ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ԿԱՌԱՎԱՐՈՒԹՅՈՒՆ
Ո Ր Ո Շ ՈՒ Մ
12 փետրվարի 2026 թվականի N 152-Ն
ՏԵՂԵԿԱՏՎԱԿԱՆ ՏԵԽՆՈԼՈԳԻԱՆԵՐԻ ԱԿՏԻՎՆԵՐԻ ՌԵԵՍՏՐԻ ՍՏԵՂԾՄԱՆ ԵՎ ԿԱՌԱՎԱՐՄԱՆ ՀԱՄԱԿԱՐԳԻ ՆԵՐԴՐՄԱՆ ԿԱՐԳԸ ՀԱՍՏԱՏԵԼՈՒ ՄԱՍԻՆ
Հիմք ընդունելով «Կիբեռանվտանգության մասին» օրենքի 7-րդ հոդվածի 8-րդ մասը՝ Հայաստանի Հանրապետության կառավարությունը որոշում է.
1. Հաստատել տեղեկատվական տեխնոլոգիաների ակտիվների ռեեստրի ստեղծման և կառավարման համակարգի ներդրման կարգը՝ համաձայն հավելվածի։
2. Սույն որոշման հավելվածի 1-ին կետում նշված կազմակերպությունների ղեկավարներին՝
1) տեղեկատվական տեխնոլոգիաների ակտիվների կառավարման, գույքագրման, նույնականացման, պահպանման և վերահսկման գործընթացներում առաջնորդվել սույն որոշման հավելվածի պահանջներով.
2) սույն որոշման հավելվածով նախատեսված ժամկետներում և կարգով Տեղեկատվական համակարգերի կարգավորման հանձնաժողով ներկայացնել տեղեկատվական տեխնոլոգիաների ակտիվների վերաբերյալ սույն որոշման հավելվածով սահմանված տեղեկատվությունը.
3) սույն որոշումն ուժի մեջ մտնելուց հետո ոչ ուշ, քան երեք ամսվա ընթացքում, ավարտել տեղեկատվական տեխնոլոգիաների ակտիվների ռեեստրի ներդրման աշխատանքները։
3. Սույն որոշման հավելվածի 1-ին կետում նշված հանրային հատվածի կազմակերպությունների ղեկավարներին` սույն որոշումն ուժի մեջ մտնելուց հետո ոչ ուշ, քան երեք ամսվա ընթացքում ապահովել իրենց ենթակայության տակ գտնվող պետական ոչ առևտրային կազմակերպություններում և հարյուր տոկոս պետական մասնակցությամբ ընկերություններում սույն որոշման հավելվածի պահանջների կատարումը։
4. Սույն որոշումն ուժի մեջ է մտնում պաշտոնական հրապարակման օրվան հաջորդող տասներորդ օրը։
|
Հայաստանի Հանրապետության |
Ն. Փաշինյան |
|
Երևան |
|
13.02.2026 ՀԱՎԱՍՏՎԱԾ Է ԷԼԵԿՏՐՈՆԱՅԻՆ ՍՏՈՐԱԳՐՈՒԹՅԱՄԲ |
|
Հավելված ՀՀ կառավարության 2026 թվականի փետրվարի 12-ի N 152-Ն որոշման |
Կ Ա Ր Գ
ՏԵՂԵԿԱՏՎԱԿԱՆ ՏԵԽՆՈԼՈԳԻԱՆԵՐԻ ԱԿՏԻՎՆԵՐԻ ՌԵԵՍՏՐԻ ՍՏԵՂԾՄԱՆ ԵՎ ԿԱՌԱՎԱՐՄԱՆ ՀԱՄԱԿԱՐԳԻ ՆԵՐԴՐՄԱՆ
I. ԸՆԴՀԱՆՈՒՐ ԴՐՈՒՅԹՆԵՐ
1. Սույն կարգով սահմանվում են «Հանրային հատվածի կազմակերպությունների հաշվապահական հաշվառման մասին» Հայաստանի Հանրապետության օրենքի իմաստով հանրային հատվածի կազմակերպություններում և հարյուր տոկոս պետական մասնակցությամբ ընկերություններում (այսուհետ՝ կազմակերպություն) տեղեկատվական տեխնոլոգիաների (այսուհետ՝ ՏՏ) ակտիվների կառավարման համակարգի ներդրման և գործարկման նվազագույն պահանջները և կարգը:
2. Սույն կարգում կիրառվող հասկացություններն ունեն հետևյալ իմաստը՝
1) ՏՏ ակտիվ` կազմակերպություններում տվյալների մշակման, պահպանման, փոխանցման կամ պաշտպանության համար օգտագործվող սարքավորումներ (օրինակ՝ տեղային և ամպային սերվերներ, աշխատակայաններ, անխափան սնուցման սարքեր, ցանցային սարքավորումներ, տվյալների կրիչներ), ծրագրային ապահովումներ (օրինակ՝ օպերացիոն համակարգեր, հավելվածներ, տվյալների բազաներ), կայքեր, տվյալներ (օրինակ՝ օգտատերերի տվյալներ, գրանցամատյաններ՝ ներառյալ ամպային հարթակներում գործող).
