Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:

Na temelju članka 161. stavka 1. pod 3. Zakona o kreditnim institucijama ("Narodne novine", br. 117/2008., 74/2009. i 153/2009.) te članka 43. stavka 2. pod 9. Zakona o Hrvatskoj narodnoj banci ("Narodne novine", br. 75/2008.) guverner Hrvatske narodne banke donosi

ODLUKU

O PRIMJERENOM UPRAVLjANjU INFORMACIJSKIM SUSTAVOM

(Objavljeno u "Narodnim novinama", br. 37 od 26 ožujka 2010)

I. OPĆE ODREDBE

Članak 1.

(1) Ovom se Odlukom uređuju obveze kreditne institucije koje se odnose na upravljanje informacijskim sustavom.
(2) Ova se Odluka primjenjuje:
1) na kreditne institucije sa sjedištem u Republici Hrvatskoj koje su od Hrvatske narodne banke dobile odobrenje za rad i
2) na podružnice kreditnih institucija iz trećih država koje su od Hrvatske narodne banke dobile odobrenje za pružanje usluga.
(3) Iznimno od stavka 2. ovog članka ova se Odluka ne primjenjuje na institucije za elektronički novac.

II. ZNAČENjE POJMOVA

Članak 2.

1) Softverske komponente (softverska imovina) uključuju aplikacijski softver, sistemski softver, baze podataka, softverske razvojne alate, uslužne programe te ostali softver.
2) Hardverske komponente (hardverska imovina) uključuju računala i računalnu opremu (stacionarna i prijenosna osobna računala, poslužitelje, monitore, tipkovnice, pisače i slično), komunikacijsku opremu (usmjernike, preklopnike, vatrozide i slično), medije za pohranu podataka (magnetne diskove, magnetne trake, optičke diskove i slično) te ostalu tehničku opremu koja podržava rad informacijskog sustava (uređaje za neprekidno napajanje električnom strujom, klimatizacijske uređaje i slično).
3) Informacijska imovina uključuje podatke u bazama podataka, datoteke s podacima, programski kĂ´d, sistemsku i aplikacijsku dokumentaciju, korisničke priručnike, planove, interne akte i slično.
4) Informacijska tehnologija omogućuje automatizirano prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz te distribuciju informacija kao i raspolaganje njima. Informacijska se tehnologija sastoji od softverskih i hardverskih komponenata.
5) Informacijski sustav je sveobuhvatnost tehnološke infrastrukture, organizacije, ljudi i postupaka za prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz te distribuciju informacija kao i raspolaganje njima. Informacijski sustav moguće je definirati i kao međudjelovanje informacijske tehnologije, podataka i postupaka za procesiranje podataka te ljudi koji prikupljaju navedene podatke i njima se koriste.
6) Korisnici informacijskog sustava su sve osobe koje se koriste informacijskim sustavom (zaposlenici kreditne institucije, zaposlenici pružatelja usluga, korisnici elektroničkog bankarstva, zaposlenici pravnih osoba koji se koriste informacijskim sustavom kreditne institucije itd.).
7) Rizik informacijskog sustava jest rizik koji proizlazi iz korištenja informacijske tehnologije odnosno informacijskog sustava.
8) Resursi informacijskog sustava uključuju informacijsku imovinu, softverske komponente i hardverske komponente.
9) Svojstva informacija i procesa uključuju povjerljivost, integritet, raspoloživost, autentičnost, neporecivost, dokazivost i pouzdanost.
10) Povjerljivost je svojstvo informacija (podataka) da nisu dostupne ili otkrivene neovlaštenim subjektima.
11) Integritet je svojstvo informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno mijenjani.
12) Raspoloživost je svojstvo informacija i procesa koje omogućuje pristup tim informacijama i procesima te njihovu upotrebljivost, tj. njihovu dostupnost na zahtjev ovlaštenog subjekta.
13) Autentičnost je svojstvo koje osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jest.
14) Neporecivost je svojstvo koje osigurava nemogućnost poricanja izvršene aktivnosti ili primitka informacije (podatka).
15) Dokazivost je svojstvo koje osigurava da aktivnosti subjekta mogu biti praćene jedinstveno do samog subjekta.
16) Pouzdanost je svojstvo dosljednoga, očekivanog ponašanja i rezultata.
17) Kontrole uključuju upravljačke, logičke i fizičke kontrole.
18) Upravljačke kontrole uključuju donošenje internih akata vezanih uz informacijski sustav i uspostavljanje odgovarajuće organizacijske strukture te osiguravaju primjenu internih akata vezanih uz informacijski sustav radi osiguravanja funkcionalnosti i sigurnosti informacijskog sustava.
19) Logičke kontrole su kontrole implementirane na softverskim komponentama informacijskog sustava.
20) Fizičke kontrole su kontrole koje štite resurse informacijskog sustava od neovlaštenoga fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja.
21) Upravljanje korisničkim pravima pristupa uključuje evidentiranje, autorizaciju, identifikaciju i autentifikaciju te nadzor korisničkih prava pristupa.
22) Evidentiranje je proces definiranja novih korisnika informacijskog sustava.
23) Autorizacija je proces dodjele prava pristupa korisnicima informacijskog sustava.
24) Identifikacija i autentifikacija procesi su identifikacije korisnika informacijskog sustava i potvrde njegova identiteta prilikom prijave i tijekom provođenja radnja na informacijskom sustavu.
25) Nadzor korisničkih prava pristupa je proces koji uključuje praćenje, izmjenu i revidiranje prava pristupa korisnika informacijskog sustava.
26) Korisnički identitet moguće je potvrditi korištenjem jednoga ili kombinacijom sljedećih načina:
a) pomoću nečega što samo korisnik zna (primjerice zaporka, PIN ili kriptografski ključ),
b) pomoću nečega što samo korisnik posjeduje (primjerice magnetska kartica, čip kartica ili "token") i
c) pomoću nečega što korisnik jest (korištenjem biometrijskih metoda kao što su provjera otiska prsta ili karakteristika šarenice oka, prepoznavanje glasa ili rukopisa i slično).
27) Povlašteni pristup informacijskom sustavu (engl. administrative access) onaj je pristup resursima informacijskog sustava koji je omogućen korisnicima informacijskog sustava s velikim ovlastima te povlaštenim pravima pristupa koja im omogućuju zaobilaženje ugrađenih logičkih kontrola, a to su, među ostalim, administratori baza podataka, administratori mrežne opreme, administratori sistemskog softvera i administratori aplikacijskog softvera.
28) Udaljeni pristup resursima informacijskog sustava kreditne institucije je pristup tim resursima s udaljene lokacije pomoću telekomunikacijske infrastrukture nad kojom kreditna institucija nema potpunu kontrolu ili nadzor.
29) Operativni i sistemski zapisi jesu bilješke o aktivnostima na resursima informacijskog sustava nastale onim slijedom kako su se te aktivnosti ostvarivale (zapisi operacijskih sustava, vatrozida, usmjernika, sustava za otkrivanje neovlaštenog pristupa i radnja na informacijskom sustavu, zapisi aplikacijskog softvera, baza podataka i slično).
30) Operativni i sistemski zapisi trebali bi omogućiti sljedeće:
a) rekonstrukciju događaja,
b) utvrđivanje odgovornosti za aktivnosti ostvarene na informacijskom sustavu,
c) otkrivanje neovlaštenog pristupa i radnji provedenih na informacijskom sustavu i
d) identifikaciju problema.
31) Maliciozni programski kĂ´d je bilo koji oblik programskoga kĂ´da stvoren da bi djelovao neočekivano i na potencijalno štetan način, odnosno na način koji može narušiti povjerljivost, integritet i raspoloživost resursa informacijskog sustava. Primjeri su malicioznoga programskog kĂ´da računalni crvi i virusi te "trojanski konji".
32) Elektroničko bankarstvo je neposredna ponuda novih i tradicionalnih proizvoda i usluga klijentima putem elektroničkih interaktivnih komunikacijskih kanala.
33) Elektroničko bankarstvo uključuje sustave koji klijentima kreditne