"İnformasiya,
informasiyalaşdırma və informasiyanın mühafizəsi
haqqında" Azərbaycan Respublikasının Qanununda dəyişiklik
edilməsi barədə
Azərbaycan
Respublikasının Qanunu
Azərbaycan Respublikasının Milli Məclisi Azərbaycan Respublikası Konstitusiyasının 94-cü maddəsinin I hissəsinin 20-ci bəndini rəhbər tutaraq qərara alır:
"İnformasiya,
informasiyalaşdırma və informasiyanın mühafizəsi
haqqında" Azərbaycan Respublikasının Qanununda (Azərbaycan
Respublikasının Qanunvericilik Toplusu, 1998, ¹ 6, maddə 364;
2005, ¹ 6, maddə 466; 2006, ¹ 12, maddə 1005; 2007, ¹ 10, maddə
938; 2011, ¹ 3, maddə 162; 2012, ¹ 11, maddə 1051; 2017, ¹ 3, maddə
345; 2019, ¹ 12, maddə 1881; 2020,
¹ 3, maddə 225, ¹ 6, maddə 671; 2021, ¹ 12, maddə 1345)
aşağıdakı dəyişikliklər edilsin:
1.
2-ci maddənin iyirmi dördüncü abzasının sonunda
nöqtə işarəsi nöqtəli vergül işarəsi
ilə əvəz edilsin və aşağıdakı məzmunda
iyirmi beşinci - otuz üçüncü abzaslar əlavə
edilsin:
"kritik
informasiya infrastrukturu - dövlət idarəçiliyi,
müdafiə, səhiyyə, maliyyə bazarları, energetika,
nəqliyyat, informasiya texnologiyaları, telekommunikasiya, su təchizatı
və ya ekologiya sahəsində fəaliyyəti təmin edən
və funksionallığının pozulması dövlətin,
cəmiyyətin və vətəndaşların maraqlarına
mühüm zərər vura bilən informasiya sistemlərinin,
avtomatlaşdırılmış idarəetmə sistemlərinin
və informasiya-kommunikasiya şəbəkələrinin məcmusu;
kritik
informasiya infrastrukturu obyekti - kritik informasiya infrastrukturunun tərkib
hissəsi olan informasiya sistemi,
avtomatlaşdırılmış idarəetmə sistemi və
ya informasiya-kommunikasiya şəbəkəsi;
kritik
informasiya infrastrukturu subyekti - kritik informasiya infrastrukturu
obyektinin sahibi (istifadəçisi) olan dövlət
orqanları (qurumları), o cümlədən dövlətə
məxsus olan hüquqi şəxslər, dövlət
adından yaradılmış publik hüquqi şəxslər,
habelə digər hüquqi şəxslər və ya fərdi
sahibkarlar (mikro, kiçik və orta sahibkarlıq subyektləri
istisna olmaqla);
kritik informasiya infrastrukturunun təhlükəsizliyinin təmin edilməsi sahəsində səlahiyyətli orqan (bundan sonra - səlahiyyətli orqan) - kritik informasiya infrastrukturunun təhlükəsizliyinin təmin edilməsi məqsədilə bu Qanunla və bu Qanundan irəli gələn digər normativ hüquqi aktlarla müəyyən edilmiş funksiyaları yerinə yetirən müvafiq icra hakimiyyəti orqanının müəyyən etdiyi orqan (qurum);
kibertəhlükəsizlik xidməti provayderi - kibertəhlükəsizlik xidmətlərinin göstərilməsi sahəsində fəaliyyət göstərən, işçi heyəti, texnoloji resursları və proseslərinə dair müvafiq icra hakimiyyəti orqanının müəyyən etdiyi orqan (qurum) tərəfindən müəyyən edilən tələblərə cavab verən və kritik informasiya infrastrukturu subyekti ilə bağlanılmış müqavilə əsasında onlara kibertəhlükəsizlik xidməti göstərən hüquqi şəxslər;
informasiya təhlükəsizliyi - informasiyanın tamlığının (dəqiq, səlis, aktual və bütöv olması), əlçatanlığının (müraciət və əldə etmənin, nəzarətdə saxlamanın mümkün olması), konfidensiallığının (yalnız səlahiyyəti olan istifadəçilər və proseslər üçün məlum ola bilməsi) və mötəbərliliyinin (adekvat, obyektiv, faydalı olması) mühafizə edilməsi;
kibertəhdid - informasiya sistemlərinə və ya ehtiyatlarına qanunsuz daxilolma, müdaxilə, habelə digər formalarda informasiya təhlükəsizliyinin pozulmasına səbəb ola bilən amil və ya vəziyyət;
kiberhücum - informasiya sistemlərinin və ya ehtiyatlarının informasiya təhlükəsizliyinə təhdid yaradan, yaxud onların fəaliyyətinin pozulmasına və ya dayanmasına səbəb olan kiberməkan vasitəsilə qəsdən törədilən əməl;
kiberinsident - informasiya sistemlərinin, avtomatlaşdırılmış idarəetmə sistemlərinin və informasiya-kommunikasiya şəbəkələrinin fəaliyyətinin dayanması və ya pozulması, yaxud həmin obyektlərdə informasiya təhlükəsizliyinin pozulmasına səbəb olan hadisə.".