2) ՏՏ ակտիվների ռեեստր (այսուհետ՝ ռեեստր)` կազմակերպությունում հաշվառված, ձեռք բերված և շահագործվող ՏՏ ակտիվների վերաբերյալ տվյալների ամբողջական, ստանդարտացված և վերահսկելի գրառում, որը պահվում է որևէ թվային ձևաչափով (հարթակ, ծրագրային լուծում, տվյալների շտեմարան)՝ տեղեկատվության համակարգված պահպանման, վերլուծության և թարմացման նպատակով և ապահովում է տվյալ կազմակերպության կառավարման ներքին կարիքների և փաստաթղթերի շրջանառությունը.
3) ռեեստրի վարում` կազմակերպությունների բոլոր ՏՏ ակտիվների համապարփակ և մանրամասն գույքագրում ռեեստրում.
4) կարևոր ակտիվ` ակտիվ, որի կարևորությունը գնահատվում է գաղտնիության (Confidentiality), ամբողջականության (Integrity) և հասանելիության (Availability) պահանջների վրա հիմնված սանդղակով, որտեղ յուրաքանչյուր չափորոշիչ գնահատվում է 1-ից 3 բալով։ Միավորների գումարը կարող է կազմել 3-ից մինչև 9-ը։ Կարևոր են համարվում այն ակտիվները, որոնք ստացել են 5-ից 7 միավոր ընդհանուր գնահատական.
5) կրիտիկական ակտիվ՝ ակտիվ, որի կարևորությունը գնահատվում է գաղտնիության (Confidentiality), ամբողջականության (Integrity) և հասանելիության (Availability) պահանջների հիման վրա՝ յուրաքանչյուր չափորոշչի գնահատմամբ 1-ից 3 բալով։ Միավորների գումարը կարող է կազմել 3-ից մինչև 9։ Կրիտիկական են համարվում այն ակտիվները, որոնք ստացել են 8-ից 9-ը միավորի գնահատում, այսինքն, ունեն ամենաբարձր արժեք երկուսից երեք չափորոշիչներով.
6) ռեեստր վարող՝ կազմակերպության կողմից նշանակված աշխատակից կամ ստորաբաժանում, որը պատասխանատու է ռեեստրի տվյալների հավաքագրման, լրացման, վարման, թարմացման, ճշգրտության և վավերականության ապահովման համար։ Ռեեստր վարողը պարտավոր է տեղեկատվություն ստանալ ակտիվների տնօրինողներից, ըստ անհրաժեշտության, ներգրավել մասնագիտական թիմեր, իրականացնել տվյալների ձևաչափային համապատասխանեցում հաստատված պահանջներին և տեղեկատվական համակարգերի կարգավորման հանձնաժողովի (այսուհետ՝ հանձնաժողով) հետ ապահովել պարբերական համագործակցություն.
