Ўзбекистон Республикаси тижорат банклари автоматлаштирилган банк тизимларида ахборотни муҳофаза қилиш тўғрисида Низом (АВ томонидан 10.03.2020 й. 3224-сон билан рўйхатга олинган Марказий банк Бошқарувининг 25.01.2020 й. 2/4-сон қарорига 1-илова)

Ўзбекистон Республикаси

Адлия вазирлигида

2020 йил 10 мартда 3224-сон

билан рўйхатга олинган

Ўзбекистон Республикаси

Марказий банк Бошқарувининг

2020 йил 25 январдаги

2/4-сон қарорига

1-ИЛОВА

Ўзбекистон Республикаси тижорат банклари

автоматлаштирилган банк тизимларида

ахборотни муҳофаза қилиш тўғрисида

НИЗОМ

Мазкур Низом тижорат банкларининг (бундан буён матнда банк деб юритилади) автоматлаштирилган банк тизимларида ахборотни муҳофаза қилиш тартибини белгилайди.

1-БОБ. УМУМИЙ ҚОИДАЛАР

1. Мазкур Низомда қуйидаги асосий тушунчалардан фойдаланилади:

автоматлаштирилган банк тизими - банк фаолияти соҳасида ахборотни тўплаш, сақлаш, излаш, унга ишлов бериш ва ундан фойдаланишни амалга ошириш учун мўлжалланган ахборот тизими;

антивирус дастури - компьютер вирусига қарши дастур, вирусларни аниқлаш учун мўлжалланган ва уларни йўқ қилиш таклифини бериши мумкин бўлган ёки йўқ қилувчи дастур;

антивирус ҳимояси - антивирус дастурлари ёрдамида компьютер вируслари таъсирининг олдини олиш, вирусларни топиш ва зарарсизлантиришга қаратилган чора-тадбирлар мажмуи;

аутентификация қилиш - фойдаланувчи, дастур, қурилма ёки маълумотларнинг ҳақиқийлигини тасдиқлаш тартиб-таомили;

ахборот активлари - ахборот ресурслари, ахборотни қайта ишлаш қурилмалари ва бошқа банк учун муҳим бўлган ахборотлар; 

ахборот ресурси - ахборот тизими таркибидаги электрон шаклдаги ахборот, маълумотлар банки, маълумотлар базаси, шу жумладан ахборот тизимларида очиқ шаклда жойлаштириладиган ёхуд эълон қилинадиган аудио-, видео-, график ва матнли ахборот;

ахборот тизими - ахборотни тўплаш, сақлаш, излаш, унга ишлов бериш ҳамда ундан фойдаланиш имконини берадиган, ташкилий жиҳатдан тартибга солинган жами ахборот ресурслари, ахборот технологиялари ва алоқа воситалари;

ахборот хавфсизлиги - ахборот муносабатларининг субъектларига номақбул зиёнларни келтириши мумкин бўлган табиий ёки сунъий хусусиятли тасодифий ёки қасддан қилинган таъсирлардан ахборот ва таъминлаб турадиган инфратузилманинг муҳофаза қилинганлиги;

ахборот хавфсизлиги нохуш ҳодисаси - ахборот хавфсизлигининг ягона воқеаси ёки бир қатор нохуш ёки кутилмаган воқеалари бўлиб, ушбу воқеалар туфайли ахборотнинг ошкор бўлиши ва ахборот хавфсизлигига таҳдидлар эҳтимоли;

ҳужум - ахборот активларини йўқ қилиш, очиш, ўзгартириш, блокировкалаш, тутиб олиш, рухсат этилмаган фойдаланиш ҳуқуқини олиш ёки ахборот активларидан рухсатсиз фойдаланишга уриниш;

компьютер вируси - деструктив хусусиятга, ўз нусхасини кўпайтира олиш (асл нусха билан тўлиқ мос бўлмаслиги ҳам мумкин) ва фойдаланувчи билмаган ҳолда уларни компьютер тизимлари, тармоқлари турли ресурслари ва шу борада жорий этиш қобилиятига эга бўлган дастурдир (бажариладиган кодлар тўплами);

мониторинг - автоматлаштирилган банк тизими ва ахборот тизимлари ҳолатини кузатиш;

сервер хонаси - банк серверлари, телекоммуникация қурилмалари, узлуксиз қувват манбалари ва бошқа ҳисоблаш техникалари жойлашган хона;

тармоқлараро экран - автоматлаштирилган банк тизимига келиб тушадиган ва (ёки) тизимдан чиқиб кетадиган ахборотнинг назорат қилинишини амалга оширадиган дастур ва (ёки) дастурий восита;

хеш суммаси - криптографик алгоритм ёрдамида ҳисобланган, файл бутлигини текшириш суммаси;

шахсга доир маълумотлар - муайян жисмоний шахсга тааллуқли бўлган ёки уни идентификация қилиш имконини берадиган, электрон тарзда, қоғозда ва (ёки) бошқа моддий жисмда қайд этилган ахборот;

электрон архив - архив мақомига эга бўлган, банк электрон ҳужжатларини жамловчи, ҳисобга олувчи, сақловчи ва фойдаланишни амалга оширувчи банкнинг таркибий бўлими.

2. Банклар ўз фаолиятининг барқарорлигини таъминлаши ва ахборот хавфсизлиги таҳдидларининг олдини олиш учун ахборот тизимлари ва ахборот ресурсларидаги ахборотнинг хавфсизлигини таъминлаши ҳамда бутун иш фаолияти давомида сақлаб туриши лозим.

2-БОБ. БАНК ФАОЛИЯТИДА АХБОРОТНИ

МУҲОФАЗА ҚИЛИШ ХИЗМАТИ

3. Банклар ва уларнинг филиалларида ахборот хавфсизлигини таъминлаш мақсадида ахборотни муҳофаза қилиш хизмати (бундан буён матнда ахборот хавфсизлиги хизмати деб юритилади) ташкил этилади.

4. Ахборот хавфсизлиги хизмати автоматлаштирилган банк тизимининг вақтинча тўхташи, тўлов маълумотларининг ноқонуний ўзгариши, банк ёки мижозга зарар етказилиши ҳолатларининг юзага келишини олдини олиш ва бартараф этиш бўйича масъул ҳисобланади.

5. Ахборот хавфсизлиги хизмати ўз фаолиятида:

ахборот хавфсизлигини бошқариш тизимини ташкил қилиши, банкнинг ахборот хавфсизлиги талаблари банк бўлинмалари ва ходимлари томонидан бажарилишини ташкиллаштириши ва назорат қилиши;

ахборотнинг сақланишини таъминлаш устидан назоратни ташкил этиши;

ахборотни муҳофаза қилиш масалаларида банк бўлинмалари ва ходимларига услубий ва амалий ёрдам кўрсатиши;

автоматлаштирилган банк тизимида ахборотни муҳофаза қилиш тизимини лойиҳалаш, синовдан ўтказиш ва қабул қилиб олиш, амалиётда қўллаш жараёнларида иштирок этиши, ушбу жараёнларда банк сирига оид ва бошқа конфиденциал маълумотларни четга чиқишини олдини олиш чораларини кўриши;

ўз ваколати доирасида банкнинг ахборот хавфсизлигини бошқариш, таъминлаш ва назорат қилиш усуллари, воситалари ва механизмларини танлаш, жорий этиш ва қўллашни амалга ошириши;

автоматлаштирилган банк тизимида ахборотдан рухсатсиз фойдаланишга уринишлар бўлганлиги, унга бошқача шаклда аралашилганлиги аниқланганда ҳамда тизимнинг ишлаш қоидалари бузилганда мазкур тизимдаги ахборотни муҳофаза қилиш чора-тадбирларини кўриши;

ахборот тизимларига таҳдидлар ва ҳужумларни аниқлаши, таҳлил қилиши ҳамда уларни бартараф этиш чораларини кўриши;

ахборот хавфсизлиги нохуш ҳодисаси тўғрисидаги маълумотларни йиғиши, қайта ишлаши, таҳлил қилиши ва сақлаши;

ахборот хавфсизлиги нохуш ҳодисаларини текшириш бўйича ишларни амалга ошириши;

ахборотни муҳофаза қилиш чора-тадбирларининг ҳолати ва самарадорлигини таҳлил қилиши;

ахборот хавфсизлиги дастурий таъминотлари ва аппарат-дастурий қурилмаларининг тўғри ишлашини назорат қилиши ва таъминлаши;

ахборот хавфсизлигини таъминлаш билан боғлиқ мониторингни ўтказиши;

ахборот хавфсизлиги масалалари бўйича таклифлар тайёрлаши;

ахборот ресурслари ва ахборот тизимларида ахборот хавфсизлиги чораларини кўриш учун талабларни белгилаши;

банкнинг ахборот ресурслари ва ахборот тизимларида ахборот хавфсизлигини таъминлаш ва назорат қилиш бўйича режаларни тузиши;

конфиденциал, шу жумладан банк сирини ташкил этувчи ва шахсга доир маълумотларнинг сақланишини назорат қилиши;

ахборот тизимларида тўхташ ва авария ҳолатлари содир бўлганда тизимларни қайта тиклаш жараёнида иштирок этиши ва ахборот тизимларининг тўлиқ ишчи ҳолатига келишини назорат қилиши;

банк ҳужжатларига мувофиқ бошқа функцияларни амалга ошириши керак.

