Տեղեկատվական անվտանգություն

10 ր.   |  2019-06-12

Հայեցակարգային մոտեցումների արդիականացման հիմնախնդիրը և կարգավորման միջոցները

Ընթացիկ դրությունը

Տ եղեկատվական տեխնոլոգիաների զարգացումը և տարբեր սուբյեկտների կողմից օգտագործումը առաջնային են դարձրել կիբեռանվտանգության ապահովման խնդիրները: Կիբերտարածքում (տեղեկատվության, կառավարման, հեռահաղորդակցության, հաշվիչ համակարգերի, նրանց հետ աշխատող անձնակազմի և տեղեկատվական հոսքերի համախմբություն) ակտիվ գործում են տարատեսակ հանցավոր խմբավորումներ, իրականացվում է տնտեսական և ռազմական լրտեսություն, փորձ է արվում շարքից հանել ձեռնարկություններն ու ենթակառուցվածքային օբյեկտները: Կիբերհարձակումներից բացի հրատապ խնդիրից է օգտատերերի անհատական տվյալների պաշտպանությունը` ապօրինի տեղեկատվության հավաքագրումից:

Հաշվի առնելով Հայաստանում տեղեկատվական և հաղորդակցական տեխնոլոգիաների զարգացման բարձր տեմպերը` արդիական է դառնում ենթակառուցվածքների պաշտպանության խնդիրը, որն առանցքային նշանակություն ունի տնտեսության և պետության տարբեր բնագավառների կենսագործունեության համար:

Խոսքը տեղեկատվական համակարգերի վրա կիբեռհարձակումների ավելացման մասին է, որոնց խափանումը կարող է էական ազդեցություն ունենալ տնտեսական, ֆինանսաբանկային, առողջապահական և այլ առանցքային ոլորտների և ենթակառուցվածքների պատշաճ աշխատանքի վրա։

Կիբերանվտանգությունը լայն հասկացություն է, որը անվտանգության տարբեր միջոցներ ու մոտեցումներ է ենթադրում: Միջազգային Հեռահաղորդակցությունների Միության սահմանման համաձայն, կիբերանվտանգությունը ենթադրում է.

  • անվտանգության ապահովման ռազմավարություն և սկզբունքներ, անվտանգության երաշխիքներ, ռիսկերի կառավարման մոտեցումներ, գործիքակազմի, ապահովագրություն և տեխնոլոգիաներ, որոնք կարող են օգտագործվել կիբերմիջավայրի, կազմակերպությունների և օգտատերերի ռեսուրսների պաշտպանության համար:

Խոսքը ինչպես քաղաքացիական, այնպես էլ ռազմական կիբերտարածության պաշտպանության մասին է, որը կարող է վնասել փոխկապակցված ցանցերն ու տեղեկատվական ենթակառուցվածքները:

Նշված խնդիրների լուծմանը նպաստող հայեցակարգային (ռազմավարություններ և սկզբունքներ) մոտեցումների անհրաժեշտությունը բխում է երկրի ենթակառուցվածքների համակարգված, հուսալի գործունեության պահանջից։ Այն ուղղված է համակարգելու կիբերտարածքում պետության, մասնավոր հատվածի, հասարակության և միջազգային կառույցների ջանքերը։

Գիտակցելով հիմնախնդրի կարևորությունը, 2009թ. ընդունվեց ՀՀ տեղեկատվական անվտանգության հայեցակարգը: Ութ տարի անց՝ 2017 թ-ին. հայեցակարգն ուժը կորցրած ճանաչվեց, ինչը պայմանավորված էր նրանով, որ ՀՀ կառավարությունը նախապատրաստվում էր մշակել և հաստատել ոլորտի նոր` Հայաստանի կիբեռանվտանգության ռազմավարությունը՝ նախատեսելով Կիբեռանվտանգության կենտրոնի ստեղծումը: Ենթադրվում էր, որ պետք է մշակվեն նաև կիբեռանվտանգության ոլորտի կարգավորման օրենսդրական և իրավական հիմքերը:

2016թ. վերջին տեղի ունեցավ ԱԺ պաշտպանության, ազգային անվտանգության և ներքին գործերի մշտական հանձնաժողովի շրջանակում կիբեռանվտանգության ոլորտում ստեղծված աշխատանքային խմբի վերջին նիստը, որտեղ ամփոփվեցին երկու տարում խմբի կատարած աշխատանքները: Ենթադրվում էր, որ աշխատանքային խմբի գործունեությունը կլինի շարունակական՝ պայմանավորված «Կիբեռանվտանգության ռազմավարության» երկարաժամկետ ծրագիրով։ Մշակվել էր «Ռազմավարական մոտեցումներ կիբեռանվտանգության ոլորտում» փաստաթղթի նախագիծը, որտեղ ներկայացված էին կիբեռանվտանգության ոլորտում գործողությունների հայեցակարգային մոտեցումները:

2017թ. նախատեսվում էր ՀՀ կառավարության ներկայացնել «Կիբեռանվտանգության ռազմավարությունը հաստատելու մասին» որոշման նախագիծը: Նախագծում սահմանված են կիբեռանվտանգության ռազմավարության հիմնական ուղղությունները, իրականացման մոտեցումները, ոլորտի կայուն զարգացմանն ուղղված միջոցառումների իրականացման ժամկետները, ինչպես նաև կիբեռանվտանգության կենտրոնի ստեղծման մոտեցումները: Հայեցակարգը պետք է զարգացնի և լրացնի ՀՀ Սահմանադրությունը և ՀՀ ազգային անվտանգության հայեցակարգը:

Կարևորելով Կիբեռանվտանգության ռազմավարության ընդունումը, հարկ ենք համարում նշել, որ անհրաժեշտ է շարունակել աշխատանքը, որն ամբողջությամբ կկարգավորի ոլորտը և կարտացոլի տեղեկատվական անվտանգության ոլորտում պետական քաղաքականությունը, սպառնալիքների տեսակներն ու աղբյուրները, տեղեկատվության պաշտպանության անհրաժեշտ քայլերը և այլն:

Հայաստանը կիբերսպառնալիքներից անբավարար է պաշտպանված. Ռիսկային են պետական մարմինները, ենթակառուցվածքները և բանկային համակարգը: Գործադիր մարմինների, Կենտրոնական բանկի, Ազգային ժողովի հանձնաժողովների և այլոց կիբերանվտանգությամբ զբաղվում է Ազգային անվտանգության ծառայությունը, որը սահմանել է անվտանգության անհրաժեշտ պահանջները, չափանիշներն ու մոտեցումները: Մասնավոր կազմակերպությունները, այդ թվում՝ պետության համար կենսական նշանակություն ունեցող՝ գազի և ջրամատակարարման ընկերությունները, էլեկտրակայաններն ու բանկերը, իրանք են ապահովում սեփական անվտանգությունը:

Մենք կարող ենք բախվել այնպիսի հիմնախնդրի հետ, երբ հանրային կարևորության օբյեկտները, առավել խոցելի լինելով, կարող են ենթարկվել կիբերհարձակումների՝ ինչպես դրսից, այնպես էլ ներսից:

Նշենք, որ փաստացի, ներկայումս բացակայում է ազգային կիբեռանվտանգության հիմնահարցերում ձևավորված և համախմբված ամբողջական մոտեցումը: Տեղեկատվության անվտանգության փորձագետ Սամվել Մարտիրոսյանի կարծիքով «մենք չունենք ազգային կիբերանվտանգության ռազմավարություն, բացակայում է այն կենտրոնը, որը զբաղվում է այս խնդիրներով»:

Կիբեռանվտանգության ոլորտը կանոնակարգելու, միասնական քաղաքականություն իրականացնելու, մարտահրավերների դեմ պայքարելու նպատակով անհրաժեշտ է մշակել և կատարելագործել կիբեռանվտանգության ոլորտի օրենսդրությունը, սպառնալիքներն ու ռիսկերը համակարգելու, մոտեցումները և չափանիշները մշակելու համար:

Անհրաժեշտ է հաշվի առնել, որ կիբերտարածքը, կիբերհարձակումները և կիբերանվտանգությունը ներառում է բազմաթիվ գործոններ՝ հեռահաղորդակցային տեխնոլոգիաներ, նորմատիվային բազա և «անձ-հասարակություն-պետություն-բիզնես» փոխհարաբերությունները:

Դիտարկելով Հայաստանի կիբեռանվտանգության ռազմավարությունը ցանկանում են ուշադրություն դարձնել հետևյալ հարցերին:

Կարծում ենք, որ անհրաժեշտ է ռազմավարությունը կառուցել անհատի, հասարակության և պետության հավասարակշռված շահերի համադրմամբ: Անձի շահը սահմանադրական իրավունքների իրականացումն է` տեղեկատվության մատչելիության, տեղեկատվության օգտագործման, ինչպես նաև, ֆիզիկական, հոգևոր և մտավոր զարգացման, անձնական անվտանգության ապահովման համար:

Առաջարկվող տարբերակը չի հակասում այն մոտեցումներին, որոնք ընդգրկված են հրապարակված տարբերակում, և թույլ է տալիս համապատասխանեցնել Կիբերռազմավարությունը գործող օրենսդրությանը, որտեղ կան տեղեկատվական ոլորտում անձի պաշտպանության մասին դրույթներ:

Կիբերռազմավարությունում մեծ ուշադրության է արժանացել պետության և մասնավոր հատվածի համագործակցության պահանջը, ինչը թույլ է տալիս արագ զարգացող վտանգներին դիմակայել համատեղ ջանքերով՝ ուժեղացնելով մասնավոր հատվածի սեփականություն հանդիսացող տեղեկատվական ենթակառուցվածքների պաշտպանությունը։ Կիբեռանվտանգության ռազմավարությունում առանձնակի կարևորություն է տրվում այնպիսի հիմնարար հասկացության, ինչպիսին է կրիտիկական տեղեկատվական ենթակառուցվածքները:

Ի տարբերություն ՀՀ տեղեկատվական անվտանգության հայեցակարգի՝ Կիբերռազմավարությունում տեղ չեն գտել տնտեսության ճյուղային կոնկրետ ուղղությունների վերաբերյալ իրականացվող աշխատանքները: Տրամաբանորեն այն հիմնված է այնպիսի հասկացությունների վրա, ինչպիսիք են` կրիտիկական ենթակառուցվածքներ և տեղեկատվական ենթակառուցվածքներ: Մեր կարծիքով ռազմավարությունում հարկ է ներառել հոգևոր-մշակութային, պետական-տեղեկատվական և հեռահաղորդակցային համակարգերի, պաշտպանության ոլորտները:

Հարկավոր է նաև հստակ ձևակերպել տեղեկատվական ոլորտում Հայաստանի ազգային շահը և սահմանել սպառնացող վտանգները:

Կ իբեռանվտանգության հետ առնչվող մյուս կոնցեպտը Հայաստանում թվային օրակարգի («Թվային Հայաստան») իրագործման անհրաժեշտությունն է, որը համընկնում է Հայաստանի ստանձնած միջազգային պարտավորություններին: Խոսքն առաջին հերթին ԵԱՏՄ թվային տնտեսության օրակարգային հիմնախնդիրների իրագործման մասին է: Այսպես, Հայաստանը և ԵԱՏՄ մյուս պետությունները 2019թ. մայիսի 21-ին ստորագրել են կիբեռանվտանգության հարցերով աշխատանքային խումբ ստեղծելու մասին համաձայնագիր, քանի որ, «... անհրաժեշտ է ստեղծել միասնական արդյունավետ կիբեռանվտանգության համակարգ՝ հիմնված ԵԱՏՄ անդամ-պետությունների ֆինանսական կարգավորիչների հիմքի վրա»: Կարևորելով այս հանգամանքը՝ նպատակահարմար է Կիբերռազմավարությունում նշել, որ Հայաստանը ձգտում է հասնել ԵԱՏՄ շրջանակներում կիբեռանվտանգության ոլորտում համատեղ ծրագրի իրականացմանը: Այս աշխատանքներում, սակայն, կարող են առաջանալ լուրջ խնդիրներ՝ պայմանավորված ԵԱՏՄ երկրները սոցիալ-տնտեսական, տեխնոլոգիական, և ազգային կիբեռանվտանգության զարգացման տարբեր մակարդակներով:

Հայաստանի Կիբերռազմավարությունը պետության մոտեցումների ամբողջություն է, ինչը պահանջում է ոլորտում իրականացնել պետական քաղաքականության հիմնական ուղղությունների և սկզբունքների մշակման ու իրականացման, նորմատիվ-իրավական բազայի կատարելագործման աշխատանքներ:

Որպես օրինակ, չնայած մեծ տարբերության, դիտարկենք Գերմանիայի Դաշնային Հանրապետության (ԳԴՀ) առաջադեմ փորձը: Նկատենք, որ Գերմանիայի տնտեսությունը տարբեր տեսակի կիբերհարձակումների էպիկենտրոնում է և նկատելիորեն տուժում է, այդ պատճառով, կիբերանվտանգությունը նրա առանցքային հարցերից է: Ըստ այդմ, այնտեղ մշակվել և անընդմեջ բարելավվում է կիբերպաշտպանության համակարգը:

Պետք է նշել, որ գերմանական մոտեցումը կիբեռանվտանգության ապահովման գործում առանձնանում է իր համալիր և հիմնարար բնույթով, ներառելով իր մեջ նորմատիվային ակտերի, ծրագրերի և ինստիտուտների մի ամբողջ համակարգ՝ ուղղված «Տեղեկատվական ենթակառուցվածքների պաշտպանության ազգային ծրագիր» (ընդունված 2005թ.) և «Կրիտիկական ենթակառուցվածքների բաղադրիչների պաշտպանության իրականացման ծրագիր» (ընդունված 2007թ.) իրականացմանը: Այս փաստաթղթերը, մշակված կառավարության, բիզնեսի և այլ կառույցների մասնակցությամբ, սահմանում են տեղեկատվական տեխնոլոգիաների ոլորտում ճգնաժամերին արձագանքելու ընդհանուր ռազմավարությունը և պարունակում ցուցմունքներ գործարար համայնքին, խոշոր կիբերհարձակումներից պաշտապնվելու համար:

ԳԴՀ ազգային կիբերանվտանգության համար պատասխանատու մարմինը Ներքին գործերի նախարարությունն է, որում 1991թ. հիմնված Գերմանիայի Դաշնային տեղեկատվական անվտանգության կառույցը (BSI): Այս մարմինը կազմում է տեղեկատվական անվտանգության ոլորտի քաղաքականությունը և գործողությունների ծրագիրը` միջադեպերի և ճգնաժամերի կանխարգելման, բացահայտման և արձագանքման համար:

2011թ. ԳԴՀ ընդունել է նոր Դաշնային կիբերանվտանգության ռազմավարությունը, որը հիմնվելով միջգերատեսչական բազմակողմ գործողությունների տրամաբանության վրա, ուղղված է ազգային մակարդակով ապահովելու անվտանգությունը կիբերտարածությունում: Ռազմավարությունը հիմնականում ուղղված է կրիտիկական տեղեկատվական կառույցների պաշտպանությանը, միաժամանակ բացահայտելով լրացուցիչ հնարավորությունները՝ ճգնաժամից զերծ պահելու տեղեկատվական ենթակառուցվածքները:

2017թ. ԳԴՀ ռազմական ուժերը ստեղծեցին կիբերհրամանատարություն (Cyber and Information Space Command, CIS): Այստեղ կանոնակարգված է քաղաքացիական և ռազմական կառույցների բավականին սերտ համագործակցությունը, որը մշտապես կատարելագործվում և զարգանում է:

Կարելի է ենթադրել, որ Հայաստանի դեպքում, Կիբերռազմավարությունը նշանակալիորեն կբարձրացնի կիբեռանվտանգության հիմնախնդիրը պետական կառավարման համակարգում՝ սահմանելով հստակ դերն ու պատասխանատվությունը:

Մյուս խնդիրը Կիբերանվտանգության կենտրոնի ստեղծումն է, որը կիբերսպառնալիքները «կանխարգելելու և դրանց դեմ հակազդման մեխանիզմներ մշակելու, կիբերանվտանգության արդյունավետ համակարգ ձևավորելու համար է»: Կիբերռազմավարությունում դիտարկվում են Կիբեռանվտագության կենտրոնի հիմնական գործառույթները և նրա ստեղծման երկու տարբերակ: Կառույցի խնդիրներից պետք է լինի նաև կիբեռանվտանգության ոլորտում միջազգային համագործակցությունը և տեղեկատվության անվտանգ փոխանցման գործընթացները: Պարզ է, որ հետագա աշխատանքները այդ ոլորտում առավել կհստակեցնեն Կենտրոնի գործառույթները:

Տեղեկատվության անվտանգության ոլորտի կարգավորումը

Ի հարկե, Կիբերռազմավարությունը պետք է դիտարկել որպես Հայաստանի տեղեկատվական անվտանգության բազային փաստաթուղթ, որը տեղեկատվական անվտանգության ապահովման նպատակների, խնդիրների, սկզբունքների և հիմնական ուղղությունների պաշտոնական տեսակետների ամբողջություն է: Ինչ վերաբերում է առանձին ուղղությունների կարգավորմանը, ապա այն իրականացվում է նորմատիվային դաշտում:

Նշենք, որ Հայաստանում բացակայում է ընդհանուր, բազային օրենք, որը սահմանում է տեղեկատվության հասանելիության, գաղտնիության և տեղեկատվության պաշտպանության վերաբերյալ ընդհանուր դրույթները, որը, սակայն, որոշ չափով, փոխարինվում է Կիբերռազմավարությունով: Օրինակ, Ռուսաստանում գործում է «Տեղեկատվություն, տեղեկատվական տեխնոլոգիաներ և տեղեկատվության պաշտպանություն մասին» օրենքը: Հիմնական օրենքի բացակայության պայմաններում օրենսդրությունում անմիջապես անցնում է կատարվում տեղեկատվության անվտանգության տեսակների իրավական ռեժիմի սահմանմանը:

Նկատի ունենալով, որ ներկայումս դժվար է հստակ բաժանարար գիծ անցկացնել գաղտնիության և տեղեկատվական անվտանգության հասկացությունների միջև, թվարկենք օրենքները, նշելով կոնկրետ հոդվածները, որոնք առնչվում են դիտարկվող հասկացությունների հետ.

  • Անձնական տվյալներ – «Անձնական տվյալների պաշտպանության մասին» ՀՀ օրենք,
  • Փաստաբանական գաղտնիք – «Փաստաբանության մասին» ՀՀ օրենքի (2004 թ. N ՀՕ-29-Ն) 25-րդ հոդված,
  • Նոտարական գաղտնիք – «Նոտարի մասին» ՀՀ օրենքի (2001 թ. N ՀՕ-274) 5-րդ հոդված,
  • Բանկային գաղտնիք «Բանկային գաղտնիքի մասին» ՀՀ օրենքը (1996 թ. N ՀՕ-80),
  • Գաղտնիք պարունակող տեղեկությունների ներկայացումը - «Փողերի լվացման և ահաբեկչության ֆինանսավորման դեմ պայքարի մասին» ՀՀ օրենքի (2008 թ. N ՀՕ-80-Ն) 5-րդ հոդված,
  • Անբարեխիղճ մրցակցությունը չբացահայտված տեղեկատվության նկատմամբ – «Տնտեսական մրցակցության պաշտպանության մասին» ՀՀ օրենքի (2000 թ. N ՀՕ-112) 16-րդ հոդված:
  • Երեխայի որդեգրման գաղտնիքը – «ՀՀ ընտանեկան օրենսգիրք», 2004 թ. N ՀՕ-123-Ն 128-րդ հոդված,
  • Գաղտնի տեղեկությունների պաշտպանության ոլորտում իրավախախտումների համար քրեական պատասխանատվությունը ՀՀ քրեական օրենսգրքի (ՀՕ-528-Ն) համաձայն կապված է հետևյալ գործողությունների հետ.
     