2. Aşağıdakı məzmunda V-I fəsil əlavə edilsin:
"V-I
Kritik informasiya infrastrukturunun təhlükəsizliyi
Maddə 20-1. Kritik informasiya infrastrukturunun təhlükəsizliyinin təmin
edilməsi qaydası
20-1.1.
Kritik informasiya infrastrukturunun təhlükəsizliyi həmin
infrastrukturun təhlükəsizliyinə dair tələblərin
müəyyən edilməsi, bu tələblərə
uyğunluğunun qiymətləndirilməsi və aşkar
olunan uyğunsuzluqların aradan qaldırılması, həmin
tələblərə müvafiq olan informasiya təhlükəsizliyini
idarəetmə sisteminin tətbiq edilməsi, habelə kritik
informasiya infrastrukturunun təhlükəsizliyinin təmin
olunması vəziyyətinə nəzarətin həyata
keçirilməsi yolu ilə təmin edilir.
20-1.2. Dövlət sirri təşkil edən məlumatların,
habelə fərdi məlumatların toplanılmasını və
işlənilməsini həyata keçirən kritik informasiya
infrastrukturunun təhlükəsizliyi dövlət sirri və
fərdi məlumatlar haqqında qanunvericiliyin tələbləri
nəzərə alınmaqla təmin olunur.
20-1.3. Azərbaycan Respublikasında kritik informasiya
infrastrukturunun təhlükəsizliyinin təmin edilməsi
qaydaları müvafiq icra hakimiyyəti orqanının müəyyən
etdiyi orqan (qurum) tərəfindən təsdiq olunur.
Maddə 20-2. Kritik informasiya infrastrukturu obyektləri
20-2.1.
Obyektin funksionallığının pozulmasının
aşağıdakı nəticələrə səbəb ola bilməsi onun kritik informasiya infrastrukturu
obyekti hesab edilməsinə əsasdır:
20-2.1.1.
dövlətin müstəqilliyi, suverenliyi, konstitusiya
quruluşu, ərazi bütövlüyü və müdafiə
qabiliyyətinin pozulmasına təhlükənin, habelə
ictimai təhlükəsizliyə mühüm təhdidlərin
yaranması;
20-2.1.2.
dövlət orqanlarının (qurumlarının) fəaliyyətinin
pozulması, həyat təminatı infrastrukturunun normal fəaliyyət
göstərməsinə ciddi maneələrin yaranması, nəqliyyat
və kommunikasiya əlaqələrinin kəsilməsi və
ya səhiyyə xidmətlərinin göstərilməsinin əhəmiyyətli
dərəcədə məhdudlaşdırılması nəticəsində
əhalinin mühüm təminatlardan məhrum olması;
20-2.1.3.
iqtisadi və maliyyə sabitliyinin pozulması, dövlət
büdcəsinin formalaşdırılmasına əhəmiyyətli
zərərin vurulması;
20-2.1.4. ekoloji tarazlığın pozulması və
ekoloji vəziyyətin kəskin pisləşməsi.
20-2.2.
Kritik informasiya infrastrukturu obyektlərinin meyarları
müvafiq icra hakimiyyəti orqanının müəyyən
etdiyi orqan (qurum) tərəfindən bu Qanunun 20-2.1-ci maddəsində nəzərdə
tutulmuş tələblər nəzərə alınmaqla
müəyyən edilir.
20-2.3. Müvafiq icra hakimiyyəti orqanının müəyyən
etdiyi orqan (qurum) kritik informasiya infrastrukturu obyektlərinin
reyestrini aparır. Reyestrin strukturu, yaradılması və
aparılması qaydası müvafiq icra hakimiyyəti
orqanının müəyyən etdiyi orqan (qurum) tərəfindən
müəyyən edilir.
Maddə 20-3. Kritik informasiya infrastrukturunun informasiya təhlükəsizliyini
idarəetmə sistemi
20-3.1. Kritik informasiya infrastrukturu subyektləri onlara məxsus
olan kritik informasiya infrastrukturuna kibertəhdidlərin,
kiberhücumların, kiberinsidentlərin, habelə bu əməllərin
törədilməsinə cəhdlərin aşkarlanması,
qarşısının alınması və zərərli nəticələrinin
aradan qaldırılması məqsədilə müvafiq
infrastrukturun informasiya təhlükəsizliyini idarəetmə
sistemini təşkil etməli və onun fəaliyyətini təmin
etməlidirlər.
20-3.2. Kritik informasiya infrastrukturunun informasiya təhlükəsizliyini
idarəetmə sisteminin tərkibi və fəaliyyət
qaydası kritik informasiya infrastrukturunun təhlükəsizliyinə
dair ümumi tələblər əsasında, kritik informasiya
infrastrukturu subyektinin fəaliyyət xüsusiyyətləri nəzərə
alınmaqla, onun tərəfindən müəyyən edilir və
kritik informasiya infrastrukturu obyektlərinin reyestrində yerləşdirilir. Səlahiyyətli
orqan həmin idarəetmə sistemlərinin kritik informasiya
infrastrukturunun təhlükəsizliyi üzrə tələblərə
uyğunluğunun təmin olunmasını kritik informasiya
infrastrukturu subyektindən tələb edə bilər.
20-3.3. Kritik informasiya infrastrukturu subyekti səlahiyyətli
orqanla qarşılıqlı əlaqələrin operativliyini
təmin etmək məqsədilə kritik informasiya
infrastrukturunun təhlükəsizliyi üzrə məsul
şəxs təyin edir və bu barədə məlumatı
kritik informasiya infrastrukturu obyektlərinin reyestrində yerləşdirir.
20-3.4. Kritik informasiya infrastrukturu subyektləri onlara məxsus
olan kritik informasiya infrastrukturuna kibertəhdidlər,
kiberhücumlar, kiberinsidentlər, habelə bu əməllərin
törədilməsinə cəhdlər barədə məlumatları
kritik informasiya infrastrukturunun təhlükəsizliyi üzrə
tələblərlə müəyyən edilmiş qaydada səlahiyyətli
orqana göndərməlidirlər.
Maddə 20-4. Kritik informasiya infrastrukturunun təhlükəsizliyi
üzrə tələblər
20-4.1. Kritik informasiya infrastrukturunun təhlükəsizliyinə
dair ümumi tələblər müvafiq icra hakimiyyəti
orqanının müəyyən etdiyi orqan (qurum) tərəfindən
müəyyən edilir.
20-4.2. Kritik informasiya infrastrukturunun təhlükəsizliyi
üzrə xüsusi tələblər kritik informasiya
infrastrukturunun subyekti tərəfindən kritik informasiya
infrastrukturunun təyinatı və onun fəaliyyət
xüsusiyyətlərinə müvafiq olaraq müəyyən
edilir və kritik informasiya infrastrukturu obyektlərinin reyestrində
yerləşdirilir.
