Долбоор
«Кыргыз Республикасынын коммерциялык банктарында
маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө»
жобону бекитүү тууралуу
Кыргыз Республикасынын «Кыргыз Республикасынын Улуттук банкы, банктар жана банк иштери жөнүндө» мыйзамынын 20 жана 68-беренелерине ылайык, Кыргыз Республикасынын Улуттук банк Башкармасы токтом кылат:
1. «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобо бекитилсин (кошо тиркелет).
2. Төмөнкү ченемдик укуктук актылар күчүн жоготкон катары таанылсын:
- Улуттук банк Башкармасынын 2011-жылдын 14-сентябрындагы № 52/12 токтому менен бекитилген «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобо;
- Улуттук банк Башкармасынын 2012-жылдын 16-сентябрындагы № 43/1 «Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына өзгөртүүлөрдү жана толуктоолорду киргизүү жөнүндө» токтомуна карата тиркеменин 38-пункту;
- Улуттук банк Башкармасынын 2017-жылдын 15-июнундагы №2017-П-12/25-12-(НПА) «Улуттук банктын айрым ченемдик укуктук актыларына өзгөртүүлөрдү жана толуктоолорду киргизүү жана айрым ченемдик укуктук актыларын күчүн жоготкон катары таануу жөнүндө» токтомунун 1-пунктунун 12-подпункту.
3. Токтом расмий жарыяланган күндөн тартып он беш күн өткөндөн кийин күчүнө кирет.
4. Юридика башкармалыгы:
- ушул токтомдун Улуттук банктын расмий интернет-сайтында жарыяланышын камсыз кылсын;
- расмий жарыялангандан кийин токтомду Кыргыз Республикасынын ченемдик укуктук актыларынын мамлекеттик реестринде чагылдырылышы үчүн Кыргыз Республикасынын Юстиция министирлигине жөнөтсүн.
5. Банктарды көзөмөлдөө методологиясы жана лицензиялоо башкармалыгы ушул токтом менен «Кыргызстан банктарынын союзу» юридикалык жактар бирикмесин, коммерциялык банктарды, Кыргыз Республикасынын мамлекеттик өнүктүрүү банкын, «Кредиттик союздардын каржы компаниясы» ААКты, Улуттук банктын тиешелүү түзүмдүк бөлүмдөрүн, областтык башкармалыктарын жана Баткен областындагы өкүлчүлүгүн тааныштырсын.
6. Токтомдун аткарылышын контролдоо Коопсуздук жана маалыматтык коргонуу башкармалыгынын ишин тескөөгө алган Кыргыз Республикасынын Улуттук банк Башкармасынын мүчөсүнө жүктөлсүн.
Кыргыз Республикасынын
Улуттук банк Башкармасынын
2021-жылдын «__» __________
№_________________________
токтомуна карата тиркеме
Кыргыз Республикасынын коммерциялык банктарында
маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө
ЖОБО
1. Жалпы жоболор
1. Кыргыз Республикасынын коммерциялык банктары үчүн Кыргыз Республикасынын банк тутумунун маалымат коопсуздугунун деңгээлин жогорулатууга, ошондой эле кара ниеттердин аракеттеринен, авариялык бузулуулардан жана персоналдын жаңылыштыгынан улам келип чыгышы мүмкүн болгон жоготууларды минималдаштырууга багытталган бирдиктүү милдеттүү талаптарды белгилөө ушул Жобонун максаты болуп саналат.
2. Ушул Жобонун максатында төмөнкү аныктамалар колдонулат:
Авторизация – бул, белгилүү бир объектке/субъектке системада аткарган ролуна ылайык айрым бир аракеттерди ишке ашырууга укук чегерүү процесси;
Автоматташтырылган система – бул, персоналдан, анын ишин автоматташтыруучу каражаттардын топтомунан, белгиленген функцияларды аткаруунун маалымат технологиясын ишке ашыруучу ыкмалардан жана иш-чаралардан турган система;
Автоматташтырылган банктык система – бул, банктын функцияларын аткаруу технологиясын ишке ашырган автоматташтырылган система;
Аутентификациялоо – ыйгарылган идентификаторду пайдалануу мүмкүнчүлүгүнүн объектке/субъектке таандык экендигин текшерүү же аныктыгын тастыктоо;
Маалыматтык активдерди пайдалануу мүмкүнчүлүгү – бул, маалыматтык активдер авторизацияланган пайдалануучуга зарыл болгон түрдө жана жерде, ошондой эле зарыл болгон убакытта сунуштала турган, банктык маалымат коопсуздугунун өзгөчөлүгү;
Идентификатор – субъектин же пайдалануу объектисинин өзгөчө белгиси;
Идентификациялоо – объекттерге/субъекттерге идентификаторду (өзгөчө аталышты) ыйгаруу же объекттин/субъекттин идентификаторун ыйгарылган идентификаторлордун тизмеси менен салыштыруу процесси;
Маалымат коопсуздугу – бул, маалымат чөйрөсүндөгү коркунучтарга байланыштуу коопсуздук. Коргонуучулукка маалымат коопсуздугунун чогуу алгандагы сапаттары – маалыматтык активдердин жеткиликтүүлүгү, бүтүндүгү, купуялуулугу менен камсыз кылынган шартта жетишилет. Маалымат коопсуздугунун сапаттарынын артыкчылыгы көрсөтүлгөн активдердин банктын кызыкчылыгы (максаттары) үчүн баалуулугу менен аныкталат;
Маалымат системасы – коюлган максатка жетүү үчүн маалыматтарды сактоо, иргөө жана берүүгө колдонулган каражаттардын, ыкмалардын жана персоналдын өз ара байланыштуу жыйындысы. Маалымат системасы маалыматтарды сактоонун, иштеп чыгуунун жана берүүнүн автоматташтырылган жана автоматташтырылбаган процесстерин камтыйт;
Маалыматтык активдер - максаттарга жетүү көз карашынан алганда банк үчүн баалуу жана аларды иргөө, сактоо же берүү үчүн жарактуу болгон кайсы болбосун материалда сунушталган маалымат;
Маалыматтык активдин купуялуулугу – бул, банктын ресурстарынын маалыматтык активдерди иргөө, сактоо жана өткөрүп берүүдөн турган абалы, булар маалыматтык активдер авторизацияланган пайдалануучуларга, системанын объекттерине же процесстерге жеткиликтүү болгондо гана жүзөгө ашырылат;
Объект – маалыматтан пайдаланууга уруксат сураган, маалымат системасында аткарылуучу процесс;
Пароль – бул, пайдалануучунун ыйгарым укуктарын тастыктоо үчүн арналган, купуя белгилердин топтому;
ПИН-конверт – ПИН-кодду купуя сактоо үчүн атайын конверт;
Автоматташтырылган системаны пайдалануучу – бул, автоматташтырылган системада катталган жана анын ресурстарын пайдалануучу субъект же объект (банктын кызматкерлери жана кардарлары);
Санкциялоо – бул, пайдалануучуга системада белгилүү бир аракеттерди аткаруу мүмкүнчүлүгүн анын кызматтык милдеттеринин негизинде сунуштоо (уруксат берүү) боюнча аракет. Бир да пайдалануучуга кандайдыр бир маалыматты же тиркемени атайын санкциясыз пайдаланууга уруксат берилбейт;
Смарт-карта – бул, микросхемалуу пластик карта. Көпчүлүк учурларда смарт-карта анын эс тутумундагы объекттердин түзүлүшүн жана аларды пайдалануу мүмкүнчүлүгүн контролдогон микропроцессорду жана операциялык системаны камтыйт. Мындан тышкары, смарт-карта, эрежедегидей эле, криптографиялык эсептөөлөрдү жүргүзүү мүмкүнчүлүгүнө да ээ;
Субъект – маалыматтан пайдаланууга уруксат сураган пайдалануучу;
Токен («ачкыч») – USB-брелок түрүндөгү жабдуу, ал пайдалануучуну авторизациялоо, электрондук кат алышууларды коргоо, маалыматтык ресурстарды аралыкта туруп коопсуз пайдалануу, ошондой эле кайсы болбосун өздүк маалыматтарды ишенимдүү сактоо үчүн колдонулат.
