Улуттук банк Башкармасынын
2011-жылдын 14.09 № 52\12 токтому
"Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө" жобо тууралуу
Кыргыз Республикасынын "Кыргыз Республикасынын Улуттук банкы жөнүндө" мыйзамынын 7 жана 43-статьяларына ылайык, Кыргыз Республикасынын Улуттук банк Башкармасы токтом кылат:
1. Кароого сунушталган "Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө" жобо (кошо тиркелет) бекитилсин.
2. Токтом расмий жарыялангандан бир ай өткөндөн кийин күчүнө кирет.
3. Расмий жарыялангандан кийин Юридика башкармалыгы ушул токтомду Кыргыз Республикасынын ченемдик укуктук актыларынын мамлекеттик реестрине киргизүү үчүн Кыргыз Республикасынын Адилет министрлигине жөнөтсүн.
4. Ушул токтомдун аткарылышына контролдук Кыргыз Республикасынын Улуттук банкынын Төрагасынын орун басары З.Л. Чокоев мырзага жүктөлсүн.
Төрага Асанкожоева З.М.
Кыргыз Республикасынын Улуттук банкынын
2011-жылдын 14.09 № 52\12 токтому менен бекитилген
"Кыргыз Республикасынын коммерциялык банктарында маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө"
жобо
Жалпы жоболор
1. Кыргыз Республикасынын коммерциялык банктары үчүн Кыргыз Республикасынын банк тутумунун маалымат коопсуздугунун деңгээлин жогорулатууга, ошондой эле кара ниеттердин аракеттеринен, авариялык бузулуулардан жана персоналдын жаңылыштыгынан улам келип чыгышы мүмкүн болгон жоготууларды минималдаштырууга багытталган бирдиктүү милдеттүү талаптарды белгилөө, ушул Жобонун максаты болуп саналат.
2. Жобо, Кыргыз Республикасынын Жарандык кодексине, "Кыргыз Республикасынын Улуттук банкы жөнүндө", "Кыргыз Республикасындагы банктар жана банк иши жөнүндө", "Электрондук документ жана электрондук санарип колтамга жөнүндө", "Коммерциялык сыр жөнүндө" мыйзамдарына, Кыргыз Республикасынын башка мыйзамдарына жана ченемдик актыларына, ошондой эле Улуттук банк Башкармасынын 2004-жылдын 15-сентябрындагы №24/10 токтому менен бекитилген, Кыргыз Республикасынын банк тутумунун мекемелеринде маалымат коопсуздугун камсыз кылуу боюнча стандартына, Улуттук банк Башкармасынын 2003-жылдын 3-июлундагы №19/7 токтому менен бекитилген "Кыргыз Республикасынын Улуттук банкынын маалыматтык ресурстары менен иштөө учурунда Кыргыз Республикасынын банктык мекемелеринде маалымат коопсуздугун камсыз кылууга карата талаптар жөнүндө" жобого, Улуттук банк Башкармасынын 2009-жылдын 14-октябрындагы №41/7 токтому менен бекитилген "Кыргыз Республикасындагы банктык төлөм карттар жөнүндө" жобого ылайык иштелип чыккан.
3. Ушул Жобонун аракети коммерциялык банктарга, ошондой эле Улуттук банктын банктык жана төлөм операцияларын жүргүзүү укугуна лицензиясына ээ башка уюмдарга (мындан ары-банктар) таркатылат.
4. Кыргыз Республикасынын коммерциялык банктарында кабыл алынуучу, маалымат коопсуздугуна тиешелүү бардык ченемдик документтер ушул Жобого ылайык келтирилүүгө тийиш.
5. Кыргыз Республикасынын Улуттук банкы (мындан ары-Улуттук банк) банктарга, ушул Жободо белгиленген талаптардын алар тарабынан аткарылышына текшерүүлөрдү жүргүзүүгө укуктуу.
6. Банктын жетекчилиги банктын бүтүндөй маалымат системасынын пайдаланылышына жана иштешине толук жооп берет.
2. Терминдер жана аныктмалар
7. "Өз кардарыңды бил" (Know your Customer): жөнгө салуучу органдар тарабынан финансылык уюмдарга карата алардын кардарларынын ишин билүү көз карашынан мамилелерин билдирүү үчүн колдонулуучу принцип.
8. "Өз кызматкериңди бил" (Know your Employee): банктын банк кызматкерлеринин өз милдеттерине жана коопсуздук көйгөйлөрүн жаратышы мүмкүн болгон мүлктү кыянатчылык менен пайдалануу, алдамчылык же финансылык кыйынчылыктар сыяктуу мүмкүн болуучу көйгөйлөргө карата мамилеси жагында кам көрүүсүн чагылдырган принцип.
9. "Билүү зарыл" (Need to Know): банк кызматкерлеринин жана банктын кардарларынын маалыматтардан жана белгилүү бир милдеттерди аткаруу үчүн эң эле минималдуу деңгээлде зарыл болгон маалыматтарды иргөө боюнча ресурстардан пайдалануу мүмкүнчүлүгү жагында ыйгарым укуктарын чектеген принцип.
10. "Кош башкаруу" (Dual Control): процесстин бүтүндүүлүгүн сактоо жана системанын банктын ыйгарым укук чегерилген эки кызматкеринин белгилүү бир транзакциялар аяктаганга чейин кандайдыр бир аракеттерди өз алдынча көрүүсүн талап кылган функцияларынын бурмаланышына каршы күрөшүү принциби.
11. Пайдалануучуга системада конкреттүү бир аракеттерди аткаруу мүмкүнчүлүгүн анын кызматтык милдеттеринин негизинде сунуштоо (уруксат берүү) боюнча аракеттер, санкциялоо болуп саналат.
12. Идентификациялоо (identification): объекттерге/субъекттерге идентификаторду (өзгөчө аталышты) ыйгаруу же объекттин/субъекттин идентификаторун ыйгарылган идентификаторлордун тизмеси менен салыштыруу процесси.
13. Аутентификациялоо-ыйгарылган идентификаторду пайдалануу мүмкүнчүлүгүнүн объектке/субъектке таандык экендигин текшерүү же аныктыгын тастыктоо.
14. Авторизация (authorisation): белгилүү бир объектке/субъектке системада аткарган ролуна ылайык айрым бир аракеттерди ишке ашырууга укук чегерүү процесси.
15. Маалымат системасы – коюлган максатка жетүү үчүн маалыматтарды сактоо, иргөө жана берүүгө колдонулган каражаттардын, ыкмалардын жана персоналдын өз ара байланыштуу жыйындысы. Маалымат системасы маалыматтарды сактоонун, иштеп чыгуунун жана берүүнүн автоматташтырылган жана автоматташтырылган эмес процесстерин камтыйт.
16. Автоматташтырылган система (АС) – бул, персоналдан, анын ишин автоматташтыруучу каражаттардын топтомунан, белгиленген функцияларды аткаруунун маалымат технологиясын ишке ашыруучу ыкмалардан жана иш-чаралардан турган система.
17. Автоматташтырылган банктык система (АБС) – бул, банктын функцияларды аткаруу технологиясын ишке ашырган, автоматташтырылган система.
18. Автоматташтырылган системаны пайдалануучу – бул, автоматташтырылган системада катталган жана анын ресурстарын пайдалануучу субъект же объект (банктын кызматкерлери жана кардарлары).
19. Маалыматтык активдер – максаттарга жетүү көз карашынан алганда банк үчүн баалуу жана аларды иргөө, сактоо же берүү үчүн жарактуу болгон кайсы болбосун материалда сунушталган маалымат.
20. Маалыматтык активдерди пайдалануу мүмкүнчүлүгү – бул, маалыматтык активдер авторизацияланган пайдалануучуга зарыл болгон түрүндө жана жерде, ошондой эле зарыл болгон убакытта сунуштала турган, банктык маалымат коопсуздугунун өзгөчөлүгү.
21. Маалыматтык активдин бүтүндүгү – маалыматтык активдеринде туруктуулукту сактоо же өзгөрүүнү аныктоо жагында банктык маалымат коопсуздугунун өзгөчө сапаты.
22. Маалыматтык активдин купуялуулугу - бул, банктын ресурстарынын маалыматтык активдерди иргөө, сактоо жана өткөрүп берүүдөн турган абалы, булар маалыматтык активдер авторизацияланган пайдалануучуларга, системанын объекттерине же процесстерге жеткиликтүү болгондо гана жүзөгө ашырылат.
23. Маалымат коопсуздугу (МК) – бул, маалымат чөйрөсүндөгү коркунучтарга байланыштуу коопсуздук. Коргонуучулукка МКнын чогуу алгандагы сапаттары - маалыматтык активдердин жеткиликтүүлүгү, бүтүндүгү, купуялуулугу менен камсыз кылынган шартта жетишилет. МКнын сапаттарынан артыкчылыгы көрсөтүлгөн активдердин банктын кызыкчылыгы (максаттары) үчүн баалуулугу менен аныкталат.
24. Объект – маалыматтан пайдаланууга уруксат сураган, маалымат системасында аткарылуучу процесс.
25. Субъект – маалыматтан пайдаланууга уруксат сураган пайдалануучу.
26. Идентификатор –субъектин же пайдалануу объектисинин өзгөчө белгиси.
27. Токен - USB-брелок түрүндөгү жабдуу, ал пайдалануучуну авторизациялоо, электрондук кат алышууларды коргоо, маалыматтык ресурстарды аралыкта туруп коопсуз пайдалануу, ошондой эле кайсы болбосун өздүк маалыматтарды ишенимдүү сактоо үчүн колдонулат, ошондой эле ал "ачкыч" деп да аталат.
28. Смарт-карта - бул, микросхемалуу пластик карталары. Көпчүлүк учурларда смарт –карталар анын эс тутумундагы объекттердин түзүлүшүн жана аларды пайдалануу мүмкүнчүлүгүн контролдогон микропроцессорду жана операциялык системаны камтыйт. Мындан тышкары, смарт-карталар, эрежедегидей эле, криптографиялык эсептөөлөрдү жүргүзүү мүмкүнчүлүгүнө да ээ.
29. Пароль – бул, пайдалануучунун ыйгарым укуктарын тастыктоо үчүн арналган, купуя белгилердин топтому.
30. ПИН-конверт - ПИН кодду купуя сактоо үчүн арналган атайын конверт.
31. Спам- бул, коммерциялык, саясий жана башка жарнаманы же билдирүүнүн (маалыматтын) башка түрүн аларды алууну каалабаган жактарга массалык таркатуу
3. Кабыл алынган кыскартуулар
АБС Автоматташтырылган банктык система
АС Автоматташтырылган система
МК Маалымат коопсуздугу
МС Маалымат системасы
МТ Маалымат технологиялары
КР Кыргыз Республикасы
PCI DSS Payment Card Industry Data Security Standard
ПК Өздүк компьютер
НСД Санкцияланбаган пайдалануу
НРД Уруксат берилбеген аракеттер
ПИН Өздүк идентификациялык код
ПК Программалык камсыздоо
4. Маалымат коопсуздугу боюнча документтерге карата талаптар
32. Банк, маалымат коопсуздугун камсыз кылуу үчүн үч деңгээлдеги документацияларды иштеп чыгууга тийиш: саясат, коопсуздукту камсыз кылуу тажрыйбасын жөнгө салган документтер жана коопсуздукту камсыз кылуунун операциялык жол-жоболору боюнча документтер.
33. Саясат (жалпы саясат) документтеринде банктын жогорку жетекчилигинин банктын маалымат коопсуздугун камсыз кылуу боюнча, коопсуздукту камсыз кылуунун жалпы принциптерин жана максаттарын көрсөтүүчү чечимдери чагылдырылууга тийиш. Банкта маалымат коопсуздугунун саясатын ишке ашырууга жооп берген, ыйгарым укуктуу адам дайындалууга тийиш.
34. Коопсуздукту камсыз кылуу тажрыйбасын жөнгө салган документтерде (жеке саясаттар) жетекчилик тарабынан белгиленген максаттардын колдоого алынышы жана маалыматтык коопсуздук саясатынын талаптарын аткаруу үчүн зарыл болгон тиешелүү чараларды аныктаган, жалпы принциптердин андан-ары толукталышы чагылдырылууга тийиш. Тажрыйба документтеринин ыйгарым укуктары саясат документтерине негизделүүгө жана аларга ылайык келүүгө тийиш.
35. Коопсуздукту камсыз кылуунун операциялык жол-жоболору боюнча документтер зарыл болгон тажрыйбалардын жайылтылышын камсыз кылган, иш жүзүндөгү ыкмалардын техникалык деңгээлде берилишин камтуусу зарыл. Жол-жоболордун документтери уюштуруунун жалпы саясатына жана бул жол-жоболор негизденген иш жүзүндөгү ыкмаларга ылайык келүүлөрү тийиш.
36. Банк, маалымат коопсуздугун камсыз кылуу боюнча аткарылган иштерди тастыктаган документтердин (отчеттордун, актылардын, журналдардын) болушун жана алардын сакталышын камсыз кылууга жана жогоруда көрсөтүлгөн деңгээлдердеги маалымат коопсуздугун камсыз кылууга, тиешелүү документтердеги талаптарды ишке тапшырууда жетишилген натыйжаларды (аралык жана акыркы) чагылдырууга тийиш.
37. Банктын маалымат коопсуздугунун жеке саясаттарында чагылдырылуучу, маалымат коопсуздугун камсыз кылуу боюнча жалпы (негизги) талаптар төмөнкүдөй кыйла маанилүү тармактар үчүн калыптанууга тийиш:
- персоналга карата талаптар;
- ролдорду дайындоо жана бөлүштүрүү;
- АСнын иштөө стадиясында маалымат коопсуздугун камсыз кылуу;
- санкцияланбаган жана регламенттелбеген пайдалануудан коргоо;
- пайдалануу мүмкүнчүлүгүн тескөө жана АСта каттоо;
- вируска каршы коргоонуу;
- Интернет түйүнүнүн ресурстарын пайдалануу;
- коргоонуунун криптографиялык каражаттарын пайдалануу;
- банктык төлөм жана маалыматтык технологиялык процесстерди коргоо;
- иш үзгүлтүксүздүгүн камсыз кылуу;
- резервдик көчүрүү жана калыбына келтирүү;
- физикалык коргоо ж.б.
38. Маалымат коопсуздугуна карата талаптарда комплекстин алдына коюлган милдеттер, подсистемалар, деңгээлдер жана баскычтары боюнча иш үзгүлтүксүздүгү камсыз кылынууга тийиш.
39. Банк, маалымат коопсуздугун камсыз кылуу системасын башкаруу үчүн процесстик ыкманы пайдаланууга тийиш, ал төмөнкү процесстердин ишке ашырылышын өзүнө камтыйт: пландаштыруу, ишке ашыруу, текшерүү, өркүндөтүү.
5. Персоналга карата талаптар
40. Банк персоналы кызматкерлердин кеминде төмөнкүдөй категорияларынан турууга тийиш:
- Жогорку жетекчилик – бүтүндөй банк үчүн же анын айрым бөлүмдөрүнүн ишин контролдогон стратегиялык чечимдерди жана банктагы операциялык иштер жана финансылык маселелер боюнча акыркы чечимдерди кабыл алышкан адамдардын тобу;
- Менеджерлер – ишти өз бөлүмдөрүнүн чегинде уюштурган жана контролдогон, тактикалык чечимдерди кабыл алган адамдардын тобу;
- Коопсуздук персоналы – банктын ар кайсы участкаларында коопсуздуктун камсыз кылынышына жооп берген адамдардын тобу. Коопсуздук персоналы түздөн-түз жогорку жетекчиликке баш ийүүгө жана өз функцияларын аткаруу үчүн тиешелүү ыйгарым укуктарга ээ болууга тийиш;
- Ички аудит – бул, банктын МТ аудитин жана МК аудитин кошо алганда, ички аудиттин, анын ичинде консультанттарды тартуу менен банкта уюштурулушуна жана жүргүзүлүшүнө жооп берген бөлүмү;
- Иргөө жана техникалык колдоо персоналы – бул, банктын маалымат системасын иргөөгө, модернизациялоого жана анын иш жөндөмдүүлүгүнүн колдоого алынышына жана коопсуздук чараларынын техникалык жактан ишке ашырылышына жооп берген бөлүмү;
- Операциялык персонал – банктын маалымат системасында санкцияланган операцияларды ишке ашырган, ошондой эле банк кардарларынын тейленишине жооп берген адамдардын тобу.
41. Банкта төмөнкүлөрдү кошо алганда, ишке кабыл алуу жол-жоболору документ түрүндө аныкталууга тийиш:
- сунушталган документтердин, көрсөтүлгөн квалификациянын аныктыгын, биографиялык фактылардын тактыгын жана толуктугун текшерүү;
- кесипкөйлүк машыгууларын текшерүү жана кесипкөйлүк жактан жөндөмүнө баа берүү.
42. Банктын бардык кызматкерлери МКны камсыз кылуу боюнча талаптар менен таанышууга жана таламдар талашына жол бербөө боюнча талаптарды кошо алганда, купуялуулукту, сырды жана корпоративдик этиканын эрежелерин сактоо жөнүндө милдеттенмесин тастыктоого тийиш.
43. МКны камсыз кылуу жагында талаптарды аткаруу боюнча персоналдын милдеттери кызматтык нускоого киргизилүүсү зарыл.
44. Банк кызматкерлеринин МКны камсыз кылуу боюнча талаптарды аткарбагандыгы же талапка ылайыксыз аткаргандыгы кызматтык милдеттерин аткарбаган катары каралып, алар, жок эле дегенде тартип жазасына тартылууга тийиш.
6. Ролдорду дайындоо жана бөлүштрүү
45. Банкта кызматкерлердин МКны камсыз кылуу боюнча ролдорун кошо алганда, башка ролдору да документ түрүндө бекитилүүгө тийиш.
46. АСда кызматкерлердин ыйгарым укуктарынын так чектелишин камсыз кылган ролдор аныкталууга тийиш.
47. Банктар кызматкерлердин жана кардарлардын маалыматтык активдерден пайдалануу укугун бөлүштүрүүдө, төмөнкү принциптерге таянуулары зарыл:
- "өз кардарыңды бил";
- "өз кызматкериңди бил";
- "билүү зарыл";
- "кош башкаруу" төлөм системалары боюнча операциялар үчүн.
48. Ролдордун калыптанышы банктагы колдонуудагы бизнес-процесстердин негизинде жүзөгө ашырылууга жана ыйгарым укуктардын топтолушуна бөгөт коюу, ошондой эле маалыматтык активдердин жеткиликтүүлүк, бүтүндүүлүк же купуялуулук артыкчылыктарын жоготуусуна байланыштуу келип чыккан МК инциденттеринин тобокелдигин төмөндөтүү максатында жүргүзүлүүгө тийиш.
49. Ар бир роль үчүн алардын аткарылышына жооп берген адам дайындалууга тийиш.
50. Кызматкерлердин жоопкерчилиги кызматтык нускоолордо чагылдырылуусу зарыл.
7. Автоматташтырылган системалардын иштөө ыргагы
51. Банк автоматташтырылган системаларга аларды иштөө ыргагынын бардык баскычында (долбоорлоо, колдонууга киргизүү, тестирлөө, кабыл алуу, пайдалануу, коштоп жүрүү, модернизациялоо, пайдалануудан алып салуу документ жүзүндө таризделүүгө жана жогорку жетекчилик тарабынан бекитилүүгө тийиш) комплекстик коргоону камсыз кылууга тийиш.
52. Банк, лицензияланган программалык камсыздоолорду же болбосо жогорку жетекчилик тарабынан бекитилген документтердин толук топтому (техникалык тапшырма, сыноолордун программасы жана ыкмасы, сыноолордун актысы жана журналы, өндүрүштүк пайдаланууга киргизүү актысы) болгон шартта, жеке иштеп чыккан программалык камсыздоону гана колдонуусу абзел.
8. Пайдалануу мүмкүнчүлүгүн жөнгө салуу жана каттоо
53. Банкта маалыматтык активдердин (АС жана алардын түрлөрүнүн) тизмеси жана кызматкерлер менен кардарлардын бул активдерден пайдалануу укугу документ түрүндө аныкталууга тийиш.
54. Банкта пайдалануу мүмкүнчүлүгүн сунуштоо учурунда пайдалануучуларды санкциялоо, идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылуусу зарыл.
55. Пайдалануу мүмкүнчүлүгүн жөнгө салуу жол-жоболору "өзүн-өзү санкциялоо" мүмкүнчүлүгүн жокко чыгарууга тийиш.
56. Пайдалануучуга идентификаторду берүүнүн алдында анын инсандыгы тастыкталууга тийиш. Система пайдалануучуга идентификатор берген аткаруучуну каттап коюусу зарыл.
57. Системада пайдалануучуларды аутентификациялоо, аутентификациялоонун төмөнкүдөй бир же бир нече механизмдеринин негизинде жүзөгө ашырылуусу абзел:
- пайдалануучу гана биле турган нерсе (пароль);
- пайдалануучуга гана маалым болгон (смарт-карта, токен);
- пайдалануучунун кандайдыр бир физикалык мүнөздөмөсү (манжаларынын изи (отпечаткасы) же башка биометрикалык маалыматтар).
58. Пайдалануучуларды каттоо жана пайдалануу укуктарынын өзгөрүүсү боюнча жагдайлар системанын каттоо журналында чагылдырылууга тийиш.
59. Банкта санкцияланбаган пайдалануудан, уруксат берилбеген аракеттерден, маалыматтын бүтүндүүлүгүнүн бузулушунан коргоого багытталган, банктын кардарларын жана кызматкерлерин каттоо, идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл болгон коргоо чаралары колдонулуусу зарыл. Мындай маалыматка карата санкцияланбаган пайдалануу жана уруксат берилбеген аракеттерди ишке ашыруунун бардык аракеттери жагдайлар журналында катталууга тийиш.
60. Банктын автоматташтырылган системадан пайдалануу мүмкүнчүлүгүнө ээ кызматкерлери ишинен бошогон же алардын кызматтык милдеттери өзгөргөн шартта, алардын пайдаланууга укуктары жана пароль өзгөрүүгө (блок коюлууга) тийиш.
61. Автоматташтырылган системанын бардык пайдалануучуларынын иши өзгөчө эсепке алуу жазуулары аркылуу жүзөгө ашырылууга тийиш.
9. Ишке ашырылган операциялардын жагдайларын каттоо журналын жүргүзүү
62. Банк, автоматташтырылган системада маалымат коопсуздугуна аудит жүргүзүү жана жагдайлардын жүрүшүн калыбына келтирүү, ошондой эле отчеттуулукту жүргүзүү каражаты катары, жүзөгө ашырылган иштердин жагдайларын каттоо журналынын жүргүзүлүшүн камсыз кылуусу зарыл.
63. Жагдайларды каттоо журналындагы маалыматтарга күн сайын АС оператору тарабынан мониторинг жана иликтөөлөр жүргүзүлүүгө жана коопсуздукка байланыштуу болгон бардык стандарттык эмес жагдайлар изилденүүгө тийиш.
64. Жагдайларды каттоо журналындагы маалыматтар, электрондук түрдө, тиешелүү АСда иштелип чыккан маалыматтарды сактоо мөөнөтүнө барабар мөөнөткө, бирок 2 жылдан кем эмес мезгилге сакталууга тийиш.
65. Жагдайларды каттоо журналындагы маалыматтар капыстан же атайылап өчүрүп салуулардан, модификациялоолордон же бурмалоолордон корголуусу зарыл.
10. Автоматташтырылган системада (анын ичинде SWIFT) төлөмдөрдү өткөрүү жана эсептешүүлөрдү жүргүзүү процесси
66. Банк, төлөмдөрдү өткөрүү жана эсептешүүлөрдү (өздүк жана кардардык) жүргүзүү процессин жүзөгө ашырууда МКнын төмөнкү талаптарынын сакталышын камсыз кылууга тийиш:
- Кыргыз Республикасынын аймагында автоматташтырылган системада төлөм маалыматтарын иргөө, эсепке алуу жана сактоо;
- төлөм маалыматтарын бурмалоолордон, башка дарекке жөнөтүүдөн, сакцияланбаган жок кылуулардан, электрондук төлөм билдирүүлөрүн жалган авторизациялоодон коргоо;
- банк кызматкеринин кызматтык милдеттенмелерин аткаруу үчүн зарыл болгон, төлөмдөрдүн өткөрүлүшүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыз кылган, автоматташтырылган системанын ресурстарынан гана пайдалануусу;
- төлөм маалыматтарын даярдоо, иргөө, өткөрүп берүү жана сактоо процесстеринин аткарылышын контролдоо (мониторинг жүргүзүү);
- кириш электрондук төлөм билдирүүлөрүн аутентификациялоо;
- автоматташтырылган жумуш орундарын (иш станцияларды жана серверлерди), электрондук төлөм билдирүүлөрү менен алмашуунун катышуучуларын (филиалдар жана банктардын бөлүмдөрү сыяктуу эле, кардарлар үчүн да) эки тараптуу аутентификациялоо;
- Авторизацияланган банктык системада төлөмдөрдү үзгүлтүксүз иргөө принцибин сактоо (операцияларды өтө тез ылдамдыкта жүргүзүү жана кетирилген каталарды четтетүү максатында, бүтүндөй технологиялык иш ыргагы учурунда кол эмгегинин катышуусуз келип түшкөн финансылык маалыматтардын бүтүндөй маалыматтык агымынын үзгүлтүксүз иргелишин камсыз кылуу);
- кара ниет аракеттерди (транзакцияларды коштоп киргизип жиберүү, такташтыруу, авторизациялоо, жүргүзүлгөн операциялардын суммасына жараша чектөөлөрдү белгилөө ж.б.) (ыйгарым укук чегерилген кызматкерлер сыяктуу эле, кардарлар тарабынан да) жүзөгө ашыруу мүмкүнчүлүгүнө бөгөт коюуга багытталган контролдукту ишке ашыруу;
- атайылап (капысынан) бузууга (бурмалоого) жол берилген же эсептөө каражат техникасы жараксыз болуп калган шартта, төлөм маалыматын калыбына келтирүү;
- банктар аралык эсептешүүлөрдү жүзөгө ашырууда чыгыш электрондук төлөм билдирүүлөрүн тиешелүү кириш жана иргелген электрондук төлөм билдирүүлөрү менен салыштырып тактоо;
- алмаштыруучу катышуучуларга электрондук төлөм билдирүүлөрүн жеткирүү.
67. Банктын кызматкерлери, анын ичинде автоматташтырылган системанын администраторлору төлөм маалыматын контролдуксуз түзүү, авторизациялоо, жок кылуу жана өзгөртүү, ошондой эле банктык эсептердин абалынын өзгөрүүсү боюнча санкцияланбаган операцияларды жүргүзүү үчүн ыйгарым укукка ээ болуулары тийиш.
68. Төлөм маалыматын иргөөнү жана иргөөнүн натыйжаларына контролдук (текшерүү) жүргүзүүнү ар башка кызматкерлер ишке ашыруусу зарыл.
69. Төлөмдөрдүн өткөрүлүшүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыз кылган система үчүн персоналдын негизги курамы жана алардын ишин кайталоочу курам алдын-ала каралууга тийиш. Негизги курамда кайсы бир адис жок болуп калган шартта, анын функцияларын кайталоочу курамдын адиси аткарууга жол берилет.
70. Төлөмдөрдүн өткөрүлүшүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыз кылган техникалык инфраструктура негизги жана резервдик байланыш каналдарын кошо алганда, негизги жана автоматташтырылган системаны (аппараттык-программдык комплекс) да камтуусу зарыл.
71. Банкта системанын ошол өтүүгө жетекчиликтин санкциясын алууну камтыган резервдик АСга өтүү (кошулуу ) боюнча жол-жобо караштырылууга тийиш.
72. Банкта АСга ээлик кылуучулар (банктын кызмат адамдары) жана алардын жоопкерчиликтери, анын ичинде банктын башкы бухгалтеринин жоопкерчилиги аныкталууга тийиш.
73. Банк, банктык автоматташтырылган системада бухгалтердик эсепке алуу боюнча маалыматтардын бирдиктүү борборлоштурулуп иргелишин, эсепке алынышын жана сакталышын камсыз кылуусу зарыл.
74. Банкта колдонулуучу банктык автоматташтырылган система, анын ичинде аралыкта туруп банктык тейлөө системасы, төмөнкүлөрдү каттоо мүмкүнчүлүгүн камсыз кылууга тийиш:
- кардардын эсептерин ачуу, модификациялоо жана жабуу боюнча операцияларды кошо алганда, кардардын эсептери жөнүндө маалыматтар менен операцияларды;
- финансылык кесепеттер орун алуу менен жүргүзүлгөн транзакциялар;
- пайдалануучулардын укуктарын белгилөө жана бөлүштүрүүгө байланыштуу операциялар;
75. Аралыкта туруп банктык тейлөө системасы, кардар, жүргүзгөн операцияларынан жана транзакциядарынан баш тарта албай тургандай коргоо чараларын жөнгө салуусу зарыл.
76. Банкта кызматкерлерди жана кардарларды идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл болгон маалыматтар тескери чыгып калган (компрометацияланган) учурда, алардын аракеттерин аныктай турган жол-жоболорду иштеп чыгууга жана алар менен кызматкерлерди жана кардарларды тааныштырууга тийиш.
77. Аралыкта туруп банктык тейлөө системасында кардарларга алардын атынан ишке ашырылган бардык операциялар тууралуу маалымдоо (регулярдуу, үзгүлтүксүз жана талап боюнча) механизми жөнгө салынуусу зарыл.
78. Аралыкта туруп банктык тейлөө системасында төмөнкү чаралар каралууга тийиш:
- авторизацияланган кардарлар тарабынан күн мурун ниеттенбеген же күтүүсүз операциялардын же транзакиялардын аткарылышы ыктымалдуулугун төмөндөтүү;
- операциялардын же транзакциялардын аткарылышынан улам, орун алышы ыктымал болгон тобокелдиктер жөнүндө маалыматты кардарларга жеткирүү.
79. Банктын аралыкта туруп кардарларды тейлөө системасы операциялардын же транзакциялардын аткарылышынын жол-жоболорун чагылдырган, кеңири берилген нускоолор менен камсыз болуулары зарыл.
11. Банктык төлөм карттар менен эсептешүүлөр системасы
80. Банк, банктык төлөм карттарын чыгарууда жана тейлөөдө ушул Жобонун бардык пунктарынын аткарылышын камсыз кылууга тийиш.
81. Банкта эл аралык төлөм карттарын пайдаланууда PCI DSS коопсуздук стандарттарынын тиешелүү талаптары аткарылууга тийиш.
82. Банк төлөм карттары менен эсептешүүлөр системасын пайдаланууда маалымат системаларынын коопсуздугу боюнча төмөнкүдөй талаптардын аткарылышын камсыз кылуусу зарыл.
- төлөм карттарына ээлик кылуучулардын маалыматтарын түзүү жана иштеп чыгуу үчүн колдоого алынган түйүндү коргоо максатында чараларды аныктоо жана так сактоо.
- ресурстук түйүндүн жана төлөм карттарындагы маалыматтардын кандай болбосун пайдаланылышына көз салуу жана контролдоо;
- программалык камсыздоо жана жабдуулар үчүн өндүрүшчүлөр тарабынан белгиленген коопсуздук багыттамаларын жана паролдорду пайдаланууга тыюу салуу;
- сактоо учурунда төлөм карттарына ээлик кылуучулардын маалыматтарынын корголушун камсыз кылуу;
- жалпы колдонуудагы түйүндөр боюнча берилүүчү төлөм карттарындагы маалыматтардын шифр менен берилишин камсыз кылуу;
- вируска каршы программалык камсыздоолорду пайдалануу жана үзгүлтүксүз жаңылап туруу;
- системаларды жана тиркемелерди иштеп чыгууда жана колдоодо коопсуздукту камсыз кылуу;
- кызматтык зарылчылыктан улам, төлөм карттарындагы маалыматтардан пайдаланууну чектөө;
- эсептөө ресурстарынан пайдалануу мүмкүнчүлүгүнө ээ ар бир адамга өзгөчө идентификаторду белгилөө;
- банктык төлөм карттарына ээлик кылуучулардын маалыматтарды пайдалануусун чектөө жана пайдалануу мүмкүнчүлүгүн ыйгарым укук чегерилген кызматкерлерге гана сунуштоо;
- коопсуздукту камсыз кылуу системаларын жана процесстерин тесттен үзгүлтүксүз өткөрүп туруу;
- кызматкерлердин жана контрагенттердин ишин жөнгө салган, МК саясатынын актуалдуулугу.
83. Банк, төлөм карттары менен иштөө учурунда төмөндө аталган коргоо чараларын колдонууга тийиш:
- карттарды персоналдарга ыйгарып берүү ПИН-конверттерди чыгаруу функциясынан ажыратылышы жана көрсөтүлгөн операцияларды аткаруу үчүн жооп берген ар башка кызматкерлердин дайындалышы зарыл;
- ПИН-конверттерди ачууда анын үстүңкү бланкы ПИН –конверттердин ачылышына жооп берген эки ыйгарым укуктуу кызматкердин катышуусунда жок кылынууга тийиш;
- карттарды персоналдарга ыйгарып берүү персоналдаштырууга жооп берген эки ыйгарым укуктуу кызматкердин катышуусунда жүргүзүлүүгө тийиш;
- банкоматтарды, өзүн-өзү тейлөөнүн автоматташтырылган терминалдарын жана соода терминалдарын вандализмден жана кара ниеттик аракеттерден коргоо боюнча чаралар каралууга тийиш;
- ПИН кодду киргизүү аракетинин саны чектелүү (үчтөн ашпаган) болууга, андан ашкандан кийин карта блокко түшүү менен алынып коюлууга жана ээсинин жеке өзүнө гана кайтарылып берилүүгө тийиш;
- операциялардын санына жана акча каражаттарынын суммасына чектөөлөр бир эсеп үчүн бир күн ичинде белгиленүүсү зарыл.
12. Банктык маалыматтык процесс
84. Ар бир АС үчүн тиешелүү буйруу менен маалымат коопсуздугунун администратору дайындалууга тийиш. Маалымат коопсуздугунун бир администраторун бир нече АСка дайындоого, ошондой эле көрсөтүлгөн функцияларды башка милдеттенмелер менен айкалыштырып аткарууга жол берилет.
85. Банктык технологиялык процессте колдонулуучу алардын программалык жана/же аппараттык бөлүктөрүн кошо алганда, эсептөө техникалык каражаттарын тейлөө жол-жоболору жана персонал аныктууга тийиш.
86. Программалык-техникалык каражаттар тарабынан ишке ашырылган банктык маалыматтын маалыматтык коопсуздугун камсыз кылуу боюнча функцияларды (талаптарды) мезгил-мезгили менен контролдоп туруу жол-жоболору жүзөгө ашырылусу зарыл.
13. Интернет түйүнүнүн ресурстарын пайдалануу
87. Банкта анын жетекчилиги тарабынан Интернет түйүнүнөн пайдалануу максаттары так аныкталууга жана бекитилүүгө тийиш.
88. Белгиленбеген максаттарга Интернет түйүнүн пайдаланууга тыюу салынган.
89. Банкта Интернет түйүнүн кошуу жана пайдалануу тартиби документ түрүндө аныкталууга тийиш, ал өзүнө маалымат коопсуздугу үчүн жооп берген бөлүм тарабынан жүргүзүлгөн контролдукту да камтыйт.
90. Кардарларды аралыкта туруп банктык тейлөөнү жүзөгө ашырган банкта, Интернет түйүнү менен өз ара иштөөдө маалымат коопсузудугунун бузулушу тобокелдигинин артышына байланыштуу, маалыматтардын белгиленген форматта жана конкреттүү технология үчүн гана кабыл алынышын жана берилишин камсыз кылган, маалыматты коргоо каражаттары колдонулууга тийиш.
91. Аралыкта туруп банктык тейлөөнү жүзөгө ашырууда, иштөө сеансынын мезгилинде авторизацияланган кардардын ордуна кара ниеттердин болушу мүмкүнчүлүгүнө бөгөт коюучу коргоо чаралары колдонулуусу абзел.
92. Кардарлардын бардык операциялары аралыкта туруп банктык тейлөө системасы менен иштөө сеансынын бүтүндөй мезгилинде, идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылгандан кийин гана аткарылууга тийиш.
93. Интернет түйүнүнүн жардамы менен почта аркылуу алмашуу коргоо чараларын жана спамдарды жайылтууга каршы аракеттерди пайдалануу менен жүзөгө ашырылуусу зарыл. Кошулуунун бузулушу же ажырашы учурунда көрсөтүлгөн жол-жоболор кайталап ишке ашырылууга тийиш.
94. Интернет түйүнү менен иштөөдө хакерлердин чабуулуна каршы коргоо чаралары колдонулууга тийиш.
14. Вируска каршы коргонуу
95. Банктагы бардык автоматташтырылган иш орундарында жана АС серверлеринде, эгерде технологиялык процессте башкасы каралбаса, вируска каршы коргоо каражаттары колдонулууга тийиш.
96. Банкта, расмий түрдө сатылып алынган (лицензиясы бар) вируска каршы коргоо каражаттары гана колдонулушу зарыл. Бул каражаттарды автоматташтырылган иш орундарында жана АС серверлеринде орнотуу жана өзүгүлтүксүз жаңыртып туруу, жоопкерчиликтүү администраторлор тарабынан жүзөгө ашырылууга тийиш.
97. Банкта вируска каршы коргоо каражаттары менен камсыз кылууда банктык маалымат процесстеринин өзгөчөлүктөрүн эске алган, вирустан коргоо боюнча нускоолор иштелип чыгып, колдонууга берилүүгө тийиш.
98. Банкта электрондук почта аркылуу алмашуу трафигин вируска каршы фильтрлөө жүзөгө ашырылуусу зарыл.
99. Орнотулуучу же өзгөртүлүүчү программалык камсыздоо вирустун жокутугуна алдын-ала текшерилүүгө тийиш.
100. Компьютердик вирус табылган шартта, аны зыянсыздандыруу жана иш ордунун ишке жөндөмдүүлүгүн калыбына келтирүү боюнча чаралар көрүлүүсү абзел.
101. Вируска каршы каражаттарды өчүрүп салуу же жаңыртпай коюуга жол берилбейт. Вируска каршы каражаттарды орнотуу жана жаңыртуу жоопкерчиликтүү кызматкерлер тарабынан контролдонуп турууга тийиш.
102. Вирустан коргоо жол-жоболорунун талаптарынын аткарылышына жоопкерчилик банктын өздүк компьютерден жана/же АСдан пайдалануу мүмкүнчүлүгүнө ээ ар бир кызматкерине жүктөлүүсү зарыл.
15. Криптографиялык коргоонуу каражаттарын пайдалануу
103. Банкта маалыматтарды коргоодо криптографиялык каражаттарды пайдалануу коопсуздугу камсыз кылынууга тийиш.
104. Банкта колдонулуучу криптографиялык коргоо каражаттары:
- негизги системанын сүрөттөлүшүн, аны менен иштөө эрежелерин кошо алганда, аларды пайдалануу боюнча документтердин толук топтому менен иштеп чыгуучулар тарабынан берилүүгө тийиш.
- МК администратору тарабынан пайдалануучунун негизги маалымат менен иштөөнүн бардык баскычтарындагы аракеттерине контролдук жүргүзүүсүн болжолдогон, ачкычтарды пайдалануунун так регламенти болуусу зарыл.
- ачкычтарды пайдалануу регламентине ылайык, штаттык пайдалануучулар жок болгон же автоматташтырылган банктык системанын штаттан тышкаркы иш ыргагына өтүү шартында, ачкычтарды жокко чыгаруу жол-жобосунун аткарылышын камсыз кылуу;
16. Резервдик көчүрүү жана калыбына келтирүү
105. Банкта төлөм жана башка банктык маалыматар үчүн, ошондой эле бул маалыматтарды иштеп чыгуу үчүн зарыл болгон системдүү жана прикладдык программалык камсыздоолор үчүн резервдик көчүрмөлөр түзүлүүгө тийиш.
106. Төмөнкүлөр маалымат алып жүрүүчүлөр катары колдонулууга тийиш: катуу диск, магниттик тасмалар, жазуучу оптикалык санарип дисктер ж.б.
107. Бардык резервдик көчүрмөлөрдө маркер менен сакталуучу маалымат, эсептик номери жана көчүрмө ишке ашырылган күн көрсөтүлүүгө тийиш.
108. Резервдик көчүрмөлөр (же алардын көчүрмөлөрү) санкцияланбаган пайдалануудан, электромагниттик нурлардан, жылуулук таасирлеринен, механикалык таасирлерден корголгон, ошондой эле ички температуранын жана абанын нымдуулугунун тиешелүү деңгээлде сакталышы камсыз кылынган обочолонгон жайларда сакталуулары тийиш.
109. Резервдик көчүрмөлөрдүн архивиндеги маалыматтарды мезгил-мезгили менен тесттен өткөрүп туруу жана калыбына келтирип туруу талап кылынат.
17. Персоналдык маалыматтарды коргоо
110. Банкта 2008-жылдын 14-апрелиндеги №58 "Персоналдык мүнөздөгү маалыматтар жөнүндө" мыйзамына ылайык, персоналдык маалыматтарды коргоо чаралары каралууга жана персоналдык маалыматтарды иштеп чыгуу тартиби аныкталууга тийиш.
18. Жайларга карата талаптар жана аларды пайдалануу тартиби
111. Банк, Кыргыз Республикасынын банктарына жана башка финансы-кредит мекемелерине карата коюлуучу талаптарга ылайык, жайлардын техникалык жактан чыңдалышын камсыз кылууга тийиш.
112. Маалымат системаларын жабдуу үчүн жайлар ошол жабдууларды пайдалануунун шарттарына ылайык келүүсү зарыл.
113. Банк кызматкерлеринин маалыматтык активдер жайгаштырылган жайларга кирүү тартиби банктын ички документтеринде регламенттелүүгө, ал эми алардын аткарылышы контролдукка алынууга тийиш.
114. Эгерде, банк банктык карттарды өз алдынча чыгарган болсо, анда банк, банктык карттарды персоналдаштыруу боюнча аппараттык-программалык комплекстерди орнотон жай, төмөнкүдөй негизги талаптарга жооп берүүгө тийиш:
- обочолонуп бөлүнгөн (баары эле кирүүгө болбой турган, терезесиз);
- ишенимдүү автоматтык кулпулар менен жабдылууга;
- башка адамдардын кирүүсүнө жол бербеген жана бөлмө ичиндеги корголуучу каражаттардын сакталышын камсыз кылган өрт жана коргоо сигнализациялары, байкоо каражаттары менен жабдылууга;
- даярдоо үчүн карттарды жана ПИН-конверттерди сактоо үчүн сейфтер менен жабдылган жок эле дегенде эки жайдын болушу (карттарды персоналдаштыруу жана ПИН-конверттерди чыгаруу үчүн),
- ПИН-конверттерди чыгаруу үчүн жайлар бузулган бланкаларды жана ПИН-конверттерди жок кылуу үчүн шредер менен жабдылууга.