6. Ахборот хавфсизлиги хизматининг вазифалари, ваколатлари ва мажбуриятлари банкнинг ички ҳужжатлари билан белгиланиши мумкин, бунда мазкур Низом талаблари инобатга олинади. Ахборот хавфсизлиги хизмати ўзининг вазифа ва мажбуриятларини бажаришга зарур бўлган техник ресурслари билан таъминланиши лозим.

7. Ахборот хавфсизлиги хизматининг ходимлари сони унга юклатилган вазифалар, ахборот ресурслари ва ахборот тизимлари сони, ахборот хавфсизлиги тизимларининг автоматлаштирилганлик даражасидан келиб чиқиб белгиланади.

8. Ахборот хавфсизлиги хизмати ва ахборот технологиялари бўлинмалари банк бошқаруви органининг турли аъзоларига бўйсуниши лозим, бунда ахборот хавфсизлиги хизмати тўғридан-тўғри банк бошқаруви раисига бўйсунади.

9. Банклар ҳар йили камида бир маротаба ахборот хавфсизлиги хизмати ходимларининг малакасини оширишни таъминлаши керак.

10. Ахборот хавфсизлиги қонун ҳужжатларида белгиланган талаблар ҳамда банкнинг ахборот хавфсизлигига оид ички ҳужжатлари асосида таъминланади.

11. Банк ахборот хавфсизлигига оид ички сиёсатини ишлаб чиқиши ва қабул қилиши лозим.

Ахборот хавфсизлигига оид сиёсатда банкда мавжуд бўлган барча ахборот тизимлари ва ахборот ресурсларида ахборот хавфсизлигини таъминлаш бўйича талаблар белгиланади.

12. Ахборот хавфсизлигига оид ички ҳужжатлар ва уларда белгиланган талаблар банкнинг ҳар бир ходимига таништирилиши лозим ҳамда ушбу талабларга ходимлар қатъий риоя қилишлари керак.

13. Ахборот ресурслари ва ахборот тизимларида ахборот хавфсизлигини таъминлаш билан боғлиқ мазкур Низомда белгиланган барча чора-тадбирлар амалга оширилганлиги ёзма ёки электрон шаклда ўз тасдиғига эга бўлиши лозим.

14. Агар банк филиаллар тармоғига эга бўлса, ҳар бир филиалда банкнинг тасдиқланган ахборот хавфсизлигига оид ҳужжатлари тўплами мавжуд бўлиши керак. Муайян филиалларнинг хусусиятларини ҳисобга олиш зарур бўлса, банк ушбу хусусиятларни инобатга олган ҳолда ўз ички ҳужжатларини ишлаб чиқилишини таъминлайди.

3-БОБ. КОНФИДЕНЦИАЛ МАЪЛУМОТЛАРНИНГ

ОШКОР ЭТИЛИШИДАН ҲИМОЯЛАШ

15. Банк қонун ҳужжатлари ва ўзининг ички ҳужжатлари билан белгиланган конфиденциал маълумотларнинг ошкор этилмаслигини таъминлайди.

Бунда, банк томонидан қуйидагилар бажарилиши лозим:

банкка ёки унинг бўлинмасига тааллуқли бўлган конфиденциал маълумотлар, шу жумладан банк сирини ташкил этувчи ва шахсга доир маълумотлар рўйхатини белгилаш;

етказилган зарарни қоплаш мақсадида ҳар бир ходим билан конфиденциал маълумотларни сир сақлаш бўйича мажбуриятномани имзолаш;

конфиденциал маълумотлардан фойдаланишга рухсати мавжуд бўлмаган ходимларнинг ушбу маълумотдан фойдаланилмаслигини таъминлаш;

конфиденциал маълумотларини ўзида сақловчи компьютерлар ва улардаги ҳужжатларнинг ишончли сақланишини таъминлаш;

Ўзбекистон Республикасининг "Банк сири тўғрисида"ги ва "Шахсга доир маълумотлар тўғрисида"ги қонунларида кўрсатилган талаблар бажарилишини таъминлаш;

конфиденциал маълумотларни ошкор қилинишини олдини олишнинг бошқа чораларини кўриш.

16. Телекоммуникация тармоғи орқали давлат сири тоифасига кирувчи маълумотлар узатилиши тақиқланади.

4-БОБ. АХБОРОТ ХАВФСИЗЛИГИНИ

ТАЪМИНЛАШ ТИЗИМИНИ ТАШКИЛ

ЭТИШ ВА АХБОРОТ ХАВФСИЗЛИГИ

ТАВАККАЛЧИЛИГИНИ БОШҚАРИШ

17. Банкда ҳуқуқий, ташкилий, техник чоралар ва ахборот муҳофазаси тизимлари (қурилмалари) йиғиндиларидан иборат бўлган ахборот хавфсизлигини таъминлаш тизими ташкил этилади.

18. Ахборот хавфсизлигини таъминлаш тизимида фойдаланиладиган ахборотни муҳофаза қилишнинг дастурий-техник воситалари лицензияланган ва сертификатланган бўлиши лозим.

19. Ахборот хавфсизлигини таъминлаш тизими:

ахборот хавфсизлиги таваккалчиликларини аниқлаш, олдини олиш ва бартараф этишни;

барча ахборот тизимлари ва ахборот ресурсларининг ахборот муҳофазасини таъминлашни;

тажрибадан ўтган ечимларни қўллашни;

юқори ишончга эга бўлган, хизмат кўрсатилиши осон бўлган тизим, қурилма ва ускуналарни қўллашни;

барча жараён ва қурилмалардаги ахборотлар бўйича маълумотлар қайд этиб боришни, ахборот хавфсизлигини бузилиши, дастур, қурилма ва фойдаланувчиларнинг ишларидаги ўзгаришларни аниқлашни;

иш жараёни соддалиги ва максимал даражада ҳаракатларни автоматлаштиришни;

муҳофаза тўсиқлари бир неча поғоналарда ташкил этишни;

ахборот хавфсизлигининг узлуксизлигини таъминлашни;

нохуш ҳодисаларнинг олдини олиш ва юзага келганда уларни бартараф этиш ҳамда ахборот тизимларнинг иш фаолиятини қайта тиклашни;

ахборот хавфсизлигини доимий мукаммаллаштириб боришни таъминлайди.

20. Ахборот хавфсизлигини таъминлаш тизими қуйидагиларни амалга оширади:

ахборот хавфсизлигини таъминлаш тизимларига киришни назорат қилиш;

тармоқ хавфсизлигини таъминлаш;

ахборот тизимларига киришни бошқариш ва назорат қилиш;

зарар келтирувчи дастурдан (компьютер вируслари ва бошқалардан) муҳофаза қилиш;

муҳофаза қилинаётган маълумотлар ва дастурларни назорат қилиш, қайта тиклаш, бутлигини аниқлаш, мониторингини юритиш;

маълумотларни қайта ишлаш, сақлаш ва узатилишида муҳофазасини таъминлаш;

веб-ресурслар, маълумотлар базаси, маълумотлар сақлаш омборлари ва бошқа ахборот ресурсларини турли ахборот хавфсизлиги хатарларидан сақлаш;

ахборот муҳофазасини таъминланганлик даражасини текшириш, таҳлил қилиш ва баҳолаш;

электрон рақамли имзо калитлари ва сертификатларини тақсимлаш, ҳисобини юритиш ва бошқариш;

маълумотларнинг учинчи шахсларга ошкор бўлишини олдини олиш.

21. Банклар автоматлаштирилган тизимларда хатоликлар ва ташқи салбий таъсирлар натижасида юзага келиши мумкин бўлган ахборот хавфсизлиги таваккалчилигини бошқариш тизимини яратади.

22. Ахборот хавфсизлиги таваккалчилигини бошқариш тизими қуйидаги функцияларни ўз ичига олиши керак:

ахборот хавфсизлиги таваккалчилигини аниқлаш, йиғиш ва рўйхатга олиш, мониторинг қилиш, баҳолаш, таваккалчиликларни камайтириш ва назорат қилиш;

ахборот хавфсизлиги таваккалчилигини бошқариш учун ходимларга вазифалар юклаш;

таваккалчиликларни қайта кўриб чиқиш.

23. Ахборот хавфсизлиги хизмати ахборот хавфсизлигини таъминлаш тизимининг назоратини олиб боради ва узлуксиз ишлашини таъминлайди.

Ахборот хавфсизлиги хизмати томонидан банкда ахборот хавфсизлигини таъминлаш юзасидан маълум бўлган таваккалчилик ва қўлланиладиган бошқариш воситалари ва усулларининг рўйхати тузилиши ҳамда банк бошқаруви раиси томонидан тасдиқланиши лозим.

