ISVS attestasiya:
MDB təşkilatları üçün informasiya sistemlərinin kompleks qorunması

İnformasiya təhlükəsizliyi sadəcə texniki məsələ deyil, müasir hər bir təşkilatın strateji idarəetməsinin əsas komponentidir. Qazaxıstan, Özbəkistan, Qırğızıstan kimi Müstəqil Dövlətlər Birliyi (QMDB) ölkələrində, eləcə də Gürcüstan kimi oxşar tənzimləyici yanaşmalara malik ölkələrdə məlumatların qorunmasına dair tələblər davamlı şəkildə sərtləşir. Artan kiber təhdidlər və rəqəmsal infrastrukturların mürəkkəbləşməsi fonunda, təşkilatlar üçün ISVS attestasiya etibarlı informasiya təhlükəsizliyinin təmin edilməsində və normativ tələblərə uyğunluğun əldə olunmasında əsas elementə çevrilir.

ISVS attestasiya nədir

ISVS (Qurum Əhəmiyyətli İnformasiya Sistemləri) attestasiya — informasiya sistemlərinin (İS) müəyyən edilmiş dövlət və ya sahə üzrə təhlükəsizlik tələblərinə uyğunluğunun rəsmi şəkildə təsdiqlənməsinə yönəlmiş, normativləşdirilmiş bir prosesdir. “Qurum əhəmiyyətli” anlayışı bu sistemlərin dövlət funksiyalarının icrası, dövlət xidmətlərinin göstərilməsi və ya iqtisadiyyatın kritik əhəmiyyətli sektorları üçün xüsusi vacibliyini vurğulayır.

Attestasiya prosesi sadəcə formal yoxlama deyil, aşağıdakıları əhatə edən kompleks auditdir:

1. İS-in arxitekturasının hərtərəfli təhlili: Şəbəkə topologiyasının, istifadə olunan proqram və aparat təminatının, məlumat axınlarının, komponentlərarası qarşılıqlı əlaqə mexanizmlərinin öyrənilməsi.
2. Təşkilati-sərəncamverici sənədlərin qiymətləndirilməsi: Təhlükəsizlik siyasətlərinin, təlimatların, girişə dair reqlamentlərin, biznesin fasiləsizliyi və nasazlıqlardan sonra bərpa planlarının təhlili.
3. Texniki audit və sızma testləri (pentestlər): Sistem konfiqurasiyalarında, şəbəkə avadanlıqlarında və tətbiqlərdə zəifliklərin aşkar edilməsi; real qorunma səviyyəsini yoxlamaq üçün hücumların imitasiyası.
4. İnformasiya təhlükəsizliyinin idarəetmə sisteminin (İTİS / СУИБ) təhlili: Girişin idarə olunması, insidentlərin idarə edilməsi, dəyişikliklər, yeniləmələr, ehtiyat nüsxələmə proseslərinin qiymətləndirilməsi.
5. Kadr tərkibinin və hazırlıq səviyyəsinin yoxlanması: Personalın informasiya təhlükəsizliyi mövzusunda məlumatlılığının qiymətləndirilməsi, məsul şəxslərin mövcudluğu.
6. Fiziki təhlükəsizlik: Server otaqlarının, avadanlığın və rabitə kanallarının icazəsiz fiziki girişdən qorunması tədbirlərinin qiymətləndirilməsi.
7. Təhdid modeli və pozucu (hücumçu) modelinin hazırlanması: Konkret İS üçün актуал təhdidlərin və potensial hücum vektorlarının müəyyənləşdirilməsi.
8. Tövsiyələrin formalaşdırılması: Aşkarlanmış uyğunsuzluqların aradan qaldırılması və ümumi qorunma səviyyəsinin yüksəldilməsi üçün detallı planın təqdim edilməsi.
9. Hesabat sənədlərinin hazırlanması və Uyğunluq Attestatının verilməsi: Təhlükəsizlik tələblərinə uyğunluq (və ya uyğunsuzluq) barədə rəsmi rəyin təqdim edilməsi, attestatın qüvvədə olma şərtlərinin siyahısı ilə birlikdə.

Təşkilatlar üçün ISVS attestasiya nə üçün lazımdır

ISVS attestatının alınması təkcə informasiya təhlükəsizliyinin yüksək standartlarına sadiqliyin nümayişi deyil, həm də bir çox təşkilat üçün kritik əhəmiyyət daşıyan vacib addımdır.

• Qanunvericilik və tənzimləyici tələblərə uyğunluq: QMDB-nin bir çox ölkəsində dövlət və bəzi kommersiya informasiya sistemlərinin attestasiya olmadan istismarı qanunvericiliyin birbaşa pozuntusu hesab olunur və bu, cərimələrə, fəaliyyətin dayandırılmasına və digər sanksiyalara səbəb ola bilər.
• Dövlət, vətəndaşlar və tərəfdaşlar tərəfindən etimadın möhkəmlənməsi: Attestasiya olunmuş sistem daha etibarlı kimi qəbul edilir. Bu, xüsusilə dövlət qurumları, maliyyə təşkilatları, şəxsi məlumatlarla işləyən şirkətlər və ya kritik infrastrukturun tərkib hissəsi olan qurumlar üçün vacibdir.
• Kiber təhdidlər və maliyyə itkiləri riskinin azalması: Zəifliklərin qabaqlayıcı şəkildə aşkar edilməsi və aradan qaldırılması uğurlu hücumların, məlumat sızmalarının, maliyyə oğurluqlarının və reputasiya zərərinin ehtimalını əhəmiyyətli dərəcədə azaldır.
• Əməliyyat dayanıqlığının və səmərəliliyinin artması: İnformasiya təhlükəsizliyi proseslərinin standartlaşdırılması, məsuliyyətin aydın bölgüsü və insidentlərə reaksiya planlarının mövcudluğu informasiya sistemlərinin fasiləsiz işləməsinə kömək edir və nasazlıqlar zamanı dayanma müddətini azaldır.
• Dövlət satınalmalarında və layihələrdə iştirak imkanı: ISVS attestatının olması çox vaxt dövlət sektoru üçün IT-xidmət və həllərin təchizatçıları üçün məcburi şərt olur.
• İntellektual mülkiyyətin və kommersiya sirrinin qorunması: Attestasiya icazəsiz girişin və məxfi məlumatların sızmasının qarşısını alan nəzarət mexanizmlərini tətbiq etməyə kömək edir.

Hansı təşkilatlar üçün ISVS attestasiya kritik dərəcədə vacibdir

Tələblər müxtəlif yurisdiksiyalarda cüzi fərqlənə bilsə də, adətən attestasiya aşağıdakı informasiya sistemlərinə şamil olunur:

• Bütün səviyyələrdə dövlət orqanlarının informasiya sistemləri
• Dövlət müəssisə və qurumlarının informasiya sistemləri
• Kritik əhəmiyyətli informasiya infrastrukturunun operatorlarının sistemləri (energetika, nəqliyyat, rabitə, maliyyə, səhiyyə)
• Vətəndaşların böyük həcmdə şəxsi məlumatlarını emal edən təşkilatların sistemləri
• Dövlət maliyyə axınları ilə işləyən və ya xüsusi tənzimləməyə tabe olan maliyyə institutlarının sistemləri
• Qurumlararası elektron qarşılıqlı əlaqə sistemləri

ISVS informasiya sistemləri üzrə detallı audit necə keçirilir

Auditin və sonrakı attestasiya prosesini aşağıdakı əsas mərhələlərə bölmək olar:

1. İnisiasiya və hazırlıq mərhələsi:
   
   
   • Attestasiya üçün müraciətin (ərizənin) təqdim edilməsi.
   • Audit sahəsinin müəyyənləşdirilməsi (hansı sistemlər, komponentlər və proseslər yoxlanılacaq).
   • İnformasiya sisteminə dair ilkin sənədlərin toplanması və təhlili (texniki pasportlar, reqlamentlər, siyasətlər).
   • İşçi qrupunun formalaşdırılması, iş plan-qrafikinin razılaşdırılması.
2. İlkin audit (opsional, lakin tövsiyə olunur):
   
