1
7-MAVZU. AVTOMATLASHTIRILGAN BANK TIZIMIDA AXBOROTNI
HIMOYA QILISH MEXANIZMI VA USULLARI
REJA:
7.1.Bank faoliyatini kompyuterlashtirish bilan ta’minlash sohasida
noqonuniy tajovuzlar va urinishlar.
7.1.1.Bankni kompyuterlashtirishda noqonuniy tajovuzlar va urinishlar
tushunchasi va tarkibi.
7.1.2.Bankning kompyuter sohasi bilan bog’liq ma’lumotlarni olishga o’rinish
jinoiy harakatlarlarining o’ziga xos xususiyatlari.
7.1.3.Bank kompyuter axboroti sohasida jinoyatlar sodir etish shakllari va
usullari.
7.1.4.Kompyuter ma’lumotlariga noqonuniy (ruxsatsiz) kirish yo’llari va usullari.
7.2.Avtomatlashtirilgan bank tizimi (ABT) da ma’lumotlarini himoya qilish
tizimi va uni tashkil qilish.
7.2.1.ABTda ma’lumotlarini himoya qilish tizimi.
7.2.2.ABTda dasturiy va texnik vositalardan foydalanish orqali axborotni himoya
qilish.
7.2.3.ABTda kompyuter ma’lumotlariga jinoiy noqonuniy tajovuzlarning oldini
olish axborot xavfsizligini ta’minlash choralari.
7.3. ABT da axborotni muhofaza qilish uslubiyoti va mexanizmi.
7.3.1.O’zR tijorat banklari ABT da axborotni muhofaza qilish maqsadlari va
vazifalari.
7.3.2.O’zR hududida banklarda elektron axborotlarni muhofazalashni tashkil
etish tehnikasi.
7.1.Bank faoliyatini kompyuterlashtirish bilan ta’minlash sohasida noqonuniy
tajovuzlar va urinishlar
7.1.1.Bankni kompyuterlashtirishda noqonuniy tajovuzlar va urinishlar
tushunchasi va tarkibi
Kompyuter axboroti sohasidagi jinoyatlar bank axborot xavfsizligiga tahdidlarning
xususiy turlaridan biri hisoblanadi. Ularni aniqlash, oldini olish va ularni bartaraf etish
vazifalari bank axborotining maxfiyligini himoya qilish muammolari bilan chambarchas
bog’liq.
Buning sababi shundaki, bank, tijorat va xizmat sirini tashkil etuvchi ma’lumotlar
nafaqat qog’oz ommaviy axborot vositalarida, balki kompyuter ma’lumotlar bazalarida yoki
shaxsiy kompyuter axborot vositalarida ham saqlanadi.
2
Jinoyatchilar elektron kompyuter texnologiyalari, noqonuniy tajovuz obyektlar (axborot
maxfiyligini himoya qilish va kompyuter axborot himoya qilish sohasidagi munosabatlar
haqida munosabatlar) ma’lumotlarni noqonuniy egalik qilish maqsadida bank cheklangan
kirish ma’lumotlarni tajovuz bo’lsa qisman bir-biriga mos va o’zaro to’ldiradi.
Cheklangan kirish ma’lumotlarining ma’lum bir zarari kompyuter tizimlarining
xavfsizligi va ularning dasturiy ta’minotiga tajovuz qiluvchi axborot resurslari va axborot
tizimlariga noqonuniy aralashuvning boshqa shakllariga olib kelishi mumkin.
Bankning kompyuter axboroti sohasida jinoiy tajovuzlarni bartaraf etadigan
yakuniy maqsadlar bo’yicha ular shartli ravishda ikkita asosiy turga birlashtirilishi
mumkin:
axborotga ta’sir qilish orqali bankning mol-mulkini egallashdir, harakatlarning sabablari
-. o’z-o’zidan;
axborot infratuzilmasini yo’q qilish va bank faoliyatini boshqarish tartibini buzish orqali
bankka zarar yetkazish, harakatlarning sabablari -o’z-o’zidan (raqibni yo’q qilish), qasos,
bezorilik.
Kompyuter axboroti sohasida jinoiy tajovuzlarning barcha turlari bevosita niyat bilan
amalga oshiriladi. Bankning himoyalangan axborot tizimiga tasodifiy kirib borish sabablari
(qiziqish , o’z-o’zini tasdiqlash va h.k.) bu holda ularning "sifati" va oz soni tufayli hisobga
olinmaydi.
Bankning axborot resurslari va axborot tizimlarini himoya qilishning asosiy
vazifalari quyidagilardan iborat:
oqish, o’g’irlik, yo’qotish, buzilish, soxta ma’lumotlarning oldini olish;
axborotni yo’q qilish, o’zgartirish, buzish, nusxalash, blokirovkalash bo’yicha ruxsatsiz
harakatlarning oldini olish;
axborot resurslari va axborot tizimlariga noqonuniy aralashuvning boshqa shakllarini
oldini olish, mulk obyekti sifatida hujjatlashtirilgan axborotning huquqiy rejimini
ta’minlash;
hujjatlashtirilgan ma’lumotlarning maxfiyligini qonun hujjatlariga muvofiq saqlash.
O’zR JKning 272-modda "kompyuter ma’lumotlariga noqonuniy kirish", 273-modda
"zararli kompyuter dasturlarini yaratish, ulardan foydalanish va tarqatish" va 274-modda
"kompyuter axborotini va axborot-telekommunikatsiya tarmoqlarini saqlash, qayta ishlash
yoki
uzatish
vositalaridan
foydalanish
qoidalarini
buzish"
moddalarida
belgilangan."Kompyuter ma’lumotlariga noqonuniy kirish (jinoyat kodeksining 272
moddasi).
Moddalar kompyuter tizimining egasini undagi ma’lumotlarning daxlsizligiga bo’lgan
huquqlarini himoya qiladi. Ushbu qoida, agar ushbu harakat kompyuter ma’lumotlarini yo’q
qilish, blokirovka qilish, o’zgartirish yoki nusxalashga olib kelgan bo’lsa, qonun bilan
himoyalangan kompyuter ma’lumotlariga noqonuniy kirish uchun javobgarlikni belgilaydi.
3
Shu bilan birga, kompyuter ma’lumotlari saqlash, qayta ishlash va uzatish vositalaridan
qat’i nazar, elektr signallari shaklida taqdim etilgan ma’lumotlar (xabarlar, ma’lumotlar)
tushuniladi.
Bu holatda bloklash ostida qonuniy foydalanuvchi tomonidan axborotga kirish imkoni
yo’qligi tushuniladi. Modifikatsiya-bu uning qonuniy foydalanuvchisining manfaatlariga zid
ravishda axborotning mazmunini buzadigan o’zgarishlarni kiritish. Nusxa ko’chirish
noqonuniy foydalanuvchi tomonidan olish maqsadida asl nusxani noqonuniy ravishda
takrorlashdan iborat.
Qonun nuqtai nazaridan chet elliklarning yopiq axborot doirasidan, ya’ni qonuniy
foydalanuvchi bo’lmagan va egasining ushbu ma’lumotlar bilan tanishish uchun ruxsatiga
ega bo’lmagan shaxsdan foydalanish noqonuniy hisoblanadi.
Tekshiruv yekspertizasi nuqtai nazaridan, ushbu moddaning 2-bandiga binoan
jinoyat sodir etish usullari. O’Zr Jinoyat kodeksining 278-moddasi (1-6) bir-biri bilan
chambarchas bog’liq va bir-birini to’ldiradi. Ushbu holat ma’lum darajada jinoiy
qonunchilik darajasida yuqoridagi formulalarning sun’iy ravishda belgilanishi bilan
izohlanadi.
Shunday qilib, ba’zi hollarda kompyuter ma’lumotlarini saqlash, qayta ishlash yoki
uzatish vositalaridan foydalanish qoidalarining buzilishi, kompyuter ma’lumotlariga
ruxsatsiz kirishning alohida holati sifatida ko’rib chiqilishi, zararli kompyuter dasturlarini
yaratish, ulardan foydalanish va tarqatish yuqoridagi ikkala kompozisiyaning ajralmas qismi
bo’lishi mumkin.
Kompyuter ma’lumotlari sohasidagi barcha jinoyat tarkibiy qismlarida tekshiruv-
meditsina tavsiflari nuqtai nazaridan yetakchi bu kompyuter ma’lumotlariga
noqonuniy kirish usullari hisoblanadi. Ular orasida eng keng tarqalganlari:
kompyuter ma’lumotlariga kirish uchun birovning ismidan foydalanish (qonuniy
foydalanuvchilarning kodlari va parollari yordamida);
himoya qilish vositalarini aylanib o’tish va ma’lumotlardan nusxa ko’chirish yoki
ruxsatsiz ishlarni amalga oshirish uchun kompyuterlashtirish vositasida dasturiy ta’minot
yoki texnik vositalarni yoriy etish;
virusni dasturiy ta’minoti yoki noqonuniy qurilmadan foydalanish yo’li bilan tarmoqqa
kirish (yoki ma’lumot) oluvchining manzilini o’zgartirish. Ushbu harakatlar natijasida
ma’lumot oqimini normal boshqarish buziladi (ma’lumot uzatish marshruti) va
avtorizatsiya qilinmagan shaxs qonuniy foydalanuvchi niqobi ostida tarmoqqa haqiqiy
kirish huquqini oladi;
elektron jihozlardan foydalangan holda kompyuter texnologiyalaridan ma’lumotlarni
egallash;
yozib olish uskunalarini aloqa kanallari bilan ulash;
ma’lumotlar saqlanadigan kompyuter xotirasi drayverlarini o’g’irlash;
4
magnit yoki qog’oz tashuvchini o’g’irlash. Kompyuter ma’lumotlariga noqonuniy
tajovuz qilingan joyda ular bir-biridan farq qiladi, bank tarmog’i tarkibiga kirmaydigan
kompyuterlardan amalga oshiriladigan tashqi;
bank tarmog’iga kiritilgan kompyuterlardan foydalangan holda amalga oshiriladigan
intranet.
Ushbu jinoyatlarni sodir etishga tayyorgarlik choralarini shartli ravishda ikkita
asosiy turga bo’lish mumkin:
apparat-dasturiy ta’minot yordamida elektron hisoblash uskunalari (kompyuter tizimi)
ning himoya choralarini engib o’tish;
huquqbuzarlik obyekti yoki ushbu xodimlarning vakolatlari - tashkilot xodimlariga
ishonib topshirilgan ma’lumotlardan noqonuniy foydalanish orqali ushbu maqsadga
erishish.
Birinchi tur tayyorgarlik ishlariga quyidagilarni o’z ichiga oladi:
maqsadni himoya qilishda zaiflikni aniqlash uchun virtual qidiruv (dasturga qo’shimcha
bitta yoki bir nechta virus dasturlarini kiritishga imkon beradigan "lyuk"). Zo’ravonlik
obyektini himoya qilishning zaif tomonlarini aniqlash uchun masofadan turib ta’sir qilish
obyekti joylashgan tarmoqning manzil maydoni aniqlanadi;
faol kompyuter tarmog’i qurilmalari; ochiq portlar va kompyuter xizmatlari.
Tarmoq qurilmasi tomonidan ishlatiladigan operasion tizim turi. Zo’ravonlik
qurboni kompyuter haqidagi ma’lum ma’lumotni ochiq manbalardan to’playdi, ular
ichiga quyidagilar kiradi:
tashkilotning veb-sayti (ofislarning manzili va joylashuvi;
telefon raqamlari;
elektron manzillar;
biznes sheriklar ro’yxati;
administrator tarmoq ma’muri va boshqalar.
Maxsus dasturlar va protokollardan foydalangan holda (ular, xususan, Internet va
maxsus jurnallar orqali tarqatiladi) jinoyatchilar unga qiziqish bildirgan tashkilot
kompyuterlarining AT-manzillarini taniydilar, tarmoq manzili maydonini o’rnatadilar,
jinoyatchi ishlayotgan kompyuterlarni aniqlaydilar, portlarni skanerlashni amalga
oshiradilar - tekshirilayotgan kompyuter portlariga test aloqasi, maxsus vositalardan
foydalangan holda markerlarni to’playdi (jabrlanuvchining kompyuterining turli portlariga
ulanadi).
Ta’riflangan harakatlar natijasida buzg’unchi tarmoq qurilmalarining joylashuvi,
ularning manzillari, ochiq portlar, ishlatilgan operasion tizimlar va o’zaro ta’sir va ishlash
xususiyatlari haqida zarur ma’lumotlarni oladi.
Bundan tashqari, paketli analizator (tarmoq orqali uzatiladigan ma’lumotlar) yordamida
parollar va unga qiziqadigan kompyuterga kirish login haqidagi ma’lumotni tortib olish
mumkin;
5
b) ma’murlari bilan kelishuv asosida boshqa shunga o’xshash tizimlarda virus
dasturining samaradorligini tekshirish (sinovdan o’tkazish) (haqiqiy obyektda sinov izlarni
yashirish qiyinligi tufayli xavfli bo’lishi mumkin);
c) aloqa tizimlari yoki maqsadli xodimlar ishtirokida jabrlanuvchilar tizimiga manzil
belgilari dasturlarini kiritish.
Obyektning kompyuter tizimiga rasmiy kirish huquqiga ega shaxslar, himoya
qilinadigan obyektga ataylab virus dasturini kiritishlari mumkin.
Kompyuter uskunalaridan foydalanish qoidalarini buzgan holda, ushbu shaxslar
kompyuter tomonidan buzilgan virusli dasturni "yangi kompyuter o’yinlari" yoki "demo
dastur" dan foydalangan holda, o’zlarini oqlagan bahona bilan kiritadilar.
Ikkinchi turdagi tayyorgarlik tadbirlari axborot tizimida ishlash uchun rasmiy kirish
huquqiga ega bo’lgan bank xodimlariga (shu qatorda avvalgilariga) noqonuniy ta’sir
o’tkazishni o’z ichiga oladi:
banking elektron bank texnologiyalari to’g’risida ma’lumot olish, kompyuter tarmog’ini
himoya qilish usullari, parollar, kodlar (razvedka, poraxo’rlik, taxdid va boshqa
noqonuniy usullar qo’llaniladi);
dasturiy ta’minot kalitlari, apparat kalitlari, kriptografik himoya vositalaridan noqonuniy
foydalanish. Ta’limning ikkala turi ham birlashtirilishi va bir-birini to’liq yoki qisman
to’ldirishi mumkin va farq mutlaq emas.
Kompyuter ma’lumotlariga ruxsatsiz kirish huquqiga ega bo’lgan noqonuniy
tajovuzkorlarning xatti-harakatlarini maskalashning eng keng tarqalgan usullari ko’pincha
murakkab xususiyatga ega va quyidagilarga mo’jallangan - aybdorni qidirishni noto’g’ri
yo’l bilan yuborish. Shu maqsadda boshqa foydalanuvchilarning, shu jumladan noqonuniy
tajovuz amalga oshirilayotgan boshqa mamlakatlarda ham kompyuterlarning loginlari
qo’llaniladi.
Dasturlar - kompyuterlarni himoya qilishning "xakerlari" birinchi bo’lib egalarining
ma’lumotisiz uchinchi tashkilotning serveriga kiritiladi (ko’pincha chet yelda joylashgan),
ko’rsatilgan algoritmga ko’ra, virusni yuqtirgan xujjatlarni vaqti-vaqti bilan
jabrlanuvchining manziliga yuboradi; jinoyat yoki jinoyatning o’z vaqtida aniqlanishiga
to’sqinlik qilishi yoki xalaqit berishi.
Jabrlanuvchining kompyuteriga ulanish uchun ular quyidagilardan foydalanadilar:
raqami aniqlanmagan telefon; telefon raqami bo’lgan kvartira, shaxsning nomidan otib
tashlangan; kompyuterni to’g’ridan-to’g’ri telefon tarqatish qutisidagi yuftlarga ulash.
