Oʻzbekiston Respublikasining “Oʻzbekiston Respublikasining Markaziy banki toʻgʻrisida”gi Qonuniga muvofiq Oʻzbekiston Respublikasi Markaziy banki boshqaruvi qaror qiladi:

1. Oʻzbekiston Respublikasi tijorat banklarining axborot xavfsizligi va kiberxavfsizligiga doir minimal talablar toʻgʻrisidagi nizom 1-ilovaga muvofiq tasdiqlansin.

2. Ayrim idoraviy normativ-huquqiy hujjatlar 2-ilovaga muvofiq oʻz kuchini yoʻqotgan deb topilsin.

3. Mazkur qaror Oʻzbekiston Respublikasi Davlat xavfsizlik xizmati, Raqamli texnologiyalar vazirligi va Adliya vazirligi bilan kelishilgan.

4. Mazkur qaror rasmiy eʼlon qilingan kundan eʼtiboran uch oydan keyin kuchga kiradi.

Mazkur Nizom Oʻzbekiston Respublikasi tijorat banklarining, shu jumladan mikromoliya banklarining (bundan buyon matnda bank deb yuritiladi) axborot xavfsizligi va kiberxavfsizligiga doir minimal talablarni belgilaydi.

1. Ushbu Nizomda quyidagi asosiy tushunchalar va qisqartmalardan foydalaniladi:

avtomatlashtirilgan bank tizimi — bank faoliyati sohasida axborotni toʻplash, saqlash, izlash, unga ishlov berish va undan foydalanishni amalga oshirish uchun moʻljallangan axborot tizimi;

antivirus dasturi — kompyuter virusiga qarshi dastur, viruslarni aniqlash uchun moʻljallangan va ularni yoʻq qilish taklifini berishi mumkin boʻlgan yoki yoʻq qiluvchi dastur;

antivirus himoyasi — antivirus dasturlari yordamida kompyuter viruslari taʼsirining oldini olish, viruslarni topish va zararsizlantirishga qaratilgan chora-tadbirlar majmui;

autentifikatsiya qilish — foydalanuvchi, dastur, qurilma yoki maʼlumotlarning haqiqiyligini tasdiqlash tartib-taomili;

axborot aktivlari — bank faoliyati uchun muhim boʻlgan axborotlar (mijoz maʼlumotlari, operatsion maʼlumotlar, dasturiy taʼminot, maʼlumotlar bazalari, hodisalar jurnallari va boshqalar) hamda ularni saqlash, uzatish, qayta ishlash va muhofaza qilishga xizmat qiluvchi barcha resurslar (axborot tizimlari va resurslari, serverlar, maʼlumotlar omborlari, aloqa kanallari va dasturiy ilovalar);

axborot resursi — axborot tizimi tarkibidagi elektron shakldagi axborot, maʼlumotlar banki, maʼlumotlar bazasi, shu jumladan axborot tizimlarida ochiq shaklda joylashtiriladigan yoxud eʼlon qilinadigan audio, video, grafik va matnli axborot;

axborot tizimi — axborotni toʻplash, saqlash, izlash, unga ishlov berish hamda undan foydalanish imkonini beradigan, tashkiliy jihatdan tartibga solingan jami axborot resurslari, axborot texnologiyalari va aloqa vositalari;

axborot xavfsizligi — axborot sohasida shaxs, jamiyat va davlat manfaatlarining himoyalanganlik holati;

axborot xavfsizligi noxush hodisasi — axborot xavfsizligining yagona voqeasi yoki bir qator noxush yoxud kutilmagan voqealari boʻlib, ushbu voqealar tufayli axborotning oshkor boʻlishi va axborot xavfsizligiga tahdidlar ehtimoli;

hujum — axborot aktivlarini yoʻq qilish, ochish, oʻzgartirish, blokirovkalash, tutib olish, ruxsat etilmagan foydalanish huquqini olish yoki axborot aktivlaridan ruxsatsiz foydalanishga urinish;

kompyuter virusi — destruktiv xususiyatga, oʻz nusxasini koʻpaytira olish (asl nusxa bilan toʻliq mos boʻlmasligi ham mumkin) va foydalanuvchi bilmagan holda ularni kompyuter tizimlari, tarmoqlari turli resurslari va shu borada joriy etish qobiliyatiga ega boʻlgan dasturdir (bajariladigan kodlar toʻplami);

monitoring — avtomatlashtirilgan bank tizimi va axborot tizimlari holatini kuzatish;

server xonasi — bank serverlari, telekommunikatsiya qurilmalari, uzluksiz quvvat manbalari va boshqa hisoblash texnikalari joylashgan xona;

tarmoqlararo ekran — tizimga kelib tushadigan va (yoki) tizimdan chiqib ketadigan axborotning nazorat qilinishini amalga oshiradigan dastur va (yoki) dasturiy vosita;

xesh summasi — kriptografik algoritm yordamida hisoblangan, fayl butligini tekshirish summasi;

shaxsga doir maʼlumotlar — muayyan jismoniy shaxsga taalluqli boʻlgan yoki uni identifikatsiya qilish imkonini beradigan, elektron tarzda, qogʻozda va (yoki) boshqa moddiy jismda qayd etilgan axborot;

elektron arxiv — arxiv maqomiga ega boʻlgan, bank elektron hujjatlarini jamlovchi, hisobga oluvchi, saqlovchi va foydalanishni amalga oshiruvchi bankning tarkibiy boʻlimi;

elektron hujjat — elektron shaklda qayd etilgan, elektron raqamli imzo bilan tasdiqlangan va elektron hujjatning uni identifikatsiya qilish imkoniyatini beradigan boshqa rekvizitlariga ega boʻlgan axborot;

oxirgi nuqtalar (Endpoint) — tarmoq tizimiga ulanadigan fizik uskunalardir. Bunda, mobil qurilmalar, kompyuterlar, virtual mashinalar, oʻrnatilgan uskunalar yoki serverlar oxirgi nuqtalar boʻlishi mumkin;

kiberxavfsizlik tavakkalchiligi — axborot tizimlari, axborot-kommunikatsiya texnologiyalari infratuzilmasi yoki raqamli xizmatlariga qarshi yoʻnaltirilgan tahdidlar natijasida yuzaga kelishi mumkin boʻlgan moliyaviy zarar, operatsion faoliyatning izdan chiqishi yoki tashkilot obroʻsiga putur yetishi ehtimoli;

DLP (Data Loss Prevention) — maʼlumotlarni ruxsatsiz tarqalishidan himoyalash tizimi;

PAM (Privileged Access Management) — axborot tizimlariga imtiyozli kirish huquqlariga ega boʻlgan foydalanuvchilarni tizimga kirishini boshqarish, nazorat qilish va himoya qilish tizimi;

IDS/IPS (Intrusion Detection/Prevention System) — tajovuzlarni aniqlash va oldini olish tizimlari;

Wi-Fi (Wireless Fidelity) — maʼlumotlarni simsiz uzatish texnologiyasi;

VPN (Virtual Private Network) — virtual shaxsiy tarmoq.

2. Banklar axborot tizimlari va axborot resurslarida axborot xavfsizligi va kiberxavfsizlikni taʼminlashi hamda butun ish faoliyati davomida saqlab turishi lozim.

3. Banklar va ularning filiallarida (filiallar, amaliyot boshqarmalari, bank xizmatlari ofislari (markazlari) va boshqa alohida boʻlinmalar) axborot xavfsizligi va kiberxavfsizlikni taʼminlash maqsadida axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmati (bundan buyon matnda Xizmat deb yuritiladi) tashkil etiladi.

4. Xizmat bankning axborot aktivlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash, shuningdek tizimning vaqtincha toʻxtashi, toʻlov maʼlumotlarining noqonuniy oʻzgarishi, bank yoki uning mijoziga zarar yetkazish holatlarini oldini olish va bartaraf etish boʻyicha masʼul hisoblanadi.

5. Xizmat oʻz faoliyatida:

axborot xavfsizligi va kiberxavfsizlikni boshqarish tizimini tashkil qilishi, axborot xavfsizligi va kiberxavfsizlikni taʼminlash talablarining bank boʻlinmalari hamda xodimlari tomonidan bajarilishini tashkillashtirishi va nazorat qilishi;

axborotning saqlanishini taʼminlash ustidan nazoratni tashkil etishi;

axborotni muhofaza qilish masalalarida bank boʻlinmalari va xodimlariga uslubiy va amaliy yordam koʻrsatishi;

axborot aktivlarida axborotni muhofaza qilish tizimini loyihalash, sinovdan oʻtkazish, qabul qilish va amaliyotda qoʻllash jarayonlarida ishtirok etishi, ushbu jarayonlarda bank siriga oid va boshqa konfidensial maʼlumotlar chetga chiqishining oldini olish choralarini koʻrishi;

oʻz vakolati doirasida bankning axborot xavfsizligi va kiberxavfsizligini boshqarish, taʼminlash va nazorat qilish usullari, vositalari va mexanizmlarini tanlash, joriy etish va qoʻllashni amalga oshirishi;

axborot aktivlarida axborotdan ruxsatsiz foydalanishga urinishlar boʻlganligi, unga boshqacha shaklda aralashilganligi aniqlanganda hamda tizimning ishlash qoidalari buzilganda mazkur tizimdagi axborotni muhofaza qilish chora-tadbirlarini koʻrishi;

axborot aktivlariga nisbatan amalga oshiriladigan kibertahdidlar va hujumlarni aniqlashi, tahlil qilishi hamda ularni bartaraf etish choralarini koʻrishi;

axborot xavfsizligi noxush hodisasi (bundan buyon matnda noxush hodisa deb yuritiladi) toʻgʻrisidagi maʼlumotlarni yigʻishi, qayta ishlashi, tahlil qilishi va saqlashi;

noxush hodisalarni tekshirish boʻyicha ishlarni amalga oshirishi;

axborotni muhofaza qilish chora-tadbirlarining holati va samaradorligini tahlil qilishi;

axborot xavfsizligi va kiberxavfsizlikni taʼminlash dasturiy taʼminotlari va apparat-dasturiy qurilmalarining toʻgʻri ishlashini nazorat qilishi va taʼminlashi;

axborot xavfsizligi va kiberxavfsizlikni taʼminlash bilan bogʻliq monitoringni olib borishi;

axborot xavfsizligi va kiberxavfsizlikni taʼminlash masalalari boʻyicha takliflar tayyorlashi;

axborot aktivlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash choralarini koʻrish uchun talablarni belgilashi;

bankning axborot aktivlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash hamda nazorat qilish boʻyicha rejalarni tuzishi;

konfidensial, shu jumladan bank sirini tashkil etuvchi va shaxsga doir maʼlumotlarning saqlanishini nazorat qilishi;

axborot tizimlarida toʻxtash, avariya holatlari, kiberxavfsizlik hodisasi hamda noxush hodisa sodir boʻlganda tizimlarni qayta tiklash jarayonida ishtirok etishi va axborot tizimlarining toʻliq ishchi holatiga kelishini nazorat qilishi;

bank hujjatlariga muvofiq boshqa funksiyalarni amalga oshirishi kerak.

6. Xizmatning vazifalari, vakolatlari va majburiyatlari bankning ichki hujjatlari bilan belgilanishi mumkin, bunda mazkur Nizom talablari inobatga olinadi. Xizmat oʻzining vazifa va majburiyatlarini bajarishga zarur boʻlgan texnik resurslar bilan taʼminlanishi lozim.

7. Xizmat xodimlarining soni ularga yuklatilgan vazifalar, axborot resurslari va axborot tizimlari soni hamda axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimlarining avtomatlashtirilganlik darajasidan kelib chiqib belgilanadi.

8. Xizmat hamda axborot texnologiyalari boʻlinmalari bank boshqaruvi organining turli aʼzolariga boʻysunishi lozim, bunda Xizmat toʻgʻridan toʻgʻri bank boshqaruvi raisiga boʻysunadi.

Xizmat xodimlarini ularning asosiy faoliyati bilan bogʻliq boʻlmagan ishlarga jalb etish taqiqlanadi.

9. Banklar tizimli ravishda har yili kamida ikki marotaba axborot xavfsizligi va kiberxavfsizlikni taʼminlash sohasiga ixtisoslashtirilgan oʻquv kurslarida Xizmat xodimlarining malakasini oshirishni taʼminlashi kerak. Bunda Xizmatning barcha masʼul xodimlarini yoʻnalishi boʻyicha oʻqitish va malakasini oshirish inobatga olinishi lozim.

10. Axborot xavfsizligi va kiberxavfsizlikni taʼminlash qonunchilik hujjatlarida belgilangan talablar hamda bankning axborot xavfsizligi va kiberxavfsizlikni taʼminlashga oid ichki hujjatlari bilan tartibga solinadi.

11. Bank axborot xavfsizligiga oid ichki siyosatni ishlab chiqishi va qabul qilishi lozim.

Axborot xavfsizligi siyosatida bankda mavjud boʻlgan barcha axborot tizimlari va axborot resurslarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha talablar belgilanadi.

12. Axborot xavfsizligi va kiberxavfsizlikni taʼminlashga oid ichki hujjatlar va ularda belgilangan talablar bankning har bir xodimiga tanishtirilishi shart. Bank xodimlari ushbu hujjatlarda belgilangan talablarga qatʼiy rioya qilishlari kerak.

13. Axborot tizimlari va axborot resurslarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash bilan bogʻliq mazkur Nizomda belgilangan barcha chora-tadbirlar amalga oshirilganligi yozma yoki elektron shaklda oʻz tasdigʻiga ega boʻlishi lozim.

14. Agar bank filiallar tarmogʻiga ega boʻlsa, har bir filialda bankning tasdiqlangan axborot xavfsizligi va kiberxavfsizlikni taʼminlashga oid hujjatlari toʻplami mavjud boʻlishi kerak. Muayyan filiallarning xususiyatlarini hisobga olish zarur boʻlsa, bank ushbu xususiyatlarni inobatga olgan holda oʻz ichki hujjatlarini ishlab chiqilishini taʼminlaydi.

15. Bankning axborot aktivlariga dasturiy oʻzgartirish kiritish yoki yangi axborot resurslari va tizimlarini joriy etish Xizmat bilan kelishilgan holda amalga oshirilishi lozim.

16. Banklarga oʻzlarining axborot-kommunikatsiya texnologiyalari infratuzilmalari hamda axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimlarini boshqarish, nazorat qilish va uzluksiz ishlashini taʼminlash vazifalarini shartnoma asosida xizmat koʻrsatuvchi tadbirkorlik subyektlariga (autsorsing) berish taqiqlanadi.

17. Bank qonunchilik hujjatlari va oʻzining ichki hujjatlari bilan belgilangan konfidensial maʼlumotlarning oshkor etilmasligini taʼminlaydi. Bunda, bank tomonidan quyidagilar bajarilishi lozim:

bankka yoki uning boʻlinmasiga taalluqli boʻlgan konfidensial maʼlumotlar, shu jumladan bank sirini tashkil etuvchi va shaxsga doir maʼlumotlar roʻyxatini belgilash va uning aktualligini taʼminlash;

yetkazilgan zararni qoplash maqsadida har bir xodim bilan konfidensial maʼlumotlarni sir saqlash boʻyicha majburiyatnomani imzolash;

konfidensial maʼlumotlardan foydalanishga ruxsati mavjud boʻlmagan xodimlarning ushbu maʼlumotdan foydalanmasligini taʼminlash;

konfidensial maʼlumotlarni oʻzida saqlovchi kompyuterlar va ulardagi hujjatlarning ishonchli saqlanishini taʼminlash;

Oʻzbekiston Respublikasining “Bank siri toʻgʻrisida”gi va “Shaxsga doir maʼlumotlar toʻgʻrisida”gi qonunlarida koʻrsatilgan talablar bajarilishini taʼminlash;

konfidensial maʼlumotlardan ruxsatsiz foydalanishning oldini olish boʻyicha choralar koʻrish.

18. Telekommunikatsiya tarmogʻi orqali davlat sirlarini tashkil etuvchi maʼlumotlarning uzatilishi taqiqlanadi.

19. Bankda huquqiy, tashkiliy, texnik choralar va axborot muhofazasi tizimlari (qurilmalari) yigʻindilaridan iborat boʻlgan axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimi tashkil etiladi.

20. Axborot xavfsizligi va kiberxavfsizlikni taʼminlashda foydalaniladigan dasturiy-texnik vositalar axborot xavfsizligi va kiberxavfsizlik talablariga muvofiq litsenziyalangan va sertifikatlangan boʻlishi lozim. Bunda barcha dasturiy taʼminotlarni texnik qoʻllab-quvvatlash boʻyicha amalga oshiriladigan ishlar dasturiy taʼminotning egasi yoki yetkazib beruvchi tomonidan taʼminlanishi shart.

21. Axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimi quyidagilarni:

axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini aniqlash, oldini olish va bartaraf etishni;

barcha axborot tizimlari va axborot resurslarining axborot muhofazasini taʼminlashni;

xalqaro standartlar asosida tajribadan oʻtgan eng ilgʻor yechimlarni qoʻllashni;

yuqori ishonchga ega boʻlgan, xizmat koʻrsatilishi oson boʻlgan tizim, qurilma va uskunalarni qoʻllashni;

barcha jarayon va qurilmalardagi axborotlar boʻyicha maʼlumotlarni qayd etib borishni, axborot xavfsizligining buzilishi, dastur, qurilma va foydalanuvchilarning ishlaridagi oʻzgarishlarni aniqlashni;

ish jarayonining soddaligini taʼminlashni va maksimal darajada harakatlarni avtomatlashtirishni;

muhofaza toʻsiqlarini bir necha pogʻonalarda tashkil etishni;

axborot xavfsizligi va kiberxavfsizlikning uzluksizligini taʼminlashni;

noxush hodisalarni oldini olish va yuzaga kelganda ularni bartaraf etish hamda axborot tizimlarning ish faoliyatini qayta tiklashni;

axborot xavfsizligi va kiberxavfsizlikni doimiy mukammallashtirib borishni taʼminlaydi.

22. Axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimi quyidagilarni amalga oshiradi:

axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimlariga kirishni nazorat qilish;

tarmoq xavfsizligini taʼminlash;

axborot tizimlariga kirishni boshqarish va nazorat qilish;

zarar keltiruvchi dasturlardan (kompyuter viruslari va boshqalardan) muhofaza qilish;

muhofaza qilinayotgan maʼlumotlar va dasturlarni nazorat qilish, qayta tiklash, butligini aniqlash va monitoringini yuritish;

maʼlumotlarni qayta ishlash, saqlash va uzatilishida muhofazasini taʼminlash;

veb-resurslar, maʼlumotlar bazasi, maʼlumotlarni saqlash omborlari va boshqa axborot resurslarini turli axborot xavfsizligi xatarlaridan saqlash;

axborot muhofazasining taʼminlanganlik darajasini tekshirish, tahlil qilish va baholash;

elektron raqamli imzo kalitlari va sertifikatlarini taqsimlash, hisobini yuritish va boshqarish;

maʼlumotlarning uchinchi shaxslarga oshkor boʻlishini oldini olish;

axborot tizimida axborot xavfsizligi va kiberxavfsizlik sozlamalari hamda axborot tizimining butligi bilan bogʻliq barcha oʻzgarishlarni nazorat qilish va elektron qayd yozuvlarini yuritish.

23. Banklar tizimlardagi xatoliklar va tashqi salbiy taʼsirlar natijasida yuzaga kelishi mumkin boʻlgan axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini boshqarish tizimini yaratishi kerak.

24. Axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini boshqarish tizimi quyidagi funksiyalarni oʻz ichiga olishi kerak:

axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini aniqlash, yigʻish, roʻyxatga olish, baholash, kamaytirish choralarini koʻrish, monitoring va nazorat qilish;

axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini bartaraf etish ishlarini rejalashtirish va boshqarish;

axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini boshqarish boʻyicha hisobotni shakllantirish;

axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini qayta koʻrib chiqish.

25. Xizmat axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimining nazoratini olib boradi va uzluksiz ishlashini taʼminlaydi.

Xizmat tomonidan bankda axborot xavfsizligi va kiberxavfsizlikni taʼminlash yuzasidan maʼlum boʻlgan tavakkalchilik va qoʻllaniladigan boshqarish vositalari va usullarining roʻyxati tuzilishi hamda bank boshqaruvi raisi tomonidan tasdiqlanishi lozim.

Bank axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklari roʻyxatining dolzarbligini taʼminlashi kerak.

26. Axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini doimiy ravishda baholash va tahlil qilib borish Xizmat tomonidan amalga oshiriladi.

Xizmat bank boshqaruvi raisiga tavakkalchiliklarni ortishi boʻyicha tegishli maʼlumotlarni taqdim etib borishi lozim.

27. Axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini boshqarish boʻyicha amalga oshirilgan chora-tadbirlar hujjatlashtirilishi va yiliga kamida bir marotaba bank boshqaruvi raisi tomonidan koʻrib chiqilib, tavakkalchiliklarni kamaytirish yuzasidan tegishli chora-tadbirlar oʻtkazilishi kerak.

28. Banklar faoliyatida axborot xavfsizligi va kiberxavfsizlikning taʼminlanganlik darajasini baholash boʻyicha reyting axborot tizimi Oʻzbekiston Respublikasi Markaziy banki (bundan buyon matnda Markaziy bank deb yuritiladi) tomonidan yuritiladi.

Reyting axborot tizimiga banklar tomonidan oʻz vaqtida va toʻgʻri (haqqoniy) maʼlumotlar kiritilishi lozim.

29. Banklarda axborot xavfsizligi siyosatining buzilishi quyidagilarga olib keladi:

axborot konfidensialligining buzilishi;

axborot butligining buzilishi;

texnologik jarayonning buzilishi;

axborotdan erkin foydalanish huquqining buzilishi.

30. Bankda noxush hodisalar toʻgʻrisidagi maʼlumotlarni olish uchun monitoring tizimlari joriy etiladi. Bunda ushbu tizimlarning ishlashini monitoring qilish va yuzaga kelgan noxush hodisalarni bartaraf etish boʻyicha doimiy ravishda ishlaydigan ishchi guruh tuziladi.

31. Noxush hodisalarni bartaraf etish uchun tashqi ekspertlar yoki texnik xizmat koʻrsatuvchi tashkilot mutaxassislari jalb qilinishi mumkin. Noxush hodisalarni bartaraf qilish uchun tashqi ekspertlar yoki texnik xizmat koʻrsatuvchi tashkilot mutaxassislari jalb qilinganda, bank ular bilan konfidensial maʼlumotlarni oshkor qilmaslik toʻgʻrisida shartnoma tuzishi lozim.

32. Aniqlangan noxush hodisalar toʻgʻrisidagi maʼlumotlar Xizmat tomonidan hujjatlashtirib borilishi lozim.

Xizmat noxush hodisa aniqlangan vaziyatda axborot xavfsizligi monitoringi tizimi maʼlumotlaridan foydalanishi va noxush hodisa roʻy bergan vaqtdagi axborot tizimlarining elektron jurnallari va noxush hodisa sodir boʻlgan tizim serverlarining shu vaqtdagi zaxira nusxalarini (backup, snapshot va boshqalar) saqlashi va ularning butligini taʼminlashi kerak.

33. Banklar texnik vositalardan foydalanganda noxush hodisalarni oldini olish maqsadida quyidagilarni taʼminlashlari zarur:

texnik vositalardan ruxsatsiz foydalanishni taqiqlash;

texnik vositalarni ruxsatsiz oʻchirib qoʻyilishidan himoya qilish;

monitoring va noxush hodisalarning elektron bayonnomalarini elektron arxivda saqlash va ruxsatsiz oʻzgartirish yoki yoʻq qilishdan himoyalash;

axborot tizimlari va resurslarini qonunchilikda belgilangan tartibda kiberxavfsizlik talablariga muvofiqlik yuzasidan ekspertizadan oʻtkazish.

34. Ish jarayonida noxush hodisalar aniqlanganda, bank xodimlari zudlik bilan bu haqda Xizmatni xabardor qilishlari kerak.

Noxush hodisalar sodir etilgan vaqtda Xizmat tomonidan amalga oshiriladigan harakatlar bankning ichki hujjatlarida belgilanadi.

35. Bank sodir boʻlgan noxush hodisa toʻgʻrisida Markaziy bank va vakolatli davlat organiga zudlik bilan yozma yoki elektron shaklda xabar berishi lozim.