Маалыматтык активдин бүтүндүгү – маалыматтык активдеринде туруктуулукту сактоо же өзгөрүүнү аныктоо жагында банктык маалымат коопсуздугунун өзгөчө сапаты.
3. Маалымат коопсуздугун тескөө системасы банктын маалымат коопсуздугун иштеп чыгуу, жайылтуу, иштетүү, ага мониторинг, талдап-иликтөө жүргүзүү, колдоо жана жакшыртуу үчүн бизнес-тобокелдиктерге баа берүү ыкмаларын колдонууга негизделген жалпы тескөө системасынын бир бөлүгү болуп саналат. Маалымат коопсуздугун тескөө системасы ISO/IEC 27001 ылайык түзүлүшү мүмкүн.
4. Кыргыз Республикасынын Улуттук банкы (мындан ары – Улуттук банк) банктар тарабынан ушул Жободо белгиленген талаптардын сакталышын текшерүүгө укуктуу.
5. Банк жетекчилиги банктын жалпы маалымат системасынын пайдаланылышы жана иштеши үчүн толук жоопкерчилик тартат.
6. Маалымат коопсуздугун камсыз кылуу системасын тескөөдө банк пландаштыруу, жүзөгө ашыруу, текшерүү, өркүндөтүү сыяктуу процесстерди үзгүлтүксүз колдонууга тийиш.
7. Маалымат коопсуздугу боюнча талаптар маалымат системаларын колдонуу циклинин бардык баскычтарында өз ара байланыштуу жана үзгүлтүксүз аткарылууга тийиш.
2. Маалымат коопсуздугу боюнча документтерге талаптар
8. Маалымат коопсуздугун камсыздоо үчүн банкта документтердин үч деңгээли иштелип чыгууга тийиш:
- жалпы саясат;
- жеке саясат (маалымат коопсуздугун камсыз кылуу тажрыйбасын жөнгө салуучу документтер);
- маалымат коопсуздугун камсыз кылуу боюнча операциялык жол-жоболор.
9. Жалпы саясатта банктын жетекчилигинин банктын маалымат коопсуздугун камсыз кылуу ыкмалары, коопсуздукту камсыз кылуунун жалпы принциптери жана максаттары, маалымат коопсуздугун камсыз кылуу максатына жетүү үчүн чаралар, методдор системасы чагылдырылууга тийиш. Банкта маалымат коопсуздугу боюнча саясатты ишке ашырууга жооптуу, ыйгарым укуктуу адам дайындалууга тийиш.
10. Коопсуздукту камсыздоо тажрыйбасын жөнгө салган жеке саясатта жетекчилик тарабынан белгиленген максаттардын колдоого алынышы жана маалымат коопсуздугу боюнча саясатта каралган талаптарды аткаруу үчүн зарыл болгон кылдат чаралар аныкталган жалпы принциптер кеңири чагылдырылууга тийиш.
11. Банктын маалымат коопсуздугу боюнча жеке саясаттарында чагылдырылуучу маалымат коопсуздугун камсыз кылуу боюнча талаптар төмөнкүдөй кыйла маанилүү тармактар үчүн аныкталууга тийиш:
- персоналга карата талаптар;
- ролдорду дайындоо, бөлүштүрүү жана маалымат системасында каттоо;
- маалымат коопсуздугунун тобокелдиктерине баа берүү;
- автоматташтырылган системанын иштөө циклинин стадияларында маалымат коопсуздугун камсыз кылуу;
- санкцияланбаган жана регламенттелбеген пайдалануудан коргоо, пайдалануу мүмкүнчүлүгүн жана автоматташтырылган системада, телекоммуникациялык жабдууда, автоматтык телефон станцияларында ж.б. бардык иш-аракеттерди каттоону тескөө;
- вируска каршы коргонуу;
- интернет түйүнүнүн ресурстарын пайдалануу;
- коргоонуунун криптографиялык каражаттарын пайдалануу;
- банктык төлөм жана маалыматтык технологиялык процесстерди коргоо;
- иш үзгүлтүксүздүгүн камсыз кылуу;
- резервдик көчүрүү жана калыбына келтирүү;
- физикалык коргоо ж.б.
- маалымат коопсуздугундагы инциденттерди тескөө ж.б.
12. Коопсуздукту камсыз кылуунун операциялык жол-жоболору боюнча документтер зарыл болгон тажрыйбалардын жайылтылышын камсыз кылган, иш жүзүндөгү ыкмалардын техникалык деңгээлде берилишин камтуусу зарыл. Жол-жоболор банктын жалпы саясатына жана бул жол-жоболор негизделген иш жүзүндөгү ыкмаларга ылайык келүүгө тийиш.
13. Банк маалымат коопсуздугун камсыздоо боюнча аткарылган иштерди тастыктаган документтердин (отчеттор, актылар, журналдар) болушун жана сакталышын камсыздоого жана банктын маалымат коопсуздугун камсыз кылууга тиешелүү документтердин талаптарын ишке ашырууда жетишилген натыйжаларды (аралык жана жыйынтык) чагылдырууга тийиш.
3. Персоналга карата талаптар
14. Банк персоналы кеминде төмөнкү категориядагы кызматкерлерден турууга тийиш:
- жетекчилик – бүтүндөй банк же болбосо анын бөлүмдөрү боюнча стратегиялык чечимдерди кабыл алган, банктын бөлүмдөрүнүн ишин контролдогон жана банкта операциялык иш жана финансылык маселелер боюнча акыркы чечимдерди кабыл алган адамдар тобу;
- менеджерлер – тактикалык чечимдерди кабыл алган, өз түзүмдүк бөлүмүнүн чегинде ишти уюштурган жана контролдогон адамдар тобу;
- коопсуздук боюнча персонал – банкта бардык чөйрөлөрдө коопсуздукту камсыздоо үчүн жооптуу адамдар тобу. Коопсуздук боюнча персонал түздөн-түз жетекчиликке баш ийүүгө жана өз функцияларын аткаруу үчүн тиешелүү ыйгарым укуктарга ээ болууга тийиш;
- ички аудит – анын ичинде консультанттарды ишке тартуу менен маалымат технологияларына аудитти жана маалымат коопсуздугуна аудитти кошо алганда, банкта ички аудитти уюштуруу жана жүргүзүү үчүн жооптуу түзүмдүк бөлүм;
- иштеп чыгуу жана техникалык колдоо боюнча персонал – банктын маалымат системасын иштеп чыгуу, модернизациялоо жана иштөөсүн камсыздоого жана коопсуздук чараларын техникалык жактан жүзөгө ашырууга жооптуу түзүмдүк бөлүм;
- операциялар боюнча персонал – банктын маалымат системасында санкцияланган операцияларды жүзөгө ашырган, ошондой эле банктын кардарларынын тейлениши үчүн жооптуу адамдар тобу.
