ID Муаллиф Муҳокамага чиқариш санаси Якунланиш санаси Таклифлар сони
11150 Центральный банк Республики Узбекистан 16/12/2019 28/12/2019 0

Муҳокама якунланди

Идораларнинг буйруқ ёки қарори
Ўзбекистон Республикаси тижорат банклари автоматлаштирилган банк тизимларида ахборотни муҳофаза қилиш тўғрисида низом
ID-11150

Лойиҳа

 

 

 

 

 

 

 

 

 

Ўзбекистон Республикаси тижорат банклари автоматлаштирилган банк тизимларида ахборотни муҳофаза қилиш тўғрисидаги низомни тасдиқлаш ҳақида

 

Ўзбекистон Республикасининг “Автоматлаштирилган банк тизимида ахборотни муҳофаза қилиш тўғрисида”ги Қонуни ва Ўзбекистон Республикаси Президентининг
2018 йил 8 августдаги ПФ–5505-сон “Норма ижодкорлиги фаолиятини такомиллаштириш концепциясини тасдиқлаш тўғрисида”ги Фармонига мувофиқ Ўзбекистон Республикаси Марказий банки Бошқаруви қарор қилади:

  1. Ўзбекистон Республикаси тижорат банклари автоматлаштирилган банк тизимларида ахборотни муҳофаза қилиш тўғрисидаги низом иловага мувофиқ тасдиқлансин.
  2. Мазкур қарор расмий эълон қилинган кундан эътиборан уч ойдан кейин кучга киради.

 

 

Марказий банки раиси

 

 

М.Б. Нурмуратов

 

 

Тошкент ш.,

20__ йил __ ______

__/___-сон

 

 

 

 

Лойиҳа

 

Ўзбекистон Республикаси тижорат банклари автоматлаштирилган банк тизимларида ахборотни муҳофаза қилиш тўғрисида

НИЗОМ

Мазкур Низом Ўзбекистон Республикасининг “Ўзбекистон Республикасининг Марказий банки тўғрисида”, “Банклар ва банк фаолияти тўғрисида, “Архив иши тўғрисида, “Ахборотлаштириш тўғрисида, “Банк сири тўғрисида, “Электрон рақамли имзо тўғрисида ва “Автоматлаштирилган банк тизимида ахборотни муҳофаза қилиш тўғрисидаги қонунларига мувофиқ ишлаб чиқилган.

1. Умумий қоидалар

  1. Ушбу Низом Ўзбекистон Республикаси тижорат банкларининг автоматлаштирилган банк тизимларида ахборотни муҳофаза қилишнинг умумий талабларини ва кўриладиган чора-тадбирларини белгилайди.
  2. Тижорат банклари мазкур Низом талаблари асосида, ўз хусусиятларидан келиб чиқиб, ички тартиб ва қоидаларини ишлаб чиқишлари лозим. Ушбу ички тартиб
    ва қоидалар мазкур Низомда белгиланган меъёрларга зид келиши мумкин эмас.

2.Атамалар ва таърифлар

  1. Ушбу Низомда қуйидаги атамалар тегишли таърифлари билан қўлланилган:

ахборот хавфсизлиги - ахборот муносабатларининг субъектларига номақбул зиёнларни келтириши мумкин бўлган табиий ёки сунъий хусусиятли тасодифий
ёки қасддан қилинган таъсирлардан ахборот ва таъминлаб турадиган инфраструктуранинг муҳофаза қилинганлиги;

ахборот тизими - ахборотни тўплаш, сақлаш, излаш, унга ишлов бериш ҳамда ундан фойдаланиш имконини берадиган, ташкилий жиҳатдан тартибга солинган жами ахборот ресурслари, ахборот технологиялари ва алоқа воситалари;

автоматлаштирилган банк тизими - банк фаолияти соҳасида ахборотни тўплаш, сақлаш, излаш, унга ишлов бериш ва ундан фойдаланишни амалга ошириш учун мўлжалланган ахборот тизими;

ахборот хавфсизлиги ҳужжатлари - ахборот хавфсизлиги бўйича қоидалар, умумий принциплар ёки характеристикалар акс эттирилган ҳужжат;

ички ҳужжат – ҳужжатни қабул қилган банкнинг ваколатидан ташқарига чиқмаган расмий ҳужжат;

антивирус дастури - вирусга қарши дастур, вирусларни аниқлаш учун мўлжалланган ва уларни йўқ қилиш таклифини бериши мумкин бўлган ёки йўқ қилувчи дастур;

антивирус ҳимояси - антивирус дастурлари ёрдамида компьютер вируслари таъсирининг олдини олиш, вирусларни топиш ва зарарсизлантиришга қаратилган
чора-тадбирлар мажмуи;

ахборот активлари – ахборот ресурслари, ахборотни қайта ишлаш қурилмалари ва бошқа банк учун муҳим бўлган ахборотлар;  

ахборот ресурслари – ахборот тизими таркибидаги электрон шаклдаги ахборот, маълумотлар банки, маълумотлар базаси;

ҳужум - ахборот активларини йўқ қилиш, очиш, ўзгартириш, блокировкалаш, тутиб олиш,  рухсат этилмаган фойдаланиш ҳуқуқини олиш ёки ахборот активларидан рухсатсиз фойдаланишга уриниш;

ахборот хавфсизлиги инциденти - ахборот хавфсизлигининг ягона воқеаси ёки бир қатор ноҳуш ёки кутилмаган воқеалари бўлиб, ушбу воқеалар туфайли бизнес ахборотни компрометация қилиш эҳтимоли ва ахборот хавфсизлигига таҳдидлар эҳтимоли катта бўлади;

аутентификация қилиш - фойдаланувчи (тармоқ абоненти, хабар жўнатувчи), дастур, қурилма ёки маълумотлар (ахборот, олинадиган хабар, калит)нинг ҳақиқийлигини белгилаш процедураси;

рискни бошқариш жараёни - банкни бошқариш сиёсати, процедуралари
ва усулларига мувофиқ бажариладиган ахборот алмашинуви, маслаҳатлашувлар, мақсадларни белгилаш, қўллаш соҳаси, рискни идентификация қилиш, тадқиқ қилиш, баҳолаш, қайта ишлаш, мониторинг ва таҳлил қилиш бўйича ўзаро боғланган хатти-ҳаракатлар;

тахдид - тизим ёки ташкилотга зарар келтириши мумкин бўлган номақбул инцидентнинг потенциал сабаби;

назорат қилиш - объектнинг ҳақиқий ҳолатини кузатиш,текшириш
ва ҳодисаларни қайд этиш;

рад этиб бўлмаслик (non-repudiation) – амалга оширилган ёки юзага келган, харакат ёки ҳодисани, кейинчалик шу ҳаракат ёки ҳодисани рад этиб бўлмайдиган қилиб, тасдиқлаш қобилияти;

ҳисобдорлик (accountability) - ҳар қандай мантиқий объектнинг ўз ҳаракатларини бир хилда кузатиб турилишини таъминлайдиган хусусият;

мониторинг - тизим, жараён ёки фаолият ҳолатини аниқлаш;

сервер хонаси – банк серверлари, телекоммуникация қурилмалари, узлуксиз қувват манбалари ва бошқа хисоблаш техникалари жойлашган хона тушунилади;

электрон архив – архив мақомига эга бўлган, ташкилот электрон ҳужжатларини жамловчи, ҳисобга олувчи, сақловчи ва фойдаланишни амалга оширувчи банкнинг таркибий бўлими;

электрон архивнинг ахборот ресурси – электрон архивнинг ахборот тизими таркибидаги электрон шаклдаги ахборот, маълумотлар банки, маълумотлар базаси,
шу жумладан ташқи ахборот ташувчилардаги электрон ҳужжатлар;

электрон архив ахборот тизими – электрон ҳужжатларнинг сақловини, конфиденциаллигини таъминловчи, ҳужжатлардан фойдаланишни чекловчи, фойдаланиш тарихи тўғрисидаги маълумотларни олиш имконини берувчи тезкор ва қулай таркибий дастурий тизим;

тармоқларароэкран – тизимга келиб тушадиган ва/ёки тизимдан чиқиб кетадиган ахборотнинг назорат қилинишини амалга оширадиган локал (бир компонентли)
ёки функционал тақсимланган дастурий (дастурий - аппарат) восита (комплекс);

маршрутизатор (router) - маршрутизация протоколлари механизмлари
ва алгоритмлари асосида, трактларни ёки маршрутларни танлаш орқали турли тармоқлар ўртасидаги маълумотлар оқимини ўрнатиш ва бошқариш учун фойдаланиладиган тармоқ қурилмаси;

хеш суммаси – криптографик алгоритм ёрдамида хисобланган, файл бутлигини текшириш суммаси;

шахсга доир маълумотлар — муайян жисмоний шахсга тааллуқли бўлган ёки уни идентификация қилиш имконини берадиган, электрон тарзда, қоғозда ва (ёки) бошқа моддий жисмда қайд этилган ахборот.

 

3. Қисқартмалар

    1. Ушбу Низомда қуйидаги қисқартмалар қўлланилган:

IDS ( Intrusion Detection System)– ҳужумни аниқлаш тизими;

IPS (Intrusion Prevention System) — ҳужумни олдини олиш тизими;

SSL (Secure Sockets Layer) — муҳофазаланган ахборот алмашинуви протоколи;

VPN (Virtual Private Network) — виртуал тарзда ажратилган тармоқ;

FTP (File transfer protocol) – файлларни узатиш протоколи;

DLP (Data Leak Prevention) — маълумотларни рухсатсиз тарқалишидан ҳимоялаш тизими;

RAID (Redundant Array of Independent Disks) – мустақил дисклар мантиқий массиви;

NAT (Network address translation) – тармоқ адресларини ўзгартириш;

TCP/IP – тармоқ протоколи;

MAC манзили – қурилманинг жисмоний адреси (рақами);

DMZ (Demilitarized Zone) - демилитаризация қилинган ҳудуд, ахборот периметрининг муҳофаза қилинишини таъминлаш технологияси, ташқи тармоқдан келаётган сўровларга жавоб берувчи ёки у ерга сўровларни юборувчи серверлар жойлашган тармоқнинг алоҳида ҳудуди;

SIEM (Security information and event management) — ахборот хавфсизлиги ходисаларини реал вақтда таҳлил қилиш, ахборот хавфсизлиги ҳолатини мониторинг қилиш имконини берувчи тизим.

4.Кириш

    1. Тижорат банклари (кейинги ўринларда банклар) фаолияти барқарорлигини таъминлашнинг муҳим шартларидан бўлган, ахборот тизимларининг (шу жумладан ахборот активларининг) хавфсизлигини зарур ва етарли даражада таъминлашлари лозим.
    2. Банклар ахборот хавфсизлиги фаолиятидаги салбий ҳолатлар Ўзбекистон Республикаси тўлов тизимларида узилишлар содир бўлишига ва мижозлар манфаатларига зарар етказилишига сабаб бўлиши мумкин. Ахборот хавфсизлиги инцидентларининг юзага келиши Ўзбекистон Республикаси банк тизимига ва тўлов тизимларига зарар етиш хавфини кўчайтиради. Шу сабабларга кўра, ахборот хавфсизлигини таъминлаш банклар фаолиятининг асосий йўналишларидан биридир. Бундай таҳдидларга қарши курашиш учун банклар ахборот хавфсизлигини етарли даражада таъминлашлари ва ушбу ахборот хавфсизлиги даражасини бутун иш фаолияти  давомида сақлаб туришлари зарур.

 

 

5.Ахборот хавфсизлиги хизмати

    1. Банкларда автоматлаштирилган банк тизимида ахборотни муҳофаза қилиш хизмати (департамент, бошқарма, бўлим ёки бошқа бўлинмаларнинг бири сифатида) ташкил этилиши керак.
    2. Ахборот хавфсизлиги хизмати ходимларининг сонини белгилашда қуйидагиларни инобатга олиш зарур:

ахборот хавфсизлиги хизматига юклатилган вазифалар;

ходимларнинг малакаси;

ахборот ресурслари ва ахборот тизимлари сони;

ахборот муҳофазаси тизимларининг марказлашган ҳолда бошқарилиши автоматлаштирилганлик даражаси.

    1. Филиаллар тармоғига эга бўлган банклар ахборот хавфсизлиги хизматининг жойлардаги вазифаларидан келиб чиқиб ходимлар тайинлайдилар.
    2. Ахборот хавфсизлиги хизмати (департамент, бошқарма, бўлим ёки бошқа турдаги бўлинмалар) ўзларининг низомлари (ёки лавозим йўриқномалари)да белгиланган мақсад ва вазифаларни амалга ошириш учун етарли ваколатлар ва ресурсларга эга бўлиши шарт ва ушбу ваколат ва ресурслардан бошқа мақсадларда фойдаланиш қатъиян таъқиқланади.
    3. Банклар ахборот хавфсизлиги хизмати ва ахборот технологиялар бўлинмаларининг мустақиллиги, уларнинг турли бошқарув аъзоларига ёки уларнинг бирини тўғридан-тўғри Бошқарув Раисига бўйсинишини таъминлаш йўли билан амалга оширилади.
    4. Ахборот хавфсизлиги хизмати ходимларининг малакалари доимий ошириб борилиши зарур, тегишли йўналишда 2 йилда 1 маротабадан кам бўлмаслиги керак.
    5. Ахборот хавфсизлиги хизмати ходимининг ҳаракатлари ёки ўз вазифасини бажармаслиги натижасида ахборот хавфсизлиги тизимида такрорий ёки бир маротабалик қўпол қоидабузарлик аниқланса ва бу ҳолат автоматлаштирилган банк тизимининг вақтинча тўхташига, тўлов маълумотларининг ноқонуний ўзгаришига, банк ёки мижозга зарар етказилишига олиб келганда, ушбу ходимга нисбатан қонунчиликда белгиланган тартибда чора кўриш лозим.
    6. Ахборот хавфсизлиги хизмати:

ахборот хавфсизлигини бошқариш тизимини ташкил қилади, банкнинг ахборот хавфсизлиги талаблари банк бўлинмалари ва ходимлари томонидан бажарилишини ташкиллаштиради ва назорат қилади;

ахборотни муҳофаза қилиш масалаларида услубий ва амалий ёрдам кўрсатади;

банкнинг ахборот хавфсизлиги сиёсатини ишлаб чиқади ва ушбу меъёрий-ҳуқуқий ҳужжат талаблари асосида доимий равишда назорат ва мониторинг ишларини олиб боради;

банкнинг ахборот хавфсизлиги жараёнини методик қўллаб-қувватлайди;

автоматлаштирилган банк тизимида ахборотни муҳофаза қилиш тизимини лойиҳалаш, синовдан ўтказиш ва қабул қилиб олиш, амалиётда қўллаш жараёнларида иштирок этади, ушбу жараёнларда банк сирига оид ва бошқа конфиденциал маълумотларни четга чиқишини олдини олади;

ўз ваколати доирасида банкнинг ахборот хавфсизлигини бошқариш, таъминлаш
ва назорат қилиш усуллари, воситалари ва механизмларини танлаш, татбиқ этиш
ва қўллашни амалга оширади;

автоматлаштирилган банк тизимида ахборотдан рухсатсиз фойдаланишга уринишлар бўлганлиги, унга бошқача шаклда аралашилганлиги аниқланганда ҳамда тизимнинг ишлаш қоидалари бузилганда мазкур тизимдаги ахборотни муҳофаза қилиш чора-тадбирларини кўради;

ахборот тизимларига таҳдидлар ва ҳужумларни аниқлайди, таҳлил қилади ҳамда уларни зудлик билан бартараф этиш чораларини кўради;

ахборот хавфсизлиги инцидентлари тўғрисидаги маълумотларни йиғади, қайта ишлайди, таҳлил қилади ва сақлайди. Ахборот хавфсизлиги инцидентларини текшириш бўйича чора-тадбирлар кўради;

ахборотни муҳофаза қилиш чора-тадбирларининг ҳолати ва самарадорлигини таҳлил этади;

ахборот хавфсизлиги дастурий таъминотлари ва аппарат-дастурий қурилмаларининг тўғри ишлашини назорат қилади ва таъминлайди. Ахборот хавфсизлигини таъминлаш билан боғлиқ  мониторинг ишларини ташкиллаштиради ва амалга оширади;

ахборот хавфсизлиги масалалари бўйича қарорларни қабул қилиш учун банк бошқарувига таклифлар тайёрлайди;

ахборот ресурслари ва ахборот тизимларида ахборот хавфсизлиги чораларини кўриш учун талабларни белгилайди;

банкнинг ахборот ресурслари ва ахборот тизимларида ахборот хавфсизлигини таъминлаш ва назорат қилиш бўйича режаларни тузади;

ахборот хавфсизлиги сиёсатида белгиланган талабларни ахборот тизимларида бажарилишини таъминлайди ва назорат қилади;

ахборотнинг сақланишини таъминлаш устидан назоратни ташкил этади;

ахборот тизимларида тўхташ ва авария холатлари содир бўлганда тизимларни қайта тиклаш жараёнида иштирок этади ва ахборот тизимларининг тўлиқ ишчи ҳолатига келишини назорат қилади;

банк ҳужжатларига мувофиқ бошқа ваколатларни амалга оширади.

    1. Ахборот хавфсизлиги хизмати банк раҳбари томонидан тасдиқланган Низоми
      ва лавозим йўриқномаларида ходимларнинг вазифалари, ҳуқуқлари ва жавобгарликлари батафсил ёритилиши керак.

6.Ахборот хавфсизлиги ҳужжатлари

    1. Ахборот хавфсизлиги ягона концептуал ва методик асосда ҳуқуқий, ташкилий, дастурий, техникавий ва бошқа чораларни қўллаш орқали комплекс ёндошган ҳолда таъминланиши керак.
    2. Ахборот ресурслари ва ахборот тизимларида ахборот хавфсизлигини таъминлаш билан боғлиқ барча амалий ишлар, ҳақиқатдан бажарилганлиги (ёзма ёки электрон тарзда) ўз тасдиқига эга бўлиши керак.
    3. Банкнинг ахборот хавфсизлиги соҳасидаги фаолиятини тартибга солувчи ички меъёрий ҳужжатлар, банкдаги мавжуд барча ахборот тизимлари ва ахборот ресурслари учун ахборот хавфсизлигини таъминлаш талабларини ўз ичига олиши лозим.
    4. Ахборот хавфсизлиги бўйича белгиланган қоидалар ва талаблар тўғрисидаги ҳужжатлар банкнинг ҳар бир ходимига таништирилиши лозим. Ахборот хавфсизлигини белгиловчи қоидалар ва талаблар низом, йўриқнома, мажбуриятнома ёки бошқа ҳужжат шаклида бўлиши мумкин. Ходимлар иш фаолияти давомида ушбу ҳужжатларга қатъий риоя қилишлари керак.
    5. Банкнинг ахборот хавфсизлиги соҳасида фаолиятини тартибга солувчи ички меъёрий ҳужжатлар ўз таркибига қуйидагиларни олиши керак:

ахборот хавфсизлиги сиёсати;

ахборот хавфсизлигини таминловчи ходимлар учун қоидалар;

белгиланган ишлар бажарилганлиги тўғрисидаги далиллар шакли ва рўйхати;

белгиланган ишларни ўз вақтида ва сифатли бажарилишида банк ходимларининг жавобгарликлари.

    1. Банкларда ахборот хавфсизлигини таъминлаш қуйидаги ҳужжатлар асосида амалга оширилади:

ахборот хавфсизлиги йўналишидаги амалдаги қонунчилик ва меъёрий ҳужжатлар;

Ўзбекистон Республикаси Марказий банкининг ушбу соҳага оид меъёрий ҳужжатлари, қарор ва фармойишлари;

ахборот хавфсизлигини таъминлаш бўйича банкларнинг ички ҳужжатлари.

    1. Ички ҳужжатларни ишлаб чиқишда халқаро талаб ва стандартлар инобатга олиниши мумкин. Ички ҳужжатлар Ўзбекистон Республикаси қонунлари ва бошқа меъёрий ҳужжатларига зид келмаслиги керак.
    2. Агар банк филиаллар тармоғига эга бўлса, ҳар бир филиалда банкнинг тасдиқланган ахборот хавфсизлиги ҳужжатлари тўплами бўлиши керак. Муайян филиалларнинг хусусиятларини ҳисобга олиш зарур бўлса, улар ушбу хусусиятларни инобатга олган ҳолда ўз ички ҳужжатларини ишлаб чиқишлари керак. Банк филиалининг ахборот хавфсизлиги тўғрисидаги ҳужжатлари бош банк томонидан қабул қилинган ахборот хавфсизлигини таъминлаш бўйича ҳужжатларда кўрсатилган қоидаларга асосланиши ва уларга зид бўлмаслиги шарт.

7.Банк сирининг ошкор этилишидан ҳимоялаш

    1. Банк раҳбари ахборот хавфсизлиги хизмати, ахборот технологиялар бўлинмаси ва юридик хизмат ходимлари билан биргаликда қуйидаги тадбирларни амалга оширилишини таъминлашлари зарур:

банкка ёки унинг бўлинмасига тааллуқли бўлган банк сирини ташкил этувчи маълумотлар рўйхатини аниқлаш;

зарур ҳолларда, етказилган зарарни қоплаш мақсадида, қонунчилик талабларидан келиб чиққан ҳолда, ҳар бир ходим билан банк сири ва конфиденциал маълумотларни сир сақлаш бўйича мажбуриятномани имзолаш;

ахборотларни жамлаш ва қайта ишлаш жараёнида банк сири маълумотларини муҳофаза қилиш мақсадида, ушбу жараёнда қатнашувчи ходимларнинг рухсат этилмаган ахборотлардан фойдаланишларига йўл қўймаслик юзасидан тадбирлар ишлаб чиқиш ҳамда уларни амалга ошириш;

банк сири маълумотларини ўзида сақловчи компьютерлар ва улардаги ҳужжатларнинг ишончли сақланишини таъминлаш;

банк сири маълумотларини ошкор қилинишини олдини олишнинг бошқа чораларини кўриш;

Вазирлар Маҳкамасининг 2015 йил 16 октябрдаги 295-сон қарори ҳамда
2011 йил 7 ноябрдаги 296-сон қарорининг 2-иловасида келтирилган “Махфий маълумотлар рўйхати” асосида тегишли чоралар кўриш;

“Шахсга доир маълумотлар тўғрисида”ги қонунда кўрсатилган талаблар бажарилишини таъминлаш.

