საერთო ცხელი ხაზი +995 577 07 05 63
დღეს პარლამენტი მეორე მოსმენით განიხილავს დეპუტატ ირაკლი სესიაშვილის მიერ ინიცირებულ კანონპროექტს ინფორმაციული უსაფრთხოების შესახებ. კანონპროექტის ინიცირებისთანავე სამოქალაქო საზოგადოებამ გაავრცელა განცხადება, სადაც საუბარი იყო ცვლილებების შემოთავაზებულ ვერსიაში არსებული პრობლემური საკითხების შესახებ. კერძოდ, სფეროს ექსპერტებისა და არასამთავრობო სექტორის წარმომადგენლების მოსაზრებით: ა) კანონპროექტით იქმნება სისტემა, რომელიც ვერ უზრუნველყოფს სახელმწიფო დონეზე ინფორმაციული უსაფრთხოების ეფექტურობას; ბ) ის შეიცავს ინფორმაციულ სისტემებზე და თუ მათში დაცულ პერსონალურ თუ კომერციული სახის ინფორმაციაზე ტოტალური კონტროლის რისკს; გ) კანონპროექტი ეწინააღმდეგება საქართველოს კონსტიტუციის ნორმებსა და საერთაშორისო ვალდებულებებს.”
ცვლილების შემოთავაზებული ვერსიის შესაბამისად, ინფორმაციული უსაფრთხოების მიმართულების მენეჯმენტის ფუნქცია მონაცემთა გადაცვლის სააგენტოსგან (DEA) გადაეცემა სახელმწიფო უსაფრთხოების სამსახურის სსიპ ოპერაციულ-ტექნიკურ სააგენტოს (OTA). რაც, სახელმწიფო უსაფრთხოების სამსახურის გაუმჭვირვალე და ძალოვანი ბუნებიდან გამომდინარე ზრდის ამ სამსახურის უკონტროლო ძალაუფლებას, ხოლო ცვლილებების პაკეტში წარმოდგენილი ბუნდოვანი განმარტებები ბადებს სუს-ის მიერ ნორმების ფართო ინტერპრეტაციის საშიშროებას.
სამწუხარო ფაქტია, რომ პირველი მოსმენის დროს ჩატარებული საკომიტეტო განხილვების ფარგლებში არასამთავრობო სექტორის მხრიდან გამოთქმული მოსაზრებები კანონპროექტში ფაქტობრივად არ ასახულა: მეორე მოსმენისათვის კანონში შესატანი ცვლილებების პროექტში ასახული შენიშვნები შეეხო მხოლოდ რამდენიმე დეფინიციის დავიწროებას, არსობრივი და პრინციპული შინაარსობრივი საკითხები კი კვლავ გამოწვევად რჩება.
კერძოდ, შემოთავაზებული რედაქციით კანონის მიღება, სახელმწიფო უსაფრთხოების სამსახურს, მისცემს სამართლებრივ ბერკეტს, ჰქონდეს მაქსიმალური წვდომა აღმასრულებელი, საკანონმდებლო, სასამართლო ხელისუფლებისა და კერძო სექტორის ზოგიერთი სუბიექტის ინფორმაციულ აქტივებზე ყოველგვარი საზოგადოებრივი კონტროლის გარეშე.
კვლავ პრობლემურ საკითხად დარჩა კანონპროექტის შესაბამისად კრიტიკული ინფორმაციული სუბიექტების კატეგორიზაცია. კერძოდ, კანონპროექტით გათვალისწინებული ცვლილებით, კრიტიკული ინფორმაციული სუბიექტები იყოფიან 3 კატეგორიად:
ა) პირველი კატეგორიის სუბიექტებში მოხვდებიან სახელმწიფო ორგანოები, დაწესებულებები, საჯარო სამართლის იურიდიული პირები და სახელმწიფო საწარმოები;
ბ) მეორე კატეგორიის სუბიექტებში მოხვდებიან ელექტრონული კომუნიკაციების კომპანიები;
გ) მესამე კატეგორიის სუბიექტებში მოიაზრებიან ისეთი კერძო სამართლის იურიდიული პირები, როგორებიც არიან მაგალითად ბანკები და ფინანსური ინსტიტუტები.
