შიგთავსზე გადასვლა

ინფორმაციის უსაფრთხოების პირობები

პროვაიდერი უზრუნველყოფს მომსახურებებს და შეასრულებს ხელშეკრულებით ნაკისრ ვალდებულებებს:

ა. (I) ინფორმაციის უსაფრთხოების წინამდებარე პირობები

ბ. (ii) უსაფრთხოების კარგი პრაქტიკა

1. განმარტებები

ა. "აქტივი" ნიშნავს აპარატურის და პროგრამული უზრუნველყოფის ნებისმიერ ელემენტს ან ელემენტს, რომელიც გამოიყენება ან შეიძლება გამოყენებულ იქნას კლიენტის მონაცემების შესაქმნელად, წვდომის, დამუშავების, დაცვის, მონიტორინგის, შენახვის, მოძიების, ჩვენების ან გადაცემის მიზნით.

ბ. "კლიენტის მონაცემები" ნიშნავს ნებისმიერ მონაცემს, რომელსაც კლიენტი, ან მისი სახელით მოქმედი პირი აწვდის პროვაიდერს, ან აძლევს პროვაიდერს წვდომის და დამუშავების უფლებას ხელშეკრულებასთან დაკავშირებით.

გ. „დაშიფვრა“ ნიშნავს ინფორმაციის ან მონაცემების კოდად გადაქცევის პროცესს, განსაკუთრებით არაავტორიზებული წვდომის თავიდან ასაცილებლად.

დ. „Patching“ ნიშნავს პროგრამული უზრუნველყოფის და ოპერაციული სისტემის (OS) ნებისმიერ განახლებას, რომელიც აგვარებს უსაფრთხოების ხარვეზებს პროგრამის ან პროდუქტის ფარგლებში.

ე. „შეღწევადობის ტესტირება“ ნიშნავს ავტორიზებულ სიმულირებულ კიბერშეტევას კომპიუტერულ სისტემაზე, რომელიც ხორციელდება სისტემის უსაფრთხოების შესაფასებლად.

ვ. „პროვაიდერის სისტემა“ ნიშნავს ნებისმიერ სისტემას ან აქტივს, რომელიც ეკუთვნის ან იმართება (მთლიანად ან ნაწილობრივ) პროვაიდერის ან მისი რომელიმე შვილობილი კომპანიის მიერ ან მისი სახელით მუშაობისთვის.

გ. "უსაფრთხოების ინციდენტი" ნიშნავს ინციდენტს, მოვლენას და/ან პრობლემას, რამაც გამოიწვია კლიენტის მონაცემების ან/და სერვისის კონფიდენციალურობის, მთლიანობისა და/ან ხელმისაწვდომობის ფაქტი.

თ. "საწარმოო გარემო" ნიშნავს გარემოს, სადაც კლიენტის მონაცემები ინახება და მუშავდება.

მე "სატესტო გარემო" ნიშნავს გარემოს, რომელიც ხელმისაწვდომია ახლახან შემუშავებული პროგრამების ან პროგრამული პროდუქტების ტესტირებისთვის საწარმოო გარემოში გაშვებამდე.

ჯ. „მოწყვლადობა“ ნიშნავს სისტემაში აღმოჩენილი სისუსტის/ნაკლის არსებობას.

კ. "ხელოვნურად გაბერილი ტრაფიკი" ნიშნავს ნებისმიერ ტრაფიკს, რომელიც წარმოიქმნება ავტომატური ან თაღლითური საშუალებებით, მათ შორის, მაგრამ არ შემოიფარგლება ბოტების, დაწკაპუნების ფერმების ან ნებისმიერი სხვა საშუალებით, რომელიც განკუთვნილია ტრაფიკის მოცულობის ხელოვნურად გაზრდისთვის.

2. ინფორმაციული უსაფრთხოების ორგანიზაცია

პროვაიდერი ვალდებულია:

2.1. განსაზღვრეთ, დოკუმენტირება, დანერგვა და შენარჩუნება უსაფრთხოების პოლიტიკას, რომელიც შეესაბამება ინდუსტრიის სტანდარტებს, ხოლო: - მონაცემთა და საინფორმაციო სისტემების კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფა. - შეესაბამება იურიდიულ და მარეგულირებელ მოთხოვნებს, რომლებსაც შეიძლება დაექვემდებაროს კლიენტი და კლიენტის მონაცემები.

2.2. ყოველწლიურად განიხილავს მის პოლიტიკასა და პროცედურებს და/ან ნებისმიერი მნიშვნელოვანი ცვლილების საპასუხოდ.

