Nazirlər Kabineti tərəfindən ölkədə informasiya təhlükəsizliyi riskləri reyestrinin aparılması ilə bağlı Qayda təsdiq edilmişdir.
https://scis.gov.az/upload/qerar-72eeab-a6d71b.pdf
https://scis.gov.az/upload/qayda-a51523-2f5467.pdf
Azərbaycan Respublikası Prezidentinin 2023-cü il 28 avqust tarixli 4060 nömrəli Sərəncamı ilə təsdiq edilmiş “Azərbaycan Respublikasının informasiya təhlükəsizliyi və kibertəhlükəsizliyə dair 2023 – 2027-ci illər üçün Strategiyası” həyata keçirilməsi ilə bağlı tədbirlər davam etdirilir.
İnformasiya təhlükəsizliyi üzrə yarana biləcək təhdidləri və riskləri qiymətləndirmək, riskə səbəb ola biləcək hadisələri əvvəlcədən müəyyən etmək, həyata keçirilməli qabaqlayıcı tədbirləri proqnozlaşdırmaq və bütün məlumatları reyestrdə toplamaq məqsədilə sözügedən qayda təsdiq edilmişdir. Qaydaya əsasən dövlət orqanları (qurumları) öz informasiya məkanlarının təhlükəsizliyinin təmin edilməsi və informasiya təhlükəsizliyinə və kibertəhlükəsizliyə təhdidlərin qarşısının alınması üzrə fəaliyyətlərinin səmərəli təşkili üçün risklər reyestrlərini formalaşdırmalıdırlar.
Qaydanın tələbləri dövlət orqanları (qurumları) üçün məcburidir və onlarda Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti tərəfindən informasiya təhlükəsizliyi üzrə aparılan nəzarətin predmetini təşkil edir.
Eyni zamanda, müvafiq qərarda Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinə “Təhdidlər və həllər” kataloqunun yaradılması, onun daima yenilənməsi, o cümlədən dövlət qurumlarında risklər reyestri formalaşdırıldıqdan sonra onların təsdiq olunmuş qaydanın tələblərinə uyğunluğunun qiymətləndirilməsinin aparılması tapşırılmışdır.
İnformasiya təhlükəsizliyi üzrə risklər reyestrinin aparılması informasiya aktivlərinin qorunması sahəsində sistemli, ölçülə bilən və hüquqi baxımdan əsaslandırılmış idarəetmənin təmin edilməsi üçün zəruridir. Risklər reyestri qurumların informasiya təhlükəsizliyi mühitində mövcud olan təhdidlərin, zəifliklərin və potensial təsirlərin strukturlaşdırılmış şəkildə müəyyənləşdirilməsinə, sənədləşdirilməsinə və davamlı olaraq yenilənməsinə imkan yaradır.
Risklər reyestri ilk növbədə risklərin subyektiv qiymətləndirilməsinin qarşısını alır və qərar qəbuletmə prosesini faktlara əsaslanan müstəviyə keçirir. Bu sənəd vasitəsilə hər bir riskin mənbəyi, başvermə ehtimalı, mümkün zərər dərəcəsi və riskin qəbul edilə bilən olub-olmaması aydın şəkildə müəyyən olunur. Nəticə etibarilə, resursların bölgüsü təsadüfi deyil, prioritetləşdirilmiş risk yanaşmasına əsaslanır.
Hüquqi baxımdan risklər reyestri təşkilatın “lazımi ehtiyat tədbirləri görmə” öhdəliyinin icrasının sübutu kimi çıxış edir. İnformasiya təhlükəsizliyi insidenti, məlumat sızması və ya sistem pozuntusu baş verdiyi halda, risklərin əvvəlcədən müəyyən edilməsi və adekvat tədbirlərin planlaşdırılması təşkilatın məsuliyyətinin qiymətləndirilməsində mühüm rol oynayır. Bu, həm daxili nəzarət, həm də audit və yoxlama mexanizmləri üçün əsas istinad sənədidir.
Bundan əlavə, risklər reyestri normativ-hüquqi aktlara, daxili qaydalara və beynəlxalq standartlara uyğunluğun təmin edilməsində praktiki alət funksiyasını yerinə yetirir. Reyestrin aparılması informasiya təhlükəsizliyinin epizodik tədbirlər toplusu deyil, davamlı və dövri idarə olunan proses olduğunu təsdiqləyir. Risklərin vaxtaşırı yenidən qiymətləndirilməsi texnoloji dəyişikliklərə, yeni təhdidlərə və təşkilati transformasiyalara çevik reaksiya verməyə şərait yaradır.
Nəticə etibarilə, informasiya təhlükəsizliyi üzrə risklər reyestri təkcə texniki idarəetmə sənədi deyil, hüquqi məsuliyyətin bölüşdürülməsi, idarəetmə şəffaflığının artırılması və təşkilatın informasiya aktivlərinin qorunması üzrə mövqeyinin əsaslandırılması baxımından fundamental əhəmiyyətə malikdir.