Банк ахборот хавфсизлиги таваккалчиликлари рўйхатининг долзарблигини таъминлаши керак. Эҳтимоли кам бўлган, лекин катта зарар келтирувчи таваккалчиликлар ҳам ахборот хавфсизлиги таваккалчиликлари рўйхатига киритилади.

24. Ахборот хавфсизлиги таваккалчилиги доимий равишда ахборот хавфсизлиги хизмати томонидан баҳоланиб ва таҳлил қилиниб борилади. Ахборот хавфсизлиги хизмати банк бошқаруви раисига банк таваккалчиликлари ортиши бўйича тегишли маълумотларни тақдим этиб бориши лозим.

25. Ахборот хавфсизлиги таваккалчилигини бошқариш бўйича амалга оширилган чора-тадбирлар натижалари ҳужжатлаштирилиши ва йилига камида бир маротаба банк бошқаруви раиси томонидан кўриб чиқилиши ҳамда таваккалчиликларни бартараф юзасидан тегишли чора-тадбирлар ўтказилиши керак.

5-БОБ. АХБОРОТ ХАВФСИЗЛИГИ НОХУШ

ҲОДИСАЛАРИНИ БАРТАРАФ ЭТИШ

26. Банкларда ахборот хавфсизлиги сиёсатининг бузилиши қуйидаги ахборот хавфсизлиги нохуш ҳодисаларига олиб келади:

ахборот конфиденциаллигининг бузилиши;

ахборот бутлигининг бузилиши;

технологик жараённинг бузилиши;

ахборотдан эркин фойдаланиш ҳуқуқининг бузилиши.

27. Банкда нохуш ҳодисалар тўғрисидаги маълумотларни олиш учун мониторинг тизимлари жорий этилади. Бунда ушбу тизимларнинг ишлашини мониторинг қилиш ва юзага келган нохуш ҳодисаларни бартараф этиш бўйича доимий равишда ишлайдиган ишчи гуруҳ тузилади.

28. Нохуш ҳодисаларни бартараф этиш учун ташқи экспертлар ёки техник хизмат кўрсатувчи ташкилот мутахассислари жалб қилиниши мумкин. Нохуш ҳодисаларни бартараф қилиш учун ташқи экспертлар ёки техник хизмат кўрсатувчи ташкилот мутахассислари жалб қилинганда, банк улар билан конфиденциал маълумотларни ошкор қилмаслик тўғрисидаги шартнома тузиши лозим.

29. Ахборот хавфсизлиги нохуш ҳодисалари аниқланганлик ҳақидаги маълумотлар ахборот хавфсизлиги бўйича масъул ходим томонидан ҳужжатлаштириб борилиши лозим.

Ахборот хавфсизлиги бўйича масъул ходим нохуш ҳодиса аниқланган ҳолатда ахборот хавфсизлиги мониторинги тизими маълумотларидан фойдаланиши ва ахборот хавфсизлиги нохуш ҳодиса рўй берган вақтдаги ахборот тизимларининг электрон журналлари бутлигини таъминлаши керак.

30. Банклар техник воситалардан фойдаланганда нохуш ҳодисаларни аниқлаш мақсадида қуйидагиларни таъминлашлари зарур:

техник воситалардан рухсатсиз фойдаланишни тақиқлаш;

техника воситаларни рухсатсиз ўчириб қўйилишидан ҳимоя қилиш;

мониторинг ва ахборот хавфсизлиги нохуш ҳодисаларининг электрон баённомаларини электрон архивда сақлаш ва рухсатсиз ўзгартириш ёки йўқ қилишдан ҳимоялаш.

31. Иш жараёнида нохуш ҳодисалар аниқланганда банк ходимлари бу ҳақда зудлик билан ахборот хавфсизлиги хизматини хабардор қилишлари керак.

Нохуш ҳодисалар содир этилган вақтда ахборот хавфсизлиги хизмати амалга оширадиган ҳаракатлари банкнинг ички ҳужжатларида белгиланади.

32. Банк содир бўлган нохуш ҳодиса тўғрисида Ўзбекистон Республикаси Марказий банкига (бундан буён матнда Марказий банк деб юритилади) зудлик билан ёзма ёки электрон шаклда хабар бериши лозим.

6-БОБ. АВТОМАТЛАШТИРИЛГАН БАНК

ТИЗИМИГА КИРИШНИ БОШҚАРИШ

33. Банклар автоматлаштирилган банк тизимига кириш ва ушбу тизимдан фойдаланувчиларнинг ишлаш тартибини ишлаб чиқиши керак. Бунда янги фойдаланувчиларнинг автоматлаштирилган банк тизимига кириш ва ушбу тизимга кириш ҳуқуқи бекор бўлган фойдаланувчиларни ундан чиқариш қоидалари инобатга олиниши лозим.

34. Янги фойдаланувчилар автоматлаштирилган банк тизимига ахборот хавфсизлиги хизматининг рухсати берилгандан ҳамда амалга оширилиши ва бунинг учун керакли техник чоралар кўрилгандан кейин киритилади.

35. Ахборот хавфсизлиги хизмати автоматлаштирилган банк тизимига киришга рухсат берилган фойдаланувчилар рўйхатини ҳамда уларнинг ушбу тизимдан фойдаланиши банкда ўрнатилган тартибга мувофиқлигини назорат қилади.

36. Банк автоматлаштирилган банк тизимига рухсатсиз киришнинг олдини олиш чораларини кўради.

Банк ходими ишдан бўшаганда, ушбу ходимнинг тизимга кириш ҳуқуқлари 1 кундан кечиктирмасдан бекор қилиниши керак. Лавозими ўзгарган ходимга ишлаш ҳуқуқлари янгидан берилиши лозим.

37. Банк автоматлаштирилган банк тизимидан рухсатсиз фойдаланишнинг олдини олиш мақсадида:

фойдаланувчиларни идентификация ва аутентификация қилиши ҳамда ушбу жараённи бошқариши;

муваффақиятсиз киришга уринишларни аниқлаш ва кириш имкониятларини чеклаш;

фойдаланувчининг маълум бир вақт оралиғида ҳаракатсизлиги ёки янгидан кириш ҳаракати аниқланганда иш сессиясини тўхтатиш;

фойдаланувчининг автоматлаштирилган банк тизими созланишларини (параметрларини) ўзгартириш имкониятини чеклаш.

38. Ахборот тизимларида тўловларга оид маълумотларни киритиш, ўзгартириш, тасдиқлаш, ўчириш ҳуқуқига эга бўлган фойдаланувчиларнинг аутентификация қилиниши аппарат-дастурий қурилмаларни қўллаш орқали амалга оширилади.

Ушбу аппарат-дастурий қурилмалар шахсий қўлланишга берилган бўлиши керак. Бунда ҳар бир фойдаланувчи тизимга кириш учун унинг ўзига ажратилган аппарат-дастурий қурилмадан фойдаланиши лозим.

39. Масофадан банк хизматларини кўрсатишнинг барча жараёнларида ахборот хавфсизлигини таъминлаш чоралари банкнинг ички ҳужжатларида белгиланади.

Масофадан банк хизматларини кўрсатиш тизимида фойдаланувчиларнинг тизимга кириши, ахборот алмашинуви ва уларнинг амаллари тўғрисидаги тўлиқ маълумотлар (IP ва/ёки MAC манзили, мобиль телефондан фойдаланганда - IMEI-код) электрон баённомаларда қайд этиб борилиши керак.

7-БОБ. МАЪЛУМОТЛАР БАЗАСИНИ

БОШҚАРИШ ТИЗИМИ

40. Банклар автоматлаштирилган банк тизимининг маълумотлар базаси созланишларида хатоликларни олдини олиши ва тажовузкорнинг қуйидаги ҳаракатларини чеклашлари керак:

маълумотлар базасига кириш;

маълумотлар базасининг махсус интерфейсини қўллаш, командалар киритиш ва дастурларни ишлатиш;

администратор ва фойдаланувчилар паролларини билиб олиш;

маълумотлар базасининг тизим файлларига кириш;

зарарли дастурлар ўрнатиш;

сервернинг илова дастурларига эгалик қилиш;

маълумотлар базаси ва серверга масофадан ҳужум қилиш.

41. Банклар автоматлаштирилган банк тизимининг маълумотлар базасига киритиладиган барча дастурий ўзгартиришларни ҳужжатлаштириш ва киритилган ўзгартиришларнинг ҳисобини юритилиши лозим.

Ишчи станциялар ва бошқа ҳисоблаш техникаларининг операцион тизими, антивирус дастури ва бошқа дастурий ўзгартиришлар тест-синов ишлари якунига кўра ишга туширилади. Маълумотлар базасига киритиладиган барча дастурий ўзгартиришлар аввал тест-синов серверида текширилиши ҳамда ижобий натижага эришилганда ишчи серверга жорий этилиши лозим.

Банклар автоматлаштирилган банк тизимининг маълумотлар базасига дастурий ўзгартиришларни тест-синовдан ўтказиш, уларни ушбу базага киритиш ҳамда киритилган ўзгартиришларни ҳужжатлаштириш ва уларнинг ҳисобини юритиш ахборот хавфсизлиги хизмати томонидан ахборотлаштириш бўйича масъул ходим билан биргаликда амалга оширилади.

42. Маълумотлар базасида ўрнатилган сервернинг иш жараёни учун зарур бўлмаган хизматлар тўхтатилиши ва ахборот портлари ёпиб қўйилиши лозим. Ишлатиладиган ахборот портларининг рўйхати фойдаланиш мақсади кўрсатилган ҳолда банк бошқаруви раиси томонидан тасдиқланади.

43. Маълумотлар базасининг администратори ва маълумотлар базасида ахборот хавфсизлигини таъминловчи ходимларнинг вазифалари, ваколатлари ва жавобгарликлари банкнинг ички ҳужжатлари билан белгиланади.

44. Маълумотлар базаси администраторининг пароли 12 та белгидан кам бўлмаслиги лозим, бунда паролнинг белгилари сифатида пастки ва юқори регистр ҳарфлари, рақамлар ва махсус белгилардан (@,#, $, &, %  ва ҳ.к.) қўлланилади.

8-БОБ. ТАРМОҚ ХАВФСИЗЛИГИ

45. Тармоқ хавфсизлигини лойиҳалаштириш, жорий этиш ва бошқариш қуйидаги стандартлар асосида амалга оширилади:

O'z DSt ISO/IEC 27033-1:2016 "Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 1-қисм. Шарҳ ва концепциялар";

O'z DSt ISO/IEC 27033-2:2016 "Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 2-қисм. Тармоқ хавфсизлигини лойиҳалаштириш ва жорий этиш бўйича раҳбарий кўрсатмалар";

O'z DSt ISO/IEC 27033-4:2016 "Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 4-қисм. Хавфсизлик шлюзларини қўллаган ҳолда тармоқлараро хавфсизлигини таъминлаш учун коммуникациялар";

O'z DSt ISO/IEC 27033-5:2016 "Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 5-қисм. Виртуал хусусий тармоқларни қўллаган ҳолда тармоқлараро хавфсизлигини таъминлаш учун коммуникациялар".

46. Банклар тармоқ хавфсизлигини таъминлаш учун қуйидаги шартларни бажариши керак:

корпоратив тармоқ ва ахборот тизимларининг ўзаро боғланишида телекоммуникация ва тармоқ сервислари узлуксиз ишлаши ва хавфсизлигини таъминлаши;

тармоқ компонентлари, дастурлари, маълумотлари бутлигини таъминлаши;

тармоқларни имкон қадар даражада алоҳида сегментларга бўлиши;

маълумотларни тармоқлараро ахборот алмашинувида конфиденциаллигини таъминлаши ва тармоқда рухсатсиз ҳаракатларнинг олдини олиши.

47. Корпоратив тармоққа фақат рухсат берилган қурилмалар (ҳисоблаш техникаси) боғланишига рухсат берилиши лозим.

48. Корпоратив тармоқда ахборот алмашинувининг электрон баённомаси юритилиши ва электрон баённомада тизимга кирган фойдаланувчининг номи (user name), вақти, IP ва/ёки қурилманинг MAC манзили қайд этиб борилиши керак.

49. Банклар томонидан ташкил этилган корпоратив тармоқнинг (Марказий банк тармоғига, Интернет жаҳон ахборот тармоғига, телекоммуникация провайдерларига, филиалларга ва бошқа тармоқларга боғланиш) чизмаси Марказий банк билан келишилади.

50. Корпоратив тармоқ хавфсизлигининг тўлиқ назорати ва мониторинги доимий равишда ахборот хавфсизлиги хизмати томонидан амалга оширилади.

51. Банкнинг тармоқлараро ахборот алмашинуви хусусий виртуал тармоқлар (VPN) ташкил этилиш йўли билан муҳофазаланади.

Корпоратив тармоқда илова серверлари билан фойдаланувчилар ўзаро ахборот алмашинувида ҳимояланган протокол қўлланилиши лозим.

52. Банкнинг локал ҳисоблаш тармоғига бошқа тармоқлардан ёки бинонинг ташқарисидан кирувчи кабеллари орқали боғланиш (кириш) нуқталари тармоқлараро экран билан муҳофазаланади.

53. Телекоммуникация шкафлари қулфланиши ва видеокузатув тизимлари орқали назоратга олинган бўлиши лозим.

Локал ҳисоблаш тармоқлари кабелларини телекоммуникация шкафлари билан ҳисоблаш техникалари, банкомат ва бошқа қурилмаларнинг боғланиш нуқталаригача муҳофазаланмаган тарзда ўтказилиши тақиқланади.

54. Банкнинг барча бўлинмалари локал ҳисоблаш тармоғида виртуал маҳаллий тармоқлар (VLAN) ҳосил қилиш йўли билан бир-биридан ажратилиши лозим.

55. Банкларда тармоқ хавфсизлиги доимий равишда мониторинг (назорат) қилиниб борилади.

Тармоқ хавфсизлиги мониторинги бўйича масъул ходим тармоқдаги ахборот хавфсизлиги ҳодисаларини бир жойга жамлаши ва тармоқда янги қурилма пайдо бўлиши, компьютер вируси аниқланганлиги, Интернет жаҳон ахборот тармоғидан (бундан буён матнда интернет тармоғи деб юритилади) киришга уринишлар, банкоматнинг тармоқдан узилиши, сервернинг қизиб кетиши каби турли ҳолатлар бўйича маълумотларни зудлик билан ахборот хавфсизлиги хизматига хабар беради ҳамда барча таҳлилий маълумотларни электрон тарзда сақланишини таъминлайди.

56. Банкда тармоқ хавфсизлиги дастурий таъминоти ва техник воситаларнинг ҳолатларини мониторинг қилиб борилиши, статистик маълумотлар йиғилиши ва уларни таҳлил қилиниши, юзага келаётган муаммоларни илк босқичида аниқланиши ва улар асосида фавқулодда вазиятлар пайдо бўлишининг олди олиниши лозим.

57. Банклар тажовусларни аниқлаш тизими (бундан буён матнда IDS деб юритилади) ва тажовусларни олдини олиш тизимини (бундан буён матнда IPS деб юритилади) қўллаш лозим, яъни банк тармоқ ичида ноодатий ҳаракатларни ва локал ҳисоблаш тармоқларидаги ҳужумларни аниқлаш, олдини олиш ва тўсиш учун мўлжалланган дастурий ёки дастурий-аппарат воситаларни жорий этишлари лозим.

Банкларда реал вақтда тармоқ дастурлари ишлашидан оғишлар, шунингдек компьютер тизими ёки тармоқдан рухсат этилмаган фойдаланиш (рухсатсиз кириш ёки тармоққа ҳужумлар) фактлари аниқланиши керак. IDS/IPS тизимлари тармоқлараро экранларга қўшимча бўлади ва уларнинг ишлари ахборот хавфсизлиги сиёсати асосида ташкил этилади, IDS/IPS тизимлари шубҳали операциялар мониторингини амалга оширади ва уларни кузатиб боради. Банк IDS/IPS тизимларининг базасини актуал ҳолатда бўлишини таъминлайди.

IPS/IDS тизимлари тармоқ инфратузилмасининг миқёси серверлар ва коммутация ускуналари (маршрутизаторлар, коммутаторлар, алоқа линиялари) интерфейсларининг ўтказиш қобилиятидан келиб чиқиб танланади ва жорий этилади. Агар телекоммуникация қурилмалари маънан эскирган бўлса ва IPS/IDS тизимларининг ишлаш имкониятини бермаса, ушбу қурилмалар янгиланиши лозим.

58. Банкларда қўлланиладиган тармоқлараро экранлар Oz DSt 2815:2014 "Ахборот технологиялари. Тармоқлараро экран." стандарти талабларининг камида биринчи ёки иккинчи тоифасига мос бўлиши керак.

Тармоқлараро экранларнинг созланишлари тасдиқланиши, рухсат берилган ахборот алмашинуви протоколлари асосланган бўлиши, созланишларга киритиладиган ўзгартиришлар банк томонидан белгиланган тартибда амалга оширилади.

59. Асосий ва захира тармоқлараро экранларни созламалари бир хил бўлиши таъминланиши лозим. Банкда тармоқлараро экран созланишлари актуал ҳолда электрон архивда сақланиши керак.

60. Тармоқлараро экран ва прокси-сервер электрон баённомалари ахборот хавфсизлиги хизмати томонидан таҳлил қилиниб борилади ва ташқи ҳужумлар аниқланганида шу куннинг ўзида Марказий банкка хабар берилади.

9-БОБ. ЭЛЕКТРОН ПОЧТА ВА ИНТЕРНЕТ

ТАРМОҒИДАН ФОЙДАЛАНИШ

61. Банк ўзининг ички электрон почта тизими серверини банкнинг локал ҳисоблаш тармоғида яратади.

Тезкор хабарлар билан алмашиш тизимлари (messenger) ёки дастурларидан фойдаланиш, банк томонидан интернет тармоғидан ва электрон почта тизимларидан фойдаланишда ахборот муҳофазасини таъминлаш, ходимларни тизимга киритиш, уларга чекловлар қўйиш, жавобгарлик, ходимлар ҳаракати ва тизим ахборот хавфсизлиги устидан назорат қилиш банкнинг ички ҳужжатларида белгиланади.

62. Банк томонидан конфиденциал маълумотлар электрон почта тизими орқали юборилганда, маълумотлар шифрланиши ва электрон рақамли имзо билан тасдиқланиши лозим. Банк фаолиятига тегишли бўлмаган маълумотларни электрон почта орқали узатилиши тақиқланади.

63. Банк ўзининг бўлимлари ва филиаллари ўртасида ахборот алмашинуви учун электрон ҳужжат айланиши дастурлари ёки банк ички электрон почта тизими орқали амалга оширилади.

64. Файлларни узатиш протоколи (FTP) серверида ташкил қилинган умумий каталог орқали файл алмашинишувини амалга ошириш ва банк сири маълумотларини тармоқда эркин ўқиш учун жойлаштириш тақиқланади.

65. Банк томонидан интернет ва электрон почта орқали юборишга тайёрланган ёки қабул қилинган ҳар бир электрон маълумот антивирус дастури ёрдамида текширилиши шарт. Электрон почта орқали қабул қилинган маълумотлар зарар келтирмаслиги махсус ҳудудда текширилиши лозим (Sandbox тизими).

66. Банк ўзининг электрон почта тизими ҳамда интернет тармоғидан фойдаланиш тартибини ички ҳужжатлари билан белгилайди ҳамда электрон почта орқали юборилган ва қабул қилинган маълумотларни ахборот хавфсизлиги хизмати томонидан назорат қилинишини таъминлайди. Бунда фақат рухсат берилган фойдаланувчилар интернет тармоғидан фойдаланиши ва интернет тармоғидан фойдаланишда ахборот хавфсизлиги чоралари кўрилиши керак.

67. Интернет тармоғи ва банк телекоммуникация тармоғи алоҳида маршрутизатор (router) ва алоҳида тармоқлараро экран (firewall) қурилмалари орқали жисмонан уланиши зарур.

Автоматлаштирилган банк тизимига боғланган компьютер ва серверларни интернет тармоғига тўғридан-тўғри жисмонан боғлаш тақиқланади.

68. Автоматлаштирилган банк тизими маълумотлар базаси серверлари, дастур серверлари, тўлов тизими маълумотларини қайта ишловчи барча серверлар, интернет тармоғига боғланувчи ҳамда банкнинг иш фаолиятида қатнашувчи бошқа серверлари банкда ташкил этилган ва муҳофаза қилиниши таъминланган алоҳида ажратилган локал тармоқнинг демилитаризация қилинган зоналарида (DMZ) жойлаштирилиши керак. Демилитаризация қилинган зоналар (DMZ) банкнинг ички локал тармоқлари ва ташқи телекоммуникация тармоқларидан тармоқлараро экранлар ёрдамида муҳофазаланади. Демилитаризация қилинган зоналарда (DMZ) ҳужумни аниқлаш ва унинг олдини олиш бўйича тизимлар, антивирус ҳамда мазкур Низомда келтирилган тармоқ муҳофазасини таъминлаш тизимлари жорий этилиши керак.

69. Ахборот муҳофазасини кучайтириш мақсадида тармоқ протоколида (TCP/IP) тармоқ транзит пакетларининг IP манзилларини ўзгартириш имконини берувчи тармоқ адресларини ўзгартириш протоколи (NAT) қўлланилиши мумкин. Бунда тармоқ орқали барча уланишларнинг электрон журналлари асл IP манзиллар кўрсатилган холда юритилиши ва белгиланган тартибда электрон архивга олиниши лозим.

70. Интернет тармоғидан фойдаланиш тартиби назоратга олинган бўлиши ва банк ходимларининг интернет тармоғидан фойдаланишлари уларнинг лавозим йўриқномасига кўра белгиланиши лозим.

Интернет тармоғидан фойдаланган ходимнинг логини, фойдаланиш вақти, ресурс номи ва бошқа маълумотлар акс эттирилган электрон баённомалар юритилиши керак. Ахборот хавфсизлиги хизмати ушбу электрон баённомаларни таҳлил қилиб боради.

71. Интернет тармоғидан фойдаланишда ахборот муҳофазасини таъминлаш тармоқлараро экран, прокси-сервер, антивирус, рухсатсиз киришни аниқлаш ва олдини олиш (IDS/IPS) ва бошқа ахборот хавфсизлиги тизимларини қўллаш йўли билан амалга оширилади.

72. Банк тармоғи ва компьютерларига модемларни ёки уяли телефонларни улаш, шунингдек интернет тармоғида ишлашда ташқи прокси-серверлардан фойдаланиш ва банкнинг ички локал тармоғини симсиз ташкил этиш ва банк компьютерларида симсиз ахборот алмашинуви тизимларидан фойдаланишга йўл қўйилмаслигини таъминлаши керак.

73. Мижозлар ва банк истеъмолчилари учун қулайликлар яратиш мақсадида банк биносида Wi-Fi зоналари ташкил этилиши мумкин, бунда Wi-Fi технологияси банк ички локал тармоғидан жисмонан ажратилган бўлиши ва ахборот хавфсизлиги таъминланиши керак.

10-БОБ. ТЕХНИК ВОСИТАЛАРНИ

БОШҚАРИШ ТИЗИМИ

74. Банклар автоматлаштирилган банк тизимида тармоқ объектлари бўлган фойдаланувчилар, компьютерлар, серверлар ва бошқа техник воситаларни бошқариш (Active Directory ёки бошқа муқобил) тизимини жорий этади.

Бунда ушбу тизим ёрдамида компьютерларда фойдаланувчилар томонидан фақат ўзларининг иш фаолиятига тегишли бўлган дастурлар ишлатилишини, компьютерларга кириш ҳимояланиши (пароллар) таъминланади.

Ишлатишга йўл қўйиладиган дастурлар рўйхати банк томонидан белгиланади. Рўйхатда бўлмаган барча дастурларни ишлатиш ва қўшимча дастурлар ўрнатиш каби ҳаракатлар тақиқланади.

75. Техник воситаларни бошқариш тизими администратор томонидан амалга оширилади, бунда ахборот хавфсизлиги хизмати администраторнинг тизимдаги барча ҳаракатларини назорат қилиши керак.

76. Ахборот хавфсизлиги хизмати камида бир ойда бир маротаба техник воситаларни бошқариш тизими созламаларини ва электрон баённомаларини таҳлил қилиши, техник воситалардан фойдаланишда банк ахборот хавфсизлигига оид сиёсат талаблари бажарилишини назорат қилиши керак.

11-БОБ. МАЪЛУМОТЛАРНИ РУХСАТСИЗ

ТАРҚАЛИШИДАН ҲИМОЯЛАШ ТИЗИМИ

ВА АНТИВИРУС МУҲОФАЗАСИ

77. Банклар ахборот тизимларидан рухсатсиз маълумотлар узатилишининг олдини олиш чораларини кўришлари керак, бунда банклар томонидан маълумотларни рухсатсиз тарқалишидан ҳимоялаш тизими (DLP) жорий этилади.

78. Маълумотларни ҳимоялаш қилишда банклар томонидан:

муҳофазаланадиган маълумотларни рухсатсиз турли тармоқ каналлари орқали узатилишини, рухсатсиз ҳисобга олинмаган ташқи ташувчига кўчирилишини, рухсатсиз чоп этилишини аниқлаш, банк раҳбариятига бу ҳақда маълумот бериш ва келгусида бу каби салбий ҳолатлар бўлмаслигини олдини олиш чоралари кўрилиши;

муҳофазаланадиган маълумотларни сервер ва компьютерларда сақланиши назорат қилиниши лозим.

79. Назорат қилиш тартиб-қоидалари банкнинг ички ҳужжатлари билан белгиланади, бунда маълумотларни рухсатсиз тарқалишидан ҳимоялаш масъул ходим томонидан амалга оширилади.

80. Банкларда ахборот тизимларидаги маълумотларнинг хавфсизлигини таъминлаш учун антивирус дастурлари ўрнатилиши керак.

81. Банкда антивирус дастурларининг ўрнатилиши ҳамда унинг ишлаши ахборот хавфсизлиги хизмати ва масъул ходим томонидан назорат қилинади.

82. Банклар компьютер вируси аниқланганда, уларнинг тармоқ орқали тарқалишини олдини олиш мақсадида амалга ошириладиган чораларни белгилаши керак.

Банкда компьютер вируси аниқланганда, вируснинг келиб чиқиши ва унинг тури ҳақида Марказий банкка ахборот берилади.

