დოკუმენტის სტრუქტურა
განმარტებების დათვალიერება
დაკავშირებული დოკუმენტები
დოკუმენტის მონიშვნები
კონსოლიდირებული პუბლიკაციები
უკან დაბრუნება | მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისთვის მინიმალური სტანდარტების დადგენის შესახებ | |
|---|---|
| დოკუმენტის ნომერი | 3 |
| დოკუმენტის მიმღები | ციფრული მმართველობის სააგენტოს თავმჯდომარე |
| მიღების თარიღი | 14/12/2021 |
| დოკუმენტის ტიპი | ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანება |
| გამოქვეყნების წყარო, თარიღი | ვებგვერდი, 15/12/2021 |
| ძალაში შესვლის თარიღი | 30/12/2021 |
| სარეგისტრაციო კოდი | 010320000.59.071.016019 |
| კონსოლიდირებული პუბლიკაციები | |
დოკუმენტის კონსოლიდირებული ვარიანტის ნახვა ფასიანია, აუცილებელია სისტემაში შესვლა და საჭიროების შემთხვევაში დათვალიერების უფლების ყიდვა, გთხოვთ გაიაროთ რეგისტრაცია ან თუ უკვე რეგისტრირებული ხართ, გთხოვთ, შეხვიდეთ სისტემაში
პირველადი სახე (15/12/2021 - 10/10/2022)
|
„ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის საქართველოს კანონის მე-7 მუხლის მე-5 პუნქტის, „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის, „ნორმატიული აქტების შესახებ“ საქართველოს ორგანული კანონის 25-ე მუხლისა და „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში ცვლილების შეტანის თაობაზე“ 2021 წლის 10 ივნისის №632-IVმს-Xმპ საქართველოს კანონის მე-2 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის შესაბამისად, ვბრძანებ: |
1.
დამტკიცდეს თანდართული „მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისთვის მინიმალური სტანდარტები“. |
2.
ძალადაკარგულად გამოცხადდეს „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ“ ციფრული მმართველობის სააგენტოს თავმჯდომარის 2020 წლის 16 ოქტომბრის №2 ბრძანება. |
3.
ეს ბრძანება ამოქმედდეს 2021 წლის 30 დეკემბრიდან. |
|
მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისთვის მინიმალური სტანდარტები
მუხლი 1. მიზანი და მოქმედების სფერო 1. ეს სტანდარტები განსაზღვრავს ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებულ მოთხოვნებს, მისს უფლება-მოვალეობებსა და ანგარიშვალდებულების წესს. 2. ეს სტანდარტები ვრცელდება „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის შესაბამისად იდენტიფიცირებულ, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტებზე (შემდგომ − ორგანიზაცია). 3. ამ სტანდარტებში გამოყენებულ ტერმინებს აქვთ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონით განსაზღვრული მნიშვნელობა.
მუხლი 2. ინფორმაციული უსაფრთხოების მენეჯერი ორგანიზაცია ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) მესამე კატეგორიის კრიტიკული ინფორმაციის სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებისათვის (ინფორმაციული უსაფრთხოების მენეჯერი).
მუხლი 3. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობები 1. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია: ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი; ბ) ინფორმაციული უსაფრთხოების მართვის სისტემის მინიმალური მოთხოვნების შესრულების კოორდინირება; გ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერის ხარისხის უზრუნველყოფა; დ) ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (პოლიტიკის, პროცედურების, სახელმძღვანელოების) მომზადების, განხილვის, დამტკიცების და გადახედვის პროცესის კოორდინაცია; ე) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვების კოორდინაცია და მათზე რეაგირების მონიტორინგი; ვ) ინფორმაციული უსაფრთხოების სამოქმედო გეგმის შედგენა და ამ გეგმის შესრულების შესახებ ყოველწლიური ანგარიშის ანგარიშვალდებული პირებისა და საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოსთვის (შემდგომ − სააგენტო) წარდგენა; ზ) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობის წარმართვა; თ) გადაწყვეტილების მიღება სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის (CERT.DGA.GOV.GE) მიერ ორგანიზაციის ინფორმაციული აქტივის, ინფორმაციული სისტემის ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალი საგნის წვდომის შესაძლებლობის/შეუძლებლობის შესახებ; ი) ორგანიზაციის თანამშრომლებისთვის ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება; კ) ინფორმაციული უსაფრთხოების აუდიტის პროცესის ხელშეწყობა. 2. ორგანიზაცია უფლებამოსილია განსაზღვროს ინფორმაციული უსაფრთხოების მენეჯერისთვის სხვა დამატებითი მოვალეობები, რომლებიც ხელს შეუწყობს ორგანიზაციაში ინფორმაციული უსაფრთხოების მოთხოვნების იმპლემენტაციას.
მუხლი 4. ინფორმაციული უსაფრთხოების მენეჯერის ანგარიშვალდებულება 1. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია ორგანიზაციის ხელმძღვანელის ან მის მიერ უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. 2. ინფორმაციული უსაფრთხოების მენეჯერი ვალდებულია, ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღოს ანგარიშვალდებულ პირთან/კოლეგიურ ორგანოსთან წინასწარი შეთანხმებით.
მუხლი 5. ინფორმაციული უსაფრთხოების მენეჯერის მიმართ არსებული მოთხოვნები 1. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციის დასაკავებლად პირი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს: ა) ჰქონდეს სულ მცირე 3 წლის სამუშაო გამოცდილება; ბ) სასურველია ჰქონდეს გამოცდილება შემდეგ სფეროებში: ინფორმაციული ტექნოლოგიები, მენეჯმენტი, პროექტებისა და მართვის სტანდარტების დანერგვა; გ) ჰქონდეს სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO), სტანდარტიზაციის ბრიტანული ინსტიტუტის (BSI) ან ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ გაცემული სერტიფიკატი ინფორმაციული უსაფრთხოების დარგში და IT Infrastructure Library (ITIL) ექსპერტის ცოდნის დამადასტურებელი სერტიფიკატი. 2. თუ ინფორმაციული უსაფრთხოების მენეჯერს ან კანდიდატს არ გააჩნია ამ მუხლის პირველი პუნქტის „გ“ ქვეპუნქტში აღნიშნული სერტიფიკატებიდან ერთ-ერთი, მან უნდა გაიაროს ამ სტანდარტების მე-6 მუხლის მე-2 პუნქტით გათვალისწინებული ტესტირება.
მუხლი 6. სააგენტოს მონაწილეობა ინფორმაციული უსაფრთხოების მენეჯერის შერჩევაში 1. ინფორმაციული უსაფრთხოების მენეჯერის პოზიციის მნიშვნელობის, დაკისრებული ამოცანების სირთულისა და კრიტიკულობის გათვალისწინებით, სააგენტო მონაწილეობას იღებს ინფორმაციული უსაფრთხოების მენეჯერის შერჩევის პროცესში. 2. სააგენტოს მონაწილეობა აღნიშნულ პროცესში შემოიფარგლება ინფორმაციული უსაფრთხოების მენეჯერის ან კანდიდატის ინფორმაციული უსაფრთხოების კუთხით ცოდნისა და გამოცდილების, მისი კომპეტენციის ტესტირების საფუძველზე შეფასებაში/დადასტურებაში. სააგენტო ორგანიზაციას ტესტირების თარიღამდე 5 სამუშაო დღით ადრე აცნობებს ტესტირების თარიღს. ტესტირების პასუხები ტესტირებიდან 5 სამუშაო დღეში ეცნობება როგორც ინფორმაციული უსაფრთხოების მენეჯერს/კანდიდატს, ასევე დამსაქმებელ ორგანიზაციას. 3. სააგენტო ინფორმაციული უსაფრთხოების მენეჯერის ან კანდიდატის მიერ ტესტირების წარმატებით გავლის შემთხვევაში, გასცემს სერტიფიკატს 3 წლის მოქმედების ვადით. 4. სააგენტო ტესტირების შედეგებთან ერთად ორგანიზაციას უგზავნის დასკვნას კანდიდატის ინფორმაციული უსაფრთხოების მენეჯერისადმი დადგენილ საკვალიფიკაციო მოთხოვნებთან შესაბამისობის/კანდიდატის ინფორმაციული უსაფრთხოების მენეჯერად დანიშვნის მიზანშეწონილობის შესახებ. |
დოკუმენტის კომენტარები