Қаблан чунин санади меъёрии ҳуқуқӣ қабул нашуда буд.

Раньше не принимался такой нормативный правовой акт.

Лоиҳа

Дастурамал “Оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарз”

       Дастурамал “Оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарз” (минбаъд-Дастурамал) мутобиқи қисми 2 моддаи 7 Қонуни Ҷумҳурии Тоҷикистон “Дар бораи таърихи қарз (кредит)”таҳия шуда, талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ, инчунин таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарзро муайян менамояд.

1. МУҚАРРАРОТИ УМУМӢ

1. Бюрои таърихи қарз (минбаъд – БТҚ) шахси ҳуқуқиест, ки ҳамчун ташкилоти тиҷоратӣ тибқи тартиби муқаррарнамудаи қонунгузории Ҷумҳурии Тоҷикистон ва Дастурамали мазкур барои ташкилу коркард, нигоҳдошти таърихи қарз, пешниҳоди ҳисоботи қарз ва дигар иттилоот хизмат мерасонад.
2. Танҳо шахси ҳуқуқие, ки дорои иҷозатнома барои амалӣ намудани фаъолияти БТҚ мебошад, ҳуқуқи ташкилу коркард, нигоҳдошти таърихи қарз, пешниҳоди ҳисоботи қарз ва дигар иттилоотро дорад.
3. Дар рафти пешбурди фаъолияти худ БТҚ бояд муқаррароти қонунгузории Ҷумҳурии Тоҷикистонро риоя намуда, аз ҷумла талабот ва шартҳои зеринро таъмин намояд:

- мавҷуд будани санадҳои меъёрии дохилие, ки сиёсати ҳифзи (амнияти) иттилоотро ба танзим медароранд;

- мавҷуд будани бинои зарурӣ барои ҷойгиркунии бехатар, истифодабарӣ ва ҳифзи техникии низомҳои иттилоотӣ, манбаи иттилоотии таърихи қарз;

- истифодаи таъминоти барномавии дорои иҷозатнома бо шарти кафолати амалкунанда аз ҷониби таъминкунандаи барнома.

4. Низоми бехатарии БҚТ бояд талаботи махсусро нисбати:

-     бинои (ҳуҷраи) сервер ва бино (ҳуҷра) бо ҳуқуқи дастрасии маҳдуд;

-     таъминоти барномавии низом, ки барои автоматикунонии фаъолияти БТҚ истифода бурда мешавад;

-     таъминоти барномавии махсус (низоми иттилоотӣ), ки барои автоматикунонии фаъолияти БТҚ истифода бурда мешавад;

-     воситаҳои техникии (захираҳои иттилоотии) БТҚ;

-     таъмини бехатарии иттилоот пешбинӣ намояд.

5. Фаъолияти БТҚ бо иттилооте алоқаманд аст, ки ба сирри бонкии таҳти ҳифзи қонун қарордошта мансуб мебошад. Аз ҷониби Бонки миллии Тоҷикистон дар раванди додани иҷозатнома ба БТҚ диққати махсус ба мувофиқатии чораҳои бехатарӣ ва ҳифзи иттилоот дода мешавад.

2.  ТАЛАБОТ НИСБАТ БА БИНОҲО

6. БТҚ бояд дар бино ва дар ҳуҷраи дастрасиаш ба шахсони сеюм маҳдуд ҷойгир карда шавад.
7. Ҳуҷраи сервер бояд дар маконе ҷойгир карда шавад, ки дар он имконияти васеъ кардани масоҳат ва ҷойгир кардани таҷҳизоти калон мавҷуд буда, ба талаботи зерин ҷавобгӯ бошад:

-     масоҳати ҳуҷраи сервер на камтар аз 20 метри мураббаъ бошад;

-     тамоми саҳни (периметри) ҳуҷра бо фарши худсохт (фальшпол) таъмин карда шавад;

-     ҳуҷраи сервер бояд бо шабакаи асосии сими заминваслаи (заземление) бино бо ноқили андозааш на камтар аз 1,5 сантиметр пайваст карда шавад;

-     баландии шифти ҳуҷраи сервер бояд на камтар аз 2,44 метр бошад.

8. Ҳуҷраи дастрасиаш маҳдуди БТҚ бояд ба талаботи зерин ҷавобгӯ бошад:

-     мавҷуд будани низоми дастрасии идорашаванда ба ҳуҷра (рухсатномаи электронии инфиродӣ), ки имконияти беназорат ворид шудан ва баромадани шахсони бе иҷозат воридшаванда ва барояндаро истисно менамояд;

-     мавҷуд будани низоми мушоҳидаи видеоии даромадгоҳ (камераи наворгиранда бо имконияти сабти пайваста);

-     мавҷуд будани низоми огоҳсозии сӯхтор;

-     мавҷуд будани низоми огоҳсозӣ ва муҳофизат;

-     дар ҳуҷраи дастрасиаш маҳдуди БТҚ ҷойгир кардани ҷойҳои корие, ки ба фаъолияти БТҚ алоқаманд нестанд, манъ мебошад;

-     тирезаҳои ҳуҷраи дастрасиаш маҳдуди БТҚ бо панҷараҳои оҳанӣ таҷҳизонида шаванд;

-     ҷойҳои кории кормандони масъул танҳо дар дохили ҳуҷраи дастрасиаш  маҳдуди БТҚ ҷойгир карда шаванд.

9. Ҳуҷраи сервери таҷҳизонидашудаи БТҚ бояд дошта бошад:

-     низоми дастрасии идорашаванда (рухсатномаи электронии инфиродӣ);

-     низоми мушоҳидаи видеоии даромадгоҳи ҳуҷраи сервер ва ҳуҷраҳои ҳамшафат (ҳуҷраҳои бо таҷҳизоти назоратӣ – тақсимкунандаи воситаи алоқа муҷаҳҳаз);

-     низоми огоҳкунанда оид ба муҳофизати дарҳо, тирезаҳо ва санҷандаҳои ҳаракат дар дохили қисмати масдудшуда (гермозона);

-     низоми таъмини мунтазами қувваи барқ дар қисмати маҳдудшудаи (гермозона) ҳуҷраи сервер;

-     низоми муътамади таъмини ҳуҷраи сервер, ҳуҷраҳои ҳамшафат ва таҷҳизоти равшанидиҳандаи бо навбати шабонарӯзӣ бо қувваи барқ;

-     низоми сарднамоӣ ва тозакунии ҳаво бо захираи пурраи таҷҳизоти эҳтиётӣ;

-     мавҷудияти натиҷаи аттестатсияи ҳуҷраи серверҳо ба талаботи бехатарӣ, ки аз ҷониби мақомоти дахлдор дода шудааст.

3.  ТАЛАБОТ НИСБАТ БА ТАЪМИНОТИ БАРНОМАВӢ

10. Таъминоти барномавии кории дар БТҚ истифодашаванда (низомҳои амалиётӣ, низомҳои идоракунии манбаи иттилоот, барномаҳои дафтарӣ, барномаҳои зиддивирусӣ) бояд бо иҷозатномаҳо (литсензияҳо) ва шаҳодатномаҳои расмӣ тасдиқ шуда бошанд.
11. Таъминоти барномавии БТҚ бояд устувор (ношикаста) буда, нусхаи дуздӣ набошанд ва тибқи шартномаҳои расмии ҳуқуқи истифода, ки бо дорандаи чунин ҳуқуқ баста шудаанд, мавриди истифода қарор гиранд.
12. Дар доираи ҷамъоварӣ ва нигоҳдории иттилоот оид ба таърихи қарз бояд низоми саноатии идоракунии манбаи иттилоот истифода бурда шавад, ки зимнан таҳиягари чунин низом бояд дорои намояндагии расмӣ ва маркази дастгирии техникӣ дар қаламрави Ҷумҳурии Тоҷикистон бошад.
13. Вориднамоӣ ва ба кор даровардани таъминоти барномавии БТҚ тибқи вазифаи техникие, ки аз ҷониби Роҳбари аввали он тасдиқ гардидааст, амалӣ гардонида мешавад ва дар баробари он бояд шаҳодатномаҳои дахлдори мансуб ба усулҳои амниятӣ мавҷуд бошанд.
14. Таъминоти барномавии БТҚ бояд на камтар аз ду ва/ё зиёда усулҳои ба даст овардани (интиқоли) иттилоотро таъмин намояд:

-     интерфейси интерактивӣ бо таҳияи файл дар шакли қолабии стандартӣ бо истифодаи таъминоти барномавии таҳияи ҳисоботҳо дар шаклҳои қолабии дастрас (маъмул);

-     дастрасии шабакавӣ бо истифодаи шакли қолабии стандартии интиқолот тибқи реҷаи вақти воқеӣ, вориднамоии иттилоот бо ёрии функсионали вориднамоии дастӣ, бо истифодаи веб-браузер пур кардани шаклҳои қолабии экранӣ дар сомона.

15. Бо мақсади таъмини амнияти иттилоот, таъминоти барномавии БТҚ бояд амалҳои зеринро таъмин намояд:

-     мушаххаскунӣ/аутентификатсия бо мубодилаи маълумоти  криптографӣ;

-     маҳдуд намудани ҳуқуқҳои истифодабарандагон;

-     пешбурди фаъолияти корӣ дар сатҳи асоси (ядрои) таъминоти барномавӣ ба тарзе, ки ягон амали аҳамиятнок (хоҳ амали истифодабаранда ё хоҳ амали раванд бошад) бе иштироки механизми амниятӣ анҷом дода нашавад;

-     нақшаи бехатарии дар таъминоти барномавӣ татбиқшуда бояд аз воситаҳои бехатарии худи низоми амалиётӣ, ки дар он таъминоти барномавӣ амалӣ шудааст, чунин ҷудо карда шавад,  то осебпазирии омилҳои бехатарии низоми амалиётӣ ба кори омилҳои бехатарии таъминоти барномавӣ таъсир нарасонад.

16. Ҳифзи иттилоот дар таъминоти барномавӣ бояд бо усулҳое амалӣ карда шавад, ки иҷрои амалҳои зеринро таъмин намояд:

- мавҷудияти сертификатҳои мутобиқати таъминоти барномавӣ ба талаботи бехатарӣ, ки аз ҷониби мақомоти дахлдор дода шудааст;

- ғайриимкон будани дастрасӣ ба иттилооти дар боло овардашуда берун аз чорчӯбаи таъминоти барномавӣ;

- ҳама гуна интиқоли  иттилоот ба/аз манбаи иттилоотии таъминоти барномавӣ бояд таҳти назорати механизмҳои бехатарӣ сурат гирад;

- имконияти фаъолияти устувор дар ҳолати пайдо шудани нуқсонҳо;

- сохтори муҳофизатии сезинагии “муштарӣ – сервер” бо он мақсад, ки дар ҳолати корношоям шудани компютери кории истифодабаранда ё дастрасии беиҷозати шахси бегона, фаъолияти қисмати серверии низом аз кор  намонад ва ноқисии сервери таъминоти барномавӣ ба ҳолати иттилооти низом таъсир нарасонад;

- санҷиши аудити ҳодисаҳои муҳими низомсоз бо сабт дар китоби бақайдгирӣ ва инчунин бо имконияти муҳофизат аз ҷониби ҳама субъектҳо;

- санҷиши аудити амалҳои истифодабарандагон ва маъмурони чӣ муваффақ ва чӣ номуваффақ;

- назорати иттилооти содира ва ворида;

-имконияти такмили модулҳо ва механизмҳои бехатарӣ;

- пешбинӣ намудани уҳдадориҳои зерин дар шартнома бо таҳиягари низоми иттилоотӣ:

- мунтазам огоҳ кардани БТҚ аз хусуси хатоиҳо ва осебпазириҳои ошкоршудаи низом, инчунин таъмини пешниҳоди саривақтии тағйирот ба  низом ва навсозии он;

- таъсиси хадамоти дастгирии таъҷилӣ, аз ҷумла доир ба масъалаҳои бехатарӣ барои машварати кормандони БТҚ ва расонидани ёрии амалӣ оид ба масъалаҳои амнияти иттилоот.

17. Таъминоти барномавии БТҚ бояд барои нигоҳдории маълумот дар бораи субъекти таърихи қарз ба муҳлати дар Қонуни Ҷумҳурии Тоҷикистон «Дар бораи таърихи қарз (кредит)» пешбинишуда ва инчунин барои таҳияи ҳисоботҳои қарзӣ дар тӯли як дақиқа бо маълумоти то марҳилаи муайяни вақт аз аввали таъсиси таърихҳои қарз таҳияшуда имконият фароҳам оварад.

4. ТАЛАБОТ НИСБАТ БА ВОСИТАҲОИ ТЕХНИКӢ

18. Воситаҳои техникии БТҚ бояд ба талаботи зерин ҷавобгӯ бошанд:

-     мавҷуд будани таъминоти техникии шахсӣ (таҷҳизоти компютерӣ, серверҳо, воситаҳои дастгоҳҳои муҳофизатӣ, таҷҳизоти ҷузъӣ ва дигар таҷҳизот) ва инчунин мавҷуд будани ҳуҷҷатҳое, ки мансубияти (тааллуқдории) таъминоти техникиро ба БТҚ тасдиқ мекунанд;

-     мавҷудияти шартномаҳои мутобиқати таъминоти дастгоҳӣ ба  талаботи бехатарӣ, ки аз ҷониби мақомоти дахлдор дода шудааст;

-     мавҷудияти низоми кафолатноки таъмини нерӯи барқ – қуттии автоматикии насби манбаи нерӯи барқи захиравӣ, таҷҳизоти дизелии барқдиҳанда, ки аз бонги (сигнали) ду сарчашмаи таъмини барқи мунтазам (минбаъд - СТБМ) ба ҳаракат омада, нерӯи барқро дар шабакаи тамоми БТҚ таъмин менамояд. Дар баробари он, шиддатнокии ҳар як СТБМ зимни реҷаи оддии корӣ бояд на камтар аз чил фоиз бошад.

19. Серверҳои БТҚ бояд низоми мунтазам тобовари мукаммалро ташкил дода, аз кластери садфоизаи нусхаи қисми дастгоҳӣ иборат бошанд. Серверҳои захиравии манбаи иттилоотии БТҚ бояд алоҳида аз серверҳои асосӣ нигоҳ дошта шуда, фаъолияти мунтазами манбаи иттилооти БТҚ-ро тарзе таъмин намоянд, ки дар ҳолати аз кормондани серверҳои манбаи иттилоот, БТҚ имконияти барқароркунии манбаи иттилоотро дар заминаи серверҳои эҳтиётӣ муддати 6 (шаш) соат аз лаҳзаи аз кор мондани сервери асосӣ дошта бошад.

5.  ТАЛАБОТ НИСБАТ БА ТАШКИЛИ КОР ВОБАСТА БА ТАЪМИНИ БЕХАТАРИИ ИТТИЛООТ

20. Ташкили таъмини бехатарии иттилоот бояд ба талаботи зерин ҷавобгӯ бошад:

-     мавҷуд будани шабакаи интиқоли иттилооти ҳифзшуда бо рамзикунонии иттилоот (трафик) тавассути маршрутизаторҳои сарҳадии таҷҳизот;

-     мавҷуд будани низоми ошкоркунии (пешгирии) ҳамлаҳо аз шабакаи Интернет ба шабакаи компютерии БТҚ бо истифодаи экрани байнишабакавӣ;

-     мавҷуд будани низоми ҳифзи криптографии компютерҳо тавассути крипто-калидҳо ва низомҳои муайянкунии истифодабарандагон;

-     мавҷуд будани таҳлилгари шабакавии маълумот (трафик) дар асоси муайянкунандаи идоракунии дастрасӣ ба дорандаи кортҳои шабакавии истифодабарандагон;

-     мавҷуд будани низоми нусхабардории эҳтиётӣ ва барқарорсозии маълумот.

21. БТҚ мубодилаи иттилоотро бо таъминкунандагон ва истифодабарандагони ҳисоботҳои қарзӣ тавассути шабакаҳои алоқаи алоҳида ё шабакаи Интернет ба шарти риояи талаботҳои зерин иҷро менамояд:

-     мавҷуд будани шабакаи асосӣ бо иқтидори интиқолии на камтар аз 10 мегабит/сония;

-     мавҷуд будани шабакаи захиравии беноқил бо иқтидори интиқолии на камтар аз 2 мегабит/сония;

-     истифодаи шабакаҳои таъминкунандагони гуногун;

-     истифодаи шабакаҳо танҳо барои мубодилаи иттилоот бо таъминкунандагони иттилоот ва истифодабарандагони ҳисоботҳои қарзӣ.

6. ТАЛАБОТ НИСБАТ БА ҶОЙҲОИ КОРӢ

22. Ҷои кории кормандони БТҚ бояд ба талаботи зерин ҷавобгӯ бошад:

-     таъминоти барномавӣ дар компютери махсуси инфиродии алоҳида ҷойгир карда шуда, дорои шиноснома бошад ва дар он маълумот оид ба макон, мушаххасот, инчунин оид ба воситаҳои техникӣ ва барномавие, ки дар таъминоти барномавӣ васл гаштаанд, мавҷуд бошад. Шиноснома бо имзои роҳбари ташкилот ба расмият дароварда шуда, дар худи корманд нигоҳ дошта шавад;

-     истифодаи компютери инфиродии корманд ва ҷойгир кардани воситаҳои барномавӣ дар он, ки ба таҳия, коркард, интиқол ё пешбурди ҳуҷҷатгузории электронӣ дар чорчӯбаи иштирок дар низоми иттилоотӣ алоқаманд нест, манъ аст.

23. Компютери инфиродии корманд бояд дорои сохтори муҳофизатие бошад, ки ҷузъиёти зеринро дар бар гирад:

- воситаҳои муайянкунӣ (мушаххаскунӣ) ва санҷиши (аутентификатсия)  шахсияти истифодабарандагон;

- имконияти пешбурди журналҳои электронӣ, муҳлати нигоҳдории ҳуҷҷатҳои электронӣ бо мақсади назорати фаъолияте, ки бо дастрасӣ ба компютер ва амалҳои истифодабарандагон алоқаманд мебошад;

- мавҷуд будани як ном ва рамзи низоми истифодабаранда (корманди масъул), ки тавассути он истифодабаранда дар ҳолати ворид шудан ба низом муайян  карда мешавад ва зимнан чунин як ному рамз бояд ба як шахси воқеӣ мутобиқ бошад;

- компютери корӣ бояд воситаҳои таъмини мукаммалӣ ва махфияти таъминоти барномавиро дошта бошад;

- дастрасӣ ба захираҳои шабака ва ноқилҳои беруна ва дастрасӣ ба портҳои воридот ва содироти иттилоот аз компютерикорӣ, аз ҷумла дар сохтори танзимии заминавии низоми воридот-содирот бояд баста бошанд;

- блоки низом, портҳои воридот-содироти иттилооти компютери корӣ бояд аз тарафи маъмури низом бо муҳр ё тамға (пломба) маҳкам шаванд;

- раванди муҳргузорӣ, тамғагузорӣ (пломбагузорӣ) дар китоби махсус бо қайди ному насаб, агар бошад - номи падар, вазифа, сана, вақт ва мақсади гузоштани муҳр сабт карда мешавад;

- барои ноутбукҳо, маҳкам кардани воситаҳо танҳо дар асоси низоми заминавӣ бе муҳрбандӣ рухсат дода мешавад;

- баровардани компютерҳо ва ноутбукҳо аз бино манъ аст, ба истиснои ҳолатҳои гузаронидани корҳои таъмирӣ ва профилактикӣ, ки дар асоси аризаи пешниҳодкардаи корманд ба унвони роҳбари БТҚ сурат мегиранд;

 - тартиби дастрасӣ ба захираҳои дигар (фазо дар диск, директория, манбаъҳои иттилоот ва нусхаҳои эҳтиётии манбаъҳои иттилоот), ки барои ҷамъоварии иттилоот баҳри интиқол ба муҳити иттилоот бо истифодаи низоми муҳофизатӣ, гирифтани иттилоот аз муҳити иттилоот, нигоҳдорӣ ва ё коркарди иттилоот пешбинӣ шудаанд, бояд имконияти дастрасии бе иҷозатро ба ин захираҳо роҳ надиҳад;

- даромадани корманд ба ҳуҷраи дастрасиаш маҳдуд дар асоси уҳдадориҳои вазифавии ӯ амалӣ мегардад.

7. МУҚАРРАРОТИ ХОТИМАВӢ

26. Таъмини риояи талаботи Дастурамали мазкур ба зиммаи кормандони масъули БТҚ вогузор карда мешавад.
27. Назорати риоя шудани талаботи Дастурамали мазкур аз ҷониби Бонки миллии Тоҷикистон тавассути тартиб додани санади баҳодиҳии мутобиқати маҷмааи дастгоҳӣ – барномавии БТҚ мутобиқи Замимаи №1 Дастурамали мазкур ба роҳ монда мешавад. 
28. Барои риоя накардани талаботи Дастурамали мазкур, Бонки миллии Тоҷикистон нисбат ба БТҚ чораҳои таъсиррасониро тибқи қонунгузории Ҷумҳурии Тоҷикистон татбиқ менамояд.

Замимаи №1 ба Дастурамал “Оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарз”

Санади

санҷиши мутобиқати маҷмааи дастгоҳӣ – барномавии БТҚ

 _______________________________ (макони таҳия)

 _______________________________ (санаи таҳия)

Санади мазкур дар бораи баҳодиҳии мутобиқати маҷмааи техникӣ– барномавии БТҚ______________________ ба талабот нисбати муҳофизати иттилоот аз тарафи аъзои гурӯҳи санҷишӣ дар ҳайати зерин таҳия гардид:

Намояндагони Бонки миллии Тоҷикистон:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Хулосаи муфассали объектҳои аз ташхис гузаронидашуда ва ҳуҷҷатҳои аз тарафи гурӯҳи санҷишӣ таҳлилшуда:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Мазмуни мухтасари хулосаҳои намояндагони БТҚ:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Санҷиши ҳуҷҷатҳои техникӣ ва ҳуҷҷатҳои дигари БТҚ _______________________________, азназаргузаронии ҳуҷраҳои техникӣ ва воситаҳои муҳофизатӣ ва объектҳои дигари он, ки барои кор дар низоми ташаккули таърихи қарз пешбинӣ шудаанд, инчунин истифодаи онҳо аз тарафи гурӯҳи санҷишӣ, чунин натиҷагирӣ шуд:

__________________________________________________________________

__________________________________________________________________

(мувофиқат (номувофиқат) бо талаботи муайяншуда ва кифоягии (ғайрикифоягии) онҳо барои оғоз / идома додани фаъолияти БТҚ дар бозори хизматрасониҳои иттилоотӣ).

