Fərdi məlumatların mühafizəsinə dair tələblər

Fərdi məlumatların mühafizəsinə dair tələblər

Azərbaycan Respublikası Nazirlər Kabinetinin
2010-cu il 6 sentyabr tarixli 161 nömrəli
qərarı ilə təsdiq edilmişdir
 
1. Ümumi müddəalar
 
1.1. Fərdi məlumatların mühafizəsinə dair Tələblər (bundan sonra – Tələblər) "Fərdi məlumatlar haqqında" Azərbaycan Respublikası Qanununun tətbiq edilməsi barədə" Azərbaycan Respublikası Prezidentinin 2010-cu il 4 iyun tarixli 275 nömrəli Fərmanına əsasən hazırlanmışdır.
1.2. Tələblər fərdi məlumatların mülkiyyətçisi və ya operatoru tərəfindən fərdi məlumatların toplanılması, işlənilməsi, yayılması və verilməsi zamanı həmin fərdi məlumatların və müvafiq informasiya sistemlərinin mühafizəsi ilə bağlı yaranan münasibətləri tənzimləyir.
 
2. Fərdi məlumatlar işlənilən informasiya sistemləri qarşısında qoyulan əsas təhlükəsizlik tələbləri
 
2.1. İnformasiya sistemlərində fərdi məlumatların işlənilməsi zamanı aşağıdakı əsas texniki-təşkilati təhlükəsizlik tələbləri təmin olunmalıdır:
2.1.1. fərdi məlumatların işlənilməsində avtomatlaşdırılmış texniki vasitələrin işinin pozulmasına gətirib çıxaran təsirlərə yol verilməməsi;
2.1.2. fərdi məlumatlara qanunsuz müdaxilə faktlarının vaxtında aşkar edilməsi;
2.1.3. fərdi məlumatlara qanunsuz müdaxilənin, surətinin çıxarılmasının və (və ya) bu məlumatların onlarla işləməyə icazəsi olmayan şəxslərə ötürülməsinin qarşısının alınması;
2.1.4. dəyişdirilmiş və ya məhv edilmiş fərdi məlumatların dərhal bərpası imkanının olması;
2.1.5. fərdi məlumatların mühafizə səviyyəsinin daim nəzarətdə saxlanılması;
2.1.6. fərdi məlumatların işlənilməsi zamanı onların təhlükəsizliyinə qarşı yönələn təhdidlərin müəyyən edilməsi və bunun əsasında ehtimal edilən təhdidlərin neytrallaşdırılmasını təmin edən fərdi məlumatların mühafizə sisteminin işlənib hazırlanması və daim təkmilləşdirilməsi;
2.1.7. fərdi məlumatlar üzərində aparılan əməliyyatların yalnız fərdi məlumatların mülkiyyətçisi tərəfindən yoxlanılmış və təsdiq edilmiş təlimatlar və proqram təminatı əsasında həyata keçirilməsi (fərdi məlumatların yazılması, sistemləşdirilməsi, təzələnməsi, dəyişdirilməsi, çıxarılması, adsızlaşdırılması, saxlanılması, ötürülməsi, məhv edilməsi);
2.1.8. fərdi məlumatların informasiya sistemlərinin mühafizə vasitələrinin və üsullarının istismar və texniki sənədlərə uyğunluğu barədə müvafiq sənədin olması;
2.1.9. informasiya mühafizə vasitələrinin istismar və texniki sənədlərə uyğun quraşdırılması və istismara verilməsi;
2.1.10. informasiya mühafizə vasitələrindən istifadə edən şəxslərə həmin vasitələrlə işləmə qaydalarının öyrədilməsi və onların bilik və bacarıqlarının təkmilləşdirilməsinə dair təlimlərin keçirilməsi;
2.1.11.  tətbiq edilən informasiya mühafizə vasitələrinin, onların istismar və texniki sənədlərinin, fərdi məlumat daşıyıcılarının uçotunun aparılması;
2.1.12. informasiya sistemində fərdi məlumatlarla işləməyə icazə verilən şəxslərin uçotunun aparılması;
2.1.13. fərdi məlumatların toplanılması, işlənilməsi və mühafizəsi sahəsində fəaliyyət göstərən fiziki şəxslərdən fəaliyyət müddətində və işdən çıxdıqdan sonra həmin məlumatların yayılmaması barədə yazılı iltizamın alınması;
2.1.14. informasiya mühafizə vasitələrinin istifadəsi zamanı istismar və texniki sənədlərdə nəzərdə tutulan şərtlərə riayət olunmasına nəzarət edilməsi;
2.1.15. fərdi məlumat daşıyıcılarının, informasiya mühafizə vasitələrinin saxlanılması şərtlərinə riayət edilməməsi nəticəsində fərdi məlumatların konfidensiallığının pozulmasına və onların mühafizə səviyyəsinin aşağı salınmasına səbəb olan faktların araşdırılması və bu barədə rəy tərtib edilməsi və belə pozuntuların təhlükəli nəticələrinin aradan qaldırılması üçün tədbirlərin hazırlanıb həyata keçirilməsi;
2.1.16. fərdi məlumatların saxlandığı mərkəzlərin ehtiyat enerji sistemi və yanğın- mühafizə siqnalizasiya sistemi ilə təchiz edilməsi;
2.1.17. data mərkəzinin arxiv sisteminin ayrıca binada yerləş-dirilməsi;
2.1.18. informasiya sistemlərində lisenziyalaşdırılmış proqram təminatlarından istifadə edilməsi;
2.1.19. fərdi məlumat istifadəçilərinin səlahiyyət bölgüsünün aparılması, həmin səlahiyyətlərin avadanlıq və proqram təminatı səviyyəsində autentifikasiya edilməsi;
2.1.20. informasiya sistemindən fərdi məlumatları əldə etmək üçün müraciət edən istifadəçilərin öz mühafizə serverləri vasitəsilə müraciət etməsi;
2.1.21. informasiyanın ötürülməsi üçün istifadə olunan şifrləmə sisteminin açarının uzunluğunun 256 bit-dən az olmaması;
2.1.22. fərdi məlumatların mühafizə sisteminin təsvir edilməsi;
2.1.23. fərdi məlumatların informasiya sistemlərinin layihə sənədlərinin dövlət ekspertizasından keçirilməsi.
 
3. Fərdi məlumatların mühafizəsi sahəsində nəzarət
 
Bu Tələblərin icrasına nəzarət edən orqanlar ildə azı bir dəfə fərdi məlumatların informasiya sistemlərində mühafizənin düzgün qaydada təşkil olunmasının monitorinqini aparırlar.
 
4. Yekun müddəalar
 
4.1. Bu Tələblər qüvvəyə mindikdən sonra, "Fərdi məlumatlar haqqında" Azərbaycan Respublikası Qanununun qüvvəyə minməsinə qədər mövcud olan fərdi məlumatların mülkiyyətçiləri və ya səlahiyyətli operatorları fərdi məlumatların mühafizəsini ən geci 6 ay müddətində bu Tələblərə uyğyn təşkil etməlidirlər.
4.2. Fərdi məlumatların toplanılması, işlənilməsi və mühafizəsi sahəsində fəaliyyət göstərən fiziki şəxslər məlumatların yayılmamasına və qorunmasına görə qanunvericiliyə uyğun olaraq məsuliyyət daşıyırlar.