15. Банкта ишке кабыл алуу жол-жобосу иштелип чыгууга, анда төмөнкүлөр каралууга тийиш:
- сунушталган документтердин, билдирилген квалификациянын аныктыгын, өмүр баян фактыларынын тактыгын жана толук берилишин текшерүү;
- кесиптик көндүмдөрүн текшерүү жана кесиптик деңгээлин баалоо.
16. Банктын бардык кызматкерлери маалымат коопсуздугун камсыздоо талаптары менен таанышып чыгууга жана таламдардын каршы келип калышына жол бербөө талаптарын кошо алганда, купуялуулукту жана корпоративдик жүрүм-турум эрежелерин сактоо милдеттенмесине кол коюуга тийиш.
17. Банктын маалымат коопсуздугун камсыз кылуу үчүн жооптуу түзүмдүк бөлүмү системалуу негизде банк кызматкерлерине коркунучтар жөнүндө өз убагында маалымдоо менен глобалдуу тренддерди эске алып, маалымат коопсуздугу чөйрөсүндө коркунучтар жөнүндө маалыматты актуалдаштырууга, ошондой эле мындай коркунучтарга каршы чара көрүү максатында персоналга маалымдоонун жалпы деңгээлин жогорулатууга багытталган иш-чараларды жүргүзүүгө тийиш.
18. Персоналдын маалымат коопсуздугун камсыздоо боюнча талаптарды аткаруу милдеттери жана жоопкерчилиги кызматтык нускоолордо көрсөтүлүүсү зарыл.
19. Банк кызматкерлеринин маалымат коопсуздугун камсыздоо талаптарын аткарбай коюушу же талаптагыдай аткарбашы кызматтык милдеттерин аткарбаган катары бааланууга жана тиешелүү жоопкерчиликке тартылууга тийиш.
4. Автоматташтырылган системада
ролдорду дайындоо, бөлүштүрүү жана каттоо
20. Банкта маалымат коопсуздугун камсыздоо боюнча ролдорду кошо алганда, кызматкерлердин ролдору көрсөтүлгөн документ иштелип чыгууга жана кабыл алынууга тийиш.
21. Автоматташтырылган системада кызматкерлердин ыйгарым укуктарын так чектеген ролдор аныкталууга тийиш.
22. Кызматкерлерге автоматташтырылган системалардан пайдалануу мүмкүнчүлүгүн берүүдө колдонуучуларды санкциялоо, идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылууга тийиш. Колдонуучуга идентификатор берүү алдында колдонуучунун инсандыгы тастыкталууга тийиш. Ал эми система колдонуучуга идентификатор берген аткаруучуну каттоосу зарыл.
23. Бардык колдонуучулар автоматташтырылган системада кайталангыс жеке каттоо маалыматтарынын негизинде иштөөгө тийиш.
24. Банктар кызматкерлердин жана кардарлардын маалыматтык активдерден пайдалануу укугун бөлүштүрүүдө төмөнкү принциптерге таянуусу зарыл:
- «өз кардарын билүү» (Know your Customer) – жөнгө салуучу органдар тарабынан финансылык уюмдарга карата мамилени алардын кардарларынын ишин билүү көз карашынан билдирүү үчүн колдонулуучу принцип;
- «өз кызматкерин билүү» (Know your Employee): банктын банк кызматкерлеринин өз милдеттерине жана коопсуздук көйгөйлөрүн жаратышы мүмкүн болгон мүлктү кыянатчылык менен пайдалануу, алдамчылык же финансылык кыйынчылыктар сыяктуу мүмкүн болуучу көйгөйлөргө карата мамилеси жагында кам көрүүсүн чагылдырган принцип;
- «билүү зарыл» (Need to know): банк кызматкерлеринин жана банктын кардарларынын маалыматтардан жана белгилүү бир милдеттерди аткаруу үчүн эң эле минималдуу деңгээлде зарыл болгон маалыматтарды иргөө боюнча ресурстардан пайдалануу мүмкүнчүлүгү жагында ыйгарым укуктарын чектеген принцип;
- «минималдуу артыкчылыктар принциби» – колдонуучу белгилүү бир операцияларды жүргүзүү үчүн минималдуу зарыл артыкчылыктарды алууга жана сунуштоого тийиш экендигин билдирген принцип;
- «кош контролдоо» – төлөм системасы боюнча операциялар жана автоматташтырылган системада ролдорду дайындоо үчүн каралган.
25. Банкта маалыматтык активдер тизмеги (автоматташтырылган система жана алардын түрлөрү) жана кызматкерлердин жана кардарлардын ошол активдерден пайдалануу укуктары документ түрүндө аныкталууга тийиш.
26. Ролдорду белгилөө банктын колдонуудагы бизнес-процесстеринин негизинде жүзөгө ашырылууга жана ыйгарым укуктарга гана көңүл бурууну жокко чыгаруу жана маалымат активдеринин жеткиликтүүлүк, бүтүндүк же купуялуулук өзгөчөлүктөрүнөн ажырап калуусунан улам маалымат коопсуздугунда кооптуу жагдайлар тобокелдигин төмөндөтүү максатында жүргүзүлүүгө тийиш.
27. Банкта кыйла маанилүү автоматташтырылган системаларда тобокелдиктерди кыскартуу жана коопсуздукту камсыз кылуу максатында, «артыкчылыктуу пайдалануу мүмкүнчүлүгү» – автоматташтырылган системалардан (администратор укугу каралган жеке каттоо маалыматтары) пайдаланууда артыкчылыктуу укуктарга ээ жеке каттоо маалыматтары контролго алынууга тийиш.
28. Ар бир роль боюнча алардын аткарылышы үчүн жооптуу адамдар дайындалууга тийиш. Кызматкерлердин жоопкерчилиги кызматтык нускоолордо белгиленет.
29. Системада колдонуучуларды аутентификациялоо алынган маалыматтын маанилүүлүгүнө ылайык жүргүзүлүүгө жана төмөндө келтирилген бир же бир нече аутентификациялоо механизмдеринин негизинде ишке ашырылууга тийиш:
- «бир нерсе билүү» боюнча (пароль, ПИН-код);
- «бир нерсеге ээ болуу» боюнча (смарт-карта, токен);
- колдонуучунун «кимдир бирөө болуу» жеке мүнөздөмөсү боюнча (бармактарынын тагы же башка биометрикалык маалыматтар).
Эки факторлуу аутентификацияда жогоруда аталган үч механизмдин кайсыл болбосун экөөсү камтылат: адам «бир нерсени билет» жана «бир нерсеге ээ» же «кимдир-бирөө болуу».
30. Колдонуучуларды каттоо жана кирүү укуктарын өзгөртүү жагдайлары системанын жагдайлар журналында катталууга тийиш.
