ОБЩИЕ СВЕДЕНИЯ
Официальное название государства — Грузия. Государство расположено в западной части Закавказья на восточном побережье Чёрного моря (омывается им на западе). Граничит с Россией на севере и северо-востоке, Азербайджаном на юго-востоке, Арменией на юге и Турцией на юго-западе.
Столица — город Тбилиси. Государственные языки — грузинский, абхазский.
Грузия является членом ООН, Совета Европы, ОБСЕ, Евроконтроля, ЕБРР, ОЧЭС, ГУАМ и Всемирной торговой организации.
Следующий обзор посвящён законодательству в области информационной безопасности (далее — ИБ) Грузии. Органы, утверждающие и согласовывающие законы и подзаконные акты в области ИБ в стране: Президент, Правительство. Все рассмотренные в публикации документы имеют общегосударственное значение и применяются для организации и обеспечения информационной и кибербезопасности.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В 2005 году Грузия ратифицировала Конвенцию о защите физических лиц в отношении автоматизированной обработки персональных данных и взяла на себя обязательство по формированию соответствующих правовых основ защиты персональных данных, в 2011 году приняла Закон «О защите персональных данных».
Указанный закон утратил силу в 2023 году в связи с принятием нового Закона «О защите персональных данных» от 14.06.2023 № 3144-XIმს-Xმპ (далее — Закон о защите персональных данных).
Действие Закона распространяется на обработку данных на территории Грузии при помощи автоматических и полуавтоматических средств, обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых для внесения в файловую систему, а также обработку данных лицом, ответственным за обработку, зарегистрированным за пределами границ Грузии, при помощи технических средств, имеющихся в Грузии, за исключением случая, когда технические средства используются только для транзита данных.
Персональными данными является любая информация, связанная с идентифицированным или идентифицируемым физическим лицом. При этом физическое лицо является идентифицируемым тогда, когда возможно его идентифицировать прямо или косвенно, в том числе по имени, фамилии, идентификационному номеру, геолокационным данным, данным, идентифицирующим электронную коммуникацию, физическим, физиологическим, психическим, психологическим, генетическим, экономическим, культурным или социальным характеристикам.
Персональные данные делятся на данные особой категории, данные, касающиеся здоровья, биометрические данные и генетические данные.
Обработка персональных данных предполагает выполнение в отношении них любых действий, в том числе их сбор, получение, доступ к ним, их фотографирование, видеомониторинг или (и) аудиомониторинг, организацию, группировку, взаимосвязь, хранение, изменение, восстановление, истребование, использование, блокировку, удаление или уничтожение, а также разглашение данных путём их передачи, обнародования, распространения либо обеспечения доступа к ним иным образом.
СОБЛЮДЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Установление прав и обязанностей публичного и частного секторов в сфере соблюдения информационной безопасности, а также определение механизмов государственного контроля за осуществлением политики информационной безопасности предусмотрено Законом Грузии «Об информационной безопасности» от 05.06.2012 № 6391-Iს (далее — Закон об информационной безопасности).
Законом об информационной безопасности предусмотрены отдельные понятия и термины.
Информационная безопасность — деятельность, обеспечивающая соблюдение правил доступа, единства, аутентичности, конфиденциальности информации и информационных систем и их работы в течение длительного времени.
Политика информационной безопасности — совокупность норм и принципов, а также практики, предусмотренных Законом об информационной безопасности, другими нормативными актами и международными соглашениями Грузии, служащих обеспечению информационной безопасности и соответствующих международным стандартам, установленным в сфере их соблюдения.
Киберпространство — пространство, особенностью которого является использование электронных устройств и электромагнитного спектра посредством связанных в сети систем и вспомогательной физической инфраструктуры для хранения, замены или обмена данными.
Кибератака — деяние, во время совершения которого электронное устройство или (и) связанная с ним сеть либо система используется вследствие нарушения, создания препятствий или уничтожения систем, имущества или функций, входящих в критическую информационную систему, либо путём незаконного добывания информации.
Компьютерный инцидент — реальное или потенциальное нарушение в сфере политики информационной безопасности в результате использования информационных технологий, влекущее доступ, разглашение информации без разрешения на то, её повреждение или создание помех либо завладение информационным ресурсом.
Информационная система — любая комбинация информационных технологий и действий, осуществлённых с использованием данных технологий, содействующих управлению или (и) принятию решения.
Особенностью Закона об информационной безопасности является то, что он распространяется только на юридические лица и государственные органы, являющиеся субъектами критической информационной системы, а также на организации и ведомства, которые подчиняются субъекту критической информационной системы или связаны с данным субъектом отношениями в сфере занятости, стажировки, договорными или иными отношениями и которые обеспечивают доступ к информационным активам в пределах данных отношений.
Под критической информационной системой понимается информационная система, непрерывное функционирование которой имеет важное значение для обороны или (и) экономической безопасности страны, нормального функционирования органов государственной власти или (и) общества.
Список субъектов критической информационной системы, классификация критичности соответствующего субъекта устанавливается постановлением Правительства Грузии, проект которого представляет Министерство юстиции Грузии по согласованию с Министерством обороны Грузии и Министерством внутренних дел Грузии и Службой государственной безопасности Грузии.
Для составления списка имеют значение следующие критерии:
Действие Закона об информационной безопасности не распространяется на массмедиа, редакции изданий, научные, образовательные, религиозные и общественные организации и политические партии независимо от степени значимости их деятельности для обороны или (и) экономической безопасности страны, сохранения государственной власти или (и) общественной жизни.
Любое юридическое лицо и орган государственной власти, не являющиеся субъектами критической информационной системы, вправе в добровольном порядке взять на себя обязательства, вытекающие из Закона об информационной безопасности.
Субъект критической информационной системы обязан принять правила информационной безопасности для внутри служебного пользования, которые служат исполнению положений Закона об информационной безопасности и определяют политику информационной безопасности организации.
Политика информационной безопасности должна удовлетворять минимальным требованиям информационной безопасности (с учётом классификации критичности субъекта критической информационной системы), определённым Агентством по обмену данными (юридическое лицо публичного права, действующее в сфере управления Министерства юстиции Грузии), в соответствии со стандартами и требованиями, установленными Международной организацией стандартизации (ISO) и Ассоциацией аудита и контроля информационных систем (ISACA).
Рассмотрение правил информационной безопасности для внутри служебного пользования осуществляет Агентство по обмену данными.
Также Агентство по обмену данными с согласия субъекта критической информационной системы проводит аудит информационной безопасности — оценку соответствия правил информационной безопасности для внутри служебного пользования (политики информационной безопасности) минимальным стандартам безопасности, установленным Агентством по обмену данными. Допускается аудит информационной безопасности проводить лицом либо организацией, выбранной субъектом критической информационной системы из авторизованных Агентством по обмену данными лиц.
Конфиденциальная информация — информация, посягательство на конфиденциальность, целостность или доступность которой может повлечь значительный вред в отношении функций субъекта критической информационной системы и целью классификации которой в качестве конфиденциальной информации является обеспечение правил управления информационными активами, за исключением правил, согласно которым определяется доступность публичной информации.
Информация для внутри служебного пользования — информация, предназначенная только для сотрудников субъекта критической информационной системы или (и) для лиц, имеющих с ним договорные отношения, посягательство на конфиденциальность, целостность или доступность которой может повлечь создание существенных препятствий при выполнении субъектом критической информационной системы своих функций либо нанести ущерб безопасности органа государственной власти, государственным интересам или деловой репутации частных лиц и целью классификации которой в качестве информации для внутри служебного пользования является обеспечение правил управления информационными активами, за исключением правил, согласно которым определяется доступность публичной информации.
Понятие публичной информации определяется Общим административным кодексом Грузии от 25.06.1999 № 2181-IIc и представляет официальный документ (в том числе — чертежи, макеты, планы, схемы, фотоснимки, электронная информация, видео- и аудиозаписи), то есть информацию, хранящуюся в публичном учреждении, а также полученную, обработанную, созданную или направленную публичным учреждением или служащим в связи со служебной деятельностью и проактивно опубликованную публичным учреждением.
Публичная информация является открытой, за исключением предусмотренных законом случаев и информации, в установленном порядке отнесённой к государственной, коммерческой или профессиональной тайне или персональным данным. Публичное учреждение обязано обеспечить проактивное опубликование публичной информации, представляющей общественный интерес, на электронных ресурсах в порядке, установленном соответствующим подзаконным нормативным актом.
Субъект критической информационной системы обязан:
1. Определить менеджера информационной безопасности — конкретное лицо или сотрудника, который ответствен за выполнение требований информационной безопасности субъекта критической информационной системы.
К обязанностям менеджера информационной безопасности относятся: ежедневный мониторинг выполнения требований политики информационной безопасности; описание информационных активов и доступа к ним; подготовка внутриведомственной документации в связи с политикой информационной безопасности; сбор информации об инцидентах в сфере информационной безопасности и мониторинг реагирования на них; другие обязанности.
Менеджер информационной безопасности подотчётен перед руководителем субъекта критической информационной системы или соответственно уполномоченным им сотрудником либо группой лиц с полномочиями на осуществление политики информационной безопасности (коллегиальным органом).
2. Определить специалиста по компьютерной безопасности — конкретное лицо или сотрудника, который ответствен за практическое обеспечение безопасности компьютерных систем субъекта критической информационной системы.
К обязанностям специалиста по компьютерной безопасности относятся: ежедневный мониторинг и оценка компьютерных систем; идентификация компьютерных инцидентов и реагирование на них; анализ и отчётность компьютерных инцидентов и мер безопасности; другие обязанности.
Специалист по компьютерной безопасности подотчётен перед руководителем службы информационных технологий субъекта критической информационной системы или соответственно уполномоченным им сотрудником.
ГРУППА ПОМОЩИ
В целях управления инцидентами против информационной безопасности в киберпространстве Грузии создана Группа помощи Агентства по обмену данными по реагированию на компьютерные инциденты — CERT.GOV.GE, которая служит устранению первостепенных угроз кибербезопасности:
В СФЕРЕ ОБОРОНЫ
Законом об информационной безопасности предусмотрен особый порядок для субъектов критической информационной системы в сфере обороны.
Минимальные требования информационной безопасности в сфере обороны (с учётом классификации критичности субъекта критической информационной системы в сфере обороны)определяет Бюро кибербезопасности в соответствии с ISO и ISACA.
Бюро кибербезопасности — юридическое лицо публичного права, действующее в сфере управления Министерства обороны Грузии. Сфера действия Бюро кибербезопасности не распространяется на Агентство по обмену данными.
Перечень субъектов критической информационной системы в сфере обороны, классификация критичности соответствующего субъекта устанавливается соответствующим актом Правительства Грузии, проект которого представляет Министерство юстиции Грузии по согласованию с Министерством обороны Грузии, Министерством внутренних дел Грузии и Службой государственной безопасности Грузии.
Для составления списка имеют значение следующие критерии:
Управление кибератаками на субъекты критической информационной системы в сфере обороны, создающими угрозу жизни и здоровью человека, государственным интересам и обороноспособности страны, а также другими инцидентами, направленными против информационной безопасности, и связанную с этим деятельность осуществляет Группа помощи Бюро кибербезопасности по реагированию на компьютерные инциденты — CERT.MOD.GOV.GE.
В ФИНАНСОВОЙ СФЕРЕ
В соответствии с Законом Грузии «О Национальном банке Грузии» от 24.09.2009 форматы и стандарты по вопросам информационной безопасности устанавливаются в соответствующем порядке Национальным банком Грузии или Агентством финансового надзора Грузии в пределах их компетенции, передаются коммерческим банкам и небанковским депозитным учреждениям в индивидуальном порядке.
Положения о банковской тайне предусмотрены Законом Грузии «О деятельности коммерческих банков» от 23.02.1996 (далее — Закон о коммерческих банках) — никто не вправе допускать кого-либо к конфиденциальной информации, разглашать и распространять такую информацию или использовать её для личной выгоды. Конфиденциальная информация может предоставляться только Национальному банку и Комиссии по рассмотрению споров при Национальном банке в пределах их компетенции.
Информация о любых сделках (в том числе в случае попытки заключения сделки), осуществлённых платёжных операциях, счетах, операциях, осуществлённых со счетов, и остатках, имеющихся на счетах, может предоставляться:
Указанная информация может предоставляться также на основании соответствующего определения суда.
Законом о коммерческих банках также предусмотрено, что коммерческий банк вправе разрабатывать и представлять Национальному банку для согласования политику безопасности использования электронной подписи при оказании им конкретных банковских услуг.
При оказании коммерческим банком конкретной банковской услуги, согласованной с Национальным банком, электронная подпись, использованная при оказании конкретной банковской услуги, на основании политики безопасности использования электронной подписи имеет юридическую силу, равную личной подписи, выполненной на материальном документе. Электронный документ, удостоверенный указанной электронной подписью, может быть использован во всех случаях, когда законодательство Грузии требует представления материального документа.
Политика безопасности использования электронной подписи может не представляться Национальному банку в случае, если коммерческий банк при оказании банковских услуг использует подпись, выполненную посредством электронного удостоверения личности, выпущенного уполномоченным административным органом в соответствии с законодательством Грузии, или подпись, сертификат которой выдан в соответствии с требованиями Закона Грузии «Об электронном документе и надёжном электронном обслуживании» от 23.12.2017 № 639-IIს (далее — Закон об электронном документе).
При этом право коммерческого банка при оказании банковских услуг использовать электронную подпись не ограничивается в силу Закона об электронном документе, устанавливающего, что, если между физическими лицами или (и) юридическими лицами частного права существует соглашение, электронный документ и электронная подпись для этих лиц имеют равную юридическую силу соответственно с материальным документом и личной подписью.
В этом случае Национальный банк правомочен требовать у коммерческого банка согласования с Национальным банком политики безопасности электронной подписи, использованной в соответствии с настоящим пунктом. Если Национальный банк после оценки политики безопасности использования электронной подписи, представленной коммерческим банком, заявит об отказе в согласовании политики безопасности использования электронной подписи, коммерческий банк обязан прекратить использование такой электронной подписи.
Законом об электронном документе установлено исключение, согласно которому при осуществлении деятельности представителями Национального банка Грузии и финансового сектора в соответствии с условиями, отличающимися от Закона об электронном документе, электронный документ и электронная подпись, выполненные в порядке, установленном Национальным банком Грузии, имеют равную юридическую силу соответственно с материальным документом и личной подписью.
Надеемся, что данная статья поможет вам не заблудиться в законодательстве Грузии. Мы постарались облегчить путь изучения и применения на практике законов и подзаконных актов в области ИБ. В следующем номере будет представлено законодательство Молдовы.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
