NACRT ODLUKE O MINIMALNIM STANDARDIMA UPRAVLJANJA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE - TEKST PROPISA

NACRT ODLUKE O MINIMALNIM STANDARDIMA UPRAVLJANJA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE

I. UVODNE ODREDBE

1. Ovom odlukom utvrđuju se minimalni standardi i uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga, društvima za upravljanje dobrovoljnim penzijskim fondovima, platnim institucijama, institucijama elektronskog novca i javnom poštanskom operatoru u delu njegovog poslovanja koji se odnosi na pružanje platnih usluga i/ili izdavanje elektronskog novca (u daljem tekstu: finansijska institucija).

Ovom odlukom uređuju se i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa u finansijskoj instituciji.

Ova odluka primenjuje se na sve finansijske institucije, osim ako pojedinim njenim odredbama nije drukčije utvrđeno.

2. Pojedini pojmovi, u smislu ove odluke, imaju sledeće značenje:

1) informacioni sistem je sveobuhvatni skup tehnološkeinfrastrukture (hardverske i softverske komponente), organizacije, ljudi i postupaka za prikupljanje, smeštanje, obradu, čuvanje, prenos, prikazivanje i korišćenje podataka i informacija;

2) resursi informacionog sistema obuhvataju softverskekomponente, hardverske komponente i informaciona dobra;

3) softverske komponente obuhvataju sve tipove sistemskog iaplikativnog softvera, softverske razvojne alate, kao i ostali softver;

4) hardverske komponente obuhvataju računarsku opremu,komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informacionog sistema;

5) informaciona dobra obuhvataju podatke u datotekama ibazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i sl.;

6) korisnici informacionog sistema su sva lica koja suovlašćena da koriste informacioni sistem (zaposleni u finansijskoj instituciji, zaposleni u drugim licima koji pristupaju informacionom sistemu finansijske institucije, klijenti finansijske institucije koji informacionom sistemu finansijske institucije pristupaju preko elektronskih interaktivnih komunikacionih kanala i dr.);

7) rizik informacionog sistema je mogućnost nastankanegativnih efekata na finansijski rezultat i kapital, ostvarivanje poslovnih ciljeva, poslovanje u skladu s propisima i reputaciju finansijske institucije usled neadekvatnog upravljanja informacionim sistemom ili druge slabosti u tom sistemu koja negativno utiče na njegovu funkcionalnost ili bezbednost, odnosno ugrožava kontinuitet poslovanja finansijske institucije;

8) kontrole su politike,procedure,prakse,tehnologije iorganizacione strukture koje se odnose na informacioni sistem, utvrđene da bi se obezbedilo razumno uverenje da će poslovni ciljevi finansijske institucije biti ostvareni i da će neželjeni događaji biti sprečeni ili otkriveni, a mogu se razlikovati prema načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne);

9) upravljačke kontrole obuhvataju donošenje i primenupolitika, standarda, planova, procedura i drugih unutrašnjih akata, kao i uspostavljanje odgovarajuće organizacione strukture, a radi postizanja i održavanja adekvatnog nivoa funkcionalnosti i bezbednosti informacionog sistema;

10) tehničke kontrole su kontrole primenjene u hardverskim isoftverskim komponentama informacionog sistema;

11) fizičke kontrole su kontrole kojima se resursiinformacionog sistema štite od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja;

12) preventivne kontrole su kontrole namenjene sprečavanjunastanka problema i incidenata;

13) detektivne kontrole su kontrole namenjene otkrivanju iprepoznavanju problema i incidenata i ukazivanju na nastale probleme i incidente;

14) korektivne kontrole su kontrole namenjene ograničavanju iotklanjanju problema i posledica incidenata;

15) incident je svaki neplanirani i neželjeni događaj koji moženarušiti bezbednost ili funkcionalnost informacionog sistema;

16) bezbednost informacionog sistema podrazumeva očuvanjepoverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informacionom sistemu;

17) poverljivost označava da podaci i informacije nisuotkriveni ili dostupni neovlašćenim licima;

18) integritet označava da su podaci,informacije i procesizaštićeni od neovlašćenog ili nepredviđenog menjanja, odnosno da eventualne takve promene ne ostaju neopažene;

19) raspoloživost označava da su podaci,informacije iprocesi dostupni i upotrebljivi na zahtev ovlašćenog lica;

20) autentičnost označava da je identitet lica zaista onaj zakoji se tvrdi da jeste;

21) dokazivost označava da svaka aktivnost u informacionomsistemu može biti jednoznačno praćena do njenog izvora;

22) neporecivost označava nemogućnost poricanja aktivnostiizvršene u informacionom sistemu ili prijema informacije;

23) pouzdanost označava da informacioni sistem dosledno iočekivano vrši predviđene funkcije i pruža tačne informacije;

24) autorizacija je proces dodele prava pristupa korisnicimainformacionog sistema;

25) identifikacija je proces predstavljanja korisnikainformacionog sistema prilikom prijave i u toku izvođenja aktivnosti u tom sistemu;

26) autentifikacija je proces provere i potvrde korisničkogidentiteta korišćenjem jednog od sledećih elemenata ili njihove kombinacije:

– nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),

– nešto što samo korisnik poseduje (npr. magnetna kartica, čip kartica, token, kriptografski ključ i sl.),

– nešto što samo korisnik jeste (biometrijske karakteristike kao što su otisak prsta, očna dužica, glas, rukopis i sl.);