   
   • İnformasiya sisteminin mövcud vəziyyətinin və əsas attestasiya mərhələsinə hazırlığının ekspress qiymətləndirilməsi.
   • Aydın görünən uyğunsuzluqların müəyyənləşdirilməsi və onların operativ aradan qaldırılması üçün tövsiyələrin verilməsi.
3. Əsas audit (attestasiya sınaqları):
   
   
   • Sənədlərin təhlili: İnformasiya təhlükəsizliyi üzrə təşkilati-sərəncamverici sənədlərin dolğunluğunun və düzgünlüyünün yoxlanılması.
   • Texniki nəzarət: Zəifliklərin skan edilməsi, konfiqurasiyaların təhlili, məlumatların mühafizəsi vasitələrinin (MMV / СЗИ) test edilməsi, hadisə jurnallarının yoxlanılması.
   • İnstrumental nəzarət və sızma testləri (zərurət olduqda): Gizli zəiflikləri aşkar etmək və real qorunma səviyyəsini qiymətləndirmək üçün xüsusi proqram təminatından istifadə.
   • Personalın sorğulanması: Əməkdaşların informasiya təhlükəsizliyi sahəsində bilik və bacarıqlarının yoxlanılması.
   • İnformatizasiya obyektlərinin baxışı: Fiziki təhlükəsizliyin yoxlanılması.
4. Nəticələrin təhlili və tövsiyələrin hazırlanması:
   
   
   • Aşkarlanmış bütün zəifliklərin və uyğunsuzluqların sistemləşdirilməsi.
   • Hər bir zəifliklə bağlı risklərin qiymətləndirilməsi.
   • Çatışmazlıqların aradan qaldırılması və mühafizə səviyyəsinin yüksəldilməsi üçün konkret və icra edilə bilən tövsiyələrin hazırlanması.
5. Hesabat sənədlərinin hazırlanması:
   
   
   • Audit nəticələri üzrə texniki hesabatın tərtib edilməsi.
   • Attestasiya sınaqlarının proqramının və metodikalarının hazırlanması.
   • Sınaq protokollarının formalaşdırılması.
   • Uyğunluq Attestatının layihəsinin və ya əsaslandırılmış imtinanın hazırlanması.
6. Uyğunsuzluqların aradan qaldırılması (tələb olunarsa):
   
   
   • Təşkilat tövsiyə olunan tədbirləri tətbiq edir.
   • Çatışmazlıqların aradan qaldırıldığını təsdiqləmək üçün təkrar yoxlama (nəzarət sınaqları) aparılır.
7. Uyğunluq Attestatının verilməsi:
   
   
   • Bütün yoxlamaların nəticələri müsbət olduqda, səlahiyyətli orqan və ya akkreditə olunmuş şirkət adətən məhdud qüvvədəolma müddətinə (məsələn, 3–5 il) malik olan Uyğunluq Attestatını təqdim edir.
8. Auditdən sonrakı müşayiət və inspeksiya nəzarəti:
   
   
   • Attestasiya olunmuş sistemin istismarı zamanı konsultativ dəstək.
   • Attestatın qüvvədəolma müddəti ərzində sistemin təhlükəsizlik tələblərinə uyğunluğunu davam etdirdiyini təsdiqləmək üçün dövri inspeksiya nəzarəti.

