ინფორმაციული უსაფრთხოება(კანონები, სტანდარტები, პრაქტიკა)

Moor · 19 დეკემბერი, 2020

ეს თემა მაინტერესებს და საინტერესო მასალა რაც შემხვდება აქ დავდებ ხოლმე. ჩვენს ბადესთან მიმართებაშიც საინტერესოა :smoking:

დავიწყოთ კანონით 'ინფორმაციული უსაფრთხოების შესახებ' იხ. სპოილერში

Spoiler

კონსოლიდირებული ვერსია (საბოლოო)

+

საქართველოს კანონი

ინფორმაციული უსაფრთხოების შესახებ

თავი I. ზოგადი დებულებები

+

მუხლი 1. კანონის მიზანი

+

ამ კანონის მიზანია, ხელი შეუწყოს ინფორმაციული უსაფრთხოების დაცვის ქმედით და ეფექტიან განხორციელებას, დააწესოს საჯარო და კერძო სექტორების უფლება-მოვალეობები ინფორმაციული უსაფრთხოების დაცვის სფეროში, აგრეთვე განსაზღვროს ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების სახელმწიფო კონტროლის მექანიზმები.

მუხლი 2. ტერმინთა განმარტება

+

ამ კანონში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) ინფორმაციული უსაფრთხოება – საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენტიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას;

ბ) ინფორმაციული უსაფრთხოების პოლიტიკა – ამ კანონით, საქართველოს სხვა ნორმატიული აქტებითა და საერთაშორისო შეთანხმებებით გათვალისწინებული ნორმებისა და პრინციპების, აგრეთვე პრაქტიკის ერთობლიობა, რომელიც ემსახურება ინფორმაციული უსაფრთხოების უზრუნველყოფას და შეესაბამება მისი დაცვის სფეროში დადგენილ საერთაშორისო სტანდარტებს;

გ) კიბერსივრცე – სივრცე, რომლის განმასხვავებელი ნიშანია ელექტრონული მოწყობილობებისა და ელექტრომაგნიტური სპექტრის გამოყენება ქსელით დაკავშირებული სისტემებისა და დამხმარე ფიზიკური ინფრასტრუქტურის მეშვეობით მონაცემთა შენახვისათვის, შეცვლისათვის ან გაცვლისათვის;

დ) კიბერშეტევა – ქმედება, როდესაც ელექტრონული მოწყობილობა ან/და მასთან დაკავშირებული ქსელი ან სისტემა გამოიყენება კრიტიკულ ინფორმაციულ სისტემაში შემავალი სისტემების, ქონების ან ფუნქციების მთლიანობის დარღვევის, შეფერხების ან განადგურების ან ინფორმაციის უკანონოდ მოპოვების გზით;

ე) კომპიუტერული ინციდენტი – ინფორმაციული უსაფრთხოების პოლიტიკის რეალური ან პოტენციური დარღვევა, რომელიც ხორციელდება ინფორმაციული ტექნოლოგიის გამოყენებით და იწვევს ინფორმაციის უნებართვო წვდომას, გამჟღავნებას, დაზიანებას ან შეფერხებას ან ინფორმაციული რესურსის მიტაცებას;

ვ) კრიტიკული ინფორმაციული სისტემა − ინფორმაციული სისტემა, რომლის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალური ფუნქციონირებისათვის;

ზ) კრიტიკული ინფორმაციული სისტემის სუბიექტი – სახელმწიფო ორგანო ან იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისათვის;

თ) კონფიდენციალური ინფორმაცია – ინფორმაცია, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფას, სავარაუდოდ, მოჰყვება კრიტიკული ინფორმაციული სისტემის სუბიექტის ფუნქციებისათვის მნიშვნელოვანი ზიანი და რომლის კონფიდენციალურ ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;

ი) შინასამსახურებრივი გამოყენების ინფორმაცია – ინფორმაცია, რომელიც განკუთვნილია მხოლოდ კრიტიკული ინფორმაციული სისტემის სუბიექტის თანამშრომლისათვის ან/და მასთან სახელშეკრულებო ურთიერთობის მქონე პირისათვის, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფა, სავარაუდოდ, გამოიწვევს კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ თავისი ფუნქციების შესრულების მნიშვნელოვან შეფერხებას ან ზიანს მიაყენებს სახელმწიფო ხელისუფლების ორგანოს უსაფრთხოებას, სახელმწიფო ინტერესს ან კერძო პირის საქმიან რეპუტაციას და რომლის შინასამსახურებრივი გამოყენების ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;

კ) ინფორმაციული აქტივი − ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის;

ლ) ინფორმაციული სისტემა − ინფორმაციული ტექნოლოგიებისა და ამ ტექნოლოგიების გამოყენებით განხორციელებული ქმედებების ნებისმიერი კომბინაცია, რომელიც ხელს უწყობს მართვას ან/და გადაწყვეტილების მიღებას;

მ) ქსელური სენსორი – მოწყობილობა, რომელიც სპეციალურად გამიზნულია ქსელის სეგმენტის მონიტორინგისთვის, ისეთი ქმედებების გამოსავლენად, რომლებიც მიუთითებს ინფორმაციული სისტემის წინააღმდეგ წარმოებულ შეტევაზე ან მასში შეღწევაზე.

ნ) ციფრული მმართველობის სააგენტო − საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი;

ო) კიბერუსაფრთხოების ბიურო − საქართველოს თავდაცვის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი (შემდგომ − კიბერუსაფრთხოების ბიურო).

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 3. კანონის მოქმედების სფერო

+

1. ამ კანონის მოქმედება ვრცელდება ყველა იურიდიულ პირსა და სახელმწიფო ორგანოზე, რომლებიც კრიტიკული ინფორმაციული სისტემის სუბიექტები არიან. ამ კანონის მოქმედება ასევე ვრცელდება ისეთ ორგანიზაციასა და უწყებაზე, რომლებიც კრიტიკული ინფორმაციული სისტემის სუბიექტს ექვემდებარებიან ან ამ სუბიექტთან დაკავშირებული არიან დასაქმების, სტაჟირების, სახელშეკრულებო ან სხვა ურთიერთობით და რომლებიც უზრუნველყოფენ ინფორმაციული აქტივის წვდომას ასეთი ურთიერთობის ფარგლებში.

2. კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის დადგენილებით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას მხედველობაში მიიღება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა საზოგადოების ნორმალური ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის ამ კანონიდან გამომდინარე ვალდებულებების დაკისრებას მოჰყვება.

3. ამ კანონის მოქმედება არ ვრცელდება მასმედიაზე, გამომცემლობათა რედაქციებზე, სამეცნიერო, საგანმანათლებლო, რელიგიურ და საზოგადოებრივ ორგანიზაციებსა და პოლიტიკურ პარტიებზე, მიუხედავად იმისა, თუ რამდენად მნიშვნელოვანია მათი საქმიანობა ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის.

4. ნებისმიერ იურიდიულ პირსა და სახელმწიფო ხელისუფლების ორგანოს, რომელიც არ არის კრიტიკული ინფორმაციული სისტემის სუბიექტი, უფლება აქვს, ნებაყოფლობით აიღოს ამ კანონიდან გამომდინარე ვალდებულებები.

5. ამ კანონის მოქმედება არ ვრცელდება კრიტიკული ინფორმაციული სისტემის სუბიექტის წინასწარი თანხმობით ნებადართულ ქმედებაზე, რომლის მიზანია ინფორმაციული უსაფრთხოების ტესტირება.