36. Banklar konfidensial maʼlumotlar va barcha axborot aktivlaridan foydalanish monitoringini amalga oshiradi. Bunda monitoring qilishda quyidagilar belgilanadi:

axborot infratuzilmasining axborotga ishlov berish, saqlash va tarmoqda uzatish uchun qoʻllaniladigan dastur va qurilmalar hisobini yuritish;

axborot xavfsizligi va kiberxavfsizlik hodisalarini tahlil qilish, axborot xavfsizligi va kiberxavfsizlik holatini monitoring qilish hamda ogohlantirish imkonini beruvchi SIEM (Security Information and Event Management) yoki boshqa tizimlarni joriy qilish;

axborot xavfsizligi va kiberxavfsizlik hodisalari toʻgʻrisidagi maʼlumotlarni toʻplash, tahlil qilish va ularga javob berish jarayonlarini avtomatlashtirish imkonini beruvchi SOAR (Security Orchestration, Automation and Response) tizimlarni joriy qilish;

axborot xavfsizligi va kiberxavfsizlikning taʼminlanganlik holatini monitoring qilish tizimi maʼlumotlarini tahlil qilib borish va aniqlangan holatlarni (axborot tarmogʻiga ruxsatsiz kirish va kirishga urinish, tizimdagi toʻxtalishlar, axborot resurslarining yetishmovchiligi, tarmoqdagi uzilishlar, axborot xavfsizligi va kiberxavfsizlikni taʼminlashdagi cheklanishlar va boshqa hodisalar) bartaraf etish va (yoki) ularni oldini olish boʻyicha choralar koʻrish;

axborot xavfsizligi va kiberxavfsizlik holatini tun-u kun (24/7) rejimida monitoring qilish ishlarini tashkil etish;

axborot xavfsizligi va kiberxavfsizlik holatini monitoring qilish tizimini Markaziy bank “CERT-CBU” kiberxavfsizlik markazining monitoring tizimiga bogʻlanishini taʼminlash.

37. Banklar axborot tizimlari va resurslariga kirish va ushbu tizimlarda foydalanuvchilarning ishlash tartibini ishlab chiqishi kerak. Bunda yangi foydalanuvchilarning axborot tizimlari va resurslariga kirish hamda ushbu tizimlarga kirish huquqi bekor boʻlgan foydalanuvchilarni undan chiqarish qoidalari inobatga olinishi lozim.

38. Yangi foydalanuvchilar axborot tizimlari va resurslariga Xizmat tomonidan kerakli texnik choralar koʻrilib, ruxsat berilganidan keyin kiritiladi.

39. Xizmat axborot tizimlari va resurslariga kirishga ruxsat berilgan foydalanuvchilar roʻyxatini hamda ularning ushbu tizimlardan foydalanishi bankda oʻrnatilgan tartibga muvofiqligini nazorat qiladi.

40. Banklar markazlashgan holda quyidagilarni taʼminlashi zarur:

axborot tizimlarida ishga yangi qabul qilingan xodimlar uchun hisobga olish yozuvlarini avtomatik tarzda yaratish;

xodimlarga ularning lavozim majburiyatlaridan kelib chiqib tegishli axborot tizimlariga kirish huquqlarini berish;

xodimlar axborot tizimlariga masofadan himoyalangan aloqa kanallari orqali, axborot xavfsizligi va kiberxavfsizlikni taʼminlash talablariga rioya qilgan holda, faqatgina Oʻzbekiston Respublikasi hududida kirishini taʼminlash;

xodim boshqa lavozimga oʻtganida, mehnat taʼtiliga chiqqanida yoki ishdan boʻshaganida uning hisobga olish yozuvlarini (akkauntlarini) oʻzgartirish, bloklash va cheklash.

41. Bank xodimlarga axborot tizimlari va resurslaridan foydalanish huquqini ularning funksional vazifalariga muvofiq holda beradi. Bunda, Xizmat quyidagilarni taʼminlashi lozim:

bankning axborot tizimlari va resurslaridagi xodimlarning hisobga olish yozuvining (akkaunt) butun hayot davrini boshqarish, uzluksiz nazorat qilish, shuningdek kadrlar tizimidagi maʼlumotlarga asoslanib, xodimlarning lavozim majburiyatlari va vakolatlarini doimiy ravishda tekshirib turish;

bankning tashkiliy tuzilmasi asosida rollarga asoslangan kirish modelini boshqarish va nazorat qilish, shuningdek xodimning atributlari va holatiga asoslangan holda axborot resurslarini (ular bilan bogʻliq hisob yozuvlari, kirish huquqlari va axborot tizimlaridagi vakolatlar) dinamik tarzda tayinlashni taʼminlash;

xodimning biznes roli yoki vazifasi oʻzgarganda, markazlashtirilgan tizim orqali yangi rolga mos ravishda kirish huquqlari va vakolatlarini avtomatik tarzda berish;

har bir axborot tizimi foydalanuvchilarining amaliy kirish huquqlari va vakolatlarini nazorat qilish hamda kelishilgan kirish huquqlari oʻrtasidagi farqlarni aniqlash;

bankning har qanday axborot tizimlari va resurslariga kirish huquqlari va vakolatlarni (toʻgʻridan toʻgʻri tayinlash, rol modeli boʻyicha tayinlash, soʻrov orqali tayinlash) paydo boʻlish manbasini kuzatib borish hamda vakolatning paydo boʻlish manbasi va zanjiri haqida toʻliq maʼlumotga ega boʻlish.

42. Xizmat bank xodimlariga berilgan ortiqcha huquqlarni aniqlash vositalari bilan taʼminlanishi lozim.

43. Bank tomonidan axborot aktivlaridan foydalanishda foydalanuvchi amalga oshirgan operatsiya toʻgʻrisidagi quyidagi maʼlumotlar:

bajarilgan operatsiya sanasi (kun, oy, yil) va vaqti (soat, daqiqa, soniya);

foydalanuvchiga tizimlarda hamda axborot dasturlarida berilgan foydalanuvchi identifikatori;

foydalanuvchi qurilmasining identifikatsiya maʼlumotlari (IP-manzil, MAC-manzil, qurilmaning nomi va boshqa identifikatorlari);

foydalanuvchining tizimdagi faol sessiyasi davrida bajargan barcha amaliyotlari va harakatlari tegishli elektron bayonnomalarda qayd etib borilishi lozim. Bunda, elektron bayonnomalardagi yozuvlarni oʻzgartirish yoki oʻchirish imkoniyati faqatgina bank boshqaruv raisining buyrugʻi bilan yuklatilgan Xizmat xodimlarida boʻlishi shart.

44. Xizmat bank xodimlarining lavozim majburiyatlari, vakolatlari va axborot aktivlariga kirish huquqlarini bir oyda kamida bir marotaba tekshirib turishi hamda tekshiruv natijalarini hujjatlashtirib borishi lozim.

45. Xizmat bankning axborot tizimlari va resurslaridan ruxsatsiz foydalanishni oldini olish maqsadida:

foydalanuvchilarni identifikatsiya va autentifikatsiya qilishi hamda ushbu jarayonni boshqarishi;

muvaffaqiyatsiz kirishga urinishlarni aniqlashi va ularni cheklashi hamda ushbu foydalanuvchining axborot tizimlari va resurslariga kirish huquqini (akkauntini) bloklashi;

foydalanuvchining uzoq vaqt oraligʻida harakatsizligi aniqlanganda ish sessiyasini toʻxtatishi;

axborot aktivlari hamda ishchi stansiyalarda foydalanuvchining ishlash davrida foydalanuvchi akkauntining bir vaqtning oʻzida bir nechta qurilmalarda ishlashini (multisessiya) cheklashi;

foydalanuvchining axborot aktivlarida shu axborot aktivlarining faoliyatiga taʼsir etadigan sozlamalarini (parametrlarini) oʻzgartirish imkoniyatini cheklashi;

muhim axborot infratuzilmasi obyekti sifatida, qonunchilikda belgilangan tartibda bankning axborot tizimlari hamda resurslarida axborot xavfsizligi va kiberxavfsizlikning taʼminlanganlik holati boʻyicha baholash ishlari oʻtkazilishini taʼminlashi;

axborot tizimlari va resurslarini kiberxavfsizlik talablariga muvofiqlik yuzasidan ekspertizadan oʻtkazish hamda kiberxavfsizlikning taʼminlanganlik holatini baholash jarayonlarida aniqlangan kamchilik va zaifliklarni zudlik bilan bartaraf etishi lozim.

46. Axborot tizimlarida toʻlovlarga oid maʼlumotlarni kiritish, oʻzgartirish, tasdiqlash va oʻchirish huquqiga ega boʻlgan foydalanuvchilarni autentifikatsiya qilish apparat-dasturiy qurilmalar orqali amalga oshiriladi.

Har bir foydalanuvchi tizimga kirish uchun uning oʻziga ajratilgan apparat-dasturiy qurilmadan foydalanishi lozim.

47. Masofadan turib bank xizmatlarini koʻrsatishning barcha jarayonlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash choralari bankning ichki hujjatlarida belgilanadi.

Masofadan turib bank xizmatlarini koʻrsatish tizimida foydalanuvchilarning tizimga kirishi, axborot almashinuvi va ularning amallari toʻgʻrisidagi toʻliq maʼlumotlar (IP va (yoki) MAC manzili, mobil telefondan foydalanganda — IMEI-kod) elektron bayonnomalarda qayd etib borilishi kerak.

Banklar barcha tizim foydalanuvchilariga ruxsat berilgan vaqtdan tashqari holatda bank tizimiga ulanishini taqiqlashi lozim. Bunda, bank tizimi bilan bogʻlanuvchi faol sessiyalar uzilishi shart.

48. Bankning axborot-kommunikatsiya texnologiyalari infratuzilmalari, axborot tizimlari va resurslari hamda axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimlari administratorlarining barcha harakati PAM tizimi orqali amalga oshirilishi shart. Bunda foydalanuvchilarning harakatlarini ushbu tizim orqali qayd etish va imtiyozli sessiyalarini audit qilish talab etiladi.

49. Banklar PAM tizimida foydalanuvchilarning harakati qayd etilgan maʼlumotlarni kamida olti oy davomida saqlanishini taʼminlashi lozim.

50. Banklar maʼlumotlar bazasi sozlanishlarida xatoliklarni oldini olishi va tajovuzkorning quyidagi harakatlarini cheklashlari kerak:

maʼlumotlar bazasiga kirish;

maʼlumotlar bazasining maxsus interfeysini qoʻllash, komandalar kiritish va dasturlarni ishlatish;

administrator va foydalanuvchilar parollarini bilib olish;

maʼlumotlar bazasining tizim fayllariga kirish;

zararli dasturlar oʻrnatish;

serverning ilova dasturlariga egalik qilish;

maʼlumotlar bazasi va serverga masofadan hujum qilish.

51. Banklar maʼlumotlar bazasiga kiritiladigan barcha dasturiy oʻzgartirishlarni hujjatlashtirishi va kiritilgan oʻzgartirishlarning hisobini yuritishi lozim.

Ishchi stansiyalar va boshqa hisoblash texnikalarining operatsion tizimi, antivirus dasturi va boshqa dasturiy oʻzgartirishlar test-sinov ishlari yakuniga koʻra ishga tushiriladi. Maʼlumotlar bazasiga kiritiladigan barcha dasturiy oʻzgartirishlar avval test-sinov serverida tekshirilishi hamda ijobiy natijaga erishilganda ishchi serverga joriy etilishi lozim.

52. Maʼlumotlar bazasida oʻrnatilgan serverning ish jarayoni uchun zarur boʻlmagan xizmatlar toʻxtatilishi va axborot portlari yopib qoʻyilishi lozim. Ishlatiladigan axborot portlarining roʻyxati foydalanish maqsadi koʻrsatilgan holda bank boshqaruvi raisi tomonidan tasdiqlanadi.

53. Bankda real vaqt rejimida shubhali harakatlarni tezkor aniqlash va oldini olish uchun maʼlumotlar bazasi faoliyatini monitoring qilish tizimi DAM (Database Activity Monitoring) joriy etilishi lozim.

54. Maʼlumotlar bazasining administratori va maʼlumotlar bazasida axborot xavfsizligini taʼminlovchi xodimlarning vazifalari, vakolatlari va javobgarliklari bankning ichki hujjatlari bilan belgilanadi.

55. Maʼlumotlar bazasi administratorining paroli 12 ta belgidan kam boʻlmasligi lozim, bunda parolning belgilari sifatida pastki va yuqori registr harflari, raqamlar va maxsus belgilar (@,#, $, &, % va h.k.) qoʻllaniladi. Parollar va tokenlar maʼlumotlar bazasida shifrlangan holda saqlanishi lozim.

56. Bank maʼlumotlar bazasiga boshqa tashkilotlarni faqatgina veb-servis (API) orqali ulanishini taʼminlashi shart. Boshqa tashkilotlarni toʻgʻridan toʻgʻri ulash (DB Link) taqiqlanadi.