    1. Телекоммуникация тармоғи орқали давлат сири тоифасига кирувчи маълумотлар узатилиши қатъиян ман этилади.
    2. Марказий банкнинг фармойиши ва мувофиқлаштирилган режа-жадвали асосида тижорат банкларида амалга оширилаётган текширишлар ва ўрганишлар вақтида, текширувчиларга қоғоз ҳужжатлар билан бир қаторда электрон маълумотлардан  фойдаланишга рухсат этилади.

8.Ахборот хавфсизлигини бошқариш тизимини ташкил этиш

    1. Банкларнинг энг муҳим ахборот активлари бу банк фаолияти билан боғлиқ ахборотлари ҳисобланади. Ахборот хавфсизлиги талабларининг бузилиши банкларнинг молиявий йўқотишлари, обрўсига зарар етказилиши, шу жумладан мижозлар
      ва ҳамкорларнинг ишончини йўқотишлари ва банклар рақобатбардошлигини камайиши каби жиддий салбий оқибатларга олиб келиши мумкин. Бу каби салбий оқибатларни олдини олиш мақсадида банклар ахборот хавфсизлигини таъминлаш тизимини ташкил этишлари лозим.
    2. Банк ҳуқуқий, ташкилий, техник чоралар ва ахборот муҳофазаси тизимлари (қурилмалари) йиғиндиларидан иборат ахборот хавфсизлигини таъминлаш тизимини ташкил этишлари керак.
    3. Ахборот хавфсизлигини таъминлаш тизими қуйидаги принципларда амалга ошириши керак:

турли ахборот хавфсизлиги хатарларини аниқлаш, бартараф этиш ва олдини олиш;

барча ахборот тизимлари ва ахборот ресурсларининг ахборот муҳофазасини таъминлаш;

тажрибадан ўтган ечимларни қўллаш;

юқори ишончга эга бўлган, хизмат кўрсатилиши осон бўлган тизим қурилма
ва ускуналарни қўллаш;

барча жараён ва қурилмалардаги маълумотлар бўйича маълумотлар қайд этиб бориш, ахборот хавфсизлигини бузилиши, дастур, қурилма ва фойдаланувчиларнинг ишларидаги ўзгаришларни аниқлаш;

иш жараёни соддалиги ва максимал даражада харакатларни автоматлаштириш;

муҳофаза тўсиқлари бир неча поғоналарда бўлиши;

тизимлар ахборот хавфсизлиги узлуксиз таъминланиши;

инцидентларни олдини олиш ва юзага келганда уларни бартараф этиш ва тизимлар иш фаолиятини қайта тиклаш;

ахборот хавфсизлигини доимий мукаммаллаштириб бориш.

    1. Ахборот хавфсизлигини таъминлаш тизимига қуйидагилар кириши керак:

жисмонан киришни назорат қилиш;

тармоқ муҳофазаси;

ахборот тизимларига киришни бошқариш ва назорат қилиш;

зарар келтирувчи дастур(компьютер вируслари ва бошқалар)дан муҳофаза қилиш;

муҳофаза қилинаётган маълумотлар ва дастурларни назорат қилиш, қайта тиклаш, бутлигини аниқлаш, мониторингини юритиш;

маълумотларни қайта ишлаш, сақлаш ва узатилишда махфийлигини таъминлаш;

веб ресурслар, маълумотлар баъзаси, маълумотлар сақланиш омборлари ва бошқа ахборот ресурсларини турли ахборот хавфсизлиги хатарларидан сақлаш; 

ахборот муҳофазасини таъминланганлик даражасини текшириш, таҳлил қилиш
ва баҳолаш;

электрон рақамли имзо калитлари ва сертификатларини яратиш, тақсимлаш
ва бошқариш;

маълумотларни четга чиқишни олдини олиш.

    1. Ахборот хавфсизлиги хизмати ахборот хавфсизлигини таъминлаш тизимнинг назоратини олиб боришга масъул.

9.Ахборот хавфсизлиги рискларини бошқариш

    1. Банклар ахборот хавфсизлиги рискларини бошқаришда O’z DSt ISO/IEC 27005:2013 стандартидан фойдаланишлари зарур.
    2. Банклар автоматлаштирилган тизимларда хатоликлар ва ташқи салбий таъсирлар натижасида юзага келиши мумкин бўлган ахборот хавфсизлиги рискларини бошқариш тизимини яратишлари керак.
    3. Ахборот хавфсизлиги рискларини бошқариш тизими:

ахборот хавфсизлиги рискларини аниқлаш, йиғиш ва рўйхатга олиш, мониторинг қилиш, баҳолаш, рискларни камайтириш ва назорат қилиш;

ахборот хавфсизлиги рискларини бошқариш учун ходимларга вазифалар юклаш;

рискларни бошқариш дастурий таъминотларини ишлатишни таъминлаш лозим.

    1. Ахборот хавфсизлиги хизмати томонидан банкда ахборот хавфсизлигини таъминлаш юзасидан маълум бўлган рисклар ва қўлланиладиган бошқариш воситалари, усулларининг рўйхати тузилиб, Ахборот хавфсизлиги хизматини мувофиқлаштирувчи банк раиси ёки банкнинг раис ўринбосари томонидан тасдиқланиши лозим.
    2. Банклар ички ҳужжатлари билан бўлинмаларнинг ахборот хавфсизлиги рискларини бошқариш регламентини ишлаб чиқишлари керак.
    3. Ахборот хавфсизлиги рискларини бошқариш тартиб-таомилларини амалга ошириш натижалари ҳужжатлаштириши ва йилига камида бир маротаба Ахборот хавфсизлиги хизматини мувофиқлаштирувчи банк раиси ёки банкнинг раис ўринбосари томонидан кўриб чиқиши ва рискларни қабул қилиш ва қайта ишлаш бўйича масалалар,  уларни бартараф этиш юзасидан қарорлар қабул қилиниши лозим.
    4. Рисклар қайта баҳоланиши, кейинги ҳаракатлар (ишлар) тўғрисида қарорлар қабул қилиниши учун, рисклар таҳлил қилиниши керак. Рискларнинг салбий оқибатларини зарур даражагача камайтириш чоралари кўрилиши зарур. Ахборот хавфсизлиги хизмати кам учрайдиган, лекин жиддий рискларни назоратга олиши керак.
    5. Ахборот хавфсизлиги хизмати ҳамда Ахборот хавфсизлиги инцидентини бартараф этиш бўйича ишчи гуруҳ Ахборот хавфсизлиги хизматини мувофиқлаштирувчи банк раиси ёки банкнинг раис ўринбосарига ўз вақтида банк рисклари бўйича тегишли маълумотларни тақдим этиб боради.
    6. Банкда рискларга нисбатан иш жараёнлари ҳамда фавқулодда вазиятлар учун бўлинмалар ўртасида маълумотлар алмашиниш режалари ишлаб чиқилиши керак.

10.Ахборот хавфсизлиги инцидентини бартараф этиш

    1. Банкларда ахборот хавфсизлиги сиёсатининг бузилиши, ахборот технологиялари иштирокида банкка ёки мижозга зарар етказилиши ахборот хавфсизлиги инциденти ҳисобланилади. Ахборот хавфсизлиги инциденти ахборотнинг бир ёки бир нечта асосий хусусиятларини бузилишига олиб келади, яъни:

махфийликнинг бузилиши;

яхлитликнинг бузилиши;

технологик жараённинг бузилиши;

эркин фойдаланиш ҳуқуқининг бузилиши;

рад этилмаслик (ҳисобдорлик) тамойилининг бузилиши.

    1. Банкда инцидентлар тўғрисидаги маълумотларни олиш учун мониторинг тизимлари ташкил этилиши керак.
    2. Банклар ахборот хавфсизлиги инцидентини бартараф этиш бўйича ишчи гуруҳ ташкил этади. Ишчи гуруҳ таркибига қуйидагилар кириши мумкин:

ахборот хавфсизлигининг масъул ходими;

тармоқ ва ахборот тизимлари администраторлари, мутахассислари;

юрист;

бошқа тегишли бўлинмаларнинг тегишли ходимлари ва мутахассислари.

Тармоқ ва ахборот тизимлари администраторлари буйруқ билан тайинланадилар.

    1. Инцидентни бартараф этиш учун ташқи экспертлар ёки техник хизмат кўрсатувчи ташкилот мутахассислари жалб қилиниши мумкин. Инцидентни бартараф қилиш учун ташқи экспертлар жалб қилинганда, банк ва ташқи компания ўртасида конфиденциал маълумотларни ошкор қилмаслик тўғрисидаги шартнома тузилиши керак.
    2. Ишчи гуруҳ инцидентни аниқлаш жараёнида ахборот хавфсизлиги мониторинги тизими маълумотларидан фойдаланади ва бунда ахборот хавфсизлиги инциденти рўй берган вақтдаги ахборот тизимларидаги ҳодисалар ҳақида ахборотни
      ўз ичига олган электрон журналлар бутлигини таъминлайди.
    3. Ишчи гуруҳ ахборот хавфсизлиги инциденти, шу жумладан инцидентни аниқлаш жараёни ҳақидаги маълумотларни ҳужжатлаштириши ва тўпланган маълумотларнинг ҳуқуқий аҳамиятга эга бўлишини таъминлаши зарур.
    4. Банклар техник воситалардан фойдаланганда инцидентларни аниқлаш имкониятини таъминлаш мақсадида:

техник воситалардан рухсатсиз фойдаланишни тақиқлаш;

техника воситаларини рухсатсиз ўчириб қўйилишидан ҳимоя қилиш;

мониторинг ахбороти ёзувлари ва ахборот хавфсизлиги ҳодисалари электрон баённомаларини электрон архивда сақлаш;

мониторинг ахбороти ёзувлари ва ахборот хавфсизлиги ҳодисаларининг электрон баённомаларини рухсатсиз ўзгартириш ёки йўқ қилишдан ҳимоялашни таъминлайдилар.