6. ამ კანონის დებულებები გავლენას არ ახდენს საქართველოს კანონმდებლობით გათვალისწინებული იმ ნორმების მოქმედებაზე, რომლებიც არეგულირებს ინფორმაციის თავისუფლებას, პერსონალური მონაცემის დამუშავებას, სახელმწიფო, კომერციული და პირადი საიდუმლოებების დაცვას.

საქართველოს 2013 წლის 20 სექტემბრის კანონი №1250 – ვებგვერდი, 01.10.2013წ.

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

საქართველოს 2015 წლის 8 ივლისის კანონი №3933 - ვებგვერდი, 15.07.2015წ.

თავი II. ინფორმაციული უსაფრთხოების ორგანიზება და უზრუნველყოფა

+

მუხლი 4. ინფორმაციული უსაფრთხოების წესები

+

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია მიიღოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები, რომლებიც ემსახურება ამ კანონის დებულებათა აღსრულებას და განსაზღვრავს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას.

2. ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (კრიტიკული ინფორმაციული სისტემის სუბიექტის კრიტიკულობის კლასიფიცირების გათვალისწინებით). ამ მოთხოვნებს სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების შესაბამისად განსაზღვრავს ციფრული მმართველობის სააგენტო.

3. კრიტიკული ინფორმაციული სისტემის სუბიექტი ამ მუხლის პირველი პუნქტის შესაბამისად მიღებულ ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებს განსახილველად წარუდგენს ციფრული მმართველობის სააგენტოს. ციფრული მმართველობის სააგენტოს ეცნობება აგრეთვე ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებში შეტანილი ნებისმიერი ცვლილება. ციფრული მმართველობის სააგენტო ახორციელებს ამგვარად მიწოდებული დოკუმენტების ზოგად ანალიზს და მათში აღმოჩენილი ხარვეზების გამოსასწორებლად წარადგენს რეკომენდაციებს.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დოკუმენტების გარდა, ციფრული მმართველობის სააგენტოს ხელი არ მიუწვდება კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციასა და ინფორმაციულ აქტივზე, გარდა იმ შემთხვევისა, როდესაც კრიტიკული ინფორმაციული სისტემის სუბიექტი ნებაყოფლობით უზრუნველყოფს ციფრული მმართველობის სააგენტოსთვის ინფორმაციისა და ინფორმაციული აქტივის ხელმისაწვდომობას.

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 5. ინფორმაციული აქტივების მართვა

+

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი, ამ კანონის მე-4 მუხლის პირველი პუნქტით გათვალისწინებული შინასამსახურებრივი გამოყენების წესების შესაბამისად, ატარებს ინფორმაციული სისტემების ინვენტარიზაციას ყველა ინფორმაციული აქტივის აღრიცხვის მიზნით, რის შედეგადაც ყოველ ინფორმაციულ აქტივს მიენიჭება კრიტიკულობის შესაბამისი კლასი – კონფიდენციალური ან შინასამსახურებრივი გამოყენების. ყველა სხვა ინფორმაციული აქტივი, რომელთა კლასიფიცირება საჭირო არ არის, ღია ინფორმაციად ითვლება.

2. ინფორმაციული აქტივების აღრიცხვის შედეგად აღიწერება ყოველი ინფორმაციული აქტივის მნიშვნელობა, ფასეულობა, უსაფრთხოებისა და დაცვის არსებული დონე.

3. ინფორმაციული აქტივის შექმნის დროს კრიტიკულობის შესაბამის კლასს ადგენს აქტივის ავტორი ან/და აქტივზე პასუხისმგებელი პირი.

4. ინფორმაციული აქტივების მართვის წესები, კერძოდ, მათი აღწერის, კლასიფიცირების, ხელმისაწვდომობის, გაცემის (გამოქვეყნების), შეცვლისა და განადგურების წესები (გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი საჯარო ინფორმაციის ხელმისაწვდომობას განსაზღვრავს) დგინდება ციფრული მმართველობის სააგენტოს ნორმატიული აქტით.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 6. ინფორმაციული უსაფრთხოების აუდიტი და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტი

+

1. ციფრული მმართველობის სააგენტო ან ციფრული მმართველობის სააგენტოს მიერ ავტორიზებულ პირთაგან კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული პირი ან ორგანიზაცია კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით ატარებს ინფორმაციული უსაფრთხოების აუდიტს − ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების (ინფორმაციული უსაფრთხოების პოლიტიკის) ციფრული მმართველობის სააგენტოს მიერ დადგენილ უსაფრთხოების მინიმალურ სტანდარტებთან შესაბამისობის შეფასებას. ინფორმაციული უსაფრთხოების აუდიტის ჩატარების შემდეგ დგება დასკვნა, რომლის მოთხოვნების შესრულება სავალდებულოა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი დგინდება ციფრული მმართველობის სააგენტოს ნორმატიული აქტით.

3. ციფრული მმართველობის სააგენტოს მიერ ჩატარებული ინფორმაციული უსაფრთხოების აუდიტის საფასური განისაზღვრება კრიტიკული ინფორმაციული სისტემის სუბიექტთან საქართველოს კანონმდებლობის შესაბამისად დადებული ხელშეკრულებით.

4. ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესი და ავტორიზაციის პროცედურები დგინდება ციფრული მმართველობის სააგენტოს ნორმატიული აქტით.

5. ციფრული მმართველობის სააგენტო ან ციფრული მმართველობის სააგენტოს წინასწარი ნებართვით – კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული დამოუკიდებელი, შესაბამისი კომპეტენციის მქონე პირი ან ორგანიზაცია კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით ატარებს ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტს და ამ სისტემის მოწყვლადობის შეფასებას წინასწარ დაგეგმილი და დოკუმენტირებული ამოცანის მიხედვით.

6. თუ ამ მუხლით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის ან ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის ჩატარების შედეგად გამოვლინდა ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნებთან შეუსაბამობა, კრიტიკული ინფორმაციული სისტემის სუბიექტი ატარებს შეუსაბამობის მიზეზის ანალიზს და საჭიროების შემთხვევაში განსაზღვრავს სათანადო გამოსასწორებელ ღონისძიებებს, მათ გრაფიკს წარუდგენს ციფრული მმართველობის სააგენტოს და ახორციელებს აღნიშნულ ღონისძიებებს.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 7. ინფორმაციული უსაფრთხოების მენეჯერი

+

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციის სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებისათვის (ინფორმაციული უსაფრთხოების მენეჯერი).

2. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია:

ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;

ბ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;

გ) ინფორმაციული უსაფრთხოების პოლიტიკის შინაუწყებრივი დოკუმენტაციის მომზადება;

დ) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;

ე) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;

ვ) ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;

ზ) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

3. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღება ამ პუნქტით განსაზღვრული პირის (პირების) მიერ ან მასთან (მათთან) წინასწარი შეთანხმებით.

4. ინფორმაციული უსაფრთხოების მენეჯერი ადგენს ინფორმაციული უსაფრთხოების სამოქმედო გეგმას და ამ სამოქმედო გეგმის შესრულების შესახებ ყოველწლიურ ანგარიშს წარუდგენს ამ მუხლის მე-3 პუნქტით გათვალისწინებულ პირს (პირებს) და ციფრული მმართველობის სააგენტოს.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

თავი III. კიბერუსაფრთხოების უზრუნველყოფა

+

მუხლი 8. ციფრული მმართველობის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი

+

1. ამ კანონის დებულებათა აღსრულებას, კერძოდ, საქართველოს კიბერსივრცეში ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული ინციდენტების მართვას, აგრეთვე ინფორმაციული უსაფრთხოების კოორდინაციისკენ მიმართულ, მასთან დაკავშირებულ სხვა საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს ციფრული მმართველობის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი (CERT.GOV.GE) (შემდგომ – დახმარების ჯგუფი).

