“პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტებისთვის პენეტრაციის (შეღწევადობის) ტესტის ჩატარების წესისა და პერიოდულობის დადგენის შესახებ” საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის 2022 წლის 2 დეკემბრის №32 ბრძანებაში ცვლილების შეტანის შესახებ

ა) წესის მე-5 მუხლის პირველ პუნქტს დაემატოს შემდეგი შინაარსის „ე“- „თ“ ქვეპუნქტები:

„ე) მააკრედიტებელი ორგანიზაცია – ნატოს ობერამერგაუს სკოლა:

ე.ა) M6-149- Advanced Mobile Application Pentester;

ვ) მააკრედიტებელი ორგანიზაცია – ლინუქსის პროფესიული ინსტიტუტი (LPIC):

ვ.ა) LPIC მე-2 დონის სერტიფიცირება;

ვ.ბ) LPIC 3 უსაფრთხოების სპეციალისტი;

ვ.გ) LPIC 3 შერეული ოპერაციული გარემოს სპეციალისტი;

ვ.დ) LPIC 3 ვირტუალიზაცია და კონტეინერიზაცია;

ვ.ე) LPIC 3 მაღალი ხელმისაწვდომობისა და დიდი მეხსიერების კლასტერების სპეციალისტი;

ზ) მააკრედიტებელი ორგანიზაცია – კარნეგი მელონის უნივერსიტეტი (Carnegie Melon University):

ზ.ა) კიბერუსაფრთხოების აუდიტის სპეციალისტი;

ზ.ბ) მავნე კოდის ანალიტიკოსი (CIRAPT);

თ) მააკრედიტებელი ორგანიზაცია – აშშ იუსტიციის დეპარტამენტი:

თ.ა) MS Windows ოპერაციული სისტემების გამოძიების ანალიტიკოსი.“;

ბ) წესის მე-8 მუხლი ჩამოყალიბდეს შემდეგი რედაქციით:

მუხლი 8. პენეტრაციის ტესტის ხანგრძლივობა, საჭირო ადამიანური რესურსი და ტარიფები

„1. პენეტრაციის ტესტი შესაძლოა გრძელდებოდეს არაუმეტეს 18 თვისა, ხოლო საჭირო კაც-საათების რაოდენობა არ შეიძლება აღემატებოდეს 145 სამუშაო დღეს და 25 შესაბამისი კვალიფიკაციის მქონე პენტესტერს/პროფესიონალს. პენეტრაციის ტესტის მომსახურების საფასურის განაკვეთები განისაზღვრება „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს მიერ მომსახურების გაწევის საფასურის განაკვეთების, ასევე ამ საფასურის გადახდის, მისი გადახდისგან გათავისუფლების და გადახდილი საფასურის დაბრუნების წესის დამტკიცების შესახებ“ სსიპ – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის 2019 წლის 20 თებერვლის №6 ბრძანებით.

2. პენეტრაციის ტესტის დასრულების შემდგომ დგება დასკვნა, რომელიც წარმოადგენს უშუალოდ პენეტრაციის ტესტირებისას განხორციელებული აქტივობებისა და მათ შედეგად აღმოჩენილი სისუსტეების საბოლოო შემაჯამებელ და განზოგადებულ ანგარიშს, რომელშიც აისახება ძირითადი მიგნებები პენეტრაციის ტესტისას ორგანიზაციის საინფორმაციო და საკომუნიკაციო ინფრასტრუქტურაში აღმოჩენილი ყველაზე კრიტიკული სისუსტეების თაობაზე.

3. დასკვნა ასევე მოიცავს სავალდებულოდ შესასრულებელ რეკომენდაციებს, რომელიც გულისხმობს აღმოჩენილი მოწყვლადობების აღმოფხვრის ან/და შემსუბუქების სახელმძღვანელო მითითებებს, ხოლო უშუალოდ ტექნიკური ინსტრუქციები კი გაწერილია ამ მუხლის მე-4 პუნქტით გათვალისწინებულ ტექნიკურ ანგარიშებში.

4. დასკვნას თან ერთვის პენეტრაციის სატესტო მომსახურების თითოეული კომპონენტის თაობაზე შესაბამისი ტექნიკური ანგარიში პენეტრაციის სატესტო მომსახურების ფარგლებში მოპოვებულ და გაანალიზებულ ციფრულ არტეფაქტებთან ერთად. მხარეთა შეთანხმებით, პენეტრაციის სატესტო მომსახურების გაწევის თაობაზე როგორც ხელშეკრულების გაფორმებისას, ასევე მის შემდგომ, დასაშვებია პენეტრაციის მთლიანი მომსახურების ჩაბარება ხელშეკრულების მეორე მხარისათვის საბოლოო დასკვნის გარეშე. ასეთ შემთხვევაში ორგანიზაციას საბოლოო დასკვნა გადაეცემა მომსახურების ჩაბარებიდან არაუგვიანეს 3 თვისა.“.