Datanın idarə edilməsi üzrə məlumatların təhlükəsizliyinin əhəmiyyəti və tətbiqi

Bu məqaləmiz Datanın idarə edilməsi üzrə əsas komponentlərdən biri olan Məlumatların Təhlükəsizliyi (Data Security) mövzusundan bəhs edir. Məlumatların təhlükəsizliyi deyərkən şirkət məlumatlarının təhlükəsiz idarə edilməsi istiqamətində görülən işlər nəzərdə tutulur. Bu məlumat aktivlərinin və həssas məlumatların qorunması, məlumatlar üzrə paylaşım və saxlanma formasının müəyyənləşdirilməsi və giriş mexanizmlərinin (access rules) formalaşması və tətbiqini əhatə edir.

Məlumatların təhlükəsizliyinin onurğa sütunu məlumatların məxfilik təsnifatı (security classification) və ya həssaslıq səviyyəsinin (sensitivity level) müəyyənləşdirilməsidir. Bu, şirkətdaxili məlumatlara onların təhlükəsizliyini təmin edə bilmək üçün necə yanaşmalı olduğumuzu göstərən qruplaşdırma mexanizmidir. Beynəlxalq və yerli praktikada məlumatların təsnifatı aşağıdakı qaydada aparılır və müvafiq qruplara bölünür:

Bankımızda buna oxşar bir yanaşma tətbiq edilir — Məlumatların həssaslıq səviyyəsi fərdi, yüksək, orta, və aşağı olmaqla 4 kateqoriyaya bölünür.

Yüksək həssaslıq səviyyəsinə daxil olan məlumatlar Məxfi, orta səviyyə Şirkətdaxili, aşağı səviyyə isə İctimaiyyətə açıq məlumatlar qrupları ilə eynidir.

Bəs Fərdi məlumatlar nədir?

• “Fərdi məlumatlar haqqında” Azərbaycan Respublikası Qanununun 2.1.1-ci maddəsində qeyd edilir: “Şəxsin kimliyini birbaşa və ya dolayısı ilə müəyyənləşdirməyə imkan verən istənilən məlumat fərdi məlumatdır”

Fərdi məlumatların müəyyənləşdirilməsində “Fərdi məlumatlar haqqında” Azərbaycan Respublikası Qanunu rəhbər tutulmaqla Hüquq və ya Komplayns istiqamətlərinin rəyi vacib məqamdır. Çünki ilk baxışda fərdi məlumat görünməyən məlumatlar toplusu asanlıqla fərdin kimliyini aydınlaşdırmağa imkan verə bilər. Məsələn, avtomobilin rəngi və markası ayrı-ayrılıqda fərdi məlumat sayılmır. Digər tərəfdən, əgər ölkədə 1 ədəd mavi rəngli “Ferrari” markalı maşın mövcuddursa, bu 2 məlumatın birləşməsi həmin şəxsi birbaşa olmasa belə, dolayısıyla müəyyənləşdirməyə imkan verir.

Bu təqdirdə, müştərinin FİN kodu, adı, ünvanı və s. kimi məlumatlar paylaşılmayan datasetdə belə, məlumatların (hesab balansı, maaşı) kimə məxsus olduğu (Məmmədov Məmməd Məmməd oğlu şərti addır) müəyyənləşdirilə bilər.

Məlumatların şirkətdaxili və ya şirkətxarici tərəflərlə paylaşılması haqqında qərar verilərkən həssaslıq səviyyəsi əsas götürülür — daha həssas məlumatların paylaşılmasında müəyyən məhdudiyyətlər tətbiq edilir.

• Məlumatların şirkətdaxili paylaşılması üçün rol əsaslı giriş nəzarət matrisi (role-based access control matrix) yaradılır. Burada, şirkət əməkdaşının şirkətdaxili rolundan (vəzifə, dərəcə, işlədiyi biznes və s.) asılı olaraq giriş ala biləcəyi cədvəl və sütunların müəyyənləşdirilməsi nəzərdə tutulur.
• Məlumatların şirkətxarici paylaşılması zamanı isə həssas məlumatların qorunmasına nəzər yetirilir. Burada müxtəlif yanaşmalar tətbiq edilə bilər:

a) Anonimləşdirmə (Anonymization) — Həssas məlumatın ümumiyyətlə göndərilən datasetdən çıxarılması və ya daha geniş kateqoriyada paylaşılması

b) Maskalama (Masking) — Həssas məlumatın bir hissəsinin digər simvollarla əvəzlənməsi

c) Nişanlama (Tokenization) — Həssas məlumatın adsızlaşdırılması üçün onun təsadüfi dəyərlərlə əvəzlənməsi və real dəyərlərlə təsadüfi dəyərlərin əlaqəsinin şirkətdaxili bir cədvəldə saxlanması

d) Şifrələmə (Encryption) — Həssas məlumatın adsızlaşdırılması üçün onun şifrələnməsi və məlumatı normal vəziyyətə qaytarmaq üçün açarın sadəcə səlahiyyətli tərəflərə ötürülməsi

Məlumatların təhlükəsizliyi Datanın idarə edilməsi üzrə ən diqqət mərkəzində olan məqamlardan biridir — effektiv məlumatların təhlükəsizliyi siyasəti ilə şirkət risklərini azaltmaq və potensial maliyyə itkilərinin və reputasiya riskinin qarşısını almaq mümkündür.