2. კიბერუსაფრთხოების პრიორიტეტულ საფრთხეებს მიეკუთვნება:

ა) კიბერშეტევა, რომელიც საფრთხეს უქმნის ადამიანთა სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებს ან ქვეყნის თავდაცვისუნარიანობას;

ბ) კიბერშეტევა კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული სისტემების წინააღმდეგ;

გ) კიბერშეტევა, რომელიც საფრთხეს უქმნის სახელმწიფოს, ორგანიზაციის ან კერძო პირის ფინანსურ რესურსებს ან/და საკუთრების უფლებას;

დ) სხვა ნებისმიერი ქმედება, რომელიც, მისი ხასიათიდან, მიზნიდან, წყაროდან, მოცულობიდან ან რაოდენობიდან ან მისი აღკვეთისათვის საჭირო რესურსების ოდენობიდან გამომდინარე, კრიტიკული ინფორმაციული სისტემის ნორმალური ფუნქციონირებისათვის საკმარისი საფრთხის შემცველია.

3. დახმარების ჯგუფის მოვალეობებია:

ა) კრიტიკული ინფორმაციული სისტემის ინფორმაციული უსაფრთხოების დაცვის შესახებ რეკომენდაციების გაცემა;

ბ) კომპიუტერული ინციდენტების დროული გამოვლენა;

გ) კომპიუტერულ ინციდენტებზე რეაგირება და მათზე რეაგირების კოორდინაცია;

დ) კომპიუტერული ინციდენტების აღრიცხვა და მათზე რეაგირების პრიორიტეტების დადგენა და კატეგორიზაცია;

ე) კომპიუტერული ინციდენტების ანალიზი;

ვ) კომპიუტერული ინციდენტების შედეგების გამოსწორებისა და ზიანის მინიმიზაციის პროცესში დახმარების გაწევა;

ზ) კომპიუტერული ინციდენტების პრევენციისკენ მიმართული ზომების კოორდინაცია და ამგვარი ზომების დანერგვაში დახმარების გაწევა;

თ) ინფორმაციული უსაფრთხოების საკითხებზე ცნობიერების ამაღლება, მათ შორის, კრიტიკულ ინფორმაციულ სისტემაში არსებული საფრთხეებისა და სუსტი წერტილების შესახებ ინფორმაციის მიწოდება, თუ ინფორმაციის ამგვარი ხელმისაწვდომობა ზიანს არ აყენებს ინფორმაციულ უსაფრთხოებას;

ი) შესაძლო საფრთხეების შესახებ მომხმარებელთა ფართო წრის გაფრთხილება და მისთვის სათანადო ინფორმაციის მიწოდება;

კ) ინფორმაციული უსაფრთხოების საკითხებზე საგანმანათლებლო და ინფორმაციული უზრუნველყოფა;

ლ) საერთაშორისო დონეზე ინფორმაციული უსაფრთხოების საკითხებში წარმომადგენლობა და კოორდინაცია;

მ) სხვა მოვალეობები, რომლებიც დაკავშირებულია ინფორმაციული უსაფრთხოების მიზნებთან და განისაზღვრება კანონით ან სხვა ნორმატიული აქტით.

4. დახმარების ჯგუფს უფლება აქვს, მოითხოვოს კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივის, ინფორმაციული სისტემის ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალი საგნის წვდომა, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე სათანადო რეაგირებისათვის. ინფორმაციული უსაფრთხოების მენეჯერი მოთხოვნის გონივრულ ვადაში განხილვის შედეგად დახმარების ჯგუფს დაუყოვნებლივ აცნობებს შესაბამისი წვდომის შესაძლებლობის ან შეუძლებლობის შესახებ.

5. დახმარების ჯგუფის კომპეტენცია, მუშაობის პროცედურები, კომპიუტერულ ინციდენტებზე რეაგირების მექანიზმები და საქმიანობის სხვა წესები დგინდება ციფრული მმართველობის სააგენტოს ნორმატიული აქტით.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 9. კომპიუტერული უსაფრთხოების სპეციალისტი

+

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციული სისტემის სუბიექტის კომპიუტერული სისტემების უსაფრთხოების პრაქტიკული უზრუნველყოფისათვის (კომპიუტერული უსაფრთხოების სპეციალისტი).

2. კომპიუტერული უსაფრთხოების სპეციალისტის ძირითადი მოვალეობებია:

ა) კომპიუტერული სისტემების ყოველდღიური მონიტორინგი და შეფასება;

ბ) კომპიუტერული ინციდენტების იდენტიფიცირება და მათზე რეაგირება;

გ) კომპიუტერული ინციდენტებისა და უსაფრთხოების ზომების ანალიზი და ანგარიშგება;

დ) დახმარების ჯგუფთან კოორდინაცია;

ე) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

3. კომპიუტერული უსაფრთხოების სპეციალისტი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული ტექნოლოგიების სამსახურის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის წინაშე.

4. კომპიუტერული უსაფრთხოების სპეციალისტი ხელმისაწვდომი უნდა იყოს ნებისმიერ დროს, მათ შორის, სამუშაო საათების შემდეგ. იგი ვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტზე მიმდინარე ან სავარაუდო კიბერშეტევის და ამ კიბერშეტევის შედეგების აღმოფხვრის პროცესში უზრუნველყოს ციფრული მმართველობის სააგენტოსთან მუდმივი კოორდინაცია.

5. თუ მიმდინარე ან სავარაუდო კიბერშეტევა განსაკუთრებულ საფრთხეს უქმნის სახელმწიფოს თავდაცვისუნარიანობას, ეკონომიკურ უსაფრთხოებას, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალურ ფუნქციონირებას, ციფრული მმართველობის სააგენტო უფლებამოსილია კიბერშეტევის თავიდან აცილების, მოგერიების ან/და მისი შედეგების აღმოფხვრის მიზნით განახორციელოს კომპიუტერული უსაფრთხოების სპეციალისტების დროებითი კოორდინაცია.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 10. კომპიუტერული ინციდენტის იდენტიფიცირება

+

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ახორციელებს კომპიუტერული ინციდენტების იდენტიფიცირებას, რაც მოიცავს თითოეული ინციდენტის შესწავლასა და აღწერას და მასზე რეაგირებას.

2. ციფრული მმართველობის სააგენტო და კომპიუტერული უსაფრთხოების სპეციალისტი კრიტიკული ინფორმაციული სისტემის სუბიექტთან შეთანხმებით ამ სუბიექტის ქსელში ახორციელებენ კომპიუტერული ინციდენტების იდენტიფიცირებისა და კვლევისთვის აუცილებელი ქსელური სენსორის (სენსორების სისტემის) კონფიგურაციასა და მართვას. ქსელური სენსორის კონფიგურაციის წესები დგინდება ციფრული მმართველობის სააგენტოს ნორმატიული აქტით.

3. კომპიუტერული ინციდენტის იდენტიფიცირების შესახებ დაუყოვნებლივ ეცნობება დახმარების ჯგუფს და, აუცილებლობის შემთხვევაში, ხორციელდება გადაუდებელი ღონისძიებები ამ ინციდენტის შესახებ ინფორმაციის შენახვისა და დაცვის მიზნით.

