Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:

Na osnovu člana 9. Zakona o Agenciji za bankarstvo Federacije Bosne i Hercegovine ("Službene novine Federacije BiH", br. 9/96, 27/98, 20/00, 45/00, 58/02, 13/03, 19/03, 47/06, 59/06 i 48/08) i člana 18. Statuta Agencije za bankarstvo Federacije BiH ("Službene novine Federacije BiH", broj 42/04), Upravni odbor Agencije za bankarstvo Federacije BiH, na 36. sjednici održanoj dana 28.12.2011. godine, donosi

ODLUKU

O MINIMALNIM STANDARDIMA UPRAVLjANjA INFORMACIONIM SISTEMIMA U BANKAMA

(Objavljeno u "Sl. novine FBiH", br. 1 od 06 januara 2012)

Opće odredbe

Član 1.

Odlukom o minimalnim standardima upravljanja informacionim sistemima u bankama (u daljem tekstu: odluka) utvrđuju se minimalni standardi i kriteriji koje je banka dužna da obezbijedi i provodi u procesu upravljanja informacionim sistemom.

Definicije

Član 2.

Definicije koje se koriste u ovoj odluci imaju slijedeća značenja:
Autentičnost - osobina koja obezbjeđuje da je identitet lica zaista onaj za koji se tvrdi da jeste.
Autentifikacija - proces potvrde identiteta korisnika/procesa od strane sistema.
Autorizacija - proces dodjele prava pristupa ili drugih prava korisniku, programu ili procesu.
Backup- kopija izvornih podataka (informacijska imovina isoftware-ske komponente) koji su potrebni za ponovno uspostavljanje poslovnih procesa banke, te ostalih podataka za koje banka procijeni da ih je potrebno čuvati.
Dokazivost - osobina koja obezbjeđuje da aktivnosti lica mogu biti praćene jedinstveno do samog lica.
Dostupnost - osobina da informacija bude dostupna i iskoristiva na zahtjev od strane ovlaštenog lica.
Elektronsko bankarstvo - sistem koji omogućava klijentima banke obavljanje bankarskih poslova sa udaljene lokacije putem javnih komunikacionih mreža ili sl.
Evidentiranje korisničkih prava pristupa - proces dodjele prava pristupa korisnicima informacionog sistema.
Hardware-ske komponente (hardware-ska imovina) - fizičke komponente informacionog sistema koje uključuju: računare i računarsku opremu, komunikacijsku opremu, medije za čuvanje podataka, te ostalu tehničku opremu koja podržava rad informacionog sistema.
Identifikacija i autentifikacija - procesi identifikacije korisnika informacionog sistema i potvrde njegova identiteta prilikom prijave i tokom provođenja radnji na informacionom sistemu.
Incident - svaki neplanirani i neželjeni događaj koji može narušiti sigurnost i funkcionalnost resursa informacionog sistema koji podržavaju odvijanje poslovnih procesa banke.
Informacioni sistem - sveobuhvatan skup resursa organizovan u svrhu prikupljanja, spremanja, obrade, održavanja, korištenja, distribucije i raspolaganja informacijama.
Informacijska imovina - podaci u bazama podataka, datoteke sa podacima, programski kod, sistemska i aplikacijska dokumentacija, korisnička dokumentacija, planovi, interni akti i slično.
Informacijska tehnologija -hardware,software, komunikacije i drugi uređaji koji se koriste za unos, spremanje, procesiranje (obradu), prijenos i izlaz podataka, u bilo kojem obliku.
Integritet - osobina informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno mijenjani.
Kontrole - politike, procedure, prakse, tehnologije i organizacione strukture dizajnirane kako bi obezbijedile razumno uvjerenje da će poslovni ciljevi biti dostignuti i da će neželjeni događaji biti spriječeni ili detektovani. Kontrole se dijele na upravljačke, logičke i fizičke. Upravljačke kontrole uključuju donošenje internih akata vezanih uz informacioni sistem i uspostavljanje odgovarajuće organizacijske strukture, te obezbjeđuju primjenu internih akata vezanih uz informacioni sistem u cilju obezbjeđivanja funkcionalnosti i sigurnosti informacionog sistema. Logičke kontrole su kontrole implementirane nasoftware-skim komponentama. Fizičke kontrole su kontrole koje štite resurse informacionog sistema od neovlaštenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja.
