AI Data Processing

«Կիբեռանվտանգության մասին» օրենքի նախագծի լրամշակված տարբերակի ընդհանուր եւ համակարգային խնդիրները. դիտողություններ եւ առաջարկություններ

Գեւորգ Հայրապետյան (CyberHUB, dpHUB)

  1. Նախագիծն անորոշ է, պարզ չէ, թե ում է վերաբերում, ում համար է սահմանում պարտականություններ:

Այսպես, նախատեսվում է, որ Նախագծի գործողությունը պետք է տարածվի «Փոքր եւ միջին ձեռնարկատիրության պետական աջակցության մասին» օրենքով սահմանված չափանիշների համաձայն միջին դասակարգված իրավաբանական անձանց եւ անհատ ձեռնարկատերերի եւ միջին դասակարգման համար սահմանված չափանիշները գերազանցող իրավաբանական անձանց եւ անհատ ձեռնարկատերերի նկատմամբ, ովքեր ծառայություն են մատուցում Նախագծի 16-րդ հոդվածի 2-րդ մասում թվարկված ոլորտներից մեկում կամ մի քանիսում միաժամանակ: Նախագծի 16-րդ հոդվածի 2-րդ մասը թվարկում է այն ոլորտները, որոնցում Նախագծի իմաստով մատուցվում են կենսական նշանակության ծառայություններ: Նշված դրույթով սահմանվող ոլորտները չափազանց ընդհանուր են, անորոշ, հնարավորություն չեն տալիս հստակ պարզել, թե արդյոք Նախագծով նախատեսվող կարգավորումները վերաբերելու են այս կամ այն տնտեսվարողին:

Օրինակ, Նախագծի 16-րդ հոդվածի 2-րդ մասը կենսական նշանակության ծառայությունների մատուցման ոլորտ է համարում ի թիվս այլնի նաեւ «արտադրությունը»: Միաժամանակ պարզ չէ, թե ինչպես է պետք է հասկանալ եւ մեկնաբանել նշված եզրույթը. արդյոք արտադրությունը բառի սովորական իմաստով ներառու՞մ է նաեւ մեդիա-բովանդակության արտադրությունը, կամ արդյոք արտադրությունը ներառու՞մ է տնտեսական գործունեության այն բոլոր տեսակները, որոնք ուղղակիորեն որպես արտադրություն են նշված ՀՀ էկոնոմիկայի նախարարի հրամանով հաստատված՝ տնտեսական գործունեության տեսակների դասակարգիչներում, ներառյալ ստվցարաթղթի արտադրությունը կամ ձեռնափայտի կամ կոճակների արտադրությունը:

Նախագիծն առանց դրա գործողությունում հայտնվող անձանց շրջանակը հստակեցնելու անընդունելի է:

  1. Նախագծում ըստ էության տարանջատված չեն կրիտիկական ենթակառուցվածները տեղեկատվական այլ համակարգերից, որոնք չեն համարվում կրիտիկական ենթակառուցվածք: Սա խնդրահարույց է, քանի որ մի կողմից կրիտիկական չհամարվող համակարգերի դեպքում առանց պատճառաբանության նախատեսվում են այնպիսի խիստ կանոններ, ինչպիսին կրիտիկական ենթակառուցվածքների համար, եւ հակառակը՝ կրիտիկական ենթակառուցվածքների համար չեն սահմանվում այնպիսի կանոններ, որոնք կբխեն կրիտիկական ենթակառուցվածքների կարեւորությունից (տես՝ Նախագծի 17-րդ հոդվածը):

