Հիշել նախագիծը
ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՄԱՍԻՆ
Ամփոփաթերթում ներառվում են նախագծի վերաբերյալ ներկայացված բոլոր բովանդակային առաջարկությունները, առցանց գրվածները` 2 աշխատանքային օրվա, էլ. փոստով ուղարկվածները` 10 աշխատանքային օրվա ընթացքում
| h/h | Առաջարկության հեղինակը, ստացման ամսաթիվը | Կարգավիճակ | Առաջարկության բովանդակությունը | Կցված փաստաթղթերը | Եզրակացություն | Դրույթ |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 1 | Ա․Դ․Սախարովի անվան մարդու իրավունքների պաշտպանության հայկական կենտրոն ՀԿ 26.12.2023 16:22:16 | Նախագծի 7-րդ գլխում՝ Կիբեռանվտանգության աուդիտի, պետք է հստակ սահմանել․ • Կիբեռանվտանգության աուդիտի նպատակները՝ ներառյալ հատուկ նպատակներն ու կենտրոնացման ոլորտները՝ նշելով այն համակարգերը, ցանցերը և գործընթացները, որոնք պետք է գնահատվեն: • Ապահովել համապատասխանությունը կիբեռանվտանգության համապատասխան կանոնակարգերին և ստանդարտներին, որոնք կիրառելի են կազմակերպության ոլորտում: Անհրաժեշտ է ուսումնասիրել, բացահայտել և փաստաթղթավորել համապատասխանության ցանկացած բացթողում և առաջարկել ուղղիչ գործողություններ: • Իրականացնել ռիսկերի մանրակրկիտ գնահատում` կիբեռանվտանգության հնարավոր ռիսկերը բացահայտելու և առաջնահերթություն տալու համար, Գնահատել հայտնաբերված ռիսկերի ազդեցությունը և հավանականությունը՝ որոշելու դրանց նշանակությունը: • Ստեղծել բոլոր կարևոր տեղեկատվական ակտիվների գույքագրում, ներառյալ տվյալները, հավելվածները, համակարգերը և ցանցերը: Դասակարգել ակտիվները՝ ելնելով դրանց կրիտիկականությունից և զգայունությունից: • Վերանայել և գնահատել մուտքի հսկողությունը՝ համոզվելու համար, որ միայն լիազորված անձնակազմը հասանելի է զգայուն համակարգերին և տվյալներին: Ստուգել նույնականացման մեխանիզմների արդյունավետությունը, ներառյալ բազմագործոն նույնականացումը: • Գնահատել ցանցերի սեգմենտավորումը՝ հնարավոր խախտումների ազդեցությունը նվազագույնի հասցնելու համար: • Իրականացնել խոցելիության գնահատում համակարգերի և հավելվածների թույլ կողմերը հայտնաբերելու համար: • Առաջնահերթություն տալ և վերացնել հայտնաբերված խոցելիությունները՝ ընդհանուր անվտանգությունը բարձրացնելու համար: • Ուսումնասիրել կազմակերպության միջադեպերի արձագանքման ծրագիրը՝ համոզվելու համար, որ այն համապարփակ է, արդիական և պարբերաբար փորձարկված: Անհրաժեշտ է նաև գնահատել միջադեպերի արձագանքման թիմի արդյունավետությունը և անվտանգության միջադեպերը կարգավորելու նրանց կարողությունը: • Գնահատել աշխատակիցների անվտանգության իրազեկման և վերապատրաստման ծրագրերի արդյունավետությունը: Բացահայտել բարելավման ոլորտները և անհրաժեշտության դեպքում առաջարկել լրացուցիչ ուսուցում: • Գնահատել ֆիզիկական անվտանգության միջոցները, ներառյալ տվյալների կենտրոնների և սերվերի սենյակների մուտքի վերահսկումը: • Ուսումնասիրել և գնահատել կազմակերպության կիբեռանվտանգության քաղաքականությունն ու ընթացակարգերը: Համոզվել, որ քաղաքականությունը համահունչ է լավագույն փորձին և ոլորտի չափանիշներին: • Գնահատել գաղտնագրման օգտագործումը տվյալների պաշտպանության համար