საქართველოს ეროვნულმა ბანკმა კომერციული ბანკებისათვის კიბერუსაფრთხოების მართვის ჩარჩო დოკუმენტი შეიმუშავა. დოკუმენტი ძალაში 1 აპრილიდან შევა და მისი გათვალისწინება ყველა კომერციული ბანკისთვის სავალდებულო იქნება. ბრძანების მიხედვით, საქართველოში მოქმედ ყველა კომერციულ ბანკს უნდა გააჩნდეს კიბერუსაფრთხოების მართვის ჩარჩო, რომელიც იქნება კომერციული ბანკის ზომისა და სირთულის შესაფერისი და შესაბამისობაში იქნება კომერციული ბანკის მიერ გაწეულ საქმიანობასთან.
კიბერუსაფრთხოების მართვის ჩარჩო უნდა მოიცავდეს შემდეგ მიმართულებებს: რისკების იდენტიფიცირებას, დაცვას, აღმოჩენას, რეაგირებასა და აღდგენას.
რისკების იდენტიფიცირებაში მუხლში ნათქვამია, რომ კომერციული ბანკის ყველა თანამშრომლის როლი და პასუხისმგებლობები ნათლად და გასაგებად უნდა იყოს განსაზღვრული კიბერუსაფრთხოების რისკის მართვის ჭრილში; ბანკს უნდა გააჩნდეს ინფორმაციული უსაფრთხოების პოლიტიკა; ბანკის რისკების მართვის პროცესები უნდა მოიცავდეს კიბერუსაფრთხოების რისკს; კომერციული ბანკის მიერ ახალი ან ინოვაციური პროდუქტების დანერგვის პროცესი უნდა ითვალისწინებდეს კიბერუსაფრთხოების რისკს; კომერციული ბანკი უნდა იყენებდეს მეთოდოლოგიას, რომლის მეშვეობითაც ის გამოავლენს საფრთხეებს, სისუსტეებს, ალბათობებსა და ზეგავლენას კიბერუსაფრთხოების რისკის დასადგენად.
ჩარჩო დოკუმენტის შემდეგი მიმართულებაა დაცვა. აღნიშნული მუხლით განსაზღვრულია, რომ ბანკის მონაცემებზე ყველა სახის წვდომა უნდა კონტროლდებოდეს. კომერციული ბანკის ყველა რგოლის თანამშრომელს, მათ შორის მენეჯერებსაც არანაკლებ წელიწადში ერთხელ უნდა უტარდებოდეს ტრენინგები კიბერუსაფრთხოების საკითხებზე. ბანკში არსებული სტატიკური მონაცემები უნდა იყოს სათანადოდ დაცული; კომერციულ ბანკს უნდა გააჩნდეს მონაცემთა კონტროლისა და ინფორმაციის გაჟონვის პრევენციული მექანიზმი. უნდა შეეძლოს მონაცემების აღდგენა და პოლიტიკის შესაბამისად მასალების განადგურება. კომერციული ბანკს უნდა გააჩნდეს ინციდენტებზე რეაგირების სრულფასოვანი გეგმა და ახდენდეს რეგულარულ ტესტირებას.
შემდეგი მუხლია აღმოჩენა, რაც გულისხმობს, რომ ბანკმა უნდა მოახდინოს აღმოჩენილი მოვლენების ანალიზი, იმისათვის, რომ მოხდეს პოტენციური კიბერშეტევის სამიზნეებისა და მეთოდების შესწავლა; მსხვილი კიბერუსაფრთხოების მოვლენის მაღალი ალბათობით მოლოდინის ან დაფიქსირების შემთხვევაში, კომერციული ბანკი ვალდებულია დაუყოვნებლივ აცნობოს აღნიშნულის შესახებ საქართველოს ეროვნულ ბანკს;
კიბერუსაფრთხოების ჩარჩოს კიდევ ერთი მუხლია რეაგირება: ბანკებს უნდა ჰქონდეთ რეაგირების გეგმა, რაც თავის მხრივ მოიცავს ორგანიზაციის მზადყოფნას კიბერუსაფრთხოების შესაძლო/მოსალოდნელ რისკთან მიმართებაში, რომელიც უნდა ამოქმედდეს კონკრეტული მოვლენის დაფიქსირების დროს ან მოვლენის დაფიქსირების შემდეგ; კომერციული ბანკი უნდა ახორციელებდეს სხვადასხვა სისტემიდან მიღებული შეტყობინებების მოკვლევასა და ანალიზს; უნდა ათვითცნობიერებდეს კიბერუსაფრთხოების ინციდენტის ზეგავლენას კომერციულ ბანკზე. საჭიროების შემთხვევაში უნდა განხორციელდეს ინციდენტთან დაკავშირებული ექსპერტიზა; ამასთან რეაგირების გეგმა უნდა ითვალისწინებდეს წარსულ გამოცდილებასა და პრაქტიკას; უნდა ხდებოდეს ინციდენტებზე რეაგირების სტრატეგიის რეგულარული განახლება.
ჩარჩო დოკუმენტის ბოლო მუხლია აღდგენა. ამ მუხლში ნათქვამია, რომ კომერციულ ბანკს უნდა გააჩნდეს კიბერუსაფრთხოების მოვლენის შემდეგ ოპერაციების აღდგენის ფორმალური მექანიზმი; აღდგენის პროცესი, თავის მხრივ, უნდა ითვალისწინებდეს წარსულში დაფიქსირებული მოვლენებისგან მიღებულ გამოცდილებას;
ამასთან, კომერციული ბანკის მენეჯმენტი ვალდებულია რეგულარულად გადაამოწმოს კომერციული ბანკის კიბერუსაფრთხოების/საინფორმაციო უსაფრთხოების პროგრამის ეფექტიანობა. კომერციულმა ბანკმა ყოველწლიურად უნდა ჩაატაროს კიბერუსაფრთხოებასთან დაკავშირებული თვითშეფასება. არანაკლებ წელიწადში ერთხელ, უნდა ჩაატაროს შეღწევადობის ტესტირება, რომელიც მოიცავს კომერციული ბანკის ყველა იმ საინფორმაციო სისტემას, რომელიც ქსელში არის ჩართული. კომერციული ბანკი ვალდებულია ყოველწლიურად ჩაატაროს კომერციული ბანკის კიბერუსაფრთხოების მართვის ჩარჩოს ყველა კომპონენტის დამოუკიდებელი აუდიტი. საინფორმაციო სისტემების აუდიტმა უნდა მოიცვას კონფიდენციალობასთან, მთლიანობასთან და ხელმისაწვდომობასთან დაკავშირებული რისკები.
