Ўзбекистон Республикасининг «Ўзбекистон Республикасининг Марказий банки тўғрисида»ги ҳамда «Тўловлар ва тўлов тизимлари тўғрисида»ги қонунларига мувофиқ Ўзбекистон Республикаси Марказий банки бошқаруви қарор қилади:

1. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларининг тўлов тизимларида ахборот хавфсизлигини таъминлаш тўғрисидаги низом иловага мувофиқ тасдиқлансин.

2. Мазкур қарор расмий эълон қилинган кундан эътиборан кучга киради.

Мазкур Низом Ўзбекистон Республикасининг «Ўзбекистон Республикасининг Марказий банки тўғрисида»ги, «Тўловлар ва тўлов тизимлари тўғрисида»ги, «Архив иши тўғрисида»ги ва «Шахсга доир маълумотлар тўғрисида»ги қонунларига мувофиқ тўлов тизимлари операторлари ва тўлов хизматлари етказиб берувчиларининг тўлов тизимларида ахборот хавфсизлигини таъминлашга доир талабларни белгилайди.

1. Мазкур Низомда қуйидаги асосий тушунчалардан фойдаланилади:

авторизация — маълум шахсга ёки шахслар гуруҳига муайян ҳаракатларни амалга ошириш ҳуқуқини бериш;

аутентификация — фойдаланувчи, дастур, қурилма ёки маълумотларнинг ҳақиқийлигини тасдиқлаш тартиб-таомили;

идентификация — тўлов тизимлари субъектларига идентификатор тайинлаш ва/ёки белгиланган идентификаторлар рўйхати билан идентификаторларни таққослаш;

криптографик калит — шифрлаш, дешифрлаш ҳамда электрон имзоларни криптографик алгоритмлар орқали текширишни амалга оширувчи махфий символлар кетма-кетлиги;

масофавий хизмат кўрсатиш тизими — электрон хизматлардан фойдаланиш учун тўлов хизматларидан фойдаланувчи ва ушбу хизматларни етказиб берувчи ўртасидаги алоқани таъминлайдиган телекоммуникация воситалари, рақамли ва ахборот технологиялари, дастурий таъминот ва ускуналар мажмуи;

муҳим тўлов тизимлари операторлари — тўлов тизимининг ишидаги тўхталишлар (узилишлар) Ўзбекистон Республикаси тўлов хизматлари бозорида таваккалчиликларнинг пайдо бўлишига олиб келиши мумкин бўлган ҳамда Ўзбекистон Республикаси Марказий банки (бундан буён матнда Марказий банк деб юритилади) томонидан муҳим тўлов тизими жумласига киритилган тўлов тизимининг оператори ҳисобланган юридик шахс;

тўлов — пул мажбуриятини нақд пул маблағлари билан бажариш ёхуд пул маблағларини тўлов воситаларидан фойдаланган ҳолда ўтказиш;

тўлов агенти — банк ёки тўлов ташкилоти билан тўлов хизматлари кўрсатиш учун агентлик шартномасини тузган, банк ҳисобланмайдиган юридик шахс;

тўлов субагенти — тўлов агенти билан тўлов хизматларини кўрсатиш бўйича субагентлик шартномасини тузган, банк ҳисобланмайдиган юридик шахс ёки якка тартибдаги тадбиркор;

тўлов ташкилоти — банк ҳисобланмайдиган, тўлов хизматларини кўрсатиш бўйича фаолиятни амалга оширишга ваколатли бўлган юридик шахс;

тўлов тизимлари операторлари — Ўзбекистон Республикаси ҳудудида тўлов тизимининг ишлашини таъминлаш бўйича фаолиятни амалга оширувчи юридик шахс;

тўлов хизматларини етказиб берувчилар — Ўзбекистон Республикаси Марказий банки, банклар, тўлов ташкилотлари, тўлов агентлари, тўлов субагентлари;

хавфсизлик режими — норматив-ҳуқуқий ҳужжатлар билан белгиланган, маъмурий-ҳуқуқий, ташкилий, инженер-техник ва бошқа чора-тадбирларни ўз ичига оладиган, ташкилотнинг конфиденциал маълумотларидан ноқонуний фойдаланишнинг олдини олишни таъминловчи тартиб.

2. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ўзларининг ахборот тизимлари хусусиятларидан келиб чиқиб, ахборот хавфсизлиги сиёсатини ишлаб чиқишади.

3. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловлар тўғрисидаги ахборотни шакллантириш, узатиш, сақлаш ва унга ишлов беришнинг барча босқичларида тўловлар тўғрисидаги ахборотни узлуксиз ҳимоя қилиш учун қуйидаги чораларни кўришлари лозим:

идентификация, аутентификация ва авторизация қилиш тизимини жорий этиш;

тизимга рухсатсиз киришнинг олдини олиш усулларини (логин, пароль ва бошқа) қўллаш;

тўлов ҳужжати ва идентификация маълумотларини қалбакилаштириш, уларни рухсатсиз ўзгартириш ҳамда учинчи шахсларга тақдим этишдан ҳимоялаш;

тўлов ахборотлари шакллантирилишини, тўлов ҳужжатининг ҳаққонийлиги текширилишини ва уларга ишлов берилишини ҳамда асосли ўзгартиришлар киритилишини таъминлаш ва назорат қилиш;

тўлов ҳужжатларини узатишда ушбу ҳужжатнинг асл эгасига етказилишини ҳамда бошқа шахсларга жўнатилишининг олди олинишини таъминлаш;

амалга оширилган тўловга оид маълумотларни сақлашда уларни рухсатсиз кўчириш, ўзгартириш, ўчириш ҳамда учинчи шахсларга жўнатилишининг олдини олиш чораларини кўриш;

ташқи сақловчига кўчирилган тўловга оид маълумотларнинг сейфда (темир шкафда) сақланишини таъминлаш ҳамда маълумотларни сақлаш учун масъул ходим (ходимлар) тайинланиши;

