Центральный банк
Authority
Центральный банк
Jurisdiction
UZ
Document type
regulation
Один из самых важных документов для антифрода, OTP/2FA, мониторинга, incident response и IT-control в платежах.
PLACEHOLDER_FULL_TEXT: Совет Центрального банка Республики Узбекистан Решение Постановление об утверждении Регламента об обеспечении информационной безопасности и кибербезопасности в платежных системах операторов платежных систем и поставщиков платежных услуг и принятии мер по предотвращению преступлений, совершаемых с использованием цифровых технологий. [Зарегистрировано Министерством юстиции Республики Узбекистан 21 мая 2024 года, регистрационный номер 3513] В соответствии с Законами Республики Узбекистан « О Центральном банке Республики Узбекистан » и « О кибербезопасности », а также Постановлением Президента Республики Узбекистан № ПП-381 от 30 ноября 2023 года «О мерах по защите прав потребителей цифровых продуктов (услуг) и усилению борьбы с преступлениями, совершаемыми с использованием цифровых технологий», Совет Центрального банка Республики Узбекистан постановляет: 1. Положение об обеспечении информационной безопасности и кибербезопасности в платежных системах операторов платежных систем и поставщиков платежных услуг, а также о принятии мер по предотвращению преступлений, совершаемых с использованием цифровых технологий, утверждается в соответствии с приложением . 2. Постановление Совета Центрального банка Республики Узбекистан от 11 июня 2020 г. № 13/10 «Об утверждении Положения об обеспечении информационной безопасности в платежных системах операторов платежных систем и поставщиков платежных услуг» (регистрационный номер 3268, 30 июня 2020 г.) (Национальная база данных законодательных документов, 30.06.2020, № 10/20/3268/1112) признается недействительным. 3. Дан...
Фрагменты, которые использует retrieval.
#0 Преамбула
versionedembeddedPLACEHOLDER_FULL_TEXT: Совет Центрального банка Республики Узбекистан Решение Постановление об утверждении Регламента об обеспечении информационной безопасности и кибербезопасности в платежных системах операторов платежных систем и поставщиков платежных услуг и принятии мер по предотвращению преступлений, совершаемых с использованием цифровых технологий. [Зарегистрировано Министерством юстиции Республики Узбекистан 2...
#1 4. Настоящее решение вступает в силу через три месяца после его официального объявления.
versionedembedded4. Настоящее решение вступает в силу через три месяца после его официального объявления. Председатель М. НУРМУРАТОВ город Ташкент, 24 апреля 2024 г. Выпуск 13/1 Согласованный: Председатель Службы государственной безопасности Республики Узбекистан А. Азизов 19 апреля 2024 г. Руководитель Центра развития электронной техники О. Ходжабаров 23 апреля 2024 г. Директор Национального агентства по перспективным проектам Д. Л....
#2 Приложение. к Постановлению Совета Центрального банка Республики Узбекистан № 13/1 от 24 апреля 2024 года
versionedembeddedПриложение. к Постановлению Совета Центрального банка Республики Узбекистан № 13/1 от 24 апреля 2024 года / Приложение. к Постановлению Совета Центрального банка Республики Узбекистан № 13/1 от 24 апреля 2024 года
Приложение. к Постановлению Совета Центрального банка Республики Узбекистан № 13/1 от 24 апреля 2024 года О мерах по обеспечению информационной безопасности и кибербезопасности в платежных системах операторов платежных систем и поставщиков платежных услуг, а также по предотвращению преступлений, совершаемых с использованием цифровых технологий. РЕГУЛИРОВАНИЕ Настоящий Регламент устанавливает требования к операторам п...
#3 Глава 1. Общие правила
versionedembeddedГлава 1. Общие правила / Глава 1. Общие правила
Глава 1. Общие правила
#4 1. В настоящем Положении используются следующие основные понятия:
versionedembeddedГлава 1. Общие правила
1. В настоящем Положении используются следующие основные понятия: Авторизация — предоставление конкретному лицу или группе лиц права на совершение определенных действий; Аутентификация — это процесс проверки подлинности пользователя, программы, устройства или данных; Идентификация — присвоение идентификаторов сущностям платежной системы и/или сравнение идентификаторов со списком установленных идентификаторов; Криптог...
