1. Giriş

İnformasiya-kommunikasiya texnologiyalarının sürətli inkişafı, geniş yayılması və rəqabətin kəskinləşməsi elmi-metodoloji prinsiplərinə əsaslanan informasiya təhlükəsizliyinin təmin edilməsinin, həmçinin şəbəkə texnologiyalarının müasir inkişaf meyllərinin nəzərdə tutulduğu hüquqi, təşkilati, texniki və fiziki mühafizə tədbirlərini qarşılıqlı surətdə əlaqələndirməklə korporativ şəbəkələrdə vahid informasiya təhlükəsizliyi siyasətinin formalaşdırılmasını zəruri edir.

İnformasiya təhlükəsizliyi siyasәtinin işlənməsi müәssisәnin informasiya təhlükəsizliyi sisteminin tәşkil edilmәsindә ilk tәlәblәrdәn biridir. İnformasiya təhlükəsizliyi siyasətinin məqsədi rəhbərliyin informasiya təhlükəsizliyi üzrə idarəçiliyini və dəstəyini iş prosesinin tələblərinə, müvafiq qanunlara və normativlərə uyğun olaraq təmin etməkdir.

 Bu mənada informasiya təhlükəsizliyi siyasəti (Siyasət) - AMEA korporativ elm kompüter şəbəkəsində (AzScienceNet) informasiya təhlükəsizliyinin təmin edilməsinə nəzarət sistemini müəyyən edir, informasiya mühafizəsinin məqsəd və vəzifələrini, təşkilati, texnoloji və prosedur aspektlərini sistemləşdirilmiş şəkildə şərh edir.

 İnformasiya təhlükəsizliyi siyasətində rəhbərliyin münasibətini və informasiya təhlükəsizliyinin idarə edilməsinə yanaşmanın əsas məqsədlərini və təsir dairəsini, qiymətləndirmənin strukturu və risklərin idarə edilməsi daxil olmaqla nəzarətin məqsədləri, mexanizmləri müəyyən olunur və əsas müddəalar bəyan edir.

 2. Siyasətin məqsədləri və vəzifələri 

Məqsədlər 

  • informasiya təhlükəsizliyinə təhdidlərin AMEA-nın şəbəkə və informasiya resurslarına vura biləcəyi maddi və mənəvi ziyanın minimuma endirilməsi;
  • AMEA-nın informasiya təhlükəsizlik siyasətinin qurulması;
  • informasiya təhlükəsizliyi sisteminin yaradılması, fəaliyyəti və inkişafı üçün vahid prinsiplərin formalaşdırılması.
  • AzScienceNet-də informasiya təhlükəsizliyinə potensial təhdidlərin siyahısının müəyyənləşdirilməsi və analizi;
  • AzScienceNet-də informasiya resurslarının təsnifatı;
  • AzScienceNet-də tətbiq edilən informasiya texnologiyalarına informasiya təhlükəsizliyi baxımından irəli sürülən vahid tələblərin müəyyənləşdirilməsi;
  • İnformasiya təhlükəsizliyi sisteminə dair tələblərin formalaşdırılması.

 

3. Təsir dairəsi 

Bu Siyasət AMEA-nın Rəyasət Heyətinə və bütün təşkilatlarına məxsus olan informasiya resurslarına, sistemlərinə və şəbəkələrinə, tətbiqi proqramlara hər hansı formada çıxışı olan bütün AMEA əməkdaşlarına şamil edilir.

4. İnformasiya təhlükəsizliyi üzrə məsuliyyət

4.1. Bütün əməkdaşların və bağlanmış müqavilələr çərçivəsində AzScienceNet-dən istifadə edən şəxslərin Siyasətin tələblərinə əməl etməsi məcburidir.

4.2. İnformasiya təhlükəsizliyi üzrə əsas məsuliyyət təşkilat(lar)ın rəhbər(lər)inin üzərinə düşür, informasiya təhlükəsizliyi üzrə rəsmən təyin edilmiş şəxs də bilavasitə bu Siyasətin və onunla əlaqəli prosedurların reallaşdırılmasına və idarə edilməsinə görə məsuliyyət daşıyır.