ինչպես տարանցման, այնպես էլ հանգստի ժամանակ: Ստուգել, որ զգայուն տեղեկատվությունը պատշաճ կերպով պաշտպանված է կազմակերպչական քաղաքականության համաձայն: • Վերանայեք աուդիտի գրանցամատյանները և մոնիտորինգի համակարգերը՝ անվտանգության իրադարձությունների արդյունավետ հետևումն ապահովելու համար: • Գնահատել կազմակերպության կարողությունը՝ հայտնաբերելու և արձագանքելու կասկածելի գործողություններին: • Փաստաթղթավորում և հաշվետվություն, այսինքն, փաստաթղթերի արդյունքները, ներառյալ հայտնաբերված խոցելիությունները, անհամապատասխանության ոլորտները և բարելավման առաջարկությունները: | Ընդունվել է ի գիտություն | |||
| 2 | Ա․Դ․Սախարովի անվան մարդու իրավունքների պաշտպանության հայկական կենտրոն ՀԿ 26.12.2023 17:03:30 | Նախագծի 7-րդ գլուխն ամբողջությամբ վերաբերում է կիբեռանվտանգության աուդիտին, դրա իրականացման ժամկետին, աշխատանքի կատարումն ըստ ներքին կանոնակարգի, վճարի, ոչ պատշաճ աշխատանքի, նույնիսկ պետական մարմնի պահանջով պարտադիր կիբեռանվտանգության աուդիտի ենթարկվելու մասին։ Սակայն հարց է առաջանում, իսկ արդյոք Հայաստանում կան արդեն իսկ որակավորված կիբեռ անվտանգության աուդիտորներ և նրանց ընտրության լայն հնարավորություն թե ոչ, ինչպես ֆինանսական աուդիտորների ու աուդիտորական կազմակերպությունների դեպքում է։ Քանի որ կիբեռանվտանգությունն այնպիսի ոլորտ է, որ պետությունը մինչ սույն օրենքի ընդունումն արդեն իսկ պետք է ապահովվեր կիբեռանվտանգության աուդիտորների որակավորման գործընթացը և որակավորված անձանց կամ կազմակերպությունների տվյալները հրապարակեր պետական լիազոր մարմնի կայքում, որը լայն հնարավորության կտա շահագրգիռ կազմակերպություններին օգտվել կիբեռանվտանգության աուդիտորների ծառայությունից։ Հետաքրքիր է նաև, իսկ «Աուդիտորական գործունեության մասին» ՀՀ օրենքի պահանջները տարածվելու են այս աուդիտորների վրա թե ոչ։ Եթե այո, ապա «Աուդիտորական գործունեության մասին» ՀՀ օրենքը, պետք է ևս ներառվի սույն նախագծին կից ներկայացվող հարակից օրենքների ցանկում, որում ևս պետք է համապատասխան լրացումներ և փոփոխություններ ներառվեն։ Կամ սույն նախագծով պետք է ամրագրել, որ կիբեռանվտանգության աուդիտորների որոկավորման կարգն ու պայմանները սահմանվում են ՀՀ կառավարության որոշմամբ։ Իհարկե ցանկալի է, որպեսզի կիբեռանվտանգության աուդիտորական գործունեության մասին առանձին օրենք ընդունվի, որով կկարգավորվեն բոլոր այն հարցերը, որոնք դուրս են մնացել սույն նախագծից կամ չեն առնչվում «Աուդիտորական գործունեության մասին» ՀՀ օրենքի հետ։ | Ընդունվել է մասամբ: | |||
| 3 | Ա․Դ․Սախարովի անվան մարդու իրավունքների պաշտպանության հայկական կենտրոն ՀԿ 26.12.2023 17:17:27 | Որակավորում ունեցող կիբեռանվտանգության աուդտորների կամ այդ կազմակերպությունների լայն ընտրության հնարավորություն պետք է տրվի, այդ դաշտը չպետք է լինի մենաշնորհային, պետք է բացառել այդ գործոնը։ Ուստի ցանկալի է, որպեսզի պետությունն ապահովի կիբեռանվտանգության աուդիտորների որոկավորման հնարավորության բաց և թափանցիկ գործընթաց, որպեսզի համապատասխան գիտելիքներ ունեցող մասնագետները դիմեն և որակավորվեն։ | Ընդունվել է ի գիտություն: | |||
