Law of Georgia on Information Security

Document structure

View explanations

Referenced documents

Document comments

Document Highlights

Consolidated publications

26/06/2025 21/09/2023 20/09/2023 10/06/2021 12/06/2020 08/07/2015 24/12/2013 20/09/2013 19/06/2012
Return back

Consolidated versions (08/07/2015 - 12/06/2020)

საქართველოს კანონი

ინფორმაციული უსაფრთხოების შესახებ

თავი I. ზოგადი დებულებები

    მუხლი 1. კანონის მიზანი

ამ კანონის მიზანია, ხელი შეუწყოს ინფორმაციული უსაფრთხოების დაცვის ქმედით და ეფექტიან განხორციელებას, დააწესოს საჯარო და კერძო სექტორების უფლება-მოვალეობები ინფორმაციული უსაფრთხოების დაცვის სფეროში, აგრეთვე განსაზღვროს ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების სახელმწიფო კონტროლის მექანიზმები.

    მუხლი 2. ტერმინთა განმარტება

ამ კანონში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) ინფორმაციული უსაფრთხოება – საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენტიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას;

ბ) ინფორმაციული უსაფრთხოების პოლიტიკა – ამ კანონით, საქართველოს სხვა ნორმატიული აქტებითა და საერთაშორისო შეთანხმებებით გათვალისწინებული ნორმებისა და პრინციპების, აგრეთვე პრაქტიკის  ერთობლიობა, რომელიც ემსახურება ინფორმაციული უსაფრთხოების უზრუნველყოფას და შეესაბამება მისი დაცვის სფეროში დადგენილ საერთაშორისო სტანდარტებს;

გ) კიბერსივრცე – სივრცე, რომლის განმასხვავებელი ნიშანია  ელექტრონული მოწყობილობებისა და ელექტრომაგნიტური სპექტრის გამოყენება ქსელით დაკავშირებული სისტემებისა და დამხმარე ფიზიკური ინფრასტრუქტურის მეშვეობით მონაცემთა შენახვისათვის, შეცვლისათვის ან გაცვლისათვის;

დ) კიბერშეტევა – ქმედება, როდესაც ელექტრონული მოწყობილობა ან/და მასთან დაკავშირებული ქსელი ან სისტემა გამოიყენება კრიტიკულ ინფორმაციულ სისტემაში შემავალი სისტემების, ქონების ან ფუნქციების მთლიანობის დარღვევის, შეფერხების ან განადგურების ან ინფორმაციის უკანონოდ მოპოვების გზით;

ე) კომპიუტერული ინციდენტი – ინფორმაციული უსაფრთხოების პოლიტიკის რეალური ან პოტენციური დარღვევა, რომელიც ხორციელდება ინფორმაციული ტექნოლოგიის გამოყენებით და იწვევს ინფორმაციის  უნებართვო წვდომას, გამჟღავნებას, დაზიანებას ან შეფერხებას ან ინფორმაციული რესურსის მიტაცებას;

ვ) კრიტიკული ინფორმაციული სისტემა − ინფორმაციული სისტემა, რომლის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალური ფუნქციონირებისათვის;

ზ) კრიტიკული ინფორმაციული სისტემის სუბიექტი – სახელმწიფო ორგანო ან იურიდიული პირი, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვისათვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისათვის;

თ) კონფიდენციალური ინფორმაცია – ინფორმაცია, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფას, სავარაუდოდ, მოჰყვება კრიტიკული ინფორმაციული სისტემის სუბიექტის ფუნქციებისათვის მნიშვნელოვანი ზიანი და რომლის კონფიდენციალურ ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;

ი) შინასამსახურებრივი გამოყენების ინფორმაცია – ინფორმაცია, რომელიც განკუთვნილია მხოლოდ კრიტიკული ინფორმაციული სისტემის სუბიექტის თანამშრომლისათვის ან/და მასთან სახელშეკრულებო ურთიერთობის მქონე პირისათვის, რომლის კონფიდენციალურობის, მთლიანობის ან ხელმისაწვდომობის ხელყოფა, სავარაუდოდ, გამოიწვევს კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ თავისი ფუნქციების შესრულების მნიშვნელოვან შეფერხებას ან ზიანს მიაყენებს სახელმწიფო ხელისუფლების ორგანოს უსაფრთხოებას, სახელმწიფო ინტერესს ან კერძო პირის საქმიან რეპუტაციას და რომლის შინასამსახურებრივი გამოყენების ინფორმაციად კლასიფიცირების მიზანია ინფორმაციული აქტივების მართვის წესების უზრუნველყოფა, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას;

კ) ინფორმაციული აქტივი − ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია კრიტიკული ინფორმაციული სისტემის სუბიექტისათვის;

ლ) ინფორმაციული სისტემა − ინფორმაციული ტექნოლოგიებისა და ამ ტექნოლოგიების გამოყენებით განხორციელებული ქმედებების ნებისმიერი კომბინაცია, რომელიც ხელს უწყობს მართვას ან/და გადაწყვეტილების მიღებას;

მ) ქსელური სენსორი – მოწყობილობა, რომელიც სპეციალურად გამიზნულია ქსელის სეგმენტის მონიტორინგისთვის, ისეთი ქმედებების გამოსავლენად, რომლებიც მიუთითებს ინფორმაციული სისტემის წინააღმდეგ წარმოებულ შეტევაზე ან მასში შეღწევაზე.

ნ) მონაცემთა გაცვლის სააგენტო − საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი (შემდგომ − მონაცემთა გაცვლის სააგენტო);

ო) კიბერუსაფრთხოების ბიურო − საქართველოს თავდაცვის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი (შემდგომ − კიბერუსაფრთხოების ბიურო).

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.

    მუხლი 3. კანონის მოქმედების სფერო

1. ამ კანონის მოქმედება ვრცელდება ყველა იურიდიულ პირსა და სახელმწიფო ორგანოზე, რომლებიც კრიტიკული ინფორმაციული სისტემის სუბიექტები არიან. ამ კანონის მოქმედება ასევე ვრცელდება ისეთ ორგანიზაციასა და უწყებაზე, რომლებიც კრიტიკული ინფორმაციული სისტემის სუბიექტს ექვემდებარებიან ან ამ სუბიექტთან დაკავშირებული არიან დასაქმების, სტაჟირების, სახელშეკრულებო ან სხვა ურთიერთობით და რომლებიც უზრუნველყოფენ ინფორმაციული აქტივის წვდომას ასეთი ურთიერთობის ფარგლებში.

2. კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის დადგენილებით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას მხედველობაში მიიღება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა საზოგადოების ნორმალური ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის ამ კანონიდან გამომდინარე ვალდებულებების დაკისრებას მოჰყვება.

3. ამ კანონის მოქმედება არ ვრცელდება მასმედიაზე, გამომცემლობათა რედაქციებზე, სამეცნიერო, საგანმანათლებლო, რელიგიურ და საზოგადოებრივ ორგანიზაციებსა და პოლიტიკურ პარტიებზე, მიუხედავად იმისა, თუ რამდენად მნიშვნელოვანია მათი საქმიანობა ქვეყნის თავდაცვისთვის ან/და ეკონომიკური უსაფრთხოებისთვის, სახელმწიფო ხელისუფლების ან/და საზოგადოებრივი ცხოვრების შენარჩუნებისთვის. 

4. ნებისმიერ იურიდიულ პირსა და სახელმწიფო ხელისუფლების ორგანოს, რომელიც არ არის კრიტიკული ინფორმაციული სისტემის სუბიექტი, უფლება აქვს, ნებაყოფლობით აიღოს ამ კანონიდან გამომდინარე ვალდებულებები.

5. ამ კანონის მოქმედება არ ვრცელდება კრიტიკული ინფორმაციული სისტემის სუბიექტის წინასწარი თანხმობით ნებადართულ ქმედებაზე, რომლის მიზანია ინფორმაციული უსაფრთხოების ტესტირება.

6. ამ კანონის დებულებები გავლენას არ ახდენს საქართველოს კანონმდებლობით გათვალისწინებული იმ ნორმების მოქმედებაზე, რომლებიც არეგულირებს ინფორმაციის თავისუფლებას, პერსონალური მონაცემის დამუშავებას, სახელმწიფო, კომერციული და პირადი საიდუმლოებების დაცვას.

საქართველოს 2013 წლის 20 სექტემბრის   კანონი №1250 – ვებგვერდი, 01.10.2013წ.
საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.
საქართველოს 2015 წლის  8   ივლისის კანონი  №3933  - ვებგვერდი, 15.07.2015წ.
 

თავი II. ინფორმაციული უსაფრთხოების ორგანიზება და უზრუნველყოფა

    მუხლი 4. ინფორმაციული უსაფრთხოების წესები

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია მიიღოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები, რომლებიც ემსახურება ამ კანონის დებულებათა აღსრულებას და განსაზღვრავს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას.

2. ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (კრიტიკული ინფორმაციული სისტემის სუბიექტის კრიტიკულობის კლასიფიცირების გათვალისწინებით), რომლებსაც განსაზღვრავს მონაცემთა გაცვლის სააგენტო სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების შესაბამისად.

3. კრიტიკული ინფორმაციული სისტემის სუბიექტი ამ მუხლის პირველი პუნქტის თანახმად მიღებულ ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებს განსახილველად წარუდგენს მონაცემთა გაცვლის სააგენტოს. მონაცემთა გაცვლის სააგენტოს ასევე ეცნობება ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესებში შეტანილი ნებისმიერი ცვლილება. მონაცემთა გაცვლის სააგენტო ახორციელებს ამგვარად მოწოდებული დოკუმენტების ზოგად ანალიზს და წარადგენს რეკომენდაციებს მათში აღმოჩენილი ხარვეზების გამოსასწორებლად.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დოკუმენტების გარდა, მონაცემთა გაცვლის სააგენტოს ხელი არ მიუწვდება კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციასა და ინფორმაციულ აქტივზე, გარდა იმ შემთხვევისა, როდესაც კრიტიკული ინფორმაციული სისტემის სუბიექტი ნებაყოფლობით უზრუნველყოფს მონაცემთა გაცვლის სააგენტოსთვის ინფორმაციისა და ინფორმაციული აქტივის ხელმისაწვდომობას.

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.

    მუხლი 5. ინფორმაციული აქტივების მართვა

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი, ამ კანონის მე-4 მუხლის პირველი პუნქტით გათვალისწინებული შინასამსახურებრივი გამოყენების წესების შესაბამისად, ატარებს ინფორმაციული სისტემების ინვენტარიზაციას ყველა ინფორმაციული აქტივის აღრიცხვის მიზნით, რის შედეგადაც ყოველ ინფორმაციულ აქტივს მიენიჭება კრიტიკულობის შესაბამისი კლასი – კონფიდენციალური ან შინასამსახურებრივი გამოყენების. ყველა სხვა ინფორმაციული აქტივი, რომელთა კლასიფიცირება საჭირო არ არის, ღია ინფორმაციად ითვლება.

2. ინფორმაციული აქტივების აღრიცხვის შედეგად აღიწერება ყოველი ინფორმაციული აქტივის მნიშვნელობა, ფასეულობა, უსაფრთხოებისა და დაცვის არსებული დონე.

3. ინფორმაციული აქტივის შექმნის დროს კრიტიკულობის შესაბამის კლასს ადგენს აქტივის ავტორი ან/და აქტივზე პასუხისმგებელი პირი.

4. ინფორმაციული აქტივების მართვის წესებს, კერძოდ, მათი აღწერის, კლასიფიცირების, წვდომის, გაცემის (გამოქვეყნების), შეცვლისა და განადგურების წესებს, ნორმატიული აქტით ადგენს მონაცემთა გაცვლის სააგენტო, გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი განსაზღვრავს საჯარო ინფორმაციის ხელმისაწვდომობას.

    მუხლი 6. ინფორმაციული უსაფრთხოების აუდიტი და ინფორმაციული სისტემების ტესტირება

1. კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით, მონაცემთა გაცვლის სააგენტო ან მონაცემთა გაცვლის სააგენტოს მიერ ავტორიზებულ პირთაგან კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული პირი ან ორგანიზაცია ატარებს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესების (ინფორმაციული უსაფრთხოების პოლიტიკის) მონაცემთა გაცვლის სააგენტოს მიერ დადგენილ უსაფრთხოების მინიმალურ სტანდარტებთან თავსებადობის შეფასებას (ინფორმაციული უსაფრთხოების აუდიტი). აუდიტის ჩატარების შემდეგ დგება დასკვნა, რომლის მოთხოვნების შესრულება სავალდებულოა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესს ნორმატიული აქტით ადგენს მონაცემთა გაცვლის სააგენტო.