7) պատասխանատու ստորաբաժանման ղեկավար՝ կազմակերպության կողմից նշանակված ստորաբաժանման ղեկավար, որն իրականացնում է վերահսկողություն ռեեստր վարողի նկատմամբ և հաստատում է ռեեստրում ներառված տվյալները:
II. ՌԵԵՍՏՐԻ ՁԵՎԱՎՈՐՈՒՄԸ ԵՎ ՎԱՐՈՒՄԸ
3. Ռեեստրը ձևավորվում է տվյալ կազմակերպության ղեկավարի համապատասխան որոշմամբ։ Նույն որոշմամբ սահմանվում են նաև ռեեստրի վարման համար պատասխանատու ստորաբաժանումները կամ այդ ստորաբաժանման գործառույթները պայմանագրային հիմունքներով իրականացնող ֆիզիկական, իրավաբանական անձինք կամ անհատ ձեռնարկատերերը (այսուհետ՝ պատասխանատու ստորաբաժանում) և ռեեստրի վարման համար պատասխանատու անձինք (այսուհետ՝ ռեեստր վարող)։ Ռեեստր վարողը պատասխանատու է ռեեստրում տվյալների լրացման, վարման, վերահսկման, թարմացման ապահովման համար։
4. Ռեեստրում ՏՏ ակտիվները ենթակա են գրանցման և թարմացման առնվազն տարեկան երկու անգամ՝ կիսամյակի ավարտից հետո 10 աշխատանքային օրվա ընթացքում, ինչպես նաև յուրաքանչյուր ակտիվի ձեռքբերման, փոփոխման, օտարման դեպքում՝ անհապաղ։
5. Կազմակերպությունները ռեեստրում գրանցված տվյալների վերաբերյալ հաշվետվություններ են ներկայացնում հանձնաժողովին՝ դրանց պատճենը տրամադրելով նաև Հայաստանի Հանրապետության բարձր տեխնոլոգիական արդյունաբերության նախարարությանը՝ յուրաքանչյուր կիսամյակի ավարտից հետո 10 աշխատանքային օրվա ընթացքում՝ հանձնաժողովի կողմից ներկայացված ձևաչափով՝ բացառությամբ օրենքով պահպանվող գաղտնիք կազմող տեղեկությունների։ Նույն տվյալների հիման վրա տեղեկատվություն է տրամադրվում տեղեկատվական անվտանգության միջադեպերին արձագանքելու դեպքերում՝ անհապաղ, կամ հանձնաժողովի գրավոր պահանջի հիման վրա՝ վերջինիս սահմանած ձևաչափով։
6. Հանձնաժողովը ներկայացված տվյալների հիման վրա կատարում է մեթոդական վերլուծություն և, անհրաժեշտության դեպքում, ներկայացնում է առաջարկություններ ռեեստրի վարման գործընթացի բարելավման և կիբեռանվտանգության ռիսկերի կառավարման ուղղությամբ։ Ռեեստրի որակական համապատասխանության ապահովմանն աջակցելու նպատակով տվյալների թերի, սխալ կամ ոչ ժամանակին ներկայացման, ինչպես նաև տվյալների բացակայության դեպքերում հանձնաժողովը տվյալների ամբողջականությունն ապահովելու համար կարող է նախաձեռնել լրացուցիչ պարզաբանումների պահանջ կամ վերանայման գործընթաց։
7. Կազմակերպությունների կողմից ՏՏ ակտիվների հավաքագրումը և ռեեստրում տվյալների լրացումն իրականացվում է ավտոմատացված՝ հանձնաժողովի կողմից առաջարկվող գործիքակազմով։
8. Ռեեստր վարողը պետք է ունենա անհրաժեշտ իրավասություն և հասանելիություն տվյալ ակտիվների վերաբերյալ ամբողջական տեղեկատվություն հավաքագրելու, պարզաբանման համար համապատասխան ստորաբաժանումներին դիմելու և տվյալների ճշգրտությունն ապահովելու համար։
9. Ռեեստր վարողը սույն կարգի 4-րդ կետով սահմանված ժամկետներում պետք է իրականացնի ՏՏ ակտիվների վերաբերյալ տեղեկատվության հավաքագրում և դրանց գրանցում ռեեստրում։