    1. Банк ходимларининг лавозим йўриқномаларида техник воситаларни ишлатиш ва назорат қилиш бўйича масъулиятлари ва жавобгарликлари акс эттирилиши керак.
    2. Банк ходимларининг иш регламентлари ёки тегишли иш тартибларида ахборот хавфсизлиги инциденти вақтида ходимлар қандай ҳаракатланиши тўғрисидаги маълумотлар ёзилган бўлиши керак.
    3. Иш жараёнида ностандарт воқеалар аниқланганда ходимлар бу ҳақда ахборот хавфсизлиги бўйича масъул ходимларни хабардор қилишлари керак.
    4. Ахборот хавфсизлиги бўйича масъул ходим ахборот хавфсизлиги инциденти ҳақида маълумотни олгандан сўнг, воқеани танқидийлик тоифасига (зарар келтириш даражасига) кўра таснифлаши керак.
    5. Ахборот хавфсизлиги инцидентининг устуворлигига қараб, инцидент тўғрисидаги маълумот банк рахбариятига етказилади.
    6. Банк рахбарияти ишчи гуруҳга тегишли кўрсатмалар беради. Ишчи гуруҳ аввалдан белгиланган регламентга асосан биринчи навбатда инцидентни бартараф этиш ва унинг тарқалишининг олдини олиш чораларини кўради.
    7. Банк юзага келган инцидентни бартараф этилиши ва инцидентлар юзага келиши сабаблари ҳужжатлаштириши лозим. Инцидентлар бўйича ҳужжатлар алоҳида йиғма жилтда сақланиши ташкил қилинади.
    8. Ахборот хавфсизлиги хизмати ҳар бир инцидент бўйича аниқланган маълумотларни таҳлил қилиши ва келгусида бундай инцидент юзага келмаслиги бўйича чоралар кўриши лозим.
    9. Ҳар қандай инцидентлар юзасидан Бош банкка ва Марказий банкка хабар берилиши лозим.
    10. Марказий банкка хабар бериш тартиби ва шакли Марказий банк томонидан белгилаб берилади. Марказий банк томонидан банк тизимида юзага келган инцидентларнинг турлари уларни бартараф этиш йўллари хамда юзага келиши мумкин бўлган инцидентлар тўғрисидаги маълумотларнинг базаси юритилади ва банкларнинг ушбу маълумотлардан фойдаланиш имконияти яратилади.

11.Автоматлаштирилган банк тизимига киришни бошқариш

    1. Банклар автоматлаштирилган банк тизимига кириш ва фойдаланувчиларнинг ишлаш ҳуқуқларини белгилаш тартибини ишлаб чиқишлари керак. Ушбу тартиб янги фойдаланувчиларнинг тизимга кириш ҳуқуқларини белгилаш ва автоматлаштирилган банк тизимига кириш ҳуқуқи бекор бўлган фойдаланувчиларни тизимдан чиқариш қоидаларини ўз ичига олиши лозим.
    2. Фойдаланувчиларнинг автоматлаштирилган банк тизимига кириш имкониятини бериш, Ахборот хавфсизлиги хизматининг рухсати олингандан сўнг, амалга оширилиши ва бунинг учун керакли техник чоралар кўрилган бўлиши лозим.
    3. Ахборот хавфсизлиги хизмати  автоматлаштирилган банк тизимига киришга рухсат берилган фойдаланувчилар рўйхати актуаллигини ва ишлаш ҳуқуқларини белгилаш тартиби бажарилишини назорат қилиб бориши керак.
    4. Банк томонидан автоматлаштирилган банк тизимига рухсатсиз киришни олдини олиш чоралари кўрилган бўлиши зарур.
    5. Банк ходими ишдан бўшаганда ёки лавозими ўзгарганда ушбу ходим тизимда ишлаш ҳуқуқлари бекор қилиниши керак. Лавозими ўзгарган ходимга ишлаш ҳуқуқлари банкда белгиланган тартибга асосан янгидан берилиши лозим.
    6. Фойдаланувчиларнинг автоматлаштирилган банк тизими ахборот ресурсларига кириш ҳуқуқлари рўйхатга олиниши ва ҳужжатларда қайд этилиши керак.
    7. Банкларда автоматлаштирилган тизимлардан рухсатсиз фойдаланишни олдини олиш учун қуйидаги амаллар жорий қилинади:

фойдаланувчиларни идентификация, аутентификация қилиш ва ушбу жараённи бошқариш;

фойдаланувчиларнинг ишлаш ҳуқуқларини ахборот активларига нисбатан белгилаш;

фойдаланувчиларнинг ҳаракатини рўйхатга олиш;

муваффақиятсиз киришга уринишларни аниқлаш ва кириш имкониятларини чеклаш;

фойдаланувчининг маълум бир вақт оралиғида ҳаракатсизлиги ёки янгидан кириш харакати аниқланганда иш сессиясини тўхтатиш;

фойдаланувчининг автоматлаштирилган банк тизими созланишларини ўзгартириш имкониятини чеклаш.

    1. Ахборот тизимларида тўлов маълумотларни киритиш, ўзгартириш, тасдиқлаш, ўчириш ҳуқуқига эга бўлган фойдаланувчиларнинг аутентификация қилиниши аппарат-дастурий қурилмаларни қўллаш орқали амалга оширилиши зарур. Ушбу аппарат-дастурий қурилмалар шахсий қўлланишга берилган бўлиши керак, яъни ҳар бир фойдаланувчи тизимга кириш учун унинг ўзига ажратилган аппарат-дастурий қурилмасидан фойдаланиши лозим.

12.Маълумотлар базасини бошқариш тизими

    1. Банклар автоматлаштирилган банк тизими маълумотлар базасининг созланишларида хатоликларни олдини олиши ва тажовузкорнинг қуйидаги ҳаракатларини чеклашлари керак:

маълумотлар базасига кириш;

ишлаш ҳуқуқини администратор даражасига кўтариш;

маълумотлар баъзасининг махсус интерфейсини қўллаш, командалар киритиш
ва дастурларни ишлатиш;

администратор ва фойдаланувчилар паролларини билиб олиш;

маълумотлар базасининг тизим файлларига кириш;

зарарли дастурлар ўрнатиш;

сервернинг илова дастурларига эгалик қилиш;

маълумотлар базаси ва серверга масофадан ҳужум қилиш.

    1. Маълумотлар базасининг барча дастурий янгиланишларининг асоси (ҳужжат)
      ва киритилган ўзгартиришларнинг ҳисоби юритилиши лозим.
    2. Дастурий янгиланишлар аввал тест-синов серверида текширилиши, ижобий натижага кўра ишчи серверга жорий этилиши лозим.
    3. Маълумотлар базасидаги стандарт фойдаланувчиларнинг логинлари алмаштирилиши, ишлатилмайдиган стандарт фойдаланувчилар (Guest ва шу кабилар) ўчирилиши керак.
    4. Маълумотлар базаси ўрнатилган сервернинг иш жараёни учун зарур бўлмаган сервислар тўхтатилиши ва портлар ёпиб қўйилиши лозим. Ишлатиладиган ахборот портларининг рўйхати фойдаланиш мақсади кўрсатилган ҳолда банк раҳбарияти томонидан тасдиқланиши зарур.
    5. Маълумотлар базасининг администратори ва маълумотлар базасида ахборот хавфсизлигини таъминловчи ходимларнинг вазифалари, ваколатлари ва жавобгарликлари банкнинг ички меъёрий ҳужжатларида аниқ белгиланган бўлиши лозим.
    6. Маълумотлар базаси администраторининг пароли 12 та белгидан кам бўлмаслиги лозим.Паролнинг белгилари сифатида пастки ва юқори регистр ҳарфлари, рақамлар ва махсус белгилардан (@,#, $, &, %  ва ҳ.к) қўлланилиши лозим.

13.Тармоқ хавфсизлиги

    1. Банклар тармоқ хавфсизлигини лойиҳалаштиришда, жорий этишда
      ва бошқаришда қуйидаги стандартлардан фойдаланиши зарур:

O’z DSt ISO/IEC 27033-1:2016 “Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 1-қисм. Шарҳ ва концепциялар”;

O’z DSt ISO/IEC 27033-2:2016 “Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 2-қисм. Тармоқ хавфсизлигини лойиҳалаштириш ва жорий этиш бўйича раҳбарий кўрсатмалар”;

O’z DSt ISO/IEC 27033-4:2016 “Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 4-қисм. Хавфсизлик шлюзларини қўллаган ҳолда тармоқлараро хавфсизлигини таъминлаш учун коммуникациялар”;

O’z DSt ISO/IEC 27033-5:2016 “Ахборот технологияси. Хавфсизликни таъминлаш усуллари. Тармоқ хавфсизлиги. 5-қисм. Виртуал ҳусусий тармоқларни қўллаган ҳолда тармоқлараро хавфсизлигини таъминлаш учун коммуникациялар”.

    1. Банклар қуйида келтирилган тармоқ хавфсизлиги шартларини таъминлайдилар:

корпоратив тармоқ ва ахборот тизимларининг ўзаро боғланишида телекоммуникация ва тармоқ сервислари узлуксиз ишлашини таъминлаш;

корпоратив ахборот тизимининг тармоқлари ўзаро боғланишида ахборот хавфсизлигини таъминлаш;

тармоқ компонентлари, дастурлари, маълумотлари бутлигини таъминлаш;

маълумотларни тармоқлараро ахборот алмашинувида конфиденциаллигини таъминлаш ва тармоқда рухсатсиз харакатларни олдини олиш.