3. მონაცემთა გაცვლის სააგენტოს მიერ ჩატარებული ინფორმაციული უსაფრთხოების აუდიტის საფასური განისაზღვრება კრიტიკული ინფორმაციული სისტემის სუბიექტთან გაფორმებული ხელშეკრულებით.

4. მონაცემთა გაცვლის სააგენტო ნორმატიული აქტით ადგენს ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესს, ავტორიზაციის პროცედურებს და ავტორიზაციის საფასურს.

5. კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით, მონაცემთა გაცვლის სააგენტო ან მონაცემთა გაცვლის სააგენტოს წინასწარი ნებართვით – კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული დამოუკიდებელი, შესაბამისი კომპეტენციის მქონე პირი ან ორგანიზაცია ატარებს ინფორმაციული სისტემის შეღწევადობის (პენეტრაციის) ტესტს და ამ სისტემის მოწყვლადობის შეფასებას წინასწარ დაგეგმილი და დოკუმენტირებული ამოცანის მიხედვით.

6. თუ ამ მუხლით გათვალისწინებული აუდიტის ან ტესტირების შედეგად გამოვლინდა ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნებთან შეუსაბამობა, კრიტიკული ინფორმაციული სისტემის სუბიექტი ატარებს შეუსაბამობის მიზეზის ანალიზს და, საჭიროების შემთხვევაში, განსაზღვრავს და ახორციელებს სათანადო გამოსასწორებელ ღონისძიებებს, რომელთა გრაფიკსაც წარუდგენს მონაცემთა გაცვლის სააგენტოს.

    მუხლი 7. ინფორმაციული უსაფრთხოების მენეჯერი

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციის სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მოთხოვნების შესრულებისათვის (ინფორმაციული უსაფრთხოების მენეჯერი).

2. ინფორმაციული უსაფრთხოების მენეჯერის ძირითადი მოვალეობებია:

ა) ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;

ბ) ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;

გ) ინფორმაციული უსაფრთხოების პოლიტიკის შინაუწყებრივი დოკუმენტაციის მომზადება;

დ) ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;

ე) ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;

ვ) ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;

ზ) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

3. ინფორმაციული უსაფრთხოების მენეჯერი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის ან ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების უფლებამოსილების მქონე პირთა ჯგუფის (კოლეგიური ორგანოს) წინაშე. ყველა მნიშვნელოვანი გადაწყვეტილება, რომლებიც შეეხება ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებას, მიიღება ამ პუნქტით განსაზღვრული პირის (პირების) მიერ ან მასთან (მათთან) წინასწარი შეთანხმებით.

4. ინფორმაციული უსაფრთხოების მენეჯერი ადგენს ინფორმაციული უსაფრთხოების სამოქმედო გეგმას და ამ გეგმის შესრულების შესახებ ყოველწლიურ ანგარიშს წარუდგენს ამ მუხლის მე-3 პუნქტით განსაზღვრულ პირს (პირებს) და მონაცემთა გაცვლის სააგენტოს.

 

თავი III. კიბერუსაფრთხოების უზრუნველყოფა

    მუხლი 8. მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი

1. ამ კანონის დებულებათა აღსრულებას, კერძოდ, საქართველოს კიბერსივრცეში ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული ინციდენტების მართვას, ასევე ინფორმაციული უსაფრთხოების კოორდინაციისკენ მიმართულ სხვა, მასთან დაკავშირებულ საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი – CERT.GOV.GE (შემდგომ – დახმარების ჯგუფი).

2. კიბერუსაფრთხოების პრიორიტეტულ საფრთხეებს მიეკუთვნება:

ა) კიბერშეტევა, რომელიც საფრთხეს უქმნის ადამიანთა სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებს ან ქვეყნის თავდაცვისუნარიანობას;

ბ) კიბერშეტევა კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული სისტემების წინააღმდეგ;

გ) კიბერშეტევა, რომელიც საფრთხეს უქმნის სახელმწიფოს, ორგანიზაციის ან კერძო პირის ფინანსურ რესურსებს ან/და საკუთრების უფლებას;

დ) სხვა ნებისმიერი ქმედება, რომელიც, მისი ხასიათიდან, მიზნიდან, წყაროდან, მოცულობიდან ან რაოდენობიდან ან მისი აღკვეთისათვის საჭირო რესურსების ოდენობიდან გამომდინარე, კრიტიკული ინფორმაციული სისტემის ნორმალური ფუნქციონირებისათვის საკმარისი საფრთხის შემცველია.

3. დახმარების ჯგუფის მოვალეობებია:

ა) კრიტიკული ინფორმაციული სისტემის ინფორმაციული უსაფრთხოების დაცვის შესახებ რეკომენდაციების გაცემა;

ბ) კომპიუტერული ინციდენტების დროული გამოვლენა;

გ) კომპიუტერულ ინციდენტებზე რეაგირება და მათზე რეაგირების კოორდინაცია;

დ) კომპიუტერული ინციდენტების აღრიცხვა და მათზე რეაგირების პრიორიტეტების დადგენა და კატეგორიზაცია;

ე) კომპიუტერული ინციდენტების ანალიზი;

ვ) კომპიუტერული ინციდენტების შედეგების გამოსწორებისა და ზიანის მინიმიზაციის პროცესში დახმარების გაწევა;

ზ) კომპიუტერული ინციდენტების პრევენციისკენ მიმართული ზომების კოორდინაცია და ამგვარი ზომების დანერგვაში დახმარების გაწევა;

თ) ინფორმაციული უსაფრთხოების საკითხებზე ცნობიერების ამაღლება, მათ შორის, კრიტიკულ ინფორმაციულ სისტემაში არსებული საფრთხეებისა და სუსტი წერტილების შესახებ ინფორმაციის მიწოდება, თუ ინფორმაციის ამგვარი ხელმისაწვდომობა ზიანს არ აყენებს ინფორმაციულ უსაფრთხოებას;

ი) შესაძლო საფრთხეების შესახებ მომხმარებელთა ფართო წრის გაფრთხილება და მისთვის სათანადო ინფორმაციის მიწოდება;

კ) ინფორმაციული უსაფრთხოების საკითხებზე საგანმანათლებლო და ინფორმაციული უზრუნველყოფა;

ლ) საერთაშორისო დონეზე ინფორმაციული უსაფრთხოების საკითხებში წარმომადგენლობა და კოორდინაცია;

მ) სხვა მოვალეობები, რომლებიც დაკავშირებულია ინფორმაციული უსაფრთხოების მიზნებთან და განისაზღვრება კანონით ან სხვა ნორმატიული აქტით.