27) povlašćeni pristup informacionom sistemu je pristupresursima informacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje tehničkih kontrola;

28) udaljeni pristup informacionom sistemu je pristupresursima informacionog sistema sa udaljene lokacije posredstvom telekomunikacione infrastrukture nad kojom finansijska institucija nema potpunu kontrolu;

29) operativni i sistemski zapisi označavaju hronološkezapise o događajima i aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.);

 

30) maliciozni programski kôd je bilo koji oblik programskogkôda stvoren s namerom da se neovlašćeno ostvari pristup resursima informacionog sistema, prikupe informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način potencijalno naruši poverljivost, integritet ili raspoloživost tih resursa (npr. računarski virusi, crvi, trojanski konji i dr.);

31) kritični/ključni poslovni procesi su poslovni procesi ilifunkcije čije neadekvatno funkcionisanje može značajnije ugroziti poslovanje finansijske institucije;

32) najduži prihvatljiv prekid (MAO – Maximum Acceptable Outage)označava najduži prihvatljiv period neraspoloživostiposlovnog procesa, odnosno kritično vreme za oporavak tog procesa;

33) ciljni nivo aktivnosti (SDO – Service Delivery Objective)označava odgovarajući nivo oporavka poslovnog procesa koji treba da bude postignut tokom ciljnog vremena oporavka;

34) ciljno vreme oporavka (RTO – Recovery Time Objective)označava period, odnosno faze u tom periodu tokom kojih treba da bude postignut odgovarajući nivo oporavka poslovnog procesa;

35) ciljna tačka oporavka (RPO – Recovery Point Objective)označava najduži prihvatljiv period od poslednje rezervne kopije podataka do nastupanja neraspoloživosti poslovnog procesa, odnosno najduži prihvatljiv period za koji podaci mogu biti izgubljeni;

36) rezervna kopija podataka predstavlja kopiju najmanje onihizvornih podataka (softverske komponente i informaciona dobra) koji su potrebni za oporavak, odnosno za ponovno uspostavljanje poslovnih procesa;

37) elektronske usluge su usluge koje klijenti banke,platneinstitucije, institucije elektronskog novca i javnog poštanskog operatora koriste sa udaljene lokacije preko interneta, a koje obuhvataju aktivnosti pristupanje platnom i drugom računu, iniciranje platne transakcije i druge aktivnosti kojima se pristupa podacima u vezi sa uslugama ovih finansijskih institucija koji bi mogli biti predmet prevarnih radnji ili drugih zloupotreba.

II. OKVIR ZA UPRAVLJANJE INFORMACIONIM SISTEMOM

3. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, uspostavi adekvatan informacioni sistem, koji ispunjava najmanje sledeće uslove:

1) poseduje funkcionalnosti, kapacitete i performanse koji omogućavaju pružanje odgovarajuće podrške poslovnim procesima;

2) obezbeđuje blagovremene, tačne i potpune informacije značajne za donošenje poslovnih odluka, efikasno obavljanje poslovnih aktivnosti i upravljanje rizicima, odnosno za sigurno i stabilno poslovanje finansijske institucije;

3) projektovan je sa odgovarajućim kontrolama za validaciju podataka na ulazu, u toku procesa obrade, kao i na izlazu iz tog sistema, radi sprečavanja netačnosti i nekonzistentnosti u podacima i informacijama.

Finansijska institucija je dužna da obezbedi da svi poslovno značajni sistemi za obradu podataka, kao i sistem izveštavanja, budu integralni deo informacionog sistema.

4. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, uspostavi, nadzire, redovno revidira i unapređuje proces upravljanja ovim sistemom radi smanjenja izloženosti rizicima i očuvanja bezbednosti i funkcionalnosti tog sistema, kao i da unutrašnjim opštim aktom, u skladu sa zakonom, utvrdi ovlašćenja i odgovornosti svojih organa upravljanja i nadzora koji se odnose na ove poslove.

5. Finansijska institucija je dužna da, u skladu sa strategijom poslovanja, kao i s prirodom, obimom i složenošću poslovanja, donese strategiju razvoja informacionog sistema.

Finansijska institucija je dužna da, po potrebi, menja strategiju razvoja informacionog sistema, i to naročito ako to zahtevaju odgovarajuće izmene i/ili dopune strategije poslovanja.

6. Finansijska institucija je dužna da, radi adekvatnog upravljanja informacionim sistemom, obezbedi odgovarajuću organizacionu strukturu, s jasno utvrđenom podelom poslova i dužnosti zaposlenih, odnosno sa utvrđenim unutrašnjim kontrolama kojima se sprečava sukob interesa.

7. Finansijska institucija je dužna da obezbedi primenu svih unutrašnjih opštih akata i procedura u vezi sa informacionim sistemom, kao i da obezbedi da svi korisnici ovog sistema budu upoznati sa sadržajem tih akata i procedura, u skladu s njihovim ovlašćenjima, odgovornostima i potrebama.

8. Finansijska institucija je dužna da usvoji i dokumentuje odgovarajuću metodologiju kojom će se utvrditi kriterijumi, način i postupci upravljanja projektima u vezi sa informacionim sistemom.

9. Finansijska institucija je dužna da utvrdi kriterijume, način i postupke izveštavanja svog nadležnog organa o relevantnim činjenicama u vezi s funkcionalnošću i bezbednošću informacionog sistema.