Iloyi bo’lsa, huquqbuzarlar maxsus dasturlardan foydalangan holda, suiiste’mol qilish
obyektining axborot tizimida bo’lish izlarini yo’q qilishadi. Kompyuter ma’lumotlari
sohasidagi noqonuniy noqonuniy tajovuzlarning eng keng tarqalgan turlari -
ma’lumotlardan nusxa ko’chirish, o’zgartirish yoki yo’q qilish maqsadida kompyuterlarning
jamoaviy belgilarini ro’yxatdan o’tkazgan.
6
Huquqbuzarlikning ko’rsatilgan harakatlari (buyruqlari) izlari korporativ axborot
tarmog’ining faol tarmoq uskunalari tomonidan yaratilgan fayllardagi qaydlar ko’rinishida
qoladi, keyinchalik ular ma’lumotlarni himoya qilish xizmatining ma’lumotlar bazasida
to’planadi.
Aynan shu yerda, tashkilotning mahalliy tarmog’i ma’muri (axborotni himoya qilish
xizmati xodimi), odatda, kompyuter ma’lumotlariga noqonuniy ta’sirning individual
(asosiy) belgilarini aniqlaydilar.
Tashkilot (korxona) ning odatdagi kompyuter tarmog’ida ko’rsatilgan iz
ma’lumotlarini tashuvchilar:
mahalliy tarmoq segmentlarining marshrutizatori;
internetga kirish yoki uni o’rnini bosuvchi proksi-serverga kirish uchun chegara
yo’riqnoma (xavfsizlik devori);
xodimlarning tarmoq papkalari, yordamchi ma’lumotlar bazasi fayllari (ACSESS,
DBASE FOXPRO, FIREBIRD va boshqalar) saqlanadigan fayl serveri (boshqaruvchi
bilan birgalikda);
Odatda Internet-provayder (xizmat ko’rsatuvchi provayder) serverida joylashgan
korxonaning ichki saytini o’z ichiga olgan intranet-server (HTTP-server, FTP-server);
MS ACSESS ma’lumotlar bazasi serveri, bankning asosiy ma’lumotlar bazalari
saqlanadigan ORACLE serveri;
tashkilot (korxona) xodimlarining tarmoqqa kirishini optimallashtirish uchun Internet-
proksi-server (fayllarni keshlash, trafikni hisobga olish funksiyalarini bajaruvchi);
tashkilot ichida ham, tashqi Internet-oluvchilar bilan ham elektron pochta xabarlarini
almashish uchun mo’jallangan EXCHANGE elektron pochta serveri (qoida tariqasida,
qo’shimcha pochta serveri provayder serverida o’rnatiladi va sinxronlashtirilgan xabarlar
tashkilotning ichki pochta serverida tashkil qilinadi);
axborotlashtirish obyektida mavjud bo’lgan mustaqil dasturiy yoki apparat vositalari;
diizayn xujjatlari va texnologiyalarida ko’zda tutilmagan avtomatik garovlarni ro’yxatga
olish va uzatish moslamalari, texnik vositalar va aloqa liniyalari, shuningdek ularga
ulanishlar;
noma’lum funksiyalarga ega bo’lgan g’ayritabiiy dasturlar, shuningdek g’ayritabiiy
saqlash va ma’lumotlarni yashirish va to’plash funksiyalarini bajaradigan boshqa texnik
qurilmalar.
Axborot tizimiga ruxsatsiz kirishning belgilari, shuningdek, kompyuterni o’g’irlash
izlari, saqlash tashuvchisi, dasturiy ta’minot yoki apparat kalitlari va axborotni kriptografik
himoya qilish vositalari bo’lishi mumkin.
Ularni aniqlash va cheklangan kirish ma’lumotlarini o’z ichiga olgan xujjatlarni
o’g’irlash usullari izlarini aniqlash usullaridan tubdan farq qilmaydi.
7
7.1.2.Bankning kompyuter sohasi bilan bog’liq ma’lumotlarni olishga
o’rinish jinoiy harakatlarining o’ziga xos xususiyatlar
Kompyuter ma’lumotlarini himoya qilishni tashkil etish bo’yicha vazifalarni bajarish
maxsus yaratilgan axborotni muhofaza qilish tizimiga (AMT) yuklatiladi va ular organlar va
(yoki) ijrochilar, axborotni himoya qilishning texnik vositalari, shuningdek, himoya qilish
obyektlarini o’z ichiga oladi.
AMT ishini tashkil etish va tashkil etish axborotni himoya qilish faoliyatining huquqiy,
tashkiliy-ma’muriy va me’yoriy asoslariga xizmat qiluvchi hujjatlarni ishlab chiqish va
qabul qilish bilan boshlanishi kerak.
Axborotni himoya qilishning asosiy yo’nalishlari huquqiy, tashkiliy, dasturiy-texnik
xarakterdagi chora-tadbirlarni amalga oshirish, shu jumladan kriptografik himoya
vositalarini qo’llash orqali amalga oshiriladi.
Kompyuter axboroti sohasida noqonuniy tajovuzlarga yordam beradigan eng keng
tarqalgan holatlar quyidagilardir: kompyuterlarning dasturiy va texnik himoyasini tashkil
etishda noto’g’ri hisob-kitoblar; axborot xavfsizligi xizmatining (obyektdagi axborotni
himoya qilish uchun mas’ul shaxs) tizim ma’murining beparvoligi yoki beparvoligi; bank
xodimlarining bank kompyuter tizimiga cheklangan kirish ma’lumotlarini oshkor qilishning
beparvoligi yoki qasddan harakati.
Misol. Mahalliy va xorijiy ommaviy axborot vositalarining "Levin ishi" deb nomlangan
nashrlari bilan mashhur bo’lgan jinoyat holatlari kompyuter ma’lumotlarini himoya qilishga
nisbatan noto’g’ri munosabat bo’lishi mumkin.
Sankt-Peterburg
kompaniyalaridan
birida
telekommunikasiya
tarmoqlaridan
foydalangan holda ishlagan V. Levin, shu jumladan, Citibank (AQSh, Nyu-York) pul
mablag’larini boshqarish tizimiga ruxsatsiz bir guruh shaxslar kirgan. Kompyuter
ma’lumotlariga noqonuniy kirish jarayonida jinoyatchilar jami 40 million dollardan ortiq
pul o’tkazmalarini amalga oshirganlar va 400 ming AQSh dollar o’g’irlab ketishga
muvaffaq bo’lishgan.
Keyinchalik ma’lum bo’lgach, Citibank kompyuterlarida "kirishlar" parollar bilan
qoplanmagan. Umuman olganda, ushbu kompyuterlar o’z dasturlarini saqlash uchun bank
kompyuterlarining qattiq disklaridan foydalangan, ichki bank hujjatlarini ko’rib chiqqan,
ushbu kompyuterlarga o’rnatilgan dasturni bir-biri bilan muloqot qilgan Rossiyadan 100 dan
ortiq ruxsatsiz foydalanuvchilarga tashrif buyurgan. Ushbu harakatlar yil davomida tarmoq
administratorlari oldida qoldi.
Bankning kompyuter ma’lumotlarini huquqiy va tashkiliy himoya qilish choralari bank
tomonidan huquqiy asosda axborotni himoya qilishni ta’minlaydigan tegishli qoidalar va
tartib-qoidalarni bajarishni nazarda tutuvchi maxsus huquqiy va normativ hujjatlarni ishlab
chiqish va qabul qilishdan iborat.
8
Ushbu hujjatlar axborotdan foydalanuvchilarning huquq va majburiyatlarini, ularning
huquqiy maqomini, texnik vositalarni va uni himoya qilish usullarini aniq tartibga solish
uchun mo’ljallangan qoidalar, ko’rsatmalar, qo’llanmalar tizimidir.
Shu asosda bank rahbarlarining axborotga cheklangan kirish ma’lumotlarini kiritish
bo’yicha vakolatlari belgilanadi va maxfiylik bo’yinini tayinlash va olib tashlash tartibi
joriy etiladi. Axborotni cheklangan holda saqlash, shuningdek axborotning texnik va
jismoniy muhofazasini ta’minlaydigan maxsus ish yuritish tashkil etiladi.
Cheklangan kirish ma’lumotlarini o’z ichiga olgan ishonchli hujjatlarning
(tashuvchilarning) saqlanishi, axborot tizimidagi noqonuniy xatti-harakatlari uchun
himoyalangan axborot bilan ruxsatsiz tanishishga, uni buzib ko’rsatishga yoki yo’q qilishga
olib kelishi mumkin bo’lgan Foydalanuvchining shaxsiy javobgarligi belgilanadi, axborotni
qonuniy foydalanuvchilarga to’sqinlik qilmaydi. Shu maqsadda ijrochilarning kompyuter
ma’lumotlari, turli darajadagi hujjatlar va ma’lumotlar bilan ishlashga ruxsat berish tizimi
tashkil etiladi.
Shu bilan birga, axborotni muhofaza qilish xizmati ma’murining vazifalari, huquqlari,
funksiyalari, mas’uliyati va majburiyatlarini belgilovchi ish ta’rifi ishlab chiqiladi va
kuchga kiritiladi – bankda axborotni himoya qilish uchun mas’ul shaxs. Ushbu ko’rsatma
axborotni himoya qilish vositalarining xizmat hujjatlarini (parollar, kalitlarni o’zgartirish,
kirish huquqiga ega bo’lgan subyektlar ro’yxatini o’zgartirish), ularni ishonchli saqlashni
tashkil etish tartibini nazarda tutishi kerak.
Axborotni muhofaza qilish xizmati administratoriga dasturiy ta’minot va texnik
ta’minotning yaxlitligini tezkor nazorat qilish, axborotni qayta ishlash jarayonining
borishini nazorat qilish vazifasi yuklatiladi.
Ko’rsatmalarga muvofiq, axborotni muhofaza qilish xizmati ma’muri cheklangan kirish
ma’lumotlarini saqlash, saqlash va foydalanuvchilarga berish, chop etish uchun hisobga
olingan qog’ozni (buxgalteriya rekvizitlarini chop etish va chop etishni nazorat qilish
dasturini amalga oshirmagan taqdirda), axborotni himoya qilish vositalari uchun parollar va
kalitlarni hisobga olish, ish vaqtidan tashqari sodir bo’lgan tarmoq tarkibiy qismlarida sodir
bo’lgan har qanday o’zgarishlarni zaif tomonlarni aniqlash uchun ssini muntazam ravishda
sinab ko’rish kerak.
Bundan tashqari, axborotni muhofaza qilish xizmati ma’muri bank axborot tizimi
foydalanuvchilari xatti-harakatlari ustidan tezkor nazoratni amalga oshirishi, cheklangan
kirish ma’lumotlarini avtomatlashtirilgan tarzda qayta ishlashni amalga oshiradigan
binolarni jismoniy himoya qilishni tashkil qilishi shart.
Himoya qilish bo’yicha tashkiliy vazifalar orasida foydalanuvchilarni xavfsiz axborot
bilan ishlash qoidalarini o’rgatish va axborotga noqonuniy tajovuzkorlik belgilari bilan
tanishish bo’yicha tadbirlarni o’z ichiga olishi kerak. Bank axborot tizimining
ishonchliligini oshirish asosiy tizimlardan va boshqa muhim ma’lumotlardan ma’lumotlarni
zaxiralash kabi chora-tadbirlar orqali amalga oshirilmoqda. Ushbu choralar begonalarga
kirishni istisno qiladigan sharoitlarda saqlanishi kerak.
9
Dasturiy va texnik vositalarni qo’llash orqali axborotni himoya qilish bankning axborot
tizimiga begonalardan foydalanishni, shu jumladan parol, shifrlash yoki boshqa usullardan
foydalanishni qoplaydigan dasturlar va mexanizmlarni kiritish orqali amalga oshiriladi.
Ushbu chora-tadbirlarni qo’llash axborotni faqat tegishli vakolatli shaxslarga o’qish,
yozish, yaratish yoki yo’q qilishga imkon beradi. Bundan tashqari, ushbu chora-tadbirlar
buyurtma, to’lov topshiriqlari, shartnomalar va boshqa ma’muriy va moliyaviy hujjatlarni
o’z ichiga olgan axborot xabarlarini qayta ishlash, saqlash va uzatish jarayonida elektron
hujjatlarning huquqiy kuchini himoya qilish imkonini beradi.
Elektron hujjatni soxtalashtirishdan himoya qilish uchun elektron raqamli imzo
qo’llaniladi (shaxsiy kalit yordamida axborotning kriptografik konvertatsiyasi natijasida
olingan elektron hujjatning tafsilotlari).
Bankning axborot tizimi parollar, kalitlar, elektron imzolardan foydalanish asosida
identifikasiyalash va autentifikasiya qilish (foydalanuvchilarning haqiqiyligini tekshirish)
mexanizmlari, shuningdek, foydalanuvchi shaxsining biometrik xususiyatlari bilan
ta’minlanadi.
Foydalanuvchi faqat maxsus nomlangan obyektlarga (fayllar, papkalar, dasturlar, jildlar)
kirish huquqiga ega bo’lgan va faqat unga yoki bir guruh xodimlarga ruxsat berilgan
chegaralar doirasida (obyektni (faylni) o’qish, unga yozib olish, nusxalash).
Shu maqsadda har bir foydalanuvchi va har bir hujjat tegishli iyerarxiyadagi o’rnini aks
ettiruvchi tasniflash belgilariga ega bo’lib, ma’lumotlarga kirishni cheklash uchun mandat
printsipining asosi bo’lib xizmat qiladi.
Axborotni himoya qilishning dasturiy va texnik vositalarining muhim elementi axborot
xavfsizligi bilan bog’liq bo’lgan hodisalarning axborot tizimini avtomatik ravishda
ro’yxatga olish (ro’yxatga olish) hisoblanadi. Ular orasida himoyalangan ma’lumotlarga
(masalan, faylni ochish, dasturni ishga tushirish) ruxsat etilgan (va ruxsat etilmagan) kirish
faktlarini hisobga olish, shuningdek, hujjatni yaratish va yo’q qilish kiradi.
Ushbu voqyealarning har biri uchun quyidagilar qayd etiladi: sana va vaqt; muayyan
foydalanuvchi; tadbir turi (agar kirish so’rovi ro’yxatdan o’tkazilsa, u holda obyekt va kirish
turi qayd etiladi); kirish uchun so’rov xizmat ko’rsatiladi yoki yo’q.
Bundan tashqari, axborotga egalik qilish huquqini belgilash va uning maxsus huquqiy
rejimi haqida ogohlantirish maqsadida, hisoblash vositalari hujjatni tasniflash yorlig’i
(rekvizitlari) bilan birga qog’ozga chiqarishni ta’minlashi kerak. AMTning dasturiy
usullariga quyidagilarni o’z ichiga olishi kerak:
o’z-o’zini nazorat qilish va o’z-o’zini tiklash mexanizmlari bilan jihozlangan maxsus
shifrlangan qo’shimchalar tufayli ruxsatsiz modifikatsiya qilish imkoniyatidan
himoyalangan viruslarga chidamli dasturiy ta’minotni qo’llash;
virusli tuzilmalarning mumkin bo’lgan izlari (masalan, dasturiy ta’minotning yaxlitligini
buzish) mavjudligini muntazam ravishda tekshiradigan maxsus dastur-analizatorlarni
o’rnatish, shuningdek, yangi dasturlarning kompyuter tizimiga kiritilishidan oldin
ularning tanasida virusli tuzilmalar mavjudligi xususiyati bilan qattiq kirish nazorati.
10
Yuqorida ta’kidlab o’tilganidek, kompyuter ma’lumotlarini ishonchli himoya qilish
yuqorida sanab o’tilgan barcha vositalar va usullardan kompleks foydalanishni o’z ichiga
oladi. Axborotni muhofaza qilish sohasidagi mutaxassislarning fikriga ko’ra, eng ilg’or
texnologiya, to’g’ri rivojlanish strategiyasi boshqaruvdagi kamchiliklarni kafolatlay
olmaydi. Biroq, yaxshi o’ylangan boshqaruv amaliyoti har doim texnologiyadagi
kamchiliklarni bartaraf etishi mumkin.
Axborotni muhofaza qilish xizmati ma’muri bilan bir qatorda, ichki nazorat xizmati va
xavfsizlik xizmati bank axborotlarini himoya qilish subyektlari hisoblanadi.
