Кайта келүү

Кыргыз Республикасынын Улуттук банкынын 

Көзөмөл боюнча комитетинин 2004-жылдын 

3-декабрындагы №26/1 токтому менен  

бекитилген 

 

 

Кыргыз Республикасынын коммерциялык банктарында маалымат системасынын коопсуздугунун сакталышын текшерүү боюнча 

усулдук сунуш-көрсөтмөлөр 

(өзгөртүүлөр жана толуктоолор Көзөмөл боюнча комитеттин 2012-жылдын 24-декабрындагы №53/2, 2017-жылдын 29-июнундагы №22/2 токтомдору менен бекитилген) 

 

Киришүү 

 

1.1. Бул усулдук сунуш-көрсөтмөлөр Кыргыз Республикасынын Улуттук банкы (мындан ары Улуттук банк) тарабынан, банктык көзөмөл инспекторлору жана маалымат коопсуздугу боюнча адистери Улуттук банктан лицензияланган коммерциялык банктардын жана финансы-кредит уюмдардын, ошондой эле Кыргыз Республикасынын Мамлекеттик өнүктүрүү банкынын (мындан ары банктар) маалымат системаларынын коопсуздугунун сакталышына текшерүү жүргүзүүдө көмөк көрсөтүү максатында иштелип чыккан жана ал жеринде барып текшерүүнү жүргүзүүдө колдонмо катары пайдаланылат.  

1.2. Бул документ типтүү мүнөзгө ээ жана аны тажрыйбада колдонууда белгилүү бир банктын маалымат системасынын өзгөчөлүгүн эске алуу зарыл.  

 

2. Терминдер жана аныктамалар  

 

2.1. Усулдук сунуш-көрсөтмөлөрдө төмөнкү ченемдик актыларда колдонулган терминдер жана аныктамалар пайдаланылган: 

0 Улуттук банк Башкармасынын 1998-жылдын 3-июнундагы №1618 токтому менен бекитилген Кыргыз Республикасынын банк мекемелеринде маалымат системаларынын коопсуздугун камсыз кылуу концепциясы,  

1 Улуттук банк Башкармасынын 2002-жылдын 13-февралындагы №8/8 токтому менен бекитилген Кыргыз Республикасынын банк мекемелеринде маалымат системаларынын коопсуздугун камсыз кылуу боюнча сунуш-көрсөтмөлөр, 

2 Улуттук банк Башкармасынын 1999-жылдын 6-ноябрындагы №66/9 токтому менен бекитилген Электрондук төлөмдөр коопсуздугунун зарыл деңгээлин камсыз кылуу боюнча нускоо, 

3 Улуттук банк Башкармасынын 2003-жылдын 3-июлундагы №19/7 токтому менен бекитилген “Кыргыз Республикасынын Улуттук банкынын маалыматтык ресурстары менен иш алып барууда Кыргыз Республикасынын банк мекемелеринде маалымат коопсуздугун камсыз кылууга карата талаптар жөнүндө” жобо,  

4 Улуттук банк Башкармасынын 2004-жылдын 15-сентябрындагы №24/10 токтому менен бекитилген Кыргыз Республикасынын банк тутумунун мекемелеринин маалымат коопсуздугун камсыз кылуу боюнча стандарттар (Кыргыз Республикасынын Юстиция министрлигинде 2004-жылдын 22-октябрындагы №117-04 номеринде каттоодон өткөртүлгөн). 

 

3. Текшерүүнү жүргүзүү максаты  

 

3.1. Банктарда маалымат системаларынын коопсуздугунун сакталышына текшерүү жүргүзүүнүн негизги максатынан болуп маалымат коопсуздугуна карата кооптуу жагдайларды табуу, алардын келип чыгуу булактарын жана банктарга тасирин тийгизүүчү кесепеттерин аныктоо аркылуу маалымат коопсуздугунун деңгээлине, маалымат коопсуздугун бузууга жол берүү тобокелдиктерине баа берүү саналат. 

3.2. Маалымат системаларынын маалымат коопсуздугуна кыйла таасирин тийгизиши мүмкүн болгон кооптуу (олуттуу) жагдайлар катары (маалыматтык катыштардын субъектилерине зыян келтирүү жолу менен) төмөнкүлөр саналат: 

банктык же коммерциялык сырды камтыган маалыматтардын, ошондой эле персоналдык маалыматтардын купуялуулугун бузуу (таркатуу, чыгаруу); 

5 маалымат системаларынан пайдалануу мүмкүнчүлүгүн бузууга жол берүү (иштерди уюштурбоо), маалыматтардан пайдаланууга бөгөт коюу, технологиялык процесстерди бузуу, милдеттердин өз убагында аткарылышын үзгүлтүккө учуратуу; 

6 маалыматтык, программалык жана башка ресурстардын толуктугун бузуу (бурмалоо, алмаштыруу, жок кылуу), документтерди жасалма иштеп чыгуу. 

3.3. Маалымат коопсуздугуна карата коркунуч туудурган негизги булактардан болуп төмөнкүлөр саналат: 

маалыматтарды топтоо, иргөө жана өткөрүп берүүнүн белгиленген регламенттерин атайылабай бузуу (катачылык, кокустуктан, ойлонбостон, кара ниетсиз же жеке керт башы үчүн эмес), ошондой эле персоналдын маалымат системаларын пайдаланууда убакытты жана ресурстарды өндүрүштүк эмес чыгымдоого алып келген башка аракеттери, таркатуу чектелген маалыматтардын ачыкка чыгарылышы, олуттуу мааниге ээ маалыматтардын жоголуп кетиши же айрым жумушчу станциялардын, кичи системалардын же бүтүндөй системанын иштөө жөндөмдүүлүгүнүн бузулушу; 

маалымат системалары менен иштөөгө мүмкүндүк берилген кызматкерлер (жеке керт башы үчүн, үчүнчү жактын мажбурлоосу боюнча, кара ниеттик менен ж.б.), ошондой эле программалык жана аппараттык камсыздандырууларды тейлөө, администрлөө, маалымат коопсуздугун коргоо жана камсыз кылуу каражаттары үчүн жооп берген кызматкерлер тарабынан атайы аракеттерге жол берүүлөр; 

кылмыштуу топтордун жана уюмдардын, саясий жана экономикалык түзүмдөрдүн, ошондой эле айрым адамдардын маалыматтарды алуу, жалган маалыматтарды чыгаруу, бүтүндөй системанын жана анын айрым компоненттеринин иштөө жөндөмдүүлүгүн бузуу боюнча иш-аракеттери; 

7 маалымат системаларынын жана аларды коргоо системаларынын долбоорун түзүүдө кетирилген катачылыктар, программалык камсыздандыруу жагында каталар, техникалык каражаттардын (анын ичинде маалыматты коргоо каражаттары жана коргоонун натыйжалуулугун контролдоо) жараксыз болуп калышы жана бүлгүнгө учурашы;  

8 компьютердик вирустардын залакасы; 

9 авариялар, табигый кырсыктар ж.б. 

 

4. Текшерүү объектилери  

 

4.1. Текшерүүнүн негизги обьектилеринен болуп төмөнкүлөр саналат:  

банктын маалымат коопсуздугун камсыз кылган ченемдик базасы; 

мамлекеттик, коммерциялык, банктык сырды камтыган, пайдалануу мүмкүнчүлүгү чектелген маалымат ресурстарынын, ошондой эле күтүүсүз жана санкциясыз пайдаланууга, анын ичинде аларды берүү формасына жана түрүнө карабастан, документтер жана маалыматтар топтому түрүндө сунушталган ачык (жалпыга маалымдалуучу) маалыматтардын коопсуздугун бузууга жол берүүлөргө кыйла таасирдүү башка маалымат ресурстарынын коопсуздугун камсыз кылуу системасы; 

маалыматтарды иргөө процессинин маалымат технологиялары, маалыматтарды топтоо, сактоо жана өткөрүп берүү регламентинин жана жол-жоболорунун коопсуздугун камсыз кылуу системасы; 

маалыматтарды иргөө жана талдап-иликтөө системасын, аны иргөө, өткөрүп берүү жана чагылдыруунун техникалык жана программалык каражаттарын, анын ичинде маалымат алмашуу каналдарын жана телекоммуникацияларын, маалыматтарды коргоо системаларын жана каражаттарын, инфраструктуралардын компоненттери жайгаштырылган объектилерди жана жайларды камтыган маалыматтык инфраструктура. 

 

5. Банктын маалымат системалары менен жалпы таанышуу  

 

5.1. Текшерүү жүргүзүү процессинде инспектор банктын маалымат системасынын түзүмүн, ошондой эле банктын маалымат системасы менен ишин, жөнгө салган ченемдик документтерди изилдөөгө тийиш, атап айтканда:  

10 Банкта локалдык эсептөө түйүнүн уюштуруу. 

11 Банк кызматкерлеринин локалдык эсептөө түйүнүнө жумуш ордунан туташуу ыкмалары. 

12 Олуттуу мааниге ээ маалыматты резервге коюуну жана калыбына келтирүүнү уюштуруу. Өзгөчө кырдаалдар келип чыккан учурда, маалымат системаларынын иштөө жөндөмдүүлүгүн калыбына келтирүүнү уюштуруу. 

13 Интернет түйүнү ресурстарына жана электрондук почтага туташуусун уюштуруу. 

14 Электрондук төлөмдөрдү коргоо ыкмалары. 

15 Банкта ички электрондук документ менен иш алып баруу коопсуздугун уюштуруу. 

16 Купуя документтер менен иш алып барууну уюштуруу. Адамдардын купуя документтери менен иш алып баруу мүмкүнчүлүгү

17 Банктын анын өкүлчүлүктөрү жана филиалдары менен өз ара иш алып баруусун уюштуруу; 

18 Кызматкерлерди коопсуздук эрежелерин окутууну уюштуруу; 

19 Архив жүргүзүү системасын, кылмышкерлердин мыйзамсыз пайдаланууларын аныктоо системаларын жана вирустан коргоону уюштуруу. 

5.2. Банктын маалымат коопсуздугун камсыз кылуу боюнча ченемдик базада кеминде Улуттук банк Башкармасынын 2004-жылдын 15-сентябрындагы №24/10 токтому менен бекитилген (Кыргыз Республикасынын Юстиция министрлигинде 2004-жылдын 22-октябрында №117-04 номеринде каттоодон өткөртүлгөн) Кыргыз Республикасынын банк тутумунун мекемелеринин маалымат коопсуздугун камсыз кылуу боюнча стандарттарга карата С тиркемесинде келтирилген ченемдик документтердин тизмесин камтууга жана ушул усулдук сунуш-көрсөтмөлөрдүн 2-пунктунда көрсөтүлгөн ченемдик актыларга ылайык келүүгө тийиш. 

5.3. Ошондой эле инспектор контролдук отчет берүүнү каттоо журналдарын жана маалымат системасынын коопсуздугу боюнча отчетторду, маалымат коопсуздугун камсыз кылуу маселелери боюнча бардык уюштуруу-тескөө документтерин, ошондой эле маалымат системаларынын ички жана тышкы аудиттин отчетторун изилдөөсү зарыл.  

 

6. Техникалык каражаттар коопсуздугунун камсыз кылынышын текшерүү  

 

6.1. Техникалык каражаттар коопсуздугунун сакталышы жагында бузууга жол берүүлөрдү аныктоо максатында инспектор төмөнкүлөрдү текшерүүгө тийиш:  

20 маалымат системасынын жабдуулары үчүн аны пайдалануу шарттарына ылайык келген жайлардын болушун;  

21 жайлардын техникалык жактан жабдылышынын Улуттук банк тарабынан белгиленген талаптарга ылайык келишин;  

22 атайы жайларга кирүү мүмкүнчүлүгүнө белгиленген чектөөлөрдүн сакталышын; 

23 санкциясыз пайдалануудан, жылуулуктан, механикалык жана электрмагниттик таасирлерден коргогон, маалыматтарды сактоо үчүн атайы жабдуулардын болушун; 

24 автономдук жана үзгүлтүксүз ток булагынын пайдаланылышын. 

 

7. Программалык камсыздоо коопсуздугунун камсыз кылынышын текшерүү  

 

7.1. Автоматташтырылган системалардын коопсуздугунун сакталышын аныктоо максатында инспектор төмөнкүлөрдү текшерүүгө тийиш: 

25 программалык камсыздоого карата пайдалануу мүмкүнчүлүгүнө чектөөлөрдүн сакталышын; 

26 Автоматташтырылган система менен иштөөдө укуктардын жана ыйгарым укуктардын чектелишин; 

27 программалык камсыздоонун резервдик көчүрмөсүнүн болушун. 

 

8. Маалыматтык ресурстардан пайдалануу мүмкүнчүлүгүнүн контролдукка алынышын текшерүү 

 

8.1. Маалыматтык ресурстардан санкциясыз пайдалануу мүмкүнчүлүгүнө жол берилбегендигин текшерүү максатында инспектор төмөнкүлөрдү текшерүүгө тийиш: 

28 кызматкерлердин автоматташтырылган системалар менен иштөө мүмкүнчүлүгүнө чектөө системасынын болушун; 

29 пайдалануучуларды, анын иш-аракеттерин, ошондой эле санкциясыз ишке ашырылган операцияларды каттоодон өткөрүлүшүн; 

30 пайдалануучуну идентификациялоонун колдонулушун; 

31 вируска каршы коргонуунун пайдаланылышын. 