10. Ռեեստրի լրացման գործընթացում, անհրաժեշտության դեպքում, կարող են ներգրավվել մասնագիտական թիմեր կազմակերպության այլ ստորաբաժանումներից։
11. Ռեեստրի տվյալները ստուգվում և հաստատվում են կազմակերպության պատասխանատու ստորաբաժանման ղեկավարի կողմից՝ ապահովելով ռեեստրում ներառված տեղեկատվության ամբողջականությունն ու համապատասխանությունը հաստատված չափորոշիչներին։
12. Ռեեստրում ներառված տվյալների ճշգրտությունը համեմատվում է այլ տեղեկատվական համակարգերում (օրինակ՝ հաշվապահական կամ գնումների համակարգեր) առկա ակտիվների գրառումների հետ՝ հայտնաբերելու բացակայող կամ չհաշվառված ակտիվներ։ Չհաշվառված ակտիվներ հայտնաբերելու դեպքում սահմանված ձևաչափով իրականացվում է ակտիվի մուտքագրում ռեեստր։ Ակտիվի բացակայության դեպքում կազմակերպությունն առաջնորդվում է նյութական և ոչ նյութական ակտիվների գույքագրման համար սահմանված ընթացակարգերով։
13.Կրկնակի կամ սխալ գրանցված ակտիվների հայտնաբերման դեպքում դրանք ենթակա են ճշտգրտման կամ ռեեստրից հեռացման առավելագույնը 2 աշխատանքային օրվա ընթացքում՝ սահմանված կարգով ապահովելով համապատասխան փաստաթղթավորում։
14. Կեղծ կամ ոչ լիցենզավորված ծրագրային ապահովման (այդ թվում՝ ժամկետանց, չգրանցված կամ կեղծ լիցենզիաներով) հայտնաբերման դեպքում ռեեստր վարողը պարտավոր է անհապաղ, բայց ոչ ուշ, քան 24 ժամվա ընթացքում տեղեկացնել համապատասխան պատասխանատու ստորաբաժանման ղեկավարին՝ տվյալ ակտիվի օգտագործման դադարեցման, համակարգից հեռացման, իրավական և անվտանգային հետևանքների գնահատման նպատակով։ Նման դեպքերը և դրանց ուղղությամբ իրականացված միջոցառումները պետք է փաստաթղթավորվեն և ներկայացվեն հանձնաժողովին՝ հաշվետվության տեսքով՝ դրանց պատճենը տրամադրելով նաև Հայաստանի Հանրապետության բարձր տեխնոլոգիական արդյունաբերության նախարարությանը։
15. ՏՏ ակտիվների տնօրինման, պատասխանատվության կամ գտնվելու վայրի փոփոխության դեպքում տվյալները պետք է անհապաղ թարմացվեն ռեեստրում։
16. Ռեեստրում ներառված տեղեկատվության ճշգրտության, ամբողջականության, արդիականության և փաստաթղթային ձևակերպման ապահովման պատասխանատվությունը կրում է տվյալ կազմակերպությունը։
17. ՏՏ ակտիվները համարվում են գրանցված ռեեստրում պատասխանատու ստորաբաժանման ղեկավարի կողմից դրանց հաստատման պահից։
18. Ռեեստր վարողը և պատասխանատու ստորաբաժանումը ենթակա են կարգապահական պատասխանատվության՝ սույն կարգով սահմանված պահանջների չկատարման կամ ոչ պատշաճ կատարման, այդ թվում՝ տվյալների թերի, ոչ ճիշտ կամ սահմանված ժամկետներից ուշ ներկայացման համար։ Նման խախտումների դեպքում հանձնաժողովն իրավասու է ներկայացնել լրացուցիչ պարզաբանումների պահանջ, իսկ կրկնվող կամ էական խախտումների առկայության դեպքում տեղեկացնել կազմակերպության ղեկավարին կարգապահական պատասխանատվության միջոցներ կիրառելու վերաբերյալ։
19. Ռեեստրում պարտադիր ներառվում է առնվազն սույն կարգի 31-րդ կետով սահմանված տեղեկատվությունը։
20. Ռեեստրում յուրաքանչյուր ՏՏ ակտիվ պետք է դասակարգվի՝ ըստ տեղեկատվության գաղտնիության (Confidentiality), ամբողջականության (Integrity) և հասանելիության (Availability) պահանջների՝ կիրառելով միջազգային լավագույն փորձը, մասնավորապես՝ ISO/IEC 27000 և հարակից տեղեկատվական անվտանգության ստանդարտների դրույթները։ «ՍիԱյԷյ» (CIA) գնահատումն իրականացվում է համատեղ ձևաչափով՝ ներառելով տվյալ ակտիվի պատասխանատու տեխնիկական և գործառնական ստորաբաժանումների ներկայացուցիչներին՝ ապահովելով գնահատման ամբողջականությունն ու համապատասխանությունը ակտիվի գործնական նշանակությանը։
21. «ՍիԱյԷյ» (CIA) գնահատման համար յուրաքանչյուր չափորոշիչ (Confidentiality, Integrity, Availability) ստանում է թվային արժեք՝ բարձր (High H)՝ 3 միավոր, միջին (Medium M)՝ 2 միավոր, ցածր (Low L)՝ 1 միավոր։ Երեք բաղադրիչների հանրագումարը ձևավորում է ակտիվի անվտանգության գնահատականը. 5-ից 7 միավոր ունեցող ակտիվները դասակարգվում են որպես կարևոր, իսկ 8-ից 9 միավոր ունեցողները՝ կրիտիկական։
III. ՌԵԵՍՏՐԻ ՏԵՂԵԿԱՏՎԱԿԱՆ ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՈՒՄԸ
22. Ռեեստրի պաշտպանությունը պետք է իրականացվի կազմակերպությունների կողմից՝ հաշվի առնելով տեղեկատվական անվտանգության և տեղեկատվության պահպանման ապահովման ոլորտի գործող օրենսդրության և միջազգային ISO/IEC 27001 «ՏՏ Անվտանգության ապահովման մեխանիզմներ․ Տեղեկատվական անվտանգության կառավարման համակարգեր․ Պահանջներ» ստանդարտի պահանջները։
23. Ռեեստրին հասանելիությունը պետք է լինի սահմանափակ։ Մուտքի իրավունքը սահմանվում է կազմակերպության կողմից՝ ծառայողական պարտականություններից բխող հիմքերով։ Բոլոր մուտքի գործողությունները պետք է գրանցվեն և պարբերաբար վերանայվեն՝ չարտոնված մուտքերի հայտնաբերման և կանխման նպատակով։
24. Ռեեստրին ժամանակավոր հասանելիության տրամադրումը արտակարգ իրավիճակներում թույլատրվում է միայն կազմակերպության ղեկավարի կամ լիազորված պաշտոնատար անձի գրավոր համաձայնությամբ՝ պարտադիր կերպով փաստաթղթավորելով տրամադրման նպատակը, ժամկետը և օգտագործող անձի նույնականացման տվյալները։
25. Ռեեստրի տվյալները պետք է գաղտնագրվեն ինչպես հանգստի վիճակում (at rest), այնպես էլ փոխանցման ընթացքում (in transit)՝ օգտագործելով արդի գաղտնագրման ալգորիթմներ և ապահովելով տվյալների պաշտպանությունը չարտոնված հասանելիությունից։
26. Ռեեստրի տեխնիկական խնդիրների կամ տեղեկատվական անվտանգության միջադեպերի և դրանց լուծման ուղղությամբ կատարված աշխատանքների վերաբերյալ Ռեեստրի վարողը պարտավոր է տեղեկացնել կազմակերպության տեղեկատվական անվտանգության պատասխանատուին (առկայության դեպքում), պատասխանատու ստորաբաժանման ղեկավարին և հանձնաժողովին՝ ոչ ուշ, քան միջադեպի հայտնաբերումից հետո 24 ժամվա ընթացքում։ Նշված միջադեպի վերաբերյալ բոլոր քայլերը պետք է փաստաթղթագրվեն և պահպանվեն առնվազն երեք տարի՝ հետադարձ վերլուծության և աուդիտի նպատակներով։
27. Ռեեստրի աշխատանքային գրանցամատյանները (օրինակ՝ համակարգային գրառումներ, օգտատերերի մուտքի գործողություններ, սպասարկման գրանցումներ) պետք է պահպանվեն առնվազն մեկ տարի։ Դրանք պետք է հասանելի լինեն միայն ռեեստրի վարողին, կազմակերպության ղեկավարին, անհրաժեշտ ստորաբաժանմանը, ինչպես նաև Հայաստանի Հանրապետության օրենսդրությամբ սահմանված համապատասխան վերահսկողություն իրականացնող մարմիններին։ Գրանցամատյանների տվյալների փոփոխումը կամ խմբագրումը խստիվ արգելվում է՝ բացառությամբ տեխնիկական վերականգնման ընթացակարգերի, որոնք պետք է պատշաճ կերպով փաստաթղթագրվեն։
28. Ռեեստրի տվյալների պահպանումը ապահովվում է պարբերական պահուստային պատճենմամբ (backup) նվազագույնը ամիսը մեկ անգամ՝ ապահովելով տվյալների վերականգնման հնարավորություն։
29. Պահուստային պատճենները պետք է պահպանվեն անվտանգ և ֆիզիկապես առանձին վայրում՝ ապահովելով տվյալների վերականգնման հնարավորությունը համակարգային խափանումների կամ տվյալների կորստի դեպքում։ Պահուստային պատճենների պահպանման ժամկետը պետք է լինի առնվազն 12 ամիս։
30. Հանձնաժողովն իրականացնում է ռեեստրի տեղեկատվական անվտանգության աուդիտ առնվազն տարեկան մեկ անգամ՝ գնահատելու համար տվյալ Ռեեստրի համապատասխանությունը ազգային և միջազգային ստանդարտներին և սույն կարգի պահանջներին։ Աուդիտի արդյունքները պետք է փաստաթղթավորվեն և ներկայացվեն համապատասխան մարմիններին՝ անհրաժեշտության դեպքում բարելավման միջոցառումներ իրականացնելու համար։
31. Ռեեստրում պարտադիր ներառման ենթակա նվազագույն տեղեկատվությունն է՝
1) Օպերացիոն համակարգեր, ծրագրային ապահովումներ, հավելվածներ, կայքեր, տվյալների շտեմարաններ՝
ա․ Ակտիվի նույնականացուցիչ (ID) – օրինակ՝ անհատական համարը կամ անունը (SW-0001)
բ․ Ակտիվի անուն – օրինակ՝ Windows 11 կամ [կայք].am
գ․ Գնված/շահագործվող լիցենզիաների քանակ – օրինակ՝ 150/100
դ․ Տնօրինող ստորաբաժանում և պատասխանատու անձ – օրինակ՝ անուն/ազգանուն, ՏՏ բաժին
ե․ Օգտագործողներ – օրինակ՝ անուններ/ազգանուններ
զ․ Ադմինիստրատոր – համակարգի ադմինիստրատորի տվյալներ (անուն/ազգանուն)
է․ Վայր / ակտիվի նույնականացուցիչ – օրինակ՝ գրասենյակի համակարգիչներ, ամպային տիրույթ, լոկալ սերվեր (SV0001)
ը․ Տեսակ/Տարբերակ – օրինակ՝ ծրագրի բանալի, կրիչ կամ բաժանորդագրության տեսակ
թ․ Մատակարար – օրինակ՝ software LLC
ժ․ Առանձնահատուկ պահանջներ – օրինակ՝ պահանջվում է VPN հասանելիություն
ժա․ Կախվածություններ – օրինակ՝ Active Directory, PostgreSQL
ժբ․ Սպասարկման ավարտի ժամկետ – օրինակ՝ 01․07․2027
ժգ․ Պահպանման պայմաններ – օրինակ՝ փակ սերվերային միջավայրում սառեցված հասանելիությամբ կամ վիրտուալ հոսթինգում
ժդ․ Պահուստային պատճենման պարբերականություն – օրինակ՝ շաբաթական մեկ անգամ
ժե․ Պահուստային պատճենման վայր – օրինակ՝ GitHub, լոկալ սերվեր կամ Azure Backup
ժզ․ Արխիվացման պահանջներ – օրինակ՝ արխիվացվում է 6 ամիս անց, .tar ֆորմատով՝ յուրաքանչյուր 3 ամիս
ժէ․ Ոչնչացման եղանակ – օրինակ՝ տվյալների վերագրումով (wipe) կամ ամբողջական ջնջմամբ (shredd հրաման)
ժը․ Ոչնչացման ամսաթիվ – օրինակ՝ 01․07․2028
ժթ․ Ոչնչացման պատճառ – օրինակ՝ «արդիական չէր»
ի․ Ռիսկայնության աստիճան – նշվում են գաղտնիության (C), ամբողջականության (I) և հասանելիության (A) մակարդակները՝ L (ցածր), M (միջին), H (բարձր)
իա․ Ակտիվի կարևորություն – գնահատվում է CIA բաղադրիչների հանրագումարի հիման վրա (H=3, M=2, L=1)
2) Ցանցային սարքավորումներ, սերվերներ (ներառյալ վիրտուալ մեքենաներ), համակարգիչներ
ա․ Ակտիվի նույնականացուցիչ (ID) – օրինակ՝ անհատական համարը կամ անունը (SV0001 կամ 578547Ա)
բ․ Ակտիվի անուն – օրինակ՝ DB-Server01 կամ PC-4758
գ․ Սերիական նույնականացուցիչ – օրինակ՝ SN: 20230715-001-123
դ․ Տնօրինող ստորաբաժանում և պատասխանատու անձ – օրինակ՝ անուն/ազգանուն, ՏՏ բաժին
ե․ Օգտագործողներ – օրինակ՝ անուններ/ազգանուններ
զ․ Ադմինիստրատոր(ներ) – օրինակ՝ համակարգի ադմինիստրատորի տվյալներ (անուն/ազգանուն)
է․ Վայր – օրինակ՝ տվյալների կենտրոն կամ հասցե
ը․ Տեսակ/Տարբերակ – օրինակ՝ սերվեր, աշխատակայան, վիրտուալ մեքենա
թ․ Օպերացիոն համակարգ - օրինակ՝ windows 2019, Ubuntu 22.04, ESXI 8.2
ժ․ Մոդել – օրինակ՝ Dell PowerEdge R740
ժա․ Ցանցային տվյալներ (IP, MAC) – օրինակ՝ 192․168․11․20, 00-B0-D0-63-C2-26
ժբ․ Host name – օրինակ՝ server1
ժգ․ Rack / Unit ID – օրինակ՝ Rack 45, Unit 36
ժդ․ Տեխնիկական բնութագրեր – ներառյալ․ CPU (մոդել, քանակ, GHz) – օրինակ՝ i5, 5 core, 3.4 GHz, RAM (GB) – օրինակ՝ 16 GB, հիմնական հիշողություն (Storage – տեսակ/ծավալ) – օրինակ՝ SSD, 512 GB
ժե․ Շահագործման ժամկետ – օրինակ՝ 10 տարի
ժզ․ Արտադրողի կողմից աջակցման կարգավիճակ – օրինակ՝ «արդիական է» կամ «արդիական չէ (EOL)»
ժէ․ Մատակարար – օրինակ՝ computer LLC
ժը․ Առանձնահատուկ պահանջներ – օրինակ՝ կրկնօրինակները գաղտնագրված են
ժթ․ Կախվածություններ – օրինակ՝ արտաքին պահեստային լուծման հասանելիություն, ինտերնետ կապի կայունություն
ի․ Պահեստայնություն – օրինակ՝ առկա է մեկ պահուստային սերվեր՝ համարժեք արտադրողականությամբ
իա․ Կարգաբերումների պահուստային պատճենման պարբերականություն – օրինակ՝ օրական, շաբաթական, ամսական
իբ․ Պահուստային պատճենի վայր – օրինակ՝ Backup Server կամ NAS
իգ․ Վերականգնման պարբերականություն – օրինակ՝ ամսական՝ թեստային վերականգնում, տարեկան՝ լիակատար վերականգնման փորձարկում
իդ․ Օտարման ամսաթիվ – օրինակ՝ 01․07․2028
իե․ Օտարման պատճառ – օրինակ՝ «արդիական չէ»
իզ․ Ռիսկայնության աստիճան – նշվում են գաղտնիության (C), ամբողջականության (I) և հասանելիության (A) մակարդակները՝ L (ցածր), M (միջին), H (բարձր)
իէ․ Ակտիվի կարևորություն – գնահատվում է CIA բաղադրիչների հանրագումարի հիման վրա (H=3, M=2, L=1)
3) Օգտատերեր և հաշիվներ (մարդկային ռեսուրսներ)
ա․ Ակտիվի նույնականացուցիչ (ID) – օրինակ՝ HR0001
բ․ Աշխատողի անուն և ազգանուն
գ․ Պաշտոն / դեր – օրինակ՝ ՏՏ բաժնի ինժեներ, հաշվետվությունների վերլուծաբան
դ․ Համակարգեր, որոնց հասանելիություն ունի – օրինակ՝ կենտրոնական երթուղիչ, Zabbix համակարգ
ե․ Հասանելիության օգտանուն (username) – օրինակ՝ a_azganun
զ․ Մուտքի տրամադրման հիմքը – օրինակ՝ պայմանագիր, հրաման, պաշտոնական նամակ
է․ Մուտքի մակարդակ (Access Level) – օրինակ՝ միայն կարդալու իրավունք, ընթերցում/գրառում, ադմինիստրատոր
ը․ Օգտահաշվի ստեղծման և փակման ամսաթվերը – օրինակ՝ 15․01․2023 – 20․08․2025
թ․ Վերջին մուտքի (Last Login) ամսաթիվը – օրինակ՝ 20․08․2025
ժ․ Ռիսկայնության աստիճան – նշվում են գաղտնիության (C), ամբողջականության (I) և հասանելիության (A) մակարդակները՝ L (ցածր), M (միջին), H (բարձր)
ժա․ Ակտիվի կարևորություն – գնահատվում է CIA բաղադրիչների հանրագումարի հիման վրա (H=3, M=2, L=1)
4) Թվային և ոչ թվային տվյալներ (պայմանագրեր, համաձայնագրեր, հաշվեհամարներ և այլն)
ա․ Ակտիվի նույնականացուցիչ (ID) – օրինակ՝ ND0001
բ․ Ակտիվի անուն – օրինակ՝ պայմանագիր, SLA
գ․ Ստեղծման / ստորագրման ամսաթիվ – օրինակ՝ 01․01․2025
դ․ Տնօրինող ստորաբաժանում և պատասխանատու անձ – օրինակ՝ անուն/ազգանուն, ՏՏ բաժին
ե․ Հասանելիության պայմաններ – օրինակ՝ թղթային տարբերակում՝ միայն բաժնի ղեկավար և իրավաբան (բանալիով մուտք), թվային տարբերակում՝ Group Policy, Audit log
զ․ Պահպանման վայր – օրինակ՝ contract-db01 սերվեր, տվյալների կենտրոն, հաշվապահական համակարգ, չհրկիզվող պահարան
է․ Մուտքի հսկողություն – օրինակ՝ արխիվի մատյան (թղթային), Group Policy կամ audit log (թվային)
ը․ Պահուստավորման կարգավորում – օրինակ՝ Backup Server
թ․ Արխիվացման պահանջներ – օրինակ՝ չհրկիզվող պահարան, էլեկտրոնային պահուստավորում
ժ․ Ոչնչացման կամ արգելափակման եղանակ – օրինակ՝ փաստաթղթերի ֆիզիկական ոչնչացում, տվյալների անվտանգ ջնջում, համակարգից անջատում
ժա․ Ոչնչացման կամ արգելափակման ամսաթիվ – օրինակ՝ 01․01․2026
ժբ․ Ոչնչացման կամ արգելափակման պատճառ – օրինակ՝ «կենսացիկլի ավարտ», «պահպանման ժամկետի ավարտ»
ժգ․ Ռիսկայնության աստիճան – նշվում են գաղտնիության (C), ամբողջականության (I) և հասանելիության (A) մակարդակները՝ L (ցածր), M (միջին), H (բարձր)
ժդ․ Ակտիվի կարևորություն – գնահատվում է CIA բաղադրիչների հանրագումարի հիման վրա (H=3, M=2, L=1)
5) Այլ ակտիվներ
ա․ Ակտիվի նույնականացուցիչ (ID) – առկայության դեպքում նշվում է ունիկալ համարը կամ սահմանվում է նույնականացուցիչ
բ․ Ակտիվի անուն / կատեգորիա
գ․ Տնօրինող ստորաբաժանում և պատասխանատու անձ – նշվում է ստորաբաժանումը և պատասխանատու պաշտոնյան
դ․ Օգտագործողներ – այն անձինք, որոնք ունեն տվյալ ակտիվի հասանելիություն (դեր/պաշտոն/ստորաբաժանում)
ե․ Ռիսկայնության աստիճան – նշվում են գաղտնիության (C), ամբողջականության (I) և հասանելիության (A) մակարդակները՝ L (ցածր), M (միջին), H (բարձր)
զ․ Ակտիվի կարևորություն – գնահատվում է CIA բաղադրիչների հանրագումարի հիման վրա (H=3, M=2, L=1)
|
Հայաստանի Հանրապետության |
Ա. Հարությունյան |
|
13.02.2026 ՀԱՎԱՍՏՎԱԾ Է ԷԼԵԿՏՐՈՆԱՅԻՆ ՍՏՈՐԱԳՐՈՒԹՅԱՄԲ |
Պաշտոնական հրապարակման օրը՝ 13 փետրվարի 2026 թվական:
