2. Siyosatning me'yoriy-huquqiy asoslari O'zbekiston Respublikasining axborot tizimlari va axborot xavfsizligidan foydalanish to'g'risidagi qonun hujjatlari qoidalari, shuningdek, axborot xavfsizligini boshqarishning xalqaro standartlari talablaridan iborat.

3. Siyosat qoidalari bankning barcha xodimlari uchun majburiydir,

4. Siyosat egasi va foydalanuvchisi bank bo'lgan barcha axborot tizimlari va hujjatlarini qamrab oladi. Bank axborot xavfsizligini ta'minlash jarayonini boshqarish uchun mo'ljallangan bankning umumiy boshqaruv tizimining bir qismi bo'lgan axborot xavfsizligini boshqarish tizimini yaratish va ishlashini ta'minlaydi axborot xavfsizligini ta'minlash bankning tijorat faoliyatini muvaffaqiyatli amalga oshirish uchun shartlardan biridir. Bankda aylanib yuradigan ma'lumotlar eng muhim bank aktivlaridan biridir.

5. Bankning axborot xavfsizligi (bundan buyon matnda ib deb yuritiladi)-elektron axborot resurslari, axborot tizimlari va axborot-kommunikatsiya infratuzilmasini moddiy zararga olib kelishi, bank obro'siga putur etkazishi yoki bankka, uning aktsiyadorlariga, xodimlariga yoki mijozlariga boshqa zarar etkazishi mumkin bo'lgan tashqi va ichki tahdidlardan himoya qilish holati.

Bank rahbariyatining umumiy siyosatining elementlari bo'lgan it biznes talablariga asoslanadi, bankdagi risklarni boshqarishning umumiy qoidalariga muvofiq ishlab chiqiladi va amalga oshiriladi. Ushbu sohadagi buzilishlar jiddiy oqibatlarga olib kelishi mumkin, shu jumladan mijozlar ishonchini yo'qotish va raqobatbardoshlikning pasayishi.

Axborot xavfsizligini ta'minlash bank xodimlarining axborot va uni qo'llab-quvvatlovchi infratuzilmani himoya qilishga qaratilgan vakolatlari doirasida mavjud bo'lgan barcha vositalar va vositalardan foydalanishni o'z ichiga oladi.

Axborot xavfsizligini tashkil etishning ajralmas qismi bu amalga oshirilayotgan chora-tadbirlar samaradorligini doimiy ravishda nazorat qilish, xodimlar uchun qabul qilinishi mumkin bo'lmagan harakatlar (harakatsizlik) ro'yxatini, yuzaga kelishi mumkin bo'lgan oqibatlar va javobgarlikni aniqlashdir.

Umuman olganda, axborot xavfsizligi siyosati va tizimi quyidagi normativ-huquqiy hujjatlar va xalqaro standartlarga asoslanadi (ushbu bo'limda bank axborot xavfsizligi tizimini yaratish jarayoniga bevosita ta'sir ko'rsatadigan asosiy qoidalar ko'rsatilgan, shu bilan birga axborot xavfsizligi tizimini rivojlantirishning strategik jihatlarini tavsiflovchi bir qator hujjatlar mavjud. davlat darajasida yoki individual axborot xavfsizligi qoidalarini tartibga soladi faoliyat yo'nalishlari):

Ib siyosati bankning barcha xodimlariga, shu jumladan stajyorlar, kontrakt ishchilari va tashqi tashrif buyuruvchilarga (mijozlar, texnik xizmat ko'rsatuvchi xodimlar va boshqalar) tegishli bo'lib, ular biron bir sababga ko'ra bankning ir, uning mijozlari va muxbirlariga qonuniy kirish huquqiga ega. Shuningdek, u bank xodimlarining APM, ofis uskunalari va bankning axborot tuzilmasining boshqa manbalariga nisbatan qo'llaniladi.

Siyosat, axborot xavfsizligi davlat sirlarini o'z ichiga olgan ma'lumotlarni uzatish, qayta ishlash, saqlash uchun mo'ljallangan axborot tizimlari va axborotlashtirish ob'ektlariga taalluqli emas. Davlat sirlarini o'z ichiga olgan axborotni himoya qilish O'zbekiston Respublikasi qonunchiligiga muvofiq ta'minlanadi.

Siyosatning barcha qoidalari erishishga qaratilgan asosiy maqsad, axborot xavfsizligiga tahdid soladigan hodisalardan zararni minimallashtirish, ularning oldini olish yoki oqibatlarini minimallashtirish orqali kamaytirishdir.

Normativ havolalar:

Ishonchli axborot himoyasini yaratish jarayoni uzluksiz. Etarli darajada ishonchli axborot xavfsizligi tizimini ta'minlash uchun uning parametrlarini doimiy ravishda sozlash, tashqi va ichki muhitdan kelib chiqadigan yangi tahdidlarni bartaraf etish uchun moslashish zarur. Standartlar, protseduralar yoki siyosatlarga o'zgartirishlar kiritishda hech qanday to'siqlar bo'lmasligi kerak, chunki bunday ehtiyoj paydo bo'ladi.

Ushbu qoidaga muvofiq, axborot xavfsizligini boshqarish tsiklining quyidagi bosqichlari aniqlanadi(PDCA modeli: Plan-Do-Check-Act):

Reja-rejalashtirish (ishlab chiqish) — xatarlarni tahlil qilish, bankning umumiy strategiyasi va maqsadlariga muvofiq natijalarni olish uchun xatarlarni boshqarish va ibni takomillashtirish bilan bog'liq siyosat, maqsadlar, vazifalar, jarayonlar, protseduralar, dasturiy-apparat vositalarini aniqlash;

Do-amalga oshirish (amalga oshirish va ishlatish) — siyosat, nazorat mexanizmlari, jarayonlar, protseduralar, dasturiy va texnik vositalarni amalga oshirish va ulardan foydalanish;

Tekshirish-tekshirish — monitoring va tahlil) - baholash va agar kerak bo'lsa — siyosat, maqsadlar va amaliy tajribaga muvofiq jarayonlarning ishlash xususiyatlarini o'lchash, axborot resurslarining xavfsizligiga ta'sir qiluvchi tashqi va ichki omillarning o'zgarishini tahlil qilish, tahlil qilish uchun rahbariyatga hisobot berish:

Act-tuzatish (qo'llab — quvvatlash va takomillashtirish) - axborot xavfsizligini boshqarish tizimini doimiy ravishda takomillashtirishni ta'minlash uchun axborot xavfsizligi holatini ichki va tashqi tekshirish natijalari, boshqaruv talablari va boshqa omillar asosida tuzatish va profilaktika choralarini ko'rish.

Bank axborot xavfsizligini boshqarish tizimini qurish va uning ishlashi quyidagi asosiy printsiplarga muvofiq amalga oshirilishi kerak:

qonuniylik-axborot xavfsizligini ta'minlash uchun qilingan har qanday harakatlar amaldagi Qonunchilik asosida bank ma'lumotlarini himoya qilish ob'ektlariga salbiy ta'sirlarni aniqlash, oldini olish, lokalizatsiya qilish va oldini olish uchun qonun bilan ruxsat etilgan barcha usullardan foydalangan holda amalga oshiriladi;

biznes-ibga e'tibor bankning asosiy faoliyatini qo'llab-quvvatlash jarayoni sifatida qaraladi. Axborot xavfsizligini ta'minlash bo'yicha har qanday choralar bank faoliyatiga jiddiy to'sqinlik qilmasligi kerak:

uzluksizlik-axborotni himoya qilish tizimlarini boshqarish vositalaridan foydalanish, bankning axborot himoyasini ta'minlash bo'yicha har qanday chora—tadbirlarni amalga oshirish bankning joriy biznes jarayonlarini to'xtatmasdan yoki to'xtatmasdan amalga oshirilishi kerak;

murakkablik-axborot resurslarining butun hayot tsikli davomida barcha ishlash rejimlarida ulardan foydalanishning barcha texnologik bosqichlarida xavfsizligini ta'minlash:

haqiqiylik va iqtisodiy maqsadga muvofiqlik - qo'llaniladigan imkoniyatlar va himoya vositalari fan va texnologiyalarni rivojlantirishning tegishli darajasida amalga oshirilishi, belgilangan xavfsizlik darajasi nuqtai nazaridan asoslanishi va talab va standartlarga javob berishi kerak. Barcha holatlarda, axborot xavfsizligi choralari va tizimlarining narxi har qanday xavfdan kelib chiqadigan zarar miqdoridan kam bo'lishi kerak:

ustuvorlik-bankning barcha axborot resurslarini Real, shuningdek potentsial axborot xavfsizligi tahdidlarini baholashda ahamiyati bo'yicha tasniflash (tartiblash — ;

kerakli bilim va imtiyozlarning eng past darajasi-foydalanuvchi minimal darajadagi imtiyozlarga ega bo'ladi va faqat o'z vakolatlari doirasida o'z faoliyatini amalga oshirish uchun zarur bo'lgan ma'lumotlarga kirish huquqiga ega bo'ladi;

ixtisoslashuv-texnik vositalardan foydalanish va axborot xavfsizligi choralarini amalga oshirish bankning professional o'qitilgan mutaxassislari tomonidan amalga oshirilishi kerak:

axborot va shaxsiy javobgarlik — barcha darajadagi menejerlar va ijrochilar ibning barcha talablaridan xabardor bo'lishlari va ushbu talablarni bajarish va ibning belgilangan choralariga rioya qilish uchun shaxsan javobgar bo'lishlari kerak;

o'zaro hamkorlik va muvofiqlashtirish-axborot xavfsizligi choralari bankning tegishli tarkibiy bo'linmalari o'rtasidagi munosabatlar, ularning maqsadlariga erishish borasidagi sa'y-harakatlarini muvofiqlashtirish, shuningdek tashqi tashkilotlar, professional uyushmalar va jamoalar, davlat organlari, yuridik va jismoniy shaxslar bilan zarur aloqalarni o'rnatish asosida amalga oshiriladi:

tasdiqlash-muhim hujjatlar va barcha yozuvlar — axborot xavfsizligi talablariga muvofiqligini va uni tashkil etish tizimining samaradorligini tasdiqlovchi hujjatlar

operatsion kirish va tiklash imkoniyati bilan yarating va saqlang.

Ib uchta asosiy komponentdan iborat:

maxfiylik: ushbu ma'lumotlarga kirish huquqiga ega bo'lgan sub'ektlar doirasiga cheklovlar qo'yish zarurligini ko'rsatadigan va tizim (atrof-muhit) ushbu ma'lumotlarga kirish huquqiga ega bo'lmagan sub'ektlardan maxfiy ravishda saqlash qobiliyati bilan ta'minlangan mulk;

yaxlitlik: uning mavjudligidan iborat bo'lgan ma'lumot xususiyati

buzilmagan shaklda (ba'zi sobit bo'lganlarga nisbatan o'zgarmas

uning holati);

mavjudligi: tegishli vakolatlarga ega bo'lgan sub'ektlarning ma'lumotlariga o'z vaqtida to'siqsiz kirish qobiliyati bilan tavsiflangan mulk.

Axborot xavfsizligi siyosati axborotni himoya qilishning tashkiliy, rejim, texnik, dasturiy va boshqa usullari va vositalaridan foydalanish asosida axborot xavfsizligini ta'minlashni, shuningdek axborot xavfsizligini ta'minlash bo'yicha amalga oshirilgan chora-tadbirlar samaradorligini har tomonlama doimiy nazorat qilishni ta'minlaydi.

18.B axborot xavfsizligi siyosatini amalga oshirish jarayonida unga o'zgartirish va qo'shimchalar kiritilishi mumkin.

Bankdagi axborot xavfsizligini ta'minlashning asosiy ob'ektlari quyidagi elementlar hisoblanadi:

bankning amaldagi qonunchiligi va bankning ichki me'yoriy hujjatlariga muvofiq bank va tijorat sirlariga, shaxsiy ma'lumotlarga, moliyaviy ma'lumotlarga va bankning normal ishlashini ta'minlash uchun zarur bo'lgan boshqa ma'lumotlarga tegishli ma'lumotlarni o'z ichiga olgan bank, uning mijozlari va muxbirlarining axborot resurslari (bundan buyon matnda himoyalangan ma'lumotlar deb yuritiladi).);

himoyalangan ma'lumotlarni qayta ishlash, uzatish va saqlash amalga oshiriladigan axborotlashtirish vositalari va tizimlari (kompyuter texnologiyalari, axborot-hisoblash tizimlari, tarmoqlar, tizimlar):