1. Ի տարբերություն «Կիբեռանվտանգության մասին» օրենքի նախագծի (այսուհետ նաեւ՝ Օրենք, տես՝ https://www.e-draft.am/projects/8642) նախորդ խմբագրության՝ լրամշակված երկրորդ տարբերակում առավել հստակ է, թե Օրենքն ում է վերաբերում, ում համար է սահմանում պարտականություններ:
Այդուհանդերձ, առկա են հստակեցման ենթակա մի քանի բովանդակային եւ տեխնիկական հարցեր:
- Մասնավորապես, Օրենքի 1-ին հոդվածի 3-րդ մասի համաձայն՝ Օրենքի գործողությունը տարածվում է իրավաբանական անձանց եւ անհատ ձեռնարկատերերի վրա, որոնք գործունեություն են ծավալում Օրենքի 16-րդ հոդվածի 2-րդ մասում թվարկված կենսական նշանակության ոլորտներից մեկում կամ մի քանիսում միաժամանակ եւ շահագործում են տեղեկատվական համակարգ կամ կրիտիկական տեղեկատվական ենթակառուցվածք: Այս դրույթում առկա է տեխնիկական վրիպակ, հղումը պետք է լինի ոչ թե Օրենքի 16-րդ հոդվածի 2-րդ, այլ 3-րդ մասին, քանի որ Օրենքի՝ հանրային քննարկման դրված տարբերակում կենսական նշանակության ոլորտները սահմանվում են Օրենքի 16-րդ հոդվածի 3-րդ մասով:
- Օրենքի 1-ին հոդվածի 4-ից 7-րդ մասերով սահմանվում են այն դեպքերը, որոնց վրա Օրենքի գործողությունը չի տարածվում: Նշված դրույթներից առերեւույթ բխում է, որ Օրենքի 1-ին հոդվածի 4-ից 7-րդ մասերը բացառություններ են նույն հոդվածի 3-րդ մասից: Օրինակ, Օրենքի 1-ին հոդվածի 4-րդ մասով սահմանվում է, որ Օրենքի գործողությունը չի տարածվում «Փոքր և միջին ձեռնարկատիրության աջակցության մասին» օրենքով նախատեսված գերփոքր եւ փոքր ՓՄՁ սուբյեկտների դասակարգման չափանիշներին բավարարող իրավաբանական անձանց եւ անհատ ձեռնարկատերերի վրա, բացառությամբ այն դեպքերի, երբ նշված անձինք շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածք։ Հետեւաբար, Օրենքի գործողությունը
– չի տարածվում գերփոքր եւ փոքր ՓՄՁ սուբյեկտների դասակարգման չափանիշներին բավարարող այն իրավաբանական անձանց եւ անհատ ձեռնարկատերերի վրա, որոնք թեեւ գործունեություն են ծավալում կենսական նշանակության ոլորտներից մեկում կամ մի քանիսում միաժամանակ, սակայն չեն շահագործում կրիտիկական տեղեկատվական ենթակառուցվածք:
– տարածվում է գերփոքր եւ փոքր ՓՄՁ սուբյեկտների դասակարգման չափանիշներին բավարարող այն իրավաբանական անձանց եւ անհատ ձեռնարկատերերի վրա, որոնք գործունեություն են ծավալում կենսական նշանակության ոլորտներից մեկում կամ մի քանիսում միաժամանակ եւ շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածք։
- Օրենքի 16-րդ հոդվածի 3-րդ մասում կենսական նշանակության ոլորտներից շատերը հստակեցվել են (օրինակ, արտադրության ոլորտը), սակայն դեռեւս անորոշ են նույն մասի.