ахборот тизимларидаги дастурий таъминотларнинг назоратини ва ҳисобини юритиш ҳамда ахборот тизимларидаги дастурий таъминот талқинларининг, аппарат-дастурий қурилмаларининг ва дастурий воситаларининг узлуксиз ишлашини таъминлаш;

ахборот тизимларининг актуал ҳолатда (охирги версия) бўлишини таъминлаш, бунда дастурий таъминотнинг янги талқинини текширувдан ўтказгандан сўнг ахборот тизимига жорий этиш;

тўлов ахборотларига ишлов бериш, уларни узатиш ҳамда сақлаш жараёнларини электрон баённомаларда автоматик тарзда шакллантириб бориш хамда уларнинг сақланишини таъминлаш;

ахборот хавфсизлиги хизматини ташкил этиш (ахборот хавфсизлигига масъул ходим тайинлаш) ва ахборот хавфсизлиги бўйича амалга ошириладиган ишларни назорат қилиш;

тармоқ муҳофазаси ва криптографик муҳофазасини таъминлаш, компьютер вирусларидан ҳимоялаш, ахборот тизимларига киришни бошқариш, техник воситаларини созлаш ва бошқа чораларни қўллаш;

ахборот муҳофазаси ускуна ва қурилмалари билан таъминлаш, улардан фойдаланишнинг тартибларини белгилаш ҳамда уларга техник хизмат кўрсатиш, таъмирлаш ва бошқа ҳолатларда техник қурилмалардан кўзда тутилмаган тарзда фойдаланишнинг олдини олиш;

қўлланилаётган техник воситаларга барча телекоммуникация тармоқларидан рухсатсиз кириш, улардаги маълумотларни ўзгартириш, ўчириш, кўчириб олишдан химоялаш;

маълумотларнинг рухсатсиз четга чиқишининг олдини олиш.

4. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар дастурларга ва операцион тизимга зарар келтирувчи зарарли кодлар (компьютер вируслари) ва уларнинг салбий таъсирининг олдини олиш учун қуйидаги чораларни кўриши керак:

ҳисоблаш техникаси қурилмалари (серверлар, компьютерлар ва бошқалар), банкомат, эмбоссер ва тўлов терминалларининг (техник имкониятидан келиб чиқиб) иш фаолиятига зарар етказувчи кодларни (компьютер вирусларини) аниқлаш ва уларнинг салбий таъсирининг олдини олиш чораларини кўриш;

ахборот тизимларида фақат лицензияланган антивирус дастуридан фойдаланиш, уларнинг русумлари актуаллиги ва базалари ҳар куни янгиланиб борилишини таъминлаш;

антивирус дастурларининг автоматик тарзда ишлашини таъминлаш;

барча электрон маълумотларни интернет тармоғи ва электрон почта орқали келган антивирус дастури орқали текшириш.

5. Тўлов тизимларида ахборотни муҳофаза қилишнинг криптографик усуллари қўлланилиши ва тўлов тизими қоидаларида қуйидагилар белгилаб берилиши лозим:

криптографик муҳофаза воситаларини автоматлаштирилган тизимларга боғлаш, ишга тушириш, ишлатиш ва фойдаланишдан чиқариш тартиби;

криптографик мухофаза воситаларининг тўхтаб қолиши, ишдан чиқиши ва бошқа фавқулодда ҳолатларида уларни қайта тиклаш тартиби;

криптографик муҳофаза дастурларига ва техник ҳужжатларига ўзгартиришлар киритиш тартиби;

криптографик калитларни бошқариш тартиби;

криптографик калитларни ташувчи қурилмаларни қўллаш, сақлаш, ўзгартириш ва бошқалар бўйича ташкилий, техникавий усулларни қўллаш тартиби.

Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар Ўзбекистон Республикаси Марказий банки билан ахборот алмашинувида ахборот муҳофазасини таъминлаш, ахборот алмашинувини икки томонлама келишув асосида амалга оширилади.

6. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг ахборотлаштириш объектларига рухсатсиз кириш ҳамда фойдаланишни чегаралаш мақсадида қуйидаги чоралар кўрилиши керак:

ахборот объектларига, шу жумладан, банкомат, тўлов терминаллари ва тўлов ўтказиш электрон қурилмаларига жисмонан таъсир этишни ҳамда техник жиҳозлар мавжуд бўлган бино ва хоналарга киришни назорат қилиш;

тўловларни амалга оширишда қўлланиладиган автоматлаштирилган тизимлар, дастурлар, ҳисоблаш техникалари, телекоммуникация қурилмалари параметрлари ва тузилмалари ҳамда тўлов тизимида ишлаш ҳуқуқини берувчи маълумотларни (пароль, биометрик ва бошқа маълумотлар) ўз ичига олган техник воситаларнинг жисмоний муҳофазасини (хавфсизлик режимини) таъминлаш ва рухсатсиз таъсир этишнинг олдини олиш;

тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг ходимлари ахборотлаштириш объектларига киришини назорат қилиш ва маълумотларни рухсатсиз тарқалишидан ҳимоялаш тизимларини жорий қилиш;

серверлар ва телекоммуникация қурилмалари жойлашган хоналарда ишлаш жараёнларини видеокузатув тизимлари ёрдамида назорат қилиш.

7. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар қуйидаги маълумотларни ўз ичига олган ахборот тизимларининг ахборот муҳофазасини таъминлашлари керак:

банк (карта) ҳисобварағида пул маблағлари қолдиқлари тўғрисидаги маълумотлар;

электрон пуллар қолдиқлари тўғрисидаги маълумотлар;

амалга оширилган тўловлар тўғрисидаги маълумотлар;

нақд пулсиз ҳисоб-китобларни ўз ичига олган маълумотлар;

банклараро тўлов ва клиринг тизимлари тўлов маълумотлари;

криптографик муҳофазани таъминлаш учун қўлланиладиган криптографик калитлар;

тўловларни амалга оширишда қайта ишланадиган банк сири, шахсга доир маълумотлар ва бошқа қонун билан муҳофаза қилинадиган маълумотлар.

