Draft 1139: National Assembly of RA

ԳԼՈՒԽ 1

ԸՆԴՀԱՆՈՒՐ ԴՐՈՒՅԹՆԵՐ

Սույն օրենքի նպատակը Հայաստանի Հանրապետությունում կենսական նշանակության ոլորտների տեղեկատվական համակարգերում (այսուհետ՝ տեղեկատվական համակարգ) եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգ միջավայրի ապահովումն է:

Հոդված 1. Օրենքի կարգավորման առարկան եւ գործողության ոլորտը

1. Սույն օրենքը կարգավորում է կենսական նշանակության ոլորտներում կրիտիկական տեղեկատվական ենթակառուցվածքների կամ տեղեկատվական համակարգերի կիբեռանվտանգության ապահովման հետ կապված հարաբերությունները, մասնավորապես՝ սույն օրենքի իմաստով ծառայություն մատուցող սուբյեկտների շրջանակը, կենսական նշանակության ոլորտները, կիբեռմիջադեպերի հայտնաբերման, դրանց մասին ծանուցման, կանխարգելման եւ լուծման, կիբեռանվտանգության ոլորտի պետական կառավարման համակարգի մարմինների եւ դրանց լիազորությունների շրջանակի, սույն օրենքի պահանջների պահպանման նկատմամբ մշտադիտարկման, վերահսկողության, պատասխանատվության, կիբեռանվտանգության աուդիտի, ինչպես նաեւ կիբեռանվտանգության հետ կապված այլ հարաբերությունները:

2. Ցանկացած այլ իրավաբանական անձ, որը սույն օրենքի իմաստով չի համարվում ծառայություն մատուցող, Հայաստանի Հանրապետության կառավարության կողմից սահմանված կարգով կարող է կամավոր ստանձնել սույն օրենքից բխող կիբեռանվտանգության ապահովման պարտավորություններ կամ հրաժարվել դրանցից:

3. Սույն օրենքի գործողությունը տարածվում է.

1) իրավաբանական անձանց եւ անհատ ձեռնարկատերերի վրա, որոնք գործունեություն են ծավալում սույն օրենքի 16-րդ հոդվածի 3-րդ մասում թվարկված կենսական նշանակության ոլորտներից մեկում կամ մի քանիսում միաժամանակ եւ շահագործում են տեղեկատվական համակարգ կամ կրիտիկական տեղեկատվական ենթակառուցվածք,

2) պետական կառավարման եւ տեղական ինքնակառավարման մարմինների վրա:

4. Սույն օրենքի գործողությունը չի տարածվում «Փոքր եւ միջին ձեռնարկատիրության աջակցության մասին» օրենքով նախատեսված գերփոքր եւ փոքր ձեռնարկատիրության սուբյեկտների դասակարգման չափանիշներին բավարարող իրավաբանական անձանց եւ անհատ ձեռնարկատերերի վրա, բացառությամբ այն դեպքերի, երբ նշված անձինք շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածք:

5. Սույն օրենքի գործողությունը չի տարածվում պաշտպանության, ազգային անվտանգության, արտաքին հարաբերությունների, արտաքին հետախուզական գործունեության իրականացման ոլորտներում պետական լիազոր մարմինների կողմից իրենց գործառույթներն իրականացնելիս օգտագործվող տեղեկատվական համակարգերի կիբեռանվտանգության պահանջների պահպանման նկատմամբ:

6. Սույն օրենքի գործողությունը չի տարածվում պետական գաղտնիք պարունակող տեղեկությունների մշակման նպատակով կիրառվող տեղեկատվական համակարգերի եւ կրիտիկական տեղեկատվական ենթակառուցվածքների օգտագործմանն առնչվող կիբեռանվտանգության պահանջների պահպանման նկատմամբ:

7. Սույն օրենքի գործողությունը չի տարածվում այլ օրենքներով կիբեռհանցագործությունների ոլորտը կարգավորող հարաբերությունների վրա:

8. Սույն օրենքով սահմանված կիբեռանվտանգության ապահովմանն ուղղված միջոցառումներ իրականացնելիս ծառայություն մատուցողները անձնական տվյալների հետ կապված ցանկացած գործողություն իրականացնելիս պետք է առաջնորդվեն անձնական տվյալներ մշակելու հետ կապված հարաբերությունները կարգավորող օրենսդրության պահանջներին համապատասխան:

9. Սույն օրենքով սահմանված կիբեռանվտանգության ապահովմանն ուղղված միջոցառումներ իրականացնելիս ծառայություն մատուցողները պետական գաղտնիք, ինչպես նաեւ օրենքով պահպանվող այլ գաղտնիք պարունակող տեղեկությունների հետ կապված ցանկացած գործողություն իրականացնելիս առաջնորդվում են օրենքով պահպանվող եւ տվյալ գաղտնիքի հետ կապված հարաբերությունները կարգավորող օրենսդրության պահանջներին համապատասխան:

Հոդված 2. Կիբեռանվտանգության մասին օրենսդրությունը

1.Կիբեռանվտանգության ապահովման ոլորտում ծագող հարաբերությունները կարգավորվում են Սահմանադրությամբ, սույն օրենքով, «Հանրային տեղեկությունների մասին» օրենքով, «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով, Հայաստանի Հանրապետության միջազգային պայմանագրերով, այլ իրավական ակտերով:

2. Եթե Հայաստանի Հանրապետության վավերացրած միջազգային պայմանագրերով սահմանվում են այլ նորմեր, քան նախատեսված են սույն օրենքով, ապա կիրառվում են միջազգային պայմանագրերի նորմերը:

Հոդված 3. Օրենքում օգտագործվող հիմնական հասկացությունները

1. Սույն օրենքում օգտագործվում են հետեւյալ հիմնական հասկացությունները.

1) կիբեռանվտանգություն ՝ կազմակերպչական, տեխնիկական, ծրագրային միջոցների ամբողջություն, որը պաշտպանում է համակարգչում, համակարգչային սարքավորումում, թվային հիշողության կրիչներում, տեղեկատվական համակարգում, կրիտիկական տեղեկատվական ենթակառուցվածքում, էլեկտրոնային հաղորդակցության ցանցում մշակվող, պահվող եւ փոխանցվող տեղեկությունը պատահական կորստից, չարտոնված մուտքից, օգտագործումից, բացահայտումից, խափանումից, փոփոխումից, ոչնչացումից, հարձակումից, կրկնօրինակումից, ձայնագրումից, տարածումից եւ այլ անօրինական ներթափանցումից կամ միջամտությունից, ինչպես նաեւ ապահովում է այդ տեղեկության հասանելիությունը, ամբողջականությունը, իսկությունը (authenticity), գաղտնիությունը եւ անհերքելիությունը (non-repudiation).

2) Լիազոր մարմին - «Կառավարության կառուցվածքի եւ գործունեության մասին» օրենքի հավելվածի 16-րդ կետով թվարկված ոլորտներում քաղաքականություն մշակող եւ իրականացնող պետական կառավարման համակարգի մարմին (այսուհետ՝ Լիազոր մարմին).

3) Ինքնավար մարմին - «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով նախատեսված տեղեկատվական համակարգերի կարգավորման հանձնաժողով (այսուհետ՝ Ինքնավար մարմին).

4) տեղեկատվական համակարգի անվտանգություն՝ տեղեկատվական համակարգի կարողություն՝ դիմակայելու ցանկացած իրադրության, որը վտանգում է այդ համակարգում պահպանված, մշակված, ձեռք բերված կամ փոխանցված տվյալների հասանելիությունը, իսկությունը (authenticity), ամբողջականությունը, գաղտնիությունը եւ անհերքելիությունը (non-repudiation) կամ այդ համակարգով առաջարկվող կամ այդ համակարգի միջոցով հասանելի դարձվող ծառայությունները.

5) կրիտիկական տեղեկատվական ենթակառուցվածք՝ կենսական նշանակության ոլորտներում շահագործվող ավտոմատացված կառավարման համակարգեր, տեղեկատվական համակարգեր, սարքավորումներ կամ դրանց մի մասը, որոնց խափանումը կամ ոչնչացումը կարող է սպառնալիքներ ստեղծել ազգային անվտանգության, պաշտպանության, տնտեսության, սոցիալական բարեկեցության, բնակչության առողջության, շրջակա միջավայրի համար.

6) կենսական նշանակության ոլորտ՝ ոլորտ, որն ունի առանցքային նշանակություն բնակչության բնականոն գործունեության, տնտեսական ակտիվության, պետական անվտանգության, հանրային առողջության եւ անվտանգության կամ շրջակա միջավայրի պահպանման, Հայաստանի Հանրապետության կենսական նշանակության այլ շահերի պաշտպանության համար.

7) ծառայություն մատուցող՝ սույն օրենքի 1-ին հոդվածի 3-րդ մասում նշված իրավաբանական անձ կամ անհատ ձեռնարկատեր, նույն հոդվածի 4-րդ մասում նշված գերփոքր եւ փոքր ձեռնարկատիրության սուբյեկտների դասակարգման չափանիշներին բավարարող իրավաբանական անձինք կամ անհատ ձեռնարկատերեր, ովքեր շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածք, ինչպես նաեւ պետական կառավարման կամ տեղական ինքնակառավարման մարմին.

8) թվային ենթակառուցվածք՝ սույն օրենքի իմաստով էլեկտրոնային առեւտրային հարթակ, առցանց որոնման համակարգ, ամպային հաշվողական ծառայություն, էլեկտրոնային թվային ստորագրության ստեղծման կամ ստուգման միջոցներ, էլեկտրոնային թվային ստորագրության հավաստագրերի տրամադրման եւ էլեկտրոնային թվային ստորագրությունների հետ կապված այլ ծառայություններ, էլեկտրոնային հաղորդակցության ծառայություն, հանրային էլեկտրոնային հաղորդակցության ծառայություն, ինտերնետային հասանելիության ծառայություն, Հայաստանի վերին մակարդակի ազգային դոմեյն հանդիսացող դոմենային տիրույթի ռեգիստր.

9) էլեկտրոնային առեւտրային հարթակ՝ սույն օրենքի իմաստով ծառայություն, որը թույլ է տալիս սպառողներին եւ արտադրողներին «Առեւտրի եւ ծառայությունների մասին» եւ «Սպառողների իրավունքների պաշտպանության մասին» օրենքներով սահմանված պահանջների պահպանմամբ ինտերնետային կայքում, էլեկտրոնային հավելվածում կամ համանման այլ միջոցներով կնքել առցանց վաճառքի կամ սպասարկման էլեկտրոնային պայմանագրեր.

10) առցանց որոնման համակարգ՝ թվային ծառայություն, որն օգտատերերին թույլ է տալիս հարցումներ մուտքագրել բոլոր վեբ-կայքերում կամ միայն որոշակի լեզվով վեբ-կայքերում որոնումներ կատարելու նպատակով՝ հիմնաբառի, ձայնային հարցման, արտահայտության կամ այլ ձեւով մուտքագրման տեսքով եւ ներկայացնում է արդյունքները ցանկացած ձեւաչափով, որում կարելի է գտնել հայցվող բովանդակության հետ կապված տեղեկությունը.

11) ամպային հաշվողական ծառայություն՝ տվյալները եւ կիրառական ծրագրերը պահպանելու համար կիրառվող տեխնոլոգիա, որն աշխատում է ցանցի (առանձնացված կամ համացանցի) եւ վիրտուալ սերվերների միջավայրում եւ որն ամպային տեխնոլոգիայի կիրառմամբ հնարավորություն է տալիս մուտք գործել համօգտագործվող եւ մասշտաբային հաշվողական ռեսուրսների մի խումբ՝ առանց համակարգը փոփոխելու.

12) կիբեռսպառնալիք՝ ցանկացած հանգամանք, իրադրություն կամ գործողություն կամ անգործություն, այդ թվում՝ տեղեկատվության չարտոնված մուտք, ոչնչացում, բացահայտում, փոփոխում կամ ծառայության մերժում, որը կարող է վնասել, խափանել, վտանգել կամ որեւէ այլ կերպ բացասաբար ազդել կրիտիկական տեղեկատվական ենթակառուցվածքի կամ տեղեկատվական համակարգի անխափան աշխատանքի կամ դրանք օգտագործողների կամ այլ անձանց վրա.

13) կիբեռհարձակում՝ կրիտիկական տեղեկատվական ենթակառուցվածքի կամ տեղեկատվական համակարգի աշխատանքը խափանելու, դրանցում մշակվող տվյալներին չարտոնված հասանելիություն ստանալու կամ ամբողջականության վրա բացասաբար ազդելու նպատակով դիտավորությամբ կամ արտաքին ուղղորդմամբ իրականացվող գործողությունների ամբողջություն.

14) կիբեռմիջադեպ՝ կրիտիկական տեղեկատվական ենթակառուցվածքում, տեղեկատվական համակարգում տեղի ունեցող ցանկացած գործողություն կամ միջամտություն, որն անխուսափելիորեն վտանգում կամ բացասաբար է ազդում կրիտիկական տեղեկատվական ենթակառուցվածքի կամ տեղեկատվական համակարգի կիբեռանվտանգության, ինչպես նաեւ դրանց շարունակական, անխափան եւ անվտանգ օգտագործման վրա.

15) ազգային համակարգչային արտակարգ իրավիճակների արձագանքման թիմ (CERT)՝ Ինքնավար մարմնի փորձագետների խումբ, որն իրականացնում է կիբեռմիջադեպերի կառավարումը՝ համակարգումը, վերլուծությունը, կանխումը, արձագանքումը, լուծումը, հետեւանքների վերացումը.

16) կիբեռանվտանգության գործառնությունների կենտրոն (Security Operations Center (SOC))՝ կիբեռանվտանգության կենտրոնացված մոնիտորինգի եւ արձագանքման ստորաբաժանում, որը 24/7 ռեժիմով հսկում է տեղեկատվական համակարգերը, հայտնաբերում սպառնալիքները եւ իրականացնում անվտանգության միջոցառումներ.

17) կարգավորող եւ վերահսկող այլ մարմին՝ օրենքով նախատեսված դեպքերում եւ կարգով ծառայություն մատուցողի գործունեության ոլորտը կարգավորող (նշանակող, որակավորում տվող կամ այլ կերպ գործունեության թույլտվություն տրամադրող, լիցենզավորող), վերահսկողություն, հսկողություն իրականացնող մարմին.

18) կիբեռանվտանգության ապահովման ծառայություն մատուցող՝ իրավաբանական կամ ֆիզիկական անձ, ով մատուցում է կիբեռանվտանգության ապահովման ծառայություններ, ինչպես նաեւ սույն օրենքով նախատեսված դեպքերում պետական մարմիններ.

19) համակարգիչ՝ սարք, որը պահպանում, փոխանցում եւ մշակում է թվային տվյալներ՝ ծրագրային ապահովման կամ հրահանգների հաջորդականության հիման վրա եւ թվային տվյալների պահպանման, փոխանցման կամ հաղորդակցության համար կիրառվող ցանկացած այլ սարքավորում, որն օգտագործվում է տվյալ սարքի հետ համակցված.

20) ռիսկ՝ կիբեռմիջադեպի հետեւանքով առաջացած կորստի կամ խափանման հավանականություն, որն արտահայտվում է այդպիսի կորստի կամ խափանման մեծության եւ կիբեռմիջադեպ տեղի ունենալու հավանականության համակցությամբ.

21) խոցելիություն՝ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի թույլ կողմ կամ թերություն, որն հնարավորություն է ստեղծում կիբեռսպառնալիքի համար.

22) կիբեռանվտանգության մասնագետ՝ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության պահանջների պահպանման համար ծառայություն մատուցողի կողմից նշանակված պատասխանատու անձ.

23) կիբեռհիգիենա՝ կիբեռանվտանգության միջոցառումների ամբողջություն, որն ուղղված է կրիտիկական տեղեկատվական ենթակառուցվածքի, տեղեկատվական համակարգերի տվյալների անվտանգության եւ ամբողջականության պահպանմանն ու բարելավմանը.

24) տեղեկատվական համակարգ - էլեկտրոնային հաղորդակցության ցանց կամ ցանկացած սարք կամ փոխկապակցված կամ հարակից (կապակցվող) սարքերի խումբ կամ տեխնիկական եւ ծրագրաապարատային միջոցների ամբողջություն, որոնցից մեկը կամ մի քանիսը միասին կատարում են թվային տվյալների ինքաշխատ մշակում, կամ թվային տվյալներ, որոնք պահվում, մշակվում, ձեռք են բերվում կամ փոխանցվում են սույն կետում նշված միջոցներով՝ նրանց օգտագործման, պաշտպանության եւ սպասարկման նպատակով:

Հոդված 4. Կիբեռանվտանգության ապահովման սկզբունքները

1. Կիբեռանվտանգության ապահովումն իրականացվում է հետեւյալ սկզբունքներով.

1) անհատականության սկզբունք՝ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի անվտանգության ապահովումը կազմակերպում է ծառայություն մատուցողը.

2) համապարփակ պաշտպանության սկզբունք՝ ծառայություն մատուցողը պետք է գնահատի իր կողմից օգտագործվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի վրա հնարավոր ռիսկերը, կազմի ռիսկերի գնահատման սանդղակ, որոշի հավանական կիբեռմիջադեպի հետեւանքների ծանրությունը, ազդեցության մաշտաբները, տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի անխափան շահագործման կամ հետեւանքների վերացման համար անհրաժեշտ ֆինանսական միջոցների չափը եւ մշակի կիբեռմիջադեպերի կանխարգելման միջոցառումների ծրագիր.

3) բացասական ազդեցությունը նվազագույնի հասցնելու սկզբունք՝ կիբեռմիջադեպի դեպքում ծառայություն մատուցողը պետք է սույն օրենքով եւ կիբեռանվտանգության ապահովման ներքին կանոնակարգով սահմանված համապատասխան քայլեր եւ միջոցներ ձեռնարկի կիբեռմիջադեպի արագ սրացումը (ազդեցության մասշտաբների ընդլայնումը), այլ համակարգերում դրա հնարավոր տարածումը կանխելու համար.

4) նվազագույն հասանելիության սկզբունք (least privilege)՝ ծառայություն մատուցողը պետք է ապահովի, որ յուրաքանչյուր ոք կամ որեւէ ավտոմատացված գործընթաց տեղեկատվական համակարգին կամ կրիտիկական տեղեկատվական ենթակառուցվածքին կամ դրանում պահպանվող տվյալների ունենա ոչ ավելի հասանելիություն, որքան անհրաժեշտ է իր աշխատանքային պարտականությունների կամ գործառույթների պատշաճ իրականացման համար.

5) Տվյալների գաղտնիության սկզբունք՝ տվյալները պետք է հասանելի լինեն միայն այն անձանց համար, ովքեր ունեն համապատասխան մուտքի թույլտվություն.

6) համագործակցության սկզբունքը՝ կիբեռանվտանգության ապահովման, կիբեռհարձակումների, կիբեռսպառնալիքների կանխման եւ խափանման, ինչպես նաեւ կիբեռմիջադեպերի լուծման, հետեւանքների վերացման կամ մեղման ընթացքում ծառայություն մատուցողները պետք է ապահովեն բավարար համագործակցություն պետական իրավասու մարմինների եւ հասարակության հետ, ինչպես նաեւ միմյանց միջեւ՝ հաշվի առնելով նաեւ տեղեկատվական համակարգերի կամ կրիտիկական տեղեկատվական ենթակառուցվածքների միջեւ փոխադարձ կապն ու փոխգործելիությունը.

7) Ամբողջականության (non-repudiation) սկզբունք՝ ծառայություն մատուցողները պետք է պաշտպանեն տեղեկությունը չարտոնված փոփոխումից կամ ոչնչացումից՝ ապահովելով դրա անխաթարությունը, իսկությունը, հուսալիությունը, ամբողջականությունը եւ անհերքելիությունը.

8) հասանելիության սկզբունք՝ ծառայություն մատուցողները պետք է ապահովեն տեղեկության ժամանակին պատշաճ հասանելիությունը եւ օգտագործումը իրավասու անձանց կողմից:

ԳԼՈՒԽ 2

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՈԼՈՐՏԻ ՊԵՏԱԿԱՆ ԿԱՌԱՎԱՐՈՒՄԸ ԵՎ ԿԱՐԳԱՎՈՐՈՒՄԸ

Հոդված 5. Կիբեռանվտանգության ոլորտում օրենքով նախատեսված լիազորություններ իրականացնող մարմինները

Կիբեռանվտանգության ոլորտում օրենքով նախատեսված լիազորություններ իրականացնում են Լիազոր մարմինը, Ինքնավար մարմինը եւ տեղեկատվական անվտանգության ապահովման աշխատանքների իրականացումը համակարգող լիազոր մարմինը:

Հոդված 6. Լիազոր մարմնի գործառույթները

1. Լիազոր մարմնի գործառույթներն են՝

1) կիբեռանվտանգության միասնական քաղաքականության եւ դրան առնչվող ոլորտային կարգավորող իրավական դաշտի, ներառյալ կիբեռանվտանգության ապահովման ոլորտի ռազմավարության եւ դրանից բխող միջոցառումների ծրագրի մշակում.

2) հասարակության կիբեռհասունությանն ուղղված իրազեկման եւ կրթական միջոցառումների մշակում եւ իրականացում.

3) Հայաստանի Հանրապետության միջազգային համաձայնագրերով ստանձնած կիբեռանվտանգության ոլորտի միջազգային հանձնառությունների իրականացում.

4) միջազգային վարկանիշային զեկույցներում կիբեռանվտանգության ցուցանիշների մասնագիտական վերլուծություն, առաջընթացի ապահովում.

5) hամագործակցելով Ինքնավար մարմնի հետ՝ միջազգային ստանդարտների հիման վրա կիբեռանվտանգության ապահովման ազգային ստանդարտների մշակում եւ ներկայացում ստանդարտացման եւ չափագիտության ազգային մարմնի հաստատմանը.

6) կիրառելի միջազգային ստանդարտների ցանկի մշակում եւ ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը.

7) արտակարգ իրավիճակներում, արտակարգ կամ ռազմական դրության ժամանակ դրա տեւողության ամբողջ ընթացքում տեղեկատվական համակարգերի եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման միջոցառումների ձեռնարկում եւ դրանց իրականացման նկատմամբ հսկողության ապահովում.

8) կենսական նշանակության ոլորտներում կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը ըստ կիբեռանվտանգության ապահովման համար պատասխանատու պետական մարմինների սահմանելու մասին Հայաստանի Հանրապետության կառավարության որոշման նախագծի մշակում եւ ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը.

9) կենսական նշանակության ոլորտներում ծառայությունների տեսակները ըստ տնտեսական գործունեության տեսակների դասակարգիչների սահմանելու մասին Հայաստանի Հանրապետության կառավարության որոշման նախագծի մշակում եւ ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը.

10) ծառայություն մատուցող չհամարվող իրավաբանական անձի կողմից սույն օրենքից բխող կիբեռանվտանգության ապահովման պարտավորություններ կամավոր ստանձնելու եւ դրանցից հրաժարվելու դեպքերի սահմանման մասին կարգի մշակում եւ ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը.

11) կենսական նշանակության ոլորտում շահագործվող կրիտիկական տեղեկատվական ենթակառուցվածքների նույնականացման չափանիշները սահմանելու մասին Հայաստանի Հանրապետության կառավարության որոշման նախագծի մշակում եւ ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը.

12) իրականացնում է օրենքով նախատեսված այլ լիազորություններ:

Հոդված 7. Կիբեռանվտանգության ոլորտում Ինքնավար մարմնի գործառույթները

1. Ինքնավար մարմինը՝ որպես միասնական կոնտակտային կետ, կարգավորում, կառավարում եւ հսկում է կիբեռմիջադեպերի գրանցման, կանխարգելման եւ լուծման, հետեւանքների վերացմանն ուղղված գործողությունները, իրականացնում սույն օրենքի ու դրա հիման վրա ընդունված իրավական ակտերի պահանջների պահպանման նկատմամբ մշտադիտարկում եւ վերահսկողություն:

2. Ինքնավար մարմինն իրականացնում է հետեւյալ գործառույթները.

1) սույն օրենքով սահմանված գործառույթների շրջանակում արձագանքում է կիբեռմիջադեպերին.

2) սահմանում եւ դասակարգում է կիբեռմիջադեպերի արձագանքման առաջնահերթությունները.

3) գրանցում է կիբեռմիջադեպերը, վարում է կիբեռմիջադեպերի գրանցամատյանը.

4) վերլուծում է կիբեռմիջադեպեր.

5) կազմակերպում է կիբեռմիջադեպերի կանխարգելման միջոցառումները.

6) ծառայություն մատուցողներին ցուցաբերում է ռիսկերի գնահատման մեթոդական աջակցություն.

7) կիբեռանվտանգության ոլորտում վարում է վիճակագրական հաշվետվություններ.

8) բարձրացնում է կիբեռանվտանգության խնդիրների վերաբերյալ հասարակության տարբեր խմբերի շրջանում իրազեկվածությունը՝ այդ թվում կիբեռհիգիենայի պահպանման մասով, մշակում եւ իրականացնում է իրազեկման եւ կրթական ծրագրեր՝ համագործակցելով Լիազոր մարմնի եւ կրթության ոլորտում պատասխանատու պետական մարմինների հետ, ինչպես նաեւ տրամադրում է խորհրդատվություն կիբեռանվտանգության խնդիրների վերաբերյալ իրազեկվածության բարձրացում իրականացնող պետական մարմիններին.

9) մշակում եւ հաստատում է ծառայություն մատուցողների կողմից շահագործվող տեղեկատվական համակարգերի (այդ թվում՝ կիրառվող տեղեկատվական տեխնոլոգիաների, ծառայությունների, գործընթացների եւ արտադրանքների մասով՝ հաշվի առնելով սույն օրենքի 16-րդ հոդվածի 3-րդ մասով թվարկված ոլորտների, ենթաոլորտների կամ ծառայության տեսակների առանձնահատկությունները) եւ կրիտիկական տեղեկատվական ենթակառուցվածքների կիբեռանվտանգության ապահովման նվազագույն պահանջները.

10) մշակում եւ հաստատում է ծառայություն մատուցողների կողմից կիբեռմիջադեպերի ծանուցման եւ հաշվետությունների ներկայացման կարգը.

11) մշակում եւ հաստատում է կիբեռանվտանգության աուդիտի հաշվետվության չափորոշիչները, կիբեռանվտանգության աուդիտորների որակավորման կարգը եւ կիբեռնավտանգության աուդիտ իրականացնող անձանց ներկայացվող պահանջները.

12) մշակում, հաստատում եւ իրականացնում է կիբեռվարժանքների տարեկան ծրագրերը.

13) տեղեկատվական համակարգեր կամ կրիտիկական տեղեկատվական ենթակառուցվածքներ օգտագործող պետական մարմիններում կազմակերպում է կիբեռվարժանքների իրականացման տարեկան ծրագրով նախատեսված միջոցառումներ.

14) հնարավոր կիբեռմիջադեպերը կանխելու կամ ազդեցությունը նվազեցնելու նպատակով ապահովում է իրազեկում.

15) մշակում եւ հաստատում է սույն օրենքի եւ դրա հիման վրա ընդունված ենթաօրենսդրական նորմատիվ իրավական ակտերով սահմանված պահանջների պահպանմանն առնչվող ուղեցույցներ.

16) իրականացնում է ծառայություն մատուցողների կողմից սույն օրենքով սահմանված պահանջների պահպանման նկատմամբ մշտադիտարկում օրենքով սահմանված կարգով, մշակում եւ հաստատում է կիբեռանվտանգության ոլորտում մշտադիտարկման ընթացակարգ.

17) սույն օրենքով սահմանված իր իրավասությունների շրջանակում փոխգործակցության երկկողմ համաձայնագրերի կնքմամբ կամ առանց դրա համագործակցում է պետական այլ մարմինների, այդ թվում՝ ազգային անվտանգության հարցերով լիազորված պետական մարմնի, անձնական տվյալների պաշտպանության բնագավառում եւ կիբեռհանցագործությունների դեմ պայքարի ոլորտում լիազոր մարմինների, ինչպես նաեւ օտարերկրյա պետություններում կիբեռանվտանգության ապահովման ոլորտում պատասխանատու մարմինների կամ համապատասխան համակարգչային արտակարգ իրավիճակների արձագանքման թիմերի հետ: Օտարերկրյա պետություններում կիբեռանվտանգության ապահովման ոլորտում պատասխանատու մարմինների, միջազգային կազմակերպությունների հետ կնքվող երկկողմ համաձայնագրերը, հուշագրերը, իրավաբանական պարտադիր ուժ չունեցող միջազգային բնույթի այլ փաստաթղթերը նախապես համաձայնեցնում է սույն օրենքով նախատեսված լիազոր մարմնի եւ օրենքով նախատեսված դեպքերում այլ լիազոր մարմինների հետ.

