Рақам 27
Дар асоси нақша 32
Намуди ҳуҷҷат Қарор
Ном бо забони тоҷикӣ Қарори Раёсати Бонки миллии Тоҷикистон "Дар бораи Талаботи ҳадди ақал оид ба эътимоднокӣ ва таъмини амнияти иттилоот дар ташкилотҳои қарзии молиявӣ"
Ном бо забони русӣ Постановление Правления Национального банка Таджикистана "О Минимальных требованиях по эффективности и обеспечению информационной безопасности в кредитных финансовых организациях"
Варианти пешинаи матни лоиҳаи санади меъёрии ҳуқуқӣ (тоҷ)

Қаблан чунин санади меъёрии ҳуқуқӣ қабул нашуда буд

Варианти пешинаи матни лоиҳаи санади меъёрии ҳуқуқӣ (рус)

Раньше не принимался такой нормативный правовой акт

Матни лоиҳаи санади меъёрии ҳуқуқӣ (тоҷ)

Талаботи ҳадди ақал ба таъминоти барномавию техникии ташкилотҳои қарзии молиявӣ

 

     Талаботи ҳадди ақал ба таъминоти барномавию техникии ташкилотҳои қарзии молиявӣ (минбаъд - Талабот) мутобиқи қисми 5 моддаи 42 Қонуни Ҷумҳурии Тоҷикистон “Дар бораи Бонки миллии Тоҷикистон” бо мақсади таъмини сатҳи зарурии амнияти иттилоот дар низоми бонкии Ҷумҳурии Тоҷикистон, ноил шудан ба сатҳи зарурии ҳимоя аз хавфҳои воқеии киберҳуҷумҳо ва кам кардани хисороте, ки дар натиҷаи вайроншавии низомҳои иттилоотӣ ё амнияти иттилоот ба вуҷуд меояд, таҳия гардида, талаботи ҳадди ақалро нисбат ба таъминоти барномавию техникии ташкилотҳои қарзии молиявӣ муқаррар менамояд.

 

1. ИХТИСОРАҲО ВА МАФҲУМҲОИ АСОСИЕ, КИ ДАР ТАЛАБОТИ МАЗКУР ИСТИФОДА МЕШАВАНД


- ТИ - технологияҳои иттилоотӣ;
- ТҚМ - ташкилоти қарзии молиявӣ;
- ТИК - технологияҳои иттилоотӣ – коммуникатсионӣ;
- BankNet –шабакаи ҳифзшудаи корпоративӣ, ки барои дастрасии ташкилоти қарзии молиявӣ ба низомҳои кории Бонки миллии Тоҷикистон истифода мешавад;
- AES (Advanced Encryption Standard) - алгоритми симметрии рамзкунонии блок (ҳаҷми блок 128 бит, калид 128/192/256 бит) буда, ҳамчун стандарти рамзкунонии Ҳукумати Иёлоти Муттаҳидаи Амрико қабул шудааст;
- DMZ (Demilitarized Zone) - қисми шабака, ки хизматрасониҳои дастраси умумро дар бар гирифта, онҳоро аз хизматрасониҳои хусусӣ ҷудо мекунад;
- GPS (Global Positioning System) - низоми навигатсионии моҳвораӣ, кимасофаю вақтро чен карда, ҷойгиршавиро дар низоми координатии байналмилалии WGS 84 муайян менамояд;
- IDS (Intrusion Detection System)- воситаҳои барномавӣ ё таҷҳизотӣ, ки барои ошкор намудани дастрасии беиҷозат ба низоми компютерӣ ё шабака пешбинӣ шудаанд;
- IPS (Intrusion Prevention System)- воситаҳои барномавӣ ё таҷҳизотӣ, ки барои пешгирӣ намудани дастрасии беиҷозат ба низоми компютерӣ ё шабака пешбинӣ шудаанд;
- ISO (International Organization for Standardization)- созмони байналмилалие, ки стандартҳоро таҳия мекунад;
- LAN (Local Area Network)- шабакаи компютерӣ, ки компютерҳои дар масоҳати на чандон калон ҷойгирифта ваё биноҳои наонқадар дур воқеъбударо ба ҳам пайваст мекунад;
- NIST (National Institute of Standards and Technology)- Донишкадаи миллии стандартҳо ва технология;
- ODBC (Open Database Connectivity)- интерфейси барномавии дастрасӣ ба пойгоҳи додаҳо мебошад;
- POS-терминал - таҷҳизоти электронии барномавӣ-техникии қабули кортҳои пардохтӣ барои пардохтҳо мебошад;
- RJ45 (Registered Jack) - пайвасткунаки бақайдгирифта (зарегистрированный разъем), ки дорои рақами тартибии 45 мебошад;
- SQL (Structured Query Language) - забони барномасозии декларативӣ, ки барои сохтан, тағйир додан ва идора кардани маълумот дар пойгоҳи додаҳои релятсионӣ истифода мешавад;
- коммутатор - таҷҳизоти шабака, ки барои пайвасткунии чанд гиреҳи шабакаи компютерӣ дар доираи як ё чанд қисмати шабака истифода мешавад;
- сертификати рақамӣ–ҳуҷҷати электронӣ, ки аз ҷониби мақомоти сертификатсия дода шудааст ва моликияти соҳиби калиди кушод ё дигар атрибутро тасдиқ мекунад;
- файрвол - таҷҳизот ё барномае, ки барои филтр кардани (иҷозатдиҳӣ ё манъи) интиқоли шабакавии додаҳо пешбинӣ шудааст. Файрвол дар асоси маҷмӯи қоидаҳо амал карда, барои ҳифзи шабакаҳо аз дастрасии ғайрирасмӣ пешбинӣ шудааст.
- НАБ - низоми автоматикунонидашудаи бонкӣ - маҷмӯи таъминоти барномавӣ ва техникӣ, ки барои автоматизатсияи бизнес - равандҳои бонкӣ пешбинӣ шудааст.
- ПД - пойгоҳи додаҳо - сохтори муташаккиле, ки барои нигоҳдорӣ, тағйирдиҳӣ ва коркарди маълумотҳои бо ҳам алоқаманд пешбинӣ гардидааст.
- НИПД - низоми идоракунии пойгоҳи додаҳо - маҷмӯи таъминоти барномавӣ, ки барои сохтани сохтори пойгоҳи додаҳои нав, пуркунии он бо додаҳо, ворид кардани тағйирот ва нишон додани маълумот пешбинӣ шудааст;
- ҳамгироии низомҳои иттилоотӣ- раванди насби алоқа байни низомҳои иттилоотии ташкилоти қарзии молиявӣмебошад, ки барои бадаст овардани муҳити ягонаи иттилоотӣ ва ташкили таъмини бизнес - равандҳои он пешбинӣ шудааст;
- ҳамёни электронӣ - барнома ё маҷмӯи барномавӣ, ки барои нигоҳ доштани пулҳои электронӣ ва гузаронидани амалиёти ғайринақдӣ бо онҳо имкон медиҳад;
- нусхабардории эҳтиётии додаҳо - раванди сохтани нусхаи додаҳо дар таҷҳизоти интиқоли маълумот, ки барои барқарорсозии маълумот дар ҷои пештара ё нав ҳангоми зарар дидан ё хароб шудани маълумотпешбинӣ шудааст;
- барқарорсозии маълумот - раванди барқарорсозии маълумот дар ҷои пештара;
- гузарвожа- калимаи шартӣ ё маҷмӯи рамзҳо, ки барои муайян кардани шахсият ё уҳдадориҳо пешбинӣ шудааст;
- вируси компютер - намуди таъминоти барномавии зараровар, ки дар коди дигар барномаҳо, соҳаҳои хотираи система ва бахшҳои боркунӣ ҷорӣ шуда, нусхаҳои худро тавассути каналҳои гуногуни алоқа паҳн мекунад;
- барномаҳои зиддивирусӣ- барномаҳои махсуси компютерӣ, ки барои ошкорсозии вирусҳои компютер пешбинӣ шудаанд;
- аутентификатсия- раванди санҷиши аслӣ будани ягон чиз/шахс. Масалан, раванди тасдиқи аслият тавассути муқоиса намудани гузарвожаи дохилнамудаи истифодабаранда бо гузарвожаи дар низоми иттилоотӣ сабтшуда;
- аутентификатсияи бисёромила - аутентификатсияи васеъ, усули назорати дастрасӣ ба компютер, ки дар он истифодабаранда барои дастрасӣ пайдо кардан ба маълумот бояд зиёда аз як далели механизми аутентификатсияро пешниҳод кунад;
- аутентификатсияи дуомила- як навъи аутентификатсияи бисёромила, методи муайян кардани истифодабаранда бо ёрии дархости додаҳои аутентификатсионииду намуди гуногун;
- авторизатсия - ба шахси муайян ё гурӯҳи шахсон додани ҳуқуқ барои иҷрои амалиётҳои муайян, инчунин раванди санҷиши ҳуқуқ ҳангоми иҷрои ин амалиётҳо.


2. ТАЛАБОТИ МАЗКУР БАРОИ РАСИДАН БА ҲАДАФҲОИ ЗЕРИН МУСОИДАТ МЕНАМОЯД:


1. Таъсиси инфрасохторибехатарии ТИ дар ташкилоти қарзии молиявӣ ва ба вуҷуд овардани фазои комилан эътимодбахш ба технологияҳои иттилоотӣ-коммуникатсионӣ;
2. Таҳияи сиёсати амниятӣ мутобиқи стандартҳои байналмилалии амният ва таҷрибаи пешқадам;
3. Таҳкими заминаи меъёрииҳуқуқӣ барои таъмини муҳити бехатар дар ташкилоти қарзии молиявӣ;
4. Баланд бардоштани сатҳи ҳифзу устувории ташкилоти қарзии молиявӣ дар тарҳрезӣ(лоиҳакашӣ), таҳия ва татбиқи манбаъҳои иттилоотӣ;
5. Яклухтии маҳсулот ва хизматрасониҳои ТИК тавассути эҷоди инфрасохтор барои назорати ин маҳсулот ва хизматрасониҳо;
6. Арзёбии хавфи фаъолияти ТИК;
7. Ташаккули огаҳӣ ва таъмини амнияти захираҳои инсонӣ.


3. ТАШКИЛОТҲОИ ҚАРЗИИ МОЛИЯВӢ БО МАҚСАДИ ҲИФЗИ ИТТИЛООТ БОЯД ИҶРОИ ЧОРАҲОИ ЗЕРИНРО ТАЪМИН НАМОЯНД:


1. Ба амнияти иттилоот диққати махсус дода, барои ҳифзи низомҳо, иттилоот ва идоракунии онҳо чораҳои зарурӣ андешанд.
2. Таъминоти барномавии худро пайваста такмил дода, ба стандартҳои мақбули умум мутобиқ созанд
3. Зимни идоракунии хавфҳои амалиётӣ, ташкилотҳои қарзии молиявӣ бояд хавфҳои иттилоотии амалиётҳои молиявӣ, инчунин чораҳои коҳиш додани онҳоро ба назар гиранд ва ҳуҷҷатгузорӣ кунанд.
4. Равандҳои устуворӣ ва амнияти иттилоотро, ки метавонанд ба муттасилии фаъолияти ташкилотҳои қарзии молиявӣ, муштариёни онҳо ва таҳвилгарони хизматрасониҳо таъсир расонанд, баррасӣ намоянд.
5. Таҳдидҳои амнияти иттилоот ва имкониятҳои мавҷудаи низомҳои амниятиро барои кам кардани хавфҳо дарк ва дуруст арзёбӣ кунанд.
6. Дар сурати иштирок дар коркард, ҳифз ё интиқоли иттилооти марбут ба кортҳои пардохтии бонкӣ, ҳамёнҳои электронӣ, банкоматҳо ё терминалҳои электронӣ (POS-терминалҳо) бояд шаҳодатномаи дахлдор дошта бошанд.
7. Методологияи идоракунии хавфҳо барои устуворӣ, иттилоот ва муттасилии фаъолият бояд ба стандартҳои байналмилалии NIST ва ISO мувофиқат кунад.


4. СТРАТЕГИЯ ВА СИЁСАТИ АМНИЯТИ ИТТИЛООТ


1. Стратегияи амнияти иттилоот бояд аз ҷониби роҳбарияти ташкилоти қарзии молиявӣ тасдиқ карда шавад. Стратегияи мазкур бояд ҳадди ақал соҳаҳои зеринро дар бар гирад:
- муҳити таҳдиди киберӣ ва таъсири эҳтимолӣ ба фаъолияти ташкилоти қарзии молиявӣ;
- равишҳо ба идоракунии хавфи амнияти иттилоот, инчунин муайян ва назорат кардани сатҳи таҳдид ба амнияти киберӣ ва иттилоот;
- принсипҳои татбиқи чораҳои амнияти киберӣ ва иттилоот.
- қонунгузорӣ дар соҳаи стратегияи амнияти иттилоот бояд ба қонунҳо ва санадҳои меъёрии ҳуқуқии Ҷумҳурии Тоҷикистон, инчунин ба стандартҳои байналмилалии амнияти иттилоот (ISO27001) мувофиқат кунад.
2. Стратегия бояд на кам аз як маротиба дар ду сол, азнав баррасӣ карда шавад, новобаста аз он ки дар ин муддат чӣ гуна навсозӣ талаб карда мешавад.
3. Санадҳои меъёрии дохилии марбут ба талаботи амнияти иттилооти ташкилоти қарзии молиявӣ метавонанд бандҳои санади мазкурро дар бар гирифта, вале бо он маҳдуд нашаванд.
4. Дар санадҳои меъёрии дохилӣ бояд сиёсат ва стратегияи ташкилоти қарзии молиявӣ дар соҳаи амнияти иттилоот мутобиқи ин талабот муайян карда шаванд. Инчунин санадҳои меъёрии дохилӣ бояд ба ҳамаи равандҳои назорат ва методҳои ноил шудани ҳадафҳои ташкилоти қарзии молиявӣ дар соҳаи амнияти иттилоот мутобиқат намоянд.
5. Дар санадҳои меъёрии дохилиӣ бояд ҷанбаҳои зерин инъикос карда шаванд:
- ҳадафҳои асосӣ ва ниёз ба амнияти иттилоот;
- масъулияти кормандон барои таъмини амнияти киберӣ ва иттилоот;
- тавсифи муфассали чораҳои зарурии назорат ва истифодаи системаҳои мониторинг ва вокуниш ба ҳодисаҳо;
- баланд бардоштани сатҳи огаҳии кормандон, шарикони тиҷоратӣ, таъминкунандагон, таҳвилгарони хизматрасониҳо ва муштариён;
- ҷамъоварӣ ва табодули иттилоот байни кормандон ва дигар муассисаҳо.
6. Сиёсати мушаххаси татбиқи чораҳои амниятӣ бояд дар асоси сиёсати киберӣ ва амнияти иттилоот таҳия гардида, мунтазам нав карда шавад.
7. Дар асоси навгониҳои муосири соҳавӣ дар бахши амнияти иттилоот бояд тартиби мушаххасе роҳандозӣ шавад, ки тамоми масъалаҳои амнияти киберӣ ва иттилоотро фаро гирад.
8. Дар тартиб бояд маълумоти муфассал дарҷ гардида, ҳар як марҳила, раванд ва зерсохтореро, ки ба амалиётҳои молиявӣ, бехатарӣ, нусхабардории эҳтиётии додаҳо, эътимоднокии низомҳо, барқарорсозӣ ва идораи маълумот тааллуқ дорад, дар бар гирад.
9. Равандҳо бояд ҳамасола ё дар мавриди зарурӣ пас аз тағйирот дар муҳити дахлдори корӣ ё технологӣ баррасӣ карда шаванд.


5. ФЕҲРИСТИ ДОРОИҲОИ ТЕХНОЛОГИЯҲОИ ИТТИЛООТӢ-КОММУНИКАТСИОНӢ


Ташкилотҳои қарзии молиявӣ бояд феҳристи ҳамаи дороиҳои технологияҳои иттилоотӣ-коммуникатсиониро таҳия намоянд.
1. Феҳристи мазкур бояд маълумоти зеринро дар бораи дороиҳо дар бар гирад:
- дороиҳои иттилоотии институтсионалии моддӣ ва ғайримоддӣ;
- дороиҳои моддӣ ва ғайримоддии иттилоотӣ, ки дар бинои ташкилоти қарзии молиявӣ ҷойгир нестанд, вале таҳтимасъулияти он қарор доранд;
- дороиҳои иттилоотӣ, ки берун аз доираи масъулияти ташкилоти қарзии молиявӣ мебошанд, аммо набудани ин дороиҳо ё корношоямии онҳо метавонад ба ташкилот таъсир расонад.
2. Барои ҳар як дороӣ аз ҳисоби кормандони воҳидҳои сохтории дахлдори ташкилоти қарзии молиявӣ шахси масъулбо доштани салоҳият ва масъулияти зерин таъин карда шавад:
- истифодабарии дороӣ;
- таъмини яклухтиидороӣ ва додани дастур оид ба истифодабарии он ҳангоми рух додани ҳодисаҳои бо амнияти иттилоот алоқаманд;
- нусхабардорӣ ва таъмини барқарорсозии дороӣ пас аз рух додани ҳодиса;
- назорати дороиҳои технологияҳои иттилоотӣ, муайян намудани мутасаддиёнва сиёсати дастрасӣ ба онҳо.
3. Ҳамаи кормандон бояд ба талаботҳои қабулшудаи истифодаи дороӣ ҷавобгӯ буда, , мутобиқати онҳо бо ҳуҷҷати дахлдор тасдиқ карда шавад.
4. Ҳар як дороии иттилоотӣ бояд аз рӯи гурӯҳҳоизерин тасниф карда шавад:
- муҳимият ё арзиши дороиҳо барои ташкилоти қарзии молиявӣ;
- ҳассосият дар робита ба амнияти киберӣ ва иттилоотӣ, инчунин ҷанбаҳои ҳуқуқӣ.
- андозаи зарар ҳангоми вайроншавӣ, сохтакорӣнамудан ё ба муқобили ташкилоти қарзии молиявӣ равона шудани дороиҳои иттилоотӣ.


6. ТАЛАБОТ БА ИНФРАСОХТОР ВА СОҲАИ (АРХИТЕКТУРАИ)ТЕХНОЛОГИЯҲОИ ИТТИЛООТӢ-КОММУНИКАТСИОНӢ


1.Принсипҳои фаъолияти инфрасохтори технологияҳои иттилоотӣ-коммуникатсионӣ бояд ба талаботи амнияти иттилооти ташкилоти қарзии молиявӣ мувофиқат кунанд.
2.Инфрасохтори технологияҳои иттилоотӣ-коммуникатсионӣ бояд ба сатҳи хавфҳои амниятӣ, ҳассосияти иттилоот, сатҳи пешбинишудаи талафот ва қонунгузорӣ мувофиқат кунад.
3.Ташкилоти қарзии молиявӣ бояд усулу чораҳои заруриро барои пешгирӣ, ошкорсозӣ, ислоҳ ва ҳуҷҷатгузорӣ намудани вайронкории низоми ТИ-и худ татбиқ намояд.
4.Шабакаи дохилии коммуникатсионии ташкилоти қарзии молиявӣ бояд мувофиқи меъёрҳои марбут ба сохтори ташкилӣ, фаъолият ва ҳассосияти иттилоот тақсим карда шавад.
5.Ташкилотҳои қарзии молиявӣ бояд бе иҷозат истифода гардидани васоити интиқоли маълумотро аз ҷониби кормандон манънамояд.
6.Бо мақсади пешгирии воридшавии барномаҳои зараррасон ба шабака, системаҳо, серверҳо ва ҷойҳои корӣ бояд барномаҳои зиддивирусӣ насб карда шаванд.
7.Файлҳои дорои маълумоти махфӣ бояд тавассути рамзгузорӣ ҳифз карда шаванд.
8.Ташкилоти қарзии молиявӣ бо мақсади ошкор намудани амалҳои шубҳанок ё вайрон кардани сиёсати амниятӣ бояд мунтазам мониторинги технологияҳои иттилоотӣ-коммуникатсиониро ба роҳ монад.


7. ТАЛАБОТ БА ШАБАКАИ ЛОКАЛӢ ВА ТАҶҲИЗОТИ ШАБАКАВӢ


1.Шабакаи дохилии ташкилоти қарзии молиявӣ бояд ба меъёрҳои самаранокӣ, эътимоднокӣ ва амният ҷавобгӯ бошад.
2.Андозаи шабакаи дохилӣ метавонад бо ду компютер ё бештар аз он маҳдуд карда шавад.
3.Низоми ноқилӣ бояд мутобиқи талаботи стандарти ISO/IEC 11801 амалӣ карда шавад.
4.Барои пайвастшавӣ ба шабакаи дохилӣ, ҳар як ҷои корӣ бояд ҳадди ақал як васлаки RJ-45 дошта бошад.
5.Ҳамаи васлакҳои RJ-45 дар ҷойҳои корӣ ва коммутаторҳо бояд бо усули типографӣ ё принтер нишонагузорӣ карда шаванд.
6.Ҳангоми насби ноқилҳои шабакавӣ бояд талаботҳои зерин ба инобат гирифта шаванд:
- ноқилҳо бояд дар паси шифти овезон, деворҳои гипсокартон , дар ҷойҳои махсус ё каналҳои ноқилӣ гузошта шаванд.
- зарур аст, ки ноқилҳо дар тамоми дарозӣ бо ашёҳои махсус (короба) маҳкам карда шаванд.
-таҷҳизот ва схемаҳо бояд бо эҳтиёткории дукарата таъмин карда шаванд.
-пас аз насб ва гузоштани кабел бояд намуди эстетикии бино халалдор нагардад.
7.Таҷҳизоти шабакавӣ бояд шабонарӯзӣ (24/7) кор кунад. Вақти гузаронидани корҳои профилактикӣ ба назар гирифта намешавад.
8.Шумораи портҳои таҷҳизоти шабака (ё маҷмӯи онҳо) бояд фаъолияти тамоми(100%) ҷойҳои кориро фаро гирад ва ҳадди ақал 20% ҷойҳои эҳтиётӣ дошта бошад.
9.Роутер – бояд функсияи экранҳои байнишабакавӣ ва қобилияти таъин кардани рӯйхатҳои дастрасиро барои ҳамгироии шабака дошта бошад.
10.Ҳама портҳои истифоданашудаи шабака бояд дастӣ ё бо истифода аз барномаи идоракунии дастрасӣ ба шабака ғайрифаъол карда шаванд.
11.Ташкилотҳои қарзии молиявӣ бояд нусхаи эҳтиётии конфигуратсияи тачхизоти шабака ва элементҳои амнияти иттилоотро дар шакли рамзбандишуда дошта бошанд.
12.Шабакаи дохилӣ бояд аз ҷониби низоми амниятӣ, ки суръати шабакаи ворида ва содираро дар асоси қоидаҳои амниятии муайяншуда (ба монанди экрани байнишабакавӣ) идора менамояд, ҳифз карда шавад.
13.Шабакаи дохилӣ бояд аз шабакаҳои беруна ҷисман ё маниқан ҷудо бошад. Ташкилоти қарзии молиявӣ бояд байни шабакаи дохилӣ ва шабакаҳои беруна (шабакаҳои “Banknet”, Интернет-провайдерҳо, муштариён ва таҳвилгарони хизматрасониҳо) маҳдудиятҳои ҷиддиро ба воситаи истифодаи файрволҳо (барномавӣ ва/ё таҷҳизотӣ) ворид намоянд.
14.Ғайр аз ин, ташкилотҳои қарзии молиявӣ бояд чораҳоеро, ба монанди минтақаи демилитаризатсия (DMZ), механизмҳои интиқол, филтр ва сегментатсия кардани иттилоот истифода баранд.
15.Ташкилотҳои қарзии молиявӣ бояд таҷҳизоти махсуси шабакавиро барои муҳофизат аз ҳамлаҳо насб кунанд. Ин таҷҳизот бояд барои пешгирии ҳамлаҳо, назорати шабака ва низомҳо аз фаъолиятҳои зараровар ё вайронкунии сиёсати амниятӣ аз ҷониби ҳамлагарони дохилӣ ва беруна пешбинӣ карда шавад (аз ҷумла IDS/IPS).


8. ТАЛАБОТ БАРОИ ДАСТРАСИИ ФОСИЛАВӢ


1. Барои дастрасии фосилавӣ ба шабакаи корпоративӣ бояд дараҷаи баланди мушаххассозӣ ва аутентификатсия муайян карда шавад.
2. Ҳамаи ҷузъҳои таҷҳизоте, ки ба шабакаи ташкилотҳои қарзии молиявӣ дастрасии фосилавӣ доранд, бояд бо сертификати рақамӣ барои аутентификатсия имзо карда шаванд.
3.Ташкилотҳои қарзии молиявӣ бояд дастрасии фосилавӣ ба шабака ва низомҳои асосиро танҳо дар ҳолати зарурӣ таъмин намоянд. Дастрасӣ дар чунин ҳолатҳо бояд дар вақти муайян, тибқи салоҳияти шахси дархосткунанда таъмин карда шавад.
4.Дар ҳолати дастрасии фосилавӣ пайвастшавӣ ва рамзгузории бехатар таъмин карда шавад.
5. Ташкилотҳои қарзии молиявиро зарур аст низомеро мавриди истифода қарор диҳанд, ки дар дастрасии фосилавӣ мустақим набошад.
6. Дастрасӣ бояд тавассути сервери бехатар, ки рамзгузории канали алоқа, идоракунии гузарвожа ва назорати аудитро таъмин мекунад, амалӣ карда шавад.


9. ТАЛАБОТ БАРОИ ДАСТРАСӢ БА ИНТЕРНЕТ


1. Дастрасии кормандон барои истифодаи Интернет бояд бевосита аз ҷониби роҳбарияти ташкилоти қарзии молиявӣ дар асоси арзёбии хавф ва таъмини чораҳои дахлдори назоратӣ таъмин карда шавад.
2. Корманд, пеш аз гирифтани иҷозати дастрасӣ ба Интернет, бояд санадеро ба имзо расонад, ки дар он ӯ аз хусуси истифодаи маводҳои манъшуда ва иҷозатшуда огоҳонида шудааст. Дар санади мазкур бояд қайд карда шавад, ки ҳамаи амалҳои корманд зери назорат гирифта мешаванд. Инчунин дар санади мазкур бояд ҳуқуқу уҳдадориҳои корманд ҳангоми истифодабарии хизматрасониҳои Интернет муфассал оварда шаванд.
3. Корманд аз ҷои кории муайян дар шароити зерин бояд ба Интернет дастрасӣ дошта бошад:
4. Ҷои корӣ аз шабакаи локалӣ (дар сатҳи физикӣ ё мантиқӣ) ҷудо карда шуда, дорои маълумоти махфӣ ё барномаҳои тиҷории муассисаи молиявӣ (масалан, НАБ) набошад.
5. Пайвастшавӣ ба Интернет бояд тавассути прокси-сервери алоҳида амалӣ гардад. Прокси-сервер бояд ҳамеша муҳофизат ва назорат карда шавад.
6. Дар прокси-сервер ва ҷои кории пайваст ба шабакаи Интернет чораҳои эҳтиётии зерин бояд амалӣ гарданд:
- филтркунии контент ва спамҳо;
- пешгирии истифодаи пайвандҳои (ссылки) зараровар;
- низомҳои ошкоркунии дахолат (IDS);
- экранҳои байнишабакавӣ (файерволҳо);
- барномаҳои зиддивирусӣ бо навсозии пойгоҳи додаҳои онҳо;
- рӯйхати сиёҳи сомонаҳо;
- журнали аудиторӣ, ки ҳамаи амалҳои корбарро ҳуҷҷатгузорӣ мекунад.
7.Санҷишҳо оид ба таҳаммулпазирӣ ва фарогирии хато барои серверҳо, таҷҳизоти ба Интернет пайвастшуда, аз ҷумла инфрасохтори почта бояд на камтар аз як маротиба ҳар семоҳа гузаронида шаванд.


10. ТАЛАБОТ БАРОИ ИСТИФОДАИ ПОЧТАИ ЭЛЕКТРОНИИ КОРПОРАТИВӢ


1. Ташкилоти қарзии молиявӣ расмиётро дар бораи амалҳои иҷозатшуда ва манъшуда дар робита бо почтаи электронӣ таҳия мекунад.
2.Корманди муассисаи молиявие, ки барои истифодаи почтаи электронии корпоративӣ иҷозат гирифтааст, бояд санадеро имзо кунад, ки аз фаъолиятҳои иҷозатдодашуда ва манъшуда огоҳ аст, аз ҷумла дар бораи он, ки фаъолияти почтаи электронӣ доимо назорат карда мешавад.
3.Ҳамаи файлҳои замима, ки метавонанд ба низом хатар эҷод кунанд (*. Exe , *. Bat , *. Com ), бояд тавассути почта ба таври худкор баста шаванд. Рӯйхати форматҳои файлро илова кардан мумкин аст.
4.Ҳангоми истифодаи почтаи корпоративӣ ба корманд анҷом додани корҳои зерин манъ аст:
5.Ирсол/қабул намудани паёмҳои электронии хусусияти корӣ надошта;
6.Ирсол/қабул намудани паёмҳои электронӣ бо замимаҳои дорои вирусҳо ва / ё дигар барномаҳои зараровар;
7.Хату хабарҳои характери спамдошта - мактубҳои "хушбахтӣ" ва монанд ба инҳо;
8.Ба кормандон ворид шудан ба манбаъҳои шубҳаовар тариқи пайвандҳо (ссылкаҳо) ва дар саҳифаҳои шубҳанок рамз ва номи истифодабарандаи худро ворид намудан манъ аст.
9.Серверҳои почта ва низомҳои почтаи электронӣ бояд бо истифода аз чораҳои амниятӣ, аз ҷумла бо маҳдудиятҳои зерин таъмин карда шаванд:
- филтр кардани контент ва спам;
- низоми ошкор, бастан ва хабар намудан оид ба вайронкунии маълумот;
- файерволҳо;
- барномаи зиддивирусӣ.


11. ТАЛАБОТ БА СОМОНАҲО ВА БАРНОМАҲОИ ВЕБ


1. Сомона ва барномаҳои ВЕБ-и ташкилоти қарзии молиявӣ бояд ба талаботҳои зерин ҷавобгу бошанд:
- дар ҳар як саҳифаи сомона имконияти гузариш ба саҳифаи асосӣ (мавҷуд бошад;
- мавҷудияти саҳифаи "Дар бораи мо" ва дар он дарҷ гардидани маълумоти пурра дар бораи ташкилоти қарзии молиявӣ;
-мавҷудияти усули муносиби муошират байни корбар ва ташкилоти қарзии молиявӣ;
-мавҷудияти имконияти ҷустуҷӯ дар сомона;
-мавҷудияти паёми мувофиқ барои саҳифаи хатои 404 (Error 404) ва мавҷудияти пайванд ба саҳифаҳои холӣ ё саҳифаҳои ишорааш "дар раванди коркард";
- истифодаи забони возеҳу фаҳмо барои пайвандҳо. Дар ҳолати зарурӣ пешниҳоди пайвандҳо ба матолиби манбаъҳои дигар;
- нақшҳо, расмиёт ва дастурамалҳо оид ба идоракунии мундариҷаи сомона бояд ҳуҷҷатгузорӣ карда шаванд.
2. Сомона бояд дорои хадамоти махсусе бошад, ки имконияти таҳлилии сомона ва ҷамъоварии маълумот дар бораи амалиётҳои истифодабарандагони онро фароҳам орад.
3. Сомона бояд ҳадди ақал дорои контенти бо ду забон нашршуда (тоҷикӣ ва англисӣ) бошад.


12. ТАЛАБОТ БАРОИ НАЗОРАТИ ДАСТРАСӢ ВА АУТЕНТИФИКАТСИЯ


1. Субъекте, ки дастрасӣ ба низомҳои технологияҳои иттилоотӣ-коммуникатсионии ташкилоти қарзии молиявиро талаб мекунад, бояд аз расмиёти шиносоӣ ва тасдиқ гузарад.
2. Ғайр аз ин, бонкҳо бояд низоми махсуси идоракунӣ ва назорати иҷозатномаҳои дастрасиро дошта бошанд. Дастрасӣ ба низомҳои технологияҳои иттилоотӣ-коммуникатсионӣ бояд аз тарафи аудит назорат ва ҳуҷҷатгузорӣ карда шавад.
3. Усулҳои дастрасӣ ба низомҳои технологияҳои иттилоотӣ-коммуникатсионӣ бодарназардошти муайянсозӣ ва тасдиқ бояд стандартӣ бошанд:
- номи истифодабаранда ва рамз;
- тафтиши ҳуқуқи дастрасӣ бо истифода аз дастрасӣ ба низоми омилии сервер.
4. Зарур аст технологияе истифода шавад, ки шиносоӣ ва аутентификатсияи корбар, махфият ва дурустии маълумоти шахсии ӯро дар бар гирад.
5. Бояд механизми танаффус(timeout)-и сеансҳо баъд аз давари муайяни беамалии истифодабаранда дар низоми омилӣ истифода карда шавад. Вақти ниҳоии танаффус ба як дақиқа баробар бошад.
6. Лозим аст, ки ҷадвали вақти корӣ ва санаҳое, ки дастрасӣ ба захираҳои ТИК иҷозат дода шудааст, муайян карда шавад. Ин ҷадвал бояд ба ҳамаи кормандон тааллуқ дошта бошад. Истисноҳоаз инқоидаҳо метавонанд нисбат ба маъмуронва техникҳо татбиқ карда шаванд.
7. Ҳангоми гузаштани корманд ба воҳиди сохтории дигар, бояд ҳама иҷозатномаҳои ба ӯ тааллуқдоша бекор карда ва мувофиқи вазифаи нав иҷозатномаҳои нав дода шаванд.
8. Дастрасӣ ба шабакаи корпоративии ташкилоти қарзии молиявӣ танҳо пас аз гузаштани муайянкунӣ ва тасдиқкунии истифодабаранда пешниҳод гардад.
9. Барои низомҳои муҳим бояд механизмҳои аутентификатсияи дуомила (биометрӣ/корти интеллектуалӣ/нишона) таҳия карда шаванд.
10. Ба корбарон истифодаи номи истифодабаранда ва разми муштарак манъ аст. Ҳар як корбари низом бояд ном ва рамзи нотакрор ва муайяншаванда дошта бошад.
11. Вазифаи корбарон-истифодабарандагон ба ҷадвали вазифаҳои тасдиқшуда ва уҳдадориҳои вазифавӣ мутобиқ бошад.
12. Руйхати кормандоне, ки дар зиёда аз як вазифа кор мекунанд, муайян шуда бошад.
13. Бояд ҳуқуқи дастрасии ба кормандон додашуда ба уҳдадориҳои онҳо мувофиқ бошад.


13. ТАЛАБОТҲО БА СИЁСАТИ ГУЗАРВОЖА ВА ИДОРАКУНИИ ГУЗАРВОЖАҲО


1. Шумораи ҳадди ақали гузарвожа бояд ҳашт аломат бошад ё ба стандартҳои амалкунанда мувофиқат кунад.
2.Ҳама гузарвожаҳо бояд мураккаб ванотакрор бошанд ва ҳадди ақал як аломатро аз чор категорияи зерин дар бар гиранд:
- ҳарфи калон (A-Z)
- ҳарфи хурд (a-z)
- рақам (0-9)
- аломатҳои махсус (~ `! @ # $% ^ & * () + = _- {} [] \ |:;” '? / <> ,.)
3.Бояд механизми сохтани гузарвожаи аввалин истифода бурда шавад ва онбояд тасодуфӣ бошад.
4. Гузарвожаи аввал бояд ба корбар тавассути канали алоҳида дода шавад.
5. Гузарвожаи ба истифодабаранда додашуда мумкин аст дар яке аз ҳолатҳои зерин бекор карда шавад:
-гузарвожаи ибтидоӣ, ки пас аз се рӯзи пешниҳодаз он истифода нашудааст;
-бо дархости корманд ё дар ҳолатҳое, ки маъмур гумонбар шавад, ки гузарвожа ба дасти шахси сеюм афтодааст;
-пас аз якчанд кӯшиши номуваффақи воридшавӣ, вале на бештар аз панҷ кӯшиши пайдарпай;
-пас аз шаш моҳи истифода накардани низоме, ки барои он гузарвожа таъин шуда буд.
6. Ташкилоти қарзии молиявӣ бояд дорои механизмҳои махсуси идоракунии гузарвожаҳои кормандон бошад. Ин механизмҳо бо роҳи амалӣ намудани таъминотҳои барномавӣ, ки нигоҳдории рамз, ивази он ҳангоми гум кардан, аз тарафи маъмури низом иваз кардани рамз бе донистани рамзи корманди воқеиро дар бар мегиранд, таъмин карда мешавад.


14. ТАЛАБОТ ОИД БА ТАҶҲИЗОТИ СЕРВЕР ВА ҶОЙҲОИ КОРӢ


1. Ба рӯйхати таҷҳизоте, ки бояд муҳофизат карда шавад, тамоми таҷҳизоте, ки маълумоти электронӣ дорад ё ҳамчун қисмати серверҳо истифода мешавад, ноутбукҳо, платформаҳои иттилоотӣ, стансияҳои телефонӣ, роутерҳо дохил мешаванд.
2. Сатҳи муҳофизатии таҷҳизотҳо аз рӯи меъёрҳои зерин муайян карда мешавад:
-таъсир ба фаъолият аз нуқтаи назари махфият, яклухтӣ ва дастрасии маълумоти дар таҷҳизоти дахлдор нигоҳдошташаванда;
-аз нуқтаи назари талафоти физикӣ ва дастнорасии таҷҳизот.
3. Иваз ё аз эътибор соқит гардонидани таҷҳизот бояд бо риояи шартҳои зерин амалӣ гардад:
- ҳама маълумот, аз ҷумла файлҳои журнал , параметрҳо ва танзимоти низом бояд нест ё вайрон карда шаванд;
- дар ҳолатҳои зарурӣ ҳомилҳо (дискҳои сахти серверҳо ва компютерҳо) гирифта шуда нобуд карда шаванд;
- ҳангоми несткунии ҷисмонии ҳомилҳо ё ҳама таҷҳизоти фарсуда бояд санади махсус тартиб дода шавад.


15. ТАЛАБОТ БА НИЗОМИ АВТОМАТИШУДАИ БОНКӢ


1. Талаботи умумӣ нисбати платформаи Низоми автоматишудаи бонкӣ (НАБ):
- доштани интерфейси оммафаҳм;
- таъмини алоқаи байни формаҳо ва кам кардани вуруди дастӣ;
- аз рӯи принсипи вуруди ягонаи маълумот сохта шудани платформа;
- таъмин кардани ҳифзи маълумот ва ҷудо кардани маълумот аз рӯи сатҳи дастрасӣ;
-мавҷудияти модули ҳамоҳангсозии маълумот ва огоҳинамоии корбарон мавҷуд бошад;
-таъмини яклухтӣ ва равиши ягона барои пешбурди маълумоти нормативӣ-феҳрастӣ таъмин карда шавад;
-имконияти ҳамгироӣ бо низомҳои беруна;
-мавҷудияти модули ҳисоботӣ ва модули таҳлилӣ;
-таъмини ҳамгироӣ ё модулҳо барои идоракунии муносибат бо муштариён, тиҷорати электронӣ ва маркетинг;
-аз тарафи як ширкат коркард шудани ҳамаи модулҳои функсионалӣ ва доштани хати дастгирии техникии 24 соат дар як рӯз, 7 рӯз дар як ҳафта, 365 (366) рӯз дар сол;
- дастрасӣ доштани ҳамаи модулҳои функсионалии платформа барои кор бо сохтори додаҳо;
- таъмини имкониятҳои ҳамаи модулҳои функсионалии платформа ҷиҳати мустақилона нигоҳ доштан ва инкишоф додани фаъолияти система бидуни зарурати ҷалби ҳатмии машварати беруна.
2.Бизнес-барномаҳои НАБ бояд талаботҳои зеринро қонеъ гардонанд:
- сохтори зинагии зерсохторҳои ташкилоти қарзии молиявӣ;
- марказҳои хароҷот;
- танзими нақшаи ҳисобҳои корӣ бо дарназардошти филиалҳо;
- имконияти пешбурди кор бо нақшаи ҳисобҳо.
3. Бахшитаҳияи шартнома, сохтани шартнома
- маълумоти асосӣ (маҳсулот, асъор, асъорро тағйир додан мумкин аст);
- шарики тиҷоратӣ;
- шароити молиявӣ.
4. Бахши "Қарзҳо":
- сохтани маълумоти асосӣ барои шартномаҳои қарз;
- меъёрҳои фоизӣ;
- муҳлат;
- асъор;
- комиссия;
- ҷарима;
- ҷаримаҳои аҳдшиканӣ;
-шартҳои пардохт ва ғ.
5. Бахши "Амонатҳо":
- танзимоти маҳсулот;
- шартҳо;
- асъор;
- муҳлат;
- меъёри фоизҳо;
- маблағ.
6.Бахши "Таъмин"
7.Ҷабҳаи коркарди пардохт
8.Ҷабҳаи кор бо кортҳои пластикӣ.


16. ТАЛАБОТ БА ПОЙГОҲИ ДОДАҲО


1. Пойгоҳи додаҳо бояд ба талаботи зерин ҷавобгӯ бошад:
- татбиқи SQL-и бо стандарти ANSI 1992 мувофиқ;
-дастгирии стандарти Open Database Connectivity (ба ODBC);
-мавҷудияти имконияти назорати яклухтии пойгоҳи додаҳо;
-дар ҳар лаҳзаи вақт маълумоте, ки дар пойгоҳи дода мавҷуд аст, бояд воқеӣ ва такмилшудабошад;
-эътимоднокӣ ва яклухтии пойгоҳи додаҳо набояд ҳангоми азкорбароии техникӣ осеб бинад.
2.Низоми идоракуии пойгоҳи додаҳо бояд вазифаҳои зеринро таъмин намояд:
- идоракунии мустақими маълумот дар хотираи беруна ва амалиётӣ ва таъмини дастрасии самаранок ба онҳо дар раванди ҳалли масъалаҳо;
-нигоҳ доштани яклухтии маълумот ва идоракунии транзаксияҳо;
-пешбурди журнали тағйирот дар пойгоҳи додаҳо барои таъмини барқарорсозии пойгоҳи додаҳо пас аз нокомии техникӣ ё нармафзор;
- татбиқи забони тавсифи маълумот ва забони дархостҳо;
- таъмини амнияти маълумот;
- таъмини дастрасии ҳамзамон ба маълумот аз тарафи чанд корбар.

 

17. ТАЛАБОТ БА ХИЗМАТРАСОНИИ ФОСИЛАВИИ БОНКӢ

1. Ташкилоти қарзии молиявӣбояд намудҳои хизматрасониҳои фосилавии бонкиро , ки барои муштариёни он пешниҳод мешаванд, муайян намояд.
2.Истифодаи таҷҳизоти барномаҳои мобилиро дастгирикунанда, ки ба сатҳи рамзгузории мувофиқ имкон намедиҳад(ба монанди AES бо дарозии калиди ҳадди ақал 128 бит ва имзои рақамӣ), иҷозат дода намешавад.
3. Истифодабаранда/муштарӣ бояд барои истифодабарии хизматрасонии фосилавии бонкӣ ба ташкилоти қарзии молиявӣ розигӣ дода бошад. Сабти ин созишнома бояд дар компютерҳои ташкилот ҳифз карда шавад. Огоҳнома дар бораи гирифтани розигии истифодабаранда барои истифодаи барнома тавассути шабакаҳо, ба монанди SMS фиристода мешавад.
4.Пеш аз супоридани барнома ба муштариён, он бояд аз санҷиши таъмини амнияти киберӣ ва иттилоотӣ гузарад ва доир ба натиҷаи санҷиш санади махсус тартиб дода шавад.
5.Барнома ба ғайр аз иҷозатномаҳои иҷрои вазифаҳои худ, набояд дигар иҷозатҳоро талаб кунад.
6. Интиқоли иттилооти тавассути барнома ирсолшаванда бояд ҳадди ақал барои истифодаи он пешбинӣ шавад.
7. Барнома набояд маълумоти махфиро дар дастгоҳи мобилӣ нигоҳ дорад. Маълумот ҳангоми истифодаи зарурӣ бавоситаи механизмҳои дастгоҳ бояд рамзгузорӣ карда шавад.
8. Нигаҳдории иттилооти таърихӣ, маълумоти GPS ё дигар маълумоти махфӣ набояд аз вақти кории барнома зиёд бошад.
9.Маълумоти шахсии махфӣ пас аз баромадан аз барнома бояд нест карда шавад.
10.Бояд механизми муайянкунӣ ва аутентификатсия барои муайян кардани шахсияти корбарони барнома мавҷуд бошад.
11. Маълумоте, ки ба барнома ё аз барнома интиқол дода мешавад, бояд дар доираи имкониятҳои дастгоҳҳо рамзгузорӣ ва имзои рақамӣ карда шавад.
12. Барнома бояд барои аз дастгоҳи истифодабаранда истифода намудан ва/ё интиқол додани маълумоти ба кори барнома зарурнабуда имконият надошта бошад.
13. Пеш аз насб барнома бояд ҳатман соҳаи дастрасиашро ба маълумоти таҷҳизоти истифодабаранда ва хадамотҳои он хотиррасон намояд ва фақат баъди розигии он насб карда шавад.


18. ТАЛАБОТ БА САТҲИ ОМОДАГИИ КОРМАНДОН ДАР СОҲАИ АМНИЯТ


1. Ҳар як корманди ташкилоти қарзии молиявӣуҳдадор аст:
- курсии омӯзишеро, ки барои кормандон барои иҷрои вазифаҳояшон зарур аст, ба итмом расонад ва дорои ҳуҷҷати тасдиқкунандаи маълумоти соҳавӣ бошад;
- курси омӯзишро оид ба амният, дахолатнопазирӣ ва амнияти иттилоот гузарад, ба ҳуҷҷатҳои соҳаи амнияти иттилоот шинос шуда ,бо имзои худ инро тасдиқ намоянд;
- махфияти маълумоти расмиро риоя кунанд;
- оид ба амалҳои иҷозатшуда ва манъшуда иттилоъ дошта, барои вайронкунии талаботи ҳифзи иттилоот масъулияти шахсӣ ба зимма дошта бошанд;
- дар соҳаи ҳифзи иттилоот ва кибербехатарӣ инчунин мафҳумҳои асосӣ ва қоидаҳо дониши кофӣ дошта бошад.

 

Матни лоиҳаи санади меъёрии ҳуқуқӣ (рус)

Минимальные требования к аппаратно программному обеспечению финансовых учреждений

 

     Минимальные требования к программному и аппаратному обеспечению финансовых организаций (далее - Требования) в соответствии с частью 5 статьи 42 Закона Республики Таджикистан «О Национальном банке Таджикистана» для обеспечения необходимого уровня информационной безопасности в банковской системе. Разрабатывает реальные риски кибератак и минимизирует ущерб, причиненный нарушениями информационных систем или информационной безопасности, а также устанавливает минимальные требования к программному и аппаратному обеспечению финансовых учреждений.

1. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩИЕМ ДОКУМЕНТЕ


- IT (ИТ) - информационные технологии;
- МФО - финансово-кредитная организация;
- ИКТ - информационные и коммуникационные технологии;
- BankNet - защищенная корпоративная сеть, используемая для доступа финансового учреждения к системам Национального банка Таджикистана;
- AES (Advanced Encryption Standard) - это алгоритм симметричного блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительства США;
- DMZ (Демилитаризованная зона) - часть сети, которая включает в себя общедоступные службы и отделяет их от частных служб;
- GPS (Global Positioning System) - спутниковая навигационная система, которая измеряет расстояние и время и определяет местоположение в международной системе координат WGS 84;
- IDS (Intrusion Detection System) - программное или аппаратное обеспечение, предназначенное для обнаружения несанкционированного доступа к компьютерной системе или сети;
- IPS (Intrusion Prevention System) - программное или аппаратное обеспечение, предназначенное для предотвращения несанкционированного доступа к компьютерной системе или сети;
- ISO (Международная организация по стандартизации) - международная организация, разрабатывающая стандарты;
- LAN (Local Area Network) - компьютерная сеть, соединяющая компьютеры, расположенные на небольшой территории или недалеко друг от друга;
- NIST (Национальный институт стандартов и технологий) - Национальный институт стандартов и технологий;
- ODBC (Open Database Connectivity) - программный интерфейс для доступа к базам данных;
- POS-терминал - электронное программное обеспечение и оборудование для приема платежных карт к оплате;
- RJ45 (Registered Jack) - зарегистрированный разъем с серийным номером 45;
- SQL (язык структурированных запросов) - декларативный язык программирования, используемый для создания, изменения и управления данными в реляционной базе данных;
- коммутатор - сетевое устройство, используемое для соединения нескольких узлов компьютерной сети в одной или нескольких частях сети;
- цифровой сертификат - электронный документ, выданный органом по сертификации и подтверждающий право собственности на открытый ключ или другой атрибут;
- брандмауэр - устройство или приложение, предназначенное для фильтрации (разрешения или запрета) передачи данных по сети. Межсетевые экраны работают в соответствии с набором правил, предназначенных для защиты сетей от неофициального доступа.
- АБС - автоматизированная банковская система - комплекс программного и аппаратного обеспечения, предназначенный для автоматизации бизнес-банковских процессов.
- база данных - это организованная структура, предназначенная для хранения, изменения и обработки взаимосвязанных данных.
- НИПД - система управления базами данных - набор программного обеспечения, предназначенный для построения новой структуры базы данных, наполнения ее данными, внесения изменений и отображения данных;
- интеграция информационных систем - это процесс установления связи между информационными системами финансового учреждения, который предназначен для достижения единой информационной среды и организации процессов поддержки бизнеса;
- электронный кошелек - программа или программный комплекс, позволяющий хранить электронные деньги и совершать с ними безналичные операции;
- резервное копирование данных - процесс создания резервной копии данных на оборудовании передачи данных, предназначенный для восстановления данных в старом или новом месте в случае повреждения или потери данных;
- восстановление данных - процесс восстановления данных там же;
Пароль - условное слово или набор символов, используемых для идентификации физического лица или обязательства;
- компьютерный вирус - разновидность вредоносного ПО, которое проникает в код других программ, в области системной памяти и загрузочные секторы и распространяет свои копии по различным каналам связи;
- антивирусные программы - специальные компьютерные программы, предназначенные для обнаружения компьютерных вирусов;
- аутентификация - это процесс проверки подлинности чего-либо / человека. Например, процесс аутентификации путем сравнения пароля, введенного пользователем, с паролем, введенным в информационной системе;
- множественная аутентификация - широкая аутентификация, метод контроля доступа к компьютеру, в котором пользователь должен предоставить более одного доказательства механизма аутентификации для доступа к данным;
- двоичная аутентификация - вид многоуровневой аутентификации, метод идентификации пользователя путем запроса аутентификационных данных различных типов;
- авторизация - предоставление права определенному лицу или группе лиц на выполнение определенных операций, а также процесс проверки прав при выполнении этих операций.


2. ДАННЫЕ ТРЕБОВАНИЯ ПОМОГАЮТ ДОСТИГНУТЬ СЛЕДУЮЩИХ ЦЕЛЕЙ:


1. Создание инфраструктуры ИТ-безопасности в кредитно-финансовых учреждениях и создание полностью надежной среды для информационных и коммуникационных технологий;
2. Разработать политику безопасности в соответствии с международными стандартами безопасности и передовой практикой;
3. Укрепление нормативно-правовой базы для обеспечения безопасной среды в финансовых учреждениях;
4. Повышение уровня защиты и устойчивости финансовых институтов при проектировании, разработке и внедрении информационных ресурсов;
5. Интегрировать продукты и услуги ИКТ путем создания инфраструктуры для управления этими продуктами и услугами;
6. Оценка рисков ИКТ-деятельности;
7. Повышение осведомленности и безопасность человеческих ресурсов.


3. ФИНАНСОВЫЕ КРЕДИТНЫЕ ОРГАНИЗАЦИИ ДОЛЖНЫ ПРИНЯТЬ СЛЕДУЮЩИЕ МЕРЫ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ:


1. Уделить особое внимание информационной безопасности и принять необходимые меры для защиты информации и управления информационными системами.
2. Постоянно улучшать свое программное обеспечение и приводить его в соответствие с общепринятыми стандартами.
3. При управлении операционными рисками финансово-кредитные организации должны учитывать и документировать информационные риски финансовых операций, а также меры по их снижению.
4. Учитывать стабильность и безопасность информационных процессов, которые могут повлиять на непрерывность деятельности финансовых учреждений, их клиентов и поставщиков услуг.
5. Понять и правильно оценить угрозы информационной безопасности и возможности существующих систем безопасности по снижению рисков.
6. В случае участия в обработке, хранении или передаче информации, связанной с банковскими платежными картами, электронными кошельками, банкоматами или электронными терминалами (POS-терминалами) необходимо иметь соответствующий сертификат.
7. Методологии управления рисками для обеспечения устойчивости, информации и непрерывности бизнеса должны соответствовать международным стандартам NIST и ISO.


4. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


1. Стратегия информационной безопасности должна быть одобрена руководством финансового учреждения. Эта стратегия должна охватывать как минимум следующие области:
- среда киберугроз и возможное влияние на деятельность финансового учреждения;
- подходы к управлению рисками информационной безопасности, а также к выявлению и мониторингу киберугроз и угроз информационной безопасности;
- принципы реализации мер кибербезопасности и информации.
- законодательство в области стратегии информационной безопасности должно соответствовать нормативным актам Республики Таджикистан, а также международным стандартам информационной безопасности (ISO27001).
2. Стратегию следует пересматривать не реже одного раза в два года, независимо от того, какие обновления требуются в течение этого периода.
3. Внутренние нормативные правовые акты, касающиеся требований информационной безопасности финансового учреждения, могут включать, но не ограничиваются, положениями настоящего закона.
4. Внутренний регламент определяет политику и стратегию финансового учреждения в области информационной безопасности в соответствии с этими требованиями. Также внутренние регламенты должны соответствовать всем процессам контроля и методам достижения целей финансового учреждения в области информационной безопасности.
5. Внутренний регламент должен отражать следующие аспекты:
- основные цели и потребность в информационной безопасности;
- ответственность сотрудников за кибербезопасность и информацию;
- подробное описание необходимых мер контроля и эксплуатации, а также систем мониторинга и реагирования;
- повышение осведомленности сотрудников, деловых партнеров, поставщиков, поставщиков услуг и клиентов;
- сбор и обмен информацией между сотрудниками и другими учреждениями.
6. Необходимо разработать и регулярно обновлять конкретные политики для реализации мер безопасности на основе киберполитики и информационной безопасности.
7. На основе современных отраслевых инноваций в области информационной безопасности должна быть установлена конкретная процедура, охватывающая все вопросы кибербезопасности и информации.
8. Процедура должна включать подробную информацию, включая каждый этап, процесс и инфраструктуру, относящиеся к финансовым операциям, безопасности, резервному копированию данных, надежности системы, восстановлению данных и управлению данными.
9. Процессы следует пересматривать ежегодно или, при необходимости, после изменений в соответствующей деловой или технологической среде.


5. ПЕРЕЧЕНЬ IT АКТИВОВ


Финансово-кредитным организациям следует составить список всех активов в области информационных и коммуникационных технологий.
1. Этот реестр должен содержать следующую информацию об активах:
- материальные и нематериальные институциональные информационные активы;
- материальные и нематериальные информационные активы, которые не находятся в помещении финансового учреждения, но находятся под его ответственностью;
- информационные активы, которые выходят за рамки ответственности финансового учреждения, но отсутствие этих активов или их недееспособность может повлиять на организацию.
2. Назначить ответственное лицо по каждому активу за счет сотрудников соответствующих структурных подразделений финансового учреждения со следующими полномочиями и обязанностями:
- использование активов;
- обеспечение целостности актива и инструкции по его использованию в случае инцидентов информационной безопасности;
- копирование и обеспечение восстановления активов после аварии;
- контроль активов информационных технологий, идентификация заинтересованных сторон и политик доступа.
3. Все сотрудники должны соответствовать принятым требованиям по использованию актива, и их соответствие должно быть задокументировано.
4. Каждый информационный актив следует разделить на следующие группы:
- значение или стоимость активов для финансового учреждения;
- чувствительность к кибербезопасности и информационной безопасности, а также к правовым аспектам;
- размер ущерба в случае повреждения, подделки или незаконного присвоения информационных активов финансовому учреждению.

 

6. ТРЕБОВАНИЯ К ИНФРАСТРУКТУРЕ И АРХИТЕКТУРЕ ИНФОРМАЦИОННЫХ И КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ


1. Принципы работы инфраструктуры информационных и коммуникационных технологий должны соответствовать требованиям информационной безопасности финансового учреждения.
2. Инфраструктура информационных и коммуникационных технологий должна соответствовать уровню рисков безопасности, чувствительности информации, ожидаемому уровню потерь и требованиям законодательства.
3. Финансовое учреждение должно применять необходимые методы и меры для предотвращения, обнаружения, исправления и документирования нарушений своей IT-системы.
4. Внутренняя коммуникационная сеть финансового учреждения распределяется в соответствии с критериями, связанными с организационной структурой, деятельностью и конфиденциальностью информации.
5. Финансово-кредитные учреждения должны запретить использование устройств передачи данных сотрудниками без разрешения.
6. Необходимо установить антивирусное программное обеспечение, чтобы предотвратить проникновение вредоносных программ в сети, системы, серверы и рабочие места.
7. Файлы, содержащие конфиденциальную информацию, должны быть зашифрованы.
8. Финансовому учреждению следует проводить регулярный мониторинг информационных и коммуникационных технологий с целью выявления подозрительных действий или нарушений политики безопасности.


7. ТРЕБОВАНИЯ К ЛОКАЛЬНОЙ СЕТИ И СЕТЕВОМУ ОБОРУДОВАНИЮ


1. Внутренняя сеть финансового учреждения должна соответствовать стандартам эффективности, надежности и безопасности.
2. Размер внутренней сети может быть ограничен двумя компьютерами и более.
3. Кабельная система должна соответствовать требованиям ISO / IEC 11801.
4. Для подключения к внутренней сети на каждом рабочем месте должно быть хотя бы одно гнездо RJ-45.
5. Все разъемы RJ-45 на рабочих местах и выключатели должны быть промаркированы типографским или принтерным способом.
6. При прокладке сетевых кабелей необходимо учитывать следующие требования:
- кабели следует прокладывать за подвесными потолками, стенами из гипсокартона, в специальных местах или кабельных каналах.
- кабели необходимо закрепить по всей длине специальными материалами (коробками).
- оборудование и схемы должны быть обеспечены двойными мерами предосторожности.
- после монтажа и прокладки кабеля не следует нарушать эстетический вид здания.
7. Сетевое оборудование должно работать круглосуточно (24/7). Время профилактического обслуживания не учитывается.
8. Количество портов сетевого оборудования (или их комбинация) должно охватывать работу всех (100%) рабочих мест и иметь не менее 20% запасных частей.
9. Маршрутизатор - должен иметь функцию межсетевого экрана и возможность назначать списки доступа для сетевой интеграции.
10. Все неиспользуемые сетевые порты необходимо отключить вручную или с помощью программы управления доступом к сети.
11. Финансово-кредитные организации должны иметь резервную копию конфигурации сетевого оборудования и элементов защиты информации в зашифрованном виде.
12. Внутренняя сеть должна быть защищена системой безопасности, которая контролирует скорость входящей и исходящей сети на основе установленных правил безопасности (например, брандмауэра).
13. Внутренняя сеть должна быть физически или мысленно отделена от внешней сети. Финансовое учреждение должно наложить строгие ограничения на использование брандмауэров (программного и / или аппаратного) между внутренними и внешними сетями (сетями Banknet, интернет-провайдерами, клиентами и поставщиками услуг).
14. Кроме того, финансовые учреждения должны принять такие меры, как зона демилитаризации (DMZ), механизмы передачи данных, фильтрация и сегментация информации.
15. Финансово-кредитные организации должны установить специальное сетевое оборудование для защиты от атак. Это оборудование должно быть спроектировано так, чтобы предотвращать атаки, сетевое наблюдение и системы от злонамеренных действий или нарушений политик безопасности внутренними и внешними злоумышленниками (включая IDS / IPS).

 

8. ТРЕБОВАНИЯ ДЛЯ УДАЛЁННОГО ДОСТУПА


1. Для удаленного доступа к корпоративной сети необходимо определить высокую степень идентификации и аутентификации.
2. Все компоненты оборудования, которые имеют удаленный доступ к сети финансовых организаций, должны подписываться сертификатом цифровой подписи для аутентификации.
3. Финансово-кредитные учреждения должны предоставлять удаленный доступ к сети и ключевым системам только при необходимости. Доступ в таких случаях должен предоставляться в определенное время в соответствии с должностными обязанностями заявителя.
4. В случае удаленного доступа должно обеспечиваться соединение и безопасное шифрование.
5. Финансовым кредитным организациям необходимо использовать систему, к которой нет непосредственного удаленного доступа
6. Доступ должен осуществляться через защищенный сервер, который обеспечивает шифрование канала связи, управление паролями и контроль аудита.


9. ТРЕБОВАНИЯ ДЛЯ ДОСТУПА К ИН


1. Доступ сотрудников к Интернету должен предоставляться непосредственно руководством финансовой организации на основании оценки рисков и принятия соответствующих мер контроля.
2. Сотрудник, перед доступом к сети Интернету, должен подписать документ, подтверждающий осведомленность о том, что разрешено и запрещено. В документе должно быть указано, что все действия пользователя контролируются. В этом документе также должны быть подробно описаны права и обязанности сотрудника при использовании интернет-услуг.
3. Сотрудник должен иметь доступ к Интернету с определенного рабочего места при соблюдении следующих условий:
4. Рабочее место должно быть отделено от локальной сети на логическом или физическом уровне и не должно содержать конфиденциальную информацию, и/или не иметь возможность подключения к бизнес программам кредитной организации (в том числе АБС).
5. Подключение к Интернету должно осуществляться через отдельный прокси-сервер. Прокси-сервер должен постоянно быть защищенным и контролироваться.
6. На прокси-сервере и на рабочих станциях, подключенных к сети интернет, должны быть внедрены нижеследующие меры предосторожности:
- фильтрация контента и спама;
- предотвращение использования вредоносных ссылок;
- системы обнаружения вторжений (IDS);
- фаерволы;
- антивирусное программное обеспечение с актуализацией антивирусных баз;
- наличие черного списка сайтов;
- журнал аудита, документирующий все действия пользователя.
7. Необходимо проводить тесты на отказоустойчивость и проникновение для серверов, коммуникационного оборудования, подключенных к Интернету, включая почтовую инфраструктуру, не реже одного раза в квартал.


10. ТРЕБОВАНИЯ К ИСПОЛЬЗОВАНИЮ КОРПОРАТИВНОЙ ЭЛЕКТРОННОЙ ПОЧТЫ


1. Финансовая организация должна подготовить процедуры, детализирующие разрешенные и запрещенные действия в отношении корпоративной электронной почты.
2. Сотрудник финансовой организации, которому разрешено использовать корпоративную электронную почту, должен подписать документ, подтверждающий осведомленность о разрешенных и запрещенных действиях, включая тот факт, что действия электронной почты постоянно отслеживаются.
3. Все файлы вложения, которые могут нанести угрозу системе (расширения *.exe, *.bat, *.com) автоматически должны блокироваться почтовой системой. Список расширений файлов может быть дополнен.
4. При использовании корпоративной электронной почты сотруднику запрещается:
5. Отправлять/принимать электронные письма не служебного характера;
6. Отправлять электронные письма с вложениями, содержащими вирусы и/или прочие вредоносные программы;
7. Рассылки, имеющие характер спама – письма “счастья” и тому подобное;
8. Сотрудникам запрещается переходить по ссылкам и вводить свои пароли и/или логины на страницах, вызывающие сомнения.
9. Почтовые серверы и системы электронной почты должны быть защищены с использованием мер безопасности, включая, помимо прочего, следующее:
- фильтрация контента и спама;
- система для обнаружения, блокировки и сообщения о нарушениях данных;
- файерволы;
- антивирусные программы.


11. ТРЕБОВАНИЯ К ВЕБСАЙТАМ И ВЕБ-ПРИЛОЖЕНИЯМ


1. Веб-сайт и WEB-программы должны соответствовать следующим требованиям:
- на каждой странице сайта должна быть возможность перхода на главную страницу;
- наличие страницы «О нас» и полной информации о финансовом учреждении;
- наличие удобного способа связи между пользователем и финансовым учреждением;
- наличие возможностей поиска на сайте;
- наличие соответствующего сообщения для страницы ошибки 404 (Error 404) и наличие ссылки на пустые страницы или страницы с пометкой «в процессе обработки»;
- использование понятного определения для ссылок. При необходимости можно предоставить ссылки на статьи из других источников;
- роли, процедуры и руководства по управлению контентом сайта должны быть задокументированы.
2. На сайте должен быть специальный сервис, позволяющий анализировать сайт и собирать информацию о действиях его пользователей.
3. Сайт должен иметь как минимум контент, опубликованный на двух языках (таджикском и английском).

 

12. ТРЕБОВАНИЯ К КОНТРОЛЮ ДОСТУПА И АУТЕНТИФИКАЦИИ


1. Субъект, запрашивающий доступ к системам ИКТ финансового учреждения, должен пройти процедуру идентификации и аутентификации.
2. В дополнение, банки должны иметь специализированные системы для управления и контроля разрешения доступа. Доступ к системам ИКТ должен контролироваться и документироваться в журнале аудита.
3. Методы доступа к ИКТ-системам должны быть стандартными, включая идентификацию и аутентификацию:
- идентификатор пользователя и пароль;
- проверка прав доступа с использованием доступа к серверным операционным система.
4. Необходимо использовать технологию, которая объединяет идентификацию и аутентификацию пользователя, конфиденциальность и целостность его личных данных.
5. Необходимо установить критерии для механизма тайм-аута сеанса после определенного периода бездействия пользователя в системе. Максимальное время тайм-аута - одна минута.
6. Необходимо устанавливать часы работы и даты, когда доступ к ресурсам ИКТ разрешен. Это расписание должно распространяться для всех сотрудников. Исключения из данных правил могут быть применены к администраторам, техническим специалистам.
7. При переводе сотрудника в другое подразделение все старые разрешения должны аннулироваться, а новые должны выдаваться в соответствии с новой должностью.
8. Доступ к корпоративной сети кредитной организации должен предоставляться только после идентификации и аутентификации пользователя.
9. Для критически важных систем должны быть разработаны механизмы двухфакторной аутентификации (биометрическая/ смарт-карта/токен/OTP).
10. Пользователям не разрешается использовать общую учетную запись. Каждый пользователь системы должен быть уникальным и идентифицируемым.
11. Задачи пользователей должны соответствовать утвержденному графику задач и должностным обязанностям.
12. Должен быть определен список сотрудников, работающих более чем на одной должности.
13. Права доступа сотрудников должны быть соразмерны их обязанностям.


13. ТРЕБОВАНИЯ К ПОЛИТИКЕ ПАРОЛЕЙ И УПРАВЛЕНИЮ ПАРОЛЯМИ


1. Минимальная длина пароля должна составлять восемь символов или соответствовать действующим стандартам.
2. Все пароли должны быть сложными и надежными и содержать хотя бы один символ из трех следующих категорий:
- заглавная буква (A-Z)
- строчные буквы (a-z)
- цифра (0-9)
- специальные символы (~ `! @ # $% ^ & * () + = _- {} [] \ |:;” '? / <> ,.)
3. Необходимо использовать механизм для создания начального пароля. Начальный пароль должен быть случайным.
4. Начальный пароль должен предоставляться пользователю по отдельному каналу.
5. Пароль, выданный пользователю может быть заблокирован в одном из следующих случаев:
- первоначальный пароль не использовался в течение трех дней после его выдачи;
- по запросу пользователя или в случаях, когда администратор подозревает несанкционированное использование пароля;
- после нескольких неудачных попыток входа в систему, но не более пяти последовательных попыток;
- после шести месяцев неиспользования конкретной системы, для которой был назначен пароль.
6. В финансовом учреждении должны быть специальные механизмы для управления паролями сотрудников. Эти механизмы предоставляются посредством реализации программного обеспечения, которое включает хранение, замену в случае потери и замену пароля системным администратором без знания пароля сотрудника.


14. ТРЕБОВАНИЯ К СЕРВЕРНОМУ ОБОРУДОВАНИЮ И РАБОЧИХ МЕСТ


1. Оборудование, требующее защиты, включает любые устройства, которые сохраняют электронную информацию или используются как часть серверов, рабочих станций, ноутбуков, информационных платформ, телефонных станций, маршрутизаторов и прочее.
2. Уровень защиты, обеспечиваемой для данного оборудования, определяется в соответствии со следующими критериями:
- влияние на бизнес с точки зрения конфиденциальности целостности и доступности информации, хранящейся на соответствующем оборудовании;
- с точки зрения физической потери или недоступности оборудования.
3. Замена или списание оборудования должно происходить с учетом следующих условий:
- вся информация, включая файлы журналов, параметры и настройки систем должны быть удалены или искажены;
- при необходимости носители (жесткие диски серверов и компьютеров) должны быть изъяты и уничтожены физически;
- физическое уничтожение носителей или всего изношенного оборудования должно быть закреплено специальным актом.


15. ТРЕБОВАНИЯ К АВТОМАТИЧЕСКОЙ БАНКОВСКОЙ СИСТЕМЕ


1. Общие требования к платформе Автоматизированной Банковской Системы (АБС):
- должна иметь интуитивно-понятный пользовательский интерфейс;
- должна обеспечивать связь между формами и минимизировать ввод данных вручную;
- необходимо, чтобы платформа была построена по принципу единого ввода данных;
- платформа должна обеспечивать защиту данных и разграничивать данные по уровню доступа;
- наличие модуля согласования данных и уведомления пользователей;
- обеспечить целостность и единый подход к продвижению нормативной и каталожной информации;
- возможность интеграции с внешними системами;
- наличие модуля отчетности и аналитического модуля;
- предоставление интеграции или модулей для управления взаимоотношениями с клиентами, электронной коммерции и маркетинга;
- разработка всех функциональных модулей одной компанией и наличие линии техподдержки 24 часа в сутки, 7 дней в неделю, 365 (366) дней в году;
- доступ ко всем функциональным модулям платформы для работы со структурами данных;
- обеспечение возможности всех функциональных модулей платформы самостоятельно поддерживать и развивать систему без необходимости обязательной внешней консультации.
2. Бизнес приложения АБС должны соответствовать следующим требованиям:
- иерархическая структура кредитной организации финансового учреждения;
- центры затрат;
- регулирование плана счетов с учетом филиалов;
- возможность работы с планом счетов.
3. Раздел разработки контрактов.
- основная информация (товары, валюта, валюта может быть изменена);
- бизнес партнер;
- финансовые условия.
4. Раздел «Кредиты»:
- основная информация по кредитным договорам;
- процентные ставки;
- срок;
- валюта;
- комиссия;
- штраф;
- штрафы за нарушение контракта;
- условия оплаты и др.
5. Раздел «Депозиты»:
- регламенты на продукцию;
- условия;
- валюта;
- срок;
- процентные ставки;
- фонды.
6. Блок «Снабжение».
7. Блок обработки платежей
8. Блок работы с пластиковыми картами


16. ТРЕБОВАНИЯ К БАЗАМ ДАННЫХ


1. База данных должна соответствовать следующим требованиям:
- реализация SQL в соответствии с ANSI 1992;
- поддержка стандарта Open Database Connectivity (для ODBC);
- наличие возможности контролировать целостность базы данных;
- в любое время информация, содержащаяся в базе данных, должна быть точной и актуальной;
- надежность и целостность базы данных не должны быть нарушены во время технической эксплуатации.
2. Система управления базой данных должна обеспечивать следующие функции:
- непосредственное управление информацией во внешней и оперативной памяти и обеспечение эффективного доступа к ней в процессе решения задач;
- целостность данных и управление транзакциями;
- ведение системного журнала изменений в БД для обеспечения восстановления БД после технического или программного сбоя;
- реализация поддержки языка описания данных и языка запросов;
- обеспечение безопасности данных;
- обеспечение параллельного доступа к данным нескольких пользователей.



17. ТРЕБОВАНИЕ К ЭЛЕКТРОННЫМ БАНКОВСКИМ УСЛУГАМ И МОБИЛЬНЫМ ПРИЛОЖЕНИЯМ


1. Кредитная организация должна определить виды транзакций, разрешенных для клиентов, использующих электронные банковские услуги.
2. Использование устройств, поддерживающих мобильные приложения, которые не поддерживают соответствующий уровень шифрования, таких как AES с длиной ключа не менее 128 бит и цифровой подписью, не допускается.
3. Пользователь / клиент должен дать согласие на использование услуг дистанционного банковского обслуживания финансовым учреждением. Запись этого соглашения должна храниться на компьютерах организации. Уведомление о согласии пользователя на использование приложения рассылается по сетям, например по SMS.
4. Приложение должно быть проверено на предмет его кибер и информационной безопасности до его передачи клиентам.
5. Приложение не должно запрашивать разрешения, кроме тех, которые необходимы для выполнения его функций.
6. Передача информации через приложение должна быть минимально необходимой для ее использования.
7. Приложение не должно хранить конфиденциальную информацию на мобильном устройстве. Данные должны храниться в зашифрованном виде с использованием механизмов устройства, когда это необходимо.
8. Хранение исторической информации, данных GPS или любой другой конфиденциальной информации не должно превышать промежуток времени, необходимый для работы приложения.
9. Конфиденциальная личная информация должна быть удалена после выхода из приложения.
10 Необходимо наличие механизмов идентификации и аутентификации для проверки личности пользователей приложения.
11. Информация, передаваемая в приложение или из приложения, должна быть зашифрована и иметь цифровую подпись в пределах возможностей устройств.
12. Приложение не должно иметь возможность использовать и / или передавать данные с устройства пользователя, которые не нужны для работы приложения.
13. Перед установкой программа должна напоминать пользователю об области доступа к устройству и его сервисам.



18. ТРЕБОВАНИЯ К УРОВНЮ ПОДГОТОВКИ СОТРУДНИКОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


1. Каждый сотрудник финансового учреждения обязан:
- пройти курс обучения, необходимый для выполнения сотрудниками своих служебных обязанностей, и иметь соответствующий документ подтверждающий это;
- пройти учебный курс по безопасности, конфиденциальности и защите информации, ознакомиться с документами в области защиты информации и подписать его;
- соблюдать конфиденциальность информации;
- владеть информацией о разрешенных и запрещенных действиях и нести персональную ответственность за нарушение требований защиты информации;
- обладать достаточными знаниями в области информационной безопасности и кибербезопасности, а также базовыми понятиями и правилами.

 

Ҳуҷҷатҳои иловагӣ L00027-HI-DTI.pdf
Таҳлили таъсири танзимкунӣ вобаста ба муносибатҳои санади меъёрии ҳуқуқӣ L00027-TTT-Talabbot-DTI.pdf
Санаи оғози машварати оммавӣ 07.01.2021
Мӯҳлати қабули пешниҳодҳо 06.02.2021
Дастрас он-лайн
Хулосаи мақоми ваколатдор оид ба ТТТ
Қабул шуд Дар барраси
Мутасаддӣ оид ба таҳияи лоиҳаи лоиҳаи санади меъёрии ҳуқуқӣ Бонки миллии Точикистон
Нусхаи ниҳоӣ
Санаи нусхаи ниҳоӣ
Санаи ворид 07.01.2021
Админ 0