8. Тўлов тизимлари операторлари ёки тўлов хизматларини етказиб берувчилар мижозларга қўллайдиган тўловларни амалга оширувчи дастурларни тақдим этишда ҳамда уларга ўзгартириш киритишда қуйидагиларни таъминлашлари лозим:

дастурларни ишлатиш бўйича йўриқномаларни ишлаб чиқиш ва уларнинг актуаллигини таъминлаган ҳолда мижозларга тақдим этиш;

аниқланган заифликларни бартараф этиш учун ўзгаришлар киритилишини таъминлаш;

мижозлар қўллаётган дастурларнинг актуаллигини назорат қилиш.

9. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ўзаро тўлов ахборотлари ва тўлов ахборотларига тегишли бўлган маълумотлар алмашинувини телекоммуникация тармоқлари орқали амалга ошириш учун томонларнинг ахборот объектлари ҳусусиятларидан келиб чиқиб, шунингдек, уларнинг вазифалари, жавобгарликлари ва мазкур Низом талабларини ўз ичига олган ахборот хавфсизлигини таъминлаш қоидаларини ишлаб чиқиши керак.

10. Тўлов агенти томонидан банк ёки тўлов ташкилоти билан тўлов хизматларини кўрсатиш учун тузилган агентлик шартномасида ахборот хавфсизлиги бўйича томонларнинг масъулиятлари белгиланган бўлиши керак.

11. Тўлов субагенти томонидан тўлов агенти билан тўлов хизматларини кўрсатиш бўйича тузилган субагентлик шартномасида ахборот хавфсизлиги бўйича томонларнинг масъулиятлари белгиланган бўлиши керак.

12. Тўлов хизматларини етказиб берувчилар пул маблағларини ўтказиш билан боғлиқ шубҳали (фрод) операциялар рўйхатини юритиб боришлари зарур.

13. Тўлов хизматларини етказиб берувчилар тўлов хизмати фойдаланувчисининг пул маблағларини ўтказиш вақтида, ушбу тўлов шубҳали (фрод) операциялар рўйхатида бўлса, бундай ҳолат ҳақида фойдаланувчига хабар (СМС, мессенжер ёки бошқа ахборот тизимлар орқали) бериши, такрорий тасдиқ (пин коди ёки бошқа тарзда маълумот) олиши, агар маълум вақт оралиғида ушбу тасдиқ олинмаса, ушбу тўлов операцияси бекор қилиниши лозим.

14. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар фойдаланувчи томонидан ўзининг ҳисобварақларига тегишли тўлов операцияларини тўхтатиш (блокировка қилиш) имкониятини яратиши лозим.

15. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборотнинг махфийлиги ва яхлитлигини, шу жумладан, тўлов хизматларидан фойдаланувчининг шахсига доир маълумотларни муҳофаза қилишда ҳамда етарли хавфсизликни таъминлаш мақсадида қуйидаги чораларни кўришлари лозим:

тўлов тизимида ишлов бериладиган конфиденциал ва шахсга доир маълумотларнинг яхлитлиги ва дахлсизлигини муҳофаза қилиш ҳамда улардан фойдаланиш тартибини ишлаб чиқиш;

ички ҳужжатлар билан тартибга солинадиган ҳимояланадиган маълумотлар билан ишлашда хавфсизлик ва махфийлигини таъминлаш қоидалари ва талабларини ишлаб чиқиш;

конфиденциал ва шахсга доир маълумотлар билан ишловчи ходимлар сонини имкон даражасида камайтириш, ходимлар билан конфиденциал ва шахсга доир маълумотлар ошкор этилишининг олдини олиш бўйича мажбуриятномалар (шартнома) тузиш ва ушбу маълумотлардан фойдаланиш ҳуқуқларини ходимларнинг лавозим мажбуриятларидан келиб чиқиб белгилаш;

маълумотлар яхлитлиги ва хавфсизлигини таъминлаш мақсадида электрон рақамли имзо калитларидан фойдаланиш ҳамда шифрланган маълумотларни сақлаш тартибини белгилаш;

конфиденциал ва шахсга доир маълумотлар мавжуд бўлган ресурсларга киришда идентификация, аутентификация ва авторизация қилинишини таъминлаш;

конфиденциал ва шахсга доир маълумотлар билан ишлаш ҳуқуқларининг рухсатсиз берилишини олдини олиш;

ахборот тизимлари фойдаланувчиларининг муҳофазаланган маълумотларига кириш, ишлов бериш, уларни сақлаш ҳамда тақдим этиш жараёнидаги амалга оширилган ҳаракатларни электрон баённомаларда қайд этиб бориш;

ташқи сақловчи қурилмалар ва техник воситаларнинг бинодан ташқарига олиб чиқилиши ҳамда уларнинг ўғирланишининг олдини олиш;

маълумотларни узатиш, сақлаш, ўчириб ташлаш, уларга ишлов бериш ҳамда уларнинг рухсатсиз четга чиқиб кетишининг олдини олиш чоралари таъминланганлигини назоратга олиш.

16. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот тизимларида ахборот муҳофазасини таъминлаш учун ахборот хавфсизлиги хизмати (ахборот хавфсизлигига масъул ходим) вазифаларига қуйидагиларни киритишлари лозим:

ахборот тизимларининг ахборот хавфсизлиги мазкур Низом талабларига мувофиқлигини текшириш;

ахборот хавфсизлигига оид чоралар таъминланганлигини баҳолаш, ахборот хавфсизлиги даражасини ошириш, шунингдек, авариялар ва ходимларнинг йўл қўйган хатолари натижасида келиб чиқадиган йўқотишларни камайтириш ва уларнинг содир этилишининг олдини олиш;

ахборот инфратузилмасининг яхлитлиги ва хавфсизлигини назорат қилиш;

серверлардаги дастурий таъминотларни муҳофаза қилиш;

барча технологик жараёнларда ходимлар ҳаракатлари, шунингдек, ахборот тизимларидаги амалга оширилган тўлов хизматлари фойдаланувчиларининг ҳаракатлари бўйича электрон баённомалар рўйхатини юритиш;

автоматлаштирилган тизимларда киберхавфсизликни ва ноқонуний ҳаракатлар билан маблағларни ўзлаштиришнинг олдини олиш чораларини кўриш;

маълумотлар учинчи шахсларга ошкор этилишининг олдини олиш чораларини кўриш;

Мазкур Низом, шунингдек, ахборот муҳофазаси талабларига ҳамда тўлов тизимининг ахборот хавфсизлиги бўйича ички қоида ва тартибларига мувофиқлигини ҳар чоракда ўрганиш ва ўрганиш натижаларини далолатнома билан расмийлаштириш.

17. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот тизимларида ишлаш жараёнида, шу жумладан, ишлаб чиқиш, синовдан ўтказиш жараёнида ходимларнинг ваколатларини чегаралаш учун қуйидаги чораларни кўришлари лозим:

ахборот тизимларида ишлаш ҳуқуқларини белгиловчи тартиб ва қоидаларни ишлаб чиқиш ва уларни лавозим йўриқномаларида акс эттириш ҳамда тегишли ҳужжатга (ариза, талабнома ёки бошқа шаклга) асосан тизимдан фойдаланиш тартибини таъминлаш;

ахборот тизимларида ишлаш ҳуқуқи берилган масъул ходимлар рўйхатини шакллантириш;

ахборот тизимларида ишлаш ҳуқуқларини белгилаш ва тақсимлаш билан боғлиқ ҳаракатларни рўйхатга олиш;

ахборот тизимларида ишлаш ҳуқуқлари мантиқан, иш вазифасидан келиб чиқиб тўғри белгиланганлигини даврий (йилига камида икки маротаба) текшириб туриш;

ахборот тизимларининг ишлаши ва синовдан ўтказилиши даврида ахборот хавфсизлигини таъминлаш ҳамда берилган ахборот тизимларида ишлаш ҳуқуқлари тўғрилигини назорат қилиш;

ахборот тизими фойдаланувчилари уларга ахборот тизими томонидан берилган ҳуқуқларни ўзгартириш имкониятига эга бўлмаслиги ҳамда бегона шахслар томонидан ишлаш ҳуқуқлари берилмаслигининг олдини олиш.

18. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ўзларининг ахборот тизимларига ўзгартиришлар киритиш учун бошқа ташкилотларни жалб қилганда қуйидагиларни амалга оширишлари зарур:

конфиденциал ва шахсга доир маълумотларни ошкор этмаслик бўйича шартнома тузиш;

ахборот тизимларидаги тўловларга оид ва бошқа муҳофаза қилинадиган маълумотлар билан ишлашни белгиланган тартибда рухсат бериш асосида амалга ошириш;

тегишли лицензия ва (ёки) бошқа рухсатномага эга бўлган (агар ушбу фаолият лицензия ёки тегишли рухсатнома асосида амалга оширилса) ташкилотларни жалб қилиш;

ахборот тизимларини лойиҳалаштириш босқичида маълумотларнинг махфийлигини таъминлаш чораларини ишлаб чиқиш;

кўриладиган ахборот муҳофазаси бўйича чоралар (амалга ошириладиган ишлар, ўрнатиладиган дастурлар, қурилмалар ва бошқалар), аниқ кўрсатилган техник топшириқ, қабул қилиш (тест синовларини амалга ошириш режаси) ва бошқа тегишли ҳужжатларни расмийлаштириш;

дастурий таъминот ҳамда уни ишлаб чиққан ва унга ўзгартириш киритган (киритадиган) ташкилотлар рўйхатини тузиш;

ахборот тизимларини ишлаб чиқиш ва жорий этишнинг тахминий муддатларини ва шартларини белгилаб олиш;

жалб қилинган ташкилот ходимлари томонидан ахборот тизимларига киритиладиган ўзгартиришларнинг асослилигини, мавжуд техник топшириқларга мослигини, ахборот тизимига ёд бўлган дастурлар (тизим функциялари) бўлмаслигини, тест синовлари натижаларининг ижобийлигини ахборот хавфсизлиги хизмати (ахборот хавфсизлигига масъул ходим) ҳамда ахборотлаштириш бўйича масъул ходим томонидан назоратга олиш.

Автоматлаштирилган тизимларга ўзгартириш киритган ташкилот ўз вазифасини амалга оширганидан сўнг, унга маълум бўлган барча конфиденциал маълумотлар (идентификатор, пароллар ва бошқалар) ахборот хавфсизлиги хизмати (ахборот хавфсизлигига масъул ходим) томонидан ўзгартирилиши лозим.

19. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот ва Интернет жаҳон ахборот тармоғини, шунингдек, серверлар ва алоқа каналларини эҳтимоли мавжуд бўлган ҳужумлардан ҳимоя қилиш учун етарли чораларни кўриши лозим. Ушбу чоралар қуйидагиларни ўз ичига олиши керак:

компьютер тармоқларини сегментлаш ва тармоқлараро экрандан фойдаланиш;

ахборот тармоқлари, шу жумладан, Интернет жаҳон ахборот тармоғи орқали қабул қилинаётган ва узатилаётган маълумотларга рухсатсиз киришнинг олдини олиш бўйича техник (криптографик ва бошқа) ва/ёки ташкилий чоралар кўриш ҳамда тармоқ маълумотларини фильтрлашни таъминлаш (тармоқлараро экранларни қўллаш);

ахборот тармоқлари ва веб-сайтлар орқали тўловларни амалга оширишда идентификация, кўп омилли аутентификация ва авторизация қилиш (кўп омилли аутентификация қилиш мобиль ва алоқасиз тўловларни амалга ошириш чоғида қўлланилмайди);

ахборот тармоқлари ва Интернет жаҳон ахборот тармоғи, шунингдек, серверлар ва алоқа каналларидан фойдаланувчиларни идентификация қилиш;