57. Tarmoq xavfsizligini loyihalashtirish, joriy etish va boshqarish quyidagi standartlar asosida amalga oshiriladi:

Oʻz DSt ISO/IEC 27033-1:2016 “Axborot texnologiyasi. Xavfsizlikni taʼminlash usullari. Tarmoq xavfsizligi. 1-qism. Sharh va konsepsiyalar”;

Oʻz DSt ISO/IEC 27033-2:2016 “Axborot texnologiyasi. Xavfsizlikni taʼminlash usullari. Tarmoq xavfsizligi. 2-qism. Tarmoq xavfsizligini loyihalashtirish va joriy etish boʻyicha rahbariy koʻrsatmalar”;

Oʻz DSt ISO/IEC 27033-4:2016 “Axborot texnologiyasi. Xavfsizlikni taʼminlash usullari. Tarmoq xavfsizligi. 4-qism. Xavfsizlik shlyuzlarini qoʻllagan holda tarmoqlararo xavfsizligini taʼminlash uchun kommunikatsiyalar”;

Oʻz DSt ISO/IEC 27033-5:2016 “Axborot texnologiyasi. Xavfsizlikni taʼminlash usullari. Tarmoq xavfsizligi. 5-qism. Virtual xususiy tarmoqlarni qoʻllagan holda tarmoqlararo xavfsizligini taʼminlash uchun kommunikatsiyalar”.

58. Banklar tarmoq xavfsizligini taʼminlash uchun quyidagi shartlarni bajarishi kerak:

korporativ tarmoq va axborot tizimlarining oʻzaro bogʻlanishida telekommunikatsiya hamda tarmoq servislari uzluksiz ishlashi va xavfsizligini taʼminlash;

tarmoq qurilmalari va dasturiy taʼminotning sozlamalari va uning komponentlarini ruxsatsiz koʻrish yoki oʻzgartirishni cheklash;

tarmoqlarni alohida segmentlarga boʻlish;

kibertahdidlarni real vaqt rejimida monitoring va tahlil qilish hamda bloklash imkoniyatini taʼminlash;

tarmoqdagi faollik toʻgʻrisidagi batafsil maʼlumotlarni yigʻish va saqlash;

tuzoqlar (honeypot) yaratish va ularni emulyatsiya qilish imkoniyatini taʼminlash;

tarmoq trafigini turli protokol va dasturlar darajasida tahlil qilish imkoniyatini taʼminlash;

tarmoqlararo axborot almashinuvida maʼlumotlarning konfidensialligini taʼminlash va tarmoqda ruxsatsiz harakatlarni oldini olish.

59. Korporativ tarmoqqa faqat ruxsat berilgan qurilmalar (hisoblash texnikasi) ulanishiga ruxsat berilishi lozim.

Bankka tegishli boʻlmagan kompyuter qurilmalarini bankning korporativ tarmogʻiga ulanishiga ruxsat berishda quyidagilar taʼminlanishi shart:

korporativ tarmoqqa Xizmat bilan kelishgan holda bank rahbariyati ruxsati bilan ulash;

ulanadigan qurilmaning texnik parametrlari va identifikatorlarini qayd etish;

ulanadigan qurilmada litsenziyalangan antivirus dasturining mavjudligiga ishonch hosil qilish;

ulanadigan qurilmaga maʼlumotlarni ruxsatsiz tarqalishidan himoyalash tizimini (DLP) oʻrnatish;

ulanadigan qurilmaga axborot-kommunikatsiya texnologiyalari infratuzilmalari hamda axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimlarida ishlashga ruxsat berilishi koʻzda tutilgan boʻlsa, uni PAM tizimi orqali ulash;

konfidensial maʼlumotlar bilan ishlash tartibi bilan tanishtirish va majburiyatnoma imzolatish;

korporativ tarmoqqa ulanuvchi qurilmalarda internet tarmogʻiga ulanishni oldini olish;

bankda axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha belgilangan qoʻshimcha choralarni koʻrish.

60. Korporativ tarmoqda axborot almashinuvining elektron bayonnomasi yuritilishi va elektron bayonnomada tizimga kirgan foydalanuvchining nomi (user name), vaqti, IP va (yoki) qurilmaning MAC manzili qayd etib borilishi kerak.

61. Banklar tomonidan tashkil etilgan korporativ tarmoqning (Markaziy bank tarmogʻiga, Internet jahon axborot tarmogʻiga, telekommunikatsiya provayderlariga, filiallarga va boshqa tarmoqlarga bogʻlanish) chizmasi Markaziy bank bilan kelishiladi.

62. Korporativ tarmoq xavfsizligining toʻliq nazorati va monitoringi doimiy ravishda Xizmat tomonidan amalga oshiriladi.

63. Bankning tarmoqlararo axborot almashinuvi xususiy virtual tarmoqlarni (VPN) tashkil etish yoʻli bilan muhofazalanadi.

Korporativ tarmoqda ilova serverlari bilan foydalanuvchilar oʻrtasidagi oʻzaro axborot almashinuvida himoyalangan protokol qoʻllanilishi lozim.

64. Bankning lokal hisoblash tarmogʻiga boshqa tarmoqlardan va (yoki) tashqi aloqa kanallari orqali bogʻlanish nuqtalari tarmoqlararo ekran qurilmalari bilan muhofazalanadi.

65. Telekommunikatsiya shkaflari qulflanishi va videokuzatuv tizimlari orqali nazoratga olingan boʻlishi lozim.

Lokal hisoblash tarmoqlari kabellarini telekommunikatsiya shkaflari bilan hisoblash texnikalari, bankomat va boshqa qurilmalarning bogʻlanish nuqtalarigacha muhofazalanmagan tarzda oʻtkazilishi taqiqlanadi.

66. Bankning barcha boʻlinmalari lokal hisoblash tarmogʻida virtual mahalliy tarmoqlar (VLAN) hosil qilish yoʻli bilan bir-biridan ajratilishi lozim.

67. Bankda tarmoq xavfsizligini taʼminlashda qoʻllaniladigan dasturiy taʼminot va texnik vositalarning holatlarini monitoring qilib borilishi, statistik maʼlumotlar yigʻilishi va tahlil qilinishi, yuzaga kelayotgan muammolar ilk bosqichda aniqlanishi va ular asosida favqulodda vaziyatlar paydo boʻlishining oldi olinishi lozim.

68. Banklar tarmoqdagi tahdidlarni aniqlash va ularga qarshi javob beruvchi tizimlarni NDR (Network Detection and Response) joriy qilishi lozim.

69. Banklar tajovuzlarni aniqlash va oldini olish tizimini (IDS/IPS) qoʻllashi lozim, yaʼni bank tarmoq ichida noodatiy harakatlarni va lokal hisoblash tarmoqlaridagi hujumlarni aniqlash, oldini olish va toʻsish uchun moʻljallangan dasturiy yoki dasturiy-apparat vositalarni joriy etishlari lozim.

Banklar real vaqt rejimida tarmoq dasturlari ishlashidagi ogʻishlar, shuningdek kompyuter tizimi yoki tarmoqda ruxsat etilmagan foydalanish (ruxsatsiz kirish yoki tarmoqqa hujumlar) holatlarini aniqlash imkoniyatiga ega boʻlishi kerak. Bank IDS/IPS tizimlarining bazasini aktual holatda boʻlishini taʼminlaydi.

IPS/IDS tizimlari tarmoq infratuzilmasining miqyosi serverlar va kommutatsiya uskunalari (marshrutizatorlar, kommutatorlar, aloqa liniyalari) interfeyslarining oʻtkazish qobiliyatidan kelib chiqib tanlanadi va joriy etiladi. Agar telekommunikatsiya qurilmalari maʼnan eskirgan boʻlsa va IPS/IDS tizimlariga ishlash imkoniyatini bermasa, ushbu qurilmalar yangilanishi lozim.

70. Banklarda qoʻllaniladigan tarmoqlararo ekran qurilmalari Oʻz DSt 2815:2014 “Axborot texnologiyalari. Tarmoqlararo ekran.” standarti talablarining kamida ikkinchi toifasiga mos boʻlishi kerak.

Tarmoqlararo ekran qurilmalarining sozlanishlari tasdiqlanishi va ruxsat berilgan axborot almashinuvi protokollari asoslangan boʻlishi lozim. Sozlanishlarga kiritiladigan oʻzgartirishlar bank tomonidan amalga oshiriladi.

71. Asosiy va zaxira tarmoqlararo ekran qurilmalarining sozlamalari bir xil boʻlishi hamda aktual holda elektron arxivda saqlanishi kerak.

72. Tarmoqlararo ekran qurilmalari va proksi-serverlarning elektron bayonnomalari Xizmat tomonidan tahlil qilib boriladi va tashqi hujumlar aniqlanganda zudlik bilan Markaziy bankka xabar beriladi.

73. Bank oʻzining ichki elektron pochta tizimi serverini bankning lokal hisoblash tarmogʻida yaratadi.

Tezkor xabarlar almashish tizimlari (messenger) yoki dasturlaridan foydalanish, bank tomonidan internet tarmogʻidan va elektron pochta tizimlaridan foydalanishda axborot muhofazasini taʼminlash, xodimlarni tizimga kiritish, ularga cheklovlar qoʻyish, javobgarlik, xodimlar harakati va tizimning axborot xavfsizligi ustidan nazorat qilish bankning ichki hujjatlarida belgilanadi.

74. Bank xodimlariga bank faoliyatiga tegishli boʻlmagan maʼlumotlarni bankning elektron pochtasi orqali uzatish taqiqlanadi.

75. Bank boʻlimlari va filiallari oʻrtasida axborot almashinuvi elektron hujjat aylanishi dasturlari yoki bankning ichki elektron pochta tizimi orqali amalga oshiriladi.

76. Fayllarni uzatish protokolidan (FTP) foydalanib tashkil qilingan umumiy katalog (FTP Server) orqali fayl almashinuvini amalga oshirish va bank siri maʼlumotlarini tarmoqda erkin oʻqish uchun joylashtirish taqiqlanadi.

Elektron pochta orqali qabul qilinadigan va yuboriladigan maʼlumotlarda zararli kodlarning mavjudligini tekshirish tizimi (Sandbox) joriy etilishi lozim. Xizmat ushbu tizimni nazorat qilib boradi.

77. Bank oʻzining elektron pochta tizimi hamda internet tarmogʻidan foydalanish tartibini ichki hujjatlari bilan belgilaydi hamda elektron pochta orqali yuborilgan va qabul qilingan maʼlumotlarni Xizmat tomonidan nazorat qilinishini taʼminlaydi. Bunda, faqat ruxsat berilgan foydalanuvchilar internet tarmogʻidan foydalanishi mumkin.

78. Bankda internet tarmogʻidan foydalanishda axborot xavfsizligi va kiberxavfsizlikni taʼminlash choralari koʻrilishi kerak.

Konfidensial, jumladan bank sirini tashkil etuvchi va shaxsga doir maʼlumotlar bilan ishlaydigan foydalanuvchilarning kompyuterlarini internet tarmogʻiga proksi server orqali ulashga ruxsat etiladi. Bunda faqat ish faoliyatiga oid axborot resurslarining roʻyxati asosida internet tarmogʻiga ulanishi tashkil etilishi lozim.

79. Avtomatlashtirilgan bank tizimi maʼlumotlar bazasi serverlari, dastur serverlari, toʻlov tizimi maʼlumotlarini qayta ishlovchi barcha serverlar hamda bankning ish faoliyatida qatnashuvchi boshqa muhim serverlari bankda tashkil etilgan alohida ajratilgan va muhofaza qilingan tarmoq segmentida joylashtirilishi lozim.

Bankning internet tarmogʻi orqali ulanadigan axborot tizimlari va resurslari hujumni aniqlash va uni oldini olish boʻyicha IDS/IPS, WAF (Web Application Firewall) hamda Anti-DDoS tizimlari bilan muhofazalangan boʻlishi kerak.

80. Axborot muhofazasini kuchaytirish maqsadida tarmoq protokolida tarmoq tranzit paketlarining IP manzillarini oʻzgartirish imkonini beruvchi tarmoq manzillarini oʻzgartirish protokoli (NAT) qoʻllanilganda, barcha ulanishlarning elektron jurnallari asl IP manzillar koʻrsatilgan holda yuritilishi va belgilangan tartibda elektron arxivga olinishi lozim.

Internet tarmogʻidan foydalanish tartibi nazoratga olingan boʻlishi va bank xodimlarining internet tarmogʻidan foydalanishlari ularning lavozim yoʻriqnomasiga koʻra belgilanishi lozim.

81. Internet tarmogʻidan foydalangan xodimning logini, foydalanish vaqti, resurs nomi va boshqa maʼlumotlar aks ettirilgan elektron bayonnomalar yuritilishi kerak. Xizmat ushbu elektron bayonnomalarni tahlil qilib boradi.

