Кыргыз Республикасынын Улуттук банкы

Кыр Рус En

Түзүлгөн күнү: 2022-12-28

Улуттук банк Башкармасынын «Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө» жобону бекитүү тууралуу» токтом долбооруна карата

МААЛЫМДАМА-НЕГИЗДЕМЕ

1. Максаттары жана милдеттери

Кыргыз Республикасынын Улуттук банк Башкармасынын «Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө» жобону бекитүү тууралуу» токтом долбоору (мындан ары – токтом долбоору), төлөм системасы боюнча ченемдик укуктук актыларды өркүндөтүүнүн алкагында жана Кыргыз Республикасынын «Кыргыз Республикасынын Улуттук банкы жөнүндө» конституциялык Мыйзамына жана Кыргыз Республикасынын «Банктар жана банк иштери жөнүндө» мыйзамына ылайык келтирүү максатында иштелип чыккан.

2. Түшүндүрмө берүүчү бөлүк

Токтом долбоору аркылуу маалымат коопсуздугун камсыз кылуу максатында төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат системаларынын чабалдыгын минималдаштырууга багытталган иш-чараларга карата талаптар жөнгө салынат.

Мындан тышкары, маалыматтык коопсуздук боюнча ички документтерге, персоналга, иш үзгүлтүксүздүгүн камсыздоого, тобокелдиктерди башкаруу процессине талаптар жөнгө салынган.

Төлөм системаларынын операторлорунда жана төлөм уюмдарында маалымат коопсуздугун уюштурууну жана сактоону жөнгө салуучу ченемдик актыны кабыл алуу маалымат системаларын өнүктүрүүгө байланыштуу төлөм системаларынын операторлору жана төлөм уюмдары үчүн орун алышы мүмкүн болгон тобокелдиктерди минималдаштырууну камсыз кылат.

3. Социалдык, укуктук, укук коргоо, гендердик, экологиялык, экономикалык жана коррупциялык натыйжаларды болжолдоолор

Токтом долбоорун кабыл алуу социалдык, экономикалык, укуктук, укук коргоо, гендердик, экологиялык, коррупциялык терс натыйжаларга алып келбейт.

4. Коомдук талкуунун жыйынтыгы тууралуу маалымат

Токтом долбоору боюнча материалдар Улуттук банк Башкармасынын маалыматтык отурумунун жыйынтыгы боюнча коомдук талкууга сунуштоо максатында Улуттук банктын расмий интернет-сайтына, ошондой эле Кыргыз Республикасынын ченемдик укуктук актыларынын долбоорлорун коомдук талкуулоонун бирдиктүү порталына (koomtalkuu.gov.kg) жайгаштырылат.

5. Долбоордун мыйзамга шайкеш келишин талдоо

Сунушталган токтом долбоору Кыргыз Республикасынын мыйзам талаптарына каршы келбейт.

6. Каржылоо зарылчылыгы тууралуу маалымат

Токтом долбоорунун ченемдерин ишке ашыруу кошумча каржылоону талап кылбайт.

7. Жөнгө салуу таасирин талдап-иликтөө тууралуу маалымат (АРВ)

2022-жылдын 2-ноябрындагы № 2022-Пр-141/231-О буйругунун негизинде түзүлгөн жумушчу топ Кыргыз Республикасынын Министрлер Кабинетинин токтому менен бекитилген Ишкердик субъекттеринин ишине ченемдик укуктук актылардын жөнгө салуучу таасирин талдоо методикасына ылайык токтом долбоорунун жөнгө салуучу таасирине талдоо жүргүзүлүүдө.

ДОЛБООР

Улуттук банк Башкармасынын

2022-жылдын _______________ № _________________________

токтомуна карата тиркеме

Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө

ЖОБО

1-глава. Жалпы жоболор

1. Бул Жобонун максаты төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугунун деңгээлин жогорулатууга, ошондой эле кыянатчылардын аракеттеринен, авариялык бузулуулардан жана персоналдын катачылыгынан келип чыккан мүмкүн болуучу жоготууларды минималдаштырууга багытталган төлөм системаларынын операторлору жана төлөм уюмдары үчүн бирдиктүү талаптарды белгилөө болуп саналат.

2. Ушул Жобонун максаттары үчүн төлөм системасы боюнча Кыргыз Республикасынын Улуттук банкынын (мындан ары - Улуттук банк) ченемдик укуктук актыларында колдонулган аныктамалар, ошондой эле төмөнкү аныктамалар колдонулат:

Автоматташтырылган система - бул ишти автоматташтыруу боюнча каражаттардын аппараттык-программалык комплексинен, белгиленген функцияларды аткаруунун маалыматтык технологияларын ишке ашырган ыкмалардан жана иш-чаралардан турган система.

Авторизация – белгилүү бир объектке/субъектке системада аткарган ролуна ылайык айрым иш-аракеттерди аткарууга укук берүү процесси.

Аутентификация - объекттин/субъекттин аларга ыйгарылган идентификаторго таандыгын текшерүү же анын аныктыгын тастыктоо.

Маалыматтык активдин жеткиликтүүлүгү – маалыматтык активдер авторизацияланган пайдалануучуга зарыл болгон түрдө жана жерде, ошондой эле зарыл болгон убакытта сунуштала турган, төлөм системаларынын операторлорунун/төлөм уюмдарынын маалымат коопсуздугунун өзгөчөлүгү.

Маалыматтык системанын иштөө цикли - бул маалыматтык системаны түзүү зарылчылыгы жөнүндө чечим кабыл алынган учурдан тартып башталып, аны пайдалануудан толук алып салган учурда аяктаган мезгил.

Идентификатор - субъекттин же пайдалануу объектисинин өзгөчө белгиси.

Идентификациялоо - объекттерге/субъекттерге идентификатор (өзгөчө аталыш) ыйгаруу же объекттин/субъекттин идентификаторун ыйгарылган идентификаторлордун тизмеги менен салыштыруу процесси.

Маалыматтык активдер - максаттарга жетүү көз карашынан алганда төлөм системаларынын операторлору/төлөм уюмдары үчүн баалуу жана аларды иштеп чыгуу, сактоо же берүү үчүн жарактуу болгон кайсы болбосун материалда сунушталган маалымат.

Маалымат системасы - маалыматты сактоо, издөө жана иштеп чыгуу үчүн каралган система жана алардын жардамы менен маалымат камсыздалып жана жайылтыла турган тиешелүү уюштуруу ресурстары.

Маалыматтык активдин купуялуулугу - бул, төлөм системаларынын операторлорунун/төлөм уюмдарынын ресурстарынын маалыматтык активдерди иштеп чыгуу, сактоо жана өткөрүп берүүдөн турган абалы, алар маалыматтык активдер авторизацияланган пайдалануучуларга, системанын объекттерине же процесстерге жеткиликтүү болгондо гана жүзөгө ашырылат.

Объект - маалыматтан пайдаланууга уруксат сураган, маалымат системасында аткарылуучу процесс.

Пароль - бул, пайдалануучунун ыйгарым укуктарын тастыктоого арналган, белгилердин купуя топтому.

Автоматташтырылган системаны пайдалануучу – бул, автоматташтырылган системада катталган жана анын ресурстарын пайдалануучу субъект же объект (төлөм системасынын кызматкерлери, катышуучулары);

Санкциялоо – бул, пайдалануучуга анын кызматтык милдеттеринин негизинде системада белгилүү бир аракеттерди аткаруу мүмкүнчүлүгүн сунуштоо (уруксат берүү) боюнча иш-аракет. Бир да пайдалануучуга кандайдыр бир маалыматты же тиркемени атайын санкциясыз пайдаланууга уруксат берилбейт.

Субъект - маалыматтан пайдаланууга уруксат сураган пайдалануучу.

Токен («ачкыч») – USB-брелок түрүндөгү чакан түзүлүш же пайдалануучуну авторизациялоо, электрондук кат алышууларды коргоо, маалымат ресурстарынан аралыкта туруп коопсуз пайдалануу, ошондой эле кайсы болбосун өздүк маалыматтарды ишенимдүү сактоо үчүн колдонулат.

Маалымат активинин бүтүндүгү - төлөм системаларынын операторлорунун/төлөм уюмдарынын өздөрүнүн маалымат активдеринде өзгөрүлбөстүктү сактоо же өзгөрүү фактысын аныктоо жагында маалымат коопсуздугунун өзгөчөлүгү.

3. Маалымат коопсуздугун башкаруу системасы төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун иштеп чыгуу, колдонууга киргизүү, иштетүү, мониторинг жүргүзүү, талдоо, колдоо жана жакшыртуу үчүн бизнес-тобокелдиктерди баалоо методдорун колдонууга негизделген жалпы башкаруу системасынын бөлүгү болуп саналат.

4. Кыргыз Республикасынын Улуттук банкы (мындан ары - Улуттук банк) төлөм системаларынын операторлорунун жана төлөм уюмдарынын ушул Жободо, ошондой эле төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун сактоо жагында Улуттук банктын башка ченемдик укуктук актыларында белгиленген талаптарды сактоосун текшерүүгө укуктуу.

5. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын жетекчилиги анын бүткүл маалымат системасынын пайдаланылышы жана иштеши үчүн, анын ичинде агенттердин жана субагенттердин аракеттери үчүн толук жоопкерчиликтүү болот.

6. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу системасын башкарууда пландаштыруу, ишке ашыруу, текшерүү жана өркүндөтүү сыяктуу процесстерди үзгүлтүксүз колдонууга тийиш.

7. Маалымат коопсуздугу боюнча талаптар комплекстүү өз ара байланышта жана маалыматтык системалардын иштөө циклинин бардык стадиялары боюнча үзгүлтүксүз болууга тийиш.

2-глава. Маалымат коопсуздугу боюнча документтерге коюлган талаптар

8. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу максатында документациянын эки деңгээли иштелип чыгышы зарыл:

- жалпы саясат;

- жеке саясат (маалымат коопсуздугун камсыз кылуу практикасын жөнгө салуучу документтер) жана маалыматтык коопсуздукту камсыз кылуу боюнча операциялык жол-жоболор.

9. Жалпы саясат төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча башкаруу ыкмаларын чагылдырууга, коопсуздукту камсыз кылуунун жалпы принциптерин жана максаттарын, маалымат коопсуздугун камсыз кылуу максатына жетүү үчүн чаралардын системасын, ыкмаларын баяндоого тийиш. Төлөм системаларынын операторлору жана төлөм уюмдарына маалымат коопсуздугу боюнча саясатты ишке ашырууга жооптуу ыйгарым укуктуу адам дайындалышы зарыл.

10. Коопсуздукту камсыздоо практикасын жөнгө салуучу жеке саясат (мындан ары - жеке саясат) жетекчилик тарабынан коюлган максаттарды колдоону чагылдырууга жана маалымат коопсуздугу боюнча саясаттын талаптарын аткаруу үчүн зарыл болгон кеңири чараларды аныктоочу жалпы принциптерди андан ары толук чагылдырууга тийиш.

11. Төлөм системаларынын операторлору жана төлөм уюмдары маалымат коопсуздугу боюнча жеке саясатта чагылдырылган маалымат коопсуздугун талап кылуу боюнча талаптар төмөнкү эң маанилүү чөйрөлөр үчүн аныкталууга тийиш:

- персоналга талаптар;

- дайындоо, ролдорду бөлүштүрүү жана маалымат системасында каттоо;

- маалымат коопсуздугунун тобокелдиктерин башкаруу процесси;

- иш үзгүлтүксүздүгүн камсыз кылуу;

- автоматташтырылган системалардын иштөө циклинин стадияларында маалымат коопсуздугун камсыз кылуу;

- автоматташтырылган системаларда бардык аракеттерди каттоо;

- вирустан коргоо;

- интернет тармагынын ресурстарын колдонуу;

- резервдик көчүрүү жана калыбына келтирүү;

- бүлүнүүдөн сактоо;

- маалымат коопсуздугунун инциденттерин башкаруу ж.б.

12. Коопсуздукту камсыз кылуу үчүн операциялык жол-жоболору боюнча документтер керектүү практикаларды колдонууга киргизүүнү камсыз кылуучу техникалык деңгээлдеги практикалык ыкмалардын сыпаттамасын камтууга тийиш. Жол-жоболор төлөм системаларынын операторлорунун жана төлөм уюмдарынын саясаттарына ылайык келүүгө тийиш.

13. Төлөм системаларынын операторлору жана төлөм уюмдары аткарылган иштин жана маалымат коопсуздугун камсыз кылуу боюнча аракеттердин күбөлүктөрүн (отчетторду, актыларды, журналдарды) камтыган документтердин болушун жана сакталышын камсыз кылууга жана төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылууга тиешелүү документтердин талаптарын ишке ашырууда жетишилген натыйжаларды (аралык жана акыркы) чагылдырууга тийиш.

3-глава. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын персоналына коюлган талаптар

14. Улуттук банк Башкармасынын 2019-жылдын 30-сентябрындагы № 2019-П-14/50-2-(ПС) токтому менен бекитилген "Төлөм уюмдарынын жана төлөм системаларынын операторлорунун ишин жөнгө салуу жөнүндө" жобосунда белгиленген талаптарга ылайык төлөм системаларынын операторлору жана төлөм уюмдары персоналга ээ болууга тийиш (мындан ары – Жөнгө салуу жөнүндө жобо).

15. Төлөм системаларынын операторлору жана төлөм уюмдары ишке кабыл алуу жол-жоболорун иштеп чыгышы зарыл, алар төмөнкүлөрдү камтууга тийиш:

- берилген документтердин аныктыгын, билдирилген квалификациясын, биографиялык фактылардын тактыгын жана толуктугун текшерүү;

- кесиптик көндүмдөрдү текшерүү жана кесиптик жарамдуулугун баалоо.

16. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын бардык кызматкерлери маалымат коопсуздугун камсыз кылуу боюнча талаптар менен жазуу жүзүндө таанышууга тийиш.

17. Маалымат коопсуздугун камсыз кылуу үчүн жооптуу бөлүм же ыйгарым укуктуу адам төлөм системаларынын операторлорунда жана төлөм уюмдарында маалымат коопсуздугун уюштуруу үчүн жоопкерчилик тартат жана ишке ашырат, ошондой эле маалымат коопсуздугу чөйрөсүндөгү коркунучтар жөнүндө маалыматты системалуу негизде актуалдаштырууга, төлөм системаларынын операторлорунун жана төлөм уюмдарынын жетекчилигине жана кызматкерлерине коркунучтар жөнүндө өз убагында маалымдоого, ошондой эле бул коркунучтарга каршы туруу максатында персоналдын маалымдуулугунун жалпы деңгээлин жогорулатууга багытталган иш-чараларды жүргүзүүгө тийиш.

