Ўзбекистон Республикаси киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг киберхавфсизлигини таъминлаш даражасини баҳолаш тартиби тўғрисидаги Низом (АВ томонидан 22.09.2023 й. 3458-сон билан рўйхатга олинган Давлат хавфсизлик хизмати раисининг 04.09.2023 й. 91-сон буйруғи билан тасдиқланган илова)

Функция недоступна

Ўзбекистон Республикаси

Адлия вазирлигида

2023 йил 22 сентябрда 3458-сон

билан рўйхатга олинган

Ўзбекистон Республикаси

Давлат хавфсизлик

хизмати раисининг

2023 йил 4 сентябрдаги

91-сон қарорига

ИЛОВА

Ўзбекистон Республикаси киберхавфсизлик

ва муҳим ахборот инфратузилмаси объектларининг

киберхавфсизлигини таъминлаш даражасини

баҳолаш тартиби тўғрисидаги

НИЗОМ

Мазкур Низом Ўзбекистон Республикаси киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг киберхавфсизлигини таъминлаш даражасини баҳолаш (бундан буён матнда баҳолаш деб юритилади) тартибини белгилайди.

1-БОБ. УМУМИЙ ҚОИДАЛАР

       

1. Мазкур Низомда қуйидаги тушунчалар қўлланилади:

киберхавфсизлик - кибермаконда шахс, жамият ва давлат манфаатларининг ташқи ва ички таҳдидлардан ҳимояланганлик ҳолати;

киберхавфсизлик объекти - ахборотнинг киберҳимоя қилинишини ҳамда миллий ахборот тизимлари ва ресурсларининг киберхавфсизлигини таъминлашга доир фаолиятда фойдаланиладиган ахборот тизимлари мажмуи, шу жумладан муҳим ахборот инфратузилмаси объектлари;

киберҳимоя - киберхавфсизлик ҳодисаларининг олдини олишга, киберҳужумларни аниқлашга ва улардан ҳимоя қилишга, киберҳужумларнинг оқибатларини бартараф этишга, телекоммуникация тармоқлари, ахборот тизимлари ҳамда ресурслари фаолиятининг барқарорлигини ва ишончлилигини тиклашга қаратилган ҳуқуқий, ташкилий, молиявий-иқтисодий, муҳандислик-техник чора-тадбирлар, шунингдек маълумотларни криптографик ва техник жиҳатдан ҳимоя қилиш чора-тадбирлари мажмуи;

киберҳужум - кибермаконда аппарат, аппарат-дастурий ва дастурий воситалардан фойдаланган ҳолда қасддан амалга ошириладиган, киберхавфсизликка таҳдид соладиган ҳаракат;

муҳим ахборот инфратузилмаси - муҳим стратегик ва ижтимоий-иқтисодий аҳамиятга эга бўлган автоматлаштирилган бошқарув тизимларининг, ахборот тизимлари ҳамда тармоқлар ва технологик жараёнлар ресурсларининг мажмуи;

муҳим ахборот инфратузилмаси объектлари - давлат бошқаруви ва давлат хизматлари кўрсатиш, мудофаа, давлат хавфсизлигини, ҳуқуқ-тартиботни таъминлаш, ёқилғи-энергетика мажмуи (атом энергетикаси), кимё, нефть-кимё тармоқлари, металлургия, сувдан фойдаланиш ва сув таъминоти, қишлоқ хўжалиги, соғлиқни сақлаш, уй-жой коммунал хизматлар кўрсатиш, банк-молия тизими, транспорт, ахборот-коммуникация технологиялари, экология ва атроф-муҳитни муҳофаза қилиш, стратегик аҳамиятига эга бўлган фойдали қазилмаларни қазиб олиш ва қайта ишлаш соҳасида, ишлаб чиқариш соҳасида, шунингдек иқтисодиётнинг бошқа тармоқларида ва ижтимоий соҳада қўлланиладиган ахборотлаштириш тизимлари.

2. Баҳолаш киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларини жорий қилиш, улардан фойдаланиш ва/ёки ривожлантириш жараёнида тизимли равишда амалга оширилади.

2-БОБ. БАҲОЛАШ ЎТКАЗИШ ТАРТИБИ

           

3. Баҳолаш киберхавфсизлик ва муҳим ахборот инфратузилмаси объектлари раҳбарларининг Ўзбекистон Республикаси Давлат хавфсизлик хизматига (бундан буён матнда ваколатли давлат органи деб юритилади) тақдим қилган мурожаатига мувофиқ ўтказилади. Бунда, мурожаатга мазкур Низомнинг 3-бобида белгиланган талабларнинг бажарилганлигини кўрсатувчи маълумотлар илова қилинади.

