В Узбекистане банкам запретили передавать IT-системы на аутсорсинг

Минимальные требования к информационной и кибербезопасности коммерческих банков утверждены Центральным банком Узбекистана 18 августа. Документ, опубликованный на портале Lex.uz вступает в силу с 20 ноября.

Центральный банк утвердил положение, которое обязывает коммерческие банки внедрить систему управления рисками информационной безопасности, создать специализированную службу и незамедлительно сообщать регулятору о серьёзных инцидентах. Передача IT-инфраструктуры и систем безопасности на аутсорсинг запрещена.

Согласно документу, банки и их филиалы должны сформировать службы информационной и кибербезопасности. В их задачи входит контроль сохранности данных, реагирование на попытки несанкционированных атак и подготовка предложений по усилению защиты.

Информационные активы, базы данных и серверы должны размещаться только в основных и резервных центрах обработки данных банка. Размещение допускается в собственных помещениях банка, филиалах, в облачном дата-центре ЦБ или государственных дата-центрах. При этом для защиты от чрезвычайных ситуаций предусмотрено создание резервного центра обработки данных на расстоянии не менее 50 км от основного.

Коммерческие банки обязаны принять внутреннюю политику в области информационной безопасности и разработать систему управления рисками. Данные о её реализации будут учитываться в рейтинговой системе ЦБ.