2.3. უზრუნველყოს უსაფრთხოების პოლიტიკის დოკუმენტირება და დამტკიცება პროვაიდერის მენეჯმენტის მიერ და გამოქვეყნებული და მიწოდებული შესაბამისი დაინტერესებული მხარეებისთვის.

2.4. უზრუნველყონ, რომ ჰყავდეთ უსაფრთხოების პროფესიონალების საჭირო რაოდენობა, რომლებიც პასუხისმგებელნი იქნებიან ინფორმაციის უსაფრთხოების ყველა ფუნქციის, პოლიტიკისა და პროცედურების კოორდინაციასა და მონიტორინგზე.

2.5. უზრუნველყოს მისი უსაფრთხოების კონტროლის ეფექტურობის პერიოდული შიდა და გარე ვალიდაციის პროცესი. პროვაიდერი დროულად მოაგვარებს და მოაგვარებს ნებისმიერ ხარვეზს, რამდენადაც ეს აუცილებელია პროვაიდერის ხელშეკრულებითა და წინამდებარე პირობებით ნაკისრი ვალდებულებების შესასრულებლად.

3. ადამიანური რესურსების და უსაფრთხოების ტრენინგი

პროვაიდერი ვალდებულია:

3.1. განსაზღვროს, დოკუმენტირება, განხორციელება და შენარჩუნება შესაბამისი ფონური შემოწმების პოლიტიკა და პროცედურა. შემოწმებები შეიძლება მოიცავდეს ინდივიდის განათლებას და წინა დასაქმების ისტორიას, კრიმინალურ ჩანაწერს, საცნობარო შემოწმებას და ინდუსტრიის სტანდარტის ნებისმიერ დამატებით მოთხოვნას შესაბამისი და მოქმედი კანონებისა და რეგულაციების შესაბამისად.

3.2. განახორციელოს ფონური შემოწმების შემოწმება ყველა არსებულ და ახალ თანამშრომელზე, კონტრაქტის თანამშრომლების ჩათვლით.

3.3. უზრუნველყოს, რომ ყველა თანამშრომელი დაკავშირებულია შესაბამისი კონფიდენციალურობის ხელშეკრულებით.

3.4. ყველა თანამშრომლისთვის უსაფრთხოებისა და კონფიდენციალურობის შესახებ ინფორმაციის გაცნობის ფორმალური ტრენინგის განსაზღვრა, დოკუმენტირება, განხორციელება და შენარჩუნება. პროვაიდერი უზრუნველყოფს ასეთი ტრენინგების ჩატარებას სენსიტიურ ინფორმაციაზე წვდომის ან გამოყენების ნებართვის მინიჭებამდე და შემდგომ უწყვეტად.

4. აქტივების მართვა

პროვაიდერი ვალდებულია:

4.1. ზუსტი და უახლესი ინვენტარის განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება, რომელიც აღრიცხავს ყველა აპარატურასა და პროგრამულ უზრუნველყოფას, თითოეულის მფლობელის და ადგილმდებარეობის შესახებ.

4.2. დარწმუნდით, რომ მხოლოდ პროგრამული უზრუნველყოფის აპლიკაციები და/ან ოპერაციული სისტემები, რომლებიც ამჟამად მხარდაჭერილია და/ან მიმწოდებლის განახლებების მიმღები, დაემატება PROVIDER-ის ავტორიზებულ პროგრამულ ინვენტარს.

4.3. დარწმუნდით, რომ ყველა პროგრამული უზრუნველყოფა და აპარატურა, რომელიც მხარს უჭერს EOL (სიცოცხლის დასრულებას) ამოღებულ იქნა ხმარებიდან და ინვენტარი დროულად განახლდება.

4.4. განსაზღვროს ინფორმაციისა და ინფორმაციის და დამუშავებასთან დაკავშირებული აქტივების მისაღები გამოყენების წესები.

4.5. უზრუნველყოს, რომ ყველა ინფორმაცია კლასიფიცირებული იყოს სამართლებრივი მოთხოვნების, ღირებულების, კრიტიკულობისა და სენსიტიურობის თვალსაზრისით და დამუშავდეს მისი კლასიფიკაციის ეტიკეტის შესაბამისად.

4.6. უზრუნველყოს კლიენტის მონაცემების სათანადო დამუშავება და განკარგვა PROVIDER სისტემებიდან: - კლიენტის მონაცემების ჩანაწერების განკარგვა უნდა განხორციელდეს უსაფრთხო გზით, რათა უზრუნველყოფილი იყოს მონაცემების შეუქცევადობა. - წაშლის სერთიფიკატი ხელმისაწვდომი უნდა იყოს ნებისმიერი ad hoc კლიენტის მოთხოვნის შემთხვევაში მონაცემთა წაშლის შესახებ.

5. წვდომის კონტროლი

5.1. ზოგადი დებულებები

პროვაიდერი ვალდებულია:

5.1.1. განსაზღვრეთ, დოკუმენტირება, განახორციელეთ და შეინარჩუნეთ წვდომის კონტროლის პოლიტიკა და პროცედურები ბიზნეს საჭიროებებისა და „მინიმალური პრივილეგიის“ პრინციპის საფუძველზე და დარწმუნდით, რომ მხოლოდ ავტორიზებულ თანამშრომლებს აქვთ წვდომა PROVIDER-ის სისტემებზე.

5.1.2. უზრუნველყოს, რომ გამოყენებულია მხოლოდ უნიკალური ID-ები და უნდა დააფიქსიროს ნებისმიერი გამონაკლისი და საერთო ანგარიშების გამოყენება.

5.1.3. დარწმუნდით, რომ ნებისმიერი წვდომა PROVIDER სისტემებზე, რომლებიც ინახავს ან ამუშავებს კლიენტის მონაცემებს, ექვემდებარება მრავალფაქტორიან ავთენტიფიკაციას (MFA).

5.1.4. პერიოდულად, სულ მცირე ყოველწლიურად, გადახედეთ მომხმარებლის მინიჭებული პრივილეგიების შესაბამისობას.

5.1.5. უზრუნველყოს, რომ მომხმარებლის მენეჯმენტის აქტივობები (მომხმარებლის პრივილეგიების დამატება, შეცვლა ან მოხსნა) შესრულდეს მოქმედი ოფიციალური მოთხოვნის საფუძველზე და დროულად.

5.2. დისტანციური წვდომის უსაფრთხოება

პროვაიდერი ვალდებულია:

5.2.1. უზრუნველყოს უსაფრთხოების კონტროლის შესაბამისი ნაკრების დაყენება PROVIDER სისტემებზე არაავტორიზებული დისტანციური წვდომის თავიდან ასაცილებლად. ასეთი კონტროლი უნდა შეიცავდეს მინიმუმ: - ნებისმიერი დისტანციური წვდომა PROVIDER სისტემებსა და/ან ქსელში უნდა იყოს მხოლოდ VPN და მრავალფაქტორიანი ავთენტიფიკაციის (MFA) მეშვეობით. - ყველა მონაცემი, რომელიც მიედინება დისტანციური წვდომის მექანიზმზე, უნდა იყოს დაშიფრული ბოლო წერტილიდან (მაგ. ლეპტოპი) ქსელამდე. - პროვაიდერის სისტემებთან დაკავშირების ყველა მცდელობა არაავტორიზებული დისტანციური წვდომის მექანიზმის გამოყენებით უარყოფილი და შესული იქნება. - საეჭვო აქტივობა უნდა განხორციელდეს უსაფრთხოების შესაბამისი პროტოკოლების შესაბამისად.

5.3. პაროლის მართვა

პროვაიდერი ვალდებულია:

5.3.1. პაროლის პოლიტიკის განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება ინდუსტრიის საუკეთესო პრაქტიკისა და შიდა ბიზნეს საჭიროებების შესაბამისად.

5.3.2. დარწმუნდით, რომ პაროლები არის საკმარისი სიგრძის, სირთულის, არ შეიცავს ადვილად გამოსაცნობ სიტყვებს და იცვლება რეგულარული ინტერვალებით.

5.3.3. დარწმუნდით, რომ მომხმარებლის ანგარიშები დაბლოკილია არასწორი პაროლის შეყვანის გარკვეული რაოდენობის წარუმატებელი მცდელობის შემდეგ და რომ ანგარიში დაბლოკილია გარკვეული დროის განმავლობაში.

5.3.4. დარწმუნდით, რომ პაროლები ინახება უსაფრთხოდ, რაც მათ გაუგებარს ხდის, სანამ ისინი ძალაშია.

6. კრიპტოგრაფია

პროვაიდერი ვალდებულია:

6.1. განსაზღვროს, დაადასტუროს, განახორციელოს და შეინარჩუნოს შესაბამისი პოლიტიკა და პროცედურები, რომლებიც არეგულირებს შესაბამისი კრიპტოგრაფიული კონტროლის გამოყენებას და გასაღების მართვის პროცესებს, რომლებიც ადგენს კრიპტოგრაფიული გასაღებების და გასაღებების მასალის გამოყენების, დაცვისა და სიცოცხლის ხანგრძლივობის წესებს.

