ՀՀ կառավարության 2026 թվականի փետրվարի 12-ի N 152-Ն որոշմամբ հաստատված տեղեկատվական տեխնոլոգիաների ակտիվների կառավարման համակարգի ներդրման շրջանակում, ինչպես նաև տեղեկատվական անվտանգության միջազգային ստանդարտների և առաջատար պրակտիկայի ուսումնասիրության հիման վրա, սույն ստանդարտը սահմանում է տեղեկատվության և տեղեկատվական համակարգերի անվտանգության դասակարգման միասնական մեթոդաբանական մոտեցումները պետական մարմինների համար։ 

Սույն ստանդարտը մշակվել է միջազգային ճանաչված ստանդարտների և ուղեցույցների (այդ թվում՝ NIST FIPS 199 հրապարակման) ուսումնասիրության հիման վրա՝ դրանք հարմարեցնելով Հայաստանի Հանրապետության պետական կառավարման համակարգի իրավական, ինստիտուցիոնալ և գործառնական միջավայրին։ 

Ներկայացված մոտեցումները կիրառվում են պետական մարմինների կողմից՝ 

• տեղեկատվական ակտիվների դասակարգման,
• տեղեկատվական համակարգերի կարևորության գնահատման,  
• տեղեկատվական անվտանգության պահանջների սահմանման,  
• ռիսկերի կառավարման գործընթացների ապահովման նպատակով։  

Միջազգային աղբյուրներում ներկայացված հասկացությունները, սահմանումները և օրինակները սույն ստանդարտում օգտագործվում են որպես մեթոդաբանական և տեղեկատվական հիմք և չեն դիտարկվում որպես ուղղակի կիրառման ենթակա իրավական նորմեր։ 

Սույն ստանդարտը պարտադիր կիրառելի է պետական մարմինների կողմից տեղեկատվական համակարգերի նախագծման, շահագործման, գնահատման և վերահսկման գործընթացներում՝ ապահովելով տեղեկատվության անվտանգության միասնական և համադրելի մակարդակ։ 

Ստանդարտում օգտագործվող հիմնական հասկացությունները ներառում են տեղեկատվության անվտանգության երեք հիմնական նպատակները՝ 

• գաղտնիություն,  
• ամբողջականություն,  
• հասանելիություն,  

ինչպես նաև դրանց խախտման դեպքում հնարավոր ազդեցության մակարդակների (ցածր, միջին, բարձր) սահմանումները։ 

Սույն ստանդարտները կիրառվում են Հայաստանի Հանրապետության պետական մարմիններում՝ տեղեկատվության և տեղեկատվական համակարգերի անվտանգության դասակարգման, գնահատման և կառավարման գործընթացներում։ 

Սույն ստանդարտով սահմանված մոտեցումները կիրառվում են՝ 

• պետական մարմինների կողմից մշակվող, պահպանվող կամ փոխանցվող ամբողջ տեղեկատվության նկատմամբ,  
• պետական մարմինների կողմից շահագործվող բոլոր տեղեկատվական համակարգերի նկատմամբ։  

Պետական մարմինները պարտավոր են կիրառել սույն ստանդարտով սահմանված անվտանգության դասակարգման մոտեցումները այն բոլոր դեպքերում, երբ անհրաժեշտ է տեղեկատվության կամ տեղեկատվական համակարգերի անվտանգության մակարդակի սահմանում։ 

Լրացուցիչ դասակարգումներ կամ անվտանգության նշիչներ (Additional security designators) կարող են սահմանվել պետական մարմնի կողմից՝ հաշվի առնելով ոլորտային առանձնահատկությունները և իրավական պահանջները։ 

Սույն ստանդարտով սահմանվում են տեղեկատվության և տեղեկատվական համակարգերի անվտանգության դասակարգման կարգը։ Անվտանգության դասակարգումները հիմնված են այն հնարավոր ազդեցության վրա, որը կարող է ունենալ պետական մարմնի գործունեության, ակտիվների, գործառույթների, օրինական պարտավորությունների կատարման և անհատների անվտանգության վրա՝ տեղեկատվության անվտանգության խախտման դեպքում։ 

Անվտանգության դասակարգումները կիրառվում են ռիսկերի գնահատման գործընթացում՝ համադրելով խոցելիությունների և սպառնալիքների վերաբերյալ տեղեկատվության հետ։ 

Անվտանգության նպատակներ 

Տեղեկատվության և տեղեկատվական համակարգերի համար սահմանվում են անվտանգության երեք հիմնական նպատակներ՝ 

• Գաղտնիություն – տեղեկատվության հասանելիության և բացահայտման նկատմամբ սահմանված սահմանափակումների պահպանում։ Գաղտնիության կորուստը նշանակում է տեղեկատվության չարտոնված բացահայտում։  
• Ամբողջականություն – տեղեկատվության ոչ պատշաճ փոփոխումից կամ ոչնչացումից պաշտպանություն։ Ամբողջականության կորուստը նշանակում է տեղեկատվության չարտոնված փոփոխում կամ ոչնչացում։  
• Հասանելիություն – տեղեկատվության և տեղեկատվական համակարգերի ժամանակին և հուսալի հասանելիության ապահովում։ Հասանելիության կորուստը նշանակում է տեղեկատվության կամ համակարգի հասանելիության կամ օգտագործման խախտում։ 

Հնարավոր ազդեցությունը պետական մարմինների և անհատների վրա 

Տեղեկատվության անվտանգության խախտման դեպքում հնարավոր ազդեցությունը դասակարգվում է երեք մակարդակով՝

Ցածր ազդեցություն

Գաղտնիության, ամբողջականության կամ հասանելիության կորուստը կարող է հանգեցնել սահմանափակ բացասական ազդեցության պետական մարմնի գործունեության, ակտիվների կամ անհատների վրա։ 

Օրինակ՝ գործառույթների արդյունավետության նվազում, սակայն շարունակական իրականացմամբ,  

• աննշան վնաս ակտիվներին,  
• աննշան ֆինանսական կորուստ,  
• աննշան վնաս անհատներին։  

Միջին ազդեցություն 

Կորուստը կարող է հանգեցնել լուրջ բացասական ազդեցության պետական մարմնի գործունեության, ակտիվների կամ անհատների վրա։ 

Օրինակ՝ 

• գործառույթների զգալի արդյունավետության նվազում,  
• էական վնաս ակտիվներին,  
• զգալի ֆինանսական կորուստ,  
• զգալի վնաս անհատներին (առանց կյանքի համար լուրջ վտանգի)։  

Բարձր ազդեցություն 

Կորուստը կարող է հանգեցնել լուրջ կամ կործանարար ազդեցության պետական մարմնի գործունեության, ակտիվների կամ անհատների վրա։

Օրինակ՝ 

• հիմնական գործառույթների իրականացման անկարողություն,  
• խոշոր վնաս ակտիվներին,  
• մեծ ֆինանսական կորուստ,  
• լուրջ վնաս կամ վտանգ անհատների կյանքին և անվտանգությանը։ 

Տեղեկատվության տեսակների անվտանգության դասակարգում 

Տեղեկատվության տեսակի անվտանգության դասակարգումը սահմանվում է՝ գնահատելով յուրաքանչյուր անվտանգության նպատակի համար ազդեցության հնարավոր մակարդակը։ 

Անվտանգության դասակարգման ընդհանուր բանաձևը՝ 

SC (տեղեկատվության տեսակ) = {(confidentiality, ազդեցություն), (integrity, ազդեցություն), (availability, ազդեցություն)}, 

որտեղ ազդեցության ընդունելի արժեքներն են՝ «Ցածր (Low)», «Միջին (Moderate)», «Բարձր (High)» կամ «Չի կիրառվում (Not Applicable)»։ 