III. UPRAVLJANJE RIZIKOM INFORMACIONOG SISTEMA

10.Odredbe propisa kojima se uređuju opšti uslovi i način upravljanja rizicima u poslovanju finansijskih institucija primenjuju se i na upravljanje rizikom informacionog sistema, osim ako ovom odlukom nije drukčije uređeno.

11. Finansijska institucija je dužna da, u okviru sveobuhvatnog sistema upravljanja rizicima, uspostavi proces upravljanja rizikom informacionog sistema koji obuhvata identifikovanje i merenje, odnosno procenu tog rizika, kao i njegovo ublažavanje, praćenje i kontrolu.

12. Finansijska institucija je dužna da rizikom informacionog sistema upravlja tako da omogući nesmetano upravljanje bezbednošću ovog sistema i upravljanje kontinuitetom poslovanja finansijske institucije.

Upravljanje rizikom informacionog sistema mora da obuhvati celokupan informacioni sistem finansijske institucije i da bude integrisano u sve faze razvoja tog sistema.

13. Finansijska institucija je dužna da adekvatno upravlja rizicima koji proizlaze iz ugovornih odnosa s pravnim i fizičkim licima čije se aktivnosti odnose na njen informacioni sistem.

Finansijska institucija je dužna da kontinuirano nadzire način i kvalitet ugovorenih aktivnosti iz stava 1. ove tačke.

IV. UNUTRAŠNJA REVIZIJA INFORMACIONOG SISTEMA

14. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, metodologijom rada unutrašnje revizije obuhvati kriterijume, način i postupke unutrašnje revizije tog sistema zasnovane na rezultatima procene rizika.

15. Unutrašnja revizija informacionog sistema finansijske institucije obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija.

V. BEZBEDNOST INFORMACIONOG SISTEMA

16. Finansijska institucija je dužna da, u skladu sa složenošću informacionog sistema, donese unutrašnji opšti akt kojim će se uspostaviti okvir za upravljanje bezbednošću tog sistema (u daljem tekstu: politika bezbednosti informacionog sistema).

Politikom bezbednosti informacionog sistema naročito se uređuju principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema.

Finansijska institucija je dužna da politiku bezbednosti informacionog sistema usklađuje s promenama u okruženju i u samom informacionom sistemu.

17. Finansijska institucija je dužna da proces upravljanja bezbednošću informacionog sistema uspostavi kao kontinuirani proces identifikovanja potreba za ovom bezbednošću i postizanja i održavanja adekvatnog nivoa te bezbednosti.

Finansijska institucija je dužna da identifikuje i prati potrebe za bezbednošću informacionog sistema, i to najmanje na osnovu rezultata procene rizika tog sistema i obaveza koje proizlaze iz propisa, unutrašnjih opštih akata, ugovornih odnosa i sl.

18. Finansijska institucija je dužna da, radi postizanja i održavanja adekvatnog nivoa bezbednosti informacionog sistema, uspostavi odgovarajuće kontrole.

19. Finansijska institucija je dužna da unutrašnjim aktima utvrdi bliže kriterijume, način i postupke za klasifikaciju informacionih dobara prema stepenu osetljivosti i kritičnosti – s obzirom na moguće posledice narušavanja njihove poverljivosti, integriteta i raspoloživosti, da dosledno primenjuje tu klasifikaciju, kao i da u skladu s tim obezbedi adekvatan nivo zaštite ovih dobara.

Finansijska institucija je dužna da imenuje lice, odnosno lica zaposlena u toj instituciji koja će biti odgovorna za upravljanje informacionim dobrima, te za klasifikaciju i zaštitu ovih dobara.

20. Finansijska institucija je dužna da sprovodi odgovarajuću kontrolu pristupa resursima informacionog sistema, kao i da s tim u vezi uspostavi adekvatan sistem upravljanja korisničkim pravima pristupa.

Sistemom upravljanja korisničkim pravima pristupa naročito se obuhvataju procesi evidentiranja korisnika informacionog sistema, autorizacije, identifikacije i autentifikacije, kao i nadzor nad korisničkim pravima pristupa.

Finansijska institucija je dužna da obezbedi da se autorizacija korisnika informacionog sistema zasniva na principu dodele najmanjih mogućih prava pristupa resursima tog sistema koja omogućuju efikasno obavljanje poslova.

Finansijska institucija je dužna da periodično i po potrebi, a najmanje jednom godišnje, revidira korisnička prava pristupa.

Pri upravljanju korisničkim pravima pristupa, finansijska institucija je dužna da posebno uredi povlašćeni i udaljeni pristup informacionom sistemu.

21. Finansijska institucija je dužna da, na osnovu rezultata procene rizika informacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanja operativnih i sistemskih zapisa.

Finansijska institucija je dužna da obezbedi odgovarajuću zaštitu zapisa iz stava 1. ove tačke, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa.

Zapisi iz stava 1. ove tačke moraju sadržati dovoljnu količinu informacija radi identifikovanja problema, rekonstruisanja događaja i otkrivanja neovlašćenih pristupa i aktivnosti na resursima informacionog sistema, kao i radi utvrđivanja odgovornosti s tim u vezi.

22. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informacionog sistema i druge sisteme koji su podrška funkcionisanju informacionog sistema zaštiti od neovlašćenog fizičkog pristupa, od krađe, kao i od fizičkog oštećenja ili uništenja izazvanog ljudskim ili prirodnim faktorom.

Finansijska institucija je naročito dužna da obezbedi zaštitu integriteta podataka o platnim transakcijama pri njihovoj obradi, čuvanju i preduzimanju svih drugih radnji u vezi s tim podacima.

23. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informacionog sistema zaštiti od malicioznog programskog kôda.

VI. UPRAVLJANJE KONTINUITETOM POSLOVANJA I OPORAVAK AKTIVNOSTI U SLUČAJU KATASTROFA

24. Finansijska institucija je dužna da, radi obezbeđivanja nesmetanog i kontinuiranog funkcionisanja svih svojih značajnih sistema i procesa, kao i ograničavanja gubitaka u vanrednim situacijama, uspostavi proces upravljanja kontinuitetom poslovanja.

25. Finansijska institucija je dužna da obezbedi da upravljanje kontinuitetom poslovanja bude zasnovano na analizi uticaja na poslovanje i na proceni rizika, koje naročito obuhvataju:

1) utvrđivanje resursa i sistema potrebnih za odvijanje pojedinačnih poslovnih procesa, kao i njihove međuzavisnosti i povezanosti;

2) procenu rizika u vezi s pojedinačnim poslovnim procesima, uključujući i verovatnoću nastanka neželjenih događaja i njihov potencijalni uticaj na kontinuitet poslovanja, finansijsko stanje i reputaciju finansijske institucije;

3) utvrđivanje prihvatljivih nivoa rizika i tehnika za ublažavanje identifikovanih rizika;

4) utvrđivanje najdužeg prihvatljivog prekida (MAO) pojedinačnih poslovnih procesa;

5) utvrđivanje kritičnih/ključnih poslovnih procesa i aktivnosti.

Finansijska institucija je dužna da, u skladu sa sprovedenim aktivnostima iz stava 1. ove tačke, usvoji strategiju oporavka koju će primeniti u slučaju prekida poslovanja, a koja naročito sadrži:

1) prioritete oporavka poslovnih procesa, kao i resursa i sistema potrebnih za njihovo odvijanje;

2) ciljne nivoe aktivnosti (SDO);

3) ciljna vremena oporavka (RTO);

4) ciljne tačke oporavka (RPO).

26. Upravni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora dužan je da, na osnovu aktivnosti sprovedenih u skladu s tačkom 25. ove odluke, donese plan kontinuiteta poslovanja (Business Continuity Plan), kao i plan oporavka aktivnosti u slučaju katastrofa (Disaster Recovery Plan) kojim se prevashodno uređuje stvaranje uslova za oporavak i raspoloživost resursa informacionog sistema potrebnih za odvijanje kritičnih/ključnih poslovnih procesa.

Plan kontinuiteta poslovanja naročito sadrži:

1) opis procedura u slučaju prekida poslovanja;

2) ažuran spisak svih resursa neophodnih za ponovno uspostavljanje kontinuiteta poslovanja;

3) podatke o timovima koji će biti odgovorni za ponovno uspostavljanje poslovanja u slučaju nastanka nepredviđenih događaja i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti, kao i plan unutrašnjih i spoljnih linija komunikacije;

4) rezervnu lokaciju – u slučaju prekida poslovanja i nemogućnosti ponovnog uspostavljanja poslovnih procesa na primarnoj lokaciji.

Plan oporavka aktivnosti u slučaju katastrofa naročito sadrži:

1) procedure za oporavak informacionog sistema kad nastupe katastrofalni događaji;

2) prioritete oporavka resursa informacionog sistema;

3) podatke o timovima koji će biti odgovorni za oporavak informacionog sistema i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti;

4) rezervnu lokaciju za oporavak informacionog sistema, odnosno lokaciju rezervnog računarskog centra.

Finansijska institucija je dužna da, radi efikasnog sprovođenja planova iz stava 1. ove tačke, obezbedi da svi zaposleni budu upoznati sa svojim ulogama i odgovornostima u slučaju nastupanja vanrednih situacija.

Finansijska institucija je dužna da preduzima sve neophodne aktivnosti radi usklađivanja planova iz stava 1. ove tačke s poslovnim promenama, uključujući i promene u proizvodima, aktivnostima, procesima i sistemima, s promenama u okruženju, kao i s poslovnom politikom i strategijom poslovanja.

Finansijska institucija je dužna da, periodično i posle nastanka značajnih promena, a najmanje jednom godišnje, testira planove iz stava 1. ove tačke, kao i da dokumentuje rezultate tih testiranja i obezbedi njihovo uključivanje u izveštavanje nadležnog organa finansijske institucije.

Za sprovođenje planova iz stava 1. ove tačke, kao i odredaba st. od 4. do 6. te tačke, odgovoran je izvršni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora koji, u skladu sa zakonom, vodi poslove društva.

27. Finansijska institucija je dužna da, pri upravljanju kontinuitetom poslovanja, uzme u obzir i aktivnosti poverene trećim licima i zavisnost od usluga tih lica.

28. Finansijska institucija je dužna da, u slučaju nastanka okolnosti koje zahtevaju primenu plana kontinuiteta poslovanja i plana oporavka aktivnosti u slučaju katastrofa, obavesti o tome Narodnu banku Srbije, i to najkasnije narednog dana od dana nastanka tih okolnosti. Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o ovim okolnostima i odrediti rok za dostavljanje te dokumentacije.

29. Finansijska institucija je dužna da uspostavi proces upravljanja incidentima koji će omogućiti blagovremen i efikasan odgovor u slučaju narušavanja bezbednosti ili funkcionalnosti resursa informacionog sistema.