4. დახმარების ჯგუფს უფლება აქვს, მოითხოვოს კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივის, ინფორმაციული სისტემის ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალი საგნის წვდომა, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე სათანადო რეაგირებისათვის. ინფორმაციული უსაფრთხოების მენეჯერი მოთხოვნის გონივრულ ვადაში განხილვის შედეგად დახმარების ჯგუფს დაუყოვნებლივ აცნობებს შესაბამისი წვდომის შესაძლებლობის ან შეუძლებლობის შესახებ.

5. დახმარების ჯგუფის კომპეტენცია, მუშაობის პროცედურები, კომპიუტერულ ინციდენტებზე რეაგირების მექანიზმები და საქმიანობის სხვა წესები დგინდება მონაცემთა გაცვლის სააგენტოს ნორმატიული აქტით.

    მუხლი 9. კომპიუტერული უსაფრთხოების სპეციალისტი

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია განსაზღვროს კონკრეტული პირი (პირები) ან თანამშრომელი (თანამშრომლები), რომელიც (რომლებიც) პასუხისმგებელია (პასუხისმგებელი არიან) კრიტიკული ინფორმაციული სისტემის სუბიექტის კომპიუტერული სისტემების უსაფრთხოების პრაქტიკული უზრუნველყოფისათვის (კომპიუტერული უსაფრთხოების სპეციალისტი).

2. კომპიუტერული უსაფრთხოების სპეციალისტის ძირითადი მოვალეობებია:

ა) კომპიუტერული სისტემების ყოველდღიური მონიტორინგი და შეფასება;

ბ) კომპიუტერული ინციდენტების იდენტიფიცირება და მათზე რეაგირება;

გ) კომპიუტერული ინციდენტებისა და უსაფრთხოების ზომების ანალიზი და ანგარიშგება;

დ) დახმარების ჯგუფთან კოორდინაცია;

ე) სხვა მოვალეობები, რომლებსაც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტი.

3. კომპიუტერული უსაფრთხოების სპეციალისტი ანგარიშვალდებულია კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული ტექნოლოგიების სამსახურის ხელმძღვანელის ან მის მიერ შესაბამისად უფლებამოსილი თანამშრომლის წინაშე.

4. კომპიუტერული უსაფრთხოების სპეციალისტი ხელმისაწვდომი უნდა იყოს ნებისმიერ დროს, მათ შორის, სამუშაო საათების შემდეგ. იგი ვალდებულია უზრუნველყოს მონაცემთა გაცვლის სააგენტოსთან მუდმივი კოორდინაცია კრიტიკული ინფორმაციული სისტემის სუბიექტზე მიმდინარე ან სავარაუდო კიბერშეტევის პირობებში, ასევე ამ კიბერშეტევის შედეგების აღმოფხვრის პროცესში.

5. თუ მიმდინარე ან სავარაუდო კიბერშეტევა განსაკუთრებულ საფრთხეს უქმნის ქვეყნის თავდაცვისუნარიანობას, ეკონომიკურ უსაფრთხოებას, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალურ ფუნქციონირებას, მონაცემთა გაცვლის სააგენტო უფლებამოსილია განახორციელოს კომპიუტერული უსაფრთხოების სპეციალისტების დროებითი კოორდინაცია კიბერშეტევის თავიდან აცილების, მოგერიების ან/და მისი შედეგების აღმოფხვრის მიზნით.

    მუხლი 10. კომპიუტერული ინციდენტის იდენტიფიცირება

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ახორციელებს კომპიუტერული ინციდენტების იდენტიფიცირებას, რაც მოიცავს თითოეული ინციდენტის შესწავლასა და აღწერას და მასზე რეაგირებას.

2. კრიტიკული ინფორმაციული სისტემის სუბიექტთან შეთანხმებით, მონაცემთა გაცვლის სააგენტო და კომპიუტერული უსაფრთხოების სპეციალისტი კრიტიკული ინფორმაციული სისტემის სუბიექტის ქსელში ახორციელებენ კომპიუტერული ინციდენტების იდენტიფიცირებისა და კვლევისათვის აუცილებელი ქსელური სენსორის (სენსორების სისტემის) კონფიგურირებასა და მართვას. ქსელური სენსორის კონფიგურაციის წესები დგინდება მონაცემთა გაცვლის სააგენტოს ნორმატიული აქტით.

3. კომპიუტერული ინციდენტის იდენტიფიცირების შესახებ დაუყოვნებლივ ეცნობება დახმარების ჯგუფს და, აუცილებლობის შემთხვევაში, ხორციელდება გადაუდებელი ღონისძიებები ამ ინციდენტის შესახებ ინფორმაციის შენახვისა და დაცვის მიზნით.

4. დახმარების ჯგუფი შეისწავლის და აღწერს კომპიუტერულ ინციდენტებს და ახორციელებს მათზე ადეკვატურ რეაგირებას ამ კანონით გათვალისწინებული ფუნქციების შესრულებისას.

თავი III1. კიბერუსაფრთხოების ბიურო

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.

   მუხლი 101. კიბერუსაფრთხოების ბიუროს სტატუსი და ფუნქციები

1. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტებისათვის ინფორმაციული უსაფრთხოების პოლიტიკა უნდა აკმაყოფილებდეს თავდაცვის სფეროში ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებს (თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტის კრიტიკულობის კლასიფიცირების გათვალისწინებით), რომლებსაც განსაზღვრავს კიბერუსაფრთხოების ბიურო სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) და ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (ISACA) მიერ დადგენილი სტანდარტებისა და მოთხოვნების შესაბამისად.

2. კიბერუსაფრთხოების ბიურო იქმნება ამ კანონისა და „საჯარო სამართლის იურიდიული პირის შესახებ“ საქართველოს კანონის შესაბამისად.

3. კიბერუსაფრთხოების ბიუროს მოქმედების სფერო არ ვრცელდება მონაცემთა გაცვლის სააგენტოზე, რომლის უფლებამოსილება, ფუნქციები და მოქმედების სფერო განისაზღვრება ამ კანონითა და „საჯარო სამართლის იურიდიული პირის − მონაცემთა გაცვლის სააგენტოს შექმნის შესახებ“ საქართველოს კანონით.

4. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხა მტკიცდება და შესაბამისი სუბიექტის კრიტიკულობის კლასიფიცირება დგინდება საქართველოს მთავრობის შესაბამისი აქტით, რომლის პროექტს საქართველოს მთავრობას დასამტკიცებლად წარუდგენს საქართველოს იუსტიციის სამინისტრო საქართველოს თავდაცვისა და შინაგან საქმეთა სამინისტროებთან და საქართველოს სახელმწიფო უსაფრთხოების სამსახურთან შეთანხმებით. ამ ნუსხის შედგენისას მხედველობაში მიიღება შემდეგი კრიტერიუმები: ინფორმაციული სისტემის შეფერხების ან მწყობრიდან გამოსვლის სავარაუდო შედეგების სიმძიმე და მასშტაბი სახელმწიფოს თავდაცვისუნარიანობის თვალსაზრისით; სავარაუდო ეკონომიკური ზარალის სიმძიმე სუბიექტებისთვის ან/და სახელმწიფოსთვის; ინფორმაციული სისტემის მიერ გაწეული მომსახურების აუცილებლობა სახელმწიფოს თავდაცვისუნარიანობის შეუფერხებელი ფუნქციონირებისათვის; ინფორმაციული სისტემის მომხმარებელთა რაოდენობა; სუბიექტის მატერიალური მდგომარეობა და სავარაუდო ხარჯების ოდენობა, რომლებიც მისთვის შესაბამისი ვალდებულებების დაკისრებას მოჰყვება.

5. კიბერუსაფრთხოების ბიუროს დებულებასა და სტრუქტურას ამტკიცებს საქართველოს თავდაცვის მინისტრი.

6. კიბერუსაფრთხოების ბიუროს ძირითადი ფუნქციაა საქართველოს კანონმდებლობით, მათ შორის, ამ კანონით, მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში საქმიანობის განხორციელება.

7. ამ კანონის მე-6 და მე-7 მუხლების, მე-9 მუხლის მე-4 პუნქტისა და მე-10 მუხლის მე-2 პუნქტის მოქმედება არ ვრცელდება კიბერუსაფრთხოების ბიუროს საქმიანობაზე.

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.
საქართველოს 2015 წლის  8   ივლისის კანონი  №3933  - ვებგვერდი, 15.07.2015წ.

   მუხლი 102. კიბერუსაფრთხოების ბიუროს დირექტორი

1. კიბერუსაფრთხოების ბიუროს დირექტორს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს საქართველოს თავდაცვის მინისტრი.

2. კიბერუსაფრთხოების ბიუროს დირექტორს ჰყავს ორი მოადგილე, მათ შორის, ერთი პირველი მოადგილე, რომელიც ასრულებს დირექტორის მოვალეობას მისი არყოფნის შემთხვევაში. დირექტორის მოადგილეებს თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს კიბერუსაფრთხოების ბიუროს დირექტორი საქართველოს თავდაცვის მინისტრთან შეთანხმებით.

3. კიბერუსაფრთხოების ბიუროს დირექტორი მოქმედებს ამ კანონითა და კიბერუსაფრთხოების ბიუროს დებულებით მისთვის მინიჭებულ უფლებამოსილებათა ფარგლებში.

4. კიბერუსაფრთხოების ბიუროს დირექტორი უფლებამოსილია საქართველოს კანონმდებლობით დადგენილი წესით თანამდებობაზე დანიშნოს და თანამდებობიდან გაათავისუფლოს კიბერუსაფრთხოების ბიუროს თანამშრომლები.

5. კიბერუსაფრთხოების ბიუროს დირექტორი გამოსცემს ნორმატიულ აქტს – ბრძანებას ამ კანონითა და საქართველოს სხვა საკანონმდებლო აქტებით განსაზღვრულ შემთხვევებსა და ფარგლებში. კიბერუსაფრთხოების სფეროში თავდაცვის პოლიტიკის მარეგულირებელ ნორმატიულ აქტებს გამოსცემს საქართველოს თავდაცვის მინისტრი.

6. კიბერუსაფრთხოების ბიუროს საშტატო განრიგსა და თანამდებობრივ სარგოებს ამტკიცებს საქართველოს თავდაცვის მინისტრი საქართველოს კანონმდებლობით დადგენილი წესით.

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.

   მუხლი 103. კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი

1. თავდაცვის სფეროში კრიტიკული ინფორმაციული სისტემის სუბიექტებზე განხორციელებული იმ კიბერშეტევის, რომელიც საფრთხეს უქმნის ადამიანის სიცოცხლესა და ჯანმრთელობას, სახელმწიფო ინტერესებსა და ქვეყნის თავდაცვისუნარიანობას, აგრეთვე ინფორმაციული უსაფრთხოების წინააღმდეგ მიმართული სხვა ინციდენტების მართვას და მასთან დაკავშირებულ იმ საქმიანობას, რომელიც კიბერუსაფრთხოების პრიორიტეტული საფრთხეების აღმოფხვრას ემსახურება, ახორციელებს კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი – CERT.MOD.GOV.GE (შემდგომ – კიბერუსაფრთხოების ბიუროს დახმარების ჯგუფი).

2. კიბერუსაფრთხოების ბიუროს დახმარების ჯგუფისათვის პრიორიტეტული საფრთხეები და ამ ჯგუფის მოვალეობები თავდაცვის სფეროში განისაზღვრება ამ კანონის მე-8 მუხლის მე-2 და მე-3 პუნქტებით.

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.
 

თავი IV. გარდამავალი და დასკვნითი დებულებები

    მუხლი 11. გარდამავალი დებულებები

1. ამ კანონის ამოქმედებიდან 6 თვის ვადაში საქართველოს პრეზიდენტმა გამოსცეს ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.

2. ამ კანონის ამოქმედებიდან 6 თვის ვადაში მონაცემთა გაცვლის სააგენტომ გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ბრძანება „მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;

ბ) ბრძანება „კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერისათვის მინიმალური სტანდარტების დამტკიცების შესახებ“;

გ) ბრძანება „ქსელური სენსორის კონფიგურაციის წესების შესახებ“;

დ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;

ე) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლებამოსილების მქონე პირთა და ორგანიზაციათა მიერ ავტორიზაციის გავლის წესის, ავტორიზაციის პროცედურებისა და ავტორიზაციის საფასურის შესახებ“;

ვ) ბრძანება „ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის შესახებ“;

ზ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.

3. საქართველოს მთავრობამ 2014 წლის 1 აპრილამდე უზრუნველყოს „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“ დადგენილების მიღება.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული დადგენილების მიღებამდე იურიდიულ ძალას ინარჩუნებს საქართველოს პრეზიდენტის 2013 წლის 11 მარტის №157 ბრძანებულება „კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების შესახებ“.