82. Internet tarmogʻidan foydalanishda axborot muhofazasini taʼminlash tarmoqlararo ekran qurilmalari, proksi-serverlar, antivirus vositalari, ruxsatsiz kirishni aniqlash va oldini olish (IDS/IPS) hamda boshqa axborot xavfsizligi va kiberxavfsizlikni taʼminlash tizimlarini qoʻllash yoʻli bilan amalga oshiriladi.

83. Bank tarmogʻi va kompyuterlarga modemlar yoki uyali telefonlarni ulash, shuningdek internet tarmogʻida ishlashda tashqi proksi-serverlardan foydalanish va bankning ichki lokal tarmogʻini simsiz tashkil etish va bank kompyuterlarida simsiz axborot almashinuvi tizimlaridan foydalanishga yoʻl qoʻyilmasligi taʼminlanishi kerak.

84. Mijozlar va bank isteʼmolchilari uchun qulayliklar yaratish maqsadida bank binosida Wi-Fi zonalari tashkil etilishi mumkin.

Bunda, Wi-Fi texnologiyasi bank ichki lokal tarmogʻidan jismonan ajratilgan boʻlishi hamda unda quyidagi axborot xavfsizligi va kiberxavfsizlikni taʼminlash choralari koʻrilgan boʻlishi kerak:

Wi-Fi tarmogʻi orqali faqatgina internet tarmogʻiga kirishga ruxsat berish;

mijozni identifikatsiyadan oʻtkazish;

mijozlararo ulanishni taqiqlash (client isolation);

IPS/IDS yoki proksi filtrlash orqali shubhali va zararli trafikni bloklash;

DoS hujumlarini oldini olishda tezlik (QoS) va sessiyalarni cheklash;

Wi-Fi tarmogʻiga ulanish toʻgʻrisidagi bayonnomalarni (MAC, IP, sana/vaqt, mehmon identifikatori) kamida olti oy davomida saqlash;

WPA2/WPA3-PSK yoki WPA2-Enterprisedan foydalanish va trafikni majburiy shifrlash;

himoyasiz ochiq parolli (shifrlanmagan) Wi-Fi tarmogʻidan foydalanishni taqiqlash;

real vaqt rejimida anomal faollik, skanerlash va hujumga urinishlar hamda taqiqlangan resurslarga ulanishni kuzatish;

Rogue AP, Spoofing va boshqa hujumlarni aniqlash va oldini olish tizimini (WIDS/WIPS) ishlatish.

85. Bank internet tarmogʻidagi tashqi axborot resurslarini muntazam ravishda kuzatib borishi shart. Bundan koʻzlangan asosiy maqsad bankning ramziy belgisi, ishbilarmonlik obroʻsi va boshqa elementlaridan noqonuniy foydalangan holda mijozlar va hamkorlarni chalgʻitishning oldini olish hisoblanadi. Bunda, bank bilan bogʻliq quyidagi holatlar aniqlanishi lozim:

bankning rasmiy veb-saytiga oʻxshatib yaratilgan soxta veb-saytlar (fishing nusxalar, soxta domenlar, sahifa nusxalari);

ijtimoiy tarmoqlar, messenjerlar, onlayn savdo maydonchalari, reklama platformalari va forumlardagi soxta akkauntlar;

rasmiy mobil ilovalar doʻkonlaridagi (Google Play, App Store va boshqalar) soxta ilovalar;

bank nomidan yuborilgan fishing yoki firibgarlik xarakteridagi elektron pochta va SMS-xabarlar;

bankning tovar belgisi, ramziy belgisi (logo) yoki domeni nomidan noqonuniy foydalanish holatlari;

mijozning ishonchini yoʻqotish yoki ularni chalgʻitishga qaratilgan salbiy axborotlar (soxta maʼlumotlar, qalbakilashtirilgan yangiliklar, bank nomidan yozilgan sharhlar va hokazo);

bank nomidan noqonuniy foydalanish bilan bogʻliq boshqa holatlar.

Bank internet tarmogʻidagi tashqi axborot resurslarida yuqoridagi holatlarni aniqlagan taqdirda, bu haqda bir kun ichida Markaziy bank va Oʻzbekiston Respublikasi Raqamli texnologiyalar vazirligi huzuridagi Axborotlashtirish va telekommunikatsiyalar sohasida nazorat inspeksiyasiga xabar berishi hamda oʻzining rasmiy axborot manbalarida eʼlon qilishi lozim.

86. Banklar axborot aktivlarida tarmoq obyektlari boʻlgan foydalanuvchilar, kompyuterlar, serverlar va boshqa texnik vositalarni boshqarish (Active Directory yoki boshqa muqobil) tizimini joriy etadi.

Bunda ushbu tizim yordamida kompyuterlarda foydalanuvchilar tomonidan faqat oʻzlarining ish faoliyatiga tegishli boʻlgan dasturlar ishlatilishi va kompyuterlarga kirish himoyalanishi (parollar) taʼminlanadi.

Foydalanishga yoʻl qoʻyiladigan dasturlar roʻyxati bank tomonidan belgilanadi. Roʻyxatda boʻlmagan barcha dasturlarni ishlatish va qoʻshimcha dasturlar oʻrnatish kabi harakatlar taqiqlanadi.

87. Texnik vositalarni boshqarish tizimi administrator tomonidan amalga oshiriladi, bunda Xizmat administratorning tizimdagi barcha harakatlarini nazorat qilishi kerak.

88. Xizmat kamida bir oyda bir marotaba texnik vositalarni boshqarish tizimining sozlamalari va elektron bayonnomalarini tahlil qilishi, texnik vositalardan foydalanishda bankning axborot xavfsizligiga oid siyosatida belgilangan talablarning bajarilishini nazorat qilishi kerak.

89. Banklar axborot tizimlaridan ruxsatsiz maʼlumotlar uzatilishining oldini olish maqsadida maʼlumotlarni ruxsatsiz tarqalishidan himoyalash tizimini (DLP) joriy etishlari lozim.

Konfidensial maʼlumotlar bilan ishlash huquqi berilgan barcha oxirgi nuqtalar DLP tizimiga ulangan boʻlishi lozim.

90. Maʼlumotlarni himoya qilishda banklar tomonidan:

muhofazalanadigan maʼlumotlarni ruxsatsiz turli tarmoq kanallari orqali uzatilishi, ruxsatsiz hisobga olinmagan tashqi tashuvchiga koʻchirilishi, ruxsatsiz chop etilishi aniqlanishi hamda bu haqda bank rahbariyatiga maʼlumot berish va kelgusida shu kabi salbiy holatlar boʻlmasligining oldini olish choralari koʻrilishi;

muhofazalanadigan maʼlumotlarni server va kompyuterlarda saqlanishi nazorat qilinishi lozim.

91. Nazorat qilish tartib-qoidalari bankning ichki hujjatlari bilan belgilanadi va maʼlumotlarni ruxsatsiz tarqalishidan himoyalash Xizmat tomonidan amalga oshiriladi.

92. Banklarda axborot xavfsizligi va kiberxavfsizlikni taʼminlash uchun antivirus himoyasi tashkil etilishi lozim.

93. Bankda antivirus dasturlarining oʻrnatilishi hamda ishlashi Xizmat tomonidan nazorat qilinadi.

94. Banklar kompyuter virusi aniqlanganda, ularning tarmoq orqali tarqalishini oldini olish maqsadida amalga oshiriladigan choralarni belgilashi kerak.

Bankning axborot infratuzilmasiga kompyuter virusi zarar keltirganligi aniqlanganda, banklar shu virusning kelib chiqishi va uning turi haqida Markaziy bankka maʼlumot berishi lozim.

95. Xizmat Bank xodimlari tomonidan ularning kompyuteridagi antivirus dasturining sozlamalarini oʻzgartirish imkoniyatini cheklashi kerak. Kompyuter virusi aniqlanganda, xodimlar tomonidan amalga oshiriladigan harakatlar banklar tomonidan belgilanishi hamda barcha xodimlarga tanishtirilishi lozim.

96. Banklar antivirus himoyasini tashkil etishda quyidagilarni taʼminlashi shart:

litsenziyaga ega antivirus dasturlaridan foydalanish va ularning litsenziyasining amal qilish muddati aktualligini taʼminlash;

antivirus dasturlarini markazlashgan holda boshqarish;

antivirus dasturlari bazalarini har kuni yangilab borilishini yoʻlga qoʻyish;

antivirus dasturining rusumi aktual (maʼnan eskirmagan) boʻlishini taʼminlash;

barcha serverlar, kompyuterlar, bankomatlar, infokiosklar va boshqa antivirus dasturlari oʻrnatilishi mumkin boʻlgan hisoblash vositalariga antivirus dasturlarini oʻrnatish.

97. Banklar axborot tizimlaridagi yangilanishlar va tuzatmalarni boshqarish tizimini joriy etishi lozim.

Zararli dasturlar va eksploitlardan himoyalanish maqsadida anomal faoliyatni kuzatish imkonini beruvchi EDR (Endpoint Detection and Response) texnologiyasidan foydalanilishi lozim.

Oxirgi nuqtalarda xavfsizlikni taʼminlash uchun Wi-Fi tarmoqlariga ulanishni taqiqlash lozim.

98. Bank tomonidan konfidensial maʼlumotlar bilan ishlash uchun berilgan mobil qurilmalar markazlashtirilgan holda boshqariladi va ularda xavfsizlik siyosatidan foydalaniladi (qurilmani masofadan bloklash, maʼlumotlarni masofadan oʻchirish va boshqalar).

99. Bank oʻzining axborot aktivlarida ruxsat etilmagan oʻzgarishlar haqida darhol ogohlantiruvchi va konfiguratsiya fayllarining yaxlitligini nazorat qilish tizimlaridan FIM (File Integrity Monitoring) foydalanishi shart.

100. Banklarda elektron hujjatlarning asliga toʻgʻriligini tasdiqlash va tashqi muhit taʼsiridan muhofazalash uchun bankning elektron raqamli imzo kalitlarini roʻyxatga olish markazi tomonidan yaratilgan elektron raqamli imzo va shifrlash kalitlari qoʻllaniladi.

101. Banklar tashqi tizimlar bilan oʻzaro ishlashda bank tavakkalchiliklaridan kelib chiqqan holda elektron raqamli imzo va shifrlash kalitlarini qoʻllash boʻyicha talablarni oʻzaro kelishgan holda amalga oshiradi.

102. Axborot aktivlari foydalanuvchilarining elektron raqamli imzo kalitlari maxsus yoki mobil qurilmalarga yozilgan boʻlishi hamda har qanday usul bilan ruxsatsiz nusxa olishdan himoyalangan boʻlishi lozim.

103. Elektron toʻlov hujjatlarini kirituvchi, tasdiqlovchi va elektron toʻlovlar bilan tegishli amallarni (bosh buxgalter, soʻnggi nazorat) bajaruvchi barcha masʼul xodimlar elektron raqamli imzo bilan taʼminlangan boʻlishlari va avtomatlashtirilgan bank tizimlarida ushbu elektron raqamli imzodan foydalanishlari zarur.

Bank tomonidan masofaviy xizmat koʻrsatilganda, elektron toʻlov hujjatlarini kirituvchi, tasdiqlovchi va elektron toʻlovlar bilan tegishli amallarni bajaruvchi barcha xodimlar elektron raqamli imzo bilan elektron toʻlov hujjatlarini tasdiqlashi lozim.

104. Banklar tarmoq orqali uzatilayotgan toʻlov maʼlumotlarini elektron raqamli imzo va shifrlash kalitlari qoʻllanilgan holda himoya qilinishini taʼminlaydi.

105. Elektron raqamli imzo kaliti sertifikatining amal qilish muddati elektron raqamli imzo roʻyxatga olingan paytdan eʼtiboran yigirma toʻrt oydan oshmasligi kerak. Bunda elektron raqamli imzo kaliti sertifikatining amal qilish muddati ikki martadan koʻp boʻlmagan muddatga uzaytirilishi mumkin.

Foydalanuvchilarning elektron raqamli imzo ochiq kalitlari avtomatlashtirilgan bank tizimida roʻyxatga olinishi va hisobi yuritilishi kerak.

106. Elektron raqamli imzo kalitining sertifikati roʻyxatga olish markazi orqali yaratiladi. Bunda, sertifikatga quyidagi maʼlumotlar kiritiladi:

elektron raqamli imzo yopiq kalitining egasi boʻlgan jismoniy shaxsning familiyasi, ismi va otasining ismi;

xodimning lavozimi va shaxsini tasdiqlovchi hujjat maʼlumotlari;

jismoniy shaxsning shaxsiy identifikatsiya raqami;

elektron raqamli imzoning ochiq kaliti;

mazkur sertifikatni bergan roʻyxatga olish markazining nomi va joylashgan manzili;

elektron raqamli imzodan foydalanish maqsadlari toʻgʻrisidagi maʼlumotlar;

elektron raqamli imzolar kalitlari sertifikatlari reyestrining elektron manzili.

