BANKLARDA İNFORMASİYA TEXNOLOGİYALARININ TƏTBİQİ QAYDALARI [1]

1. Ümumi müddəalar

1.1. Bu Qaydalar «Banklar haqqında», «Azərbaycan Respublikasının Milli Bankı haqqında», «İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında», «Elektron imza və elektron sənəd haqqında» Azərbaycan Respublikası Qanunlarına, Azərbaycan Respublikasının digər qanunvericilik aktlarına, həmçinin beynəlxalq təcrübəyə uyğun olaraq hazırlanmış və banklarda informasiya texnologiyalarının tətbiqi qaydalarını müəyyən edir.

1.2. Bu Qaydaların əsas məqsədi informasiya texnologiyaları (İT) sistemlərinin, saxlanılan məlumatların və sənədlərin təhlükəsizliyini təmin etmək, qəza hallarının və səhvlərin təsirini azaltmaq üçün risklərə nəzarət etmək, ehtiyat surətlərinin təşkili və fövqəladə hallardan çıxış yollarını əhatə edən prosedurların yaradılması üçün minimal tələbləri müəyyən etməkdir.

1.3. Hər bir bank öz informasiya sistemlərini və onların təhlükəsizliyini bu Qaydaların tələblərinə uyğun qurmalı, onların mütəmadi olaraq yenilənməsinə nəzarət etməlidir.

2. Anlayışlar

2.1. Bu Qaydalarda istifadə olunan anlayışlar aşağıdakı mənaları daşıyır:

2.1.1. İnformasiya Texnologiyaları departamenti (İTD) - İnformasiya texnologiyaları üzrə xidmətləri həyata keçirən bankın struktur bölməsidir.

2.1.2. Sanksiya edilməmiş müdaxilə - informasiya sistemlərinə, elektron sənəd toplusuna icazəsi olmayan, səlahiyyətsiz istifadəçinin daxil olma cəhdidir.

2.1.3. Strateji plan - bank, departament və ya şöbənin uzunmüddətli fəaliyyətinin müvəffəqiyyətlə həyata keçirilməsi məqsədilə gələcəkdə icrası nəzərdə tutulmuş tədbirlərin planlaşdırılmasıdır.

2.1.4. Avtorizasiya - bank sənədlərindəki məlumatların sistemə daxil edilməsinin təsdiqidir.

2.1.5. On-line rejimli interfeys - real vaxt rejimində iki və daha artıq sistem istifadəçisi arasında birbaşa yaradılmış informasiya və kommunikasiya əlaqəsi formasıdır.

2.1.6. «qaynar» dəyişdirmə - istismar olunan server kompüterlərinin fəaliyyətini dayandırmadan sistem tərəfindən avtomatik olaraq bərk disklərin (yaddaş qurğusu) dəyişdirilməsidir.

3. İnformasiya texnologiyaları sistemlərinə dair əsas tələblər

3.1. İT sistemlərində yüksək dərəcəli effektivlik və standartlaşmaya nail olmaq məqsədilə banklar aşağıda göstərilmiş tələblərə riayət etməlidirlər:

3.1.1. bankın informasiya texnologiyaları üzrə inkişaf strategiyasına uyğun olaraq sistemlərin etibarlı və davamlı fəaliyyəti təmin olunmalıdır;

3.1.2. İT sistemləri yüksək dərəcəli texnoloji standartlar səviyyəsində saxlanılmalıdır;

3.1.3. istifadə olunan İT sistemləri fövqəladə hallara qarşı dövri olaraq qiymətləndirilməlidir;

3.1.4. İT sistemləri üzrə struktur təsdiq edilərkən bank işçiləri arasında vəzifə bölgüsü aparılmalıdır.

3.2. İT sistemlərinə daxil edilən, emal olunan və saxlanılan informasiya istifadəçilərin bank işinə dair ehtiyaclarını ödəməlidir. Həmin informasiya bankın müvafiq normativ-metodoloji sənədlərinə və iş reqlamentinə uyğun olaraq yığılmalı və istifadəçilərə çatdırılmalıdır.

3.3. İT sistemləri üzrə təhlükəsizlik tədbirlərinin idarə edilməsi aşağıdakı tələblər əsasında aparılmalıdır:

3.3.1. İT üzrə təhlükəsizlik planlarında risklərin qiymətləndirilməsi prosedurlarının nəzərə alınması;

3.3.2. İT üzrə təhlükəsizlik planının həyata keçirilməsi;

3.3.3. İT sistemlərində dəyişiklikləri əks etdirmək üçün İT üzrə təhlükəsizlik planının yeniləşdirilməsi;

3.3.4. İT sistemlərində edilən dəyişikliklərin İT təhlükəsizlik sisteminə təsirinin qiymətləndirilməsi;

3.3.5. İT üzrə təhlükəsizlik planının həyata keçirilməsinə nəzarət edilməsi;

3.3.6. İT üzrə təhlükəsizlik prosedurlarının bankın digər qayda və prosedurlarına uyğunlaşdırılması.

4. İT sistemlərində məlumatlara daxil olma

4.1. İT istifadəçilərinin informasiya sistemlərinə daxil olması səlahiyyətlərin verilməsi mexanizmləri ilə məhdudlaşdırılmalıdır. Bu cür mexanizmlər kompüter ehtiyatlarına səlahiyyətsiz daxil olma hallarının qarşısını almalı və eyni zamanda parolun daxil edilməsinə 3 dəfədən artıq cəhd olunmasına imkan verməməlidir.

4.2. İstifadəçilərin sistemdə uçotunun yaradılması və ləğv edilməsi üçün prosedurlar tərtib edilməlidir. Bankda istifadəçilərin və sistem inzibatçılarının informasiya sistemlərinə daxil olma qaydalarını müəyyən edən daxili prosedurlar mövcud olmalıdır.

4.3. Səhvləri, saxtakarlıq hallarını, İT sisteminin və ya sistemdə saxlanılan məlumatların səhv istifadəsini və yaxud səlahiyyətsiz şəxslər tərəfindən dəyişdirilməsi risklərini azaltmaq məqsədilə bankda sistemə daxil olma hüquqları ilə sistemə giriş qeydlərinin mütəmadi müqayisəsi aparılmalıdır.

4.4. Təhlükəsizlik siyasətinə uyğun olaraq, informasiya vasitələrinə kənardan sanksiya edilməmiş müdaxilələrin qarşısını almaq məqsədilə bankda İT avadanlıqları üzrə müvafiq fiziki təhlükəsizlik və nəzarət tədbirləri müəyyən olunmalıdır. Fiziki təhlükəsizlik və nəzarət qaydaları, nəinki sistem avadanlıqlarının yerləşdiyi sahəni, həmçinin sistemin elementlərinin birləşdirilməsi üçün istifadə edilən xətlərin yerini, dəstəkləyici xidmətləri (məsələn, elektrik enerjisi), ehtiyat vasitələri və sistemin işləməsi üçün lazım olan digər elementləri nəzərdə tutmalıdır.

5. Fövqəladə hallar üzrə prosedurlar

5.1. Hər bir bankda İT sistemlərinin zədələndiyi, dağıldığı və ya təhlükəyə məruz qaldığı hallarda fəaliyyətin fasiləsizliyi təmin edilməlidir.

5.2. Fəaliyyətin fasiləsizliyini təmin etmək üçün bank:

5.2.1. İT sistemlərinin fövqəladə hallarda etibarlı və davamlı fəaliyyətini təmin etmək məqsədilə sistemlərin ehtiyat surətlərinin saxlanılması üçün olduğu yerdən kənarda Ehtiyat Mərkəzi yaratmalıdır;

5.2.2. vəzifələri, səlahiyyətləri və qəbul ediləcək yanaşma metodologiyasını və fasiləsizlik planını sənədləşdirmək üçün qayda və strukturları müəyyən etməlidir.

5.3. Bankda fəaliyyətin davamlılığına təsir göstərəcək təhlükə və səlahiyyətsiz müdaxiləyə dair risklər qiymətləndirilməli və strateji plan mövcud olmalıdır.

5.4. Fövqəladə hallar zamanı yaranmış təhlükələrin ehtimal edilən təsirinin müəyyən edilməsi məqsədilə bankda mümkün zərərin səviyyəsi və onun aradan qaldırılması üçün zəruri tədbirlər müəyyən edilməlidir.

5.5. Fövqəladə hallarda fəaliyyətin fasiləsizliyini təmin etmək məqsədilə İT sistemlərində qəza zamanı riayət olunmalı prosedurlarla bağlı bankda əlaqədar işçilər üçün müntəzəm təlim tədbirləri həyata keçirilməlidir.

6. Risklərin idarə edilməsinə dair tələblər

6.1. Risk təhlillərinin məqsədi İT üzrə maddi və informasiya aktivləri ilə bağlı təhlükəsizlik riskləri haqqında mükəmməl anlayış əldə etmək və risk səviyyələrinin təsirinin azaldılması üçün mühafizə tədbirlərini müəyyən etməkdir.

6.2. Bankda bütün İT ilə bağlı sahələrdə nəzarət mexanizmlərinin olmasını təmin etmək məqsədilə risklərin idarə edilməsi və təhlili üsulları düzgün müəyyən olunmalıdır. Risklərin qiymətləndirilməsi davamlı bir proses olmalı, texnologiya və bank işindəki dəyişikliklərə çevik cavab verməlidir. Risklərə nəzarət, mühafizə tədbirlərinin fasiləsizliyini təmin etmək üçün gündəlik fəaliyyət planı olmalıdır.

6.3. İnformasiya texnologiyalarının üzləşdiyi risklərin səviyyələrinin aşağı salınması məqsədilə bank əməliyyat sistemi üzrə aşağıdakı tədbirlər həyata keçirilməlidir:

6.3.1. verilənlər bazasının gündəlik, həftəlik, aylıq və illik ehtiyat surətlərinin saxlanılması;

6.3.2. verilənlər bazasında toplanmış dəyişikliklər üzrə qeydlərin (loqların) ehtiyat surətlərinin gündəlik olaraq yaradılması;

6.3.3. verilənlər bazasının həftəlik surətlərinin 1 aydan, aylıq surətlərinin 1 ildən və illik surətlərinin 5 ildən az olmamaq şərtilə saxlanılması;

6.3.4. gündəlik, həftəlik, aylıq və illik ehtiyat surətlərinin kənar yaddaş qurğularında saxlanılması;

6.3.5. illik surətlərin bankın arxivinə təhvil verilməzdən əvvəl ehtiyat serverdə verilənlərin bərpası proseduru üzrə tam yoxlanılması;

6.3.6. bank əməliyyat sistemində sənədlərin avtorizasiya mexanizmlərinin işlənilməsi;

6.3.7. bank əməliyyat sistemi ilə digər sistemlər, həmçinin ödəniş sistemləri arasında əlaqənin (interfeysin) yaradılması;

6.3.8. bankın baş ofisilə filialları, şöbələri və mübadilə büroları arasında on-line rejimində interfeysin yaradılması;

6.3.9. İT sistemlərinin ehtiyat surətlərinin Ehtiyat Mərkəzində saxlanılması.

7. İnformasiya təhlükəsizliyinə dair tələblər

7.1. Bankda məlumatları emal edən serverlər aşağıdakı tələblərə cavab verməlidir:

7.1.1. lisenziyalı proqram təminatı və ya pulsuz kommersiya istifadəsi məqsədilə əldə olunan proqram təminatından (freeware) istifadə olunmalıdır;

7.1.2. serverlərdə tətbiq edilən proqram təminatları informasiya təhlükəsizliyi üzrə məsul şəxslə razılaşdırılmalıdır.

7.2. Xidməti məlumatları emal edən serverlər aşağıdakı tələblərə cavab verməlidir:

7.2.1. arxivləşdirmə, ehtiyat serverin yaradılması, monitorinq, antivirus proqramı bankda informasiya təhlükəsizliyi üzrə məsul şəxslə razılaşdırmaqla müəyyən edilməli;

7.2.2. aşağıdakı tələblərə cavab verən idarəetmə funksiyası mövcud olmalıdır:

7.2.2.1. sistem inzibatçıları istifadəçi parollarını əldə etmək imkanına malik olmamalı;

7.2.2.2. əməliyyat sisteminin normal iş rejimi zamanı uzaqdan idarə etmə imkanı mövcud olmamalı.

7.3. İT sistemləri istifadəçilərinin və sistem inzibatçılarının aşağıdakı tələblərə cavab verən eyniləşdirilmə (autentifikasiya) funksiyası təmin olunmalıdır:

7.3.1. hər bir istifadəçinin eyniləşdirmə kodu mövcud olmalı;

7.3.2. hər bir istifadəçinin eyniləşdirmə kodu üzrə atributları birmənalı şəkildə müəyyən edilməli;

7.3.3. sistemdə eyniləşdirmə (autentifikasiya) mütləq olmalı;

7.3.4. istifadəçi hüquqlarının müəyyən edilməsi üçün qruplardan istifadə olunmalı;

7.3.5. sistemə daxil olma sistem inzibatçısı tərəfindən təyin edilmiş səlahiyyətlər toplusuna uyğun olaraq təşkil edilməli;

7.3.6. istifadəçi parollarının dəyişdirilməsi müddəti maksimum 60 gün olmalı;

7.3.7. sistem istifadəçiləri üçün parol 6 simvoldan az olmamalı;

7.3.8. sistem inzibatçıları üçün parol 10 simvoldan az olmamalı;

7.3.9. sistemə ilk qoşulma zamanı parol mütləq dəyişdirilməli;

7.3.10. parolun 3 dəfə səhv yığılması cəhdlərindən sonra, yalnız sistem inzibatçıları tərəfindən sistemə giriş qadağalarının götürülməsi mümkün olmalı;

7.3.11. son 13 parolun tarixini kodlaşdırılmış şəkildə saxlamaqla köhnə parolların istifadə olunmasının avtomatik olaraq qarşısı alınmalı;

7.3.12. parolun həm hərfi, həm də rəqəm simvollardan ibarət olması, yəni parolun mürəkkəbliyi üzrə avtomatik yoxlama funksiyası aktivləşdirilməli;

7.3.13. parolların ekranda açıq əks olunması qadağan olunmalı;

7.3.14. parol istifadəçi tərəfindən fərdi şəkildə dəyişdirilməli;

7.3.15. parollar, telekommunikasiya sistemləri vasitəsilə ötürülən zaman mütləq şifrlənməli;

7.3.16. parolla mühafizəyə malik ekran qoruyucusu mövcud olmalı;

7.4. Kriptoqrafik mühafizə sistemlərinin tətbiqi zamanı aşağıdakı tələblərə riayət edilməlidir:

7.4.1. parollar şifrlənmiş vəziyyətdə saxlanılmalı;

7.4.2. parollar şifrlənmiş vəziyyətdə ötürülməli;

7.4.3. informasiya kənar rabitə kanallarına ötürüldükdə şifrlənməli;

7.4.4. informasiya şifrlənmiş vəziyyətdə kənar daşıyıcılara yazılmalı;

7.4.5. informasiyanın ötürülməsi zamanı elektron imza əlavə edilməli.

7.5. Hər bir bankda server otaqlarının mühafizəsi üçün aşağıdakılar təmin olunmalıdır:

7.5.1. server otaqlarına daxilolma orada quraşdırılmış serverlər və telekommunikasiya avadanlıqları ilə işləyən şəxslərlə məhdudlaşdırılmalı;

7.5.2. daxilolma hüququna malik şəxslərin siyahısı bankın Təhlükəsizlik xidməti ilə razılaşdırılmalı;

7.5.3. server otaqlarına daxilolma elektron və ya mexaniki qıfıllarla məhdudlaşdırılmalı;

7.5.4. server otaqlarına daxilolma vaxtı bankın iş vaxtı ilə məhdudlaşdırılmalı;

7.5.5. fövqəladə hal baş verdikdə daxilolma hüququ bankın Təhlükəsizlik xidmətinin razılığı ilə səlahiyyətli şəxslərə bütün gün ərzində verilməli;

7.5.6. server otaqlarında kənar təşkilatlarların mütəxəssislərinin işi bankın informasiya texnologiyaları və təhlükəsizlik xidmətlərinin əməkdaşlarının nəzarəti altında həyata keçirilməli;

7.5.7. server otaqlarında avadanlığın quraşdırılması, əvəz edilməsi və təmiri informasiya texnologiyaları və təhlükəsizlik xidmətinin əməkdaşlarının nəzarəti altında həyata keçirilməli;

7.5.8. server otaqlarından avadanlığın çıxarılması təhlükəsizlik xidmətinin iştirakı ilə həyata keçirilməli;

7.5.9. server otaqları yanğına qarşı siqnalizasiya sistemləri ilə təchiz edilməli;

7.5.10. server otağı havalandırma sistemi ilə təchiz edilməli;

7.5.11. server otağı generatorla, fasiləsiz qida mənbəyi ilə təchiz edilməli;

7.5.12. server otağı daxili müşahidə kameraları ilə təchiz edilməli.

7.6. Bankın bütün serverlərində və işçi stansiyalarında antivirus mühafizəsi məcburidir.

7.7. Bankın serverlərinin və işçi stansiyalarının antivirus mühafizəsini təmin etmək məqsədilə:

7.7.1. işçi stansiyalarında quraşdırılmış antivirus paketi gündəlik avtomatik olaraq yenilənməlidir;

7.7.2. işçi stansiyalarında və serverlərdə real vaxt rejimində yoxlamaları aparmaq məqsədilə fəaliyyətdə olan modul ilə birlikdə antivirus paketi quraşdırılmalıdır.

7.8. Bank daxili şəbəkəni idarə edən və fəaliyyətdə olan avadanlıqla yanaşı ehtiyat avadanlıqla da təchiz edilməlidir.

7.9. Ödəniş və əməliyyat serverləri aşağıda göstərilən ehtiyatda saxlama vasitələri ilə təchiz edilməlidir:

7.9.1. «güzgü» şəklində əks olunan və «qaynar» dəyişdirmə qabiliyyətinə malik böyük həcmdə bərk disklərlə;

7.9.2. sıradan çıxmış prosessorun avtomatik qapanması imkanı ilə;

7.9.3. ehtiyat serveri ilə (fəaliyyətdə olan serverin sıradan çıxdığı halda server 1 saat ərzində ehtiyat serveri ilə əvəz olunmalıdır).

7.10. Əsas serverlərin sıradan çıxdığı halda sistemin işsiz dayandığı vaxt 3 saatdan artıq olduqda serverlər bankın Ehtiyat Mərkəzindəki serverləri ilə əvəz olunmalıdır.

7.11. Bankın elektrik təchizatı xətləri (fiberlər) iki müxtəlif yarımstansiya tərəfindən təkrarlanmalıdır.

8. Təchizatçı və provayderlərə dair tələblər

8.1. Bankın bütün kompüter avadanlıqları aşağıdakı tələblərə cavab verməlidir:

8.1.1. mənşə sertifikatına malik olmalı;

8.1.2. avadanlıq, istehsalçı tərəfindən səlahiyyət verilmiş dilerlərdən (nümayəndələrdən) alınmalı;

8.1.3. texniki dəstək haqqında yazılı razılaşma mövcud olmalı;

8.1.4. zəmanətli texniki xidmətin müddəti 12 aydan az olmamalı;

8.1.5. ərizənin verildiyi andan avadanlığın təmir edilməsi və ya tam əvəz edilməsi vaxtı: serverlər üçün 24 saat, digər avadanlıqlar üçün 48 saat olmalı.

8.2. Bankın İT sistemlərində istifadə olunan proqram təminatı:

8.2.1. kifayət qədər tanınmış və 3 ildən az olmayaraq müddətdə proqram təminatı satışı ilə məşğul olan şirkətdən əldə edilməli;

8.2.2. təchizatçı tərəfindən dəstəyə dair razılaşma mövcud olmalı;

8.2.3. proqram təminatının təchizatçı tərəfindən dəstəklənməsi müddəti 12 aydan az olmamalı.

8.3. Rabitə xidmətlərini göstərən provayder aşağıdakı tələblərə cavab verməlidir:

8.3.1. Azərbaycan Respublikasının Rabitə və İnformasiya Texnologiyaları Nazirliyinin lisenziyasına malik olmalı;

8.3.2. yüksək nüfuza malik olmalı;

8.3.3. təchizatçı ilə dəstəklənməyə dair müqavilə bağlanılmalı;

8.3.4. rabitə sahəsində 3 ildən az olmamaq şərtilə fəaliyyəti olmalı.

9. Hesabatlılıq [2]

Bankda istifadə olunan informasiya texnologiyalarına dair hesabat hər ilin nəticələrinə görə Milli Banka verilən prudensial hesabatlarla birgə təqdim olunmalıdır. Hesabatın forma və məzmunu Milli Bank tərəfindən müəyyən edilir.

10. Yekun müddəa

Bu Qaydalar dövlət qeydiyyatına alındığı tarixdən qüvvəyə minir.

İSTİFADƏ OLUNMUŞ MƏNBƏ SƏNƏDLƏRİNİN SİYAHISI

1.       9 oktyabr 2006-cı il tarixli 32 nömrəli Azərbaycan Respublikası Milli Bankı İdarə Heyətinin Protokolu (Azərbaycan Respublikası Mərkəzi İcra Hakimiyyəti Orqanlarının Normativ Aktlarının Bülleteni, 2006-cı il, № 09-10-11)

2.       10 dekabr 2014-cü il tarixli 26/4 nömrəli Azərbaycan Respublikası Mərkəzi Bankının İdarə Heyətinin Qərarı (Hüquqi Aktların Dövlət Reyestrinin qeydiyyat nömrəsi 23201412100264, Hüquqi Aktların Dövlət Reyestrinə daxil edildiyi tarix 30 dekabr 2014-cü il)

BÜLLETENƏ EDİLMİŞ DƏYİŞİKLİK VƏ ƏLAVƏLƏRİN SİYAHISI