Kiber provayderlərə nəzarət güclü olmalıdır

  

Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətində bu ilin I yarısının yekunlarına həsr olunmuş müşavirə keçirilib. Məlumata görə, iclası giriş sözü ilə Dövlət Xidmətinin rəisi İlqar Musayev açıb. O, dünyada gedən mürəkkəb ictimai-siyasi proseslər və çətin geosiyasi vəziyyətə baxmayaraq, ölkə prezidentinin uzaqgörən siyasəti nəticəsində respublikamızın iqtisadiyyatında əldə edilmiş uğurlar və nailiyyətlərin olduğunu vurğulayıb. 

Müşavirədə dövlət başçısının informasiya təhlükəsizliyi və kibertəhlükəsizlik sahəsinin inkişafına xüsusi diqqət və qayğısı qeyd olunub və bunların nəticəsi olaraq hesabat dövrü ərzində aidiyyəti sahə üzrə bir sıra önəmli sərəncam və fərmanların verildiyi, müvafiq qərarların qəbul edildiyi bildirilib. Hesabat dövründə Dövlət Xidməti dövlət orqanlarının xüsusi dövlət rabitəsi, hökumət rabitəsi, xüsusi təyinatlı informasiya-telekommunikasiya sistemləri və şəbəkələri ilə təmin edilməsi, onların internet şəbəkəsi ilə əlaqəsi və internet informasiya resurslarının məlumat və resurs mərkəzində yerləşdirilməsi, istismarı, təhlükəsizliyi və inkişafı, o cümlədən digər sahələrdə gördüyü işlər, mövcud nöqsanlar və qarşıda duran vəzifələr haqqında ətraflı danışılıb.

 

 Dövlət əhəmiyyətli məlumatların, informasiya strukturlarının, eləcə də vətəndaşların şəxsi məlumatlarının təhlükəsizliyi müasir dünyada böyük əhəmiyyət daşıyır. Məhz bu zərurət nəzərə alınaraq Azərbaycan Respublikası Nazirlər Kabineti “Azərbaycan Respublikasında kritik informasiya infrastrukturunun təhlükəsizliyinin təmin edilməsi qaydaları”nı təsdiqləyib. Qaydalarda kritik informasiya infrastrukturu subyektinə kibertəhlükəsizlik xidmətləri göstərən provayderə dair ümumi tələblər də açıqlanıb. Provayderlərin üzərinə düşən vəzifə və öhdəliklər dəqiq qeyd edilib. Kritik informasiya infrastrukturu subyektinə kibertəhlükəsizlik xidmətləri göstərən provayderə dair ümumi tələblərə  provayderin təsisçisi və onun səlahiyyətli nümayəndəsinin Azərbaycan Respublikasının vətəndaşı olması, provayderin kritik informasiya infrastrukturu obyektlərinə xidmət göstərilməsi üçün ayrılmış fiziki məkana sahib olması, kritik informasiya infrastrukturu obyektlərinə xidmət göstərən işçi heyətə dair məlumatların Reyestrə daxil edilməsinin təmin edilməsi, kritik informasiya infrastrukturunun təhlükəsizliyi üzrə ümumi tələblərə riayət edilməsi daxildir. Provayderin kritik informasiya infrastrukturu subyektinə kibertəhlükəsizlik xidmətləri göstərən işçi heyətinə dair tələblərsə bunlardır: 

- provayderin kritik informasiya infrastrukturunun təhlükəsizliyi üzrə fəaliyyətinə rəhbərlik edən şəxs Azərbaycan Respublikasının vətəndaşı olmalı, kibertəhlükəsizlik və ya informasiya təhlükəsizliyi sahəsində zəruri bilik və bacarıqlara, kibertəhlükəsizlik və ya informasiya təhlükəsizliyi sahəsində azı 3 (üç) il iş təcrübəsinə (o cümlədən azı 1 (bir) il idarəetmə təcrübəsinə) malik olmalıdır; 

- provayderin kritik informasiya infrastrukturunun təhlükəsizliyi üzrə fəaliyyətinə cəlb edilmiş digər əməkdaşları aşağıdakılara uyğun olmalıdırlar:

- Azərbaycan Respublikasının vətəndaşı olmalıdırlar;

- informasiya texnologiyaları və ya informasiya təhlükəsizliyi sahəsində zəruri bilik və bacarıqlara malik olmalı, ildə 1 (bir) dəfədən az olmayaraq kibertəhlükəsizlik üzrə təlimlərə və maarifləndirici tədbirlərə cəlb edilməlidirlər;

- təhlükəsizlik əməliyyatları mərkəzinin fəaliyyətini və müdaxilə sınaqlarını həyata keçirəcək əməkdaşları informasiya texnologiyaları, kibertəhlükəsizlik və ya informasiya təhlükəsizliyi sahəsində azı 1 (bir) il iş təcrübəsinə malik olmalıdırlar;

- audit nəticələrini imzası ilə təsdiq edən şəxs informasiya təhlükəsizliyi sahəsində audit fəaliyyəti üzrə azı 1 (bir) il iş təcrübəsinə malik olmalıdır.

