Kibertəhlükəsizlik standartları nədir?

Kibertəhlükəsizlik standartları nədir?

Kibertəhlükəsizlik standartları ölçüsündən, sənayesindən və sektorundan asılı olmayaraq bütün təşkilatlara şamil edilir. Kibertəhlükəsizlik standartları istifadəçi və ya şirkətin kiber ekosistemini müdafiə etməyə çalışan qlobal səviyyədə nəşr olunan materialdır. 

Əsas məqsəd kiberhücumların qarşısını almaq, təşkilatları onlara qarşı qorumaq və təhdidləri maksimum dərəcədə azaltmaqdır.  

Kibertəhlükəsizlik standartları alətlər, siyasətlər, kibertəhlükəsizlik konsepsiyaları, təhlükəsizlik prosedurları, təlimatlar, risklərin idarə edilməsi sistemləri, təlimlər, ən yaxşı təcrübələr, təminat və texnologiyalar toplusundan ibarətdir. 

 
Beynəlxalq kibertəhlükəsizlik standartları aşağıdakılardır: 

  • ISO/IEC 27001 və 27002 

Bu, İnformasiya Təhlükəsizliyi İdarəetmə Sistemini tətbiq etmək üçün ümumi standartlardan biridir. Təşkilatın bu standartla sertifikatlaşdırılması üçün yerinə yetirilməli olan qaydaları və tələbləri ifadə edən prosedurlar toplusundan ibarətdir. Bu standarta uyğun olaraq, təşkilat bütün texnologiyanı yeni saxlamalı və təşkilat bu standarta uyğun qalmaq üçün müəyyən edilmiş intervaldan sonra yoxlanılmalıdır. 

  • FINRA 

FINRA, Maliyyə Sənayesi Tənzimləmə Təşkilatı deməkdir. Bu standart vəsaitləri idarə edən və ya maliyyə əməliyyatları ilə məşğul olan qurumlarının təhlükəsizliyini təmin etmək üçündür. Bu standartda sistemin yüksək dərəcədə təhlükəsiz olması və istifadəçi məlumatlarının qorunması baxımından müxtəlif tədbirlər görmək şərtdir. Bu, maliyyəyə əsaslanan bütün təşkilatların riayət etməli olduğu ən vacib standartlardan biridir. 

 

Milli Standartlar:

Aşağıdakı alt bölmələr kibertəhlükəsizliklə bağlı ölkəyə xas standartlardır. 

  • NERC 

Elektrik enerjisi sənayesinə uyğun İnformasiya Təhlükəsizliyi standartlarını yaratmaq üçün ilk cəhd 2003-cü ildə NERC tərəfindən edildi və NERC CSS (Kiber Təhlükəsizlik Standartları) kimi tanındı.Ən çox tanınan müasir NERC təhlükəsizlik standartı NERC 1200-ün yenilənmiş halı olan NERC 1300-dür. NERC 1300-ün ən yeni versiyası CIP-002-3 vasitəsilə CIP-009-3 (CIP=Critical Infrastructure Protection) adlanır.  

  • NIST 

NIST Cybersecurity Framework (NIST CSF) "kibertəhlükəsizlik nəticələrinin yüksək səviyyəli taksonomiyasını və bu nəticələri qiymətləndirmək və idarə etmək üçün metodologiyanı təmin edir". O, kritik infrastrukturu təmin edən özəl sektor təşkilatlarına onun necə qorunacağına dair təlimatla yanaşı, məxfilik və vətəndaş azadlıqları üçün müvafiq qorunmalara kömək etmək üçün nəzərdə tutulub. 

  • FIPS 140 

140 Federal İnformasiya Emalı Standartları (FIPS) kriptoqrafiya modulları üçün tələbləri müəyyən edən ABŞ hökumətinin kompüter təhlükəsizliyi standartlarıdır. Həm FIPS 140-2, həm də FIPS 140-3 cari və aktiv olaraq qəbul edilir. 

  • Federal İnformasiya Təhlükəsizliyi İdarəetmə Qanunu (FISMA) 

Federal İnformasiya Təhlükəsizliyinin İdarə Edilməsi Aktı (FISMA) 2002-ci ildə Elektron Hökumət Aktının III Başlığı kimi qəbul edilmiş ABŞ federal qanunudur. FISMA federal qurumlar, NIST və OMB (İdarəetmə və Büdcə Ofisi) daxilində informasiya təhlükəsizliyini gücləndirmək üçün tətbiq edilmişdir. 

  • GDPR 

GDPR Ümumi Məlumatların Qorunması Qaydasının qısaltmasıdır. Bu kibertəhlükəsizlik standartı Avropa hökumətləri tərəfindən istifadəçilərin məlumatlarının qorunmasına diqqət yetirmək üçün müəyyən edilmişdir. Bu standarta əsasən, uyğunluğu idarə etmək üçün məsuliyyət daşıyan tərəf istifadəçi məlumatlarının təhlükəsizliyini təmin etməlidir və təsdiqlənmiş icazə olmadan şəxsi məlumatlara heç bir giriş təmin edilə bilməz. 

  • Cyber Essentials 

Cyber ​​Essentials Milli Kiber Təhlükəsizlik Mərkəzi (NCSC) tərəfindən idarə olunan Birləşmiş Krallıq hökumətinin məlumat təminatı sxemidir. O, təşkilatları informasiya təhlükəsizliyi sahəsində yaxşı təcrübə mənimsəməyə təşviq edir. Cyber ​​Essentials həmçinin məlumatları internetdən gələn təhdidlərdən qorumaq üçün təminat çərçivəsini və sadə təhlükəsizlik nəzarəti dəstini ehtiva edir. 

  • BSI IT Baseline Protection Kataloqları 

Federal İnformasiya Təhlükəsizliyi Ofisi standartları İT baza mühafizəsinin elementar komponentidir . Dövlət orqanlarından və şirkətlərdən olan istifadəçilər, eləcə də istehsalçılar və ya xidmət təminatçıları öz biznes proseslərini və məlumatlarını daha təhlükəsiz etmək üçün BSI standartlarından istifadə edə bilərlər. 

 

Sənayeyə məxsus Standartlar:

PCI DSS 

Ödəniş Kartı Sənayesi Məlumat Təhlükəsizliyi Standartı (PCI DSS) əsas kart sxemlərindən markalı kredit kartlarını idarə edən təşkilatlar üçün informasiya təhlükəsizliyi standartıdır. PCI Standartı kart markaları tərəfindən mandatlanır, lakin Ödəniş Kartı Sənayesi Təhlükəsizlik Standartları Şurası tərəfindən idarə olunur. 

Standart kredit kartı saxtakarlığını azaltmaq üçün kart sahibi məlumatlarına nəzarəti artırmaq üçün yaradılmışdır.  Bu uyğunluğa əsasən, təşkilat tərəfindən istifadə olunan texnologiyalar müasir olmalıdır və onların sistemi ciddi zəifliyin olmaması üçün davamlı olaraq təhlükəsizlik yoxlanışından keçməlidir. 

 

Sonda qeyd edək ki, kibertəhlükəsizlik standartları biznesləri qorumaq üçün hər bir təşkilatın riayət etməli olduğu yanaşma metodlarını müəyyən edən siyasətlər toplusu kimi fəaliyyət göstərir.  

Kibertəhlükəsizlik sahəsində bir çox standartlar var; Qeyd edilənlər ən ümumi və yüksək səviyyəli standartlardır. Təşkilatlarda kibertəhlükəsizlik standartının olması istifadəçilərə onların paylaşılan məlumatlarının təşkilatlarda təhlükəsiz qalmasına zəmanət verir.