Օրինակ 1. Պետական մարմինը, որը կառավարում է հանրային տեղեկատվություն իր վեբ սերվերի միջոցով, որոշում է, որ գաղտնիության կորստի հետևանքով հնարավոր ազդեցություն չկա (այսինքն՝ գաղտնիության պահանջը կիրառելի չէ), սակայն ամբողջականության և հասանելիության կորստի հետևանքով հնարավոր է միջին ազդեցություն։ Այդ տեղեկատվության տեսակի անվտանգության դասակարգումն արտահայտվում է որպես՝ 

SC (հանրային տեղեկատվություն) = {(confidentiality, NA), (integrity, MODERATE), (availability, MODERATE)} 

Օրինակ 2. Պետական մարմինը, որը կառավարում է խիստ զգայուն տեղեկատվություն, որոշում է, որ գաղտնիության կորստի հետևանքով հնարավոր ազդեցությունը բարձր է, իսկ ամբողջականության և հասանելիության կորուստների դեպքում՝ միջին։ Արդյունքում՝ տեղեկատվության տեսակի անվտանգության դասակարգումն արտահայտվում է որպես՝ 

SC (հետաքննական տեղեկատվություն) = {(confidentiality, HIGH), (integrity, MODERATE), (availability, MODERATE)} 

Օրինակ 3. Ֆինանսական ոլորտի պետական մարմինը, որը կառավարում է վարչական տեղեկատվություն (ոչ անձնական տվյալներ), որոշում է, որ գաղտնիության, ամբողջականության և հասանելիության կորուստների հետևանքով հնարավոր ազդեցությունը ցածր է։ Անվտանգության դասակարգումն արտահայտվում է որպես՝ 

SC (վարչական տեղեկատվություն) = {(confidentiality, LOW), (integrity, LOW), (availability, LOW)} 

Տեղեկատվական համակարգերի անվտանգության դասակարգում 

Տեղեկատվական համակարգի անվտանգության դասակարգման սահմանումը պահանջում է ավելի մանրամասն վերլուծություն և պետք է հաշվի առնի տվյալ համակարգում առկա տեղեկատվության բոլոր տեսակների անվտանգության դասակարգումները։  

Տեղեկատվական համակարգի համար անվտանգության յուրաքանչյուր նպատակի (գաղտնիություն, ամբողջականություն, հասանելիություն) համապատասխան հնարավոր ազդեցության արժեքը պետք է սահմանվի՝ ելնելով տվյալ համակարգում առկա տեղեկատվության տեսակների անվտանգության դասակարգումներից ամենաբարձր արժեքով (այսպես կոչված՝ «բարձր ջրի գիծ» սկզբունքով)։ 

Բանաձևը՝ 

SC (տեղեկատվական համակարգ) = {(confidentiality, ազդեցություն), (integrity, ազդեցություն), (availability, ազդեցություն)} 

որտեղ կիրառվում են՝ «Ցածր (Low)», «Միջին (Moderate)» կամ «Բարձր (High)» արժեքները։ 

«Չի կիրառվում» արժեքը չի կարող վերագրվել որևէ անվտանգության նպատակին տեղեկատվական համակարգի անվտանգության դասակարգման սահմանման համատեքստում, քանի որ տեղեկատվական համակարգի մակարդակում իրականացվող գործառույթների և դրա շահագործման համար անհրաժեշտ տեղեկատվության պաշտպանությունը ենթադրում է առնվազն ցածր ազդեցության նվազագույն շեմի ապահովում։ 

Օրինակ 4. Խոշոր գնումների իրականացման համար նախատեսված տեղեկատվական համակարգը ներառում է ինչպես նախամրցութային փուլի զգայուն պայմանագրային տեղեկատվություն, այնպես էլ վարչական տեղեկատվություն։ 

Գնահատման արդյունքում սահմանվում է, որ՝ 

• զգայուն պայմանագրային տեղեկատվության համար գաղտնիության և ամբողջականության խախտման դեպքում հնարավոր ազդեցությունը միջին է, իսկ հասանելիության խախտման դեպքում՝ ցածր,  
• վարչական տեղեկատվության համար (որը անձնական տվյալներ չի պարունակում) բոլոր երեք անվտանգության նպատակների դեպքում հնարավոր ազդեցությունը ցածր է։  