Баҳолаш бевосита ваколатли давлат органи ташаббусига кўра ёки унинг ёзма топшириғи асосида ваколатли давлат органининг ишчи органи - "Киберхавфсизлик маркази" ДУК (бундан буён матнда ишчи орган деб юритилади) томонидан амалга оширилиши мумкин.

Бунда, баҳолаш уч ойгача бўлган муддатда амалга оширилади, шунингдек киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларини баҳолаш жараёнининг мураккаблик даражасидан келиб чиқиб, ушбу муддат ваколатли давлат органи ёки ишчи орган раҳбари томонидан кейинги уч ойгача узайтирилиши мумкин.

4. Баҳолаш жараёнида ваколатли давлат органи ёки ишчи органи томонидан киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг киберхавфсизлигига салбий таъсир этувчи таҳдидлар мавжудлиги ўрганилади.

5. Баҳолаш жараёнида амалга ошириладиган ишлар автоматлаштирилган дастурий воситалардан фойдаланган ҳолда ҳам амалга оширилиши мумкин.

3-БОБ. БАҲОЛАШ УСУЛЛАРИ

          

6. Баҳолаш жараёнида ваколатли давлат органи ёки ишчи органи томонидан қуйидаги киберхавфсизликни амалга ошириш ҳолатлари ўрганилади:

киберҳимояни таъминлаш тизимининг самарадорлиги;

маълумот ва уни қайта ишловчи объектлардан рухсатсиз фойдаланишни олдини олиш чораларининг жорий этилганлиги;

киберҳимояни таъминлаш тизими параметрларининг техник регламентлар талабларига мувофиқлиги, киберхавфсизлик ва муҳим ахборот инфратузилмаси объектининг узлуксиз фаолият юритишини таъминловчи чора-тадбирлар жорий этилганлиги;

киберхавфсизлик ҳодисаси рўй берганда киберҳимояни таъминлаш тизимининг тезкор тиклаш имконияти мавжудлиги;

киберҳужумларни мониторинг, аудит ва таҳлил қилиш, аниқлаш, чора кўриш ҳамда асоратларини бартараф этиш тизимининг йўлга қўйилганлиги;

киберхавфсизлик ва муҳим ахборот инфратузилмаси объектини киберхавфсизлигини ва унинг эксплуатациясини таъминловчи ҳужжатларнинг мавжудлиги;

киберхавфсизликни таъминлаш билан боғлиқ лавозимларга мутахассисларнинг тайинланганлиги;

конфиденциал маълумотлар ҳимоясининг таъминланганлиги.

7. Киберҳимояни таъминлаш тизимининг самарадорлиги қуйидаги ҳолатлар асосида баҳоланади:

автоматлаштирилган бошқарув тизими архитектураси ва конфигурациясининг киберхавфсизлик талабларига мувофиқлиги;

киберхавфсизликни таъминлаш воситаларининг ахборот ва киберхавфсизлик талабларига мувофиқлик сертификатининг мавжудлиги;

ахборот тизими ва ресурсларининг киберхавфсизлик талабларига мувофиқ комплекс экспертизадан ўтказилганлиги хақидаги хулосанинг мавжудлиги;

бошқариладиган (кузатиладиган) объект ёки жараённинг параметрлари (ҳолати) тўғрисидаги маълумотлар, шу жумладан кириш (чиқиш) маълумотлари, бошқарув ва буйруқ тусдаги маълумотлари, назорат ва ўлчов маълумотлари ҳамда бошқа муҳим (технологик) маълумотларда киберхавфсизликнинг таъминланганлиги;

маълумотларни қайта ишловчи дастурий таъминот ва аппарат воситалари, шу жумладан иш станциялари, серверлар, телекоммуникация ускуналари, алоқа линиялари, дастурлаштириладиган мантиқий текширгичлар, ишлаб чиқариш ва технологик ускуналар киберхавфсизлигининг таъминланганлиги.

