ВСЕ ЗАКОНОДАТЕЛЬСТВО УЗБЕКИСТАНА
ЎзР Конунчилиги / Базада янги / Май, 2024 й. / Банк қонунчилиги /Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг тўлов тизимларида ахборот хавфсизлиги ва киберхавфсизликни таъминлаш ҳамда рақамли технологиялар воситасида содир этиладиган ҳуқуқбузарликларни олдини олиш чораларини кўриш тўғрисидаги Низом (АВ томонидан 21.05.2024 й. 3513-сон билан рўйхатга олинган Марказий банк Бошқарувининг 24.04.2024 й. 13/1-сон қарори билан тасдиқланган)
Полный текст документа доступен в платной версии. По вопросам звоните на короткий номер 1172
Ўзбекистон Республикаси
Адлия вазирлигида
2024 йил 21 майда 3513-сон
билан рўйхатга олинган
Ўзбекистон Республикаси
Марказий банки бошқарувининг
2024 йил 24 апрелдаги
ИЛОВА
Тўлов тизимлари операторлари
ва тўлов хизматларини етказиб берувчиларнинг тўлов
тизимларида ахборот хавфсизлиги ва киберхавфсизликни
таъминлаш ҳамда рақамли технологиялар воситасида
содир этиладиган ҳуқуқбузарликларни олдини олиш
чораларини кўриш тўғрисидаги
НИЗОМ
Мазкур Низом тўлов тизими операторлари ва тўлов хизматларини етказиб берувчиларнинг тўлов тизимларида ахборот хавфсизлиги ва киберхавфсизликни таъминлаш ҳамда рақамли технологиялар воситасида содир этиладиган ҳуқуқбузарликларни олдини олишга доир талабларни белгилайди.
1. Мазкур Низомда қуйидаги асосий тушунчалардан фойдаланилади:
авторизация - маълум шахсга ёки шахслар гуруҳига муайян ҳаракатларни амалга ошириш ҳуқуқини бериш;
аутентификация - фойдаланувчи, дастур, қурилма ёки маълумотларнинг ҳақиқийлигини тасдиқлаш тартиб-таомили;
идентификация - тўлов тизимлари субектларига идентификатор тайинлаш ва/ёки белгиланган идентификаторлар рўйхати билан идентификаторларни таққослаш;
криптографик калит - электрон рақамли имзони ҳисоблаш ёки текшириш, шунингдек шифрлаш ва дастлабки матнга ўгириш учун қўлланиладиган символлар кетма-кетлиги;
масофавий хизмат кўрсатиш тизими - электрон хизматлардан фойдаланиш учун тўлов хизматларидан фойдаланувчи ва ушбу хизматларни етказиб берувчи ўртасидаги алоқани таъминлайдиган телекоммуникация воситалари, рақамли ва ахборот технологиялари, дастурий таъминот ва ускуналар мажмуи;
муҳим тўлов тизимлари операторлари - тўлов тизимининг ишидаги тўхталишлар (узилишлар) Ўзбекистон Республикаси тўлов хизматлари бозорида таваккалчиликларнинг пайдо бўлишига олиб келиши мумкин бўлган ҳамда Ўзбекистон Республикаси Марказий банки (бундан буён матнда Марказий банк деб юритилади) томонидан муҳим тўлов тизими жумласига киритилган тўлов тизимининг оператори ҳисобланган юридик шахс;
тўлов - пул мажбуриятини нақд пул маблағлари билан бажариш ёхуд пул маблағларини тўлов воситаларидан фойдаланган ҳолда ўтказиш;
тўлов агенти - банк ёки тўлов ташкилоти билан тўлов хизматлари кўрсатиш учун агентлик шартномасини тузган, банк ҳисобланмайдиган юридик шахс;
тўлов субагенти - тўлов агенти билан тўлов хизматларини кўрсатиш бўйича субагентлик шартномасини тузган, банк ҳисобланмайдиган юридик шахс ёки якка тартибдаги тадбиркор;
тўлов ташкилоти - банк ҳисобланмайдиган, тўлов хизматларини кўрсатиш бўйича фаолиятни амалга оширишга ваколатли бўлган юридик шахс;
тўлов тизимлари операторлари - Ўзбекистон Республикаси ҳудудида тўлов тизимининг ишлашини таъминлаш бўйича фаолиятни амалга оширувчи юридик шахс;
тўлов тизимининг иштирокчилари - тўлов тизими оператори билан ҳисоб-китобларни амалга оширувчи ва тўлов тизимларида иштирок этиш тўғрисида шартнома тузган банклар;
тўлов хизматларини етказиб берувчилар - Ўзбекистон Республикаси Марказий банки, банклар, тўлов ташкилотлари, тўлов агентлари, тўлов субагентлари;
клиринг - тўлов тизими иштирокчиларининг пулга доир ўзаро талаблари ва мажбуриятларини йиғиш, таққослаш ҳамда ҳисобга ўтказиш жараёни;
электрон пуллар - электрон пуллар эмитентининг электрон шаклда сақланадиган ҳамда электрон пуллар тизимида тўлов воситаси сифатида қабул қилинадиган шарциз ва чақириб олинмайдиган пул мажбуриятлари;
ахборотлаштириш объекти - турли даражадаги ва мақсадлардаги ахборот тизимлари, телекоммуникация тармоқлари, ахборотга ишлов беришнинг техник воситалари, ушбу воситалар ўрнатилган ва ишлатиладиган хоналар, шунингдек музокаралар, шу жумладан махфий музокаралар олиб бориш учун мўлжалланган алоҳида хоналар;
antifrod тизими - банк карталари ва ҳисобварақлари, мобил иловалар аккаунтлари ҳамда электрон ҳамёнлар ёрдамида тўловларни амалга оширишда содир этиладиган фирибгарликни олдини олишга қаратилган жараёнлар йиғиндиси;
frod - ахборот технологияларини қўллаган ҳолда содир этиладиган фирибгарлик ҳаракатлари;
ахборот хавфсизлиги - ахборот муносабатларининг субектларига номақбул зиёнларни келтириши мумкин бўлган табиий ёки сунъий хусусиятли тасодифий ёки қасддан қилинган таъсирлардан ахборот ва таъминлаб турадиган инфратузилманинг муҳофаза қилинганлиги;
киберхавфсизлик - кибермаконда шахс, жамият ва давлат манфаатларининг ташқи ва ички таҳдидлардан ҳимояланганлик ҳолати;
хавфсизлик режими - норматив-ҳуқуқий ҳужжатлар ва техник жиҳатдан тартибга солиш соҳасидаги норматив ҳужжатлар билан белгиланган, маъмурий-ҳуқуқий, ташкилий, инженер-техник ва бошқа чора-тадбирларни ўз ичига оладиган, ташкилотнинг конфиденсиал маълумотларидан ноқонуний фойдаланишнинг олдини олишни таъминловчи тартиб.
АХБОРОТНИ ҲИМОЯ ҚИЛИШ
2. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ўзларининг ахборот тизимлари хусусиятларидан келиб чиқиб, ахборот хавфсизлиги сиёсатини ишлаб чиқади.
3. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловлар тўғрисидаги ахборотни шакллантириш, узатиш, сақлаш ва унга ишлов беришнинг барча босқичларида тўловлар тўғрисидаги ахборотни узлуксиз ҳимоя қилиш учун қуйидаги чораларни кўришлари лозим:
идентификация, аутентификация ва авторизация қилиш тизимини жорий этиш;
тизимга рухсациз киришнинг олдини олиш усулларини (логин, парол, биометрик идентификация, икки факторли аутентификация (2FА) ва бошқа) қўллаш;
тўлов ҳужжати ва идентификация маълумотларини қалбакилаштириш, уларни рухсациз ўзгартириш ҳамда учинчи шахсларга тақдим этишдан ҳимоялаш;
тўлов ахборотлари шакллантирилишини, тўлов ҳужжатининг ҳаққонийлиги текширилишини ва уларга ишлов берилишини ҳамда асосли ўзгартиришлар киритилишини таъминлаш ва назорат қилиш;
тўлов ҳужжатларини узатишда ушбу ҳужжатнинг асл эгасига етказилишини ҳамда бошқа шахсларга жўнатилишининг олди олинишини таъминлаш;
амалга оширилган тўловга оид маълумотларни сақлашда уларни рухсациз кўчириш, ўзгартириш, ўчириш ҳамда учинчи шахсларга жўнатилишининг олдини олиш чораларини кўриш;
ташқи сақловчига кўчирилган тўловга оид маълумотларнинг сейфда (темир шкафда) сақланишини таъминлаш ҳамда маълумотларни сақлаш учун масъул ходим (ходимлар) тайинлаш;
ахборот тизимларидаги дастурий таъминотларнинг назоратини ва ҳисобини юритиш ҳамда ахборот тизимларидаги дастурий таъминот талқинларининг, аппарат-дастурий қурилмаларининг ва дастурий воситаларининг узлуксиз ишлашини таъминлаш;
ахборот тизимларининг актуал ҳолатда (охирги версия) бўлишини таъминлаш, бунда дастурий таъминотнинг янги талқинини текширувдан ўтказгандан сўнг ахборот тизимига жорий этиш;
тўлов ахборотларига ишлов бериш, уларни узатиш ҳамда сақлаш жараёнларини электрон баённомаларда автоматик тарзда шакллантириб бориш ҳамда уларнинг сақланишини таъминлаш;
ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизмати ҳамда банк ва тўлов тизимларида шубҳали frod операцияларга қарши чоралар кўриш хизматларини ташкил этиш, шунингдек ахборот хавфсизлиги ва киберхавфсизликни таъминлаш ҳамда банк карталари билан боғлиқ шубҳали (frod) операцияларга қарши чоралар кўриш бўйича амалга ошириладиган ишларни назорат қилиш;
ҳисоблаш тармоғининг хавфсизлиги ва криптографик муҳофазасини таъминлаш, компютер вирусларидан ҳимоялаш, ахборот тизимларига киришни бошқариш, техник воситаларини созлаш ва бошқа чораларни қўллаш;
ахборот хавфсизлиги ва киберхавфсизликни таъминлаш ҳамда банк карталари билан боғлиқ шубҳали (frod) операцияларга қарши чоралар кўриш ускуналари, қурилмалар, аппарат-дастурий ва дастурий техник воситалари қўлланишини таъминлаш ҳамда уларни мунтазам такомиллаштириб бориш, фойдаланиш тартибларини белгилаш, уларга техник хизмат кўрсатиш, таъмирлаш ва бошқа ҳолатларда улардан кўзда тутилмаган тарзда рухсациз фойдаланишнинг олдини олиш;
қўлланилаётган техник воситаларга барча телекоммуникация тармоқларидан рухсациз кириш, улардаги маълумотларни ўзгартириш, ўчириш, кўчириб олишдан ҳимоялаш;
ахборотларни чиқиб кетиши (йўқолишини) олдини олиш;
ахборот тизимига рухсациз кириш ёки киберхавфсизлик ҳодисалари содир этилганда, уларни таҳлил қилиш асосида ҳимоя тизимларини мустаҳкамлаб бориш чораларини кўриш.
4. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар дастурларга ва операцион тизимга зарар келтирувчи зарарли кодлар (компютер вируслари) ва уларнинг салбий таъсирининг олдини олиш учун қуйидаги чораларни кўриши керак:
ҳисоблаш техникаси қурилмалари (серверлар, компютерлар ва бошқалар), банкомат, эмбоссер ва тўлов терминалларининг (техник имкониятидан келиб чиқиб) иш фаолиятига зарар етказувчи кодларни (компютер вирусларини) аниқлаш ва уларнинг салбий таъсирининг олдини олиш чораларини кўриш;
ахборот тизимларида фақат лицензияланган антивирус дастуридан фойдаланиш, уларнинг русумлари ва базалари актуаллиги ҳамда янгиланиб борилишини таъминлаш;
антивирус дастурларининг автоматик тарзда ишлашини таъминлаш;
интернет ва корпоратив тармоқлар орқали келган барча ахборотларни антивирус дастури орқали текшириш.
5. Тўлов тизимларида ахборотни муҳофаза қилишнинг криптографик усуллари қўлланилиши ва тўлов тизими қоидаларида қуйидагилар белгилаб берилиши лозим:
криптографик муҳофаза воситаларини автоматлаштирилган тизимларга боғлаш, ишга тушириш, ишлатиш ва фойдаланишдан чиқариш тартиби;
криптографик муҳофаза воситаларининг тўхтаб қолиши, ишдан чиқиши ва бошқа фавқулодда ҳолатларда уларни қайта тиклаш тартиби;
криптографик муҳофаза дастурларига ва техник ҳужжатларига ўзгартиришлар киритиш тартиби;
криптографик калитларни бошқариш тартиби;
криптографик калитларни ташувчи қурилмаларни қўллаш, сақлаш, ўзгартириш ва бошқалар бўйича ташкилий, техникавий усулларни қўллаш тартиби.
Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар Ўзбекистон Республикаси Марказий банки билан ахборот алмашинувида ахборот хавфсизлиги ҳамда киберхавфсизликни таъминлашлари шарт.
6. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг ахборотлаштириш обектларига рухсациз кириш ҳамда фойдаланишни чегаралаш мақсадида қуйидаги чоралар кўрилиши керак:
ахборотлаштириш обектларига, шу жумладан, банкомат, тўлов терминаллари ва тўлов ўтказиш электрон қурилмаларига жисмонан таъсир этишни ҳамда техник жиҳозлар мавжуд бўлган бино ва хоналарга киришни назорат қилиш;
тўловларни амалга оширишда қўлланиладиган автоматлаштирилган тизимлар, дастурлар, ҳисоблаш техникалари, телекоммуникация қурилмалари параметрлари ва тузилмалари ҳамда тўлов тизимида ишлаш ҳуқуқини берувчи маълумотларни (парол, биометрик ва бошқа маълумотлар) ўз ичига олган техник воситаларнинг жисмоний муҳофазасини (хавфсизлик режимини) таъминлаш ва рухсациз таъсир этишнинг олдини олиш;
тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг ходимлари ахборотлаштириш обектларига киришини назорат қилиш ва маълумотларни рухсациз тарқалишидан ҳимоялаш тизимларини жорий қилиш;
серверлар ва телекоммуникация қурилмалари жойлашган хоналарда ишлаш жараёнларини видеокузатув тизимлари ёрдамида назорат қилиш.
7. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар қуйидаги маълумотларни ўз ичига олган ахборот тизимларининг ахборот хавфсизлиги ва киберхавфсизлигини таъминлашлари керак:
банк (карта) ҳисобварағида пул маблағлари қолдиқлари тўғрисидаги маълумотлар;
электрон пуллар қолдиқлари тўғрисидаги маълумотлар;
амалга оширилган тўловлар тўғрисидаги маълумотлар;
нақд пулсиз ҳисоб-китобларни ўз ичига олган маълумотлар;
банклараро тўлов ва клиринг тизимлари тўлов маълумотлари;
криптографик муҳофазани таъминлаш учун қўлланиладиган криптографик калитлар;
тўловларни амалга оширишда қайта ишланадиган конфиденсиал ахборотларни (банк сири, шахсга доир маълумотлар ва бошқа қонун билан муҳофаза қилинадиган маълумотлар);
мижозларнинг банк карталари, аккаунтлари ва идентификациядан ўтганлиги тўғрисидаги маълумотлар.
8. Тўлов тизимлари операторлари ёки тўлов хизматларини етказиб берувчилар масофадан тўлов хизматларини кўрсатувчи ахборот тизимларини (мобил илова, интернет банкинг ва бошқалар) (бундан буён матнда масофавий ахборот тизимлари деб юритилади) амалиётга жорий этиш ҳамда уларга ўзгартириш киритишдан аввал қуйидагиларни таъминлашлари лозим:
масофавий ахборот тизимларининг тўловларни ўтказиш билан боғлиқ барча функсияларини синов (тест) тарзида тўлиқ текширувдан ўтказишни таъминлаш;
масофавий ахборот тизимларини техник топшириқлар, уларни техник топшириққа ва киберхавфсизлик талабларига мувофиқлиги юзасидан экспертизадан ўтказиш ҳамда уларнинг натижалари бўйича экспертиза хулосаларини Марказий банкка тақдим этиш;
масофавий ахборот тизимларини уяли алоқа даражасида ахборот хавфсизлигини таъминлаш тизими, Марказий банкнинг марказлашган antifrod ҳамда замонавий биометрик идентификация тизимларига уланишини таъминлаш;
дастурларни ишлатиш бўйича йўриқномаларни ишлаб чиқиш ва уларнинг актуаллигини таъминлаган ҳолда мижозларга тақдим этиш;
аниқланган заифликларни бартараф этиш учун ўзгаришлар киритилишини таъминлаш;
мижозлар қўллаётган дастурларнинг актуаллигини назорат қилиш.
Тўлов тизимлари операторлари ёки тўлов хизматларини етказиб берувчилар масофавий ахборот тизимларининг янги талқинини (версиясини) жорий этганидан сўнг эски талқиндан (версиядан) фойдаланишни чеклаши ва янги талқинга (версияга) ўтиши (янгилаши) лозим.
9. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ўзаро тўлов ахборотлари ва тўлов ахборотларига тегишли бўлган маълумотлар алмашинувини телекоммуникация тармоқлари орқали амалга ошириш учун томонларнинг ахборотлаштириш обектлари хусусиятларидан келиб чиқиб, уларнинг вазифалари, жавобгарликлари ва мазкур Низом талабларини ўз ичига олган ахборот хавфсизлиги ва киберхавфсизлигини таъминлаш, шунингдек банк карталари билан боғлиқ шубҳали (frod) операцияларга қарши чоралар кўриш қоидаларини ишлаб чиқиши керак.
10. Тўлов агенти томонидан банк ёки тўлов ташкилоти билан тўлов хизматларини кўрсатиш учун тузилган агентлик шартномасида ахборот хавфсизлиги бўйича томонларнинг масъулиятлари белгиланган бўлиши керак.
11. Тўлов субагенти томонидан тўлов агенти билан тўлов хизматларини кўрсатиш бўйича тузилган субагентлик шартномасида ахборот хавфсизлиги бўйича томонларнинг масъулиятлари белгиланган бўлиши керак.
3-БОБ. ТЎЛОВ АХБОРОТЛАРИНИНГ КОНФИДЕНСИАЛЛИГИ
ҲАМДА УЛАРДАГИ ШАХСГА ДОИР МАЪЛУМОТЛАРНИ
ҲИМОЯ ҚИЛИШ
12. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборотнинг конфиденсиаллиги ва яхлитлигини, шу жумладан, тўлов хизматларидан фойдаланувчининг шахсига доир маълумотларни муҳофаза қилишда ҳамда етарли хавфсизликни таъминлаш мақсадида қуйидаги чораларни кўришлари лозим:
тўлов тизимида ишлов бериладиган конфиденсиал ва шахсга доир маълумотларнинг яхлитлиги ва дахлсизлигини муҳофаза қилиш ҳамда улардан фойдаланиш тартибини ишлаб чиқиш;
ички ҳужжатлар билан тартибга солинадиган ҳимояланадиган маълумотлар билан ишлашда хавфсизлик ва конфиденсиалликни таъминлаш қоидалари ва талабларини ишлаб чиқиш;
конфиденсиал ва шахсга доир маълумотлар билан ишловчи ходимлар сонини имкон даражасида камайтириш, ходимлар билан конфиденсиал ва шахсга доир маълумотлар ошкор этилишининг олдини олиш бўйича мажбуриятномалар (шартнома) тузиш ва ушбу маълумотлардан фойдаланиш ҳуқуқларини ходимларнинг лавозим мажбуриятларидан келиб чиқиб белгилаш;
конфиденсиал маълумотлар рўйхатини юритиш бўйича комиссия таркибини шакллантириш ва тасдиқлаш;
конфиденсиал маълумотлар рўйхати ва ҳажмини аниқлаш ҳамда тасдиқлаш;
конфиденсиал маълумотлар билан ишлашга рухсат берилган ходимлар рўйхатини шакллантириш ва тасдиқлаш;
ахборотлаштириш обектининг техник паспортини ишлаб чиқиш ва тасдиқлаш;
конфиденсиал маълумотлар билан ишлаш тартибини ишлаб чиқиш ва тасдиқлаш;
конфиденсиал маълумотларни ташувчи воситаларни рўйхатга олиш, йўқ қилиш, конфиденсиал ахборот ташувчиларни ташқарига олиб чиқиш/кириш журналлари юритиш;
маълумотлар яхлитлиги ва хавфсизлигини таъминлаш мақсадида электрон рақамли имзо калитларидан фойдаланиш ҳамда шифрланган маълумотларни сақлаш тартибини белгилаш;
конфиденсиал ва шахсга доир маълумотлар мавжуд бўлган ресурсларга киришда идентификация, аутентификация ва авторизация қилинишини таъминлаш;
конфиденсиал ва шахсга доир маълумотлар билан ишлаш ҳуқуқларининг рухсациз берилишини олдини олиш;
ахборот тизимлари фойдаланувчиларининг муҳофазаланган маълумотларига кириш, ишлов бериш, уларни сақлаш ҳамда тақдим этиш жараёнидаги амалга оширилган ҳаракатларни электрон баённомаларда қайд этиб бориш;
ташқи сақловчи қурилмалар ва техник воситаларнинг бинодан ташқарига олиб чиқилиши ҳамда уларнинг ўғирланишининг олдини олиш;
маълумотларни узатиш, сақлаш, ўчириб ташлаш, уларга ишлов бериш ҳамда уларнинг рухсациз четга чиқиб кетишининг олдини олиш чоралари таъминланганлигини назоратга олиш.
4-БОБ. АХБОРОТ ХАВФСИЗЛИГИ ВА КИБЕРХАВФСИЗЛИКНИ
ТАЪМИНЛАШ ХИЗМАТИ
13. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот тизимларида ахборот муҳофазаси учун ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизмати вазифаларига қуйидагиларни киритишлари лозим:
ахборот тизимларида ахборот хавфсизлиги ва киберхавфсизликни таъминлаш бўйича мазкур Низом талабларининг бажарилишини назорат қилиш;
ахборот хавфсизлигига оид чоралар таъминланганлигини баҳолаш, ахборот хавфсизлиги ва киберхавфсизлик даражасини ошириш, шунингдек авариялар ва ходимларнинг йўл қўйган хатолари натижасида келиб чиқадиган йўқотишларни камайтириш ва уларнинг содир этилишининг олдини олиш;
ахборот инфратузилмасининг яхлитлиги ва хавфсизлигини назорат қилиш;
серверлардаги дастурий таъминотларни муҳофаза қилиш;
барча технологик жараёнларда ходимлар ҳаракатлари, шунингдек, ахборот тизимларидаги амалга оширилган тўлов хизматларидан фойдаланувчиларининг ҳаракатлари бўйича электрон баённомалар рўйхатини юритиш;
автоматлаштирилган тизимларда киберхавфсизликни ва ноқонуний ҳаракатлар билан маблағларни ўзлаштиришнинг олдини олиш чораларини кўриш;
маълумотлар учинчи шахсларга ошкор этилишининг олдини олиш чораларини кўриш;
ахборот коммуникация технологиялари инфратузилмасида юзага келган ахборот хавфсизлиги ва киберхавфсизлик ҳодисалари, кибертаҳдидлар, киберҳужумлар аниқланган вақтда бу ҳақидаги маълумотларни Марказий банкка тақдим этиш;
ахборот коммуникация технологиялари инфратузилмаси, ахборот тизимлари ва ресурсларида ахборот хавфсизлиги ва киберхавфсизликнинг таъминланганлик ҳолатининг мазкур Низом талаблари, ички қоида ва тартибларга мувофиқлигини бир йилда камида икки маротаба ахборот хавфсизлиги ва киберхавфсизлик таваккалчиликларини ҳисобга олган ҳолда ўрганиш ва ўрганиш натижаларини далолатнома билан расмийлаштириш.