107. Elektron raqamli imzo va shifrlash kalitlarining yaratilish jarayonlari muhofazalanishi lozim.

108. Elektron raqamli imzoning yopiq kalitidan faqat uning egasi foydalanishi lozim.

Bank tizimidagi elektron raqamli imzo kalitlari qoʻllanilishi Xizmat tomonidan nazorat qilinadi.

Elektron raqamli imzoning yopiq kalitini ish kompyuter xotirasida yoki ish kompyuteriga doimiy ulangan holatda turuvchi tashqi xotirada saqlash taqiqlanadi.

109. Elektron raqamli imzo bilan tasdiqlanmagan va shifrlash jarayonidan oʻtmagan elektron toʻlovlar qayta ishlash uchun qabul qilinishi taqiqlanadi.

110. Markaziy bank tomonidan berilgan elektron raqamli imzo kalitlari buzilganda, yoʻqotilganda va boshqa shunga oʻxshash holatlarda banklar elektron raqamli imzoning yangilanish sabablarini koʻrsatgan holda Markaziy bankka murojaat qiladi. Markaziy bank murojaat asosida bir kun ichida elektron raqamli imzoni yangilab beradi.

111. Elektron arxiv bank arxivining tarkibiy boʻlinmasi sifatida tashkil qilinadi.

112. Elektron arxiv oʻzining elektron arxiv axborot tizimiga ega boʻlishi va uning axborot resurslari shakllantirilishi lozim.

113. Elektron arxivning asosiy vazifalari quyidagilardan iborat boʻlishi kerak:

elektron hujjatlarni jamlash, hisobga olish, ularni saqlash, shuningdek ulardan foydalanishni taʼminlash;

axborot resurslarining arxiv nusxalarini tayyorlash va ularni qonunchilik hujjatlarida belgilangan muddatlarda davlat saqloviga topshirish;

elektron hujjatlarni rasmiylashtirish boʻyicha bankning tarkibiy boʻlinmalariga uslubiy yordam koʻrsatish;

elektron arxiv axborot resursining axborot xavfsizligi va kiberxavfsizligini taʼminlash.

114. Elektron arxiv hujjatlari tarkibiga quyidagi axborot resurslari kirishi lozim:

bank amaliyot kunidagi elektron maʼlumotlarning toʻliq bazasi;

muddati tugagan shifrlash va elektron raqamli imzo kalitlarining ochiq kalitlari;

bank amaliyot kuni dasturlari va boshqa alohida foydalanilayotgan dasturlar majmuasi;

bank axborot tizimlari va resurslari bilan bogʻliq barcha dasturlarning, dasturiy va apparat-dasturiy qurilmalarning elektron bayonnomalari hamda noxush hodisalar bilan bogʻliq elektron bayonnomalar;

elektron pochta orqali qabul qilingan va uzatilgan toʻlovlarga tegishli (farmoyish, qaror va boshqa) hujjatlar;

shifrlangan va shifrlanmagan koʻrinishdagi barcha kiruvchi va chiquvchi elektron toʻlov hujjatlari;

tijorat banklarining kredit va boshqa bank operatsiyalariga taalluqli maʼlumotlari;

banklarning boshqaruv, shaxsiy tarkib hujjatlari va boshqa maʼlumotlar.

115. Bankda elektron arxivda saqlanuvchi maʼlumotlar roʻyxati shakllantirilishi va bir yilda bir marta yangilab turilishi lozim.

Banklar oʻzining siyosati, mavjud boʻlgan axborot tizimlari va bank oldiga qoʻyilgan talablardan kelib chiqib, elektron arxivda saqlanuvchi maʼlumotlar roʻyxatini belgilashi mumkin.

116. Elektron arxiv belgilangan vazifalarni bajarish uchun tegishli texnik qurilma-vositalar va dasturlar bilan taʼminlangan boʻlishi kerak.

Elektron arxivning axborot resursi tashqi saqlovchilarga koʻchirilib, seyfda yoki temir shkafda saqlanishi lozim.

117. Asosiy ish jarayonidagi maʼlumotlar va ularning xotirasida (server disklarida) saqlanayotgan maʼlumotlar elektron arxivning axborot resursi hisoblanmaydi.

118. Banklar elektron arxivning axborot resursi nusxalarini saqlash uchun kamida ikkita bir-biriga bogʻliq boʻlmagan saqlash joylarini tashkil etishlari lozim.

Elektron arxiv har kuni dasturiy ravishda axborot resursini shakllantirishi (arxivlashi) hamda elektron axborot tashuvchi vositalarga yozilishi jarayonini elektron jurnalda qayd etib borishi lozim. Elektron jurnalda axborot resursiga koʻchirilgan axborotlar toʻgʻrisidagi (vaqti, nomi, hajmi va boshqa) maʼlumotlar hamda elektron arxiv butligini aniqlash maqsadida ushbu axborotlarning xesh summasi (nazorat raqamlari) qayd etib borilishi kerak. Elektron arxivning masʼul xodimi ushbu ishlarni amalga oshirganligi toʻgʻrisida maxsus daftarda qayd qilib boradi.

119. Bankning ichki audit xizmati xodimi har oyda kamida bir marta elektron arxivning ishlarini tekshirishi va tekshiruv natijalarini arxiv ishlarini qayd etish maxsus daftariga kiritib borishi zarur. Kamchiliklar aniqlangan taqdirda bankning ichki audit xizmati tomonidan dalolatnoma rasmiylashtirilishi va kamchiliklarni bartaraf etish choralari koʻrilishi tashkillashtiriladi.

120. Elektron arxiv tomonidan elektron arxivning axborot resursi maʼlumotlari har olti oyda bir marta butligi yuzasidan tekshirib turiladi hamda ushbu tekshirish natijalari maxsus daftarda yuritiladi. Agar elektron arxiv axborot resurslari maʼlumotlari qisman yoki umuman buzilganligi aniqlansa, tegishli maʼlumotlar qayta tiklanishi va bu haqida dalolatnoma tuzilishi lozim.

121. Elektron arxivga topshirilgan elektron hujjatlarning (elektron resurslarning) saqlanish muddati qogʻoz asosdagi hujjatlar uchun oʻrnatilgan muddatlardan kam boʻlmasligi lozim.

Bank tomonidan saqlanish muddati doimiy boʻlgan elektron maʼlumotlar idoraviy arxivda oʻn besh yil mobaynida saqlangandan soʻng ularning bir nusxasi oʻrnatilgan tartibda davlat arxivlariga topshirilishi lozim.

122. Bankning filiallari faoliyati tugatilganda, elektron arxivning axborot resursi bankning hududiy filiallariga, hududiy filiallari mavjud boʻlmagan banklar bosh bankka belgilangan tartibda topshiriladi. Bank faoliyati tugatilib boshqa bankka qoʻshib yuborilganda, elektron arxiv maʼlumotlari qoʻshib yuborilayotgan bankning elektron arxiviga belgilangan tartibda topshiriladi.

123. Bank faoliyati tugatilganda elektron arxivning axborot resurslari davlat arxiviga topshiriladi.

124. Elektron arxiv xodim(lar)i axborot resurslarining toʻliqligi, toʻgʻri shakllanganligi hamda ishonchliligi uchun shaxsan javobgar hisoblanadi.

125. Banklar axborot aktivlari ish jarayonining uzluksizligini taʼminlashi hamda buning uchun tashkiliy va texnikaviy choralarni koʻrishlari kerak.

Banklar axborot aktivlari ish jarayonida toʻxtashlar, texnik nosozliklar, favqulodda holatlar va katta zarar yetkazuvchi holatlar yuzaga kelganda ish uzluksizligini taʼminlashi va buning uchun tegishli choralarni avvaldan koʻrgan boʻlishlari lozim.

126. Bankda axborot aktivlari ish jarayonlari uzluksizligini taʼminlash boʻyicha talablar ishlab chiqilishi, shu jumladan uzilishlar (toʻxtashlar) vaqtida amalga oshiriladigan ishlar (barcha holatlar uchun) boʻyicha reja tasdiqlanishi kerak. Rejada ishtirok etuvchi xodimlar harakati yoritilishi va bu xodimlar tegishli tayyorgarlik koʻrib qoʻygan boʻlishlari kerak.

127. Banklar axborot aktivlari quyi tizimlarini qayta tiklash tartibini ishlab chiqishi, maʼlumotlarni va tegishli dasturlarni zaxiralashi, yilda kamida ikki marotaba qayta tiklash sinov ishlarini oʻtkazishi hamda amalga oshirilgan barcha ishlarni hujjatlashtirishi lozim. Qayta tiklash rejasi barcha mavjud axborot tizimlari, operatsion tizimlar va texnik qurilmalarni inobatga olgan holda tuzilishi lozim.

128. Bank axborot tizimlarini qisqa muddatlarda qayta tiklash maqsadida tegishli elektron maʼlumotlarni shakllantirishi kerak. Bunda toʻlov tizimiga bogʻliq bankdagi barcha axborot tizimlarining qayta tiklanuvchi maʼlumotlari kechagi kun yakuniga nisbatan aktual tarzda saqlanishi tashkil etilishi kerak.

129. Qayta tiklanuvchi elektron maʼlumotlar roʻyxati, ularni koʻchirish (hosil qilish) vaqti va boshqalar bank tomonidan belgilanadi.

Banklar qayta tiklanuvchi elektron maʼlumotlarning himoyasini taʼminlashi lozim.

130. Bankning ichki audit xizmati har oyda kamida bir marta maʼlumotlarni qayta tiklash tizimining holatini tekshirishi va tekshiruv natijalarini maxsus daftarida qayd qilib borishi kerak. Kamchiliklar aniqlangan taqdirda, bu haqida dalolatnoma rasmiylashtirilishi lozim.

131. Axborot aktivlarining texnik vositalari ishdan chiqishi holatlari yuz berganda, tizimning betoʻxtov ishlashini taʼminlash uchun banklar zaxira tiklanish rejasi, dastur va uskunalarga ega boʻlishlari shart.

132. Axborot aktivlaridagi serverlar va kompyuterlar ekspert tasdigʻidan oʻtgan yoki litsenziyalangan dasturlarga ega boʻlishi lozim.

133. Bankning axborot aktivlari, axborotni himoyalash vositalari, maʼlumotlar bazasi, veb-serverlari, toʻlov tizimi va boshqa serverlari bankning maʼlumotlarni qayta ishlash asosiy va zaxira markazlarida joylashtiriladi.

Mazkur markazlar axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha talablarga qatʼiy rioya etishi, shuningdek konfidensial, jumladan bank sirini tashkil etuvchi maʼlumotlarning sizib chiqishini oldini olishni hisobga olib, bankning binosida, filial(lar)ida, boshqa banklarda, Markaziy bankning bulutli texnologiya asosida yaratilgan data-markazida yoki davlat data-markazlarida tashkil etilishi mumkin.

Banklar axborot aktivlarini favqulodda (yongʻin, zilzila, suv toshqini va boshqa) holatlardan himoya qilish uchun 50 kmdan kam boʻlmagan masofada joylashgan hududlardagi shahar markazlarida zaxira maʼlumotlarni qayta ishlash markazini tashkil etishi lozim.

134. Asosiy axborot tizimlarida ishlatilayotgan dastur va maʼlumotlarning zaxira nusxalari bankning zaxira markazida saqlanadi. Zaxira markazidagi maʼlumotlarning qayta tiklanishi (sinxronizatsiya) davriyligi kuniga bir martadan kam boʻlmasligi kerak.

135. Banklarda tashkil etilgan maʼlumotlarni qayta ishlash markazlari quyidagi talablarga javob berishi lozim:

maʼlumotlarni qayta ishlash markazining provayderi tegishli litsenziya va sertifikatlarga ega boʻlishi (PCI DSS, ISO 27001);

Tier III yoki Tier IV xalqaro standartlariga mos kelishi;

xizmat koʻrsatish darajasini SLA (Service Level Agreement) belgilovchi hujjatning mavjudligi.

136. Bank server xonasining kafolatli elektr taʼminoti tizimini joriy etishi lozim. Bunda, turli elektr podstansiyalardan elektr taʼminotining ikkita kirishlari va bitta avtomatik tarzda ishga tushuvchi dizel elektr stansiyasi mavjud boʻlishi kerak. Elektr energiyasining barcha uchta manbai elektr taʼminotining asosiy (zaxira) fideriga avtomatik tarzda qayta ulanishi taʼminlanishi kerak.