8. Маълумот ва уни қайта ишловчи объектлардан рухсатсиз фойдаланишни олдини олиш чораларининг жорий этилганлиги қуйидаги ҳолатлар асосида баҳоланади:

сертификатланган тармоқлараро экран мавжудлиги ва уни тегишли техник жиҳатдан тартибга солиш соҳасидаги норматив ҳужжатларга мувофиқ созланганлиги;

тармоқ ҳужумларини аниқлаш ва олдини олувчи сертификатланган тизимлар мавжудлиги ва уни тегишли техник жиҳатдан тартибга солиш соҳасидаги норматив ҳужжатларга мувофиқ созланганлиги;

конфиденциал маълумотлар чиқиб кетишини олдини олишнинг сертификатланган тизимининг мавжудлиги ва уни тегишли техник жиҳатдан тартибга солиш соҳасидаги норматив ҳужжатларга мувофиқ созланганлиги;

дастурий, аппарат-дастурий ва аппарат воситаларини қўллаш натижасида киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг фаолиятини бузилиши ва/ёки тўхташи мумкин бўлган таҳдидларга қарши чора кўрилганлиги;

конфиденциал маълумотларнинг ахборот ва киберхавфсизлигини таъминлашнинг сертификатланган тизимини татбиқ этилганлиги.

9. Киберҳимояни таъминлаш тизими параметрларининг техник регламентлар талабларига мувофиқлиги, киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг узлуксиз фаолият юритишини таъминловчи чора-тадбирлар жорий этилганлиги қуйидаги ҳолатлар бўйича баҳоланади:

кафолатланган узлуксиз электр таъминоти ва унинг муқобил манбаларининг мавжудлиги, уларнинг созлигини ўрганиш бўйича синовлар ўтказилганлиги;

маълумотларни қайта ишлаш тизимининг узлуксиз ишлашини таъминловчи ускуна ва дастурий таъминот захираси мавжудлиги;

маълумотлар базаси ва созланма маълумотларининг захира нусхаларини ўрнатилган тартибда олиниши ва сақланишининг таъминланганлиги.

10. Киберхавфсизлик ҳодисаси рўй берганда киберҳимояни таъминлаш тизимининг тезкор тиклаш имконияти мавжудлиги қуйидаги ҳолатлар асосида баҳоланади:

киберҳимояни таъминлаш тизимининг ишчи ҳолатини тиклаш бўйича амалга ошириладиган хатти-ҳаракатлар ва масъул шахсларнинг вазифаларини белгиловчи йўриқноманинг мавжудлиги ва самарадорлиги;

киберҳимояни таъминлаш тизимининг захира нусхаларини ўрнатилган тартибда олиниши ва сақланишининг таъминланганлиги;

киберҳимояни таъминлаш тизимининг тўлиқ қайта тикланиши, шу жумладан, захира нусхаси орқали таъминланганлиги.

11. Киберҳужумларни мониторинг, аудит ва таҳлил қилиш, аниқлаш, чора кўриш ҳамда асоратларини бартараф этиш тизимининг йўлга қўйилганлиги қуйидаги ҳолатлар асосида баҳоланади:

ҳодисаларни қайд этиш электрон журналининг юритилганлиги (камида сўнгги 3 ойлик муддат);

киберҳужумларни мониторинг, аудит ва таҳлил қилувчи тизимнинг ишлашининг таъминланганлиги (тест синови орқали ўрганиш ўтказилади);

киберҳужумларни аниқловчи, чора кўрувчи ва асоратларини бартараф этувчи тизимларнинг ишлашининг таъминланганлиги (тест синови орқали ўрганиш ўтказилади).

12. Киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг киберхавфсизлигини ва унинг эксплуатациясини таъминловчи ҳужжатларнинг мавжудлиги қуйидаги ҳолатлар асосида баҳоланади:

киберхавфсизлик ва муҳим ахборот инфратузилмаси объекти раҳбари томонидан объектда киберҳимоя тизимининг ишлашини таъминлаш учун масъул мутахассислар тайинланганлиги ва/ёки таркибий бўлинманинг мавжудлиги;

киберхавфсизлик ва муҳим ахборот инфратузилмаси объектининг ахборот хавфсизлиги сиёсати, низомлари, кўрсатмалари, талаблари ҳамда ҳимоя воситаларидан фойдаланиш, киберҳимоя тизимининг ишлашини ташкил этиш ва назорат қилиш тартиби тасдиқланганлиги ва доимий такомиллаштириб борилганлиги;

