Na osnovu člana 15. stav 1. i člana 63. stav 2. Zakona o Narodnoj banci Srbije ("Službeni glasnik RS", br. 72/03, 55/04, 85/05 - dr. zakon, 44/10, 76/12 i 106/12),
Izvršni odbor Narodne banke Srbije donosi
ODLUKU
O MINIMALNIM STANDARDIMA UPRAVLjANjA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE
(Objavljeno u "Sl. glasniku RS", br. 23 od 13 marta 2013)
I. UVODNE ODREDBE
1.
Ovom odlukom utvrđuju se minimalni standardi i uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga i društvima za upravljanje dobrovoljnim penzijskim fondovima (u daljem tekstu: finansijska institucija).
Ovom odlukom uređuju se i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa u finansijskoj instituciji.
Ova odluka primenjuje se na sve finansijske institucije, osim ako pojedinim njenim odredbama nije drukčije utvrđeno.
2.
Pojedini pojmovi, u smislu ove odluke, imaju sledeće značenje:
1) informacioni sistem je sveobuhvatni skup tehnološke infrastrukture (hardverske i softverske komponente), organizacije, ljudi i postupaka za prikupljanje, smeštanje, obradu, čuvanje, prenos, prikazivanje i korišćenje podataka i informacija;
2) resursi informacionog sistema obuhvataju softverske komponente, hardverske komponente i informaciona dobra;
3) softverske komponente obuhvataju sve tipove sistemskog i aplikativnog softvera, softverske razvojne alate, kao i ostali softver;
4) hardverske komponente obuhvataju računarsku opremu, komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informacionog sistema;
5) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kod, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i sl.;
6) korisnici informacionog sistema su sva lica koja su ovlašćena da koriste informacioni sistem (zaposleni u finansijskoj instituciji, zaposleni u drugim licima koji pristupaju informacionom sistemu finansijske institucije, klijenti finansijske institucije koji informacionom sistemu finansijske institucije pristupaju preko elektronskih interaktivnih komunikacionih kanala i dr.);
7) rizik informacionog sistema je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital, ostvarivanje poslovnih ciljeva, poslovanje u skladu s propisima i reputaciju finansijske institucije usled neadekvatnog upravljanja informacionim sistemom ili druge slabosti u tom sistemu koja negativno utiče na njegovu funkcionalnost ili bezbednost, odnosno ugrožava kontinuitet poslovanja finansijske institucije;
8) kontrole su politike, procedure, prakse, tehnologije i organizacione strukture koje se odnose na informacioni sistem, utvrđene da bi se obezbedilo razumno uverenje da će poslovni ciljevi finansijske institucije biti ostvareni i da će neželjeni događaji biti sprečeni ili otkriveni, a mogu se razlikovati prema načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne);
9) upravljačke kontrole obuhvataju donošenje i primenu politika, standarda, planova, procedura i drugih unutrašnjih akata, kao i uspostavljanje odgovarajuće organizacione strukture, a radi postizanja i održavanja adekvatnog nivoa funkcionalnosti i bezbednosti informacionog sistema;
10) tehničke kontrole su kontrole primenjene u hardverskim i softverskim komponentama informacionog sistema;
11) fizičke kontrole su kontrole kojima se resursi informacionog sistema štite od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja;
12) preventivne kontrole su kontrole namenjene sprečavanju nastanka problema i incidenata;
13) detektivne kontrole su kontrole namenjene otkrivanju i prepoznavanju problema i incidenata i ukazivanju na nastale probleme i incidente;
14) korektivne kontrole su kontrole namenjene ograničavanju i otklanjanju problema i posledica incidenata;
15) incident je svaki neplanirani i neželjeni događaj koji može narušiti bezbednost ili funkcionalnost informacionog sistema;
16) bezbednost informacionog sistema podrazumeva očuvanje poverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informacionom sistemu;
17) poverljivost označava da podaci i informacije nisu otkriveni ili dostupni neovlašćenim licima;
18) integritet označava da su podaci, informacije i procesi zaštićeni od neovlašćenog ili nepredviđenog menjanja, odnosno da eventualne takve promene ne ostaju neopažene;
19) raspoloživost označava da su podaci, informacije i procesi dostupni i upotrebljivi na zahtev ovlašćenog lica;
20) autentičnost označava da je identitet lica zaista onaj za koji se tvrdi da jeste;
21) dokazivost označava da svaka aktivnost u informacionom sistemu može biti jednoznačno praćena do njenog izvora;
22) neporecivost označava nemogućnost poricanja aktivnosti izvršene u informacionom sistemu ili prijema informacije;
23) pouzdanost označava da informacioni sistem dosledno i očekivano vrši predviđene funkcije i pruža tačne informacije;
24) autorizacija je proces dodele prava pristupa korisnicima informacionog sistema;
25) identifikacija je proces predstavljanja korisnika informacionog sistema prilikom prijave i u toku izvođenja aktivnosti u tom sistemu;
26) autentifikacija je proces provere i potvrde korisničkog identiteta korišćenjem jednog od sledećih elemenata ili njihove kombinacije:
- nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),
- nešto što samo korisnik poseduje (npr. magnetna kartica, čip kartica, token, kriptografski ključ i sl.),
- nešto što samo korisnik jeste (biometrijske karakteristike kao što su otisak prsta, očna dužica, glas, rukopis i sl.);
27) povlašćeni pristup informacionom sistemu je pristup resursima informacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje tehničkih kontrola;
28) udaljeni pristup informacionom sistemu je pristup resursima informacionog sistema sa udaljene lokacije posredstvom telekomunikacione infrastrukture nad kojom finansijska institucija nema potpunu kontrolu;
29) operativni i sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.);
30) maliciozni programski kod je bilo koji oblik programskog koda stvoren s namerom da se neovlašćeno ostvari pristup resursima informacionog sistema, prikupe informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način potencijalno naruši poverljivost, integritet ili raspoloživost tih resursa (npr. računarski virusi, crvi, trojanski konji i dr.);
31) kritični/ključni poslovni procesi su poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajnije ugroziti poslovanje finansijske institucije;
32) najduži prihvatljiv prekid (MAO -Maximum Acceptable Outage) označava najduži prihvatljiv period neraspoloživosti poslovnog procesa, odnosno kritično vreme za oporavak tog procesa;
33) ciljni nivo aktivnosti (SDO -Service Delivery Objective) označava odgovarajući nivo oporavka poslovnog procesa koji treba da bude postignut tokom ciljnog vremena oporavka;
34) ciljno vreme oporavka (RTO -Recovery Time Objective) označava period, odnosno faze u tom periodu tokom kojih treba da bude postignut odgovarajući nivo oporavka poslovnog procesa;
35) ciljna tačka oporavka (RPO -Recovery Point Objective) označava najduži prihvatljiv period pre nastupanja neraspoloživosti poslovnog procesa koji ne bi bio obuhvaćen rezervnom kopijom podataka, odnosno najduži prihvatljiv period za koji podaci mogu biti izgubljeni;
36) rezervna kopija podataka predstavlja kopiju najmanje onih izvornih podataka (softverske komponente i informaciona dobra)