Նշված տեղեկատվության տեսակների անվտանգության դասակարգումները արտահայտվում են հետևյալ կերպ՝ 

SC (պայմանագրային տեղեկատվություն) = {(confidentiality, MODERATE), (integrity, MODERATE), (availability, LOW)}, 

SC (վարչական տեղեկատվություն) = {(confidentiality, LOW), (integrity, LOW), (availability, LOW)} 

Հաշվի առնելով տվյալ տեղեկատվական համակարգում առկա տեղեկատվության տեսակները՝ տեղեկատվական համակարգի անվտանգության դասակարգումը սահմանվում է հետևյալ կերպ՝ 

SC (գնումների համակարգ) = {(confidentiality, MODERATE), (integrity, MODERATE), (availability, LOW)} 

որն արտացոլում է յուրաքանչյուր անվտանգության նպատակի համար տվյալ համակարգում առկա տեղեկատվության տեսակների առավելագույն հնարավոր ազդեցության մակարդակները («բարձր ջրի գիծ» սկզբունք)։ 

Օրինակ 5. Էլեկտրակայանը, որը սպասարկում է մեծ ռազմական ենթակառուցվածք, շահագործում է SCADA (վերահսկման և տվյալների հավաքագրման) համակարգ, որը վերահսկում է էլեկտրաէներգիայի բաշխումը։ SCADA համակարգը ներառում է ինչպես իրական ժամանակի սենսորային տվյալներ, այնպես էլ վարչական բնույթի տեղեկատվություն։ Գնահատման արդյունքում սահմանվում է, որ՝ 

• սենսորային տվյալների համար գաղտնիության կորստի հետևանքով հնարավոր ազդեցություն չկա (գաղտնիության պահանջը կիրառելի չէ), իսկ ամբողջականության և հասանելիության խախտման դեպքում հնարավոր ազդեցությունը բարձր է,  
• վարչական տեղեկատվության համար գաղտնիության, ամբողջականության և հասանելիության խախտման դեպքում հնարավոր ազդեցությունը ցածր է։  

Նշված տեղեկատվության տեսակների անվտանգության դասակարգումները արտահայտվում են հետևյալ կերպ՝ 

SC (սենսորային տվյալներ) = {(confidentiality, NA), (integrity, HIGH), (availability, HIGH)}, 

SC (վարչական տեղեկատվություն) = {(confidentiality, LOW), (integrity, LOW), (availability, LOW)} 

 
Տեղեկատվական համակարգի անվտանգության դասակարգումն սկզբնապես սահմանվում է հետևյալ կերպ՝ 

SC (SCADA համակարգ) = {(confidentiality, LOW), (integrity, HIGH), (availability, HIGH)} 

որն արտացոլում է տվյալ համակարգում առկա տեղեկատվության տեսակների համար յուրաքանչյուր անվտանգության նպատակի առավելագույն հնարավոր ազդեցության մակարդակները («բարձր ջրի գիծ» սկզբունք)։ Միաժամանակ, հաշվի առնելով տեղեկատվական համակարգի գործունեության առանձնահատկությունները և համակարգային մակարդակի տեղեկատվության կամ մշակման գործառույթների չարտոնված բացահայտման հնարավոր հետևանքները, ընդունվում է որոշում՝ գաղտնիության բաղադրիչի ազդեցության մակարդակը վերանայել և բարձրացնել՝ ցածրից միջինի։ Արդյունքում, տեղեկատվական համակարգի անվտանգության վերջնական դասակարգումը սահմանվում է հետևյալ կերպ՝ 

SC (SCADA համակարգ) = {(confidentiality, MODERATE), (integrity, HIGH), (availability, HIGH)} 

Ստորև բերված աղյուսակում ներկայացվում է անվտանգության յուրաքանչյուր նպատակի՝ գաղտնիության, ամբողջականության և հասանելիության համար հնարավոր ազդեցության սահմանումները։