შემოთავაზებული მოწესრიგებით ოპერატიულ-ტექნიკურ სააგენტოს ფაქტობრივად ეძლევა შესაძლებლობა, ჰქონდეს სრული წვდომა პირველ კატეგორიას მიკუთვნებული დაწესებულებების ინფორმაციულ აქტივებზე, ინფორმაციულ სისტემებსა და ინფრასტრუქტურაზე, რამდენადაც, კომპიუტერული ინციდენტების იდენტიფიცირებისთვის თავად ენიჭება ამ დაწესებულებებში განთავსებულ სენსორისა და ქსელის კონტროლის ბერკეტი.
პრობლემურად დარჩა მეორე და მესამე კატეგორიის სუბიექტების განსაზღვრება, რომლებიც კერძო სუბიექტებს წარმოადგენენ. განსაკუთრებით მეორე კატეგორიის სუბიექტები, რომლებიც კანონპროექტის 1-ლი მუხლის „ზ2“ ქვეპუნქტის თანახმად წარმოადგენენ „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონით განსაზღვრულ ელექტრონული კომუნიკაციის კომპანიებს.
დადებითად უნდა შეფასდეს, რომ პირველი მოსმენის შემდგომ კანონპროექტში გარკვეულწილად აისახა IDFI-ის და სხვა ორგანიზაციების რეკომენდაციები მეორე და მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტებში აუდიტის ჩატარების წესთან დაკავშირებით. კერძოდ, ამჟამად შემოთავაზებული რედაქციის მიხედვით, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების პირველადი და პერიოდული აუდიტის ჩატარების უფლებამოსილება კვლავ რჩება მხოლოდ მონაცემთა გაცვლის სააგენტოს ან მონაცემთა გაცვლის სააგენტოს მიერ ავტორიზებული ორგანიზაციას. ცვლილება ასევე შეეხო მეორე და მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის დასკვნების ოპერატიულ-ტექნიკური სააგენტოსათვის სავალდებულოდ გაგზავნის წესს: მეორე მოსმენაზე განხილული კანონპროექტის მე-6 მუხლის მე-6 პუნქტით შემოთავაზებულია ჩატარებული აუდიტის ან პენეტრაციის ტესტის დასკვნის ერთი ეგზემპლარის გაგზავნა კატეგორიზაციის შესაბამისად, ოპერატიულ-ტექნიკურ სააგენტოსათვის ან მონაცემთა გაცვლის სააგენტოსთვის.
კვლავ ხაზგასმით აღვნიშნავთ, რომ აუცილებელია კიბერუსაფრთხოების მიმართულებით საგარეო და საშინაო რისკების განსაზღვრა და მათი დაცვის შესაბამისი ღონისძიებების გატარება სახელმწიფოს მხრიდან. თუმცა, აუცილებლად გასათვალისწინებელია საქართველოს რეალობა, სახელმწიფო მმართველობის სისტემების ბუნება და ანგარიშვალდებულების მექანიზმები. უსაფრთხოების სექტორის უფლებამოსილებების დაგეგმილი ზრდა, პოტენციური და მკაცრი რეგლამენტირების გარეშე, მოიცავს პირთა განუსაზღვრელი წრის ძირითადი უფლებით დაცულ სფეროში ჩარევის მომეტებულ რისკებს.
კანონპროექტი, თავისი არსით და შემოტანილი რეგულაციებით, ეწინააღმდეგება ევროკავშირის რეგულაციებს, ასოცირების ხელშეკრულებით ნაკისრ ვალდებულებებსა და GDPR-ის მოთხოვნებს პერსონალური მონაცემების დამუშავებასთან დაკავშირებით გათვალისწინებული პროცედურების ჭრილში. კანონპროექტის შემუშავების პროცესში არ ყოფილა გათვალისწინებული ხსენებულ რეგულაციებთან შესაბამისობის უზრუნველყოფა და ამ მიზნით დღემდე არანაირი ღონისძიება არ გატარებულა.
შესაბამისად „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონი საჭიროებს გადახედვას და ცვლილებებს, განსაკუთრებით აღსრულების მექანიზმების დახვეწის მიმართულებით. აღნიშნულიდან გამომდინარე კვლავ მოვუწოდებთ საქართველოს პარლამენტს:
- ინფორმაციის თავისუფლების განვითარების ინსტიტუტი (IDFI)
- ადამიანის უფლებების სწავლებისა და მონიტორინგის ცენტრი (EMC)
- მედიის განვითარების ფონდი (MDF)
ინსტრუქცია