20-4.3. Səlahiyyətli orqan kritik informasiya
infrastrukturunun təhlükəsizliyi üzrə tələblərin
tətbiqi ilə bağlı məsələlər üzrə
kritik informasiya infrastrukturu subyektlərinə yazılı və
şifahi şəkildə izahlar verir, habelə qarşıya
çıxan çətinliklərin aradan
qaldırılmasına dair metodiki köməklik göstərir.
20-4.4. Kritik informasiya infrastrukturunun təhlükəsizliyi
üzrə tələblərə riayət edilməsi vəziyyətinin
öyrənilməsi məqsədilə səlahiyyətli
orqanın kritik informasiya infrastrukturunun subyektinə göndərdiyi
sorğular təxirə salınmadan
cavablandırılmalıdır.
20-4.5. Kritik informasiya infrastrukturunun subyekti ona məxsus
kritik informasiya infrastrukturu obyektinə olan kiberhücumlara
qarşı cavab tədbirlərinin görülməsi, habelə
kibertəhdidlərin və kiberinsidentlərin
qarşısının alınması ilə bağlı səlahiyyətli
orqanın həyata keçirdiyi fəaliyyətə zəruri
şərait yaratmalı və dəstək verməlidir.
20-4.6. Kritik informasiya infrastrukturunun təhlükəsizliyi
üzrə tələblərin pozulması qanunla müəyyən
edilmiş məsuliyyətə səbəb olur.
Maddə 20-5. Kritik informasiya infrastrukturunun təhlükəsizliyi
üzrə fəaliyyətin təşkili
20-5.1. Kritik informasiya infrastrukturunun təhlükəsizliyi
üzrə fəaliyyətin ümumi təşkili və əlaqələndirilməsi
səlahiyyətli orqan tərəfindən həyata
keçirilir.
20-5.2. Kritik informasiya infrastrukturu subyekti ona məxsus olan
kritik informasiya infrastrukturunun təhlükəsizliyini
infrastrukturun təhlükəsizliyinə dair müəyyən
edilmiş ümumi və xüsusi tələblərə
uyğun olaraq təmin edir.
20-5.3.
Kritik informasiya infrastrukturunun təhlükəsizliyi üzrə
fəaliyyətin təşkil edilməsi məqsədilə səlahiyyətli
orqan:
20-5.3.1.
kritik informasiya infrastrukturunun təhlükəsizliyi sahəsində
ümumi vəziyyətin fasiləsiz monitorinqini həyata
keçirir;
20-5.3.2.
kritik informasiya infrastrukturunun təhlükəsizliyinə
yönələn kibertəhdidlərlə mübarizə
üzrə əlaqələndirilmiş tədbirlərin
görülməsini təşkil edir;
20-5.3.3.
kritik informasiya infrastrukturunun təhlükəsizliyinə
yönələn kibertəhdidlərin
qarşısının alınması məqsədilə təhlükəsizlik
boşluqları və riskləri, zərərverici proqram təminatı,
qlobal və lokal xarakterli kiberinsidentlər, kritik informasiya
infrastrukturuna münasibətdə törədilmiş
kiberhücumlar, cəhdlər və bununla bağlı olan digər
məlumatları toplayır və təhlil edir, təhdidlərin
kritik informasiya infrastrukturunun təhlükəsizliyinə
potensial təsirlərini qiymətləndirir;
20-5.3.4.
kritik informasiya infrastrukturunun təhlükəsizliyi üzrə
məsul şəxslərdən
qarşılaşdıqları informasiya təhlükəsizliyinə
dair kibertəhdidlər, kiberhücumlar və kiberinsidentlər
barədə məlumatları toplayır, təhdidlərin
qabaqlanması, qarşısının alınması və
onlarla mübarizə aparılması üçün zəruri
olan məlumatları operativ şəkildə onlara verir,
müvafiq tədbirlərin görülməsi
üçün köməklik göstərir;
20-5.3.5. kiberhücumlar, təhlükəsizlik
boşluqları və riskləri, zərərverici proqram təminatı
və kritik informasiya infrastrukturunun təhlükəsizliyinə
digər təhdidlərlə bağlı kritik informasiya
infrastrukturu subyektlərinə xəbərdarlıqlar və
tövsiyələr verir.