137. Elektr taʼminoti liniyalarining, avtomatik dizel elektr stansiyasi va uning zaxirasi avtomatik kirishining parametrlari uskuna va server xonasi tizimlarining isteʼmol qilinadigan umumiy quvvatidan kelib chiqib aniqlanishi va quvvat boʻyicha zaxiraning kamida 10 foizini taʼminlashi kerak.

138. Bank uzluksiz ishlashi uchun kamida bir sutkaga yetadigan yoqilgʻi zaxirasiga ega boʻlgan dizel elektr stansiyasi bilan taʼminlanishi lozim, bunda bankda elektr quvvati boʻlmaganda dizel elektr stansiyasi avtomatik ravishda ishga tushishi kerak.

139. Banklar server xonasini uzluksiz elektr taʼminoti manbai (UPS) bilan jihozlashlari lozim.

Bunda elektr taʼminoti manbai (UPS) quvvati barcha taʼminlanadigan uskuna va kelajakdagi ehtiyoj uchun zaxira hisobga olingan holda joriy qilingan boʻlishi kerak. Elektr taʼminoti manbai (UPS) orqali avtonom ishlashda ehtiyojlar, shuningdek zaxira liniyalariga va avtomatik dizel elektr stansiyasiga oʻtish hamda qayta oʻtish uchun kerak boʻladigan vaqt hisobga olinadi.

140. Server xonasiga kirish faqat tasdiqlangan roʻyxatga muvofiq amalga oshiriladi.

141. Server xonasiga kirishga ruxsat berilgan xodimlar roʻyxatida boʻlmagan shaxslar server xonasiga kirish zarurati paydo boʻlgan hollarda ularning kirishi asoslangan holda talabnoma bilan rasmiylashtirilishi lozim. Ushbu talabnoma axborot texnologiyalari boʻlinmasi rahbari tomonidan koʻrib chiqilishi va imzolanishi, shuningdek Xizmat rahbari bilan kelishilishi zarur. Server xonasiga kirish server administratori kuzatuvi ostida amalga oshiriladi.

142. Xodimlar server xonasiga nazorat qilish tizimi orqali nazoratdan oʻtgan holda (biometrik yoki boshqa usullardan) kirishi kerak.

143. Server xonasiga axborot aktivlariga xizmat koʻrsatuvchi tashkilotlar xodimlari kiritilganda, bu haqda roʻyxatga olish jurnaliga kirish va chiqish sanasi, vaqti, amalga oshirilgan ishlar nomi, bajaruvchining familiyasi, ismi, lavozimi, tashkilot nomi yozilishi hamda ushbu xodimning imzosi qoʻyilishi kerak.

144. Server xonasi quyidagi jihozlanish talablariga javob berishi shart:

mustahkam devorlar va ishonchli toʻsiqlarga ega boʻlishi;

ishonchli (kodli) qulflar oʻrnatilgan mustahkam eshiklar bilan jihozlanishi;

derazalar xonaga kirishdan himoya qilish vositalariga ega boʻlishi, shuningdek begona shaxslarning koʻz yoki maxsus qurilmalar bilan kuzatishidan himoya qiluvchi deraza pardalari, qoʻriqlash va ogohlantirish qurilmalari bilan jihozlanishi;

yongʻinga qarshi himoya tizimi va vositalari bilan jihozlanishi.

145. Server xonasiga oʻrnatilgan videokuzatuv tizimi quyidagi talablarga javob berishi kerak:

serverlar bilan bevosita jismoniy kontaktlar yozib borilishi;

uzluksiz videokuzatuv amalga oshirilishi;

serverlarning (server shkaflarining) oldi va orqa tarafini kechayu-kunduz nazorat qilish imkoniyati boʻlishi;

videokameralarning tasvirga olish imkoniyatlari texnologik qurilmalarga xizmat koʻrsatayotgan xodimlarning yuzlarini ishonch bilan farqlashiga yetarli boʻlishi.

146. Videokuzatuv qurilmalari va binoga (yoʻlaklarga, xonalarga) kirishni nazorat qilish tizimlari maʼlumotlari bank toʻlov tizimi lokal tarmoqlaridan ajratilgan va tashqi taʼsirlardan himoya qilingan boʻlishi hamda elektr taʼminoti uzilgan vaqtdan boshlab 12 soat ichida energiyaga bogʻliq boʻlmagan holda avtonom ravishda ishlash imkoniyatiga ega boʻlishi, shuningdek videoarxiv 2 oydan kam boʻlmasligi lozim.

147. Videoarxiv maʼlumotlarini yuritish va foydalanish bankning xavfsizlik boʻyicha masʼul boʻlinmasi tomonidan amalga oshiriladi.

148. Server xonasi binoning oʻt oʻchirish tizimiga bogʻliq boʻlmagan avtomatik gazli oʻt oʻchirish qurilmasi bilan jihozlangan boʻlishi lozim.

Gazli oʻt oʻchirish tizimi bevosita bankning server xonasidagi maxsus jihozlangan shkafda yoki buning uchun ajratilgan maxsus xonada joylashtirilishi kerak.

Gazli oʻt oʻchirish tizimini ishga tushirish yongʻindan xabar beruvchi tutun xabargohlaridan, shuningdek xona tashqarisida, devorga pol sathidan 1,5 m balandlikda oʻrnatilgan qoʻlda ishga tushiriladigan xabargohlardan amalga oshirilishi kerak.

149. Gazli oʻt oʻchirish tizimi xonaning ichkarisida va tashqarisida joylashgan avtomatik gazli oʻt oʻchirish qurilmasi ishga tushganligi toʻgʻrisida xodimlarga xabar beruvchi tabloga va xonaning tashqarisida oʻrnatilgan tovushli xabar beruvchi moslamaga ega boʻlishi kerak.

150. Gaz va tutunni chiqarib yuborish tizimi yongʻinni oʻchirish tizimi ishga tushganidan soʻng server xonasidan gaz va tutunning chiqib ketishini taʼminlashi kerak. Ushbu tizim binoning ventilyatsiya tizimidan alohida bino tomiga havo quvuri chiqarilgan holda bajariladi. Tizim server xonasidagi havo hajmidan uch hissa oshadigan hajmdagi gaz havo aralashmasini chiqarib tashlash imkoniyatiga ega boʻlishi kerak.

151. Sovitish va ventilyatsiya quyi tizimiga qoʻyiladigan asosiy talablar quyidagilardan iborat:

a) server xonasida quyidagi iqlim sharoitlariga rioya qilinishi kerak:

xonadagi havo harorati 18 — 24°C;

haroratning yoʻl qoʻyiladigan ogʻishlari ± 2°C;

havoning nisbiy namligi 40 — 50 foiz;

havoni sovitish tizimining haqiqiy sovitish quvvati server xonasida joylashgan barcha uskunalar va tizimlarning umumiy issiqlik chiqarishidan ortiq boʻlishi kerak;

b) server xonasining havosini sovitish tizimi 100 foiz zaxiralashdan foydalangan holda bajariladi (kamida, har biri mustaqil ravishda xonaning havo rejimini taʼminlay oladigan ikkita mustaqil konditsioner);

v) sovitish tizimi masofadan monitoringni amalga oshirish imkoniyatini taʼminlashi kerak.

152. Bank boshqa yuridik shaxsning axborot tizimi (bundan buyon matnda tashqi axborot tizimi deb yuritiladi) bilan axborot almashinuvini shartnoma asosida amalga oshiradi.

153. Bank va tashqi axborot tizimi oʻrtasida axborot almashinuvi amalga oshirilishi uchun quyidagi axborot xavfsizligi va kiberxavfsizlikni taʼminlash talablari belgilab olinishi kerak:

bank tomonidan beriladigan maʼlumotlar roʻyxati va shakli;

bankning axborot tizimiga kirish imkoniyatlarini chegaralash chora-tadbirlari;

axborot almashinuvida autentifikatsiya va identifikatsiya jarayonlari;

elektron raqamli imzo, shifrlash va boshqa axborot muhofazasi qurilmalari, dasturlari va uskunalari;

bank siri maʼlumotlarini tashqariga chiqishining oldini olish;

mazkur Nizomda koʻrsatilgan tarmoq xavfsizligi talablari va boshqa axborot muhofazasi talablari bajarilishi;

axborot almashinuvida qatnashuvchi xodimlarni tayinlash, ularning vazifalari, majburiyatlari va javobgarliklari.

Bank tashqi axborot tizimi bilan axborot almashinuvini boshlashdan oldin Markaziy bankni xabardor qilishi va axborot almashinuvini Markaziy bankning axborot muhofazasi boʻyicha talablariga rioya qilgan holda amalga oshirishi shart.

154. Banklar uchinchi shaxslar bilan ishlashda xavfsizlikni taʼminlash maqsadida quyidagilarni bajarishlari lozim:

uchinchi shaxslarga maʼlumotlardan foydalanish huquqini berishdan oldin xavf darajasini tahlil qilgan holda baholash;

konfidensial maʼlumotlardan foydalanish huquqi berilgan uchinchi shaxslar bilan maʼlumotlarni oshkor qilmaslik toʻgʻrisidagi NDA (Non-Disclosure Agreement) kelishuvlarini imzolash;

uchinchi shaxslarga faqatgina oʻz majburiyatlarini bajarishi uchun zarur boʻladigan maʼlumotlar va axborot aktivlariga kirishga ruxsat berish;

uchinchi shaxslarning har bir xodimi uchun alohida foydalanuvchi akkauntini yaratish va majburiy tartibda koʻp faktorli autentifikatsiyadan oʻtkazish;

uchinchi shaxslar bilan hamkorlik qilish tugatilganidan keyin ularda mavjud barcha konfidensial maʼlumotlarni qaytarish, yoʻq qilish hamda axborot aktivlariga kirish uchun berilgan ruxsatlar va foydalanish akkauntlarini bekor qilish.

155. Banklar oʻz axborot aktivlariga masofadan ulanishda quyidagi xavfsizlik choralarini koʻrishlari lozim:

bank xodimlariga axborot aktivlariga oʻzining shaxsiy qurilmalaridan foydalangan holda masofadan turib ulanishiga ruxsat bermaslik;

xodimlarni korporativ tarmoqqa masofadan turib ulashda virtual xususiy tarmoqlardan foydalanish va koʻp faktorli autentifikatsiyadan oʻtkazish;

masofadan turib ishlashda foydalanuvchilarning barcha harakati PAM tizimi orqali amalga oshirilishini taʼminlash;

xodimlarga masofadan turib ishlashda faqatgina oʻz vazifalarini bajarishlari uchun zarur boʻladigan axborot resurslaridan foydalanishiga ruxsat berish.

156. Banklar axborot infratuzilmalarida mavjud zaifliklarni aniqlash va bartaraf etishda quyidagilarni bajarishlari lozim:

zaifliklarni aniqlash uchun axborot aktivlarini muntazam ravishda skanerlash ishlarini olib borish;

zaifliklarni tasniflash va tavsiflashda xalqaro CVE (Common Vulnerabilities and Exposures) kabi maʼlumotlar bazalaridan foydalanish;

zaifliklarning muhimlik darajasini aniqlashda xalqaro CVSS (Common Vulnerability Scoring System) kabi baholash tizimlaridan foydalanish;

zaifliklarni bartaraf etishda kerak boʻladigan yangilanish va tuzatishlarni (patch) oʻrnatish;

zaifliklar holatini doimiy ravishda monitoring qilish va bank rahbariyatiga hisobot berish jarayonlarini yoʻlga qoʻyish.

157. Banklar axborot aktivlari konfiguratsiyalaring xavfsizligini taʼminlashda quyidagilarni bajarishi lozim:

axborot aktivlarining barcha tarkibiy qismlari, jumladan serverlar, ishchi stansiyalar, tarmoq qurilmalari va ilovalar uchun xavfsiz konfiguratsiyalarning asosiy liniyalarini SCB (Security Configuration Baselines) yaratish;

konfiguratsiya tavsifini unifikatsiyalashda xalqaro CCE (Common Configuration Enumeration) kabi roʻyxatlardan foydalanish;

barcha konfiguratsiya oʻzgarishlarini tegishli tekshiruv, tasdiqlash va hujjatlashtirishdan oʻtishini taʼminlash uchun oʻzgarishlarni boshqarishning rasmiylashtirilgan jarayonlarini joriy etish;

joriy qilingan konfiguratsiyalarning belgilangan standartlar va xavfsizlik siyosatlariga muvofiqligini muntazam ravishda tekshirib borish va baholash;

konfiguratsiyalarni boshqarish jarayonlarini avtomatlashtirish va ularning belgilangan standartlarga muvofiqligini taʼminlash uchun maxsus dasturiy vositalar va platformalardan foydalanish.