4. დახმარების ჯგუფი შეისწავლის და აღწერს კომპიუტერულ ინციდენტებს და ახორციელებს მათზე ადეკვატურ რეაგირებას ამ კანონით გათვალისწინებული ფუნქციების შესრულებისას.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

თავი III¹. კიბერუსაფრთხოების ბიურო

+

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

მუხლი 10¹. კიბერუსაფრთხოების ბიუროს სტატუსი და ფუნქციები

+

1. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტებისათვის ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს თავდაცვის სფეროში ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტის კრიტიკულობის კლასიფიცირების გათვალისწინებით), რომლებსაც განსაზღვრავს კიბერუსაფრთხოების ბიურო სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების შესაბამისად.

2. კიბერუსაფრთხოების ბიურო იქმნება ამ კანონისა და „საჯარო სამართლის იურიდიული პირის შესახებ“ საქართველოს კანონის შესაბამისად.

3. კიბერუსაფრთხოების ბიუროს მოქმედების სფერო არ ვრცელდება ციფრული მმართველობის სააგენტოზე, რომლის უფლებამოსილებები, ფუნქციები და მოქმედების სფერო განისაზღვრება ამ კანონითა და „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონით.

4. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის შესაბამისი აქტით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას მხედველობაში მიიღება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი სახელმწიფოს თავდაცვისუნარიანობის თვალსაზრისით; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა სახელმწიფოს თავდაცვისუნარიანობის შეუფერხებელი ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის შესაბამისი ვალდებულებების დაკისრებას მოჰყვება.

5. კიბერუსაფრთხოების ბიუროს დებულებასა და სტრუქტურას ამტკიცებს საქართველოს თავდაცვის მინისტრი.

6. კიბერუსაფრთხოების ბიუროს ძირითადი ფუნქციაა საქართველოს კანონმდებლობით, მათ შორის, ამ კანონით, მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში საქმიანობის განხორციელება.

7. ამ კანონის მე-6 და მე-7 მუხლების, მე-9 მუხლის მე-4 პუნქტისა და მე-10 მუხლის მე-2 პუნქტის მოქმედება არ ვრცელდება კიბერუსაფრთხოების ბიუროს საქმიანობაზე.

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

საქართველოს 2015 წლის 8 ივლისის კანონი №3933 - ვებგვერდი, 15.07.2015წ.

საქართველოს 2020 წლის 12 ივნისის კანონი №6299 – ვებგვერდი, 26.06.2020წ.

მუხლი 10². კიბერუსაფრთხოების ბიუროს დირექტორი

+

1. კიბერუსაფრთხოების ბიუროს დირექტორს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს საქართველოს თავდაცვის მინისტრი.

2. კიბერუსაფრთხოების ბიუროს დირექტორს ჰყავს ორი მოადგილე, მათ შორის, ერთი პირველი მოადგილე, რომელიც ასრულებს დირექტორის მოვალეობას მისი არყოფნის შემთხვევაში. დირექტორის მოადგილეებს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს კიბერუსაფრთხოების ბიუროს დირექტორი საქართველოს თავდაცვის მინისტრთან შეთანხმებით.

3. კიბერუსაფრთხოების ბიუროს დირექტორი მოქმედებს ამ კანონითა და კიბერუსაფრთხოების ბიუროს დებულებით მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში.

4. კიბერუსაფრთხოების ბიუროს დირექტორი უფლებამოსილია საქართველოს კანონმდებლობით დადგენილი წესით თანამდებობაზე დანიშნოს და თანამდებობიდან გაათავისუფლოს კიბერუსაფრთხოების ბიუროს თანამშრომლები.

5. კიბერუსაფრთხოების ბიუროს დირექტორი გამოსცემს ნორმატიულ აქტს – ბრძანებას ამ კანონითა და საქართველოს სხვა საკანონმდებლო აქტებით განსაზღვრულ შემთხვევებსა და ფარგლებში. კიბერუსაფრთხოების სფეროში თავდაცვის პოლიტიკის მარეგულირებელ ნორმატიულ აქტებს გამოსცემს საქართველოს თავდაცვის მინისტრი.

6. კიბერუსაფრთხოების ბიუროს საშტატო განრიგსა და თანამდებობრივ სარგოებს ამტკიცებს საქართველოს თავდაცვის მინისტრი საქართველოს კანონმდებლობით დადგენილი წესით.

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

მუხლი 10³. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი

+

1. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტებზე განხორციელებული იმ კიბერშეტევის, რომელიც საფრთხეს უქმნის ადამიანის სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებსა და ქვეყნის თავდაცვისუნარიანობას, აგრეთვე ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული სხვა ინციდენტების მართვას და მასთან დაკავშირებულ იმ საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი – CERT.MOD.GOV.GE (შემდგომ – კიბერუსაფრთხოების ბიუროს დახმარების ჯგუფი).

2. კიბერუსაფრთხოების ბიუროს დახმარების ჯგუფისათვის პრიორიტეტული საფრთხეები და ამ ჯგუფის მოვალეობები თავდაცვის სფეროში განისაზღვრება ამ კანონის მე-8 მუხლის მე-2 და მე-3 პუნქტებით.

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

თავი IV. გარდამავალი და დასკვნითი დებულებები

+

მუხლი 11. გარდამავალი დებულებები

+

1. ამ კანონის ამოქმედებიდან 6 თვის ვადაში საქართველოს პრეზიდენტმა გამოსცეს ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.

2. ამ კანონის ამოქმედებიდან 6 თვის ვადაში მონაცემთა გაცვლის სააგენტომ გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ბრძანება „მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;

ბ) ბრძანება „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ“;

გ) ბრძანება „ქსელური სენსორის კონფიგურაციის წესების შესახებ“;

დ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;

ე) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურებისა და ავტორიზაციის საფასურის შესახებ“;

ვ) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის შესახებ“;

ზ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.

3. საქართველოს მთავრობამ 2014 წლის 1 აპრილამდე უზრუნველყოს „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“ დადგენილების მიღება.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დადგენილების მიღებამდე იურიდიულ ძალას ინარჩუნებს საქართველოს პრეზიდენტის 2013 წლის 11 მარტის №157 ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.

5. საქართველოს თავდაცვის სამინისტრომ 2014 წლის 1 აპრილამდე უზრუნველყოს კიბერუსაფრთხოების ბიუროს შექმნის მიზნით საქართველოს კანონმდებლობით განსაზღვრული შესაბამისი ღონისძიებების განხორციელება.

6. საქართველოს თავდაცვის მინისტრმა 2014 წლის 1 აპრილამდე გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ბრძანება „საჯარო სამართლის იურიდიული პირის − კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;

ბ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;

გ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.

საქართველოს 2013 წლის 20 სექტემბრის კანონი №1250 – ვებგვერდი, 01.10.2013წ.

საქართველოს 2013 წლის 24 დეკემბრის კანონი №1829 - ვებგვერდი, 28.12.2013წ.

მუხლი 12. დასკვნითი დებულება

+

ეს კანონი ამოქმედდეს 2012 წლის 1 ივლისიდან.

საქართველოს პრეზიდენტი მ . სააკაშვილი

თბილისი,

2012 წლის 5 ივნისი.

№6391- Iს

4. 12/06/2020 - საქართველოს კანონი - 6299-IIს - ვებგვერდი, 26/06/2020 3. 08/07/2015 - საქართველოს კანონი - 3933-რს - ვებგვერდი, 15/07/2015 2. 24/12/2013 - საქართველოს კანონი - 1829-რს - ვებგვერდი, 28/12/2013 1. 20/09/2013 - საქართველოს კანონი - 1250-Iს - ვებგვერდი, 01/10/2013 - ცვლილება შეიცავს გარდამავალ დებულებას

უკუკავშირი

საინტერესო და საკმაოდ ინფორმატიული სტატია ქართული კიბერ უსაფრთხოების ლანდშაფტის შესახებ

Spoiler

ქართული კიბერ უსაფრთხოების ლანდშაფტი

POSTED ON დეკემბერი 24, 2019

ავტორი: მიხეილ ბასილაია

ქართულ რეალობაში კიბერ უსაფრთხოებამ 2008 წელს უხეშად შემოაბიჯა. რუსეთ–საქართველოს ომის დროს, კონვენციური საბრძოლო მოქმედებების პარალელურად განხორციელებულმა კიბერ შეტევებმა ცივი წყალი გადაასხა არა მხოლოდ ამ შეტევების მთავარ სამიზნეებს (სამთავრობო საიტებს და მედია საშუალებებს), არამედ მოსახლეობის ნაწილს. საზოგადოებამ პირველად გააცნობიერა ინფორმაციულ ტექნოლოგიებსა და ინტერნეტზე თავიანთი დამოკიდებულება. საქართველო კიბერ შეტევებს, რომელიც ინფორმაციული ომის ნაწილი იყო და მიზნად ისახავდა მიმდინარე მოვლენების ჩვენეული ხედვის გავრცელების ჩახშობას, სრულიად მოუმზადებელი შეხვდა.

აღსანიშნავია, რომ მაშინდელი კიბერ შეტევების ავტორებს რაიმე რთული მექანიზმების გამოყენება არ დასჭირვებიათ წარმატების მისაღწევად. ქართული რესურსების მწყობრიდან გამოყვანა შესაძლებელი გახადა უსაფრთხოების დაბალმა დონემ, მოუგვარებელი ტექნიკური სისუსტეების სიმრავლემ, ელემენტარული კიბერ უსაფრთხოების ექსპერტიზის არქონამ. . .

მოუმზადებლობის მაგალითისთვის ისიც გამოდგება, რომ საქართველოს საგარეო საქმეთა სამინისტრო ომის მიმდინარეობისას ახალ ამბებს Google-ს კუთვნილ Blogspot ბლოგ-პლატფორმაზე დებდა. სხვა სამთავრობო თუ კერძო რესურსებმა ონლაინ სივრცეში მუშაობის გაგრძელება მხოლოდ გარე დახმარებით შეძლეს. გარე დახმარება გახდა საჭირო ინციდენტების გამოძიებისა და იმ სისუსტეების მოძიება–აღმოფხვრისთვის, რომელთა საშუალებითაც მოხერხდა შეტევის განხორციელება.

2008 წლის შეტევებმა აჩვენა როგორ ჩამორჩებოდა საქართველო გლობალურ ტენდენციას. დაიწყო მუშაობა საკანონმდებლო ბაზის მომზადებაზე. შეიქმნა კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფი (Computer Emergency Response Team (CERT), რომელსაც დაევალა საჯარო და კერძო სფეროში დაფიქსირებული ინციდენტების აღრიცხვა და გამოძიება. დაიწყო მუშაობა ინფორმაციული უსაფრთხოების კანონზე. სისხლის სამართლის კოდექსში გაჩნდა კიბერ დანაშაულის ცნება (მუხლი 284, 285, 286). განიმარტა კიბერდანაშაულის ტიპები: სისტემაში უნებართვოდ შეღწევა, მონაცემის ან სისტემის უკანონოდ გამოყენება, მონაცემის ან სისტემის ხელყოფა. დაიწყო მუშაობა პერსონალურ მონაცემთა დაცვის კანონზეც.

საქართველოს მთავრობამ ასევე შეიმუშავა კიბერ უსაფრთხოების სტრატეგიაც. პირველი სტრატეგია 2013-2015, მეორე კი 2017-2018 წლებისთვის იყო. ამჟამად 2020-2021 წლების სტრატეგიაზე მიმდინარეობს მუშაობა. ალბათ შეამჩნევდით, რომ სტრატეგიას გარკვეული წყვეტები აღენიშნება (გამოტოვებულია 2016 და 2019 წლები).

სხვა კიბერ შეტევები საქართველოს წინააღმდეგ

2008 წლის შემდეგ საქართველოში რამდენიმე ფართომასშტაბიანი კიბერ შეტევა დაფიქსირდა. 2012 წელს იყო ე.წ. GEORBOT-ის შემთხვევა. გარკვეულ სამთავრობო ორგანიზაციებსა და მედია საშუალებებში გავრცელდა მავნე პროგრამა, რომელიც სპეციალური ქივორდების მიხედვით ეძებდა ინფორმაციას კომპიუტერში, სასურველი კონტენტის მოძიების შემთხვევაში კი იპარავდა ამ ინფორმაციას (აგზავნიდა შემტევის მიერ კონტროლირებად სერვერზე). სამიზნეებს წარმოადგენდნენ სამთავრობო უწყებები და ჟურნალისტები, რომლებიც მუშაობდნენ NATO-სა და სამხრეთ კავკასიის თემებზე.

Georbot მავლე პროგრამა გამოააშკარავა და გაანალიზა მონაცემთა გაცვლის სააგენტოს CERT-მა. მათ მოახერხეს მავნე პროგრამის ოპერატორის კომპიუტერში შეღწევა და ამ ადამიანისთვის სურათის გადაღებაც.

მეტი დეტალისთვის იხილეთ მონაცემთა გაცვლის სააგენტოს ანგარიში: https://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf

ასევე იხილეთ კომპანია ESET-ის მიერ განხორციელებული მავნე პროგრამის ტექნიკური ანალიზი: https://www.welivesecurity.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf

შემდეგი ფართომასშტაბიანი შეტევა იყო ე.წ. APT28 დაჯგუფების მიერ. ეს დაჯგუფება, რომლის უკან სავარაუდოდ რუსული სადაზვერვო სამსახურები დგანან, აქტიური არა მარტო საქართველოში არამედ აღმოსავლეთ ევროპის სხვა ქვეყნებშიც იყო. APT28 მაღალი დონის მავნე პროგრამის საშუალებით იპარავდა ინფორმაციას სხვადასხვა სამთავრობო სტრუქტურებიდან. საქართველოში მათ შინაგან საქმეთა სამინისტროში შეაღწიეს.

კომპანია FireEye-მ დეტალური რეპორტი გამოაქვეყნა APT28-ის შეტევაზე საქართველოში: https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf

საბანკო და ფინანსური სერვისების განვითარებასთან ერთად, ქართული კიბერ სივრცით უცხოელი კიბერკრიმინალებიც დაინტერესდნენ და 2019 წელს განსაკუთრებით გააქტიურდნენ. ქართული ბანკების კლიენტების წინააღმდეგ შეტევების რამდენიმე ტალღა მოეწყო. ფიშინგის შეტევები, რომლებიც სოციალური ქსელებით ვრცელდება, მომხმარებლებს პარავენ საბანკო ბარათის მონაცემებს, ინტერნეტ ბანკინგში შესასვლელ პაროლებს. ზოგიერთ შემთხვევაში, კრიმინალურმა დაჯგუფებამ ერთგვარი ქოლ ცენტრიც კი ააწყო კლიენტებისგან ერთჯერადი (SMS-ით მოსული) კოდების მისაღებად (ურეკავდნენ მსხვერპლს ბანკის სახელით და სთხოვდნენ მათთვის მოეცათ რამდენიმე წამის წინ მიღებული კოდი). კრიმინალები მოპარულ თანხებს რიცხავდნენ ონლაინ ტოტალიზატორებში, საიდანაც სხვადასხვა თაღლითური სქემებით გადაჰქონდათ თანხები ისეთ ანგარიშებზე, საიდანაც თანხის განაღდებას შეძლებდნენ.

საქართველოში ასევე გავრცელებულია ე.წ. ransomware შეტევები. Ransomware არის გამომძალველი პროგრამა, რომელიც კომპიუტერში შიფრავს ფაილებს და განშიფრვის სანაცვლოდ ითხოვს თანხას (ბიტკოინებში ან რომელიმე კრიპტოვალუტაში; კიბერ კრიმინალები აქტიურად იყენებენ კრიპტოვალუტებს, რადგანაც კრიპტოვალუტების გადარიცხვებით რეალურ პირზე გასვლა რთულია). Ransomware შეტევებმა ქართული ტელეკომპანიები, იმედი და TV Pirveli დააზარალა ისე, რომ მათ მაუწყებლობაც კი შეუჩერდათ რამდენიმე საათით.

ამ დროისთვის ბოლო ფართომასშტაბიანი შეტევა დაფიქსირდა 2019 წლის ოქტომბერში, როდესაც ჰაკერებმა მოახერხეს ქართული ჰოსტინგ პროვაიდერის, Pro Service-ის ინფრასტრუქტურაში შეღწევა.

პრო სერვისი ვებსაიტების ჰოსტინგის სერვისს მრავალ ადგილობრივ კომპანიას უწევს. ჰაკერებმა შეაღწიეს კომპანიის სერვერზე და ასე შეძლეს წვდომა მოეპოვებინათ სხვადასხვა საიტებზე, რომლებიც პრო სერვისის ინფრასტრუქტურაში იყო განთავსებული. მათ მრავალი საიტის მთავარი გვერდი შეცვალეს ექს-პრეზიდენტ მიხეილ სააკაშვილის სურათით, რომელსაც ჰქონდა წარწერა I’ll Be Back. ოფიციალურ გამოძიებას ამ შეტევაზე ჯერ დასკვნა არ დაუდია. თუმცა ფაქტია, რომ თავდამსხმელს ჰქონდა პოლიტიკური მესიჯი. დიდი ალბათობით, არ იყო გამოყენებული რაიმე მაღალი დონის შეტევა. გარდა ამისა, ჰაკერს შეეძლო ბევრად დიდი ზიანის მიყენება, თუმცა ამ პოლიტიკური მესიჯით შემოიფარგლა.

აღსანიშნავია, რომ გავრცელდა არასწორი ინფორმაცია თავდასხმის მასშტაბზეც. საერთაშორისო მედიაში ყურადღება მიიპყრო 15,000 ვებსაიტის დაჰაკვამ. პრო სერვისმა განაცხადა, რომ მათი ყველა კლიენტი დაზარალდა. მათ კი 15,000 კლიენტი ჰყავთ, თუმცა მათ სხვადასხვა მომსახურებას უწევენ. რეალურად დაზარალდა სამასამდე ვებსაიტი, ყველა მათგანი ნორმალურ საოპერაციო მდგომარეობას სამი დღის ვადაში დაუბრუნდა.

აქტორები

პრო სერვისზე კიბერ შეტევას იძიებს შინაგან საქმეთა სამინისტრო. ზოგადად, კიბერდანაშაულის გამოძიება შსს-ს პრეროგატივაა. შსს-ში შექმნილია კომპიუტერულ დანაშაულთან ბრძოლის სტრუქტურული ერთეული.

2012 წელს ძალაში შევიდა კანონი პერსონალურ მონაცემთა დაცვის შესახებ. განისაზღვრა რა არის პერსონალური ინფორმაცია და მისი დამუშავების წესები, ასევე მოქალაქეთა უფლებები. შეიქმნა პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი, რომელსაც დაევალა პერსონალური მონაცემების გამოყენების აღრიცხვა როგორც საჯარო, ისე კერძო სექტორში, ასევე მოქალაქეთა საჩივრების მიღება და რეაგირება. 2019 წელს პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი სახელმწიფო ინსპექტორის სამსახურად გარდაიქმნა. აღსანიშნავია, რომ ფარული საგამოძიებო მოქმედებებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობების კონტროლიც სახელმწიფო ინსპექტორის უფლება-მოვალეობებში შედის.

2012 წლის კანონმა ინფორმაციული უსაფრთხოების შესახებ განსაზღვრა ქვეყნისთვის კრიტიკული ინფორმაციული ინფრასტრუქტურის სუბიექტები (39 სამთავრობო ორგანიზაცია), კანონით განისაზღვრა ინფორმაციული უსაფრთხოების მინიმალური სტანდარტი, რომელიც წარმოადგენდა ISO 27001 საერთაშორისო სტანდარტის ქართულ ენაზე ადაპტირებულ ვარიანტს. კანონის დანერგვის მონიტორინგი კი იუსტიციის სამინისტროს სსიპ-ს მონაცემთა გაცვლის სააგენტოს დაევალა. მონაცემთა გაცვლის სააგენტოს ნაწილია ასევე ზემოთ ხსენებული CERT.

მონაცემთა გაცვლის სააგენტოს სფერო და სტანდარტი არ ვრცელდება თავდაცვის სამინისტროზე, რომელსაც ჰყავს კიბერ უსაფრთხოების ბიურო და საკუთარი CERT.

ფართომასშტაბიანი კრიზისის დროს კიბერ უსაფრთხოების აქტორების ქმედებების კოორდინაცია ევალებოდა კრიზისების მართვის საბჭოს.

კანონში არ არის განსაზღვრული სახელმწიფო აუდიტის სამსახურის როლი, თუმცა მას აქვს მანდატი IT და ინფორმაციული უსაფრთხოების აუდიტი ჩაატაროს ნებისმიერ ორგანიზაციაში და კანონის მოთხოვნების შესაბამისობის დასკვნა წარუდგინოს საქართველოს პარლამენტს.

ეროვნული ბანკი

საქართველოში კიბერ უსაფრთხოების სფეროში დარგობრივი მარეგულირებლის ერთი მაგალითი არსებობს – ეროვნული ბანკი. 2019 წელს ეროვნულმა ბანკმა გამოაქვეყნა კიბერ უსაფრთხოების ჩარჩო, რომელიც დაფუძნებულია ამერიკული NIST-ის კიბერ უსაფრთხოების ჩარჩოზე. ეროვნული ბანკი ამ დოკუმენტის გამოქვეყნებამდეც სთხოვდა გარკვეული მოთხოვნების შესრულებას კომერციულ ბანკებს. თავად ეროვნულ ბანკს ISO 27001 სტანდარტის შესაბამისად საერთაშორისო სერტიფიცირებაც აქვს გავლილი.

ინფორმაციული უსაფრთხოების შესახებ კანონის ჩავარდნის მიზეზები

კანონით გათვალისწინებული მოთხოვნები 39 ორგანიზაციიდან მხოლოდ 10-მდე ორგანიზაციამ შეასრულა. შეიძლება ითქვას, კანონი ჩავარდა. თუ წაიკითხავთ ISO 27001 სტანდარტს (ან ნებისმიერ სხვა სტანდარტს, რომელიც ეხება ზოგადად მართვის სისტემების, ინფორმაციული უსაფრთხოების მართვის სისტემის თუ ხარისხის მართვის სისტემის დანერგვას), პირველივე აბზაცში წერია, რომ მართვის სისტემის დანერგვისთვის აუცილებელია „მენეჯმენტის მხარდაჭერა“. ორგანიზაციაში ეს მხარდაჭერა გამოიხატება შესაბამისი რესურსების გამოყოფით და საკითხის გაპრიორიტეტებით. შეიძლება ითქვას, რომ კიბერ უსაფრთხოება არასოდეს ყოფილა მთავრობის პრიორიტეტებს შორის. არც კანონი ითვალისწინებდა რაიმე ჯარიმებს კანონის შეუსრულებლობისთვის.

მივედით მეორე პრობლემამდე – კანონის დანერგვასა და კოორდინაციაზე პასუხისმგებელი იყო იუსტიციის სამინისტროს სსიპ მონაცემთა გაცვლის სააგენტო. ცხადია, იუსტიციის სამინისტროს სსიპ–ს გაუჭირდა სხვა სამინისტროებისა და მათი სსიპ–ებისათვის მოეთხოვა პასუხი კანონის შესრულებისთვის, მით უმეტეს, რომ არანაირი სადამსჯელო ბერკეტითაც არ იყო აღჭურვილი კანონის მიერ. კანონის წარუმატებლობაზე საუბრისას, ასევე აღნიშნავდნენ ადამიანური რესურსის ნაკლებობას. კიბერ უსაფრთხოების სფეროში ადამიანური რესურსი ამერიკასა და დიდ ბრიტანეთსაც აკლიათ და შესაბამისად, საქართველოში ეს პრობლემა მოსალოდნელი იყო. თუმცა, კიბერ უსაფრთხოება რომ მთავრობის პრიორიტეტებს შორის ყოფილიყო, ასევე პრიორიტეტი იქნებოდა 39 სამთავრობო სუბიექტისთვისაც და ეს წაახალისებდა კიბერ უსაფრთხოების სფეროს ზრდას.

ახალი საკანონმდებლო ინიციატივები

ინფორმაციული უსაფრთხოების კანონის განახლების იდეა რამდენიმე წელია მომწიფებული იყო. 2019 წლის ოქტომბერში პარლამენტში შევიდა არსებული კანონის განახლების კანონპროექტი, რომელშიც მრავალი პრობლემური ჩანაწერი იყო. სახელმწიფო და კერძო უწყებებთან, ასევე სხვა დაინტერესებულ მხარეებთან კონსულტაციების შემდეგ, კანონი არსებული სახით არ გავა. კანონპროექტის განახლებული რედაქცია პარლამენტში 2020 წლის დასაწყისში უნდა შევიდეს. თუმცა სავარაუდოდ არ შეიცვლება კანონის ძირითადი პრინციპები: კანონპროექტის მიხედვით განისაზღვრება კრიტიკული ინფორმაციული ინფრასტრუქტურის 3 კატეგორიის სუბიექტი: 1. სახელმწიფო სექტორი; 2. ტელეკომუნიკაციების სექტორი; 3. კერძო სექტორი;

შემოდის ახალი აქტორი: ოპერატიულ–ტექნიკური სააგენტო (OTA), რომელიც სახელმწიფო უსაფრთხოების სამსახურის (სუს) სსიპ-ია. OTA გაუწევს კოორდინირებას პირველ და მეორე კატეგორიაში შესულ ორგანიზაციებს, მონაცემთა გაცვლის სააგენტო კი – კერძო სექტორს (მესამე კატეგორია).

ინფორმაციული უსაფრთხოების კანონის გარდა, ახლდება კანონმდებლობა პერსონალური მონაცემების შესახებ. განახლებებით ქართული კანონმდებლობა უნდა დაუახლოვდეს GDPR-ის მოთხოვნებს. GDPR (General Data Protection Regulation) ევროკავშირის რეგულაციას წარმოადგენს, რომელიც ძალაში 2017 წელს შევიდა. GDPR ევროკავშირის ნებისმიერი მოქალაქის პირად ინფორმაციას იცავს მსოფლიოს მასშტაბით. ცხადია, ევროკავშირის იურისდიქცია მხოლოდ ევროკავშირის წევრი ქვეყნების ტერიტორიაზე ვრცელდება, მაგრამ ვარაუდობენ, რომ ევროკავშირი ეკონომიკურ და პოლიტიკურ ბერკეტებს გამოიყენებს, თუ GDPR-ის უხეში დარღვევა არა-ევროკავშირის ქვეყნაში დაფიქსირდება და ევროკავშირის მოქალაქეები დაზარალდებიან. შესაბამისად, ქართულმა კომპანიების ნაწილმა 2017 წელსვე დაიწყო ზრუნვა GDPR-თან შესაბამისობაზე.

მასალა მომზადებულია შვედეთის მთავრობისა და Internews-ის ფინანსური მხარდაჭერით (პროექტი Audience Understanding and Digital Support). სტატიაში გამოთქმული მოსაზრებები ეკუთვნის მხოლოდ და მხოლოდ ავტორს.

ბოლო საკანონმდებლო ინიციატივა 'ინფორმაციული უსაფრთხოების შესახებ კანონში' რაც ვნახე

Spoiler

ბიუროზე დარეგისტრირდა ი. სესიაშვილის ინიციატივა „ინფორმაციული უსაფრთხოების შესახებ“ კანონში ცვლილების შეტანის თაობაზე. პროექტის თანახმად: წარმოდგენილი პროექტით გათვალისწინებულია შემდეგი ცვლილებები:

1. კრიტიკული ინფორმაციული სისტემის სუბიექტები დაიყოფიან 3 კატეგორიად. კერძოდ:

I კატეგორიის სუბიექტებში მოხვდებიან ის სახელმწიფო ორგანოები, დაწესებულებები, საჯარო სამართლის იურიდიული პირები (გარდა რელიგიური და პოლიტიკური გაერთიანებებისა) და სახელმწიფო საწარმოები, რომელთა ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის;
II კატეგორიის სუბიექტებში მოხვდებიან ის ელექტრონული კომუნიკაციების კომპანიები, რომელთა ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის;
III კატეგორიის სუბიექტებში მოხვდებიან ის კერძო სამართლის იურიდიული პირები, რომლებიც არ წარმოადგენენ ელექტრონული კომუნიკაციის კომპანიებს, თუმცა რომელთა ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის.

2. ყველა კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებული იქნება:

დანიშნოს ინფორმაციული უსაფრთხოების მენეჯერი და კომპიუტერული უსაფრთხოების სპეციალისტი;
უზრუნველყოს ინფორმაციული უსაფრთხოების დანერგვა კანონმდებლობით განსაზღვრულ ვადებში;
ინფორმაციული უსაფრთხოების დანერგვის შემდეგ უზრუნველყოს ინფორმაციული უსაფრთხოების აუდიტის ჩატარება და ა.შ.

3. I კატეგორიის სუბიექტები ვალდებული იქნებიან:

ჰქონდეს ქსელური სენსორები (მოწყობილობები, რომლებიც გამოიყენება კომპიუტერული ინციდენტების აღმოჩენისთვის) და მისცენ წვდომა ოპერატიულ-ტექნიკურ სააგენტოს აღნიშნულ ქსელურ სენსორებზე;
მოთხოვნისთანავე მისცენ წვდომა ოპერატიული ტექნიკურ სააგენტოს ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე რეაგირებისთვის. მათ მიმართ სავალდებულო წესით გავრცელდება საინფორმაციო ტექნოლოგიური ინფრასტრუქტურის შემოწმების პროცედურა. საინფორმაციო ტექნოლოგიური შემოწმება შესაძლებელია ოპერატიულ-ტექნიკური სააგენტოს მიერ ჩატარდეს ნებისმიერ დროს, გეგმიური ან არაგეგმიური სახით და მისი ჩატარება არ არის დაკავშირებული I კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ ინფორმაციული უსაფრთხოების დანერგვასთან.