Maddə 20-6. Kritik informasiya infrastrukturu obyektlərinin təhlükəsizliyinin
təmin olunması vəziyyətinə nəzarət
20-6.1. Kritik informasiya infrastrukturunun təhlükəsizliyinin
təmin olunması vəziyyətinə nəzarətin məqsədi
kritik informasiya infrastrukturunun təhlükəsizliyinə dair
ümumi və xüsusi tələblərə riayət
olunmasının təmin edilməsi, o cümlədən bu sahədə
kritik informasiya infrastrukturu subyektlərinə kömək
göstərilməsi yolu ilə dövlətin və cəmiyyətin
qanunla qorunan maraqlarının mühafizə edilməsindən
ibarətdir.
20-6.2. Kritik informasiya infrastrukturunun təhlükəsizliyinin
təmin edilməsi vəziyyətinə nəzarət səlahiyyətli
orqan və kritik informasiya infrastrukturu subyektləri tərəfindən
həyata keçirilir.
20-6.3.
Kritik informasiya infrastrukturunun təhlükəsizliyinin təmin
edilməsi vəziyyətinə nəzarət kritik informasiya
infrastrukturunun təhlükəsizliyinə dair ümumi və
xüsusi tələblərə uyğunluğunun qiymətləndirilməsi
və aşkar olunan uyğunsuzluqların aradan
qaldırılması, bu tələblərə riayət edilməsinin
yoxlanılması, kritik informasiya infrastrukturunun təhlükəsizliyinin
fasiləsiz monitorinqinin aparılması, müdaxilə
sınaqları və kənar audit yoxlamalarının həyata
keçirilməsi vasitəsilə həyata keçirilir.
20-6.4. Kritik informasiya infrastrukturunun təhlükəsizliyinə
dair ümumi və xüsusi tələblərə
sahibkarlıq fəaliyyəti subyektləri tərəfindən
riayət olunmasının yoxlanılması həmin
sahibkarlıq fəaliyyətinin həyata keçirildiyi obyektlərə
gəlmədən aparılır.
20-6.5. Müvafiq icra hakimiyyəti orqanının müəyyən etdiyi orqan (qurum) kritik informasiya infrastrukturunun təhlükəsizliyi ilə bağlı metodiki köməklik göstərilməsi, məsləhət verilməsi və vəziyyətin qiymətləndirilməsi üçün kritik informasiya infrastrukturu subyektinin dəvəti ilə sahibkarlıq subyektlərinin kritik informasiya infrastrukturu obyektlərinə gələ bilər.
20-6.6. Bu Qanunun 20-6.5-ci maddəsinə əsasən həyata keçirilən fəaliyyət zamanı aşkar edilən pozuntulara görə sahibkar məsuliyyətə cəlb edilə bilməz.
20-6.7. Kritik informasiya infrastrukturu subyektləri səlahiyyətli orqan tərəfindən aşkar edilmiş kritik informasiya infrastrukturunun təhlükəsizliyi üzrə tələblərin pozulması hallarını onun tələbinə əsasən təxirə salınmadan aradan qaldırmalı və görülmüş tədbirlərin nəticəsi barədə məlumat verməlidirlər.
20-6.8. Kritik informasiya infrastrukturunun təhlükəsizliyinə dair tələblərə uyğunluğun təmin edilməsi, o cümlədən informasiya təhlükəsizliyini idarəetmə sisteminin tələblərə müvafiq fəaliyyətini təşkil etmək üçün kritik informasiya infrastrukturu subyektləri ildə bir dəfədən az olmayaraq kibertəhlükəsizlik xidməti provayderi tərəfindən kənar audit yoxlamalarının keçirilməsini və onun nəticələrinin müvafiq icra hakimiyyəti orqanının müəyyən etdiyi orqana (quruma) göndərilməsini təmin etməlidirlər.".
İlham ƏLİYEV,
Azərbaycan Respublikasının
Prezidenti
Bakı şəhəri, 27 may 2022-ci
il
Azərbaycan.-2022.- 6 iyul.- S.4.