6.2. დარწმუნდით, რომ კლიენტის მონაცემები დაცულია ტრანსპორტის დროს ან დასვენების დროს, უსაფრთხო პროტოკოლების გამოყენებით (მაგ., TLS 1.2, AES-256 ან ინდუსტრიის სხვა რეკომენდებული სტანდარტები).

6.3. მართეთ ყველა დაშიფვრის გასაღები გასაღების მართვის სისტემაში, რომელსაც ფლობს და მართავს PROVIDER.

6.4. უზრუნველყოს მოვალეობების სათანადო გამიჯვნა დაშიფვრის გასაღების მართვის პროცესში.

7. ფიზიკური და გარემოსდაცვითი უსაფრთხოება

პროვაიდერი ვალდებულია:

7.1. ფიზიკური უსაფრთხოების პოლიტიკისა და პროცედურების განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება, რათა თავიდან აიცილოს არასანქცირებული ფიზიკური წვდომა, დაზიანება და ჩარევა ორგანიზაციის ინფორმაციისა და ინფორმაციის დამუშავების ობიექტებში, რომლებიც ინახავს კლიენტის მონაცემებს.

7.2. განახორციელოს ფიზიკური და გარემოსდაცვითი უსაფრთხოების პროცესები და კონტროლი განსაზღვრული პოლიტიკისა და პროცედურების შესაბამისად. პროვაიდერს შეუძლია ფიზიკური უსაფრთხოების კონტროლის ნაწილი ან ყველა მესამე მხარეს გადასცეს და უნდა უზრუნველყოს იგივე დონის კონტროლი და რეგულარულად შეაფასოს მე-3 მხარის შესაბამისობა.

7.3. დარწმუნდით, რომ დაცული ტერიტორიები დაცულია შესვლის შესაბამისი კონტროლით და მხოლოდ უფლებამოსილ პერსონალს აქვს წვდომა.

7.4. უზრუნველყოს, რომ ყველა ვიზიტორი იყოს ავტორიზებული, ჰქონდეს სათანადო იდენტიფიკაცია და მხოლოდ საჭირო ტერიტორიებზე წვდომა.

7.5. დარწმუნდით, რომ საკეტი კარადები გამოიყენება კონფიდენციალური ინფორმაციის დასაცავად.

7.6. დარწმუნდით, რომ მოწყობილობა, რომელიც შეიცავს შენახვის მედიას, უსაფრთხოდ არის გადაწერილი განკარგვამდე ან ხელახლა გამოყენებამდე.

7.7. უზრუნველყოს მკაფიო სამაგიდო პოლიტიკა და მკაფიო ეკრანის პოლიტიკა გამოიყენება ინფორმაციის დამუშავების საშუალებებისთვის.

8. ოპერაციების უსაფრთხოება

პროვაიდერი ვალდებულია:

8.1. უსაფრთხოების ოპერაციული პროცედურების განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება სარეზერვო ასლის, ბოლო წერტილის დაცვის, დაუცველობის მართვის, ანტივირუსისა და ანტიმავნე პროგრამების, პატჩინგის, სისტემის გამკვრივებისა და ლოგინგისთვის.

8.2. რეგულარულად განახორციელოს დაუცველობის შეფასება და შეღწევადობის ტესტები ინდუსტრიის საუკეთესო პრაქტიკისა და შიდა ბიზნეს საჭიროებების შესაბამისად. პროვაიდერი ასევე განახორციელებს რისკის შეფასებას, რასაც მოჰყვება გამოვლენილი საკითხების გამოსწორება.

8.3. უზრუნველყოს მოწყვლადობის დამუშავება განსაზღვრული პრიორიტეტების შესაბამისად და მოგვარების საჭირო ვადებში.

8.4. გამოიყენოს პატჩები და განახლებები ინფრასტრუქტურის ყველა დონეზე განსაზღვრული პრიორიტეტების შესაბამისად.

8.5. დარწმუნდით, რომ ბოლო წერტილები, სერვერები, შესანახი მოწყობილობები, ფოსტის/ვებ კარიბჭეები და ფოსტის ტრაფიკი დაცულია მავნე პროგრამების საწინააღმდეგო აქტიური ხელსაწყოებით, სადაც ტექნიკურად შესაძლებელია აღმოაჩინოს და შეძლებისდაგვარად თავიდან აიცილოს მავნე პროგრამების ინფექციები.

8.6. შექმენით ინფორმაციის, პროგრამული უზრუნველყოფის და სისტემის სურათების სარეზერვო ასლები და რეგულარულად უნდა შეამოწმოთ ისინი ინდუსტრიის საუკეთესო პრაქტიკისა და შიდა ბიზნეს საჭიროებების შესაბამისად.