– 3-րդ կետով սահմանված տրանսպորտային ոլորտը – պարզ չէ՝ արդյոք սա ներառում է, օրինակ, տաքսի կամ տրանսպորտային բեռնափոխադրման ծառայություն մատուցողին, այդ թվում՝ անհատ ծառայություն մատուցողներին այնքանով որքանով դեռեւս սահմանված չէ կրիտիկական ենթակառուցվածքների ցանկը:
– 9-րդ կետով սահմանված տեղեկատվական տեխնոլոգիաների ոլորտին – պարզ չէ՝ արդյոք սա ներառում է, օրինակ, ՏՏ ոլորտում ցանկացած ծառայություն մատուցողներին (QA մասնագետներ, ծրագրավորողներ, վեբ-դիզայներներ, խաղերի նախագծողներ եւ այլն), այդ թվում՝ անհատ ծառայություն մատուցողներին այնքանով, որքանով դեռեւս սահմանված չէ կրիտիկական ենթակառուցվածքների ցանկը:
– 12-րդ կետով սահմանված տվյալների շտեմարանների կառավարման եւ շահագործման ոլորտին – Օրենքով սահմանված չէ տվյալների շտեմարանի հասկացությունը, ուստի այս դեպքում պարզ չէ, թե տվյալների շտեմարանները վերաբերում են Հանրային տեղեկությունների մասին օրենքում նշված շտեմարաններին թե նաեւ այլ օրենքներով սահմանված տվյալների ցանկացած բազայի, այն է՝ որոշակի հատկանիշներով համակարգված տվյալների ցանկացած ամբողջության: Վերջին դեպքում տվյալների շտեմարան շահագործող կարող է համարվել ըստ էության յուրաքանչյուրը:
Առաջարկում ենք
– Օրենքի 1-ին հոդվածի 3-րդ մասում Օրենքի 16-րդ հոդվածի 2-րդ մասին հղումը փոխարինել 16-րդ հոդվածի 2-րդ մասին հղմամբ,
– հնարավորինս հստակեցնել Օրենքի 1-ին հոդվածի 3-րդ եւ նույն հոդվածի 4-ից 7-րդ մասերի փոխհարաբերությունը, օրինակ, Օրենքի 1-ին հոդվածի 3-րդ մասում «գործողությունը» բառից հետո լրացնել «բացառությամբ սույն հոդվածի 4-ից 7-րդ մասերով նախատեսված դեպքերի» բառերով,
– հնարավորինս հստակեցնել, թե ինչ է նկատի ունեցվում Օրենքի 16-րդ հոդվածի 3-րդ մասի 3-րդ, 9-րդ եւ 12-րդ կետով նշված ոլորտների ներքո:
2. Օրենքում համակցության մեջ անորոշ եւ թյուըմբռնումների տեղիք տվող են Օրենքի 10-րդ հոդվածով սահմանվող կիբեռանվտանգության համար պատասխանատու անձի (կիբեռանվտանգության մասնագետ), 17-րդ հոդվածով սահմանվող տեղեկատվական համակարգում եւ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման հիմնական պայմանների, 20-րդ հոդվածով սահմանվող կիբեռանվտանգության աուդիտի դրույթները: Մասնավորապես.
- Ծառայություն մատուցողը կարող է չնշանակել կիբեռանվտանգության մասնագետ կամ մասնագետներ, եթե կիբեռանվտանգության ապահովումը պատվիրակվել է կիբեռանվտանգության ապահովման ծառայություն մատուցողի (Օրենքի 10-րդ եւ 19-րդ հոդվածներ): Այս դեպքում առերեւույթ ենթադրվում է, որ կիբեռանվտանգության ապահովման ծառայություն մատուցողն ինքը կհանդիսանա կամ կտրամադրի կիբեռանվտանգության մասնագետ:
Միաժամանակ, տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովումը կիբեռանվտանգության ապահովման ծառայություն մատուցողի պատվիրակելու դեպքում Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանում է ծառայություն մատուցողը (Օրենքի 17-րդ հոդված):
Այն պարագայում, երբ Օրենքի 10-րդ հոդվածի իմաստով հնարավոր է, որ ծառայություն մատուցողն առհասարակ չունենա կիբեռանվտանգության մասնագետ, պարզ չէ, թե ինչու՞ է Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանալու պահանջը ներկայացվում ծառայություն մատուցողին, այլ ոչ թե կիբեռանվտանգության ապահովման ծառայություն մատուցողին (իր կիբեռանվտանգության մասնագետով հանդերձ): Տվյալ դեպքում կիբեռանվտանգության ծառայությունն ամբողջությամբ այլ անձի պատվիրակած եւ կիբեռանվտանգության մասնագետ չունեցող ծառայություն մատուցողը կարող է կիբեռմիջադեպի լուծման ավելորդ միջնորդ դառնալ:
- Օրենքի 18-րդ հոդվածի 1-ին մասը սահմանում է, որ կրիտիկական տեղեկատվական ենթակառուցվածքում կիբեռանվտանգության պետական կառավարումը եւ կարգավորումն իրականացվում է հաշվի առնելով Օրենքի 16-րդ հոդվածի 2-րդ մասով սահմանված կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը:
Այնինչ, Օրենքի 16-րդ հոդվածի 2-րդ մասը չի սահմանում կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկ, այն նման ցանկի հաստատումը վերապահում է ՀՀ կառավարությանը:
- Օրենքի 19-րդ հոդվածի 3-րդ մասի համաձայն՝ կիբեռանվտանգության աուդիտ պետք է անցնի կիբեռանվտանգության ապահովման ծառայություն մատուցողը՝ Օրենքի 20-րդ հոդվածով սահմանված կարգով եւ ժամկետներում:
Այնինչ, Օրենքի 20-րդ հոդվածի 1-ին մասի համաձայն՝ կիբեռանվտանգության աուդիտի արդյունքում գնահատվում է ծառայության մատուցողի կիբեռանվտանգության ապահովման ներքին կանոնակարգի եւ դրա կիրարկման համապատասխանությունը սույն օրենքի պահանջներին:
Այս դեպքում ստացվում է, որ կիբեռանվտանգության աուդիտի դեպքում պետք է գնահատվի ծառայության մատուցողի կիբեռանվտանգության ապահովման ներքին կանոնակարգն ու դրա կիրարկումը ինչպես ծառայություն մատուցողի, այնպես էլ կիբեռանվտանգության ծառայություն մատուցողի դեպքում: Անհասկանալի է, թե կիբեռանվտանգության ծառայություն մատուցողի աուդիտի դեպքում ինչու՞ պետք է գնահատվի ծառայություն մատուցողին վերաբերող այն նույն փաստաթուղթն ու դրա կիրարկումը, որոնք գնահաման են ենթակա հենց ծառայություն մատուցողի աուդիտի դեպքում:
Առաջարկում ենք
– Օրենքի 17-րդ հոդվածի 4-րդ մասում ծառայություն մատուցողի՝ Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանալու պահանջը հանել, սահմանել, որ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովումը կիբեռանվտանգության ապահովման ծառայություն մատուցողի պատվիրակելու դեպքում Ինքնավար մարմնի հետ կոնտակտային կետ կարող է հանդիսանալ նաեւ կիբեռանվտանգության ապահովման ծառայություն մատուցողը,
– Օրենքի 18-րդ հոդվածի 1-ին մասում «Օրենքի 16-րդ հոդվածի 2-րդ մասով սահմանված» բառերը փոխարինել «ՀՀ կառավարության կողմից հաստատված» բառերով, կամ առնվազն նույն մասում «սահմանված» բառը փոխարինել «նախատեսված» բառով կամ համադրելի այլ ձեւակերպմամբ,
– հստակեցնել կիբեռանվտանգության ծառայություն մատուցողի կիբեռանվտանգության աուդիտի դեպքում գնահատման ենթակա փաստաթղթերը:
3. Տեղեկատվական համակարգերի կարգավորման հանձնաժողովի՝ ինքնավար մարմնի կարգավիճակը անհամեմատ ավելի համադրելի է Օրենքով նախատեսվող լիազորություններին, քան Օրենքի նախորդ խմբագրությամբ առաջարկվող ենթակա պետական մարմնի խնդրահարույց կարգավիճակը: Այդուհանդերձ, Օրենքի լրամշակված նախագծում լուծված չեն ինքնավար մարմնի կողմից տեղեկատվական համակարգերին հասանելիության խնդիրները ու անհամաչափ միջամտության երաշխիքների բացակայության հարցը:
- Օրենքի 14-րդ հոդվածի համաձայն՝ էական ազդեցություն ունեցող կիբեռմիջադեպի դեպքում Ինքնավար մարմինը իրավասու է ձեռնարկել համապատասխան միջոցներ եւ ամբողջությամբ կամ մասնակիորեն սահմանափակել ծառայություն մատուցողի կողմից կիրառվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը՝ նման միջոցի կիրառության մասին անհապաղ տեղեկացնելով ծառայություն մատուցողին:
Այս պարագայում պարզ չէ, արդյոք Ինքնավար մարմինն ի սկզբանե (անկախ ծառայություն մատուցողին տեղեկացնելու հանգամանքից) ունենալու՞ է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելու տեխնիկական հնարավորություն, թե տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելու հնարավորությունը տեխնիկապես ստանալու է ծառայություն մատուցողին տեղեկացնելուց հետո (օրինակ, ծառայություն մատուցողի կողմից): Օրենքում բավարար չափով նկարագրված չեն տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելու հնարավորությունը ձեռք բերելու պայմանները (դրանք չկան նաեւ «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքի նախագծում):
- Ինքնավար մարմնի կողմից տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելու լիազորությունը պայմանավորվում է ի թիվս այլնի ծառայություն մատուցողին անհամաչափ վնաս չպատճառելու հանգամանքներով, որը հնարավոր է պարզել (հաստատել կամ հերքել) միայն սահմանափակումը կիրառելուց հետո:
Առաջարկում ենք Օրենքի 14-րդ հոդվածում նախատեսել նաեւ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելու կարգը եւ պայմանները, այդ թվում՝ անհամաչափ միջամտությունը բացառող երաշխիքներ (օրինակ, միջոցի կիրառմամբ պատճառված վնասի հատուցման կանոն եւ այլն):
4. Օրենքում, այդ թվում Ինքնավար մարմնի լիազորություններում որպես կանոն կիրառվում է վերահսկողություն եզրույթը, այնինչ առերեւույթ խոսք է գնում հսկողության իրականացման մասին: Նաեւ, Օրենքի 21-րդ հոդվածում նշվում է Ինքնավար մարմնի կողմից Օրենքի եւ դրա հիման վրա ընդունված իրավական ակտերի նկատմամբ վերահսկողություն իրականացման մասին, այնինչ պետք է խոսք գնա իրավական ակտերի պահանջների կատարման նկատմամբ հսկողության մասին:
Առաջարկում ենք Օրենքի 14-րդ հոդվածում «իրավական ակտերի» բառից հետո լրացնել «պահանջների կատարման» բառերով, ինչպես նաեւ Օրենքում վերաբերելի դրույթներում «վերահսկողություն» բառը փոխարինել «հսկողություն» բառով՝ համապատասխան թվով եւ հոլովաձեւերով:
Leave a Reply