  • Անձնական կամ ընտանեկան կյանքի մասին տեղեկություններ ապօրինի հավաքելը, պահելը, օգտագործելը կամ տարածելը (հոդված 144).
  • Նամակագրության, հեռախոսային խոսակցությունների, փոստային, հեռագրական կամ այլ հաղորդումների գաղտնիությունը խախտելը (հոդված 146).
  • Առևտրային, ապահովագրական կամ բանկային գաղտնիք կազմող տեղեկություն ապօրինի հավաքելը կամ հրապարակելը (հոդված 199).
  • Բժշկական գաղտնիքը հրապարակելը (հոդված 145).

«Բնակչության բժշկական օգնության և սպասարկման մասին» ՀՀ օրենքի (1996 թ. N ՀՕ-42) 19 հոդված ե) ենթակետ և 19.3 հոդված 7 ենթակետ, որոնցով պահանջվում է ապահովել գաղտնիության պահպանման ռեժիմը:

«Վարչական իրավախախտումների վերաբերյալ» ՀՀ օրենսգրքի 189.17 հոդվածի համաձայն, «Անձնական տվյալների պաշտպանության մասին» օրենքի խախտման համար նախատեսվում է վարչական պատասխանատվություն:

[1] http://www.mtcit.am

[2] Այդ կապակցությամբ նշենք, որ նման դրույթները բացակայում են այնպիսի փաստաթղթում, ինչպիսին է «ՀՀ Ազգային անվտանգության ռազմավարություն», ինչը, իր հերթին, թույլ է տալիս մեզ եզրակացնել, որ նման կարևոր հայեցակարգը պետք է վերանայվի, հաշվի առնելով միջ- և երկարաժամկետ ռեգիոնալ վտանգները, որոնց առնչվելու է Հայաստանի Հանրապետությունը:

[3] https://www.arlis.am

[4] https://www.arlis.am

[5] Սույն Ռազմավարությունը բխում է ՀՀ Նախագահի «ՀՀ տեղեկատվական անվտանգության և տեղեկատվական քաղաքականության հայեցակարգը հաստատելու մասին» ՆԿ-146-Ա կարգադրության պահանջներից

[6]  http://parliament.am

[7] https://razm.info

[8] 2017 թ. “ՀՀ կառավարության 2017 թվականի գործունեության միջոցառումների ծրագիրը և գերակա խնդիրները հաստատելու մասին” ՀՀ կառավարության N 122 որոշման (հավելված 1) 23 կետ, հավելված 1

[9] arminfo.info

[10] https://ru.armeniasputnik.am

[11] «Կրիտիկական ենթակառուցվածքներ և ազգային անվտանգություն» – Եր.: «Նորավանք» ԳԿՀ, 2018. – 402 էջ:

[12] rus.azatutyun.am

[13] www.cbr.ru

[14] https://www.e-draft.amhttp://mtcit.am

[15] Елин В.М. Сравнительный анализ правового обеспечения информационной безопасности в России и за рубежом: монография. М., 2016. 168 с.

[16] https://www.e-draft.am

[17] http://www.consultant.ru

[18] https://www.arlis.am

[19] https://www.arlis.am

[20] https://www.arlis.am

[21] https://www.arlis.am

[22] https://www.arlis.am

[23] https://www.arlis.am

[24] https://www.arlis.am

[25] https://www.arlis.am

[26] http://www.irtek.am

Հայաստան ՏՀՏ