    1. Корпоратив тармоқда ахборот алмашинувининг электрон баённомаси юритилиши ва электрон баённомада тизимга кирган фойдаланувчининг номи (user name), вақти, IP ва/ёки “mac” адреси қайд этиб борилиши керак.
    2. Банклар ташкил этган корпоратив тармоқнинг (Марказий банк тармоғига, интернет тармоғига, телекоммуникация провайдерларига, филиалларга ва бошқа тармоқларга боғланиш) чизмасини Марказий банк билан келишилган бўлишини таъминлайдилар.
    3. Ахборот хавфсизлиги хизмати томонидан корпоратив тармоқ хавфсизлигининг тўлиқ назорати ва мониторинги доимий амалга оширилиши керак.
    4. Банкнинг тармоқлараро ахборот алмашинуви хусусий виртуал тармоқлар (virtual private networks VPN) ташкил этилиш йўли билан муҳофазаланиши керак.
    5. Корпоратив тармоқда илова серверлари билан фойдаланувчилар ўзаро ахборот алмашинувида (secure socket layer SSL ёки шу туркумдаги бошқа) ҳимояланган протокол  қўлланилиши лозим.
    6. Корпоратив тармоқ орқали фойдаланувчилар боғланишининг аутентификацияси аппарат-дастурий қурилмалар орқали (мобил иловалар бундан мустасно) амалга оширилиши лозим.
    7. Банкнинг локал ҳисоблаш тармоғига бошқа тармоқлардан ёки бинонинг ташқарисидан кирувчи кабеллари орқали боғланиш (кириш) нуқталари тармоқлараро экран билан муҳофазаланиши керак.
    8. Телекоммуникация шкафлари қулфланиши ва видеокузатув тизимлари орқали назоратга олинган бўлиши лозим.
    9. Локал ҳисоблаш тармоқлари кабелларини телекоммуникация шкафлари билан ҳисоблаш техникалари, банкомат ва бошқа қурилмаларнинг боғланиш нуқталаригача банк ҳовлисидан, бино ичидан муҳофазаланмаган тарзда ўтказилиши тақиқланади.
    10. Банкнинг бўлинмалари локал ҳисоблаш тармоғида виртуал маҳаллий тармоқлар (virtual local area network VLAN) ҳосил қилиш йўли билан бир-биридан ажратилади.
    11. Телекоммуникация қурилмаларининг ишлатилмайдиган уланиш нуқталари  созлаш йўли билан ноактив ҳолатга келтирилган бўлиши керак.
    12. Банкларда тармоқ хавфсизлиги мониторинги ташкил этилади.
    13. Тармоқ хавфсизлиги мониторинги ахборот хавфсизлиги ходисаларини бир жойга жамлаши ва тармоқда янги қурилма пайдо бўлиши, компьютер вируси аниқланганлиги, интернет тармоғидан киришга уринишлар, банкоматнинг тармоқдан узилиши, сервернинг қизиб кетиши каби турли ҳолатлар бўйича ахборот хавфсизлиги хизмати ходимларига хабар бериши керак. Барча таҳлилий маълумотлар электрон тарзда сақланиши керак.
    14. Банкда ахборот хавфсизлиги дастурий таъминоти ва техник воситаларнинг ҳолатларини мониторинг қилиб бориш, статистик маълумотлар йиғиш
      ва бу маълумотларни таҳлил қилиб бориш, юзага келаётган муаммоларни илк босқичида аниқлаш ва фавқулодда вазиятлар пайдо бўлишини олди олиниши лозим.
    15. Банклар IDS/IPS тизимларини қўллаш, яъни тармоқ трафигида ноодатий ҳаракатларни аниқлаш, олдини олиш ва тўсиш учун мўлжалланган дастурий ёки дастурий-аппарат воситаларни жорий этишлари лозим. Реал вақтда тармоқ иловалари ишлашидан оғишлар, шунингдек компьютер тизими ёки тармоқдан рухсат этилмаган фойдаланиш (рухсатсиз кириш ёки тармоқ ҳужумлари) фактлари аниқланиши керак. IDS/IPS тизими тармоқлараро экранларга қўшимча бўлиб ташкил қилиниши ва уларнинг ишлари хавфсизлик сиёсати асосида ташкил этилиши, IDS/IPS шубҳали фаоллик мониторинги ва уни кузатиш механизми бўлиб хизмат қилиши лозим.
    16. Банкда ахборот хавфсизлиги ходисаларини реал вақтда таҳлил қилиш, тармоқ хавфсизлиги ҳолатини мониторинг қилиш имконини берувчи (SIEMёки унга муқобил бошқа) тизим яратилиши керак.
    17. IDS/IPS тизимлари тармоқлараро экранни айланиб ўтган ҳужумчиларни аниқлаши ва ушбу инцидент тўғрисида мониторинг тизимига электрон ҳисобот бериши керак. IPS/IDS тармоқ инфратузилмасининг масштаби сарверлар ва коммутация ускуналарининг (маршрутизаторлар, коммутаторлар, алоқа линиялари) интерфейсларининг ўтказиш қобилиятидан келиб чиқиб белгиланади ва татбиқ этилади, телекоммуникация қурилмалари маънан эскирган бўлса, ушбу қурилмалар янгиланиши керак.
    18. Банкларда қўлланиладиган тармоқлараро экранлар O‘z DSt 2815:2014 “Ахборот технологиялари. Тармоқлараро экран.” стандарти талабларининг камида биринчи
      ёки иккинчи даражасига мос бўлиши керак.
    19. Тармоқлараро экраннинг ишлашини таъминловчи ходим буйруқ асосида тайинланиши лозим.
    20. Тармоқлараро экраннинг созланишлари бизнес жараёнга нисбатан амалга оширилиши, созланишлар тасдиқланиши, рухсат берилган ахборот алмашинуви протоколлари асосланган бўлиши, созланишларга киритиладиган ўзгартиришлар раҳбарият рухсатига асосан амалга оширилиши зарур.
    21. Асосий ва заҳира тармоқлараро экранларни аниқ вақт режимида синхронлаш орқали узлуксиз ишлаши таъминланиши лозим. Банкда тармоқ хавфсизлиги тизимини қайта тиклаш имкониятини яратиш учун тармоқлараро экран созланишлари актуал ҳолда электрон архивда сақланиши керак.
    22. Тармоқлараро экран ва интернетга боғланган Proxy сервер электрон баённомалари ахборот хавфсизлиги хизмати ходимлари томонидан таҳлил қилиб борилиши, ташқи ҳужумлар аниқланганида Марказий банкка хабар берилиши керак.
    23. Ахборот хавфсизлиги хизмати юзага келган салбий вазиятга аниқлик киритиши ва ахборот хавфсизлиги инцидентини бартараф этиш ҳаракатларини мазкур Низом асосида амалга оширилишини таъминлайди.

14.Электрон почта ва интернет тармоғидан фойдаланиш

    1. Банк ўзининг локал ҳисоблаштармоғида (ёки интернет тармоғининг ЎзбекистонРеспубликаси сегментида) расмий электрон почта тизимини яратади. Ушбу тизимда банк ходимлари учун электрон почта (қутиларини) манзиллари ташкил қилинади. Умумий ишлаш учун мўлжалланган очиқ ва бошқа ташқи электрон почта тизимларидан фойдаланиб, ходимлар учун электрон почта манзиллари ташкил этилиши тақиқланади. Тезкор хабарлар алмашиш дастури (skype ва бошқалар) ёки тизимлар (messenger)имкониятларидан фойдаланиш банкнинг ички тартиб қоидаларида белгиланган тартибда амалга оширилади.
    2. Банк томонидан банк сирини ташкил этувчи маълумотлар электрон почта тизими орқали юборилганда, маълумотлар шифрланиши ва электрон рақамли имзо билан тасдиқланиши шарт. Банк фаолиятига тегишли бўлмаган маълумотларнинг банк электрон почта тизими орқали узатилиши қатъиян ман этилади. Бунга йўл қўйган шахслар қонунчиликда кўзда тутилган тартибда жавобгарликка тортилади.
    3. Банк интернет тармоғидан ва электрон почта тизимларидан фойдаланишда ахборот муҳофазасини таъминлаш усулларини, ходимларни тизимга киритиш, уларга қўйилган чекловлар, фойдаланиш тартиблари, жавобгарликлари, масъулияти, ходимлар ҳаракати ва тизим ахборот хавфсизлиги устидан назорат қилиш тартиб ва қоидаларини белгиловчи ички меъёрий ҳужжатлар ишлаб чиқишлари керак.
    4.  Банкнинг бўлимлари ва филиаллари ўртасида ахборот алмашинуви учун электрон ҳужжат айланиши дастурларидан ёки банк ички электрон почта тизимидан фойдаланиш мумкин.
    5.  Маълумотларни умумий (FTP) серверда ташкил қилинган умумий каталог орқали,банк бўлинмалари учун, файл алмашинишувини амалга ошириш  ва уларда банк сири маълумотларини тармоқда эркин ўқиш учун жойлаштириш тақиқланади. Тўлов тизими маълумотлари алмашинадиган технологик жараёнларда қўлланиладиган серверлар бундан мустасно.
    6.  Банк томонидан электрон почта орқали юборишга тайёрланган ёки қабул қилинган ҳар бир электрон маълумот антивирус дастури ёрдамида текширилиши шарт.
    7.  Банк ўзининг электрон почта тизимидан фойдаланиш учун тартиб ишлаб чиқиши, электрон почта орқали юборилган ва қабул қилинган маълумотлар ахборот хавфсизлиги хизмати томонидан назорат қилиниши керак.
    8. Автоматлаштирилган банк тизимига боғланган компьютер ва серверларни интернет тармоғига тўғридан-тўғри жисмонан боғлаш тақиқланади.
    9. Интернет тармоғи ва Банк телекоммуникация тармоғи алоҳида маршрутизатор (router) ва алоҳида тармоқлараро экран (firewall) қурилмалари орқали жисмонан уланиши зарур.  
    10. Автоматлаштирилган банк тизими маълумотлар базаси серверлари,  илова (web) серверлари, тўлов тизими маълумотларини қайта ишловчи барча серверлар, интернет тармоғига боғланувчи ҳамда банкнинг иш фаолиятида қатнашувчибошқа серверлари банкда ташкил этилган ва муҳофаза қилиниши таъминланган алоҳида ажратилган локал тармоқнинг DMZ ҳудудида жойлаштирилиши керак. DMZ ҳудуди ички локал тармоқлари ва ташқи телекоммуникация тармоқларидан тармоқлараро экранлар ёрдамида муҳофазаланиши ташкил этилади. Шу билан бирга  DMZ ҳудудида ҳужумни аниқлаш (IDS), ҳужумни олдини олиш (IPS), антивирус ва мазкур Низомда келтирилган тармоқ муҳофазасини таъминлаш тизимлари жорий этилади.
    11. Ахборот муҳофазасини кучайтириш мақсадида NAT (Network Address Translation)  TCP / IP тармоқларида транзит пакетларнинг IP манзилларини ўзгартириш имконини берувчи механизм қўлланилиши мумкин. Бунда тармоқ орқали барча боғланишларнинг электрон журналлари асл IP манзиллар кўрсатилган холда юритилиши
      ва белгиланган тартибда электрон архивга олиниши лозим.
    12.  Банкда интернет тармоғидан фойдаланишнинг ички тартиб қоидалари ишлаб чиқилиши лозим.Бунда фақат рухсат берилган фойдаланувчилар интернет тармоғидан фойдаланиши ва интернет тармоғидан фойдаланишда ахборот хавфсизлиги чоралари кўрилиши керак.
    13. Интернет тармоғидан фойдаланиш тартиби назоратга олинган бўлиши ва банк ходимларининг интернет тармоғидан фойдаланишлари уларнинг лавозим йўриқномасига кўра белгиланиши лозим.
    14. Интернет тармоғидан фойдаланган ходимнинг логини, фойдаланиш вақти, ресурс номи ва бошқа маълумотлар акс эттирилган электрон баённомалар юритилиши керак. Ахборот хавфсизлиги хизмати ушбу электрон баённомаларни таҳлил қилиб бориши керак.
    15. Интернет тармоғидан фойдаланишда ахборот муҳофазасини таъминлаш тармоқлараро экран, прокси сервер, антивирус, рухсатсиз киришни аниқлаш (IDS/IPS)
      ва бошқа ахборот хавфсизлиги тизимларини қўллаш йўли билан амалга оширилади.
    16. Масофадан банк хизматларини кўрсатишда ахборот хавфсизлиги етарли даражада таъминланган бўлиши ва ахборот хавфсизлигини таъминлаш (аутентификация, идентификация, VPN, электрон имзо ва бошқаларқўлланилиши) тегишли ҳужжатларда белгиланган бўлиши лозим. Масофадан банк хизматлари кўрсатилишида,
      шу жумладанинтернет тармоғи орқали банк хизматларини кўрсатиш бўйича фойдаланувчиларнинг тизимга кириши, ахборот алмашинуви ва амаллари тўғрисидаги тўлиқ маълумотлар (IP ва/ёки “mac” адреси) электрон баённомаларда қайд этиб борилиши керак. Бу электрон баённомалар маълумотлари ўзгартирилмаслиги мақсадида тегишли чоралари кўрилиши (масалан: электрон баённомаларнинг хэш рақамлари билан сақланиши) зарур. Электрон баённомалар алохида файллар сифатида сақлаш тавсия этилади.
    17. Банк тармоғи ва компьютерларига модемларни ёки уяли телефонларни рухсатсиз улаштақиқланади.
    18. Интернет тармоғида ишлашда (анонимлаштирувчи) ташқи прокси серверлардан фойдаланиш тақиқланади.
    19. Банкнинг ички локал тармоғини симсиз (Wi-Fi каби тизимлар асосида) ташкил этиш ва банк компьютерларида  (Wi-Fi каби) симсиз ахбороталмашинуви тизимларидан фойдаланиш тақиқланади.
    20. Мижозлар ва банк истемолчилари учун қулайликлар яратиш мақсадида банк биносидаWi-Fi ҳудудларини ташкил этилиши мумкин. БундаWi-Fi тизими банк ички локал тармоғидан жисмонан ажратилган бўлиши ва ахборот хавфсизлиги таъминлаши керак.

15.Техник воситаларни бошқариш тизими

    1. Банклар автоматлаштирилган банк тизимида тармоқ объектлари бўлган фойдаланувчилар, компьютерлар, серверлар ва бошқа техник воситаларни бошқариш (Active Directory ёки бошқа муқобил) тизимини жорий этишлари лозим.
    2. Банклар бўлинмалар кесимида ишлашга рухсат бериладиган дастурлар рўйхатини тузишлари керак.
    3. Техник воситаларни бошқариш тизими ёрдамида фойдаланувчиларнинг компьютерда администраторлик ҳуқуқлари чекланади ва компьютерларда фойдаланувчиларга фақат ўзларининг иш фаолиятига тегишли бўлган (рўйхат билан тасдиқланган) дастурларни ишлатиш ҳуқуқлари берилади. Рўйхатда бўлмаган барча дастурларни ишлатиш ва қўшимча дастурлар ўрнатиш каби ҳаракатларга чекловлар ўрнатилади. Унга қадар компьютерларни амалиётга татбиқ этиш тақиқланади.
    4. Техник воситаларни бошқариш тизими ёрдамида компьютерларга кириш пароллари банкда белгиланган парол сиёсатига мослиги таъминланади. Парол сиёсати Ахборот хавфсизлиги сиёсатида ёритилган бўлиши керак.
    5. Техник воситаларни бошқариш тизими администратори буйруқ билан тайинланади ва унинг иш тартиби ишлаб чиқилади.
    6. Ахборот хавфсизлиги хизмати камида бир ойда бир маротаба техник воситаларни бошқариш тизими созламаларини ва электрон баённомаларини таҳлил қилади, техник воситалардан фойдаланишда банк ахборот хавфсизлиги сиёсати талаблари бажарилишини назорат қилади.

16.Маълумотларни рухсатсиз тарқалишидан ҳимоялаш тизими

    1. Банклар ахборот тизимларидан ноқонуний (рухсат этилмаган) тарзда маълумотлар узатилишини олдини олиш чораларини кўришлари лозим. Ушбу мақсадда маълумотларни рухсатсиз тарқалишидан ҳимоялаш учун DLP (Data Leak Prevention) тизимидан фойдаланиш зарур.
    2. Ахборот тизимларидан ноқонуний (рухсат этилмаган) тарзда маълумотлар узатилишини олдини олиш тизимида қуйидаги имкониятлар мавжуд бўлиши керак:

муҳофазаланадиган маълумотларни рухсатсиз турли тармоқ каналлари орқали узатилишини, рухсатсиз хисобга олинмаган ташқи ташувчига кўчирилишини, рухсатсиз чоп этилишини аниқлаш, банк раҳбариятига бу хақда маълумот бериш ва келгусида
бу каби салбий ҳолатлар бўлмаслигини олдини олиш чораларини кўриш;

муҳофазаланадиган маълумотларни сервер ва компьютерларда сақланишини назорат қилиш;

умумий тармоқ ресурсларида муҳофазаланадиган маълумотларни сақланишини аниқлаш.

    1. Назорат қилиш тартиб-қоидалари ҳужжатлаштирилиши, масъул ходим тайинланиши ва иш тартиби белгиланиши керак.

17.Антивирус муҳофазаси

    1. Банк раҳбарияти антивирус ҳимояси бўйича ишларни ташкил этишни таъминлайди.
    2. Банкда антивирус ҳимояси бўйича чора-тадбирлар ишлаб чиқиш ва уларни бажарилишини назорат қилиш ахборот хавфсизлиги хизматига юклатилади.
    3. Антивирус муҳофазаси бўйича масъул ходимлар буйруқ билан тайинланади.
    4. Банкда компьютер вируси аниқланганда, компьютер вируси тармоқ орқали тарқалишини олдини олиш мақсадида компьютерни тармоқдан узиш ва бошқа амалга ошириладиган чоралар олдиндан белгиланган бўлиши керак.
    5. Ходимларга компьютер вируси аниқланганда уларнинг ҳаракатлари тушунтирилган бўлиши керак.
    6. Банклар антивирус ҳимояси бўйича лицензияли дастурларга эга бўлиши керак.
    7. Антивирус дастурларини марказлашган ҳолда бошқариш тизими жорий этилиши лозим.
    8. Антивирус дастурлари базалари хар куни янгиланиб бориши, антивирус дастури русуми (версияси) актуал (маънан эскирмаган) бўлиши зарур.
    9. Антивирус дастурлари серверлар, компьютерлар, банкоматлар, инфокиосклар ва бошқа барча антивирус дастурлари ўрнатилиши мумкин бўлган ҳисоблаш воситаларига ҳамда қурилмалар ўрнатилган бўлиши зарур.
    10. Банкда компьютер вируси аниқланганда, вируснинг келиб чиқиши ва унинг тури ҳақида Марказий банкка тезкор ахборот берилиши шарт.

18.Электрон рақамли имзо ва шифрлаш калитларидан фойдаланиш

    1. Электрон рақамли имзо ва шифрлаш калитлари электрон ҳужжатларнинг аслига тўғрилигини тасдиқлаш ва ташқи муҳит таъсиридан муҳофазалаш мақсадида қўлланилади.
    2. Электрон рақамли имзо ва шифрлаш калитларининг банклараро тўлов тизимида қўлланилиши бўйича талаблар Марказий банк томонидан белгиланади.
    3. Банклар ўзларининг ички тизимларида электрон рақамли имзо ва шифрлаш калитларини қўлланилишига қўйиладиган талабларни мустақил белгилайдилар.
    4. Банклар ташқи тизимлар билан ўзаро ишлашида банк рискларидан келиб чиққан ҳолда электрон рақамли имзо ва шифрлаш калитларини қўллаш бўйича талабларни белгилайдилар.
    5. Фойдаланувчиларнинг электрон рақамли имзолари махсус қурилмаларга
      (ёки мобиль қурилмаларга) ёзилган бўлиши ҳамда ҳар қандай усул билан рухсатсиз нусха олишдан ҳимояланган бўлиши лозим.
    6. Электрон тўлов ҳужжатларини киритувчи, тасдиқловчи ва электрон тўловлар билан тегишли амалларни (бош бухгалтер, сўнгги назорат) бажарувчи барча банк масъул ходимлари электрон рақамли имзо билан таъминланган бўлишлари зарур.
    7. Банк телекоммуникация тармоғи орқали узатилаётган электрон маълумотлар махсус техник-дастурий муҳофазалаш қурилмаси ёрдамида электрон рақамли имзо
      ва шифрлаш калитлари қўлланилган ҳолда муҳофазаланади.
    8. Шифрлаш калитлари махсус аппарат-дастурий қурилмалар ёки дастурий йўл билан яратилади.
    9. Электрон рақамли имзо калитларини яратиш ҳамда электрон рақамли имзо очиқ калитларини фойдаланувчиларига тақдим этиш ишлари банкнинг Рўйхатга олиш маркази томонидан амалга оширилади.
    10. Масофадан хизмат кўрсатиш тизимларида банкнинг Рўйхатга олиш маркази томонидан яратилган электрон рақамли имзо калитлари ва сертификатларидан қўлланилади.
    11. Банкнинг Рўйхатга олиш маркази Ўзбекистон Республикаси Марказий банки томонидан белгиланган тартибда ташкил этилади.
    12. Электрон рақамли имзо калити сертификатининг амал қилиш муддати электрон рақамли имзо рўйхатга олинган вақтдан бошлаб 24 ойдан ошмаслиги керак.
    13. Банк ўзининг Рўйхатга олиш марказининг ишлаш тартибини ишлаб чиқади.
    14. Электрон рақамли имзо калитининг сертификатида қуйидаги маълумотлар кўрсатилади:

жисмоний шахслар учун:

электрон рақамли имзо ёпиқ калити эгаси бўлган жисмоний шахснинг фамилияси, исми, отасининг исми;

паспорт серияси, рақами;

жисмоний шахснинг шахсий идентификация рақами;

юридик шахслар учун:

юридик ташкилотнинг номи;

электрон рақамли имзо ёпиқ калитини ишлатувчимасъул шахснинг фамилияси, исми, отасининг исми;

солиқ тўловчининг идентификацион рақами (СТИР);

давлат рўйхатидан ўтганрақами ва санаси;

жисмоний ва юридик шахслар учун:

электрон рақамлиимзонингочиқкалити;

электрон рақамли имзонинг очиқ калитидан фойдаланишда ёрдам бериши мумкин бўлган электрон рақамли имзо воситаларининг номи;

мазкур сертификатни берган Рўйхатга олиш марказининг номи ва жойлашган манзили;

электрон рақамли имзодан фойдаланиш мақсадлари тўғрисидаги маълумотлар;

электрон рақамли имзолар калитлари сертификатлари реестрининг электрон манзили;

бошқа маълумотлар.

    1. Электрон рақамли имзонинг ёпиқ калитини фойдаланиш учун бошқа шахсга бериш тақиқланади.
    2. Электрон рақамли имзо калитлари Рўйхатга олиш маркази ёки фойдаланувчининг сертификатланган махсус техникавий ва дастурий воситалар мажмуи ёрдамида яратилади.
    3. Электрон рақамли имзо билан тасдиқланмаган ва шифрлаш жараёнидан ўтмаган электрон тўлов ҳужжатлар қайта ишлаш учун қабул қилинмайди.
    4. Банк телекоммуникация тармоғи иштирокчиси ўзи жўнатган электрон ҳужжатнинг электрон рақамли имзоси йўқлиги ёки электрон рақамли имзоси
      мос келмаганлиги тўғрисида маълумот олганида, зудлик билан муаммони ҳал этиши
      ва электрон ҳужжатни қайтадан жўнатиши лозим.
    5. Банкларда Марказий банк томонидан берилган электрон рақамли имзо калитлари бузилганда, йўқотилганда ва бошқа ҳолатларда Марказий банкнинг Рўйхатга олиш марказига аввал телефон орқали, сўнгра ёзма равишда маълумот беришлари лозим. Ушбу маълумотномада электрон рақамли имзо калитини янгилаб бериш сўралади.
    6. Электрон рақамли имзо ва шифрация калитларидан фойдаланиш Ўзбекистон Республикаси қонунчилигида белгиланган қоидалар асосида амалга оширилади.