7.1.3. Bank kompyuter axboroti sohasida jinoyatlar sodir etish
shakllari va usullari
Jinoyat kodeksining 272, 273 va 274 moddalari bir-biri bilan chambarchas bog’liq va
bir-birini to’ldiradi. Bu holat yuqorida aytib o’tilgan kompozitsiyalarni jinoiy-huquqiy
darajada sun’iy ravishda ajratish bilan izohlanadi.
Shunday qilib, muayyan holatlarda kompyuter ma’lumotlarini va axborot-
telekommunikasiya tarmoqlarini saqlash, qayta ishlash yoki uzatish vositalarini ishlatish
qoidalarini buzish kompyuter ma’lumotlariga noqonuniy kirishning maxsus usuli sifatida
qaralishi mumkin. Zararli kompyuter dasturlarini yaratish, ulardan foydalanish va tarqatish
yuqorida aytib o’tilgan kompozitsiyalarning ajralmas qismi bo’lishi mumkin.
Kompyuter axboroti sohasida jinoyatchilikning barcha tarkibiy qismlarida sud-
ekspertizadan o’tkazish nuqtai nazaridan etakchi kompyuter ma’lumotlariga
noqonuniy kirish usullari mavjud. Ular orasida eng keng tarqalgan:
boshqa shaxsning kompyuter ma’lumotlariga kirish uchun foydalanish (qonuniy
foydalanuvchilarning kodlari va parollarini qo’llash orqali);
axborot obyektiga himoya vositalarini chetlab o’tish va axborot yoki ruxsat etilmagan
ishlarni axborot massivida nusxalash imkoniyatini beruvchi dasturiy yoki texnik
vositalarni joriy etish;
virus yoki noqonuniy apparat ta’sirini qo’llash orqali tarmoqqa kirish (yoki axborot)
qabul qiluvchining manzilini o’zgartirish. Ushbu harakatlar natijasida axborot oqimining
normal boshqarilishi (axborot uzatish yo’nalishi) buziladi va qonuniy foydalanuvchi
nomidan tarmoqqa haqiqiy kirish begona tomonidan qabul qilinadi;
radioyelektron vositalardan foydalangan holda hisoblash texnikasidan axborotni ushlash;
aloqa kanallari bilan yozish uskunalarini ulash;
axborot saqlanadigan kompyuter xotirasi drayverlarini o’g’irlash;
magnit yoki qog’oz axborot vositalarini o’g’irlash.
Kompyuter ma’lumotlariga tajovuz qilish joyida farq qiladi:
tashqi bank tarmog’i tarkibiga kirmaydigan kompyuterlardan amalga oshiriladi;
bank tarmog’iga kiruvchi kompyuterlar yordamida amalga oshiriladigan tarmoq ichida.
11
Ushbu jinoyatlarni sodir etishga tayyorgarlik ishlari shartli ravishda ikki asosiy
turga bo’linishi mumkin:
elektron kompyuter texnikasini (kompyuter tizimini) dasturiy va apparat usuli bilan
himoya qilish choralarini o’z vaqtida ko’rmaslikka qaratilgan;
ushbu maqsadga erishish uchun tashkilot xodimlariga ishonib topshirilgan
ma’lumotlardan noqonuniy foydalanish – tajovuz obyekti yoki ushbu xodimlarning
vakolatlari.
Biroq, bu farq mutlaq emas. Har ikki turdagi tayyorgarlik bir-birini to’liq yoki qisman
birlashtirishi va to’ldirishi mumkin. Birinchi turdagi tayyorgarlik harakatlariga quyidagilar
kiradi:
hujum obyektini himoya qilishda zaif joylarni aniqlash uchun virtual razvedka ("Lyuk",
dasturga qo’shimcha ravishda bir yoki bir nechta virus dasturlarini kiritishni ta’minlaydi);
xujum obyektining himoyalanmagan joylarini aniqlash uchun masofaviy ta’sir obyekti
joylashgan tarmoqning manzil maydoni aniqlanadi; kompyuterning faol tarmoq
qurilmalari; ochiq portlar va kompyuter xizmatlari; tarmoq qurilmasi tomonidan
ishlatiladigan operatsion tizim turi.
Kompyuter haqidagi ma’lumotlarning ma’lum bir qismiga tajovuz ochiq
manbalardan olinadi va quyidagilarni o’z ichiga oladi:
tashkilotning veb-sayti (ofislarning manzillari va joylashuvi;
telefon raqamlari;
elektron pochta manzillari;
biznes hamkorlar ro’yxati;
tashkilot bilan bog’liq boshqa veb-saytlarga havolalar);
yangiliklar guruhlari va pochta ro’yxatlari arxividan olingan ma’lumotlar;
tarmoq administratori va boshqalar haqida ma’lumot.
Keyinchalik, maxsus dasturlar va protokollardan foydalangan holda (ular, xususan,
Internet va maxsus jurnallar orqali tarqatiladi), jinoyatchi o’z tashkilotiga qiziqqan
kompyuterlarning IP-manzillarini o’rganadi, tarmoqning manzil maydonini belgilaydi,
ishlaydigan kompyuterlarni aniqlaydi, portlarni tekshiradi – o’rganilayotgan kompyuterning
portlariga sinov aloqasi jarayoni, maxsus yordamchi dasturlardan foydalangan holda
markerlarni (jabrlanuvchining kompyuterning turli portlariga ulanish) to’playdi.
Ta’riflangan harakatlar natijasida tajovuzkor tarmoq qurilmalarining joylashuvi sxemasi,
ularning manzillari, ochiq portlar, operatsion tizimlar, o’zaro ta’sir va ishning xususiyatlari
haqida kerakli ma’lumotlarni oladi.
Bundan tashqari, paket analizatoridan (tarmoq orqali uzatiladigan axborot) foydalanib, u
manfaatdor kompyuterga kirish uchun parollar va loginlar haqidagi ma’lumotlarni ushlab
turishi mumkin; o’z ma’murlari bilan tuzilgan shartnoma bo’yicha boshqa shunga o’xshash
tizimlarda virus dasturining samaradorligini (testini) tekshirish (haqiqiy obyektni tekshirish
izlarni yashirishning murakkabligi tufayli xavfli bo’lishi mumkin).
12
Ikkinchi turdagi tayyorgarlik ishlari axborot tizimida ishlash uchun rasmiy kirish
huquqiga ega bo’lgan bank xodimlariga (shu jumladan, sobiq xodimlarga) noqonuniy ta’sir
ko’rsatishdan iborat:
elektron bank operasiyalari texnologiyasi, kompyuter tarmog’ini, parollarni, kodlarni
himoya qilish usullari (olib tashlash, poraxo’rlik, tahdidlar, shuningdek, boshqa
noqonuniy usullar) haqida ma’lumot olish);
dasturiy kalitlarga, apparat kalitlariga, kriptografik himoya vositalariga noqonuniy egalik
qilish.
Kompyuter ma’lumotlariga noqonuniy kirishda tajovuzkorlarning harakatlarini
maskalashning eng keng tarqalgan usullari ko’pincha murakkab va mo’ljallangan:
aybdorni noto’g’ri yo’l bilan qidirishni yo’naltirish. Shu maqsadda boshqa
foydalanuvchilarning kompyuterlariga, shu jumladan, tajovuz qilingan boshqa
mamlakatlarga kirishlar qo’llaniladi. Kompyuter himoyasi "xakerlari" dasturlari birinchi
navbatda uchinchi tashkilotning serveriga (ko’pincha chet elda) egalarining bilimisiz
amalga oshiriladi, ular ma’lum bir algoritmga ko’ra vaqti-vaqti bilan virus bilan
kasallangan hujjatlarni jabrlanuvchining manziliga yuboradi;
jinoyat yoki jinoyatchini o’z vaqtida aniqlashni istisno qilish yoki qiyinlashtiradi.
Jabrlanuvchining kompyuteriga ulanish uchun quyidagilar ishlatiladi: raqami
aniqlanmagan telefon; telefon bilan telefon, oldingi shaxsning nomi bilan olingan;
kompyuterni to’g’ridan-to’g’ri tarqatish telefon qutisidagi juftlarga ulash. Imkoniyat
mavjud bo’lganda, jinoyatchilar maxsus dasturlardan foydalangan holda tajovuz
obyektining axborot tizimida bo’lish izlari yo’q qilinadi.
Kompyuter axborot sohasida noqonuniy tajovuzlarning eng keng tarqalgan turlari
quyidagilardir:
axborotni nusxalash, o’zgartirish yoki yo’q qilish uchun mo’ljallangan jamoalarning
ro’yxatdan o’tgan kompyuter belgilari. Huquqbuzarning ushbu harakatlarining
(buyruqlarining) izlari korporativ axborot tarmog’ining faol tarmoq uskunalari tomonidan
yaratilgan fayllardagi hisob-kitoblar shaklida qoladi, ular keyinchalik axborot xavfsizligi
xizmatining ma’lumotlar bazasida to’planadi. Bu erda tashkilotning mahalliy tarmoq
administratori (axborotni muhofaza qilish xizmati xodimi) odatda kompyuter
ma’lumotlariga noqonuniy ta’sir ko’rsatishning alohida (asosiy) belgilarini aniqlaydi.
Tashkilot
(korxona)ning
odatda
kompyuter
tarmog’ida
ko’rsatilgan
ma’lumotlarning tashuvchilari:
Royter mahalliy tarmoq segmentlari;
Internetga kirish yoki Proksi-serverni almashtirish uchun chegara yo’riqchisi (xavfsizlik
devori) ;
fayl serveri (domen tekshiruvi bilan birgalikda, agar mavjud bo’lsa), unda xodimlarning
tarmoq papkalari, yordamchi ma’lumotlar bazasi fayllari bilan kengaytirilgan papkalar
saqlanadi (Access, DBase, FoxPro, Firebird i t.p.);
13
Korxonaning ichki saytini o’z ichiga olgan Server Intranet (HTTP-server, FTP-server),
odatda, provayder (xizmat ko’rsatuvchi provayder) Internet serverida joylashtirilgan;
MS Access DBMS ma’lumotlar bazasi serveri, tashkilotning biznes faoliyatining asosiy
ma’lumotlar bazalarini (korxonalar) saqlaydigan Oracle DBMS);
tashkilot (korxona) xodimlarining tarmoqqa kirishini optimallashtirish uchun Internet
tarmog’ining proksi-serveri (fayllarni keshlash, trafikni hisobga olish vazifalarini
bajaradi);
tashkilot ichida ham, tashqi Internet manzillari bilan ham pochta xabarlarini almashish
uchun mo’ljallangan Exchange elektron pochta serveri (bu, odatda, provayder serverida
qo’shimcha pochta serveri ishga tushiriladi va tashkilotning ichki pochta serveri bilan
sinxron xabarlar tashkil etiladi);
axborotlashtirish muassasasida topilgan erkin dasturiy ta’minot yoki texnik vositalar;
texnik vositalar va aloqa liniyalaridan loyiha hujjatlari va texnologiya bilan
ta’minlanmagan avtomatik Hapchiplar ro’yxatga olish va uzatish qurilmalari,
shuningdek:
ularga begona ulanishlar;
noma’lum funksiyalarga ega bo’lgan nostandart dasturlar;
yashirin tanlash va axborot to’plash vazifalarini bajarishga qodir bo’lgan xotirasiz va
boshqa texnik qurilmalar.
Axborot tizimiga noqonuniy kirish belgilari, shuningdek, axborot vositalarini, dasturiy
ta’minot yoki apparat kalitlarini va axborotni kriptografik himoya qilish vositalarini
o’g’irlash izlari ham bo’lishi mumkin. Ularni aniqlash va aniqlash usullari cheklangan kirish
ma’lumotlarini o’z ichiga olgan hujjatlarni o’g’irlash izlarini aniqlash usullaridan asosiy
farq qilmaydi.
Bankning axborot xavfsizligi uchun shaxsiy taxdidlardan biri bo’lgan bankni kompyuter
bilan ta’minlash sohasidagi noqonuniy huquqbuzarliklar va ularning asoslari ushbu
sohadagi qonun xujjatlari asoslarining buzilishi hisoblanadi. Ularni aniqlash, oldini olish va
oldini olish vazifalari bank ma’lumotlari maxfiyligini himoya qilish muammolari bilan
chambarchas bog’liqdir.
Buning sababi bank, tijorat va rasmiy sirni tashkil etuvchi ma’lumotlar nafaqat
qog’ozda, balki kompyuterlarning ma’lumotlar bazalarida yoki ABT-ning alohida
kompyuter axborot tashuvchilarida saqlanishi.
Bankning kompyuter ma’lumotlari sohasidagi noqonuniy tajovuzlarning maqsadi
odatda quyidagilardan iborat:
raqobatdosh tashkilot manfaatlarini ko’zlab noqonuniy ma’lumotlarni yig’ish;
keyinchalik sotish maqsadida noqonuniy ma’lumot to’plash;
raqobatchi bankning axborot tizimlarini xizmatlar bozorida yo’q qilish yoki uning
faoliyatini cheklash maqsadida yo’q qilish. Ba’zan bu vazifalar birlashtiriladi.
14
Mahalliy huquqni qo’llash amaliyoti xaker bitta kompaniyaning buyrug’ini bajarganini
biladi, buning natijasida ma’lum ma’lumotlar ko’chirilib, keyin raqobatchining
kompyuter tizimi buzilgan (veb-sayt va serverdagi barcha ma’lumotlar yo’q qilingan);
o’z xodimlari yoki sobiq xodimlarining qasosidan bank axborot tizimlarini yo’q qilish;
haqiqiy ma’lumotni almashtirish va raqobatchining ishchanlik obro’siga putur
yetkazadigan ma’lumotlarni joylashtirish uchun veb-saytni "buzish".
Ular bankning kompyuter ma’lumotlari sohasida jinoiy noqonuniy tajovuzlarni
amalga oshiradigan asosiy maqsadlarga yerishadilar:
ma’lumotlarga, shu xatti-harakatlarning sabablariga ta’sir qilish orqali bankning pul va
mol-mulkini noqonuniy ravishda tortib olish - o’z manfaati;
bankka uning infratuzilmasini buzish va uning faoliyatini boshqarish tartibini buzish
orqali zarar yetkazish, bu harakatlarning manfaati (raqibni yo’q qilish), qasos, bezorilik
sabablari.
Kompyuter ma’lumotlari sohasidagi barcha turdagi jinoiy noqonuniy tajovuzlar
to’g’ridan-to’g’ri niyat bilan amalga oshiriladi.
Bunday holatda himoyalangan ABTga tasodifiy kirib borish sabablari (qiziquvchanlik,
o’z-o’zini tasdiqlash va boshqalar), "profilga kirmagan" va kichik raqamlar tufayli ko’rib
chiqilmaydi.
Buzilishning obyekti bankning cheklangan ma’lumotlarga kirishidir va ularning maqsadi
ABTda joylashgan ma’lumotni noqonuniy olib qo’yishdir. Axborotning maxfiyligini
himoya qilish va kompyuter ma’lumotlarini himoya qilish sohasidagi munosabatlar bir-biri
bilan qisman mos keladi va bir-birini to’ldiradi.
Axborot resurslari va axborot tizimlariga noqonuniy aralashuvning boshqa shakllari,
shuningdek kompyuter tizimlari va ularning dasturiy ta’minotlarining xavfsizligini buzadi,
cheklangan ma’lumotlarga ma’lum zarar yetkazishi mumkin.
7.1.4. Kompyuter ma’lumotlariga noqonuniy (ruxsatsiz)
kirish yo’llari va usullari
Kompyuter ma’lumotlari deganda, ularni saqlash, ishlov berish va uzatish usullaridan
qat’i nazar, yelektr signallari ko’rinishida taqdim etilgan ma’lumotlar (xabarlar,
ma’lumotlar) tushuniladi. Shuning uchun kompyuter tizimining egasi (mulkdori) undagi
ma’lumotlarning daxlsizligi huquqini himoya qilishni ta’minlash kerak. Ma’lumotlarga
kirish ABT foydalanuvchisiga ma’lumot egasining ruxsati bilan taqdim yetiladi. Ma’lumot
egasining roziligisiz ma’lumotlarga kirishga qonun xujjatlarida nazarda tutilgan
hollardagina yo’l qo’yiladi.
Axborotdan ruxsatsiz foydalanish tushunchasi bankda himoyalangan kompyuter
ma’lumotlari bilan bog’liq bo’lib, kompyuter ma’lumotlarini yo’q qilishga, blokirovka
qilishga, o’zgartirishga yoki nusxalashga olib kelishi mumkin (O’zRJinoyat kodeksining
278.2-4-moddalari).
15
Bloklash - qonuniy foydalanuvchidan ma’lumotga kirishning iloyi yo’qligi,
modifikatsiya qilish - uning tarkibidagi ma’lumotni uning qonuniy foydalanuvchisi
manfaatlariga zid keladigan o’zgartirishlar kiritish, nusxalash - asl nusxasini noqonuniy
foydalanuvchi tomonidan olish maqsadida uni noqonuniy takrorlash.
Jinoyatning majburiy elementi zararli oqibatlarning paydo bo’lishi (ma’lumotni yo’q
qilish, o’zgartirish, blokirovka qilish yoki nusxalash), jinoyat subyekti esa begona, shu
jumladan ma’lum bir toifadagi ma’lumotlar bilan ishlashga ruxsat berilmagan kompyuter
tarmog’ining qonuniy foydalanuvchisi.
Qonuniy foydalanuvchi hisoblanmaydigan va egasining ko’rsatilgan ma’lumotlar bilan
tanishish uchun ruxsatiga ega bo’lmagan vakolatli shaxsning yopiq ma’lumot qatoriga kirish
noqonuniy hisoblanadi.
Himoyalangan kompyuter ma’lumotlariga ruxsatsiz kirishni ta’minlash,
huquqbuzarlar apparat va dasturiy ta’minotni himoya qilishdagi to’siqlarni engib
o’tish uchun:
o’g’irlangan dasturiy ta’minot va dasturiy ta’minot kalitlari va kriptografik himoya
vositalaridan foydalanish, shu tariqa kompyuterga boshqa shaxslar nomidan kirish;
axborotlashtirish obyektiga xavfsizlik choralarini chetlab o’tish, ma’lumotlardan nusxa
ko’chirish yoki ma’lumot tizimida ruxsatsiz ishlashga imkon beradigan dasturiy yoki
texnik vositalarni kiritish;
elektron vositalardan foydalangan holda kompyuter texnikasidan ma’lumotni olish;
yozish asboblarini aloqa kanallariga ulash; ma’lumotlar saqlanadigan kompyuter xotirasi
disklarini, magnitli yoki qog’ozli saqlash vositalarini o’g’irlash.
Zararli kompyuter dasturlarini yaratish, ulardan foydalanish va tarqatishga qarshi O’zR
Jinoyat kodeksining 278-6-moddasida belgilangan normalar kompyuter tizimining egasi
(egasi) ning uning ishlash tartibi va uning tarkibidagi ma’lumotlarning daxlsizligi
huquqlarini himoya qiladi.
Huquqbuzarning xatti-harakatlari kompyuter dasturlarini yoki boshqa kompyuter
ma’lumotlarini qasddan yo’q qilish, blokirovka qilish, o’zgartirish, nusxalash yoki
kompyuter ma’lumotlarini himoya qilish vositalarini zararsizlantirish uchun mo’jallangan
dasturlarni yaratish, tarqatish yoki ulardan foydalanishdir.
Kompyuter dasturi - bu ma’lumotlarni qayta ishlash tizimining alohida tarkibiy
qismlarini boshqarish uchun mo’jallangan buyruqlarning ketma-ketligi. Dasturlar va ular
uchun xujjatlar to’plami dasturiy ta’minotni tashkil qiladi (sinonimi matematik dastur).
Zararli dasturlarni yaratish boshqa dasturlarga joylashtirilishi, ularni nusxalashi
(ko’payishi) mumkin bo’lgan virus dasturlarini yaratishni anglatadi. Virusli zararli
dasturlarning xavfi axborot resurslari va axborot tizimlarining to’liq yoki qisman ishdan
chiqishi yehtimoli va bankning (va boshqa tashkilotlarning) ishini buzishda bo’ladi.
16
Shu sababli, kompyuter ma’lumotlarini himoya qilish sohasidagi mutaxassislar bir
nechta asosiy zararli virus turlarini ayratib ko’rsatishadi:
noqonuniy tajovuz qilingan obyektni va kompyuter xotirasining tarkibini himoya qilish
tizimini skanerlash;
parol tanlovchilar va kredit kartalari raqamlari generatorlari, "mantiqiy bomba" lar,
ma’lum sharoitlarda ishlaydigan yoki kompyuter tizimini qisman yoki butunlay yo’q
qiladigan, kompyuter dasturlarini yo’q qiladigan va aloqa tarmoqlariga tarqaladigan
"troyan ot".
Zararli dasturlarni viruslardan foydalanish deganda ularning elektron kompyuter
dasturiy ta’minotiga kiritilishi, moddiy vositalarga (shu jumladan qog’ozga) yozib olish,
tarmoqlar orqali tarqatish, boshqa shaxslarga topshirish va zararli oqibatlarga olib kelishi
uchun ularni muomalaga kiritish uchun boshqa harakatlar tushuniladi. .
Virus dasturining tarqalishi - bu boshqa odamlarni u bilan tanishtirish yoki unga biron-
bir material shaklida (magnit yozuv, qog’ozli yozuvlar va boshqalar) dasturni o’tkazish.
Shunday qilib, O’zR Jinoyat kodeksining 278-moddasida yiddiy oqibatlar yoki
ularning kelib chiqishiga taxdid tug’diradigan alohida atribut mavjudligi nazarda
tutilgan. Og’ir oqibatlarga quyidagilar kiradi:
bank mablag’larini o’g’irlash,
uning ma’lumotlar bazalarini yo’q qilish,
bankning ishini qayta tashkil etish va shu munosabat bilan yo’qotilgan foyda.
Axborotlashtirish qoidalarini buzish, kompyuter ma’lumotlariga noqonuniy (ruxsatsiz)
kirish, kompyuterga noqonuniy tajovuz qilish, kompyuter ma’lumotlarini o’zgartirish,
zararli dasturlarni yaratish va tarqatish quyidagi qoidalarni buzilishiga olib keladi:
kompyuter ma’lumotlarini saqlash, qayta ishlash yoki uzatish vositalaridan foydalanish;
axborot va telekommunikatsiya tarmoqlari va terminal uskunalari,
axborot va telekommunikatsiya tarmoqlaridan foydalanish.
Kompyuter ma’lumotlarini yo’q qilish, blokirovka qilish, o’zgartirish yoki nusxalash
O’zR Jinoyat kodeksining 278.1-6-moddalarida nazarda tutilgan jinoyat sifatida yiddiy zarar
yetkazilishiga olib kelishi mumkin.
Ushbu jinoyat qasddan ham, beparvolik bilan ham sodir yetilishi mumkin. O’zR Jinoyat
kodeksining 278-moddasida ushbu mablag’larning egasi (egasi) ularning ishlashi
xavfsizligi, ularning ishlash qoidalariga rioya qilinishi bilan ta’minlangan huquqlarini
himoya qiladi.
Yuqorida sanab o’tilgan mablag’larni ishlatish qoidalari ularning egasi (egasi)
tomonidan tegishli ta’minot, ko’rsatma, tartibga solish shaklida belgilanadi va ularga kirish
huquqiga ega bo’lgan barcha shaxslar bilan tanishtirilishi kerak bo’lgan buyruq bilan e’lon
qilinadi. Himoyalangan kompyuter ma’lumotlari - bu huquqiy himoya qilish uchun maxsus
rejim o’rnatilgan ma’lumotlar.
17
Bankning kompyuter ma’lumotlariga noqonuniy noqonuniy tajovuzlar sodir yetgan
shaxslar orasida quyidagilarni ta’kidlash kerakki – bu bankning puliga yoki mulkiga ega
bo’lish maqsadida jinoyat sodir yetgan shaxslar.
Bunday shaxslar yakka o’zi harakat qilishlari mumkin, lekin ular uyushgan guruhlarga
bo’linganidan ko’ra ko’proq. Bunday guruhlarga kompyuter texnologiyalari sohasidagi
mutaxassislardan tashqari bank ishini yaxshi biladigan shaxslar kiradi.
Buning sababi shundaki, bankdan pul o’tkazish uchun uning kompyuter tizimiga
kirishning o’zi yetarli emas, shuningdek ma’lum bank texnologiyalarining tafsilotlarini
batafsil bilish kerak.
Internet tarmog’ida bank sirini tashkil etuvchi ma’lumotlarni, birinchi navbatda, bank
hisoblari va plastik kartalar egalari to’g’risidagi ma’lumotlarni sotish bo’yicha takliflarning
paydo bo’lishi kompyuter sohasida jinoyatchilikni tijoratlashtirish jarayonining aksi bo’ladi:
raqobatchilarning buyrug’iga binoan kirish imkoniyati cheklangan yoki bankning
kompyuter tarmoqlari ishini o’zgartirgan kompyuter ma’lumotlarini oluvchi shaxslar;
xakerlar - o’z-o’zini ishontirish maqsadida, himoya qilinadigan kompyuter tizimlariga
qiziquvchanlik bilan kiradigan havaskorlar. kompyuter tizimlarini bezorilik va boshqa
beg’araz niyatlardan xalos qilish.
Bosqinchilik obyektiga nisbatan shaxslar bo’lishi mumkin:
ABTga xizmat ko’rsatuvchi bankning tarkibiy bo’linmalari xodimlari va kompyuter
tizimlari yoki tarmoqlarining texnik xodimlarining vakillari;
hamkor tashkilotning xodimlari (pudratchi) - ABT ishlab chiqaruvchisi, ularning
menejerlari, operatorlari, dasturchilari, aloqa muhandislari, axborotni himoya qilish
bo’yicha mutaxassislar va boshqalar.
7.2. Avtomatlashtirilgan bank tizimi (ABT) da ma’lumotlarini
himoya qilish tizimi va uni tashkil qilish
7.2.1.ABTda ma’lumotlarini himoya qilish tizimi
Asosiy qoidalar. Bankda kompyuter ma’lumotlarini himoya qilish sohasidagi masalalar
avtomatlashtirilgan bank tizimida (ABT) axborotni himoya qilish sohasidagi munosabatlarni
tartibga solishdan iborat va qonunchilik asoslanadi. O’zR “Axborotni muhofaza qilish
to’g’risida”gi 04.04.2006 yil, N O’RQ-30 – sonli qonunning maqsadi ABTda axborotni
muhofaza qilish sohasidagi munosabatlarni tartibga solishdan iborat. Agar O’zRxalqaro
shartnomasida O’zRABTda axborotni muhofaza qilish to’g’risidagi qonun xujjatlarida
nazarda tutilganidan boshqacha qoidalar belgilangan bo’lsa, xalqaro shartnoma qoidalari
qo’llaniladi.
ABT - bu bankda ma’lumot to’plash, saqlash, izlash, ishlov berish va undan
foydalanish uchun mo’jallangan axborot tizimi. Bankning axborot resurslari va
axborot tizimlarini (ABT) himoya qilishning asosiy vazifalari quyidagilardan iborat:
banklarning axborot xavfsizligini va bank siri saqlanishini ta’minlash;
18
ABTda ma’lumotlarning tarqalishi, o’g’irlanishi, yo’qolishi, buzilishi, bloklanishi,
soxtalashtirilishining oldini olish;
ma’lumotlarni yo’q qilish, o’zgartirish, buzish, nusxalash, blokirovka qilish bo’yicha
ruxsatsiz harakatlarning oldini olish;
axborot resurslari va axborot tizimlariga boshqa noqonuniy aralashuvlarning oldini olish;
mulkchilik obyekti sifatida xujjatlashtirilgan ma’lumotlarning huquqiy rejimini
ta’minlash;
qonun xujjatlariga muvofiq xujjatlashtirilgan ma’lumotlarning maxfiyligini ta’minlash.
Qonunga muvofiq yuridik shaxs bo’lishi kerak bo’lgan va axborot egasi va ABT
foydalanuvchisi o’rtasidagi o’zaro munosabatlarni muvofiqlashtiradigan ABT egasi
quyidagilarga majburdir:
avtomatlashtirilgan bank tizimining axborot egasi va foydalanuvchisini ABTda
ma’lumotlarni qayta ishlash usullarining xususiyatlari to’g’risida xabardor qilish;
taklif yetilayotgan ishlov berish usullarini qo’llashga rozilikingizni va ma’lumot egasi
bilan da’volarning yo’qligini tasdiqlash;
O’zRMarkaziy banki tomonidan belgilangan tartibda ma’lumotlarning saqlanishini
ta’minlash;
axborot egasini, uning ma’lumotlari himoyasi buzilganligi to’g’risidagi barcha holatlar
to’g’risida xabardor qilish;
davlat sirlari bo’lgan yoki sir saqlanadigan ma’lumotlarning O’zR Vazirlar Mahkamasi
tomonidan belgilangan tartibda saqlanishini ta’minlash.
ABTda texnik vositalarni, shuningdek, davlat sirlarini o’z ichiga olgan yoki maxfiy
bo’lgan ma’lumotlarni qayta ishlaydigan ushbu tizimni (shu jumladan kriptografik) himoya
qilish vositalarini sertifikatlashtirish qonun xujjatlariga muvofiq amalga oshiriladi. Turli xil
tijorat, shu jumladan bank siri bo’lgan axborotning maxfiyligi tushunchasi, O’zRqonun
xujjatlarida belgilangan tartibda, uni tashkil etuvchi ruxsatsiz ma’lumotlarga kirishning
qonuniy cheklanishini belgilash bilan bog’liq.
Bankning ABT tizimida axborotni himoya qilish obyektlarini tasniflash to’g’risida
to’xtalamiz. Ular:
bank axborot resurslarini shakllantirish, tarqatish va ulardan foydalanish tizimi:
har xil darajadagi va maqsaddagi axborot tizimlari, ma’lumotlar bazalari va ma’lumotlar
banki,
axborot texnologiyalari, shu jumladan ma’lumotlarni to’plash, qayta ishlash, saqlash va
uzatish qoidalari va tartiblari;
ABT ishlab chiquvchilarining ilmiy va texnik xodimlari,
ABT foydalanuvchilari va ularning bank xodimlari;
axborot infratuzilmasi:
ma’lumotlarni qayta ishlash va tahlil qilish markazlari,
ma’lumotlarni qayta ishlash, uzatish va namoyish qilish uchun apparat va dasturiy
ta’minot,
axborot almashish va telekommunikasiya kanallari,
19
axborotni himoya qilish tizimlari va vositalari;
banking axborot bank tizimlarining tarkibiy qismlari joylashgan obyektlar va binolar;
kirish imkoniyati cheklangan ma’lumotlarga ega bo’lgan muzokaralar olib boriladigan
xonalar va ofislar;
himoyalangan ma’lumotlarga taalluqli va tashuvchilar shaklida taqdim yetiladigan
axborot resurslari:
magnit va optik asosda,
informatsion sohalar,
ma’lumotlar massivlari va ma’lumotlar bazalari;
asosiy texnik vositalar va tizimlar, yordamchi texnik vositalar, aloqa tizimlari va
tarmoqlari;
binolar va binolarning yordamchi texnik vositalari va tizimlari:
himoyalangan obyektlar bilan bog’liq ma’lumotlarni o’z ichiga olgan ma’lumotni qayta
ishlaydigan (tarqatiladigan) bino;
maxfiy muzokaralar uchun mo’jallangan xonalar.
Jinoiy taxdidlardan himoyalangan bank ma’lumotlari ikki turga bo’linadi:
tijorat va bank sirlarini tashkil etuvchi cheklangan ma’lumotlar (masalan, tijorat, soliq
yoki bank sirlarini tashkil etuvchi ma’lumotlarni noqonuniy olish va oshkor qilish");
kompyuter ma’lumotlari, ushbu turdagi ma’lumotlarga jinoiy noqonuniy tajovuz sifatida:
kompyuter ma’lumotlariga noqonuniy kirish,
zararli kompyuter dasturlarini yaratish, ulardan foydalanish va tarqatish,
kompyuter ma’lumotlari va axborot va telekommunikatsiya tarmoqlarini saqlash,
qayta ishlash yoki uzatish vositalarining ishlash qoidalarini buzish.
Quyidagi mezonlar bo’yicha himoyalangan ma’lumotni tizimlashtirish bank
xavfsizligini ta’minlashda amaliy ahamiyatga ega:
joylashgan vosita turi bo’yicha (jismoniy muhit to’g’risidagi ma’lumotlar - qog’oz,
magnit, fizik maydon va ularning turlari yoki og’zaki bayon etilgan ma’lumotlar);
joylashgan joyi (xujjatdagi ma’lumotlar binolarda, kompyuter uskunalari va
kommunikatsiyalarida tarqaladi);
taqdimot shakli (matn shaklida, kompyuter dasturlari ko’rinishida).
ABTning egasi O’zRMarkaziy banki tomonidan belgilangan qoidalarga muvofiq
axborotning saqlanishini ta’minlashi, axborot egasini o’z ma’lumotlari himoyasi
buzilganligi to’g’risidagi barcha holatlar to’g’risida xabardor qilishi, davlat sirlari bo’lgan
yoki maxfiy bo’lgan ma’lumotlarning saqlanishini ta’minlashi shart, O’zRVazirlar
Mahkamasi tomonidan belgilangan tartibda. Shu sababli, O’zRMarkaziy banki va banklar
ABTda axborot xavfsizligi tizimini (AXT) yaratishi kerak.
ABTda AXT ning asosiy funksiyalari quyidagilardan iborat:
axborot xavfsizligini ta’minlash ustidan nazoratni tashkil etish;
axborot xavfsizligi masalalari bo’yicha uslubiy va amaliy yordam ko’rsatish;
loyihalash, sinovdan o’tkazish va ABT da qabul qilishda qatnashish;
20
ma’lumotlarga ruxsatsiz kirishga urinishlar, boshqa aralashuv shakllari va tizim
qoidalarini buzgan holda aniqlanganda ABT-da ma’lumotni himoya qilish choralarini
ko’rish;
axborotni muhofaza qilish tadbirlarining holati va samaradorligini tahlil qilish;
qonunga muvofiq boshqa vakolatlarni amalga oshirish.
Kompyuter ma’lumotlarini himoya qilish sohasida ichki nazorat xizmatining
vazifalari va vakolatlari. Normativ hujjatlarga muvofiq, kompyuter (va boshqa
himoyalangan) axborotni himoya qilishda bankning ichki nazorat xizmatining ishtiroki
bankda belgilangan xodimlarni tanlash va joylashtirish mezonlariga rioya etilishini nazorat
qilish bilan boshlanishi kerak (bunday mezonlar shubhali biznes va jamoatchilik obro’siga
ega bo’lgan shaxslar bilan mehnat shartnomalari tuzishni istisno qilish maqsadida
belgilanadi, shuningdek yetarli darajada vakolatini o’rnatadi.
Bundan tashqari, xodimlar bilan tuzilgan mehnat shartnomalarida (kontraktlarda)
himoyalangan ma’lumotlarning saqlanishini ta’minlash bo’yicha tegishli majburiyatlarning
mavjudligi tekshiriladi. Yangi qabul qilingan yoki tegishli lavozimga tayinlangan xodim o’z
vazifalarini tartibga soluvchi ko’rsatma bilan tanishganmi yoki yo’qmi belgilanadi.
Joriy nazorat jarayonida xodim tomonidan tegishli bank va boshqa operasiyalarni
amalga oshirishning belgilangan qoidalariga rioya etilishini nazorat qiluvchi tizimlarning
samaradorligi va samaradorligi tekshiriladi. Bu holda nazorat tizimlarining samaradorligi va
samaradorligi xodimning belgilangan vakolatlardan tashqariga chiqishini istisno qiluvchi
tartib-qoidalar va mexanizmlarning mavjudligi tushuniladi.
Nazoratga olinadigan shaxslar orasida, xususan, bank ma’lumotlarini cheklangan tarzda
himoya qilish tartibi, xodimlarning bankdagi mavjud axborotdan foydalanishini tashkil
etish, ularning vakolatlariga qarab, ichki tartibga soluvchi hujjatlar bilan belgilanadi.
Nazorat tadbirlari bank faoliyatini tartibga soluvchi hujjatlar to’plami mavjudligini, shu
jumladan foydalanuvchilarning dasturiy ta’minotdagi operasiyalarni amalga oshirishga
kirish huquqini taqsimlash to’g’risidagi nizomni, shuningdek, kompyuter tizimidagi
ma’lumotlar bazalarini va bankdagi barcha xodimlar uchun lavozim yo’riqnomalarining
mavjudligini tekshirishni qamrab olishi kerak.
Bundan tashqari, bank axborot tizimining holati va uning xavfsizligini nazorat
qilishning mavjudligi (yoki yo’qligi), shuningdek, bank axborot tizimining xavfsizlik
darajasini baholashning davriyligi qayd etilishi kerak.
Bank xavfsizlik xizmati qonun hujjatlarida va bankning ichki normativ-huquqiy
hujjatlarida belgilangan vakolatlar doirasida bank kompyuter axboroti sohasida noqonuniy
xatti-harakatlarning oldini olish, aniqlash va ularni bartaraf etish choralarini ko’radi.
Yuqorida ko’rsatilgan vazifalarni ma’muriy usullar bilan hal qiluvchi ichki nazorat
xizmatidan farqli o’laroq, bank xavfsizlik xizmati xususiy tergov va sud-tibbiyot usullaridan
foydalanadi.
21
7.2.2. ABTda kompyuter ma’lumotlariga jinoiy noqonuniy tajovuzlarning
oldini olish axborot xavfsizligini ta’minlash choralari
ABTda AXTni tashkil qilish:
axborotni himoya qilish qoidalarini ishlab chiqish va ularga rioya qilish, shuningdek
ABTda ishlov berilgan ma’lumotni muhofaza qilishga qaratilgan chora-tadbirlarning
bajarilishini nazorat qilish;
sertifikatlangan texnik vositalar va axborotni himoya qilish vositalaridan foydalanish;
ABTda axborotni himoya qilish xizmatini yaratish;
ABTda ma’lumotlarni to’plash va ishlov berish usullaridan foydalanishni
muvofiqlashtirish.
Kompyuter ma’lumotlarini himoya qilishni tashkil etish vazifalari maxsus yaratilgan
AXTga yuklangan. Ikkinchisida organlar va (yoki) ijrochilar, axborotni himoya qilishning
texnik vositalari, shuningdek himoya qilish vositalari bo’lishi kerak.
Axborot xavfsizligi tizimini yaratish va ishini tashkil etish axborotni himoya qilish
sohasidagi faoliyatning huquqiy, tashkiliy, ma’muriy va me’yoriy asosi bo’lib xizmat
qiladigan xujjatlarni ishlab chiqish va qabul qilishdan boshlanishi kerak.
Axborotni himoya qilishning asosiy yo’nalishlari huquqiy, tashkiliy, dasturiy va texnik
tadbirlarni amalga oshirish, shu jumladan himoya qilishning kriptografik vositalaridan
foydalanish orqali amalga oshiriladi. Kompyuter ma’lumotlari sohasidagi noqonuniy
noqonuniy tajovuzlarni keltirib chiqaradigan eng keng tarqalgan holatlar:
dasturiy ta’minotni va kompyuterlarni texnik himoyasini tashkil etishda xatolar;
axborot xavfsizligi xizmati tizim ma’murining beparvosi yoki beparvosi (obyektda
ma’lumotni himoya qilish uchun javobgar shaxs);
bankning kompyuter tizimi to’g’risidagi cheklangan ma’lumotni oshkor etuvchi bank
xodimlarining beparvolik yoki ataylab harakatlari.
Bankning kompyuter ma’lumotlarini huquqiy va tashkiliy himoya qilish choralari, bank
tomonidan qonuniy asosda ma’lumotlarning himoya qilinishini ta’minlaydigan tegishli
qoidalar va proseduralarni amalga oshirishni nazarda tutuvchi tartibga soluvchi tabiatning
maxsus ichki yo’riqnomalarini ishlab chiqish va qabul qilishdan iborat.
Ushbu xujjatlar axborotdan foydalanuvchilarning huquqlari va majburiyatlari,
organlarning huquqiy holati, texnik vositalar va uni himoya qilish usullarini aniq tartibga
solishga qaratilgan qoidalar, ko’rsatmalar, ko’rsatmalar tizimidan iborat.
Shu asosda, bank boshqaruvchilarining cheklangan ma’lumotlarga ma’lumot berish
vakolatlari o’rnatildi va maxfiylik tamg’asini tayinlash va olib tashlash tartibi yoriy yetildi.
Kirish imkoniyati cheklangan axborot tashuvchilarining xavfsizligini, shuningdek,
ma’lumotlarning texnik va jismoniy himoyasini ta’minlash uchun maxsus xujjat ishlari
tashkil etilgan.
22
A’zoning shaxsiy javobgarligi unga ishonib topshirilgan xujjatlarning xavfsizligi,
axborot tizimida noqonuniy xatti-harakatlar, himoyalangan ma’lumot bilan ruxsatsiz
tanishish, buzib tashlash yoki yo’q qilishga olib keladigan, ma’lumotni qonuniy
foydalanuvchilar foydalana olmaydigan holga keltirganligi uchun javobgar bo’ladi. Shu
maqsadda, ijrochilarning kompyuter ma’lumotlari, turli darajadagi xujjatlar va ma’lumotlar
bilan ishlashiga ruxsat berish tizimi tashkil yetilmoqda.
Bank axborotni himoya qilish xizmati ma’muriati - bankda ma’lumotni himoya qilish
uchun javobgar shaxsning vazifalari, huquqlari, funksiyalari, majburiyatlari va
javobgarliklarini belgilaydigan lavozim tavsifini ishlab chiqadi va kuchga kiritadi.
Ushbu bankning ichki yo’riqnomada axborot xavfsizligi vositalarining rasmiy
xujjatlarini yuritish (parollar, kalitlar, kirish huquqiga ega bo’lgan shaxslar ro’yxatini
o’zgartirish) va ularning ishonchli saqlanishini tashkil etish tartibi ko’zda tutilishi kerak.
Axborot xavfsizligi xizmati ma’muri zimmasiga dasturiy va apparat vositalarining
yaxlitligini tezkor kuzatib borish, axborotga ishlov berish texnologik jarayonining borishini
kuzatib borish vazifasi yuklatilgan. Ko’rsatmalarga muvofiq, axborotni himoya qilish
xizmati ma’muri:
yozuvlarni saqlash, cheklangan foydalanish imkoni bo’lgan saqlash vositalarining
foydalanuvchilariga, bosma materiallar uchun ro’yxatdan o’tgan qog’ozlar (buxgalteriya
ma’lumotlarini chop etish va bosma materiallar chiqarilishini nazorat qilish uchun dastur
mavjud bo’lmaganda), parol va axborotni himoya qilish vositalariga kalitlar berish;
ishlamay qolganda tarmoq tarkibiy qismidagi har qanday o’zgarishlarni aniqlash uchun
AXT-ni har kuni kuzatib borish,
zaifliklarni aniqlash uchun vaqti-vaqti bilan AXT-ni sinovdan o’tkazish;
cheklangan kirish ma’lumotlarini avtomatlashtirilgan qayta ishlash amalga oshiriladigan
binolarni jismoniy muhofaza qilishni tashkil etish, bankning axborot tizimi
foydalanuvchilarining xatti-harakatlari ustidan tezkor nazoratni amalga oshirish;
tashhkilotni muhofaza qilish vazifalariga foydalanuvchilarni muhofaza qilinadigan
ma’lumotlar bilan xavfsiz ishlash qoidalariga o’rgatish va axborotni noqonuniy buzish
belgilari bilan tanishtirishga qaratilgan tadbirlar kiritilishi kerak.
ABT ishonchliligi oshishiga asosiy tizimlardan va boshqa muhim ma’lumotlardan zaxira
nusxalarini ishlab chiqarish kabi choralar yordam beradi. Nomlangan nusxalar begonalar
tomonidan ularga kirish huquqini istisno qiladigan sharoitda saqlanishi kerak.
Axborotni himoya qilish xizmati ma’muri bilan bir qatorda, ichki nazorat va xavfsizlik
xizmatlari bankning axborot xavfsizligi subyekti hisoblanadi.
Bu shuni anglatadiki, bank tomonidan himoya qilinadigan ma’lumotlarga (tijorat, bank
sirlari va rasmiy sirlar; himoyalangan kompyuter ma’lumotlari) noqonuniy noqonuniy
tajovuzlarning oldini olish vazifasi bankning axborotni himoya qilish, xavfsizlik va ichki
nazorat xizmatlariga o’z vakolatlari doirasida yuklangan. Ushbu tuzilmalar o’z vakolatlari
doirasida maxfiy yozuvlar tizimini va kompyuter ma’lumotlarini himoya qilish tizimining
ishlashini nazorat qiladi.
23
Maxfiy yozuvlarni saqlash va kompyuter ma’lumotlarini himoya qilish bo’yicha
lavozim yo’riqnomalari talablari zararli oqibatlarga olib kelishi mumkinligi aniqlangan
hollarda, nazorat qiluvchi bo’linmalar xodimlari buzilishlarni bartaraf etish choralarini
ko’radilar va kerak bo’lganda aybdor shaxslarga jazo choralarini taklif qilish bilan tashkilot
rahbariyatiga murojaat qiladilar.
Bankning yuqorida ko’rsatilgan bo’linmalari xodimlari tijorat siri bo’lgan xujjatlarni
o’g’irlash va yo’qolish holatlarining oldini olish va oldini olish, ushbu ma’lumotni
noqonuniy olish, oshkor qilish va ishlatish, kompyuter ma’lumotlariga noqonuniy kirish,
kompyuter ma’lumotlari va axborot va telekommunikatsiya vositalarini saqlash, qayta
ishlash yoki uzatish vositalaridan foydalanish qoidalarini buzish holatlarini oldini olish
choralarini ko’rmoqda. tarmoqlar.
Kompyuter ma’lumotlarini himoya qilish sohasidagi ichki nazorat xizmatining
vazifalari va vakolatlari O’zR Markaziy bankining 05.23.2017 yildagi 2886-sonli
"Ichki nazorat tizimini tashkil etish" qoidalarining 2-qismida keltirilgan.
Bankning ichki nazorat xizmatining kompyuter (va boshqa himoya qilinadigan)
ma’lumotni himoya qilishda ishtirok etishi bank tomonidan belgilangan xodimlarni tanlash
va joylashtirish mezonlariga muvofiqligini monitoring qilishdan boshlanishi kerak (bunday
mezonlar shubhali biznes va jamoat obro’siga ega bo’lgan shaxslar bilan mehnat
shartnomalari (shartnomalar) tuzilishini istisno qilish maqsadida belgilanadi). shuningdek
yetarlicha vakolatli emas).
Bundan tashqari, u ishchilar bilan tuzilgan mehnat shartnomalarida, himoyalangan
ma’lumotlarning saqlanishini ta’minlash bo’yicha majburiyatlarning mavjudligini
tekshiradi. Yangi ishga yollangan yoki tayinlangan xodim o’z vazifalarini tartibga soluvchi
ko’rsatmalar bilan tanishib chiqqani aniqlanadi.
Yoriy nazoratni amalga oshirish jarayonida xodimlarning tegishli bank va boshqa
operasiyalarni amalga oshirish uchun o’rnatilgan qoidalarga rioya qilishini nazorat qiluvchi
tizimlarning samaradorligi va ishlash qobiliyati tekshiriladi. Bunday holda, boshqaruv
tizimlarining samaradorligi va samaradorligi xodimning belgilangan vakolatlardan
tashqariga chiqishini istisno yetadigan tartib va mexanizmlarning mavjudligi tushuniladi.
Nazorat predmeti, xususan, cheklangan bank ma’lumotlarini himoya qilish, ichki
normativ xujjatlar bilan belgilangan vakolatlariga qarab, xodimlarning bankda mavjud
bo’lgan ma’lumotlarga kirishini tashkil etish tartibini o’z ichiga oladi.
Nazorat choralari bank faoliyatini tartibga soluvchi xujjatlar to’plamining mavjudligini
tekshirishni, shu jumladan dasturiy ta’minotda, shuningdek kompyuter tizimidagi
ma’lumotlar bazasida foydalanuvchiga kirish huquqini taqsimlash to’g’risidagi nizomni va
bankdagi barcha xodimlar uchun lavozim yo’riqlarining mavjudligini tekshirishni o’z ichiga
olishi kerak.
Bundan tashqari, bankning axborot tizimining holati va uning xavfsizligi ustidan
nazoratning mavjudligi (yoki yo’qligi), shuningdek bankning axborot tizimining xavfsizlik
darajasini baholash chastotasi qayd qilinishi kerak.
24
Bankning ichki nazorati va xavfsizlik xizmatlari qonun xujjatlarida va bankning ichki
normativ-huquqiy xujjatlarida belgilangan vakolatlar doirasida bankning kompyuter
axboroti sohasida noqonuniy xatti-harakatlarning oldini olish, aniqlash va oldini olish
choralarini ko’radi.
Yuqoridagi vazifalarni ma’muriy usullar bilan hal qiladigan ichki nazorat xizmatidan
farqli o’laroq, bankning xavfsizlik xizmati shaxsiy tekshirish va tekshiruv yekspertizasi
usullaridan foydalanadi, bizning amaliyotimizda ko’pincha ushbu xizmatlarning xodimlari
bunday bilim va tajribaga ega emaslar.
Bankning xavfsizlik axborot tizimiga noqonuniy noqonuniy tajovuzlarni aniqlash, oldini
olish va oldini olish. Aniqlangan noqonuniy harakatlar yoki AXT bilan bog’lanish tartibini
buzish holatlari tegishli auditni (ichki tergov) o’tkazishga qaror qilgan bank rahbariga ko’rib
chiqish uchun taqdim yetiladi.
Uni o’tkazish jarayonida voqyea sodir bo’lgan holatlar aniqlanadi, aniq shaxslarning
ayblari, yetkazilgan zarar miqdori, huquqbuzarlik sodir yetilishiga yordam beradigan
sabablar va shartlar aniqlanadi.
Voqyea bilan bog’liq haqiqiy ma’lumotlar belgilangan tartibda xujjatlashtiriladi va
tashkilot xodimini intizomiy jazoga tortish yoki u bilan mehnat shartnomasini bekor qilish
va ishdan bo’shatish to’g’risida qaror qabul qilish uchun asos bo’lishi mumkin. Tekshiruv
natijasida olingan haqiqiy ma’lumotlar, agar kerak bo’lsa, tekshiruvda, arbitrayda yoki
arbitrayda dalil sifatida ishlatiladi.
Bank, tijorat yoki xizmat siri, kompyuter ma’lumotlarini himoya qilish tartibini buzish
bilan bog’liq masalalarni ko’rib chiqish cheklangan ma’lumotlarga ega bo’lgan bank - ichki
faoliyatning ustuvor vazifasidir. Ushbu turdagi insidentlarning sabablarini aniqlash,
shuningdek, tashkilot xodimlari tomonidan ruxsat etilgan shaxsiy ma’lumotlarni saqlash
yoki kompyuter ma’lumotlarini himoya qilish bo’yicha ko’rsatmalarning qo’pol buzilishini
aniqlash va o’rganish uchun amalga oshiriladi.
Ishning maqsadi - muayyan shaxslarning aybini aniqlash, yetkazilgan zarar miqdorini
aniqlash, noqonuniy harakatlar va savdo sirlarini himoya qilish buzilishining sabablari va
shartlarini aniqlash. Ishning materiallari aniqlangan noqonuniy xatti-harakatlarning oldini
olish, buzilgan huquqlarni tiklash va yetkazilgan zararni qoplash uchun huquqni muhofaza
qilish organlariga yoki tekshiruvga yuborilishi mumkin.
Tekshiruv jarayoni - bu tashkilot xodimlari, shuningdek boshqa shaxslar bilan (ularning
roziligi bilan) suhbatlashish natijasida olingan voqyea bilan bog’liq ma’lumotlarni ommaviy
ravishda to’plash va xujjatlashtirish jarayoni. Tekshiruv jarayoni tashkilot rahbari
tomonidan tayinlanadi va tegishli buyruq asosida tashkilotning (komissiyaning) bir guruh
xodimlari tomonidan amalga oshiriladi.
Bank komissiyasi a’zolariga ish joylarini, tashkilot hududini, seyflarni, stollarni,
shkaflarni, qiziqish xujjatlari va boshqa axborot tashuvchilar joylashgan boshqa joylarni
tekshirish huquqi beriladi; cheklangan kirish xujjatlari, jurnallar va xujjatlarni ro’yxatga
olish kartochkalari orqali ularning qabul qilinishi va o’tganligini aks yettiruvchi xujjatlarni
25
tekshirish; tashkilot ishchilari bilan suhbatlashing va ulardan yozma tushuntirishlarni
tanlash.
Ishni yuritayotgan shaxslarning xatti-harakatlarining tashkiliy asosi ichki tergov
o’tkazish tartibi (ichki ish yuritish) to’g’risidagi ichki yo’riqnomadir. U bank tomonidan
ishlab chiqilgan va boshqaruv raisi buyrug’i bilan tasdiqlangan.
Bankning ushbu ichki yo’riqnomalarining mazmuni, qoida tariqasida, protsessni
o’tkazish sabablari, asoslari va vazifalariga, uni tayinlash tartibi, vaqti, ma’lumot to’plash
va yozib olish usullari, shuningdek protsessda ishtirok yetayotgan shaxslarning vakolatlari,
protsessda olingan ma’lumotlardan foydalanishga bag’ishlangan bo’limlarni o’z ichiga
oladi.
Ko’pincha, tekshiruv jarayoni natijasida, tashkilot ishchilari bo’lmagan fuqarolarning
tijorat sirlariga noqonuniy noqonuniy tajovuzlarga aloqadorligi to’g’risida ma’lumot olish
mumkin. Bunday hollarda voqyea (fakt) mohiyatini keyingi tekshirish komissiya
vakolatlaridan (va imkoniyatlardan) tashqarida bo’ladi va detektiv ishlarni talab qiladi.
Bunday holda, komissiya a’zolari qatoriga kotibiyat bilan birga tergovchining ixtiyorida
bo’lgan xavfsizlik xizmatining (korxonaning xavfsizlik va detektiv bo’linmasi) xodimlarini
kiritish tavsiya yetiladi.
Tekshiruv o’tkazish bilan xavfsizlik xizmati xodimlari biznesda nohaq raqobat va
noqonuniy foydalanish holatlarini, shuningdek tijorat sirini tashkil etuvchi ma’lumotlarni
oshkor qilish holatlarini aniqlashlari mumkin. Shu bilan birga, yo’riqnoma xavfsizlik
xodimlariga fuqarolar va mansabdor shaxslar bilan suhbatlashish (ularning roziligi bilan),
so’rovlar o’tkazish, obyektlar va xujjatlarni o’rganish (egalarining yozma roziligi bilan),
binolar, qurilmalar va boshqa obyektlarni tekshirish, zarur ma’lumotlarni olish uchun
monitoring o’tkazish imkonini beradi.
Amalga oshirish jarayonida fuqarolarning hayoti va sog’lig’i va atrof-muhitga zarar
yetkazmaydigan video va audio yozuvlar, kino va fotosuratlar, texnik va boshqa
vositalardan foydalanishga yo’l qo’yildi.
Komissiya ishining natijalariga ko’ra o’rganilgan voqyeaning mohiyati: maxfiy yozuvni
saqlash qoidalarini buzish joyi, vaqti va usuli, buzilishning sabablari, oqibatlari va boshqa
muhim holatlar to’g’risida xulosa tuziladi; huquqbuzarliklar va aybdorlikni tasdiqlovchi
ma’lumotlar, huquqbuzarlar ularni himoya qilishda keltirgan dalillar va ularni tekshirish
natijalari.
Vakolatsiz shaxslar tomonidan cheklangan kirish to’g’risidagi ma’lumotni noqonuniy
olib qo’yganligini ko’rsatadigan holatlar aniqlangan taqdirda, ish materiallari moddiy
zararni qoplash to’g’risida da’vo arizasini berish uchun asos bo’lishi mumkin.
Ular da’vogarning talablarini tasdiqlovchi dalillardir. Agar komissiya faoliyati
natijasida tijorat siri (yoki boshqa har qanday jinoyat) bo’lgan ma’lumotlarni noqonuniy
olish va oshkor qilish bilan bog’liq jinoyat sodir etilganligini ko’rsatuvchi ma’lumotlar
aniqlansa, tashkilot rahbariyati bu haqda huquqni muhofaza qilish organlarini xabardor
26
qilishi shart. Ushbu holatlardagi ish materiallari ushbu moddalarda belgilangan tartibda
tuzilgan jinoyat to’g’risida xabarga ilova qilinadi.
O’zR Jinoyat-prosessual kodeksiga ko’ra xavfsizlik xizmatining jinoyat ishi bo’yicha
ma’lumot to’plashda ishtirok etishining ahamiyati yo’q. Agar bank hisoboti tergovga sabab
bo’lgan bo’lsa yoki boshqa manbalardan olingan ma’lumotlar asosida jinoyat ishi ochilgan
bo’lsa, xavfsizlik xizmati surishtiruvni amalga oshirayotgan shaxsga, jumladan tergovchiga,
prokurorga yoki jinoiy ish yuritilayotgan tekshiruvga bunday buyruq mavjudligi to’g’risida
xabar berishi shart.
Shunday qilib, shuni ta’kidlash kerakki, kompyuter ma’lumotlarini ishonchli himoya
qilish yuqorida keltirilgan barcha vositalar va usullardan kompleks foydalanishni o’z ichiga
oladi.
Axborot xavfsizligi sohasidagi mutaxassislarning fikriga ko’ra, eng ilg’or
texnologiyalar, rivojlanishning to’g’ri strategiyasi boshqaruvdagi kamchiliklardan himoya
qilinmaydi. Biroq, o’ylab chiqilgan boshqarish amaliyoti texnologiyadagi nuqsonlarni har
doim hal qilishi mumkin.
7.2.3. ABTda dasturiy va texnik vositalardan foydalanish orqali
axborotni himoya qilish
Himoya ABT-ga begona odamlar tomonidan kirishga to’sqinlik qiladigan dasturlar va
mexanizmlarni kiritish, shu jumladan parol, shifrlash yoki boshqa usullar yordamida amalga
oshiriladi. Ushbu chora-tadbirlarning qo’llanilishi faqat vakolatga ega bo’lgan shaxslarga
o’qish, yozish, yaratish yoki yo’q qilish imkoniyatini beradi.
Bundan tashqari, ushbu choralar buyruqlar, to’lov topshiriqnomalari, kontraktlar va
boshqa ma’muriy va moliyaviy xujjatlarni o’z ichiga olgan axborot xabarlarini qayta
ishlash, saqlash va uzatish jarayonida elektron xujjatlarning huquqiy kuchini himoya
qilishga yordam beradi.
Elektron xujjatni qalbakilashtirishdan himoya qilish uchun elektron raqamli imzo
(shaxsiy kalit yordamida ma’lumotni kriptografik almashtirish natijasida olingan elektron
xujjat rekvizitlari) ishlatiladi.
ABT parollar, kalitlar, elektron imzolar, shuningdek foydalanuvchi identifikatorining
biometrik xususiyatlaridan foydalanishga asoslangan identifikasiya va autentifikatsiya qilish
mexanizmlari (foydalanuvchi autentifikatsiyasi) bilan jihozlangan.
Majburiy kirish tartibi o’rnatiladi, unda foydalanuvchi faqat maxsus nomlangan
obyektlarga (fayllar, papkalar, dasturlar, xajmlar) kirish huquqiga ega va faqat o’zi yoki bir
guruh xodimlar uchun maxsus ruxsat berilgan doirada (obyekt (fayl) o’qing, kiring). yozib
oling, nusxa oling).
Shu maqsadda har bir foydalanuvchi va har bir xujjat uchun tasniflash yorliqlari
beriladi, ular tegishli iyerarxiyadagi o’rnini aks yettiradi, bu ma’lumotlarga kirishni
cheklash bo’yicha mandat prinsipi uchun asos bo’lib xizmat qiladi.
27
AXT dasturiy va texnik ta’minotining muhim elementi axborot xavfsizligi bilan bog’liq
hodisalarning axborot tizimini avtomatik ro’yxatga olish (jurnalga tushirish) hisoblanadi.
Bular himoyalangan ma’lumotlarga kirish (masalan, faylni ochish, dasturni ishga tushirish),
shuningdek, xujjat yaratish va yo’q qilishda ruxsat etilgan (va ruxsatsiz urinishlar)
faktlarini hisobga olish.
Ushbu hodisalarning har biri uchun yozilgan: sana va vaqt; aniq foydalanuvchi; tadbir
turi (agar kirish so’rovi ro’yxatdan o’tgan bo’lsa, unda kirish obyekti va turi belgilanadi);
kirish so’rovi xizmat ko’rsatiladimi yoki yo’qmi.
Bundan tashqari, axborotga egalik huquqini va uning maxsus huquqiy rejimi to’g’risida
ogohlantirishni o’rnatish uchun kompyuter vositalari xujjatning tasniflash yorlig’i
(tafsilotlar) bilan birga qog’ozga chiqarilishini ta’minlashi kerak.
AXT-ning dasturiy usullari, shuningdek, o’z-o’zini boshqarish va o’zini davolash
mexanizmlari bilan jihozlangan maxsus shifrlangan qo’shimchalar tufayli ruxsatsiz
o’zgartirish imkoniyatidan himoyalangan virusga chidamli dasturiy ta’minotdan
foydalanishni, vaqti-vaqti bilan virus faoliyatining izlarini (masalan, dasturiy ta’minot
yaxlitligi buzilishini aniqlash) tekshiradigan maxsus analizator dasturlarini o’rnatish,
shuningdek, yangi dasturlarni ular kompyuter tizimiga kiritilishidan oldin, ularning tanasida
virus shakllanishining xarakterli belgilari bilan boshqarish o’z ichiga olishi kerak.
7.3. ABT da axborotni muhofaza qilish uslubiyoti va mexanizmi
7.3.1.O’zR tijorat banklari ABT da axborotni muhofaza qilish maqsadi va vazifalari
“ABTda axborotni muhofaza qilish to’g’risida”gi 2006 yil 4 apreldagi O’RQ–30-
sonli Qonunning maqsadi axborotni muhofaza qilish sohasidagi munosabatlarni tartibga
solishdan iborat. Agar O’zR xalqaro shartnomasida O’zR ABTda axborotni muhofaza qilish
to’g’risidagi qonun hujjatlarida nazarda tutilganidan boshqacha qoidalar belgilangan bo’lsa,
xalqaro shartnoma qoidalari qo’llaniladi.
ABT bank faoliyati sohasida axborotni to’plash, saqlash, izlash, unga ishlov berish va
undan foydalanishni amalga oshirish uchun mo’ljallangan axborot tizimidir.
ABTda axborotni muhofaza qilish quyidagi maqsadlarda amalga oshiriladi:
banklarning axborot xavfsizligini ta’minlash va bank sirini muhofaza qilish;
axborotning tarqalib ketishi, o’g’irlanishi, yo’qotilishi, buzib talqin etilishi, to’sib
qo’yilishi, qalbakilashtirilishi va undan o’zgacha tarzda ruxsatsiz foydalanilishi,
shuningdek nusxa olinishining hamda ABTga boshqacha shakldagi aralashuvlarning
oldini olish.
ABTda axborotning muhofaza qilinishini tashkil etish masalalari quyidagilar:
texnika vositalari va axborotni muhofaza qilish vositalaridan foydalanish;
ABTda axborotni
muhofaza qilish xizmatini tashkil etish;
28
ABTda axborot axborotni muhofaza qilish qoidalarini ishlab chiqish hamda ularga rioya
etish, shuningdek ABTda ishlov beriladigan axborotni muhofaza qilishga qaratilgan
chora-tadbirlarning bajarilishi ustidan nazorat qilish;
sertifikatlangan to’plashga doir faoliyatni va unga ishlov berish usullaridan foydalanishni
muvofiqlashtirish yo’li bilan amalga oshiriladi.
ABTda axborotdan foydalanish uchun ABTdan foydalanuvchi ABTda axborot
mulkdorining ruxsatini olishi kerak. ABT mulkdori yuridik shaxs bo’lishi kerak.
ABT mulkdori axborot mulkdori va ABTdan foydalanuvchi o’rtasidagi o’zaro
munosabatlarni muvofiqlashtiradi. ABT mulkdori:
axborot mulkdorini va ABTdan foydalanuvchini ABTda axborotga ishlov berish
usullarining o’ziga xos xususiyatlari to’g’risida xabardor qilishi, axborot mulkdori va
ABTdan foydalanuvchi esa taklif etilgan ishlov berish usullarining qo’llanilishiga rozi
ekanligini va e’tirozlari yo’qligini tasdiqlashi shart.
O’zR Markaziy banki tomonidan belgilangan qoidalarga muvofiq axborotning muhofaza
qilinishini ta’minlashi hamda axborot mulkdorini uning axboroti muhofazasi
buzilishining barcha hollari to’g’risida xabardor qilishi shart.
davlat sirlarini o’z ichiga olgan yoki maxfiy hisoblangan axborotning muhofaza
qilinishini O’zR Vazirlar Mahkamasi tomonidan belgilangan tartibda ta’minlashi shart.
ABTdagi texnika vositalarini, shuningdek bu tizimning davlat sirlarini o’z ichiga olgan
yoki maxfiy hisoblangan axborotga ishlov beruvchi muhofaza vositalarini (shu jumladan
kriptografiya vositalarini) sertifikatlashtirish qonun hujjatlariga muvofiq amalga oshiriladi.
O’zR Markaziy bankida va banklarda ABTda axborotni muhofaza qilish xizmati
tashkil etilishi kerak va uning asosiy vazifalari quyidagilardan iborat:
axborotning saqlanishini ta’minlash ustidan nazoratni tashkil etish;
axborotni muhofaza qilish masalalarida uslubiy va amaliy yordam ko’rsatish;
ABTda axborotni muhofaza qilish tizimini loyihalash, sinovdan o’tkazish va qabul qilib
olishda ishtirok etish;
ABTda axborotdan ruxsatsiz foydalanishga urinishlar bo’lganligi, unga boshqacha
shaklda aralashilganligi aniqlanganda hamda tizimning ishlash qoidalari buzilganda
mazkur tizimdagi axborotni muhofaza qilish chora-tadbirlarini ko’rish;
axborotni muhofaza qilish chora-tadbirlarining holati va samaradorligini tahlil etish.
Avtomatlashtirilgan
bank
tizimlari
(ABT)da
axborotni
muhofaza qilish
O’zR"Avtomatlashtirilgan bank tizimlarida axborotni muhofaza qilish to’g’risida"gi
Qonuniga muvofiq amalga oshiriladi.
O’zR Markaziy banki Boshqaruvining 2006 yil 17 yanvardagi 631 (1/8)-sonli qarori
bilan tasdiqlangan 1552-sonli “O’zR tijorat banklari avtomatlashtirilgan bank tizimlari
(ABT)da axborotni muhofaza qilish to’g’risida”gi Nizom qoidalari asosida yuritiladi.
29
Nizomdagi qoidalar O’zR tijorat banklarining ABTda ishlov beriladigan hujjatlardagi
ma’lumotlarni muhofaza qilishning umumiy tartibi va tijorat banklari faoliyatida ABTning
uzluksiz ishlashini ta’minlash chora-tadbirlari hamda mas’ul xodimlarning javobgarligini
belgilaydilar.
Tijorat banklarida elektron to’lov tizimi axborotlarini muhofaza qilishni tashkil etiladi.
Tijorat banklarining rahbarlari, bosh buxgalteri bank balansida va elektron to’lovlar tizimi
orqali o’tkazilgan to’lov hujjatlarida aks ettirilgan ma’lumotlarning but saqlanishi,
shuningdek ma’lumotlarning o’zgartirishsiz, to’g’ri uzatilishi uchun shaxsan javob
beradilar. Bu masala buyicha ular o’z bank filiallarida bank sirini himoyalash bo’yicha,
Lokal tarmoq administratori, Axborot muhofazasi, shuningdek antivirus ishlarini yuritish
uchun javobgar xodimlarni tayinlashlari zarur.
Tijorat banklarining rahbarlari elektron to’lovlarni tayyorlovchi xodim (keyingi
o’rinlarda mas’ul xodim) bilan amaldagi mehnat qonunchiligiga muvofiq to’liq moddiy
javobgarlik to’g’risida yozma shartnoma tuzishlari lozim. Mas’ul xodim to’lov tizimiga
kiritayotgan ma’lumotlarning to’g’ri, aniq va qonuniy kiritganligi uchun javobgardir.
ABTda ma’lumotlar kiritish va o’zgartirish vakolatiga ega bo’lgan har bir mas’ul
xodimning ishchi stansiyalari mazkur tizimga ulanishga ruxsat beruvchi apparat -
dasturiy qurilmalar bilan jihozlanishi lozim.
Bosh banklarning To’lov markazidagi kompyuter va serverlariga bankning umumiy
lokal tarmog’iga ulangan ishchi stansiyalarning kirish (ko’rish) imkoniyati bo’lmasligi
lozim. Tizimga ulanishga ruxsat beruvchi apparat – dasturiy qurilmalarni boshqa shaxslarga
berish va qarovsiz qoldirish taqiqlanadi.
Barcha to’lov xujjatlari alohida xonada joylashgan va lokal tarmoq orqali ulangan
printerda qog’ozga chop etilishi va belgilangan tartibda imzolar bilan rasmiylashtirilishi
lozim.
Har bir Bosh bank va elektron to’lovlar bazasi bor filiallar bank amaliyot kunini tashkil
etish hamda elektron to’lovlar tizimi orqali filiallararo va banklararo hisob-kitoblarni
amalga oshirish bo’yicha tuzilma tashkil etishi shart.
Elektron to’lov tizimida ishlayotgan Bosh banklar har bir filialdan o’tadigan to’lov
hujjatlarining elektron imzo bilan tasdiqlanishini apparat-dasturiy qurilmalar yordamida
amalga oshiradilar.
Elektron to’lovlar tijorat banklarida quyidagi shakllarda amalga oshiriladi:
fayl ko’rinishida (off-line):
bank filialining bosh buxgalteri mas’ul xodimlar kiritgan ma’lumotlarni tekshirib va uni
o’ziga biriktirilgan elektron raqamli imzoning yopiq kaliti bilan tasdiqlaydi va Bosh bank
To’lov markaziga jo’natadi.
30
to’lov markaziga kelib tushgan elektron hujjatning elektron raqamli imzosi haqiqiyligini
tasdiqlash uchun tekshiriladi, elektron raqamli imzo tasdiqlansa, elektron hujjat ishlov
berish uchun qabul qilinadi. Agar elektron raqamli imzo tasdiqlanmasa, elektron hujjat
ishlov berishga qabul qilinmaydi.
elektron hujjatni hosil qilgan filialga elektron hujjatning qabul qilinmaganligi to’g’risida
ma’lumot yuboriladi.
qabul qilingan ma’lumot ishlov berilib, To’lov markazining tegishli elektron raqamli
imzosining yopiq kaliti bilan tasdiqlanib, filialga jo’natiladi.
agar elektron hujjat banklararo to’lov bo’lsa, Bosh bankning To’lov markazi o’z elektron
raqamli imzosining yopiq kaliti bilan tasdiqlab, Markaziy bank Axborotlashtirish Bosh
Markazi "Hisob-kitoblar markazi" (keyingi o’rinlarda ABM HKM)ga jo’natadi.
uzatilgan elektron hujjatning elektron raqamli imzosi haqiqiyligini tasdiqlash uchun
tekshiriladi, Bosh bankning elektron raqamli imzosi tasdiqlansa, ABM HKM tomonidan
elektron hujjat qayta ishlanishiga ruxsat beriladi. Agar Bosh bankning elektron raqamli
imzosi tasdiqlanmasa, tasdiqlanmaganligi to’g’risidagi ma’lumot Bosh bankka
yuboriladi.
axborot bank amaliyot kuni dasturida avtomat tarzda shifrasiya jarayonidan o’tishi va
mazkur bankning To’lov markaziga jo’natilishi lozim.
aniq vaqtda (on-line):
tijorat banki filialining har bir mas’ul xodimi hujjatning asl nusxasidan maket asosida
ma’lumotlarni To’lov markazi serveriga kiritadi va o’ziga biriktirilgan elektron raqamli
imzoning yopiq kaliti bilan tasdiqlaydi, so’ng kiritilgan jadvaldagi elektron to’lov
ma’lumotlarini bosh buxgalter tekshirib, to’lovni amalga oshirishga ruxsat beradi.
elektron hujjatning elektron raqamli imzosi haqiqiyligi tekshirilib, ishlov berishga
olinadi.
ishlov berish natijasida to’lov ma’lumoti shu bankka tegishli bo’lsa, o’sha filialga
tegishli hisobvaraqda aks ettiriladi. Agar elektron raqamli imzo tasdiqlanmasa, elektron
hujjat qayta ishlanishga qabul qilinmaydi.
elektron hujjatni hosil qilgan filialga elektron hujjat qabul qilinmaganligi to’g’risida
ma’lumot yuboriladi. Banklararo to’lov ma’lumoti esa ABM HKMga Bosh bank To’lov
markazi elektron raqamli imzosining yopiq kaliti bilan tasdiqlanib, uzatiladi.
elektron to’lov tizimi orqali jo’natilayotgan yoki qabul qilinayotgan barcha elektron
to’lov hujjatlari so’nggi bazaga ega antivirus dasturi tekshiruvidan o’tkazilishi shart.
Tijorat banklari filiallari bilan Bosh bank To’lov markazi orasidagi, Bosh bank bilan
Markaziy bank Axborotlashtirish Bosh Markazi orasidagi aloqa tarmoqlari buzilganda
axborot quyidagi usullarda uzatilishi va qabul qilinishi mumkin, masalan kommutasiyali
telefon tarmog’i orqali:
31
a) tijorat banki filiali Bosh bankning To’lov markazini yozma ravishda kommutasiyali
telefon tarmog’i orqali ishlashi haqida ogohlantiradi, so’ngra kommutasiyali telefon
tarmog’i orqali axborot almashinuvini amalga oshiradi;
b) kommutasiyali telefon tarmog’i orqali ishlash imkoni bo’lmaganda tijorat bank
filiali o’zining viloyat boshqarmasidan, yoki bank tizimiga tegishli bo’lgan boshqa bank
bo’limi orqali tegishli sozlash ishlarini amalga oshirgan holda o’z identifikatori bilan
axborot almashinuvini amalga oshirishi mumkin;
c) Bosh bank bilan ABM orasidagi aloqa tarmoqlari buzilganda Bosh bank Xavfsizlik
va axborotni muhofaza qilish departamentidan yozma ravishda ruxsat so’raydi, so’ngra o’z
tizimiga tegishli bo’lgan bank bo’limi orqali kerakli sozlash ishlarini amalga oshirib, ABM
bilan axborot almashinuvini amalga oshiradi.
Bosh bank bilan uning filiallari orasidagi, Bosh bank bilan ABM orasidagi aloqa
tarmoqlari yoki elektr manbai buzilganda, axborot almashinuvini tijorat banklari tashqi
saqlovchi vositalar yordamida quyidagicha uzatishi va qabul qilishi mumkin:
a) Bosh bank To’lov markazi bilan uning filiallari yoki ABM bilan Bosh bank elektron
hujjatlarni tashqi saqlovchi vositalar yordamida almashuvini amalga oshirish uchun,
almashuv tashabbuskori (uzatuvchi bank yoki filial) bo’lgan filial yoki Bosh bank
tomonidan elektron hujjatni qabul qiluvchi Bosh bank to’lov markazi yoki ABM boshlig’i
nomiga tashabbuskor bank rahbari va bosh buxgalteri tomonidan imzolangan xat yuboriladi.
Xatda sana, elektron hujjatlarni tashqi saqlovchi vosita orqali o’tkazilishining sababi,
elektron hujjatlarni tashqi saqlovchi vosita orqali uzatuvchi xodimning ismi, sharifi va
lavozimini ko’rsatish lozim.
b) Elektron hujjatlarni tashqi saqlovchi vosita orqali uzatishga tayyorlashda,
kamida ikkita tashqi saqlovchi vosita - asosiy va qo’shimcha tashqi saqlovchi vositalar
tayyorlanishi zarur va quyidagilarga rioya qilish lozim:
tashqi saqlovchi vositani formatlashtirish;
uzatishga mo’jallangan fayllarning nomi 8.3 formatda (8 bayt - fayl nomining uzunligi, 3
bayt - fayl kengaytmasining uzunligi) bo’lishi kerak;
elektron hujjat tashqi saqlovchi vositaga Bank amaliyoti dasturi orqali ko’chiriladi;
tashqi saqlovchi vositada, uzatishga mo’ljallanmagan elektron hujjatlar bo’lmasligi
kerak;
tashqi saqlovchi vositadagi elektron hujjat "virus" yo’qligiga eng so’nggi bazaga ega
Antivirus dasturi orqali tekshirilgan bo’lishi lozim.
c) har bir tashqi saqlovchi vositaga ikkitadan ma’lumotnoma ilova qilinishi kerak
bo’lib, ularda: tashqi saqlovchi vositaning taqqoslash raqami, ya’ni muvofiq tashqi
saqlovchi vositaga qo’yilgan raqam bilan mos tushadigan raqam, uzatishga mo’ljallangan
barcha fayllarning nomi, hajmi, fayllar yaratilgan sana va vaqti, ma’lumotnomaning olingan
vaqti va kunini, ijro etuvchining, ya’ni ma’lumotnoma olgan xodimning ismi sharifi va
lavozimi ko’rsatilgan bo’lishi kerak (ma’lumotning shakli ilovada keltirilgan);
32
d) ma’lumotnomalarga javobgar shaxs va ijro etuvchi tomonidan imzo qo’yilgan
bo’lishi kerak;
e) tijorat banki filiali tomonidan Bosh bank To’lov markaziga, Bosh bank To’lov
markazi tomonidan ABM ga elektron hujjatni tashqi saqlovchi vositada bosh buxgalter,
bosh buxgalter yordamchisi yoki vakolatli boshqa xodim yetkazuvchi bo’lishi mumkin.
Elektron hujjatni tashqi saqlovchi vositada qabul qilib oluvchi Bosh bank yoki
ABM xodimi quyidagilarni bajarishi shart:
xatning mavjudligini va uning to’g’ri tuzilganligini tekshirishi;
ma’lumotnomalarning
mavjudligini
va
ularda
zarur
bo’lgan
rekvizitlarning qayd qilinganligini tekshirishi;
tashqi saqlovchi vositani "virus" yo’qligiga eng so’nggi bazaga ega antivirus dasturi
orqali tekshirishi;
tashqi saqlovchi vositadan o’z dasturi orqali ikki nusxada ma’lumotnoma olishi;
o’zi olgan ma’lumotnomalarni tashqi saqlovchi vosita bilan birga keltirgan
ma’lumotnomalarga solishtirib ko’rishi lozim;
ma’lumotnomalar bir-biriga mos kelishi zarur.
Yuqorida keltirilgan shartlar to’liq bajarilmasa, tashqi saqlovchi vositadagi
elektron hujjat qabul qilinmaydi.
Bosh bank yoki ABMning elektron hujjatni tashqi saqlovchi vositada qabul qilib
oluvchi xodimi quyidagilarni bajaradi:
tashqi saqlovchi vositadan elektron hujjatni kompyuterga o’tkazadi;
ikkita ma’lumotnomaga imzo qo’yadi;
tashqi saqlovchi vosita bilan birga taqdim etilgan ma’lumotnomalarning birini tashqi
saqlovchi vosita bilan qo’shib qaytarib beradi;
tashqi saqlovchi vosita orqali qabul qilib olingan elektron hujjatni belgilangan tartibda
jo’natadi;
tashqi saqlovchi vosita bilan keltirilgan ma’lumotnomani maxsus papkaga tikib qo’yadi;
maxsus daftarga, elektron hujjatning tashqi saqlovchi vosita orqali qabul qilinganligini
yozib qo’yadi. Shu bilan birga daftarga elektron hujjatning qabul qilingan sanasi, vaqti,
qabul qilingan fayllarning nomi va hajmi, elektron hujjat uzatuvchisining rekvizitlarini
kiritib boradi. Tashqi saqlovchi vosita orqali elektron hujjatni qabul qilgan xodim maxsus
daftarga o’z imzosini qo’yadi;
tashqi saqlovchi vosita orqali qabul qilingan elektron hujjatlarning belgilangan joyga
to’g’ri uzatilishini nazorat qilib boradi.
Elektron hujjatni tashqi saqlovchi vositada qabul qilib oluvchi Bosh bank yoki ABM
xodimi, o’rnatilgan qoidalarga asosan qabul qilingan elektron hujjatning xatoligiga javobgar
bo’lmaydi.
33
Bosh bank yoki ABM ning elektron hujjatni tashqi saqlovchi vositalar orqali uzatuvchi
xodimi, uzatish qoidalarining barchasiga rioya qilgani holda, tashqi saqlovchi vositaning
holatiga va vujudga kelgan yaroqsiz joylariga javobgar bo’lmaydi. Elektron to’lov tizimi
orqali elektron to’lovga tegishli bo’lmagan ma’lumotlarni yuborish taqiqlanadi. Yetkazilgan
zararni aniqlash maqsadida zarur hollarda hay’at tuziladi va tijorat banklarining elektron
arxiv hujjatlari batafsil tekshirib chiqiladi. Hay’at tarkibiga Markaziy bankning vakolatli
xodimlari, tijorat banki bosh buxgalteri va boshqa tegishli xodimlari kiritilishi lozim.
7.3.2. O’zR hududida banklarda elektron axborotlarni muhofazalashni
tashkil etish tehnikasi
Bank tomonidan "Bank siri"ni tashkil etuvchi ma’lumotlar elektron pochta orqali
yuborilganda, ma’lumotlar shifrlanishi va elektron raqamli imzo bilan tasdiqlanishi shart.
Bank faoliyatiga tegishli bo’lmagan ma’lumotlarning elektron pochta orqali uzatilishi
qat’iyan man etiladi.
Bunga yo’lqo’ygan shaxslar qonunda ko’zda tutilgan tartibda javobgarlikka tortiladi.
Bank tomonidan elektron pochta orqali jo’natilayotgan har bir elektron ma’lumot "virus"
yo’qligiga eng so’nggi bazaga ega Antivirus dasturi orqali tekshirilishi shart.
Internet tarmog’iga ega bo’lgan Bosh banklar va filiallari o’zlarining to’lov tizimiga
bog’langan ishchi stansiyalari, serverlari, xavfsizlik majmualarini internet tarmog’iga
ulashlari man etiladi. Internet provayderlari bilan bankning ajratilgan ishchi stansiyalari
alohida kanal orqali ulanishini amalga oshiradilar.
Bank internetdan foydalanish ichki tartib qoidalarini ishlab chiqishi va ruxsat berilgan
foydalanuvchilarning internetdan foydalanishini ta’minlashi lozim.
To’lov tizimi kompyuter va jihozlarining ishdan chiqishi holatlari yuz berganda, to’lov
tizimining beto’xtov ishlashini ta’minlash uchun tijorat banklari Zaxira tiklanish rejasi,
dastur va uskunalarga ega bo’lishlari shart. Bosh bank To’lov markazidagi tizimning
ishonchliligini oshirish uchun RAID texnologiyalari asosida disklardagi ma’lumotlar
takrorlanadi.
Har bir bankda favqulodda holatlarga mo’ljallangan chora-tadbirlar rejasi bo’lishi
shart. Chora-tadbirlar rejasi bir necha turli darajalar, shu jumladan oxirgi foydalanuvchi,
tarmoq va bank (filiallar, bo’linmalar yoki bankning o’zini to’liqligicha olingan holda)
uchun ishlab chiqiladi.
a) oxirgi foydalanuvchi uchun reja. Favqulodda holatlarga mo’ljallangan chora-
tadbirlar rejasida oxirgi foydalanuvchi uchun hujjatlarni qayta tiklash va himoya qilish,
foydalanuvchi javobgar bo’lgan majmualarni himoya qilish, shu ningdek tarmoqning
normal tarzda ishlashi to’xtab qolgan yoki buzilgan hollarda o’tkaziladigan chora-
tadbirlarga doir yo’riqnomalar.
34
b) tarmoq uchun reja. Favqulodda holatlar rejasida tarmoq qurilmalarida bo’ladigan
buzilishlar va oxirgi foydalanuvchining imkoniyatiga qarab tarmoqdagi buzilishlarga xizmat
ko’rsatish. Bu rejaga bir qancha xodimlarning lavozim majburiyatlari, tizim ishlashini qayta
tiklash bo’yicha chora-tadbirlar kiradi.
c) bank uchun reja. Bankning Favqulodda holatlarga mo’ljallangan chora-tadbirlar
rejasiga korporativ ma’lumotlar bo’yicha xizmat ko’rsatish va ularni himoyalash chora-
tadbirlari kiradi.
Elektr bilan ta’minlash buzilganda ish uzluksizligini ta’minlash uchun banklar
serverlarini va zarur bo’lgan ishchi stansiyalarini energiya bilan ta’minlovchi vosita - UPS
bilan ta’minlanishi lozim. Bundan tashqari, bank uzluksiz ishlashi uchun kamida bir sutkaga
yetadigan yoqilg’i zapasiga ega bo’lgan dizelgeneratorlar bilan ham ta’minlanishi lozim.
O’zR Markaziy banki Xavfsizlik va axborotlarni muhofaza qilish departamenti
tomonidan muvofiqlashtirilgan reja-jadvallar asosida, tijorat banklarida ushbu Nizom
talablarining bajarilishi ustidan tekshiruvlar o’tkaziladi.
O’zR Markaziy banki Boshqaruvining 2001 yil 23 iyundagi 14/13-son qarori bilan
tasdiqlangan 1047-sonli “O’zR hududida banklarda elektron axborotlarni
muhofazalashni tashkil etish to’g’risida” gi Yo’riqnoma banklararo elektron to’lov
tizimi orqali o’tadigan axborotlarni muhofazalashni ta’minlash tartibini belgilaydi. Uning
maqsadi va talablariga tuxtab o’tamiz.
To’lov tizimining subyektlari banklararo elektron to’lov tizimida axborot
xavfsizligi va muhofazasini ta’minlash bo’yicha, shu jumladan:
elektron to’lov xujjatlaridan ruxsatsiz foydalanish,
ularga o’zgartirishlar kiritish,
ularni yo’qotish, yo’q qilish va to’sib qo’yishdan muhofaza etishni ta’minlash bo’yicha
bir qator belgilangan talablarga rioya etishlari kerak.
Banklararo elektron to’lov tizimida texnika vositalari (keyingi o’rinlarda - TV) bilan
elektron hujjatlarni tayyorlash xam ma’lum talablarga rioya etilishi shart. Banklararo to’lov
tizimi
subyektlari
to’lov
tizimida
axborot
xavfsizligi
va
muhofazasini
ta’minlashning qo’shimcha vositalari va usullarini belgilashlari mumkin.
Bank muassasalarida elektron to’lov tizimi (keyingi o’rinlarda ETT)
orqali qabul qilinadigan
va
uzatiladigan
axborotlar
bilan
ishlash
uchun
ruxsat quyidagi shaxslarga beriladi:
bank rahbari bilan amaldagi mehnat shartnomasiga muvofiq to’liq moddiy javobgarlik
to’g’risida yozma shartnoma tuzilgan xodimga;
bosh buxgalterga (bosh buxgalter bo’lmagan hollarda, uning o’rinbosariga);
axborotdan axborot mulkdorining ruxsatisiz foydalanishga faqat qonunda nazarda
tutilgan hollarda yo’l qo’yiladi.
35
TV ga texnik xizmat ko’rsatish bilan shug’ullanadigan shaxslar hamda TV dan
foydalanuvchilar texnik vositalarni ishlatish bo’yicha yo’riqnomalar, shuningdek,
axborotlarni muhofaza qilish tartibini belgilovchi me’yoriy hujjatlarni o’rganib chiqqach,
ularning bilimi tekshirib ko’rilgandan keyingina ishga qo’yiladi.
Bank axborotlarini TV da tayyorlash jarayonida bank sirining oshkor etilishini
ximoyalashni ta’minlash masalasini yechish uchun TV shovqindan to’silgan, tashqaridan
begonalarni kuzatishi mumkin bo’lmagan, ishonchli himoyalangan xonalarda o’rnatiladi.
Ushbu xonalar quyidagi jihozlanish talablariga javob berishi shart:
a) mustahkam devorlar va ishonchli to’siqlarga ega bo’lishi;
b) maxsus kodli qulflar yoki boshqa ishonchli qulflar o’rnatilgan mustahkam eshiklar
bilan jihozlanishi;
c) derazalar xonaga kirishdan himoya qilish vositalariga ega bo’lishi, shuningdek,
begona shaxslarning ko’z yoki maxsus qurilmalar bilan kuzatishidan himoya qiluvchi
deraza pardalari, zarur hollarda, O’zRMilliy gvardiyasi qo’riqlash xizmati bilan bog’langan
ogohlantirish qurilmalari bilan jihozlangan bo’lishi;
d) yong’in xavfsizligi talablariga javob berishi.
TV o’rnatilgan xonalarga radio nuqtalar, elektr soatlar va boshqa kam quvvatli
qurilmalarni o’rnatish, hamda ulardan foydalanish ta’qiqlanadi. TV o’rnatiladigan xonalar
axborotni ishonchli muhofazalash zarurligini hisobga olgan holda tanlanishi lozim. Alohida
texnologik uchastkalar bir-biridan ajratiladi.
Ularga kirish uchun ko’zda tutilgan shaxslargagina ruxsat beriladi, boshqa shaxslarning
kirish zarurati tug’ilsa, faqat tegishli rahbarning ruxsati bilangina amalga oshiriladi. Har bir
xonada faqat unga kirish huquqiga ega bo’lgan kishilargina ishlashlari zarur.
Bank siri ma’lumotlari yozilgan tashqi magnit tashuvchilarni (disketalar, SD disklari,
stimmer lentalari va hokazolarni) saqlashga mo’ljallangan xonalar esa maxsus metall
shkaflar yoki seyflar bilan jihozlangan bo’lishi kerak.
Ish faoliyati TV bilan bog’liq bo’lgan bank rahbarlari tegishli mutaxassislar va
yuridik xizmat xodimlari bilan birgalikda quyidagi tadbirlarni amalga oshirilishini
ta’minlashlari zarur:
a) tegishli bankka yoki uning bo’linmasiga taalluqli bo’lgan bank sirini tashkil etuvchi
ma’lumotlar ro’yxatini aniqlash;
b) zarur hollarda, yetkazilgan zararni qoplash maqsadida, qonunchilik talablardan kelib
chiqqan holda, ko’rsatilgan axborotlarga ega bo’lgan har bir xodim bilan Bank siri va
boshqa xizmat ma’lumotlarini sir saqlash bo’yicha majburiyatnomani imzolash;
c) tavsiyalardan kelib chiqib, axborotlarni jamlash va qayta ishlash jarayonida ularni
muhofazalash maqsadida foydalanuvchilar, xizmat ko’rsatuvchi xodimlarning TVda ruxsat
etilmagan axborotlardan foydalanishlariga yo’l qo’ymaslik yuzasidan tadbirlar ishlab
chiqish hamda ularni amalga oshirish;
36
d) bank siri axborotlari TV dan chiqib ketishi, bunday ma’lumotlar oshkor qilinishini
hamda TV larni yo’qolishi yoki o’g’irlanishining oldini olish, qo’shimcha nurlanish va
kuzatishlar bo’lmasligi choralarini ko’rish;
e) TV da ishlaydigan shaxslar sonini cheklash choralarini ko’rish, bank siri
axborotlaridan foydalanish uchun belgilangan tartibga rioya qilish, shuningdek, TVga qayta
ishlash uchun kelib tushadigan barcha hujjatlarning harakati va but saqlanishini nazorat
etish yuzasidan choralar ko’rish;
i) TV ni va dasturiy ta’minotlarni qo’llash bo’yicha qo’yilgan talablarga rioya qilish,
TV dan maqsadli foydalanish uchun farmoyish bilan tizim ma’murlarini va mas’ul
xodimlarni tayinlash;
j) TV ni “viruslar”dan himoya qilish maqsadida kompyuter tashkil etuvchi qismlarini
va dasturlarni ruxsatsiz o’zgartirishga, ekspert tasdig’idan o’tmagan va foydalanishga
tavsiya etilmagan dasturlarni, shuningdek, kompyuter o’yinlarini o’rnatishga yo’l
qo’ymaslik;
z) O’zR Markaziy bankining TVlarni ishlatish jarayonida axborotlarni muhofazalash
bo’yicha me’yoriy hujjatlari talablariga rioya qilishni nazorat etish;
k) TV joylashgan xonalarga kirib-chiqishni takomillashtirish bo’yicha nazorat-
ruxsatnoma tartibini ishlab chiqish va amalga oshirish.
TV bilan ishlaydigan shaxslar quyidagilarni bajarishlari shart:
a) TVdan foydalanishda axborotlarni muhofazalash tartibi talablarini mukammal bilish
va so’zsiz bajarish;
b) TVda ma’lumotlarni kompyuter xotirasiga kiritish, qayta ishlash va qayta ishlash
natijalarini olish hamda XTVni ta’mirlash-profilaktik ishlarni bajarishda belgilangan
tartibiga rioya qilish;
c) axborotlarni o’zida saqlovchi kompyuterlar va ulardagi hujjatlarning ishonchli
saqlanishini ta’minlash;
d) bank siri axborotlari uchun belgilangan ruxsat berish tartibiga rioya etish;
e) elektron arxiv saqlanadigan xonaga ruxsatsiz kirish uchun urinishlar, axborotlarning
chiqib ketishi va buzilishiga doir barcha hollar to’g’risida zudlik bilan tegishli shaxslarni
(bank rahbari va Markaziy bankni) xabardor qilish.
O’zR"O’zRMarkaziy banki to’g’risida" Qonun.
O’zR "Banklar va bank faoliyati to’g’risida" Qonun.
O’zR "Arxiv ishi to’g’risida" Qonun.
O’zR "Axborotlashtirish to’g’risida" Qonun.
O’zR "Elektron hisoblash mashinalari uchun yaratilgan dasturlar va ma’lumotlar
bazalarining huquqiy himoyasi to’g’risida" Qonun.
O’zR "Bank siri to’g’risida" Qonun.
O’zR "Elektron raqamli imzo to’g’risida" Qonun.
37
O’zR "Avtomatlashtirilgan bank tizimlarida axborotni muhofaza qilish to’g’risida"gi
Qonuni.
O’zR "ABTda axborotni muhofaza qilish to’g’risida" Qonun.
«O’zR tijorat banklari avtomatlashtirilgan bank tizimlarida axborotni muhofaza qilish
to’g’risida»gi ro’yxat raqami 1552 13.03.2006 y.) O’zR MB Nizomi.
«O’zR hududida banklarda elektron axborotlarni muhofazalashni tashkil etish
to’g’risida»gi (ro’yxat raqami 1047 09.07.2001 y.) O’zR MB Nizomi.
|