18) իր գործունեության ընթացքում կիբեռմիջադեպի քրեաիրավական բնույթի վերաբերյալ կասկածներ ունենալու կամ բավարար հիմքեր ի հայտ գալու դեպքում իրավապահ մարմիններին ներկայացնում է հաղորդում.

19) օրենքով սահմանված կարգով եւ դեպքերում ծառայություն մատուցողների նկատմամբ իրականացնում է վերահսկողություն, օժանդակում է օրենքով կարգավորող եւ վերահսկող այլ մարմինների կողմից իրականացվող վերահսկողությանը, այդ թվում՝ պատասխանատվություն կիրառելու միջնորդություն ներկայացնելով, որի քննությունը եւ դրա հիման վրա որոշման ընդունումը պարտադիր է.

20) ստեղծում եւ կառավարում է կիբեռանվտանգության մշտադիտարկման ազգային օպերատիվ կենտրոնը.

21) ներկայացնում է առաջարկություններ Հայաստանի Հանրապետության կառավարության որոշմամբ հաստատված կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկում փոփոխություններ կամ լրացումներ կատարելու վերաբերյալ.

22) կիբեռանվտանգության վերաբերյալ հարցերով փորձագիտական աջակցության ցուցաբերում Հայաստանի Հանրապետության կառավարությանը.

23) մշակում եւ հաստատում է կիբեռմիջադեպերը կանխելու կամ ազդեցությունը նվազեցնելու նպատակով Ինքնավար մարմնի կողմից հասցեատերերին իրազեկման կարգ.

24) մշակում եւ հաստատում է Ինքնավար մարմնի կողմից կիբեռմիջադեպերի գրանցամատյանի վարման կարգ.

25) մշակում եւ հաստատում է Ինքնավար մարմնի կողմից ծառայություն մատուցողների գրանցամատյանի վարման կարգ.

26) մշակում եւ հաստատում է կիբեռմիջադեպերի վերաբերյալ տեղեկության հավաքագրման եւ պահպանման կարգ.

27) մշակում եւ հաստատում է ծառայություններ մատուցողների կողմից կիբեռանվտանգության ապահովման ներքին կանոնակարգերին ներկայացվող պահանջները, ինչպես նաեւ ռիսկերի եւ կիբեռմիջադեպերի գնահատման չափանիշները. .

28) պետական մարմիններում եւ տեղական ինքնակառավարման մարմիններում իրականացնում է կիբեռանվտանգության գործառնությունների կենտրոնի (SOC) ծառայություններ.

29) իրականացնում է օրենքով նախատեսված այլ լիազորություններ:

3. Ինքնավար մարմինը իրավունք ունի օտարերկրյա պետության կիբեռանվտանգության ապահովման ոլորտում պատասխանատու մարմիններին կամ համապատասխան համակարգչային արտակարգ իրավիճակների արձագանքման թիմերին կամ միջազգային կազմակերպություններին փոխանցել կիբեռմիջադեպի կանխմանն ու լուծմանը վերաբերող տեղեկությունը սույն օրենքով նախատեսված գործառույթների կատարման համար, եթե նման տեղեկության փոխանցումը չի վնասում ազգային անվտանգությանը, Հայաստանի Հանրապետության օրինական շահերին կամ քրեական վարույթին: Այն դեպքում, երբ սույն կետի համաձայն փոխանցվող տեղեկությունը որեւէ ձեւով առնչվում է պաշտպանության, ազգային անվտանգության, կամ արտաքին հարաբերությունների ոլորտին, ապա տեղեկության փոխանցումը նախապես գրավոր համաձայնեցվում է, համապատասխանաբար, պաշտպանության, արտաքին հարաբերությունների լիազոր մարմինների, ինչպես նաեւ ազգային անվտանգության հարցերով լիազորված պետական մարմնի հետ, իսկ քրեական վարույթին առնչվող տեղեկատվության փոխանցումը համաձայնեցվում է քրեական վարույթն իրականացնող մարմնի հետ: Այն դեպքում, երբ սույն մասի համաձայն փոխանցվող տեղեկությունը հանդիսանում է անձնական տվյալ, ապա տեղեկության փոխանցումն իրականացվում է բացառապես միջազգային պայմանագրերին համապատասխան:

4. Ինքնավար մարմինը վարում է ծառայություն մատուցողների գրանցամատյան: Ըստ անհրաժեշտության, բայց ոչ պակաս քան երկու տարին մեկ անգամ Ինքնավար մարմինը վերանայում եւ թարմացնում է իր կողմից հաստատված ծառայություն մատուցողների գրանցամատյանի տվյալները:

5. Սույն օրենքի 16-րդ հոդվածի 3-րդ մասում թվարկված ոլորտներում պետական քաղաքականություն մշակող եւ իրականացնող մարմինները իրենց իրավասությունների շրջանակում Ինքնավար մարմնին ցուցաբերում են տեղեկատվական եւ խորհրդատվական աջակցություն՝ սույն հոդվածի 4-րդ մասում նշված ծառայություն մատուցողների գրանցամատյանի վարման համար:

6. Ինքնավար մարմինը Հայաստանի Հանրապետության կառավարության որոշմամբ սահմանված կարգով եւ դեպքերում իրականացնում է պետական եւ տեղական ինքնակառավարման մարմին հանդիսացող ծառայություն մատուցողների կիբեռանվտանգության ապահովումը:

7. Պետական մարմիններում եւ տեղական ինքնակառավարման մարմիններում իրականացվող կիբեռանվտանգության գործառնությունների կենտրոնի ծառայությունների շրջանակը սահմանվում է Ինքնավար մարմնի կողմից:

Հոդված 8. Արտակարգ իրավիճակներում, արտակարգ դրության կամ ռազմական դրության ժամանակ տեղեկատվական համակարգերի եւ կրիտիկական տեղեկատվական ենթակառուցվածքների կիբեռանվտանգության ապահովման միջոցառումները

1. Արտակարգ իրավիճակներում, արտակարգ կամ ռազմական դրության ժամանակ դրա տեւողության ամբողջ ընթացքում տեղեկատվական համակարգերի եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման միջոցառումներ ձեռնարկում եւ դրանց կատարման նկատմամբ հսկողություն իրականացնող պատասխանատու պետական մարմին հանդիսանում է Լիազոր մարմինը՝ համագործակցելով Ինքնավար մարմնի եւ ազգային անվտանգության հարցերով լիազորված պետական մարմնի հետ:

2. Արտակարգ իրավիճակներում, արտակարգ կամ ռազմական դրության ժամանակ տեղեկատվական համակարգերի եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման միջոցառումների ձեռնարկման եւ դրանց հսկման, ինչպես նաեւ Ինքնավար մարմնի ու ազգային անվտանգության հարցերով լիազորված պետական մարմնի հետ համագործակցության կարգը հաստատում է Հայաստանի Հանրապետության կառավարությունը:

ԳԼՈՒԽ 3

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ԿԱՆՈՆՆԵՐ

Հոդված 9. Ծառայություն մատուցողի պարտականությունները

1. Ծառայություն մատուցողը պարտավոր է անընդհատ ռեժիմով (շաբաթը յոթ օր, քսանչորս ժամ) ձեռնարկել կազմակերպչական, տեխնիկական միջոցներ ՝

1) կիբեռսպառնալիքները հայտնաբերելու եւ կառավարելու.

2) կիբեռմիջադեպը կանխելու, հայտնաբերելու, արգելափակելու, լուծելու.

3) տեղեկատվական համակարգերի եւ կրիտիկական տեղեկատվական ենթակառուցվածքների անխափան գործունեության ապահովման համար ռիսկերը կառավարելու, կիբեռմիջադեպի հետեւանքները նվազագույնի հասցնելու կամ այլ ածանցյալ կամ հնարավոր ազդեցությունները կանխելու եւ մեղմելու համար:

2. Ծառայություն մատուցողը կիբեռանվտանգության ապահովման համար պարտավոր է ունենալ կիբեռանվտանգության ապահովման ներքին կանոնակարգ, որով սահմանվում է ծառայություն մատուցողի կողմից կիբեռանվտանգության ոլորտում որդեգրած քաղաքականությունը, ինչպես նաեւ տրվում է ծառայություն մատուցողի կողմից սույն օրենքի եւ դրա հիման վրա ընդունված ենթաօրենսդրական նորմատիվ իրավական ակտերով սահմանված պահանջների պահպանման մանրամասն նկարագրությունը:

3. Ծառայություն մատուցողը՝

1) իրականացնում է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի ռիսկերի գնահատում, կազմում ռիսկերի գնահատման սանդղակ, որոշում հավանական կիբեռմիջադեպի հետեւանքների ծանրությունն ու ազդեցության մասշտաբները, հաստատում կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագիր՝ հիմնվելով Ինքնավար մարմնի կողմից հաստատված ռիսկերի եւ կիբեռմիջադեպերի գնահատման չափանիշների, կիբեռանվտանգության ապահովման ներքին կանոնակարգերին ներկայացվող պահանջների վրա.

2) ռիսկերի կառավարման համար ձեռնարկում է կազմակերպչական եւ տեխնիկական միջոցներ, այդ թվում՝ տեղեկատվական համակարգերի ֆիզիկական անվտանգության ապահովման, համակարգիչներին կամ տեղեկատվություն մշակող, պահպանող կամ փոխանցող այլ սարքավորումներին չթույլատրված ֆիզիկական մուտքը, վնասումը կամ միջամտությունը կանխելու համար.

3) ապահովում է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի վրա գնահատված հնարավոր կիբեռսպառնալիքների փաստաթղթավորումը, անվտանգության կանոնների եւ միջոցների կիրառման նկարագրությունը.

4) ապահովում է կիբեռանվտանգության ապահովման ներքին կանոնակարգով սահմանված պահանջներին համապատասխան ամենօրյա մշտադիտարկում՝ տեղեկատվական համակարգին կամ կրիտիկական տեղեկատվական ենթակառուցվածքին ուղղված կիբեռհարձակումների, կիբեռսպառնալիքների, խոցելիություններ հայտնաբերելու նպատակով (այդ թվում՝ կիրառվող տեղեկատվական տեխնոլոգիաները, ծառայությունները, գործընթացները եւ արտադրանքները, որոնց վնասումը կամ խափանումը սպառնում է տեղեկատվական համակարգի եւ կրիտիկական տեղեկատվական ենթակառուցվածքի անվտանգությանը).

5) կիբեռմիջադեպերի մասին սույն օրենքի 11-րդ հոդվածով սահմանված կարգով եւ դեպքերում ծանուցում է Ինքնավար մարմնին, ինչպես նաեւ կիբեռմիջադեպի հետեւանքով հնարավոր ազդեցության ենթարկված անձանց.

6) միջոցներ է ձեռնարկում կիբեռմիջադեպի հետեւանքները մեղմելու, դրա արագ սրացումը (ազդեցության մասշտաբների ընդլայնումը) կանխելու համար՝ անհրաժեշտության դեպքում իրականացնելով տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործման, հասանելիության, մուտքի ամբողջական կամ մասնակի սահմանափակում.

7) վերահսկում է կիբեռմիջադեպին արձագանքելու, լուծելու, հետեւանքները մեղմելու ուղղությամբ ձեռնարկված գործընթացները, գնահատում է դրանց կիրառման բավարար ու համարժեք լինելը կիբեռմիջադեպի հետեւանքների ծանրությանն ու ազդեցության մաշտաբներին, փաստաթղթավորում է արդյունքները եւ կազմում է հաշվետվություններ, որոնք ենթակա են պահպանման ոչ պակաս, քան երեք տարի ժամկետով.

8) հավաքագրում է կիբեռմիջադեպերի վերաբերյալ տեղեկությունը եւ պահպանում այն դրա ստեղծման պահից ոչ պակաս, քան երեք տարի ժամկետով.

9) իր անձնակազմի համար կազմակերպում է կիբեռանվտանգության վերաբերյալ ընդհանուր եւ հատուկ դասընթացներ, իրականացնում է կիբեռվարժանքներ՝ համագործակցելով Լիազոր եւ Ինքնավար մարմինների հետ, ապահովում է իր մասնակցությունն Ինքնավար մարմնի կողմից կազմակերպվող վերապատրաստումներին եւ կիբեռանվտանգության ոլորտում կարողությունների զարգացման այլ միջոցառումներին.

10) կիբեռմիջադեպի արդյունքում կամ դրա ընթացքում հանցագործության հատկանիշներ ի հայտ գալու դեպքում օրենքով սահմանված կարգով հաղորդում է ներկայացնում իրավապահ մարմիններին.

11) ապահովում է կիբեռհիգիենայի հիմնական պահանջների կատարումը զրոյական վստահության սկզբունքի (չվստահել ոչ մեկին, ստուգել ամեն ինչ) հիման վրա, ինչպիսիք են՝ ծրագրային ապահովման թարմացումները, տեղեկատվական համակարգ մուտքի կառավարումը, անձնակազմի ուսուցումը եւ կիբեռսպառնալիքների, ֆիշինգի (phishing) մասին տեղեկացվածության բարձրացումը.

12) կատարում է սույն օրենքով, դրա հիման վրա ընդունված ենթաօրենսդրական նորմատիվ իրավական ակտերով, ծառայություն մատուցողի ներքին կանոնակարգով սահմանված այլ պարտականություններ.

