aaa bbb
hor001


Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:


hor002
Na osnovu člana 128. Zakona o bankama Republike Srpske ("Službeni glasnik Republike Srpske", br. 44/03, 74/04, 116/11, 5/12 i 59/13), člana 5. stav 1. tačka d. člana 20. stav 2. tačka b. i člana 37. Zakona o Agenciji za bankarstvo Republike Srpske ("Službeni glasnik Republike Srpske", broj 59/13) i člana 17. stav 1. tačka b. i člana 30. Statuta Agencije za bankarstvo Republike Srpske ("Službeni glasnik Republike Srpske", broj 95/13), Upravni odbor Agencije za bankarstvo Republike Srpske, na sjednici održanoj 24.12.2013. godine, donosi

ODLUKU

O MINIMALNIM STANDARDIMA UPRAVLjANjA INFORMACIONIM SISTEMIMA U BANKAMA

(Objavljena u "Sl. glasniku RS", br. 1 od 15. januara 2014)

OPŠTE ODREDBE

Član 1.

Ovom odlukom utvrđuju se minimalni standardi i kriterijumi koje je banka dužna da obezbijedi i sprovodi, a koji se odnose na upravljanje informacionim sistemima u bankama.

Član 2.

Pojedini pojmovi koji se koriste u ovoj odluci imaju sljedeće značenje.
Informacioni sistem je sveobuhvatan skup tehnološke infrastrukture, organizacije, ljudi i postupaka za prikupljanje, čuvanje, obradu, održavanje, korišćenje, distribuciju i raspolaganje informacijama.
Resursi informacionog sistema obuhvataju softverske komponente, hardverske komponente i informacionu imovinu.
Softverske komponente obuhvataju sve tipove sistemskog i aplikativnog softvera, softverske razvojne alate, kao i ostali softver.
Hardverske komponente obuhvataju računarsku opremu, komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informacionog sistema.
Informaciona imovina obuhvata podatke u datotekama i bazama podataka, programski kod, konfiguraciju hardverskih komponenti, tehničku i korisničku dokumentaciju, interne akte i sl.
Korisnici informacionog sistema su sva lica koja su ovlašćena da koriste informacioni sistem (zaposleni u banci, zaposleni u pravnim licima koji pristupaju informacionom sistemu banke, korisnici elektronskog bankarstva i dr.).
Rizik informacionog sistema je rizik koji proizilazi iz korišćenja informacione tehnologije, odnosno informacionog sistema.
Bezbjednost informacionog sistema podrazumijeva očuvanje povjerljivosti, cjelovitosti, dostupnosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informacionom sistemu.
Povjerljivost osobina da podaci i informacije nisu dostupni ili otkriveni neovlašćenim licima ili procesima.
Cjelovitost osobina da podaci, informacije i procesi nisu neovlašćeno ili nepredviđeno mijenjani.
Dostupnost osobina da su podaci, informacije i procesi uvijek dostupni i upotrebljivi na zahtjev ovlašćenog lica.
Autentičnost osobina koja obezbjeđuje da je identitet lica zaista onaj za koji se tvrdi da jeste.
Dokazivost osobina koja obezbjeđuje da svaka aktivnost u informacionom sistemu može jednoznačno biti praćena do njenog izvora.
Neporecivost osobina koja obezbjeđuje nemogućnost poricanja aktivnosti izvršene u informacionom sistemu ili prijema informacija.
Pouzdanost označava da informacioni sistem dosljedno i očekivano vrši predviđene funkcije i pruža tačne informacije.
Kontrole - politike, procedure, prakse, tehnologije i organizacione strukture koje se odnose na informacioni sistem utvrđene da bi se obezbijedilo razumno uvjerenje da će poslovni ciljevi biti ostvareni i da će neželjeni događaji biti spriječeni ili otkriveni, a prema načinu primjene dijele se na upravljačke, logičke i fizičke.
Upravljačke kontrole obuhvataju donošenje internih akata, koje se odnose na informacioni sistem i uspostavljanje odgovarajuće organizacione strukture, te obezbjeđuju primjenu ovih akata radi obezbjeđivanja funkcionalnosti i bezbjednosti informacionog sistema.
Logičke kontrole su kontrole implementirane na softverskim komponentama informacionog sistema.
Fizičke kontrole su kontrole kojima se štite resursi informacionog sistema od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja.
Upravljanje korisničkim pravima pristupa uključuje evidentiranje, autorizaciju, identifikaciju i autentifikaciju, te nadzor korisničkih prava pristupa.
Evidentiranje je proces definisanja novih korisnika informacionog sistema.
Autorizacija je proces dodjele prava pristupa korisnicima informacionog sistema.
Identifikacija je proces predstavljanja korisnika informacionog sistema prilikom prijavljivanja u toku izvođenja aktivnosti u tom sistemu.
Autentifikacija je proces provjere i potvrde korisničkog identiteta korišćenjem jednog od sljedećih elemenata ili njihove kombinacije:
- nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),
- nešto što samo korisnik posjeduje (npr. magnetna kartica, čip-kartica, token, kriptografski ključ i sl.),
- nešto što samo korisnik jeste (biometrijske karakteristike, kao što su otisak prsta, očna dužica, glas, rukopis i sl.).
Nadzor korisničkih prava pristupa je proces koji uključuje praćenje, izmjenu i revidiranje prava korisnika informacionog sistema.
Povlašćeni pristup informacionom sistemu je
pristup resursima informacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje ugrađenih logičkih kontrola.
Udaljeni pristup informacionom sistemu je
pristup resursima informacionog sistema sa udaljene lokacije putem telekomunikacione infrastrukture nad kojom banka nema potpunu kontrolu.
Operativni i sistemski zapisi obuhvataju hronološke zapise o aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.).
Maliciozni programski kod je bilo koji oblik programskog koda stvoren s namjerom da se neovlašćeno ostvari pristup resursima informacionog sistema, prikupe ili unište informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način naruši povjerljivost, cjelovitost ili dostupnost tih resursa (npr. računarski virusi, crvi, trojanski konji i dr.).
Incident - svaki neplanirani i neželjeni događaj koji može narušiti bezbjednost ili funkcionalnost resursa informacionog sistema koji podržavaju odvijanje poslovnih procesa banke.
Elektronsko bankarstvo je sistem koji klijentima banaka omogućava korišćenje usluga koje banke pružaju (pristup finansijskim informacijama, elektronsko plaćanje i sl.) sa udaljene lokacije putem javnih komunikacionih mreža ili sl.
Kritični/ključni poslovni procesi su oni poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajno ugroziti, odnosno narušiti poslovanje banke.
Rezervna kopija podataka je kopija izvornih podataka (informaciona imovina i softverske komponente) koji su potrebni za ponovno uspostavljanje poslovnih procesa banke, te ostalih podataka za koje banka procijeni da ih je potrebno čuvati.
Zahtijevano vrijeme oporavka je prihvatljivo vrijeme neraspoloživosti poslovnih procesa banke i resursa informacionog sistema potrebnih za njihovo odvijanje, odnosno vrijeme tokom koga je potrebno obnoviti poslovne procese.

OKVIR ZA UPRAVLjANjE INFORMACIONIM SISTEMOM

Član 3.

Banka je dužna da, u skladu sa prirodom, složenošću i obimom poslovanja, kao i složenošću informacionog sistema uspostavi, nadzire, redovno revidira i unapređuje proces upravljanja informacionim sistemom u cilju smanjenja izloženosti rizicima, očuvanja bezbjednosti i funkcionalnosti ovog sistema.

Član 4.

Nadzorni odbor banke je dužan i odgovoran, kao minimum, da:
a) na osnovu prijedloga uprave banke donosi strategiju informacionog sistema, koja mora biti u skladu sa poslovnom strategijom banke;
b) na osnovu prijedloga uprave banke donosi politike za upravljanje informacionim sistemom, a posebno politiku bezbjednosti informacionog sistema i nadzire njihovu implementaciju;
v) usvojene politike razmatra najmanje jednom godišnje, odnosno pravovremeno vrši njihovo prilagođavanje ekonomskim, tržišnim, tehnološkim i drugim uslovima (u skladu sa promjenama u okruženju);
g) uspostavi sistem za mjerenje, praćenje, kontrolu i upravljanje rizicima vezanim za bezbjednost informacionog sistema, da redovno prati i procjenjuje efikasnost ovog sistema
d) uspostavi odgovarajuću organizacionu strukturu, s jasno utvrđenom podjelom poslova, dužnostima zaposlenih, kao i njihovih stručnih kvalifikacija i potrebnih kompetencija, kako bi se obezbijedilo adekvatno upravljanje informacionim sistemom;
đ) obezbijedi izbor i imenovanje kvalifikovanog i kompetentnog člana uprave banke koji će biti nadležan za uspostavljanje i nadzor procesa upravljanja informacionim sistemom;
e) propiše sadržaj i periodičnost izvještavanja nadzornog

hor002