83. Компьютердаги антивирус дастурининг созламаларини банк ходимлари томонидан ўзгартириш имконияти бўлмаслиги керак. Компьютер вируси аниқланганда ходимлар томонидан амалга ошириладиган ҳаракатлар банклар томонидан белгиланади.

Банклар антивирус ҳимояси бўйича лицензияланган дастурларга эга бўлишлари лозим.

84. Банклар томонидан антивирус дастурларини марказлашган ҳолда бошқариш тизими жорий этилиши, антивирус дастурлари базалари хар куни янгиланиб борилиши, антивирус дастури русуми актуал (маънан эскирмаган) бўлиши таъминланиши лозим.

85. Антивирус дастурлари серверлар, компьютерлар, банкоматлар, инфокиосклар ва бошқа барча антивирус дастурлари ўрнатилиши мумкин бўлган ҳисоблаш воситаларига ҳамда қурилмаларга ўрнатилган бўлиши лозим.

12-БОБ. ЭЛЕКТРОН РАҚАМЛИ ИМЗО ВА

ШИФРЛАШ КАЛИТЛАРИДАН ФОЙДАЛАНИШ

86. Банкларда электрон ҳужжатларнинг аслига тўғрилигини тасдиқлаш ва ташқи муҳит таъсиридан муҳофазалаш учун электрон рақамли имзо ва шифрлаш калитлари қўлланилади.

87. Банклар ташқи тизимлар билан ўзаро ишлашида банк таваккалчиликлардан келиб чиққан ҳолда электрон рақамли имзо ва шифрлаш калитларини қўллаш бўйича талабларни ўзаро келишган ҳолда амалга оширади.

88. Автоматлаштирилган банк тизими фойдаланувчиларнинг электрон рақамли имзолари махсус қурилмаларга (ёки мобиль қурилмаларга) ёзилган бўлиши ҳамда ҳар қандай усул билан рухсатсиз нусха олишдан ҳимояланган бўлиши лозим.

89. Электрон тўлов ҳужжатларини киритувчи, тасдиқловчи ва электрон тўловлар билан тегишли амалларни (бош бухгалтер, сўнгги назорат) бажарувчи барча масъул ходимлар электрон рақамли имзо билан таъминланган бўлишлари ва автоматлаштирилган банк тизимларида ушбу электрон рақамли имзодан фойдаланишлари зарур.

90. Банклар тармоқ орқали узатилаётган тўлов маълумотлари электрон рақамли имзо ва шифрлаш калитлари қўлланилган ҳолда ҳимоя қилинишини таъминлайди.

91. Электрон рақамли имзо калити сертификатининг амал қилиш муддати электрон рақамли имзо рўйхатга олинган пайтдан эътиборан йигирма тўрт ойдан ошмаслиги керак. Бунда электрон рақамли имзо калити сертификатининг амал қилиш муддати икки мартадан кўп бўлмаган муддатга узайтирилиши мумкин.

Фойдаланувчиларнинг электрон рақамли имзо очиқ калитларини автоматлаштирилган банк тизимида рўйхатга олиниши ва ҳисоби юритилиши керак.

92. Электрон рақамли имзо калитининг сертификати рўйхатга олиш маркази орқали яратилади, бунда сертификатга қуйидаги маълумотлар киритилади:

электрон рақамли имзо ёпиқ калитининг эгаси бўлган жисмоний шахснинг фамилияси, исми, отасининг исми;

ходимнинг лавозими, шахсини тасдиқловчи ҳужжат маълумотлари;

жисмоний шахснинг шахсий идентификация рақами;

электрон рақамли имзонинг очиқ калити;

мазкур сертификатни берган рўйхатга олиш марказининг номи ва жойлашган манзили;

электрон рақамли имзодан фойдаланиш мақсадлари тўғрисидаги маълумотлар;

электрон рақамли имзолар калитлари сертификатлари реестрининг электрон манзили.

93. Электрон рақамли имзо ва шифрлаш калитлари яратилиши жараёнлари муҳофазаланиши лозим.

94. Электрон рақамли имзонинг ёпиқ калитидан фақат унинг эгаси фойдаланиши лозим.

Банк тизимидаги электрон рақамли имзо калитлари қўлланилиши ахборот хавфсизлиги хизмати томонидан назорат қилинади.

95. Электрон рақамли имзо билан тасдиқланмаган ва шифрлаш жараёнидан ўтмаган электрон тўловлар қайта ишлаш учун қабул қилиниши тақиқланади.

96. Марказий банк томонидан берилган электрон рақамли имзо калитлари бузилганда, йўқотилганда ва бошқа ўхшаш ҳолатларда банклар электрон рақамли имзонинг янгиланиш сабабларини батафсил кўрсатган ҳолда Марказий банкка мурожаат қилади. Марказий банк мурожаат асосида 1 кун ичида электрон рақамли имзони янгилаб беради.

13-БОБ. ЭЛЕКТРОН АРХИВНИ ТАШКИЛ ҚИЛИШ,

ЭЛЕКТРОН АРХИВ ҲУЖЖАТЛАРИНИНГ ТАРКИБИ

97. Электрон архив банк архивининг таркибий бўлинмаси сифатида ташкил қилинади.

98. Электрон архив ўзининг электрон архив ахборот тизимига эга бўлиши ва унинг ахборот ресурслари шакллантирилиши лозим.

99. Электрон архивнинг асосий вазифалари қуйидагилардан иборат бўлиши керак:

электрон ҳужжатларни жамлаш, ҳисобга олиш, уларни сақлаш, шунингдек улардан фойдаланишни таъминлаш;

ахборот ресурсларининг архив нусхаларини тайёрлаш ва уларни қонун ҳужжатларида белгиланган муддатларда давлат сақловига топшириш;

электрон ҳужжатларни расмийлаштириш бўйича банкнинг таркибий бўлинмаларига услубий ёрдам кўрсатиш;

электрон архивнинг ахборот ресурсини ахборот хавфсизлигини таъминлаш.

100. Электрон архив ҳужжатлари таркибига қуйидаги ахборот ресурслари кириши лозим:

банк амалиёти куни электрон маълумотларининг тўлиқ базаси;

муддати тугаган шифрлаш ва электрон рақамли имзо калитларининг очиқ калитлари;

банк амалиёт куни дастурлари ва бошқа алоҳида банкда фойдаланилаётган дастурлар мажмуаси;

электрон тўлов тизимларига боғлиқ дастурларининг, дастурий ва аппарат-дастурий тармоқ қурилмаларининг ҳамда ахборот хавфсизлиги нохуш ҳодисалари билан боғлиқ электрон баённомалари;

электрон почта орқали қабул қилинган ва узатилган тўловларга тегишли (фармойиш, қарор ва бошқа) ҳужжатлар;

шифрланган ва шифрланмаган кўринишдаги барча кирувчи ва чиқувчи электрон тўлов ҳужжатлари;

тижорат банкларининг кредит ва бошқа банк операцияларига тааллуқли маълумотлари;

банкларнинг бошқарув тизимига оид маълумотлар.

101. Банклар ўзининг сиёсати, мавжуд бўлган ахборот тизимлари ва банк олдига қўйилган талаблардан келиб чиқиб, электрон архивда сақланувчи маълумотлар рўйхатини белгилаши мумкин, бунда ушбу рўйхат мазкур Низом талабларини инобатга олиши шарт.

102. Электрон архив белгиланган вазифаларини бажариш учун тегишли техник қурилма-воситалар ва дастурлар билан таъминланган бўлиши керак.

Электрон архивнинг ахборот ресурси ташқи сақловчиларга кўчирилиб, сейфда ёки темир шкафда сақланиши лозим.

103. Асосий иш жараёнидаги маълумотлар ва уларнинг хотирасида (сервер дискларида) сақланаётган маълумотлар электрон архивнинг ахборот ресурси ҳисобланмайди.

104. Банклари электрон архивнинг ахборот ресурси нусхаларини сақланиши учун камида иккита сақлаш жойларини ташкил этишлари лозим.

Электрон архив ҳар куни дастурий равишда ахборот ресурсини шакллантириши (архивланиши), электрон ахборот ташувчи воситаларга ёзилиши жараёни электрон журналда қайд этиб борилиши лозим. Электрон журналда ахборот ресурсига кўчирилган ахборотлар тўғрисида (вақти, номи, ҳажми ва бошқа) маълумотлар ҳамда электрон архив бутлигини аниқлаш мақсадида ушбу ахборотларнинг хеш суммаси (назорат рақамлари) қайд этиб борилиши керак. Электрон архивнинг масъул ходими ушбу ишларни амалга оширганлиги тўғрисида махсус дафтарда қайд қилиб боради.

105. Банкнинг ички аудит хизмати ходими ҳар ойда камида бир марта электрон архивнинг ишларини текшириши ва текширув натижаларини архив ишларини қайд этиш махсус дафтарига киритиб бориши зарур. Камчиликлар аниқланган тақдирда банкнинг ички аудит хизмати томонидан далолатнома расмийлаштирилиши ва камчиликларни бартараф этиш чоралари кўрилиши ташкиллаштирилади.

