული სისტემის სუბიექტის ფუნქციებისათვის მნიშვნელოვანი ზიანი და რომლის კონფიდენციალურ ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;
ი) შინასამსახურებრივი გამოყენების ინფორმაცია – ინფორმაცია, რომელიც განკუთვნილია მხოლოდ კრიტიკული ინფორმაციული სისტემის სუბიექტის თანამშრომლისათვის ან/და მასთან სახელშეკრულებო ურთიერთობის მქონე პირისათვის, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფა, სავარაუდოდ, გამოიწვევს კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ თავისი ფუნქციების შესრულების მნიშვნელოვან შეფერხებას ან ზიანს მიაყენებს სახელმწიფო ხელისუფლების ორგანოს უსაფრთხოებას, სახელმწიფო ინტერესს ან კერძო პირის საქმიან რეპუტაციას და რომლის შინასამსახურებრივი გამოყენების ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;
კ) ინფორმაციული აქტივი − ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის;
ლ) ინფორმაციული სისტემა − ინფორმაციული ტექნოლოგიებისა და ამ ტექნოლოგიების გამოყენებით განხორციელებული ქმედებების ნებისმიერი კომბინაცია, რომელიც ხელს უწყობს მართვას ან/და გადაწყვეტილების მიღებას;
მ) ქსელური სენსორი – მოწყობილობა, რომელიც სპეციალურად გამიზნულია ქსელის სეგმენტის მონიტორინგისთვის, ისეთი ქმედებების გამოსავლენად, რომლებიც მიუთითებს ინფორმაციული სისტემის წინააღმდეგ წარმოებულ შეტევაზე ან მასში შეღწევაზე.
ნ) მონაცემთა გაცვლის სააგენტო − საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი (შემდგომ − მონაცემთა გაცვლის სააგენტო);
ო) კიბერუსაფრთხოების ბიურო − საქართველოს თავდაცვის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი (შემდგომ − კიბერუსაფრთხოების ბიურო).
მუხლი 3. კანონის მოქმედების სფერო
1. ამ კანონის მოქმედება ვრცელდება ყველა იურიდიულ პირსა და სახელმწიფო ორგანოზე, რომლებიც კრიტიკული ინფორმაციული სისტემის სუბიექტები არიან. ამ კანონის მოქმედება ასევე ვრცელდება ისეთ ორგანიზაციასა და უწყებაზე, რომლებიც კრიტიკული ინფორმაციული სისტემის სუბიექტს ექვემდებარებიან ან ამ სუბიექტთან დაკავშირებული არიან დასაქმების, სტაჟირების, სახელშეკრულებო ან სხვა ურთიერთობით და რომლებიც უზრუნველყოფენ ინფორმაციული აქტივის წვდომას ასეთი ურთიერთობის ფარგლებში.
2. კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის დადგენილებით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას მხედველობაში მიიღება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა საზოგადოების ნორმალური ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის ამ კანონიდან გამომდინარე ვალდებულებების დაკისრებას მოჰყვება.
3. ამ კანონის მოქმედება არ ვრცელდება მასმედიაზე, გამომცემლობათა რედაქციებზე, სამეცნიერო, საგანმანათლებლო, რელიგიურ და საზოგადოებრივ ორგანიზაციებსა და პოლიტიკურ პარტიებზე, მიუხედავად იმისა, თუ რამდენად მნიშვნელოვანია მათი საქმიანობა ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის.
4. ნებისმიერ იურიდიულ პირსა და სახელმწიფო ხელისუფლების ორგანოს, რომელიც არ არის კრიტიკული ინფორმაციული სისტემის სუბიექტი, უფლება აქვს, ნებაყოფლობით აიღოს ამ კანონიდან გამომდინარე ვალდებულებები.
5. ამ კანონის მოქმედება არ ვრცელდება კრიტიკული ინფორმაციული სისტემის სუბიექტის წინასწარი თანხმობით ნებადართულ ქმედებაზე, რომლის მიზანია ინფორმაციული უსაფრთხოების ტესტირება.
6. ამ კანონის დებულებები გავლენას არ ახდენს საქართველოს კანონმდებლობით გათვალისწინებული იმ ნორმების მოქმედებაზე, რომლებიც არეგულირებს ინფორმაციის თავისუფლებას, პერსონალური მონაცემის დამუშავებას, სახელმწიფო, კომერციული და პირადი საიდუმლოებების დაცვას.
თავი II. ინფორმაციული უსაფრთხოების ორგანიზება და უზრუნველყოფა
მუხლი 4. ინფორმაციული უსაფრთხოების წესები
1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია მიიღოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები, რომლებიც ემსახურება ამ კანონის დებულებათა აღსრულებას და განსაზღვრავს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას.
2. ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (კრიტიკული ინფორმაციული სისტემის სუბიექტის კრიტიკულობის კლასიფიცირების გათვალისწინებით), რომლებსაც განსაზღვრავს მონაცემთა გაცვლის სააგენტო სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების შესაბამისად.
3. კრიტიკული ინფორმაციული სისტემის სუბიექტი ამ მუხლის პირველი პუნქტის თანახმად მიღებულ ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებს განსახილველად წარუდგენს მონაცემთა გაცვლის სააგენტოს. მონაცემთა გაცვლის სააგენტოს ასევე ეცნობება ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებში შეტანილი ნებისმიერი ცვლილება. მონაცემთა გაცვლის სააგენტო ახორციელებს ამგვარად მოწოდებული დოკუმენტების ზოგად ანალიზს და წარადგენს რეკომენდაციებს მათში აღმოჩენილი ხარვეზების გამოსასწორებლად.
4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დოკუმენტების გარდა, მონაცემთა გაცვლის სააგენტოს ხელი არ მიუწვდება კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციასა და ინფორმაციულ აქტივზე, გარდა იმ შემთხვევისა, როდესაც კრიტიკული ინფორმაციული სისტემის სუბიექტი ნებაყოფლობით უზრუნველყოფს მონაცემთა გაცვლის სააგენტოსთვის ინფორმაციისა და ინფორმაციული აქტივის ხელმისაწვდომობას.
მუხლი 5. ინფორმაციული აქტივების მართვა
1. კრიტიკული ინფორმაციული სისტემის სუბიექტი, ამ კანონის მე-4 მუხლის პირველი პუნქტით გათვალისწინებული შინასამსახურებრივი გამოყენების წესების შესაბამისად, ატარებს ინფორმაციული სისტემების ინვენტარიზაციას ყველა ინფორმაციული აქტივის აღრიცხვის მიზნით, რის შედეგადაც ყოველ ინფორმაციულ აქტივს მიენიჭება კრიტიკულობის შესაბამისი კლასი – კონფიდენციალური ან შინასამსახურებრივი გამოყენების. ყველა სხვა ინფორმაციული აქტივი, რომელთა კლასიფიცირება საჭირო არ არის, ღია ინფორმაციად ითვლება.
2. ინფორმაციული აქტივების აღრიცხვის შედეგად აღიწერება ყოველი ინფორმაციული აქტივის მნიშვნელობა, ფასეულობა, უსაფრთხოებისა და დაცვის არსებული დონე.
3. ინფორმაციული აქტივის შექმნის დროს კრიტიკულობის შესაბამის კლასს ადგენს აქტივის ავტორი ან/და აქტივზე პასუხისმგებელი პირი.
4. ინფორმაციული აქტივების მართვის წესებს, კერძოდ, მათი აღწერის, კლასიფიცირების, წვდომის, გაცემის (გამოქვეყნების), შეცვლისა და განადგურების წესებს, ნორმატიული აქტით ადგენს მონაცემთა გაცვლის სააგენტო, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას.
მუხლი 6. ინფორმაციული უსაფრთხოების აუდიტი და ინფორმაციული სისტემების ტესტირება
1. კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით, მონაცემთა გაცვლის სააგენტო ან მონაცემთა გაცვლის სააგენტოს მიერ ავტორიზებულ პირთაგან კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული პირი ან ორგანიზაცია ატარებს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების (ინფორმაციული უსაფრთხოების პოლიტიკის) მონაცემთა გაცვლის სააგენტოს მიერ დადგენილ უსაფრთხოების მინიმალურ სტანდარტებთან თავსებადობის შეფასებას (ინფორმაციული უსაფრთხოების აუდიტი). აუდიტის ჩატარების შემდეგ დგება დასკვნა, რომლის მოთხოვნების შესრულება სავალდებულოა.
2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესს ნორმატიული აქტით ადგენს მონაცემთა გაცვლის სააგენტო.
3. მონაცემთა გაცვლის სააგენტოს მიერ ჩატარებული ინფორმაციული უსაფრთხოების აუდიტის საფასური განისაზღვრება კრიტიკული ინფორმაციული სისტემის სუბიექტთან გაფორმებული ხელშეკრულებით.
4. მონაცემთა გაცვლის სააგენტო ნორმატიული აქტით ადგენს ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესს, ავტორიზაციის პროცედურებს და ავტორიზაციის საფასურს.
5. კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით, მონაცემთა გაცვლის სააგენტო ან მონაცემთა გაცვლის სააგენტოს წინასწარი ნებართვით – კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული დამოუკიდებელი, შესაბამისი კომპეტენციის მქონე პირი ან ორგანიზაცია ატარებს ინფორმაციული სისტემის შეღწევადობის (პენეტრაციის) ტესტს და ამ სისტემის მოწყვლადობის შეფასებას წინასწარ დაგეგმილი და დოკუმენტირებული ამოცანის მიხედვით.
6. თუ ამ მუხლით გათვალისწინებული აუდიტის ან ტესტირების შედეგად გამოვლინდა ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნებთან შეუსაბამობა, კრიტიკული ინფორმაციული სისტემის სუბიექტი ატარებს შეუსაბამობის მიზეზის ანალიზს და, საჭიროების შემთხვევაში, განსაზღვრავს და ახორციელებს სათანადო გამოსასწორებელ ღონისძიებებს, რომელთა გრაფიკსაც წარუდგენს მონაცემთა გაცვლის სააგენტოს.
მუხლი 7. ინფორმაციული უსაფრთხოების მენეჯერი
1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციის სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებისათვის (ინფორმაციული უსაფრთხოების მენეჯერი).
2. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია:
ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;
ბ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;
გ) ინფორმაციული უსაფრთხოების პოლიტიკის შინაუწყებრივი დოკუმენტაციის მომზადება;
დ) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;
ე) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;
ვ) ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;
ზ) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.
3. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღება ამ პუნქტით განსაზღვრული პირის (პირების) მიერ ან მასთან (მათთან) წინასწარი შეთანხმებით.
4. ინფორმაციული უსაფრთხოების მენეჯერი ადგენს ინფორმაციული უსაფრთხოების სამოქმედო გეგმას და ამ გეგმის შესრულების შესახებ ყოველწლიურ ანგარიშს წარუდგენს ამ მუხლის მე-3 პუნქტით განსაზღვრულ პირს (პირებს) და მონაცემთა გაცვლის სააგენტოს.
თავი III. კიბერუსაფრთხოების უზრუნველყოფა
მუხლი 8. მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი
1. ამ კანონის დებულებათა აღსრულებას, კერძოდ, საქართველოს კიბერსივრცეში ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული ინციდენტების მართვას, ასევე ინფორმაციული უსაფრთხოების კოორდინაციისკენ მიმართულ სხვა, მასთან დაკავშირებულ საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი – CERT.GOV.GE (შემდგომ – დახმარების ჯგუფი).
2. კიბერუსაფრთხოების პრიორიტეტულ საფრთხეებს მიეკუთვნება:
ა) კიბერშეტევა, რომელიც საფრთხეს უქმნის ადამიანთა სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებს ან ქვეყნის თავდაცვისუნარიანობას;
ბ) კიბერშეტევა კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული სისტემების წინააღმდეგ;
გ) კიბერშეტევა, რომელიც საფრთხეს უქმნის სახელმწიფოს, ორგანიზაციის ან კერძო პირის ფინანსურ რესურსებს ან/და საკუთრების უფლებას;
დ) სხვა ნებისმიერი ქმედება, რომელიც, მისი ხასიათიდან, მიზნიდან, წყაროდან, მოცულობიდან ან რაოდენობიდან ან მისი აღკვეთისათვის საჭირო რესურსების ოდენობიდან გამომდინარე, კრიტიკული ინფორმაციული სისტემის ნორმალური ფუნქციონირებისათვის საკმარისი საფრთხის შემცველია.
3. დახმარების ჯგუფის მოვალეობებია:
ა) კრიტიკული ინფორმაციული სისტემის ინფორმაციული უსაფრთხოების დაცვის შესახებ რეკომენდაციების გაცემა;
ბ) კომპიუტერული ინციდენტების დროული გამოვლენა;
გ) კომპიუტერულ ინციდენტებზე რეაგირება და მათზე რეაგირების კოორდინაცია;
დ) კომპიუტერული ინციდენტების აღრიცხვა და მათზე რეაგირების პრიორიტეტების დადგენა და კატეგორიზაცია;
ე) კომპიუტერული ინციდენტების ანალიზი;
ვ) კომპიუტერული ინციდენტების შედეგების გამოსწორებისა და ზიანის მინიმიზაციის პროცესში დახმარების გაწევა;
ზ) კომპიუტერული ინციდენტების პრევენციისკენ მიმართული ზომების კოორდინაცია და ამგვარი ზომების დანერგვაში დახმარების გაწევა;
თ) ინფორმაციული უსაფრთხოების საკითხებზე ცნობიერების ამაღლება, მათ შორის, კრიტიკულ ინფორმაციულ სისტემაში არსებული საფრთხეებისა და სუსტი წერტილების შესახებ ინფორმაციის მიწოდება, თუ ინფორმაციის ამგვარი ხელმისაწვდომობა ზიანს არ აყენებს ინფორმაციულ უსაფრთხოებას;
ი) შესაძლო საფრთხეების შესახებ მომხმარებელთა ფართო წრის გაფრთხილება და მისთვის სათანადო ინფორმაციის მიწოდება;
კ) ინფორმაციული უსაფრთხოების საკითხებზე საგანმანათლებლო და ინფორმაციული უზრუნველყოფა;
ლ) საერთაშორისო დონეზე ინფორმაციული უსაფრთხოების საკითხებში წარმომადგენლობა და კოორდინაცია;
მ) სხვა მოვალეობები, რომლებიც დაკავშირებულია ინფორმაციული უსაფრთხოების მიზნებთან და განისაზღვრება კანონით ან სხვა ნორმატიული აქტით.
4. დახმარების ჯგუფს უფლება აქვს, მოითხოვოს კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივის, ინფორმაციული სისტემის ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალი საგნის წვდომა, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე სათანადო რეაგირებისათვის. ინფორმაციული უსაფრთხოების მენეჯერი მოთხოვნის გონივრულ ვადაში განხილვის შედეგად დახმარების ჯგუფს დაუყოვნებლივ აცნობებს შესაბამისი წვდომის შესაძლებლობის ან შეუძლებლობის შესახებ.
5. დახმარების ჯგუფის კომპეტენცია, მუშაობის პროცედურები, კომპიუტერულ ინციდენტებზე რეაგირების მექანიზმები და საქმიანობის სხვა წესები დგინდება მონაცემთა გაცვლის სააგენტოს ნორმატიული აქტით.
მუხლი 9. კომპიუტერული უსაფრთხოების სპეციალისტი
1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციული სისტემის სუბიექტის კომპიუტერული სისტემების უსაფრთხოების პრაქტიკული უზრუნველყოფისათვის (კომპიუტერული უსაფრთხოების სპეციალისტი).
2. კომპიუტერული უსაფრთხოების სპეციალისტის ძირითადი მოვალეობებია:
ა) კომპიუტერული სისტემების ყოველდღიური მონიტორინგი და შეფასება;
ბ) კომპიუტერული ინციდენტების იდენტიფიცირება და მათზე რეაგირება;
გ) კომპიუტერული ინციდენტებისა და უსაფრთხოების ზომების ანალიზი და ანგარიშგება;
დ) დახმარების ჯგუფთან კოორდინაცია;
ე) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.
3. კომპიუტერული უსაფრთხოების სპეციალისტი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული ტექნოლოგიების სამსახურის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის წინაშე.
4. კომპიუტერული უსაფრთხოების სპეციალისტი ხელმისაწვდომი უნდა იყოს ნებისმიერ დროს, მათ შორის, სამუშაო საათების შემდეგ. იგი ვალდებულია უზრუნველყოს მონაცემთა გაცვლის სააგენტოსთან მუდმივი კოორდინაცია კრიტიკული ინფორმაციული სისტემის სუბიექტზე მიმდინარე ან სავარაუდო კიბერშეტევის პირობებში, ასევე ამ კიბერშეტევის შედეგების აღმოფხვრის პროცესში.
5. თუ მიმდინარე ან სავარაუდო კიბერშეტევა განსაკუთრებულ საფრთხეს უქმნის ქვეყნის თავდაცვისუნარიანობას, ეკონომიკურ უსაფრთხოებას, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალურ ფუნქციონირებას, მონაცემთა გაცვლის სააგენტო უფლებამოსილია განახორციელოს კომპიუტერული უსაფრთხოების სპეციალისტების დროებითი კოორდინაცია კიბერშეტევის თავიდან აცილების, მოგერიების ან/და მისი შედეგების აღმოფხვრის მიზნით.
მუხლი 10. კომპიუტერული ინციდენტის იდენტიფიცირება
1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ახორციელებს კომპიუტერული ინციდენტების იდენტიფიცირებას, რაც მოიცავს თითოეული ინციდენტის შესწავლასა და აღწერას და მასზე რეაგირებას.
2. კრიტიკული ინფორმაციული სისტემის სუბიექტთან შეთანხმებით, მონაცემთა გაცვლის სააგენტო და კომპიუტერული უსაფრთხოების სპეციალისტი კრიტიკული ინფორმაციული სისტემის სუბიექტის ქსელში ახორციელებენ კომპიუტერული ინციდენტების იდენტიფიცირებისა და კვლევისათვის აუცილებელი ქსელური სენსორის (სენსორების სისტემის) კონფიგურირებასა და მართვას. ქსელური სენსორის კონფიგურაციის წესები დგინდება მონაცემთა გაცვლის სააგენტოს ნორმატიული აქტით.
3. კომპიუტერული ინციდენტის იდენტიფიცირების შესახებ დაუყოვნებლივ ეცნობება დახმარების ჯგუფს და, აუცილებლობის შემთხვევაში, ხორციელდება გადაუდებელი ღონისძიებები ამ ინციდენტის შესახებ ინფორმაციის შენახვისა და დაცვის მიზნით.
4. დახმარების ჯგუფი შეისწავლის და აღწერს კომპიუტერულ ინციდენტებს და ახორციელებს მათზე ადეკვატურ რეაგირებას ამ კანონით გათვალისწინებული ფუნქციების შესრულებისას.
თავი III1. კიბერუსაფრთხოების ბიურო
მუხლი 101. კიბერუსაფრთხოების ბიუროს სტატუსი და ფუნქციები
1. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტებისათვის ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს თავდაცვის სფეროში ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტის კრიტიკულობის კლასიფიცირების გათვალისწინებით), რომლებსაც განსაზღვრავს კიბერუსაფრთხოების ბიურო სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების შესაბამისად.
2. კიბერუსაფრთხოების ბიურო იქმნება ამ კანონისა და „საჯარო სამართლის იურიდიული პირის შესახებ“ საქართველოს კანონის შესაბამისად.
3. კიბერუსაფრთხოების ბიუროს მოქმედების სფერო არ ვრცელდება მონაცემთა გაცვლის სააგენტოზე, რომლის უფლებამოსილება, ფუნქციები და მოქმედების სფერო განისაზღვრება ამ კანონითა და „საჯარო სამართლის იურიდიული პირის − მონაცემთა გაცვლის სააგენტოს შექმნის შესახებ“ საქართველოს კანონით.
4. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის შესაბამისი აქტით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას მხედველობაში მიიღება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი სახელმწიფოს თავდაცვისუნარიანობის თვალსაზრისით; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა სახელმწიფოს თავდაცვისუნარიანობის შეუფერხებელი ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის შესაბამისი ვალდებულებების დაკისრებას მოჰყვება.
5. კიბერუსაფრთხოების ბიუროს დებულებასა და სტრუქტურას ამტკიცებს საქართველოს თავდაცვის მინისტრი.
6. კიბერუსაფრთხოების ბიუროს ძირითადი ფუნქციაა საქართველოს კანონმდებლობით, მათ შორის, ამ კანონით, მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში საქმიანობის განხორციელება.
7. ამ კანონის მე-6 და მე-7 მუხლების, მე-9 მუხლის მე-4 პუნქტისა და მე-10 მუხლის მე-2 პუნქტის მოქმედება არ ვრცელდება კიბერუსაფრთხოების ბიუროს საქმიანობაზე.
მუხლი 102. კიბერუსაფრთხოების ბიუროს დირექტორი
1. კიბერუსაფრთხოების ბიუროს დირექტორს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს საქართველოს თავდაცვის მინისტრი.
2. კიბერუსაფრთხოების ბიუროს დირექტორს ჰყავს ორი მოადგილე, მათ შორის, ერთი პირველი მოადგილე, რომელიც ასრულებს დირექტორის მოვალეობას მისი არყოფნის შემთხვევაში. დირექტორის მოადგილეებს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს კიბერუსაფრთხოების ბიუროს დირექტორი საქართველოს თავდაცვის მინისტრთან შეთანხმებით.
3. კიბერუსაფრთხოების ბიუროს დირექტორი მოქმედებს ამ კანონითა და კიბერუსაფრთხოების ბიუროს დებულებით მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში.
4. კიბერუსაფრთხოების ბიუროს დირექტორი უფლებამოსილია საქართველოს კანონმდებლობით დადგენილი წესით თანამდებობაზე დანიშნოს და თანამდებობიდან გაათავისუფლოს კიბერუსაფრთხოების ბიუროს თანამშრომლები.
5. კიბერუსაფრთხოების ბიუროს დირექტორი გამოსცემს ნორმატიულ აქტს – ბრძანებას ამ კანონითა და საქართველოს სხვა საკანონმდებლო აქტებით განსაზღვრულ შემთხვევებსა და ფარგლებში. კიბერუსაფრთხოების სფეროში თავდაცვის პოლიტიკის მარეგულირებელ ნორმატიულ აქტებს გამოსცემს საქართველოს თავდაცვის მინისტრი.
6. კიბერუსაფრთხოების ბიუროს საშტატო განრიგსა და თანამდებობრივ სარგოებს ამტკიცებს საქართველოს თავდაცვის მინისტრი საქართველოს კანონმდებლობით დადგენილი წესით.
მუხლი 103. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი
1. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტებზე განხორციელებული იმ კიბერშეტევის, რომელიც საფრთხეს უქმნის ადამიანის სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებსა და ქვეყნის თავდაცვისუნარიანობას, აგრეთვე ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული სხვა ინციდენტების მართვას და მასთან დაკავშირებულ იმ საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი – CERT.MOD.GOV.GE (შემდგომ – კიბერუსაფრთხოების ბიუროს დახმარების ჯგუფი).
2. კიბერუსაფრთხოების ბიუროს დახმარების ჯგუფისათვის პრიორიტეტული საფრთხეები და ამ ჯგუფის მოვალეობები თავდაცვის სფეროში განისაზღვრება ამ კანონის მე-8 მუხლის მე-2 და მე-3 პუნქტებით.
თავი IV. გარდამავალი და დასკვნითი დებულებები
მუხლი 11. გარდამავალი დებულებები
1. ამ კანონის ამოქმედებიდან 6 თვის ვადაში საქართველოს პრეზიდენტმა გამოსცეს ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.
2. ამ კანონის ამოქმედებიდან 6 თვის ვადაში მონაცემთა გაცვლის სააგენტომ გამოსცეს შემდეგი ნორმატიული აქტები:
ა) ბრძანება „მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;
ბ) ბრძანება „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ“;
გ) ბრძანება „ქსელური სენსორის კონფიგურაციის წესების შესახებ“;
დ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;
ე) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურებისა და ავტორიზაციის საფასურის შესახებ“;
ვ) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის შესახებ“;
ზ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.
3. საქართველოს მთავრობამ 2014 წლის 1 აპრილამდე უზრუნველყოს „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“ დადგენილების მიღება.
4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დადგენილების მიღებამდე იურიდიულ ძალას ინარჩუნებს საქართველოს პრეზიდენტის 2013 წლის 11 მარტის №157 ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.
5. საქართველოს თავდაცვის სამინისტრომ 2014 წლის 1 აპრილამდე უზრუნველყოს კიბერუსაფრთხოების ბიუროს შექმნის მიზნით საქართველოს კანონმდებლობით განსაზღვრული შესაბამისი ღონისძიებების განხორციელება.
6. საქართველოს თავდაცვის მინისტრმა 2014 წლის 1 აპრილამდე გამოსცეს შემდეგი ნორმატიული აქტები:
ა) ბრძანება „საჯარო სამართლის იურიდიული პირის − კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;
ბ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;
გ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.
საქართველოს 2013 წლის 20 სექტემბრის კანონი №1250 – ვებგვერდი, 01.10.2013წ.
ეს კანონი ამოქმედდეს 2012 წლის 1 ივლისიდან.
საქართველოს პრეზიდენტი მ . სააკაშვილი
თბილისი,
2012 წლის 5 ივნისი.
№6391- Iს
Закон Грузии
Об информационной безопасности
Глава I. Общие положения
Статья 1. Цель Закона
Целью настоящего Закона является содействие действенному и эффективному осуществлению соблюдения информационной безопасности, установление прав и обязанностей публичного и частного секторов в сфере соблюдения информационной безопасности, а также определение механизмов государственного контроля за осуществлением политики информационной безопасности.
Статья 2. Разъяснение терминов
Термины, используемые в настоящем Законе, имеют следующие значения:
а) информационная безопасность – деятельность, обеспечивающая соблюдение правил доступа, единства, аутентичности, конфиденциальности информации и информационных систем и их работы в течение длительного времени;
б) политика информационной безопасности – совокупность норм и принципов, а также практики, предусмотренных настоящим Законом, другими нормативными актами и международными соглашениями Грузии, служащих обеспечению информационной безопасности и соответствующих международным стандартам, установленным в сфере их соблюдения;
в) киберпространство – пространство, отличительной особенностью которого является использование электронных устройств и электромагнитного спектра посредством связанных в сети систем и вспомогательной физической инфраструктуры для хранения, замены или обмена данными;
г) кибератака – деяние, во время совершения которого электронное устройство или (и) связанная с ним сеть либо система используется вследствие нарушения, создания препятствий или уничтожения систем, имущества или функций, входящих в критическую информационную систему, либо путем незаконного добывания информации;
д) компьютерный инцидент – реальное или потенциальное нарушение в сфере политики информационной безопасности в результате использования информационных технологий, влекущее доступ, разглашение информации без разрешения на то, ее повреждение или создание помех либо завладение информационным ресурсом;
е) критическая информационная система – информационная система, непрерывное функционирование которой имеет важное значение для обороны или (и) экономической безопасности страны, нормального функционирования органов государственной власти или (и) общества;
ж) субъект критической информационной системы – государственный орган или юридическое лицо, непрерывное функционирование информационной системы которого имеет важное значение для обороны или (и) экономической безопасности страны, сохранения государственной власти или (и) общественной жизни;
з) конфиденциальная информация – информация, посягательство на конфиденциальность, целостность или доступность которой может повлечь значительный вред в отношении функций субъекта критической информационной системы и целью классификации которой в качестве конфиденциальной информации является обеспечение правил управления информационными активами, за исключением правил, согласно которым Общий административный кодекс Грузии определяет доступность публичной информации;
и) информация для внутрислужебного пользования – информация, предназначенная только для сотрудников субъекта критической информационной системы или (и) для лиц, имеющих с ним договорные отношения, посягательство на конфиденциальность, целостность или доступность которой может повлечь создание существенных препятствий при выполнении субъектом критической информационной системы своих функций либо нанести ущерб безопасности органа государственной власти, государственным интересам или деловой репутации частных лиц и целью классификации которой в качестве информации для внутрислужебного пользования является обеспечение правил управления информационными активами, за исключением правил, согласно которым Общий административный кодекс Грузии определяет доступность публичной информации;
к) информационный актив – вся информация и знания (в частности, технологические средства хранения, обработки и передачи информации, сотрудники и их знания относительно обработки информации), которые представляют ценность для субъекта критической информационной системы;
л) информационная система – любая комбинация информационных технологий и действий, осуществленных с использованием данных технологий, содействующих управлению или (и) принятию решения;
м) сетевой сенсор – устройство, специально предназначенное для мониторинга сегмента сети с целью выявления деяний, указывающих на атаку против информационной системы или на проникновение в нее.
н) Агентство по обмену данными – юридическое лицо публичного права, действующее в сфере управления Министерства юстиции Грузии (далее – Агентство по обмену данными);( 24.12.2013 №1829)
о) Бюро кибербезопасности – юридическое лицо публичного права, действующее в сфере управления Министерства обороны Грузии (далее – Бюро кибербезопасности).(24.12.2013 №1829)
Статья 3. Сфера действия Закона
1. Действие настоящего Закона распространяется на все юридические лица и государственные органы, являющиеся субъектами критической информационной системы. Действие настоящего Закона также распространяется на организации и ведомства, которые подчиняются субъекту критической информационной системы или связаны с данным субъектом отношениями в сфере занятости, стажировки, договорными или иными отношениями и которые обеспечивают доступ к информационным активам в пределах данных отношений.
2. Список субъектов критической информационной системы утверждается и классификация критичности соответствующего субъекта устанавливается постановлением Правительства Грузии, проект которого представляет на утверждение Правительству Грузии Министерство юстиции Грузии по согласованию с Министерством обороны Грузии и Министерством внутренних дел Грузии и Службой государственной безопасности Грузии. Во время составления данного списка во внимание принимаются следующие критерии: тяжесть и масштаб предполагаемых последствий работы информационной системы с помехами или ее выхода из строя; тяжесть предполагаемого экономического ущерба для субъекта или (и) государства; необходимость оказания информационной системой услуг для нормального функционирования общества; число пользователей информационной системы; материальное положение субъекта и размер предполагаемых расходов вследствие возложения на него обязательств исходя из настоящего Закона. (8.07.2015 N3933)
3. Действие настоящего Закона не распространяется на масс-медиа, редакции изданий, научные, образовательные, религиозные и общественные организации и политические партии независимо от степени значимости их деятельности для обороны или (и) экономической безопасности страны, сохранения государственной власти или (и) общественной жизни.
4. Любое юридическое лицо и орган государственной власти, не являющиеся субъектами критической информационной системы, вправе в добровольном порядке взять на себя обязательства, вытекающие из настоящего Закона.
5. Действие настоящего Закона не распространяется на действия, разрешенные с предварительного согласия субъекта критической информационной системы, целью которых является тестирование информационной безопасности.
6. Положения настоящего Закона не оказывают влияния на действие норм, предусмотренных законодательством Грузии, регулирующих свободу информации, обработку персональных данных, охрану государственной, коммерческой и личной тайны.
Глава II. Организация и обеспечение информационной безопасности
Статья 4. Правила информационной безопасности
1. Субъект критической информационной системы обязан принять правила информационной безопасности для внутрислужебного пользования, которые служат исполнению положений настоящего Закона и определяют политику информационной безопасности организации.
2. Политика информационной безопасности должна удовлетворять минимальным требованиям информационной безопасности (с учетом классификации критичности субъекта критической информационной системы), определенным Агентством по обмену данными в соответствии со стандартами и требованиями, установленными Международной организацией стандартизации (ISO) и Ассоциацией аудита и контроля информационных систем (ISACA). (24.12.2013 №1829)
3. Субъект критической информационной системы представляет Агентству по обмену данными на рассмотрение правила информационной безопасности для внутрислужебного пользования, принятые согласно пункту первому настоящей статьи. Агентство по обмену данными также уведомляется о любом изменении, вносимом в правила информационной безопасности для внутрислужебного пользования. Агентство по обмену данными осуществляет общий анализ документов, предоставленных подобным образом, и представляет рекомендации для устранения выявленных в них недостатков.
4. За исключением документов, предусмотренных пунктом 3 настоящей статьи, Агентство по обмену данными лишено доступа к информации и информационным активам субъекта критической информационной системы, кроме случая, когда субъект критической информационной системы добровольно обеспечивает доступность информации и информационных активов для Агентства по обмену данными.
Статья 5. Управление информационными активами
1. Субъект критической информационной системы в соответствии с правилами для внутрислужебного пользования, предусмотренными пунктом первым статьи 4 настоящего Закона, проводит инвентаризацию информационных систем с целью учета всех информационных активов, в результате чего каждому информационному активу присваивается соответствующий класс критичности – для конфиденциального или внутрислужебного пользования. Все остальные информационные активы, не требующие классификации, считаются открытой информацией.
2. В результате учета информационных активов описывается значение, ценность, безопасность и существующий уровень защиты каждого информационного актива.
3. Во время создания информационного актива соответствующий класс критичности устанавливает автор актива или (и) лицо, ответственное за актив.
4. Правила управления информационными активами, в частности, правила их описания, классификации, доступа к ним, выдачи (опубликования), изменения и уничтожения, устанавливает Агентство по обмену данными нормативным актом, за исключением правил, согласно которым Общий административный кодекс Грузии определяет доступность публичной информации.
Статья 6. Аудит информационной безопасности и тестирование информационных систем
1. С согласия субъекта критической информационной системы Агентство по обмену данными или лицо либо организация, подобранная субъектом критической информационной системы из авторизованных Агентством по обмену данными лиц, проводит оценку соответствия правил информационной безопасности для внутрислужебного пользования (политики информационной безопасности) минимальным стандартам безопасности, установленным Агентством по обмену данными. После проведения аудита составляется заключение, выполнение требований которого является обязательным.
2. Правила проведения аудита информационной безопасности, предусмотренного пунктом первым настоящей статьи, устанавливает Агентство по обмену данными нормативным актом.
3. Стоимость аудита информационной безопасности, проведенного Агентством по обмену данными, определяется договором, оформленным с субъектом критической информационной системы.
4. Агентство по обмену данными нормативным актом устанавливает порядок прохождения авторизации лицами и организациями, наделенными полномочиями на проведение аудита информационной безопасности, процедуры авторизации и стоимость авторизации.
5. С согласия субъекта критической информационной системы Агентство по обмену данными или с предварительного разрешения Агентства по обмену данными независимое лицо либо организация с соответствующей компетенцией, подобранная субъектом критической информационной системы, проводит тест на определение степени проникновения в информационную систему (пенетрация) и оценку уязвимости данной системы по заранее запланированной и документированной задаче.
6. Если в результате аудита или тестирования, предусмотренного настоящей статьей, будет выявлено несоответствие требованиям политики информационной безопасности, субъект критической информационной системы проводит анализ причины несоответствия и в случае необходимости определяет и осуществляет надлежащие мероприятия по исправлению указанного, график проведения которых представляет Агентству по обмену данными.
Статья 7. Менеджер информационной безопасности
1. Субъект критической информационной системы обязан определить конкретное лицо (лица) или сотрудника (сотрудников), который (которые) ответствен (ответственны) за выполнение требований информационной безопасности субъекта критической информационной системы (менеджер информационной безопасности).
2. Основными обязанностями менеджера информационной безопасности являются:
а) ежедневный мониторинг выполнения требований политики информационной безопасности;
б) описание информационных активов и доступа к ним;
в) подготовка внутриведомственной документации в связи с политикой информационной безопасности;
г) сбор информации об инцидентах в сфере информационной безопасности и мониторинг реагирования на них;
д) отчетность по вопросам информационной безопасности и административная (организационная) деятельность иного рода;
е) организация и проведение общих и отраслевых тренингов в сфере информационной безопасности;
ж) другие обязанности, определенные субъектом критической информационной системы.
3. Менеджер информационной безопасности подотчетен перед руководителем субъекта критической информационной системы или соответственно уполномоченным им сотрудником либо группой лиц с полномочиями на осуществление политики информационной безопасности (коллегиальным органом). Все важные решения, касающиеся осуществления политики информационной безопасности, принимаются лицом (лицами), определенным (определенными) настоящим пунктом, или по предварительному согласованию с ним (с ними).
4. Менеджер информационной безопасности устанавливает план действий в отношении информационной безопасности и представляет ежегодный отчет о выполнении данного плана лицу (лицам), определенному (определенным) пунктом 3 настоящей статьи, и Агентству по обмену данными.
Глава III. Обеспечение кибербезопасности
Статья 8. Группа помощи Агентства по обмену данными по реагированию на компьютерные инциденты
1. Исполнение положений настоящего Закона, в частности, управление инцидентами против информационной безопасности в киберпространстве Грузии, а также другую, направленную на координацию информационной безопасности, связанную с ней деятельность, которая служит устранению первостепенных угроз кибербезопасности, осуществляет Группа помощи Агентства по обмену данными по реагированию на компьютерные инциденты – CERT.GOV.GE (далее – Группа помощи).
2. К первостепенным угрозам кибербезопасности относятся:
а) кибератака, создающая угрозу жизни и здоровью людей, государственным интересам или обороноспособности страны;
б) кибератака против информационных систем субъекта критической информационной системы;
в) кибератака, создающая угрозу финансовым ресурсам или (и) праву собственности в отношении государства, организации или частного лица;
г) все остальные деяния, которые исходя из характера, цели, источника, объема или размера либо из объема ресурсов, необходимых для пресечения указанных деяний, представляют значительную угрозу для нормального функционирования критической информационной системы.
3. Обязанностями Группы помощи являются:
а) выдача рекомендаций относительно соблюдения информационной безопасности критической информационной системы;
б) своевременное выявление компьютерных инцидентов;
в) реагирование на компьютерные инциденты и координация реагирования на них;
г) учет компьютерных инцидентов, а также установление и категоризация приоритетов реагирования на них;
д) анализ компьютерных инцидентов;
е) оказание помощи в исправлении последствий компьютерных инцидентов и в процессе минимизации вреда;
ж) координация мер по превенции компьютерных инцидентов и содействие внедрению подобных мер;
з) повышение сознательности по вопросам информационной безопасности, в том числе – предоставление информации об угрозах и уязвимых местах в критической информационной системе, если доступность указанной информации не причинит вред информационной безопасности;
и) предупреждение широкого круга потребителей о возможных угрозах и предоставление ему соответствующей информации;
к) образовательное и информационное обеспечение по вопросам информационной безопасности;
л) представительство и координация в вопросах информационной безопасности на международном уровне;
м) другие обязанности, связанные с целями информационной безопасности и определенные законом или иными нормативными актами.
4. Группа помощи вправе потребовать доступ к информационному активу субъекта критической информационной системы, его информационной системе или (и) предмету, входящему в информационную инфраструктуру, если указанный доступ необходим для надлежащего реагирования на происходящий или происшедший компьютерный инцидент. Менеджер информационной безопасности после рассмотрения требования в разумный срок незамедлительно извещает Группу помощи о возможности или невозможности соответствующего доступа.
5. Компетенция Группы помощи, процедуры работы, механизмы реагирования на компьютерные инциденты и другие правила деятельности устанавливаются нормативным актом Агентства по обмену данными.
Статья 9. Специалист по компьютерной безопасности
1. Субъект критической информационной системы обязан определить конкретное лицо (лица) или сотрудника (сотрудников), который (которые) ответствен (ответственны) за практическое обеспечение безопасности компьютерных систем субъекта критической информационной системы (специалист по компьютерной безопасности).
2. Основными обязанностями специалиста по компьютерной безопасности являются:
а) ежедневный мониторинг и оценка компьютерных систем;
б) идентификация компьютерных инцидентов и реагирование на них;
в) анализ и отчетность компьютерных инцидентов и мер безопасности;
г) координация с Группой помощи;
д) другие обязанности, определенные субъектом критической информационной системы.
3. Специалист по компьютерной безопасности подотчетен перед руководителем службы информационных технологий субъекта критической информационной системы или соответственно уполномоченным им сотрудником.
4. Специалист по компьютерной безопасности должен быть готов к оказанию услуг в любое время, в том числе – по истечении рабочих часов. Он обязан обеспечивать постоянную координацию с Агентством по обмену данными в условиях происходящих или возможных кибератак на субъекта критической информационной системы, а также в процессе устранения последствий данной кибератаки.
5. Если происходящая или возможная кибератака создает особую угрозу обороноспособности, экономической безопасности страны, нормальному функционированию государственной власти или (и) общества, Агентство по обмену данными правомочно осуществлять временную координацию специалистов по компьютерной безопасности в целях предотвращения, отражения кибератак или (и) устранения их последствий.
Статья 10. Идентификация компьютерного инцидента
1. Субъект критической информационной системы осуществляет идентификацию компьютерных инцидентов, что подразумевает изучение и описание каждого инцидента и реагирование на них.
2. По согласованию с субъектом критической информационной системы Агентство по обмену данными и специалист по компьютерной безопасности осуществляют в сети субъекта критической информационной системы конфигурирование и управление сетевым сенсором (система сенсоров), необходимым для идентификации и исследования компьютерных инцидентов. Правила конфигурации сетевого сенсора устанавливаются нормативным актом Агентства по обмену данными.
3. Группа помощи незамедлительно уведомляется об идентификации компьютерного инцидента, и в случае необходимости осуществляются неотложные мероприятия в целях хранения и защиты информации о данном инциденте.
4. Группа помощи изучает и описывает компьютерные инциденты и осуществляет адекватное на них реагирование при выполнении функций, предусмотренных настоящим Законом.
Глава III1
Бюро кибербезопасности (24.12.2013 №1829)
Статья 101. Статус и функции Бюро кибербезопасности 24.12.2013 №1829)
1. Политика информационной безопасности для субъектов критической информационной системы в сфере обороны должна удовлетворять минимальным требованиям информационной безопасности в сфере обороны (с учетом классификации критичности субъекта критической информационной системы в сфере обороны), определенным Бюро кибербезопасности в соответствии со стандартами и требованиями, установленными Международной организацией стандартизации (ISO) и Ассоциацией аудита и контроля информационных систем (ISACA).
2. Бюро кибербезопасности создается в соответствии с настоящим Законом и Законом Грузии «О юридическом лице публичного права».
3. Сфера действия Бюро кибербезопасности не распространяется на Агентство по обмену данными, полномочия, функции и сфера действия которого определяется настоящим Законом и Законом Грузии «О создании юридического лица публичного права – Агентства по обмену данными».
4. Перечень субъектов критической информационной системы в сфере обороны утверждается и классификация критичности соответствующего субъекта устанавливается соответствующим актом Правительства Грузии, проект которого представляет на утверждение Правительству Грузии Министерство юстиции Грузии по согласованию с Министерством обороны Грузии, Министерством внутренних дел Грузии и Службой государственной безопасности Грузии. При составлении этого списка во внимание принимаются следующие критерии: тяжесть и масштаб предполагаемых последствий работы информационной системы с помехами или ее выхода из строя с точки зрения обороноспособности государства; тяжесть предполагаемого экономического ущерба для субъектов или (и) государства; необходимость оказания информационной системой услуг для беспрепятственного функционирования в сфере обороноспособности государства; число пользователей информационной системы; материальное положение субъекта и размер предполагаемых расходов вследствие возложения на него соответствующих обязательств. (8.07.2015 N3933)
5. Положение о Бюро кибербезопасности и его структуру утверждает Министр обороны Грузии.
6. Основной функцией Бюро кибербезопасности является осуществление деятельности в пределах полномочий, предоставленных ему законодательством Грузии, в том числе – настоящим Законом.
7. Действие статей 6 и 7, пункта 4 статьи 9 и пункта 2 статьи 10 настоящего Закона не распространяется на деятельность Бюро кибербезопасности.
Статья 102. Директор Бюро кибербезопасности ( 24.12.2013 №1829)
1. Директора Бюро кибербезопасности назначает на должность и освобождает от должности Министр обороны Грузии.
2. Директор Бюро кибербезопасности имеет двух заместителей, в том числе – одного первого заместителя, исполняющего обязанности директора в случае его отсутствия. Заместителей директора назначает на должность и освобождает от должности директор Бюро кибербезопасности по согласованию с Министром обороны Грузии.
3. Директор Бюро кибербезопасности действует в пределах полномочий, предоставленных ему настоящим Законом и Положением о Бюро кибербезопасности.
4. Директор Бюро кибербезопасности правомочен назначать на должность и освобождать от должности сотрудников Бюро кибербезопасности в порядке, установленном законодательством Грузии.
5. Директор Бюро кибербезопасности издает нормативный акт – приказ в случаях и пределах, определенных настоящим Законом и другими законодательными актами Грузии. Нормативные акты, регулирующие вопросы оборонной политики в сфере кибербезопасности, издает Министр обороны Грузии.
6. Штатное расписание и должностные оклады сотрудников Бюро кибербезопасности утверждает Министр обороны Грузии в порядке, установленном законодательством Грузии.
Статья 103. Группа помощи Бюро кибербезопасности по реагированию на компьютерные инциденты (24.12.2013 №1829)
1. Управление кибератаками на субъекты критической информационной системы в сфере обороны, создающими угрозу жизни и здоровью человека, государственным интересам и обороноспособности страны, а также другими инцидентами, направленными против информационной безопасности, и связанную с этим деятельность осуществляет Группа помощи Бюро кибербезопасности по реагированию на компьютерные инциденты – CERT.MOD.GOV.GE (далее – Группа помощи Бюро кибербезопасности).
2. Приоритетные угрозы для Группы помощи Бюро кибербезопасности и обязанности этой Группы в сфере обороны определяются пунктами 2 и 3 статьи 8 настоящего Закона.
Глава IV. Переходные и заключительное положения
Статья 11. Переходные положения
1. Президенту Грузии в 6-месячный срок после введения настоящего Закона в действие издать Указ «Об утверждении списка субъектов критической информационной системы».
2. Агентству по обмену данными в 6-месячный срок после введения настоящего Закона в действие издать следующие нормативные акты:
а) приказ «О Группе помощи Агентства по обмену данными по реагированию на компьютерные инциденты»;
б) приказ «Об утверждении минимальных стандартов в отношении менеджера информационной безопасности субъекта критической информационной системы»;
в) приказ «О правилах конфигурации сетевого сенсора»;
г) приказ «О минимальных требованиях информационной безопасности»;
д) приказ «О порядке прохождения авторизации лицами и организациями с полномочиями на проведение аудита информационной безопасности, процедурах авторизации и плате за авторизацию»;
е) приказ «О порядке проведения аудита информационной безопасности»;
ж) приказ «О правилах управления информационными активами».
3. Правительству Грузии до 1 апреля 2014 года обеспечить принятие постановления «Об утверждении перечня субъектов критической информационной системы».(20.09.2012 №1250)
4. До принятия постановления, предусмотренного пунктом 3 настоящей статьи, сохраняет юридическую силу Указ Президента Грузии от 11 марта2013 года № 157 «Об утверждении перечня субъектов критической информационной системы».(20.09.2012 №1250)
5. Министерству обороны Грузии до 1 апреля 2014 года обеспечить осуществление определенных законодательством Грузии соответствующих мероприятий по созданию Бюро кибербезопасности.( 24.12.2013 №1829)
6. Министру обороны Грузии до 1 апреля 2014 года издать следующие нормативные акты (24.12.2013 №1829)
а) приказ «О юридическом лице публичного права – Группе помощи Бюро кибербезопасности по реагированию на компьютерные инциденты»;
б) приказ «О минимальных требованиях к информационной безопасности»;
в) приказ «О правилах управления информационными активами».
Статья 12. Заключительное положение
Настоящий Закон ввести в действие с 1-го июля 2012 года.
Президент Грузии Михаил Саакашвили
Тбилиси
5 июня 2012 года
№6391-Iс
Document comments