Интернет жаҳон ахборот тармоғи ресурсларидан ходимларнинг фойдаланишини прокси-сервер орқали амалга ошириш, иш фаолияти учун зарур бўлмаган веб-сайтларга киришни чегаралаш ва кирилган веб-сайтларни қайд этиб бориш;

ахборот тизимларини асосий ва захира алоқа каналлари билан таъминлаш;

серверлар тармоғини муҳофазалаш (демилитаризация қилинган зоналарини (DMZ) ташкил этиш);

серверларда иш фаолияти учун зарур бўлмаган портларни беркитиш ва хизматларни тўхтатиш;

ахборот тизимига кириш объектлари ва ресурсларининг ҳисобини юритиш;

мобиль тўловларни амалга ошириш чоғида фойдаланувчиларни кўп факторли аутентификация қилиш (SMS, QR-код, NFC, бармоқ излари, кўзнинг рангдор пардаси асосида аниқлаш ёки шу каби тасдиқловчи усулларни қўллаш мумкин);

мобиль қурилмалар ёрдамида масофадан киришда тўлов маълумотлари ҳамда ахборот тизимларининг (маълумотлар базасининг) ахборот хавфсизлигини таъминлаш;

масофавий хизмат кўрсатиш ва бошқа ахборот тизимларида мижозни аутентификация қилиш мақсадида қўлланиладиган (бир марталик ёки кўп марталик) паролларни ишлатиш тартибини белгилаш, тасдиқлаш кодларини қўллаш, коднинг фаол бўлиш вақти ва бошқаларни ёритиш;

фирибгарлик ҳаракатларининг олдини олиш;

автоматлаштирилган тизимга киришда қўлланилган қурилма тўғрисида идентификация маълумотларини (IP-адрес, MAC-адрес ва бошқа идентификаторлар) қайд этиш;

тажовузларни аниқлаш ва уларнинг олдини олиш тизимларини қўллаш.

20. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар чет эл ташкилотларининг ахборот муҳофазаси ускуналарини қўллашлари мумкин.

21. Тўлов тизимлари операторлари тўловлар билан боғлиқ ахборот алмашинуви учун қўлланиладиган техник ва ташкилий чораларни, иш тартибларини белгилаши ҳамда ушбу тартиблар ижроси тўлов хизматларини етказиб берувчилар томонидан таъминланиши лозим.

22. Ахборот муҳофазасини кучайтириш мақсадида тармоқ протоколида (TCP/IP) тармоқ транзит пакетларининг IP манзилларини ўзгартириш имконини берувчи тармоқ адресларини ўзгартириш протоколи (NAT) қўлланилиши мумкин. Бунда тармоқ орқали барча уланишларнинг электрон журналлари асл IP манзиллар кўрсатилган ҳолда юритилиши ва белгиланган тартибда электрон архивга олиниши лозим.

23. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ички ҳужжатларида қуйидагиларни белгилашлари лозим:

ахборот тармоқларини хавфсиз ва ишончли алоқа каналлари билан таъминлаш тартиби;

тўлов тизимига кириш ва ундан чиқиш жараёни тартиби;

фойдаланувчини тўлов тизимига улашда ахборот хавфсизлигини таъминлаш тартиби;

процессинг ва клиринг жараёнларида ахборот хавфсизлиги тартиби ва талаблари (агар ушбу хизмат амалга оширилса);

хатарларни бошқариш чоралари ва усуллари;

автоматлаштирилган тизимда, ахборот дастурларида фойдаланувчиларнинг ягона идентификаторини ҳосил қилиш тартиби;

қайд этиладиган ҳаракатлар рўйхати;

маълумотларни рўйхатга олиш ва сақлаш тартиби.

24. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловлар бўйича махфий маълумотлардан ва ўта муҳим мантиқий ҳамда жисмоний ресурслардан (ахборот тармоқлари, ахборот тизимлари, маълумотлар базаларидан, ахборотни ҳимоя қилиш модулларидан) фойдаланиш мониторингини амалга оширади. Бунда мониторинг қилишда қуйидагилар белгиланади:

ахборот инфратузилмасининг ахборотга ишлов бериш, уларни сақлаш ва тармоқда узатиш учун қўлланиладиган дастур ва қурилмалар ҳисобини юритиш;

ахборот хавфсизлиги нохуш ҳодисаларини таҳлил қилиш, ахборот хавфсизлиги ҳолатини мониторинг қилиш ҳамда огоҳлантириш имконини берувчи (Security information and event management (SIEM) ёки бошқалар) тизимларни жорий қилиш;

ахборот хавфсизлиги ҳолатини мониторинг қилишни амалга оширувчи тизим маълумотларини таҳлил қилиб бориш ва аниқланган ҳолатларни (ахборот тармоғига рухсатсиз кириш ва киришга уриниш, тизимдаги тўхталишлар, ахборот ресурсларининг етишмовчилиги, тармоқдаги узилишлар, ахборот хавфсизлигини таъминлашдаги чекланишлар ва бошқа нохуш ҳодисалар) бартараф этиш ва (ёки) уларнинг олдини олиш бўйича чоралар кўриш;

махфий маълумотлардан ва ўта муҳим мантиқий ҳамда жисмоний ресурслардан (ахборот тармоқлари, ахборот тизимлари, маълумотлар базаларидан, ахборотни ҳимоя қилиш модулларидан) рухсатсиз фойдаланишнинг олдини олиш бўйича чоралар кўриш;

фойдаланувчи операцияни амалга оширган сана (кун, ой, йил) ва вақт (соат, дақиқа, сония), унинг амалга оширган операцияси фойдаланувчига автоматлаштирилган тизимларда ҳамда ахборот дастурларида берилган идентификация рақами, тизимларга киришда мавжуд бўлган идентификация маълумотлари (техник имкониятлардан келиб чиқиб, IP-адрес, MAC-адрес, SIM-карта рақами, IMEI-код, телефон рақами ва/ёки қурилманинг бошқа идентификатори), автоматлаштирилган тизимлар томонидан фойдаланувчига ҳуқуқ берилиши билан боғлиқ ҳаракатларни қайд этиш;

ахборот дастурлари, автоматлаштирилган тизимлар ишлатилиши билан боғлиқ фойдаланувчиларнинг ҳаракатини (операция) қайд этиш зарур.

25. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловларни ва пул маблағларини ўтказишни амалга ошириш чоғида ахборотнинг ҳимоя қилинишини таъминлашга доир талабларнинг бузилиши билан боғлиқ бўлган нохуш ҳодисаларни аниқлаш мақсадида ахборотни ҳимоя қилишнинг ташкилий чораларини кўришда ҳамда техник воситаларини қўллашда қуйидаги ишларни ташкил этиши лозим:

қўлланилиши зарур бўлган ахборот муҳофазаси бўйича ташкилий чораларни аниқлаш;

мавжуд техник қурилмаларни ишлатиш, созлаш ҳамда улардаги маълумотларни қайд этиш бўйича масъул ходимларни тайинлаш;

ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ нохуш ҳодисаларни аниқлаш чораларини кўриш ҳамда ушбу ҳолатлар ходимлар томонидан аниқланганда уларнинг ахборот хавфсизлиги хизматини (ахборот хавфсизлигига масъул ходим) хабардор қилиши;

ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ нохуш ҳодисалар юзага келганда уларни бартараф этиш, юзага келиш сабабларини аниқлаш, таҳлил қилиш ҳамда аниқланган нохуш ҳодисалар юзага келмаслиги бўйича тегишли чоралар кўриш;

аниқланган нохуш ҳодисаларни рўйхатга олиб бориш (реестрини юритиши) ҳамда ушбу ҳолатлар бўйича маълумотларни расмий веб-сайтга жойлаштириш (ёки бошқа йўллар билан эълон қилиш) орқали мижозларни огоҳлантириш;

аниқланган нохуш ҳодисалар тўғрисидаги маълумотларни сақлаш тартибини белгилаш;

ахборот муҳофазасини таъминлашнинг бошқа чораларини кўриш.

Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ нохуш ҳодисалар тўғрисида Марказий банкка зудлик билан ёзма ёки электрон шаклда хабар бериши лозим.

26. Тўлов тизимлари операторлари ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ нохуш ҳодисаларнинг олдини олиш мақсадида қуйидаги талабларни белгилаши керак:

тўлов тизимининг бошқа иштирокчиларига тўловларни амалга ошириш учун зарур техник ва дастурий воситаларга ахборот хавфсизлиги бўйича қўйиладиган талабларни;

тўлов тизими ва тўловлар билан боғлиқ нохуш ҳодисалар тўғрисида маълумот бериш шакли ва тартибига бўлган талабларни;

тўлов тизимида ахборот хавфсизлигига оид таваккалчиликларни бошқариш тартиби ва уларни баҳолаш мезонларини;

тўловга оид маълумотларга ишлов бериш воситаларининг хавфсиз ишлашини таъминлаш тартибини;

тўлов тизимида нохуш ҳодисалар юзага келганда ўзаро ҳаракатланиш тартибини.

27. Тўлов хизматларини етказиб берувчилар ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ нохуш ҳодисаларнинг олдини олиш мақсадида қуйидаги талабларни белгилаши керак:

тўловни амалга ошириш қурилмаларини мижозга етказиб бериш билан боғлиқ таваккалчиликларнинг олдини олиш чораларини кўриш;

тўлов ускуналарининг йўқолиши, ўғирланиши, бегона шахслар томонидан эгалик қилиниши каби ҳолатлар аниқланганда тўлов тизимлари операторларига хабар бериши лозим.

28. Тўлов тизими операторлари томонидан тўлов хизматларини етказиб берувчиларга тўлов тизимида ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ аниқланган нохуш ҳодисалар тўғрисида маълумот берилиши ҳамда ушбу ҳолатни таҳлил қилиш ва бартараф этиш бўйича услубий қўлланма тақдим қилиниши лозим.

29. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборотнинг ҳимоясини таъминлаш талабларининг бузилиши билан боғлиқ бўлган аниқланган нохуш ҳодисаларга нисбатан қуйидаги таъсир чораларини кўришлари лозим:

юзага келиши мумкин бўлган нохуш ҳодисаларга нисбатан таъсир чораларини кўрсатиш юзасидан зарур ҳаракатларни олдиндан кўра билиш ҳамда амалга ошириладиган ҳаракатлар рўйхатини белгилаш;

содир бўлган нохуш ҳодисаларга нисбатан қисқа муддатларда таъсир чораларини кўриш;

нохуш ҳодисалар юз берганида ишнинг узлуксизлигини таъминлаш, шунингдек, ноқонуний тўловларни ва ҳисобварақлардаги қолдиқ маблағларининг рухсатсиз ўзгартирилишининг олдини олиш, ахборотни қайта тиклаш ҳамда бошқа салбий ҳолатларни бартараф этиш;

ходимлар томонидан мавжуд ахборот тизимларида ишлашда белгиланган ахборот хавфсизлиги талабларига риоя қилинишини таъминлаш;

юзага келган нохуш ҳодисаларнинг келиб чиқиш омилларини аниқлаш мақсадида тармоқ қурилмалари ҳамда ахборот тизимлари электрон баённомаларини расмийлаштириш, йиғиш, таҳлил қилиш ва уларга асосан тегишли кўрсатмаларни ишлаб чиқиш лозим.

30. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ахборотнинг ҳимоя қилинишини таъминлашга доир талабларнинг бузилиши билан боғлиқ бўлган аниқланган нохуш ҳодисалар сабабларини таҳлил қилиш ҳамда уларга таъсир кўрсатиш натижаларини баҳолаши лозим. Бунда аниқланган нохуш ҳодисалар сабабларини таҳлил қилиш ҳамда уларга таъсир кўрсатиш натижаларини баҳолаш тизими қуйидагиларни ўз ичига олиши лозим:

аниқланган нохуш ҳодисаларга нисбатан таъсир чоралари кўрилгандан кейин ушбу нохуш ҳодисаларнинг келиб чиқиш сабабларини ахборот хавфсизлиги хизмати (ахборот хавфсизлигига масъул ходим) томонидан тегишли бўлинмалар билан биргаликда таҳлил қилиш тартиби;

ахборот тизимларининг тегишли электрон баённомаларини ўрганиш ҳамда аниқланган нохуш ҳодисанинг юзага келишига сабабчи бўлган ходимлардан тушунтиришлар олиш;

нохуш ҳодисаларнинг келиб чиқиш сабабларига ойдинлик киритиб, бундай ҳолатлар юзага келмаслиги ёки юзага келганда унинг зарар келтириш имкониятларини камайтириш чораларини ишлаб чиқиш (шу жумладан, тегишли мутахассисларни жалб қилган ҳолда);

нохуш ҳодисаларнинг салбий таъсир кўрсатиш даражасига қараб таснифлаш ва баҳолаш мезонига асосан уларни баҳолаш.

Аниқланган ахборот хавфсизлиги талабларининг бузилиши билан боғлиқ нохуш ҳодисалар, уларга нисбатан кўрилган таъсир чоралари, уларни баҳолаш натижалари ва бошқа қўшимча маълумотлар чоп этилиши ҳамда алоҳида йиғмажилдда сақланиши зарур.

31. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар банкомат, инфокиоск ва тўлов терминалларининг ахборот муҳофазасини таъминлаши лозим. Бунда ахборот муҳофазасини таъминлашда қуйидаги чоралар қўлланилади:

банкомат, инфокиоск ва тўлов терминалларининг ҳисобини юритиш ҳамда уларнинг ахборот дастурига рухсатсиз киришининг олдини олиш;

банкомат, инфокиоск ва тўлов терминалларига техник хизмат кўрсатувчи шахслар фаолиятини назорат қилиш ҳамда улар томонидан амалга оширилган ўзгартиришлар бўйича электрон баённома юритиш;

видеокузатув тизимлари ёрдамида банкоматлар билан ишлаш жараёнларини назоратга олиш (банкоматга киритиладиган тўлов карталари пин код рақамлари видеокузатув тизимлари орқали қайд этилиши имконияти бўлмаган ҳолда);

бош банк ҳамда унинг инфратузилмалари (филиал, мини-банк ва бошқалар) ва бошқа қўриқланадиган объектларидан ташқарида жойлаштирилган банкоматларнинг видеокузатув маълумотлари бош банк ёки унинг филиалидаги техник қурилмаларга тўғридан-тўғри (онлайн) ёзиб борилишини таъминлаш;

банкомат тармоқ кабелларини муҳофазалаш;

банкоматнинг бошқа банкоматлар билан бир хил бўлган қулфларини алмаштириш;

банкоматларни алоқа каналларидан ёки жисмонан боғланган ҳолда эҳтимолий ҳужумлардан (шу жумладан, скиммингдан) ҳимоя қилиш;

аутентификация қилиш тартибини белгилаш;

тўловларни амалга оширувчи қурилмаларнинг ҳисобини юритиш;

банкоматлардаги нақд пул маблағларининг жисмоний муҳофазасини таъминлаш;

тармоқ орқали ахборот алмашинувида ахборот муҳофазасини ташкил этиш;

халқаро тўлов тизимлари билан ишлайдиган ахборот тизимларида халқаро стандартлар (PCI DSS, PTS, PA DSS) талабларига мувофиқ ахборот муҳофазаси воситалари ва тизимларини жорий қилиш.

32. Тўлов тизимлари операторлари ўзларининг тизимларидаги банкоматлар ва инфокиосклардаги ахборот хавфсизлигини банклар билан биргаликда таъминлайди ҳамда уларнинг узлуксиз ва тўғри ишлашини назорат қилади. Агар ахборот хавфсизлиги бўйича маълум бир (ёки барча) масъулият тўлов хизматларини етказиб берувчига юклатилган бўлса, мазкур ҳолат тегишли шартномаларда қайд этилиши ва масъулият юклатилган ташкилотга зарурий шароитлар яратиб (банкоматларнинг ахборот тизимидаги ишлаш ҳуқуқлари) берилиши зарур.

33. Муҳим тўлов тизимлари операторлари мазкур Низомда белгиланган хавфсизлик чораларига қўшимча равишда қуйидаги ахборот хавфсизлиги чораларини таъминлаши зарур:

тўлов тизимининг узлуксиз ишлаши ишончлилигини таъминлаш;

ахборот хавфсизлиги хизматини ташкил этиш ва унинг мажбуриятларини белгилаш;

Oʻz DSt 2875:2014 «Датамарказларга қўйиладиган талаблар. Инфратузилма ва ахборот хавфсизлигини таъминлаш» стандартининг датамарказ телекоммуникация воситалари инфратузилмаси тайёрлиги ва хавфсизлигининг учинчи даражадан паст бўлмаслигини таъминлаш;

халқаро банк карталаридан фойдаланилганда PCI DSS хавфсизлиги стандарти, Payment Services Directive (PSD2) тўлов хизматларини кўрсатиш директиваси талабларига мувофиқлаштириш;

ахборот тизимлари тўғри ташкил этилганлиги юзасидан нуфузли халқаро аудитор ташкилотларни жалб қилиш орқали АКТ-инфратузилмасини (ахборот хавфсизлиги ҳолатини) аудитдан ўтказишни таъминлаш;

Ўзбекистон Республикасининг «Тўловлар ва тўлов тизимлари тўғрисида»ги Қонунида ва бошқа қонунчилик ҳужжатларида муҳим тўлов тизимлари операторларига белгиланган талабларни бажариш.