#5 Глава 2. Защита платежной информации
versionedembeddedГлава 2. Защита платежной информации / Глава 2. Защита платежной информации
Глава 2. Защита платежной информации
#6 2. Операторы платежных систем и поставщики платежных услуг разрабатывают политики информационной безопасности, исходя из характеристик своих информационных систем.
versionedembeddedГлава 2. Защита платежной информации
2. Операторы платежных систем и поставщики платежных услуг разрабатывают политики информационной безопасности, исходя из характеристик своих информационных систем. 3. Операторы платежных систем и поставщики платежных услуг обязаны принимать следующие меры для непрерывной защиты платежной информации на всех этапах ее генерации, передачи, хранения и обработки: Внедрение системы идентификации, аутентификации и авторизац...
#7 5. В платежных системах следует использовать криптографические методы защиты информации, и в правилах платежной системы должно быть указано следующее:
versionedembeddedГлава 2. Защита платежной информации
5. В платежных системах следует использовать криптографические методы защиты информации, и в правилах платежной системы должно быть указано следующее: процедура подключения, запуска, использования и вывода из эксплуатации средств криптографической защиты в автоматизированных системах; порядок их восстановления в случае остановки, сбоя и других аварийных ситуаций, связанных с средствами криптографической защиты; поряд...
#8 6. Для ограничения несанкционированного доступа к информационным ресурсам операторов платежных систем и поставщиков платежных услуг и их использования следует принять следующие меры:
versionedembeddedГлава 2. Защита платежной информации
6. Для ограничения несанкционированного доступа к информационным ресурсам операторов платежных систем и поставщиков платежных услуг и их использования следует принять следующие меры: контроль физического доступа к информационным объектам, включая банкоматы, платежные терминалы и электронные платежные устройства, а также доступ к зданиям и помещениям с техническим оборудованием; обеспечение физической защиты (режим бе...
#9 7. Операторы платежных систем и поставщики платежных услуг обязаны обеспечивать информационную безопасность и кибербезопасность информационных систем, содержащих следующую информацию:
versionedembeddedГлава 2. Защита платежной информации
7. Операторы платежных систем и поставщики платежных услуг обязаны обеспечивать информационную безопасность и кибербезопасность информационных систем, содержащих следующую информацию: информация о балансе средств на банковском (карточном) счете; информация о балансе электронных денег; информация о произведенных платежах; информация, включая безналичные платежи; Платежная информация межбанковских платежных и клирингов...
#10 Глава 3. Конфиденциальность платежной информации и защита содержащихся в ней персональных данных.
versionedembeddedГлава 3. Конфиденциальность платежной информации и защита содержащихся в ней персональных данных. / Глава 3. Конфиденциальность платежной информации и защита содержащихся в ней персональных данных.
Глава 3. Конфиденциальность платежной информации и защита содержащихся в ней персональных данных. 12. Операторы платежных систем и поставщики платежных услуг обязаны принимать следующие меры для обеспечения конфиденциальности и целостности информации, включая персональные данные пользователя платежных услуг, а также для обеспечения надлежащей безопасности: защита целостности и конфиденциальности персональных данных,...
#11 Глава 4. Информационная безопасность и кибербезопасность.
versionedembeddedГлава 4. Информационная безопасность и кибербезопасность. / Глава 4. Информационная безопасность и кибербезопасность.
Глава 4. Информационная безопасность и кибербезопасность. 13. Операторы платежных систем и поставщики платежных услуг должны включать в задачи обеспечения информационной безопасности и кибербезопасности для защиты информации в информационных системах следующие элементы: мониторинг выполнения требований настоящего Положения об обеспечении информационной безопасности и кибербезопасности в информационных системах; оцени...
#12 Глава 5. Ограничение полномочий сотрудников в информационных системах.
versionedembeddedГлава 5. Ограничение полномочий сотрудников в информационных системах. / Глава 5. Ограничение полномочий сотрудников в информационных системах.
Глава 5. Ограничение полномочий сотрудников в информационных системах. 14. Операторам платежных систем и поставщикам платежных услуг следует принимать следующие меры для ограничения полномочий сотрудников в процессе работы с информационными системами, в том числе во время разработки и тестирования: Разработать процедуры и правила, определяющие права на работу с информационными системами, и отразить их в должностных и...
#13 15. Операторы платежных систем и поставщики платежных услуг при привлечении других организаций для внесения изменений в свои информационные системы обязаны:
versionedembeddedГлава 5. Ограничение полномочий сотрудников в информационных системах.
15. Операторы платежных систем и поставщики платежных услуг при привлечении других организаций для внесения изменений в свои информационные системы обязаны: заключение соглашения о неразглашении конфиденциальной и личной информации; Работа с платежными и другими защищенными данными в информационных системах на основе авторизации в соответствии с установленным порядком; участие организаций, имеющих соответствующую лиц...
#14 Глава 6. Защита информационных сетей от атак.
versionedembeddedГлава 6. Защита информационных сетей от атак. / Глава 6. Защита информационных сетей от атак.
Глава 6. Защита информационных сетей от атак. 16. Операторы платежных систем и поставщики платежных услуг должны принимать надлежащие меры для защиты информации и глобальной информационной сети Интернет, а также серверов и каналов связи от потенциальных киберугроз и кибератак. Эти меры должны включать: Сегментация компьютерных сетей и использование межсетевых экранов; принятие технических (криптографических и других)...
#15 17. Операторы платежных систем и поставщики платежных услуг могут использовать средства защиты информации иностранных организаций.
versionedembeddedГлава 6. Защита информационных сетей от атак.
17. Операторы платежных систем и поставщики платежных услуг могут использовать средства защиты информации иностранных организаций. 18. Операторы платежных систем должны разработать технические и организационные меры и процедуры для обмена информацией, связанной с платежами, а поставщики платежных услуг должны обеспечить внедрение этих процедур. 19. Для повышения информационной безопасности и кибербезопасности может и...
#16 20. Операторы платежных систем и поставщики платежных услуг должны указать в своих внутренних документах следующее:
versionedembeddedГлава 6. Защита информационных сетей от атак.
20. Операторы платежных систем и поставщики платежных услуг должны указать в своих внутренних документах следующее: процедура обеспечения информационных сетей безопасными и надежными каналами связи; Процедура входа и выхода из платежной системы; процедура обеспечения информационной безопасности и кибербезопасности при подключении пользователя к платежной системе; Процедура оценки и управления рисками, связанными с ин...
#17 Глава 7. Мониторинг информационных систем и ресурсов.
versionedembeddedГлава 7. Мониторинг информационных систем и ресурсов. / Глава 7. Мониторинг информационных систем и ресурсов.
Глава 7. Мониторинг информационных систем и ресурсов. 21. Операторы платежных систем и поставщики платежных услуг обязаны контролировать использование конфиденциальной платежной информации и критически важных логических и физических ресурсов (информационных сетей, информационных систем, баз данных, модулей защиты информации). В ходе мониторинга определяются следующие параметры: учет программ и устройств, используемых...
#18 Глава 8. Выявление инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности.
versionedembeddedГлава 8. Выявление инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности. / Глава 8. Выявление инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности.
Глава 8. Выявление инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности. 22. Операторы платежных систем и поставщики платежных услуг должны организовать следующую работу по принятию организационных мер для обеспечения информационной безопасности и кибербезопасности, а также использовать технические средства для выявления инцидентов, связанных с нарушениями требований информац...
#19 24. Поставщики платежных услуг должны установить следующие требования для предотвращения инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности:
versionedembeddedГлава 8. Выявление инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности.
24. Поставщики платежных услуг должны установить следующие требования для предотвращения инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности: принятие мер по предотвращению рисков, связанных с доставкой платежных устройств клиенту; Операторам платежных систем следует сообщать о случаях утери, кражи или незаконного присвоения платежного оборудования посторонними лицами. 25. О...
#20 Глава 9. Меры реагирования на инциденты, связанные с нарушениями требований информационной безопасности и кибербезопасности.
versionedembeddedГлава 9. Меры реагирования на инциденты, связанные с нарушениями требований информационной безопасности и кибербезопасности. / Глава 9. Меры реагирования на инциденты, связанные с нарушениями требований информационной безопасности и кибербезопасности.
Глава 9. Меры реагирования на инциденты, связанные с нарушениями требований информационной безопасности и кибербезопасности. 26. Операторы платежных систем и поставщики платежных услуг обязаны принимать следующие меры в ответ на инциденты, связанные с нарушениями требований информационной безопасности и кибербезопасности: Спрогнозируйте необходимые действия в ответ на потенциальные инциденты и составьте список необхо...
#21 Глава 10. Анализ причин инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности.
versionedembeddedГлава 10. Анализ причин инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности. / Глава 10. Анализ причин инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности.
Глава 10. Анализ причин инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности. 27. Операторы платежных систем и поставщики платежных услуг должны анализировать причины выявленных инцидентов, связанных с нарушениями требований информационной безопасности и кибербезопасности, и оценивать последствия их воздействия. Система анализа причин выявленных инцидентов и оценки последстви...
#22 Глава 11. Обеспечение информационной безопасности и кибербезопасности при использовании банкоматов, информационных киосков и платежных терминалов.
versionedembeddedГлава 11. Обеспечение информационной безопасности и кибербезопасности при использовании банкоматов, информационных киосков и платежных терминалов. / Глава 11. Обеспечение информационной безопасности и кибербезопасности при использовании банкоматов, информационных киосков и платежных терминалов.
Глава 11. Обеспечение информационной безопасности и кибербезопасности при использовании банкоматов, информационных киосков и платежных терминалов. 28. Операторы платежных систем и поставщики платежных услуг обязаны обеспечивать информационную и кибербезопасность банкоматов, информационных киосков и платежных терминалов. Для обеспечения информационной и кибербезопасности используются следующие меры: ведение учета банк...
#23 Глава 12. Требования к информационной безопасности и кибербезопасности для операторов важных платежных систем.
versionedembeddedГлава 12. Требования к информационной безопасности и кибербезопасности для операторов важных платежных систем. / Глава 12. Требования к информационной безопасности и кибербезопасности для операторов важных платежных систем.
Глава 12. Требования к информационной безопасности и кибербезопасности для операторов важных платежных систем. 30. В дополнение к мерам безопасности, указанным в настоящем Положении, операторы важных платежных систем должны обеспечивать следующие меры информационной безопасности и кибербезопасности: обеспечить надежность и бесперебойность работы платежной системы; организация службы информационной безопасности и кибе...
#24 Глава 13. Обеспечение непрерывной работы платежной системы и ведение электронного архива.
versionedembeddedГлава 13. Обеспечение непрерывной работы платежной системы и ведение электронного архива. / Глава 13. Обеспечение непрерывной работы платежной системы и ведение электронного архива.
Глава 13. Обеспечение непрерывной работы платежной системы и ведение электронного архива.
#25 32. Для обеспечения бесперебойной работы и стабильности платежных систем необходимо принять следующие меры:
versionedembeddedГлава 13. Обеспечение непрерывной работы платежной системы и ведение электронного архива.
32. Для обеспечения бесперебойной работы и стабильности платежных систем необходимо принять следующие меры: восстановить работоспособность сети и других устройств, связанных с платежной системой, и обеспечить их бесперебойную работу в случае неисправности; Разработать процедуру (механизм) резервного копирования и хранения копий операционных систем, программного обеспечения, программ информационных систем, данных (баз...
#26 Глава 14. Режим безопасности
versionedembeddedГлава 14. Режим безопасности / Глава 14. Режим безопасности
Глава 14. Режим безопасности 35. Операторы платежных систем и поставщики платежных услуг должны быть обеспечены помещениями для хранения и обработки данных, связанных с платежами. Эти помещения должны соответствовать следующим требованиям: быть защищены от несанкционированного физического доступа; Если комната расположена на первом этаже, ее окна должны быть оборудованы железными решетками; оборудованы двумя охранным...
#27 36. Срок хранения всех данных видеонаблюдения, указанных в настоящем Положении, не должен быть менее одного месяца.
versionedembeddedГлава 14. Режим безопасности
36. Срок хранения всех данных видеонаблюдения, указанных в настоящем Положении, не должен быть менее одного месяца. 37. При обеспечении безопасности помещений операторов платежных систем и поставщиков платежных услуг необходимо использовать соответствующее оборудование, организационно-технические средства, а также соответствующее программное обеспечение.
#28 Глава 15. Контроль процесса оплаты
versionedembeddedГлава 15. Контроль процесса оплаты / Глава 15. Контроль процесса оплаты
Глава 15. Контроль процесса оплаты
#29 38. Операторы платежных систем должны осуществлять контроль и мониторинг мер информационной безопасности и кибербезопасности в своих платежных системах.
versionedembeddedГлава 15. Контроль процесса оплаты
38. Операторы платежных систем должны осуществлять контроль и мониторинг мер информационной безопасности и кибербезопасности в своих платежных системах. 39. Операторы платежных систем и поставщики платежных услуг должны анализировать автоматизированные системы, приложения и объекты информационной инфраструктуры на предмет уязвимостей в области информационной безопасности и кибербезопасности, проверять наличие несанкц...
#30 Глава 16. Служба принятия мер против подозрительных мошеннических операций в банковских и платежных системах.
versionedembeddedГлава 16. Служба принятия мер против подозрительных мошеннических операций в банковских и платежных системах. / Глава 16. Служба принятия мер против подозрительных мошеннических операций в банковских и платежных системах.
Глава 16. Служба принятия мер против подозрительных мошеннических операций в банковских и платежных системах. 41. Операторы платежных систем, участники платежных систем и платежные организации должны включать в задачи службы принятия мер против подозрительных (мошеннических) операций в банковских и платежных системах следующее: Подключение информационных систем (мобильных приложений, интернет-банкинга и т. д.), котор...
#31 Глава 17. Предотвращение платежей, осуществляемых без согласия физических и юридических лиц.
versionedembeddedГлава 17. Предотвращение платежей, осуществляемых без согласия физических и юридических лиц. / Глава 17. Предотвращение платежей, осуществляемых без согласия физических и юридических лиц.
Глава 17. Предотвращение платежей, осуществляемых без согласия физических и юридических лиц. 42. Операторы платежных систем, участники платежной системы и платежные организации в своих документах по управлению рисками определяют порядок идентификации операций, соответствующих критериям денежных переводов, осуществленных без согласия физических и юридических лиц с банковских карт, путем анализа описания, суммы и дейст...
#32 48. Критерии осуществления денежных переводов без согласия физических и юридических лиц определяются на основании решения Центрального банка.
versionedembeddedГлава 17. Предотвращение платежей, осуществляемых без согласия физических и юридических лиц.
48. Критерии осуществления денежных переводов без согласия физических и юридических лиц определяются на основании решения Центрального банка.
#33 Глава 18. Обеспечение информационной безопасности и кибербезопасности при использовании POS-терминалов.
versionedembeddedГлава 18. Обеспечение информационной безопасности и кибербезопасности при использовании POS-терминалов. / Глава 18. Обеспечение информационной безопасности и кибербезопасности при использовании POS-терминалов.
Глава 18. Обеспечение информационной безопасности и кибербезопасности при использовании POS-терминалов. 49. Операторы платежных систем, участники платежных систем и платежные организации должны принимать следующие меры для обеспечения информационной безопасности и кибербезопасности при использовании терминалов EPOS: Вести реестр платежных агентов и субагентов, а также представлять измененный реестр в Центральный банк...
#34 Глава 19. Окончательное правило
versionedembeddedГлава 19. Окончательное правило / Глава 19. Окончательное правило
Глава 19. Окончательное правило
#35 51. Лица, виновные в нарушении требований настоящего Положения, привлекаются к ответственности в порядке, установленном законодательством.
versionedembeddedГлава 19. Окончательное правило
51. Лица, виновные в нарушении требований настоящего Положения, привлекаются к ответственности в порядке, установленном законодательством. (Национальная база данных законодательной информации, 22.05.2024, № 10/24/3513/0359)