4.3. Təşkilatın struktur bölmə rəhbərləri daimi və müvəqqəti işçilərin  aşağıdakılardan məlumatlı olmasının təmin edilməsinə görə cavabdehdirlər:

  • onların fəaliyyət sahələrində tətbiq edilə bilən informasiya təhlükəsizliyi siyasətləri;
  • informasiya təhlükəsizliyi üzrə əməkdaşların şəxsi məsuliyyəti;
  • informasiya təhlükəsizliyi məsələləri üzrə məsləhət üçün müraciət qaydaları.

4.4. Bütün əməkdaşlar verilənlərin konfidensiallığının və tamlığının təmin edilməsi də daxil olmaqla informasiya təhlükəsizliyi prosedurlarını yerinə yetirməlidir. Əks halda, intizam tədbirləri görülə bilər.

4.5. Təşkilatın struktur bölmə rəhbərləri öz sahələrində informasiyanın saxlandığı və ya emal edildiyi mühitin fiziki təhlükəsizliyi üzrə fərdi məsuliyyət daşıyırlar.

4.6. Hər bir əməkdaş istifadə etdiyi informasiya sistemlərinin təhlükəsiz istismarı üçün məsuliyyət daşıyır.

4.7. Sistemin hər bir istifadəçisi müvafiq Siyasətlə müəyyən edilən təhlükəsizlik tələblərini yerinə yetirməlidir, həmçinin istifadə etdiyi informasiyanın konfidensiallığının, tamlığının və əlyetərliyinin yüksək səviyyədə qorunmasını təmin etməlidir.

4.8. Təşkilatın informasiya sisteminə kənar istifadəçilərin daxil olmasına icazə verən müqavilələr öncədən qüvvəyə minməlidir. Bu müqavilələr müvafiq təhlükəsizlik siyasətinin yerinə yetirilməsinə zəmanət verməlidir.

4.9. AzScienceNet xidmətlərindən istifadə edən təşkilatlarproqram və aparat vasitələrinin (kompüterlər, simsiz rabitə qurğuları, şəbəkə avadanlıqları, və s. ) icazəsiz qoşulması, həmçinin şəxsi maraq üçün istifadəsinə görə məsuliyyət daşıyır və bu cür yolverilməz əməllər aşkarlandıqda, qarşısının alınması məqsədi ilə təşkilatların, istifadəçilərin və avadanlıqların İnternetə qoşulma sürəti məhdudlaşdırıla və ya ümumiyyətlə girişi qadağan oluna bilər.

 

5. Qanunvericilik əsasları

 

Siyasətin qanunvericilik bazasını aşağıda göstərilən qanunlar və normativ-hüquqi sənədlər, həmçinin Azərbaycan Respublikasının qoşulduğu beynəlxalq konvensiyalar təşkil edir:

  • Azərbaycan Respublikasının Konstitusiyası;
  • İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında Azərbaycan Respublikasının Qanunu;
  • Dövlət Sirri haqqında Azərbaycan Respublikasının Qanunu;
  • Kommersiya sirri haqqında Azərbaycan Respublikasının Qanunu;
  • Elektron imza və elektron sənəd haqqında Azərbaycan Respublikasının Qanunu;
  • Elektron ticarət haqqında Azərbaycan Respublikasının Qanunu;
  • Məlumat toplularının hüquqi qorunması haqqında Azərbaycan Respublikasının Qanunu;
  • İnformasiya əldə etmək haqqında Azərbaycan Respublikasının Qanunu;
  • Məlumat azadlığı haqqında Azərbaycan Respublikasının Qanunu;
  • Kütləvi informasiya vasitələri haqqında Azərbaycan Respublikasının Qanunu;
  • Telekommunikasiya haqqında Azərbaycan Respublikasının Qanunu;
  • Azərbaycan Respublikasının Cinayət Məcəlləsi;
  • BMT Ümumdünya İnsan Hüquqları Bəyannaməsi;
  • AZS İSO/İEC 27000-2012 "İnformasiya texnologiyası - Təhlükəsizlik metodları. İnformasiya təhlükəsizliyinin idarə edilməsi sistemləri. İcmal və sözlük"
  • AZS İSO/İEC 27003-2012 "İnformasiya texnologiyası - Təhlükəsizlik metodları. İnformasiya təhlükəsizliyinin idarə edilməsi sisteminin tətbiqi üzrə təlimat"
  • AZS İSO/İEC 27004-2012 "İnformasiya texnologiyası - Təhlükəsizlik metodları. İnformasiya təhlükəsizliyinin idarə edilməsi. Ölçmə"
  • AZS İSO/İEC 27006-2012 "İnformasiya texnologiyası - Təhlükəsizlik metodları. İnformasiya təhlükəsizliyinin idarə edilməsi sistemlərinin auditi və sertifikatlaşdırılmasını təmin edən orqanlar üçün tələblər"
  • AZS İSO/İEC 27033-1-2012 "İnformasiya təhlükəsizliyi - Təhlükəsizlik metodları. İT şəbəkə təhlükəsizliyi. Hissə 1: İcmal və anlayışlar"

6. Əsas müddəalar

 

6.1  İnformasiya təhlükəsizliyinin idarə edilməsi  

  • Təşkilatın rəhbərliyi səviyyəsində informasiya təhlükəsizliyi üçün cavabdehlik təşkilatın birinci rəhbərinin üzərinə qoyulur.
  • Təşkilatın informasiya təhlükəsizliyi üzrə rəsmən məsul təyin edilmiş əməkdaşı təşkilatda təhlükəsizlik tələblərinin reallaşdırılması, monitorinqi, sənədləşdirilməsi və əməkdaşlara çatdırılması üçün cavabdehdir.

6.2 İnformasiya təhlükəsizliyi üzrə məlumatlandırma və təlimlər

  • İnformasiya təhlükəsizliyi üzrə məlumatlandırma əməkdaşların rəsmi işə başlama prosesinə daxil edilməlidir.
  • Əməkdaşların informasiya təhlükəsizliyi üzrə məlumatlarının zəruri səviyyədə yenilənməsini təmin etmək üçün müvafiq məlumatlandırma və təlim proqramları müəyyən edilməlidir.

6.3 İşə qəbul müqavilələri

  • Əməkdaşlara informasiya təhlükəsizliyi üzrə tələblər işə qəbul edilmə mərhələsində nəzərə alınmalıdır və bütün müvafiq müqavilələrdə konfidensiallıq haqqında maddə olmalıdır.
  • Əməkdaşların informasiya təhlükəsizliyi üzrə vəzifələri müvafiq vəzifə öhdəliklərinə daxil edilməlidir.

6.4 Daxilolmalara (Girişə) nəzarət

  • Mühüm informasiya sistemləri və ya informasiya resursları yerləşən otaqlara və ya binalara fəaliyyətlə əlaqədar giriş yalnız icazəsi əsaslandırılmış və təsdiqlənmiş, avtorizasiya olunmuş şəxslərə verilməlidir.
  • İnformasiyaya və kompüter vasitələrinə çıxış avtorizasiya olunmuş şəxslərlə məhdudlaşdırılmalıdır.
  • Verilənlərə, sistem utilitlərinə və proqram kodu kitabxanalarına girişə nəzarət edilməli və avtorizasiya olunmuş istifadəçilərlə, məsələn, sistem və ya verilənlər bazası administratorları ilə məhdudlaşdırılmalıdır.

6.5 Zərərli proqram təminatından mühafizə

 

AzScienceNet-i zərərli proqram təminatından qorumaq üçün proqram təminatı vasitələrindən və idarəetmə prosedurlarından istifadə edilməlidir. Bütün əməkdaşlar müvafiq qaydaya riayət etməlidirlər. İstifadəçilər şəbəkə və ya sistem inzibatçısının icazəsi olmadan təşkilatın mülkiyyətində proqram təminatı quraşdırmamalıdırlar. Bu tələbi pozan istifadəçilərə qarşı intizam tədbirləri görülə bilər.

