Кыргыз Республикасынын
Улуттук банк Башкармасынын
2021-жылдын 22-декабрындагы
№ 2021-П-20/72-8-(НПА)
Токтому
«Кыргыз Республикасынын коммерциялык банктарында
маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө»
жобону бекитүү тууралуу
Кыргыз Республикасынын «Кыргыз Республикасынын Улуттук банкы, банктар жана банк иштери жөнүндө» мыйзамынын 20 жана 68-беренелерине ылайык, Кыргыз Республикасынын Улуттук банк Башкармасы токтом кылат:
1. «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобо бекитилсин (кошо тиркелет).
2. Төмөнкү ченемдик укуктук актылар күчүн жоготкон катары таанылсын:
- Улуттук банк Башкармасынын 2011-жылдын 14-сентябрындагы № 52/12 токтому менен бекитилген «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобо;
- Улуттук банк Башкармасынын 2012-жылдын 16-сентябрындагы № 43/1 «Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына өзгөртүүлөрдү жана толуктоолорду киргизүү жөнүндө» токтомуна карата тиркеменин 38-пункту;
- Улуттук банк Башкармасынын 2017-жылдын 15-июнундагы №2017-П-12/25-12-(НПА) «Улуттук банктын айрым ченемдик укуктук актыларына өзгөртүүлөрдү жана толуктоолорду киргизүү жана айрым ченемдик укуктук актыларын күчүн жоготкон катары таануу жөнүндө» токтомунун:
- 1-пунктунун 12-пунктчасы;
- жогоруда аталган токтомго карата тиркеменин 12-пункту.
3. Токтом расмий жарыяланган күндөн тартып он беш күн өткөндөн кийин күчүнө кирет.
4. Юридика башкармалыгы:
- токтомдун Улуттук банктын расмий интернет-сайтында жарыяланышын камсыз кылсын;
- расмий жарыялангандан кийин токтомду Кыргыз Республикасынын ченемдик укуктук актыларынын мамлекеттик реестринде чагылдырылышы үчүн Кыргыз Республикасынын Юстиция министрлигине жөнөтсүн.
5. Коопсуздук жана маалыматтык коргонуу башкармалыгы ушул токтом менен «Кыргызстан банктарынын союзу» юридикалык жактар бирикмесин, коммерциялык банктарды, Улуттук банктын тиешелүү түзүмдүк бөлүмдөрүн, областтык башкармалыктарын жана Баткен областындагы өкүлчүлүгүн тааныштырсын.
6. Токтомдун аткарылышын контролдоо Коопсуздук жана маалыматтык коргонуу башкармалыгынын ишин тескөөгө алган Кыргыз Республикасынын Улуттук банк Башкармасынын мүчөсүнө жүктөлсүн.
Төрага К. Боконтаев
Кыргыз Республикасынын
Улуттук банк Башкармасынын
2021-жылдын 22-декабрындагы
№ 2021-П-20/72-8-(НПА)
токтомуна карата тиркеме
Кыргыз Республикасынын коммерциялык банктарында
маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө
ЖОБО
1-глава. Жалпы жоболор
1. Кыргыз Республикасынын коммерциялык банктары үчүн Кыргыз Республикасынын банк тутумунун маалымат коопсуздугунун деңгээлин жогорулатууга, ошондой эле кара ниеттердин аракеттеринен, авариялык бузулуулардан жана персоналдын жаңылыштыгынан улам келип чыгышы мүмкүн болгон жоготууларды минималдаштырууга багытталган бирдиктүү талаптарды белгилөө ушул Жобонун максаты болуп саналат.
2. Ушул Жобонун максатында төмөнкү аныктамалар колдонулат:
Авторизация – бул, белгилүү бир объектке/субъектке системада аткарган ролуна ылайык айрым иш-аракеттерди аткарууга укук берүү процесси;
Автоматташтырылган система – бул, персоналдан, анын ишин автоматташтыруу каражаттарынын комплексинен, белгиленген функцияларды аткаруунун маалымат технологиясын ишке ашыруучу ыкмалардан жана иш-чаралардан турган система;
Автоматташтырылган банктык система – бул, банктын функцияларын аткаруу технологиясын ишке ашырган автоматташтырылган система;
Аутентификация – ыйгарылган идентификаторду пайдалануу мүмкүнчүлүгүнүн объектке/субъектке таандык экендигин текшерүү же аныктыгын тастыктоо;
Аутсорсинг - банк кадимки шарттарда өзү жүзөгө ашыра алган иштердин жана кызмат көрсөтүүлөрдүн айрым түрлөрүн үзгүлтүксүз негизде аткаруу үчүн сырттан кызматтарды сунуштоочуларды тартуу түшүнүгү. Банк кредиттөөгө, депозиттерди тартууга байланыштуу операцияларды же алар үчүн лицензия талап кылынган башка банктык операцияларды жүргүзүү үчүн аутсорсингди пайдалана албайт;
Маалыматтык активдерди пайдалануу мүмкүнчүлүгү – бул, маалыматтык активдер авторизацияланган пайдалануучуга зарыл болгон түрдө жана жерде, ошондой эле зарыл болгон убакытта сунуштала турган, банктын маалымат коопсуздугунун өзгөчөлүгү;
Идентификатор – субъектин же пайдалануу объектисинин өзгөчө белгиси;
Идентификациялоо – объекттерге/субъекттерге идентификатор (өзгөчө аталыш) ыйгаруу же объекттин/субъекттин идентификаторун ыйгарылган идентификаторлордун тизмеси менен салыштыруу процесси;
Маалымат коопсуздугу – бул, маалымат чөйрөсүндөгү коркунучтарга байланыштуу коопсуздук. Коргонуу маалымат коопсуздугунун чогуу алгандагы өзгөчөлүгү – маалыматтык активдердин жеткиликтүүлүгү, бүтүндүгү, купуялуулугу менен камсыз кылынган шартта жетишилет. Маалымат коопсуздугунун өзгөчөлүгүнүн артыкчылыгы көрсөтүлгөн активдердин банктын кызыкчылыгы (максаттары) үчүн баалуулугу менен аныкталат;
Маалымат системасы – коюлган максатка жетүү үчүн маалыматтарды сактоо, иштеп чыгуу жана берүү үчүн колдонулган каражаттардын, ыкмалардын жана персоналдын өз ара байланыштуу жыйындысы. Маалымат системасында маалыматтарды сактоонун, иштеп чыгуунун жана берүүнүн автоматташтырылган жана автоматташтырылбаган процесстери камтылган;
Маалыматтык активдер - максаттарга жетүү көз карашынан алганда банк үчүн баалуу жана аларды иштеп чыгуу, сактоо же берүү үчүн жарактуу болгон кайсы болбосун материалда сунушталган маалымат;
Маалыматтык активдин купуялуулугу – бул, банктын ресурстарынын маалыматтык активдерди иштеп чыгуу, сактоо жана өткөрүп берүүдөн турган абалы, булар маалыматтык активдер авторизацияланган пайдалануучуларга, системанын объекттерине же процесстерге жеткиликтүү болгондо гана жүзөгө ашырылат;
Объект – маалыматтан пайдаланууга уруксат сураган, маалымат системасында аткарылуучу процесс;
Пароль – бул, пайдалануучунун ыйгарым укуктарын тастыктоо үчүн арналган, купуя белгилердин топтому;
PIN-конверт – PIN-кодду купуя сактоо үчүн атайын конверт;
Автоматташтырылган системаны пайдалануучу – бул, автоматташтырылган системада катталган жана анын ресурстарын пайдалануучу субъект же объект (банктын кызматкерлери жана кардарлары);
Санкциялоо – бул, пайдалануучуга анын кызматтык милдеттеринин негизинде системада белгилүү бир аракеттерди аткаруу мүмкүнчүлүгүн сунуштоо (уруксат берүү) боюнча иш-аракет. Бир да пайдалануучуга кандайдыр бир маалыматты же тиркемени атайын санкциясыз пайдаланууга уруксат берилбейт;
Смарт-карт – бул, микросхемалуу пластикалык карт. Көпчүлүк учурларда смарт-карт, анын эс тутумундагы объекттердин түзүлүшүн жана аларды пайдалануу мүмкүнчүлүгүн контролдогон микропроцессорду жана операциялык системаны камтыйт. Мындан тышкары, смарт-карт, эреже катары, криптографиялык эсептөөлөрдү жүргүзүү мүмкүнчүлүгүнө да ээ;
Субъект – маалыматтан пайдаланууга уруксат сураган пайдалануучу;
Токен («ачкыч») – USB-брелок түрүндөгү жабдуу, ал пайдалануучуну авторизациялоо, электрондук кат алышууларды коргоо, маалыматтык ресурстарды аралыкта туруп коопсуз пайдалануу, ошондой эле кайсы болбосун өздүк маалыматтарды ишенимдүү сактоо үчүн колдонулат.
