Mühazirə "İnformatiKA" elmi VƏ onun vəZİFƏLƏRİ Giriş 1

 
 

 
AZS 492-2010 (ISO/IEC 27005-2008) İnformasiya texnologiyaları  – Təhlükəsizlik 
metodları – İnformasiya təhlükəsizliyi risklərinin idarə olunması 

 
AZS  493-2010  (ISO/IEC   TR  18044-2007)  İnformasiya  texnologiyası  – 
Təhlükəsizliyin təmin edilməsinin metod və vasitələri  – İnformasiya təhlükəsizliyi 
insidentlərinin idarə olunması” 
9.7. Təşkilati tədbirlər. CERT-komandaları 
Lazımi  təşkilati  tədbirlər  görmədən  informasiya  təhlükəsizliyini  yüksək  səviyyədə 
təmin  etmək  mümkün  deyil.  Bu  tədbirlər  bir  tərəfdən  informasiya  təhlükəsizliyi 
vasitələrinin düzgün fəaliyyətinin təmin edilməsinə yönəldilməli və sistemin təhlükəsizlik 
administratoru  tərəfindən  yerinə  yetirilməlidir.  Digər  tərəfdən,  təşkilatın  rəhbərliyi 
informasiyanın  avtomatlaşdırılmış  emalı  qaydalarını,  o  cümlədən  onun  mühafizə 
qaydalarını  reqlamentləşdirməli,  bu  qaydaların  pozulması  üçün  məsuliyyət  hədlərini 
müəyyən etməlidir. Təşkilati tədbirlər aşağıdakı mövzuları əhatə edir: 

 
şəxsi  heyətin  idarə  olunması  (işə  qəbul,  işdən  çıxarılma,  təlim,  rolların  və 
cavabdehliyin bölgüsü, imtiyazların minimumlaşdırılması); 

 
fiziki  mühafizə  (informasiya  sisteminə  giriş  yollarında  fiziki  maneələrin  yaradılması, 
məsələn, nəzarət-buraxılış sistemi); 

 
sistemin iş qabiliyyətinin təmin edilməsi (reqlament işləri, ehtiyat kopyalar, informasiya 
daşıyıcılarının idarə edilməsi, sənədləşdirmə); 

 
informasiya  təhlükəsizliyinin  pozulması  hallarına  reaksiya  (CERT-komandaları: 
insidentin  lokallaşdırılması  və  vurulan  ziyanın  azaldılması,  pozucuların  aşkarlanması, 
“dərs çıxarılması”); 

 
bərpaetmə  işlərinin  planlaşdırılması  (təşkilatın  kritik  vacib  funksiyalarının  bərpası 
strategiyasının işlənməsi və strategiyanın praktikada sınaqdan çıxarılması). 
 
“İnformasiya  təhlükəsizliyi  sahəsində  fəaliyyətin  təkmilləşdirilməsi  tədbirləri 
haqqında”  Azərbaycan  Respublikası  Prezidentinin  Fərmanı  ilə  (26  sentyabr  2012-ci  il) 
dövlət  miqyasında  informasiya  təhlükəsizliyinin  təmin  edilməsinin  təşkilati  strukturları 
yaradılmışdır: 

 
Azərbaycan  Respublikası  Xüsusi  Dövlət  Mühafizə  Xidmətinin  Xüsusi  Rabitə  və 
İnformasiya Təhlükəsizliyi Dövlət Agentliyi  

 
Azərbaycan  Respublikası  Rabitə  və  Yüksək  Texnologiyalar  Nazirliyi  yanında  
Elektron Təhlükəsizlik Mərkəzi  
CERT-komandaları. Məlumdur ki, informasiya təhlükəsizliyini tam (“100 %”) təmin 
etmək  mümkün  deyil  və  təəssüf  ki,  informasiya  təhlükəsizliyinin  pozulması  halları  baş 
verir.  Belə  hadisələrə  “informasiya  təhlükəsizliyi  insidentləri”  deyilir.  İnformasiya 
təhlükəsizliyi  insidentləri  zamanı  vurulan  ziyanı  minimumlaşdırmaq  və  insident 
nəticələrini qısa müddətdə aradan qaldırmaq üçün xüsusi qruplar – kompüter insidentlərinə 
reaksiya  komandaları  (ing.  Computer  Emergency  Responce  Team,  CERT)  yaradılır.  İlk 
CERT-komandası  1988-ci  ilin  noyabrında  Karnegi  Mellon  Universitetində  yaradılmışdı 
(həmin  vaxt  proqramçısının  adı  ilə  Morris  soxulcanı  adlanan  zərərli  proqram  o  vaxtkı 
İnterneti  iflic  etmişdi).  CERT-komandasının  tərkibinə  informasiya  texnologiyaları 
mütəxəssisləri ilə yanaşı hüquq və mətbuat xidməti əməkdaşları da daxil edilir. Hazırda bir 
KitabYurdu.az 
105
 

 
 
çox  CERT-komandası  daimi  fəaliyyət  göstərir.  Azərbaycan  Respublikasında  fəaliyyət 
göstərən aşağıdakı CERT-komandaları göstərmək olar. 

 
Elektron  Təhlükəsizlik  Mərkəzi  (Rabitə  və  Yüksək  Texnologiyalar  Nazirliyi) 
www.cert.az
  

 
Kompüter  İnsidentlərinə  Qarşı  Mübarizə  Mərkəzi 
–  Xüsusi  Dövlət  Mühafizə 
Xidmətinin  Xüsusi  Rabitə  və  Informasiya  Təhlükəsizliyi  Dövlət  Agentliyi 
nəzdindədir (
www.cert.gov.az
).  

 
AzScienceCERT  –  AMEA  İnternet  şəbəkəsində  (AzScienceNet)  informasiya 
təhlükəsizliyi insidentlərinə cavabvermə qrupu (
www.sciencecert.az
). 
9.8. İnformasiya təhlükəsizliyi siyasəti 
Siyasət – təşkilatın fəaliyyətinin müəyyən aspektlərini idarə etmək üçün təsbit edilmiş 
qaydalar məcmusudur. Siyasət fəaliyyətin məqsədlərinin, hüquqi tələblərin və ya təşkilatın 
korporativ normalarının təmin edilməsi üçün nə etmək lazım olduğunu müəyyən edir. 
İnformasiya təhlükəsizliyi siyasətinin işlənməsi informasiya təhlükəsizliyi sisteminin 
təşkil  edilməsində  ilk  tələblərdən  biridir.  İnformasiya  təhlükəsizliyi  siyasətinin  məqsədi 
rəhbərliyin informasiya təhlükəsizliyi üzrə idarəçiliyini və dəstəyini təşkilatın fəaliyyətinin 
tələblərinə, müvafiq qanunlara və normativlərə uyğun olaraq təmin etməkdir. 
ISO 27001 standartına görə informasiya təhlükəsizliyi siyasəti daha ümumi sənədin – 
informasiya  təhlükəsizliyinin  idarə  edilməsi  siyasətinin  altçoxluğudur.  Bu  siyasətlər  bir 
sənəddə  birləşdirilə  bilərlər.  Xüsusi  informasiya  təhlükəsizliyi  siyasətləri  (məsələn, 
antivirus siyasəti, parol siyasəti, İnternetdən istifadə siyasəti və s.) də işlənilə bilər. 
Sənədləşdirilmiş  informasiya  təhlükəsizliyi  siyasəti  rəhbərliyin  münasibətini  bəyan 
etməli  və  informasiya  təhlükəsizliyinin  idarə  edilməsinə  yanaşmanı  müəyyən  etməli, 
informasiya  təhlükəsizliyi  anlayışını,  onun  əsas  məqsədlərini  və  təsir  dairəsini  müəyyən 
etməli,  qiymətləndirmənin  strukturu  və  risklərin  idarə  edilməsi  daxil  olmaqla  nəzarətin 
məqsədlərini və mexanizmlərini müəyyən etmək üçün əsas müddəaları əhatə etməlidir.  
İnformasiya təhlükəsizliyi siyasəti üzrə sənəd rəhbərlik tərəfindən təsdiq olunmalı, nəşr 
edilməli və bütün işçilərə və müvafiq kənar tərəfdaşlara çatdırılmalıdır. 
İnformasiya  təhlükəsizliyi  siyasəti  təhlükəsizlik  mexanizmlərinin  və  prosedurların 
(reqlamentlərin)  köməyi  ilə  realizə  olunur.  Prosedurlar  mahiyyətcə  təhlükəsizlik 
mexanizmlərinin  düzgün  fəaliyyəti  məqsədi  ilə  sistemin  administratorlarının  və 
istifadəçilərinin yerinə yetirdikləri addımlardır. 
9.9. 3A (Auttentifikasiya, Avtorizasiya və Audit) və ekranlaşdırma 
Proqram–texniki  tədbirlərdən  aşağıdakıları  nəzərdən  keçirəcəyik:  identifikasiya  və 
autentikasiya,  avtorizasiya  (icazələrin  idarə  olunması),  protokollaşdırma  və  audit, 
ekranlaşdırma.    
İdentifikasiya və autentifikasiya. İdentifikasiya (ing. identification) istifadəçiyə (və ya 
müəyyən istifadəçinin adından fəaliyyət göstərən prosesə) öz adını sistemə təqdim etməyə 
(bildirməyə) imkan verir. 
Autentikasiya (ingilis dilində authentication) vasitəsi ilə ikinci tərəf əmin olur ki, subyekt 
doğrudan  da  özünü  qələmə  verdiyi  şəxsdir.  Autentifikasiya  sözünün  sinonimi  kimi  çox 
vaxt “həqiqiliyin yoxlanması” işlədilir. 
KitabYurdu.az 
106