8.7. უზრუნველყოს ხე-ტყის შეგროვება, საკმარისი დეტალებით და შენარჩუნებული შენარჩუნების განსაზღვრული პერიოდების შესაბამისად, იმავდროულად დაცულია ხელყოფისა და არაავტორიზებული წვდომისგან.

8.8. მომხმარებლის მიერ პროგრამული უზრუნველყოფის ინსტალაციის წესების განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება.

8.9. განსაზღვრეთ, დოკუმენტირება, დანერგვა და შენარჩუნება საბოლოო წერტილების უსაფრთხო კონფიგურაციის სტანდარტების ჩათვლით, მათ შორის, მაგრამ არ შემოიფარგლება მხოლოდ ლეპტოპების, სერვერების, ვირტუალური მანქანების, მონაცემთა ბაზების და ქსელური მოწყობილობების კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დაკარგვისგან კლიენტის მონაცემების დასვენებისა და ტრანზიტის დროს.

9. ქსელური და საკომუნიკაციო უსაფრთხოება

პროვაიდერი ვალდებულია:

9.1. ყველა ქსელის სერვისის უსაფრთხოების მექანიზმებისა და მართვის მოთხოვნების განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება.

9.2. დაშიფვრის და უსაფრთხოების კონფიგურაციის ძლიერი სტანდარტების განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება, რათა უზრუნველყოს კომუნიკაცია საჯარო და არასაჯარო ქსელებში.

9.3. უზრუნველყოს, რომ ყველა შესაბამისი ინფორმაციის დამუშავების სისტემების საათები სინქრონიზებულია დროის ერთ წყაროსთან.

9.4. თვალყური ადევნეთ ვებ ტრაფიკს და ქსელის პერიმეტრს, რათა აღმოაჩინოს კიბერშეტევები და დაბლოკოს მავნე სერვისები, ვებგვერდები და ტრაფიკი.

9.5. უზრუნველყოს, რომ firewall-ის წესების ცვლილებები კონტროლდება ფორმალური მოთხოვნის/დამტკიცების პროცესის მეშვეობით და რეგულარულად განიხილება.

9.6. შეზღუდოს და აკონტროლოს ორგანიზაციებთან წვდომა ინდუსტრიის საუკეთესო პრაქტიკისა და შიდა ბიზნეს საჭიროებების შესაბამისად.

9.7. უზრუნველყოს ზონირების მოდელის გამოყენება და ქსელის სათანადო სეგმენტირება, ხოლო თითოეულ სეგმენტში დაშვებულია მხოლოდ დაშვებული წვდომა და ტრაფიკი.

10. პროგრამული უზრუნველყოფის განვითარების სასიცოცხლო ციკლი (SDLC)

პროვაიდერი ვალდებულია:

10.1. ჩამოაყალიბეთ განვითარების უსაფრთხო სასიცოცხლო ციკლი, რათა უზრუნველყოთ სერვისების უსაფრთხოდ შემუშავება და შენარჩუნება.

10.2. აკონტროლეთ ცვლილებები სისტემებში განვითარების სასიცოცხლო ციკლის ფარგლებში ცვლილებების კონტროლის ოფიციალური პროცედურებით.

10.3. უზრუნველყოს განვითარების, ტესტირებისა და წარმოების გარემოს სეგრეგირება, რათა შემცირდეს არასანქცირებული წვდომის ან საწარმოო გარემოში ცვლილებების რისკი.

10.4. უზრუნველყოს, რომ ინფორმაციის უსაფრთხოებასთან დაკავშირებული მოთხოვნები შედის ახალი სერვისების მოთხოვნებში ან არსებული სერვისების გაუმჯობესების მოთხოვნებში.

10.5. დარწმუნდით, რომ ტესტის მონაცემები შექმნილია ფრთხილად და კონტროლირებადი გზით და რომ წარმოების მონაცემები არ გამოიყენება ტესტირების მიზნებისთვის.

11. მიმწოდებელებთან ურთიერთობა

პროვაიდერი ვალდებულია:

11.1. მომწოდებლებთან ურთიერთობის მართვის პოლიტიკისა და პროცედურების განსაზღვრა, დოკუმენტირება, დანერგვა და შენარჩუნება, რომელიც განსაზღვრავს მიმწოდებლის ურთიერთობების მართვის ძირითად პრინციპებსა და წესებს, რომლებიც შეესაბამება ბიზნესს, უსაფრთხოების მოთხოვნებს, ასევე მოქმედ რეგულაციას, საუკეთესო პრაქტიკას და საერთაშორისო სტანდარტებს.

11.2. თითოეული მიმწოდებლისთვის, რომელსაც შეუძლია კლიენტის მონაცემების წვდომა, დამუშავება ან შენახვა, პროვაიდერი შეაფასებს და დაადასტურებს მიმწოდებლის გადაწყვეტის შესაბამისობას. კრიტიკული მომწოდებლებისთვის, მათ შორის ქვეპროცესორებისთვის, ხელახალი შეფასება უნდა განხორციელდეს ყოველწლიურად.

11.3. უზრუნველყოს, რომ ინფორმაციული უსაფრთხოების ყველა შესაბამისი მოთხოვნა უნდა იყოს დადგენილი და შეთანხმებული თითოეულ მომწოდებელთან, რომელსაც შეუძლია კლიენტის მონაცემების წვდომა, დამუშავება ან შენახვა.

11.4. უზრუნველყოს, რომ მოქმედი შეთანხმება, რომელიც განსაზღვრავს საქმიანი ურთიერთობის სამუშაოს ფარგლებს, კონფიდენციალურობას, უსაფრთხოებას და ტექნიკურ მოთხოვნას (ასეთის არსებობის შემთხვევაში) არსებობს თითოეულ მომწოდებელთან, რომელსაც შეუძლია კლიენტის მონაცემების წვდომა, დამუშავება ან შენახვა.

12. ინფორმაციული უსაფრთხოების ინციდენტების მართვა

პროვაიდერი ვალდებულია:

12.1. ინფორმაციული უსაფრთხოების ინციდენტების მოხსენების, რეაგირებისა და მართვის ფორმალური პროცესის განსაზღვრა, დოკუმენტირება, განხორციელება და შენარჩუნება. ეს უნდა შეიცავდეს მინიმუმ: - პროვაიდერის ორგანიზაციის შესაბამისი მენეჯმენტისთვის მსგავსი ინციდენტების/დარღვევების შესახებ შეტყობინების პროცედურა. - ინფორმაციული უსაფრთხოების ინციდენტების იდენტიფიცირების, შეფასების და დამუშავების პროცესი. - მკაფიოდ დანიშნული გუნდი ინციდენტზე რეაგირების მართვისა და კოორდინაციისთვის. - ინციდენტზე რეაგირების მართვის დოკუმენტირებული და გამოცდილი პროცესი, მათ შორის, შესაბამისი საკითხებისა და ქმედებების ჩანაწერების შენახვის მოთხოვნილება, რათა მოიცავდეს ინციდენტის დროს მომხდარი დრო, ინციდენტის მომხსენებელი პირი, რომელსაც ეცნობა და მისი შედეგები. - დადასტურებულია კლიენტის დროულად შეტყობინების მოთხოვნა და არა უგვიანეს 72 საათისა ინფორმაციული უსაფრთხოების ინციდენტიდან და კლიენტისთვის მიწოდებულ სერვისებზე უარყოფითი ზემოქმედებიდან. შეტყობინებების ხანმოკლე პერიოდი მოქმედებს, თუ ასეთი მოთხოვნა ეფუძნება მოქმედ კანონმდებლობას ან/და რეგულაციას. - პროვაიდერის ინციდენტების მართვის გუნდი, საჭიროების შემთხვევაში, იმუშავებს კლიენტის უსაფრთხოების წარმომადგენლებთან ერთად, სანამ ინფორმაციული უსაფრთხოების ინციდენტი დამაკმაყოფილებლად არ გადაწყდება. - პროვაიდერი უნდა შეესაბამებოდეს ყველა ეროვნულ რეგულაციას და კანონმდებლობას, რომელიც ეხება ინფორმაციული უსაფრთხოების ინციდენტის შესახებ შეტყობინებას სამართალდამცავი, მარეგულირებელი ან ნებისმიერი სხვა ეროვნული ხელისუფლების მიმართ.

13. ბიზნესის უწყვეტობის მენეჯმენტი

პროვაიდერი ვალდებულია:

13.1. ბიზნესის უწყვეტობის პროგრამის განსაზღვრა, დოკუმენტირება, განხორციელება და შენარჩუნება.

13.2. SMSBAT-ის მნიშვნელოვანი პროდუქტებისა და სერვისების იდენტიფიცირება და პრიორიტეტიზაცია ბიზნესის გავლენის ანალიზის (BIA) პროცესის გამოყენებით.

13.3. გამოიყენეთ რისკის შეფასების ინფორმაცია და მეთოდები შეფერხების საფრთხის შესაფასებლად.

13.4. ბიზნესზე ზემოქმედების ანალიზისა და რისკების შეფასების შედეგებზე დაყრდნობით, შეიმუშავეთ რეაგირებისა და აღდგენის სტრატეგიები კრიტიკულ სერვისებზე ზემოქმედების შესამცირებლად დამრღვევი ინციდენტის დროს.

13.5. შეიმუშავეთ ბიზნესის უწყვეტობისა და აღდგენის გეგმები, რომლებიც შესაფერისია მიზნისთვის, რეგულარულად განხილული, ხელმისაწვდომი და მარტივი შესასრულებლად და გასაგებად.

13.6. კრიზისის მართვისა და კომუნიკაციის გეგმების შემუშავება კრიზისის ეფექტური მართვისთვის, კომუნიკაციის პრიორიტეტებისა და ინციდენტების გაფრთხილების გზები.

13.7. ჩაატაროს ტრენინგი და ვარჯიში, რომელიც შემუშავებულია საჭირო კომპეტენციების შესაბამისად და მიეწოდება თანამშრომლებს, რომლებსაც აქვთ უშუალო პასუხისმგებლობა ბიზნესის უწყვეტობაზე.

13.8. მუდმივად გააუმჯობესეთ SMSBAT-ის ბიზნესის უწყვეტობის პროგრამა რეგულარული შეფასებით და სამართლებრივი და მარეგულირებელი მოთხოვნების ნებისმიერი ცვლილების გათვალისწინებით.

14. შესაბამისობა

პროვაიდერი ვალდებულია:

14.1. ყოველწლიურად გაიაროს რეგულარული აუდიტი ინდუსტრიის სტანდარტების შესაბამისად. კლიენტის წერილობითი მოთხოვნის საფუძველზე, პროვაიდერი კლიენტს უნდა მიაწოდოს მისი მაშინდელი ანგარიშების სრული ან შემაჯამებელი ასლი. პროვაიდერი ასევე უზრუნველყოფს არაუგვიანეს ათი (10) სამუშაო დღისა წერილობით პასუხს კლიენტის მიერ შესრულებულ ყველა გონივრულ მოთხოვნაზე (კითხვები, ფორმები და ა.შ.), რათა შეამოწმოს, რომ პროვაიდერი აკმაყოფილებს წინამდებარე პირობების მოთხოვნებს.

14.2. მოქმედი რეგულაციებით მოთხოვნილ ზომით, წელიწადში ერთხელ, მინიმუმ 30 კალენდარული დღით ადრე შეტყობინებით, პროვაიდერი უფლებას აძლევს კლიენტს, მის შესაბამის აუდიტორებს ან სხვა აგენტებს (თითოეული „აუდიტორული მხარე“) შევიდნენ მიმწოდებლის შენობაში, ჩანაწერებსა და დოკუმენტებში, როგორც ამას აუდიტის მხარე გონივრულად მოითხოვს, რათა შეამოწმონ, რომ PROVIDER შეესაბამება ამ პირობების მოთხოვნებს. ამ პუნქტის შესაბამისად ნებისმიერი განხილვა არ საჭიროებს მესამე მხარის მონაცემების განხილვას და აუდიტორულ მხარეს შეიძლება მოეთხოვოს პროვაიდერთან კონფიდენციალურობის ხელშეკრულების დადება, რაც შეიძლება გონივრულად იყოს საჭირო იმ ინფორმაციის კონფიდენციალურობის პატივისცემისთვის, რომლის შესახებაც აუდიტორმა მხარემ შეიძლება გაიგოს განხილვის პროცესში. თითოეულმა მხარემ უნდა დაფაროს საკუთარი ხარჯები ასეთ აუდიტთან დაკავშირებით. იმ შემთხვევაში, თუ აუდიტი გამოავლენს მიმწოდებლის წინამდებარე პირობებით გათვალისწინებული ვალდებულებების შეუსრულებლობას, მიმწოდებელი უნდა გამოასწოროს ეს შეუსაბამობა ორმხრივად შეთანხმებულ ვადაში და აიღებს ამგვარი ქმედებების ხარჯებს.

14.3. პროვაიდერი იტოვებს უფლებას დააწესოს შეზღუდვები და შეზღუდვები შიდა კონფიდენციალური ინფორმაციის ჩვენებაზე და 14.1 და 14.2 პუნქტებში მოთხოვნილი ნებისმიერი მტკიცებულების ასლების აღებაზე.

15. კლიენტის უსაფრთხოების მოთხოვნები

15.1. უსაფრთხოების ზოგადი ზომები

პროვაიდერი ვალდებულია:

15.1.1. PROVIDER-მა განსაზღვრა, დოკუმენტაცია მოახდინა, დანერგა და ინახავს უსაფრთხოების რეკომენდაციებს კლიენტებისთვის, რომლებიც იყენებენ ღრუბლოვან საკომუნიკაციო სერვისებს. კლიენტი განიხილავს აღნიშნულ რეკომენდაციებს და განახორციელებს მათ თავისი ბიზნეს საჭიროებების, ტექნიკური შესაძლებლობებისა და რისკის მადის შესაბამისად.