ахборот тизимларининг киберхавфсизлик ҳолати ва муҳим кўрсаткичларининг мониторингини олиб бориш, шунингдек ахборот хавфсизлигига таҳдидлар, заифликлар ва уларни амалга ошириш (ҳосил қилиш) мумкин бўлган усуллар (сценарийлар) ва моделлар таҳлил қилинганлиги ҳамда киберхавфсизлик ҳодисаларига чора кўрилганлигини тасдиқловчи ҳужжатлар мавжудлиги;

киберҳимоя тизими ва тизим ости қисмларининг тажриба эксплуатацияси, қабул қилиш синовлари ҳамда киберҳимоя тизимини синовдан ўтказиш амалиётларини тасдиқловчи ҳужжатлар;

ходимларнинг ахборот ва киберхавфсизликни таъминлаш бўйича билими ва амалий тажрибасини ошириб боришини тасдиқловчи ҳужжатларнинг мавжудлиги;

киберхавфсизлик ва муҳим ахборот инфратузилмаси объекти киберхавфсизлигини таъминлаш бўйича тасдиқланган ишчи ёки эксплуатация ҳужжатларининг мавжудлиги;

ахборот ва киберхавфсизлик йўналишидаги техник жиҳатдан тартибга солиш соҳасидаги норматив ҳужжатларга мувофиқ ҳимоя тизимининг ҳолатини режали ва режадан ташқари ўрганиш амалиётини жорий этилганлигини тасдиқловчи ҳужжатларнинг мавжудлиги;

барча маълумот ташувчиларни (шу жумладан объект ҳудудига олиб кириш ва олиб чиқиш) сақлаш, узатиш ва муомаладан чиқариш жараёнини тартибга солувчи қоидаларга риоя қилинаётганлигини тасдиқловчи ҳужжатларнинг мавжудлиги;

йиллик режаларда белгиланган киберхавфсизликни таъминлашга оид тадбирларнинг ижро этилганлигини тасдиқловчи ҳужжатларнинг мавжудлиги.

13. Киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларида киберхавфсизлигини таъминлаш билан боғлиқ лавозимларга шу соҳада касбий кўникмага эга ва малака оширилганлигини тасдиқловчи сертификатлари мавжуд бўлган ходимлар тайинланиши ўрганилади.

14. Киберхавфсизлик ва муҳим ахборот инфратузилмаси объектларининг автоматлаштирилган (ахборот) тизимларида қайта ишланаётган конфиденциал маълумотлар қонунчилик ҳамда техник жиҳатдан тартибга солиш соҳасидаги норматив ҳужжатларда белгиланган талабларга мувофиқ ҳимояланганлиги ўрганилади.

15. Баҳолаш жараёни якунлангандан сўнг мазкур Низомнинг 7 - 14-бандларидаги талабларнинг бажарилиш ҳолати юзасидан ваколатли давлат органи ёки ишчи орган томонидан икки нусхада далолатнома расмийлаштирилади. Бунда, далолатноманинг бир нусхаси баҳолаш ўтказилган муҳим ахборот инфратузилмаси объектининг масъул ходимига берилади.

Далолатномада бартараф этилиши лозим бўлган камчиликлар мавжуд бўлса, бунда баҳолаш ўтказилган муҳим ахборот инфратузилмаси объектининг ходимлари (мутахасислари) томонидан дархол ушбу камчиликларни бартараф этиш чоралари кўрилади, бу ҳақида тегишли маълумотнома тузилади ҳамда ваколатли давлат органи ва/ёки ишчи органга тақдим этилади.

16. Ваколатли давлат органи ва ишчи органи томонидан доимий равишда кибертаҳдидлар бўйича маълумотлар таҳлил қилиб борилади.

Бунда, аниқланган кибертаҳдидлар ва заифликлар бўйича ваколатли давлат органи ёки ишчи орган томонидан киберхавфсизлигини таъминлаш даражаси баҳоланган объектларни қайта баҳолаш тадбирлари мазур Низомнинг 3-бандида белгиланган муддатларда амалга оширилиши мумкин.

4-БОБ. ЯКУНИЙ ҚОИДАЛАР

             

17. Муҳим ахборот инфратузилмаси объектлари, ваколатли давлат органи ва/ёки ишчи орган баҳолаш давомида олинган маълумотларнинг қонунчиликда белгиланган тартибда махфийлигини таъминлаш учун жавобгардир.

18. Мазкур Низом талаблари бузилишида айбдор бўлган шахслар қонунчилик ҳужжатларида белгиланган тартибда жавобгар бўладилар.

         

            

Қонун ҳужжатлари маълумотлари миллий базаси (www.lex.uz),

2023 йил 25 сентябрь