34. Муҳим тўлов тизимлари операторлари маълумотларга ишлов берувчи асосий ахборот тизимларини ташкил этиши ва улар жойлашган жойдан 50 километрдан яқин бўлмаган жойда захира ахборот тизимларини ташкил этиши лозим. Бунда асосий ва захира ахборот тизимлари Ўзбекистон Республикаси ҳудудида ташкил этилади.

Муҳим тўлов тизимлари операторларининг ахборот тизимларидаги маълумотлар (электрон баённомалар ва бошқа тўловлар билан боғлиқ маълумотлар) электрон архивларда камида икки нусхада (хусусан, асосий ва захира ахборот тизимларининг ҳар бирида битта нусхадан сақланиши мумкин).

35. Тўлов тизимларининг узлуксиз ишлаши ва барқарорлигини таъминлаш мақсадида қуйидаги чоралар кўрилиши лозим:

тўлов тизими билан боғлиқ тармоқ ва бошқа қурилмалар носоз ҳолатга келганда уни иш жараёнига келтириш ва узлуксиз ишлашини таъминлаш;

операцион тизим, дастурий таъминотлар, ахборот тизимларининг дастурлари, маълумотлари (маълумотлар базаси, созламалари, электрон баённомалар) нусхалари захирага (backup) олинишини ва электрон архивда сақлаш ҳамда уларни қайта тиклаш тартибини (механизмини) ишлаб чиқиш, уларнинг ҳисобини юритиш ва назоратини олиб бориш;

захира техник қурилма ва ускуналарга эга бўлиш;

маълумотларнинг захирага олинган (backup) нусхаларини техник носозликларда ва фавқулодда вазиятларда қайта тиклаш режасини ишлаб чиқиш ва даврий (бир йилда бир маротаба) ахборот тизимини қайта тиклаб текшириш;

дастурларга ўзгариш киритишни синов (тест) учун мўлжалланган серверларда текшириш;

тизимдаги қурилма ва ускуналарнинг ишлашини назорат қилиш;

тўлов тизимининг узлуксизлигига салбий таъсир этиши мумкин бўлган ҳолатларнинг олдини олиш ва ахборот муҳофазасини таъминлаш;

дизель электр станцияси ва/ёки бошқа электр таъминоти узлуксизлигини таъминлаш воситаларидан (UPS ва бошқалар) фойдаланиш;

ишлов берилган маълумотларни сақлаш ва уларнинг электрон архивда юритилишини таъминлаш;

мижозларнинг ҳаракатига тегишли бўлган маълумотларни камида беш йил сақланишини таъминлаш;

ахборот узатиш захира тармоқларига эга бўлиш.

36. Муҳим тўлов тизимлари операторлари бўлмаган тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар маълумотларга ишлов берувчи асосий ахборот тизимларини ташкил этиши ва улар жойлашган жойдан 5 километрдан яқин бўлмаган жойда захира ахборот тизимларини ташкил этиши лозим. Бунда асосий ва захира ахборот тизимлари Ўзбекистон Республикаси ҳудудида ташкил этилади.

Ахборот тизимларидаги маълумотлар (электрон баённомалар ва бошқа тўловлар билан боғлиқ маълумотлар) электрон архивларда камида икки нусхада (хусусан, асосий ва захира ахборот тизимларининг ҳар бирида битта нусхадан сақланиши мумкин).

37. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар фаолияти тугатилганда, улардаги мавжуд электрон архивнинг ахборот ресурслари давлат архивларига топширилади.

Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар фаолияти тугатилиб, бошқа ташкилотга қўшиб юборилганида, электрон архив маълумотлари қўшиб юборилаётган ташкилотнинг электрон архивига топширилади.

38. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг тўловлар билан боғлиқ маълумотларни сақлаш ва уларга ишлов бериш хоналари билан таъминланган бўлиши керак. Ушбу хоналар қуйидаги талабларга жавоб бериши лозим:

рухсатсиз жисмоний киришдан муҳофазаланган бўлиши;

хона биринчи қаватда жойлашган ҳолларда унинг деразалари темир панжара билан жиҳозланган бўлиши;

қўриқлаш ва ёнғиндан огоҳ этувчи иккита ҳимоя тўсиғи хабаргоҳлари билан жиҳозланиши;

тунги вақтда қўриқлаш ва огоҳлантириш қурилмалари билан жиҳозланиши;

видеокузатув орқали назоратга олиниши.

Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар тўловлар билан боғлиқ маълумотларни сақлаш ва уларга ишлов бериш хоналарини мазкур бандда белгиланган талаблардан ташқари бошқа хавфсизлик чораларини кўриши мумкин.

39. Мазкур Низомда белгиланган барча видеокузатув маълумотларининг сақланиш муддати бир ойдан кам бўлмаслиги зарур.

40. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчиларнинг бинолари ҳимоя қилинишида улар зарурий ускуналар, ташкилий-техник воситалар билан жиҳозланиши ва тегишли дастурий таъминотлардан фойдаланилиши лозим.

41. Тўлов тизимлари операторлари ўзларининг тўлов тизимларида ахборот хавфсизлиги чораларини кўришда назорат ва мониторинг ишларини амалга оширишлари лозим.

42. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар автоматлаштирилган тизимларни, иловаларни ҳамда ахборот инфратузилмаси объектларини ахборот хавфсизлиги заифликларига таҳлил қилиши, ҳар йили камида бир марта рухсатсиз киришга текшириши ва ҳужжатларда қайд этилмаган имкониятлар мавжуд эмаслигини назорат қилиши лозим.

43. Тўлов тизимлари операторлари ва тўлов хизматларини етказиб берувчилар ҳар йили, келгуси йилнинг биринчи апрелидан кечиктирмай, Марказий банкка хавфсизликнинг таъминланиш ҳолати тўғрисида ҳисобот тақдим этиши шарт.

44. Мазкур Низом талабларининг бузилишида айбдор бўлган шахслар қонунчилик ҳужжатларида белгиланган тартибда жавобгар бўлади.