31. Банкта санкциясыз пайдалануудан, уруксат берилбеген иштерди жүргүзүүдөн, банк кардарларын жана кызматкерлерин каттоо, идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл маалыматтын сакталышын бузууга жол берүүдөн коргоого багытталган чаралар колдонулууга тийиш. Мындай маалыматтардан бардык санкциясыз пайдалануу жана уруксат берилбеген иштерди жүргүзүү аракеттери жагдайлар журналында катталууга тийиш.
32. Банк кызматкерлерине автоматташтырылган системаларга жана корпоративдик сервистерге аралыктан кирүү мүмкүнчүлүгүн берүүдө көп факторлуу аутентификациялоо технологиясын колдонууга киргизүүгө тийиш.
33. Банктын автоматташтырылган системага кирүү укугуна ээ кызматкерлери иштен бошонгондо же кызматтык милдеттери алмашкан учурда алардын автоматташтырылган системага кирүү укугу блокировкаланууга же өзгөртүлүүгө тийиш.
34. Банкта паролдор саясаты иштелип чыгууга жана колдонууга киргизилүүгө тийиш. Саясатта кеминде төмөнкүдөй негизги эрежелер жана компоненттер камтылуусу зарыл:
- паролдун татаалдыгына жана көп символдон туруусуна карата талаптар;
- паролду тез-тез жана мезгили менен алмаштырып турууга карата талаптар;
- паролду колдонуу мөөнөтүнө карата талаптар;
- паролду материалдык каражаттарга жаздыруу жана анда сактоого жол бербөө боюнчаталаптар;
- саясаттын талаптарын бузуу үчүн колдонуучулардын жоопкерчилиги жана санкциялар.
35. Банк персоналы паролдор саясаты менен таанышып чыгып, иш процессинде ошол талаптарды так сактоого тийиш.
36. Банк аралыктан банктык тейлөө, мобилдик банкинг, электрондук капчык системаларынын колдонуучулары жана кардарлары үчүн маалымат коопсуздугу саясатынын талаптарын сактоосу боюнча сунуш-көрсөтмөлөрдү иштеп чыгууга жана колдонуучуларга банктык продукттар менен иштөө процессинде ошол талаптарды сактоо зарылчылыгы жөнүндө маалымдоо ишин жүргүзүүгө тийиш.
5. Маалымат коопсуздугу боюнча тобокелдиктерди
тескөө процессине карата талаптар
37. Банкта маалымат коопсуздугу боюнча тобокелдиктерди тескөө саясаты болууга жана ал тобокелдиктерди тескөөнүн жалпы саясаты менен интеграцияланууга тийиш.
38. Банк активдердин баалуулугун аныктоосу зарыл. Чабал жактарын жана кооптуу жагдайларды аныктап, тобокелдиктер алдын ала бааланууга тийиш. Аныкталган тобокелдиктерге сандык же сапаттык баа берилүүсү зарыл. Банк тобокелдиктерди кыскартуу үчүн тиешелүү контролдоо чараларын жана каражаттарын аныктоого тийиш.
39. Тобокелдиктерге баа берүү процесси ISO 27005 эл аралык стандартына же ушул сыяктуу стандарттарга ылайык уюштурулушу мүмкүн.
6. Банк ишинин үзгүлтүксүздүгү
40. Банк ишинде үзгүлтүксүздүктү камсыз кылуу максатында төмөнкүлөр иштелип чыгууга тийиш:
- иш үзгүлтүксүздүгү саясаты, бул иш үзгүлтүксүздүгүн камсыз кылуу жана аларга жүктөлгөн милдеттерди аткарууга ыйгарым укук ролдору үчүн зарыл жетекчилик принциптерин камтууга тийиш;
- өзгөчө кырдаал шарттары келип чыккан учурлардагы иш-аракеттер планы, анда жол-жобо жазылууга, банктын авариялык абалда ишин улантуусун камсыз кылуучу колдонмо иштелип чыгууга тийиш;
- ишти калыбына келтирүү стратегиясы, мында маанилүү системалардын жана функциялардын иштөө жөндөмдүүлүгүн ыкчам калыбына келтирүү ыкмалары жазылуусу зарыл.
41. Өзгөчө кырдаалдардын банк ишине тийгизген таасирине талдап-иликтөөлөрдү жүргүзүү банк ишинин үзгүлтүксүздүгүн камсыз кылуунун маанилүү инструменти болуп саналат, ал маанилүү функцияларды жана системаларды идентификациялоо менен ажырагыс байланышта.
42. Банк кооптуу жагдайларды аныктагандан кийин банкта өзгөчө кырдаалды шартташы ыктымал болгон тобокелдиктер деңгээлин төмөндөтүү үчүн коргоо чараларын тандап, колдонууга киргизүүгө тийиш.
43. Банк өзгөчө кырдаал келип чыккан учурда милдеттерди аткаруу үчүн персоналды талапка ылайык даярдоо максатында, мезгил-мезгили менен планды тесттен өткөрүп, тренингдерди өткөрүп, банк кызматкерлерин окутуусу зарыл.
7. Банктын автоматташтырылган системаларынын
иштөө циклиндеги коопсуздук
44. Банк автоматташтырылган системалардын бардык иштөө циклдеринде анын комплекстүү коргоого алынышын камсыздоого тийиш (долбоорун түзүү, ишке ашыруу, тесттен өткөрүү, кабыл алуу, колдонууга киргизүү, коштоо, жаңылоо, колдонуудан чыгаруу процесси документ түрүндө түзүлүп, алар жогорку жетекчилик тарабынан бекитилүүгө тийиш).
45. Банк лицензияланган программалык камсыздоону гана же болбосо жогору жетекчилик тарабынан бекитилген документтер топтому болсо (техникалык тапшырма, сыноо программасы жана методикасы, сыноо акты жана журналы, өндүрүштүк колдонууга өткөрүү акты), өзү иштеп чыккан программалык камсыздоону колдонууга тийиш.
8. Ишке ашырылган операциялар жагдайларын каттоо журналы
46. Банк маалымат коопсуздугунда аудит жүргүзүү, жагдайлардын жүрүшүн калыбына келтирүү жана отчет берүү үчүн каражат катары автоматташтырылган системада, персоналдык компьютерде жүзөгө ашырылган иштин жагдайларын (логирование) каттоо журналынын жүргүзүлүшүн камсыздоосу зарыл.
47. Жагдайларды каттоо журналындагы маалыматка мониторинг жана аларды талдап-иликтөө автоматташтырылган системанын администраторлору (техникалык колдоо персоналы) тарабынан күн сайын, анын ичинде автоматташтырылган системаларды колдонуу аркылуу жүзөгө ашырылууга жана коопсуздукка байланыштуу бардык стандарттык эмес жагдайлар териштирилүүгө тийиш.
48. Жагдайларды каттоо журналындагы маалымат тиешелүү автоматташтырылган системанын иштелип чыгуучу маалыматтарын сактоо мөөнөтүнө барабар мезгил ичинде, бирок кеминде 2 жыл электрондук түрдө сакталууга тийиш.
49. Жагдайларды каттоо журналындагы маалымат кокустан же атайылап жок кылуудан, модификациялоодон же жасалмалоодон корголууга тийиш. Жагдайларды каттоо журналында бардык колдонуучулардын, анын ичинде жогору артыкчылыктар берилген жеке каттоо маалыматтарына ээ колдонуучулардын (root, administrator) иш-аракеттери камтылуусу зарыл.
9. Автоматташтырылган системада төлөмдөрдү жана эсептешүүлөрдү
жүргүзүү процесси (анын ичинде SWIFT)
50. Банк төлөмдөр жана эсептешүүлөр процессин жүзөгө ашырууда (өзүнүн жана кардарлардын) маалымат коопсуздугунун төмөнкү талаптарынын сакталышын камсыз кылууга тийиш:
- Кыргыз Республикасынын аймагында автоматташтырылган системада төлөм маалыматтарын иштеп чыгуу, эсепке алуу жана сактоо;
- төлөм маалыматтарын бурмалоодон, жасалмалоодон, башка дарекке жөнөтүүдөн, санкциясыз жок кылуудан, электрондук төлөм билдирүүлөрүн жалган авторизациялоодон коргоо;
- банк кызматкеринин өз кызматтык милдеттерин аткаруу үчүн зарыл болгон, төлөмдөрдү жана эсептешүүлөрдү жүргүзүүнү камсыз кылган автоматташтырылган системалардын ресурстарынан гана пайдалануу мүмкүнчүлүгү;
- төлөм маалыматтарын даярдоо, иштеп чыгуу, өткөрүү жана сактоо процесстеринин аткарылышын контролдоо (мониторинг);
- кирген электрондук төлөм билдирүүлөрүн аутентификациялоо;
- автоматташтырылган иш орундарын (иш станцияларын жана серверлерди), электрондук төлөм билдирүүлөрү менен алмашкан катышуучуларды эки тараптуу аутентификациялоо (банк филиалдары жана бөлүмдөрү үчүн сыяктуу эле, кардарлар үчүн да);
- авторизацияланган колдонуучуларга гана автоматташтырылган банктык системага төлөм маалыматын киргизүү мүмкүнчүлүгүн берүү;
- автоматташтырылган банктык системада төлөмдөрдү үзгүлтүксүз иштеп чыгуу принцибин сактоо (операцияларды максималдуу тез арада ишке ашыруу жана каталарды жокко чыгаруу максатында, бүтүндөй технологиялык процесстин жүрүшүндө (маалымат автоматташтырылган системага түшкөндөн баштап аны иштеп чыгууну аяктоого чейин) колго иштеп чыгуусуз, түшкөн финансылык маалыматтын бүтүндөй агымынын үзгүлтүксүз иштелип чыгышын камсыздоо);
- зыян келтирүү мүнөзүндө иш-аракеттердин жүргүзүлүшүн жокко чыгарууга багытталган контролдук (транзакцияларды кош киргизүү, текшерүү, авторизациялоо, ишке ашырылуучу операциялардын суммасына жараша чектөөлөрдү белгилөө ж.б.) (ыйгарым укуктуу кызматкерлер тарабынан сыяктуу эле, кардарлар тарабынан да);
- төлөм маалыматтары атайылап (кокустан) бузулган (бурмаланган) учурда же эсептөө техника каражаттары иштебей калган шартта аларды калыбына келтирүү;
- банктар аралык эсептешүүлөрдү жүргүзүүдө иштен чыккан электрондук төлөм билдирүүлөрүн тиешелүү кирген жана чыккан электрондук төлөм билдирүүлөрү менен салыштырып текшерүү;
- электрондук төлөм билдирүүлөрдү алмашууда катышкан жактарга жеткирүү.
51. Банк кызматкерлери, анын ичинде автоматташтырылган системалардын администраторлору контролго алуусуз төлөм маалыматтарын түзүү, авторизациялоо, жок кылуу жана өзгөртүү, ошондой эле банктык эсептердин абалын өзгөртүү боюнча санкциясыз операцияларды жүргүзүү үчүн ыйгарым укуктарга ээ болбоого тийиш.
52. Төлөм маалыматтарын иштеп чыгуу жана иштеп чыгуу жыйынтыктарын контролдоо (текшерүү) ар башка кызматкерлер тарабынан аткарылууга тийиш.
53. Төлөмдөрдүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыздаган системалар үчүн персоналдын негизги жана кошумча курамы түзүлүүгө тийиш. Негизги курамдын кайсыл бир кызматкери жок учурда анын функцияларын кошумча курамдагы адис аткарууга тийиш.
54. Төлөмдөрдүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыздаган системалардын техникалык инфраструктурасында негизги жана резервдик автоматташтырылган система (аппараттык-программалык комплекстер), анын ичинде негизги жана резервдик байланыш каналдары камтылууга тийиш.
55. Банкта негизги системадан резервдик автоматташтырылган системага өтүү (которуштуруу) боюнча жол-жоболор иштелип чыгууга жана анда мындай процессти ишке ашыруу үчүн жетекчиликтен санкция алуу камтылууга тийиш.
56. Банкта автоматташтырылган системанын ээлери (банктын кызмат адамдары) жана алардын жоопкерчиликтери аныкталууга, анын ичинде банктын башкы бухгалтеринин жоопкерчилиги аныкталууга тийиш.
57. Банк бухгалтердик эсепке алуу боюнча маалыматтардын автоматташтырылган банктык системада бирдиктүү борборлоштурулуп иштелип чыгышын, эсепке алынышын жана сакталышын камсыздоого тийиш.
58. Банкта колдонулуучу автоматташтырылган банктык система, анын ичинде аралыктан банктык тейлөө системалары төмөндө келтирилгендерди каттоо мүмкүнчүлүгүн камсыздоого тийиш:
- кардарлардын эсептери жөнүндө маалыматтар менен операцияларды, анын ичинде кардарлардын эсептерин ачууну, модификациялоону жана жабууну;
- финансылык натыйжаларга ээ ишке ашырылган транзакцияларды;
- колдонуу укуктарын дайындоого жана бөлүштүрүүгө байланыштуу операцияларды.
59. Аралыктан банктык тейлөө системалары кардарлар тарабынан жүзөгө ашырылган операциялардан жана транзакциялардан баш тартуу мүмкүн эместигин камсыз кылган коргоо чараларын ишке ашырууга тийиш.
60. Банкта аларды идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл болгон маалымат бурмаланган учурда алардын иш-аракеттерин аныктаган жол-жоболор иштелип чыгып, ал кызматкерлер жана кардарлар менен тааныштырылууга тийиш.
61. Аралыктан банктык тейлөө системаларында алардын атынан ишке ашырылган бардык операциялар жөнүндө кардарларга маалымдоо (туруктуу, үзгүлтүксүз негизде же талап боюнча) механизмдери ишке ашырылууга тийиш.
62. Аралыктан банктык тейлөө системаларында төмөнкү чаралар каралууга тийиш:
- авторизацияланган кардарлар алдын ала болжолдонбогон же күтүлбөгөн операцияларды же транзакцияларды аткаруу ыктымалдыгын төмөндөтүү;
- операцияларды же транзакцияларды аткарууга байланыштуу келип чыгышы ыктымал болгон тобокелдиктер жөнүндө маалыматты кардарларга жеткирүү.
63. Аралыктан банктык тейлөө системаларынын кардарлары операцияларды же транзакцияларды аткаруу жол-жоболору кеңири чагылдырылган нускоолор менен камсыздалууга тийиш.
10. Банктык төлөм карттары менен эсептешүү системасы
64. Банктык төлөм карттарын чыгарууда жана тейлөөдө банк ушул жобонун талаптарынын аткарылышын камсыздоого тийиш.
65. Банкта эл аралык төлөм карттарын колдонууда PCI DSS стандартынын тиешелүү коопсуздук талаптары аткарылууга тийиш.
66. Банк төлөм карттары менен эсептешүү системасын колдонууда маалымат системаларынын коопсуздугу боюнча төмөнкү талаптардын аткарылышын камсыздоого тийиш:
- төлөм карт ээлеринин маалыматтарын түзүү жана иштеп чыгуу үчүн коргоого алынган түйүндү колдоо чараларын аныктоо жана сактоо;
- тармак ресурстарынан жана төлөм карттарынын маалыматтарынан кандай болбосун пайдаланууга көз салуу жана контролдоо;
- өндүрүшчү программалык камсыздоо жана жабдуулар үчүн коопсуздукту камсыз кылуу боюнча «алгач» белгилеген коопсуздук иш багыттарын жана паролдорду колдонууга тыюу салуу;
- төлөм карт ээлеринин маалыматтарын сактоодо коргоого алынышын камсыздоо;
- жалпы колдонуу тармактары аркылуу өткөрүлүп берилүүчү төлөм карттарынын маалыматтарынын жашыруун сакталышын камсыздоо;
- антивирус программалык камсыздоосун колдонуу жана туруктуу негизде жаңыртып туруу;
- системаларды жана тиркемелерди иштеп чыгууда жана колдоого алууда коопсуздукту камсыздоо;
- төлөм картындагы маалыматтардан пайдалануу мүмкүнчүлүгүн кызматтык ишти аткаруусуна жараша чектөө;
- эсептөө ресурстарынан пайдалануу мүмкүнчүлүгүнө ээ ар бир адамга кайталангыс идентификатор белгилөө;
- банктык төлөм карт ээлеринин маалыматтарынан пайдаланууну чектөө жана мындай мүмкүнчүлүктү ыйгарым укуктуу кызматкерлерге гана берүү;
- коопсуздукту камсыздоо системаларын жана процесстерин туруктуу негизде тесттен өткөрүп туруу;
- кызматкерлердин жана контрагенттердин ишин жөнгө салган маалымат коопсуздугу саясатынын актуалдуулугу.
67. Банк банктык төлөм карттары менен иштөөдө төмөндө келтирилген коргоо чараларын колдонууга тийиш:
- карттарга жеке маалыматтарды киргизүү (персонализация) ПИН-конверттерди чыгаруу функциясынан өзүнчө ишке ашырылууга жана аталган операцияларды аткаруу үчүн ар башка жооптуу кызматкерлер дайындалууга тийиш;
- ПИН-конверттерди басып чыгарууда тышкы бланк аларды басып чыгаруу үчүн жооптуу эки ыйгарым укуктуу кызматкерлердин катышуусунда жок кылынууга тийиш;
- карттарга жеке маалыматтарды киргизүү (персонализация) бул үчүн жооптуу эки ыйгарым укуктуу кызматкердин катышуусунда жүргүзүлүүгө тийиш;
- банкоматтарды, автоматташтырылган өз алдынча тейлөө терминалдарын жана соода терминалдарын талкалоодон жана зыян келтирүүдөн коргоо чаралары каралууга тийиш;
- ПИН-код терүү аракеттеринин саны (үч жолу гана) чектелүүгө, андан кийин карт блокировкаланып, алынып коюлууга жана ал карт ээсинин колуна тапшырылууга тийиш;
- бир күн ичинде бир эсеп үчүн операциялардын саны жана акча каражаттар суммасы чектелүүгө (лимит белгиленүүгө) тийиш.
11. Банктык маалымат процесси
68. Ар бир автоматташтырылган система үчүн тиешелүү буйруунун негизинде маалымат коопсуздугу боюнча администратор дайындалууга тийиш. Бир нече автоматташтырылган системага бир администраторду дайындоого жол берилет.
69. Банктык технологиялык процессте колдонулуучу техниканы тейлөө, анын ичинде алардын программалык жана/же аппараттык бөлүктөрүн алмаштыруу жол-жоболору жана автоматташтырылган системаны тейлөөчү персонал каралууга тийиш.
12. Интернет тармагында ресурстарды пайдалануу
70. Банкта ички компьютердик каражаттар тармактарын сегментациялоо жана тармактар ортосунда коргоо жана фильтрлөө чаралары, ошондой эле интернет тармактары менен өз ара байланышууда ички компьютердик каражаттар тармактарын коргоо чаралары колдонулууга тийиш.
71. Банкта маалыматты коргоо, тармактар ортосунда коргоо жана компьютердик каражаттар тармактарын коргоо каражаттарынын жана системаларынын иш багыттарынын параметрлерин өзгөртүүлөрдү каттоо чаралары колдонулууга тийиш.
72. Банк жетекчилиги банкта интернет тармагын пайдалануу максаттарын так аныктоого жана бекитүүгө тийиш. Интернет тармагын белгисиз максаттарда пайдаланууга тыюу салынууга тийиш.
73. Банкта маалымат коопсуздугун камсыздоо үчүн жооптуу түзүмдүк бөлүм тарабынан контролдоо каралган интернет тармагына туташуу жана ресурстарын пайдалануу тартиби документте белгиленүүгө тийиш.
74. Кардарларын аралыктан тейлеген банкта интернет тармагында өз ара иш алып барууда маалымат коопсуздугун бузуунун жогору тобокелдиктерине байланыштуу, белгиленген форматта гана жана белгилүү бир технология үчүн гана маалыматтарды кабыл алууну жана өткөрүүнү камсыздаган маалыматты коргоо каражаттары колдонулууга тийиш.
75. Аралыкта туруп банктык тейлөөнү жүзөгө ашырууда, иштөө сеансынын мезгилинде авторизацияланган кардардын ордуна кара ниеттердин болушу мүмкүнчүлүгүнө бөгөт коюучу коргоо чаралары колдонулуусу абзел.
76. Аралыктан банктык тейлөө системаларында иштөө мезгил аралыгында кардарлардын бардык операциялары идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылгандан кийин гана жүзөгө ашырылууга тийиш. Туташуу үзгүлтүккө учураган же байланыш үзүлгөн шартта аталган жол-жоболордун кайрадан ишке ашырылышын камсыздоо зарыл.
77. Интернет тармагы аркылуу кат-кабарларды алышуу коргоо чараларын колдонуу жана спамдын таркап кетишине каршы чараларды көрүү аркылуу жүргүзүлүүгө тийиш.
78. Интернет тармагында өз ара иш алып барууда хакерлердин чабуулуна каршы коргоо чаралары колдонулууга тийиш.
13. Вирустан коргонуу
79. Банкта бардык автоматташтырылган иш орундарында жана автоматташтырылган системалардын серверлеринде, эгерде технологиялык процессте башкасы каралбаса, вирустан коргонуу каражаттары колдонулууга тийиш.
80. Банкта расмий түрдө сатылып алынган (лицензияланган) вирустан коргонуу каражаттары гана колдонулууга тийиш. Автоматташтырылган иш орундарында жана автоматташтырылган системалардын серверлеринде вирустан коргонуу каражаттарын орнотуу жана туруктуу негизде жаңыртып туруу жооптуу администраторлор тарабынан ишке ашырылууга тийиш.
81. Банкта вирустан коргонууну камсыздоодо банктык маалымат процесстеринин өзгөчөлүктөрүн эске алган вирустан коргонуу боюнча нускоо иштелип чыгып, колдонууга киргизилүүгө тийиш.
82. Банкта электрондук кат-кабарларды алышуу трафиги вирустан коргонуу максатында иргөөдөн өтүүгө тийиш.
83. Орнотулуучу же өзгөртүлүүчү программалык камсыздоо вирус жок экендигин текшерүү үчүн алдын ала текшерилүүгө тийиш. Компьютердик вирус аныкталган учурда аны жок кылуу жана иш орундарын калыбына келтирүү чаралары колдонулууга тийиш.
84. Вирустан коргонуу каражаттарын өчүрүүгө же жаңыртпай коюуга жол берилбейт. Вирустан коргонуу каражаттарын орнотуу жана жаңыртуу жооптуу кызматкерлер тарабынан контролдонууга тийиш.
85. Вирустан коргонуу боюнча жол-жоболордун талаптарынын аткарылышы үчүн жоопкерчилик персоналдык компьютерге жана/же автоматташтырылган системага кирүү мүмкүнчүлүгүнө ээ ар бир банк кызматкерине жүктөлүүгө тийиш.
14. Криптографиялык коргоо каражаттарын пайдалануу
86. Банкта маалыматты криптографиялык коргоо каражаттарын пайдалануу коопсуздугу камсыздалууга тийиш.
87. Банкта колдонулуучу криптографиялык коргоо каражаттары төмөнкү талаптарга жооп берүүсү зарыл:
- иштеп чыгуучулар негизги системаны, ал менен иштөө эрежелерин кошо алганда, аны эксплуатациялоо документтеринин толук топтомун сунуштоого;
- маалымат коопсуздугу боюнча администратор тарабынан колдонуучунун негизги маалымат менен иштөөнүн бардык баскычтарында ишин контролдоо каралган ачкычтарды пайдалануунун так белгиленген регламенти болууга;
- шифрлөөнүн заманбап криптотуруктуу алгоритмдерине ылайык келүүгө тийиш.
15. Резервдик көчүрүү жана калыбына келтирүү
88. Банкта төлөм жана башка банктык маалымат үчүн, ошондой эле ушул маалыматты иштеп чыгуу үчүн зарыл болгон системалык жана прикладдык программалык камсыздоо үчүн резервдик көчүрмөлөр түзүлүүгө тийиш.
89. Маалыматтарды сактоо каражаттары катары тышкы маалымат сактоо каражаттары: өзүндө орнотулган дисктер, магниттик ленталар, жаздыруучу оптикалык санарип дисктер ж.б. колдонулууга тийиш.
90. Бардык резервдик көчүрмөлөр сакталуучу маалыматты, эсептик номерин жана көчүрмө түзүлгөн күндү көрсөтүү менен маркировкаланууга тийиш.
91. Резервдик көчүрмөлөр (же алардын дубликаттары) санкциясыз кирүүдөн коргоону, электрмагниттик нурлануудан коргоону, жылуулук таасирлеринен коргоону, механикалык бузуулардан коргоону камсыз кылган аралыкта жайгашкан жайларда, ошондой эле анда ички температура жана аба нымдуулугу белгиленген деңгээлде камсыздалган учурда сакталууга тийиш.
92. Мезгил-мезгили менен тесттен өткөрүү жана резервдик көчүрмөлөрдүн архивин калыбына келтирүү жол-жоболору жүргүзүлүп турууга тийиш.
16. Жеке маалыматтарды коргоо
93. Банкта жеке маалыматты, ошондой эле Кыргыз Республикасынын мыйзамдары менен корголгон кайсы болбосун маалыматтарды, анын ичинде банктык сырды, врачтык сырды ж.б. камтыган маалыматтарды коргоо чаралары каралууга жана Кыргыз Республикасынын мыйзамдарына ылайык жеке маалыматтарды иштеп чыгуу тартиби аныкталууга тийиш.
17. Коопсуздукту камсыздоого карата талаптар
94. Банк жайларынын Кыргыз Республикасынын банктарга жана башка финансы-кредит уюмдарына карата коюлуучу талаптарга ылайык техникалык бекемделишин камсыздоого тийиш.
95. Банк аларда санкциясыз кирүүдөн, тышкы курчап турган чөйрөнүн таасиринен жана техногендик мүнөздөгү өзгөчө учурлардан коргогон маалымат системаларынын аппараттык-эсептөө комплекстери жайгаштырылган жайлардын, маалыматтарды иштеп чыгуу боюнча адистештирилген борборлордун, өтө маанилүү жана чабал аймактардын коопсуздугун жана техникалык жактан бекемделишин камсыздоо боюнча ички ченемдик документтерди иштеп чыгып, бекитүүгө тийиш.
96. Маалымат системалары менен жабдуу үчүн жайлар ошол жабдууну эксплуатациялоо шарттарына ылайык келүүгө тийиш.
97. Банк кызматкерлеринин маалыматтык активдердин объекттери жайгашкан жайларга кирүү тартиби банктын ички документтеринде белгиленүүгө тийиш, ал эми аларды ишке ашыруу контролдонууга тийиш. Маалымат системаларынын объекттери жайгашкан жайларга кирүү так белгиленүүгө жана аларга жүктөлгөн тапшырмаларга жана милдеттерге ылайык жооптуу түзүмдүк бөлүмдүн ыйгарым укуктуу адамдар тобуна гана уруксат берилет.
98. Эгерде банк банктык карттарды чыгарууну ишке ашырса, банктык карттарга жеке маалыматты киргизген аппараттык-программалык комплекс орнотулуучу жай төмөндө келтирилген негизги талаптарга ылайык келүүгө тийиш:
- өзүнчө жайгашууга (ал аркылуу өтпөй турган, терезесиз);
- ишенимдүү автоматтык түрдө жабылуучу кулпу орнотулууга;
- өрт жана коргоо боюнча белги берүү каражаттары, жайга башка адамдардын кирип кетүү мүмкүндүгүн жокко чыгарган жана жайдагы коргоого алынган ресурстардын сакталышын камсыздаган байкоо каражаттары орнотулууга тийиш;
- даяр болгон карттарды жана ПИН-конверттерди сактоо үчүн каралган сейфтер жайгаштырылган кеминде эки жай болууга (картка жеке маалыматты киргизүү жана ПИН-конверттерди чыгаруу үчүн);
- ПИН-конверттерди чыгаруу үчүн каралган жайда бланктарды жана жараксыз болуп калган ПИН-конверттерди жок кылуу үчүн шредер болууга тийиш.
18. Маалымат коопсуздугу боюнча инциденттерди
жөнгө салуу процессине карата талаптар
99. Маалымат коопсуздугуна тиешелүү инциденттер жана чабал жактары иштелип чыккан жана так колдонулган процесстердин негизинде жөнгө салынат.
100. Банк инциденттерди жана чабал жактарды идентификациялоосу зарыл, аларга баа берилип, маалымат коопсуздугунда мындай инциденттердин орун алышына жол бербөө боюнча чаралар көрүлүп, чабал жактар четтетилүүгө тийиш.
101. Маалымат коопсуздугундагы инциденттерди талдап-иликтөө жыйынтыктары, ошондой эле маалымат коопсуздугундагы кооптуу жагдайлардын орун алышы ыктымалдыгын жана андан улам зыянды кыскартуу боюнча сунуш-көрсөтмөлөр андан ары маалымат коопсуздугундагы тобокелдиктерге баа берүү үчүн колдонулууга тийиш.
19. Аутсорсинг
102. Банк пландаштырылган аутсорсинг боюнча тобокелдиктерге баа берүүгө тийиш. Тобокелдиктерге баа берүүдө банкка жеткиликтүү болгон кызматтарды сунуштоочулар (компаниялар) жөнүндө бардык маалыматтарга талдап-иликтөөлөрдү жүргүзүү камтылууга тийиш. Тобокелдиктерге баа берүүдө көз карандысыз аудиттин кеңири маалымат берилген отчету камтылууга тийиш. Кыргыз Республикасынын Улуттук банкынын сурамынын негизинде банк кызматтарды сунуштоочунун аудитордук отчету менен бирге тобокелдиктерге баа берүүнү сунуштоого тийиш.
103. Аутсорсинг кызматтарын сунуштоочулар менен түзүлүүчү келишимде кеминде төмөнкү бөлүктөр каралууга тийиш:
- маалымат коопсуздугу, банктык сырдын жана жеке мүнөздөгү маалыматтын, ошондой эле Кыргыз Республикасынын мыйзамдары менен корголуучу кайсы болбосун башка маалыматтарды жана сырлардын сакталышы жөнүндө;
- иш үзгүлтүксүздүгү жөнүндө, ага кошо иш үзгүлтүксүздүгүн камсыздоо жана калыбына келтирүү планы;
- уюмдун ишин текшерүү боюнча көзөмөл функцияларын ишке ашыруу максатында жана кошумча маалыматты өз убагында алуу зарылчылыгы келип чыккан учурда жөнгө салуучуга/Улуттук банктын текшерүү тобуна милдеттүү түрдө көмөктөшүү жөнүндө.
104. Банкта иш үзгүлтүксүздүгүн камсыздоо боюнча планда аутсорсингге өткөрүлүп берилген маалыматтан өз убагында пайдаланууну, ошондой эле кызматтарды сунуштоочунун ишинде (аутсорсинг) өзгөчө жагдайлар келип чыккан учурда кызматтарды сунуштоону кайра баштоо чаралары каралууга тийиш.
«Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобону бекитүү тууралуу»
токтом долбооруна карата
МААЛЫМДАМА-НЕГИЗДЕМЕ
1. Максаты жана милдети
Улуттук банк Башкармасынын «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобону бекитүү тууралуу» токтом долбоору (мындан ары – долбоор) маалыматтык коопсуздук боюнча колдонуудагы ченемдик укуктук базаны өркүндөтүү максатында иштелип чыккан. Ал банк тутумунун маалыматтык коопсуздук деӊгээлин жогорулатууга өбөлгө түзөт.
2. Түшүндүрмө берүүчү бөлүк
Финансы секторунун туруктуулугун камсыз кылуу, ошондой эле Улуттук банктын финансы технологияларын өнүктүрүү жана банктык кызмат көрсөтүүлөрдү санариптештирүү боюнча артыкчылыктуу багыттарын эске алуу менен, маалыматтык коопсуздук боюнча талаптарды туруктуу негизде актуалдаштыруу маанилүү вектор болуп саналат.
Маалыматтык технологиялардын туруктуу негизде жана динамикалуу өнүгүүсү жана аларды банк тутумунда колдонуу маалыматтык коопсуздукту камсыздоо боюнча маселелерди туура жөнгө салууну талап кылат.
Маалыматтык коопсуздук – маалыматтар менен болгон кайсы болбосун санкцияланбаган иш-аракеттерди алдын алуу. Маалымат коопсуздугун камсыз кылуу электрондук да, кагаз түрүндөгү да маалыматтар үчүн маанилүү. Маалыматтык коопсуздуктун башкы талабы – маалыматтын купуялыгын толук кандуу коргоо, анын бүтүндүгүн камсыз кылуу.
Токтомдун долбоору маалыматтык коопсуздук чөйрөсүндөгү эл аралык стандарттарга жана мыкты тажрыйбаларга негизделген талаптарды иштеп чыгуу аркылуу Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыздоо боюнча талаптарды актуалдаштырууну караштырат.
Токтомдун долбоору аркылуу маалымат коопсуздугу тобокелдиктерин тескөө боюнча талаптар каралган, мында маалыматтык коопсуздук тобокелдиктерин баалоо банк тобокелдиктерин тескөө саясатынын жалпы ажырагыс бөлүгү болуп саналат. Өз кезегинде, бул банктардын иш үзгүлтүксүздүгү маселесин козгойт.
Мындан сырткары, токтомдун долбоору менен физикалык коопсуздукту уюштурууга, маалыматтык коопсуздук жана аутсорсинг терс жагдайларын тескөө процессине карата талаптар белгиленет.
Жүргүзүлгөн иштердин жыйынтыктарын көӊүлгө алуу менен, «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобонун олуттуу көлөмү актуалдаштырылууга тийиш. Мындан улам, көрсөтүлгөн документтин жаӊы редакциясын кабыл алуу сунушталат.
3. Социалдык, экономикалык, укуктук, укук коргоо, гендердик, экологиялык, коррупциялык натыйжаларды болжолдоо
Бул токтом долбоорун кабыл алуу социалдык, экономикалык, укуктук, укук коргоо, гендердик, экологиялык, коррупциялык кесепеттерге алып келбейт.
4. Коомдук талкуунун жыйынтыктары жөнүндө маалымат
Кыргыз Республикасынын «Кыргыз Республикасынын ченемдик укуктук актылары жөнүндө» мыйзамынын 19 жана 22-беренелерине ылайык, ошондой эле жарандардын жана юридикалык жактардын кызыкчылыктарына түздөн-түз тиешелүү, ошондой эле ишкердик ишти жөнгө салган ченемдик укуктук актылардын долбоорлору коомдук талкууга алынууга жана жөнгө салуучу таасирине талдап-иликтөө жүргүзүлүүгө тийиш.
Долбоор боюнча материалдар коомдук талкууга сунуштоо үчүн Улуттук банктын расмий интернет-сайтына, Кыргыз Республикасынын ченемдик укуктук актылардын долбоорлорун коомдук талкуунун бирдиктүү порталына жайгаштырылат.
5. Долбоордун мыйзамдарга ылайык келүүсүн талдоо
Токтом долбоору Кыргыз Республикасынын мыйзамдарына каршы келбейт.
6. Каржылоо зарылчылыгы жөнүндө маалымат
Сунушталып жаткан токтомдун долбоорун кабыл алуу кошумча каражаттарды сарптоолорду талап кылбайт.
7. Жөнгө салуучу таасирине талдап-иликтөө жүргүзүү жөнүндө маалымат
Кыргыз Республикасынын Өкмөтүнүн 2020-жылдын 30-сентябрындагы № 504 токтому менен бекитилген Ишкердик субъекттердин ишине ченемдик укуктук актылардын жөнгө салуучу таасирин талдоо методикасынын 4-пунктунун 6-пунктчасынын талаптарына ылайык, токтомдун долбоору боюнча жөнгө салуучу таасирин талдап-иликтөө жүргүзүү талап кылынбайт.