158. Bankning axborot tizimlari va resurslarining hayot davri modeli quyidagi bosqichlardan iborat boʻlishi lozim:

texnik topshiriqlarni ishlab chiqish;

loyihalash;

yaratish va sinovdan oʻtkazish;

qabul qilish va ishga tushirish;

foydalanish;

texnik xizmat koʻrsatish va takomillashtirish;

foydalanishdan chiqarish.

159. Axborot tizimi mustaqil ravishda ishlab chiqilganda, hayot davri modelining barcha bosqichlarida axborot tizimining axborot xavfsizligi va kiberxavfsizlik talablariga muvofiqligi koʻrib chiqishi kerak.

160. Tayyor axborot tizimi xarid qilinganda, axborot tizimining hayot davri modelining quyidagi:

qabul qilish va ishga tushirish;

foydalanish;

texnik xizmat koʻrsatish va takomillashtirish;

foydalanishdan chiqarish bosqichlarida axborot xavfsizligi va kiberxavfsizlik talablariga muvofiqligi taʼminlanishi lozim.

161. Axborot tizimlari kiberxavfsizlik xatarlarini inobatga olingan holda loyihalanishi va ishlab chiqilishi lozim.

162. Axborot tizimi hayot davrining barcha bosqichlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash masalalariga oid ishlar Xizmat bilan kelishgan holda va uning nazorati ostida amalga oshiriladi.

163. Axborot tizimini ishlab chiqish yoki modernizatsiya qilish boʻyicha texnik topshiriqlarda va bankning texnologik jarayonlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha talablar kiritilishi lozim.

Axborot tizimi va (yoki) uning tarkibiy qismlarini yaratish hamda sinovdan oʻtkazish bosqichlarida konfidensial, jumladan bank siriga oid maʼlumotlardan foydalanish taqiqlanadi.

Bankda dasturiy taʼminotni hayot davri bosqichlarida boshqarish platformalarining faqat lokal (on-premise) talqinlaridan (Gitlab va hokazo) foydalanishga ruxsat beriladi. Bunda, platformadagi dastur kodi avtomatik ravishda tahlil qilinishi lozim (SAST/DAST).

Bankning dasturiy taʼminotini hayot davri bosqichlarida boshqarish platformalarini internet tarmogʻiga ulash taqiqlanadi.

Bankning dasturiy taʼminotni hayot davrini boshqarish platformalariga masofadan ulanishni faqat himoyalangan VPN tarmoq orqali amalga oshirishga ruxsat beriladi.

164. Axborot tizimini ishga tushirishdan oldin ularda mavjud zaifliklar tekshirilishi shart. Barcha zaifliklar bartaraf etilganidan keyin axborot tizimini ishga tushirish mumkin.

Bankda foydalanishda boʻlgan axborot tizimi va (yoki) uning tarkibiy qismlarida joriy etilgan himoya choralarining tavsifini oʻz ichiga olgan hujjatlar boʻlishi shart.

165. Bankda dastur ishlab chiqaruvchilar tomonidan axborot tizimini ishlab chiqish va yetkazib berish bosqichlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash talablari qayd etilishi lozim.

Banklar dastur ishlab chiqaruvchilar tomonidan ishlab chiqilgan axborot tizimlarida amalga oshirilgan himoya choralarini tahlil qilishi va zarur hollarda qoʻshimcha talablarni belgilashlari mumkin.

Banklar axborot tizimlarini ishlab chiquvchi yoki tayyor axborot tizimlarini yetkazib beruvchi tashkilotlar bilan tuzgan shartnomalarida axborot tizimining butun xizmat muddati davomida texnik qoʻllab-quvvatlash boʻyicha shartlarni kiritishi lozim. Agarda shartnomada mazkur shartlar koʻrsatib oʻtilmasa, bank yetkazib beruvchidan uning ishtirokisiz axborot tizimi va uning tarkibiy qismlarini qoʻllab-quvvatlash imkoniyatini beruvchi hujjatlar toʻplamini olishi shart.

166. Axborot tizimidan foydalanish davrida quyidagi tartib-taomillar belgilanishi, bajarilishi va roʻyxatdan oʻtkazilishi lozim:

joriy etilgan himoya choralarining ishlashi (faoliyati, samaradorligi)ni nazorat qilish, shu jumladan tashkiliy himoya choralarining amalga oshirilishini tekshirish, qoʻllanilayotgan texnik himoya choralarining tarkibi va sozlash parametrlarini kuzatib borish;

uskunalar va dasturiy taʼminotda zaif tomonlar mavjud emasligini tekshirish;

sozlash parametrlari va qoʻllanilayotgan texnik himoya choralariga oʻzgartirishlar kiritilishini nazorat qilish;

dasturiy taʼminotning, shu jumladan texnik himoya choralarning zaruriy yangilanishlarini nazorat qilish.

167. Axborot tizimidan foydalanish davrida axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha amalga oshirilgan barcha funksiyalarni tiklash uchun zarur boʻlgan tartib-qoidalar aniqlanishi, bajarilishi, qayd etilishi va nazorat qilinishi lozim.

Axborot tizimidan foydalanish davrida oʻrnatiladigan va (yoki) foydalaniladigan dasturiy taʼminotning tarkibini nazorat qilish tartiblari belgilanishi, bajarilishi va qayd etilishi shart.

Axborot tizimidan foydalanish davrida konfidensial, jumladan bank siriga oid maʼlumotlar saqlanayotgan vositalarning xavfsizligini taʼminlash uchun zarur boʻlgan tartib-qoidalar aniqlanishi, amalga oshirilishi va nazorat qilinishi kerak.

Axborot tizimini foydalanishdan chiqarish jarayonida bank faoliyatiga zarar yetkazishi mumkin boʻlgan maʼlumotlar texnik himoya choralari bilan qoʻllaniladigan axborotni tiklash imkoniyatini istisno qiluvchi algoritmlar va (yoki) usullar yordamida axborot tizimlarining doimiy xotirasidan hamda tashqi tashuvchilardan oʻchiriladi, bundan qonunchilikda belgilangan va shartnomaviy hujjatlarda qayd etilgan muddatlar davomida saqlanishi koʻzda tutilgan elektron hujjat arxivlari va bayonnomalar (loglar) mustasno.

168. Banklar oʻzining maʼlumotlarni qayta ishlash boʻyicha asosiy va zaxira markazlarini quyidagi talablarga muvofiq boʻlgan data-markazlarga joylashtirishlari mumkin:

axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha xalqaro ISO/IEC 27001, PCI DSS sertifikatlari va (yoki) axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha boshqa xalqaro sertifikatlarning mavjud boʻlgan;

SOC 2 standartiga muvofiq boʻlgan;

Tier III yoki Tier IV xalqaro standartlariga mos keladigan;

xizmat koʻrsatish darajasini belgilovchi SLA hujjati mavjud boʻlgan;

uzluksiz ishlash vaqtida (uptime) va nosozliklar roʻy berganda, qayta tiklash muddatlari kafolatlangan;

kirish nazorati, videokuzatuv, qoʻriqlash xizmati va tabiiy ofatlardan himoyalanish kabi xavfsizlik choralari mavjud boʻlgan;

turli aloqa kanallari (telefon, elektron pochta, chat) orqali kun-u tun (24/7) faoliyat yurituvchi texnik yordam xizmatiga ega boʻlgan;

data-markaz administratorlari tomonidan koʻp omilli autentifikatsiya va minimal imtiyozlar tamoyiliga asoslangan kirish boshqaruv tizimi mavjud boʻlgan;

banklarga oʻz maʼlumotlariga kirish va soʻrov boʻyicha maʼlumotlarni oʻchirish imkoniyati yaratilgan;

muntazam ravishda axborot xavfsizligi va kiberxavfsizlik auditlari oʻtkaziladigan hamda natijalari banklarga taqdim etiladigan;

yangi tahdidlardan himoyalanish uchun dasturiy taʼminot va texnologiyalarni oʻz vaqtida yangilab boradigan;

Markaziy bankka tekshiruvlar oʻtkazish imkoniyati yaratilgan;

kirish qaydnomalari (loglar) va oʻzgarishlarni kamida 5 yil davomida saqlash imkoniyati yaratilgan;

zaifliklarni tahlil qilish va xavfsizlik sinovlari (pentestinglar) yiliga kamida bir marotaba oʻtkaziladigan;

biznesning uzluksizligini taʼminlaydigan va qayta tiklanish rejalarining samaradorligini tekshirish uchun muntazam ravishda sinovdan oʻtkazib turish ishlari yoʻlga qoʻyilgan.

169. Data-markazlar oʻz xodimlariga muntazam ravishda axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha mashgʻulotlar oʻtkazib turishi lozim.

170. Data-markaz administratorlari barcha oʻzgartirishlarni bank bilan kelishilgan holda PAM tizimi orqali amalga oshirishi lozim.

Data-markaz zamonaviy keyingi avlod tarmoqlararo ekranlarning apparat-dasturiy vositalari bilan muhofazalangan boʻlishi kerak.

171. Data-markazlar banklarning maʼlumotlarini qayta ishlash markazlarining axborot xavfsizligi va kiberxavfsizligini taʼminlash tizimlarini Markaziy bank “CERT-CBU” kiberxavfsizlik markazi monitoring tizimiga ulashi shart.

172. Banklar oʻzining maʼlumotlarni qayta ishlash boʻyicha zaxira markazlarini data-markazlarga joylashtirishda ularda axborot xavfsizligi va kiberxavfsizlikni taʼminlash majburiyatini koʻzda tutishi lozim.

173. Banklar oʻzining maʼlumotlarni qayta ishlash markazlarining joylashuv manzili oʻzgarganligi toʻgʻrisida zudlik bilan Markaziy bankka xabar berishi lozim.

174. Bank axborot xavfsizligi va kiberxavfsizlikning taʼminlanganlik darajasini aniqlash maqsadida tashqi tashkilotlar xizmatidan foydalanishi va ichki auditini amalga oshirishi mumkin.

175. Tashqi tashkilot xizmatlari audit yoki ekspertiza koʻrinishida amalga oshirilishi mumkin. Bank audit yoki ekspertiza ishlarini oʻtkazuvchi tashkilotlarga konfidensial, shu jumladan bank siri maʼlumotlarini taqdim etish yuzasidan ichki hujjat ishlab chiqishi lozim. Bunda, ushbu maʼlumotlar tegishli shartnoma asosida berilishi kerak.

176. Bosh bankning Xizmati bank va uning filiallarida mazkur Nizom talablarining bajarilishi ustidan doimiy nazorat olib borishi lozim.

177. Mazkur Nizom talablarining buzilishida aybdor boʻlgan shaxslar qonunchilik hujjatlarida belgilangan tartibda javobgar boʻladi.

1. Oʻzbekiston Respublikasi Markaziy banki boshqaruvining 2020-yil 25-yanvardagi 2/4-son “Oʻzbekiston Respublikasi tijorat banklari avtomatlashtirilgan bank tizimlarida axborotni muhofaza qilish toʻgʻrisidagi nizomni tasdiqlash haqida”gi qarori (roʻyxat raqami 3224, 2020-yil 10-mart) (Qonun hujjatlari maʼlumotlari milliy bazasi, 10.03.2020-y., 10/20/3224/0312-son).

2. Oʻzbekiston Respublikasi Markaziy banki boshqaruvining 2021-yil 28-maydagi 12/3-son “Oʻzbekiston Respublikasi tijorat banklari avtomatlashtirilgan bank tizimlarida axborotni muhofaza qilish toʻgʻrisidagi nizomning 1-bandiga oʻzgartirish kiritish haqida”gi qarori (roʻyxat raqami 3224-1, 2021-yil 17-iyun) (Qonunchilik maʼlumotlari milliy bazasi, 17.06.2021-y., 10/21/3224-1/0567-son).

3. Oʻzbekiston Respublikasi Markaziy banki boshqaruvining 2023-yil 21-yanvardagi 1/13-son “Oʻzbekiston Respublikasi tijorat banklari avtomatlashtirilgan bank tizimlarida axborotni muhofaza qilish toʻgʻrisidagi nizomga oʻzgartirishlar kiritish haqida”gi qarori (roʻyxat raqami 3224-2, 2023-yil 31-yanvar) (Qonunchilik maʼlumotlari milliy bazasi, 01.02.2023-y., 10/23/3224-2/0064-son).