Кредит бюроларининг техник ва дастурий воситаларига ахборот хавфсизлиги ва муҳофазасини таъминлаш бўйича қўйиладиган талаблар тўғрисида Низом (АВ томонидан 23.01.2012 й. 2318-сон билан рўйхатга олинган Марказий банк Бошқарувининг 20.12.2011 й. 38/5-сон қарори билан тасдиқланган)

Функция недоступна

Ўзбекистон Республикаси

Адлия вазирлигида

2012 йил 23 январда 2318-сон

билан рўйхатга олинган

Ўзбекистон Республикаси

Марказий банки Бошқарувининг

2011 йил 20 декабрдаги

38/5-сон қарорига

ИЛОВА

Кредит бюроларининг техник ва дастурий

воситаларига ахборот хавфсизлиги ва муҳофазасини

таъминлаш бўйича қўйиладиган талаблар тўғрисида

НИЗОМ

Мазкур Низом Ўзбекистон Республикасининг "Ўзбекистон Республикасининг Марказий банки тўғрисида" (Ўзбекистон Республикаси Олий Мажлисининг Ахборотномаси, 1995 й., 12-сон, 247-модда) ва "Кредит ахбороти алмашинуви тўғрисида"ги (Ўзбекистон Республикаси қонун ҳужжатлари тўплами, 2011 й., 40-сон, 412-модда) қонунларига мувофиқ кредит бюроларининг техник ва дастурий воситаларига ахборот хавфсизлиги ва муҳофазасини таъминлаш бўйича қўйиладиган талабларни белгилайди.

I. УМУМИЙ ҚОИДАЛАР

1. Мазкур Низомда қуйидаги тушунчалардан фойдаланилади:

кредит ахбороти алмашинуви тизими (кейинги ўринларда тизим деб юритилади) - кредит ахбороти алмашинуви иштирокчилари ўртасида вужудга келадиган муносабатлар мажмуаси;

электрон ахборот - Ўзбекистон Республикасининг "Кредит ахбороти алмашинуви тўғрисида"ги Қонунига мувофиқ, Тизим иштирокчилари алмашадиган электрон ахборот;

ахборотни криптографик муҳофаза қилиш воситалари - ахборот хавфсизлигини таъминлаш учун унинг криптографик алмаштирилишини амалга оширувчи аппарат, дастурий ёки аппарат-дастурий воситалар;

банк телекоммуникация тармоғи (кейинги ўринларда БТТ деб юритилади) - банк тизимининг идоравий телекоммуникация тармоғи.

2. Кредит бюроларининг ахборот тизимларида қўлланиладиган ахборот муҳофазасининг лицензияланган ва сертификатланган дастурий-техник воситалари қуйидагиларни таъминлаши керак:

тизим иштирокчилари бўлган ташкилотларни ва уларнинг ходимларини идентификация ва аутентификация қилишни;

тизимдаги ахборотларнинг маҳфийлигини;

аутентификацияланган маълумот алмашинувини;

ахборотни шакллантириш, узатиш, фойдаланиш, қайта ишлаш ва сақлаш жараёнларида маълумотларнинг бутлигини;

нормал фойдаланиш шароитида тизимнинг барча ресурсларига авторлаштирилган тарзда киришни;

фойдаланувчиларнинг ресурсларга кириш чегараларини белгилашни;

фойдаланувчиларнинг тизимга кириш ва чиқиш бўйича ҳаракатларини ҳамда кириш ҳуқуқларини бузишга уринишларини қайд этишни;

фавқулодда ҳолатларда тизимнинг хавфсизлиги ва узилишларсиз фаолиятини;

ахборот хавфсизлиги бўйича хавфларни аниқлаш ва олдини олишни;

маълумотларни захиралаш ва қайта тиклаш тизимини.

II. КРЕДИТ БЮРОЛАРИДА ХАВФСИЗЛИК

ВА АХБОРОТ МУҲОФАЗАСИНИ ТАЪМИНЛАШ

3. Кредит бюроларининг дастурий-техник таъминоти хавфсизлик ва ахборот муҳофазаси бўйича қонун ҳужжатларида белгиланган тартибда даврий аттестациядан ўтиши лозим.

4. Ташқаридан бегоналарнинг кириши ва кредит ахбороти ўғирланишининг олдини олиш учун кредит бюроларининг сервер хоналарига қуйидаги талаблар қўйилади:

мустаҳкам деворлар, ишончли тўсиқлар ва панжаралар;

махсус кодли ёки бошқа турдаги ишончли қулфлар билан жиҳозланган мустаҳкам эшиклар;

ташқи кузатувга қарши ҳимоя воситалари;

ёнғин хавфсизлиги ва қўриқлаш сигнализациясининг мавжудлиги.

5. Тўлов тизими серверларини ташқи таъсирдан ҳимоялаш учун тармоқлараро экранлар (Firewall) ҳамда ахборотни муҳофаза қилувчи лицензияланган техник ва дастурий воситалар ўрнатилиши керак.

6. Кредит ахборотлари алмашинуви қатнашчиларини аутентификация қилиш ва кредит бюролари ахборот тизимларини пароль ва антивирус билан ҳимоялаш чоралари кўрилиши керак.

7. Компьютер ва бошқа жиҳозлар ишдан чиққан ҳолларда кредит бюросининг узилишсиз фаолият юритишини таъминлаш мақсадида тизимнинг захира тикланиш режаси ҳамда зарур дастур ва воситалар бўлиши керак.

8. Сервер ва энг муҳим компьютерларни электр энергияси билан узилишларсиз таъминлаш учун узлуксиз электр таъминоти қурилмалари (UPS) ва дизель-генератор бўлиши керак.

III. ТЕЛЕКОММУНИКАЦИЯ ТАРМОҚЛАРИ ОРҚАЛИ

ЭЛЕКТРОН АХБОРОТ АЛМАШИНУВИ ЖАРАЁНИДА

АХБОРОТ МУҲОФАЗАСИНИ ТАЪМИНЛАШ

9. Кредит бюроси тизим иштирокчилари билан ахборот алмашинуви учун БТТ ёки умумий фойдаланишдаги телекоммуникация тармоғидан фойдаланади.

10. Кредит бюросининг Марказий банк ва кредит ташкилотлари билан электрон ахборот алмашинуви Ахборотлаштириш Бош маркази билан тузилган шартнома асосида БТТ орқали амалга оширилади. Бунда қуйидаги хавфсизлик чоралари кўрилиши керак:

а) кредит ахборотлари билан ишлаш учун фақат тегишли рухсатга эга бўлган ходимлар қўйилади;

б) фойдаланувчиларнинг тизимга кириши учун аутентификация қилиш:

логин ва пароль (8 та белгидан кам бўлмаган рақам ва символлар комбинацияси ҳамда пароль ва логинларни муддати тугашига қараб ўзгартириш имконияти бўлиши лозим. Паролнинг амал қилиш муддати бир ойдан ошмаслиги лозим);

аппарат-дастурий воситалар ёрдамида амалга оширилади;

в) кредит бюросининг кредит ахборотлари алмашинувида қатнашувчи ходимларининг сервер ва компьютерлар телекоммуникация тармоқлари орқали ишлаши учун аппарат-дастурий воситалар билан жиҳозланиши керак;

г) кредит бюросидаги ахборотларни қайта ишлаш, узатиш ва қабул қилиш учун ажратилган сервер ва компьютерларга умумий локал тармоққа уланган бошқа компьютерлардан кириш имконияти бўлмаслиги керак;

д) кредит бюроси томонидан узатиладиган ва қабул қилинадиган ҳар қандай ахборот электрон рақамли имзо билан тасдиқланиши ҳамда бажарилган амал бўйича маълумот автоматик равишда электрон журналга киритилиши керак. Бунда, электрон рақамли имзо ёпиқ калитининг эгаси қуйидагиларни амалга ошириши шарт:

электрон рақамли имзонинг ёпиқ калитидан фойдаланиш устидан назоратни таъминлаши;

электрон рақамли имзо калити сертификатини берган Рўйхатга олиш марказига электрон рақамли имзонинг ёпиқ калитидан фойдаланиш режими бузилганлиги ёки бузилиши эҳтимоли борлиги тўғрисида хабар қилиши ва электрон рақамли имзо калити сертификатининг амал қилишини тўхтатиб туришни ёхуд мазкур сертификатни бекор қилишни талаб қилиши;

ўзи вакил бўлган юридик шахснинг қайта ташкил этилганда ва тугатилганда, бу ҳақда электрон рақамли имзо калити сертификатини берган Рўйхатга олиш марказига хабар қилиши;

е) электрон рақамли имзо очиқ калитининг фойдаланувчиси электрон рақамли имзонинг ҳақиқийлиги тасдиқланмаган ҳолларда электрон рақамли имзонинг ёпиқ калити эгасига хабар беради;

ё) кредит бюролари томонидан кредит ахборотига тегишли бўлмаган ахборотларнинг узатилиши тақиқланади;

ж) кредит бюроси томонидан узатиладиган ва қабул қилинадиган маълумотлар сўнгги янгиланган базали антивирус дастури ёрдамида вируслар мавжудлигини аниқлаш учун текширилиши керак;

з) электрон ахборотлар алмашинувида виртуал хусусий тармоқлар (VPN) асосида ташкил этилган ҳимояланган алоқа каналлари қўлланилиши керак.

Ахборотнинг маҳфийлигини таъминлаш учун қўшимча ахборотни муҳофаза қилиш воситалари қўлланилиши мумкин.

11. Мазкур Низомнинг 10-бандида кўрсатилганлардан ташқари тизим иштирокчилари кредит ахборотлари алмашинуви учун умумий фойдаланишдаги телекоммуникация тармоқларидан тегишли шартномалар асосида фойдаланишлари мумкин. Бунда:

фойдаланувчиларни тизимга киришида аутентификация қилиш логин ва пароль (8 та белгидан кам бўлмаган рақам ва символлар комбинацияси) ёки аппарат-дастурий воситалар ёрдамида амалга оширилади. Аутентификация натижаси уч марта нотўғри бўлган ҳолда, тизим беркитилиши керак;

кредит бюросининг фойдаланувчилар, ахборотни етказиб берувчилар ва бошқа кредит бюролари билан электрон ахборот алмашинуви "SSL" протоколи бўйича амалга оширилиши, виртуал хусусий тармоқлар (VPN) асосида ташкил этилган ҳимояланган шифрланган алоқа каналлари қўлланилиши керак;

кредит бюроси серверлари томонидан узатиладиган ва қабул қилинадиган маълумот сўнгги янгиланган базали антивирус дастури билан вируслар мавжудлиги бўйича текширилиши керак;

кредит бюролари томонидан кредит ахборотларига тегишли бўлмаган ахборотларни узатиш тақиқланади.

Ахборотнинг маҳфийлигини таъминлаш учун қўшимча ахборотни муҳофаза қилиш воситалари қўлланилиши мумкин.

IV. ЯКУНИЙ ҚОИДА

12. Мазкур Низом Ўзбекистон алоқа ва ахборотлаштириш агентлиги билан келишилган.

"Ўзбекистон Республикаси қонун ҳужжатлари тўплами", 2012 йил, 3-4-сон, 35-модда