Маалыматтык активдин бүтүндүгү – маалымат активдеринде туруктуулукту сактоо же өзгөрүүнү аныктоо жагында банктык маалымат коопсуздугунун өзгөчө сапаты.
3. Маалымат коопсуздугун тескөө системасы банктын маалымат коопсуздугун иштеп чыгуу, жайылтуу, иштетүү, ага мониторинг, талдап-иликтөө жүргүзүү, колдоо жана жакшыртуу үчүн бизнес-тобокелдиктерге баа берүү ыкмаларын колдонууга негизделген жалпы тескөө системасынын бир бөлүгү болуп саналат. Маалымат коопсуздугун тескөө системасы ISO/IEC 27001 ылайык түзүлүшү мүмкүн.
4. Кыргыз Республикасынын Улуттук банкы (мындан ары – Улуттук банк) банк тарабынан ушул Жободо белгиленген талаптардын сакталышын текшерүүгө укуктуу.
5. Банк жетекчилиги банктын жалпы маалымат системасынын пайдаланылышы жана иштеши үчүн толук жоопкерчилик тартат.
6. Маалымат коопсуздугун камсыз кылуу системасын тескөөдө банк пландаштыруу, ишке ашыруу, текшерүү, өркүндөтүү сыяктуу процесстерди үзгүлтүксүз колдонууга тийиш.
7. Маалымат коопсуздугу боюнча талаптар маалымат системаларын колдонуу циклинин бардык баскычтарында өз ара байланыштуу жана үзгүлтүксүз аткарылууга тийиш.
2-глава. Маалымат коопсуздугу боюнча документтерге коюлган талаптар
8. Маалымат коопсуздугун камсыздоо үчүн банкта документтердин үч деңгээли иштелип чыгууга тийиш:
- жалпы саясат;
- жеке саясат (маалымат коопсуздугун камсыз кылуу тажрыйбасын жөнгө салуучу документтер);
- маалымат коопсуздугун камсыз кылуу боюнча операциялык жол-жоболор.
9. Жалпы саясатта банктын жетекчилигинин банктын маалымат коопсуздугун камсыз кылуу ыкмалары, коопсуздукту камсыз кылуунун жалпы принциптери жана максаттары, маалымат коопсуздугун камсыз кылуу максатына жетүү үчүн чаралар, методдор системасы чагылдырылууга тийиш. Банкта маалымат коопсуздугу боюнча саясатты ишке ашырууга жооптуу, ыйгарым укуктуу адам дайындалууга тийиш.
10. Коопсуздукту камсыздоо тажрыйбасын жөнгө салган жеке саясатта жетекчилик тарабынан белгиленген максаттардын колдоого алынышы жана маалымат коопсуздугу боюнча саясатта каралган талаптарды аткаруу үчүн зарыл болгон, кеңири аныкталган чаралар, жалпы принциптер толук чагылдырылууга тийиш.
11. Банктын маалымат коопсуздугу боюнча жеке саясаттарында чагылдырылуучу маалымат коопсуздугун камсыз кылуу боюнча талаптар төмөнкүдөй кыйла маанилүү тармактар үчүн аныкталууга тийиш:
- персоналга карата талаптар;
- дайындоо, ролдорду бөлүштүрүү жана маалымат системасында каттоо;
- маалымат коопсуздугунун тобокелдиктерин аныктоо, баа берүү жана мониторинг жүргүзүү;
- автоматташтырылган системанын иштөө циклинин стадияларында маалымат коопсуздугун камсыз кылуу;
- санкцияланбаган жана регламенттелбеген пайдалануудан коргоо, пайдалануу мүмкүнчүлүгүн жана автоматташтырылган системада, телекоммуникациялык жабдууда, автоматтык телефон станцияларында ж.б. бардык иш-аракеттерди каттоону тескөө;
- вируска каршы коргонуу;
- интернет тармагынын ресурстарын пайдалануу;
- коргоонуунун криптографиялык каражаттарын пайдалануу;
- банктык төлөм жана маалыматтык технологиялык процесстерди коргоо;
- иш үзгүлтүксүздүгүн камсыз кылуу;
- резервдик көчүрүү жана калыбына келтирүү;
- физикалык коргоо;
- маалымат коопсуздугунун инциденттерин тескөө ж.б.
12. Коопсуздукту камсыз кылуунун операциялык жол-жоболору боюнча документтерде зарыл тажрыйбаларды ишке киргизүүнү камсыз кылган, иш жүзүндөгү ыкмалардын техникалык деңгээлде берилиши камтылууга тийиш. Жол-жоболор банктын саясаттарына ылайык келүүгө тийиш.
13. Банк маалымат коопсуздугун камсыздоо боюнча аткарылган иштерди жана иш-аракеттерди тастыктаган документтердин (отчеттор, актылар, журналдар) болушун жана сакталышын камсыздоого, банктын маалымат коопсуздугун камсыз кылууга тиешелүү документтердин талаптарын ишке ашырууда жетишилген натыйжаларды (орто аралыктагы жана акыркы) чагылдырууга тийиш.
3-глава. Персоналга карата талаптар
14. Банк персоналы кеминде төмөнкү категориядагы кызматкерлерден турууга тийиш:
- жетекчилик – бүтүндөй банк же болбосо анын бөлүмдөрү боюнча стратегиялык чечимдерди кабыл алган, банктын бөлүмдөрүнүн ишин контролдогон жана банкта операциялык иш жана финансылык маселелер боюнча акыркы чечимдерди кабыл алган адамдар тобу;
- менеджерлер – тактикалык чечимдерди кабыл алган, өзүнүн түзүмдүк бөлүмүнүн чегинде ишти уюштурган жана контролдогон адамдар тобу;
- коопсуздук боюнча персонал – банктын ар кайсы участогунда коопсуздукту камсыздоо үчүн жооптуу адамдар тобу. Коопсуздук боюнча персонал түздөн-түз жетекчиликке баш ийүүгө жана өз функцияларын аткаруу үчүн тиешелүү ыйгарым укуктарга ээ болууга тийиш;
- ички аудит – маалымат технологияларына аудитти жана маалымат коопсуздугуна аудитти кошо алганда, банкта ички аудитти уюштуруу жана жүргүзүү үчүн жооптуу банктын түзүмдүк бөлүмү;
- иштеп чыгуу жана техникалык колдоо көрсөтүү боюнча персонал – маалымат системасын иштеп чыгуу, модернизациялоо жана иштөөсүн камсыздоого жана коопсуздук чараларын техникалык жактан ишке ашырууга жооптуу банктын түзүмдүк бөлүмү;
- операциялар боюнча персонал – банктын маалымат системасында санкцияланган операцияларды жүзөгө ашырган, ошондой эле банктын кардарларын тейлөөгө жооптуу адамдар тобу.
15. Банкта ишке кабыл алуу жол-жобосу иштелип чыгууга, анда төмөнкүлөр каралууга тийиш:
- сунушталган документтердин, билдирилген квалификациянын аныктыгын, өмүр баян фактыларынын тактыгын жана толук берилишин текшерүү;
- кесиптик көндүмдөрүн текшерүү жана кесипкөйлүк деңгээлин баалоо.
16. Банктын бардык кызматкерлери маалымат коопсуздугун камсыздоо талаптары менен таанышып чыгууга жана таламдардын каршы келип калышына жол бербөө талаптарын кошо алганда, купуялуулукту жана корпоративдик жүрүм-турум эрежелерин сактоо милдеттенмесине кол коюу менен таанышып чыгууга тийиш.
17. Банктын маалымат коопсуздугун камсыз кылуу үчүн жооптуу түзүмдүк бөлүмү глобалдуу тренддерди эске алуу менен, маалымат коопсуздугу чөйрөсүндөгү коркунучтар жөнүндө системалуу негизде маалыматты актуалдаштырууга, банктын жетекчилигине жана кызматкерлерине коркунучтар жөнүндө өз убагында маалымдоого, ошондой эле бул коркунучтарга каршы аракеттерди көрүү максатында персоналга маалымдоонун жалпы деңгээлин жогорулатууга багытталган иш-чараларды жүргүзүүгө тийиш.
18. Персоналдын маалымат коопсуздугун камсыздоо боюнча талаптарды аткаруу милдеттери жана жоопкерчилиги кызматтык нускоолордо көрсөтүлүүсү зарыл.
19. Банк кызматкерлеринин маалымат коопсуздугун камсыздоо талаптарын аткарбай коюшу же талаптагыдай аткарбашы кызматтык милдеттерин аткарбоого теӊештирилет.
4-глава. Автоматташтырылган системада
дайындоо, ролдорду бөлүштүрүү жана каттоо
20. Банкта маалымат коопсуздугун камсыздоо боюнча ролдорду кошо алганда, кызматкерлердин ролдору көрсөтүлгөн документ иштелип чыгууга жана кабыл алынууга тийиш.
21. Автоматташтырылган системада кызматкерлердин ыйгарым укуктарын так чектеген ролдор аныкталууга тийиш.
22. Кызматкерлерге автоматташтырылган системалардан пайдалануу мүмкүнчүлүгүн берүүдө колдонуучуларды санкциялоо, идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылууга тийиш. Колдонуучуга идентификатор берүү алдында колдонуучунун инсандыгын тастыктоосу текшерилүүгө тийиш. Система колдонуучуга идентификатор берген аткаруучуну каттоосу зарыл.
23. Автоматташтырылган системанын бардык колдонуучуларынын иши кайталангыс жеке каттоо маалыматтарынын негизинде жүргүзүлүүгө тийиш.
24. Банктар кызматкерлердин жана кардарлардын маалыматтык активдерден пайдалануу укугун бөлүштүрүүдө төмөнкү принциптерге таянуусу зарыл:
- «өз кардарын билүү» (Know your Customer) – жөнгө салуучу органдар тарабынан финансылык уюмдарга карата мамилени алардын кардарларынын ишин билүү көз карашынан билдирүү үчүн колдонулуучу принцип;
- «өз кызматкерин билүү» (Know your Employee) - банктын банк кызматкерлеринин өз милдеттерине жана коопсуздук көйгөйлөрүн жаратышы мүмкүн болгон мүлктү кыянатчылык менен пайдалануу, алдамчылык же финансылык кыйынчылыктар сыяктуу мүмкүн болуучу көйгөйлөргө карата мамилеси жагында кам көрүүсүн чагылдырган принцип;
- «билүү зарыл» (Need to know) - банк кызматкерлеринин жана банктын кардарларынын маалыматтардан жана белгилүү бир милдеттерди аткаруу үчүн эң эле минималдуу деңгээлде зарыл болгон маалыматтарды иштеп чыгуу боюнча ресурстардан пайдалануу мүмкүнчүлүгү жагында ыйгарым укуктарын чектеген принцип;
- «минималдуу артыкчылыктар принциби» – колдонуучу белгилүү бир операцияларды жүргүзүү үчүн минималдуу зарыл артыкчылыктарды алууга жана сунуштоого тийиш экендигин билдирген принцип;
- «кош контролдоо» – төлөм системасы боюнча операциялар жана автоматташтырылган системада ролдорду дайындоо үчүн каралган (Dual Control – төрт жактан көз салуу принциби) – банктын эки ыйгарым укуктуу кызматкери, бири-бирине көз каранды болбостон, белгилүү бир транзакциялар аяктаганга чейин кайсы бир аракеттерди көрүүнү талап кылган системанын функцияларында ката кетүү менен күрөшүүнү жана процесстин бүтүндүгүн сактоо принциби.
25. Банкта маалыматтык активдер тизмеги (автоматташтырылган система жана алардын түрлөрү) жана кызматкерлердин жана кардарлардын ошол активдерден пайдалануу укуктары документ түрүндө аныкталууга тийиш.
26. Ролдорду белгилөө банктын колдонуудагы бизнес-процесстеринин негизинде жүзөгө ашырылууга жана ыйгарым укуктарга гана көңүл бурууну жокко чыгаруу жана маалымат активдеринин жеткиликтүүлүк, бүтүндүк же купуялуулук өзгөчөлүктөрүнөн ажырап калуусунан улам маалымат коопсуздугунда кооптуу жагдайлар тобокелдигин төмөндөтүү максатында жүргүзүлүүгө тийиш.
27. Банкта кыйла маанилүү автоматташтырылган системаларда тобокелдиктерди кыскартуу жана коопсуздукту камсыз кылуу максатында, «артыкчылыктуу пайдалануу мүмкүнчүлүгүнө», атап айтканда автоматташтырылган системалардан (администратор укугу каралган жеке каттоо маалыматтары) пайдаланууда артыкчылыктуу укуктарга ээ жеке каттоо маалыматтарына контролдоо жүргүзүлүүгө тийиш.
28. Ар бир роль боюнча алардын аткарылышы үчүн жооптуу адамдар дайындалууга тийиш. Кызматкерлердин жоопкерчилиги алардын кызматтык нускоолорунда белгиленүүгө тийиш.
29. Системада колдонуучуларды аутентификациялоо алынган маалыматтын маанилүүлүгүнө ылайык жүргүзүлүүгө жана төмөндө келтирилген бир же бир нече аутентификациялоо механизмдеринин негизинде ишке ашырылууга тийиш:
- «бир нерсе билүү» билгичтиги боюнча (пароль, PIN-код);
- «бир нерсеге ээ болуу» көндүмү боюнча (смарт-карт, токен);
- колдонуучунун «кимдир бирөө болуу» жеке мүнөздөмөсү боюнча (бармактарынын тагы же башка биометрикалык маалыматтар).
Эки факторлуу аутентификацияда жогоруда аталган үч механизмдин кайсыл болбосун экөөсү камтылат: адам «бир нерсени билет» жана «бир нерсеге ээ» же «кимдир-бирөө болуусу».
30. Колдонуучуларды каттоо жана кирүү укуктарын өзгөртүү жагдайлары системанын жагдайлар журналында катталууга тийиш.
31. Банкта санкциясыз пайдалануудан, уруксат берилбеген иштерди жүргүзүүдөн, банк кардарларын жана кызматкерлерин каттоо, идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл маалыматтын сакталышын бузууга жол берүүдөн коргоого багытталган чаралар колдонулууга тийиш. Мындай маалыматтардан бардык санкциясыз пайдалануу жана уруксат берилбеген иштерди жүргүзүү аракеттери жагдайлар журналында катталууга тийиш.
32. Банк кызматкерлерине автоматташтырылган системага жана корпоративдик сервистерге аралыктан кирүү мүмкүнчүлүгүн берүүдө көп факторлуу аутентификациялоо технологиясын колдонууга киргизүүгө тийиш.
33. Банктын автоматташтырылган системага кирүү укугуна ээ кызматкерлери иштен бошогондо же кызматтык милдеттери алмашкан учурда алардын автоматташтырылган системага кирүү укугу блокировкаланууга же өзгөртүлүүгө тийиш.
34. Банкта паролдор саясаты иштелип чыгууга жана колдонууга киргизилүүгө тийиш. Саясатта кеминде төмөнкүдөй негизги эрежелер жана компоненттер камтылуусу зарыл:
- паролдун татаалдыгына жана көп символдон туруусуна карата талаптар;
- паролду материалдык каражаттарга жаздыруу жана анда сактоого жол бербөө боюнча талаптар;
- саясаттын талаптарын бузуу үчүн колдонуучулардын жоопкерчилиги.
35. Банк кызматкерлери паролдор саясаты менен таанышып чыгып, иш процессинде ошол талаптарды так сактоого тийиш.
36. Банк аралыктан банктык тейлөө, мобилдик банкинг, электрондук капчык системаларынын колдонуучулары жана кардарлары үчүн маалымат коопсуздугу саясатынын талаптарын сактоосу боюнча сунуш-көрсөтмөлөрдү иштеп чыгууга жана колдонуучуларга банктык продукттар менен иштөө процессинде ошол талаптарды сактоо зарылчылыгы жөнүндө маалымдоо ишин жүргүзүүгө тийиш.
5-глава. Маалымат коопсуздугу боюнча тобокелдиктерди
тескөө процессине карата талаптар
37. Банкта тобокелдиктерди тескөөнүн жалпы саясаты менен интеграцияланган маалымат коопсуздугу боюнча тобокелдиктерди тескөө саясаты болууга тийиш.
38. Банк активдердин баалуулугун , чабал жактарын, кооптуу жагдайларды жана тобокелдиктерди аныктоого тийиш. Аныкталган тобокелдиктерге сандык же сапаттык баа берилүүсү зарыл. Банк тобокелдиктерди кыскартуу үчүн тиешелүү контролдоо чараларын жана каражаттарын аныктоого тийиш.
39. Тобокелдиктерге баа берүү процесси ISO 27005 эл аралык стандартына же ушул сыяктуу стандарттарга ылайык уюштурулушу мүмкүн.
6-глава. Банк ишинин үзгүлтүксүздүгү
40. Банк ишинде үзгүлтүксүздүктү камсыз кылуу максатында төмөнкүлөр иштелип чыгууга тийиш:
- иш үзгүлтүксүздүгү саясаты, бул иш үзгүлтүксүздүгүн камсыз кылуу жана аларга жүктөлгөн милдеттерди аткарууга ыйгарым укук ролдору үчүн зарыл жетекчилик принциптерин камтууга тийиш;
- жол-жобо жазыла турган өзгөчө кырдаал шарттары келип чыккан учурлардагы иш-аракеттер планы, ошондой эле банктын авариялык абалда ишин улантуусун камсыз кылуучу колдонмо иштелип чыгууга тийиш;
- ишти калыбына келтирүү планы, мында маанилүү системалардын жана функциялардын иштөө жөндөмдүүлүгүн ыкчам калыбына келүүсүн камсыз кылуучу ыкмалар жазылуусу зарыл.
41. Өзгөчө кырдаалдардын банк ишине тийгизген таасирине талдап-иликтөөлөрдү жүргүзүү банк ишинин үзгүлтүксүздүгүн камсыз кылуунун маанилүү инструменти болуп саналат, ал маанилүү функцияларды жана системаларды идентификациялоо менен ажырагыс байланышта. Бул максаттар үчүн банкта маанилүү функциялар менен системалар идентификацияланууга жана алардын маанилүүлүк даражасынын негизинде алар категорияга бөлүнүүгө тийиш.
42. Банк кооптуу жагдайларды аныктаган учурда банкта өзгөчө кырдаалды шартташы ыктымал болгон тобокелдиктер деңгээлин төмөндөтүү үчүн коргоо чараларын тандап, колдонууга киргизүүгө тийиш.
43. Банк өзгөчө кырдаал келип чыккан учурда милдеттерди аткаруу үчүн персоналды талапка ылайык даярдоо максатында, мезгил-мезгили менен планды тестирлеп, тренингдерди өткөрүп, банк кызматкерлерин окутуусу зарыл.
7-глава. Банктын автоматташтырылган системаларынын
иштөө циклиндеги коопсуздук
44. Банк автоматташтырылган системалардын иштөө циклинин бардык стадияларында анын комплекстүү коргоого алынышын камсыздоого тийиш (долбоорун түзүү, ишке ашыруу, тесттен өткөрүү, кабыл алуу, колдонууга киргизүү, коштоо, жаңылоо, колдонуудан чыгаруу процесси документ түрүндө түзүлүп, алар жогорку жетекчилик тарабынан бекитилүүгө тийиш). Ошол эле учурда тесттен өткөрүү өнөр жай чөйрөсүнө окшош тесттик чөйрөдө жүргүзүү зарыл.
45. Банк лицензияланган программалык камсыздоону гана колдонууга тийиш, мында жогорку жетекчилик тарабынан бекитилген документтер топтому толук болгон учурда ачылган чыгыш коду, же болбосо жеке иштелмеси менен программалык камсыздоого жол берилет (техникалык тапшырма, сыноо программасы жана методикасы, сыноолор актысы жана журналы, өндүрүштүк колдонууга өткөрүү актысы), өзү иштеп чыккан программалык камсыздоону колдонууга тийиш.
8-глава. Ишке ашырылган операциялар жагдайларын каттоо журналын жүргүзүү
46. Банк маалымат коопсуздугуна аудит жүргүзүү, жагдайлардын жүрүшүн калыбына келтирүү жана отчет берүү үчүн каражат катары автоматташтырылган системада, персоналдык компьютерде, серверде жана тармактык түзүлүштө, маалымат базаларында жүзөгө ашырылган иштин жагдайларын (логирование) каттоо журналынын жүргүзүлүшүн камсыздоосу зарыл. Жагдайларды каттоо журналында бардык колдонуучулардын, анын ичинде жогорку артыкчылык берилген жеке каттоо маалымат ээлеринин иш-аракеттери камтылууга тийиш (root, administrator, dba).
47. Жагдайларды каттоо журналындагы маалыматка мониторинг жана аларды талдап-иликтөө автоматташтырылган системанын администраторлору (техникалык колдоо персоналы) тарабынан күн сайын, анын ичинде автоматташтырылган системаларды колдонуу аркылуу жүзөгө ашырылууга жана коопсуздукка байланыштуу бардык стандарттык эмес жагдайлар териштирилүүгө тийиш.
48. Жагдайларды каттоо журналындагы маалымат тиешелүү автоматташтырылган системанын иштелип чыгуучу маалыматтарын сактоо мөөнөтүнө барабар мезгил ичинде, бирок кеминде 2 (эки) жыл электрондук түрдө сакталууга тийиш.
49. Жагдайларды каттоо журналындагы маалымат кокустан же атайылап жок кылуудан, модификациялоодон же жасалмалоодон корголууга тийиш. Журналга киргизүүнү өчүрүү, жок кылуу, каттоо журналындагы маалыматты өчүрүү, каттоо журналындагы маалыматты модификациялоо же фальсификациялоо терс жагдай катары каралууга тийиш.
9-глава. Автоматташтырылган системада (анын ичинде SWIFT) төлөмдөрдү жана эсептешүүлөрдү жүргүзүү процесси
50. Банк төлөмдөр жана эсептешүүлөр процессин жүзөгө ашырууда (өзүнүн жана кардарлардын) маалымат коопсуздугунун төмөнкү талаптарынын сакталышын камсыз кылууга тийиш:
- Кыргыз Республикасынын аймагында автоматташтырылган системада төлөм маалыматтарын иштеп чыгуу, эсепке алуу жана сактоо;
- төлөм маалыматтарын бурмалоодон, жасалмалоодон, башка дарекке жөнөтүүдөн, санкциясыз жок кылуудан, электрондук төлөм билдирүүлөрүн жалган авторизациялоодон коргоо;
- банк кызматкеринин өз кызматтык милдеттерин аткаруу үчүн гана зарыл болгон, төлөмдөрдү жана эсептешүүлөрдү жүргүзүүнү камсыз кылган автоматташтырылган системалардын ресурстарынан пайдалануу мүмкүнчүлүгү;
- төлөм маалыматтарын даярдоо, иштеп чыгуу, өткөрүү жана сактоо процесстеринин аткарылышын контролдоо (мониторинг);
- кирген электрондук төлөм билдирүүлөрүн аутентификациялоо;
- автоматташтырылган иш орундарын (иш станцияларын жана серверлерди), электрондук төлөм билдирүүлөрү менен алмашкан катышуучуларды эки тараптуу аутентификациялоо (банк филиалдары жана бөлүмдөрүнө каралгандай эле, кардарлар үчүн дагы);
- авторизацияланган колдонуучуларга гана автоматташтырылган банктык системага төлөм маалыматын киргизүү мүмкүнчүлүгү;
- автоматташтырылган банктык системада төлөмдөрдү үзгүлтүксүз иштеп чыгуу принцибин сактоо (операцияларды максималдуу тез арада ишке ашыруу жана каталарды жокко чыгаруу максатында, бүтүндөй технологиялык процесстин жүрүшүндө (маалымат автоматташтырылган системага түшкөндөн баштап аны иштеп чыгуу аяктаганга чейин) колго иштеп чыгуусуз, түшкөн финансылык маалыматтын бүтүндөй агымынын үзгүлтүксүз иштелип чыгышын камсыздоо);
- зыян келтирүү мүнөзүндө иш-аракеттердин жүргүзүлүшүн жокко чыгарууга багытталган контролдук (транзакцияларды кош киргизүү, текшерүү, авторизациялоо, ишке ашырылуучу операциялардын суммасына жараша чектөөлөрдү белгилөө ж.б.) (ыйгарым укуктуу кызматкерлер тарабынан жасалган иш-аракеттер сыяктуу эле, кардарлар тарабынан да);
- төлөм маалыматтары атайылап (кокустан) бузулган (бурмаланган) учурда же эсептөө техника каражаты иштебей калган шартта аларды калыбына келтирүү;
- банктар аралык эсептешүүлөрдү жүргүзүүдө иштелип чыккан электрондук төлөм билдирүүлөрүн жана тиешелүү кирген жана чыккан электрондук төлөм билдирүүлөрү менен салыштырып текшерүү;
- электрондук төлөм билдирүүлөрүн маалымат алмашуунун катышуучуларына жеткирүү.
51. Банк кызматкерлери, анын ичинде автоматташтырылган системалардын администраторлору контролго алуусуз төлөм маалыматтарын түзүү, авторизациялоо, жок кылуу жана өзгөртүү, ошондой эле банктык эсептердин абалын өзгөртүү боюнча санкциясыз операцияларды жүргүзүү үчүн ыйгарым укуктарга ээ болбоого тийиш.
52. Төлөм маалыматтарын иштеп чыгуу жана иштеп чыгуу жыйынтыктарын контролдоо (текшерүү) ар башка кызматкерлер тарабынан аткарылууга тийиш.
53. Төлөмдөрдүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыздаган системалар үчүн персоналдын негизги жана кошумча курамы түзүлүүгө тийиш. Негизги курамдын кайсы бир кызматкери жок учурда анын функцияларын кошумча курамдагы адис аткарууга тийиш.
54. Төлөмдөрдүн жана эсептешүүлөрдүн жүргүзүлүшүн камсыздаган системалардын техникалык инфраструктурасында негизги жана резервдик автоматташтырылган система (аппараттык-программалык комплекстер), анын ичинде негизги жана резервдик байланыш каналдары камтылууга тийиш.
55. Банкта негизги системадан резервдик автоматташтырылган системага өтүү (которуштуруу) боюнча жол-жоболор иштелип чыгууга жана анда мындай процессти ишке ашыруу үчүн жетекчиликтен санкция алуу камтылууга тийиш.
56. Банкта автоматташтырылган системанын ээлери (банктын кызмат адамдары) жана алардын жоопкерчиликтери аныкталууга, анын ичинде банктын башкы бухгалтеринин жоопкерчилиги каралууга тийиш.
57. Банк бухгалтердик эсепке алуу боюнча маалыматтардын автоматташтырылган банктык системада бирдиктүү борборлоштурулуп иштелип чыгышын, эсепке алынышын жана сакталышын камсыздоого тийиш.
58. Банкта колдонулуучу автоматташтырылган банктык система, анын ичинде аралыктан банктык тейлөө системалары төмөндө келтирилгендерди каттоо мүмкүнчүлүгүн камсыздоого тийиш:
- кардарлардын эсептери жөнүндө маалыматтар менен операцияларды, анын ичинде кардарлардын эсептерин ачууну, модификациялоону жана жабууну;
- финансылык натыйжаларга ээ ишке ашырылган транзакцияларды;
- колдонуу укуктарын дайындоого жана бөлүштүрүүгө байланыштуу операцияларды.
59. Аралыктан банктык тейлөө системалары кардарлар тарабынан жүзөгө ашырылган операциялардан жана транзакциялардан баш тартуу мүмкүн эместигин камсыз кылган коргоо чараларын ишке ашырууга тийиш.
60. Банкта аларды идентификациялоо, аутентификациялоо жана (же) авторизациялоо үчүн зарыл болгон маалымат бурмаланган учурда алардын иш-аракеттерин аныктаган жол-жоболор иштелип чыгып, ал кызматкерлер жана кардарлар менен тааныштырылууга тийиш.
61. Аралыктан банктык тейлөө системаларында алардын атынан ишке ашырылган бардык операциялар жөнүндө кардарларга маалымдоо (туруктуу, үзгүлтүксүз негизде же талап боюнча) механизмдери ишке ашырылууга тийиш.
62. Аралыктан банктык тейлөө системаларында төмөнкү чаралар каралууга тийиш:
- авторизацияланган кардарлар алдын ала болжолдонбогон же күтүлбөгөн операцияларды же транзакцияларды аткаруу ыктымалдыгын төмөндөтүү;
- операцияларды же транзакцияларды аткарууга байланыштуу келип чыгышы ыктымал болгон тобокелдиктер жөнүндө маалыматты кардарларга жеткирүү.
63. Аралыктан банктык тейлөө системаларынын кардарлары операцияларды же транзакцияларды аткаруу жол-жоболору кеңири чагылдырылган нускоолор менен камсыздалууга тийиш.
10-глава. Банктык төлөм карттары менен эсептешүү системалары
64. Банктык төлөм карттарын (мындан ары – төлөм карттары) чыгарууда жана тейлөөдө банк ушул жобонун талаптарынын аткарылышын камсыздоого тийиш.
65. Банкта эл аралык төлөм карттарын колдонууда PCI DSS стандартынын тиешелүү коопсуздук талаптары аткарылууга тийиш.
66. Банк төлөм карттары менен эсептешүү системаларын колдонууда маалымат системаларынын коопсуздугу боюнча төмөнкү талаптардын аткарылышын камсыздоого тийиш:
- төлөм карт ээлеринин маалыматтарын түзүү жана иштеп чыгуу үчүн коргоого алынган тармакты колдоо чараларын аныктоо жана сактоо;
- тармактык ресурстардан жана төлөм карттарынын маалыматтарынан кандай болбосун пайдаланууга көз салуу жана контролдоо;
- өндүрүшчү программалык камсыздоо жана жабдуулар үчүн коопсуздукту камсыз кылуу боюнча «алгач» белгилеген коопсуздук иш багыттарын жана паролдорду колдонууга тыюу салуу;
- төлөм карт ээлеринин маалыматтарын сактоодо коргоого алынышын камсыздоо;
- жалпы колдонуу тармактары аркылуу өткөрүлүп берилүүчү төлөм карттарынын маалыматтарынын жашыруун сакталышын камсыздоо;
- вируска каршы программалык камсыздоосун колдонуу жана туруктуу негизде жаңыртып туруу;
- системаларды жана тиркемелерди иштеп чыгууда жана колдоого алууда коопсуздукту камсыздоо;
- төлөм картындагы маалыматтардан пайдалануу мүмкүнчүлүгүн кызматтык ишти аткаруусуна жараша чектөө;
- эсептөө ресурстарынан пайдалануу мүмкүнчүлүгүнө ээ ар бир адамга уникалдуу идентификатор белгилөө;
- банктык төлөм карт ээлеринин маалыматтарынан пайдаланууну чектөө жана мындай мүмкүнчүлүктү ыйгарым укуктуу кызматкерлерге гана берүү;
- коопсуздукту камсыздоо системаларын жана процесстерин туруктуу негизде тесттен өткөрүп туруу;
- кызматкерлердин жана контрагенттердин ишин жөнгө салган маалымат коопсуздугу саясатынын актуалдуулугу.
67. Банк банктык төлөм карттары менен иштөөдө төмөндө келтирилген коргоо чараларын колдонууга тийиш:
- карттарга жеке маалыматтарды киргизүү (персонализация) PIN-конверттерди чыгаруу функциясынан өзүнчө ишке ашырылууга жана аталган операцияларды аткаруу үчүн ар башка жооптуу кызматкерлер дайындалууга тийиш;
- PIN-конверттерди басып чыгарууда тышкы бланк аларды басып чыгаруу үчүн жооптуу эки ыйгарым укуктуу кызматкердин катышуусунда жок кылынууга тийиш же төлөм карттын PIN-коду банк тарабынан колдонулган маалымат коопсуздугун камсыз кылуучу башка инструмент аркылуу кардарга жеткирилиши мүмкүн;
- карттарга жеке маалыматтарды киргизүү (персонализация) бул үчүн жооптуу эки ыйгарым укуктуу кызматкердин катышуусунда жүргүзүлүүгө тийиш;
- банкоматтарды, автоматташтырылган өз алдынча тейлөө терминалдарын жана POS-терминалдарын талкалоодон жана зыян келтирүүдөн коргоо чаралары каралууга тийиш;
- PIN-код терүү аракеттеринин саны (үчтөн ашпоого) чектелүүгө, андан кийин карт блокировкаланып, алынып коюлууга жана ал карт ээсинин жеке өзүнө тапшырылууга тийиш;
- бир күн ичинде бир эсеп үчүн операциялардын саны жана акча каражаттардын суммасы чектелүүгө (лимит белгиленүүгө) тийиш.
11-глава. Банктык маалымат процесси
68. Ар бир автоматташтырылган система үчүн тиешелүү буйруунун негизинде маалымат коопсуздугу боюнча администратор дайындалууга тийиш. Алар автоматташтырылган системаны ишке багыттоодо жана иш алып барууда маалымат коопсуздугу саясатын сактоого тийиш. Маалымат коопсуздугу боюнча түзүмдүк бөлүмдүн кызматкерлери банктын, анын ичинде тобокелдиктерди баалоонун алкагында автоматташтырылган системанын маалыматтык коопсуздук саясатына ылайык келүүсүн текшерүүгө тийиш.
69. Банкта автоматташтырылган системаны тейлөө жол-жобосу жана персоналы, банктык технологиялык процессте колдонулуучу техниканын түрлөрү аныкталууга, алардын программалык жана/же аппараттык бөлүктөрүн алмаштырууну кошо алганда жол-жоболору жана автоматташтырылган системаны тейлөөчү персонал каралууга тийиш.
12-глава. Интернет тармагында ресурстарды пайдалануу
70. Банкта ички эсептөө түйүндөрүн тармактар аралык экрандаштыруу жана сегментациялоо боюнча чаралар, ошондой эле интернет тармактары менен өз ара байланышууда ички эсептөө тармактарын коргоо боюнча чаралар колдонулууга тийиш.
71. Банкта маалыматты коргоо, тармактар аралык экрандаштыруу жана банктын эсептөө түйүндөрүн коргоо жана компьютердик каражаттар тармактарын коргоо каражаттарынын жана системаларынын иш багыттарынын параметрлерин өзгөртүүлөрдү каттоо чаралары колдонулууга тийиш.
72. Банк жетекчилиги банкта интернет тармагын пайдалануу максаттарын так аныктоого жана бекитүүгө тийиш. Интернет тармагын белгисиз максаттарда пайдаланууга тыюу салынууга тийиш.
73. Банкта маалымат коопсуздугун камсыздоо үчүн жооптуу түзүмдүк бөлүм тарабынан контролдоо каралган интернет тармагына туташуу жана ресурстарын пайдалануу тартиби документте белгиленүүгө тийиш.
74. Кардарларын аралыктан тейлеген банкта интернет тармагында өз ара иш алып барууда маалымат коопсуздугун бузуунун жогору тобокелдиктерине байланыштуу, белгиленген форматта гана жана белгилүү бир технология үчүн гана маалыматтарды кабыл алууну жана өткөрүүнү камсыздаган маалыматты коргоо каражаттары колдонулууга тийиш.
75. Аралыкта туруп банктык тейлөөнү жүзөгө ашырууда, иштөө сеансынын мезгилинде авторизацияланган кардардын ордуна кара ниеттердин болушу мүмкүнчүлүгүнө бөгөт коюучу коргоо чаралары колдонулуусу абзел.
76. Аралыктан банктык тейлөө системаларында иштөө мезгил аралыгында кардарлардын бардык операциялары идентификациялоо, аутентификациялоо жана авторизациялоо жол-жоболору аткарылгандан кийин гана жүзөгө ашырылууга тийиш. Иштөө сеансы аяктаган учурларда (туташуу үзгүлтүккө учураган же байланыш үзүлгөн шартта) аталган жол-жоболордун кайрадан ишке ашырылышын камсыздоо зарыл.
77. Интернет тармагы аркылуу кат-кабарларды алышуу коргоо чараларын колдонуу жана спамдын таркап кетишине каршы чараларды көрүү аркылуу жүргүзүлүүгө тийиш.
78. Интернет тармагында өз ара иш алып барууда хакерлердин чабуулуна каршы коргоо чаралары колдонулууга тийиш.
13-глава. Вирустан коргонуу
79. Банкта бардык автоматташтырылган иш орундарында жана автоматташтырылган системалардын серверлеринде, эгерде технологиялык процессте башкасы каралбаса, вирустан коргонуу каражаттары колдонулууга тийиш.
80. Банкта расмий түрдө сатылып алынган (лицензияланган) вирустан коргонуу каражаттары гана колдонулууга тийиш. Автоматташтырылган иш орундарында жана автоматташтырылган системалардын серверлеринде вирустан коргонуу каражаттарын орнотуу жана туруктуу негизде жаңыртып туруу жооптуу администраторлор тарабынан ишке ашырылууга тийиш.
81. Банкта вирустан коргонууну камсыздоодо банктык маалымат процесстеринин өзгөчөлүктөрүн эске алган вирустан коргонуу боюнча нускоо иштелип чыгып, колдонууга киргизилүүгө тийиш. Вируска каршы коргонуу боюнча жол-жоболордун талаптарын аткарууга жоопкерчилик жеке компьютерден жана/же автоматташтырылган системадан колдонуу мүмкүнчүлүгү бар банктын ар бир кызматкерине жүктөлүүгө тийиш.
82. Банкта электрондук кат-кабарларды алышуу трафиги вирустан коргонуу максатында иргөөдөн өтүүгө тийиш.
83. Орнотулуучу же өзгөртүлүүчү программалык камсыздоо вирус жок экендигин текшерүү үчүн алдын ала текшерилүүгө тийиш. Компьютердик вирус аныкталган учурда аны жок кылуу жана иш орундарын калыбына келтирүү чаралары колдонулууга тийиш.
84. Вирустан коргонуу каражаттарын өчүрүүгө же жаңыртпай коюуга жол берилбейт. Вирустан коргонуу каражаттарын орнотуу жана жаңыртуу жооптуу кызматкерлер тарабынан контролдонууга тийиш.
14-глава. Криптографиялык коргоо каражаттарын пайдалануу
85. Банкта маалыматты криптографиялык коргоо каражаттарын пайдалануу коопсуздугу камсыздалууга тийиш.
86. Банкта колдонулуучу криптографиялык коргоо каражаттары төмөнкү талаптарга жооп берүүсү зарыл:
- иштеп чыгуучулар негизги системаны, аны менен иштөө эрежелерин кошо алганда, аны колдонуу документтеринин толук топтомун сунуштоого;
- маалымат коопсуздугу боюнча администратор тарабынан колдонуучунун негизги маалымат менен иштөөнүн бардык баскычтарында ишин контролдоо каралган ачкычтарды пайдалануунун так белгиленген регламенти болууга;
15-глава. Резервдик көчүрүү жана калыбына келтирүү
87. Банкта төлөм жана башка банктык маалымат үчүн, ошондой эле ушул маалыматты иштеп чыгуу үчүн зарыл болгон системалык жана колдонмо программалык камсыздоо үчүн резервдик көчүрмөлөр түзүлүүгө тийиш.
88. Маалыматтарды сактоо каражаттары катары тышкы маалымат сактоо каражаттары: өзүндө орнотулган дисктер, магниттик ленталар, жаздыруучу оптикалык санарип дисктер ж.б. колдонулууга тийиш.
89. Бардык резервдик көчүрмөлөр сакталуучу маалыматты, эсептик номерин жана көчүрмө түзүлгөн датаны көрсөтүү менен маркировкаланууга тийиш.
90. Резервдик көчүрмөлөр (же алардын дубликаттары) санкциясыз кирүүдөн коргоону, электрмагниттик нурлануудан коргоону, жылуулук таасирлеринен коргоону, механикалык бузуулардан коргоону камсыз кылган аралыкта жайгашкан жайларда, ошондой эле анда ички температура жана белгиленген деңгээлде аба нымдуулугу камсыздалган учурда сакталууга тийиш.
91. Банкта мезгил-мезгили менен тесттен өткөрүү жана ички документтерге ылайык резервдик көчүрүүлөрдүн архивинин маалыматтарын калыбына келтирүү жол-жоболору жүргүзүлүп турууга тийиш.
16-глава. Жеке маалыматтарды коргоо
92. Банкта жеке маалыматты, ошондой эле Кыргыз Республикасынын мыйзамдары менен корголгон кайсы болбосун маалыматтарды, анын ичинде банктык сырды ж.б. камтыган маалыматтарды коргоо чаралары каралууга жана Кыргыз Республикасынын мыйзамдарына ылайык жеке маалыматтарды иштеп чыгуу тартиби аныкталууга тийиш.
17-глава. Физикалык коопсуздукту камсыздоого карата талаптар
93. Банк жайларынын Кыргыз Республикасында финансы-кредит мекемелерин техникалык бекемдөө жана аларды коргоо боюнча бирдиктүү талаптар жөнүндө нускоого таянуу менен, Кыргыз Республикасынын банктарына карата коюлуучу талаптарга ылайык техникалык бекемделишин камсыздоого тийиш.
94. Банк аларда санкциясыз кирүүдөн, тышкы курчап турган чөйрөнүн таасиринен жана техногендик мүнөздөгү өзгөчө учурлардан коргогон маалымат системаларынын аппараттык-эсептөө комплекстери жайгаштырылган жайлардын, маалыматтарды иштеп чыгуу боюнча адистештирилген борборлордун, өтө маанилүү жана чабал зоналардын коопсуздугун жана техникалык жактан бекемделишин камсыздоо боюнча ички ченемдик документтерди иштеп чыгып, бекитүүгө тийиш.
95. Маалымат системалары менен жабдуу үчүн жайлар ошол жабдууну колдонуу шарттарына ылайык келүүгө тийиш.
96. Банк кызматкерлеринин маалыматтык активдердин объекттери жайгашкан жайларды колдонуу мүмкүнчүлүгүнүн тартиби банктын ички документтеринде белгиленүүгө тийиш, ал эми аларды ишке ашыруу контролдонууга тийиш. Маалымат системаларынын объекттери жайгашкан жайларга кирүү так белгиленүүгө жана аларга жүктөлгөн тапшырмаларга жана милдеттерге ылайык жооптуу түзүмдүк бөлүмдүн ыйгарым укуктуу адамдар тобуна гана уруксат берилүүгө тийиш.
97. Эгерде банк банктык карттарды чыгарууну ишке ашырса, банктык карттарга жеке маалыматты киргизген аппараттык-программалык комплекс орнотулуучу жай төмөндө келтирилген негизги талаптарга ылайык келүүгө тийиш:
- өзүнчө жайгашууга (ал аркылуу өтпөй турган, терезесиз);
- ишенимдүү автоматтык түрдө жабылуучу кулпу орнотулууга;
- өрт жана коргоо боюнча белги берүү каражаттары, жайга башка адамдардын кирип кетүү мүмкүндүгүн жокко чыгарган жана жайдагы коргоого алынган ресурстардын сакталышын камсыздаган байкоо каражаттары орнотулууга тийиш;
- даяр болгон карттарды жана PIN-конверттерди сактоо үчүн каралган сейфтер жайгаштырылган кеминде эки жай болууга (картка жеке маалыматты киргизүү жана PIN-конверттерди чыгаруу үчүн).
PIN-конверттерди чыгаруу үчүн каралган жайда бланктарды жана жараксыз болуп калган PIN-конверттерди жок кылуу үчүн шредер болууга тийиш.
18-глава. Маалымат коопсуздугу боюнча инциденттерди
жөнгө салуу процессине карата талаптар
98. Маалымат коопсуздугуна тиешелүү инциденттер жана чабал жактары иштелип чыккан жана так колдонулган процесстердин негизинде жөнгө салынат.
99. Банк инциденттерди жана чабал жактарды идентификациялоосу зарыл, аларга баа берилип, маалымат коопсуздугунда мындай инциденттердин орун алышына жол бербөө боюнча чаралар көрүлүп, чабал жактар четтетилүүгө тийиш.
100. Маалымат коопсуздугундагы инциденттерди талдап-иликтөө жыйынтыктары, ошондой эле маалымат коопсуздугундагы кооптуу жагдайлардын орун алышы ыктымалдыгын жана андан улам зыянды кыскартуу боюнча сунуш-көрсөтмөлөр андан ары маалымат коопсуздугундагы тобокелдиктерге баа берүү үчүн колдонулууга тийиш.
19-глава. Аутсорсинг
101. Банк пландаштырылган аутсорсинг боюнча тобокелдиктерге баа берүүгө тийиш. Тобокелдиктерге баа берүүдө банкка жеткиликтүү болгон кызматтарды сунуштоочулар (компаниялар) жөнүндө бардык маалыматтарга талдап-иликтөөлөрдү жүргүзүү камтылууга тийиш. Тобокелдиктерге баа берүү Кыргыз Республикасынын Улуттук банкынын талаптарын эске алуу менен жүргүзүлөт. Кыргыз Республикасынын Улуттук банкынын суроо-талабынын негизинде банк жогоруда көрсөтүлгөн тобокелдиктерге баа берүүнү сунуштоого тийиш.
102. Аутсорсинг кызматтарын сунуштоочулар менен түзүлүүчү келишимде кеминде төмөнкү бөлүктөр каралууга тийиш:
- маалымат коопсуздугу, жеке мүнөздөгү маалыматтын, ошондой эле Кыргыз Республикасынын мыйзамдары менен корголуучу кайсы болбосун башка маалыматтардын жана сырлардын сакталышы жөнүндө;
- иш үзгүлтүксүздүгү жөнүндө, ага иш үзгүлтүксүздүгүн камсыздоо жана калыбына келтирүү планын кошо алганда;
- уюмдун ишин текшерүү боюнча көзөмөл функцияларын ишке ашыруу максатында жана кошумча маалыматты өз убагында алуу зарылчылыгы келип чыккан учурда жөнгө салуучуга/Улуттук банктын текшерүү тобуна милдеттүү түрдө көмөктөшүү жөнүндө.
103. Банкта иш үзгүлтүксүздүгүн камсыздоо боюнча планда аутсорсингге өткөрүлүп берилген маалыматтан өз убагында колдонуу мүмкүнчүлүгүн, ошондой эле кызматтарды сунуштоочунун ишинде (аутсорсинг) өзгөчө жагдайлар келип чыккан учурда кызматтарды сунуштоону кайра баштоо чаралары каралууга тийиш.