Korisnici informacionog sistema - sva lica koja koriste informacioni sistem (uposlenici banke, uposlenici pružaoca usluga, korisnici elektronskog bankarstva, uposlenici pravnih lica koji koriste informacioni sistem banke i dr.).
Korisnički identitet - identitet koji je moguće potvrditi korištenjem jednoga ili kombinacijom slijedećih načina:
1. pomoću nečega što samo korisnik zna (na primjer lozinka, PIN, kriptografski ključ),
2. pomoću nečega što samo korisnik posjeduje (na primjer magnetna kartica, čip kartica, token),
3. pomoću nečega što korisnik jeste (korištenjem biometrijskih metoda kao što su provjera otiska prsta ili karakteristika šarenice oka, prepoznavanje glasa, rukopisa i slično).
Kritični/vitalni procesi - poslovne aktivnosti ili informacije koje ne mogu biti prekinute ili nedostupne, a da značajno ne ugroze poslovanje banke.
Maliciozni kod - bilo koji oblik programskog koda dizajniran sa namjerom da se pristupi, uništi ili prikupi informacija iz informacionog sistema, bez znanja i odobrenja vlasnika.
Nadzor korisničkih prava pristupa - proces koji uključuje praćenje, izmjenu i reviziju prava pristupa korisnika informacijskog sistema.
Neporecivost - osobina koja obezbjeđuje nemogućnost poricanja izvršene aktivnosti ili primanja informacija (podataka).
Operativni i sistemski zapisi - hronološki zapisi o aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikacijskogsoftware-a, baza podataka, mrežnih uređaja i sl.).
Pouzdanost - osobina dosljednosti, očekivanog ponašanja i rezultata.
Povjerljivost - osobina da informacija nije dostupna ili otkrivena neovlaštenim licima ili procesima.
Povlašteni pristup - pristup resursima informacionog sistema koji omogućava korisnicima znatno veća prava te zaobilaženje ugrađenih logičkih kontrola (administrator mrežne opreme, baze podataka, sistemskogsoftware-a, aplikativnogsoftware-a i sl.).
Raspoloživost - svojstvo imovine da je dostupna i upotrebljiva na zahtjev ovlaštenog lica.
Resursi informacionog sistema - resursi koji uključuju informacijsku imovinu,software-ske ihardware-ske komponente, ljude i procese.
Rizik informacionog sistema - rizik koji proizilazi iz korištenja informacijske tehnologije, odnosno informacionog sistema.
Sigurnost informacija - obezbjeđuje da samo ovlašteni korisnici (povjerljivost) imaju pristup tačnim i kompletnim informacijama (integritet) kada je potrebno (dostupnost).
Skrbnik - lice i/ili organizacioni dio, koji logički ili fizički raspolaže resursima, a koji za potrebe i interes vlasnika obavlja operativne poslove i implementaciju odgovarajućih kontrola, koji su mu dodijeljeni, u skladu sa važećim politikama, procedurama i uputstvima.
Software-ske komponente (software-ska imovina) - uključuju aplikacijskisoftware, sistemskisoftware, baze podataka,software-ske razvojne alate, uslužne programe te ostalisofware.
Udaljeni pristup - omogućava pristup resursima informacionog sistema sa udaljene lokacije putem telekomunikacionih linija nad kojima banka nema potpunu kontrolu, odnosno nadzor.
Vlasnik - lice i/ili organizacioni dio kojem je odobrena upravljačka odgovornost za produkciju, razvoj, održavanje, korištenje i zaštitu imovine.

Okvir za upravljanje informacionim sistemom

Član 3.

Banka je dužna uspostaviti, implementirati, nadzirati, održavati, redovno revidirati i poboljšavati proces upravljanja informacionim sistemom u cilju smanjenja izloženosti rizicima, obezbjeđenja povjerljivosti, integriteta i dostupnosti informacija i cjelokupnog informacionog sistema, primjereno veličini, složenosti i obimu poslovanja banke, te kompleksnosti informacionog sistema.

Nadzorni odbor

Član 4.

Nadzorni odbor banke je dužan i odgovoran, kao minimum, da:
1. na osnovu prijedloga uprave, donosi strategiju informacionog sistema, koja treba biti sastavni dio ukupne poslovne strategije banke,
2. na osnovu prijedloga uprave, donosi politike za upravljanje informacionim sistemom, a posebno politiku sigurnosti informacionog sistema i nadzire njihovu