Қарори Раёсати Бонки миллии Тоҷикистон аз 19 ноябри соли 2021, №167 "Дар бораи Дастурамали №246 "Оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили аъолияти Бюрои таърихи қарз""

Санаи амалкуни:

Ҳолати ҳуҷҷат: Амалкунанда

Дар Вазорати адлияи Ҷумҳурии Тоҷикистон

15 декабри соли 2021 ба қайди давлатӣ гирифта шудааст, рақами бақайдгирӣ 1108

РАЁСАТИ БОНКИ МИЛЛИИ ҶУМҲУРИИ ТОҶИКИСТОН

ҚАРОР

Дар бораи Дастурамали №246 "Оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарз"

070.170.010

Мутобиқи қисми 2 моддаи 7 Қонуни Ҷумҳурии Тоҷикистон "Дар бораи таърихи қарз (кредит)" ва моддаи 77 Қонуни Ҷумҳурии Тоҷикистон "Дар бораи Бонки миллии Тоҷикистон" Раёсати Бонки миллии Тоҷикистон

қарор мекунад:

1. Дастурамали №246 "Оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарз" тасдиқ карда шавад (замима мегардад).

2. Қарори мазкур бо тартиби муқарраршуда ба Вазорати адлияи Ҷумҳурии Тоҷикистон ҷиҳати бақайдгирии давлатӣ пешниҳод карда шуда, пас аз бақайдгирии давлатӣ ва интишори расмӣ мавриди амал қарор дода шавад.

3. Департаменти назорати бонкӣ ваколатдор карда шавад, ки ҳангоми бақайдгирии давлатии қарори мазкур дар Вазорати адлияи Ҷумҳурии Тоҷикистон дар ҳолатҳои зарурӣ ба матни замимаи он тағйиру иловаҳои дорои хусусияти таҳририро, ки мазмуни онро тағйир намедиҳанд, ворид намояд.

4. Иҷрои банди 2 ҳамин қарор ба зиммаи котиби Раёсат, департаменти назорати бонкӣ, идораи ҳуқуқ ва шуъбаи матбуот вогузор карда шавад.

5. Назорати иҷрои қарори мазкур ба зиммаи муовини раиси Бонки миллии Тоҷикистон Толибзода Фирдавс Назримад гузошта шавад.

Раиси Раёсат Холиқзода Ҳоким Ҳикматулло

ш. Душанбе,

аз 19 ноябри соли 2021 №167

Бо қарори

Раёсати Бонки миллии Тоҷикистон

аз 19 ноябри соли 2021, №167

тасдиқ шудааст

ДАСТУРАМАЛИ №246 ОИД БА ТАЛАБОТИ ИСТИФОДАИ ТЕХНОЛОГИЯҲОИ ИТТИЛООТӢ ВА КОММУНИКАТСИОНӢ ВА ТАЪМИНИ АМНИЯТИ ИТТИЛООТ ҲАНГОМИ ТАШКИЛИ ФАЪОЛИЯТИ БЮРОИ ТАЪРИХИ ҚАРЗ

Дастурамали №246 оид ба талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ ва таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарз (минбаъд - Дастурамал) мутобиқи қисми 2 моддаи 7 Қонуни Ҷумҳурии Тоҷикистон Дар бораи таърихи қарз (кредит) таҳия шуда, талаботи истифодаи технологияҳои иттилоотӣ ва коммуникатсионӣ, инчунин таъмини амнияти иттилоот ҳангоми ташкили фаъолияти Бюрои таърихи қарзро муайян менамояд.

1. МУҚАРРАРОТИ УМУМӢ

1. Бюрои таърихи қарз (минбаъд - БТҚ) шахси ҳуқуқиест, ки ҳамчун ташкилоти тиҷоратӣ тибқи тартиби муқаррарнамудаи қонунгузории Ҷумҳурии Тоҷикистон ва Дастурамали мазкур барои ташкилу коркард, нигоҳдошти таърихи қарз, пешниҳоди ҳисоботи қарз ва дигар иттилоот хизмат мерасонад.

2. Танҳо шахси ҳуқуқие, ки дорои иҷозатнома барои амалӣ намудани фаъолияти БТҚ мебошад, ҳуқуқи ташкилу коркард, нигоҳдошти таърихи қарз, пешниҳоди ҳисоботи қарз ва дигар иттилоотро дорад.

3. Дар рафти пешбурди фаъолияти худ БТҚ бояд муқаррароти қонунгузории Ҷумҳурии Тоҷикистонро риоя намуда, аз ҷумла талабот ва шартҳои зеринро таъмин намояд:

- мавҷуд будани санадҳои меъёрии дохилие, ки сиёсати ҳифз (амният)-и иттилоотро ба танзим медароранд;

- мавҷуд будани бинои зарурӣ барои ҷойгиркунии бехатар, истифодабарӣ ва ҳифзи техникии низомҳои иттилоотӣ, манбаи иттилоотии таърихи қарз;

- истифодаи таъминоти барномавии дорои иҷозатнома бо шарти кафолати амалкунанда аз ҷониби таъминкунандаи барнома.