13) ապահովում է կիբեռանվտանգության ապահովման նվազագույն պահանջների կատարումը:

Հոդված 10. Կիբեռանվտանգության մասնագետը

1. Ծառայություն մատուցողը պարտավոր է նշանակել կիբեռանվտանգության մասնագետ կամ մասնագետներ, բացառությամբ սույն օրենքի 19-րդ հոդվածով նախատեսված դեպքի:

2. Կիբեռանվտանգության մասնագետի որակավորման կարգը սահմանում է Ինքնավար մարմնի կողմից հաստատվող կիբեռանվտանգության ապահովման նվազագույն պահանջներով: Ինքնավար մարմինը կարող է սահմանել կիբեռանվտանգության մասնագետին օտարերկրյա որակավորման մարմինների կողմից տրված որակավորման ճանաչման կարգ:

3. Ինքնավար մարմինը որակավորում է կիբեռանվտանգության մասնագետին՝ որակավորման կարգին համապատասխան կամ սահմանված կարգով ճանաչում է որակավորումը:

Հոդված 11. Կիբեռմիջադեպի մասին ծանուցումը

1. Ծառայություն մատուցողը, անկախ այն հանգամանքից, թե տեղեկատվական համակարգը կամ կրիտիկական տեղեկատվական ենթակառուցվածքը շահագործվում է իր, թե այլ անձի կողմից կամ տեղակայված է իր, թե այլ անձի մոտ, պարտավոր է կիբեռմիջադեպի մասին իրեն հայտնի դառնալուց հետո անհապաղ, բայց ոչ ուշ, քան 24 ժամվա ընթացքում Ինքնավար մարմնին ծանուցել այն կիբեռմիջադեպի մասին՝

1) որն էական ազդեցություն ունի տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի շարունակական եւ անխափան գործունեության կամ դրանց անվտանգ օգտագործման վրա, կամ

2) որի էական ազդեցությունը տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի շարունակական եւ անխափան գործունեության կամ դրանց անվտանգ օգտագործման վրա թեեւ տվյալ պահին հնարավոր չէ գնահատել կամ ակնհայտ չէ, բայց ողջամտորեն կարող է ենթադրվել,

2. Կիբեռմիջադեպը էական ազդեցություն ունի, եթե բավարարում է հետեւյալ պայմաններից առնվազն մեկին.

1) կիբեռմիջադեպը սպառնում է մարդու կյանքին եւ առողջությանը, պաշտպանությանը, ազգային անվտանգությանը, միջազգային հարաբերություններին, տնտեսությանը, շրջակա միջավայրին, հասարակական կարգին.

2) կիբեռմիջադեպի հետեւանքների ծանրության աստիճանը սույն օրենքի 9-րդ հոդվածի 3-րդ մասի 1-ին կետի համաձայն ռիսկերի գնահատման սանդղակով համարվում է բարձր.

3) սույն օրենքի 9-րդ հոդվածի 2-րդ մասով սահմանված կիբեռանվտանգության ապահովման ներքին կանոնակարգով կամ կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագրով կամ ծառայության շարունակականությունը կամ անվտանգությունը նկարագրող մեկ այլ փաստաթղթով կամ իրավական ակտով (եթե այդպիսին առկա է) նախատեսված է նման կիբեռմիջադեպին արձագանքելու արտակարգ միջոցառումների անհապաղ ձեռնարկում.

4) կիբեռմիջադեպի հետեւանքով հնարավոր չէ վերականգնել տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի միջոցով մատուցվող ծառայության շարունակական, անխափան, անվտանգ աշխատանքը՝ օրենսդրությամբ կամ կնքված պայմանագրով նախատեսված առավելագույն թույլատրելի ժամանակահատվածում.

5) կիբեռմիջադեպի պատճառով խաթարվել է այլ ծառայություն մատուցողի ծառայության շարունակականությունը, անխափանությունը կամ անվտանգ օգտագործումը.

6) կիբեռմիջադեպի պատճառով ծառայություն մատուցողը, փոխկապակցված այլ ծառայություն մատուցողը կամ համապատասխան ծառայությունից օգտվողները կրել կամ կարող են կրել զգալի նյութական կամ ոչ նյութական վնաս.

7) ցանկացած այլ անօրինական ներթափանցում կամ միջամտություն, որը ելնելով իր բնույթից, նպատակից, ծագման աղբյուրից, մասշտաբից կամ քանակից կամ դրա կանխարգելման համար պահանջվող ռեսուրսներից եւ միջոցներից կամ դրանց բավարար համակցությամբ սպառնում է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի շարունակական եւ անխափան գործունեությանը կամ անվտանգ օգտագործմանը:

3. Կիբեռմիջադեպի մասին ծանուցման հետ միասին ծառայություն մատուցողը հնարավորության դեպքում Ինքնավար մարմնին տեղեկություն է տրամադրում կիբեռմիջադեպի առաջացման հավանական պատճառների եւ հնարավոր հետեւանքների մասին:

4. Կիբեռմիջադեպի մասին իրեն հայտնի դառնալուց հետո, 72 ժամվա ընթացքում ծառայություն մատուցողը Ինքնավար մարմին է ներկայացնում կիբեռմիջադեպի վերաբերյալ թարմացված տեղեկատվություն՝ ներառյալ կիբեռմիջադեպի ծանրության եւ ունեցած հետեւանքների մասով:

5. Ինքնավար մարմինը կարող է սեփական հայեցողությամբ ծառայություն մատուցողից պահանջել ներկայացնել թարմացված տեղեկատվություն կիբեռմիջադեպի ծանրության, ձեռնարկված միջոցառումների եւ ունեցած հետեւանքների մասին:

6. Սույն հոդվածի 1-ին մասի 1-ին կետով նախատեսված պարտավորությունը չի սահմանափակում ծառայություններ մատուցողի իրավունքը՝ ծանուցելու այն կիբեռմիջադեպերի մասին, որոնք տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի վրա չունեն էական ազդեցություն:

7. Ծառայություն մատուցողը պարտավոր է կիբեռմիջադեպի մասին իրեն հայտնի դառնալուց հետո անհապաղ կամ նման հնարավորության բացակայության դեպքում երկու օրվա ընթացքում ծանուցել կիբեռմիջադեպի հնարավոր ազդեցության ենթարկված անձանց:

8. Եթե ծառայություն մատուցողը չի կատարում սույն հոդվածի 7-րդ մասում նշված ժամկետներում ծանուցման պարտավորությունը, Ինքնավար մարմինը կարող է ծանուցել կիբեռմիջադեպի հետեւանքով հնարավոր ազդեցության ենթարկված անձանց կամ անմիջապես հանրությանը՝ այդ մասին տեղեկացնելով նաեւ ծառայություն մատուցողին:

9. Սույն հոդվածի 4-րդ մասում նշված տեղեկատվության ներկայացման պահից հետո մեկ ամսվա ընթացքում ծառայություն մատուցողը Ինքնավար մարմին է ներկայացնում վերջնական հաշվետվություն, որը ներառում է տեղեկություն կիբեռմիջադեպի առաջացման հնարավոր պատճառների, դրա լուծման համար կիրառված միջոցների, կիբեռմիջադեպի ծանրության, ունեցած հետեւանքների, դրանց ազդեցության մասշտաբների, ծախսված ժամանակի, ֆինանսական միջոցների, դրա հետագա կանխարգելման ուղղությամբ ձեռնարկված քայլերի եւ միջոցառումների մասին:

Հոդված 12. Կամավոր ծանուցում

1. Սույն օրենքի իմաստով ծառայություն մատուցող չհանդիսացող անձինք (այդ թվում ֆիզիկական անձինք) Ինքնավար մարմին կարող են ծանուցել կիբեռմիջադեպի, կիբեռհարձակման, կիբեռսպառնալիքի, կամ տեղեկատվական համակարգի եւ կրիտիկական տեղեկատվական ենթակառուցվածքի խոցելիության մասին:

2. Սույն հոդվածի 1-ին մասով նախատեսված ծանուցումը Ինքնավար մարմինը դիտարկում է սույն օրենքի 7-րդ հոդվածի 2-րդ մասի 10-րդ կետի համաձայն հաստատված կարգով, ընդ որում Ինքնավար մարմինը պարտավոր է ապահովել ծանուցող անձի գաղտնիությունը՝ բացառությամբ հանցագործությունների բացահայտման, նախաքննության եւ կանխարգելման հետ կապված միջոցառումների իրականացմամբ պայմանավորված համապատասխան իրավասու մարմիններին տեղեկատվության բացահայտման դեպքերի: Միեւնույն ժամանակ կիբեռմիջադեպերի վերաբերյալ մեկից ավելի ծանուցումներ ներկայացվելու դեպքում Ինքնավար մարմինը առաջնահերթության կարգով դիտարկում է սույն օրենքով պարտադիր ներկայացման ենթակա ծանուցումները:

3. Կամավոր ծանուցումը սույն հոդվածի 1-ին մասում նշված անձանց համար չի առաջացնում որեւէ լրացուցիչ պարտավորություն, որը նրանց համար չէր առաջանա, եթե նրանք Ինքնավար մարմին կամավոր ծանուցում չներկայացնեին, բացառությամբ այն պարտավորությունների, որոնք կապված են հանցագործությունների բացահայտման, նախաքննության եւ կանխարգելման հետ կապված միջոցառումների իրականացման հետ:

4. Սույն հոդվածի 1-ին մասում նշված տեղեկատվությունը ստանալուց հետո Ինքնավար մարմինն այդ մասին անհապաղ, բայց ոչ ուշ քան 24 ժամվա ընթացքում տեղեկացնում է ծառայություն մատուցողին:

ԳԼՈՒԽ 4

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՈՒՄԸ

Հոդված 13. Կիբեռմիջադեպերի հայտնաբերումը, կանխարգելումը եւ լուծումը, ազգային համակարգչային արտակարգ իրավիճակների արձագանքման թիմը

1. Հայաստանի Հանրապետությունում (ազգային մակարդակում) կիբեռմիջադեպերի հայտնաբերումը, կանխարգելումն ու լուծումը, ինչպես նաեւ կիբեռմիջադեպերի լուծման ուղղությամբ ծառայություն մատուցողների գործողություների համակարգումը սույն օրենքով սահմանված կարգով ապահովում է Ինքնավար մարմինը, որի կազմում ձեւավորվում է ազգային համակարգչային արտակարգ իրավիճակների արձագանքման թիմը (այսուհետ՝ CERT):

2. Կիբեռանվտանգության ապահովման համար առաջնահերթ են դիտարկվում սույն օրենքի 11-րդ հոդվածի 1-ին եւ 2-րդ մասերով նկարագրված կիբեռմիջադեպերի լուծումը եւ դրանց հետեւանքների վերացումը:

3. Կիբեռմիջադեպերի հայտնաբերման, կանխարգելման ու լուծման խնդիրները լուծելիս Ինքնավար մարմինը կարող է համագործակցել նաեւ օտարերկրյա պետությունների համապատասխան համակարգչային արտակարգ իրավիճակների արձագանքման թիմերի կամ միջազգային կազմակերպությունների հետ (այդ թվում կիբեռանվտանգության ապահովմանը աջակցելու նպատակով)՝ Հայաստանի Հանրապետության միջազգային պայմանագրերով եւ սույն օրենքով սահմանված կարգով:

4. Ինքնավար մարմինը կրիտիկական տեղեկատվական ենթակառուցվածք տիրապետող ծառայություն մատուցողների մոտ, Ինքնավար մարմնի կողմից սահմանած կարգով, նախապես տեղեկացնելով այդ մասին, կարող է իրականացնել խոցելիության գնահատում եւ ներթափանցման թեստավորում, որն ուղղված է գնահատելու ծառայություն մատուցողների տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի պաշտպանվածությունը արտաքին ռիսկերից եւ հնարավոր խոցելիության մասին տեղեկացնել համապատասխան ծառայություն մատուցողին:

5. Կիբեռանվտանգության ապահովման նպատակով Ինքնավար մարմինը մշտադիտարկում է էլեկտրոնային կայքի տիրույթները (դոմեյները)՝ հայկական համացանցային հաղորդակարգի հասցեների (Internet Protocol Addresses) տարածքում եւ կապված Հայաստան երկրի կոդի հետ, վերլուծում է տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում տեղի ունեցած կիբեռմիջադեպերը եւ դրանց հնարավոր ազդեցությունը երկրի տնտեսության, շրջակա միջավայրի եւ մարդու կյանքի եւ առողջության վրա:

6. Կիբեռմիջադեպը կանխելու եւ լուծելու նպատակով Ինքնավար մարմինը իրազեկում է հասցեատերերին՝ նշելով այն միջոցները, որոնք անհրաժեշտ է ձեռնարկել՝ կիբեռմիջադեպի հետագա սրացումը կանխելու կամ ազդեցությունը նվազեցնելու համար:

7. Կիբեռսպառնալիքի դեպքում, որը Ինքնավար մարմնի դիտարկմամբ կարող է վերածվել էական ազդեցություն ունեցող կիբեռմիջադեպի, Ինքնավար մարմինը կարող է ծառություն մատուցողի մոտ իրականացնել կիբեռմիջադեպի համատեղ ուսումնասիրություն՝ համագործակցելով համապատասխան ծառայություն մատուցողին կարգավորող եւ վերահսկող այլ մարմնի հետ, ծառայություն մատուցողի համաձայնությամբ ունենալ դեպի տեղեկատվական համակարգեր կամ կրիտիկական տեղեկատվական ենթակառուցվածքներ մուտք գործելու հնարավորություն՝ ապահովելու համար կիբեռմիջադեպի պատշաճ հայտնաբերումը եւ արձագանքումը:

8. Ինքնավար մարմինը ծառայություն մատուցողների կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողների վերաբերյալ տեղեկություն փոխանցելիս պարտավոր է պահպանել տվյալ ծառայություն մատուցողների կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողների վերաբերյալ առեւտրային, ինչպես նաեւ օրենքով պահպանվող այլ գաղտնիքը (այդպիսիք առկա լինելու դեպքում):

9. Սույն օրենքով սահմանված՝ մշակվող, պահպանվող եւ փոխանցվող տվյալների համար պետք է ապահովվի անվտանգ պահպանության օրենսդրությամբ նախատեսված տեխնիկական եւ ծրագրային պայմաններ: Այդ տվյալները կարող են հասանելի լինել միայն օրենքով սահմանված կարգով իրավասու մարմինների կամ անձանց համար:

10. Ինքնավար մարմնի CERT թիմի անդամ չեն կարող լինել այն անձինք, ովքեր չեն համապատասխանում «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով սահմանված տեղեկատվական համակարգերի կարգավորման մարմնի ծառայողներին ներկայացվող հիմնական պահանջներին եւ սահմանափակումներին, ինչպես նաեւ ճանաչվել են սնանկ եւ ունեն չմարված (չներված) պարտավորություններ:

Հոդված 14. Ինքնավար մարմնի կողմից տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելը

1. Էական ազդեցություն ունեցող կիբեռմիջադեպի դեպքում Ինքնավար մարմինը իրավասու է ձեռնարկել համապատասխան միջոցներ եւ ամբողջությամբ կամ մասնակիորեն սահմանափակել ծառայություն մատուցողի կողմից կիրառվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը՝ հետեւյալ պայմանների համաժամանակյա առկայության դեպքում.

1) կիբեռմիջադեպը վտանգի է ենթարկում կամ վնասում է այլ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգությանը,

2) ծառայություն մատուցողի կիբեռանվտանգության մասնագետը չի կարողանում կամ ժամանակին ի վիճակի չէ դիմակայել էական ազդեցություն ունեցող կիբեռմիջադեպին կամ վերացնել կիբեռմիջադեպի հետեւանքով առաջացած այլ կիբեռսպառնալիքները,

3) Ինքնավար մարմնի պատճառաբանված եւ հիմնավորված եզրակացությամբ, այլ ճանապարհով հնարավոր չէ հակազդել կիբեռմիջադեպին կամ կանխել դրա հետագա սրացումը կամ առավել նվազ միջամտությամբ չեզոքացնել բացասական ազդեցությունը,

4) կիբեռմիջադեպից բխող այլ կիբեռսպառնալիքներին հակազդելու կամ կիբեռմիջադեպի հետեւանքները վերացնելու արդյունքում ծառայություն մատուցողին անհամաչափ վնաս չի պատճառվում:

2. Սույն հոդվածի 1-ին մասով նախատեսված միջոցի կիրառության մասին ծառայություն մատուցողն անհապաղ, բայց ոչ ուշ, քան 24 ժամվա ընթացքում տեղեկացվում է Ինքնավար մարմնի կողմից:

3. Սույն հոդվածի 1-ին մասով նախատեսված միջոցի կիրառումը համաձայնեցնվում է համապատասխան ծառայություն մատուցողին կարգավորող եւ վերահսկող այլ մարմնի հետ: Այն դեպքում, երբ էական ազդեցություն ունեցող կիբեռմիջադեպի հետեւանքները մեղմացնելու, դրա արագ սրացումը (ազդեցության մասշտաբների ընդլայնումը) կանխելու համար պահանջվում է հրատապ միջոցառումների ձեռնարկում եւ Ինքնավար մարմնի կողմից գնահատվում է, որ հապաղելու արդյունքում Հայաստանի Հանրապետության քաղաքացիներին կամ պետությանը պատճառվող վնասի չափերը կմեծանան, Ինքնավար մարմինը սույն հոդվածի 1-ին մասում նշված միջոցը կիրառում է՝ նախապես այն չհամաձայնեցնելով համապատասխան ծառայություն մատուցողին կարգավորող եւ վերահսկող այլ մարմնի հետ: Սույն մասում նշված դեպքում կիրառված միջոցի մասին Ինքնավար մարմինը, առաջին իսկ հնարավորության դեպքում, սակայն ոչ ուշ քան էական ազդեցություն ունեցող կիբեռմիջադեպից հետո 1 (մեկ) օրվա ընթացքում տեղեկացնում է համապատասխան ծառայություն մատուցողին կարգավորող եւ վերահսկող այլ մարմնին՝ ներկայացնելով մանրամասն տեղեկատվություն կիբեռմիջադեպի բնույթի, ձեռնարկված քայլերի, դրանց անհրաժեշտության եւ անհետաձգելիության մասին:

4. Սույն հոդվածի 1-ին մասով նախատեսված միջոցի կիրառության դեպքում կազմվում է արձանագրություն:

Հոդված 15. Կիբեռմիջադեպերի գրանցամատյան

1. Կիբեռմիջադեպերի գրանցամատյանը Ինքնավար մարմնի կողմից վարվող տվյալների շտեմարան է, որտեղ մուտքագրվում են կիբեռմիջադեպերը նկարագրող տվյալներ՝ կիբեռմիջադեպերի վերաբերյալ տվյալները գրանցելու, դրանք կանխարգելելու, լուծելու, ծանուցումներ ուղարկելու, վերահսկողական եւ մշտադիտարկման, ինչպես նաեւ սույն օրենքից բխող այլ գործառույթների իրականացման նպատակով վերլուծելու համար:

2. Կիբեռմիջադեպերի գրանցամատյանում ստացվող, վերլուծվող եւ տրամադրվող տվյալները դասակարգվում են եւ դրանց գաղտնիության աստիճանը որոշվում է օրենքով սահմանված կարգով: Գրանցամատյանի մուտքը սահմանափակված է, եւ դրանում պահվող տվյալները նախատեսված են ներքին օգտագործման համար, եթե այլ բան նախատեսված չէ օրենքով: Կիբեռմիջադեպերի գրանցամատյանի տեղեկությունները կարող են օգտագործվել միայն սույն օրենքով սահմանված նպատակներով:

3. Ինքնավար մարմնի աշխատակիցները, որոնց հասանելի են կիբեռմիջադեպերի գրանցամատյանում ստացվող, վերլուծվող եւ տրամադրվող տվյալները, պահպանում են այդ տվյալների գաղտնիությունը իրենց պարտականությունների կատարման ընթացքում եւ դրանց դադարումից հետո, ինչպես նաեւ օրենքով սահմանված կարգով պատասխանատվություն են կրում դրա անօրինական հրապարակման կամ երրորդ անձի փոխանցելու համար:

ԳԼՈՒԽ 5

ԿԵՆՍԱԿԱՆ ՆՇԱՆԱԿՈՒԹՅԱՆ ՈԼՈՐՏՆԵՐԻ ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ԱՌԱՆՁՆԱՀԱՏԿՈՒԹՅՈՒՆՆԵՐԸ

Հոդված 16. Կենսական նշանակության ոլորտները եւ դրանցում շահագորշվող կրիտիկական տեղեկատվական ենթակառուցվածքները

1. Կենսական նշանակության ոլորտում շահագործվող կրիտիկական տեղեկատվական ենթակառուցվածքների նույնականացման չափանիշները հաստատում է Հայաստանի Հանրապետության կառավարությունը, որոնց մշակման համար Լիազոր մարմինը հիմք է ընդունում հետեւյալ հանգամանքները՝

1) կիբեռմիջադեպի հնարավոր ազդեցությունը մեկ կամ մի քանի կենսական նշանակության ծառայությունների մատուցման վրա (համակարգային էֆեկտ).

2) կիբեռմիջադեպի տեւողությունը եւ վտանգավորության աստիճանը տնտեսական ակտիվության, շրջակա միջավայրի, բնակչության բնականոն կենսագործունեության ապահովման համար, ազգային անվտանգության կամ բնակչության առողջության վրա.

3) օգտվողների թիվը.

4) կրիտիկական տեղեկատվական ենթակառուցվածքի վերականգման կամ նորի ստեղծման համար անհրաժեշտ ֆինանսական ծախսերի գնահատականը եւ տվյալ պահի հաշվեկշռային արժեքը:

2. Կենսական նշանակության ոլորտներում շահագործվող կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը հաստատում է Հայաստանի Հանրապետության կառավարությունը, ըստ կիբեռանվտանգության ապահովման համար պատասխանատու պետական մարմինների:

3. Սույն օրենքի իմաստով կենսական նշանակության ոլորտներ են՝

1) Էներգետիկայի ոլորտ.

2) Արտադրության ոլորտ (քիմիական, սննդամթերքի, զենքի եւ զինամթերքի, բժշկական, էլեկտրական, համակարգչային, էլեկտրոնային եւ օպտիկական սարքերի արտադրության).

3) Տրանսպորտային ոլորտ.

4) Ջրի մատակարարման եւ կեղտաջրերի հեռացման ոլորտ.

5) Կապի, այդ թվում՝ հեռահաղորդակցության ոլորտ.

6) Փոստային կապի գործունեության ոլորտ.

7) Ֆինանսական ծառայությունների ոլորտ.

8) Առողջապահության ոլորտ.

9) Տեղեկատվական տեխնոլոգիաների ոլորտ, այդ թվում՝ թվային ենթակառուցվածքներ.

10) Ռադիոակտիվ, ընդերքօգտագործման եւ վտանգավոր թափոնների կառավարման ոլորտ.

11) Տիեզերական գործունեության ոլորտ.

12) Տվյալների շտեմարանների կառավարման եւ շահագործման ոլորտ.

13) Արտակարգ իրավիճակներում անվտանգության ապահովման ոլորտ.

14) Պետական կառավարման ոլորտ, այդ թվում՝ պետական մարմինների կողմից շահագործվող թվային ենթակառուցվածքներ:

4. Կենսական նշանակության ոլորտներում ծառայությունների տեսակները, ըստ տնտեսական գործունեության տեսակների դասակարգիչների, սահմանում է Հայաստանի Հանրապետության կառավարությունը՝ ծառայություններ մատուցողներին նույնականացնելու համար:

5. Ինքնավար մարմինը, սույն հոդվածի 1-ին մասում նշված նույնականացման չափանիշների հիման վրա, կարող է առանձին տեղեկատվական համակարգեր ժամանակավորապես ճանաչել որպես կենսական նշանակության ոլորտում կրիտիկական տեղեկատվական ենթակառուցվածք, այդ մասին ծանուցել ծառայություն մատուցողին եւ սահմանել միջոցառումներ, որոնք պետք է իրականացվեն: Ծանուցման մեջ սահմանվում է ողջամիտ ժամկետ, դրանց իրականացման համար: Ժամանակավորապես կրիտիկական տեղեկատվական ենթակառուցվածք ճանաչված տեղեկատվական համակարգի համար սահմանվող միջոցառումները պետք է համապատասխանեն խոցելիության գնահատման արդյունքում բացահայտված ռիսկերը նվազեցնելու նպատակին:

6. Սույն հոդվածի 5-րդ մասում նշված ծանուցումից հետո չորս ամսվա ընթացքում Ինքնավար մարմինը միջոցներ է ձեռնարկում ժամանակավորապես կրիտիկական տեղեկատվական ենթակառուցվածք ճանաչված տեղեկատվական համակարգը սույն հոդվածի 2-րդ մասում նշված ցանկում ներառելու համար: Սույն մասում նշված ժամկետի ավարտից հետո տեղեկատվական համակարգը սույն հոդվածի 2-րդ մասում նշված ցանկում չներառելու պարագայում այն այլեւս չի հանդիսանա կրիտիկական տեղեկատվական ենթակառուցվածք:

Հոդված 17. Տեղեկատվական համակարգում եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման հիմնական պայմանները

1. Տեղեկատվական համակարգերում կիբեռանվտանգության ապահովման համար սույն օրենքով, այլ օրենքներով դրա հիման վրա ընդունված իրավական ակտերով եւ «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով նախատեսված կարգավորման գործառույթներից բխող պահանջների, այդ թվում՝ կիբեռանվտանգության ապահովման նվազագույն պահանջների, կատարումը պարտադիր է: Ծառայություն մատուցողի կարգավորող եւ վերահսկող այլ մարմինը կարող է սահմանել կիբեռանվտանգության ապահովման նվազագույն պահանջներից ավելի խիստ պահանջներ, հաշվի առնելով կարգավորվող ոլորտի առանձնահատկությունները: Այդպիսի պահանջներ սահմանված լինելու դեպքում օրենքով նախատեսված աուդիտ, վերահսկողություն եւ մշտադիտարկում իրականացվում է՝ հիմք ընդունելով նաեւ այդ պահանջները:

2. Կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովման համար, բացի սույն հոդվածի 1-ին մասով սահմանված պահանջների կատարումից, ծառայություն մատուցողները պարտավոր են սույն օրենքով սահմանված կարգով եւ ժամկետներում անցնել կիբեռանվտանգության աուդիտ՝ կիրառելի միջազգային ստանդարտի (ինչպիսին է օրինակ՝ ստանդարտացման միջազգային կազմակերպության (ISO) ստանդարտը) կամ ազգային ստանդարտի հիման վրա: Կիրառելի միջազգային ստանդարտների ցանկը սահմանում է Հայաստանի Հանրապետության կառավարությունը:

3. Տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կառավարումը կամ շահագործումը (host of the system) կամ փոխգործելիությունը այլ անձի պատվիրակելու դեպքում, կիրառված կիբեռանվտանգության ապահովման միջոցների համար պատասխանատվություն կրում եւ Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանում է ծառայություն մատուցողը:

4. Տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովումը կիբեռանվտանգության ապահովման ծառայություն մատուցողի պատվիրակելու դեպքում, կիրառված կիբեռանվտանգության ապահովման միջոցների համար պատասխանատվություն կրում եւ Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանում է ծառայություն մատուցողը:

5. Ծառայություն մատուցողը մինչեւ պատվիրակման համապատասխան պայմանագրի կնքումը եւ դրանից հետո.