106. Электрон архив томонидан электрон архивнинг ахборот ресурси маълумотлари ҳар олти ойда бир марта бутлиги юзасидан текшириб турилади ҳамда ушбу текшириш натижалари махсус дафтарда юритилади. Агар электрон архив ахборот ресурслари маълумотлари қисман ёки умуман бузилганлиги аниқланса, тегишли маълумотлар қайта тикланиши ва бу ҳақида далолатнома тузилиши лозим.

107. Электрон архивга топширилган электрон ҳужжатларнинг (электрон ресурсларнинг) сақланиш муддати, қоғоз асосдаги ҳужжатлар учун ўрнатилган муддатлардан кам бўлмаслиги лозим.

Банк томонидан сақланиш муддати доимий бўлган электрон маълумотлар, идоравий архивда ўн беш йил мобайнида сақлангандан сўнг, бир нусхаси ўрнатилган тартибда давлат архивларига топширилиши лозим.

108. Банкнинг филиаллари фаолияти тугатилганда электрон архивнинг ахборот ресурси банкнинг ҳудудий филиалларига, ҳудудий филиаллари мавжуд бўлмаган банклар Бош банкка белгиланган тартибда топширилади. Банк фаолияти тугатилиб бошқа банкка қўшиб юборилганида, электрон архив маълумотлари қўшиб юборилаётган банк электрон архивига белгиланган тартибда топширилади.

109. Банк фаолияти тугатилганда электрон архивнинг ахборот ресурслари Давлат архивига топширилади.

110. Электрон архив ходим(лар)и ахборот ресурсларининг тўлиқлиги, тўғри шаклланганлиги ҳамда ишончлилиги учун шахсан жавобгар ҳисобланади.

14-БОБ. АВТОМАТЛАШТИРИЛГАН БАНК

ТИЗИМИ ИШ ЖАРАЁНИНИНГ УЗЛУКСИЗЛИГИНИ

ВА ҚАЙТА ТИКЛАШНИ ТАЪМИНЛАШ

111. Банклар автоматлаштирилган банк тизими иш жараёнининг узлуксизлигини таъминлаши ҳамда бунинг учун ташкилий ва техникавий чоралар кўришлари керак.

Банклар автоматлаштирилган банк тизими иш жараёнида тўхташлар, техник носозликлар, фавқулодда ҳолатлар ва катта зарар етказувчи ҳолатлар юзага келганда иш узлуксизлигини таъминлаши ва унинг учун тегишли чораларни аввалдан кўрган бўлишлари лозим.

112. Банкда автоматлаштирилган банк тизими иш жараёнлари узлуксизлигини таъминлаш бўйича талаблар ишлаб чиқилиши, шу жумладан узилишлар (тўхташлар) вақтида амалга ошириладиган ишлар (барча ҳолатлар учун) бўйича чоралар режа тасдиқланиши керак. Режада иштирок этувчи ходимлар ҳаракати ёритилиши ва бу ходимлар тегишли тайёргарлик кўриб қўйган бўлишлари керак.

113. Банклар автоматлаштирилган банк тизими қуйи тизимларини қайта тиклаш тартибини ишлаб чиқиши, маълумотларни ва тегишли дастурларини захиралаши, йилда камида икки маротаба қайта тиклаш синов ишларини ўтказиши, амалга оширилган барча ишларни ҳужжатлаштириши лозим. Қайта тиклаш чоралар режаси барча мавжуд ахборот тизимлари, операцион тизимлар ва техник қурилмаларни инобатга олган ҳолда тузилиши лозим.

114. Банк ахборот тизимларини қисқа муддатларда қайта тиклаш мақсадида тегишли электрон маълумотларини шакллантириши керак. Бунда тўлов тизимига боғлиқ банкдаги барча ахборот тизимларининг қайта тикланувчи маълумотлар кечаги кун якунига нисбатан актуал тарзда сақланиши ташкил этилиши керак.

115 Қайта тикланувчи электрон маълумотлар рўйхати, уларни кўчириш (ҳосил қилиш) вақти ва бошқалар банк томонидан белгиланади.

Банклар қайта тикланувчи электрон маълумотларнинг ҳимоясини таъминлаши лозим.

116. Банкнинг ички аудит хизмати ходими ҳар ойда камида бир марта маълумотларни қайта тиклаш тизимининг ҳолатини текшириши ва текширув натижаларини махсус дафтарида қайд қилиб бориши керак. Камчиликлар аниқланган тақдирда бу ҳақида далолатнома расмийлаштирилиши лозим.

117. Автоматлаштирилган банк тизимларининг техник воситалари ишдан чиқиши ҳолатлари юз берганда, тизимнинг бетўхтов ишлашини таъминлаш учун банклар захира тикланиш режаси, дастур ва ускуналарга эга бўлишлари шарт.

118. Автоматлаштирилган банк тизимдаги серверлар ва компьютерлар эксперт тасдиғидан ўтган ёки лицензияга эга бўлган дастурларга эга бўлиши лозим. Тўлов марказидаги серверларнинг қаттиқ дискларидаги маълумотлар мустақил дисклар мантиқий массиви технологиялари (RAID) орқали ҳимоя қилинади.

119. Бош банк автоматлаштирилган банк тизимларини фавқулодда (ёнғин, зилзила, сув тошқини ва бошқа) ҳолатлардан ҳимоя қилиш учун 5 км дан кам бўлмаган масофада захира маркази (АБТ серверлари) ташкил этилиши лозим, мазкур марказ банк филиал(лар)ида ёки бошқа тижорат банкларида ташкил этилиши мумкин.

Банк томонидан захира маркази хонасининг хавфсизлиги таъминланган ва учинчи шахслар банкнинг рухсатисиз захира серверлари билан ишлаши чегараланган бўлиши керак. Захира маркази хонаси банк томондан видеокузатув тизими орқали назоратга олинади. Захира марказини бошқа банкда ташкил этиш ушбу банк билан тузилган шартнома асосида амалга оширилади.

120. Асосий ахборот тизимларида ишлатилаётган дастур ва маълумотларнинг захира нусхалари банкнинг захира марказида сақланади. Захира марказидаги маълумотларнинг қайта тикланиши (синхронизация) даврийлиги кунига бир мартадан кам бўлмаслиги керак.

15-БОБ. СЕРВЕР ХОНАЛАРИНИНГ

ХАВФСИЗЛИК ТАЛАБЛАРИ

121. Банкнинг ҳудудидаги сервер хонасида банкнинг автоматлаштирилган банк тизимининг маълумотлар базаси, веб-серверлари, тўлов тизими ва бошқа серверлар жойлаштирилади.

Агар серверлар филиалларда жойлаштирилса, улар жойлашган хоналарнинг хавфсизлиги бўйича талаблар банк томонидан алоҳида белгиланиши керак.

122. Банк сервер хонанинг кафолатли электр таъминоти тизимини жорий этиши лозим, бунда турли электр подстанциялардан электр таъминотининг иккита киришлари ва битта автоматик тарзда ишга тушувчи дизель электр станцияси мавжуд бўлиши керак. Электр энергиясининг барча учта манбаи электр таъминотининг асосий (захира) фидерига автоматик тарзда қайта уланиши таъминланиши керак.

123. Электр таъминоти линияларининг, автоматик дизель электр станцияси ва унинг захираси автоматик киришининг параметрлари ускуна ва сервер хонаси тизимларининг истеъмол қилинадиган умумий қувватидан келиб чиқиб аниқланиши ва қувват бўйича захиранинг камида 10 фоизи таъминлаши керак.

124. Банк узлуксиз ишлаши учун камида бир суткага етадиган ёқилғи захирасига эга бўлган дизель электр станцияси билан таъминланиши лозим, бунда банкда электр қуввати бўлмаганда дизель электр станцияси автоматик равишда ишга тушиши керак.

125. Банклар сервер хонасини узлуксиз электр таъминоти манбаи (UPS) билан жиҳозлашлари лозим.

Бунда электр таъминоти манбаи (UPS) қуввати барча таъминланадиган ускуна ва келажакдаги эҳтиёж учун захира ҳисобга олинган ҳолда жорий қилинган бўлиши керак. Электр таъминоти манбаи (UPS) орқали автоном ишлаш вақти эҳтиёжлар, шунингдек захира линияларга, автоматик дизель электр станциясига ўтиш ва қайта ўтиш учун керак бўладиган вақт ҳисобга олинади.

126. Сервер хонасига кириш фақат тасдиқланган рўйхатга мувофиқ амалга оширилади.