5. საქართველოს თავდაცვის სამინისტრომ 2014 წლის 1 აპრილამდე უზრუნველყოს კიბერუსაფრთხოების ბიუროს შექმნის მიზნით საქართველოს კანონმდებლობით განსაზღვრული შესაბამისი ღონისძიებების განხორციელება.

6. საქართველოს თავდაცვის მინისტრმა 2014 წლის 1 აპრილამდე გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ბრძანება „საჯარო სამართლის იურიდიული პირის − კიბერუსაფრთხოების ბიუროს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფის შესახებ“;

ბ) ბრძანება „ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესახებ“;

გ) ბრძანება „ინფორმაციული აქტივების მართვის წესების შესახებ“.

საქართველოს 2013 წლის 20 სექტემბრის კანონი №1250 – ვებგვერდი, 01.10.2013წ.

საქართველოს 2013 წლის  24  დეკემბრის კანონი №1829  - ვებგვერდი, 28.12.2013წ.

    მუხლი 12. დასკვნითი დებულება

ეს კანონი ამოქმედდეს 2012 წლის 1 ივლისიდან.

 

საქართველოს პრეზიდენტი              მ . სააკაშვილი

თბილისი,

2012 წლის 5 ივნისი.

№6391- I

LAW OF GEORGIA

ON INFORMATION SECURITY

 

Chapter I - General Provisions

 

Article 1 - Purpose of the Law

This Law aims to promote the efficient and effective maintenance of information security, define rights and responsibilities for public and private sectors in the field of information security maintenance, and identify the mechanisms for exercising state control over the implementation of information security policy.

 

Article 2 - Definition of terms

The terms used in this Law shall have the following meanings:

a) information security – an activity that ensures the protection of access to, integrity, authenticity, confidentiality, and non-repudiation of information and information systems;

b) information security policy – a set of the standards, principles, and practices laid down in this Law, other normative acts and international treaties of Georgia, that ensures information security and complies with the international standards established within the scope of its maintenance;

c) cyberspace – a domain characterized by the use of electronics and electromagnetic spectrum to store, modify, or exchange data via networked systems and an associated physical infrastructure;

d) cyber-attack – an action when an electronic device and/or a network or a system connected thereto is used through disrupting, impeding, or destroying the integrity of the systems, property or functions within the critical information system, or through obtaining information illegally;

e) computer incident – an actual or potential violation of information security policy by using an information technology that causes an unauthorized access to, disclosure, damage or impediment of information, or theft of information resources;

f) critical information system – an information system whose uninterrupted operation is essential to national defence and/or economic security, as well as to normal functioning of the state authority and/or society;

g) critical information system subject – a state body or a legal person whose uninterrupted operation of the information system is essential to the defence and/or economic security of the State, as well as to the maintenance of state authority and/or public life;

h) confidential information – information, the breach of confidentiality, integrity or availability of which may cause a substantial damage to the functions of the critical information system subject. The purpose of classifying information as confidential is to provide rules for the information asset management, except for the rules defining access to public information set forth by the General Administrative Code of Georgia;

i) information for internal use – information designated only for employees and/or contractors of the critical information system subject. The breach of the confidentiality, integrity, or availability of this information may cause a substantial disruption of the operation of the critical information system subject, or impair the security of public authorities, state interest, or business reputation of a private person. The purpose of classifying information as information for internal use is to provide the rules for information asset management, except for the rules defining access to public information set forth by the General Administrative Code of Georgia;

j) information asset – all information and knowledge (particularly, technological means for the storage, processing, and transfer of information, personnel and their knowledge of information processing) that is valuable to the critical information system subject;

k) information system – any combination of information technology and actions carried out by using such technology that facilitates the management and/or decision-making;

l) network sensor – a device specifically designed for monitoring a network segment in order to identify the actions that indicate the attack against or intrusion into the information system;

m) Data Exchange Agency ­– a legal entity under public law within the governance of the Ministry for Justice of Georgia (‘Data Exchange Agency’);

n) Cyber Security Bureau - a legal entity under public law within the Ministry for Defence of Georgia (‘Cyber Security Bureau’);

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

Article 3 - Scope of the Law

1. This Law shall apply to all legal persons and state authorities that are critical information system subjects. This Law shall also apply to the organisations and agencies that are subordinated or related to the critical information system subject through labour, internship, contractual, or other relationships and that provide access to information assets under such relationships.

2. The list of critical information system subjects and the criticality classification for the respective subjects shall be approved by an ordinance of the Government of Georgia. The Ministry of Justice of Georgia, in agreement with the Ministries of Defence and Internal Affairs of Georgia and the State Security Service of Georgia shall submit the draft ordinance to the Government of Georgia for approval. The list shall be compiled according to the following criteria: the gravity and scale of potential consequences resulting from the malfunction or the failure of an information system; the gravity of expected economic losses for information system subjects and/or the State; the necessity of services delivered by the information system for the normal functioning of society; the number of information system users; material standing of the subject concerned; and the amount of estimated costs incurred as a result of the liabilities imposed by this Law.

3. This Law shall not apply to mass media, editorial offices of publishing houses, scientific, educational, religious, and public organisations, as well as to political parties regardless of the importance of their activities to the national defence and/or economic security and to the maintenance of state authority and/or public life.

4. Any legal person and public authority that is not a critical information system subject, may voluntarily assume the obligations deriving from this Law.

5. This Law shall not apply to any action permitted in advance by the consent of the critical information system subject that aims to test the information security.

6. The provisions of this Law shall not affect the application of the norms provided for by the legislation of Georgia that governs freedom of information, personal data processing, protection of state, commercial, and private secrets.

Law of Georgia No 1250 of 20 September 2013 – website, 1.10.2013

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013
Law of Georgia No 3933 of 8 July 2015 – website, 15.7.2015

 

Chapter II - Organisation and Provision of Information Security

 

Article 4 - Rules for information security

1. A critical information system subject shall be obliged to adopt internal rules for information security that serve to enforce the provisions of this Law and to define information security policy of the entity concerned.

2. Information security policy shall meet the minimum requirements for information security (based on the criticality classification of the critical information system subject) that are defined by the Data Exchange Agency in accordance with the standards and requirements laid down by the International Organisation for Standardisation (ISO) and the Information Systems Audit and Control Association (ISACA).