 

6.6 İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi

 

Bütün informasiya təhlükəsizliyi hadisələri və şübhə doğuran məsələlər haqqında AzScienceNet-in Monitorinq və İnformasiya Təhlükəsizliyi Xidmətinə (AzScienceCERT) xidmətinə məlumat verilməlidir. Gələcəkdə oxşar hadisələrin baş verməsinin qarşısını almaq məqsədi ilə bütün informasiya təhlükəsizliyi hadisələrinin səbəbləri və təsirləri araşdırılmalıdır.

 

6.7 Sistemdə dəyişikliklərə nəzarət

 

İnformasiya sistemlərinə, tətbiqi proqramlara və ya şəbəkələrə edilən dəyişikliklər AzScienceCERT xidməti  ilə əvvəlcədən razılaşdırılmalıdır. 

6.8 Fasiləsiz fəaliyyət və qəzadan sonra bərpaetmə planları 

Təşkilatlar öz missiyaları üçün kritik olan informasiyaya, tətbiqi proqramlara, sistemlərə və şəbəkələrə təhdidlərin təşkilatın fəaliyyətinə təsirini qiymətləndirməli, fasiləsiz fəaliyyətin və qəzadan sonra bərpaetmə planlarının işlənib hazırlanmasını təmin etməlidirlər. 

6.9 Hesabat 

AzScienceCERT xidməti müntəzəm hesabat və təqdimatlarla AzScienceNet-in informasiya təhlükəsizliyinin vəziyyəti ilə rəhbərliyi məlumatlandırmalıdır.

 6.10 İnformasiya təhlükəsizliyinin auditi

 AzScienceNet-də informasiya təhlükəsizliyinin Siyasətin tələblərinə uyğunluğunu yoxlamaq və qiymətləndirmək üçün dövri olaraq audit aparılmalıdır. AzScienceNet-də informasiya təhlükəsizliyi auditinin aparılması qaydası ayrıca Audit siyasətində müəyyən edilir.

 6.11 İnformasiya sistemlərinə giriş və istifadənin monitorinqi

  • İnformasiya sistemlərinə girişlərin və informasiya resurslarından istifadənin audit yazıları əməkdaşlar tərəfindən qorunmalı və müntəzəm olaraq nəzərdən keçirilməlidir.
  • Bu Siyasətə riayət olunmamasına dair şübhə yarandıqda AzScienceCERT xidmətinin  araşdırma aparmaq  hüququ vardır.  

6.12 İnformasiya təhlükəsizliyi siyasətinə yenidən baxılması işləri

  • İnformasiya təhlükəsizliyi siyasəti AzScienceCERT xidməti  tərəfindən qorunmalı, yenidən baxılmalı və yenilənməlidir.
  • İstifadə edilən informasiya texnologiyaları və xidməti fəaliyyətin təşkili, informasiya təhlükəsizliyi təhdidləri arası kəsilmədən dəyişir, bu informasiya təhlükəsizliyinin təmin edilməsinə düzəlişlər etməyi zəruri edir. Buna görə də, Siyasətin müvafiq tələblərə uyğunluğuna müntəzəm olaraq yenidən baxılmalıdır.
  • İnformasiya təhlükəsizliyi üzrə auditin nəticələri Siyasətin bəzi müddəalarına yenidən baxılması və zəruri düzəlişlər edilməsi üçün əsas ola bilər. Zəruri olduqda, audit prosesində müasir tələblərlə uyğunsuzluq aşkarlandıqda Siyasətə dəyişikliklər və əlavələr edilməlidir.

Yuxarıda göstərilən siyasətə nəzarəti, dəyişikliklərin aparılması və əlavələrin edilməsi AzScienceNet-in idarəetmə şurasıtərəfindən aparlırmalıdır.

Copyright © İnformasiya Texnologiyaları İnstitutu, 2023