| 4 | Ասքանազ Չիբուխչյան 27.12.2023 12:27:02 | Հոդված 11 սահմանում է՝ Կիբեռանվտանգության համար պատասխանատու անձը սույն օրենքով սահմանված կարգով ծանուցում է կիբեռմիջադեպի հետևանքով հնարավոր ազդեցության ենթարկված անձանց կամ հանրությանը. Ծառայություն մատուցողը ունի հանրային ծանուցման կամ հաճախորդների, գործընկերնեի հետ հարաբերությունների պատասխանատուներ, որոնք պետք է իրականացնեն նշված գործընթացը։ Բացի դրանից հոդված 10-ի 3-րդ կետով այս գործառույթը դրված է նաև ծառայություն մատուցողի վրա։ Ո՞նց եք ապտկերացնում բիզնեսում միջադեպ լինի ու կիբեռանվտանգության համար պատասխանադու անձը զանգի կամ գրի ազդեցության ենթարկված հաճախորդներին կամ հանրությանը։ Բիզնեսի տերը պետք է որոշի ում֊ոնց ծանուցի։ | Ընդունվել է: | |||
| 5 | Ասքանազ Չիբուխչյան 27.12.2023 12:35:57 | Հոդված 4 , թվային ենթակառուցվածքը Ձևակերպումը չի ներառում բոլոր առցանց ծառայությունները։ Օրինակ՝ առցանց հեռուստատեսություն կամ տվյալների պահոց։ Առաջարկում եմ դրանք թվարկելու փխարեն կիրառել «Առցանց Ծառայություն» և «Առցանց ծառայություն մատուցող» տերմենիները որը կներառի բոլոր տեսակի առցանց ծառայություններն ու գործունեությունը։ https://en.wikipedia.org/wiki/Online_service_provider | ՉԻ ընդունվել: | |||
| 6 | Ասքանազ Չիբուխչյան 27.12.2023 12:53:08 | Հոդված 4․ Կիբեռանվտանգությունը ISACA-ն սահմանում է որպես «Protecting information assets by addressing threats to information that is processed, stored or transported by internetworked information systems.» Այն է՝ Փոխկապակցված(համակցված) տեղակատվական համակարգերում տեղափոխվող, պահվող և մշակվող տեղեկույթի պաշտպանությունն է, դրան սպառնացող վտանգների դեմ պայքարի միջոցով։ Առաջարկում եմ օգտագործել վերը նշված ավելի կոմպակտ սահամանումը։ Ներկայից սահմանաման մեջ օգտագործված ձայնագրում տերմինը հայերենում վերաբերվում է միայն ձայնին տեղեկույթին։ Կարծում եմ, քանի որ պատճենելը արդեն նշված է այս բառը կարելի է հանել։ Կա նաև տեսաձայանգրում տերմինը եթե միքը վերաբեվում է բացառապես մեդիա տվյալներին։ | Չի ընդունվել: | |||
| 7 | Սերգեյ Հովսեփյան 01.01.2024 18:07:47 | Կիբեռմիջադեպերին պետք է ավելանա նաև տեսահենությունը/համացանցային ծովահենությունը: Ծրագրային ապահովումների, ֆիլմերի, տարբերանշանների և այլն: Հայաստանը շատ բարձր մակարդակի տոկոս ունի, ինչը խոչընդոտում է և Հայաստանը ոչ գրավիչ է դարձնում տեսալսողական ոլորտում: Էն, որ երգում են «Նեթֆլիքս ա գալիս», էդ կազմակերպությունը երբեք չի գա մի երկիր, որը չունի հակահարված տալու մեխանիզմ: Մենք արդեն ունեցել ենք նախքան պրեմիերա ֆիլմերի տեսահենային դեպքեր, ունեցել ենք դեպք, երբ հեռուստատեսությունը պայքար էր մղում, բայց երբ այդ ամենի ետևում չկա պետություն ամեն բան անիմաստ է դառնում: Պետք է լինեն հստակ դրութներ, որոնք կարգելեն տեսահենային կայքերի գործունեությունը և ցանցային օպերատորները պետք է բլոկավորեն այդ կայքերը: Սա ոչ մի կապ չունի խոսքի ազատության հետ: Վստահ կրելի է ասել, որ նույնիսկ պետական համակարգում համակարգիչները գործում են «ջարդած» Windows-ով, նույնպես խախտելով իրավատիրոջ Microsoft-ի իրավունքները, ու վտանգի ենթարկելով պետական համակարգի տեղեկատվությունը: Մենք ունենք ահռելի քանակի տեսահենային կայքեր, որոնց պատճառով իրավատերերը գումարներ են կորցնում: Չնայած, որ Հայաստանում գործում է միակ օրինական առցանց կինոթատրոնը՝ կինոդարանը, այնուամենայնիվ մեր տարածաշրջանում միակ երկիրը, որ միացել է ACE-ին Վրաստանն է https://www.alliance4creativity.com/hy/about-us/ | Չի ընդունվել: | |||
| 8 | Ընտրական համակարգերի միջազգային հաստատություն, Հայաստանյան գրասենայկ 03.01.2024 15:53:14 | 1. Պետության պարտականությունների սահմանման մարտահրավերները. ա. Տեղեկատվության փոխանակման ընթացակարգեր. առաջարկվող օրենսդրությունը վերաբերում է կարևոր տեղեկատվական ենթակառուցվածքի (CII) օպերատորների պարտավորություններին, սակայն անտեսում է համապատասխան պետական պարտավորությունները: Մասնավորապես՝ առկա է տեղեկատվության փոխանակման ընթակարգերի հետ կապված անհստակություն: Կիբեռանվտանգության միջոցառումների արդյունավետությունը բարձրացնելու համար առաջարկվում է տեղեկատվության փոխանակման վերևից ներքև մոտեցում: Կիբեռանվտանգության կենտրոնը (Կենտրոն) պետք է առանցքային դեր խաղա շահագրգիռ կողմերից ստացված տվյալների ճշգրտության և թափանցիկության ապահովման գործում: Օրենքի 16-րդ հոդվածը սահմանում է «կիբերմիջադեպերի գրանցամատյանի» հետ կապված գործընթացները և առաջարկվում է գրանցամատյանի միջադեպերը դասակարգել որպես գաղտնի։ ԵՄ-ի և ԱՄՆ-ի լավագույն փորձը ցույց է տալիս, որ Կենտրոնը պետք է նաև ապահովի տեղեկատվության հոսքը պետական մարմինների և մասնավոր հատվածի միջև: Օրինակ, երբ կենտրոնին հաղորդվում է կենսական նշանակության ոլորտում կիբեռպատահարի մասին, ապա Կենտրոնը պետք է ապահովի տվյալ միջադեպի մասին ծանուցում նաև այլ կարևոր տեղեկատվական ենթակառուցվածքների օպերատորներին: | Ընդունվել է: | |||
| 9 | Ընտրական համակարգերի միջազգային հաստատություն, Հայաստանյան գրասենայկ 03.01.2024 15:53:14 | բ. Կարևոր տեղեկատվական ենթակառուցվածքների սահմանում: Օրենսդրությունը վերապահում է Կառավարությանը կարևորագույն տեղեկատվական ենթակառուցվածքների (CII) ցուցակագրման և սահմանման պատասխանատվությունը: Այնուամենայնիվ, առաջարկվում է ավելի ընդգրկուն մոտեցում: Կարևոր ենթակառուվածքները պետք է սահմանվեն համատեղ ջանքերով Կառավարության, Կենտրոնի և օպերատորների փոխգործակցությամբ: Մասնավոր ձեռնարկություններին ստանդարտացված պահանջների պարտադրումը՝ առանց հաշվի առնելու ոլորտային և կազմակերպչական յուրահատկությունները կարող է հավելյալ և անարդյունավետ ծախսեր առաջացնել մասնավոր կազմակերպությունների համար: Հետևաբար, խորհուրդ է տրվում ավելի մանրակրկիտ և համագործակցային մոտեցում: Ենթադրենք, որ օպերատորը կարող է ունենալ 100 բիզնես գործընթաց, բայց միայն 20-ն են պետության կիբեռանվտանգության տեսանկյունից «էական/կենսական նշանակության»: Այդ դեպքում առաջարկվող գործընթացը պետք է լինի հետևյալը. ՀՀ կառավարությունը սահմանում է կենսական նշանակության ոլորտները, այնուհետև Կենտրոնը օպերատորների հետ միասին գնահատում և սահմանում է կենսական նշանակության ծառայությունները և գործընթացները: | Ընդունվել է: | |||
