ISO/IEC 27001:2022
Dünya üzrə ən geniş qəbul edilmiş informasiya təhlükəsizliyi idarəetmə sistemi (ISMS) standartı. Təşkilatın məlumat aktivlərini sistemli şəkildə qorumaq üçün risk əsaslı yanaşma tələb edir.
Əhatə dairəsi
- Risk qiymətləndirmə və müalicə
- Annex A nəzarətəri (93 nəzarət)
- Daxili audit və menecment review
- Davamlı yaxşılaşdırma (PDCA)
Soar IT dəstəyi
Gap analizi, ISMS siyasətlərinin hazırlanması, texniki nəzarətlərin tətbiqi, sertifikatlaşma auditinə hazırlıq və post-audit remediation.
NIST Cybersecurity Framework (CSF) 2.0
ABŞ NIST institutunun hazırladığı çərçivə — bütün sənaye və ölçü üçün tətbiq oluna bilən kiber təhlükəsizlik funksiyaları. Gov və enterprise sektorunda geniş istifadə olunur.
5 əsas funksiya
- Govern — strategiya, risk, siyasət
- Identify — aktiv və risk inventarı
- Protect — müdafiə nəzarətləri
- Detect — monitorinq, SIEM
- Respond & Recover — insident, bərpa
Soar IT dəstəyi
Current state assessment, target profile, implementation roadmap, olgunluq skorinqi və illik yenilənmə prosesi.
GDPR (EU 2016/679)
Avropa İttifaqında şəxsi məlumatların işlənməsi üçün ümumi qaydalar. Azərbaycan şirkətləri EU vətəndaşlarına xidmət göstərdikdə və ya EU-da filial olduqda tətbiq olunur.
Əsas tələblər
- Hüquqi əsas (lawful basis) və razılıq idarəetməsi
- Data subject hüquqları (access, erase, portability)
- DPIA — yüksək riskli emal üçün qiymətləndirmə
- 72 saat ərzində breach bildirişi
- DPO (Data Protection Officer) təyinatı
Soar IT dəstəyi
Data mapping, privacy policy, texniki nəzarətlər (şifrələmə, pseudonymization), subprocessor müqavilələri və breach response plan.
CIS Critical Security Controls
Center for Internet Security tərəfindən hazırlanmış praktik, prioritetləşdirilmiş texniki nəzarətlər siyahısı — SMB-dən enterprise-a qədər tətbiq olunur.
Prioritet nəzarətlər (nümunə)
- 1. Enterprise asset inventarı
- 2. Software asset inventarı
- 3. Data protection
- 4. Secure configuration
- 5. Account management / MFA
- 6. Vulnerability management
Soar IT dəstəyi
Implementation group (IG1/IG2/IG3) seçimi, implementation plan, automation və compliance dashboard.
SOC 2 & PCI DSS
SOC 2 — xidmət təşkilatlarının Trust Services Criteria (security, availability, confidentiality) üzrə audit hesabatı. PCI DSS — ödəniş kartı məlumatlarının qorunması.
SOC 2 tipləri
Type I (design) və Type II (operating effectiveness) — illik audit dövrü.
PCI DSS səviyyələri
SAQ və ya QSA audit — kart əməliyyat həcmindən asılı olaraq.
Soar IT dəstəyi
Control matrix, evidence collection, network segmentation, log review prosedurları.
OWASP & Təhlükəsiz SDLC
Open Web Application Security Project — veb tətbiq təhlükəsizliyi üçün açıq standartlar. Top 10 zəifliklər siyahısı sənaye benchmark-ıdır.
OWASP Top 10 (2021)
Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable Components, Authentication Failures, Software/Data Integrity, Logging Failures, SSRF.
Secure SDLC
Threat modeling, SAST/DAST, dependency check, security gates in CI/CD, developer training.
Azərbaycan qanunvericiliyi
Yerli tənzimləmələr beynəlxalq standartlarla birlikdə nəzərə alınır — xüsusilə şəxsi məlumatlar və kritik informasiya infrastrukturu sahəsində.
Əsas normativ aktlar
- «Şəxsi məlumatlar haqqında» Azərbaycan Respublikası Qanunu
- Kritik informasiya infrastrukturu tələbləri
- Elektron imza və sənədləşmə normativ bazası
Soar IT yanaşması
Dual compliance mapping — ISO/GDPR nəzarətlərinin yerli qanun maddələrinə uyğunlaşdırılması və regulator qarşısından audit hazırlığı.
Uyğunluq strategiyanızı planlaşdıraq
Hansı standartların sizin üçün tətbiq olunduğunu birlikdə müəyyən edək.
Konsultasiya alın