19.Электрон архивни ташкил қилиш, электрон архив ҳужжатларининг таркиби

156.Электрон архив банк идоравий архивининг таркибий бўлинмаси сифатида ташкил қилинади.

    1. Электрон архив ўзининг электрон архив ахборот тизимига эга бўлиши керак.
    2. Электрон архив томонидан электрон архивнинг ахборот ресурси шакиллантирилади.
    3. Электрон архивнинг асосий вазифалари қуйидагилардан иборат:

электрон архивларни электрон ҳужжатлар билан жамлаш, ҳисобга олиш, уларни сақлаш, шунингдек улардан фойдаланишни таъминлаш;

электрон ҳужжатларни расмийлаштириш бўйича банкнинг таркибий бўлинмаларига услубий ёрдам кўрсатиш;

ахборот ресурсларининг архив нусхаларини тайёрлаш ва уларни қонун ҳужжатларида белгиланган муддатларда давлат сақловига топшириш;

электрон архивнинг ахборот ресурсини ахборот хавфсизлигини таъминлаш.

    1. Электрон архив ҳужжатлари таркибига қуйидаги ахборот ресурслари киради:

банк амалиёти куни электрон маълумотларининг тўлиқ базаси;

муддати тугаган шифрлаш ва электрон рақамли имзо калитларининг очиқ (электрон сертификатлари) ва ёпиқ калитлари;

банк амалиёт куни дастурлари ва бошқа алоҳида фойдаланилаётган дастурлар мажмуаси;

электрон тўлов ҳужжатларини (Марказий банк ва мижозлар билан) қабул қилиш-узатиш жараёни бўйича, интернет прокси-сервер, инцидентлар билан боғлиқ электрон журнал-баённомалари;

электрон почта орқали қабул қилинган ва узатилган, тўловларга тегишли (фармойиш, қарор ва бошқа) ҳужжатлар;

банк филиаллари томонидан шифрланган ва шифрланмаган кўринишдаги барча кирувчи ва чиқувчи электрон тўлов ҳужжатлари;

тижорат банкларининг кредит вабошқа банк операцияларига таалуқли маълумотлари;

банкларнинг бошқарув тизимига оид маълумотлар.

    1. Банклар ўз хусусиятларидан келиб чиқиб, ўзларининг “Электрон архив тўғрисида”ги Низомларини ишлаб чиқадилар.
    2. Банклар ўзининг сиёсати, мавжуд бўлган ахборот тизимлари ва банк олдига қўйилган талаблардан келиб чиқиб, электрон архивда сақланувчи маълумотлар рўйхатини мазкур Низомнинг талабларидан кам бўлмаган тарзда тузадилар
      ва тасдиқлайдилар.
    3. Электрон архив белгиланган вазифаларини бажариш учун тегишли техник қурилма-воситалар ва дастурлар билан таъминланган бўлиши керак.
    4. Электрон архивнинг ахборот ресурси ташқи сақловчиларга кўчирилиб, сейфда ёки темир шкафда сақланиши лозим.
    5. Асосий иш жараёнидаги маълумотлар ва уларнинг хотирасида (сервер дискларида) сақланаётган маълумотлар электрон архивнинг ахборот ресурси ҳисобланмайди.
    6. Тижорат банклари электрон архивнинг ахборот ресурси нусхаларини сақланиши учун камида иккита сақлаш жойларини ташкил этадилар:

биринчиси — тижорат банк биносида;

иккинчиси — тижорат банк биносидан ташқаридаги биноларда (филиалида).

    1. Электрон архив белгиланган регламентга асосан ҳар куни дастурий равишда ахборот ресурсини шакиллантириши (архивланиши), электрон ахборот ташувчи воситаларга ёзилиши жараёни электрон журналда қайд этиб борилиши лозим. Электрон журналда электрон архив ахборот ресурсига кўчирилган файллар тўғрисида (вақти, номи, хажми ва бошқа) маълумотлар ҳамда электрон архив бутлигини аниқлаш мақсадида файлларнинг хеш суммаси (назорат рақамлари)қайд этиб борилиши керак. Масъул ходим ушбу ишларни амалга оширганлиги тўғрисида махсус дафтарда қайд қилиб боради.
    2. Банкнинг ички аудит хизмати ходими ҳар ойда камида бир марта электрон архивнинг ишларини текширади ва текширув натижаларини архив ишларини қайд этиш махсус дафтарида қайд қилиб боради. Камчиликлар аниқланган тақдирда банкнинг ички аудит хизмати томонидан далолатнома расмийлаштиради ва камчиликларни бартараф этиш чоралари кўрилишини ташкиллаштиради.
    3. Электрон архив томонидан электрон архивнинг ахборот ресурси маълумотлари ҳар олти ойда бир марта бутлиги юзасидан текшириб турилади ва ушбу текшириш натижаларини қайд этиш учун махсус дафтар юритилади. Агар электрон архив ахборот ресурслари маълумотлари қисман ёки умуман бузилганлиги аниқланса, тегишли маълумотлари қайта тикланиши ва бу ҳақида далолатнома тузилиши керак.
    4. Электрон архивга топширилган электрон ҳужжатларнинг (электрон ресурсларнинг) сақланиш муддати, қоғоз асосдаги ҳужжатлар учун ўрнатилган муддатлардан кам бўлмаслиги лозим.
    5. Банк томонидан сақланиш муддати доимий бўлган электрон маълумотлар,  идоравий архивда ўн беш йил мобайнида сақлангандан сўнг, бир нусхаси ўрнатилган тартибда давлат архивларига топширилиши лозим.
    6. Банкнинг филиаллари фаолияти тугатилганда электрон архивнинг ахборот ресурси банкнинг ҳудудий филиалларига, ҳудудий филиаллари мавжуд бўлмаган банклар Бош банкка белгиланган тартибда топширилади. Банк фаолияти тугатилиб бошқа банкка қўшиб юборилганида, электрон архив маълумотлари қўшиб юборилаётган банк электрон архивига белгиланган тартибда топширилади.
    7. Банк фаолияти тугатилганда электрон архивнинг ахборот ресурслари белгиланган тартибда Давлат архивига топширилади.
    8. Электрон архив ходим(лар)и ахборот ресурсларининг тўлиқлиги, тўғри шакилланганлиги ҳамда ишончлилиги учун шахсан жавобгар ҳисобланади.

20.Автоматлаштирилган банк тизими иш жараёнининг узлуксизлигини
ва қайта тиклашни таъминлаш

    1. Банклар автоматлаштирилган банк тизими иш жараёнининг узлуксизлигини таъминлашлари зарур. Бунинг учун ташкилий ва техникавий чоралар кўришлари керак.
    2. Банклар автоматлаштирилган банк тизими иш жараёнларида тўхташлар, техник носозликлар, фавқулодда холатлар, катта зарар етказувчи инцидентлар юзага келганда иш узлуксизлигини таъминлаш учун тегишли чораларни аввалдан кўрган бўлишлари лозим. Банкда автоматлаштирилган банк тизими иш жараёнлари узлуксизлигини таъминлаш бўйича талаблар ишлаб чиқилиши, шу жумладан узилишлар (тўхташлар) вақтида амалга ошириладиган ишлар (барча ҳолатлар учун) белгиланиши ҳамда ушбу режа тасдиқланиши керак. Режада иштирок этувчи ходимлар харакати ёритилиши ва бу ходимлар тегишли тайёргарлик кўриб кўйган бўлишлари керак.
    3. Банклар автоматлаштирилган банк тизими компонентларини қайта тиклаш  тартибини ишлаб чиқиши, маълумотларни ва тегишли дастурларини захиралаши, йилда камида икки маротаба қайта тиклаш синов ишларини ўтказиши, амалга оширилган барча ишларни ҳужжатлаштириши лозим. Қайта тиклаш режаси барча мавжуд ахборот тизимлари, операцион тизимлар ва техник қурилмаларни инобатга олган ҳолда тузилади.
    4. Банк ахборот тизимларини қисқа муддатларда қайта тиклаш мақсадида тегишли (backup) электрон маълумотларини шакиллантиради.
    5. Тўлов тизимига боғлиқ банкдаги барча ахборот тизимларининг backup файллари кечаги кун якунига нисбатан актуал тарзда сақланиши ташкил этилиши керак.
    6.  Backup қилинувчи электрон маълумотлар рўйхати, уларни кўчириш
      (хосил қилиш) вақти ва бошқалар аниқ қўрсатилган тарзда тегишли тартиб ишлаб чиқилган бўлиши зарур.
    7. Backup электрон маълумотларининг ахборот муҳофазаси таъминланган бўлиши зарур.
    8. Банкнинг ички аудит хизмати ходими ҳар ойда камида бир марта Backup  ишларини текширади ва текширув натижаларини махсус дафтарида қайд қилиб боради. Камчиликлар аниқланган тақдирда далолатнома расмийлаштирилади.
    9. Автоматлаштирилган банк тизимларининг техник воситалари ишдан чиқиши ҳолатлари юз берганда, тизимнинг бетўхтов ишлашини таъминлаш учун банклар захира тикланиш режаси, дастур ва ускуналарга эга бўлишлари шарт.
    10. Бош банкнинг Тўлов марказидаги асосий тизимларнинг ишончлилигини ошириш мақсадида фойдаланиладиган серверлар ва ишчи станциялар дискларидаги маълумотлар RAID технологиялари асосида муҳофазаланади.
    11. Бош банк автоматлаштирилган банк тизимларининг фавқулодда (ёнғин, зилзила, сув тошқини ва бошқа) ҳолатлардан ҳимоя қилиш учун 5 км дан кам бўлмаган масофада захира маркази (серверлар) ташкил этилади. Захира марказ банкнинг филиалларида, бошқа тижорат банкларда ёки алоҳида ажратилган бинода ташкил этилиши мумкин (бошқа ҳолатлар Марказий банк билан келишилади). Захира маркази хонаси хавфсизлик талабларига жавоб бериши керак. Асосий тармоқда ишлатилаётган дастур ва маълумотларнинг захира нусхалари захира марказида сақланиши лозим. Захира марказида маълумотларни тиклаб туриш (синхронизация) даврийлиги кунига бир мартадан кам бўлмаслиги керак.