 

9. Маалыматтардын купуялуулугунун сакталышын текшерүү  

 

9.1. Маалыматтардын купуялуулугунун сакталышын текшерүү максатында инспектор төмөнкүлөрдү текшерүүгө тийиш: 

32 коопсуздуктун ченемдик саясатынын колдонулушун; 

33 купуя маалыматтардан пайдалануу мүмкүнчүлүгүнүн каттоодон өткөртүлүшүн камсыздалышын; 

34 маалыматтарга код коюунун (криптография каражаттары) жана түйүндөр аралык экрандаштыруунун атайы каражаттарынын колдонулушун. 

 

10. Маалыматтардын толуктугун камсыз кылынышын текшерүү  

 

10.1. Маалыматтардын толуктугун камсыз кылынышын текшерүү максатында инспектор төмөнкүлөрдү текшерүүгө тийиш: 

35 маалыматтардын кайталанылышын; 

36 маалыматтардын мезгил-мезгили менен резервдик көчүрүлүшүн жана калыбына келтирилишин; 

37 маалыматтардын тышкы таасирлерден тиешелүү коргоого алынышын. 

 

11. Кадр коопсуздугунун камсыз кылынышын текшерүү  

 

11.1. Кадр коопсуздугунун камсыз кылынышын текшерүү максатында инспектор төмөнкүлөрдү текшерүүсү зарыл:  

38 тиешелүү персоналдын болушун; 

39 ченемдик саясаттын колдонулушун; 

40 ыйгарым укуктардын сегрегациясынын сакталышын; 

41 пайдалануучулардын ыйгарым укуктарынын белгиленишине жана сакталашына контролдуктун камсыз кылынышын. 

 

12. Коммуникациялардын коопсуздугунун камсыз кылынышын текшерүү  

 

12.1. Коммуникациялардын коопсуздугунун камсыз кылынышын текшерүү максатында инспектор төмөнкүлөрдү текшерүү зарыл: 

42 байланыш линияларынын жана коммуникациялык жабдуулардын пайдаланышынын коопсуздугунун камсыз кылынышын; 

43 байланыштын резервдик линияларынын же маалыматтарды өткөрүп берүүнүн альтернативалуу жолдорунун болушун; 

44 криптография каражаттарынын, маалыматтарды түйүндөр аралык экрандаштырууну, ошондой эле маалыматтарды тышкы таасирлерден коргоодо аутентификациялоо каражаттарынын колдонулушун; 

45 төлөм документтерин коргонуунун камсыз кылынышын; 

46 төлөм документтеринин каттоодон өткөрүлүшүнүн жана сакталышынын камсыз кылынышын. 

 

13. Пластик карттарын колдонууда коопсуздуктун камсыз кылынышын текшерүү 

 

13.1. Пластик карттарын колдонууда коопсуздуктун камсыз кылынышына текшерүү максатында инспектор төмөнкүлөрдү текшерүүсү зарыл: 

47 байланыш каналдары боюнча транзакцияларды өткөрүүдө алардын толуктугуна жана аныктыгына, ошондой эле андан аркы идентификациялоого жана карт ээсин аутентификациялоого контролдуктун камсыз кылынышын; 

48 системадагы транзакцияларга мониторингдин жана контролдуктун, ошондой эле терминалдар жана банкоматтар түйүнүнө мониторингдин жана башкаруунун жүргүзүлүшүн; 

49 шифрлөө жана верификациялоо ыкмаларынын колдонулушун. 

 

14. Жүргүзүлгөн текшерүү тууралуу отчет түзүү 

 

14.1. Текшерүү аяктагандан кийин инспектор кеминде төмөнкүлөр камтылган маалымат системаларынын коопсуздугунун камсыз кылынышына текшерүү тууралуу отчет түзөт: 

50 банктын маалымат системасынын түзүмүн схема түрүндө баяндалышын; 

51 бул усулдук сунуш-көрсөтмөлөрдүн жогоруда аталган бардык бөлүктөрүн текшерүүнүн натыйжаларынын баяндалышын; 

52 эгерде мындай бузуулар аныкталса, маалымат системаларынын коопсуздугунун сакталышынын бузууларын четтетүү боюнча сунуш-көрсөтмөлөрүн.