15.1.2. კლიენტი სრულად იქნება პასუხისმგებელი უსაფრთხოების ზომების სათანადოდ დაყენებაზე მათი მხრიდან და არ დააკისრებს რაიმე პასუხისმგებლობას პროვაიდერს უსაფრთხოების ინციდენტის შემთხვევაში, რომელიც გამოწვეულია უსაფრთხოებისა და ტექნიკური ზომების არასათანადო დაყენებით ან ზომების განხორციელების დაუდევრობით, როგორც ეს არის რეკომენდებული პროვაიდერის მიერ.

15.2. AIT უსაფრთხოების შემარბილებელი ზომები

პროვაიდერი ვალდებულია:

15.2.1. PROVIDER-მა განსაზღვრა, დააფიქსირა და ინარჩუნებს უსაფრთხოების სახელმძღვანელო მითითებებს თაღლითობის შემთხვევების პრევენციისთვის.

15.2.2. პოტენციური რისკი შეიძლება წარმოიშვას CLIENT-ის ვებსაიტზე ან PROVIDER Systems-თან ინტეგრირებულ მობილურ აპლიკაციაზე, თუ რეგისტრაცია ან სხვა ფორმა, რომელიც ახორციელებს SMS MT-ს OTP-ებით არ არის დაცული ანტი-ბოტის მექანიზმით, როგორიცაა CAPTCHA. ასეთ აპლიკაციებში დაუცველობამ შეიძლება გამოიწვიოს ხელოვნურად გაბერილი ტრაფიკის (AIT) შეტევები. ანტი-ბოტის მექანიზმი, როგორიცაა CAPTCHA, აუცილებელია მომხმარებლის რეგისტრაციის ნაკადის დასაცავად ავტომატური ყალბი რეგისტრაციებისგან, რომლებიც ასრულებენ SMS MT-ს OTP-ებით.

15.2.3. როდესაც ხდება AIT შეტევები, ტრაფიკი იგზავნება პროვაიდერის ინფრასტრუქტურაში წყაროს IP მისამართით, რომელსაც კლიენტი იყენებს წარდგენის დროს. ტრაფიკის SMS MT შინაარსი არ განსხვავდება კლიენტის ნამდვილი ტრაფიკისგან. კლიენტისგან რაიმე გამოხმაურების არარსებობის შემთხვევაში, პროვაიდერს არ შეუძლია განასხვავოს AIT კლიენტის აპლიკაციასა და ნამდვილ ტრაფიკს შორის იმავე აპლიკაციიდან. შედეგად, პროვაიდერი ვერ იქნება პასუხისმგებელი კლიენტის ვებ ან მობილური აპლიკაცი(ებ)ის უსაფრთხოებაზე. კლიენტი ასევე აღიარებს, რომ კლიენტის ინფრასტრუქტურიდან მიღებული მთელი ტრაფიკი გადაეცემა ქსელის ოპერატორებს და გადაიხდის კლიენტს ხელშეკრულების პირობების შესაბამისად.

15.2.4. ზემოქმედების ქვეშ მყოფი ქსელების დაბლოკვა ხელს არ შეუშლის მსგავსი პრობლემის განმეორებას ჩართულ ქსელებში, რადგან პრობლემის ძირითადი მიზეზი კლიენტის ინფრასტრუქტურაშია. აქედან გამომდინარე, აუცილებელია კლიენტმა მიმართოს ყველა ფორმას თავის ვებსაიტზე ან მობილურ აპლიკაციაში, რომელიც ახორციელებს SMS MT OTP კოდებს.

15.3. საკრედიტო ლიმიტის გაზრდის მოთხოვნა

პროვაიდერი ვალდებულია:

15.3.1. ლიმიტი შეიძლება სწრაფად ამოიწუროს, თუ CLIENT ვებსაიტზე არსებული დაუცველობა არ მოგვარდება. ამიტომ, პროვაიდერი ითხოვს კლიენტის დადასტურებას რისკების შესახებ ინფორმირებულობისა და საკრედიტო ლიმიტის გაზრდის პოტენციური შედეგების გაგების შესახებ.

15.3.2. საკრედიტო ლიმიტის გაზრდის მოთხოვნით, კლიენტი აღიარებს პასუხისმგებლობას AIT-ის შეტევების გამო ნებისმიერ პოტენციურ დანაკარგზე და იღებს ვალდებულებას გადაიხადოს ნებისმიერი ხარჯი, რომელიც შეიძლება წარმოიშვას შედეგად.