Կրիտիկական ենթակառուցվածքների դեպքում ողջամիտ կարող են լինել կրիտիկական ենթակառուցվածքի տեղայնացման, ինչպես նաեւ կրիտիկական ենթակառուցվածքն օգտագործողի եւ դրա կիբեռանվտանգության ծառայություն մատուցողի՝ ՀՀ իրավազորությունում գտնվելու կանոնները. նման կանոնները կրիտիկական ենթակառուցվածքի «շահառու» ընդհանուր հասարակության եւ անձանց իրավունքների պաշտպանության (ներպետական օրենսդրության կիրառում, իրավունքի ինքնապաշտպանություն, իրավունքի դատական պաշտպանություն եւ այլն) երաշխիք է:

  1. Խնդրահարույց է մի կողմից ենթակա պետական մարմնի կարգավիճակը, մյուս կողմից ենթակա մարմնի կարգավիճակում չափազանց լայն լիազորությունների շրջանակը, ներառյալ՝ համակարգերին հասանելիության ռիսկերն ու անհամաչափ միջամտության արգելքի երաշխիքների բացակայությունը Նախագծում:

Հատկապես հաշվի առնելով Նախագծի գործողության ներքո գտնվողների անորոշությունը եւ կրիտիկական ենթակառուցվածները տեղեկատվական այլ համակարգերից ըստ էության տարանջատված չլինելու խնդիրը՝ խնդրահարույց է նախարարության ենթակա մարմնի կարգավիճակ ունեցող կառույցին օժտել տեղեկատվական համակարգեր ըստ էության անսահմանափակ եւ անվերահսկելի մուտքի, կիբեռանվտանգության աուդիտորների  որակավորման եւ դրանով կիբեռանվտանգության ծառայությունների ոլորտը վերահսկելու հնարավորություններով օժտելը:

Նախագծի 14-րդ հոդվածը ենթակա պետական մարմնի կողմից ծառայություն մատուցողի կողմից կիրառվող տեղեկատվական համակարգ կամ կրիտիկական տեղեկատվական ենթակառուցվածք մուտք գործելը կամ ծառայություն մատուցողի կողմից կիրառվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը սահմանափակելը պայմանավորվում է ի թիվս այլնի այնպիսի հանգամանքներով, որոնք կամ հնարավոր է պարզել (հաստատել կամ հերքել) միայն տեղեկատվական համակարգ մուտք գործելուց հետո:

Ենթակա պետական մարմնի կողմից կիբեռանվտանգության աուդիտի ոլորտում լիազորությունների շրջանակում խնդրահարույց է, որ կիբեռանվտանգության աուդիտ պետք է անցնեն ոչ միայն օրենքի գործողության ներքո գտնվող ծառայություն մատուցողները, այլ նաեւ առանձին կիբեռանվտանգության ծառայություն մատուցողները:

Անհրաժեշտ է վերանայել ենթակա պետական մարմնի լիազորությունների սահմանները՝ առնվազն սահմանելով լիազորությունների իրականացմամբ մասնավոր անձանց տնտեսական եւ այլ գործունեությանը (այն է՝ իրավունքներին) անհամաչափ միջամտությունը բացառող երաշխիքներ (օրինակ, միջամտությամբ պատճառված վնասի հատուցման կանոն եւ այլն):

  1. Անհասկանալի եւ խնդրահարույց է, թե ինչու է Նախագիծը շեշտադրում կիբեռանվտանգության ապահովման միջազգային ստանդարտները:

Այսպես, Նախագիծը սահմանում է կիբեռանվտանգության ստանդարտի ընդունման/ճանաչման երկու հնարավորություն՝ 1) ազգային ստանդարտը, որը մշակում է լիազոր մարմինը (ԲՏԱՆ) եւ հաստատում է ստանդարտացման եւ չափագիտության ազգային մարմնինը, 2) միջազգային ստանդարտները, որոնց ցանկը հաստատում է կառավարությունը (Նախագիծը կառավարությանը չի լիազորում ներպետական (ոչ միջազգային) որեւէ ստանդարտ ներառել ընդունելի ստանդարտների ցանկում): Ըստ այդմ, Նախագիծը որեւէ կերպ չի թույլատրում ներպետական որեւէ այլ ստանդարտի գոյության եւ այն ընդունելու/ճանաչելու հնարավորություն, ինչը խնդրահարույց է՝ հատկապես հաշվի առնելով այն, որ միջազգային ստանդարտները հաճախ այլ պետության ռեզիդենտ մասնավոր կազմակերպությունների մշակած ստանդարտներ են:

Վերոնշյալի համատեքստում անհասկանալի է նաեւ Նախագծում  ստանդարտացման միջազգային կազմակերպության (ISO) ստանդարտը որպես օրինակ վկայակոչելը, քանի որ միեւնույն է նման ստանդարտների ցանկը պետք է հաստատի կառավարությունը:

Անհրաժեշտ է առհասարակ նախագծում ձեռնպահ մնալ միջազգային ստանդարտների շեշտադրումից եւ չնշել «միջազգային ստանդարտ», փոխարենը, ազգային ստանդարտից բացի կառավարությանն օժտել ոչ թե միայն միջազգային, այլ առհասարակ այլ ընդունելի ստանդարտ սահմանելու լիազորությամբ եւ Նախագծում բոլոր վերաբերելի դրույթներում հղում անել ազգային կամ կառավարության որոշմամբ սահմանված ստանդարտներին: Այդ պարագայում օրենքի դրույթներն ավելի ունիվերսալ կլինեն՝ հնարավորություն տալով կառավարությանը ընդունելի ստանդարտների ցանկում ըստ անհրաժեշտության եւ նպատակահարմարության ներառել լավագույն ստանդարտները՝ միջազգային եւ ներպետական ստանդարտներ կամ միայն միջազգային ստանդարտներ կամ միայն ներպետական ստանդարտներ եւ այլն:

  1. Նախագիծն անցումային դրույթներով նախատեսում է օրենքից բխող ենթաօրենսդրական ակտերը, ինչպես նաեւ ազգային ստանդարտն ընդունել օրենքն ուժի մեջ մտնելուց հետո՝ տասերկուամսյա ժամկետում, իսկ ծառայություն մատուցողների համար իրենց կիբեռանվտանգության ապահովման ներքին կանոնակարգերը ընդունման, իրենց կողմից կիրառվող տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում ռիսկերի գնահատման, կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագրի մշակումն իրականացնելու համար նախատեսում է օրենքի ուժի մեջ մտնելուց հետո տասութամսյա ժամկետ: Ծառայություն մատուցողների մի շարք պարտականությունների փաստացի ապահովումն ուղղակիորեն կախված է լինելու ընդունվելիք ենթաօրենսդրական ակտերից եւ ազգային ստանդարտից, ուստի ծառայություն մատուցողները թեեւ կարող են որոշակիորեն նախապատրաստվել, սակայն նշված գործողությունները/պարտականությունները կարողանալու են բովանդակային ապահովել միայն ենթաօրենսդրական ակտերի եւ ազգային ստանդարտի ընդունումից հետո:

Նման պայմաններում ողջամիտ կլինի ենթաօրենսդրական ակտերի եւ ազգային ստանդարտի ընդունման համար սահմանել վեցամսյա ժամկետ՝ ըստ այդմ ծառայություն մատուցողներին օրենքի կիրառմանը պատրաստվելու ավելի երկար ժամանակ տալով ենթաօրենսդրական ակտերի եւ ազգային ստանդարտի ընդունումից հետո:

  1. Նախագծի առանձին դրույթների խնդրահարույց լինելը կամ բխում է վերոնշյալ ընդհանուր խնդիրներից, հատկապես՝ 1-ին կետում նշված՝ Նախագծի գործողության ներքո գտնվողների անորոշության խնդրից: Ուստի, Նախագծի առանձին դրույթներ քննարկման են ենթակա միայն վերոնշյալ ընդհանուր խնդիրների քննարկման շրջականերում:
Scroll to top