Scribd Logo
Upload

Welcome to Scribd!

  • Ey Amendments To The Law of Georgia On Information Security Geo

    Uploaded by

    Maia.Shavliashvili
    10 views6 pages

    Original Title

    ey-amendments-to-the-law-of-georgia-on-information-security-geo

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    10 views6 pages

    Ey Amendments To The Law of Georgia On Information Security Geo

    Uploaded by

    Maia.Shavliashvili

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 6

    მზად ხართ ინფორმაციული

    უსაფრთხოების
    განახლებულ კანონთან
    შესაბამისობისთვის?
    ცვლილებები ინფორმაციული
    უსაფრთხოების კანონში

    2012 წლიდან ქვეყანაში მოქმედებს ინფორმაციული უსაფრთხოების შესახებ


    საქართველოს კანონი, რომელიც ადგენს ინფორმაციული უსაფრთხოების
    ძირითად სტანდარტებს. 600%
    გაზრდილია კიბერდანაშაულების
    კანონის მიზანია ხელი შეუწყოს ინფორმაციული უსაფრთხოების დაცვის გლობალური სტატისტიკა
    ქმედით და ეფექტიან განხორციელებას, დააწესოს საჯარო და კერძო მიმდინარე კოვიდპანდემიის
    სექტორების უფლება-მოვალეობები ინფორმაციული უსაფრთხოების დაცვის ფონზე
    სფეროში, აგრეთვე განსაზღვროს ინფორმაციული უსაფრთხოების პოლიტიკის
    განხორციელების სახელმწიფო კონტროლის მექანიზმები.

    2022 წლის პირველი იანვრიდან ძალაში შევიდა მნიშვნელოვანი


    საკანონმდებლო ცვლილებები:
    ► გაიზარდა სუბიექტთა წრე, რომლებზეც ვრცელდება კანონი და მოხდა მათი
    კატეგორიზაცია
    ► კატეგორიების მიხედვით შეიცვალა მაკოორდინირებელი და
    ზედამხედველი უწყებები
    ► კანონის მოთხოვნების შეუსრულებლობაზე განისაზღვრა
    ადმინისტრაციულ-სამართლებრივი სანქციები.

    ვისზე ვრცელდება კანონის მოქმედება?


    კანონის მოქმედება ვრცელდება საქართველოს მთავრობის დადგენილებით განსაზღვრულ კრიტიკული
    ინფორმაციული სისტემის სუბიექტებზე (შემდგომში სუბიექტი).

    კრიტიკული ინფორმაციული სისტემის სუბიექტი წარმოადგენს ორგანოს/დაწესებულებას, რომლის


    ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისთვის ან/და
    ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების
    შენარჩუნებისთვის.

    ახალი ცვლილებით კრიტიკული ინფორმაციული სისტემის სუბიექტი იყოფა სამ კატეგორიად:

    კატეგორია დაწესებულება საზედამხედველო ორგანო


    პირველი
    სახელმწიფო ორგანოები / დაწესებულებები სსიპ ოპერატიულ-ტექნიკური სააგენტო
    კატეგორია

    მეორე
    ელექტრონული კომუნიკაციების კომპანიები სსიპ ოპერატიულ-ტექნიკური სააგენტო
    კატეგორია

    სსიპ ციფრული მმართველობის სააგენტო


    კომერციული ბანკები
    კერძო საქართველოს ეროვნული ბანკი
    მესამე სამართლის
    კატეგორია იურიდიული სადაზღვევო და
    პირები სატრანსპორტო
    სსიპ ციფრული მმართველობის სააგენტო
    ორგანიზაციები,
    ენერგოკომპანიები და სხვა

    * სუბიექტების სრული სია შეგიძლიათ იხილოთ ბმულზე

    2 | განახლებული კანონი ინფორმაციული უსაფრთხოების შესახებ


    რა არის კანონის ძირითადი მოთხოვნები?

