Bakı, 17 mart, AZƏRTAC
2025-ci ilin dekabrın 25-də Azərbaycan Respublikası Nazirlər Kabinetinin qərarı ilə “İnformasiya təhlükəsizliyi riskləri reyestrinin aparılma Qaydası” təsdiq olunub. Bununla əlaqədar bir müddət sonra dövlət qurumlarının məsul əməkdaşlarının toplantısı keçirilib. Bu sənədə əsasən, dövlət qurumları 6 ay ərzində öz informasiya təhlükəsizliyi risklərini müəyyən etməli, onları qiymətləndirməli, sənədləşdirməli və strukturlaşdırılmış şəkildə idarə etməlidirlər.
Bu sənəd ölkəmizdə informasiya təhlükəsizliyi idarəetməsində yeni mərhələnin başlanğıcı kimi qiymətləndirilir. Artıq hər bir dövlət qurumu yalnız texniki tədbirlərlə kifayətlənməməli, risklərini sistemli şəkildə izləməli və proaktiv yanaşma ilə idarə etməlidir.
AZƏRTAC-a məxsusi müsahibəsində İnformasiya təhlükəsizliyi üzrə tanınmış mütəxəssis Elçin Əliyev yeni tələblərin mahiyyəti və əhəmiyyəti barədə danışıb.
Elçin Əliyev uzun illərdir ki, informasiya təhlükəsizliyi sahəsində fəaliyyət göstərir, əvvəllər təhlükəsizlik orqanlarında xidmət etmiş və hazırda təqaüddə olsa da, müxtəlif dövlət qurumlarına məsləhətçi qismində dəstək göstərməyə davam edir. O, ölkəmizdə informasiya təhlükəsizliyi sahəsində bir çox vacib təşəbbüslərin müəllifidir: dövlət qurumlarında bu sahədə ilk struktur bölmənin yaradılması, informasiya təhlükəsizliyi üzrə ilk milli strategiyanın hazırlanması, “Fərdi məlumatlar”, “Biometrik informasiya” kimi qanunvericilik sənədlərinin tərtibi, həmçinin ali təhsil müəssisələri üçün ixtisas kurrikulumlarının tərtibində birbaşa iştirak edib.
AZƏRTAC-a müsahibəsində Elçin Əliyev yeni Qaydaların məqsədlərini, beynəlxalq təcrübələrlə uyğunluğunu, dövlət və özəl sektor üçün yaratdığı öhdəlikləri və nəhayət, bu tənzimləmənin vətəndaşa nə verdiyini izah edir.
- “Risk” anlayışı burada konkret olaraq nəyi ifadə edir? Söhbət haker hücumlarından gedir?
-Xeyr, “risk” anlayışı bu sənəddə təkcə haker hücumları ilə məhdudlaşmır. Risk insidentin baş vermə faktı deyil, onun ehtimalıdır. Bu ehtimal üç əsas faktorun – təhdid, zəiflik və fəsad faktorlarının kombinasiyasından yaranır.
Qeyd edim ki, qəbul olunmuş hüquqi sənəddə bu anlayışların rəsmi açılışı də yer alıb. İnformasiya təhlükəsizliyi riski – informasiya mühafizəsinin obyektlərinə aid mümkün təhdidlərin baş verməsinin, bu zaman həmin obyektlərdəki boşluqlardan, çatışmazlıqlardan, zəifliklərdən, nəzarətsizliklərdən və digər uyğunsuzluqlardan istifadə edilməsinin və nəticədə baş verə biləcək fəsadların birgə ehtimalıdır.
Bu Qayda “ya biz riskləri idarə edirik, ya da risklər bizi idarə edir” (“Either you manage risk, or risk manages you.”) deyimli, risk menecementinə aid məşhur çağırışa (“challenge”) tutarlı cavabdır.
- Dövlətimiz üçün informasiya təhlükəsizliyi risklərinin ayrıca reyestr şəklində aparılması niyə vacib oldu?
- Müasir dövrdə süni intellekt texnologiyalarının geniş tətbiqi nəticəsində “ağıllı” (“smart”) xidmətlər sürətlə inkişaf edir. Bu proses böyük həcmdə məlumatların yaradılması və emal olunması ilə müşayiət olunur. İnsanlar gündəlik fəaliyyətlərində getdikcə daha çox süni intellekt alətlərindən və avtomatlaşdırılmış süni intellekt agentlərindən istifadə edir. Bu agentlər müxtəlif prosesləri müstəqil şəkildə yerinə yetirir, qərarların qəbuluna dəstək verir və rəqəmsal xidmətlərin miqyasını daha da genişləndirir. Nəticədə rəqəmsallaşma bütün fəaliyyət sahələrində daha sürətli və daha geniş şəkildə yayılır.