4. Низоми бехатарии БТҚ бояд талаботи махсусро нисбати:

- бино (ҳуҷра)-и сервер ва бино (ҳуҷра) бо ҳуқуқи дастрасии маҳдуд;

- таъминоти барномавии низом, ки барои автоматикунонии фаъолияти БТҚ истифода бурда мешавад;

- таъминоти барномавии махсус (низоми иттилоотӣ), ки барои автоматикунонии фаъолияти БТҚ истифода бурда мешавад;

- воситаҳои техникӣ (захираҳои иттилоотӣ)-и БТҚ;

- таъмини бехатарии иттилоот пешбинӣ намояд.

5. Фаъолияти БТҚ бо иттилооте алоқаманд аст, ки ба сирри бонкии таҳти ҳифзи қонун қарордошта мансуб мебошад. Аз ҷониби Бонки миллии Тоҷикистон дар раванди додани иҷозатнома ба БТҚ диққати махсус ба мувофиқатии чораҳои бехатарӣ ва ҳифзи иттилоот дода мешавад.

2. ТАЛАБОТ НИСБАТ БА БИНОҲО

6. БТҚ бояд дар бино ва дар ҳуҷраи дастрасиаш ба шахсони сеюм маҳдуд ҷойгир карда шавад.

7. Ҳуҷраи сервер бояд дар маконе ҷойгир карда шавад, ки дар он имконияти васеъ кардани масоҳат ва ҷойгир кардани таҷҳизоти калон мавҷуд буда, ба талаботи зерин ҷавобгӯ бошад:

- масоҳати ҳуҷраи сервер на камтар аз 20 метри мураббаъ бошад;

- тамоми саҳн (периметр)-и ҳуҷра бо фарши худсохт таъмин карда шавад;

- ҳуҷраи сервер бояд бо шабакаи асосии сими заминваслаи бино бо ноқили андозааш на камтар аз 1,5 сантиметр пайваст карда шавад;

- баландии шифти ҳуҷраи сервер бояд на камтар аз 2,44 метр бошад.

8. Ҳуҷраи дастрасиаш маҳдуди БТҚ бояд ба талаботи зерин ҷавобгӯ бошад:

- мавҷуд будани низоми дастрасии идорашаванда ба ҳуҷра (рухсатномаи электронии инфиродӣ), ки имконияти беназорат ворид шудан ва баромадани шахсони бе иҷозат воридшаванда ва барояндаро истисно менамояд;

- мавҷуд будани низоми мушоҳидаи видеоии даромадгоҳ (камераи наворгиранда бо имконияти сабти пайваста);

- мавҷуд будани низоми огоҳсозии сӯхтор;

- мавҷуд будани низоми огоҳсозӣ ва муҳофизат;

- дар ҳуҷраи дастрасиаш маҳдуди БТҚ ҷойгир кардани ҷойҳои корие, ки ба фаъолияти БТҚ алоқаманд нестанд, манъ мебошад;

- тирезаҳои ҳуҷраи дастрасиаш маҳдуди БТҚ бо панҷараҳои оҳанӣ таҷҳизонида шаванд;

- ҷойҳои кории кормандони масъул танҳо дар дохили ҳуҷраи дастрасиаш маҳдуди БТҚ ҷойгир карда шаванд.

9. Ҳуҷраи сервери таҷҳизонидашудаи БТҚ бояд дошта бошад:

- низоми дастрасии идорашаванда (рухсатномаи электронии инфиродӣ);

- низоми мушоҳидаи видеоии даромадгоҳи ҳуҷраи сервер ва ҳуҷраҳои ҳамшафат (ҳуҷраҳои бо таҷҳизоти назоратӣ - тақсимкунандаи воситаи алоқа муҷаҳҳаз);

- низоми огоҳкунанда оид ба муҳофизати дарҳо, тирезаҳо ва санҷандаҳои ҳаракат дар дохили қисмати масдудшуда (гермозона);

- низоми таъмини мунтазами қувваи барқ дар қисмати маҳдудшуда (гермозона)-и ҳуҷраи сервер;

- низоми муътамади таъмини ҳуҷраи сервер, ҳуҷраҳои ҳамшафат ва таҷҳизоти равшанидиҳандаи бо навбати шабонарӯзӣ бо қувваи барқ;

- низоми сарднамоӣ ва тозакунии ҳаво бо захираи пурраи таҷҳизоти эҳтиётӣ;

- мавҷудияти натиҷаи аттестатсияи ҳуҷраи серверҳо ба талаботи бехатарӣ, ки аз ҷониби мақомоти дахлдор дода шудааст.

3. ТАЛАБОТ НИСБАТ БА ТАЪМИНОТИ БАРНОМАВӢ

10. Таъминоти барномавии кории дар БТҚ истифодашаванда (низомҳои амалиётӣ, низомҳои идоракунии манбаи иттилоот, барномаҳои дафтарӣ, барномаҳои зиддивирусӣ) бояд бо иҷозатномаҳо (литсензияҳо) ва шаҳодатномаҳои расмӣ тасдиқ шуда бошанд.

11. Таъминоти барномавии БТҚ бояд устувор (ношикаста) буда, нусхаи пиратӣ (дуздӣ) набошанд ва тибқи шартномаҳои расмии ҳуқуқи истифода, ки бо дорандаи чунин ҳуқуқ баста шудаанд, мавриди истифода қарор гиранд.

12. Дар доираи ҷамъоварӣ ва нигоҳдории иттилоот оид ба таърихи қарз бояд низоми саноатии идоракунии манбаи иттилоот истифода бурда шавад, ки зимнан таҳиягари чунин низом бояд дорои намояндагии расмӣ ва маркази дастгирии техникӣ дар ҳудуди Ҷумҳурии Тоҷикистон бошад.

13. Вориднамоӣ ва ба кор даровардани таъминоти барномавии БТҚ тибқи вазифаи техникие, ки аз ҷониби роҳбари аввали он тасдиқ гардидааст, амалӣ гардонида мешавад ва дар баробари он бояд шаҳодатномаҳои дахлдори мансуб ба усулҳои амниятӣ мавҷуд бошанд.

14. Таъминоти барномавии БТҚ бояд на камтар аз ду ва/ё зиёда усулҳои ба даст овардан (интиқол)-и иттилоотро таъмин намояд:

- интерфейси интерактивӣ бо таҳияи файл дар шакли қолабии стандартӣ бо истифодаи таъминоти барномавии таҳияи ҳисоботҳо дар шаклҳои қолабии дастрас (маъмул);

- дастрасии шабакавӣ бо истифодаи шакли қолабии стандартии интиқолот тибқи реҷаи вақти воқеӣ, вориднамоии иттилоот бо ёрии функсионали вориднамоии дастӣ, бо истифодаи веббраузер пур кардани шаклҳои қолабии экранӣ дар сомона.

15. Бо мақсади таъмини амнияти иттилоот, таъминоти барномавии БТҚ бояд амалҳои зеринро таъмин намояд:

- мушаххаскунӣ/аутентификатсия бо мубодилаи маълумоти криптографӣ;

- маҳдуд намудани ҳуқуқҳои истифодабарандагон;

- пешбурди фаъолияти корӣ дар сатҳи асос (ядро)-и таъминоти барномавӣ ба тарзе, ки ягон амали аҳамиятнок (хоҳ амали истифодабаранда ё хоҳ амали раванд бошад) бе иштироки механизми амниятӣ анҷом дода нашавад;

- нақшаи бехатарии дар таъминоти барномавӣ татбиқшуда бояд аз воситаҳои бехатарии худи низоми амалиётӣ, ки дар он таъминоти барномавӣ амалӣ шудааст, чунин ҷудо карда шавад, то осебпазирии омилҳои бехатарии низоми амалиётӣ ба кори омилҳои бехатарии таъминоти барномавӣ таъсир нарасонад.

16. Ҳифзи иттилоот дар таъминоти барномавӣ бояд бо усулҳое амалӣ карда шавад, ки иҷрои амалҳои зеринро таъмин намояд:

1) мавҷудияти сертификатҳои мутобиқати таъминоти барномавӣ ба талаботи бехатарӣ, ки аз ҷониби мақомоти дахлдор дода шудааст;

2) ғайриимкон будани дастрасӣ ба иттилооти мазкур берун аз чорчӯбаи таъминоти барномавӣ;

3) ҳама гуна интиқоли иттилоот ба/аз манбаи иттилоотии таъминоти барномавӣ бояд таҳти назорати механизмҳои бехатарӣ сурат гирад;

4) имконияти фаъолияти устувор дар ҳолати пайдо шудани нуқсонҳо;

5) сохтори муҳофизатии сезинагии "муштарӣ - сервер" бо он мақсад, ки дар ҳолати корношоям шудани компютери кории истифодабаранда ё дастрасии беиҷозати шахси бегона, фаъолияти қисмати серверии низом аз кор намонад ва ноқисии сервери таъминоти барномавӣ ба ҳолати иттилооти низом таъсир нарасонад;

6) санҷиши аудити ҳодисаҳои муҳими низомсоз бо сабт дар китоби бақайдгирӣ ва инчунин бо имконияти муҳофизат аз ҷониби ҳама субъектҳо;

7) санҷиши аудити амалҳои истифодабарандагон ва маъмурони чи муваффақ ва чи номуваффақ;

8) назорати иттилооти содира ва ворида;

9) имконияти такмили модулҳо ва механизмҳои бехатарӣ;

10) пешбинӣ намудани уҳдадориҳои зерин дар шартнома бо таҳиягари низоми иттилоотӣ:

11) мунтазам огоҳ кардани БТҚ аз хусуси хатоиҳо ва осебпазириҳои ошкоршудаи низом, инчунин таъмини пешниҳоди саривақтии тағйирот ба низом ва навсозии он;

12) таъсиси хадамоти дастгирии таъҷилӣ, аз ҷумла доир ба масъалаҳои бехатарӣ барои машварати кормандони БТҚ ва расонидани ёрии амалӣ оид ба масъалаҳои амнияти иттилоот.

17. Таъминоти барномавии БТҚ бояд барои нигоҳдории маълумот дар бораи субъекти таърихи қарз ба муҳлати дар Қонуни Ҷумҳурии Тоҷикистон Дар бораи таърихи қарз (кредит) пешбинишуда ва инчунин барои таҳияи ҳисоботҳои қарзӣ дар тӯли як дақиқа бо маълумоти то марҳилаи муайяни вақт аз аввали таъсиси таърихҳои қарз таҳияшуда имконият фароҳам оварад.

4. ТАЛАБОТ НИСБАТ БА ВОСИТАҲОИ ТЕХНИКӢ

18. Воситаҳои техникии БТҚ бояд ба талаботи зерин ҷавобгӯ бошанд:

- мавҷуд будани таъминоти техникии шахсӣ (таҷҳизоти компютерӣ, серверҳо, воситаҳои дастгоҳҳои муҳофизатӣ, таҷҳизоти ҷузъӣ ва дигар таҷҳизот) ва инчунин мавҷуд будани ҳуҷҷатҳое, ки мансубият (тааллуқдорӣ)-и таъминоти техникиро ба БТҚ тасдиқ мекунанд;

- мавҷудияти шартномаҳои мутобиқати таъминоти дастгоҳӣ ба талаботи бехатарӣ, ки аз ҷониби мақомоти дахлдор дода шудааст;

- мавҷудияти низоми кафолатноки таъмини неруи барқ - қуттии автоматикии насби манбаи неруи барқи захиравӣ, таҷҳизоти дизелии барқдиҳанда, ки аз бонг (сигнал)-и ду сарчашмаи таъмини барқи мунтазам (минбаъд - СТБМ) ба ҳаракат омада, неруи барқро дар шабакаи тамоми БТҚ таъмин менамояд. Дар баробари он, шиддатнокии ҳар як СТБМ зимни реҷаи одии корӣ бояд на камтар аз чил фоиз бошад.

19. Серверҳои БТҚ бояд низоми мунтазам тобовари мукаммалро ташкил дода, аз кластери садфоизаи нусхаи қисми дастгоҳӣ иборат бошанд. Серверҳои захиравии манбаи иттилоотии БТҚ бояд алоҳида аз серверҳои асосӣ нигоҳ дошта шуда, фаъолияти мунтазами манбаи иттилооти БТҚ-ро тарзе таъмин намоянд, ки дар ҳолати аз кор мондани серверҳои манбаи иттилоот БТҚ имконияти барқароркунии манбаи иттилоотро дар заминаи серверҳои эҳтиётӣ муддати 6 (шаш) соат аз лаҳзаи аз кор мондани сервери асосӣ дошта бошад.

5. ТАЛАБОТ НИСБАТ БА ТАШКИЛИ КОР ВОБАСТА БА ТАЪМИНИ БЕХАТАРИИ ИТТИЛООТ

20. Ташкили таъмини бехатарии иттилоот бояд ба талаботи зерин ҷавобгӯ бошад:

- мавҷуд будани шабакаи интиқоли иттилооти ҳифзшуда бо рамзикунонии иттилоот (трафик) тавассути маршрутизаторҳои сарҳадии таҷҳизот;

- мавҷуд будани низоми ошкоркунӣ (пешгирӣ)-и ҳамлаҳо дар марзи ташкилот ва истифодаи экранҳои байнишабакавӣ;

- мавҷуд будани низоми ҳифзи криптографии компютерҳо тавассути крипто-калидҳо ва низомҳои муайянкунии истифодабарандагон;

- мавҷуд будани таҳлилгари шабакавии маълумот (трафик) дар асоси муайянкунандаи идоракунии дастрасӣ ба дорандаи кортҳои шабакавии истифодабарандагон;

- мавҷуд будани низоми нусхабардории эҳтиётӣ ва барқарорсозии маълумот.

21. БТҚ мубодилаи иттилоотро бо таъминкунандагон ва истифодабарандагони ҳисоботҳои қарзӣ тавассути шабакаҳои алоқаи алоҳида ё шабакаи интернет ба шарти риояи талаботҳои зерин иҷро менамояд:

- мавҷуд будани шабакаи асосӣ бо иқтидори интиқолии на камтар аз 10 мегабит/сония;

- мавҷуд будани шабакаи захиравии беноқил бо иқтидори интиқолии на камтар аз 2 мегабит/сония;

- истифодаи шабакаҳои таъминкунандагони гуногун;

- истифодаи шабакаҳо танҳо барои мубодилаи иттилоот бо таъминкунандагони иттилоот ва истифодабарандагони ҳисоботҳои қарзӣ.

6. ТАЛАБОТ НИСБАТ БА ҶОЙҲОИ КОРӢ

22. Ҷойи кории кормандони БТҚ бояд ба талаботи зерин ҷавобгӯ бошад:

- таъминоти барномавӣ дар компютери махсуси инфиродии алоҳида ҷойгиркардашуда, дорои шиноснома бошад ва дар он маълумот оид ба макон, мушаххасот, инчунин оид ба воситаҳои техникӣ ва барномавие, ки дар таъминоти барномавӣ васл гаштаанд, мавҷуд бошад. Шиноснома бо имзои роҳбари ташкилот ба расмият дароварда шуда, дар худи корманд нигоҳ дошта шавад;

- истифодаи компютери инфиродии корманд ва ҷойгир кардани воситаҳои барномавӣ дар он, ки ба таҳия, коркард, интиқол ё пешбурди ҳуҷҷатгузории электронӣ дар чорчӯбаи иштирок дар низоми иттилоотӣ алоқаманд нест, манъ аст.

23. Компютери инфиродии корманд бояд дорои сохтори муҳофизатие бошад, ки ҷузъиёти зеринро дар бар гирад:

- воситаҳои муайянкунӣ (мушаххаскунӣ) ва санҷиш (аутентификатсия)-и шахсияти истифодабарандагон;

- имконияти пешбурди журналҳо (китобҳо)-и электронӣ, дар давоми муҳлати нигоҳдории ҳуҷҷатҳои электронӣ бо мақсади назорати фаъолияте, ки бо дастрасӣ ба компютер ва амалҳои истифодабарандагон алоқаманд мебошад;

- мавҷуд будани як ном ва рамзи низоми истифодабаранда (корманди масъул), ки тавассути он истифодабаранда дар ҳолати ворид шудан ба низом муайян карда мешавад ва зимнан чунин як ному рамз бояд ба як шахси воқеӣ мутобиқ бошад;

- компютери корӣ бояд воситаҳои таъмини мукаммалӣ ва махфияти таъминоти барномавиро дошта бошад;

- дастрасӣ ба захираҳои шабака ва ноқилҳои беруна ва дастрасӣ ба портҳои воридот ва содироти иттилоот аз компютери корӣ, аз ҷумла дар сохтори танзимии заминавии низоми воридот-содирот бояд баста бошанд;

- блоки низом, портҳои воридот-содироти иттилооти компютери корӣ бояд аз тарафи маъмури низом бо муҳр ё тамға (пломба) маҳкам шаванд;

- раванди муҳргузорӣ, тамғагузорӣ (пломбагузорӣ) дар китоби махсус бо қайди ному насаб, агар бошад - номи падар, вазифа, сана, вақт ва мақсади гузоштани муҳр сабт карда мешавад;

- барои ноутбукҳо маҳкам кардани воситаҳо танҳо дар асоси низоми заминавӣ бе муҳрбандӣ рухсат дода мешавад;

- баровардани компютерҳо ва ноутбукҳо аз бино манъ аст, ба истиснои ҳолатҳои гузаронидани корҳои таъмирӣ ва профилактикӣ, ки дар асоси аризаи пешниҳодкардаи корманд ба унвони роҳбари БТҚ сурат мегиранд;

- тартиби дастрасӣ ба захираҳои дигар (фазо дар диск, директория, манбаъҳои иттилоот ва нусхаҳои эҳтиётии манбаъҳои иттилоот), ки барои ҷамъоварии иттилоот баҳри интиқол ба муҳити иттилоот бо истифодаи низоми муҳофизатӣ, гирифтани иттилоот аз муҳити иттилоот, нигоҳдорӣ ва ё коркарди иттилоот пешбинӣ шудаанд, бояд имконияти дастрасии беиҷозатро ба ин захираҳо роҳ надиҳад;

- даромадани корманд ба ҳуҷраи дастрасиаш маҳдуд бояд дар асоси уҳдадориҳои вазифавии ӯ амалӣ гардад.

7. МУҚАРРАРОТИ ХОТИМАВӢ

24. Таъмини риояи талаботи Дастурамали мазкур ба зиммаи кормандони масъули БТҚ вогузор карда мешавад.

25. Назорати риоя шудани талаботи Дастурамали мазкур аз ҷониби Бонки миллии Тоҷикистон тавассути тартиб додани санади баҳодиҳии мутобиқати маҷмааи дастгоҳӣбарномавии БТҚ мутобиқи замимаи №1 Дастурамали мазкур ба роҳ монда мешавад.

26. Барои риоя накардани талаботи Дастурамали мазкур Бонки миллии Тоҷикистон нисбат ба БТҚ чораҳои таъсиррасониро тибқи қонунгузории Ҷумҳурии Тоҷикистон татбиқ менамояд.

Ниг. ба Замима

Зарегистрировано

Министерством юстиции Республики Таджикистан

от 15 декабря 2021 года, регистрационный номер 1108

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА ТАДЖИКИСТАНА

Об Инструкции №246 "О требованиях по использованию Информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй" 070.170.010

В соответствии с частью 2 статьи 7 Закона Республики Таджикистана "О кредитных историях" и статьей 77 закона Республики Таджикистана "О Национальном банке Таджикистана", Правление Национального Таджикистана постановляет:

1. Утвердить Инструкцию №246 "О требованиях по использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй" (прилагается).

2. Настоящее постановление в установленном порядке представить в Министерство юстиции Республики Таджикистан для государственной регистрации и ввести в действие после государственной регистрации и официального опубликования.

3. Уполномочить департамент банковского надзора при государственной регистрации настоящего постановления в Министерстве юстиции Республики Таджикистан, при необходимости вносить в его текст приложения изменения и дополнения редакционного характера, не изменяющие его содержания.

4. Исполнение пункта 2 настоящего постановления возложить на секретаря Правления, департамент банковского надзора, юридическое управление и отдел прессы.

5. Контроль за исполнением настоящего постановления возложить на заместителя председателя Национального банка Таджикистана Толибзода Фирдавса Назримада.

Председатель Правления Холикзода Хоким Хикматулло

г. Душанбе,

от 19 ноября 2021 года, №167

Утверждена

постановлением Правления

Национального банка Таджикистана

от 19 ноября 2021 года, №167

ИНСТРУКЦИЯ №246 О ТРЕБОВАНИЯХ ПО ИСПОЛЬЗОВАНИЮ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ И ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ОРГАНИЗАЦИИ ДЕЯТЕЛЬНОСТИ БЮРО КРЕДИТНЫХ ИСТОРИЙ"

Инструкция №246 о требованиях по использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй (далее Инструкция) разработана в соответствии с частью 2 статьи 7 Закона Республики Таджикистан О кредитных историях, и определяет требования по использованию информационно-коммуникационных технологий, а также и обеспечению информационной безопасности при организации деятельности Бюро кредитных историй.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Бюро кредитных историй (далее - БКИ) - юридическое лицо, являющееся коммерческой организацией, оказывающей услуги по организации, обработке, хранению кредитных историй, предоставлению кредитного отчета и другой информации в соответствии с порядком, установленным законодательством Республики Таджикистан и настоящей Инструкцией.

2. Только юридическое лицо, имеющее лицензию на осуществление деятельности БКИ, вправе организовывать, обрабатывать, хранить кредитную историю, предоставлять кредитный отчет и другую информацию.

3. При осуществлении своей деятельности, БКИ обязано соблюдать требования законодательства Республики Таджикистан и обеспечивать соблюдение следующих требований и условий:

наличие внутренних нормативных документов, регламентирующих политику информационной безопасности;

наличие необходимого помещения для безопасного размещения, эксплуатации и технической защиты информационных систем, базы данных кредитных историй;

использование лицензионного программного обеспечения с условием действующей гарантии со стороны поставщика программного обеспечения.

4. Система безопасности БКИ должна предусматривать особые требования к:

серверному помещению и помещению ограниченного доступа;

системному программному обеспечению, используемому для автоматизации деятельности БКИ;

специализированному программному обеспечению (информационной системе), используемому для автоматизации деятельности БКИ;

техническим средствам (информационным ресурсам) БКИ;

обеспечению безопасности информации.

5. Деятельность БКИ связана с информацией, относящейся к банковской тайне, охраняемой законом, Национальный банк Таджикистана обращает особое внимание процессу выдачи лицензии БКИ и принимает во внимание адекватность мер безопасности и защиты данных.

2. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ

6. БКИ должно размещаться в здании и в помещении с ограниченным доступом к третьим лицам.

7. Серверное помещение должно располагаться в местах с возможностью последующего расширения пространства и возможностью размещения крупногабаритной аппаратуры, и отвечать следующим требованиям:

минимальная допустимая площадь серверного помещения - 20 квадратных метров;

весь периметр помещения должен быть обустроен фальшполами;

серверная комната должна быть соединена с главным электродом системы заземления здания кондуитом размером 1,5 см.;

требуемая минимальная высота потолка серверной комнаты должна составлять не менее 2,44 метра.

8. Помещение ограниченного доступа БКИ должно соответствовать следующим требованиям:

наличие системы контролируемого доступа (индивидуальный электронный пропуск), которая исключает возможность неконтролируемого входа и выхода в это помещение лиц, без санкционированного разрешения;

наличие системы видеоконтроля входа (видеокамера с постоянной записью);

наличие системы пожарной сигнализации;

наличие системы охранной сигнализации;

запрещается располагать в помещении рабочие места БКИ, не имеющие отношения к деятельности БКИ;

при расположении помещения ограниченного доступа БКИ, окна помещений оборудуются металлическими решетками;

в помещении ограниченного доступа БКИ могут размещаться только рабочие места ответственных лиц.

9. Оборудованное серверное помещение БКИ должно обладать:

системой контроля доступа (на основе индивидуального электронного пропуска);

системой видеоконтроля входа в серверное помещение и кроссовые комнаты;

системой охранной сигнализации дверей и окон, и датчиками движения внутри гермозоны;

системой бесперебойного питания, находящейся в гермозоне серверной комнаты;

системой гарантированного питания всей электрической сети серверной и кроссовых комнат, включая круглосуточное, дежурное освещение;

системой кондиционирования и вентиляции воздуха с полным резервом;

наличием результата аттестации по информационной безопасности серверных комнат, которое выдано соответствующим органом.

3. ТРЕБОВАНИЯ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ

10. Используемые БКИ системные программные обеспечения (операционные системы, системы управления базами данных, офисные программы, антивирусные программы) должны подтверждаться официальными лицензиями, сертификатами.

11. Программные обеспечения БКИ должны быть не взломанными и не пиратскими версиями и иметь официальные договора на использование с правообладателем.

12. Для накопления и хранения данных по кредитным историям должна использоваться промышленная система управления базами данных, разработчик которой должен иметь официальное представительство и центр технической поддержки на территории Республики Таджикистан.

13. Внедрение и ввод в эксплуатацию программного обеспечения БКИ выполняется на основании технического задания, утвержденного его первым руководителем, при этом необходимо наличие соответствующих сертификатов на механизмы безопасности.

14. Программное обеспечение БКИ должно обеспечивать два и более способа получения (передачи) информации:

интерактивный интерфейс с подготовкой файла в стандартном формате с использованием программного обеспечения формирования отчетов в доступных форматах;

сетевой доступ с использованием стандартного формата передачи в режиме реального времени, ввод данных с помощью функционала ручного ввода, заполнения экранных форм на сайте, с использованием веб-браузера.

15. В целях обеспечения информационной безопасности программное обеспечение БКИ должно обеспечивать следующее:

идентификацию/аутентификацию с криптографическим преобразованием;

разграничение прав пользователей;

работу на уровне ядра программного обеспечения таким образом, чтобы ни одно значимое действие в рамках системы (будь то действие пользователя или процесса) не происходило без участия механизма безопасности;

схема безопасности, реализованная в программном обеспечении, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализовано программное обеспечение, в том смысле, что уязвимость средств безопасности операционной системы не должна влиять на работу схемы обеспечения безопасности программного обеспечения.

16. Сохранение данных в программном обеспечении должно быть организовано способом, обеспечивающим:

1) наличие сертификатов соответствия програмного обеспечения, выданных соответствующими органами;

2) невозможность получения доступа к указанным данным вне рамок работы приложения программного обеспечения;

3) любые перемещения данных в базу данных программного обеспечения или из нее должно осуществляться под контролем механизмов безопасности;

4) возможность устойчивой работы при возникновении сбоев;

5) трехуровневую архитектуру "клиент-сервер" с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера программного обеспечения не влиял на состояние данных системы;

6) аудит системно-значимых событий с фиксированием в регистрационный журнал, а также с возможностью защиты со стороны любого субъекта;

7) аудит действий пользователей и администраторов, как успешных, так и неудачных;

8) контроль экспортируемых и импортируемых данных;

9) возможность доработки модулей и механизмов безопасности;

10) в договоре с разработчиком информационной системы должна быть предусмотрена обязанность:

11) по регулярному уведомлению БКИ об обнаруженных ошибках и уязвимостях системы, а также своевременному предоставлению изменений и обновлений к системе;

12) по организации службы оперативной поддержки, в том числе по вопросам безопасности, для консультирования работников БКИ и оказания им практической помощи в вопросах информационной безопасности.

17. Программное обеспечение БКИ должно обеспечивать хранение информации в отношении субъекта кредитной истории в течение срока, установленного Законом Республики Таджикистан "О кредитных историях", а также возможность формирования кредитных отчетов по состоянию на любой момент времени с начала формирования кредитных историй в течение одной минуты.

4. ТРЕБОВАНИЯ К ТЕХНИЧЕСКИМ СРЕДСТВАМ

18. Технические средства БКИ должны отвечать следующим требованиям:

- наличие собственного аппаратного обеспечения (компьютерного оборудования, серверов, аппаратных средств защиты, комплектующих и другого оборудования), а также наличие документов, подтверждающих принадлежность аппаратного обеспечения БКИ;

- наличие договоров соответствия аппаратного обеспечения на соответствие требованиям безопасности, выданных соответствующими органами;

- наличие системы гарантированного питания - щита автоматического включения резервного питания, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания (далее - ИБП) и непрерывно поддерживающей электричество в сети чистого питания во всей организации. При этом, нагрузка каждого ИБП должна быть не более сорока процентов при штатном режиме работы.

19. Серверы БКИ должны составлять отказоустойчивую завершенную систему и представлять собой кластер со стопроцентным дублированием аппаратной части. Резервные серверы базы данных БКИ должны быть расположены отдельно от основных серверов и обеспечивать бесперебойную работу базы данных БКИ таким образом, чтобы в случае прекращения работы основных серверов базы данных, БКИ могло обеспечить восстановление работы базы данных на резервных серверах в течение периода не более 6 (шести) часов с момента прекращения работы основного сервера.

5. ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ РАБОТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

20. Организация работы по обеспечению информационной безопасности должна отвечать следующим требованиям:

наличие защищенного канала передачи данных с шифрованием трафика с помощью пограничных аппаратных маршрутизаторов;

наличие системы обнаружения (предотвращения) атак у границ организации с помощью межсетевого экрана;

наличие системы криптографической защиты компьютеров с помощью крипто-ключей и систем идентификации пользователей;

наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;

наличие системы резервного копирования и восстановления информации.

21. БКИ осуществляет обмен данными с поставщиками информации и получателями кредитных отчетов по выделенным каналам связи или через интернет, при условии соблюдения слудующих требований:

наличия основного канала с пропускной способностью не менее 10 мегабит в секунду;

наличия беспроводного резервного канала с пропускной способностью не менее 2 мегабит в секунду;

использования каналов разных провайдеров;

использования каналов исключительно для обмена информацией с поставщиками информации и получателями кредитных отчетов.

6. ТРЕБОВАНИЯ К РАБОЧЕМУ МЕСТУ

22. Рабочее место сотрудников БКИ должно соответствовать следующим требованиям:

программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт оформляется за подписью руководителя организации и хранится у сотрудника;

не допускается эксплуатация персонального компьютера сотрудника, а также установка на нем программных средств, не связанных с подготовкой, обработкой, передачей или ведением электронных документов в рамках участия в информационной системе.

23. Персональный компьютер сотрудника должен иметь комплекс защиты, включающий в себя:

- средства идентификации и аутентификации пользователей;

- возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к ко

мпьютеру и действиями пользователей;

- наличие одного системного имени и кода пользователя (ответственного лица), по которому идентифицируется пользователь, при входе в информационную систему, которые должны соответствовать одному физическому лицу;

- персональный компьютер должен иметь средства обеспечения целостности и конфиденциальности программного обеспечения;

- доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера должен быть отключен, в том числе и в настройках базовой системы ввода-вывода;

- системный блок, порты ввода-вывода информации персонального компьютера опечатываются либо пломбируются администратором системы;

- процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели нанесения печати;

- для ноутбуков разрешается использовать только отключение устройств в базовой системе без опечатывания портов;

- выносить из здания компьютеры и ноутбуки не допускается, за исключением случаев проведения ремонтных и профилактических работ, которые проводятся на основании заявки сотрудника руководителю БКИ;

- порядок доступа к иным ресурсам (дисковое пространство, директории, базы данных и резервные копии базы данных), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, либо обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам;

- доступ сотрудника в помещение ограниченного доступа должно осуществляется в соответствии с его должностными обязанностями.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

24. Обеспечение выполнения требований настоящей Инструкции возлагается на ответственных лиц БКИ.

25. Надзор за соблюдением настоящей Инструкции осуществляется Национальным банком Таджикистана посредством составления акта об оценке соответствия аппаратно-программного комплекса БКИ согласно приложению 1 настоящей Инструкции.

26. В случае не соблюдения требований настоящей Инструкции Национальный банк Таджикистана применяет меры воздействия в отношении БКИ в соответствии с законодательством Республики Таджикистан.

*Приложение