18. Маалымат коопсуздугун камсыз кылуу үчүн жооптуу бөлүмдүн же ыйгарым укуктуу адамдын функцияларына ишти маалымат технологиялары бөлүмүнүн функциялары менен айкалыштыруу кирбеши зарыл.

Мындан тышкары, кызматтык нускоолордо кызыкчылыктардын кагылышын болтурбоо үчүн маалымат технологиялары бөлүмүнүн кызматкерлерине мүнөздүү болгон функционалдык милдеттер камтылбашы зарыл.

19. Маалымат коопсуздугун камсыз кылууга жооптуу бөлүмдүн же ыйгарым укуктуу адамдын кызматтык милдеттери төмөнкүлөрдү камтууга тийиш:

1) төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугу чөйрөсүндөгү ички ченемдик документтердин жана ченемдик укуктук актылардын ишке ашыруусун контролдоо;

2) маалымат коопсуздугунун коргоо даражасын талдоо;

3) маалымат коопсуздугу боюнча ички ченемдик документтерди иштеп чыгуу.

20. Маалымат коопсуздугун камсыз кылуу боюнча талаптарды аткаруу жагында персоналдын милдеттери жана жоопкерчиликтери алардын кызматтык нускоолорунда камтылууга тийиш.

21. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлери тарабынан маалымат коопсуздугун камсыз кылуу боюнча талаптарды аткарбагандыгы же талаптагыдай аткарбагандыгы кызматтык милдеттерин аткарбагандыгы менен теңештирилет.

4-глава. Дайындоо, ролдорду бөлүштүрүү жана автоматташтырылган системада каттоо

22. Төлөм системаларынын операторлорунда жана төлөм уюмдарында кызматкерлердин ролдорун, анын ичинде маалымат коопсуздугун камсыздоо боюнча ролдорду камтыган документ иштелип чыгып, кабыл алынышы зарыл.

23. Автоматташтырылган системада кызматкерлердин ыйгарым укуктарын так чектөөнү камсыз кылган ролдор аныкталууга тийиш.

24. Кызматкерлерге автоматташтырылган системага кирүү мүмкүнчүлүгүн берүүдө колдонуучуларды авторизациялоо, идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылууга тийиш. Колдонуучуга идентификаторду берүүдөн мурун колдонуучунун инсандыгын текшерүү жүргүзүлүшү зарыл. Система колдонуучуга идентификатор берген аткаруучуну жазууга тийиш.

25. Автоматташтырылган системанын бардык колдонуучуларынын иши уникалдуу эсептик каттоо түрүндө жүзөгө ашырылууга тийиш.

26. Кызматкерлердин жана төлөм системасынын катышуучуларынын маалыматтык активдерге жетүү укуктарын бөлүштүрүүдө төлөм системаларынын операторлору жана төлөм уюмдары төмөнкү принциптерди жетекчиликке алуусу зарыл:

- “кызматкериңди бил” (Know your Employee) – төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлеринин өз милдеттерине болгон мамилеси жана мүлктү кыянаттык менен пайдалануу, коопсуздук көйгөйлөрүнө алып келиши мүмкүн болгон каржылык кыйынчылыктар сыяктуу келип чыгышы мүмкүн болгон көйгөйлөр жөнүндө төлөм системаларынын операторлорунун жана төлөм уюмдарынын тынчсыздануусун көрсөткөн принцип;

- "билүү зарыл" (Need to Know) - белгилүү бир милдеттерди аткаруу талап кылынган маалыматтарды иштеп чыгуу боюнча ресурстарга жана маалыматка жеткиликтүүлүктү чектеген коопсуздук принциби;

- "азыраак артыкчылык" - белгилүү бир операцияны аткаруу үчүн колдонуучу минималдуу зарыл артыкчылыктарды алууга же берүүгө тийиштигин билдирген принцип.

27. Төлөм системаларынын операторлорунда жана төлөм уюмдарында маалыматтык активдердин тизмеги (автоматташтырылган система жана алардын түрлөрү) жана кызматкерлердин жана катышуучулардын бул активдерден колдонуу мүмкүнчүлүгүнүн укуктары документтештирилүүгө тийиш.

28. Ролдорду түзүү төлөм системаларынын операторлорунун жана төлөм уюмдарынын учурдагы бизнес-процесстеринин негизинде ишке ашырылууга тийиш жана ыйгарым укуктардын концентрациясын жоюу жана маалымат активдеринин жеткиликтүүлүк, бүтүндүк же купуялуулук өзгөчөлүктөрүн жоготууга байланышкан маалымат коопсуздугу боюнча инциденттердин тобокелдигин азайтуу максатында жүзөгө ашырылууга тийиш.

29. Төлөм системаларынын операторлорунда жана төлөм уюмдарында «артыкчылык берилген жеткиликтүүлүккө», тактап айтканда: тобокелдиктерди азайтуу жана маанилүү автоматташтырылган системалардын коопсуздугун камсыз кылуу максатында автоматташтырылган системаларга кирүү укуктары жогорулатылган эсептик каттоолору (администратордун укугу берилген эсептик каттоолор) көзөмөлгө алынууга тийиш.

30. Ар бир ролго алардын аткарылышы үчүн жооптуу адамдар дайындалышы зарыл. Кызматкерлердин жоопкерчилиги алардын кызматтык нускоолорунда жазылууга тийиш.

31. Системада колдонуучулардын аутентификациясы алынган маалыматтын маанилүүлүгүнө ылайык келиши зарыл жана аутентификациянын бир же бир нече механизминин негизинде жүзөгө ашырылууга тийиш:

- "бир нерсе билүү" билими боюнча (пароль, ПИН-код);

- "бар нерсеге ээлик кылуу" боюнча (смарт-карта, токен);

- колдонуучунун “ким экендигин” мүнөздөөчү жеке таандык маалыматтар (манжалардын изи же башка биометрикалык маалыматтар).

Эки факторлуу аутентификация ушул үч механизмдин каалаган экөөнү камтыйт: адам "бир нерсени билет" жана "бир нерсеге ээ" же "кимдир бирөө".

32. Каттоо жана колдонуучуга кирүү укуктарын өзгөртүү боюнча окуялар системанын окуялар журналына жазылууга тийиш.

33. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлеринин санкцияланбаган кирүүдөн, санкцияланбаган аракеттерден, төлөм системасынын катышуучуларын жана төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлерин каттоо, идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл болгон маалыматтардын бүтүндүгүн бузуудан коргоону камсыз кылууга багытталган коргоо чараларын колдонот. Мындай маалыматка уруксат берилбеген жана санкцияланбаган кирүүгө жасалган бардык аракеттер окуялар журналында катталууга тийиш.

34. Кызматкерлерге автоматташтырылган системага жана корпоративдик тейлөөгө аралыктан кирүү мүмкүнчүлүгү берилген учурда, төлөм системаларынын операторлору жана төлөм уюмдары көп факторлуу аутентификация технологиясын колдонууга киргизүүгө тийиш.

35. Кызматкерлер жумуштан бошотулганда же автоматташтырылган системанын маалыматынан пайдалануу мүмкүнчүлүгү бар төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлеринин кызматтык милдеттери өзгөргөндө, алардын автоматташтырылган системага кирүү укуктары блокко коюлууга же өзгөртүлүүгө тийиш.

36. Төлөм системаларынын операторлорунда жана төлөм уюмдарында пароль саясаты иштелип чыгып, ишке ашырылууга тийиш. Пароль саясаты, эң аз дегенде, төмөнкүдөй негизги эрежелерди жана компоненттерди камтууга тийиш:

- паролдун татаалдыгына жана узундугуна карата талаптар;

- материалдык сактагычтарда паролду жазып коюуга жана сактоого жол берилбестиги боюнча талаптар;

- саясатты бузгандыгы үчүн колдонуучулардын жоопкерчилиги.

37. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын кызматкерлерине пароль саясаты белгилүү болууга жана иштин жүрүшүндө анын талаптарын так сактоого тийиш.

38. Төлөм системаларынын операторлору жана төлөм уюмдары маалымат коопсуздугу саясатынын талаптарын сактоо боюнча сунуштарды төмөнкүлөр үчүн иштеп чыгат:

- төлөм системасына кирүү мүмкүнчүлүгү бар төлөм системасынын катышуучуларына (агенттер, субагенттер);

- электрондук капчык ээлерине (эгерде электрондук акча менен эсептешүү системасы болгон шартта);

- мобилдик тиркемелердин пайдалануучулары, анын ичинде агенттердин мобилдик тиркемелери (мобилдик тиркемелери болгон шартта);

жана колдонуучуларга алар менен иштөө процессинде бул талаптардын сакталышы жөнүндө маалымдоо боюнча иштерди жүргүзүү.

5-глава. Маалымат коопсуздугунун тобокелдиктерин башкаруу процессине карата талаптар

39. Төлөм системаларынын операторлорунда жана төлөм уюмдарында төлөм системасында тобокелдиктерин башкаруунун жалпы саясаты менен интеграцияланган маалымат коопсуздугунун тобокелдиктерин башкаруу саясаты иштелип чыгууга тийиш.

40. Төлөм системаларынын операторлору жана төлөм уюмдары активдердин баалуулугун, чабал жактарын, коркунучтарды жана тобокелдиктерди аныктоого тийиш. Аныкталган тобокелдиктер сандык же сапаттык жактан бааланууга тийиш. Төлөм системаларынын операторлору жана төлөм уюмдары тобокелдиктерди иштеп чыгуу үчүн тиешелүү чараларды жана контролдоо каражаттарын аныктоого тийиш.

41. Тобокелдиктерди баалоо процессин уюштуруу ISO 27005 маалымат коопсуздугунун эл аралык стандартына же ушул сыяктуу стандарттарга негизделиши мүмкүн.

6-глава. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын ишмердүүлүгүнүн үзгүлтүксүздүгү

42. Иш үзгүлтүксүздүгүн камсыз кылуу максатында төлөм системаларынын операторлорунда жана төлөм уюмдарында төмөнкүлөр иштелип чыгышы зарыл:

- иштин үзгүлтүксүздүгү саясатында иштин үзгүлтүксүздүгүн камсыз кылуу үчүн зарыл болгон жетектөөчү принциптер жана аларга жүктөлгөн милдеттерди аткаруу үчүн ролдорго зарыл болгон ыйгарым укуктар камтылууга тийиш;

- иш-аракеттерди калыбына келтирүү планында маанилүү системалардын жана функциялардын иш жөндөмдүүлүгүн ыкчам калыбына келтирүүнү камсыз кылган жол-жоболор сүрөттөлүшү зарыл. План мезгил-мезгили менен тесттен өткөрүлүп турууга тийиш.

7-глава. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын автоматташтырылган системаларынын иштөө циклинин коопсуздугу

43. Төлөм системаларынын операторлорунун жана төлөм уюмдарынын автоматташтырылган системасынын иштөө циклинин бардык стадияларында автоматташтырылган системаларды комплекстүү коргоону камсыз кылууга тийиш (долбоорлоо, ишке ашыруу, тестирлөө, кабыл алуу, пайдаланууга берүү, коштоо, модернизациялоо, пайдалануудан алып салуу документтештирилип жана жетекчилик тарабынан бекитилүүгө тийиш). Мында тестирлөө өнөр жай чөйрөсүнө окшош тест жүргүзүү чөйрөсүндө өткөрүлүүгө тийиш.

44. Төлөм системаларынын операторлору жана төлөм уюмдары лицензияланган программалык камсыздоону гана колдонушу зарыл, ачык баштапкы же жеке иштелип чыккан коду бар программалык камсыздоо жетекчи тарабынан бекитилген документтердин толук топтому болгон шартта (техникалык тапшырма, сыноо программасы жана методикасы, сыноо актысы жана журналы, пайдаланууга киргизүү актысы) уруксат берилет.

8-глава. Окуяларды каттоо журналын түзүү

45. Төлөм системаларынын операторлорунда жана төлөм уюмдарында маалыматтык коопсуздукка аудит жүргүзүү жана окуялардын жүрүшүн калыбына келтирүү жана отчетторун түзүү үчүн каражат катары автоматташтырылган системада, персоналдык компьютерде, сервердик жана тармактык жабдууларда, маалымат базаларында жүргүзүлгөн иш-чараларды каттоо (логизациялоо) журналын жүргүзүү камсыз кылынууга тийиш. Окуяларды каттоо журналы бардык колдонуучулардын иш-аракеттерин, анын ичинде жогорку артыкчылык берилген эсептик каттоолорду (root, администратор, sysdba, dba) камтышы зарыл.

46. Окуяларды каттоо журналындагы маалыматка мониторинг жана талдоо күн сайын автоматташтырылган системанын администраторлору (техникалык колдоо персоналы), анын ичинде автоматташтырылган системаларды колдонуу менен жүргүзүлүшү керек жана бардык стандарттык эмес коопсуздук жагдайлары иликтениши зарыл.

47. Окуяларды каттоо журналынын маалыматы электрондук түрдө талаптагыдай автоматташтырылган системанын иштетилген маалыматтарын сактоо мөөнөтүнө барабар мезгил аралыгында, бирок 2 (эки) жылдан кем эмес мөөнөттө сакталууга тийиш.

48. Окуяларды каттоо журналынын маалыматы кокустан же атайылап жок кылынуудан, модификациялоодон же фальсификациялоодон корголушу керек. Журналды өчүрүү, каттоо журналындагы маалыматты жок кылуу, модификациялоо же фальсификациялоо инцидент катары каралууга тийиш.

9-глава. Вирустин коргоо

49. Төлөм системаларынын операторлорунда жана төлөм уюмдарында расмий түрдө сатып алынган (лицензияланган) гана вирустан коргоо каражаттары колдонулушу зарыл. Автоматташтырылган системанын автоматташтырылган жумуш орундарында жана серверлеринде вирустан коргоо каражаттарын орнотуу жана туруктуу негизде жаңылоо жооптуу администраторлор тарабынан ишке ашырылууга тийиш.

50. Төлөм системаларынын операторлорунда жана төлөм уюмдарында вирустан коргоону камсыз кылууда маалыматтык процесстердин өзгөчөлүгүн эске алуу менен вирустан коргоо боюнча нускоону иштеп чыгуу жана ишке киргизүү керек. Вирустан коргоо жол-жоболорунун талаптарын аткаруу үчүн жоопкерчилик персоналдык компьютерге жана/же автоматташтырылган системага кирүү мүмкүнчүлүгү бар төлөм системаларынын операторлорунун жана төлөм уюмдарынын ар бир кызматкерине жүктөлүшү керек.

51. Орнотулган же өзгөртүлгөн программалык камсыздоо вирустардын жоктугу боюнча алдын ала текшерилиши зарыл. Компьютердик вирус аныкталса, аны зыянсыздандыруу жана жумуш орундарынын иштөө жөндөмдүүлүгүн калыбына келтирүү боюнча чаралар көрүлүүгө тийиш.

52. Вирустан коргоо каражаттарын өчүрүүгө же жаңыртпоого жол берилбейт. Вирустан коргоо каражаттарын орнотуу жана жаңылоо жооптуу кызматкерлер тарабынан көзөмөлдөнүшү зарыл.

10-глава. Интернет тармагынын ресурстарын колдонуу

53. Төлөм системаларынын операторлорунда жана төлөм уюмдарында ички эсептөө тармактарын сегментациялоо жана тармактар аралык экрандаштыруу, ошондой эле интернет тармагы менен өз ара иш алып барууда ички эсептөө тармактарын коргоо чаралары колдонулушу зарыл.

54. Төлөм системаларынын операторлору/төлөм уюмдары маалыматты коргоо каражаттарынын жана системаларынын ишке багыттоо параметрлерин, төлөм системаларынын операторлорунун/төлөм уюмдарынын эсептөө тармактарын коргоону өзгөртүүлөрдү каттоо боюнча чараларды көрүүгө милдеттүү.

55. Төлөм системаларынын операторлорунда жана төлөм уюмдарында төлөм системаларынын операторлорунун жана төлөм уюмдарынын жетекчилиги тарабынан интернет тармагын колдонуунун максаты аныкталышы жана бекитилиши керек. Интернетти белгисиз максаттарда колдонууга тыюу салуу зарыл.

56. Төлөм системаларынын операторлору жана төлөм уюмдары маалымат коопсуздугун камсыз кылууга жооптуу түзүмдүк бөлүм тарабынан көзөмөлдү камтыган интернет-ресурстарды туташтыруу жана пайдалануу тартибин аныктоосу зарыл.

57. Интернет тармагы менен өз ара иш алып баруу маалымат коопсуздугунун бузулушунун жогорку тобокелдигине байланыштуу мобилдик тиркемелер аркылуу кардарларды аралыктан тейлөөнү жүзөгө ашыруучу төлөм системаларынын операторлорунда жана төлөм уюмдарында маалыматты белгиленген форматта жана конкреттүү технология үчүн гана кабыл алууну жана берүүнү камсыз кылуучу маалыматты коргоо каражаттары колдонулушу зарыл.

58. Аралыктан тейлөөнү жүзөгө ашырууда авторизацияланган кардардын иш сеансынын ичинде кара ниеттик менен алмаштыруу мүмкүнчүлүгүн болтурбоочу коргоо чаралары колдонулууга тийиш.

59. Мобилдик тиркемелер менен иштөөнүн бүтүндөй сессиясынын аралыгында кардарлардын бардык операциялары идентификация, аутентификация жана авторизация жол-жоболорун аткаргандан кийин гана аткарылууга тийиш. Иш сессиясынын убактысы бүткөн учурда (байланыш үзүлгөндө же бузулганда) аталган жол-жоболордун кайра аткарылышын камсыз кылуу зарыл.

60. Интернет тармагы аркылуу почта менен алмашуу коргоо чараларын колдонуу жана спамдын жайылышына каршы аракеттерди жасоо менен ишке ашырылууга тийиш.

61. Интернет тармагы менен өз ара иш алып барууда кыянатчылардын чабуулдарына каршы коргонуу чаралары колдонулушу зарыл.

11-глава. Резервдик көчүрүү жана калыбына келтирүү

62. Төлөм системаларынын операторлорунда жана төлөм уюмдарында иштетилген жана жүргүзүлгөн төлөмдөр боюнча резервдик көчүрмөлөр түзүлүүгө тийиш.

63. Маалыматтарды алып жүрүүчүлөр катары маалымат сактоочу түзүлүштөр: катуу дисктер, магниттик ленталары, жазылуучу оптикалык санарип дисктери ж. б. колдонулушу зарыл.

64. Бардык резервдик көчүрмөлөр сакталган маалыматты, эсептик номерин жана көчүрмө түзүлгөн датаны көрсөтүү менен маркерленүүгө тийиш.

65. Резервдик көчүрмөлөр (же алардын дубликаттары) санкцияланбаган кирүүдөн коргоону, электр магниттик нурлардан коргоону, жылуулук таасирлеринен коргоону, механикалык таасирлерден коргоону камсыз кылуучу алыскы жайларда, ошондой эле абанын ички температурасын жана нымдуулугун белгиленген деңгээлде кармоодо сакталууга тийиш.

66. Төлөм системаларынын операторлорунда жана төлөм уюмдарында ички документтерге ылайык резервдик көчүрмөлөрдүн архивинин маалыматтарын мезгил-мезгили менен тестирлөө жана калыбына келтирүү жол-жоболору ишке ашырылууга тийиш.

12-глава. Маалымат коопсуздугунун инциденттерин башкаруу процессине карата талаптар

67. Маалымат коопсуздугунун инциденттерин жана чабал жактарын башкаруу Улуттук банк Башкармасынын 2019-жылдын 2-сентябрындагы П-14/46-2-(ПС) токтому менен бекитилген “Төлөм системасындагы өзгөчө кырдаалдар жөнүндө” жободо, ошондой эле Улуттук банктын башка ченемдик укуктук актыларында белгиленген төлөм системаларынын операторлоруна жана төлөм системаларынын катышуучуларына карата талаптарды эске алуу менен иштелип чыккан жана так колдонулган процесстердин негизинде жүзөгө ашырылат.

68. Төлөм системаларынын операторлору жана төлөм уюмдары инциденттерди жана чабал жактарды идентификациялоого тийиш жана аларга баа берилип, маалымат коопсуздугунун мындай инциденттеринин келип чыгышын алдын алуу боюнча чаралар көрүлүшү зарыл. Кемчиликтер четтетилүүгө тийиш.

69. Маалымат коопсуздугунун инциденттерин талдоонун натыйжалары, ошондой эле маалымат коопсуздугунун инциденттеринин келип чыгуу ыктымалдыгын жана андан улам зыян тартууну азайтуу боюнча сунуш-көрсөтмөлөр маалымат коопсуздугунун тобокелдигин баалоо үчүн андан ары колдонулушу зарыл.

Долбоор

АНАЛИТИКАЛЫК КАТ

КЫРГЫЗ РЕСПУБЛИКАСЫНЫН УЛУТТУК БАНКЫ

БЕКИТЕМ

Кыргыз Республикасынын

Улуттук банкынын төрагасы

Боконтаев К.К.

__________________

(кол тамгасы)

20___ -жылдын ___- __________

«Төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптар жөнүндө» жобонун долбооруна карата

ЖӨНГӨ САЛУУЧУ ТААСИРИН ТАЛДОО

Иштеп чыгуу үчүн негиз: Улуттук банктын 2022-жылдын 2-ноябрындагы № 2022-Пр-141/231-О буйругу

Жөнгө салуучу таасирин талдоо мөөнөтү: 2022-жылдын ноябры 2022-жылдын декабры

(башталышы) (аякташы)

Жумушчу топ:

№	Аты-жөнү	Кол тамгасы	Уюму
1.	Султаналиев А.З.		Улуттук банктын Төлөм системалары башкармалыгынын начальниги, жумушчу топтун жетекчиси
2.	Акулуева М.Ш.		Улуттук банктын Төлөм системалары башкармалыгынын төлөм системасынын методологиясы, анализдөө жана өнүктүрүү бөлүмүнүн начальниги
3.	Бардинов Э.Д.		Улуттук банктын Төлөм системалары башкармалыгынын төлөм системасына көзөмөлдүк жана контролдоо бөлүмүнүн жетектөөчү адиси
4.	Мамбеталиева А.З.		Улуттук банктын Төлөм системалары башкармалыгынын төлөм системасынын методологиясы, анализдөө жана өнүктүрүү бөлүмүнүн жетектөөчү адиси (жумушчу топтун катчысы)
5.	Жунушалиев А.Н.		Улуттук банктын Төлөм системалары башкармалыгынын төлөм системасынын операторлору жана төлөм уюмдары бөлүмүнүн адиси
6.	Абдылдаев К.У.		Абдылдаев, Улуттук банктын Коопсуздук жана маалыматтык коргоо башкармалыгынын банк жана төлөм системаларынын маалымат коопсуздугу методологиясы тобунун башкы администратору
7.	Адилов Т.		«KG (КЕЙ ДЖИ) төлөм системаларынын операторлору ассоциациясы» юридикалык жактар бирикмесинин өкүлү (макулдашуу боюнча)
8.	Безуглов А.Л.		«KG (КЕЙ ДЖИ) төлөм системаларынын операторлору ассоциациясы» юридикалык жактар бирикмесинин өкүлү (макулдашуу боюнча)

Жооптуу кызматкер менен байланышуу үчүн маалымат: Мамбеталиева А.З., Кыргыз Республикасынын Улуттук банкынын Төлөм системалары башкармалыгынын төлөм системаларынын методологиясы, анализдөө жана өнүктүрүү бөлүмүнүн жетектөөчү адиси (жумушчу топтун катчысы), тел. 66-90-99, e-mail: azmambetalieva@nbkr.kg.

Көлөмү: ________ барак.

I. Проблемалар жана жөнгө салууну өзгөртүү үчүн негиздер

1. Проблемаларды чагылдыруу

Санарип технологиялардын өнүгүшү жана накталай эмес эсептешүүлөрдүн өсүшү менен бирге маалымат системаларына чабуулдун да түрү көбөйүүдө. Муну менен катар, төлөм системаларынын кооптуулукка дуушарлануусунун санын азайтуу, маалымат базаларынын бүтүндүгүн камсыздоо жана башкалар үчүн маалымат коопсуздугун камсыз кылууга талаптарды күчөтүү зарылдыгы келип чыгууда.

Кыргыз Республикасынын "Кыргыз Республикасынын төлөм системасы жөнүндө" мыйзамынын 26-беренесинин 2-бөлүгүнүн 4-пунктуна ылайык, Улуттук банк төлөм системаларынын операторлорунун жана төлөм системаларынын катышуучуларынын ишин жөнгө салуу функцияларын жүзөгө ашыруу максатында төлөм системасынын маалымат коопсуздугу, ишенимдүүлүгү, үзгүлтүксүздүгү боюнча талаптарды белгилөөгө милдеттүү.

Ченемдик укуктук актыларды өркүндөтүүнүн алкагында маалымат коопсуздугун камсыз кылуу максатында төлөм системаларынын операторлоруна жана төлөм уюмдарына карата талаптарды белгилөө зарыл.

Кызыкдар тараптар:

1) жөнгө салуучу орган – Улуттук банк;

2) төлөм системаларынын операторлору жана төлөм уюмдары;

3) кызматтардан пайдалануучулар – жеке жана юридикалык жактар.

2. Проблеманын масштабы

Бүгүнкү күндө Кыргыз Республикасынын аймагында төлөм системасынын операторунун жана төлөм уюмунун лицензияларына ээ 23 уюм иштейт. Ар бир уюм төлөм системасынын операторунун жана төлөм уюмунун лицензиясына ээ.

Негизинен, төлөм системаларынын операторлору жана төлөм уюмдар резиденттердин жана резидент эместердин товарларын/кызматтарын сунуштоочулардын кызматтары үчүн жеке жактардан төлөмдөрдү, анын ичинде бүткүл өлкө боюнча төлөм терминалдары аркылуу мамлекеттик бюджеттин пайдасына кабыл алат, төлөмдөрдү иштеп чыгат жана алуучуларга бөлүштүрөт.

Мындан тышкары, алар төлөмдөрдү алуу үчүн бири-бири менен, коммерциялык банктар жана жеке жактар менен агенттик келишимдик мамилелерди түзүшөт. Аны менен “төлөм” төлөм системасынын бир нече катышуучусу аркылуу төлөөчүдөн алуучуга өтөт. Ушундайча, катышуучулар төлөмдөрдү жүргүзүү жана алардын иштелип чыгуу чынжырчасына тартылат.

3. Жөнгө салууну өзгөртүү үчүн негиздер, проблеманы чечүүнүн актуалдуулугу

Азыркы учурда маалымат коопсуздугун камсыз кылуу боюнча талаптар Улуттук банктын төмөнкү ченемдик укуктук актылары менен жарым-жартылай жөнгө салынат:

1. Улуттук банк Башкармасы тарабынан 2019-жылдын 30-сентябрында №2019-П-14/50-2-(ПС) токтому менен кабыл алынган «Төлөм уюмдарынын жана төлөм системаларынын операторлорунун ишин жөнгө салуу жөнүндө» жобо;

2. Кыргыз Республикасынын Улуттук банк Башкармасынын 2016-жылдын 15-июнундагы № 25/8 токтому менен кабыл алынган Кыргыз Республикасынын төлөм системасында орун алышы ыктымал болгон тобокелдиктерди тескөө саясаты;

3. Кыргыз Республикасынын Улуттук банк Башкармасынын 2019-жылдын 2-сентябрындагы №2019-П-14/46-2-(ПС) токтому менен бекитилген "Төлөм системасындагы штаттан тышкаркы жагдайлар жөнүндө" жобо.

Эл аралык стандарттарга ылайык маалымат коопсуздугу боюнча маселелерди актуалдаштыруу үчүн төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыздоо талаптарын жөнгө салуучу ченемдик укуктук актыны иштеп чыгуу зарыл.

4. Эл аралык тажрыйба

Казакстан Республикасы. Казакстан Республикасынын Улуттук банк Башкармасынын 2016-жылдын 31-августундагы № 215 токтому менен бекитилген Төлөм уюмдарынын ишин уюштуруу эрежелеринин 6-главасы төлөм уюмдарынын программалык-техникалык каражаттарына жана маалымат коопсуздугун башкаруу системасы карата талаптарды жөнгө салат.

Россия Федерациясы. 2011-жылдын 27-июнундагы № 161-ФЗ Федералдык мыйзамынын 27-беренеси "Улуттук төлөм системасы жөнүндө" жана "Акча которууларды жүргүзүүдө маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө жана Россия Банкы тарабынан талаптардын сакталышын көзөмөлдөөнүн тартиби жөнүндө" жобо 2012-жылдын 9-июнундагы № 382-П "Акча каражаттарын которууда маалыматтык коопсуздукту камсыз кылуу боюнча талаптар" төлөм системасындагы маалыматты коргоону камсыз кылуу боюнча талаптарды жөнгө салат.

II. Сунушталган жөнгө салуу жөнүндө маалымат

5. Мамлекеттик жөнгө салуунун максаты

Төлөм системаларынын операторлору жана төлөм уюмдары талаптагыдай иштеши үчүн маалымат коопсуздугун камсыз кылуу жана маалымат коопсуздугу менен байланышкан тобокелдиктерди минималдаштыруу үчүн төлөм системаларынын операторлоруна жана төлөм уюмдарына талаптарды белгилөө.

6. Сунушталган жөнгө салуу

6.1. "Өзгөртүүсүз калтыруу" жөнгө салуу варианты.

6.2. Төлөм системасынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптарды жөнгө салуучу ченемдик укуктук актыны иштеп чыгуу жөнгө салуунун артыкчылыктуу варианты болуп саналат.

6.1. «Өзгөртүүсүз калтыруу» жөнгө салуу варианты

Маалымат системаларына чабуул көбөйгөндүгүнө, маалымат системаларынын жана төлөмдөрдү жүргүзүүнүн инновациялык ыкмаларынын өнүгүшү менен киберкоркунучтардын жаңы түрлөрүнүн пайда болушуна байланыштуу, бул чечим учурдагы көйгөйдү чечпейт. Ошондуктан, "Өзгөртүүсүз калтыруу" варианты жогорудагы маселени чечүүгө колдонулбайт.

6.2. «Ченемдик укуктук актынын долбоорун иштеп чыгуу» жөнгө салуу варианты

Ченемдик укуктук актыларды өркүндөтүү максатында төлөм системаларынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча талаптарды иштеп чыгуу жана кабыл алуу сунушталууда.

7. Жөнгө салуунун болжолдуу социалдык жана экономикалык натыйжаларды баалоо

7.1. Күтүлүп жаткан натыйжалуулук – маалымат коопсуздугу маселелери боюнча төлөм системаларынын операторлоруна жана төлөм уюмдарына карата талаптарды жөнгө салуучу ченемдик укуктук актынын болушу.

7.2. Экономикага, социалдык секторго жана экологияга карата күтүлүп жаткан таасири:

1) экономикага таасири: алгылыктуу, анткени маалымат коопсуздугу күчөтүлөт, ошону менен маалыматтын сыртка чыгып кетүүсүнөн же киберчабуулдардан болгон жоготуулар минималдуу болот;

2) социалдык чөйрөгө таасири: алгылыктуу, анткени кызмат колдонуучулар ишенимдүү уюмдар аркылуу төлөмдөрдү жүргүзүп жатканына ишенимдүү болушат;

3) экологияга таасири: экологиялык таасири жок. Накталай эмес төлөмдөрдү жана маалымат коопсуздугун коргоо боюнча иш-чараларды жүргүзүүдө жалпысынан зыяндуу заттар иштелип чыкпайт.

7.3. Жөнгө салуу адресаттарынын - кызыкдар тараптардын негизги топторуна күтүлгөн таасир:

- төлөм системаларынын операторлору жана төлөм уюмдары жана алардын агенттери/субагенттери: алгылыктуу, анткени маалымат коопсуздугу боюнча талаптарды сактоо алардын мүмкүн болуучу финансылык жоготууларын жана тобокелдиктерин жөнгө салат.

8. Сарптоолорду жана пайданы баалоо

8.1. Ишкердик субъекттеринин сарптоолорун жана пайдасын баалоо:

Төлөм системаларынын операторлорунун жана төлөм уюмдарынын сарптоолору маалымат коопсуздугун камсыз кылууга каралган бюджеттин чегинде күтүлөт.

Пайдасы: кыянатчылардын сырттан же алдамчылык менен ичтен жасалышы ыктымал болгон чабуулдарынын натыйжасында мүмкүн болуучу жоготууларды алдын алуу ж.б.

8.2. Мамлекеттик бюджеттен сарптоолорду жана пайданы баалоо

Мамлекеттик бюджеттен сарптоолор каралган эмес, анткени жөнгө салуу коммерциялык түзүмдөргө тиешелүү жана мамлекеттик бюджеттен субсидиялар талап кылынбайт.

9. Ишке ашыруудагы тобокелдиктерди баалоо

Жалпысынан маалыматтык коопсуздукту камсыз кылуу маселелери уюмдун ийгиликтүү иштеши үчүн маанилүү роль ойнойт. Ушуга байланыштуу, ишке ашыруу тобокелдиктери төмөн.

10. Атаандаштыкка таасирин баалоо

Талаптар бардык төлөм системаларынын операторлору жана төлөм уюмдары үчүн бирдей коюла тургандыктан, алардын ортосунда атаандаштык пайда болбошу керек. Эч кимге артыкчылык каралган эмес.

11. Кызыкдар тараптардын пикирлери

Кызыкдар тараптардын пикирлери тандалып алынат жана коомдук талкуулоо процессинде талдоого алынат.

12. Сунушталган жөнгө салууну тандоо негизи

2-вариант боюнча токтом долбоору кабыл алууга сунушталууга тийиш, анткени бул вариант ченемдик укуктук актыларды өркүндөтүү максатында иштелип чыккан.

13. Тиркеме

Аналитикалык катка төмөнкүлөр тиркелет:

- Ишкердик субъекттеринин ишине ченемдик укуктук актылардын жөнгө салуучу таасирин талдоо методикасына карата 1-тиркемеге ылайык форма боюнча ченемдик укуктук актынын долбоорун иштеп чыгуу жөнүндө билдирүү;

- Ишкердик субъекттеринин ишине ченемдик укуктук актылардын жөнгө салуучу таасирин талдоо методикасына карата 2-тиркемеге ылайык форма боюнча сунуштардын жана жооптордун реестри (болгон шартта);

1-тиркеме

2022-жылдын 4-ноябрындагы ченемдик укуктук актынын долбоорун иштеп чыгуу жөнүндө

БИЛДИРҮҮ

Кыргыз Республикасынын Улуттук банкы (мындан ары – Улуттук банк) төлөм системасынын операторлорунун жана төлөм уюмдарынын маалымат коопсуздугун камсыз кылуу боюнча ченемдик укуктук актынын долбоорун иштеп чыгуу, анын жөнгө салуучу таасирине талдап-иликтөө жүргүзүү, ошондой эле кызыкдар болгон жактардан сунуштарды кабыл алуу тууралуу билдирет.

1. Проблемалар жана негиздер.

Ченемдик актынын долбоорун иштеп чыгуу ченемдик актыларды өркүндөтүүгө жана маалымат системаларына жыл сайын чабуулдардын күчөп жатышына байланыштуу тобокелдиктерди минималдаштырууга багытталган.

2. Сунушталып жаткан жөнгө салуунун максаты – тобокелдиктерди минималдаштыруу максатында төлөм системасынын операторлору жана төлөм уюмдары тарабынан маалымат коопсуздугунун уюштурулушу жана сакталышы боюнча талаптарды белгилөө.

3. Сунушталып жаткан жөнгө салуудан күтүлүп жаткан пайдага жана артыкчылыктарга баа берүү:

- Улуттук банктын ченемдик укуктук актыларын өркүндөтүү;

- төлөм системаларынын операторлорунун жана төлөм уюмдарынын тобокелдиктерин минималдаштыруу.

4. Келип чыгышы мүмкүн болгон алгылыксыз натыйжаларга баа берүү:

Бул ченемдик укуктук актыны кабыл алуу алгылыксыз кесепеттерге алып келбейт.

5. Ишкер субъектилери - жөнгө салуу сунушталган адресат боюнча мүнөздөмө жана санына баа берүү.

Сунушталып жаткан жөнгө салуу төлөм системасынын операторлорунун/төлөм уюмдарынын ишине тиешелүү, алардын саны бүгүнкү күнгө карата абал боюнча 22 уюмду түзөт.

6. Сунушталып жаткан жөнгө салууну колдонууга киргизүүдөн улам потенциалдуу адресаттардын кошумча чыгашаларын жана пайдаларын болжолдуу баалоо.

Сунушталган жөнгө салуу субъектилери кошумча сарптоолорго учурабайт.

7. Сунушталып жаткан жөнгө салууну киргизүүгө байланыштуу Кыргыз Республикасынын бюджетинин чыгашаларын жана пайдаларын болжолдуу баалоо.

Долбоор Кыргыз Республикасынын бюджетинен кошумча чыгашаларды талап кылбайт.

Коомдук консультациялардын катышуучулары үчүн суроолордун тизмеги:

- жөнгө салууну өзгөртүү аркылуу чечүүнү талап кылган, көрсөтүлгөн проблемалар туура болуп саналабы;

- көрсөтүлгөн максат ага жетүү үчүн негиздүү, маанилүү болуп саналабы;

- сунушталып жаткан жөнгө салуу проблемаларды чечүү үчүн кыйла артыкчылыктуу ыкма болуп саналабы;

- сунушталып жаткан жөнгө салуу варианты кабыл алынган учурда кандай пайда жана артыкчылыктар келип чыгышы мүмкүн;

- сунушталып жаткан жөнгө салуу варианты кабыл алынган учурда кандай тобокелдиктер жана терс натыйжалар орун алышы ыктымал;

- проблемаларды чечүүнүн альтернативдүү, кыйла натыйжалуу ыкмалары барбы;

- сунушталып жаткан жөнгө салуу боюнча сиздин жалпы пикириңиз.

Байланышуу үчүн маалымат жана сунуштарды талкуулоо үчүн мөөнөттөр:

1. Сунуштарды кабыл алуу:
- электрондук почта аркылуу	azmambetalieva@nbkr.kg
- почта дареги аркылуу	720001, Кыргыз Республикасы, Бишкек ш., Чүй пр., 168
2. Сунуштарды кабыл алуу мөөнөтү	2022-жылдын 19 - ноябрынан кечиктирбестен
3. Сунуштар жана жооптор реестрин Улуттук банктын расмий интернет-сайтына жайгаштыруу мөөнөтү	2022-жылдын 26-ноябрынан кечиктирбестен

2-тиркеме

Сунуштар жана жооптор

РЕЕСТРИ

(2022-жылдын 4-ноябрындагы ченемдик укуктук актынын долбоорун иштеп чыгуу жөнүндө

билдирүүнүн алкагында сунуштарды кароонун жыйынтыгы боюнча)

Каттоо

№

Автор (ачык консультациялардын катышуучусу)

Алынган күн

Сын-пикирлер жана (же) сунуштар

Иштеп чыккан органдын позициясы

1.

«ПЭЙ 24» ЖЧК

2022-ж. 16.11.

1. Төлөм системаларынын операторунун/төлөм уюмунун штатында милдеттүү түрдө маалымат коопсуздугу боюнча өзүнчө кызматкердин болушу.

2. Маалымат коопсуздугу боюнча кызматкер маалыматтык технологиялар бөлүмүндөгү ишти айкалыштырбашы керек, ал эми анын кызматтык нускоосунда кызыкчылыктардын кагылышуусун болтурбоо үчүн маалыматтык технологиялар бөлүмүнүн кызматкерлерине мүнөздүү функционалдык милдеттер камтылбашы керек.

3. Маалымат коопсуздугу боюнча кызматкердин кызматтык милдеттерине төмөнкүлөр кириши керек:

- Төлөм системаларынын операторлору/төлөм уюмдары тарабынан ички ченемдик документтердин жана маалымат коопсуздугу жаатындагы ченемдик укуктук актылардын аткарылышын контролдоо;

- Маалымат коопсуздугун коргоого алынган деңгээлин талдоо;

- Маалымат коопсуздугу боюнча документтердин тизмесин иштеп чыгуу, анын ичинде:

· Маалымат коопсуздугу боюнча саясат;

· Төлөм системаларынын операторунун/төлөм уюмунун маалыматтык технологиялар ресурстарын коопсуз пайдалануу эрежелери;

· Сыр сөздү коргоого коюлуучу талаптар;

· Персоналдарды маалымат коопсуздугунун эрежелерине окутууга жана маалымдар болуусуна талаптар.

Берилген сунуштар ченемдик укуктук актыда белгиленген талаптарга киргизүү үчүн көбүрөөк ылайыктуу. Ушуга байланыштуу алар жөнгө салуучу таасирине талдап-иликтөө жүргүзүүдөн кийин ченемдик укуктук актынын акыркы версиясында каралат.

Сатып алуулар жана сатуулар

!

Бош орундар

!

Жарандардын кайрылуусу

Керектөөчүлөр укугун коргоо

Талкуу үчүн долбоорлор

Көп берилүүчү суроолор

Байланыш маалыматтары

Коомдук кабылдама

+996 (312) 61-04-86
Кабылдама

+996 (312) 66-90-11
+996 (312) 66-90-12
Нумизматикалык музей

+996 (312) 66-90-08
+996 (312) 61-24-14
Керектөөчүлөрдүн укугун коргоо бөлүмү

+996 (312) 31-29-48
+996 (312) 31-31-89
+996 (312) 31-31-22
+996 (555) 85-57-48
+996 (770) 73-73-49
WhatsApp

+996 (501) 89-00-00
Расмий валюта курстарын маалымдоо

+996 (312) 61-07-11
Факс

+996 (312) 61-04-56
+996 (312) 61-07-30
Коррупция жөнүндө маалымат

+996 (312) 61-10-51
Вебмастер

webmaster@nbkr.kg
E-mail

mail@nbkr.kg
ЖМК менен иш алып баруу

press@nbkr.kg

Кыргыз Республикасынын Улуттук банкы

720001, Кыргыз Республикасы, Бишкек шаары, Чүй проспекти, 168

Байланыш маалыматтары

Ыкчам шилтемелер

Мамлекеттик органдар:

Кошумча уюмдар:

Шилтемер: