ƏƏSMN-də fərdi şəxsi məlumatlar necə qorunur? - MÜSAHİBƏ

ƏƏSMN-də fərdi şəxsi məlumatlar necə qorunur? - MÜSAHİBƏ Əmək və Əhalinin Sosial Müdafiəsi Nazirliyinin (ƏƏSMN) “DOST Rəqəmsal İnnovasiyalar Mərkəzi”nin (DOST RİM) direktor müavini Fərid Zeynalovun “Report”a müsahibəsi
Sosial müdafiə
30 İyun , 2022 14:52
ƏƏSMN-də fərdi şəxsi məlumatlar necə qorunur? - MÜSAHİBƏ
Fərid Zeynalov

Əmək və Əhalinin Sosial Müdafiəsi Nazirliyinin (ƏƏSMN) “DOST Rəqəmsal İnnovasiyalar Mərkəzi”nin (DOST RİM) direktor müavini Fərid Zeynalovun “Report”a müsahibəsi

- İnformasiya təhlükəsizliyi dedikdə nə nəzərdə tutulur?

- İnformasiya təhlükəsizliyi dedikdə istər fiziki, istərsə də hər hansı bir təşkilatın sahib olduğu və ya istifadəsində olan məlumatların ehtimal olunan risklərə münasibətdə müdafiə səviyyəsi başa düşülür. Ümumilikdə informasiya təhlükəsizliyinin əsas məqsədi informasiyanın üç əsas komponenti - konfidensiallıq, bütövlülük və əlçatanlığın qorunmasını təmin etməkdir.

Konfidensiallıq – informasiyanın yalnız avtorizə olunmuş subyektlər tərəfindən görünə bilən olmasını təmin edir.

Bütövlülük – informasiyanın yalnız avtorizə olunmuş subyektlər tərəfindən dəyişdirilə (redaktə) oluna bilən olmasını təmin edir.

Əlçatanlıq – informasiyanın istənilən zaman avtorizə olunmuş subyektlər tərəfindən əldə oluna bilən olmasını təmin edir.

Hər bir təşkilat öz informasiya təhlükəsizliyini təmin etmək üçün əvvəlcə özündə hansı informasiya aktivlərinin olmasını müəyyən etməli, onları kateqoriyalara uyğun şəkildə təsnifatlandırmalı, informasiyanın yuxarıda sadaladığım komponentlərinə əsasən dayanıqlılığı müdafiə etmək üçün təhlükəsizlik mexanizmləri qurmalıdır. Bu mexanizmlərin qurulmasında risk əsaslı yanaşmanın başlıca əsas kimi tutulması tövsiyə olunur. Deyilənləri ümumiləşdirsək, informasiya təhlükəsizliyi davamlı bir prosesdir. Biz iş prosesi zamanı bunun dəfələrlə şahidi oluruq. Məlumatlara yönələn risklərin daima idarə olunmasını təmin etmək üçün kompleks vasitələrdən istifadə olunmalıdır.

- ƏƏSMN-nin tabeliyində və yanaşı olan qurumların informasiya təhlükəsizliyin qorunması üçün rəqəmsal həlləriniz nələrdir?

- İnformasiya təhlükəsizliyin qorunmasını yalnız texniki-rəqəmsal həllərlə məhdudlaşdırmamalıyıq. Mövzuya daha geniş yanaşaraq deyə bilərəm ki, informasiya təhlükəsizliyi insanların, proseslərin, həllərin məcmusudur və onun qorunması təşkilatdan kompleks yanaşmanın tətbiqini tələb edir. Bu səbəbdən informasiya təhlükəsizliyinin təmin olunması üçün mexanizmlər üç yerə bölünür. Bunlar inzibati, fiziki və məntiqi (rəqəmsal-texniki) mexanizmlərdir. İnzibati mexanizmlərə informasiya təhlükəsizliyini idarə edən normativ sənədlər: qaydalar, prosedurlar və s. aiddir. İnzibati mexanizmlərdə təşkilat tərəfindən informasiya təhlükəsizliyinə qoyulan tələblər, onlara nail olma üsulları öz əksini tapır. Bu mexanizm istənilən təşkilatda “təhlükəsizlik mədəniyyətini” formalaşdırmaq üçün ən vacib vasitə sayılır. Fiziki mexanizmlərə məlumatların saxlanıldığı, emal olunduğu məkanları fiziki müdaxilələrdən qorumaq üçün lazım olan vasitələr aid edilir. (Mühafizəçilər, kameralar, giriş-çıxışa nəzarət sistemləri və s.) Məntiqi mexanizmlərə isə əksəriyyətinə rəqəmsal və ya texniki həllər altında tanış olan vasitələr aid edilir. Təhlükəsizlik divarları, antivirus proqramları, məlumat bazalarını qorumaq üçün nəzərdə tutulan sistemlər, təhlükəsizlik boşluqlarını aşkar etmək üçün proqramlar və s. bu növ mexanizmlərə aid edilir. İnformasiya təhükəsizliyinin effektiv təmin olunması, mövcud və ya ehtimal olunan risklərin idarə olunan səviyyədə saxlanılması üçün yuxarıda sadalanan mexanizmlərin vəhdət şəklində çalışması çox vacibdir. Risk müstəvisinin dəyişkən olmasını nəzərə alsaq, sözügedən mexanizmlər daim aktual saxlanılmalı və təkmilləşdirilməlidir. ƏƏSMN tabeliyində və ya yanaşı fəaliyyət göstərən qurumlarda qeyd olunan prinsiplərdən irəli gələrək qurduğumuz müdafiə mexanizmlərinin üzərində mütəmadi çalışırıq.

