Kritik informasiya infrastrukturu – dövlət idarəçiliyi, müdafiə, səhiyyə, maliyyə bazarları, energetika, nəqliyyat, informasiya texnologiyaları, telekommunikasiya, su təchizatı və ya ekologiya sahəsində fəaliyyəti təmin edən və funksionallığının pozulması dövlətin, cəmiyyətin və vətəndaşların maraqlarına mühüm zərər vura bilən informasiya sistemlərinin, avtomatlaşdırılmış idarəetmə sistemlərinin və informasiya-kommunikasiya şəbəkələrinin məcmusudur.

Qaydalara əsasən informasiya sistemlərinin, avtomatlaşdırılmış idarəetmə sistemlərinin və informasiya-kommunikasiya şəbəkələrinin sahibləri (istifadəçiləri) kritik informasiya infrastrukturu obyektlərinin müəyyən edilməsi məqsədilə sorğu edilən məlumatları səlahiyyətli orqana 30 (otuz) gün müddətində təqdim etməlidirlər.

Kritik informasiya infrastrukturunun təhlükəsizliyinə dair ümumi tələblər aşağıdakılardır:

Ümumi idarəetmənin təşkili və təhlükəsizlik risklərinin idarə edilməsi məqsədilə:

- kritik informasiya infrastrukturu obyektlərinin təhlükəsizliyi və fəaliyyətinin davamlılığına, o cümlədən təhlükəsizlik risklərinin və kiberinsidentlərin idarə olunması məsələlərinə dair təhlükəsizlik prosedurları hazırlanmalı, kritik informasiya infrastrukturu obyektlərinin reyestrində (bundan sonra – Reyestr) yerləşdirilməli və kritik informasiya infrastrukturu obyektlərinin təhlükəsiz və davamlı fəaliyyətinin təmin olunmasında iştirak edən şəxslər: kritik informasiya infrastrukturunun təhlükəsizliyi üzrə müvafiq məsul struktur bölmənin və ya təhlükəsizlik əməliyyatları mərkəzinin rəhbəri və əməkdaşları, o cümlədən kritik informasiya infrastrukturunun təhlükəsizliyi üzrə məsul şəxs, sistem inzibatçısı, mühafizəçi müvafiq təhlükəsizlik prosedurları ilə tanış edilməlidirlər;

- təhlükəsizlik riskləri müəyyən olunmalı, qiymətləndirilməli və aidiyyəti şəxslər həmin risklər və onların idarə edilməsi barədə məlumatlandırılmalıdırlar;

- kritik informasiya infrastrukturunun təhlükəsizliyinin təmin olunması ilə bağlı səlahiyyətlər müəyyən edilməli, vəzifə bölgüsü aparılmalı və kritik informasiya infrastrukturu obyektinin fəaliyyəti üçün təhlükə yaradan hadisələr zamanı həmin vəzifələri icra edən şəxslərin və onlar barəsindəki məlumatların əlçatanlığı təmin olunmalı, həmin məlumatlar (o cümlədən aidiyyəti şəxslərin əlaqə məlumatları) Reyestrdə yerləşdirilməli və aktuallığı təmin edilməlidir;

- kritik informasiya infrastrukturu obyektlərinin təhlükəsizliyinə və fəaliyyətinin davamlılığına təsir edə biləcək üçüncü tərəflərlə (informasiya texnologiyaları məhsulları, informasiya texnologiyaları xidmətləri, digər hüquqi şəxsin xidmətlərindən istifadə etməklə həyata keçirilən fəaliyyət, texniki dəstək, çağrı mərkəzləri, qarşılıqlı əlaqə (inteqrasiya) və s. üzrə) bağlanılmış müqavilələrə təhlükəsizliklə bağlı şərtlər (tələblər) daxil edilməlidir;

Kritik informasiya infrastrukturu obyektlərinin fiziki və informasiya təhlükəsizliyinin təmin edilməsi məqsədilə:

- kritik informasiya infrastrukturu obyektlərinin yerləşdiyi və ona aid olan ərazi və binalara, o cümlədən server, kommutasiya və digər otaqlara və ya kritik informasiya infrastrukturu obyektlərinə birbaşa fiziki qoşulmaya imkan verən məkanlara icazəsiz fiziki girişin, habelə zədə və təsirin qarşısının alınması üçün tədbirlər həyata keçirilməlidir;

- kritik informasiya infrastrukturu obyektinə aid aktivlərin itirilməsi, zədələnməsi, korlanması, qanunsuz olaraq ələ keçirilməsi və ya vəziyyətinin pisləşməsi və kritik informasiya infrastrukturunun fəaliyyətinin pozulmasının qarşısının alınması üçün tədbirlər görülməlidir;

- təhlükəsizlik üzrə sertifikatlaşdırılmış və lisenziyalı proqram təminatından və proqram-texniki vasitələrdən istifadə edilməli, məlumatlarla, o cümlədən dövlət sirri və ya qanunla qorunan digər sirr təşkil edən məlumatlarla, yaxud fərdi məlumatlarla bağlı informasiya mübadiləsi zamanı müvafiq normativ hüquqi aktların tələblərinə riayət edilməli, təşkilati, texniki və texnoloji tədbirlər həyata keçirilməklə informasiyanın mühafizəsi təmin edilməlidir;

- kritik informasiya infrastrukturu obyektlərinin davamlı fəaliyyəti üçün zəruri resurslarla (enerji, soyutma və s.) fasiləsiz təchizat təmin edilməlidir;

- kritik informasiya infrastrukturu obyektlərinə icazəsiz girişlərin qarşısının alınması üçün tədbirlər görülməli, girişlərə nəzarət qaydaları və mexanizmləri formalaşdırılmalı, sənədləşdirilməli və aktuallığı təmin olunmalı, eləcə də bütün uğurlu girişlər və uğursuz cəhdlərin qeydiyyata alınması (loq-faylların aparılması) və uğursuz giriş cəhdləri barədə bildirişlərin avtomatik olaraq kritik informasiya infrastrukturu subyektinin (və ya xidmət alındığı təqdirdə kibertəhlükəsizlik xidməti provayderinin) təhlükəsizlik əməliyyatları mərkəzinə göndərilməsi təmin edilməlidir;

- kritik informasiya infrastrukturu obyektlərinin informasiya təhlükəsizliyinin təmin edilməsi, qanunsuz müdaxilə hallarının qarşısının alınması, o cümlədən təhlükəsizliyə dair məlumatların konfidensiallığının qorunması məqsədilə tədbirlər həyata keçirilməlidir;

Bundan əlavə, qaydalarda insan resurslarına dair təhlükəsizliyin təmin olunması, kritik informasiya infrastrukturunun fəaliyyətinin fasiləsizliyinin təmin edilməsi, kritik informasiya infrastrukturunun təhlükəsizliyi üzrə monitorinq, audit yoxlamaları və müdaxilə sınaqlarının həyata keçirilməsi və kiberinsidentlərin davamlı və effektiv idarə edilməsinə dair tələblər də müəyyənləşdirilmişdir.