Кайта келүү

Кыргыз Республикасынын  

Улуттук банк Башкармасынын  

2023-жылдын 31-мартындагы  

№ 2023-П-14/21-1-(ПС) 

Токтому 

 

 

«Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат  

коопсуздугун камсыз кылуу боюнча талаптар жөнүндө» жобону бекитүү тууралуу 

 

 

Кыргыз Республикасынын «Кыргыз Республикасынын Улуттук банкы жөнүндө» конституциялык Мыйзамынын 5, 9 жана 64-беренелерине ылайык, Кыргыз Республикасынын Улуттук банк Башкармасы токтом кылат: 

 

1. «Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө» жобо бекитилсин (кошо тиркелет). 

 

2. Юридика башкармалыгы:  

- тиешелүү документтерди алган күндөн тартып 3 (үч) жумуш күнү ичинде токтомду Улуттук банктын расмий интернет-сайтына жарыяласын; 

- расмий жарыялангандан кийин токтомду Кыргыз Республикасынын ченемдик укуктук актыларынын мамлекеттик реестринде чагылдырылышы үчүн Кыргыз Республикасынын Юстиция министрлигине жөнөтсүн. 

 

3. Ушул токтом менен бекитилип жаткан жана 2023-жылдын 1-июлунан тартып күчүнө кире турган «Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө» жобонун 3-главасын эске албаганда, токтом расмий жарыяланган күндөн тартып 15 (он беш) күн өткөндөн кийин күчүнө кирет. 

 

4. Төлөм системалары башкармалыгы тиешелүү документтерди алган күндөн тартып 3 (үч) жумуш күнү ичинде ушул токтом менен төлөм системаларынын операторлорун, төлөм уюмдарын жана «Төлөм системаларынын операторлорунун ассоциациясы KG (КЕЙ-ЖИ)» юридикалык жактар бирикмесин тааныштырсын.  

 

5. «Башкарманын катчылыгы» бөлүмү 3 (үч) жумуш күнү ичинде ушул токтом менен Кыргыз Республикасынын Улуттук банкынын түзүмдүк бөлүмдөрүн, областтык башкармалыктарын жана Баткен областындагы өкүлчүлүгүн тааныштырсын.  

 

6. Токтомдун аткарылышын контролдоо Төлөм системалары башкармалыгынын ишин тескөөгө алган Кыргыз Республикасынын Улуттук банк Башкармасынын мүчөсүнө жүктөлсүн.  

 

Төрага К. Боконтаев 

 

 

 

  

  

Кыргыз Республикасынын  

Улуттук банк Башкармасынын 

2023-жылдын 31-мартындагы  

№ 2023-П-14/21-1-(ПС)  

токтомуна карата тиркеме 

Төлөм системаларынын операторлорунун жана төлөм  

уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө  

ЖОБО  

1-глава. Жалпы жоболор 

1. Бул Жобонун максаты төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугунун деңгээлин жогорулатууга, ошондой эле уруксатсыз киргендердин аракеттеринен, авариялык бузулуулардан жана персоналдын каталарынан келип чыккан мүмкүн болуучу жоготууларды минималдаштырууга багытталган төлөм системаларынын операторлоруна жана төлөм уюмдарына карата бирдиктүү талаптарды белгилөө болуп саналат. 

2. Ушул Жобонун максаттары үчүн төлөм системасы боюнча Кыргыз Республикасынын Улуттук банкынын (мындан ары - Улуттук банк) ченемдик актыларында колдонулган аныктамалар, ошондой эле төмөнкү аныктамалар колдонулат: 

Автоматташтырылган система - бул ишти автоматташтыруу боюнча каражаттардын аппараттык-программалык комплексинен, белгиленген функцияларды аткаруунун маалыматтык технологияларын ишке ашырган ыкмалардан жана иш-чаралардан турган система. 

Авторизация бул, белгилүү бир объектиге/субъектиге системада аткарган ролуна ылайык айрым иш-аракеттерди аткарууга укук берүү процесси 

Аутентификация - ыйгарылган идентификаторду пайдалануу мүмкүнчүлүгүнүн объектиге/субъектиге таандык экендигин текшерүү же аныктыгын тастыктоо. 

Маалыматтык активдерди пайдалануу мүмкүнчүлүгү - бул, маалыматтык активдер авторизацияланган пайдалануучуга зарыл болгон түрдө жана жерде, ошондой эле зарыл болгон убакытта сунуштала турган, төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугунун өзгөчөлүгү

Маалыматтык системанын иштөө цикли - бул маалыматтык системаны түзүү зарылчылыгы жөнүндө чечим кабыл алынган учурдан тартып башталып, аны эксплуатациялоодон толук алып салган учурда аяктаган мезгил. 

Идентификатор - пайдалануу субъектисинин же объектисинин өзгөчө белгиси. 

Идентификациялоо - объекттерге/субъекттерге идентификатор (өзгөчө аталыш) ыйгаруу же объекттин/субъекттин идентификаторун ыйгарылган идентификаторлордун тизмеси менен салыштыруу процесси. 

Маалыматтык система - маалыматтарды сактоо, издөө жана иштеп чыгууга арналган система жана тиешелүү уюштуруу ресурстары, алардын жардамы менен маалымат камсыз кылынат жана жайылтылат. 

Маалыматтык активдер - максаттарга жетүү көз карашынан алганда төлөм системаларынын операторлору жана төлөм уюмдары үчүн баалуу жана аларды иштеп чыгуу, сактоо же берүү үчүн жарактуу болгон формада кайсы болбосун материалдык сактагычта сунушталган маалымат. 

Маалыматтык активдин купуялуулугу - бул, төлөм системаларынын операторлорунун жана төлөм уюмдарынын ресурстарынын маалыматтык активдерди иштеп чыгуу, сактоо жана өткөрүп берүүдөн турган абалы, булар маалыматтык активдер авторизацияланган пайдалануучуларга, системанын объекттерине же процесстерге жеткиликтүү болгондо гана жүзөгө ашырылат. 

Объект - маалыматтан пайдаланууга уруксат сураган, маалымат системасында аткарылуучу процесс. 

Пароль - бул, пайдалануучунун ыйгарым укуктарын тастыктоо үчүн арналган, купуя белгилердин топтому. 

Автоматташтырылган системаны пайдалануучу бул, автоматташтырылган системада катталган жана анын ресурстарын пайдалануучу субъект же объект (төлөм системасынын кызматкерлери, кардарлары); 

Санкциялоо бул, колдонуучуга анын кызматтык милдеттеринин негизинде системада белгилүү бир аракеттерди аткаруу мүмкүнчүлүгүн сунуштоо (уруксат берүү) боюнча иш-аракет. Бир да пайдалануучуга кандайдыр бир маалыматты же тиркемени атайын санкциясыз пайдаланууга уруксат берилбейт. 

Субъект - маалыматтан пайдаланууга уруксат сураган пайдалануучу. 

Токен («ачкыч») USB-брелок түрүндөгү жабдуу же булуттагы (атайын корголгон сервердеги) ачкыч, ал пайдалануучуну авторизациялоо, электрондук кат алышууларды коргоо, маалыматтык ресурстарды аралыкта туруп коопсуз пайдалануу, ошондой эле кайсы болбосун жеке маалыматтарды ишенимдүү сактоо үчүн колдонулат. 

Маалыматтык активдердин бүтүндүгү - маалыматтык активдердин туруктуулукту сактоо же өзгөрүүнү аныктоо жагында төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугунун өзгөчө сапаты. 

3. Маалымат коопсуздугун башкаруу системасы төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун иштеп чыгуу, ишке киргизүү, иштетүү, мониторинг жүргүзүү, талдоо, колдоо жана жакшыртуу үчүн бизнес-тобокелдиктерди баалоо методдорун колдонууга негизделген жалпы башкаруу системасынын бир бөлүгү болуп саналат.  

4. Кыргыз Республикасынын Улуттук банкы (мындан ары - Улуттук банк) төлөм системаларынын операторлору жана төлөм уюмдары тарабына ушул Жободо, ошондой эле Улуттук банктын башка ченемдик укуктук актыларында белгиленген төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун сактоо жагында талаптардын сакталышын текшерүүгө укуктуу. 

5. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын жетекчилиги анын бүткүл маалымат системасынын пайдаланылышы жана иштеши үчүн, анын ичинде анын пайдаланылышына байланышкан агенттердин жана субагенттердин аракеттери үчүн толук жоопкерчилик тартат.  

6. Маалымат коопсуздугун камсыз кылуу системасын башкарууда төлөм системаларынын операторлору жана төлөм уюмдары пландаштыруу, ишке ашыруу, текшерүү жана өркүндөтүү сыяктуу процесстерди үзгүлтүксүз колдонууга тийиш. 

7. Маалымат коопсуздугу боюнча талаптар ар тараптуу өз ара байланышта жана маалыматтык системалардын иштөө циклинин бардык стадияларында үзгүлтүксүз болууга тийиш. 

2-глава. Маалымат коопсуздугу документтерине карата талаптар 

8. Төлөм системаларынын операторлору жана төлөм уюмдары маалымат коопсуздугун камсыз кылуу үчүн документтердин эки деңгээлин иштеп чыгуусу керек: 

- маалымат коопсуздугу саясаты (маалымат коопсуздугун камсыз кылуу практикасын жөнгө салуучу документ); 

- маалымат коопсуздугун камсыз кылуу боюнча операциялык жол-жоболор. 

9. Маалымат коопсуздугун камсыз кылуу практикасын жөнгө салуучу маалымат коопсуздугу саясаты (мындан ары маалымат коопсуздугу саясаты) жетекчилик тарабынан коюлган максаттарды колдоону чагылдырууга жана маалымат коопсуздугу саясатынын талаптарын аткаруу үчүн зарыл болгон толук чараларды аныктоочу жалпы принциптерди андан ары кенен чагылдырууга тийиш. 

10. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугу саясатында чагылдырылган маалымат коопсуздугун камсыз кылуу боюнча талаптары төмөнкү эң маанилүү чөйрөлөр үчүн аныкталышы керек.: 

- персоналга карата талаптар; 

- дайындоо, ролдорду бөлүштүрүү жана маалыматтык системада каттоо; 

- маалымат коопсуздугу тобокелдиктерин башкаруу процесси; 

- иштин үзгүлтүксүздүгүн камсыз кылуу; 

- автоматташтырылган системалардын иштөө циклинин стадияларында маалымат коопсуздугун камсыз кылуу; 

- автоматташтырылган системаларда бардык аракеттерди каттоо; 

- антивирустук коргоо; 

- интернет-ресурстарды колдонуу; 

- резервдик көчүрүү жана калыбына келтирүү

- маалымат коопсуздугу инциденттерин башкаруу ж.б. 

11. Коопсуздукту камсыз кылуунун операциялык жол-жоболору боюнча документтер керектүү практикаларды ишке киргизүүнү камсыз кылуучу техникалык деңгээлдеги практикалык ыкмалардын сыпаттамасын камтууга тийиш. Процедуралар төлөм системаларынын операторлорунун жана төлөм уюмдарынын саясатына ылайык келиши керек. 

12. Төлөм системаларынын операторлору жана төлөм уюмдары аткарылган иштин жана маалымат коопсуздугун камсыз кылуу боюнча аракеттердин күбөлүктөрүн (отчетторду, актыларды, журналдарды) камтыган документтердин болушун жана сакталышын камсыз кылууга жана төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылууга тиешелүү документтердин талаптарын ишке ашырууда жетишилген натыйжаларды (аралык жана акыркы) чагылдырууга тийиш. 

3-глава. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын персоналына карата талаптар 

13. Төлөм системаларынын операторлору жана төлөм уюмдары Улуттук банк Башкармасынын 2019-жылдын 30-сентябрындагы № 2019-П-14/50-2-(ПС) токтому менен бекитилген «Төлөм уюмдарынын жана төлөм системаларынын операторлорунун ишин жөнгө салуу жөнүндө» жободо (мындан ары Жөнгө салуу жөнүндө жобо) белгиленген талаптарга ылайык персоналга ээ болууга тийиш. 

14. Төлөм системаларынын операторлору жана төлөм уюмдары ишке кабыл алуу жол-жоболорун иштеп чыгышы керек, алар төмөнкүлөрдү камтууга тийиш: 

- берилген документтердин аныктыгын, билдирилген квалификациясын, биографиялык фактылардын тактыгын жана толуктугун текшерүү

- кесиптик көндүмдөрдү текшерүү жана кесиптик жарамдуулугун баалоо. 

15. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын бардык кызматкерлери маалымат коопсуздугун камсыз кылуу боюнча талаптар менен жазуу жүзүндө таанышуусу керек. 

16. Маалымат коопсуздугун камсыз кылуу үчүн жооптуу бөлүм же ыйгарым укуктуу адам төлөм системаларынын операторлорунда жана төлөм уюмдарында маалымат коопсуздугун уюштурат жана ал үчүн жоопкерчилик тартат, ошондой эле маалымат коопсуздугу чөйрөсүндөгү коркунучтар жөнүндө маалыматты системалуу негизде актуалдаштырууга, төлөм системаларынын операторлорунун жана төлөм уюмдарынын жетекчилигине жана кызматкерлерине коркунучтар жөнүндө өз убагында маалымдоого, ошондой эле бул коркунучтарга каршы туруу максатында персоналдын маалымдуулугунун жалпы деңгээлин жогорулатууга багытталган иш-чараларды жүргүзүүгө тийиш. 

17. Маалымат коопсуздугун камсыз кылуу үчүн жооптуу бөлүмдүн же ыйгарым укуктуу адамдын функцияларына маалыматтык технологиялар бөлүмүнүн функциялары менен ишти айкалыштыруу кирбеши керек.  

Кызматтык нускамалар кызыкчылыктардын кагылышын болтурбоо үчүн маалыматтык технологиялар бөлүмүнүн кызматкерлерине мүнөздүү болгон функционалдык милдеттерди камтыбашы керек. 

Мында, маанилүү төлөм системасы/системалык маанилүү төлөм системасы/орчундуу кызмат көрсөтүүлөр провайдери болуп саналбаган төлөм системаларынын операторлору жана төлөм уюмдары маалымат коопсуздугун камсыз кылуу боюнча милдеттерин милдеттүү түрдө тиешелүү окуудан өткөн башка кызмат адамына жүктөөгө укуктуу.  

18. Маалымат коопсуздугун камсыз кылуу үчүн жооптуу бөлүмдүн же ыйгарым укуктуу адамдын кызматтык милдеттери төмөнкүлөрдү камтууга тийиш: 

1) төлөм системаларынын операторлору жана төлөм уюмдары тарабынан маалымат коопсуздугу чөйрөсүндөгү ички ченемдик документтердин жана ченемдик укуктук актылардын аткарылышын контролдоо; 

2) маалымат коопсуздугун коргоо даражасын талдоо; 

3) маалымат коопсуздугу боюнча ички ченемдик документтерди иштеп чыгуу. 

19. Маалымат коопсуздугунун талаптарын аткаруу боюнча персоналдын милдеттери жана жоопкерчиликтери алардын кызматтык нускамаларында камтылууга тийиш. 

20. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлери тарабынан маалымат коопсуздугун камсыз кылуу боюнча талаптарды аткарбагандыгы же талаптагыдай аткарбагандыгы кызматтык милдеттерин аткарбагандыгы менен теңештирилет. 

4-глава. Дайындоо, ролдорду бөлүштүрүү жана автоматташтырылган системада каттоо 

21. Төлөм системаларынын операторлорунда жана төлөм уюмдарында кызматкерлердин ролдорун, анын ичинде маалымат коопсуздугун камсыздоо боюнча ролдорду камтыган документ иштелип чыгышы жана кабыл алынышы керек. 

22. Автоматташтырылган системада кызматкерлердин ыйгарым укуктарын так чектөөнү камсыз кылган ролдор аныкталууга тийиш. 

23. Кызматкерлерге автоматташтырылган системага кирүү мүмкүнчүлүгүн берүүдө колдонуучуларды санкциялоо, идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылууга тийиш. Колдонуучуга идентификаторду берүүдөн мурун колдонуучунун инсандыгын текшерүү жүргүзүлүшү керек. Система колдонуучуга идентификаторду берген аткаруучуну жазышы керек. 

24. Автоматташтырылган системанын бардык колдонуучулары уникалдуу эсептерде иштеши керек. 

25. Кызматкерлердин жана төлөм системасынын катышуучуларынын маалыматтык активдерди пайдалануу мүмкүнчүлүгү укуктарын бөлүштүрүүдө төлөм системаларынын операторлору жана төлөм уюмдары төмөнкү принциптерди жетекчиликке алуусу керек: 

- «кызматкериңизди билиңиз» төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлеринин өз милдеттерине болгон мамилеси жана коопсуздук көйгөйлөрүнө алып келиши мүмкүн болгон мүлктү кыянаттык менен пайдалануу, финансылык кыйынчылыктар сыяктуу мүмкүн болгон көйгөйлөр жөнүндө төлөм системаларынын операторлорунун жана төлөм уюмдарынын тынчсыздануусун көрсөткөн принцип; 

- «билиш керек» - белгилүү бир милдеттерди аткарууга муктаж болгондордун маалыматты жана маалыматты иштеп чыгуу боюнча ресурстарды пайдалануу мүмкүнчүлүгүн чектеген коопсуздук принциби; 

- «эң аз артыкчылык» - белгилүү бир операцияны аткаруу үчүн колдонуучу минималдуу зарыл артыкчылыктарды алышы же бериши керек деген принцип. 

26. Төлөм системаларынын операторлорунда жана төлөм уюмдарында маалыматтык активдердин тизмеси (автоматташтырылган система жана алардын түрлөрү) жана кызматкерлердин жана катышуучулардын бул активдерди пайдалануу укуктары документ түрүндө аныкталышы керек. 

27. Ролдорду түзүү төлөм системаларынын операторлорунун жана төлөм уюмдарынын учурдагы бизнес-процесстеринин негизинде ишке ашырылууга тийиш жана ыйгарым укуктардын бир жерде топтолуусун жоюу жана маалыматтык активдердин жеткиликтүүлүгү, бүтүндүгү же купуялуулугу касиеттерин жоготуу менен байланышкан маалымат коопсуздугу инциденттеринин тобокелдигин азайтуу максатында жүргүзүлүүгө тийиш. 

28. Төлөм системаларынын операторлорунда жана төлөм уюмдарында «артыкчылыктуу пайдалануу мүмкүнчүлүгү», тактап айтканда: тобокелдиктерди минималдаштыруу жана олуттуу маанидеги автоматташтырылган системалардын коопсуздугун камсыз кылуу максатында автоматташтырылган системаларга кирүү укуктары жогорулатылган каттоо эсептерине (администратордук укуктарга ээ каттоо эсептери) контроль жүргүзүлүүсү керек. 

29. Ар бир ролго алардын аткарылышы үчүн жооптуу адамдар дайындалышы керек. Кызматкерлердин жоопкерчилиги алардын кызматтык нускамаларында жазылууга тийиш. 

30. Автоматташтырылган системада колдонуучуларды аутентификациялоо алынган маалыматтын олуттуу деңгээлине ылайык келиши керек жана аутентификациялоонун бир же бир нече механизмдеринин негизинде жүргүзүлүшү керек: 

- билими боюнча «бир нерсени билүү» (пароль, ПИН-код); 

- «бир нерсеге» ээлик кылуу боюнча (смарт-карта, токен); 

- колдонуучунун физикалык мүнөздөмөлөрү боюнча «кимдир бирөө» (манжалардын издери же башка биометрикалык маалыматтар). 

Эки факторлуу аутентификация ушул үч механизмдин каалаган экөөсүн камтыйт: адам «бир нерсени билет» жана «бир нерсеси бар» же «кимдир бирөө». 

31. Каттоо жана колдонуучунун кирүү укуктарын өзгөртүү боюнча окуялар автоматташтырылган системанын окуялар журналына жазылууга тийиш. 

32. Төлөм системаларынын операторлору жана төлөм уюмдары санкцияланбаган пайдалануудан, уруксатсыз аракеттерден, төлөм системасынын катышуучуларын жана төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлерин каттоо, идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл болгон маалыматтардын бүтүндүгүн бузуудан коргоону камсыз кылууга багытталган коргоо чараларын колдонууга тийиш. Бардык уруксатсыз аракеттердин жана мындай маалыматтан уруксатсыз пайдалануу аракеттери окуялар журналына катталууга тийиш. 

33. Кызматкерлерге автоматташтырылган системага жана корпоративдик сервистерге аралыктан пайдалануу мүмкүнчүлүгүн бергенде, төлөм системаларынын операторлору жана төлөм уюмдар көп факторлуу аутентификация технологиясын ишке киргизүүгө тийиш. 

34. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлери жумуштан бошотулганда же автоматташтырылган системанын маалыматын пайдалануу мүмкүнчүлүгү бар кызматкерлеринин кызматтык милдеттери өзгөртүлгөндө, алардын автоматташтырылган системага кирүү укуктары бөгөттөлүшү же өзгөртүлүшү керек. 

35. Төлөм системаларынын операторлору жана төлөм уюмдары пароль саясатын иштеп чыгууга жана ишке киргизүүгө тийиш. Пароль саясаты, жок дегенде, төмөнкүдөй негизги эрежелерди жана компоненттерди камтышы керек: 

- паролдун татаалдык даражасына жана узундугуна карата талаптар; 

- материалдык сактагычтарда паролду жазууга жана сактоого жол бербөө боюнча талаптар; 

- саясатты бузгандыгы үчүн колдонуучулардын жоопкерчилиги. 

36. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлери пароль саясаты менен тааныш болушу керек жана иш учурунда анын талаптарын так аткарышы керек. 

37. Төлөм системаларынын операторлору жана төлөм уюмдары маалымат коопсуздугу саясатынын талаптарын сактоо боюнча төмөнкүлөр үчүн сунуштарды иштеп чыгат: 

- төлөм системасына кирүү мүмкүнчүлүгү бар төлөм системасынын катышуучулары (агенттер, субагенттер); 

- электрондук капчыктардын ээлери (эгерде электрондук акча эсептешүү системасы бар болсо); 

- мобилдик тиркемелерди, анын ичинде агенттердин мобилдик тиркемелерин (эгерде мобилдик тиркемелер бар болсо) колдонуучулар;  

жана колдонуучуларга алар менен иштөө процессинде бул талаптардын сакталышы жөнүндө маалымдоо боюнча иштерди жүргүзүү

5-глава. Маалымат коопсуздугу тобокелдиктерин башкаруу процессине карата талаптар 

38. Төлөм системаларынын операторлору жана төлөм уюмдары төлөм системасынын тобокелдиктерин башкаруунун жалпы саясаты менен интеграцияланган маалымат коопсуздугу тобокелдиктерин башкаруу саясатын иштеп чыгууга тийиш. 

39. Төлөм системаларынын операторлору жана төлөм уюмдар активдердин баасын аныктап, чабал жактарын, коркунучтарды жана тобокелдиктерди аныктоого тийиш. Аныкталган тобокелдиктер сандык же сапаттык жактан бааланышы керек. Төлөм системаларынын операторлору жана төлөм уюмдары тобокелдиктерди иштеп чыгуу үчүн тиешелүү чараларды жана контролдоо каражаттарын аныктоого тийиш. 

40. Тобокелдиктерди баалоо процессин уюштуруу ISO 27005 маалымат коопсуздугунун эл аралык стандартына же ушул сыяктуу стандарттарга негизделиши мүмкүн. 

6-глава. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын ишмердүүлүгүнүн үзгүлтүксүздүгү 

41. Иштин үзгүлтүксүздүгүн камсыз кылуу максатында төлөм системаларынын операторлорунда жана төлөм уюмдарында төмөнкүлөр иштелип чыгышы керек: 

- иштин үзгүлтүксүздүгү саясаты, анда иштин үзгүлтүксүздүгүн камсыз кылуу үчүн зарыл болгон жетектөөчү принциптер жана аларга жүктөлгөн милдеттерди аткаруу үчүн ролдорго зарыл болгон ыйгарым укуктар камтылышы керек; 

- иш-аракеттерди калыбына келтирүү планы, анда олуттуу системалардын жана функциялардын ишин ыкчам калыбына келтирүүнү камсыз кылган жол-жоболорду сүрөттөө зарыл. План мезгил-мезгили менен жылына кеминде 1 жолу текшерилип турушу керек. 

7-глава. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын автоматташтырылган системаларынын иштөө циклинин коопсуздугу 

42. Төлөм системаларынын операторлору жана төлөм уюмдары автоматташтырылган системанын иштөө циклинин бардык стадияларында автоматташтырылган системаларды комплекстүү коргоону камсыз кылууга тийиш (долбоорлоо, ишке ашыруу, тестирлөө, кабыл алуу, эксплуатациялоо, коштоо, модернизациялоо, эксплуатациядан чыгаруу документтештирилип жана жетекчилик тарабынан бекитилиши керек). Мында тестирлөө өнөр жай чөйрөсүнө окшош сыноо чөйрөсүндө жүргүзүлүшү керек. 

43. Төлөм системаларынын операторлору жана төлөм уюмдары лицензияланган программалык камсыздоону гана колдонушу керек, ачык баштапкы коду бар программалык камсыздоо же өздөрү иштеп чыккан программалык камсыздоо, эгерде жетекчи тарабынан бекитилген документтердин толук топтому (техникалык тапшырма, сыноо программасы жана методикасы, сыноо актысы жана журналы, өндүрүштүк эксплуатациялоого киргизүү актысы) бар болсо, уруксат берилет.  

8-глава. Окуяларды каттоо журналын жүргүзүү 

44. Төлөм системаларынын операторлорунда жана төлөм уюмдарында маалымат коопсуздугуна аудит жүргүзүү жана окуялардын жүрүшүн калыбына келтирүү жана отчет жүргүзүү үчүн каражат катары автоматташтырылган системада, персоналдык компьютерде, сервердик жана тармактык жабдууларда, маалымат базаларында жүргүзүлгөн иш-аракеттерди каттоо (логизациялоо) журналын жүргүзүү камсыз кылынууга тийиш. Окуялар журналы бардык колдонуучулардын иш-аракеттерин, анын ичинде жогорку артыкчылыктуу каттоо эсептерин (root, администратор, sysdba, dba) камтышы керек. 

45. Окуялар журналынын маалыматына мониторинг жана талдоо күн сайын автоматташтырылган системанын администраторлору (техникалык колдоо персоналы) тарабынан, анын ичинде автоматташтырылган системаларды колдонуу менен жүргүзүлүшү керек жана бардык стандарттуу эмес коопсуздук жагдайлар иликтениши керек. 

46. Окуялар журналынын маалыматы электрондук түрдө тиешелүү автоматташтырылган системанын иштетилген маалыматтарын сактоо мөөнөтүнө барабар, бирок 2 (эки) жылдан кем эмес мөөнөттө сакталууга тийиш. 

47. Окуялар журналынын маалыматы кокустан же атайылап жок кылынуудан, өзгөртүүдөн же бурмалоодон корголушу керек. Журналды жазууну өчүрүү, жок кылуу, өзгөртүү же маалыматын бурмалоо инцидент катары каралышы керек. 

9-глава. Антивирустук коргоо 

48. Төлөм системаларынын операторлорунда жана төлөм уюмдарында расмий түрдө сатылып алынган (лицензияланган) антивирустук коргоо куралдары гана колдонулушу керек. Автоматташтырылган системанын автоматташтырылган жумуш орундарында жана серверлеринде антивирустук коргоо каражаттарын орнотуу жана үзгүлтүксүз жаңылоо жооптуу администраторлор тарабынан ишке ашырылууга тийиш. 

49. Төлөм системаларынын операторлорунда жана төлөм уюмдарында антивирустук коргоону камсыз кылууда маалыматтык процесстердин өзгөчөлүгүн эске алуу менен антивирустук коргоо боюнча нускамаларды иштеп чыгуу жана ишке киргизүү керек. Антивирустук коргоо процедураларынын талаптарын аткаруу үчүн жоопкерчилик персоналдык компьютерге жана/же автоматташтырылган системага кирүү мүмкүнчүлүгү бар төлөм системаларынын операторлорунун жана төлөм уюмдарынын ар бир кызматкерине жүктөлүшү керек. 

50. Орнотулган же өзгөртүлгөн программалык камсыздоону алдын ала вируска текшерүү керек. Компьютердик вирус аныкталса, аны зыянсыздандыруу жана жумуш орундарынын иштөө жөндөмдүүлүгүн калыбына келтирүү боюнча чаралар көрүлүшү керек. 

51. Антивирус каражаттарын өчүрүүгө же жаңыртпоого жол берилбейт. Антивирустук коргоо каражаттарын орнотуу жана жаңылоо жооптуу кызматкерлер тарабынан контроль жүргүзүлүшү керек. 

10-глава. Интернет-ресурстарды колдонуу 

52. Төлөм системаларынын операторлорунда жана төлөм уюмдарында ички компьютердик тармактарды сегменттерге бөлүштүрүү жана келген маалыматты тармактар аралык иргөө, ошондой эле Интернет менен өз ара аракеттенүүдө ички компьютердик тармактарды коргоо чаралары колдонулушу керек. 

53. Төлөм системаларынын операторлору жана төлөм уюмдары маалыматты коргоо каражаттары жана системаларын жөндөө параметрлеринин өзгөрүүлөрүн каттоо, төлөм системаларынын операторлорунун жана төлөм уюмдарынын компьютердик тармактарын коргоо жана келген маалыматты тармактар аралык иргөө боюнча чараларды көрүүгө милдеттүү

54. Төлөм системаларынын операторлорунда жана төлөм уюмдарында интернет тармагын колдонуу максаттары төлөм системаларынын операторлорунун жана төлөм уюмдарынын жетекчилиги тарабынан аныкталышы жана бекитилиши керек. Интернетти белгисиз максаттарда колдонууга тыюу салуу керек. 

55. Төлөм системаларынын операторлору жана төлөм уюмдары интернет-ресурстарды туташтыруу жана пайдалануу тартибин, анын ичинде маалымат коопсуздугун камсыз кылуу үчүн жооптуу бөлүм тарабынан контроль жүргүзүү тартибин аныктоо зарыл. 

56. Мобилдик тиркемелер аркылуу кардарларды аралыктан тейлөөнү жүзөгө ашыруучу төлөм системаларынын операторлорунда жана төлөм уюмдарында интернет түйүнү менен өз ара аракеттенүүдө маалымат коопсуздугун бузуу тобокелдиктери жогорулашына байланыштуу, маалыматты белгиленген форматта гана жана конкреттүү технология үчүн гана кабыл алууну жана берүүнү камсыз кылуучу маалыматты коргоо каражаттары колдонулууга тийиш. 

57. Аралыктан тейлөөнү жүзөгө ашырууда авторизацияланган кардардын иш сеансынын ичинде кара ниеттик менен алмаштыруу мүмкүнчүлүгүн болтурбоочу коргоо чаралары колдонулууга тийиш. 

58. Мобилдик тиркемелердин иш сеансынын ичинде бардык кардарлардын операциялары идентификация, аутентификация жана авторизация жол-жоболору аткарылгандан кийин гана жүргүзүлүшү керек. Иш сессиясынын убактысы бүткөн учурда (байланыш бузулганда же үзүлгөндө) аталган жол-жоболордун кайра аткарылышын камсыз кылуу зарыл. 

59. Интернет тармагы аркылуу почта алмашуу коргоо чараларын колдонуу жана спамдын таралышына каршы туруу менен ишке ашырылууга тийиш. 

60. Интернет тармагы менен өз ара аракеттенүүдө уруксатсыз киргендердин чабуулдарына каршы коргоочу чаралар колдонулушу керек. 

11-глава. Резервдик көчүрүү жана калыбына келтирүү 

61. Төлөм системаларынын операторлорунда жана төлөм уюмдарында иштелип чыккан жана өткөрүлгөн төлөмдөр боюнча резервдик көчүрмөлөр түзүлүүгө тийиш. 

62. Маалыматтарды сактагыч катары тышкы маалымат сактагычтар колдонулууга тийиш: катуу дисктер, магниттик тасмалар, жаздыруучу оптикалык санариптик дисктер ж. б. 

63. Бардык резервдик көчүрмөлөр сакталган маалыматты, эсептик номерин жана көчүрмө түзүлгөн датаны көрсөтүү менен белги коюу зарыл. 

64. Резервдик көчүрмөлөр (же алардын дубликаттары) санкциясыз кирүүдөн коргоону, электр магниттик нурлардан, жылуулук таасирлеринен, механикалык таасирлерден коргоону камсыз кылган өзүнчө жайларда, ошондой эле абанын ички температурасын жана нымдуулугун белгиленген деңгээлде камсыздоо менен сакталууга тийиш. 

65. Төлөм системаларынын операторлорунда жана төлөм уюмдарында жыл ичинде кеминде 1 жолу резервдик көчүрмөлөрдүн архивинин маалыматтарын ички документтерге ылайык мезгил-мезгили менен тестирлөө жана калыбына келтирүү жол-жоболору ишке ашырылууга тийиш. 

12-глава. Маалымат коопсуздугуна тиешелүү инциденттерди жана чабал жактарды жөнгө салуу процессине карата талаптар 

66. Маалымат коопсуздугуна тиешелүү инциденттерди жана чабал жактарды жөнгө салуу, Улуттук банк Башкармасынын 2019-жылдын 2-сентябрындагы токтому менен бекитилген № 2019-П-14/46-2-(ПС) “Төлөм системасындагы штаттан тышкаркы жагдайлар жөнүндө” жободо, ошондой эле Улуттук банктын башка ченемдик актыларында белгиленген төлөм системаларынын операторлоруна жана төлөм системаларынын катышуучуларына карата талаптарды эске алуу менен иштелип чыккан жана так колдонулган процесстердин негизинде жүзөгө ашырылат. 

67. Төлөм системаларынын операторлору жана төлөм уюмдары тарабынан инциденттер жана чабал жактары аныкталууга, аларга баа берилүүгө жана маалымат коопсуздугунун мындай инциденттеринин келип чыгышына жол бербөө боюнча чаралар көрүлүүгө тийиш. Кемчиликтер жөнгө салынууга тийиш. 

68. Маалымат коопсуздугу инциденттерин талдоонун натыйжалары, ошондой эле маалымат коопсуздугу инциденттеринин келип чыгышы ыктымалдыгын жана алардан улам зыянды минималдаштыруу боюнча сунуш-көрсөтмөлөр андан ары маалымат коопсуздугунун тобокелдиктерин баалоо үчүн колдонулушу керек.