| 10 | Ընտրական համակարգերի միջազգային հաստատություն, Հայաստանյան գրասենայկ 03.01.2024 15:53:14 | 2. Հասարակության ներգրավման և համապետական կառավարման շեշտադրության պակաս Ի տարբերություն անվտանգության այլ ուղղությունների, կիբեռանվտանգությունը պահանջում է ներգրավվածություն հասարակության տարբեր հատվածների հետ: Օրենքի 5-րդ հոդվածում թվարկված են ՀՀ-ում կիբերանվտանգության սկզբունքները, որոնցում բացակայում Է երկու կարևոր ասպեկտ՝ «ամբողջ հասարակության ներգրավման» (whole-of-society approach) և «համապետական կառավարման» (whole-of-government approach): Օրենսդրությունը պետք է հստակ սահմանի Կենտրոնի և այլ շահառու կողմերի փոխհարաբերությունները՝ ապահովելով քաղաքականությունների մշակման ներառականություն: Սա ենթադրում է, որ օրենսդրական մակարդակով պետք է ընդունվի կիբեռանվտանգության ապահովման գործում հասարակության, այդ թվում՝ հասարակական կազմակերպությունների ներգրաման կարևորությունը: Միաժամանակ, առանցքային է այն գիտակցումը, որ կիբեռանվտանգության ապահովումը պետական մակարդակում ենթադրում ու պահանջում է համապետական կառավարման մոտեցում, ուստի դրա մասին նաև պետք է շեշտադրվի օրենսդրական մակարդակում: | Ընդունվել է ի գիտություն: | |||
| 11 | Ընտրական համակարգերի միջազգային հաստատություն, Հայաստանյան գրասենայկ 03.01.2024 15:53:14 | 3. Քաղաքական և դիվանագիտական ներկայացուցչականության ոչ բավարար մակարդակ Հաշվի առնելով կիբեռանվտանգության աճող կարևորությունը՝ օրենսդրական մակարդակով անհրաժեշտ է ապահովել Կենտրոնի բավարար քաղաքական ներկայացուցչություն: Կենտրոնի ղեկավարը հաշվետու է Բարձր տեխնոլոգիական արդյունաբերության նախարարին, որը Անվտանգության Խորհրդի մշտական անդամ չէ: Սա կարող է բացասական հետևանքներ ունենալ, և կիբեռանվտանգության ոլորտի սպառնալիքներն ու մարտահրավերը ստանան ոչ բավարար քաղաքական աջակցություն: Դիվանագիտական ոլորտում Կենտրոնը կարող է օգտնել բարձրացնելու Հայաստանի ներգրավվածության մակարդակը կիբեռանվտանգության միջազգային օրենքների և նորմերի զարգացման գործում: Հետևաբար, օրենսդրությունը պետք է խրախուսի ակտիվ ներգրավվածություն և համագործակցություն միջազգային գործընկերների և ՀՀ ԱԳՆ-ի հետ: | Ընդունվել է ի գիտություն: | |||
| 12 | Ընտրական համակարգերի միջազգային հաստատություն, Հայաստանյան գրասենայկ 03.01.2024 15:53:14 | 4. Ադապտացում հայկական համատեքստին Թեև առաջարկվող օրենսդրությունը բխում է միջազգային լավագույն փորձից, մասնավորապես՝ ԵՄ NIS դիրեկտիվներից, օրենքը հստակ չի տարանջատում կարևոր տեղեկատվական ենթակառուցվածքի օպերատորների և թվային ծառայություններ մատուցողների միջև: 4-րդ հոդվածում Օրենքը սահմանում է հիմնական տերմինները՝ ներառյալ թվային ենթակառուցվածքները, էլեկտրոնային առևտրային հարթակ և առցանց որոնման համակարգերը: «էլեկտրոնային առևտրային հարթակը» և «առցանց որոնման համակարգը» օգտագործվում են բացառապես Օրենքի 4-րդ հոդվածում, իսկ «թվային ենթակառուցվածքները» հիշատակվում են միայն մեկ անգամ: Հետևաբար, հավելյան պարզաբանումներ են անհրաժեշտ՝ օրենքի լեզուն համապատասխանեցնելու NIS հրահանգի տրամաբանությանը և հայկական համատեքստին: | Ընդունվել է ի գիտություն: |