5-БОБ. АХБОРОТ ТИЗИМЛАРИДА ХОДИМЛАРНИНГ
ВАКОЛАТЛАРИНИ ЧЕКЛАШ
14. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот тизимларида ишлаш жараёнида, шу жумладан, ишлаб чиқиш, синовдан ўтказиш жараёнида ходимларнинг ваколатларини чегаралаш учун қуйидаги чораларни кўришлари лозим:
ахборот тизимларида ишлаш ҳуқуқларини белгиловчи тартиб ва қоидаларни ишлаб чиқиш ва уларни лавозим йўриқномаларида акс эттириш ҳамда тегишли ҳужжатга (ариза, талабнома ёки бошқа шаклга) асосан тизимдан фойдаланиш тартибини таъминлаш;
ахборот тизимларида ишлаш ҳуқуқи берилган масъул ходимлар рўйхатини шакллантириш;
ахборот тизимларида ишлаш ҳуқуқларини белгилаш ва тақсимлаш билан боғлиқ ҳаракатларни рўйхатга олиш;
ахборот тизимларида ишлаш ҳуқуқлари мантиқан, иш вазифасидан келиб чиқиб тўғри белгиланганлигини даврий (йилига камида икки маротаба) текшириб туриш;
ахборот тизимларининг ишлаши ва синовдан ўтказилиши даврида ахборот хавфсизлиги ва киберхавфсизликни таъминлаш ҳамда берилган ахборот тизимларида ишлаш ҳуқуқлари тўғрилигини назорат қилиш;
ахборот тизими фойдаланувчилари ахборот тизими томонидан берилган ҳуқуқларни ўзгартириш имкониятига эга бўлмаслиги ҳамда бу ҳуқуқларни бегона шахсларга беришни чеклаш чораларини кўриш.
15. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ўзларининг ахборот тизимларига ўзгартиришлар киритиш учун бошқа ташкилотларни жалб қилганда қуйидагиларни амалга оширишлари зарур:
конфиденсиал ва шахсга доир маълумотларни ошкор этмаслик бўйича битим тузиш;
ахборот тизимларидаги тўловларга оид ва бошқа муҳофаза қилинадиган маълумотлар билан ишлашни белгиланган тартибда рухсат бериш асосида амалга ошириш;
тегишли лицензия ва (ёки) бошқа рухсатномага эга бўлган (агар ушбу фаолият лицензия ёки тегишли рухсатнома асосида амалга оширилса) ташкилотларни жалб қилиш;
ахборот тизимларини лойиҳалаштириш босқичида маълумотларнинг конфиденсиаллигини таъминлаш чораларини ишлаб чиқиш;
кўриладиган ахборот хавфсизлиги ва киберхавфсизликни таъминлаш бўйича чоралар (амалга ошириладиган ишлар, ўрнатиладиган дастурлар, қурилмалар ва бошқалар), аниқ кўрсатилган техник топшириқ, қабул қилиш (тест синовларини амалга ошириш режаси) ва бошқа тегишли ҳужжатларни расмийлаштириш;
дастурий таъминот ҳамда уни ишлаб чиққан ва унга ўзгартириш киритган (киритадиган) ташкилотлар рўйхатини тузиш;
ахборот тизимларини ишлаб чиқиш ва жорий этишнинг тахминий муддатларини ва шартларини белгилаб олиш;
жалб қилинган ташкилот ходимлари томонидан ахборот тизимларига киритиладиган ўзгартиришларнинг асослилигини, мавжуд техник топшириқларга мослигини, ахборот тизимига ёт бўлган дастурлар (тизим функциялари) бўлмаслигини, тест синовлари натижаларининг ижобийлигини ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизмати ҳамда ахборотлаштириш бўйича масъул ходим томонидан назоратга олиш.
Автоматлаштирилган тизимларга ўзгартириш киритган ташкилот ўз вазифасини амалга оширганидан сўнг ёки у билан тузилган шартнома муддати тугаганида, унга маълум бўлган барча конфиденсиал маълумотлар (идентификатор, пароллар ва бошқалар) ҳамда тизимга кириш имкониятлари ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизмати томонидан ўзгартирилиши лозим.
ҲУЖУМЛАРДАН ҲИМОЯ ҚИЛИШ
16. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот ва интернет жаҳон ахборот тармоғини, шунингдек, серверлар ва алоқа каналларини эҳтимоли мавжуд бўлган кибертаҳдид ва киберҳужумлардан ҳимоя қилиш учун етарли чораларни кўриши лозим. Ушбу чоралар қуйидагиларни ўз ичига олиши керак:
компютер тармоқларини сегментлаш ва тармоқлараро экрандан фойдаланиш;
ахборот тармоқлари, шу жумладан, интернет жаҳон ахборот тармоғи орқали қабул қилинаётган ва узатилаётган маълумотларга рухсациз киришнинг олдини олиш бўйича техник (криптографик ва бошқа) ва/ёки ташкилий чоралар кўриш ҳамда тармоқ маълумотларини филтрлашни таъминлаш (тармоқлараро экранларни қўллаш);
ахборот тармоқлари ва веб-сайтлар орқали тўловларни амалга оширишда идентификация, кўп омилли аутентификация ва авторизация қилиш (кўп омилли аутентификация қилиш мобил ва алоқасиз тўловларни амалга ошириш чоғида қўлланилмайди);
ахборот тармоқлари ва Интернет жаҳон ахборот тармоғи, шунингдек, серверлар ва алоқа каналларидан фойдаланувчиларни идентификация қилиш;
интернет жаҳон ахборот тармоғи ресурсларидан ходимларнинг фойдаланишини прокси-сервер орқали амалга ошириш, иш фаолияти учун зарур бўлмаган веб-сайтларга киришни чегаралаш ва кирилган веб-сайтларни қайд этиб бориш;
ахборот тизимларини асосий ва захира алоқа каналлари билан таъминлаш;
серверлар тармоғини муҳофазалаш (демилитаризация қилинган зоналарини (DMZ) ташкил этиш);
серверларда иш фаолияти учун зарур бўлмаган портларни ёпиш ва хизматларни тўхтатиш;
ахборот тизимига кириш обектлари ва ресурсларининг ҳисобини юритиш;
мобил тўловларни амалга ошириш чоғида фойдаланувчиларни кўп факторли аутентификация қилиш (СМС, QR-код, NFC, бармоқ излари, кўзнинг рангдор пардаси асосида аниқлаш ёки шу каби тасдиқловчи усулларни қўллаш мумкин);
мобил қурилмалар ёрдамида масофадан киришда тўлов маълумотлари ҳамда ахборот тизимларининг (маълумотлар базасининг) ахборот хавфсизлиги ва киберхавфсизлигини таъминлаш;
масофавий хизмат кўрсатиш ва бошқа ахборот тизимларида мижозни идентификация ва аутентификасия қилиш мақсадида қўлланиладиган (бир марталик ёки кўп марталик) паролларни ишлатиш тартибини белгилаш, тасдиқлаш кодларини қўллаш, бир марталик тасдиқлаш кодларини тизимга шифрланган ҳолда юбориш, antifrod ва биометрик идентификация тизимларини қўллаш, коднинг фаол бўлиш вақти ва бошқаларни ёритиш;
автоматлаштирилган тизимга киришда қўлланилган қурилма тўғрисида идентификация маълумотларини (IP-адрес, МАC-адрес ва бошқа идентификаторлар) қайд этиш;
тажовузларни аниқлаш ва уларнинг олдини олиш тизимларини қўллаш.
17. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар чет эл ташкилотларининг ахборот муҳофазаси ускуналарини қўллашлари мумкин.
18. Тўлов тизимлари операторлари тўловлар билан боғлиқ ахборот алмашинуви учун қўлланиладиган техник ва ташкилий чораларни, иш тартибларини белгилаши ҳамда ушбу тартиблар ижроси тўлов хизматларини етказиб берувчилар томонидан таъминланиши лозим.
19. Ахборот хавфсизлиги ва киберхавфсизлигини кучайтириш мақсадида тармоқ протоколида (ТСР/IP) тармоқ транзит пакетларининг IP манзилларини ўзгартириш имконини берувчи тармоқ адресларини ўзгартириш протоколи (NАТ) қўлланилиши мумкин. Бунда тармоқ орқали барча уланишларнинг электрон журналлари асл IP манзиллар кўрсатилган ҳолда юритилиши ва белгиланган тартибда электрон архивга олиниши лозим.
20. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ички ҳужжатларида қуйидагиларни белгилашлари лозим:
ахборот тармоқларини хавфсиз ва ишончли алоқа каналлари билан таъминлаш тартиби;
тўлов тизимига кириш ва ундан чиқиш жараёни тартиби;
фойдаланувчини тўлов тизимига улашда ахборот хавфсизлиги ва киберхавфсизликни таъминлаш тартиби;
ахборот хавфсизлиги ва киберхавфсизлик ҳодисаси, кибертаҳдид ҳамда киберҳужумлар билан боғлиқ таваккалчиликларни баҳолаш ва бошқариш тартиби;
процессинг ва клиринг жараёнларида ахборот хавфсизлиги тартиби ва талаблари (агар ушбу хизмат амалга оширилса);
хатарларни бошқариш чоралари ва усуллари;
автоматлаштирилган тизимда, ахборот дастурларида фойдаланувчиларнинг ягона идентификаторини ҳосил қилиш тартиби;
қайд этиладиган ҳаракатлар рўйхати;
маълумотларни рўйхатга олиш ва сақлаш тартиби.