  Təsdqilənmiş qaydaların informasiya təhlükəsizliyinin qorunmasına təsirləri barədə danışan Azərbaycan İnternet Forumunun prezidenti, “Multimedia” Mərkəzinin direktoru Osman Gündüz “Sherg.az”a açıqlamasında bunları dedi:  

- Bu məsələdə bəzi suallar ortaya çıxır. Kritik qurumlar hansılardı, təhlükəsizliyin təmin olunmasında kimlər iştirak edəcək, yoxlamalar necə olacaq, risklər varmı? DTX təhlükəsizlik problemləri ilə bağlı ofislərə daxil ola biləcəkmi? Bəli, Nazirlər Kabineti “Kritik informasiya infrastrukturunun təhlükəsizliyinin təmin edilməsi qaydaları”nı təsdiq edib. Qaydalar kritik informasiya infrastrukturuna daxil olan qurumların təhlükəsizliyinə, kibertəhlükəsizlik xidməti provayderinə qarşı tələbləri, səlahiyyətli qurumların hüquq və vəzifələrini müəyyən edir.  Kritik informasiya infrastrukturuna daxil olan qurumların siyahısı isə hələlik açıqlanmayıb. Gözlənilir ki, bu siyahıya xeyli sayda dövlət qurumları, dövlət şirkətləri və iri özəl şirkətlər daxil ediləcək. Mövcud normalara görə bu siyahı DTX-nin təklifləri əsasında NK tərəfindən təsdiqlənir. Kritik informasiya infrastrukturu ilə bağlı əsas  səlahiyyətlər DTX və Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinə məxsusdur. Özəl sektorla bağlı isə bu tip məsələlərdə səlahiyyət tam olaraq DTX-yə verilib. Həm DTX-də, həm də XRİTDX-də Milli Kibermərkəzlər formalaşdırılacaq. Düşünürəm ki, bu Qaydalar və sektoru tənzimləyən digər hüquqi aktlar təhlükəsizliyin qorunmasında mühüm rol oynayacaq. Kritik siyahıya daxil olan qurumların məsuliyyəti xeyli artacaq. Əvvəllər könüllü olan kibertəhlükəsizliklə bağlı auditlər və yoxlamalar indi məcburi olacaq. Əvvəllər qurumlara olan  kiberhücumlar və təhdidlər açıqlanmırdısa, indi onları gizlətmək mümkün olmayacaq. Bu sektora daxil olan qurumların informasiya sistemlərinin, xidmətlərinin dayanıqlığı və keyfiyyəti xeyli yüksələcək. Yeni şirkətlər, kibertəhlükəsizlik xidməti provayderləri, yeni iş yerləri yaradılacaq. Xeyli sayda kiber mütəxəssislərə ehtiyac olacaq. Kritik qurumlar bu şirkətlərlə mütləq şəkildə müqavilə bağlamalıdırlar. Kibertəhlükəsizlik xidməti provayderlərinə qarşı tələbləri DTX müəyyən edəcək. Dövlət qurumlarında kiber təhlükəsizliklə bağlı tələblərə əməl olunması üzrə yoxlamalar Prezidentin, Birinci vitse-prezidentin və vitse-prezidentlərin tapşırığı ilə, hətta mediada gedən məlumatlar əsasında keçirilə bilər. Kritik qurumların təhlükəsizliyinin bu qaydalarla təşkilində risklər də var. Dövlət və özəl sektorun informasiya sistemləri və datalarına xidmət göstərən, böyük həcmdə datalara çıxış imkanı qazanan kiber provayderlərə nəzarət güclü olmalıdır. Bu şirkətlərə qarşı DTX-nin müəyyən etdiyi şərtlər mövcud olsa da, istənilən halda təhlükəsizliklə bağlı insan amilinin rolu yüksələcək. DTX özəl qurumların dəvəti  ilə bu qurumların ofislərinə daxil olub kiber məsələlərlə bağlı məsləhət, metodiki köməklik və s. göstərə bilər. Düşünürəm ki, bu məqamlar daha da dəqiqləşdirilməlidir. Özəl sektorda belə bir infrastrukturun formalaşması, təbii ki, əlavə xərclər hesabına başa gələcək. Şirkətlər bu sahəyə investisiya yatırmalı olacaqlar. Əgər bu pullar dövlət tərəfindən qarşılanmasa, qiymət artımı riskləri ola bilər. Eyni zamanda düşünürəm ki, bütövlükdə bu proseslərdə şəffaflığın və hesabatlılığın təmin edilməsinə, informasiya açıqlığına ictimai nəzarət imkanlarının yaradılmasına diqqət yetirilməlidir.