ინფორმაციული უსაფრთხოების შესახებ

საქართველოს კანონი

ინფორმაციული უსაფრთხოების შესახებ

თავი I. ზოგადი დებულებები

    მუხლი 1. კანონის მიზანი

ამ კანონის მიზანია, ხელი შეუწყოს ინფორმაციული უსაფრთხოების დაცვის ქმედით და ეფექტიან განხორციელებას, დააწესოს საჯარო და კერძო სექტორების უფლება-მოვალეობები ინფორმაციული უსაფრთხოების დაცვის სფეროში, აგრეთვე განსაზღვროს ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების სახელმწიფო კონტროლის მექანიზმები.

    მუხლი 2. ტერმინთა განმარტება

ამ კანონში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) ინფორმაციული უსაფრთხოება – საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენტიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას;

ბ) ინფორმაციული უსაფრთხოების პოლიტიკა – ამ კანონით, საქართველოს სხვა ნორმატიული აქტებითა და საერთაშორისო შეთანხმებებით გათვალისწინებული ნორმებისა და პრინციპების, აგრეთვე პრაქტიკის  ერთობლიობა, რომელიც ემსახურება ინფორმაციული უსაფრთხოების უზრუნველყოფას და შეესაბამება მისი დაცვის სფეროში დადგენილ საერთაშორისო სტანდარტებს;

გ) კიბერსივრცე – სივრცე, რომლის განმასხვავებელი ნიშანია  ელექტრონული მოწყობილობებისა და ელექტრომაგნიტური სპექტრის გამოყენება ქსელით დაკავშირებული სისტემებისა და დამხმარე ფიზიკური ინფრასტრუქტურის მეშვეობით მონაცემთა შენახვისათვის, შეცვლისათვის ან გაცვლისათვის;

დ) კიბერშეტევა – ქმედება, როდესაც ელექტრონული მოწყობილობა ან/და მასთან დაკავშირებული ქსელი ან სისტემა გამოიყენება კრიტიკულ ინფორმაციულ სისტემაში შემავალი სისტემების, ქონების ან ფუნქციების მთლიანობის დარღვევის, შეფერხების ან განადგურების ან ინფორმაციის უკანონოდ მოპოვების გზით;

ე) კომპიუტერული ინციდენტი − ქმედება, რომელიც ხორციელდება ინფორმაციული ტექნოლოგიის გამოყენებით და იწვევს ან მიზნად ისახავს ინფორმაციის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის დარღვევას;

ვ) კრიტიკული ინფორმაციული სისტემა − ინფორმაციული სისტემა, რომლის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალური ფუნქციონირებისათვის;

ზ) კრიტიკული ინფორმაციული სისტემის სუბიექტი − ამ მუხლის „ზ¹“−„ზ³“ ქვეპუნქტებით გათვალისწინებული სახელმწიფო ან მუნიციპალიტეტის ორგანო ან დაწესებულება, თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტი, იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის;

ზ¹) პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი − საქართველოს მთავრობის დადგენილებით განსაზღვრული სახელმწიფო ან მუნიციპალიტეტის ორგანო ან დაწესებულება, საჯარო სამართლის იურიდიული პირი (გარდა საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირისა − ციფრული მმართველობის სააგენტოსი, საქართველოს თავდაცვის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირისა − კიბერუსაფრთხოების ბიუროსი და ამ კანონის 10¹ მუხლის მე-4 პუნქტით გათვალისწინებული თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტისა), სახელმწიფო საწარმო, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის;

ზ²) მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი − საქართველოს მთავრობის დადგენილებით განსაზღვრული, „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონის მე-2 მუხლის „ჰ⁶⁰“ ქვეპუნქტით გათვალისწინებული ელექტრონული კომუნიკაციის კომპანია, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის;

ზ³) მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი − საქართველოს მთავრობის დადგენილებით განსაზღვრული კერძო სამართლის იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის;

თ) კონფიდენციალური ინფორმაცია – ინფორმაცია, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფას, სავარაუდოდ, მოჰყვება კრიტიკული ინფორმაციული სისტემის სუბიექტის ფუნქციებისათვის მნიშვნელოვანი ზიანი და რომლის კონფიდენციალურ ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;

ი) შინასამსახურებრივი გამოყენების ინფორმაცია – ინფორმაცია, რომელიც განკუთვნილია მხოლოდ კრიტიკული ინფორმაციული სისტემის სუბიექტის თანამშრომლისათვის ან/და მასთან სახელშეკრულებო ურთიერთობის მქონე პირისათვის, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფა, სავარაუდოდ, გამოიწვევს კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ თავისი ფუნქციების შესრულების მნიშვნელოვან შეფერხებას ან ზიანს მიაყენებს სახელმწიფო ხელისუფლების ორგანოს უსაფრთხოებას, სახელმწიფო ინტერესს ან კერძო პირის საქმიან რეპუტაციას და რომლის შინასამსახურებრივი გამოყენების ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;

კ) ინფორმაციული აქტივი − ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის;

ლ) ინფორმაციული სისტემა − ინფორმაციული ტექნოლოგიებისა და ამ ტექნოლოგიების გამოყენებით განხორციელებული ქმედებების ნებისმიერი კომბინაცია, რომელიც ხელს უწყობს მართვას ან/და გადაწყვეტილების მიღებას;