Сервер хонасига киришга рухсат берилган ходимлар рўйхатида бўлмаган шахслар сервер хонасига кириш зарурати пайдо бўлган ҳолларда уларнинг кириши асосланган ҳолда талабнома билан расмийлаштирилиши лозим. Ушбу талабнома ахборот технологиялари бўлинмаси раҳбари томонидан кўриб чиқилиши ва имзоланиши, шунингдек ахборот хавфсизлиги хизматининг раҳбари билан келишилиши зарур. Сервер хонасига кириш сервер администратори  кузатуви остида амалга оширилади.

127. Сервер хонасига киришни назорат қилиш тизими орқали ходимлар назоратдан ўтган холда (биометрик ёки бошқа усуллардан) кириши керак.

128. Сервер хонасига автоматлаштирилган банк тизимига хизмат кўрсатувчи ташкилотлар ходимлари киритилганда бу ҳақда рўйхатга олиш журналига сервер хоналарига кириш ва чиқиш санаси, вақти, амалга оширилган ишлар номи, бажарувчининг фамилияси, исми, лавозими, ташкилот номи ёзилиши ҳамда ушбу ходимнинг имзоси қўйилиши керак.

129. Сервер хонаси қуйидаги жиҳозланиш талабларига жавоб бериши шарт:

мустаҳкам деворлар ва ишончли тўсиқларга эга бўлиши;

ишончли (кодли) қулфлар ўрнатилган мустаҳкам эшиклар билан жиҳозланиши;

деразалар хонага киришдан ҳимоя қилиш воситаларига эга бўлиши, шунингдек бегона шахсларнинг кўз ёки махсус қурилмалар билан кузатишидан ҳимоя қилувчи дераза  пардалари, қўриқлаш ва огоҳлантириш қурилмалари билан жиҳозланиши;

ёнғин хавфсизлиги талаблари.

130. Сервер хонасига ўрнатилган видеокузатув тизими қуйидаги талабларга жавоб бериши керак:

серверлар билан бевосита жисмоний контактлар ёзиб борилиши;

узлуксиз видеокузатув амалга оширилиши;

серверларнинг (сервер шкафларининг) олди ва орқа тарафини кечаю-кундуз назорат қилиш имконияти бўлиши;

видеокамераларнинг тасвирга олиш имкониятлари технологик қурилмаларга хизмат кўрсатаётган ходимларнинг юзларини ишонч билан фарқлашига етарли бўлиши.

131. Видеокузатув қурилмалар ва бинога (йўлакларга, хоналарга) киришни назорат қилиш тизимлари маълумотлари банк тўлов тизими локал тармоқларидан ажратилган ва ташқи таъсирлардан ҳимоя қилинган бўлиши ҳамда электр таъминоти узилган вақтдан бошлаб 12 соат ичида энергияга боғлиқ бўлмаган ҳолда автоном равишда ишлаш имкониятига эга бўлиши, шунингдек видеоархив 2 ойдан кам бўлмаслиги лозим.

Видеокузатув қурилмалар монтаж ва демонтаж қилиниши осон ва видеотизим масштабланадиган бўлиши керак.

132. Видеоархив маълумотларини юритиш, фойдаланиш банкнинг хавфсизлик бўйича масъул бўлинмаси томонидан амалга оширилади.

133. Сервер хонаси бинонинг ўт ўчириш тизимига боғлиқ бўлмаган автоматик газли ўт ўчириш қурилмаси билан жиҳозланган бўлиши лозим.

Банк сервер хонасида (махсус жиҳозланган шкафда) ёки бунинг учун махсус жиҳозланган хонада бевосита газли ўт ўчириш тизими жойлаштирилишини таъминлаши керак.

Газли ўт ўчириш тизимини ишга тушириш ёнғиндан хабар берувчи тутун хабаргоҳларидан, шунингдек хона ташқарисида, деворга пол сатҳидан 1,5 м баландликда ўрнатилган қўлда ишга тушириладиган хабаргоҳлардан амалга оширилиши керак.

134. Газли ўт ўчириш тизими хонанинг ичкарисида ва ташқарисида жойлашган автоматик газли ўт ўчириш қурилмаси ишга тушганлиги тўғрисида ходимларга хабар берувчи таблога ва хонанинг ташқарисида ўрнатилган товушли хабар берувчи мосламага эга бўлиши керак.

135. Газли ўт ўчириш тизими вентиляция қилиш тизимининг ҳимоя қилувчи клапанлари ёпилиши ва ускунанинг таъминоти узилиши тўғрисида топшириқ берилишини таъминлаши керак.

136. Газ ва тутунни чиқариб юбориш тизими ёнғинни ўчириш тизими ишга тушганидан сўнг сервер хонасидан газ ва тутуннинг чиқиб кетишини таъминлаши керак. Ушбу тизим бинонинг вентиляция тизимидан алоҳида бино томига ҳаво қувури чиқарилган ҳолда бажарилади. Тизим сервер хонасидаги ҳаво ҳажмидан уч ҳисса ошадиган ҳажмдаги газ ҳаво аралашмаси чиқариб ташлаш имкониятига эга бўлиши керак.

137. Совитиш ва вентиляция қуйи тизимига қўйиладиган асосий талаблар:

a) сервер хонасида қуйидаги иқлим шароитларига риоя қилиниши керак:

хонадаги ҳаво ҳарорати: 18-24°С;

ҳароратнинг йўл қўйиладиган оғишлари: ± 2°С;

ҳавонинг нисбий намлиги 40-50 фоиз;

ҳавони совитиш тизимининг ҳақиқий совитиш қуввати сервер хонасида жойлашган барча ускуналар ва тизимларнинг умумий иссиқлик чиқаришидан ортиқ бўлиши керак;

б) сервер хонасининг ҳавосини совитиш тизими 100% захиралашдан фойдаланган ҳолда бажарилади (камида, ҳар бири мустақил равишда хонанинг ҳаво режимини таъминлай оладиган иккита мустақил кондиционер);

в) совитиш тизими масофадан мониторингни амалга ошириш имкониятини таъминлаши керак.

16-БОБ. БАНКНИНГ ТАШҚИ АХБОРОТ ТИЗИМЛАРИ

БИЛАН АХБОРОТ АЛМАШИНУВИДА АХБОРОТ

ХАВФСИЗЛИГИНИ ТАЪМИНЛАШГА

ҚЎЙИЛГАН ТАЛАБЛАРИ

138. Банк бошқа юридик ташкилотнинг ахборот тизими (бундан буён матнда ташқи ахборот тизими деб юритилади) билан ахборот алмашинувини амалга ошириш шартнома асосида амалга оширилади.

139. Банк ва ташқи ахборот тизими орасида ахборот алмашинуви амалга оширилиши учун қуйидаги ахборот хавфсизлиги талаблари белгилаб олиниши керак:

банк томонидан бериладиган маълумотлар рўйхати ва шакли;

банк ахборот тизимига кириш имкониятларини чегаралаш чора-тадбирлари;

ахборот алмашинувида аутентификация ва идентификация жараёнлари;

электрон рақамли имзо, шифрлаш ва бошқа ахборот муҳофазаси қурилмалари, дастурлари ва ускуналари;

банк сири маълумотларини ташқарига чиқишини олдини олиш;

мазкур Низомда кўрсатилган тармоқ хавфсизлиги талаблари ва бошқа ахборот муҳофазаси талаблари бажарилиши;

ахборот алмашинувида қатнашувчи ходимларни тайинлаш, уларнинг вазифалари,  мажбуриятлари ва жавобгарликлари.

140. Банк ташқи ахборот тизими билан ахборот алмашинувини амалга оширишда Марказий банкнинг ахборот муҳофазаси бўйича бошқа талабларига риоя этиши зарур.

17-БОБ. АХБОРОТ ХАВФСИЗЛИГИ ТАЛАБЛАРИ

УСТИДАН НАЗОРАТ

141. Банк ахборот хавфсизлиги таъминланганлигини аниқлаш мақсадида ташқи ташкилотлар хизматидан фойдаланиши ва ички аудитини амалга ошириши мумкин.

142. Ташқи ташкилот хизматлари аудит ёки экспертиза кўринишида амалга оширилиши мумкин. Банк аудит ёки экспертиза ишларини ўтказувчи ташкилотларга конфиденциал, шу жумладан банк сири маълумотларини тақдим этиш юзасидан ички ҳужжат ишлаб чиқиши лозим, бунда ушбу маълумотлар тегишли шартнома асосида берилиши керак. 

143. Бош банкнинг Ахборот хавфсизлиги хизмати ходимлари банк ва филиалларида мазкур Низом талабларининг бажарилиши устидан доимий назорат олиб боришлари лозим.

18-БОБ. ЯКУНИЙ ҚОИДАЛАР

144. Мазкур Низом талабларининг бузилишида айбдор бўлган шахслар қонун ҳужжатларида белгиланган тартибда жавобгар бўлади.

145. Мазкур Низом Ўзбекистон Республикаси Ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги, Ўзбекистон Республикаси Инновацион ривожланиш вазирлиги ва Ўзбекистон Республикаси "Ўзархив" агентлиги билан  келишилган.

Қонун ҳужжатлари маълумотлари миллий базаси (www.lex.uz),

2020 йил 10 март