БТҚ ҳуҷҷатҳои зерини техникӣ ва ҳуҷҷатҳои дигарро пешниҳод кардааст, ки ба санади гурӯҳи санҷишӣ замима карда мешаванд:

__________________________________________________________________

__________________________________________________________________

Санади мазкур дар ду нусхаи асл таҳиягардида, як нусхагӣба Бонки миллии Тоҷикистон ва БТҚ супурда шуд:

Аъзои гурӯҳи санҷишӣ:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Намояндаи БТҚ:

__________________________________________________________________

 Проект

Инструкция «О требованиях по использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй»

     Инструкция «О требованиях по использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй» (далее Инструкция) разработана в соответствии со статьей 7 Закона Республики Таджикистан «О кредитных историях», и определяет требования по использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй.

1.     ОБЩИЕ ПОЛОЖЕНИЯ 

1. Бюро кредитных историй (далее – БКИ) юридические лица, являющиеся коммерческой организацией, оказывающей услуги по организации, обработке, хранению кредитных историй, предоставлению кредитных отчетов и другой информации в соответствии с порядком, установленном законодательством Республики Таджикистан и настоящей Инструкцией.  
2. Только юридические лица, имеющие лицензию на осуществление деятельности БКИ, вправе организовывать, обрабатывать, хранить кредитную историю, предоставлять кредитные отчеты и другую информацию.
3. При осуществлении своей деятельности, БКИ обязано соблюдать требования законодательства Республики Таджикистан и обеспечивать соблюдение следующих требований и условий:

• наличие внутренних нормативных документов, регламентирующих политику информационной безопасности;
• наличие необходимого помещения для безопасного размещения, эксплуатации и технической защиты информационных систем базы данных кредитных историй;
• использование лицензионного программного обеспечения с условием действующей гарантии со стороны поставщика программного обеспечения.

4. Система безопасности БКИ должна предусматривать особые требования к:

• серверному помещению и помещению ограниченного доступа;
• системному программному обеспечению, используемому для автоматизации деятельности БКИ;
• специализированному программному обеспечению (информационной системе), используемому для автоматизации деятельности БКИ;
• техническим средствам (информационным ресурсам) БКИ;
• обеспечению безопасности информации.

5. Деятельность БКИ связана с информацией, относящейся к банковской тайне, охраняемой законом, Национальный банк Таджикистана обращает особое внимание процессу выдачи лицензии БКИ и принимает во внимание адекватность мер безопасности и защиты данных.

2. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ 

6. БКИ размещается в здании и в помещении с ограниченным доступом к третьим лицам.
7. Серверное помещение должно располагаться в местах с возможностью последующего расширения пространства и возможностью размещения крупногабаритной аппаратуры, и отвечать следующим требованиям:

• минимальная допустимая площадь серверного помещения - 20 квадратных метров;
• весь периметр помещения должен быть обустроен фальшполами;
• серверная комната должна быть соединена с главным электродом системы заземления здания кондуитом размером 1,5;
• требуемая минимальная высота потолка серверной комнаты должна составлять не менее 2,44 метра.

8. Помещение ограниченного доступа БКИ должно соответствовать следующим требованиям:

• наличие системы контроля доступа (индивидуальный электронный пропуск), которая исключает возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту ответственного лица;
• наличие системы видеоконтроля входа (видеокамера с постоянной записью);
• наличие системы пожарной сигнализации;
• наличие системы охранной сигнализации;
• запрещается располагать в помещении рабочие места БКИ, не имеющие отношения к деятельности БКИ;
• при расположении помещения ограниченного доступа БКИ, окна помещений оборудуются металлическими решетками;
• в помещении ограниченного доступа БКИ могут размещаться только рабочие места ответственных лиц.

9. Оборудованное серверное помещение БКИ должно обладать:

• системой контроля доступа (на основе индивидуального электронного пропуска);
• систему видеоконтроля входа в серверное помещение и кроссовые комнаты;
• систему охранной сигнализации дверей и окон, и датчики движения внутри гермозоны;
• систему бесперебойного питания, находящуюся в гермозоне серверной комнаты;
• систему гарантированного питания всей электрической сети серверной и кроссовых комнат, включая круглосуточное, дежурное освещение;
• систему кондиционирования и вентиляции воздуха с полным резервом;
• наличие результата аттестации по информационной безопасности серверных комнат, которое выдано соответствующим государственным органом.

3. ТРЕБОВАНИЯ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ  

10. Используемые БКИ системные программные обеспечения (операционные системы, системы управления базами данных, офисные программы, антивирусные программы) должны подтверждаться официальными лицензиями, сертификатами.
11. Программные обеспечения БКИ должны быть лицензионными, не взломанными и не пиратскими версиями и иметь официальные договора на использование с правообладателем.
12. Для накопления и хранения данных по кредитным историям должна использоваться промышленная система управления базами данных, разработчик которой должен иметь официальное представительство и центр технической поддержки на территории Республики Таджикистан.
13. Внедрение и ввод в эксплуатацию программного обеспечения БКИ выполняется на основании технического задания, утвержденного его первым Руководителем, при этом необходимо наличие соответствующих сертификатов на механизмы безопасности.
14. Программное обеспечение БКИ должно обеспечивать два и более способа получения (передачи) информации:

• интерактивный интерфейс с подготовкой файла в стандартном формате с использованием программного обеспечения формирования отчетов в доступных форматах;
• сетевой доступ с использованием стандартного формата передачи в режиме реального времени, ввод данных с помощью функционала ручного ввода, заполнения экранных форм на сайте, с использованием веб-браузера.

15. В целях обеспечения информационной безопасности программное обеспечение БКИ должно обеспечивать следующее:

• идентификацию и аутентификацию с криптографическим преобразованием;
• разграничение прав пользователей;
• работу на уровне ядра программного обеспечения таким образом, чтобы ни одно значимое действие в рамках системы (будь то действие пользователя или процесса) не происходило без участия механизма безопасности;
• схема безопасности, реализованная в программном обеспечении, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализовано программное обеспечение, в том смысле, что уязвимость средств безопасности операционной системы не должна влиять на работу схемы обеспечения безопасности программного обеспечения.

16. Сохранение данных в программном обеспечении должно быть организовано способом, обеспечивающим;

- наличие сертификатов соответствия програмного обеспечения, выданных соответствующими государственными органами;

- невозможность получения доступа к указанным данным вне рамок работы приложения программного обеспечения;

- любые перемещения данных в базу данных программного обеспечения или из нее должно осуществляться под контролем механизмов безопасности;

- возможность устойчивой работы при возникновении сбоев;

- трехуровневую архитектуру «клиент-сервер» с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера программного обеспечения не влиял на состояние данных системы;

- аудит системно-значимых событий с фиксированием в регистрационный журнал, а также с возможностью защиты со стороны любого субъекта;

- аудит действий пользователей и администраторов, как успешных, так и неудачных;

 -контроль экспортируемых и импортируемых данных;

- возможность разработки (доработки) модулей и механизмов безопасности;

- в договоре с разработчиком информационной системы должна быть предусмотрена обязанность:

- по регулярному уведомлению БКИ об обнаруженных ошибках и уязвимостях системы, а также своевременному предоставлению изменений и обновлений к системе;

- по организации службы оперативной поддержки, в том числе по вопросам безопасности, для консультирования работников БКИ и оказания им практической помощи в вопросах информационной безопасности.

17. Программное обеспечение БКИ должно обеспечивать хранение информации в отношении субъекта кредитной истории в течение срока, установленного Законом Республики Таджикистан «О кредитных историях», а также возможность формирования кредитных отчетов по состоянию на любой момент времени с начала формирования кредитных историй в течение одной минуты.

4. ТРЕБОВАНИЯ К ТЕХНИЧЕСКИМ СРЕДСТВАМ 

18. Технические средства БКИ должны отвечать следующим требованиям:

• наличие собственного аппаратного обеспечения (компьютерного оборудования, серверов, аппаратных средств защиты, комплектующих и другого оборудования ), а также наличие документов, подтверждающих принадлежность аппаратного обеспечения БКИ;

- наличие сертификатов соответствия аппаратного обеспечения на соответствие требованиям безопасности, выданных соответствующими государственными органами;

• наличие системы гарантированного питания - щита автоматического включения резервного питания, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания (далее - ИБП) и непрерывно поддерживающей электричество в сети чистого питания во всей организации. При этом, нагрузка каждого ИБП должна быть не более сорока процентов при штатном режиме работы.

19. Серверы БКИ должны составлять отказоустойчивую завершенную систему, и представлять собой кластер со стопроцентным дублированием аппаратной части. Резервные серверы базы данных БКИ должны быть расположены отдельно от основных серверов, и обеспечивать бесперебойную работу базы данных БКИ таким образом, чтобы в случае прекращения работы основных серверов базы данных, БКИ могло обеспечить восстановление работы базы данных на резервных серверах в течение периода не более 6 (шести) часов с момента прекращения работы основного сервера.

5. ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ РАБОТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

20. Организация работы по обеспечению информационной безопасности должна отвечать следующим требованиям:

• наличие защищенного канала передачи данных с шифрованием трафика с помощью пограничных аппаратных маршрутизаторов;
• наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть БКИ с помощью межсетевого экрана;
• наличие системы криптографической защиты компьютеров с помощью крипто-ключей и систем идентификации пользователей;
• наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
• наличие системы резервного копирования и восстановления информации.

21. БКИ осуществляет обмен данными с поставщиками информации и получателями кредитных отчетов по выделенным каналам связи или через Интернет, при условии:

• наличия основного канала с пропускной способностью не менее 10 мегабит в секунду;
• наличия беспроводного резервного канала с пропускной способностью не менее 2 мегабит в секунду;
• использования каналов разных провайдеров;
• использования каналов исключительно для обмена информацией с поставщиками информации и получателями кредитных отчетов.

6. ТРЕБОВАНИЯ К РАБОЧЕМУ МЕСТУ

22. Рабочее место сотрудников БКИ должно соответствовать следующим требованиям:

• программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт, оформляется за подписью руководителя организации и хранится у сотрудника;
• не допускается эксплуатация персонального компьютера сотрудника, а также установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе.

23. Персональный компьютер сотрудника должен иметь комплекс защиты, включающий в себя:

- средства идентификации и аутентификации пользователей;

- возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей;

- наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь, при входе в информационную систему, которое должно соответствовать одному физическому лицу;

- персональный компьютер должен иметь средства обеспечения целостности и конфиденциальности программного обеспечения;

- доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера оператора должен быть отключен, в том числе и в настройках базовой системы ввода-вывода;

- системный блок, порты ввода-вывода информации персонального компьютера опечатываются либо пломбируются администратором;

- процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели нанесения пломбы (печати);

- для ноутбуков разрешается использовать только отключение устройств в базовой системе ввода-вывода без опечатывания портов;

- выносить из здания компьютеры и ноутбуки не допускается, за исключением случаев проведения профилактических и ремонтных работ, которые проводятся на основании заявки сотрудника руководителю БКИ;

- порядок доступа к иным ресурсам (дисковое пространство, директории, базы данных и резервные копии базы данных), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам;

- доступ к рабочему месту сотрудника и в помещение ограниченного доступа осуществляется в соответствии с его должностными обязанностями.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 

24. Обеспечение выполнения требований настоящей Инструкции возлагается на ответственных лиц БКИ.
25. Надзор за соблюдением настоящей Инструкции осуществляется Национальным банком Таджикистана посредством состаления акта об оценке соответствия аппаратно-программного комплекса БКИ согласно Приложения 1 настоящей Инструкции.
26. 26. В случае не соблюдения требований настоящей Инструкции Национальный банк Таджикистана применяет исправительные меры и меры воздействия в отношении БКИ в соответствии с законодательством Республики Таджикистан.

Приложение 1

к Инструкции №__  «О требованиях по использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй»

АКТ

об оценке соответствия аппаратно-программного комплекса БКИ

 __________________                                                        (место составления)

___________________                                                 (дата составления)

         Настоящий акт об оценке соответствия аппаратно-программного комплекса БКИ ______________________ требованиям по защите информации, составлен проверяющей группой в следующем составе:

Представители Национального банка Таджикистана:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Подробное описание обследованных объектов и изученных документов со стороны проверяющей группы:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Краткое содержание пояснений представителей БКИ:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Проверкой проверяющей группой технических и иных документов БКИ _______________________________, обследованием его технических помещений и средств защиты и иных объектов, предназначенных для работы в системе формирования кредитных историй и их использования установлено:

__________________________________________________________________

__________________________________________________________________

(соответствие (не соответствие) предъявляемым требованиям и их достаточность (недостаточность) для начала/продолжения деятельности организации на рынке информационных услуг).

БКИ предъявлена следующая техническая документация и иные документы, которые приложены к акту комиссии:

__________________________________________________________________

__________________________________________________________________

Акт составлен в двух экземплярах и по одному экземпляру передан:

Национальному банку Таджикистана;

БКИ.

Члены проверяющей группы:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Представитель БКИ:

_________________________________________________________________».