РЕСУРСЛАРИ МОНИТОРИНГИ
21. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловлар бўйича конфиденсиал маълумотлардан ва ўта муҳим мантиқий ҳамда жисмоний ресурслардан (ахборот тармоқлари, ахборот тизимлари, маълумотлар базаларидан, ахборотни ҳимоя қилиш модулларидан) фойдаланиш мониторингини амалга оширади. Бунда мониторинг қилишда қуйидагилар белгиланади:
ахборот инфратузилмасининг ахборотга ишлов бериш, уларни сақлаш ва тармоқда узатиш учун қўлланиладиган дастур ва қурилмалар ҳисобини юритиш;
ахборот хавфсизлиги ва киберхавфсизлик ҳодисаларини таҳлил қилиш, ахборот хавфсизлиги ва киберхавфсизлик ҳолатини мониторинг қилиш ҳамда огоҳлантириш имконини берувчи (Security Information and Event Management (СIEМ) ёки бошқалар) тизимларни жорий қилиш;
ахборот хавфсизлиги ва киберхавфсизлиги ҳолатини мониторинг қилишни амалга оширувчи тизим маълумотларини таҳлил қилиб бориш ва аниқланган ҳолатларни (ахборот тармоғига рухсациз кириш ва киришга уриниш, тизимдаги тўхталишлар, ахборот ресурсларининг етишмовчилиги, тармоқдаги узилишлар, ахборот хавфсизлиги ва киберхавфсизлигини таъминлашдаги чекланишлар ва бошқа ҳодисалар) бартараф этиш ва (ёки) уларнинг олдини олиш бўйича чоралар кўриш;
конфиденсиал маълумотлардан ва ўта муҳим мантиқий ҳамда жисмоний ресурслардан (ахборот тармоқлари, ахборот тизимлари, маълумотлар базаларидан, ахборотни ҳимоя қилиш модулларидан) рухсациз фойдаланишнинг олдини олиш бўйича чоралар кўриш;
фойдаланувчи операцияни амалга оширган сана (кун, ой, йил) ва вақт (соат, дақиқа, сония), унинг амалга оширган операцияси фойдаланувчига автоматлаштирилган тизимларда ҳамда ахборот дастурларида берилган идентификация рақами, тизимларга киришда мавжуд бўлган идентификация маълумотлари (IP-адрес, МАС-адрес, IMEI-код, телефон рақами ва/ёки қурилманинг бошқа идентификатори), автоматлаштирилган тизимлар томонидан фойдаланувчига ҳуқуқ берилиши билан боғлиқ ҳаракатларни қайд этиш;
ахборот хавфсизлиги ва киберхавфсизлик ҳолатини тун-у кун (24/7) режимида мониторинг қилиш ишларини ташкил этиш;
ахборот хавфсизлиги ва киберхавфсизлиги ҳолатини мониторинг қилиш тизимини Марказий банк "СЕRТ-СВU" киберхавфсизлик марказининг мониторинг тизимига боғланишини таъминлаш;
ахборот дастурлари, автоматлаштирилган тизимлар ишлатилиши билан боғлиқ фойдаланувчиларнинг ҳаракатини (операция) қайд этиш.
8-БОБ. АХБОРОТ ХАВФСИЗЛИГИ ВА КИБЕРХАВФСИЗЛИК
ТАЛАБЛАРИНИНГ БУЗИЛИШИ БИЛАН БОҒЛИҚ
ҲОДИСАЛАРНИ АНИҚЛАШ
22. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловларни ва пул маблағларини ўтказишни амалга ошириш чоғида ахборот хавфсизлиги ва киберхавфсизликни таъминлашга доир талабларнинг бузилиши билан боғлиқ бўлган ҳодисаларни аниқлаш мақсадида ахборот хавфсизлиги ва киберхавфсизликни таъминлашга доир ташкилий чораларни кўришда ҳамда техник воситаларни қўллашда қуйидаги ишларни ташкил этиши лозим:
қўлланилиши зарур бўлган ахборот хавфсизлиги ва киберхавфсизлик бўйича ташкилий чораларни аниқлаш;
мавжуд техник қурилмаларни ишлатиш, созлаш ҳамда улардаги маълумотларни қайд этиш бўйича масъул ходимларни тайинлаш;
ахборот хавфсизлиги ва киберхавфсизлик талабларининг бузилиши билан боғлиқ ҳодисаларни аниқлаш чораларини кўриш ҳамда ушбу ҳолатлар ходимлар томонидан аниқланганда уларнинг ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизматини хабардор қилиши;
ахборот хавфсизлиги ва киберхавфсизлик талабларининг бузилиши билан боғлиқ ҳодисалар юзага келганда уларни бартараф этиш, юзага келиш сабабларини аниқлаш, таҳлил қилиш ҳамда аниқланган ҳодисалар юзага келмаслиги бўйича тегишли чоралар кўриш;
аниқланган ҳодисаларни рўйхатга олиб бориш (реестрини юритиши);
аниқланган ҳодисалар тўғрисидаги маълумотларни сақлаш тартибини белгилаш;
ахборот хавфсизлиги ва киберхавфсизлигини таъминлашнинг бошқа чораларини кўриш.
Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот хавфсизлиги ва киберхавфсизлик талабларининг бузилиши билан боғлиқ ҳодисалар тўғрисида Марказий банкка зудлик билан ёзма ёки электрон шаклда хабар бериши лозим.
23. Тўлов тизимлари операторлари ахборот хавфсизлиги ва киберхавфсизлик талабларининг бузилиши билан боғлиқ ҳодисаларнинг олдини олиш мақсадида, қуйидаги талабларни белгилаши керак:
тўлов тизимининг бошқа иштирокчиларига тўловларни амалга ошириш учун зарур техник ва дастурий воситаларга ахборот хавфсизлиги ва киберхавфсизлик бўйича қўйиладиган талабларни;
тўлов тизими ва тўловлар билан боғлиқ нохуш ҳодисалар тўғрисида маълумот бериш шакли ва тартибига бўлган талабларни;
тўлов тизимида ахборот хавфсизлиги ва киберхавфсизлигига оид таваккалчиликларни бошқариш тартиби ва уларни баҳолаш мезонларини;
тўловга оид маълумотларга ишлов бериш воситаларининг хавфсиз ишлашини таъминлаш тартибини;
тўлов тизимида нохуш ҳодисалар юзага келганда ўзаро ҳаракатланиш тартибини.
24. Тўлов хизматларини етказиб берувчилар ахборот хавфсизлиги ва киберхавфсизлик талабларининг бузилиши билан боғлиқ ҳодисаларнинг олдини олиш мақсадида қуйидаги талабларни белгилаши керак:
тўловни амалга ошириш қурилмаларини мижозга етказиб бериш билан боғлиқ таваккалчиликларнинг олдини олиш чораларини кўриш;
тўлов ускуналарининг йўқолиши, ўғирланиши, бегона шахслар томонидан эгалик қилиниши каби ҳолатлар аниқланганда тўлов тизимлари операторларига хабар бериши лозим.
25. Тўлов тизими операторлари томонидан тўлов хизматларини етказиб берувчиларга тўлов тизимида ахборот хавфсизлиги ва киберхавфсизлик талабларининг бузилиши билан боғлиқ ҳодисалар тўғрисида маълумот берилиши ҳамда ушбу ҳолатни таҳлил қилиш ва бартараф этиш бўйича услубий қўлланма тақдим қилиниши лозим.
9-БОБ. АХБОРОТ ХАВФСИЗЛИГИ ВА КИБЕРХАВФСИЗЛИК
ТАЛАБЛАРИНИНГ БУЗИЛИШИ БИЛАН БОҒЛИҚ
ҲОДИСАЛАРГА НИСБАТАН ТАЪСИР ЧОРАЛАРИ
26. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот хавфсизлиги ва киберхавфсизликни таъминлаш бўйича талабларнинг бузилиши билан боғлиқ бўлган ҳодисаларга нисбатан қуйидаги таъсир чораларини кўришлари лозим:
юзага келиши мумкин бўлган ҳодисаларга нисбатан таъсир чораларини кўриш юзасидан зарур ҳаракатларни олдиндан кўра билиш ҳамда амалга ошириладиган ҳаракатлар рўйхатини белгилаш;
содир бўлган ҳодисаларга нисбатан қисқа муддатларда таъсир чораларини кўриш;
ишнинг узлуксизлигини таъминлаш, шунингдек, ноқонуний тўловлар ва ҳисобварақлардаги қолдиқ маблағларини рухсациз ўзгартирилишини олдини олиш, ахборотни қайта тиклаш ҳамда бошқа салбий ҳолатларни бартараф этиш;
ходимлар томонидан мавжуд ахборот тизимларида ишлашда белгиланган ахборот хавфсизлиги ва киберхавфсизлик талабларига риоя қилинишини таъминлаш;
юзага келган ҳодисаларнинг келиб чиқиш омилларини аниқлаш мақсадида тармоқ қурилмалари ва ахборот тизимларининг электрон баённомаларини расмийлаштириш, йиғиш, таҳлил қилиш ҳамда уларга асосан тегишли кўрсатмаларни ишлаб чиқиш.
10-БОБ. АХБОРОТ ХАВФСИЗЛИГИ ВА КИБЕРХАВФСИЗЛИК
ТАЛАБЛАРИНИНГ БУЗИЛИШИ БИЛАН БОҒЛИҚ
ҲОДИСАЛАР САБАБЛАРИНИ ТАҲЛИЛ ҚИЛИШ
27. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот хавфсизлиги ва киберхавфсизликни таъминлашга доир талабларнинг бузилиши билан боғлиқ аниқланган ҳодисалар сабабларини таҳлил қилиши ҳамда уларга таъсир кўрсатиш натижаларини баҳолаши лозим. Бунда аниқланган ҳодисалар сабабларини таҳлил қилиш ҳамда уларга таъсир кўрсатиш натижаларини баҳолаш тизими қуйидагиларни ўз ичига олиши лозим:
аниқланган ҳодисаларга нисбатан таъсир чоралари кўрилгандан кейин ушбу ҳодисаларнинг келиб чиқиш сабабларини ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизмати томонидан тегишли бўлинмалар билан биргаликда таҳлил қилиш тартиби;
ахборот тизимларининг тегишли электрон баённомаларини ўрганиш ҳамда аниқланган ҳодисанинг юзага келишига сабабчи бўлган ходимлардан тушунтиришлар олиш;
ҳодисаларнинг келиб чиқиш сабабларига ойдинлик киритиб, бундай ҳолатлар юзага келмаслиги ёки юзага келганда унинг зарар келтириш имкониятларини камайтириш чораларини кўриш (шу жумладан, тегишли мутахассисларни жалб қилган ҳолда);
ҳодисаларнинг салбий таъсир кўрсатиш даражасига қараб таснифлаш ва баҳолаш мезонига асосан уларни баҳолаш.
Ахборот хавфсизлиги ва киберхавфсизликни таъминлашга доир талабларнинг бузилиши билан боғлиқ аниқланган ҳодисаларга нисбатан кўрилган таъсир чоралари, уларни баҳолаш натижалари ва бошқа қўшимча маълумотлар чоп этилиши ҳамда алоҳида йиғмажилдда сақланиши зарур.
11-БОБ. БАНКОМАТ, ИНФОКИОСК ВА ТЎЛОВ
ТЕРМИНАЛЛАРИНИ ҚЎЛЛАШДА АХБОРОТ ХАВФСИЗЛИГИ
ВА КИБЕРХАВФСИЗЛИКНИ ТАЪМИНЛАШ
28. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар банкомат, инфокиоск ва тўлов терминалларининг ахборот хавфсизлиги ва киберхавфсизлигини таъминлаши лозим. Бунда ахборот хавфсизлиги ва киберхавфсизликни таъминлашда қуйидаги чоралар қўлланилади:
банкомат, инфокиоск ва тўлов терминалларининг ҳисобини юритиш ҳамда уларнинг ахборот дастурига рухсациз киришининг олдини олиш;
банкомат, инфокиоск ва тўлов терминалларига техник хизмат кўрсатувчи шахслар фаолиятини назорат қилиш ҳамда улар томонидан амалга оширилган ўзгартиришлар бўйича электрон баённома юритиш;
видеокузатув тизимлари ёрдамида банкоматлар билан ишлаш жараёнларини назоратга олиш (банкоматга киритиладиган банк карталарининг PIN код рақамлари видеокузатув тизимлари орқали қайд этиш имкониятига эга бўлмаслиги лозим);
бош банк ҳамда унинг инфратузилмалари (филиал, мини-банк ва бошқалар) ва бошқа қўриқланадиган обектларидан ташқарида жойлаштирилган банкоматларнинг видеокузатув маълумотлари бош банк ёки унинг филиалидаги техник қурилмаларга тўғридан тўғри (онлайн) ёзиб борилишини таъминлаш;
банкомат тармоқ кабелларини муҳофазалаш;
банкоматнинг бошқа банкоматлар билан бир хил бўлган қулфларини алмаштириш;
банкоматларни алоқа каналларидан ёки жисмонан боғланган ҳолда эҳтимолий ҳужумлардан (шу жумладан, скиммингдан) ҳимоя қилиш;
банкоматларнинг операцион тизими ҳамда BIOS тизимига кириш ҳуқуқларини мураккаб пароллар билан ҳимоялаш;
аутентификация қилиш тартибини белгилаш;
тўловларни амалга оширувчи қурилмаларнинг ҳисобини юритиш;
банкоматлардаги нақд пул маблағларининг жисмоний муҳофазасини таъминлаш;
тармоқ орқали ахборот алмашинувида ахборот хавфсизлиги ва киберхавфсизликни таъминлаш;
халқаро тўлов тизимлари билан ишлайдиган ахборот тизимларида халқаро стандартлар (PCI DSS, PTS, РА DSS) талабларига мувофиқ ахборот муҳофазаси воситалари ва тизимларини жорий қилиш.
29. Тўлов тизимлари операторлари ўз тизимларидаги банкомат ва инфокиоскларда ахборот хавфсизлиги ва киберхавфсизликни банклар билан биргаликда таъминлайди ҳамда уларнинг узлуксиз ва тўғри ишлашини назорат қилади. Агар ахборот хавфсизлиги ва киберхавфсизлик бўйича маълум бир (ёки барча) масъулият тўлов хизматларини етказиб берувчига юклатилган бўлса, мазкур ҳолат тегишли шартномаларда қайд этилиши ва масъулият юклатилган ташкилотга зарурий шароитлар яратиб (банкоматларнинг ахборот тизимидаги ишлаш ҳуқуқлари) берилиши зарур.
12-БОБ. МУҲИМ ТЎЛОВ ТИЗИМЛАРИ ОПЕРАТОРЛАРИГА
АХБОРОТ ХАВФСИЗЛИГИ ВА КИБЕРХАВФСИЗЛИКНИ
ТАЪМИНЛАШ БЎЙИЧА ҚЎЙИЛАДИГАН ТАЛАБЛАР
30. Муҳим тўлов тизимлари операторлари мазкур Низомда белгиланган хавфсизлик чораларига қўшимча равишда қуйидаги ахборот хавфсизлиги ва киберхавфсизлик чораларини таъминлаши зарур:
тўлов тизимининг узлуксиз ишлаши ишончлилигини таъминлаш;
ахборот хавфсизлиги ва киберхавфсизликни таъминлаш хизматини ташкил этиш ва унинг мажбуриятларини белгилаш;
O`z DSt 2875:2014 "Датамарказларга қўйиладиган талаблар. Инфратузилма ва ахборот хавфсизлигини таъминлаш" стандартининг датамарказ телекоммуникация воситалари инфратузилмаси тайёрлиги ва хавфсизлигининг учинчи даражадан паст бўлмаслигини таъминлаш;
халқаро банк карталаридан фойдаланилганда PSI DSS хавфсизлиги стандарти, Payment Services Directive (PSD2) тўлов хизматларини кўрсатиш директиваси талабларига мувофиқлаштириш;
ахборот тизимлари тўғри ташкил этилганлиги юзасидан нуфузли халқаро аудитор ташкилотларни жалб қилиш орқали АКТ-инфратузилмасини (ахборот хавфсизлиги ҳолатини) аудитдан ўтказишни таъминлаш;
Ўзбекистон Республикасининг "Тўловлар ва тўлов тизимлари тўғрисида"ги Қонуни ва бошқа қонунчилик ҳужжатларида муҳим тўлов тизимлари операторларига белгиланган талабларни бажариш.
31. Муҳим тўлов тизимлари операторлари маълумотларга ишлов берувчи асосий ахборот тизимларини ташкил этиши ва жойлашган жойидан 50 километрдан яқин бўлмаган ҳудудда захира ахборот тизимларини ташкил этиши лозим. Бунда асосий ва захира ахборот тизимлари Ўзбекистон Республикаси ҳудудида ташкил этилади.
Муҳим тўлов тизимлари операторларининг ахборот тизимларидаги маълумотларни (электрон баённомалар ва бошқа тўловлар билан боғлиқ маълумотлар) электрон архивларда камида икки нусхада (хусусан, асосий ва захира ахборот тизимларининг ҳар бирида битта нусхадан) сақлаши лозим.
13-БОБ. ТЎЛОВ ТИЗИМИНИНГ УЗЛУКСИЗ ИШЛАШИНИ
ЙЎЛГА ҚЎЙИШ ВА ЭЛЕКТРОН АРХИВ ЮРИТИШ
32. Тўлов тизимларининг узлуксиз ишлаши ва барқарорлигини таъминлаш мақсадида қуйидаги чоралар кўрилиши лозим:
тўлов тизими билан боғлиқ тармоқ ва бошқа қурилмалар носоз ҳолатга келганда уни иш жараёнига келтириш ва узлуксиз ишлашини таъминлаш;
операцион тизим, дастурий таъминотлар, ахборот тизимларининг дастурлари, маълумотлар (маълумотлар базаси, созламалари, электрон баённомалар) нусхаларини захирага (backup) олиниши ва электрон архивда сақлаш ҳамда уларни қайта тиклаш тартибини (механизмини) ишлаб чиқиш, уларнинг ҳисобини юритиш ва назоратини олиб бориш;
захира техник қурилма ва ускуналарга эга бўлиш;
маълумотларнинг захирага олинган (backup) нусхаларини техник носозликларда ва фавқулодда вазиятларда қайта тиклаш режасини ишлаб чиқиш ва даврий (бир йилда бир маротаба) ахборот тизимини қайта тиклаб текшириш;
дастурларга ўзгариш киритишни синов (тест) учун мўлжалланган серверларда текшириш;
тизимдаги қурилма ва ускуналарнинг ишлашини назорат қилиш;
тўлов тизимининг узлуксизлигига салбий таъсир этиши мумкин бўлган ҳолатларни олдини олиш ва ахборот муҳофазасини таъминлаш;
дизел электр стансияси ва/ёки бошқа электр таъминоти узлуксизлигини таъминлаш воситаларидан (UPS ва бошқалар) фойдаланиш;
ишлов берилган маълумотларни сақлаш ва уларнинг электрон архивда юритилишини таъминлаш;
мижозларнинг ҳаракатига тегишли бўлган маълумотларни камида беш йил сақланишини таъминлаш;
электрон архив юритишда ахборот хавфсизлиги ва киберхавфсизликни таъминлашга доир талабларга риоя этилиши бўйича ишчи гуруҳ тузган ҳолда бир йилда камида икки маротаба текшириш ва натижалари тўғрисида Марказий банкка маълумот бериш;
ахборот узатиш захира тармоқларига эга бўлиш.
33. Муҳим тўлов тизимлари операторлари бўлмаган тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар маълумотларга ишлов берувчи асосий ахборот тизимларини ташкил этиши ва улар жойлашган жойидан 5 километрдан яқин бўлмаган ҳудудда захира ахборот тизимларини ташкил этиши лозим. Бунда асосий ва захира ахборот тизимлари Ўзбекистон Республикаси ҳудудида ташкил этилади.
Ахборот тизимларидаги маълумотлар (электрон баённомалар ва бошқа тўловлар билан боғлиқ маълумотлар) электрон архивларда камида икки нусхада (хусусан, асосий ва захира ахборот тизимларининг ҳар бирида битта нусхадан сақланиши мумкин).
34. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг фаолияти тугатилганда, улардаги мавжуд электрон архивнинг ахборот ресурслари давлат архивларига топширилади.
Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар фаолияти тугатилиб, бошқа ташкилотга қўшиб юборилганда, электрон архив маълумотлари қўшиб юборилаётган ташкилотнинг электрон архивга топширилади.
35. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг тўловлар билан боғлиқ маълумотларни сақлаш ва уларга ишлов бериш хоналари билан таъминланган бўлиши керак. Ушбу хоналар қуйидаги талабларга жавоб бериши лозим:
рухсациз жисмоний киришдан муҳофазаланган бўлиши;
хона биринчи қаватда жойлашган ҳолларда унинг деразалари темир панжара билан жиҳозланган бўлиши;
қўриқлаш ва ёнғиндан огоҳ этувчи иккита ҳимоя тўсиғи хабаргоҳлари билан жиҳозланиши;
тунги вақтда қўриқлаш ва огоҳлантириш қурилмалари билан жиҳозланиши;
видеокузатув орқали назоратга олиниши.
Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловлар билан боғлиқ маълумотларни сақлаш ва уларга ишлов бериш хоналарини мазкур бандда белгиланган талаблардан ташқари бошқа хавфсизлик чораларини кўриши мумкин.
36. Мазкур Низомда белгиланган барча видеокузатув маълумотларининг сақланиш муддати бир ойдан кам бўлмаслиги зарур.
37. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг бинолари ҳимоя қилинишида улар зарурий ускуналар, ташкилий-техник воситалар билан жиҳозланиши ва тегишли дастурий таъминотлардан фойдаланилиши лозим.
15-БОБ. ТЎЛОВЛАРНИ АМАЛГА ОШИРИШ
ЖАРАЁНИНИ НАЗОРАТ ҚИЛИШ
38. Тўлов тизимлари операторлари ўзларининг тўлов тизимларида ахборот хавфсизлиги ва киберхавфсизлик чораларини кўришда назорат ва мониторинг ишларини амалга оширишлари лозим.
39. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар автоматлаштирилган тизимлар, иловалар ҳамда ахборот инфратузилма обектларини ахборот хавфсизлиги ва киберхавфсизлик заифликларига таҳлил қилиши, ҳар йили камида икки марта рухсациз киришга текшириши ва ҳужжатларда қайд этилмаган имкониятлар мавжуд эмаслигини назорат қилиши лозим.
40. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ҳар йили, келгуси йилнинг биринчи апрелидан кечиктирмай, Марказий банкка ахборот хавфсизлиги ва киберхавфсизликнинг таъминланганлик ҳолати тўғрисида ҳисобот тақдим этиши шарт.
16-БОБ. БАНК ВА ТЎЛОВ ТИЗИМЛАРИДА
ШУБҲАЛИ frod ОПЕРАЦИЯЛАРГА ҚАРШИ
ЧОРАЛАР КЎРИШ ХИЗМАТИ
41. Тўлов тизимлари операторлари, тўлов тизимининг иштирокчилари ва тўлов ташкилотлари банк ва тўлов тизимларида шубҳали (frod) операцияларга қарши чоралар кўриш хизмати вазифаларига қуйидагиларни киритишлари лозим:
масофадан туриб банк карталари ва ҳисобварақлари, мобил иловалардаги аккаунтлар ҳамда электрон ҳамёнлар билан боғлиқ операцияларни амалга оширувчи ахборот тизимларини (мобил илова, интернет банкинг ва бошқалар) Марказий банкнинг марказлашган antifrod ҳамда биометрик идентификация тизимларига улаш;
пул маблағларини ўтказиш билан боғлиқ шубҳали (frod) операциялари рўйхатини юритиб бориш;
банк карталари ва ҳисобварақлари, мобил иловалардаги аккаунтлар ҳамда электрон ҳамёнлар билан боғлиқ шубҳали (frod) операцияларида иштирок этган банк карталари тўғрисидаги маълумотларни йиғиб бориш;
банк карталари ва ҳисобварақлари, мобил иловалардаги аккаунтлар ҳамда электрон ҳамёнлар билан боғлиқ шубҳали (frod) операцияларини амалга оширилишини antifrod тизимлари ёрдамида олдини олиш;
банк карталари билан боғлиқ шубҳали (frod) операциялар содир этилган тақдирда, Марказий банкнинг мажбурий кўрсатмасига асосан банк карталари ва ҳисобварақлари, мобил иловалардаги аккаунтлар ҳамда электрон ҳамёнлардан фойдаланишни уч кунгача муддатга вақтинча чеклашни (блоклашни) амалга ошириш;
банк карталари ва ҳисобварақлари, мобил иловалардаги аккаунтлар ҳамда электрон ҳамёнлар билан боғлиқ шубҳали (frod) операцияларга қарши чораларни кўриш хизмати (шубҳали (frod) операцияларга қарши чоралар кўришга масъул ходимлари) фаолиятини тун-у кун (24/7) режимида ишлашини ташкил этиш;
масофадан туриб банк карталари ва ҳисобварақлари, мобил иловалар аккаунтлари ҳамда электрон ҳамёнлар билан боғлиқ операцияларни амалга оширувчи ахборот тизимларини (мобил илова, интернет банкинг ва бошқалар) antifrod ҳамда биометрик идентификация тизимлари билан боғлиқ ҳолда узлуксиз ишлашини назорат қилиш.
ШАХСЛАРНИНГ РОЗИЛИГИСИЗ ТЎЛОВЛАР
АМАЛГА ОШИРИЛИШИНИ ОЛДИНИ ОЛИШ
42. Тўлов тизими операторлари, тўлов тизимининг иштирокчилари ва тўлов ташкилотлари таваккалчиликларни бошқариш тўғрисидаги ҳужжатларида жисмоний ва юридик шахсларнинг розилигисиз амалга оширилган пул ўтказмаларининг тавсифи, миқдори ва ҳаракатларини таҳлил этиш орқали банк карталаридан жисмоний ва юридик шахсларнинг розилигисиз амалга оширилган пул ўтказмаларининг мезонларига мос келадиган операцияларни аниқлаш жараёнларини белгилайди.
43. Тўлов тизими операторлари банк карталари орқали жисмоний ва юридик шахсларнинг розилигисиз пул ўтказмаларини олдини олиш мақсадида tranzaksion antifrod тизимларини жорий этиши ҳамда Марказий банкнинг марказлашган antifrod тизимига интеграция қилинишини таъминлаши лозим.
44. Тўлов тизимининг иштирокчилари ва тўлов ташкилотлари ўзларида сессион antifrod тизимларини жорий этиши ҳамда Марказий банкнинг марказлашган antifrod тизимига интеграция қилинишини таъминлаши лозим.
45. Тўлов тизими иштирокчилари ва тўлов ташкилотларида банк карталари орқали жисмоний ва юридик шахсларнинг розилигисиз амалга оширилган пул ўтказмаларининг мезонларига мос келадиган операциялар аниқланганда, ушбу операция бўйича тақдим этилган фармойишнинг бажарилишини antifrod тизимлари доирасида амалга оширади.
46. Тўлов тизими операторлари, тўлов тизимининг иштирокчилари ва тўлов ташкилотлари жисмоний ва юридик шахсларнинг розилигисиз амалга ошириладиган тўловларни олдини олиш мақсадида қуйидагиларни бажариши лозим:
жисмоний ва юридик шахсларнинг розилигисиз амалга оширилган пул ўтказмаларининг тавсифи, миқдори ва ҳаракатларини таҳлил этиши, таваккалчиликларни баҳолаши ва бошқариши ҳамда уларнинг мезонларига мос келадиган операцияларни аниқлаш жараёнларини белгилаши;
жисмоний ва юридик шахслар ўртасида тузилган шартномаларда (оммавий оферталарда) antifrod тизими доирасида банк карталари билан боғлиқ шубҳали (frod) операцияларга қарши чоралар кўриш масалаларини ёритиши;
банк карталари билан боғлиқ шубҳали (frod) операциялар бўйича келиб тушадиган мурожаатларни йиғиши ва таҳлил қилиши;
тўлов хизмати фойдаланувчисининг пул маблағларини ўтказиш вақтида, ушбу тўлов шубҳали (frod) операциялар рўйхатида бўлса, бундай ҳолат ҳақида фойдаланувчига хабар (СМС, мессенжер ёки бошқа ахборот тизимлар орқали) бериши, такрорий тасдиқ (PIN код, яширин сўзни киритиш ёки бошқа тарзда маълумот) олиши, агар маълум вақт оралиғида ушбу тасдиқ олинмаса, ушбу тўлов операциясини бекор қилиши;
фойдаланувчи томонидан ўзининг ҳисоб-варақларига тегишли тўлов операцияларини тўхтатиш (блокировка қилиш) имкониятини яратиши;
банк карталари билан боғлиқ шубҳали (frod) операцияларда иштирок этган банк карталари ва ҳисобварақлари, мобил иловалари аккаунтлари ҳамда электрон ҳамёнлар тўғрисида ўзларининг ахборот тизимларида мавжуд бўлган маълумотларни Марказий банкнинг сўровига асосан ўз вақтида тақдим этиши;
ахборот тизимлари ва ресурсларида аниқланган, жисмоний ва юридик шахсларнинг розилигисиз амалга оширилган пул ўтказмаларини ўтказиш ёки ўтказишга уриниш ҳолатлари тўғрисидаги маълумотларни Марказий банкка тақдим этиб бориши.
47. Тўлов тизими операторлари, тўлов тизимининг иштирокчилари ҳамда тўлов ташкилотлари томонидан жисмоний ва юридик шахсларнинг розилигисиз тўловлар содир этилган ҳолатларда иштирок этган банк карталари ва ҳисобварақлари, мобил иловалари аккаунтлари ҳамда электрон ҳамёнлардан фойдаланишни вақтинча чекланган (блокланган) муддат мобайнида қонун ҳужжатларида уларни чеклаш (блоклаш) учун бошқа асослар бўлмаганда, улардан фойдаланишга қўйилган вақтинчалик чеклов (блоклаш) олиб ташланади.
48. Жисмоний ва юридик шахсларнинг розилигисиз амалга оширилган пул ўтказмаларининг мезонлари Марказий банк бошқарувининг қарорига асосан белгиланади.
ФОЙДАЛАНИШДА АХБОРОТ ХАВФСИЗЛИГИ
ВА КИБЕРХАВФСИЗЛИКНИ ТАЪМИНЛАШ
49. Тўлов тизими операторлари, тўлов тизимининг иштирокчилари ҳамда тўлов ташкилотлари EPOS-терминалларидан фойдаланишда ахборот хавфсизлиги ва киберхавфсизликни таъминлаш бўйича қуйидагиларни амалга ошириши лозим:
тўлов агентлари ва субагентларининг реестрини юритиши, шунингдек, тўлов агентлари ёки субагентларини рўйхатдан ўтказиш, ўзгартириш ва ўчиришда 1 иш куни ичида Марказий банкка ўзгартирилган реестрни тақдим этиши;
жисмоний шахслар ўртасида пул маблағларини ўтказишни (Р2Р) амалга ошириш учун алоҳида EPOS-терминалидан фойдаланиши, шунингдек ушбу EPOS-терминалларидан бошқа мақсадларда фойдаланишини таъқиқлаши;
EPOS -терминалларидан шартномада кўрсатилган мақсадларда фойдаланишни назорат қилиши;
EPOS-терминалларидан, шунингдек фойдаланувчи пароллари ва кириш ҳуқуқларидан фойдаланишда ахборот хавфсизлиги ва киберхавфсизликни таъминлаш тартибини ишлаб чиқиши.
50. Тўлов тизими операторлари ва тўлов тизимининг иштирокчилари Марказий банкнинг мажбурий кўрсатмасига кўра, шубҳали (frod) операциялари амалга оширилишини чеклаш ёки тўхтатиш мақсадида EPOS-терминаллардан фойдаланишни тўхтатиш ёки ушбу терминалларни ўчириш чораларини кўриши лозим.
51. Мазкур Низом талабларининг бузилишида айбдор бўлган шахслар қонунчилик ҳужжатларида белгиланган тартибда жавобгар бўлади.
Қонун ҳужжатлари маълумотлари миллий базаси (www.lex.uz),
2024 йил 22 май
78-150-11-72 
Мобильная версия сайта