İnformasiya təhlükəsizliyi strategiyası, problemlər və prespektivlər - ŞƏRH

23 Fevral 2023 16:20 (UTC+04:00)

“İnformasiya təhlükəsizliyi ölkəmizin Rəqəmsal Transformasiya strategiyasının prioritetlərindəndir“

İlham Əliyev,
Azərbacan Respublikasının Prezidenti

Cəmiyyəti mühüm məlumat və biliklərlə təmin edən informasiya eyni zamanda cəmiyyətə müəyyən ziyanlar da vura bilər. Ona görə də, informasiyanın cəmiyyətdə rolunu bilmək üçün ona iki aspektdən yanaşmaq lazımdır.

Mənfi – neqativ informasiyanın yayınmasının qarşısının alınması. İnformasiyanın özünün qorunması.

İnformasiya və informasiya texnologiyaları hər bir ölkənin milli təhlükəsizliyinin təmin olunması üçün mühüm vasitədir. İnformasiyalaşdırma cəmiyyətdə müxtəlif neqativ halların yaranmasına səbəb oldu. Kompüter cinayətkarlığı – qeyri-qanuni informasiya mənbələrinə daxil olmaq, viruslar yaymaq, banklardan “elektron pul” oğurlamaq, “elektron cəsusluq” kimi mənfi halların sürətlə yayılmasına başladı.

Hal-hazırda düzgün, keyfiyyətli informasiyaları seçmək və yalan informasiyaların yayılmasının qarşısının alınması problemi yaranmışdır. Ona görə də, şəxsiyyətin, dövlətin təhlükəsizliyini qorumaq üçün daha mükəmməl qanunlar işlənib hazırlanmalıdır.

Təhlükəsizlik – şəxsiyyətin, cəmiyyətin, dövlətin daxili və xarici təhlükələrdən qorunması kimi başa düşülür.

Şəxsiyyətin təhlükəsizliyi – onun hüququ və azadlıqlarının qorunmasıdır.

Cəmiyyətin təhlükəsizliyi – onun maddi və mənəvi dəyərlərinin qorunmasıdır.

Dövlətin təhlükəsizliyi – konstitusion quruluşunun, suverenliyinin və ərazi bütövlüyünün qorunmasıdır. Dövlət bu işləri, icra orqanları, məhkəmə qanunverici orqanları vasitəsilə həyata keçirir.

İnformasiya təhlükəsizliyi – informasiya mühitində neqativ informasiyalardan qorunmaqla inkişafın təmin olunmasıdır. İnformasiya təhlükəsizliyi dövlətin müdafiə, ekoloji, iqtisadi təhlükəsizlik kimi formaları ilə yanaşı durur. Ona görə də, informasiya həm hüquqi, həm texniki tərəfindən müdafiə olunmalıdır.

İnformasiyanın qorunması üçün müxtəlif üsullar mövcuddur. Müxtəlif xidməti qurumlar və bu informasiyaları tam məxfiliyini, yarımməxfiliyini müəyyənləşdirməklə onun təhlükəsizliyini təmin etməlidirlər. Texniki tərəfdən informasiyanın qorunması EHM-lərin təhlükəsizliyinin qorunması, parolların qoyulması, kriptoqrafik müdafiə vasitələri ilə həyata keçirilir. İnformasiya təhlükəsizliyi inkişaf etmiş dövlətlər tərəfindən yüksək səviyyədə həyata keçirilir. Bu isə onların informasiya müharibəsində, kommersiya məxfiliklərində mühüm rol oynayır.