U slučaju težeg incidenta koji bi mogao ozbiljnije ugroziti ili narušiti njeno poslovanje – finansijska institucija je dužna da Narodnu banku Srbije obavesti o ovom incidentu i njegovim posledicama, kao i o aktivnostima preduzetim radi njihovog ublažavanja, i to najkasnije narednog dana od nastanka tog incidenta.

30. Finansijska institucija je dužna da uspostavi proces upravljanja rezervnim kopijama podataka, te da u tu svrhu utvrdi detaljne procedure i odgovornosti.

Upravljanje rezervnim kopijama podataka mora da obuhvati postupke izrade, čuvanja i testiranja ovih kopija, kao i oporavka podataka i softverskih komponenata, kako bi se omogućilo ponovno uspostavljanje poslovnih procesa u okviru ciljnog vremena oporavka.

Finansijska institucija je dužna da obezbedi da su rezervne kopije podataka ažurne i adekvatno zaštićene, a postupci oporavka testirani i uspešni.

Najmanje jedna ažurna i kompletna rezervna kopija podataka mora biti adekvatno uskladištena na odgovarajućoj udaljenosti od primarne lokacije – na osnovu rezultata procene rizika informacionog sistema i uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.

31. Finansijska institucija je dužna da, na osnovu aktivnosti sprovedenih u skladu s tačkom 25. ove odluke, obezbedi raspoloživost rezervnog računarskog centra i njegovu adekvatnu opremljenost, funkcionalnost i nivo bezbednosti, kao i njegovu odgovarajuću udaljenost od primarnog računarskog centra, uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.

VII. RAZVOJ I ODRŽAVANJE INFORMACIONOG SISTEMA

32. Finansijska institucija je dužna da uspostavi proces razvoja informacionog sistema u skladu s relevantnim promenama unutar finansijske institucije i u okruženju, kako bi se obezbedila kontinuirana adekvatnost tog sistema.

33. Finansijska institucija proces razvoja informacionog sistema sprovodi u skladu sa usvojenom strategijom razvoja informacionog sistema i metodologijom upravljanja projektima, uz uzimanje u obzir funkcionalnih zahteva i potreba za bezbednošću.

Finansijska institucija je dužna da, tokom razvoja informacionog sistema unutar finansijske institucije, uspostavi i dokumentuje proces tog razvoja, koji obuhvata analizu i projektovanje, programiranje, testiranje i uvođenje u produkciju.

Finansijska institucija je dužna da na odgovarajući način razdvoji razvojno, testno i produkciono okruženje.

34. Finansijska institucija je dužna da uspostavi proces upravljanja hardverskim i softverskim komponentama u svim fazama njihovog životnog ciklusa – od nabavke ili razvoja do povlačenja iz upotrebe.

Finansijska institucija je dužna da obezbedi da upravljanje hardverskim i softverskim komponentama obuhvati, između ostalog, održavanje detaljne i ažurne evidencije ovih komponenata, imenovanje lica zaposlenog, odnosno zaposlenih u finansijskoj instituciji odgovornih za upravljanje i zaštitu tih komponenata, kao i utvrđivanje pravila njihovog prihvatljivog korišćenja i bezbednog odlaganja pri povlačenju iz upotrebe.

35. Finansijska institucija je dužna da obezbedi adekvatno održavanje hardverskih i softverskih komponenata informacionog sistema prema preporukama proizvođača i da čuva zapise o tom održavanju, kao i da se stara o tome da se pritom ne ugrozi bezbednost ili funkcionalnost ovog sistema.

36. Finansijska institucija je dužna da uspostavi proces upravljanja promenama hardverskih i softverskih komponenata informacionog sistema kako bi se izbeglo da one dovedu do neočekivanog i neželjenog ponašanja ovog sistema, odnosno naruše njegovu bezbednost ili funkcionalnost.

Upravljanje promenama softverskih komponenata informacionog sistema obuhvata naročito sledeće postupke:

1)    utvrđivanje početnih verzija ovih komponenata;

2)    iniciranje, analizu i odobravanje zahteva za promenom;

3)    hronološko dokumentovanje svih promena ovih komponenata i arhitekture baza podataka, zajedno s vremenom nastanka promene;

4)    informisanje korisnika informacionog sistema o detaljima izvršenih promena.

Finansijska institucija je dužna da obezbedi da sve promene hardverskih i softverskih komponenata, uključujući i nove komponente i sisteme, budu testirane i odobrene pre puštanja u produkcijski rad, kao i da utvrdi plan vraćanja na prethodno stanje.

Finansijska institucija je dužna da unutrašnjim opštim aktom uredi proces upravljanja hitnim promenama hardverskih i softverskih komponenata informacionog sistema.

37. Finansijska institucija koja planira migraciju podataka na novi sistem glavnih poslovnih aplikacija (core business application) dužna je da o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre početka testiranja planiranog u vezi s tom migracijom.

Obaveštenje iz stava 1. ove tačke naročito sadrži:

1)    detaljne opise sistema između kojih se podaci prenose;

2)    plan, dinamiku i opis aktivnosti u vezi s migracijom podataka, uključujući i metodologiju testiranja;

3)    rezultate procene rizika i opis kontrola koje će se primeniti tokom migracije podataka s ciljem očuvanja poverljivosti, integriteta i raspoloživosti podataka;

4)    plan vraćanja na stanje pre migracije podataka.

Izuzetno od stava 1. ove tačke, finansijska institucija koja planira migraciju podataka zbog statusne promene za koju je dužna da pribavi prethodnu saglasnost, odnosno dozvolu Narodne banke Srbije dužna je da, istovremeno sa zahtevom za davanje ove saglasnosti, odnosno dozvole, Narodnoj banci Srbije dostavi i obaveštenje s podacima iz stava 2. te tačke.

38. Finansijska institucija je dužna da obezbedi izradu, čuvanje i redovno održavanje dokumentacije koja se odnosi na informacioni sistem, kako bi ta dokumentacija u svakom trenutku bila tačna, potpuna i ažurna.

Finansijska institucija je dužna da svim korisnicima informacionog sistema obezbedi pristup odgovarajućim dokumentima u skladu s potrebama posla.

39. Finansijska institucija je dužna da obezbedi adekvatno, kontinuirano stručno osposobljavanje i obučavanje zaposlenih za korišćenje informacionog sistema i očuvanje njegove bezbednosti i funkcionalnosti.

VIII. POVERAVANJE AKTIVNOSTI U VEZI SA INFORMACIONIM SISTEMOM TREĆIM LICIMA

40. Poveravanje aktivnosti u vezi sa informacionim sistemom finansijske institucije trećim licima (u daljem tekstu: poveravanje aktivnosti) obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija, osim ako ovom odlukom nije drukčije propisano.

Aktivnostima iz stava 1. ove tačke smatraju se sve aktivnosti koje obuhvataju obradu, čuvanje i/ili pristup podacima kojima raspolaže finansijska institucija a odnose se na njeno poslovanje, kao i aktivnosti razvoja i/ili održavanja glavnih poslovnih aplikacija.

Poveravanje aktivnosti uključuje i poveravanje aktivnosti licima povezanim s finansijskom institucijom imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj ta institucija pripada i dr.) koja posluju u Republici Srbiji ili u inostranstvu.

Poveravanjem aktivnosti ne smatra se korišćenje standardizovanih servisa (SWIFT, Bloomberg, Reuters i dr.) ili telekomunikacionih usluga, kao ni nabavka softvera koji je kao gotovo rešenje komercijalno dostupan na tržištu (off-the-shelf) i sl.

Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između finansijske institucije i lica kome se te aktivnosti poveravaju (u daljem tekstu: pružalac usluga).

41. Finansijska institucija koja određene aktivnosti namerava da poveri dužna je da uredi:

1)    proces odlučivanja o poveravanju aktivnosti i kriterijume za donošenje te odluke;

2)    način uključivanja tih aktivnosti u proces upravljanja rizicima i u sistem internog izveštavanja o rizicima;

3)    način na koji obezbeđuje kontinuitet obavljanja aktivnosti koje je poverila i mere koje preduzima u slučaju raskida ugovornog odnosa s pružaocima usluga, kao i u slučaju privremenog zastoja ili prestanka pružanja tih usluga;

4)    način vršenja nadzora nad obavljanjem aktivnosti koje je poverila, uključujući i nadzor nad usklađenošću tih aktivnosti s propisima, dobrim poslovnim običajima i opšteprihvaćenim standardima iz odgovarajuće oblasti.

42. Pre donošenja odluke o svakom pojedinačnom poveravanju aktivnosti, odnosno o promeni pružaoca usluga – finansijska institucija je dužna da:

1) izvrši detaljnu analizu potencijalnog pružaoca usluga koja se odnosi na njegovu sposobnost pružanja usluga, finansijsko stanje i poslovnu reputaciju;

2) utvrdi da li propisi države ili država u kojima potencijalni pružalac usluga posluje omogućuju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole tog poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s tim aktivnostima;

3) proceni moguće poteškoće i vreme potrebno za izbor drugog pružaoca usluga, ili mogućnost nastavka obavljanja tih aktivnosti unutar finansijske institucije u slučaju prestanka pružanja ugovorenih usluga, kao i da s tim u vezi donese odgovarajuću izlaznu strategiju, koja mora da sadrži spisak mera i aktivnosti koje je potrebno preduzeti, kao i dinamiku njihovog sprovođenja od trenutka prestanka pružanja ugovorenih usluga do izbora drugog pružaoca usluga ili potpunog uspostavljanja procesa obavljanja tih aktivnosti unutar finansijske institucije.

Pri donošenju odluke iz stava 1. ove tačke, finansijska institucija naročito procenjuje uticaj poveravanja aktivnosti na:

1)    kontinuitet poslovanja i reputaciju finansijske institucije;

2)    troškove, finansijski rezultat, likvidnost i solventnost finansijske institucije;

3)    rizični profil finansijske institucije;

4)    kvalitet usluga koje finansijska institucija pruža klijentima.

43. Finansijska institucija je dužna da obezbedi da pružalac usluga njoj, spoljnom revizoru i Narodnoj banci Srbije omogući blagovremen i neograničen pristup dokumentaciji i podacima u vezi s poverenim aktivnostima.

Finansijska institucija je dužna da Narodnoj banci Srbije omogući i nesmetano vršenje neposredne kontrole obavljanja poverenih aktivnosti u prostorijama pružaoca usluga, odnosno na lokaciji na kojoj se poverene aktivnosti obavljaju.

44. Finansijska institucija je dužna da obezbedi da se poveravanjem aktivnosti ne ugrozi bezbednost ili funkcionalnost informacionog sistema, kao i da podaci finansijske institucije ostanu u njenom posedu.

Finansijska institucija je dužna da obezbedi da pružalac usluga poverene aktivnosti obavlja u skladu sa politikom bezbednosti informacionog sistema i drugim aktima finansijske institucije kojima se uređuje bezbednost njenog informacionog sistema.