3. The critical information system subject shall submit internal rules for information security adopted pursuant to the first paragraph of this article to the Data Exchange Agency for review. The Data Exchange Agency shall also be notified of any changes made to the internal rules for information security. The Data Exchange Agency shall carry out a general analysis of the documents submitted in that manner and present recommendations for eliminating any deficiencies identified.

4. In addition to the documents set forth under the third paragraph of this article, the Data Exchange Agency shall have no access to the information or information assets of the critical information system subject, unless the critical information system subject voluntarily provides the Data Exchange Agency with the access to the information and information assets.

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

 

Article 5 - Information Asset Management

1. Under the internal rules provided for by Article 4(1) of this Law, a critical information system subject shall take inventory of information systems to keep record of all information assets. As a result, each information asset will be assigned the respective criticality class - confidential or for internal use. All other information assets that do not require classification shall be considered open information.

2. The inventory of information assets will result in the description of all information assets according to their significance, value, current level of security and protection.

3. While creating an information asset, the asset creator and/or the person responsible for the asset shall determine the respective criticality class.

4. The Data Exchange Agency shall, lay down the rules for the information asset management by a normative act, in particular, the rules for their inventory, classification, availability, issuance (publication), change, and destruction, except for the rules by which the General Administrative Code of Georgia defines the accessibility to public information.

 

Article 6 - Information security audit and information systems testing

1. By the consent of the critical information system subject, the Data Exchange Agency or a person or an organisation selected by the critical information system subject from among the persons authorised by the Data Exchange Agency shall assess the compatibility of the internal rules for information security (information security policy) with the minimum security standards established by the Data Exchange Agency (information security audit). After the audit, a report shall be drawn up. The requirements laid down in the report shall be fulfilled.

2. The Data Exchange Agency shall lay down the rules for conducting the information security audit laid down in the first paragraph of this article by a normative act.

3. The price for the information security audit conducted by the Data Exchange Agency shall be fixed under a contract concluded with the critical information system subject.

4. The Data Exchange Agency shall lay down, by a normative act, the authorisation rules for the persons and agencies entitled to conduct information security audit, authorisation procedures, and cost.

5. The Data Exchange Agency, with the consent of the critical information system subject or an independent, competent person or agency selected by the critical information system subject with the prior permission of the Data Exchange Agency shall carry out penetration testing and vulnerability assessment of the information system according to the pre-scheduled and documented task.

6. If an audit or testing provided for by this article identifies non-compliance with the information security policy requirements, the critical information system subject shall analyse the cause for such non-compliance and, if necessary, shall determine and carry out relevant corrective measures, and shall submit their schedule to the Data Exchange Agency.

 

Article 7 - Information security manager

1. The critical information system subject shall be obliged to determine the person(s) or the employee(s) (Information Security Manager) responsible for observing the information security requirements of the critical information system subject.

2. An Information Security Manager shall have the following basic duties:

a) daily monitoring of the compliance with the information security policy requirements;

b) providing assessment of information assets and their availability;

c) drafting internal information security policy documentation;

d) collecting information on information security incidents and monitoring responses to such incidents;

e) reporting on information security issues and other administrative/organizational activities;

f) organizing and conducting general and sectorial trainings on information security;

g) other duties defined by the critical information system subject.

3. An Information Security Manager shall be accountable to the head of the critical information system subject or its duly authorised employee, or a group of persons (collegiate body) entitled to implement information security policy. All major decisions concerning the implementation of information security policy shall be made by the person(s) specified under this paragraph or by a prior consent of the same person(s).

4. An Information Security Manager shall draft an action plan for information security and present an annual progress report to the person(s) specified under the third paragraph of this article, and to the Data Exchange Agency.

 

Chapter III - Ensuring Cyber Security

 

Article 8 - Computer Emergency Response Team of the Data Exchange Agency

1. The Computer Emergency Response Team of the Data Exchange Agency – CERT.GOV.GE (‘CERT’) shall be responsible for the enforcement of the provisions of this Law, in particular, the management of the incidents against information security in the cyberspace of Georgia, as well as other related activities aimed to coordinate information security that serves to eliminate priority cyber security threats.

2. Priority cyber security threats shall include:

a) a cyber-attack that threatens human life and health, state interests or defence capacity of the country;

b) a cyber-attack against the information systems of the critical information system subject;

c) a cyber-attack that threatens the financial resources and/or property rights of a state, an organisation or a private person;

d) any other action that, based on its nature, purpose, source, scale or quantity, or the amount of resources required for its prevention, contains sufficient threat for proper functioning of the critical information system.

3. CERT duties shall include:

a) giving recommendations on maintaining information security of the critical information system;

b) detecting computer incidents in a timely manner;

c) responding to computer incidents and coordinating the responses to such incidents;

d) recording computer incidents, as well as establishing and categorizing their response priorities;

e) analysing computer incidents;

f) providing assistance in the process of remedying the consequences of computer incidents and minimising the inflicted damage;

g) coordinating the computer incident prevention measures and providing assistance in the implementation of such measures;

h) raising awareness of information security issues, including providing information on existing threats and weak points within the critical information systems, unless the availability of such information poses a threat to the information security;

i) warning a wide circle of users about potential threats and providing relevant information to them;

j) providing educational and information support on information security issues;

k) providing representation and coordination on information security issues at international level;

l) performing other duties related to information security objectives that are defined by law or other normative act.

4. CERT may request access to the information asset, information system and/or to any object that is a part of the information infrastructure of the critical information system subject, if such access is necessary for proper response to any current or past computer incident. The Information Security Manager shall notify CERT about the possibility or impossibility of such access after reviewing the request within a reasonable period of time.

5. The Data Exchange Agency shall define CERT’s competence, working procedures, computer incident response mechanisms, and other rules of activity by a normative act.

 

Article 9 - Cyber security specialist

1. The critical information system subject shall be obliged to determine the person(s) or the employee(s) responsible for the practical provision of security for the computer systems of the critical information system subject (Cyber Security Specialist).

2. A Cyber Security Specialist shall have the following basic duties:

a) daily monitoring and assessing computer systems;

b) identifying and responding to computer incidents;

c) providing analysis and reporting of computer incidents and security measures;

d) coordinating with CERT;

e) performing other duties defined by the critical information system subject.

3. A Cyber Security Specialist shall be accountable to the head of information technology service of the critical information system subject, or to the employee duly authorised by the latter.