    ინფ. უსაფრთხოების ინფ. უსაფრთხოების შეღწევადობის ინფ. უსაფრთხოების


    მართვის სისტემის დანერგვა აუდიტი ტესტირება მენეჯერი

    სუბიექტი ვალდებულია, სუბიექტი ვალდებულია სუბიექტი ვალდებულია სუბიექტი ვალდებულია


    კანონმდებლობით ჩაატაროს ინფორმაციული ჩაატაროს ინფორმაციულ განსაზღვროს ორგანიზაციაში
    განსაზღვრულ ვადებში უსაფრთხოების პირველადი სისტემაში შეღწევადობის ინფორმაციული უსაფრთხოების
    შეიმუშაოს და დანერგოს და პერიოდული აუდიტი ტესტი მოთხოვნების შესრულებაზე
    ინფ. უსაფრთხოების მინიმალურ სტანდარტებთან პასუხისმგებელი პირი
    მართვის სისტემა შესაბამისობაზე

    რა არის ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები?


    სუბიექტი ვალდებულია მიიღოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები და
    განსაზღვროს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკა, რომელიც აკმაყოფილებს ზედამხედველი
    ორგანოს მიერ დადგენილ ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (ISO/IEC 27001).

    პირველი/მეორე კატეგორიის სუბიექტი ვალდებულია, კრიტიკული ინფორმაციული სისტემის სუბიექტად


    განსაზღვრიდან 2 წლის ვადაში დანერგოს ინფორმაციული უსაფრთხოების მართვის სისტემა. მესამე კატეგორიის
    სუბიექტი ვალდებულია, მთავრობის დადგენილებით დამტკიცებულ ნუსხაში შეყვანის მომენტიდან 3
    კალენდარული წლის ვადაში დანერგოს მართვის სისტემა მარეგულირებლის მიერ განსაზღვრული შემდეგი
    მოთხოვნების შესაბამისად:

    მესამე წელი: მონიტორინგი და


    პირველი წელი: დაგეგმვა მეორე წელი: დანერგვა
    გაუმჯობესება

    ► ხელმძღვანელობის მხარდაჭერა ► რისკების მოპყრობის გეგმის ► იუმს-ის მონიტორინგისთვის


    ► ორგანიზაციული მოწყობა დანერგვა საჭირო ქმედებების
    ► იუმს-ის გავრცელების სფეროს ► ორგანიზაციაში კონტროლის განსაზღვრა და დანერგვა
    განსაზღვრა მექანიზმების დანერგვა ► ორგანიზაციაში იუმს-ის შიდა
    ► იუმს-ის პოლიტიკის ► კონტროლის მექანიზმების აუდიტის ჩატარება
    შემუშავება და დამტკიცება ეფექტიანობის საზომების ► ხელმძღვანელობის მიერ იუმს-
    ► აქტივების მართვა და რისკების განსაზღვრა ის განხილვა
    შეფასება ► ტრენინგები, ცნობიერების ► შეუსაბამობების
    ► კონტროლის მექანიზმების ამაღლება და კომპეტენციები მაკორექტირებელი ქმედებები
    გამოყენებადობის განაცხადის ► იუმს-ის გაუმჯობესება და
    მომზადება კომუნიკაცია
    ► ინფ. უსაფრთხოების ამოცანები
    და მათი შესრულების გეგმები
    ► იუმს-ის დოკუმენტაციის
    მართვა

    ადმინისტრაციულ-სამართლებრივი სანქციები

    ინფორმაციული უსაფრთხოების კანონმდებლობით დადგენილი მოთხოვნების შეუსრულებლობაზე განისაზღვრა


    ადმინისტრაციული სანქციები. სხვადასხვა კატეგორიის ადმინისტრაციულ სამართალდარღვევისთვის კანონით
    გათვალისწინებულია 5,000-დან 20,000 ლარამდე ჯარიმა (მესამე კატეგორიის სუბიექტებისთვის კი
    საზედამხედველო კაპიტალის 0.01%, 0.05% ან 0.1%, მინიმუმ 20 000 ლარი), მათ შორის ინფორმაციული
    უსაფრთხოების აუდიტის ან შეღწევადობის ტესტის ჩატარების ვალდებულების შეუსრულებლობაზე

    3 | განახლებული კანონი ინფორმაციული უსაფრთხოების შესახებ


    როგორ შეგვიძლია თქვენი დახმარება?

    იუაის ჰყავს გამოცდილი კონსულტანტებით დაკომპლექტებული გუნდი, რომელიც უკვე წლებია ეხმარება
    ორგანიზაციებს სხვადასხვა ინდუსტრიიდან დაიცვან საკუთარი ინფორმაციული აქტივები, გააუმჯობესონ
    ტექნოლოგიური შესაძლებლობები, უზრუნველყონ შესაბამისობა ადგილობრივ და საერთაშორისო რეგულაციებთან
    და განავითარონ თავიანთი ბიზნესი ეფექტური ინფორმაციული უსაფრთხოებით. ჩვენ შევიმუშავეთ 6 ძირითადი
    მიმართულება, რომლებიც დაგეხმარებათ ახალი მარეგულირებელი მოთხოვნების დაკმაყოფილებასა და
    უსაფრთხოების მაღალი სტანდარტის უზრუნველყოფაში.

    იუმს-ის პროგრამის შემუშავება ► არსებული მდგომარეობის შეფასება (ე. წ. Gap


    ინფორმაციული analysis)
    და იმპლემენტაცია, მათ შორის
    უსაფრთხოების
    კრიტიკული ინფორმაციის ► ორგანიზაციის საჭიროებებზე მორგებული იუმს-ის
    მართვის სისტემის
    გამოვლენა, კლასიფიკაცია და პროგრამის შემუშავება
    დანერგვა
    მართვა ► იუმს-ის პროგრამის დანერგვა

    ► ორგანიზაციის საჭიროების შესწავლა და


    ინტეგრატორებთან
    სატენდერო დოკუმენტაციის (მაგ., ტექნიკური
    ინფორმაციული კონსორციუმში ორგანიზაციის
    დავალება, საკვალიფიკაციო მოთხოვნები და ა. შ.)
    უსაფრთხოების მხარდაჭერა ინფორმაციული შემუშავება
    სისტემების უსაფრთხოების სისტემების (მაგ.,
    ► მომწოდებლებთან კონსორციუმში სისტემების
    იმპლემენტაცია DLP, SIEM, IPS) დანერგვის
    დანერგვა და ორგანიზაციის სპეციფიკაციებზე
    პროცესში მორგება

    ► ინფორმაციული უსაფრთხოების აუდიტი /


    მართვის სისტემის შეფასება
    ინფორმაციული
    ზედამხედველი ორგანოს მიერ ► საკონსულტაციო მომსახურება - აუდიტის
    უსაფრთხოების
    დადგენილ მინიმალურ შედეგად გამოვლენილ შეუსაბამობებზე კანონით
    აუდიტი / შეფასება
    მოთხოვნებთან შესაბამისობა გათვალისწინებული საპასუხო სამოქმედო გეგმისა
    და გზამკვლევის მომზადებაზე

    ► ინციდენტებზე რეაგირების ჩარჩოს შემუშავება


    ► ინციდენტის მართვის სასიცოცხლო ციკლისა და
    ინფორმაციული რეაგირების მეთოდოლოგიის განსაზღვრა
    უსაფრთხოების ინციდენტებზე რეაგირების ► ინციდენტის გამოვლენის, შეკავების, აღმოფხვრისა
    ინციდენტების ჩარჩოს, მეთოდოლოგიისა და და აღდგენის პროცედურები და ინსტრუქციები
    მართვის პროგრამის პროცედურების შემუშავება ► რეაგირების გეგმების ტესტირება და
    შემუშავება რეკომენდაციების შემუშავება
    ► გამოყენებული სისტემების / საშუალებების
    ტესტირება

    ► შეტევების სიმულაციის გზით ორგანიზაციის


    დაცვის მექანიზმების სისუსტეების გამოვლენა,
    მავნე აქტორების მიერ რეალურ მათი ექსპლუატაციის შესაძლებლობის შეფასება
    შეღწევადობის ტესტი ცხოვრებაში გამოყენებული და შესაბამისი რეკომენდაციების შემუშავება
    / Red Teaming ტექნიკებისა და მეთოდების ► საკონსულტაციო მომსახურება - შეღწევადობის
    სიმულაცია ტესტის შედეგად გამოვლენილ მოწყვლადობაზე
    კანონით გათვალისწინებული საპასუხო
    სამოქმედო გეგმისა და გზამკვლევის მომზადება

    ► ინფორმაციულ უსაფრთხოებაზე ცნობიერების


    ამაღლების ტრენინგი სხვადასხვა სამიზნე
    ორგანიზაციის ჯგუფისთვის, მაგალითად: C-Level,
    ინფორმაციული თანამშრომლებისთვის პრივილეგირებული მომხმარებლები,
    უსაფრთხოების უსაფრთხოების ძირითად სტანდარტული მომხმარებლები, ფიზიკური
    შესახებ ცნობიერების საფრთხეებსა და შესაბამის უსაფრთხოების სპეციალისტები და ა. შ.
    ამაღლება დაცვის მექანიზმებზე ► სოციალური ინჟინერიის ტესტები (მაგ., Self-
    ცნობიერების ამაღლება Phishing)
    ► ცნობიერების ამაღლების ონლაინ პლატფორმის
    იმპლემენტაცია და მხარდაჭერა

    4 | განახლებული კანონი ინფორმაციული უსაფრთხოების შესახებ


    საქართველოში განხორციელებული პროექტები
    იუაი საქართველოს გუნდმა წარმატებით განახორციელა არაერთი პროექტი ინფორმაციული უსაფრთხოებისა და
    ტექნოლოგიების სფეროში. ძირითადი პროექტები მოცემულია ცხრილში:

    # ორგანიზაციის დასახელება პროექტის დასახელება


    ინფორმაციული უსაფრთხოების მართვის სისტემის ISO/IEC 27001
    ელექტროენერგიის გადამცემი
    1 უსაფრთხოების სტანდარტის შესაბამისად ორგანიზება და
    სისტემის ოპერატორი
    დანერგვა
    ინფორმაციული უსაფრთხოების მართვის სისტემის ISO/IEC 27001
    2 წამყვანი სამი ქართული ბანკი
    უსაფრთხოების სტანდარტის მიმართ შიდა აუდიტი

    ინფორმაციული უსაფრთხოების მართვის სისტემის ISO/IEC 27001


    3 წამყვანი სამი ქართული ბანკი
    უსაფრთხოების სტანდარტის მიმართ დამოუკიდებელი შეფასება
    შიდა IT აუდიტის ფუნქციის ქოსორსინგის ფარგლებში
    4 წამყვანი სამი ქართული ბანკი ჩატარებული 7 პროექტი, მათ შორის, კიბერუსაფრთხოების, IT და
    მესამე მხარეების რისკების მართვის აუდიტები.
    ინფორმაციული უსაფრთხოების პროცესებისა და კონტროლების
    5 წამყვანი ათი ქართული ბანკი საქართველოს ეროვნული ბანკის კიბერუსაფრთხოების მართვის
    ჩარჩოს მიმართ აუდიტი
    სვიფტის მომხმარებელთა უსაფრთხოების პროგრამის მიმართ
    6 წამყვანი ათი ქართული ბანკი
    აუდიტი

    7 წამყვანი ათი ქართული ბანკი PSD2 Open API შეღწევადობის ტესტირება

    ელექტროენერგიის IT და ინფორმაციული უსაფრთხოების პროცესებისა და


    8
    დისტრიბუტორი ორგანიზაცია პოლიტიკების შემუშავება
    სანდო და კვალიფიციური სანდო მომსახურების (მაგ., ელ.
    სსიპ „სახელმწიფო სერვისების
    9 ხელმოწერა და შტამპი) European Telecommunications Standards
    განვითარების სააგენტო“
    Institute (ETSI) სტანდარტის მიმართ აუდიტი

    იუაისთან თანამშრომლობის უპირატესობები

    პროექტის
    მარეგულირებლებთან მართვის
    წარმატებული ეფექტური
    თანამშრომლობა მეთოდოლოგია
    საკანონმდებლო კვალიფიციური სხვადასხვა
    რეგულაციების პროფესიონალების სექტორის
    სიღრმისეული გუნდი სპეციფიკის
    ცოდნა კარგი აღქმა
    მსგავსი
    ორგანიზაციის პროექტების
    საჭიროებებს განხორციელების
    მორგებული წარმატებული
    მიდგომები გამოცდილება

    5 | განახლებული კანონი ინფორმაციული უსაფრთხოების შესახებ


    იუაის შესახებ საკონტაქტო პირი
    იუაი არის მსოფლიო ლიდერი აუდიტორული,
    საგადასახადო, იურიდიული და საკონსულტაციო გიორგი ცინცქილაძე
    მომსახურების სფეროში. ჩვენი საქმის სიღრმისეული ბიზნესსაკონსულტაციო
    ცოდნითა და მომსახურების მაღალი ხარისხით ხელს დეპარტამენტის ხელმძღვანელი,
    ვუწყობთ კაპიტალის ბაზრებისა და ეკონომიკის ტექნოლოგიური რისკების
    მიმართ ნდობის გაღრმავებას. ამასთანავე ჯგუფი
    ვაყალიბებთ გამორჩეულ ლიდერებს, რომელთა
    +995 32 215 88 11
    ხელმძღვანელობითაც ყოველთვის ვასრულებთ
    Giorgi.Tsintskiladze@ge.ey.com
    ყველა დაინტერესებული მხარის მიმართ აღებულ
    ვალდებულებებს და ამით უმნიშვნელოვანესი
    წვლილი შეგვაქვს ჩვენი თანამშრომლებისთვის,
    კლიენტებისთვის და ფართო საზოგადოებისთვის
    საქმიანი გარემოს გაუმჯობესებაში.
    კომპანიის სახელწოდება იუაი აღნიშნავს „ერნსტ ენდ
    იანგ გლობალ ლიმიტედის“ წევრი ფირმების
    გლობალურ გაერთიანებას ან მის ერთ ან ერთზე მეტ
    წევრ ფირმას, რომელთაგან თითოეული
    დამოუკიდებელი იურიდიული ერთეულია. თავად
    „ერნსტ ენდ იანგ გლობალ ლიმიტედ“,
    გაერთიანებულ სამეფოში დაფუძნებული გარანტიით
    შეზღუდული კომპანია, კლიენტებს მომსახურებას არ
    უწევს.

    იუაის საკონსულტაციო მომსახურების შესახებ


    იუაის საკონსულტაციო გუნდს მიგვაჩნია, რომ
    სამყაროში უკეთესი სამუშაო გარემოს შექმნა
    გულისხმობს კლიენტების დახმარებას მსხვილი და
    კომპლექსური ინდუსტრიული გამოწვევების
    გადაჭრაში და იმ შესაძლებლობების ეფექტურ
    გამოყენებაში, რომლებიც დაეხმარება ბიზნესს
    გაიზარდოს, გახდეს ოპტიმალური და იყოს დაცული.
    გლობალური აზროვნება, მრავალფეროვნება და
    თანამშრომლობითი კულტურა შთააგონებს
    იუაის კონსულტანტებს დასვან სწორი კითხვები,
    ეძიონ პასუხები და უზრუნველყონ გრძელვადიანი
    შედეგები.

    © 2021 შპს „იუაი“.


    ყველა უფლება დაცულია.

    You might also like