Ўзбекистон Республикаси муҳим ахборот инфратузилмаси объектларининг киберхавфсизлигини таъминлаш бўйича умумий талаблар (ЎзР Президентининг 31.05.2023 й. ПК-167-сон карорига 2-илова)

Функция недоступна

Ўзбекистон Республикаси

Президентининг

2023 йил 31 майдаги

ПҚ-167-сон қарорига

2-ИЛОВА

Ўзбекистон Республикаси муҳим

ахборот инфратузилмаси объектларининг

киберхавфсизлигини таъминлаш бўйича

УМУМИЙ ТАЛАБЛАР

            

               

1-БОБ. УМУМИЙ ҚОИДАЛАР

         

1. Ушбу талаблар Ўзбекистон Республикаси муҳим ахборот инфратузилмаси (кейинги ўринларда - МАИ) объектларининг киберхавфсизлигини таъминлашга қўйиладиган умумий талабларни белгилайди.

2. МАИ субъекти "Киберхавфсизлик тўғрисида"ги Ўзбекистон Республикасининг Қонуни, ушбу талаблар ва бошқа қонунчилик ҳужжатларига мувофиқ унга тегишли бўлган МАИ объектининг киберхавфсизлигини таъминлайди.

2-БОБ. МАИ ОБЪЕКТЛАРИНИНГ

КИБЕРХАВФСИЗЛИГИНИ ТАЪМИНЛАШ

БЎЙИЧА АСОСИЙ ТАЛАБЛАР

          

3. МАИ объектларига киберхавфсизликни таъминлашнинг қуйидаги талаблари қўйилади:

МАИ объектининг киберхавфсизлигини самарали таъминлаш тизимининг йўлга қўйилганлиги;

ахборот тизимида маълумотлардан рухсатсиз фойдаланиш, уларни йўқ қилиш, ўзгартириш, блоклаш (чеклаш), нусха олиш, тақдим этиш ва тарқатиш ҳамда МАИ объектлари фаолиятининг бузилиши ва/ёки тўхташига олиб келувчи бошқа ҳаракатларни амалга оширишнинг олди олинганлиги;

киберхавфсизликни таъминлаш тизими параметрларининг техник регламентлар талабларига мувофиқлиги, киберхавфсизлик ва МАИ объектининг узлуксиз фаолият юритишини таъминловчи чора-тадбирлар жорий этилганлиги;

киберхавфсизлик ҳодисаси рўй берганда киберҳимояни таъминлаш тизимини тезкор тиклаш имконияти мавжудлиги;

киберҳужумларни мониторинг, аудит ва таҳлил қилиш, аниқлаш, чора кўриш ҳамда уларнинг оқибатларини бартараф этиш тизимининг самарали йўлга қўйилганлиги;

киберхавфсизлик ва МАИ объектининг киберхавфсизлиги ва унинг эксплуатациясига доир ҳужжатларнинг мавжудлиги.

4. МАИ объекти раҳбари мазкур объектда киберхавфсизликни таъминлашга масъул шахс ҳисобланади. МАИ объекти раҳбари томонидан белгиланган тартибда объектда киберхавфсизликни таъминловчи ҳимоя тизимининг ишлашини таъминлашга масъул мутахассислар ёки таркибий бўлинма тайинланади.

5. МАИ объекти раҳбари объектнинг ахборот хавфсизлиги сиёсати, киберхавфсизлик соҳасидаги низомлар, кўрсатмалар, талаблар, ҳимоя воситаларидан фойдаланиш, киберхавфсизликни таъминловчи ҳимоя тизимининг ишлашини ташкил этиш ва назорат қилиш тартибини тасдиқлайди ҳамда уларни доимий равишда такомиллаштириш чораларини кўради.

6. МАИ объектида қуйидаги ҳужжатлар бўлиши керак:

киберхавфсизлик ва МАИ объекти раҳбари томонидан объектда киберҳимоя тизимининг ишлашини таъминлаш учун масъул мутахассислар тайинланганлиги ва/ёки таркибий бўлинманинг мавжудлигини тасдиқловчи ҳужжатлар;

киберхавфсизлик ва МАИ объектининг ахборот хавфсизлиги сиёсати, киберхавфсизлик соҳасидаги низомлари, кўрсатмалари, талаблари ҳамда ҳимоя воситаларидан фойдаланиш, киберҳимоя тизимининг ишлашини ташкил этиш ва назорат қилиш тартиби тасдиқланганлиги ва доимий равишда такомиллаштириб борилганлигини тасдиқловчи ҳужжатлар;

ахборот тизимларининг киберхавфсизлик ҳолати ва муҳим кўрсаткичларининг мониторингини олиб бориш, шунингдек, ахборот хавфсизлигига таҳдидлар ва уларни амалга ошириш мумкин бўлган усуллар (сценарийлар) ва моделлар ҳамда улардаги заифликлар таҳлил қилинганлиги, киберхавфсизлик ҳодисаларининг олдини олиш ва уларни бартараф этишга доир чоралар кўрилганлигини тасдиқловчи ҳужжатлар;

киберҳимоя тизими ва унинг тизимости қисмларининг тажриба-эксплуатацияси, қабул қилиш синовлари ҳамда киберҳимоя тизимини синовдан ўтказиш амалиётларини тасдиқловчи ҳужжатлар;

ходимларнинг ахборот ва киберхавфсизликни таъминлаш бўйича билими ва амалий тажрибаси ошириб борилганлигини тасдиқловчи ҳужжатлар;

МАИ объектининг киберхавфсизлигини таъминлаш бўйича тасдиқланган ишчи ёки эксплуатация ҳужжатлари;

ахборот ва киберхавфсизлик йўналишидаги техник жиҳатдан тартибга солиш соҳасига оид норматив ҳужжатларга мувофиқ ҳимоя тизимининг ҳолатини режали ва режадан ташқари текшириш амалиёти жорий этилганлигини тасдиқловчи ҳужжатлар;

барча маълумот ташувчиларни объект ҳудудига олиб кириш ва олиб чиқиш, сақлаш, узатиш ва муомаладан чиқариш жараёнини тартибга солувчи қоидаларга риоя қилинаётганлигини тасдиқловчи ҳужжатлар;

йиллик режаларда киберхавфсизликни таъминлашга оид белгиланган тадбирларнинг ижро этилганлигини тасдиқловчи ҳужжатлар.

7. МАИ объектларининг киберхавфсизлигини таъминловчи барча аппарат, аппарат-дастурий ва дастурий таъминотлар тегишли мувофиқлик сертификатлари ҳамда киберхавфсизлик тўғрисидаги қонунчиликка мувофиқ бўлиши керак.

8. МАИ объектларининг киберхавфсизлигини таъминлаш бўйича белгиланган талаблар билан бирга қўшимча равишда қуйидагилар:

МАИ объектларининг киберхавфсизлигини таъминлаш бўйича чора-тадбирларни режалаштириш, ишлаб чиқиш, такомиллаштириш ва жорий қилиш;

МАИ объектларининг киберхавфсизлигини таъминлаш учун ташкилий, ҳуқуқий ва техник чораларни кўриш;

МАИ объектларининг киберхавфсизлигини таъминлашда қўлланиладиган аппарат, дастурий-аппарат ва дастурий воситаларнинг кўрсаткич ва хусусиятларини белгилаш назарда тутилади.

9. Давлат ҳокимияти ва бошқаруви органлари, бирлашмалар, корхоналар, муассасалар ва ташкилотлар ваколатли давлат органи ва унинг ишчи органи билан келишган ҳолда ахборот хавфсизлиги сиёсатини ишлаб чиқиш ва уни амалга оширишда МАИ объектларининг иш фаолияти хусусиятларидан келиб чиққан ҳолда уларнинг киберхавфсизлигини таъминлаш воситаларига қўшимча талабларни белгилаши мумкин.

3-БОБ. МАИ ОБЪЕКТИНИНГ АВТОМАТЛАШТИРИЛГАН

ВА АХБОРОТ ТИЗИМЛАРИДА ҚАЙТА ИШЛАНАЁТГАН

КОНФИДЕНЦИАЛ ВА МАХФИЙ МАЪЛУМОТЛАРНИНГ

ХАВФСИЗЛИГИНИ ТАЪМИНЛАШ ВОСИТАЛАРИГА

ҚЎЙИЛАДИГАН ТАЛАБЛАР

           

10. Киберхавфсизликни таъминловчи ҳимоя тизими қуйидагиларни таъминлаши зарур:

МАИ объекти томонидан қайта ишланадиган маълумотлардан рухсатсиз фойдаланиш, уларни йўқ қилиш, ўзгартириш, блоклаш (чеклаш), нусхалаш, тақдим этиш, тарқатиш ва шу каби бошқа хатти-ҳаракатларнинг олдини олиш;

МАИ объектининг иш фаолияти бузилиши ва/ёки тўхтаб қолишига олиб келиши мумкин бўлган аппарат, аппарат-дастурий ва дастурий воситаларга ахборот таъсирининг олдини олиш;

ўз ичига давлат сирини олмаган, қонунчилик билан ҳимояланган (кейинги ўринларда - конфиденциал) ва махфий маълумотларга киберхавфсизлик таҳдиди шароитида МАИ объектининг тўлиқ ишлашини таъминлаш;

МАИ объекти фаолиятини тиклаш имкониятини таъминлаш.

11. Автоматлаштирилган ва ахборот тизимларида қуйидагилар ҳимоя қилинади:

барча қайта ишланаётган маълумотлар;

аппарат, аппарат-дастурий ҳамда дастурий воситалар, шу жумладан компьютерни сақлаш воситалари, иш станциялари, серверлар, телекоммуникация ускуналари, алоқа линиялари, график, видео ва нутқ маълумотларини қайта ишлаш воситалари;

аппарат-дастурий воситаларнинг дастурий таъминоти;

ахборот тизимларининг архитектураси ва конфигурацияси.

12. Телекоммуникация тармоқларида қуйидагилар ҳимоя қилинади:

алоқа линиялари орқали узатиладиган маълумотлар;

телекоммуникация ускуналари, шу жумладан дастурий таъминот, бошқарув тизими;

ўрнатилган ҳимоя воситалари;

телекоммуникация тармоғи архитектураси ва конфигурациясининг яхлитлиги.

13. Автоматлаштирилган бошқарув тизимларида қуйидагилар ҳимоя қилинади:

бошқариладиган, кузатиладиган объект ёки жараённинг параметрлари ёхуд ҳолати тўғрисидаги маълумотлар, шу жумладан кириш-чиқиш маълумотлари, бошқарув маълумотлари, назорат ва ўлчов маълумотлари ҳамда бошқа муҳим маълумотлар;

дастурий таъминот ва аппарат воситалари, шу жумладан иш станциялари, саноат серверлари, телекоммуникация ускуналари, алоқа линиялари, дастурланадиган мантиқий текширгичлар, ишлаб чиқариш, технологик ускуналар;

аппарат-дастурий воситаларнинг дастурий таъминоти;

ўрнатилган ҳимоя воситалари;

автоматлаштирилган бошқарув тизимининг архитектураси ва конфигурацияси.

14. Хавфсизлик чораларини амалга оширишда аппарат, тизим, дастур ва тармоқ даражаларида, шу жумладан виртуаллашган муҳитда киришнинг барча объектлари ва субъектларига нисбатан киберхавфсизлик таҳдидларининг ҳисобга олинганлиги мажбурий мезонлардан бири ҳисобланади.

15. МАИ объектларидаги конфиденциал ва махфий маълумотларни қайта ишлайдиган қурилмаларда, киберхавфсизлик таҳдидларига қараб, қуйидаги чоралар амалга оширилиши зарур:

кичик тизим ёки бошқа тизимларнинг элементларига кириш ҳуқуқи олинишининг ҳар бир босқичида идентификация ва аутентификация қилиш;

файллар, тизимлар ва қурилмаларга кириш ҳуқуқини бошқариш;

ахборот инфратузилмасини бошқариш ваколатига эга бўлмаган фойдаланувчи учун дастурий муҳитни чеклаш;

конфиденциал ва махфий маълумотларни ташувчи воситаларни ҳимоя қилиш;

тизимлар, дастурлар, шу жумладан дастурий ва дастурий-аппарат ресурсларининг киберхавфсизлик аудитини ўтказиш;

МАИ объекти ахборот активларини бузғунчи дастурий таъминотларга қарши ҳимоя қилиш;

киберҳужумларни аниқлаш, уларнинг олдини олиш ва бартараф этиш;

қурилмалар орқали узатиладиган барча маълумотларни қўллаш мақсадларидан қатъи назар уларнинг яхлитлигини таъминлаш;

фойдаланувчиларнинг МАИ объекти фаолиятидаги ўрнига қараб тизим фойдаланувчилари учун маълумотларга рухсат бериш ва ҳимоясини таъминлаш;

ахборот техник ҳимоя воситаларининг хавфсизлигини таъминлаш;

конфигурацияни бошқариш;

дастурий таъминот янгиланишларини ўз вақтида бошқариш;

киберхавфсизлик ҳодисаларига ўз вақтида чора кўриш;

фавқулодда вазиятларда зарур ҳаракатларни бажариш;

яхлитлиги, конфиденциаллиги ёки махфийлиги ҳамда мавжудлиги МАИ объектининг фаолияти ва хавфсизлиги билан боғлиқ бўлган муҳим маълумотларнинг захира нусхасини сақлаш;

киберхавфсизликни таъминлаш ҳолатини, рухсатсиз кириш ва ахборотни ўзгартиришга уринишларни доимий назорат ҳамда таҳлил қилиш;

маълумотларни тезкор тиклаш механизмларини амалга ошириш;

объектни унинг киберхавфсизлик талабларига жавоб бериши юзасидан аттестациядан ўтказиш.

4-БОБ. ЯКУНЛОВЧИ ҚОИДА

        

16. Ушбу талабларнинг бузилишида айбдор бўлган шахслар қонунчилик ҳужжатларига мувофиқ жавоб берадилар.

         

       

Қонун ҳужжатлари маълумотлари миллий базаси (www.lex.uz),

2023 йил 2 июнь