შემოწმების შედეგად შემუშავებული დასკვნა შესასრულებლად სავალდებულოა აღნიშნული სუბიექტისთვის და მისი შეუსრულებლობა ან დასკვნით გათვალისწინებული მოთხოვნების დარღვევა გამოიწვევს ადმინისტრაციულ სამართლებრივ პასუხისმგებლობას. ასევე, აღნიშნული კატეგორიის სუბიექტი ვალდებული იქნება შემოწმების შედეგად შემუშავებულ სახელმძღვანელო მითითებებთან შესაბამისობაში მოიყვანოს მის მიერ დამტკიცებული ინფორმაციული უსაფრთხოების პოლიტიკები და დოკუმენტები.

4. განისაზღვრება ოპერატიულ- ტექნიკური სააგენტოსა და მონაცემთა გაცვლის სააგენტოს უფლებამოსილებები (საერთო და ინდივიდუალური კომპეტენციები), კერძოდ:

ერთობლივი კომპეტენციის სფეროს განეკუთვნება მაგალითად ინფორმაციული უსაფრთხოების მარეგულირებელი კანონქვემდებარე ნორმატიული აქტების დამტკიცება (ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები, ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი და ა.შ.)
მონაცემთა გაცვლის სააგენტო უფლებამოსილი იქნება მათ შორის, განახორციელოს II და III კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების თანხმობით ჩაატაროს მათი ინფორმაციული უსაფრთხოების აუდიტი; გამოიყენოს ადმინისტრაციულ-სამართლებრივი სანქციები III კატეგორიის სუბიექტების მიმართ მათ მიერ ინფორმაციული უსაფრთხოების დანერგვისთვის დადგენილი ვადების დარღვევის ან აუდიტის დასკვნის შეუსრულებლობის შემთხვევაში;
ოპერატიულ-ტექნიკურ სააგენტოში შეიქმნება კომპიუტერულ ინციდენტებზე სწრაფი რეაგირების ჯგუფი - CERT.OTA.GOV.GE. კომპიუტერული უსაფრთხოების უზრუნველყოფაზე პასუხისმგებლობა განაწილდება ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის -CERT.OTA.GOV.GE-ს და მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფს - CERT.DEA.GOV.GE-ს შორის. ოპერატიულ- ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი უფლებამოსილებებს განახორციელებს I და II კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტებში, ხოლო მონაცემთა გაცვლის სააგენტოს დახმარების ჯგუფი - III კატეგორიის სუბიექტებში.

5. ადმინისტრაციული სანქციები განისაზღვრება ინფორმაციული უსაფრთხოების კანონმდებლობით გათვალისწინებული მოთხოვნების დარღვევისთვის. როგორც უთითებენ, შედარებით მკაცრად კონტროლისა და აღსრულების მექანიზმები გამოყენებული იქნება I კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტების მიმართ.

დეტალურად ინიციატივა იხ. აქ: https://info.parliament.ge/#law-drafting/18874

ამ ბოლო ცვლილების საბოლოო რედაქტირებული ვარიანტი.

არაა დასაკოპიპასტებლად მოსახერხებელი https://info.parliament.ge/file/1/BillReviewContent/263263?

განხილვის აუდიო ჩანაწერი https://info.parliament.ge/file/1/BillReviewContent/263304?

=

Mulan · 19 დეკემბერი, 2020

43 minutes წინ, Moor said:

ჩვენს ბადესთან მიმართებაშიც საინტერესოა

+1

არაა ეს თემა არ განსახილველი და რატომ ზის მედია ჭურში ვერ ვხვდები, ან არასამთავრობოები მაინც რატომ არ იღებენ ხმას ნუთუ არჩევნების თემამ საერტოდ ყველაფერი უნდა გადაფაროს ხოლმე?

Edited 19 დეკემბერი, 2020 by cosmia

Rossi · 21 დეკემბერი, 2020

ეს კანონი 8 წლის წინ მიიღეს და ვრცელდებოდა 40 ორგანიზაციაზე, საიდანაც მხოლოდ 4-5 იცავდა მის მოთხოვნებს. დანარჩენებს მაგარი ეკიდათ და ეჭვი მაქვს ისევ ეკიდებათ კანონთან შესაბამისობა.

კანონი გავრცელების სფეროს გაფართოება არის ძალიან კარგი, თუმცა მისი აღსრულების ეფექტიანი კონტროლის მექანიზმების გარეშე აზრი არ აქვს ამ ცვლილებებს. რამდენად იქნება სანქციები ამ პროცესის გასაღები, გამოჩნდება მალე.

On 12/19/2020 at 11:19 PM, mulan said:

რატომ ზის მედია ჭურში ვერ ვხვდები, ან არასამთავრობოები მაინც რატომ არ იღებენ ხმას

ერთი პერიოდი იყო აქტუალური, მერე პარლამენტმა მესამედან მეორე. მოსმენაზე დააბრუნა და მინელდა თემა. ახალი პარლამენტი შეიკრიბა უკვე,წესით განახლდება საკომიტეტო განხილვები და გამოჩნდებიან არასამთავრობოებიც :gigi:

Damnoc · 21 დეკემბერი, 2020

გული მიკვდება არსებული სისტემის ყოველ უსუსურ გაფართხალებაზე. კონკრეტულ ხალხს ან ქვეყანას არ ვგულისხმობ, უფრო ნებისმიერ ცენტრალიზებულ-მოავტორიტარულო სისტემას.

კანონის გატარება იმსითვის რომ ვიღაცამ კიბერუსაფრთხოებაზე იზრუნოს არის დაახლოებით იგივე რაც კანონის გატარება იმისთვის რომ ყველას საძინებელი ოთახი ყოველთვის დალაგებული ჰქონდეს.

პრინციპულად შეუძლებელია მაგის გაკონტროლება უამრავი რესურსის გარეშე, დიდი ალბათობით cost prohibitive რაოდენობა რესურსების გარეშე, და რაც იქნება შესაძლებელი იქნება იმდენი რომ:

ა) მავანმა თავი დაიმშვიდოს რომ "რაც შეეძლოთ გააკეთეს"

ბ) გამოიწვიოს ყველა აწ უკვე "უსაფრთხო" სერვისის შესამჩნევი გაძვირება, რაც პირდაპირ თუ ირიბად გამოიწურება მომხმარებლისგან.

Mulan · 21 დეკემბერი, 2020

1 საათის წინ, Rossi said:

ერთი პერიოდი იყო აქტუალური, მერე პარლამენტმა მესამედან მეორე. მოსმენაზე დააბრუნა და მინელდა თემა. ახალი პარლამენტი შეიკრიბა უკვე,წესით განახლდება საკომიტეტო განხილვები და გამოჩნდებიან არასამთავრობოებიც

ვნახოთ რას იზამენ. შემოდგომაზე ბევრი გადამფარავი მოვლენა იყო.

შესვლა

ინფორმაციული უსაფრთხოება(კანონები, სტანდარტები, პრაქტიკა)

Recommended Posts

Moor

საინტერესო და საკმაოდ ინფორმატიული სტატია ქართული კიბერ უსაფრთხოების ლანდშაფტის შესახებ

ქართული კიბერ უსაფრთხოების ლანდშაფტი

Share on other sites

Mulan

Share on other sites

Rossi

Share on other sites

Damnoc

Share on other sites

Mulan

Share on other sites

Please sign in to comment

Who's Online 41 all people including: 4 წევრი, 4 ანონიმური, 33 ვიზიტორი სრულად ნახვა