ISVS attestasiya prosesində çətinliklər və çağırışlar

Attestasiyadan keçməyə çalışan təşkilatlar bir sıra çağırışlarla üzləşə bilərlər:

• Yüksək xərc: Zəruri məlumatların mühafizəsi vasitələrinin (MMV / СЗИ) tətbiqi, auditor və konsultant xidmətlərinin ödənişi əhəmiyyətli ola bilər.
• Əmək tutumluluğu: Proses IT mütəxəssislərinin, təhlükəsizlik xidməti əməkdaşlarının və rəhbərliyin fəal iştirakını tələb edir.
• Biznes-proseslərin dəyişdirilməsi zərurəti: Bəzən tələblərə uyğunluq üçün formalaşmış iş prosedurlarını yenidən nəzərdən keçirmək lazım gəlir.
• Köhnə (legacy) sistemlər: Köhnə informasiya sistemlərini modernləşdirmək və onları müasir standartlara uyğunlaşdırmaq çətin ola bilər.
• İxtisaslı kadr çatışmazlığı: İnformasiya təhlükəsizliyi və attestasiya sahəsində lazımi təcrübəsi olan daxili mütəxəssislərin olmaması.
• Təhdid və tələblərin dinamikliyi: Standartlar və təhdidlər davamlı dəyişir, bu isə sistemlərin və biliklərin mütəmadi yenilənməsini tələb edir.

Niyə QMDB-də TƏŞ “System Management” şirkətini seçirlər

“System Management” şirkəti ISVS üzrə informasiya təhlükəsizliyi sahəsində zəngin təcrübə və ekspertliyə malikdir. Biz QMDB ölkələrindəki təşkilatların spesifik tələblərinə uyğunlaşdırılmış kompleks həllər təklif edirik.

Əsas üstünlüklərimiz:

• Milli standartların dərindən bilinməsi: Biz Qazaxıstan, Özbəkistan, Qırğızıstan və regionun digər ölkələrində qanunvericiliyin və tənzimləyici tələblərin spesifikasını yaxşı anlayırıq.
• Sertifikatlı mütəxəssislər: Komandamız tanınmış beynəlxalq və yerli sertifikatlara (CISSP, CISA, ISO 27001 Lead Auditor və s.) malik peşəkarlardan ibarətdir, həmçinin dövlət informasiya sistemləri ilə iş təcrübəsinə sahibdir.
• Fərdi və praqmatik yanaşma: Biz sadəcə şablonlara əməl etmirik — hər təşkilatın miqyasını, büdcəsini, sahə xüsusiyyətlərini və İT-nin yetkinlik səviyyəsini optimal şəkildə nəzərə alan həllər hazırlayırıq.
• “Açar təhvil” kompleks müşayiət: İlkin təhlil və yol xəritəsinin hazırlanmasından tutmuş texniki və təşkilati tədbirlərin tam icrasına, personalın təliminə, attestasiya prosesinin uğurla keçilməsinə və sonrakı dəstəyə qədər.
• Yalnız formal uyğunluğa deyil, real təhlükəsizliyə fokus: Məqsədimiz sizə sadəcə “kağız” almaq deyil, informasiya sisteminizin qorunma səviyyəsini həqiqətən yüksəltməkdir.
• MMV (СЗИ) istehsalçıları ilə tərəfdaşlıq: Effektiv və sertifikatlaşdırılmış məlumatların mühafizəsi vasitələrinin seçilməsi və tətbiqində kömək.

“System Management” ilə attestasiya prosesinə necə başlamaq olar

Əgər təşkilatınız ISVS attestasiyasından keçmək zərurəti ilə üz-üzədirsə və ya informasiya təhlükəsizliyi səviyyəsini keyfiyyətli şəkildə artırmaq istəyirsə, ilkin konsultasiya üçün bizimlə əlaqə saxlayın. Biz sizə kömək edəcəyik:

1. İnformasiya sisteminizin (İS) məcburi attestasiya tələblərinə düşüb-düşmədiyini müəyyənləşdirmək.
2. Mövcud qorunma vəziyyətinin ilkin ekspress qiymətləndirilməsini aparmaq.
3. Attestasiyaya hazırlıq üçün yol xəritəsi hazırlamaq.
4. Məqsəd və tələblərinizə uyğun optimal fəaliyyət planı və büdcə təklif etmək.

Məlumatlarınızın etibarlı qorunmasını və tənzimləyici tələblərə uyğunluğu ISVS informasiya təhlükəsizliyi sahəsində ekspert tərəfdaşınız olan “System Management” şirkəti ilə təmin edin.