მ) ქსელური სენსორი − აპარატული ან/და პროგრამული უზრუნველყოფის საშუალებების ერთობლიობა, რომელიც გამიზნულია ქსელური ნაკადის მონიტორინგისთვის, ინფორმაციული სისტემის წინააღმდეგ მიმართული კომპიუტერული ინციდენტის გამოსავლენად;

      მუხლი 3. კანონის მოქმედების სფერო

1. ამ კანონის მოქმედება ვრცელდება კრიტიკული ინფორმაციული სისტემის სუბიექტზე, აგრეთვე იმ ორგანიზაციაზე/უწყებაზე, რომელიც კრიტიკული ინფორმაციული სისტემის სუბიექტს ექვემდებარება ან ამ სუბიექტთანაა დაკავშირებული დასაქმების, სტაჟირების, სახელშეკრულებო ან სხვა ურთიერთობით და აღნიშნული ურთიერთობის ფარგლებში ინფორმაციული აქტივის ხელმისაწვდომობას უზრუნველყოფს.

2. კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის დადგენილებით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო ეროვნული უსაფრთხოების საბჭოსთან, საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას გაითვალისწინება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა საზოგადოების ნორმალური ფუნქციონირებისთვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის ამ კანონით გათვალისწინებული ვალდებულებების დაკისრებას მოჰყვება.

3. ამ კანონის მოქმედება არ ვრცელდება მასმედიაზე, გამომცემლობათა რედაქციებზე, სამეცნიერო, საგანმანათლებლო, რელიგიურ და საზოგადოებრივ ორგანიზაციებსა და პოლიტიკურ პარტიებზე, მიუხედავად იმისა, თუ რამდენად მნიშვნელოვანია მათი საქმიანობა ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის. 

4. ნებისმიერ იურიდიულ პირს ან სახელმწიფო ხელისუფლების ორგანოს, რომელიც არ არის კრიტიკული ინფორმაციული სისტემის სუბიექტი, უფლება აქვს, ნებაყოფლობით აიღოს ამ კანონიდან გამომდინარე ვალდებულებები. კომერციული ბანკი, რომელიც არ არის კრიტიკული ინფორმაციული სისტემის სუბიექტი, ხელმძღვანელობს ეროვნული ბანკის მიერ დადგენილი წესებითა და მოთხოვნებით.

5. (ამოღებულია - 10.06.2021, №632).

6. ამ კანონის დებულებები გავლენას არ ახდენს საქართველოს კანონმდებლობით გათვალისწინებული იმ ნორმების მოქმედებაზე, რომლებიც არეგულირებს ინფორმაციის თავისუფლებას, პერსონალური მონაცემის დამუშავებას, სახელმწიფო, კომერციული და პირადი საიდუმლოებების დაცვას.

თავი II. ინფორმაციული უსაფრთხოების ორგანიზება და უზრუნველყოფა

    მუხლი 4. ინფორმაციული უსაფრთხოების წესები

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია მიიღოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები, რომლებიც ემსახურება ამ კანონის დებულებათა აღსრულებას და განსაზღვრავს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას.

2. ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს. ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები დგინდება სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), აშშ-ის სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტის (NIST) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების მხედველობაში მიღების გზით, პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტებისთვის − ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით, ხოლო მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტისთვის − ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით.

3. ამ მუხლის პირველი პუნქტის შესაბამისად მიღებულ ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებს პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტები განსახილველად წარუდგენენ ოპერატიულ-ტექნიკურ სააგენტოს, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტები − ციფრული მმართველობის სააგენტოს, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტები − კიბერუსაფრთხოების ბიუროს. ოპერატიულ-ტექნიკურ სააგენტოს, ციფრული მმართველობის სააგენტოს და კიბერუსაფრთხოების ბიუროს საკუთარი კომპეტენციის ფარგლებში ეცნობებათ აგრეთვე ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებში შეტანილი ნებისმიერი ცვლილება. ოპერატიულ-ტექნიკური სააგენტო, ციფრული მმართველობის სააგენტო და კიბერუსაფრთხოების ბიურო ახორციელებენ ამგვარად მიწოდებული დოკუმენტების ზოგად ანალიზს და მათში აღმოჩენილი ხარვეზების გამოსასწორებლად წარადგენენ შესასრულებლად სავალდებულო მითითებებს ან/და რეკომენდაციებს. ოპერატიულ-ტექნიკური სააგენტო, ციფრული მმართველობის სააგენტო და კიბერუსაფრთხოების ბიურო საკუთარი კომპეტენციის ფარგლებში უფლებამოსილი არიან კრიტიკული ინფორმაციული სისტემის სუბიექტისგან გამოითხოვონ ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავებასთან, დანერგვასთან, მონიტორინგსა და გაუმჯობესებასთან დაკავშირებული სხვა ინფორმაცია.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დოკუმენტების გარდა, ოპერატიულ-ტექნიკურ სააგენტოს, ციფრული მმართველობის სააგენტოს და კიბერუსაფრთხოების ბიუროს ხელი არ მიუწვდებათ კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციასა და ინფორმაციულ აქტივზე, გარდა ამ კანონის მე-10 მუხლის მე-5 პუნქტის „გ“ ქვეპუნქტითა და 10³ მუხლის მე-3 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებული შემთხვევებისა, აგრეთვე იმ შემთხვევისა, როდესაც კრიტიკული ინფორმაციული სისტემის სუბიექტი ნებაყოფლობით უზრუნველყოფს მათთვის ინფორმაციისა და ინფორმაციული აქტივის ხელმისაწვდომობას.

5. ეროვნული ბანკი უფლებამოსილია მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკებს მოსთხოვოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების განსახილველად წარდგენა და განახორციელოს ამ მუხლის მე-6 პუნქტის შესაბამისად დადგენილი დამატებითი სტანდარტებისა და მოთხოვნების მიმართ შესასრულებლად სავალდებულო მითითებების ან/და რეკომენდაციების გაცემა.

6. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკების მიმართ ინფორმაციული უსაფრთხოების პოლიტიკისა და ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების დამატებით სტანდარტებსა და მოთხოვნებს ადგენს ეროვნული ბანკი.

    მუხლი 5. ინფორმაციული აქტივების მართვა

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი, ამ კანონის მე-4 მუხლის პირველი პუნქტით გათვალისწინებული შინასამსახურებრივი გამოყენების წესების შესაბამისად, ატარებს ინფორმაციული სისტემების ინვენტარიზაციას ყველა ინფორმაციული აქტივის აღრიცხვის მიზნით, რის შედეგადაც ყოველ ინფორმაციულ აქტივს მიენიჭება კრიტიკულობის შესაბამისი კლასი – კონფიდენციალური ან შინასამსახურებრივი გამოყენების. ყველა სხვა ინფორმაციული აქტივი, რომელთა კლასიფიცირება საჭირო არ არის, ღია ინფორმაციად ითვლება.

2. ინფორმაციული აქტივების აღრიცხვის შედეგად აღიწერება ყოველი ინფორმაციული აქტივის მნიშვნელობა, ფასეულობა, უსაფრთხოებისა და დაცვის არსებული დონე.

3. ინფორმაციული აქტივის შექმნის დროს კრიტიკულობის შესაბამის კლასს ადგენს აქტივის ავტორი ან/და აქტივზე პასუხისმგებელი პირი.

4. კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივების მართვის წესები, კერძოდ, მათი აღწერის, კლასიფიცირების, ხელმისაწვდომობის, გაცემის (გამოქვეყნების), შეცვლისა და განადგურების წესები (გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი საჯარო ინფორმაციის ხელმისაწვდომობას განსაზღვრავს), პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების მიმართ დგინდება ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − საქართველოს თავდაცვის მინისტრის ბრძანებით.

5. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკების მიმართ ინფორმაციული აქტივების მართვის დამატებით სტანდარტებსა და მოთხოვნებს ადგენს ეროვნული ბანკი.

    მუხლი 7. ინფორმაციული უსაფრთხოების მენეჯერი

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციის სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებისათვის (ინფორმაციული უსაფრთხოების მენეჯერი).

2. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია:

ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;

ბ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;

გ) ინფორმაციული უსაფრთხოების პოლიტიკის შინაუწყებრივი დოკუმენტაციის მომზადება;

დ) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;

ე) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;

ვ) ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;

ზ) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

3. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღება ამ პუნქტით განსაზღვრული პირის (პირების) მიერ ან მასთან (მათთან) წინასწარი შეთანხმებით.

4. ინფორმაციული უსაფრთხოების მენეჯერი ადგენს ინფორმაციული უსაფრთხოების სამოქმედო გეგმას და ამ სამოქმედო გეგმის შესრულების შესახებ ყოველწლიურ ანგარიშს წარუდგენს ამ მუხლის მე-3 პუნქტით გათვალისწინებულ პირს/პირებს. პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერები აღნიშნულ სამოქმედო გეგმას და მისი შესრულების შესახებ ყოველწლიურ ანგარიშს წარუდგენენ აგრეთვე ოპერატიულ-ტექნიკურ სააგენტოს, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერები − ციფრული მმართველობის სააგენტოს, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერები − კიბერუსაფრთხოების ბიუროს.

5. პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების მენეჯერებად შესაძლებელია განისაზღვრონ პირები, რომლებსაც აქვთ სახელმწიფო საიდუმლოებასთან დაშვება. ინფორმაციული უსაფრთხოების მენეჯერისთვის მინიმალური სტანდარტები პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების მიმართ დგინდება ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − საქართველოს თავდაცვის მინისტრის ბრძანებით.

თავი III. კიბერუსაფრთხოების უზრუნველყოფა  

     მუხლი 8. ოპერატიულ-ტექნიკური სააგენტოს, ციფრული მმართველობის სააგენტოს და კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფები 

1. ამ კანონის აღსრულებას, კერძოდ, საქართველოს კიბერსივრცეში ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული ინციდენტების მართვას, აგრეთვე ინფორმაციული უსაფრთხოების კოორდინაციისკენ მიმართულ, მასთან დაკავშირებულ სხვა საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებენ ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი (CERT.OTA.GOV.GE), ციფრული მმართველობის  სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი (CERT.DEA.GOV.GE) და კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი.

2. კიბერუსაფრთხოების პრიორიტეტულ საფრთხეებს მიეკუთვნება:

ა) კიბერშეტევა, რომელიც საფრთხეს უქმნის ადამიანთა სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებს ან ქვეყნის თავდაცვისუნარიანობას;

ბ) კიბერშეტევა კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული სისტემების წინააღმდეგ;

გ) კიბერშეტევა, რომელიც საფრთხეს უქმნის სახელმწიფოს, ორგანიზაციის ან კერძო პირის ფინანსურ რესურსებს ან/და საკუთრების უფლებას;

დ) სხვა ნებისმიერი ქმედება, რომელიც, მისი ხასიათიდან, მიზნიდან, წყაროდან, მოცულობიდან ან რაოდენობიდან ან მისი აღკვეთისათვის საჭირო რესურსების ოდენობიდან გამომდინარე, კრიტიკული ინფორმაციული სისტემის ნორმალური ფუნქციონირებისათვის საკმარისი საფრთხის შემცველია.

3. ოპერატიულ-ტექნიკური სააგენტოს, ციფრული მმართველობის სააგენტოს და კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფების მოვალეობებია:

ა) კრიტიკული ინფორმაციული სისტემის ინფორმაციული უსაფრთხოების დაცვის შესახებ რეკომენდაციების გაცემა ან/და ამ კანონით გათვალისწინებულ შემთხვევებში სახელმძღვანელო მითითებების გაცემა;

ბ) კომპიუტერული ინციდენტების დროული გამოვლენა;

გ) კომპიუტერულ ინციდენტებზე რეაგირება და მათზე რეაგირების კოორდინაცია;

დ) კომპიუტერული ინციდენტების აღრიცხვა და მათზე რეაგირების პრიორიტეტების დადგენა და კატეგორიზაცია;

ე) კომპიუტერული ინციდენტების ანალიზი;

ვ) კომპიუტერული ინციდენტების შედეგების გამოსწორებისა და ზიანის მინიმუმამდე შემცირების პროცესში დახმარება;

ზ) კომპიუტერული ინციდენტების პრევენციისკენ მიმართული ზომების კოორდინაცია და ამ ზომების დანერგვაში დახმარება;

თ) სხვა მოვალეობები, რომლებიც დაკავშირებულია ინფორმაციული უსაფრთხოების მიზნებთან და განისაზღვრება კანონით ან სხვა ნორმატიული აქტით.

4. ოპერატიულ-ტექნიკური სააგენტოს/ციფრული მმართველობის სააგენტოს/კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის კომპეტენცია, მუშაობის პროცედურები, კომპიუტერულ ინციდენტებზე რეაგირების მექანიზმები და მისი საქმიანობის სხვა წესები დგინდება ოპერატიულ-ტექნიკური სააგენტოს უფროსის/ციფრული მმართველობის სააგენტოს თავმჯდომარის/საქართველოს თავდაცვის მინისტრის ბრძანებით, მისი კომპეტენციის ფარგლებში.

5.(ამოღებულია - 10.06.2021, №632).

    მუხლი 9. კომპიუტერული უსაფრთხოების სპეციალისტი

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციული სისტემის სუბიექტის კომპიუტერული სისტემების უსაფრთხოების პრაქტიკული უზრუნველყოფისათვის (კომპიუტერული უსაფრთხოების სპეციალისტი).

2. კომპიუტერული უსაფრთხოების სპეციალისტის ძირითადი მოვალეობებია:

ა) კომპიუტერული სისტემების ყოველდღიური მონიტორინგი და შეფასება;

ბ) კომპიუტერული ინციდენტის იდენტიფიცირება, მასზე რეაგირება და კომპიუტერული ინციდენტის შესახებ ინფორმაციის დაუყოვნებლივ მიწოდება: პირველი ან მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის შემთხვევაში − ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფისთვის, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის შემთხვევაში − ციფრული მმართველობის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფისთვის, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის შემთხვევაში − კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფისთვის;

გ) კომპიუტერული ინციდენტებისა და უსაფრთხოების ზომების ანალიზი და ანგარიშგება;

დ) დახმარების ჯგუფთან კოორდინაცია;

ე) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

3. კომპიუტერული უსაფრთხოების სპეციალისტი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული ტექნოლოგიების სამსახურის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის წინაშე.

4. კომპიუტერული უსაფრთხოების სპეციალისტი ხელმისაწვდომი უნდა იყოს ნებისმიერ დროს, მათ შორის, სამუშაო საათების შემდეგ. იგი ვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტზე მიმდინარე ან სავარაუდო კიბერშეტევის და მისი შედეგების აღმოფხვრის პროცესში უზრუნველყოს მუდმივი კოორდინაცია: პირველი ან მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის შემთხვევაში − ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფთან, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის შემთხვევაში − ციფრული მმართველობის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფთან, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის შემთხვევაში − კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფთან.

5. თუ მიმდინარე ან სავარაუდო კიბერშეტევა განსაკუთრებულ საფრთხეს უქმნის სახელმწიფოს თავდაცვისუნარიანობას, ეკონომიკურ უსაფრთხოებას, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალურ ფუნქციონირებას, ოპერატიულ-ტექნიკური სააგენტო უფლებამოსილია კიბერშეტევის თავიდან აცილების, მოგერიების ან/და მისი შედეგების აღმოფხვრის მიზნით განახორციელოს კომპიუტერული უსაფრთხოების სპეციალისტებისა და ციფრული მმართველობის  სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის დროებითი კოორდინაცია. საომარი მდგომარეობის დროს კიბერუსაფრთხოების უზრუნველყოფა და კიბეროპერაციები ხორციელდება „საომარი მდგომარეობის შესახებ“ საქართველოს კანონის შესაბამისად.

6. პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების კომპიუტერული უსაფრთხოების სპეციალისტებად შესაძლებელია განისაზღვრონ პირები, რომლებსაც აქვთ სახელმწიფო საიდუმლოებასთან დაშვება.

თავი III¹. კიბერუსაფრთხოების ბიურო

    მუხლი 10¹. კიბერუსაფრთხოების ბიუროს სტატუსი და ფუნქციები

1. თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტების ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს თავდაცვის სფეროში ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტების კრიტიკულობის კლასიფიცირების გათვალისწინებით). ამ მოთხოვნებს სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), აშშ-ის სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტის (NIST) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების მხედველობაში მიღების გზით განსაზღვრავს კიბერუსაფრთხოების ბიურო და ბრძანებით ადგენს საქართველოს თავდაცვის მინისტრი.

2. კიბერუსაფრთხოების ბიურო იქმნება ამ კანონისა და „საჯარო სამართლის იურიდიული პირის შესახებ“ საქართველოს კანონის შესაბამისად.

3. კიბერუსაფრთხოების ბიუროს მოქმედების სფერო არ ვრცელდება ოპერატიულ-ტექნიკურ სააგენტოსა და ციფრული მმართველობის სააგენტოზე, რომელთა უფლებამოსილებები, ფუნქციები და მოქმედების სფეროები განისაზღვრება ამ კანონითა და „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ და „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონებით.

4. თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის შესაბამისი აქტით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს თავდაცვის სამინისტრო ეროვნული უსაფრთხოების საბჭოსთან, საქართველოს იუსტიციისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას გაითვალისწინება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი სახელმწიფოს თავდაცვისუნარიანობის თვალსაზრისით; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა სახელმწიფოს თავდაცვისუნარიანობის შეუფერხებელი ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის შესაბამისი ვალდებულებების დაკისრებას მოჰყვება.

5. კიბერუსაფრთხოების ბიუროს დებულებას ამტკიცებს საქართველოს თავდაცვის მინისტრი.

6. კიბერუსაფრთხოების ბიუროს ძირითადი ფუნქციაა საქართველოს კანონმდებლობით, მათ შორის, ამ კანონით, მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში საქმიანობის განხორციელება.

7. (ამოღებულია - 10.06.2021, №632).

   მუხლი 10². კიბერუსაფრთხოების ბიუროს დირექტორი

1. კიბერუსაფრთხოების ბიუროს დირექტორს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს საქართველოს თავდაცვის მინისტრი.

2. (ამოღებულია - 10.06.2021, №632).

3. კიბერუსაფრთხოების ბიუროს დირექტორი მოქმედებს ამ კანონითა და კიბერუსაფრთხოების ბიუროს დებულებით მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში.

4. კიბერუსაფრთხოების ბიუროს დირექტორი უფლებამოსილია საქართველოს კანონმდებლობით დადგენილი წესით თანამდებობაზე დანიშნოს და თანამდებობიდან გაათავისუფლოს კიბერუსაფრთხოების ბიუროს თანამშრომლები.

5. კიბერუსაფრთხოების ბიუროს დირექტორი გამოსცემს ნორმატიულ აქტს – ბრძანებას ამ კანონითა და საქართველოს სხვა საკანონმდებლო აქტებით განსაზღვრულ შემთხვევებსა და ფარგლებში. კიბერუსაფრთხოების სფეროში თავდაცვის პოლიტიკის მარეგულირებელ ნორმატიულ აქტებს გამოსცემს საქართველოს თავდაცვის მინისტრი.

6. კიბერუსაფრთხოების ბიუროს საშტატო განრიგსა და თანამდებობრივ სარგოებს ამტკიცებს საქართველოს თავდაცვის მინისტრი საქართველოს კანონმდებლობით დადგენილი წესით.

     მუხლი 10³. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი

1. თავდაცვის სფეროში შემავალ კრიტიკული ინფორმაციული სისტემის სუბიექტზე განხორციელებული იმ კიბერშეტევის მართვას, რომელიც საფრთხეს უქმნის ადამიანის სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებსა და სახელმწიფოს თავდაცვისუნარიანობას, აგრეთვე ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული სხვა ინციდენტების მართვას და მასთან დაკავშირებულ საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი.

2. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფისთვის პრიორიტეტული საფრთხეები და თავდაცვის სფეროში ამ ჯგუფის მოვალეობები განისაზღვრება ამ კანონის მე-8 მუხლით.

3. თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის კომპიუტერული ინციდენტის იდენტიფიცირებისა და მასზე რეაგირების მიზნით კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი უფლებამოსილია:

ა) ჰქონდეს წვდომა აღნიშნული კრიტიკული ინფორმაციული სისტემის სუბიექტის ქსელურ სენსორზე;

ბ) ჰქონდეს წვდომა აღნიშნული კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე, თუ ასეთი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე რეაგირებისთვის.

4. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი კომპიუტერული ინციდენტის იდენტიფიცირების შემთხვევაში ინფორმაციული აქტივის უსაფრთხოების მიზნით ახორციელებს გადაუდებელ ღონისძიებებს, რომლებიც მოიცავს კომპიუტერულ ინციდენტზე რეაგირებას, მის შესწავლასა და აღწერას. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი კომპიუტერული ინციდენტის შესწავლისა და აღწერის შემდეგ შეიმუშავებს და თავდაცვის სფეროში შემავალ კრიტიკული ინფორმაციული სისტემის სუბიექტს წარუდგენს შესასრულებლად სავალდებულო მითითებებსა და რეკომენდაციებს.

5. თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია გონივრულ ვადაში (არაუმეტეს 1 თვისა) მოახდინოს შესასრულებლად სავალდებულო მითითებაზე რეაგირება და განახორციელოს შესაბამისი ღონისძიებები. განხორციელებული ღონისძიებების შესახებ ინფორმაციას აღნიშნული კრიტიკული ინფორმაციული სისტემის სუბიექტი წარუდგენს კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფს.

თავი III². ადმინისტრაციული პასუხისმგებლობა ამ კანონის დარღვევისთვის

     მუხლი 10⁴. ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დასანერგად განსაზღვრული ვადის დარღვევა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-4 მუხლის მე-2 პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დასანერგად ოპერატიულ-ტექნიკური სააგენტოს უფროსის/ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით განსაზღვრული ვადის დარღვევა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

    მუხლი 10⁵. საქართველოს მთავრობის დადგენილებით განსაზღვრული დამატებითი მოთხოვნების შეუსრულებლობა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის 8² მუხლის პირველი პუნქტით გათვალისწინებული საქართველოს მთავრობის დადგენილებით განსაზღვრული დამატებითი მოთხოვნების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

    მუხლი  10⁶. ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის ჩატარების ვალდებულების შეუსრულებლობა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-6 მუხლის პირველი და მე-7 პუნქტებით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის ჩატარების ვალდებულების ან ამ კანონის მე-6 მუხლის მე-9 და მე-12 პუნქტებით გათვალისწინებული პენეტრაციის ტესტის ჩატარების ვალდებულების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

     მუხლი 10⁷. ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების განსახილველად წარუდგენლობა ან შესასრულებლად სავალდებულო მითითების შეუსრულებლობა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-4 მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების განსახილველად წარუდგენლობა ან შესასრულებლად სავალდებულო მითითების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 10 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 20 000 ლარის ოდენობით.

     მუხლი 10⁸. კომპიუტერული ინციდენტის იდენტიფიცირების შესახებ შეუტყობინებლობა, შესასრულებლად სავალდებულო მითითების შეუსრულებლობა ან განხორციელებული ღონისძიებების შესახებ ინფორმაციის წარუდგენლობა

1. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-10 მუხლის მე-2 პუნქტით დადგენილი წესით კომპიუტერული ინციდენტის იდენტიფიცირების შესახებ შეუტყობინებლობა ან ამ კანონის მე-10 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაში ოპერატიულ-ტექნიკური სააგენტოს მიერ გაცემული შესასრულებლად სავალდებულო მითითების შეუსრულებლობა ან განხორციელებული ღონისძიებების შესახებ ინფორმაციის წარუდგენლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2.  ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი იმ პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

3. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-10 მუხლის მე-2 პუნქტით დადგენილი წესით კომპიუტერული ინციდენტის იდენტიფიცირების შესახებ შეუტყობინებლობა ან ამ კანონის მე-10 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაში ციფრული მმართველობის სააგენტოს მიერ გაცემული შესასრულებლად სავალდებულო მითითების შეუსრულებლობა ან განხორციელებული ღონისძიებების შესახებ ინფორმაციის წარუდგენლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული ქმედება, ჩადენილი იმ მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

     მუხლი 10⁹. კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ინფორმაციული უსაფრთხოების აუდიტის დასკვნის ეგზემპლარის ან პენეტრაციის ტესტის დასკვნის ეგზემპლარის წარუდგენლობა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-6 მუხლის მე-6 პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის დასკვნის ეგზემპლარის ან ამ კანონის მე-6 მუხლის მე-11 პუნქტით გათვალისწინებული პენეტრაციის ტესტის დასკვნის ეგზემპლარის წარუდგენლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

3. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკის მიერ ამ კანონის მე-6 მუხლის მე-13 პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის დასკვნის ეგზემპლარის ან პენეტრაციის ტესტის დასკვნის ეგზემპლარის წარუდგენლობა −

გამოიწვევს დაჯარიმებას დარღვევის გამოვლენის მომენტისთვის ბოლო ანგარიშგების მდგომარეობით არსებული საზედამხედველო კაპიტალის 0.01%-ის, 0.05%-ის ან 0.1%-ის, მაგრამ არანაკლებ 20 000 (ოცი ათასი) ლარის ოდენობით, დარღვევის სერიოზულობიდან ან/და კომერციული ბანკის აქტივებისთვის მიყენებული ზარალიდან ან/და შესაძლო საფრთხიდან გამომდინარე. 

     მუხლი 10¹⁰. სამოქმედო გეგმის შესათანხმებლად წარუდგენლობა ან შეთანხმებული სამოქმედო გეგმით გათვალისწინებული შესასრულებლად სავალდებულო მითითების შეუსრულებლობა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის მე-6 მუხლის მე-14 პუნქტით გათვალისწინებული სამოქმედო გეგმის შესათანხმებლად წარუდგენლობა ან შეთანხმებული სამოქმედო გეგმით გათვალისწინებული შესასრულებლად სავალდებულო  მითითების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

3. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკის მიერ ამ კანონის მე-6 მუხლის მე-17 პუნქტით გათვალისწინებული სამოქმედო გეგმის შესათანხმებლად წარუდგენლობა ან შეთანხმებული სამოქმედო გეგმით გათვალისწინებული შესასრულებლად  სავალდებულო  მითითების შეუსრულებლობა −

გამოიწვევს დაჯარიმებას დარღვევის გამოვლენის მომენტისთვის ბოლო ანგარიშგების მდგომარეობით არსებული საზედამხედველო კაპიტალის 0.01%-ის, 0.05%-ის ან 0.1%-ის, მაგრამ არანაკლებ 20 000 (ოცი ათასი) ლარის ოდენობით, დარღვევის სერიოზულობიდან ან/და კომერციული ბანკის აქტივებისთვის მიყენებული ზარალიდან ან/და შესაძლო საფრთხიდან გამომდინარე.

     მუხლი 10¹¹. საინფორმაციო-ტექნოლოგიური ინფრასტრუქტურის შემოწმებისთვის ხელის შეშლა ან/და მოთხოვნილი ინფორმაციის წარუდგენლობა

1. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის 9¹ მუხლით გათვალისწინებული საინფორმაციო-ტექნოლოგიური ინფრასტრუქტურის შემოწმებისთვის ხელის შეშლა ან/და ოპერატიულ-ტექნიკური სააგენტოს მიერ მოთხოვნილი ინფორმაციის წარუდგენლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

     მუხლი 10¹². საინფორმაციო-ტექნოლოგიური ინფრასტრუქტურის შემოწმების შესახებ დასკვნით გათვალისწინებული შესასრულებლად სავალდებულო მითითების შეუსრულებლობა

1. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის 9¹ მუხლის მე-4 პუნქტით განსაზღვრული საინფორმაციო-ტექნოლოგიური ინფრასტრუქტურის შემოწმების შესახებ დასკვნით გათვალისწინებული შესასრულებლად სავალდებულო მითითების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით.

     მუხლი 10¹³. საინფორმაციო-ტექნოლოგიურ ინფრასტრუქტურაში დაგეგმილი ცვლილებების წინასწარ შეთანხმების ვალდებულების შეუსრულებლობა

1. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის 9¹ მუხლის მე-6 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებული საინფორმაციო-ტექნოლოგიურ ინფრასტრუქტურაში დაგეგმილი ცვლილებების წინასწარ შეთანხმების ვალდებულების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 10 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 20 000 ლარის ოდენობით.

     მუხლი 10¹⁴. ქსელურ სენსორზე წვდომის უზრუნველყოფის ვალდებულების ან/და ასეთი წვდომის სტაბილური ფუნქციონირების ვალდებულების შეუსრულებლობა

1. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფისთვის ამ კანონის მე-10 მუხლის მე-5 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებულ ქსელურ სენსორზე წვდომის უზრუნველყოფის ვალდებულების ან/და ასეთი წვდომის სტაბილური ფუნქციონირების ვალდებულების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 10 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 20 000 ლარის ოდენობით.

     მუხლი 10¹⁵. ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ სისტემაში შემავალ საგანზე წვდომის უფლების შეზღუდვა ან ასეთი წვდომისთვის ხელის შეშლა

1. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ოპერატიულ-ტექნიკური სააგენტოსთვის ამ კანონის მე-10 მუხლის მე-5 პუნქტის „გ“ ქვეპუნქტით გათვალისწინებულ ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ სისტემაში შემავალ საგანზე წვდომის უფლების შეზღუდვა ან ასეთი წვდომისთვის ხელის შეშლა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ, რომელსაც ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისთვის 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი, −

გამოიწვევს დაჯარიმებას 5 000 ლარის ოდენობით.

     მუხლი 10¹⁶. მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ან ელექტრონული კომუნიკაციის კომპანიის მიერ ამ კანონით გათვალისწინებული ვალდებულების შეუსრულებლობა

მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების დასანერგად ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით განსაზღვრული ვადის დარღვევა ან ამ კანონის მე-4 მუხლის მე-3 პუნქტით, მე-6 მუხლის პირველი, მე-9 ან მე-14 პუნქტით, 8² მუხლით ან მე-10 მუხლის მე-2 ან მე-3 პუნქტით გათვალისწინებული ვალდებულების შეუსრულებლობა ანდა ელექტრონული კომუნიკაციის კომპანიის მიერ ამ კანონის მე-10 მუხლის მე-5 პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ვალდებულების შეუსრულებლობა −

გამოიწვევს  „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონით დადგენილი წესით ადმინისტრაციულ-სამართლებრივი პასუხისმგებლობის დაკისრებას.

    მუხლი 10¹⁷. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკის მიერ ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების განსახილველად წარუდგენლობა ან დამატებითი სტანდარტებისა და მოთხოვნების დარღვევა

მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკის მიერ ეროვნული ბანკისთვის ამ კანონის მე-4 მუხლის მე-5 პუნქტის შესაბამისად ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების განსახილველად წარუდგენლობა ან იმავე მუხლის მე-6 პუნქტის ან მე-5 მუხლის მე-5 პუნქტის შესაბამისად დადგენილი დამატებითი სტანდარტებისა და მოთხოვნების ფარგლებში ვალდებულების შეუსრულებლობა −     

გამოიწვევს დაჯარიმებას დარღვევის გამოვლენის მომენტისთვის ბოლო ანგარიშგების მდგომარეობით არსებული საზედამხედველო კაპიტალის 0.01%-ის, 0.05%-ის ან 0.1%-ის, მაგრამ არანაკლებ 20 000 (ოცი ათასი) ლარის ოდენობით, დარღვევის სერიოზულობიდან ან/და კომერციული ბანკის აქტივებისთვის მიყენებული ზარალიდან ან/და შესაძლო საფრთხიდან გამომდინარე.

     მუხლი 10¹⁸. ადმინისტრაციული სამართალდარღვევის საქმის განხილვა

1. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის 10⁴−10⁸ მუხლებით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის საქმის განხილვისა და ადმინისტრაციული სახდელის დადების უფლება აქვს:

ა) პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ოპერატიულ-ტექნიკურ სააგენტოს;

ბ) მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ციფრული მმართველობის სააგენტოს.

2. პირველი/მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ამ კანონის 10⁹ ან 10¹⁰ მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის საქმის განხილვისა და ადმინისტრაციული სახდელის დადების უფლება აქვს:

ა) პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ოპერატიულ-ტექნიკურ სააგენტოს;

ბ) მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის (გარდა კომერციული ბანკისა) მიმართ − ციფრული მმართველობის სააგენტოს;

გ) მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკის მიმართ − ეროვნულ ბანკს.

3. ამ კანონის 10¹¹−10¹⁵ მუხლებით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის საქმის განხილვისა და ადმინისტრაციული სახდელის დადების უფლება აქვს ოპერატიულ-ტექნიკურ სააგენტოს.

4. ამ კანონის 10¹⁶ მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის საქმის განხილვისა და ადმინისტრაციულ-სამართლებრივი პასუხისმგებლობის დაკისრების უფლება აქვს საქართველოს კომუნიკაციების ეროვნულ კომისიას „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონით დადგენილი წესით, ოპერატიულ-ტექნიკური სააგენტოს მიმართვის საფუძველზე.

5. ამ კანონის 10¹⁷ მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის საქმის განხილვისა და ადმინისტრაციულ-სამართლებრივი პასუხისმგებლობის დაკისრების უფლება აქვს ეროვნულ ბანკს.

6. ადმინისტრაციული სამართალდარღვევის ოქმს ამ მუხლის პირველი პუნქტის „ა“ ქვეპუნქტით, მე-2 პუნქტის „ა“ ქვეპუნქტით ან მე-3 ან მე-4 პუნქტით გათვალისწინებულ შემთხვევაში  ადგენს ოპერატიულ-ტექნიკური სააგენტოს უფლებამოსილი პირი, ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით ან მე-2 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებულ შემთხვევაში − ციფრული მმართველობის სააგენტოს უფლებამოსილი პირი. ადმინისტრაციული სამართალდარღვევის ოქმი დგება და ადმინისტრაციული სამართალდარღვევის საქმე განიხილება საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით, აგრეთვე ოპერატიულ-ტექნიკური სააგენტოს/ციფრული მმართველობის სააგენტოს მიერ საკუთარი  კომპეტენციის ფარგლებში გამოცემული ნორმატიული აქტით დადგენილი წესით. ამ მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტით ან მე-5 პუნქტით გათვალისწინებულ შემთხვევაში ეროვნული ბანკი ადმინისტრაციული სამართალდარღვევის საქმეს განიხილავს „საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონისა და „კომერციული ბანკების საქმიანობის შესახებ“ საქართველოს კანონის შესაბამისად, ეროვნული ბანკის მიერ დადგენილი წესით.

თავი IV. გარდამავალი და დასკვნითი დებულებები

    მუხლი 11. გარდამავალი დებულებები

1. ამ კანონის ამოქმედებიდან 6 თვის ვადაში საქართველოს პრეზიდენტმა გამოსცეს ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.

2. ამ კანონის ამოქმედებიდან 6 თვის ვადაში მონაცემთა გაცვლის სააგენტომ გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ბრძანება „მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;

ბ) ბრძანება „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ“;

გ) ბრძანება „ქსელური სენსორის კონფიგურაციის წესების შესახებ“;

დ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;

ე) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურებისა და ავტორიზაციის საფასურის შესახებ“;

ვ) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის შესახებ“;

ზ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.

3. საქართველოს მთავრობამ 2014 წლის 1 აპრილამდე უზრუნველყოს „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“ დადგენილების მიღება.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დადგენილების მიღებამდე იურიდიულ ძალას ინარჩუნებს საქართველოს პრეზიდენტის 2013 წლის 11 მარტის №157 ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.

5. საქართველოს თავდაცვის სამინისტრომ 2014 წლის 1 აპრილამდე უზრუნველყოს კიბერუსაფრთხოების ბიუროს შექმნის მიზნით საქართველოს კანონმდებლობით განსაზღვრული შესაბამისი ღონისძიებების განხორციელება.

6. საქართველოს თავდაცვის მინისტრმა 2014 წლის 1 აპრილამდე გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ბრძანება „საჯარო სამართლის იურიდიული პირის − კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;

ბ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;

გ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.

    მუხლი 12. დასკვნითი დებულება

ეს კანონი ამოქმედდეს 2012 წლის 1 ივლისიდან.

 

საქართველოს პრეზიდენტი              მ . სააკაშვილი

თბილისი,

2012 წლის 5 ივნისი.

№6391- Iს