21.Сервер хоналарининг техник хавфсизлиги

    1. Банкнинг Автоматлаштирилган банк тизими маълумотлар базаси ва илова серверлари ҳамда тўлов тизими серверлари ва бошқа серверлар банкнинг сервер хонасида жойлаштирилади.Ушбу сервер хонасининг техник хавфсизлиги мазкур Низомда келтирилган талаблар асосида жихозланади.
    2. Агар маълум бир вазифаларни бажариш мақсадида серверлар филиалларда жойлаштирилса серверлар жойлашган хоналарнинг техник хавфсизлиги бўйича банк томонидан алоҳида талаблар ишлаб чиқилади.
    3. Банклар сервер хоналарининг кафолатли электр таъминоти тизимини яратадилар. Бунинг учун турли электр подстанциялардан электртаъминотининг иккита киришлари ва битта автоматик тарзда ишга тушувчи дизель электрстанцияси мавжуд бўлиши керак. Электр энергиясининг барча учта манбаи электр таъминотининг асосий (захира) фидерига автоматик тарзда қайта уланиши таъминланиши керак.
    4. Электр таъминоти линияларининг, автоматик дизель электр станцияси ва резервнинг автоматик киришининг параметрлари ускуна ва сервер хонаси тизимларининг истеъмол қилинадиган умумий қувватидан келиб чиқиб аниқланади ва қувват бўйича захиранинг камида 10% таъминлаши керак.
    5. Банк узлуксиз ишлаши учун камида бир суткага етадиган ёқилғи захирасига эга бўлган дизель электр станциясилар билан таъминланиши лозим. Банкда электр қуввати бўлмаганда дизель электр станциясилар автоматик равишда ишга тушиши керак.
    6. Банклар узлуксиз электр таъминотининг тизими ускуна ва сервер хонаси тизимларининг узлуксиз таъминот манбаи (Uninterruptible Power Supply - UPS) орқали электр таъминоти билан таъминлашлари лозим.
    7. UPS қуввати ва конфигурацияси барча таъминланадиган ускуна
      ва келажакдаги эҳтиёж учун захира ҳисобга олинган ҳолда жорий қилинган бўлиши керак.
    8. UPS орқали автоном ишлаш вақти эҳтиёжлар, шунингдек захира линияларга, автоматик дизель электр станциясига ўтиш ва қайта ўтиш учун керак бўладиган вақт ҳисобга олинган бўлиши керак.
    9. Сервер хонасига кириш фақат тасдиқланган рўйхат асосида амалга оширилиши керак.
    10. Сервер хонасига киришга рухсат берилган ходимлар рўйхатида бўлмаган шахслар  сервер хонасига кириш зарурати пайдо бўлган ҳолларда уларнинг кириши асосланган ҳолда талабнома билан расмийлаштирилади. Ушбу талабнома Ахборот технологиялари бўлинмаси раҳбари томонидан кўриб чиқилади ва имзоланади, шунингдек ахборот хавфсизлиги хизматининг раҳбари билан келишилади. Сервер хонасига кириш сервер администратори  кузатуви остида бўлиши керак.
    11. Сервер хонасига ходимлар назорат қилиш тизимининг карточкасидан
      (ёки биометрик ёки бошқа усуллардан) фойдаланган ҳолда кириши керак.
    12. Сервер хонасига Автоматлаштирилган банк тизимига хизмат кўрсатувчи ташкилотлар ходимлари киритилганда уларни сервер хонасига кириши/чиқиши тўғрисида сервер хонасига киришни рўйхатга олиш журналига тегишли маълумотлар ёзилиши керак. Журналда сервер хоналарига кириш/чиқиш санаси, вақти, амалга оширилган ишлар номи, бажарувчининг фамилияси, исми, лавозими, ташкилот номи ва имзоси акс эттирилган маълумотлар қайд этилишилозим. Хонадан чиқаётганда ходим сервер хонасининг эшиклари берклигига ишонч ҳосил қилиши керак.
    13. Сервер хонаси қуйидаги жиҳозланиш талабларига жавоб бериши шарт:

мустаҳкам деворлар ва ишончли тўсиқларга эга бўлиши;

ишончли (кодли) қулфлар ўрнатилган мустаҳкам эшиклар билан жиҳозланиши;

деразалар хонага киришдан ҳимоя қилиш воситаларига эга бўлиши, шунингдек, бегона шахсларнинг кўз ёки махсус қурилмалар билан кузатишидан ҳимоя қилувчи дераза  пардалари, қўриқлаш ва огоҳлантириш қурилмалари билан жихозланиши;

ёнғин хавфсизлиги талаблари.

    1. Сервер хонасининг видеокузатуви дейилганда банкнинг серверлари билан бевосита жисмоний контактни кўриш имкониятига эга ҳар қандай видеокузатув назарда тутилади.
    2. Сервер хонасининг видеокузатуви мунтазам амалга ошириб борилиши таъминланади.
    3. Хавфсизлик мақсадларида сервер хонасига ўрнатилган видео қурилмалар қуйидаги талабларни таъминлаши керак:

серверларнинг (сервер шкафларининг) олди ва орқа тарафи кечаю-кундуз назорат қилиш имконияти бўлиши;

видеокамераларнинг тасвирга олиш имкониятлари технологик қурилмаларга хизмат кўрсатаётган ходимларнинг юзларини ишонч билан фарқлашига етарли бўлиши.

    1. Видео қурилмалар ва (бинога, йўлакларга, хоналарга) киришни назорат қилиш тизимлари маълумотлари банк тўлов тизими локал тармоқларидан ажратилган ва ташқи таъсирлардан ҳимоя қилинган бўлиши ҳамда электр таъминоти узилган вақтдан бошлаб 12 соат ичида энергияга боғлиқ бўлмаган ҳолда автоном равишда ишлаш имкониятига
      эга бўлиши керак.
    2. Видео қурилмалар монтаж ва демонтаж қилиниши осон бўлиши керак, шунингдек видеотизим масштабланадиган бўлиши керак.
    3. Видеокузатув бўйича масъул ходим буйруқ билан тайинланиши ва видеоархив 2 ойдан кам бўлмаслиги керак.
    4. Видеоархив маълумотларини юритиш, фойдаланиш банкнинг хавфсизлик бўйича масъул бўлинмаси томонидан амалга оширилади.
    5. Сервер хонаси бинонинг ўт ўчириш тизимига боғлиқ бўлмаган автоматик газли ўт ўчириш қурилмаси билан жиҳозланиши керак.
    6. Газли ўт ўчириш тизимининг модули бевосита сервер хонасида
      (махсус жиҳозланган шкафда) ёки бунинг учун махсус жиҳозланган хонада жойлаштирилади.
    7. Газли ўт ўчириш тизимини ишга тушириш ёнғиндан хабар берувчи тутун хабаргоҳларидан, шунингдек хона ташқарисида,деворга пол сатҳидан 1,5 м баландликда ўрнатилган қўлда ишга тушириладиган хабаргоҳлардан амалга оширилади.
    8. Газли ўт ўчириш тизими хонанинг ичкарисида ва ташқарисида жойлашган автоматик газли ўт ўчириш қурилмаси ишга тушганлиги тўғрисида ходимларга хабар берувчи таблога ва хонанинг ташқарисида ўрнатилаган товушли хабар берувчи мослама бўлиши керак.
    9. Газли ўт ўчириш тизими вентиляция қилиш тизимининг ҳимоя қилувчи клапанлари ёпилиши ва ускунанинг таъминоти узилиши тўғрисида буйруқ берилишини таъминлаши керак.
    10. Газ ва тутунни чиқариб юбориш қуйи тизими ёнғинни ўчириш тизими ишга тушганидан сўнг сервер хонасидан газ ва тутуннинг чиқиб кетишини таъминлаши керак. Ушбу тизим бинонинг вентиляция тизимидан алоҳида бино томига ҳаво қувури чиқарилган ҳолда бажарилади. Тизим сервер хонасидаги ҳаво ҳажмидан уч ҳисса ошадиган ҳажмдаги газ ҳаво аралашмаси чиқариб ташлаш икониятига эга бўлиши керак. Кўчма дудбуронлардан фойдаланишга йўл қўйилади.
    11. Совутиш ва вентиляция қуйи тизимига қўйиладиган асосий талаблар:

a) сервер хонасида қуйидаги иқлим шароитларига риоя қилиниши керак:

хонадаги ҳаво ҳарорати: 18-24°С;

ҳароратнинг йўл қўйиладиган оғишлари: ± 2°С;

ҳавонинг нисбий намлиги: 40-50%;

ҳавони совутиш тизимининг ҳақиқий совитиш қуввати сервер хонасида жойлашган барча ускуналар ва тизимларнинг умумий иссиқлиқ чиқаришидан ортиқ бўлиши керак;

б) сервер хонасининг ҳавосини совутиш тизими 100% заҳиралашдан фойдаланган ҳолда бажарилади (камида, ҳар бири мустақил равишда хонанинг ҳаво режимини таъминлай оладиган иккита мустақил кондиционер);

в) совутиш тизими масофадан мониторингни амалга ошириш имкониятини таъминлаши керак.

22.Банкнинг ташқи ахборот тизимлари билан ахборот алмашинувида
ахборот хавфсизлигини таъминлашга қўйилган талаблари

    1. Банкнинг ташқи ахборот тизимлари билан боғланиши деганда банкнинг бирор бир бошқа юридик ташкилотнинг ахборот тизими (кейинги ўринларда ташқи ахборот тизими) билан ахборот алмашинуви тушунилади.

214. Банк ташқи ахборот тизими билан ахборот алашинувини амалга ошириш учун юридик асос (шартнома ёки бошқалар)га эга бўлиши керак.

215.Банк ташқи ахборот тизими билан ахборот алмашинувини амалга оширишда қуйидагиларни инобатга олиб ахборот хавфсизлиги талабларини (низом ва/ёки тартиб сифатида) тасдиқлаб олиши керак:

банк томонидан бериладиган маълумотлар рўйхати ва шакли;

банк ахборот тизимига кириш имкониятларини чегаралаш чора-тадбирлари;

ахборот алмашинувида аутентификация ва идентификация жараёнлари;

электрон имзо, шифрлаш ва бошқа ахборот муҳофазаси қурилмалари, дастурлари ва ускуналари;

банк сири маълумотларини ташқарига чиқишини олдини олиш;

мазкур Низомда кўрсатилган тармоқ хавфсизлиги талаблари ва бошқа ахборот муҳофазаси талаблари бажарилиши;

ахборот алмашинувида қатнашувчи ходимларни тайинлаш, уларнинг вазифалари,  мажбуриятлари ва жавобгарликларини белгилаш.

216.Банк ташқи ахборот тизими билан ахборот алмашинувини амалга оширишда Ўзбекистон Республикаси Марказий банкининг ахборот муҳофазаси бўйича бошқа талабларига риоя этиши зарур.

23.Низом ва ахборот хавфсизлиги талаблари устидан назорат

217.Банк ахборот хавфсизлиги таъминланганлигини аниқлаш мақсадида ташқи ташкилотлар хизматидан фойдаланиши ва ички аудитини амалга ошириши мумкин.

218.Ташқи ташкилот хизматлари аудит ёки экспертиза кўринишида амалга оширилиши мумкин. Банк аудит ёки экспертиза ишларини ўтказувчи ташкилотларга конфиденциал, шу жумладан банк сири маълумотларини тақдим этиш юзасидан ички ҳужжат ишлаб чиқиши лозим. 

219.Бош банкнинг Ахборот хавфсизлиги хизмати ходимлари банк
ёва филиалларида мазкур Низом талабларининг бажарилиши устидан доимий назорат олиб боришлари лозим.

24. Ахборот хавфсизлигига оидқонунчилик талабларига риоя этмаслик учун жавобгарлик

220. Банк бошқаруви банкнинг ахборот хавфсизлиги Ўзбекистон Республикаси қонунчилиги ва Марказий банк талабларига риоя этилишига жавобгардир.

 

 

 

 

Умумий таклифлар

240