ინფორმაციული უსაფრთხოების შესახებ კანონში ცვლილებები პარლამენტში დარეგისტრირდა

07 ოქტომბერი 2019

ბიუროზე დარეგისტრირდა ი. სესიაშვილის ინიციატივა „ინფორმაციული უსაფრთხოების შესახებ“ კანონში ცვლილების შეტანის თაობაზე. პროექტის თანახმად: წარმოდგენილი პროექტით გათვალისწინებულია შემდეგი ცვლილებები:

1. კრიტიკული ინფორმაციული სისტემის სუბიექტები დაიყოფიან 3 კატეგორიად. კერძოდ: 

  • I კატეგორიის სუბიექტებში მოხვდებიან ის სახელმწიფო ორგანოები, დაწესებულებები, საჯარო სამართლის იურიდიული პირები (გარდა რელიგიური და პოლიტიკური გაერთიანებებისა) და სახელმწიფო საწარმოები, რომელთა ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის; 
  • II კატეგორიის სუბიექტებში მოხვდებიან ის ელექტრონული კომუნიკაციების კომპანიები, რომელთა ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის; 
  • III კატეგორიის სუბიექტებში მოხვდებიან ის კერძო სამართლის იურიდიული პირები, რომლებიც არ წარმოადგენენ ელექტრონული კომუნიკაციის კომპანიებს, თუმცა რომელთა ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის. 

2. ყველა კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებული იქნება: 

  • დანიშნოს ინფორმაციული უსაფრთხოების მენეჯერი და კომპიუტერული უსაფრთხოების სპეციალისტი; 
  • უზრუნველყოს ინფორმაციული უსაფრთხოების დანერგვა კანონმდებლობით განსაზღვრულ ვადებში; 
  • ინფორმაციული უსაფრთხოების დანერგვის შემდეგ უზრუნველყოს ინფორმაციული უსაფრთხოების აუდიტის ჩატარება და ა.შ. 

3. I  კატეგორიის სუბიექტები ვალდებული იქნებიან:

  • ჰქონდეს ქსელური სენსორები (მოწყობილობები, რომლებიც გამოიყენება კომპიუტერული ინციდენტების აღმოჩენისთვის) და მისცენ წვდომა ოპერატიულ-ტექნიკურ სააგენტოს აღნიშნულ ქსელურ სენსორებზე; 
  • მოთხოვნისთანავე მისცენ წვდომა ოპერატიული ტექნიკურ სააგენტოს ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე რეაგირებისთვის. მათ მიმართ სავალდებულო წესით გავრცელდება საინფორმაციო ტექნოლოგიური ინფრასტრუქტურის შემოწმების პროცედურა. საინფორმაციო ტექნოლოგიური შემოწმება შესაძლებელია ოპერატიულ-ტექნიკური სააგენტოს მიერ ჩატარდეს ნებისმიერ დროს, გეგმიური ან არაგეგმიური სახით და მისი ჩატარება არ არის დაკავშირებული I კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ინფორმაციული უსაფრთხოების დანერგვასთან. 

შემოწმების შედეგად შემუშავებული დასკვნა შესასრულებლად სავალდებულოა აღნიშნული სუბიექტისთვის და მისი შეუსრულებლობა ან დასკვნით გათვალისწინებული მოთხოვნების დარღვევა გამოიწვევს ადმინისტრაციულ სამართლებრივ პასუხისმგებლობას. ასევე, აღნიშნული კატეგორიის სუბიექტი ვალდებული იქნება შემოწმების შედეგად შემუშავებულ სახელმძღვანელო მითითებებთან შესაბამისობაში მოიყვანოს მის მიერ დამტკიცებული ინფორმაციული უსაფრთხოების პოლიტიკები და დოკუმენტები. 

4.  განისაზღვრება ოპერატიულ- ტექნიკური სააგენტოსა და მონაცემთა გაცვლის სააგენტოს უფლებამოსილებები  (საერთო და ინდივიდუალური კომპეტენციები), კერძოდ:

  • ერთობლივი კომპეტენციის სფეროს განეკუთვნება მაგალითად ინფორმაციული უსაფრთხოების მარეგულირებელი კანონქვემდებარე ნორმატიული აქტების დამტკიცება (ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები, ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი და ა.შ.) 
  • მონაცემთა გაცვლის სააგენტო უფლებამოსილი იქნება მათ შორის, განახორციელოს  II და III კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების თანხმობით ჩაატაროს მათი ინფორმაციული უსაფრთხოების აუდიტი; გამოიყენოს ადმინისტრაციულ-სამართლებრივი სანქციები III კატეგორიის სუბიექტების მიმართ მათ მიერ ინფორმაციული უსაფრთხოების დანერგვისთვის დადგენილი ვადების დარღვევის ან აუდიტის დასკვნის შეუსრულებლობის შემთხვევაში;
  • ოპერატიულ-ტექნიკურ სააგენტოში შეიქმნება კომპიუტერულ ინციდენტებზე სწრაფი რეაგირების ჯგუფი - CERT.OTA.GOV.GE. კომპიუტერული უსაფრთხოების უზრუნველყოფაზე პასუხისმგებლობა განაწილდება  ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის -CERT.OTA.GOV.GE-ს და მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფს - CERT.DEA.GOV.GE-ს შორის.   ოპერატიულ- ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი უფლებამოსილებებს განახორციელებს I და II კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტებში, ხოლო მონაცემთა გაცვლის სააგენტოს დახმარების ჯგუფი - III კატეგორიის სუბიექტებში.

5.  ადმინისტრაციული სანქციები განისაზღვრება ინფორმაციული უსაფრთხოების კანონმდებლობით გათვალისწინებული მოთხოვნების დარღვევისთვის.  როგორც უთითებენ, შედარებით მკაცრად კონტროლისა და აღსრულების მექანიზმები გამოყენებული იქნება I კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტების მიმართ. 


დეტალურად ინიციატივა იხ. აქ: https://info.parliament.ge/#law-drafting/18874

ჩემი პარლამენტი

აქ ნახავთ ვინ წარმოგადგენთ პარლამენტში და რა გადაწყვეტილებები მიიღება თქვენი სახელით