- Genişmiqyaslı işləri paralel həyata keçirirsiniz. Bu zaman kiberhücumlardan qorunmaq üçün nələr edirsiniz?

- Ümumiyyətlə kiberhücumlardan, təhlükəsizlik insidentlərindən qorunmaq üçün iki yanaşmadan istifadə olunur: reaktiv və proaktiv.

Reaktiv yanaşma hücumun baş verib aşkar olunduqdan sonrakı müdafiə tədbirlərini, proaktiv isə əvvəlcədən hücumun ehtimal olunan vektorlarının qarşısının alınıb onun nəticələnmədən bitirilməsinə hesablanan müdafiə tədbirlərini nəzərdə tutur. İstənilən bir təşkilat resurslarının imkan verdiyi səviyyədə proaktiv yanaşmadan daha çox istifadə etməlidir. ƏƏSMN-nin əhatəli xidmətlərini və sistemlərinin miqyasını nəzərə alaraq proaktiv yanaşmanın daha genişmiqyaslı tətbiqi üçün işlər aparırıq. Qurum data bazasında olan milyonlarla insanın fərdi şəxsi məlumatlarını qorumaq asan iş deyil. Mexanizmlər çevik və vaxtında tətbiq olunmalıdır. Həm yerli, həm beynəlxalq təcrübədə qurumlara olunan kiberhücumlarla tez-tez rastlaşırıq. Bu kimi problemlərdən qorunmaq və dayanıqlı müdafiənin təmin olunması üçün “çox qatlı” (layered security) yanaşmasından istifadə olunmalıdır. Bu yanaşma tətbiq olunan mümkün müdafiə vasitələrindən birinin yarılması zamanı ondan sonrakı qatın hücumun qarşısını ala biləcək şəkildə sazlanmasını tələb edir. Məsələn, birinci mərhələdə təhlükəsizlik divarı hücumdan müdafiəni təmin edə bilməyibsə, artıq antivirus proqramı onun qarşısını almalıdır və s. Burada digər əsas məsələ mövcud boşluqları vaxtında aşkar etmək və müdafiəni düzgün qurmaqdan ibarətdir. Bunun üçün mövcud resurslarımız hesabına boşluqların aşkar olunması üçün mütəmadi sınaqlar keçirir, xüsusi proqram təminatları vasitəsilə avtomatik və ya “əl ilə” kiberhücumları simulyasiya edirik. Həmin kiberhücumların nəticələrinə əsasən aşkar olunan boşluqları qapatmaq, arsenalımızda olan müdafiə mexanizmlərini daha dayanıqlı müqavimət göstərmələri üçün gücləndirmək və ya inzibati qadağalar tətbiq etmək kimi həll yolları tətbiq edirik. İstənilən təhlükəsizlik mexanizminin “ən zəif” bəndinin insan faktoru olduğunu nəzərə alaraq, əməkdaşların maarifləndirilməsi və daima ayıqsayıq olmaları üçün mütəmadi xatırlatmalar, maarifləndirmə işləri aparırıq.

- Baş verə biləcək fövqəladə vəziyyət üçün hərhansı plan nəzərdə tutulur?

- Təbii ki, baş verəcək fövqəladə vəziyyətin xüsusiyyətindən və miqyasından asılı olaraq müxtəlif tədbirlər nəzərdə tutulur. Fövqəladə hal konkret xidmətlərlə lokallaşırsa,onun təsirinin aradan qaldırılması və fəaliyyətin bərpası üçün ehtiyat nüsxələr, dayanıqlığı təmin etmək üçün klaster və “yüksək əlçatanlıq” kimi vasitələr işə salına bilər. Fövqəladə halın miqyası daha genişdirsə, bu zaman ümumiyyətlə fəaliyyətin bütünlükdə digər köməkçi infrastrukturun üzərinə keçirilməsi kimi tədbirlər nəzərdə tutula bilər.

- Rəqəmsal mühitin təşkili üçün nə kimi fiziki təhlükəsizlik mexanizmlərindən istifadə edirsiniz?

- ƏƏSMN dövlət qurumları arasında tam şəkildə bütün infrastrukturunu “Hökümət Buludu”na (G-Cloud) keçirən ilk təşkilatdır. Bu uyğunluq bir çox yüksək səviyyəli fiziki təhlükəsizlik mexanizmini ehtiva edir. Bu mexanizmlərə 24/7 rejimdə çalışan mühafizə əməkdaşların, videomüşahidə kamerlarının, sərtləşdirilmiş giriş-çıxış sisteminin, perimetr mühafizəsinin, yanğından qoruma və digər müdaxilələrə qarşı müxtəlif texniki vasitələrin olmasını nəzərdə tutur. Bundan əlavə, Nazirlik daxilində müxtəlif kritik səviyyəyə aid zonalarda da yuxarıda sadaladığım fiziki təhlükəsizlik mexanizmlərindən istifadə olunur.

Son xəbərlər

Orphus sistemi