Правительство недавно утвердило пакет законов, согласно которому создается орган по регулированию информационных систем, предназначенный для выявления и предотвращения киберинцидентов, координации реакции на них и снижения ущерба в государственных и частных секторах. Пакет законов направлен в Национальное собрание.
По словам министра высокотехнологичной промышленности Мхитара Айрапетяна, закон «О кибербезопасности» определяет критически важные отрасли и инфраструктуру, делает обязательным применение критериев оценки рисков, а также соблюдение стандартов ISO 27001 и других международных норм. Разработка национальных стандартов возможна при условии, что они будут конкурентоспособными и соответствовать местным потребностям.
Проектом предусмотрено создание автономного органа, который будет отвечать за доступность общественной информации, техническую защиту государственных систем и меры кибербезопасности. Он сможет определять перечень информации служебного использования, разрабатывать критерии оценки рисков и киберинцидентов, а также проводить постоянный мониторинг и проверки соответствия.
При новом органе будет действовать комиссия, члены которой будут избираться Национальным собранием, и фактически станет операционным центром безопасности государственных систем, взаимодействуя с министерствами и частными компаниями, предоставляющими услуги кибербезопасности. Также предусмотрены профилактические меры: ежегодные киберучения, прозрачная деятельность и ежегодные отчеты по кибергигиене для Национального собрания. Согласно проекту закона, компании-поставщики услуг обязаны внедрить внутренние правила кибербезопасности, провести оценку рисков и разработать программы предотвращения инцидентов в течение 18 месяцев после вступления закона в силу.
Закон представляет собой значительный шаг в области информационной безопасности Армении. Новый орган поможет быстро реагировать на инциденты и повысить международный рейтинг страны. Проект также подчеркивает важность информирования общества, реализации образовательных программ и внедрения международного опыта, что повысит уровень кибергигиены. Бизнес получит руководства и поддержку для компаний в критически важных секторах, что сократит ущерб от кибератак. Закон также обеспечивает соответствие международным стандартам, что облегчает интеграцию с ЕС и другими международными организациями.
Вместе с тем существуют определенные риски: обязательные аудиты и процессы оценки рисков могут повлечь дополнительные расходы для бизнеса. Создание новой комиссии требует финансовых ресурсов и привлечения специалистов, а ужесточение контроля может создать дополнительные бюрократические препятствия. Планируемый постоянный мониторинг также несет риски нарушения конфиденциальности персональных данных.