4. A Cyber Security Specialist shall be available at any time, including the time after working hours. He/she shall ensure regular coordination with the Data Exchange Agency during the ongoing or potential cyber-attacks against the critical information system subject, as well as in the process of eliminating the effects of such cyber-attacks.

5. If an ongoing or a potential cyber-attack poses an exceptional threat to the defence capacity or economic security of the country, as well as to the proper functioning of state authority and/or society, the Data Exchange Agency shall be authorised to temporarily coordinate cyber security specialists to prevent, repel the attack, and/or eliminate its consequences.

 

Article 10 - Computer incident identification

1. The critical information system subject shall identify computer incidents that imply the study and description of each incident and the response thereto.

2. In agreement with the critical information system subject, the Data Exchange Agency and a Cyber Security Specialist shall configure and manage the network sensor (system of sensors) required for the identification and examination of computer incidents in the network of the critical information system subject. The Data Exchange Agency shall determine the configuration rules for network sensors by a normative act.

3. CERT shall be immediately notified of the identified computer incident and, if necessary, urgent measures shall be taken in order to preserve and protect incident-related information.

4. While performing the duties provided for by this Law, CERT shall study and describe computer incidents and adequately respond to them.

 

Chapter III1 - Cyber Security Bureau

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

 

Article 101 - Status and functions of the Cyber Security Bureau

1. The information security policy for critical information system subjects in the field of defence shall meet the minimum requirements for information security in the field of defence (taking into account the criticality classification of critical information system subject in the field of defence). The Cyber Security Bureau shall define those requirements in accordance with the standards and requirements established by the International Organisation for Standardisation (ISO) and Information Systems Audit and Control Association (ISACA).

2. The Cyber Security Bureau shall be established in accordance with this Law and the Law of Georgia on Legal Entity under Public Law.

3. The scope of activities of the Cyber Security Bureau shall not fall beyond the Data Exchange Agency, whose powers, functions and scope of activity shall be defined by this Law and the Law of Georgia on Data Exchange Agency - Legal Entity under Public Law.

4. The list of critical information system subjects in the field of defence shall be approved and the classification of the relevant subject criticality shall be determined by an appropriate act of the Government of Georgia. The Ministry for Justice of Georgia shall submit the draft act to the Government of Georgia in agreement with the Ministries of Defence and Internal Affairs of Georgia and the State Security Service of Georgia. When making the list, the following criteria shall be taken into account: the severity and scope of the expected results of the information system malfunction or failure in terms of state defence; the severity of economic damage for the subjects and/or the State; the necessity for information system services for smooth functioning of the state defence; the number of information system users; material status of a subject and the amount of expected expenses incurred as a result of imposing relevant obligations on the subject.

5. The Minister for Defence of Georgia shall approve the statute and structure of the Cyber Security Bureau.

6. The main function of the Cyber Security Bureau is to carry out the activities provided for by the legislation of Georgia, including this Law, within the powers granted to it.

7. Articles 6, 7, 9(4), and 10(2) shall not apply to the activity of the Cyber Security Bureau.

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

Law of Georgia No 3933 of 8 July 2015 – website, 15.7.2015

 

Article 102 - Director of the Cyber Security Bureau

1. The Minister for Defence of Georgia shall appoint and dismiss the Director of the Cyber Security Bureau.

2. The Director of the Cyber Security Bureau shall have two Deputies, including one First Deputy performing the duties of the Director in his/her absence. The Director of the Cyber Security Bureau shall appoint and dismiss the Deputy Directors in agreement with the Minister for Defence of Georgia.

3. The Director of the Cyber Security Bureau shall act within the powers granted by this Law and the Statute of the Cyber Security Bureau.

4. The Director of the Cyber Security Bureau may appoint and dismiss the employees of the Cyber Security Bureau in the manner provided for by the legislation of Georgia.

5. The Director of the Cyber Security Bureau shall issue a normative act, an order, in the cases and within the scope defined by this Law and other legislative acts of Georgia. The Minister for Defence of Georgia shall issue normative acts governing the defence policy in the field of cyber security.

6. The Minister for Defence of Georgia shall approve the staff list and salaries for the Cyber Security Bureau in the manner provided for by the legislation of Georgia.

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

 

Article 103 – CERT of the Cyber Security Bureau

1. CERT– CERT.MOD.GOV.GE (the Computer Emergency Response Team) shall manage cyber-attacks against a critical information system subject in the field of defence that endangers the human life and health, the state interests and defence, also shall manage other incidents occurred against the information security and the related activities that serve to eliminate priority threats to cyber security.

2. Priority threats for CERT of the Cyber Security Bureau and the duties of CERT shall be defined in Article 8(2) and (3) of this Law.

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

 

Chapter IV - Transitional and Final Provisions

 

Article 11 - Transitional provisions

1. The President of Georgia shall issue an Edict on Approval of the List of Critical Information System Subjects within six months after the enactment of this Law.

2. Within six months after the enactment of this Law, the Data Exchange Agency shall issue the following normative acts:

a) Order on Computer Emergency Response Team of the Data Exchange Agency

b) Order on Approval of the Minimum Standards for Information Security Manager of the Critical Information System Subject

c) Order on the Rules for Network Sensor Configuration

d) Order on the Minimum Requirements for Information Security

e) Order on the Procedure for Going through Authorisation for Persons and Organisations Entitled to Conduct Information Security Audit, the Authorisation Procedures, and the Authorisation Fees

f) Order on the Information Security Audit Procedure

g) Order on the Rules for Information Asset Management.

3. The Government of Georgia shall adopt Resolution on the Approval of the List of Critical Information System Subjects before 1 April 2014.

4. Until the resolution referred to in the third paragraph of this article is adopted, the Edict No 157 of 11 March 2013 of the President of Georgia on the Approval of the List of Critical Information System Subjects shall remain in force.

5. The Ministry for Defence of Georgia shall take relevant measures under the legislation of Georgia to establish the Cyber Security Bureau before 1 April 2014.

6. The Ministry for Defence of Georgia shall issue the following normative acts before 1 April 2014:

a) Order on Computer Emergency Response Team - Legal Entity under Public Law of Cyber Security Bureau

b) Order on the Minimal Requirements for Information Security

c) Order on the Rules for Information Asset Management.

Law of Georgia No 1250 of 20 September 2013 – website, 1.10.2013

Law of Georgia No 1829 of 24 December 2013 – website, 28.12.2013

 

Article 12 - Final provision

This Law shall enter into force as from 1 July 2012.

 

 

President of Georgia                                                                                                                               M. Saakashvili

Tbilisi

5 June 2012

№6391- IS