Kompüter sistemlərində və şəbəkələrində informasiya təhlükəsizliyinin pozulmasının bütün mümkün hallarını, əsasən 3 kateqoriyaya ayırmaq olar:

1. İnformasiyanın məxfiliyinin pozulması təhlükəsi;

2. İnformasiyanın tamlığının pozulması təhlükəsi;

3. Sistemin iş qabiliyyətinin pozulması (xidmətin göstərilməsindən imtina) təhlükəsi;

Məxfiliyin pozulması təhlükələri məxfi informasiyanın və ya sirlərin açılmasına yönəlmiş olur. Bu növ təhlükələr reallaşdıqda informasiya ona giriş hüququ olmayan şəxslərin əlinə keçə və ya onlara bəlli ola bilər. Kompüter sistemlərində və şəbəkələrində saxlanılan və ya ötürülən məxfi informasiyaya hər dəfə icazəsiz giriş əldə edildikdə və ya buna cəhd göstərildikdə onun gizliliyinin pozulması təhlükəsi yaranır.

Kompüter sistemlərində və şəbəkələrində saxlanılan və ya ötürülən informasiyanın tamlığının pozulması təhlükələri onun təhrif olunmasına, keyfiyyətinin pozulmasına və ya tam məhvinə gətirib çıxaran dəyişikliklərin edilməsi ilə xarakterizə olunur.

İnformasiyanın tamlığı ziyankar şəxslərin düşünülmüş fəaliyyəti, eləcədə ətraf mühitin obyektiv təsiri nəticəsində pozula bilər.

Kompüter sistemlərinin və şəbəkələrinə, onların informasiya resurslarına yönəlmiş bu təhdidlərin təsnifatına uyğun olaraq onların qarşısının alınması və informasiya təhlükəsizliyinin təmin edilməsi məsələsinə də, əsasən 3 aspektdən baxılır. Bu istiqamətlər informasiya təhlükəsizliyinin üç əsas baza prinsipini müəyyən edir:

- informasiyanın gizliliyinin təmin edilməsi;

- informasiyanın tamlığının təmin edilməsi;

- informasiyaya əlyetərliliyin təmin edilməsi (informasiyaya icazəli girişin təmin edilməsi və ya informasiyanın təcrid edilməsinin qarşısının alınması).

İnformasiyanın gizliliyinin təmin edilməsi dedikdə informasiyaya giriş hüququ olan istifadəçilər qrupunu müəyyənləşdirilməsi, informasiyaya, onun saxlandığı, emal olunduğu, ötürüldüyü sistem və şəbəkələrə kənardan, ələlxüsus icazəsiz müdaxilələrin və müdaxilə cəhdlərinin qarşısının alınması başa düşülür. İnformasiya gizliliyi – onun məzmununu icazəsi olmayan digər istifadəçilərdən və kənar şəxslərdən gizli saxlanılması xassəsidir.

İnformasiyanın tamlığının təmin edilməsi – sistemdə saxlanılan, emal olunan və ötürülən informasiyanın təhrif olunmamış (yəni onun hər hansı qeyd olunmuş vəziyyətinə münasibətdə dəyişilməmiş) şəkildə mövcud olmasının təmin edilməsini özündə ehtiva edir.

İnformasiyanın bu xassəsi onun icazəsiz olaraq qəsdən və ya təsadüfən dəyişdirilməsinə, korlanmasına, bloka salınmasına və ya məhv edilməsinə, eləcə də informasiyanın itirilməsinə gətirib çıxaran proqram-texniki nasazlıqlar və sıradan çıxmalar kimi təhlükələrdən də qorunmasını tələb edir.

İnformasiyaya icazəli girişin təmin edilməsi – informasiyanın saxlanılması, emalı və ötürülməsi sistemlərinin etibarlılıq və sıradan çıxmalara davamlılıq xassələrinə qoyulan başlıca tələb olub, informasiya və sistem resurslarına icazəli girişə rədd cavablarının verilməsinin qarşısının alınması, istifadəçilərin onları maraqlandıran və giriş hüquqları olan bütün informasiya resurslarına maneəsiz və vaxtında girişinin təmin edilməsi qabiliyyətini xarakterizə edir.

İnformasiyaya icazəli girişin təmin edilməsi prinsipini onun sahibindən, qanuni icazəsi olan şəxslərdən təcrid edilməsinin qarşısının alınması, başqa sözlə informasiyaya əlyetərliliyin təmin edilməsi kimi də başa düşmək olar.

Kompüter sistemlərində və şəbəkələrində təhlükəyə məruz qala biləcək obyektlər sırasına texniki vəsaitlər (serverlər, istifadəçi kompüterləri, telekommunikasiya qurğuları və rabitə xətləri), onların proqram təminatı, məlumat bazaları və digər informasiya resursları daxildir.

İnformasiya təhlükəsizliyi konsepsiyası – müasir texnologiyalar və tendensiyalar nəzərə alınmaqla İnformasiya təhlükəsizliyi probleminə və onun həll edilməsi yollarına rəsmi qəbul edilmiş baxışlar sistemidir.

Konsepsiyada milli və korporativ maraqlar, İnformasiya təhlükəsizliyinin təmin edilməsi üsulları və saxlanması prinsipləri müəyyən edilir, eləcə də onların reallaşdırılması məsələləri formalaşdırılır.

İnformasiya təhlükəsizliyi konsepsiyasının işlənib hazırlanması, adətən, bir neçə ardıcıl mərhələdə həyata keçirilir.

Birinci mərhələdə, qorunması tələb olunan qiymətli İnformasiya resursları, o cümlədən istehsal prosesləri, proqramlar, məlumatlar massivi, fayllar və s. təsnif edilir, bu resursların əhəmiyyətlilik dərəcələri müəyyən olunur, yəni qoruma vasitələrinin tətbiqinin tələb olunması səviyyəsinə uyğun olaraq qruplara bölünür.

İkinci mərhələdə, qorunan İnformasiya resurslarına münasibətdə baş verə biləcək potensial cinayətkar hərəkətlər araşdırılır və təsnif edilir. İqtisadi cəsusluq, terrorçuluq, sabotaj, oğurluq və s. kimi geniş yayılmış real təhlükələrin səviyyəsi müəyyən edilir, qorunan əsas İnformasiya resurslarına qarşı daha çox ehtimal olunan ziyankar hərəkətlər təhlil olunur.

Üçüncü mərhələdə, İnformasiya təhlükəsizliyinin təmin edilməsi üzrə mövcud vəziyyət, təşkilatdaxili səciyyəvi şərait, istehsal prosesləri, eləcə də İnformasiya resurslarının qorunması üçün tətbiq oluna biləcək üsul və vasitələr araşdırılır.

İnformasiya təhlükəsizliyi strategiyası – İnformasiya təhlükəsizliyi sahəsində fəaliyyətinin təşkilinin ümumi istiqamətlərini müəyyən edir. İnformasiya təhlükəsizliyi strategiyası müvafiq sahədə obyektiv tələbatlar, strategiyanın həyata keçirilməsinin potensial mümkün şərtləri və təşkilinin mümkünlüyü nəzərə alınmaqla işlənib hazırlanır.

İnformasiya təhlükəsizliyi strategiyası informasiyanın etibarlı qorunması sisteminin qurulmasının məqsədini, kriterilərini, prinsiplərini və prosedurlarını özündə əks etdirir.

Əsas üç qorunma strategiyası vardır:

- Müdafiə strategiyası – artıq məlum olan təhdidlərdən avtonom şəkildə, İnformasiya sisteminə əhəmiyyətli təsir göstərmədən qorunma.

- Hücum strategiyası – bütün mümkün potensial təhdidlərdən qorunma.

- Qabaqlayıcı strategiya – İnformasiya təhdidlərin meydana gəlməsi üçün şəraitin mövcud olmadığı İnformasiya mühitinin yaradılması.

İnformasiya təhlükəsizliyi siyasəti – İnformasiya resurslarının təhlükəsiz idarə olunması, qorunması və paylanması məsələlərini nizamlayan normalar, qaydalar, praktiki üsullar və tədbirlər toplusunu əks etdirən sənəddir. İnformasiya təhlükəsizliyi siyasəti İnformasiya resurslarının hansı təhlükələrdən, necə və hansı səviyyədə qorunmasını, bu resurslardan istifadə etmək hüququ olan istifadəçilər dairəsini, onların hüquq və səlahiyyətlərinin hüdudlarını, resurslara icazəli və icazəsiz giriş hüquqlarını və mexanizmlərini müəyyən edir.

Təhlükəsizlik siyasətində girişə nəzarət, identifikasiya, uçot, qeydiyyat, nəzarət jurnalının aparılması, etibarlılıq, diqqətlilik və s. məqamlar mütləq öz əksini tapmalıdır.

İnformasiya təhlükəsizliyi siyasəti işlənib hazırlanarkən qorunması tələb olunan İnformasiya resursları, onların təyinatı və funksiyaları müəyyən edilir, potensial rəqibin bu resurslara maraq dərəcəsi, təhlükələrin və hücumların baş verməsi ehtimalları, həyata keçirilməsi yolları və vasitələri, eləcə də onların vura biləcəyi ziyan qiymətləndirilir.

İnformasiya təhlükəsizliyi dedikdə, şəxslərin, təşkilatların və cəmiyyətin maraqlarına uyğun olaraq, informasiya mühitinin qorunması vəziyyəti, həmçinin informasiya təhlükəsizliyinin pozulması təhdidlərinin, reallaşdırılması üsullarının və məqsədlərinin, təhlükəsizliyin pozulmasına gətirib çıxaran digər şərait və hərəkətlərin vaxtında aşkar edilməsi və qarşısının alınması başa düşülür. Ədəbiyyatlarda informasiya təhlükəsizliyi anlayışının bir çox təriflərinə rast gəlinir.

“İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında” Azərbaycan Respublikası Qanununun 3-cü maddəsində isə informasiyanın mühafizəsinin aşağıdakı məqsədləri müəyyən olunmuşdur:

- Dövlətin, ictimayyətin, vətəndaşların təhlükəsizliyin təmin edilməsi;

- Dövlət sirri təşkil edən və məxfi informasiyanın məxfiliyinin qorunması;

- İnformasiyanın məhvinin, itməsinin, təhrif edilməsinin, saxtalaşdırılmasının, sürətinin çıxarılmasının, təcrid edilməsinin qarşısının alınması;

- İnformasiya prosesində və informasiya sistemlərinin, texnologiyalarının və onlara təminat vasitələrinin işlənməsi, istehsalı, tətbiqi zamanı fiziki və hüquqi şəxslərin hüquqlarının təmin olunması.

“Dövlət sirri haqqında” Azərbaycan Respublikası Qanunu Azərbaycan Respublikasının təhlükəsizliyinin təmin etmək məqsədilə məlumatların dövlət sirrinə aid edilməsi, mühafizəsi və istifadə edilməsi, onların məxfiləşdirilməsi və ya məxfiliyinin açılması əlaqədar ilə yaranan münasibətləri tənzimləyir.

Göründüyü kimi, burada dövlət sirri təşkil edən informasiyanın qorunması məqsədi xüsusi olaraq göstərilmişdir. “Dövlət sirri haqqında” Azərbaycan Respublikası Qanununda dövlət sirri dövlətin hərbi, xarici-siyasi, iqtisadi, kəşfiyyat, əks-kəşfiyyat və əməliyyat-axtarış fəaliyyəti ilə bağlı olub, dövlət tərəfindən mühafizə edilən və yayılması Azərbaycan Respublikasının təhlükəsizliyinə ziyan vura bilən məlumatlar kimi müəyyən edilir. Bu Qanunun müddəaları Azərbaycan Respublikasının ərazisində və onun hüdudlarından kənarda Azərbaycan Respublikasının dövlət hakimiyyəti və yerli özünüidarə orqanları, təşkilati-hüquqi formasından və mülkiyyət növündən asılı olmayaraq, bütün müəssisə, idarə və təşkilatları, dövlət sirri haqqında Azərbaycan Respublikası qanunvericiliyinin tələblərini yerinə yetirmək öhdəliyi götürmüş və ya statusuna görə buna borclu olan Azərbaycan Respublikasının vəzifəli şəxsləri və vətəndaşları, əcnəbilər və vətəndaşlığı olmayan şəxslər tərəfindən hökmən icra edilməlidir.

Dünya ölkələrinin təcrübəsində də informasiyanın müdafiəsi haqqında ilk qanunlar dövlət sirrinin müdafiəsi haqqında qanunlar olmuşdur. İnformasiya təhlükəsizliyinin hüquqi cəhətdən təmin olunması sahəsində vacib məsələlərdən biri kimi şəxsi məlumatların müdafiəsi çıxış edir. Fransa, İtaliya, İspaniya, Portuqaliya, Danimarka, Hollandiya və s. ölkələrdə hər kəsin hakimiyyət orqanlarının fəaliyyəti ilə bağlı informasiya ilə, ABŞ, Kanada, Avstraliya və Yeni Zelandiyada isə vətəndaşların birbaşa idarəetmə məlumatları ilə tanış olma imkanını təmin edən qanunlar qəbul edilmişdir.

İnformasiya təhlükəsizliyinin təmin olunması istiqamətində zəruri tədbirlərin həyata keçirilməsi üçün beynəlxalq hüquqi mexanizmlərin, milli normativ-hüquqi bazanın formalaşdırılması mühüm əhəmiyyət daşıyır və bu məsələ ayrı-ayrı ölkələr kontekstində deyil, beynəlxalq qlobal informasiya təhlükəsizliyi kontekstində nəzərdən keçirilməlidir.

Azərbaycan Respublikası informasiya təhlükəsizliyi sahəsində MDB dövlətləri ilə sıx beynəlxalq əməkdaşlıq tədbirlərini həyata keçirir. Müasir inkişaf meylləri və tendensiyaları onu deməyə imkan verir ki, informasiya təhlükəsizliyinin milli təhlükəsizliyin təmin edilməsi sistemində yeri və rolu gələcəkdə daha da artacaqdır.

Dünya ölkələrinin təcrübəsində də informasiyanın müdafiəsi haqqında ilk qanunlar dövlət sirrinin müdafiəsi haqqında qanunlar olmuşdur. Dövlət sirrinin müstəsna əhəmiyyəti və onun müdafiəsi zərurəti nəzərə alınaraq bütün inkişaf etmiş dövlətlərdə xüsusi ictimai təhlükəli əməllər kimi casusluq və dövlətə xəyanət ən ağır cinayətlər sırasına aid edilmişdir.

Azərbaycan Respublikasında informasiya təhlükəsizliyinin qorunması istiqamətində hüququn əsas mənbəyi ölkə Konstitusiyasıdır.

Konstitusiyaya əsasən:

- hər kəsin şəxsi toxunulmazlıq hüququ vardır (maddə 32, I-VIII his.);

- hər kəsin ətraf mühitin əsl vəziyyəti haqqında məlumat toplamaq və ekoloji hüquqpozma ilə əlaqədar onun sağlamlığına və əmlakına vurulmuş zərərin əvəzini almaq hüququ vardır (maddə 39);

- hər kəsin istədiyi məlumatı qanuni yolla axtarmaq, əldə etmək, ötürmək, hazırlamaq və yaymaq azadlığı vardır (maddə 50);

Ölkədə informasiya sferasındakı münasibətləri tənzimləyən əsas normativ akt “İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında” Azərbaycan Respublikası Qanunudur. Həmin hüquqi aktın tənzimlədiyi predmet informasiya müstəvisində yaranan münasibətlərin geniş spektridir.

Bütövlükdə isə informasiya münasibətləri sferasında tənzimləmə mexanizminin hüquqi mənbəyi kimi aşağıdakıları göstərmək mümkündür:

- Prezident fərmanları;

- AR Konstitusiyası;

- sahəvi qanunlar;

- AR tərəfdar çıxdığı beynəlxalq müqavilələrdir.

Əflatun MƏMMƏDOV,
Müdafiə Sənayesi Nazirliyinin Elmi-Tədqiqat İnstitutunun direktorunun birinci müavini,
İnternet və Yüksək Texnologiyalar üzrə ekspert