1) պարտավոր է գնահատել եւ կառավարել այն ռիսկերը, որոնք կարող են ազդել տեղեկատվական համակարգում կամ կրիտիկական տեղեկատվական ենթակառուցվածքում պահվող տվյալների գաղտնիության, հասանելիության կամ ամբողջականության վրա,

2) պարտավոր է գնահատել եւ հավաստիանալ, որ կիբեռանվտանգության ապահովման ծառայություն մատուցողն ունի կիբեռանվտանգության ոլորտի օրենսդրությամբ սահմանված պահանջների վերաբերյալ բավարար գիտելիքներ եւ կիրառման փորձ, գործնական գիտելիքներ եւ փորձ, աշխատողների համար ստեղծված են բավարար պայմաններ՝ սույն օրենքի 4-րդ հոդվածով սահմանված սկզբունքների պահպանմամբ ծառայություններ մատուցելու համար:

6. Ծառայություն մատուցողը տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովման պատվիրակումը նախապես համաձայնեցնում է Ինքնավար մարմնի հետ: Սույն մասով նախատեսված պատվիրակման համաձայնեցման կարգը եւ ներկայացվող տեղեկությունների ցանկը հաստատում է Ինքնավար մարմինը:

Հոդված 18. Կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման առանձնահատկությունները

1. Կրիտիկական տեղեկատվական ենթակառուցվածքում կիբեռանվտանգության պետական կառավարումը եւ կարգավորումն իրականացվում է հաշվի առնելով Հայաստանի Հանրապետության կառավարության կողմից հաստատված կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը:

2. Ծառայություն մատուցողը պարտավոր է սույն օրենքից բխող կազմակերպչական, տեխնիկական, ծրագրային միջոցներ ձեռնարկել կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության պատշաճ ապահովման համար, համագործակցել իրավասու պետական մարմինների հետ, ստանալ տեղեկատվություն եւ խորհրդատվություն կիբեռմիջադեպերից պաշտպանության միջոցների, ինչպես նաեւ դրանց հայտնաբերման, կանխարգելման, հետեւանքների վերացման մեթոդների վերաբերյալ:

ԳԼՈՒԽ 6

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ԾԱՌԱՅՈՒԹՅՈՒՆ ՄԱՏՈՒՑՈՂՆԵՐԻՆ ՆԵՐԿԱՅԱՑՎՈՂ ՊԱՀԱՆՋՆԵՐԸ

Հոդված 19. Կիբեռանվտանգության ապահովման ծառայություն մատուցողներին ներկայացվող պահանջները

1. Կիբեռանվտանգության ապահովումը կարող է պատվիրակվել կիբեռանվտանգության ապահովման ծառայություն մատուցողի, որը ունի կիբեռանվտանգության ոլորտում կիրառելի միջազգային ստանդարտով կամ ազգային ստանդարտով սահմանված չափանիշներին եւ պահանջներին համապատասխանությունը հավաստող փաստաթուղթ:

2. Կիբեռանվտանգության ապահովումն այլ պետություններում գրանցված կամ գործունեություն իրականացնող կիբեռանվտանգության ապահովման ծառայություն մատուցողի պատվիրակելու դեպքում, միջազգային ստանդարտով կամ ազգային ստանդարտով սահմանված չափանիշներին եւ պահանջներին համապատասխանությունը հավաստող փաստաթուղթ ճանաչում է Ինքնավար մարմինը, Հայաստանի Հանրապետությունում կիրառելի՝ միջազգային համագործակցության մասին համաձայնագրերի (պայմանագրերի) հիման վրա:

3. Կիբեռանվտանգության ապահովման ծառայություն մատուցողը պարտավոր է սույն օրենքի 20-րդ հոդվածի 2-րդ մասով սահմանված կարգով անցնել կիբեռանվտանգության աուդիտ: Աուդիտի արդյունքներով կազմված հաշվետվությունն այն ստանալուց հետո տասնհինգ օրվա ընթացքում ներկայացվում է Ինքնավար մարմին եւ ծառայություն մատուցողին:

4. Կիրառելի միջազգային ստանդարտների ցանկը սահմանում է Հայաստանի Հանրապետության կառավարությունը:

ԳԼՈՒԽ 7

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՈՒԴԻՏ

Հոդված 20. Կիբեռանվտանգության աուդիտ

1. Կիբեռանվտանգության աուդիտի արդյունքում գնահատվում է ծառայության մատուցողի կիբեռանվտանգության ապահովման ներքին կանոնակարգի եւ դրա կիրարկման համապատասխանությունը սույն օրենքի պահանջներին:

2. Ծառայություն մատուցողը պարտավոր է երեք տարին մեկ անցնել կիբեռանվտանգության աուդիտ, եթե կիրառելի միջազգային ստանդարտով կամ ազգային ստանդարտով այլ ժամկետ սահմանված չէ: Աուդիտի արդյունքներով կազմված հաշվետվությունը այն ստանալուց հետո մեկ ամսվա ընթացքում ներկայացվում է Ինքնավար մարմին: Կիրառելի միջազգային ստանդարտների ցանկը սահմանում է Հայաստանի Հանրապետության կառավարությունը:

3. Ինքնավար մարմինը կիբեռանվտանգության աուդիտորների որակավորմանը ներկայացվող պահանջներին համապատասխան որակավորում է ֆիզիկական անձանց եւ կազմակերպությունների, ինչպես նաեւ իրականացնում Հայաստանի Հանրապետությունում ընդունելի՝ միջազգայնորեն ճանաչված աուդիտորի որակավորում ունեցող անձանց հաշվառում եւ վերջիններիս ցանկի հրապարակումը Ինքնավար մարմնի պաշտոնական կայքէջում:

4. Շահագործվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի առանձնահատկություններով պայմանավորված ծառայություն մատուցողը կարող է իր ինքնուրույն որոշմամբ սույն հոդվածի 2-րդ մասում նշված ժամկետից շուտ անցնել կիբեռանվտանգության աուդիտ:

5. Այն դեպքում, երբ Ինքնավար մարմինն ուսումնասիրության արդյունքում պարզում է, որ ծառայություն մատուցողի մոտ կիբեռանվտանգության աուդիտը չի իրականացվել սույն օրենքի կամ կիբեռանվտանգության աուդիտի պահանջներին համապատասխան, կարող է ծառայություն մատուցողից պահանջել անցնել կիբեռանվտանգության նոր աուդիտ:

6. Կիբեռանվտանգության աուդիտ իրականացնող անձը վճարվում է ծառայություն մատուցողի կողմից:

ԳԼՈՒԽ 8

ՕՐԵՆՔԻ ԵՎ ԴՐԱ ՀԻՄԱՆ ՎՐԱ ԸՆԴՈՒՆՎԱԾ ԻՐԱՎԱԿԱՆ ԱԿՏԵՐԻ ՊԱՀԱՆՋՆԵՐԻ ԿԱՏԱՐՄԱՆ ՆԿԱՏՄԱՄԲ ՎԵՐԱՀՍԿՈՂՈՒԹՅՈՒՆԸ, ՄՇՏԱԴԻՏԱՐԿՈՒՄԸ, ՊԱՏԱՍԽԱՆԱՏՎՈՒԹՅՈՒՆԸ

Հոդված 21. Օրենքի եւ դրա հիման վրա ընդունված իրավական ակտերի պահանջների պահպանման նկատմամբ վերահսկողությունը

1. Ինքնավար մարմինը սույն օրենքի եւ դրա հիման վրա ընդունված իրավական ակտերի պահանջների պահպանման նկատմամբ վերահսկողություն իրականացնում է «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով սահմանված կարգով:

2. Ինքնավար մարմինը կարգավորող եւ վերահսկող այլ մարմինների կողմից շահագործվող կենսական նշանակության տեղեկատվական համակարգերի կամ կրիտիկական տեղեկատվական ենթակառուցվածքների նկատմամբ վերահսկողություն իրականացնում է մշտադիտարկման միջոցով՝ նշված մարմիններից ստացված, սույն օրենքով սահմանված աուդիտի արդյունքների հիման վրա:

Հոդված 22. Ինքնավար մարմնի կողմից իրականացվող մշտադիտարկումը

1. Ինքնավար մարմինը սույն օրենքով սահմանված դեպքերում եւ կարգով իրականացնում է ծառայություն մատուցողների գործունեության մշտադիտարկում՝ (այսուհետ՝ մշտադիտարկում) ծառայություն մատուցողների տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիրառվող կիբեռանվտանգության ապահովման միջոցների համապատասխանությունը սույն օրենքի եւ դրա հիման վրա ընդունված ենթաօրենսդրական իրավական ակտերով սահմանված պահանջներին գնահատելու նպատակով:

2. Մշտադիտարկումը կարող է իրականացվել ինչպես Ինքնավար մարմնում, այնպես էլ ծառայություն մատուցողի համաձայնությամբ իր տարածքում՝ ծառայություն մատուցողի գտնվելու կամ գործունեության իրականացման վայրում:

3. Մշտադիտարկում իրականացնելիս կարող են կիրառվել համակարգչային տեխնոլոգիաներ եւ այլ տեխնիկական կամ ծրագրային միջոցներ, էլեկտրոնային եւ այլ սարքավորումներ, կրիչներ, կատարվել այլ գործողություններ՝ ուղղված մշտադիտարկման իրականացմանն ու արդյունքների ամփոփմանը:

4. Ինքնավար մարմնի կողմից ծառայություն մատուցողի մոտ մշտադիտարկումն իրականացվում է հետեւյալ եղանակներով.

1) կիբեռանվտանգության ապահովման նվազագույն պահանջներին համապատասխանության գնահատում.

2) ռիսկերի գնահատման հիման վրա կազմված կիբեռմիջադեպերի կանխարգելման միջոցառումների ծրագրով նախատեսված առանձին միջոցառումների կատարման համապատասխանության գնահատում.

3) որակավորված աուդիտորի կողմից կիբեռանվտանգության աուդիտի արդյունքներով կազմված հաշվետվության պահանջների կատարման գնահատում.

օրենքով նախատեսված այլ դեպքերում:

4. Նախքան ծառայություն մատուցողի տարածքում մշտադիտարկման իրականացումը Ինքնավար մարմինն այդ մասին տեղեկացնում է ծառայություն մատուցողին, ինչպես նաեւ համապատասխան ծառայություն մատուցողին կարգավորող եւ վերահսկող այլ մարմնին՝ նշելով մշտադիտարկման առարկան, նպատակը, ժամանակահատվածը, իրականացման վայրը:

5. Մշտադիտարկման արդյունքներով կազմվում է արձանագրություն, որի վերաբերյալ ծառայություն մատուցողը այն ստանալու օրվանից հետո՝ յոթնօրյա ժամկետում, իրավունք ունի Ինքնավար մարմնին ներկայացնելու առարկություններ կամ առաջարկություններ:

6. Ինքնավար մարմինը կարող է ծառայություն մատուցողին տալ պարտադիր կատարման ենթակա ցուցումներ, սահմանել ժամանակացույց՝ ծառայություն մատուցողի կողմից տրված ցուցումների կատարման կամ թերությունների վերացման նպատակով՝ համաձայնեցնելով համապատասխան ծառայություն մատուցողին կարգավորող եւ վերահսկող այլ մարմնի հետ: Ծառայություն մատուցողը պարտավոր է սահմանված ժամանակացույցի համաձայն կատարել Ինքնավար մարմնի տրված ցուցումները կամ վերացնել արձանագրված թերությունները եւ այդ մասին տեղեկացնել Ինքնավար մարմին՝ ներկայացնելով ապացույցներ:

7. Մշտադիտարկման արդյունքների հիման վրա պատասխանատվության միջոցներ չեն կարող կիրառվել:

Հոդված 23. Ինքնավար մարմնի օրինական պահանջները չկատարելու հետեւանքները

1. Եթե ծառայություն մատուցողը կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողը չի կատարում Ինքնավար մարմնի օրինական պահանջները, ապա Ինքնավար մարմինը.

1) դիմում է ծառայություն մատուծողի կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողի վերադաս մարմնին կամ համապատասխան պաշտոնատար անձին՝ պարտականությունների կատարման մեջ թերացած անձի նկատմամբ կարգապահական պատասխանատվության միջոց կիրառելու գործընթաց սկսելու համար.

2) դիմում է ծառայություն մատուծողի կարգավորող եւ վերահսկող այլ մարմնին՝ համապատասխան վարույթ հարուցելու եւ պատասխանատվության միջոց կիրառելու պահանջով.

3) օրենքով սահմանված կարգով նախաձեռնում է համապատասխանության գնահատում անցկացնելու գործընթաց.

4) ամբողջությամբ կամ մասնակիորեն սահմանափակում է պետական տեղեկատվական համակարգի կամ տվյալների փոխանակման շերտի օգտագործման հնարավորությունը՝ մինչեւ Ինքնավար մարմնի օրինական պահանջների կատարումը, եթե ունի հիմնավոր կասկածներ, որ նշված սահմանափակումը չկիրառելը կարող է խափանել պետական տեղեկատվական համակարգի անվտանգ եւ անխափան աշխատանքը:

2. Սույն հոդվածի 1-ին մասի 4-րդ կետով նախատեսված հետեւանքը կարող է կիրառվել ինչպես առանձին, այնպես էլ 1-ին կամ 2-րդ կամ 3-րդ կետերի հետ միաժամանակ:

3. Կարգապահական պատասխանատվության միջոց կիրառելու իրավունք ունեցող պաշտոնատար անձը պարտավոր է դիմումը ստանալու պահից մեկամսյա ժամկետում ձեռնարկել միջոցներ եւ արդյունքների մասին տեղեկացնել Ինքնավար մարմնին:

4. Ծառայություն մատուցողի կարգավորող եւ վերահսկող այլ մարմինը համապատասխան վարույթ հարուցելու եւ պատասխանատվության միջոց կիրառելու դիմումի ընթացքի մասին Ինքնավար մարմնին տեղեկացնում է դիմումը ստանալու պահից տասնհինգ օրվա ընթացքում:

Հոդված 24. Պատասխանատվությունը սույն օրենքի պահանջների խախտման համար

1. Սույն օրենքի պահանջների խախտումն առաջացնում է օրենքով սահմանված վարչական կամ քրեական պատասխանատվություն:

2. Ծառայություն մատուցողը կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողը կամ նրանց աշխատողները (ղեկավարները) չեն կարող ենթարկվել գույքային, վարչական պատասխանատվության՝ սույն օրենքից բխող իրենց պարտականությունների պատշաճ կատարման համար:

3. Ինքնավար մարմնի հանրային ծառայողները կամ աշխատակիցները չեն կարող ենթարկվել գույքային, վարչական պատասխանատվության սույն օրենքով նախատեսված իրենց պարտականությունների պատշաճ կատարման համար:

ԳԼՈՒԽ 9

ԵԶՐԱՓԱԿԻՉ ՄԱՍ ԵՎ ԱՆՑՈՒՄԱՅԻՆ ԴՐՈՒՅԹՆԵՐ

Հոդված 25. Եզրափակիչ մաս եւ անցումային դրույթներ

1. Սույն օրենքն ուժի մեջ է մտնում պաշտոնական հրապարակմանը հաջորդող տասներորդ օրը, բացառությամբ.

1) սույն օրենքի 8-րդ հոդվածի, որն ուժի մեջ է մտնում նշված հոդվածի 2-րդ մասով սահմանված ենթաօրենսդրական նորմատիվ իրավական ակտի ուժի մեջ մտնելուց հետո,

2) սույն օրենքի 9-րդ հոդվածի 2-րդ մասի, 3-րդ մասի 1-2-րդ, 4-6-րդ եւ 13-րդ կետերի, որոնք ուժի մեջ են մտնում համապատասխան ենթաօրենսդրական նորմատիվ իրավական ակտերի ուժի մեջ մտնելուց հետո:

2. Ծառայություն մատուցողները, ովքեր շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածքներ եւ կիբեռանվտանգության ապահովման ծառայություն մատուցողները օրենքի ուժի մեջ մտնելուց հետո քսանչորսամսյա ժամկետում Ինքնավար մարմին են ներկայացնում կիբեռանվտանգության ոլորտում միջազգային ստանդարտով կամ ազգային ստանդարտով սահմանված չափանիշներին եւ պահանջներին համապատասխանությունը հավաստող փաստաթուղթ:

3.Կիբեռանվտանգության ապահովման ծառայություն մատուցողները կիբեռանվտանգության աուդիտ անցնում են կիբեռանվտանգության ոլորտում միջազգային կամ ազգային ստանդարտներով սահմանված համապատասխանություն հավաստող փաստաթուղթ ստանալուց հետո մեկ տարի անց:

4. Սույն օրենքից բխող ենթաօրենսդրական նորմատիվ իրավական ակտերն, այդ թվում ազգային ստանդարտն ընդունվում են սույն օրենքն ուժի մեջ մտնելուց հետո՝ տասներկուամսյա ժամկետում:

5.Ծառայություն մատուցողներն իրենց կիբեռանվտանգության ապահովման ներքին կանոնակարգերը ընդունում, իրենց կողմից կիրառվող տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում ռիսկերի գնահատումը, կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագրի մշակումն իրականացնում են սույն օրենքի ուժի մեջ մտնելուց հետո՝ տասութամսյա ժամկետում:

ՀԻՄՆԱՎՈՐՈՒՄ

«ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՄԱՍԻՆ», «ՀԱՆՐԱՅԻՆ ՏԵՂԵԿՈՒԹՅՈՒՆՆԵՐԻ ՄԱՍԻՆ», «ՏԵՂԵԿԱՏՎԱԿԱՆ ՀԱՄԱԿԱՐԳԵՐԻ ԿԱՐԳԱՎՈՐՄԱՆ ՄԱՐՄՆԻ ՄԱՍԻՆ» ՕՐԵՆՔՆԵՐԻ ԵՎ ՀԱՐԱԿԻՑ ՕՐԵՆՔՆԵՐԻ ՆԱԽԱԳԾԵՐԻ ՓԱԹԵԹԻ ԸՆԴՈՒՆՄԱՆ

1. Ընթացիկ իրավիճակը եւ իրավական ակտի ընդունման անհրաժեշտությունը.

Տեղեկատվական հասարակության զարգացմանը զուգահեռ, ինչպես աշխարհում, այնպես էլ Հայաստանում ակտիվ գործընթացներ են ծավալվում տեղեկատվական համակարգերի եւ էլեկտրոնային հաղորդակցության ցանցերի տարածման, տնտեսության նոր ոլորտներում դրանց կիրառության աշխարհագրության ընդլայնման, հասարակության լայն շրջանակների կողմից օգտագործման ուղղություններով:

Տեղեկատվական տեխնոլոգիաների զարգացման եւ կիրառության ընդլայնման դրական միտումներին զուգահեռ առաջ են գալիս նոր մարտահրավերներ՝ կապված այդ համակարգերի եւ ցանցերի կիբեռանվտանգության ապահովման, պետության անվտանգության եւ տնտեսության բնականոն կենսագործունեության համար կարեւոր նշանակություն ունեցող տեղեկատվական համակարգերում եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում (այդ թվում՝ ֆինանսական, բանկային, հեռահախորդակցության, էներգետիկ, առողջապահական եւ այլ կենսական նշանակության ոլորտներում գտնվող համակարգերում) տեղի ունեցող կիբեռմիջադեպերի կանխարգելման եւ լուծման, դրանց ազդեցության մեղմացման, հետեւանքների վերացման հետ:

Հայաստանում էլեկտրոնային կառավարման եւ էլեկտրոնային ծառայությունների մատուցման ներդրման գործընթացը սկսվել է դեռեւս 90-ական թվականների վերջերից: ՀՀ կառավարության կողմից 2008 թվականին ընդունվել է Գործողությունների ծրագիր՝ ուղղված էլեկտրոնային կառավարման համակարգի զարգացմանը: Արդյունքում իրականացվել են մի շարք նախաձեռնություններ, որոնցից, որպես հաջողված օրինակներից մեկը, կարելի է մատնանշել Էլեկտրոնային կառավարման գործիքների համակարգը (www.e-gov.am)՝ ավելի քան 20 առցանց ծառայություններով: Չնայած դրան, պետական կառավարման հատվածում թվային զարգացումը մինչ այժմ ընթացել է անհամաչափ: Հանրային ծառայությունների թվային զարգացումը ներկայումս տարբեր գերատեսչություններում գտնվում է տարբեր փուլերում: Թվայնացումն իրականացվել է տարբեր սկզբունքներով՝ ըստ տարբեր կառավարությունների ռազմավարական առաջնահերթությունների, առանձին գերատեսչությունների թվային պատրաստվածության, առանձին ծառայությունների թվայնացման առաջնահերթությունների, ինչպես նաեւ քաղաքացիների պահանջների եւ կարիքների: Սա հանգեցրել է թվայնացման ասպարեզում մի քանի առաջատար օղակների ձեւավորմանը, որոնք առանձնանում են այս ոլորտում իրենց բավականին լավ զարգացած կարողություններով: Միեւնույն ժամանակ մի շարք գերատեսչություններում թվայնացման զարգացման մակարդակը չափազանց ցածր է: Պետական համակարգում թվային փոխակերպման միասնական քաղաքականության եւ միասնական մոտեցումների բացակայության արդյունքում կառավարության թվայնացումը հիմնականում կրել է ապակենտրոնացված բնույթ՝ մասնակի լուծումներով:

Հաջորդ խնդիրը տվյալների բազաների միջեւ արդյունավետ եւ անխափան փոխգործելիության հարթակի բացակայությունն է: Համակարգերի անխափան փոխգործելիության նախապայման է հանդիսանում տվյալների ավտոմատացված փոխանակման համակարգի ստեղծումը: Թվայնացված բազմաթիվ պետական ծառայությունների դեպքում բացակայում է առնչվող ծառայությունների հետ փոխկապակցվածությունը, արդյունքում քաղաքացիների համար ամբողջապես թվային հանրային ծառայությունը համալիր կերպով չի տրամադրվում:

Համակարգման եւ ջանքների մեկտեղման խնդիրը առկա է նաեւ տեղեկատվական համակարգերում եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման հարցում: Հայաստանում պետական գերատեսչություններն առանձին-առանձին փորձում են ապահովել իրենց կիբեռանվտանգությունը, սակայն դա հատվածային է, եւ չկա համընդհանուր, միասնական կամ համապետական մոտեցում:

Կենսական կարեւոր նշանակության ոլորտներում ծառայությունների մատուցման համար կիրառվող տեղեկատվական համակարգերի կիբեռանվտանգության ցածր մակարդակն հանգեցրել է մի քանի էական հետեւանքների.

կիբեռհարձակումների աճ, որոնք ուղղված են ինչպես պետական, այնպես էլ մասնավոր հատվածներին: Օրինակ, Ըստ «Կասպերսկու լաբորատորիայի» տվյալների, 2016 թվականին Հայաստանի յուրաքանչյուր 3-րդ օգտատեր բախվել է կիբեռսպառնալիքի, այն էլ տարեկան միջինը 82 անգամ: «Կասպերսկու լաբորատորիայի» մեկ այլ զեկույցի համաձայն Հայաստանում կիբեռհարձակումները 2021 թվականի առաջին կիսամյակում նախորդ տարվա համեմատ աճել են 20 տոկոսով: Կիբեռմիջադեպերի այս աճը ցույց է տալիս աճող սպառնալիքների լանդշաֆտը եւ ներկայումս գործող ոչ համարժեք պաշտպանական մեխանիզմները:

Թվային ծառայությունների նկատմամբ հանրային վստահության նվազում: Կիբեռանվտանգության խոցելի միջավայրը սահմանափակում է նաեւ թվայնացումից սպասվող օգուտները, ինչի պարագայում կրիտիկական տեղեկատվական ենթակառուցվածքների բացահայտումը եւ պաշտպանությունը դառնում է հրամայական:

Բացասական ազդեցություն օտարերկրյա եւ ներքին ներդրումների վրա՝ ազդեցություն ունենալով ընդհանուր բիզնես միջավայրի վրա: Հաշվի առնելով, որ բիզնեսները դառնում են ավելի շատ կախված թվային տեխնոլոգիաներից, ներդրողները առաջնահերթություն են տալիս այն երկրներին, որոնք ունեն ուժեղ կիբեռանվտանգության շրջանակներ: Համաշխարհային բանկը նշել է, որ կիբեռանվտանգության թույլ միջոցներ ունեցող երկրներն ավելի քիչ գրավիչ են օտարերկրյա ներդրողների համար՝ բիզնես գործառնությունների բարձր ռիսկերի պատճառով:

Վերոնշված խնդիրների կուտակային ազդեցություն՝ պետական կառույցների նկատմամբ հանրային վստահության նվազեցման համար:

Հեռահաղորդակցության միջազգային միության (ITU) զեկույցում նշվում է, որ կիբեռանվտանգության ավելի ցածր պատրաստականություն ունեցող երկրներում, ինչպիսին է Հայաստանը, անձնական տվյալների խախտումների ավելի բարձր հաճախականություն է նկատվում՝ ազդելով հանրային վստահության եւ անվտանգության վրա: Կիբեռանվտանգության ցածր մակարդակը նաեւ նշանակում է, որ անձնական տվյալների կորստի դեպքերը կդառնան ավելի հաճախակի եւ կոպիտ, հետեւաբար, տվյալների, տվյալների պաշտպանության եւ կիբեռանվտանգության վերաբերյալ ոչ համարժեք օրենքներ ունեցող երկրներում նկատվում են անձնական տվյալների գողության եւ ֆինանսական խարդախությունների ավելի բարձր տեմպեր:

Եվրոպական միության կիբեռանվտանգության գործակալությունը (ENISA) եւս կրիտիկական ենթակառուցվածքների ոլորտում կիբեռանվտանգության կանոնակարգերի բացակայությունը համարում է խիստ ռիսկային:

Այս առումով Հայաստանը փաստացի գտնվում է խոցելի պետությունների ցանկում, իսկ կիբեռանվտանգության ապահովման համընդհանուր քաղաքականության բացակայությունը կարող է ավելի խոցելի դարձնել երկրի ցանցային եւ տեղեկատվական համակարգերը: Օրենսդրական կարգավորումների բացը էական խոչընդոտ է դարձել երկրի թվային օրակարգի զարգացման հարցում, այդ թվում նաեւ միջազգային ընկալման եւ տարբեր երկրների հետ կիբեռ համագործակցության տեսանկյունից: ITU-ի Կիբեռանվտանգության գլոբալ ինդեքսով, որը երկրի առաջընթացը գնահատում է հինգ հիմնական ցուցանիշներով (իրավական, տեխնիկական, համագործակցային, կարողությունների զարգացման եւ ինստիտուցիոնալ) 2020 թվականի համեմատ 2023 թվականին Հայաստանի դիրքը բարելավել է ընդհամենը 3.4 կետով: Հետեւաբար, միայն օրենսդրական հենքի՝ «Կիբեռանվտանգության մասին» օրենքի ընդունումը եւ վերջին մեկուկես տարում ՀՀ կառավարության ձեռնարկած քայլերը՝ կարողությունների զարգացման, համագործակցության եւ AM-CERT (Հայաստանի համակարգչային արտակարգ իրավիճակների արձագանքման թիմի) ստեղծմամբ կկապիտալիզացվեն եւ երկիրը առավել բարենպաստ դիրքերում կհայտնվի:

Հաջորդ խնդիրը վերաբերում է տեղեկատվության ազատության ապահովման բնագավառում թվային տեխնոլոգիաների օգտագործմանը կամ տեղեկություններին հասանելիության ապահովվումը տեղեկատվական տեխնոլոգիաների միջոցով: «Տեղեկատվության ազատության մասին» ՀՀ գործող օրենքը նախատեսում է տեղեկատվության ապահովման երկու եղանակ՝ տեղեկություն պահանջող անձի հարցմանը պատասխանելով եւ տարին մեկ անգամ տեղեկատվություն տնօրինողների կողմից օրենքով նախատեսված 13 խումբ տեղեկությունները պարտադիր տարին մեկ անգամ հրապարակելով, որոնք, որպես տեղեկատվության ազատության իրավունքի իրացման միջոց, շարունակելու են մնալ ուժի մեջ: Այսինքն, քաղաքացիներին որակյալ հանրային ծառայություններ մատուցելու տեսանկյունից, նախապատվությունը չի տրվում թվային տեխնոլոգիաների միջոցով տեղեկատվության հասանելիություն ապահովելուն: Այդ մոտեցումը, որը հայտնի է նաեւ «բաց տեղեկությունների քաղաքականության սկզբունքը» անվանմամբ, որը վաղուց կիրառվում է առաջադեմ մի շարք երկրներում:

Վերը նկարագրածը վկայում է այն մասին, որ տարիների ընթացքում կենսական կարեւոր նշանակության ոլորտներում կիրառվող տեղեկատվական համակարգերի կիբեռանվտանգության ցածր մակարդակը, հանրային ծառայությունների հատվածական եւ որեւէ տրամաբանության չենթարկվող թվայնացումը, տվյալների դասակարգման, պահպանման եւ կառավարման միասնական կարգավորիչ միջավայրի բացակայությունը հանրության լայն շրջանակներում Հայաստանի թվային փոխակերպման ապագայի հանդեպ լավատեսական ակնկալիքներ չեն ձեւավորել, հետեւաբար, հասունացել է պահը ինստիտուցիոնալ լուծումներով հասնել Հայաստանի թվային փոխակերպման միասնական օրակարգի ձեւավորմանը, տվյալների կառավարման, կիբեռանվտանգության ապահովման նոր քաղաքականության ներդրմանը:

2. Առաջարկվող կագավորման բնույթը.

Նախագծերի փաթեթով առաջարկվում է.

Տեղեկատվական արդյունավետ համակարգերի ստեղծմամբ եւ տեղեկատվական տեխնոլոգիաների միջոցով ապահովել միջազգային չափանիշներին բավարարող թվային ծառայությունների մատուցում: Մասնավորապես նախատեսվում է բաց տվյալների քաղաքականության սկզբունքի ներդրմամբ ապահովել ԾՕՀ կամ պետական գաղտնիք չդասակարգված տեղեկությունների բացահայտում պաշտոնական կայքէջերում, փոխգործելի շտեմարանների միջոցով սկզբնաղբյուր տվյալները հասանելի դարձնել պետության կողմից մատուցվող բոլոր ծառայությունների համար, սահմանել ընդհանուր ստանդարտներ, չափանիշներ պետական տեղեկատվական համակարգերի համար եւ ապահովել դրանց կիրառման հստակ մեխանիզմներ: Այս եղանակները օրենքի մակարդակում առաջարկվում է կարգավորել առաջին անգամ:

Պետական կառավարման համակարգի մարմինների միջեւ ապահովել տվյալների միասնական օգտագործման գործուն համակարգ (փոխգործելիություն), կիրառելով տվյալների հավաքագրման «մեկանգամյա» սկզբունքը:

Ապահովել պետական տեղեկատվական համակարգի քաղաքականության մշակման, իրականացման, վերահսկողության եւ հսկողության միասնական համակարգի ներդրում:

Ապահովել պետական տեղեկատվական համակարգի կառավարման թվային տեխնոլոգիաների ներդրման ինստիտուցիոնալ մեխանիզմների մշակում, թվայնացման ստանդարտների մշակում եւ ներդրում, անվտանգության չափանիշների ներդրում, միասնական հենքի կիրառում:

Թվայնացման միջոցով նախատեսվում է նպաստել պետության կողմից մատուցվող ծառայությունների որակի բարելավմանը եւ հասանելիության բարձրացմանը,

Ձեւավորել եւ սպասարկել պետական ծառայությունների միասնական հարթակ, ապահովել թվայնացման նախագծերի տեխնիկական վերահսկողություն, թվային լուծումների թեստավորում, ստանդարտների եւ պահանջների համապատասխանության ստուգում,

Ապահովել պետական տեղեկատվական համակարգի ձեւավորման հիմնաքար հանդիսացող տեղեկատվական շտեմարանների ստուգում եւ ներդաշնակեցում, տվյալների շտեմարանի տեխնիկական համապատասխանություն, հավաքվող տվյալների ու դրանց աղբյուրների օրենքով կամ դրա հիման վրա ընդունված օրենսդրությամբ սահմանված պահանջներին համապատասխանություն:

Ներդնել կիբեռանվտանգության ոլորտում պետական համալիր քաղաքականություն, մշակել ոլորտային ռազմավարություն եւ գործողությունների ծրագիր՝ կիբեռանվտանգության մարտահրավերների եւ ռիսկերի գույքագրման, դրանց դասակարգման, կիբեռմիջադեպերին արձագանքման համակարգված միջոցառումների եւ սկզբունքների սահմանման, արտակարգ իրավիճակներում եւ ռազմական դրության ժամանակ կիբեռանվտանգության ապահովման ուժեղացման, լրացուցիչ գործողությունների պլանի եւ համապատասխան սցենարների մշակման, դերերի եւ պատասխանատվության շրջանակի հստակեցման, կիբեռվարժանքների պլանավորման եւ իրականացման, հասարակության լայն շրջանակների իրազեկման եւ կիբեռգրագիտության մակարդակի բարձրացմանը միտված ծրագրեր իրականացնելու համար: Օրենքի նախագծով սահմանված կիբեռանվտանգության կարգավորումները նպատակ ունեն ապահովել secure by design «անվտանգություն ըստ դիզայնի» սկզբունքը, այսինքն՝ թվային հասարակության եւ տնտեսության ձեւավորումը՝ կիբեռանվտանգ միջավայրում:

Ստեղծել ինքնավար մարմնի կարգավիճակով նոր պետական մարմին՝ Տեղեկատվական համակարգերի կարգավորման հանձնաժողով, որի ձեւավորման հիմքում դրվելու է մասնագիտական անկախության, կայացված որոշումների վերաբերյալ մասնագիտական իմունիտետ ունենալու եւ քաղաքական ազդեցություններից զերծ մնալու սկզբունքները: Մարմինն իրականացնելու է կարգավորող իրավասություններ հետեւյալ հիմնական ուղղություններով.

- Հանրային տեղեկությունների հասանելիության եւ կառավարման մասով. պետական թվայնացման լուծումների տեղակայում, կառավարում եւ սպասարկում, 24/7 ռեժիմում անխափան աշխատանքի ապահովում, միջազգային ստանդարտներին համապատասխան տվյալների, թվային պահոցների եւ համակարգերի մշտադիտարկում եւ անվտանգության ապահովում, ժամանակակից ամպային ենթակառուցվածքների, ծառայությունների եւ տեխնոլոգիաների ներդրում, որը նաեւ հասանելի կլինի մասնավոր հատվածի համար:

- Կիբեռանվտանգության մասով. Կիբեռանվտանգության ստանդարտների մշակում եւ կենսական նշանակության ոլորտների տեղեկատվական համակարգերի համապատասխանության ստուգում այդ ստանդարտներին, փորձագիտական խորհրդատվություն, կիբեռանվտանգության մակարդակի/վիճակի մշտադիտարկում, կիբեռանվտանգության նվազագույն պահանջների մշակում եւ ընդունում, ինչպես նաեւ կիբեռգրագիտության բարձրացման տարբեր ծրագրերի իրականացնում քաղաքացիների եւ պետական ծառայողների համար:

- Նույնականացման, թվային ստորագրության եւ գաղտնագրման ծրագրային ապահովումների մշակման սկզբունքների սահմանում, ներդրում, կառավարում:

- Տեղեկատվական համակարգերի եւ կիբեռանվտանգության ոլորտներում ընդունված իրավական ակտերի կիրառման ապահովում, դրանց խախտումների կանխարգելում եւ վերահսկողություն:

Հարակից օրենքներում կատարել անհրաժեշտ փոփոխություններ եւ լրացումներ՝ Տեղեկատվական համակարգերի կարգավորման հանձնաժողովի բնականոն գործունեության ապահովման, պետական տեղեկատվական միասնական համակարգի ստեղծման, տվյալների դասակարգման, փոխանակաման փուլում տվյալների պաշտպանության, այդ թվում՝ պետական տեղեկատվական համակարգից օգտվողների համար՝ անձնական տվյալների նկատմամբ հսկողության արդյունավետ գործիքի ներդրման ու դրա ապահովման, բաց տվյալների քաղաքականության ներդրման, ինչպես նաեւ վարչական պատասխանատվության դեպքերի կիրառման հետ կապված կարգավորումները հստակեցնելու եւ օրենքների նախագծերի կարգավորման առարկային առնչվող այլ հարաբերություններ կարգավորելու նպատակով:

3. Ակնկալվող արդյունքը.

Ներկայացված նախագծերի փաթեթով առաջարկում է կիբեռանվտանգության, բաց տվյալների քաղաքականության, թվայնացված միջավայրի ստեղծման, թվայնացման գործընթացների համակարգման միասնական մոտեցումներ, որն ապահովելու է քաղաքացիներին եւ մասնավոր հատվածին ամբողջապես՝ ծայրից ծայր թվային հանրային ծառայություններ մատուցելու հնարավորությունը, երաշխավորելու է կիբեռանվտանգության պատշաճ մակարդակ կենսական նշանակության ոլորտներում եւ համապատասխան ենթակառուցվածքներում, ինչպես նաեւ կայուն նախադրյալներ է ստեղծելու թվային հասարակության եւ տնտեսության անցման եւ սպասարկման համար: Թվայնացման գործընթացները մարդկանց համար պետք է ամենօրյա գործնական, կենսական նշանակություն ունենան, լինեն հասանելի, հարմարավետ եւ արդյունավետ՝ ստեղծելով թվային համակարգերի ու լուծումների նկատմամբ վստահության միջավայր, իսկ որակյալ տվյալները պետք է դառնան առանցքային խթան անձի, պետության եւ բիզնեսի տվյալահեն որոշումների կայացման համար:

4. Նախագծերի փաթեթի մշակման գործընթացում ներգրավված ինստիտուտները եւ անձինք.

Նախագծերի փաթեթը մշակվել է ՀՀ բարձր տեխնոլոգիական արդյունաբերության նախարարության եւ Հայաստանի տեղեկատվական համակարգերի գործակալության հետ համատեղ:

5. Նախագծերի փաթեթի ընդունման կապակցությամբ Հայաստանի Հանրապետության պետական բյուջեում ծախսերի եւ եկամուտների նվազեցման կամ ավելացման մասին.

Նախագծերի փաթեթի ընդունումը Հայաստանի Հանրապետության պետական բյուջեում եկամուտների նվազեցման չի հանգեցնի, իսկ ծախսերի ավելացման կարող է հանգեցնել՝ Տեղեկատվական համակարգերի կարգավորման հանձնաժողովի ստեղծման գործոնով պայմանավորված: Օրենքի նախագծի ընդունմամբ մարմնի համապատասխան պաշտոնների եւ աշխատակիցների ամբողջական համալրման արդյունքում տարեկան վարձատրության, սոցիալական ապահովության ընդհանուր գումարը կկազմի մոտ 6 մլրդ դրամ: Ծախսերի հաշվարկի ընթացքում հաշվի է առնվել այն հանգամանքը, որ հիմնական մասնագիտական ստորաբաժանումների աշխատակիցների վարձատրությունը շուկայում բարձր է, իսկ այդ թիմերը կազմելու են մարմնի հաստիքների հիմնական հատվածը:

6. Կապը ռազմավարական փաստաթղթերի հետ.

Նախագծերի փաթեթի մշակումը բխում է 2050 Հայաստանի վերափոխման ռազմավարության «Պաշտպանված Հայաստան» մեգանպատակից:

Նախագծերի փաթեթի մշակումը բխում է Հայաստանի Հանրապետության կառավարության 2021-2026թթ. ծրագրի «Բարձր տեխնոլոգիաներ» բաժնի եւ ՀՀ կառավարության 2021 թվականի նոյեմբերի 18-ի N 1902-Լ որոշման N 1 հավելվածով հաստատված «Հայաստանի Հանրապետության կառավարության 2021-2026 թվականների գործունեության միջոցառումների ծրագրի» ՀՀ ԲՏԱ նախարարությանը կիբեռանվտագության ոլորտում նախատեսված միջոցառումների անխոչընդոտ իրականացումից:

Նախագծերի փաթեթը բխում է Կառավարության 2021 թվականի փետրվարի 11-ի թիվ 183-Լ որոշմամբ հավանության արժանացած Հայաստանի թվայնացման ռազմավարությանից, մասնավորապես՝ «Թվայնացման հիմնարար պայմաններ» բաժնի 5-րդ, 6-րդ, 7-րդ եւ 8-րդ կետերից, Հայաստանի թվայնացման ռազմավարության միջոցառումների ծրագրի եւ արդյունքային ցուցանիշների 1-ին եւ 3-րդ միջոցառումներից:

Նախագծերի փաթեթի ընդունումը բխում է նաեւ «Բաց կառավարման գործընկերություն-Հայաստան» նախաձեռնության շրջանակներում Հայաստանի Հանրապետության 2022-2024թթ. գործողությունների ծրագրի «1. Տվյալների քաղաքականությունը սահմանող օրենսդրության ձեւավորում» հանձնառությունից:

ԵԶՐԱԿԱՑՈՒԹՅՈՒՆ

«ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՄԱՍԻՆ», «ՀԱՆՐԱՅԻՆ ՏԵՂԵԿՈՒԹՅՈՒՆՆԵՐԻ ՄԱՍԻՆ», «ՏԵՂԵԿԱՏՎԱԿԱՆ ՀԱՄԱԿԱՐԳԵՐԻ ԿԱՐԳԱՎՈՐՄԱՆ ՄԱՐՄՆԻ ՄԱՍԻՆ» ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ՕՐԵՆՔՆԵՐԻ, ԻՆՉՊԵՍ ՆԱԵՎ ՀԱՐԱԿԻՑ ՕՐԵՆՔՆԵՐԻ ՆԱԽԱԳԾԵՐԻ ՓԱԹԵԹԻ ԸՆԴՈՒՆՄԱՆ ԿԱՊԱԿՑՈՒԹՅԱՄԲ ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ՊԵՏԱԿԱՆ ԲՅՈՒՋԵԻ ԵԿԱՄՈՒՏՆԵՐԻ ԷԱԿԱՆ ՆՎԱԶԵՑՄԱՆ ԿԱՄ ԾԱԽՍԵՐԻ ԱՎԵԼԱՑՄԱՆ ՄԱՍԻՆ

«Կիբեռանվտանգության մասին», «Հանրային տեղեկությունների մասին», «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին», «Տեղեկատվության ազատության մասին» Հայաստանի Հանրապետության օրենքում փոփոխություն կատարելու մասին», «Պետական գաղտնիքի մասին» Հայաստանի Հանրապետության օրենքում փոփոխություն կատարելու մասին», «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքում փոփոխություններ եւ լրացումներ կատարելու մասին», «Կառավարության կառուցվածքի եւ գործունեության մասին» օրենքում լրացում կատարելու մասին», «Էլեկտրոնային փաստաթղթի եւ էլեկտրոնային թվային ստորագրության մասին» օրենքում փոփոխություն կատարելու մասին», «Ազգային անվտանգության մարմինների մասին» օրենքում փոփոխություններ եւ լրացումներ կատարելու մասին», «Նորմատիվ իրավական ակտերի մասին» օրենքում լրացում կատարելու մասին», «Հայաստանի Հանրապետության քրեական դատավարության օրենսգրքում լրացում կատարելու մասին», «Հանրային ծառայության մասին» օրենքում լրացումներ կատարելու մասին», «Ազգային ժողովի կանոնակարգ» սահմանադրական օրենքում լրացում կատարելու մասին», «Հայաստանի Հանրապետությունում ստուգումների կազմակերպման եւ անցկացման մասին» օրենքում լրացում կատարելու մասին», «Պետական պաշտոններ եւ պետական ծառայության պաշտոններ զբաղեցնող անձանց վարձատրության մասին» օրենքում լրացում կատարելու մասին» եւ «Վարչական իրավախախտումների վերաբերյալ Հայաստանի Հանրապետության օրենսգրքում փոփոխություն եւ լրացումներ կատարելու մասին» Հայաստանի Հանրապետության օրենքների նախագծերի փաթեթի ընդունման կապակցությամբ Հայաստանի Հանրապետության պետական բյուջեի եկամուտների էական նվազեցման չի հանգեցնի, իսկ ծախսերի ավելացման կարող է հանգեցնել:

Հայաստանի Հանրապետության կառավարության որոշում

Հայաստանի Հանրապետության վարչապետի որոշում

Գրություն

Դեպի վեր

ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ՕՐԵՆՔԸ

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՄԱՍԻՆ

ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ
ՕՐԵՆՔԸ