Rəqəmsal transformasiyanın sürətlənməsi yeni imkanlarla yanaşı, informasiya təhlükəsizliyi baxımından yeni risklər də yaradır. Məlumat həcminin sürətlə artması, sistemlərin qarşılıqlı əlaqəsinin genişlənməsi və süni intellekt əsaslı xidmətlərin yayılması təhlükəsizlik risklərinin daha mürəkkəb xarakter almasına səbəb olur. Buna görə də rəqəmsal ekosistem və informasiya təhlükəsizliyi ekosistemi kimi yanaşmalar daha aktual olur. İnformasiya təhlükəsizliyi riskləri reyestri də bu ekosistemin əsas komponentlərindən biridir.
Yeni qaydalara əsasən, hər bir dövlət qurumunda informasiya təhlükəsizliyi riskləri reyestri formalaşdırılmalıdır. Bu reyestrdə risk faktorları, o cümlədən mümkün təhdidlər, rəqəmsal ekosistemdə istismar oluna biləcək zəifliklər, bu zəifliklərin qurumun fəaliyyətinə yarada biləcəyi fəsadlar, onların aşkarlanması üçün indikatorlar və qabaqlayıcı mühafizə tədbirləri vahid arxitektura çərçivəsində sistemli şəkildə qeydiyyata alınmalıdır.
Beləliklə, qurumlar artıq insident baş verdikdən sonra reaksiya vermək əvəzinə, riskləri əvvəlcədən müəyyənləşdirərək onları idarə etməyə çalışacaqlar. Bu yanaşma risklərin daha effektiv idarə olunmasına imkan verəcək və nəticədə maddi-texniki, maliyyə, zaman və insan resurslarının daha səmərəli istifadəsini təmin edəcək.
- Bu sənədin qoyduğu tələblər kimlər üçün məcburidir?
- Qaydanın tələbləri dövlət qurumları üçün məcburidir. Bu qurumlarda risklər reyestrinin aparılması öhdəlikdir və müvafiq dövlət qurumu tərəfindən nəzarət predmeti hesab olunur. Özəl sektor və fərdi sahibkarlar üçün bu tələblər məcburi deyil, lakin onlar dövlət qurumlarına xidmət göstərirsə, bu xidmətlərə aid razılaşma sənədlərində müvafiq qarşılıqlı öhdəliklər və ölçmə metrikaları müəyyən olunacaq.
Bir sıra qurumlarda informasiya təhlükəsizliyini nəzarətdə saxlamaq üçün audit, monitorinq, sertifikatlaşdırma, ekspertiza mexanizmlərindən istifadə olunur. Lakin məlumdur ki, milli təhlükəsizliyə təhdid ola bilən hər bir sahə üçün riskləri qiymətləndirmə mexanizmi təməl əhəmiyyətlidir. İnformasiya sahəsində də təhlükəsizliyi nəzarətdə saxlamaq üçün bu mexanizmlərin hər birinin müəyyən ardıcıllıqla öz yeri var. Məsələn, belə hesab etmək olar ki, riskləri qiymətləndirmə – qarşıdakı vəziyyətə baxışdır; layihəni ekspertiza – nəzərdə tutulan obyektin modelinə baxışdır; sertifikatlaşdırma – mövcud obyektin həmin modelə uyğunluq vəziyyətinə baxışdır; monitorinq – mövcud vəziyyətə baxışdır; audit – keçmiş vəziyyətə baxışdır, riskləri emaletmə isə – vəziyyətin təhlükəsizliyi üçün preventiv tədbirdir.
- Bəs bu sənədin tələb etdiyi yanaşmalar beynəlxalq təcrübəyə uyğundurmu?
- Bəli, bu sənədin yanaşması tam şəkildə beynəlxalq təcrübəyə və qlobal standartlara uyğundur. Qayda birbaşa olaraq beynəlxalq səviyyədə qəbul olunmuş ISO/IEC 27005 (informasiya təhlükəsizliyi risklərini idarəetmə), ISO/IEC 20000 (İKT xidmətləri idarəetmə) və informasiya təhlükəsizliyini idarəetmə sahəsinə aid digər standartlara əsaslanır. Eyni zamanda, sənəddə “risklər reyestri” rəqəmsal xidmətinin funksional imkanlarının bu sahədə qabaqcıl metodoloji çərçivələrə uyğun qurulmalı olduğu açıq şəkildə qeyd olunur. Bu da, riskləri qiymətləndirmə, emaletmə və bu işləri nəzarətdə saxlama proseslərinin dövlət qurumlarında sistemli şəkildə həyata keçirilməsinə təməl yaradır.
Yəni bu sənəd qlobal səviyyədə qəbul olunmuş idarəetmə modelinin milli hüquqi tətbiqidir. Bu, həm texniki sənəddir, həm də geniş rəqəmsallaşma dövründə informasiya təhlükəsizliyinə xidmət edən müasir idarəetmə mədəniyyətidir. Bu addım Azərbaycanın informasiya təhlükəsizliyi sahəsində qlobal trendlərlə ayaqlaşdığını göstərir. Hər bir dövlət qurumunda informasiya təhlükəsizliyi sahəsində riskləri qiymətləndirmə, emaletmə və nəzarətdə saxlama üzrə rolların, liderlərin müəyyən olunması gözlənilir.
- Bu Qayda icra baxımından hansı real mexanizmləri nəzərdə tutur?
- Bu Qayda konkret icra mexanizmlərini müəyyən edir, təkcə “nə etmək lazımdır” sualına deyil, “necə etmək lazımdır” sualına da cavab verir. Ən vacib mexanizm risklər reyestrinin müvafiq strukturda yaradılması və idarə olunmasıdır. Hər bir dövlət qurumu informasiya təhlükəsizliyi risklərini müəyyən etməli, ölçməli, təsnifləşdirməli, reyestrdə qeydiyyata almalı, emal həllərini işləməli və reyestri mütəmadi olaraq yeniləməlidir. Nəzərə alınmalıdır ki, süni intellekt təkcə təhdidlər üçün deyil, həm də mühafizə həlləri üçün də geniş istifadə olunur.
Riskləri müəyyən etmək üçün informasiya təhlükəsizliyi ekosisteminin komponentlərinin uçotları və təhdidlərin təsir edə, istifadə edə biləcəyi rəqəmsal ekosistemin komponentlərinin uçotları, bu ekosistemlərin baza vəziyyətləri müəyyən edilməlidir.
Bu qaydanın tətbiqi nəticəsində heç bir qurum “riskdən xəbərsiz idik” və ya “insident gözlənilməz oldu” deməməlidir. Risklər öncədən görünən, ölçülən və cavab tələb edən idarəetmə obyektinə çevrilir. Bu Qaydada nəzərdə tutulan həllər kataloqu – “biliklər bazası” qabaqcıl təcrübələr toplusu, həmçinin əqli mülkiyyət və innovasiyalar fondu olur.
- Dövlət qurumları ilə çalışan şirkətlər və podratçılar üçün bu sənəd nəyi dəyişir?
- Bu sənəd birbaşa özəl sektora yönəlməsə də, dolayı olaraq çox ciddi təsirlər yaradır. Çünki dövlət qurumlarının informasiya təhlükəsizliyinə dair məsuliyyətləri artdıqca, onlarla çalışan şirkətlərin də bu prosesə uyğunlaşması labüddür. Bu sənəd həm dövlət, həm də onunla işləyən şirkətlər üçün informasiya təhlükəsizliyini daha yetkin və şəffaf şəkildə idarə etmək üçün yeni mərhələdir.
Risklər kontekstual dəyərləndirilməlidir – bu da daha peşəkar yanaşma tələb edir, riskləri emal alətlərinin mühafizə eşalonlarına (insan faktoru üzrə, perimetr üzrə, kompüter şəbəkəsi üzrə, son istifadəçi avadanlığı üzrə, proqram təminatı üzrə, verilənlər üzrə, kritik vacib aktivlər və s. üzrə laylara) uyğun olmasını, müvafiq rəqəmsal xidmətlər vasitəsilə tətbiq olunmasını tələb edir.
- Adi vətəndaş üçün bu sənədin nə kimi əhəmiyyəti var?
- Bir çox insan üçün belə sənədlər “yalnız dövlət qurumları üçün yazılıb” kimi görünə bilər. Amma əslində bu sənəd birbaşa vətəndaşın informasiya təhlükəsizliyini və bununla əlaqədar qanuni maraqlarını qorumağa da xidmət edir. Çünki bu gün vətəndaşlar gündəlik həyatlarında davamlı olaraq dövlət informasiya sistemlərindən, elektron xidmətlərdən istifadə edirlər.
Bu sənədin tətbiqi nəticəsində rəqəmsal ekosistemdə və rəqəmsal xidmətlərdə zəifliklər azalır, zəifliklərdən təhdid üçün istifadə halları və cəhdləri müvafiq indikatorlar vasitəsi avtomatik aşkarlanar, əhaliyə göstərilən elektron xidmətlərin dayanıqlığı artar. Üstəlik fərdi məlumatların konfidensiallığına və tamlığına da təsir edər. Saxta mətn, səs və videolarla (“deepfake”) dezinformasiya yayılmasına, generativ süni intellektin fırıldaqçılıq üçün istifadə olunmasına qarşı mübarizəyə preventiv dəstək artar.
Əhali bu sənədin real faydasını, dövlət informasiya sistemlərində, elektron xidmətlərdə davamlılıq səviyəsinin artmasında bilicək, qiymət verəcək.
Müxbir – Pərvanə Qafarova