Finansijska institucija i pružalac usluga dužni su da pri poveravanju aktivnosti, odnosno obavljanju poverenih aktivnosti postupaju u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, kao i drugim propisima kojima se uređuje čuvanje tajne nastale u poslovanju finansijskih institucija.

45. Finansijska institucija može određene aktivnosti da poveri, odnosno pružaoca usluga da promeni samo ako o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre zaključenja ugovora o poveravanju aktivnosti.

Obaveštenje iz stava 1. ove tačke naročito sadrži:

1. odluku nadležnog organa upravljanja finansijskom institucijom o poveravanju aktivnosti, odnosno o promeni pružaoca usluga;
2. opis aktivnosti koje finansijska institucija namerava da poveri, obaveze i uslove koje je pružalac usluga dužan da ispuni, kao i rok na koji će aktivnosti biti poverene;
3. osnovne podatke o pružaocu usluga (poslovno ime, sedište, matični broj i PIB, odnosno drugi odgovarajući podaci za stranog pružaoca usluga);
4. rezultate analize iz tačke 42. stav 1. odredba pod 1) ove odluke;
5. izlaznu strategiju iz tačke 42. stav 1. odredba pod 3) ove odluke;
6. rezultate procene iz tačke 42. stav 2. ove odluke;
7. nacrt ugovora o poveravanju aktivnosti;
8. dokaz o tome da propisi države, odnosno država u kojima pružalac usluga posluje omogućavaju Narodnoj banci Srbije da nesmetano vrši neposrednu kontrolu poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima – ako pružalac usluga ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije.

46. Na poveravanje aktivnosti čije obavljanje ne obuhvata obradu, čuvanje ili pristup podacima kojima finansijska institucija raspolaže a odnose se na njeno poslovanje ne primenjuju se tačka 42. stav 1. odredba pod 2), tačka 43. stav 2, tačka 45. stav 2. odredba pod 8) i tačka 47. stav 3. odredba pod 8) ove odluke.

47. Pružalac usluga može drugom licu poveriti aktivnosti koje je finansijska institucija njemu poverila ili druge poslove koji su u vezi s tim aktivnostima samo uz prethodnu saglasnost finansijske institucije, koju ona daje u svakom pojedinačnom slučaju, uz shodnu primenu odredaba tač. od 41. do 44. i tačke 46. ove odluke.

Finansijska institucija može saglasnost iz stava 1. ove tačke dati samo ako je najkasnije 30 dana pre toga obavestila Narodnu banku Srbije o nameravanom poveravanju aktivnosti ili poslova iz tog stava.

Obaveštenje iz stava 2. ove tačke naročito sadrži:

1. nacrt odluke nadležnog organa upravljanja finansijskom institucijom o davanju saglasnosti iz stava 1. ove tačke;
2. opis aktivnosti koje pružalac usluga namerava da poveri, kao i obaveza i uslova koje je drugo lice iz stava 1. ove tačke dužno da ispuni;
3. osnovne podatke o drugom licu iz stava 1. ove tačke (poslovno ime, sedište, matični broj i PIB, odnosno drugi odgovarajući podaci za strano lice);
4. rezultate analize iz tačke 42. stav 1. odredba pod 1) ove odluke;
5. revidiranu izlaznu strategiju iz tačke 42. stav 1. odredba pod 3) ove odluke;
6. rezultate procene iz tačke 42. stav 2. ove odluke;
7. nacrt ugovora između pružaoca usluga i drugog lica iz stava 1. ove tačke o poveravanju aktivnosti iz tog stava;
8. dokaz o tome da propisi države, odnosno država u kojima drugo lice iz stava 1. ove tačke posluje omogućavaju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima – ako to lice ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije.

48. Finansijska institucija odgovara u celini za aktivnosti koje je poverila pružaocima usluga.

Ako u postupku kontrole, odnosno nadzora utvrdi da finansijska institucija, zbog propusta u radu pružaoca usluga ili drugog lica iz tačke 47. ove odluke, ne postupa u skladu sa ovom odlukom i drugim propisima – Narodna banka Srbije može finansijskoj instituciji naložiti da raskine ugovor o poveravanju aktivnosti zaključen s pružaocem usluga.

IX. ELEKTRONSKE USLUGE

49. Banka, platna institucija, institucija elektronskog novca i javni poštanski operator koji pružaju elektronske usluge (u daljem tekstu: pružalac elektronskih usluga) dužni su da, kao sastavni deo upravljanja rizikom informacionog sistema, uspostave proces upravljanja rizicima koji proizlaze iz pružanja elektronskih usluga.

50. Pružalac elektronskih usluga dužan je da pri pružanju elektronskih usluga primeni sigurne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema.

Pružalac elektronskih usluga dužan je da korisnicima kojima pruža te usluge obezbedi autentifikaciju koja uključuje kombinaciju najmanje dva međusobno nezavisna elementa za potvrđivanje korisničkog identiteta.

Izuzetno od stava 2. ove tačke, pružalac elektronskih usluga može primeniti autentifikaciju korisnika koja se vrši korišćenjem jednog elementa za potvrđivanje korisničkog identiteta, u slučaju:

1. plaćanja male novčane vrednosti, u skladu sa okvirnim ugovorom o platnim uslugama, pod uslovom da se rizicima koji se odnose na ukupan iznos ovih plaćanja upravlja na odgovarajući način (npr. utvrđivanje maksimalnog iznosa ovih transakcija u određenom periodu nakon kojih će se sprovesti autentifikacija u skladu sa stavom 2. ove tačke ili preduzeti dodatne mere zaštite),
2. plaćanja prema primaocima plaćanja koja je platilac unapred odredio (npr. utvrđivanje tzv. bele liste primaoca plaćanja),
3. prenos novčanih sredstava između dva platna računa istog korisnika kod istog pružaoca elektronskih usluga,
4. prenosa elektronskog novca koji se obavlja u okviru istog pružaoca elektronskih usluga, a koji je zasnovan na analizi rizika ovih platnih transakcija,
5. drugih transakcija i usluga koje su na osnovu analize rizika procenjene kao niskorizične.

Pružalac elektronskih usluga može da primeni autentifikaciju korisnika iz stava 3. ove tačke, samo ako je najmanje tri meseca pre dana početka pružanja usluge o tome obavestio Narodnu banku Srbije i uz to obaveštenje dostavio sveobuhvatnu i detaljnu analizu rizika i načina upravljanja rizicima koji proizlaze iz pružanja usluga na način utvrđen u odredbama od 1) do 5) tog stava i drugu odgovarajuću dokumentaciju koja se odnosi na ovu analizu.

Analiza iz stava 4. ove tačke obuhvata posebno i analize iz stava 3. odredbe pod 4) i 5. ove tačke, ako pružalac elektronskih usluga namerava da primenu autentifikaciju korisnika korišćenjem jednog elementa za potvrđivanje korisničkog identiteta u slučajevima iz tih odredaba.

Rok iz stava 4. ove tačke računa se od dana dostavljanja uredne dokumentacije iz tog stava.

51. Pružalac elektronskih usluga dužan je da usvoji i primeni pravila kojima se na odgovarajući način, u skladu s tržišnom praksom i procenom rizika, ograničava broj pokušaja prijave na sistem za pružanje elektronskih usluga, odnosno pokušaja autentifikacije, da odredi najduže vreme bez aktivnosti korisnika nakon prijave na taj sistem, kao i da utvrdi rokove važenja parametara autentifikacije.

Pri korišćenju jednokratnih lozinki radi autentifikacije (npr. OTP), pružalac elektronskih usluga dužan je da obezbedi da vremensko važenje te lozinke bude ograničeno na period koji je potreban za obavljanje autentifikacije.

Pružalac elektronskih usluga dužan je da utvrdi najveći mogući broj neuspešnih pokušaja prijave na sistem za pružanje elektronskih usluga nakon kojih će taj sistem biti trajno ili privremeno blokiran, kao i da uspostavi procedure za bezbedno ponovno aktiviranje ovog sistema.

Pružalac elektronskih usluga dužan je da utvrdi najduže moguće vreme bez aktivnosti korisnika na sistemu za pružanje elektronskih usluga po prijavljivanju u taj sistem, nakon kojeg dolazi do automatskog odjavljivanja korisnika iz ovog sistema (tzv. završetak sesije).

Pružalac elektronskih usluga dužan je da obezbedi odgovarajuću potvrdu svog identiteta na distributivnom kanalu za pružanje elektronskih usluga kako bi korisnici mogli da provere pružaoca elektronske usluge.

Pružalac elektronskih usluga je dužan da obezbedi postojanje operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa pružanjem elektronskih usluga.

X. PRELAZNE I ZAVRŠNE ODREDBE

52. Društvo za osiguranje, davalac finansijskog lizinga i društvo za upravljanje dobrovoljnim penzijskim fondom koji do 30. juna 2014. godine povere trećem licu određene aktivnosti iz tačke 40. ove odluke, dužni su da, najkasnije 31. jula 2014. godine, o tome obaveste Narodnu banku Srbije.

Uz obaveštenje iz stava 1. ove tačke, društvo za osiguranje, davalac finansijskog lizinga i društvo za upravljanje dobrovoljnim penzijskim fondom dužni su da Narodnoj banci Srbije dostave dokumentaciju i podatke utvrđene u tački 45. stav 2. ove odluke.

Banka koja do 31. decembra 2013. godine poveri trećem licu određene aktivnosti iz tačke 40. ove odluke dužna je da Narodnoj banci Srbije, najkasnije 31. januara 2014. godine, dostavi izlaznu strategiju iz tačke 42. stav 1. odredba pod 3) te odluke.

Ako treće lice iz stava 3. ove tačke ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije – banka je dužna da Narodnoj banci Srbije, uz izlaznu strategiju iz stava 3. ove tačke, dostavi i dokaz iz tačke 45. stav 2. odredba pod 8) ove odluke.

53. Tač. 17. i 18. i tač. od 68. do 72. Odluke o upravljanju rizicima banke ("Sl. glasnik RS", br. 45/2011, 94/2011, 119/2012 i 123/2012) prestaju da važe 1. januara 2014. godine.

Tač. 6. i 8. Odluke o minimalnim uslovima organizacione i tehničke osposobljenosti društva za upravljanje dobrovoljnim penzijskim fondom ("Sl. glasnik RS", br. 23/2006) prestaju da važe 1. jula 2014. godine.

Finansijske institucije su dužne da svoje poslovanje usklade sa odredbama ove odluke do dana početka njene primene.

53. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Sl. glasniku RS", a primenjivaće se od 1. oktobra 2016. godine.

Izvor: Vebsajt Narodne banke Srbije, 13.06.2016.