ODLUKAO MINIMALNIM STANDARDIMA UPRAVLJANJA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE("Sl. glasnik RS", br. 23/2013) |
1. Ovom odlukom utvrđuju se minimalni standardi i uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga i društvima za upravljanje dobrovoljnim penzijskim fondovima (u daljem tekstu: finansijska institucija).
Ovom odlukom uređuju se i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa u finansijskoj instituciji.
Ova odluka primenjuje se na sve finansijske institucije, osim ako pojedinim njenim odredbama nije drukčije utvrđeno.
2. Pojedini pojmovi, u smislu ove odluke, imaju sledeće značenje:
1) informacioni sistem je sveobuhvatni skup tehnološke infrastrukture (hardverske i softverske komponente), organizacije, ljudi i postupaka za prikupljanje, smeštanje, obradu, čuvanje, prenos, prikazivanje i korišćenje podataka i informacija;
2) resursi informacionog sistema obuhvataju softverske komponente, hardverske komponente i informaciona dobra;
3) softverske komponente obuhvataju sve tipove sistemskog i aplikativnog softvera, softverske razvojne alate, kao i ostali softver;
4) hardverske komponente obuhvataju računarsku opremu, komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informacionog sistema;
5) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i sl.;
6) korisnici informacionog sistema su sva lica koja su ovlašćena da koriste informacioni sistem (zaposleni u finansijskoj instituciji, zaposleni u drugim licima koji pristupaju informacionom sistemu finansijske institucije, klijenti finansijske institucije koji informacionom sistemu finansijske institucije pristupaju preko elektronskih interaktivnih komunikacionih kanala i dr.);
7) rizik informacionog sistema je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital, ostvarivanje poslovnih ciljeva, poslovanje u skladu s propisima i reputaciju finansijske institucije usled neadekvatnog upravljanja informacionim sistemom ili druge slabosti u tom sistemu koja negativno utiče na njegovu funkcionalnost ili bezbednost, odnosno ugrožava kontinuitet poslovanja finansijske institucije;
8) kontrole su politike, procedure, prakse, tehnologije i organizacione strukture koje se odnose na informacioni sistem, utvrđene da bi se obezbedilo razumno uverenje da će poslovni ciljevi finansijske institucije biti ostvareni i da će neželjeni događaji biti sprečeni ili otkriveni, a mogu se razlikovati prema načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne);
9) upravljačke kontrole obuhvataju donošenje i primenu politika, standarda, planova, procedura i drugih unutrašnjih akata, kao i uspostavljanje odgovarajuće organizacione strukture, a radi postizanja i održavanja adekvatnog nivoa funkcionalnosti i bezbednosti informacionog sistema;
10) tehničke kontrole su kontrole primenjene u hardverskim i softverskim komponentama informacionog sistema;
11) fizičke kontrole su kontrole kojima se resursi informacionog sistema štite od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja;
12) preventivne kontrole su kontrole namenjene sprečavanju nastanka problema i incidenata;
13) detektivne kontrole su kontrole namenjene otkrivanju i prepoznavanju problema i incidenata i ukazivanju na nastale probleme i incidente;
14) korektivne kontrole su kontrole namenjene ograničavanju i otklanjanju problema i posledica incidenata;
15) incident je svaki neplanirani i neželjeni događaj koji može narušiti bezbednost ili funkcionalnost informacionog sistema;
16) bezbednost informacionog sistema podrazumeva očuvanje poverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informacionom sistemu;
17) poverljivost označava da podaci i informacije nisu otkriveni ili dostupni neovlašćenim licima;
18) integritet označava da su podaci, informacije i procesi zaštićeni od neovlašćenog ili nepredviđenog menjanja, odnosno da eventualne takve promene ne ostaju neopažene;
19) raspoloživost označava da su podaci, informacije i procesi dostupni i upotrebljivi na zahtev ovlašćenog lica;
20) autentičnost označava da je identitet lica zaista onaj za koji se tvrdi da jeste;
21) dokazivost označava da svaka aktivnost u informacionom sistemu može biti jednoznačno praćena do njenog izvora;
22) neporecivost označava nemogućnost poricanja aktivnosti izvršene u informacionom sistemu ili prijema informacije;
23) pouzdanost označava da informacioni sistem dosledno i očekivano vrši predviđene funkcije i pruža tačne informacije;
24) autorizacija je proces dodele prava pristupa korisnicima informacionog sistema;
25) identifikacija je proces predstavljanja korisnika informacionog sistema prilikom prijave i u toku izvođenja aktivnosti u tom sistemu;
26) autentifikacija je proces provere i potvrde korisničkog identiteta korišćenjem jednog od sledećih elemenata ili njihove kombinacije:
- nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),
- nešto što samo korisnik poseduje (npr. magnetna kartica, čip kartica, token, kriptografski ključ i sl.),
- nešto što samo korisnik jeste (biometrijske karakteristike kao što su otisak prsta, očna dužica, glas, rukopis i sl.);
27) povlašćeni pristup informacionom sistemu je pristup resursima informacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje tehničkih kontrola;
28) udaljeni pristup informacionom sistemu je pristup resursima informacionog sistema sa udaljene lokacije posredstvom telekomunikacione infrastrukture nad kojom finansijska institucija nema potpunu kontrolu;
29) operativni i sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.);
30) maliciozni programski kôd je bilo koji oblik programskog kôda stvoren s namerom da se neovlašćeno ostvari pristup resursima informacionog sistema, prikupe informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način potencijalno naruši poverljivost, integritet ili raspoloživost tih resursa (npr. računarski virusi, crvi, trojanski konji i dr.);
31) kritični/ključni poslovni procesi su poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajnije ugroziti poslovanje finansijske institucije;
32) najduži prihvatljiv prekid (MAO - Maximum Acceptable Outage) označava najduži prihvatljiv period neraspoloživosti poslovnog procesa, odnosno kritično vreme za oporavak tog procesa;
33) ciljni nivo aktivnosti (SDO - Service Delivery Objective) označava odgovarajući nivo oporavka poslovnog procesa koji treba da bude postignut tokom ciljnog vremena oporavka;
34) ciljno vreme oporavka (RTO - Recovery Time Objective) označava period, odnosno faze u tom periodu tokom kojih treba da bude postignut odgovarajući nivo oporavka poslovnog procesa;
35) ciljna tačka oporavka (RPO - Recovery Point Objective) označava najduži prihvatljiv period pre nastupanja neraspoloživosti poslovnog procesa koji ne bi bio obuhvaćen rezervnom kopijom podataka, odnosno najduži prihvatljiv period za koji podaci mogu biti izgubljeni;
36) rezervna kopija podataka predstavlja kopiju najmanje onih izvornih podataka (softverske komponente i informaciona dobra) koji su potrebni za oporavak, odnosno za ponovno uspostavljanje poslovnih procesa;
37) elektronsko bankarstvo označava sisteme koji klijentima banke omogućavaju korišćenje usluga koje banke pružaju (pristup finansijskim informacijama, elektronsko plaćanje i sl.) sa udaljene lokacije preko elektronskih interaktivnih komunikacionih kanala (npr. internet bankarstvo, mobilno bankarstvo, telefonsko bankarstvo i dr.).
II OKVIR ZA UPRAVLJANJE INFORMACIONIM SISTEMOM
3. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, uspostavi adekvatan informacioni sistem, koji ispunjava najmanje sledeće uslove:
1) poseduje funkcionalnosti, kapacitete i performanse koji omogućavaju pružanje odgovarajuće podrške poslovnim procesima;
2) obezbeđuje blagovremene, tačne i potpune informacije značajne za donošenje poslovnih odluka, efikasno obavljanje poslovnih aktivnosti i upravljanje rizicima, odnosno za sigurno i stabilno poslovanje finansijske institucije;
3) projektovan je sa odgovarajućim kontrolama za validaciju podataka na ulazu, u toku procesa obrade, kao i na izlazu iz tog sistema, radi sprečavanja netačnosti i nekonzistentnosti u podacima i informacijama.
Finansijska institucija je dužna da obezbedi da svi poslovno značajni sistemi za obradu podataka, kao i sistem izveštavanja, budu integralni deo informacionog sistema.
4. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, uspostavi, nadzire, redovno revidira i unapređuje proces upravljanja ovim sistemom radi smanjenja izloženosti rizicima i očuvanja bezbednosti i funkcionalnosti tog sistema, kao i da unutrašnjim opštim aktom, u skladu sa zakonom, utvrdi ovlašćenja i odgovornosti svojih organa upravljanja i nadzora koji se odnose na ove poslove.
5. Finansijska institucija je dužna da, u skladu sa strategijom poslovanja, kao i s prirodom, obimom i složenošću poslovanja, donese strategiju razvoja informacionog sistema.
Finansijska institucija je dužna da, po potrebi, menja strategiju razvoja informacionog sistema, i to naročito ako to zahtevaju odgovarajuće izmene i/ili dopune strategije poslovanja.
6. Finansijska institucija je dužna da, radi adekvatnog upravljanja informacionim sistemom, obezbedi odgovarajuću organizacionu strukturu, s jasno utvrđenom podelom poslova i dužnosti zaposlenih, odnosno sa utvrđenim unutrašnjim kontrolama kojima se sprečava sukob interesa.
7. Finansijska institucija je dužna da obezbedi primenu svih unutrašnjih opštih akata i procedura u vezi sa informacionim sistemom, kao i da obezbedi da svi korisnici ovog sistema budu upoznati sa sadržajem tih akata i procedura, u skladu s njihovim ovlašćenjima, odgovornostima i potrebama.
8. Finansijska institucija je dužna da usvoji i dokumentuje odgovarajuću metodologiju kojom će se utvrditi kriterijumi, način i postupci upravljanja projektima u vezi sa informacionim sistemom.
9. Finansijska institucija je dužna da utvrdi kriterijume, način i postupke izveštavanja svog nadležnog organa o relevantnim činjenicama u vezi s funkcionalnošću i bezbednošću informacionog sistema.
III UPRAVLJANJE RIZIKOM INFORMACIONOG SISTEMA
10. Odredbe propisa kojima se uređuju opšti uslovi i način upravljanja rizicima u poslovanju finansijskih institucija primenjuju se i na upravljanje rizikom informacionog sistema, osim ako ovom odlukom nije drukčije uređeno.
11. Finansijska institucija je dužna da, u okviru sveobuhvatnog sistema upravljanja rizicima, uspostavi proces upravljanja rizikom informacionog sistema koji obuhvata identifikovanje i merenje, odnosno procenu tog rizika, kao i njegovo ublažavanje, praćenje i kontrolu.
12. Finansijska institucija je dužna da rizikom informacionog sistema upravlja tako da omogući nesmetano upravljanje bezbednošću ovog sistema i upravljanje kontinuitetom poslovanja finansijske institucije.
Upravljanje rizikom informacionog sistema mora da obuhvati celokupan informacioni sistem finansijske institucije i da bude integrisano u sve faze razvoja tog sistema.
13. Finansijska institucija je dužna da adekvatno upravlja rizicima koji proizlaze iz ugovornih odnosa s pravnim i fizičkim licima čije se aktivnosti odnose na njen informacioni sistem.
Finansijska institucija je dužna da kontinuirano nadzire način i kvalitet ugovorenih aktivnosti iz stava 1. ove tačke.
IV UNUTRAŠNJA REVIZIJA INFORMACIONOG SISTEMA
14. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, metodologijom rada unutrašnje revizije obuhvati kriterijume, način i postupke unutrašnje revizije tog sistema zasnovane na rezultatima procene rizika.
15. Unutrašnja revizija informacionog sistema finansijske institucije obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija.
V BEZBEDNOST INFORMACIONOG SISTEMA
16. Finansijska institucija je dužna da, u skladu sa složenošću informacionog sistema, donese unutrašnji opšti akt kojim će se uspostaviti okvir za upravljanje bezbednošću tog sistema (u daljem tekstu: politika bezbednosti informacionog sistema).
Politikom bezbednosti informacionog sistema naročito se uređuju principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema.
Finansijska institucija je dužna da politiku bezbednosti informacionog sistema usklađuje s promenama u okruženju i u samom informacionom sistemu.
17. Finansijska institucija je dužna da proces upravljanja bezbednošću informacionog sistema uspostavi kao kontinuirani proces identifikovanja potreba za ovom bezbednošću i postizanja i održavanja adekvatnog nivoa te bezbednosti.
Finansijska institucija je dužna da identifikuje i prati potrebe za bezbednošću informacionog sistema, i to najmanje na osnovu rezultata procene rizika tog sistema i obaveza koje proizlaze iz propisa, unutrašnjih opštih akata, ugovornih odnosa i sl.
18. Finansijska institucija je dužna da, radi postizanja i održavanja adekvatnog nivoa bezbednosti informacionog sistema, uspostavi odgovarajuće kontrole.
19. Finansijska institucija je dužna da unutrašnjim aktima utvrdi bliže kriterijume, način i postupke za klasifikaciju informacionih dobara prema stepenu osetljivosti i kritičnosti - s obzirom na moguće posledice narušavanja njihove poverljivosti, integriteta i raspoloživosti, da dosledno primenjuje tu klasifikaciju, kao i da u skladu s tim obezbedi adekvatan nivo zaštite ovih dobara.
Finansijska institucija je dužna da imenuje lice, odnosno lica zaposlena u toj instituciji koja će biti odgovorna za upravljanje informacionim dobrima, te za klasifikaciju i zaštitu ovih dobara.
20. Finansijska institucija je dužna da sprovodi odgovarajuću kontrolu pristupa resursima informacionog sistema, kao i da s tim u vezi uspostavi adekvatan sistem upravljanja korisničkim pravima pristupa.
Sistemom upravljanja korisničkim pravima pristupa naročito se obuhvataju procesi evidentiranja korisnika informacionog sistema, autorizacije, identifikacije i autentifikacije, kao i nadzor nad korisničkim pravima pristupa.
Finansijska institucija je dužna da obezbedi da se autorizacija korisnika informacionog sistema zasniva na principu dodele najmanjih mogućih prava pristupa resursima tog sistema koja omogućuju efikasno obavljanje poslova.
Finansijska institucija je dužna da periodično i po potrebi, a najmanje jednom godišnje, revidira korisnička prava pristupa.
Pri upravljanju korisničkim pravima pristupa, finansijska institucija je dužna da posebno uredi povlašćeni i udaljeni pristup informacionom sistemu.
21. Finansijska institucija je dužna da, na osnovu rezultata procene rizika informacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanja operativnih i sistemskih zapisa.
Finansijska institucija je dužna da obezbedi odgovarajuću zaštitu zapisa iz stava 1. ove tačke, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa.
Zapisi iz stava 1. ove tačke moraju sadržati dovoljnu količinu informacija radi identifikovanja problema, rekonstruisanja događaja i otkrivanja neovlašćenih pristupa i aktivnosti na resursima informacionog sistema, kao i radi utvrđivanja odgovornosti s tim u vezi.
22. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informacionog sistema i druge sisteme koji su podrška funkcionisanju informacionog sistema zaštiti od neovlašćenog fizičkog pristupa, od krađe, kao i od fizičkog oštećenja ili uništenja izazvanog ljudskim ili prirodnim faktorom.
23. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informacionog sistema zaštiti od malicioznog programskog kôda.
VI UPRAVLJANJE KONTINUITETOM POSLOVANJA I OPORAVAK AKTIVNOSTI U SLUČAJU KATASTROFA
24. Finansijska institucija je dužna da, radi obezbeđivanja nesmetanog i kontinuiranog funkcionisanja svih svojih značajnih sistema i procesa, kao i ograničavanja gubitaka u vanrednim situacijama, uspostavi proces upravljanja kontinuitetom poslovanja.
25. Finansijska institucija je dužna da obezbedi da upravljanje kontinuitetom poslovanja bude zasnovano na analizi uticaja na poslovanje i na proceni rizika, koje naročito obuhvataju:
1) utvrđivanje resursa i sistema potrebnih za odvijanje pojedinačnih poslovnih procesa, kao i njihove međuzavisnosti i povezanosti;
2) procenu rizika u vezi s pojedinačnim poslovnim procesima, uključujući i verovatnoću nastanka neželjenih događaja i njihov potencijalni uticaj na kontinuitet poslovanja, finansijsko stanje i reputaciju finansijske institucije;
3) utvrđivanje prihvatljivih nivoa rizika i tehnika za ublažavanje identifikovanih rizika;
4) utvrđivanje najdužeg prihvatljivog prekida (MAO) pojedinačnih poslovnih procesa;
5) utvrđivanje kritičnih/ključnih poslovnih procesa i aktivnosti.
Finansijska institucija je dužna da, u skladu sa sprovedenim aktivnostima iz stava 1. ove tačke, usvoji strategiju oporavka koju će primeniti u slučaju prekida poslovanja, a koja naročito sadrži:
1) prioritete oporavka poslovnih procesa, kao i resursa i sistema potrebnih za njihovo odvijanje;
2) ciljne nivoe aktivnosti (SDO);
3) ciljna vremena oporavka (RTO);
4) ciljne tačke oporavka (RPO).
26. Upravni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje i društva za upravljanje dobrovoljnim penzijskim fondom dužan je da, na osnovu aktivnosti sprovedenih u skladu s tačkom 25. ove odluke, donese plan kontinuiteta poslovanja (Business Continuity Plan), kao i plan oporavka aktivnosti u slučaju katastrofa (Disaster Recovery Plan) kojim se prevashodno uređuje stvaranje uslova za oporavak i raspoloživost resursa informacionog sistema potrebnih za odvijanje kritičnih/ključnih poslovnih procesa.
Plan kontinuiteta poslovanja naročito sadrži:
1) opis procedura u slučaju prekida poslovanja;
2) ažuran spisak svih resursa neophodnih za ponovno uspostavljanje kontinuiteta poslovanja;
3) podatke o timovima koji će biti odgovorni za ponovno uspostavljanje poslovanja u slučaju nastanka nepredviđenih događaja i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti, kao i plan unutrašnjih i spoljnih linija komunikacije;
4) rezervnu lokaciju - u slučaju prekida poslovanja i nemogućnosti ponovnog uspostavljanja poslovnih procesa na primarnoj lokaciji.
Plan oporavka aktivnosti u slučaju katastrofa naročito sadrži:
1) procedure za oporavak informacionog sistema kad nastupe katastrofalni događaji;
2) prioritete oporavka resursa informacionog sistema;
3) podatke o timovima koji će biti odgovorni za oporavak informacionog sistema i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti;
4) rezervnu lokaciju za oporavak informacionog sistema, odnosno lokaciju rezervnog računarskog centra.
Finansijska institucija je dužna da, radi efikasnog sprovođenja planova iz stava 1. ove tačke, obezbedi da svi zaposleni budu upoznati sa svojim ulogama i odgovornostima u slučaju nastupanja vanrednih situacija.
Finansijska institucija je dužna da preduzima sve neophodne aktivnosti radi usklađivanja planova iz stava 1. ove tačke s poslovnim promenama, uključujući i promene u proizvodima, aktivnostima, procesima i sistemima, s promenama u okruženju, kao i s poslovnom politikom i strategijom poslovanja.
Finansijska institucija je dužna da, periodično i posle nastanka značajnih promena, a najmanje jednom godišnje, testira planove iz stava 1. ove tačke, kao i da dokumentuje rezultate tih testiranja i obezbedi njihovo uključivanje u izveštavanje nadležnog organa finansijske institucije.
Za sprovođenje planova iz stava 1. ove tačke, kao i odredaba st. od 4. do 6. te tačke, odgovoran je izvršni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje i društva za upravljanje dobrovoljnim penzijskim fondom koji, u skladu sa zakonom, vodi poslove društva.
27. Finansijska institucija je dužna da, pri upravljanju kontinuitetom poslovanja, uzme u obzir i aktivnosti poverene trećim licima i zavisnost od usluga tih lica.
28. Finansijska institucija je dužna da, u slučaju nastanka okolnosti koje zahtevaju primenu plana kontinuiteta poslovanja i plana oporavka aktivnosti u slučaju katastrofa, obavesti o tome Narodnu banku Srbije, i to najkasnije narednog dana od dana nastanka tih okolnosti. Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o ovim okolnostima i odrediti rok za dostavljanje te dokumentacije.
29. Finansijska institucija je dužna da uspostavi proces upravljanja incidentima koji će omogućiti blagovremen i efikasan odgovor u slučaju narušavanja bezbednosti ili funkcionalnosti resursa informacionog sistema.
U slučaju težeg incidenta koji bi mogao ozbiljnije ugroziti ili narušiti njeno poslovanje - finansijska institucija je dužna da Narodnu banku Srbije obavesti o ovom incidentu i njegovim posledicama, kao i o aktivnostima preduzetim radi njihovog ublažavanja, i to najkasnije narednog dana od nastanka tog incidenta.
30. Finansijska institucija je dužna da uspostavi proces upravljanja rezervnim kopijama podataka, te da u tu svrhu utvrdi detaljne procedure i odgovornosti.
Upravljanje rezervnim kopijama podataka mora da obuhvati postupke izrade, čuvanja i testiranja ovih kopija, kao i oporavka podataka i softverskih komponenata, kako bi se omogućilo ponovno uspostavljanje poslovnih procesa u okviru ciljnog vremena oporavka.
Finansijska institucija je dužna da obezbedi da su rezervne kopije podataka ažurne i adekvatno zaštićene, a postupci oporavka testirani i uspešni.
Najmanje jedna ažurna i kompletna rezervna kopija podataka mora biti adekvatno uskladištena na odgovarajućoj udaljenosti od primarne lokacije - na osnovu rezultata procene rizika informacionog sistema i uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.
31. Finansijska institucija je dužna da, na osnovu aktivnosti sprovedenih u skladu s tačkom 25. ove odluke, obezbedi raspoloživost rezervnog računarskog centra i njegovu adekvatnu opremljenost, funkcionalnost i nivo bezbednosti, kao i njegovu odgovarajuću udaljenost od primarnog računarskog centra, uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.
VII RAZVOJ I ODRŽAVANJE INFORMACIONOG SISTEMA
32. Finansijska institucija je dužna da uspostavi proces razvoja informacionog sistema u skladu s relevantnim promenama unutar finansijske institucije i u okruženju, kako bi se obezbedila kontinuirana adekvatnost tog sistema.
33. Finansijska institucija proces razvoja informacionog sistema sprovodi u skladu sa usvojenom strategijom razvoja informacionog sistema i metodologijom upravljanja projektima, uz uzimanje u obzir funkcionalnih zahteva i potreba za bezbednošću.
Finansijska institucija je dužna da, tokom razvoja informacionog sistema unutar finansijske institucije, uspostavi i dokumentuje proces tog razvoja, koji obuhvata analizu i projektovanje, programiranje, testiranje i uvođenje u produkciju.
Finansijska institucija je dužna da na odgovarajući način razdvoji razvojno, testno i produkciono okruženje.
34. Finansijska institucija je dužna da uspostavi proces upravljanja hardverskim i softverskim komponentama u svim fazama njihovog životnog ciklusa - od nabavke ili razvoja do povlačenja iz upotrebe.
Finansijska institucija je dužna da obezbedi da upravljanje hardverskim i softverskim komponentama obuhvati, između ostalog, održavanje detaljne i ažurne evidencije ovih komponenata, imenovanje lica zaposlenog, odnosno zaposlenih u finansijskoj instituciji odgovornih za upravljanje i zaštitu tih komponenata, kao i utvrđivanje pravila njihovog prihvatljivog korišćenja i bezbednog odlaganja pri povlačenju iz upotrebe.
35. Finansijska institucija je dužna da obezbedi adekvatno održavanje hardverskih i softverskih komponenata informacionog sistema prema preporukama proizvođača i da čuva zapise o tom održavanju, kao i da se stara o tome da se pritom ne ugrozi bezbednost ili funkcionalnost ovog sistema.
36. Finansijska institucija je dužna da uspostavi proces upravljanja promenama hardverskih i softverskih komponenata informacionog sistema kako bi se izbeglo da one dovedu do neočekivanog i neželjenog ponašanja ovog sistema, odnosno naruše njegovu bezbednost ili funkcionalnost.
Upravljanje promenama softverskih komponenata informacionog sistema obuhvata naročito sledeće postupke:
1) utvrđivanje početnih verzija ovih komponenata;
2) iniciranje, analizu i odobravanje zahteva za promenom;
3) hronološko dokumentovanje svih promena ovih komponenata i arhitekture baza podataka, zajedno s vremenom nastanka promene;
4) informisanje korisnika informacionog sistema o detaljima izvršenih promena.
Finansijska institucija je dužna da obezbedi da sve promene hardverskih i softverskih komponenata, uključujući i nove komponente i sisteme, budu testirane i odobrene pre puštanja u produkcijski rad, kao i da utvrdi plan vraćanja na prethodno stanje.
Finansijska institucija je dužna da unutrašnjim opštim aktom uredi proces upravljanja hitnim promenama hardverskih i softverskih komponenata informacionog sistema.
37. Finansijska institucija koja planira migraciju podataka na novi sistem glavnih poslovnih aplikacija (core business application) dužna je da o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre početka testiranja planiranog u vezi s tom migracijom.
Obaveštenje iz stava 1. ove tačke naročito sadrži:
1) detaljne opise sistema između kojih se podaci prenose;
2) plan, dinamiku i opis aktivnosti u vezi s migracijom podataka, uključujući i metodologiju testiranja;
3) rezultate procene rizika i opis kontrola koje će se primeniti tokom migracije podataka s ciljem očuvanja poverljivosti, integriteta i raspoloživosti podataka;
4) plan vraćanja na stanje pre migracije podataka.
Izuzetno od stava 1. ove tačke, finansijska institucija koja planira migraciju podataka zbog statusne promene za koju je dužna da pribavi prethodnu saglasnost, odnosno dozvolu Narodne banke Srbije dužna je da, istovremeno sa zahtevom za davanje ove saglasnosti, odnosno dozvole, Narodnoj banci Srbije dostavi i obaveštenje s podacima iz stava 2. te tačke.
38. Finansijska institucija je dužna da obezbedi izradu, čuvanje i redovno održavanje dokumentacije koja se odnosi na informacioni sistem, kako bi ta dokumentacija u svakom trenutku bila tačna, potpuna i ažurna.
Finansijska institucija je dužna da svim korisnicima informacionog sistema obezbedi pristup odgovarajućim dokumentima u skladu s potrebama posla.
39. Finansijska institucija je dužna da obezbedi adekvatno, kontinuirano stručno osposobljavanje i obučavanje zaposlenih za korišćenje informacionog sistema i očuvanje njegove bezbednosti i funkcionalnosti.
VIII POVERAVANJE AKTIVNOSTI U VEZI SA INFORMACIONIM SISTEMOM TREĆIM LICIMA
40. Poveravanje aktivnosti u vezi sa informacionim sistemom finansijske institucije trećim licima (u daljem tekstu: poveravanje aktivnosti) obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija, osim ako ovom odlukom nije drukčije propisano.
Aktivnostima iz stava 1. ove tačke smatraju se sve aktivnosti koje obuhvataju obradu, čuvanje i/ili pristup podacima kojima raspolaže finansijska institucija, a odnose se na njeno poslovanje, kao i aktivnosti razvoja i/ili održavanja glavnih poslovnih aplikacija.
Poveravanje aktivnosti uključuje i poveravanje aktivnosti licima povezanim s finansijskom institucijom imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj ta institucija pripada i dr.) koja posluju u Republici Srbiji ili u inostranstvu.
Poveravanjem aktivnosti ne smatra se korišćenje standardizovanih servisa (SWIFT, Bloomberg, Reuters i dr.) ili telekomunikacionih usluga, kao ni nabavka softvera koji je kao gotovo rešenje komercijalno dostupan na tržištu (off-the-shelf) i sl.
Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između finansijske institucije i lica kome se te aktivnosti poveravaju (u daljem tekstu: pružalac usluga).
41. Finansijska institucija koja određene aktivnosti namerava da poveri dužna je da uredi:
1) proces odlučivanja o poveravanju aktivnosti i kriterijume za donošenje te odluke;
2) način uključivanja tih aktivnosti u proces upravljanja rizicima i u sistem internog izveštavanja o rizicima;
3) način na koji obezbeđuje kontinuitet obavljanja aktivnosti koje je poverila i mere koje preduzima u slučaju raskida ugovornog odnosa s pružaocima usluga, kao i u slučaju privremenog zastoja ili prestanka pružanja tih usluga;
4) način vršenja nadzora nad obavljanjem aktivnosti koje je poverila, uključujući i nadzor nad usklađenošću tih aktivnosti s propisima, dobrim poslovnim običajima i opšteprihvaćenim standardima iz odgovarajuće oblasti.
Pri donošenju odluke iz stava 1. ove tačke, finansijska institucija naročito ceni uticaj poveravanja aktivnosti na:
1) kontinuitet poslovanja i reputaciju finansijske institucije;
2) troškove, finansijski rezultat, likvidnost i solventnost finansijske institucije;
3) rizični profil finansijske institucije;
4) kvalitet usluga koje finansijska institucija pruža klijentima.
42. Pre donošenja odluke o svakom pojedinačnom poveravanju aktivnosti, odnosno o promeni pružaoca usluga - finansijska institucija je dužna da:
1) izvrši detaljnu analizu potencijalnog pružaoca usluga koja se odnosi na njegovu sposobnost pružanja usluga, finansijsko stanje i poslovnu reputaciju;
2) utvrdi da li propisi države ili država u kojima potencijalni pružalac usluga posluje omogućuju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole tog poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s tim aktivnostima;
3) proceni moguće poteškoće i vreme potrebno za izbor drugog pružaoca usluga, ili mogućnost nastavka obavljanja tih aktivnosti unutar finansijske institucije u slučaju prestanka pružanja ugovorenih usluga, kao i da s tim u vezi donese odgovarajuću izlaznu strategiju.
43. Finansijska institucija je dužna da Narodnoj banci Srbije omogući nesmetano vršenje kontrole poverenih aktivnosti, odnosno nadzora nad njima.
Kontrola, odnosno nadzor iz stava 1. ove tačke obuhvataju i neposrednu kontrolu obavljanja poverenih aktivnosti u prostorijama pružaoca usluga, odnosno na lokaciji na kojoj se poverene aktivnosti obavljaju, pri čemu je finansijska institucija dužna da obezbedi da pružalac usluga njoj, spoljnom revizoru i Narodnoj banci Srbije omogući blagovremen i neograničen pristup dokumentaciji, podacima, prostorijama, odgovornim licima i delu poslovanja u vezi s poverenim aktivnostima.
44. Finansijska institucija je dužna da obezbedi da se poveravanjem aktivnosti ne ugrozi bezbednost ili funkcionalnost informacionog sistema, kao i da podaci finansijske institucije ostanu u njenom posedu.
Finansijska institucija i pružalac usluga dužni su da pri poveravanju aktivnosti, odnosno obavljanju poverenih aktivnosti postupaju u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, kao i drugim propisima kojima se uređuje čuvanje tajne nastale u poslovanju finansijskih institucija.
45. Finansijska institucija koja namerava da određene aktivnosti poveri, odnosno da pružaoca usluga promeni dužna je da o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre planiranog poveravanja aktivnosti, odnosno planirane promene.
Obaveštenje iz stava 1. ove tačke naročito sadrži:
1) odluku nadležnog organa finansijske institucije o poveravanju aktivnosti, odnosno o promeni pružaoca usluga;
2) opis aktivnosti koje finansijska institucija namerava da poveri, kao i obaveza i uslova koje je pružalac usluga dužan da ispuni;
3) osnovne podatke o pružaocu usluga;
4) rezultate detaljne analize pružaoca usluga;
5) izlaznu strategiju iz tačke 42. odredba pod 3) ove odluke.
Ako pružalac usluga ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije - finansijska institucija je dužna da, osim dokumentacije utvrđene u stavu 2. ove tačke, Narodnoj banci Srbije dostavi dokaze o tome da propisi države, odnosno država u kojima pružalac usluga posluje omogućavaju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole tog poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima.
46. Na poveravanje aktivnosti čije obavljanje ne obuhvata obradu, čuvanje ili pristup podacima kojima raspolaže finansijska institucija, a koji se odnose na njeno poslovanje ne primenjuju se tačka 42. odredba pod 2), tačka 43. stav 2. i tačka 45. stav 3. ove odluke.
47. Pružalac usluga može drugom licu poveriti aktivnosti koje je njemu poverila finansijska institucija ili druge poslove koji su u vezi s tim aktivnostima samo uz prethodnu saglasnost finansijske institucije u svakom pojedinačnom slučaju, uz uzimanje u obzir odredaba tač. od 41. do 44. i tačke 46. ove odluke.
Finansijska institucija je dužna da Narodnu banku Srbije obavesti o poveravanju aktivnosti ili poslova iz stava 1. ove tačke odmah nakon davanja saglasnosti iz tog stava.
Lice kome je pružalac usluga poverio aktivnosti ili poslove iz stava 1. ove tačke može početi da ih obavlja nakon isteka 15 dana od dana davanja saglasnosti iz tog stava.
48. Finansijska institucija odgovara u celini za aktivnosti koje je poverila pružaocima usluga.
Ako u postupku kontrole, odnosno nadzora utvrdi da finansijska institucija, zbog propusta u radu pružaoca usluga ili drugog lica iz tačke 47. ove odluke, ne postupa u skladu sa ovom odlukom i drugim propisima - Narodna banka Srbije može finansijskoj instituciji naložiti da raskine ugovor o poveravanju aktivnosti zaključen s pružaocem usluga.
49. Banka je dužna da, kao sastavni deo upravljanja rizikom informacionog sistema, uspostavi proces upravljanja rizicima koji proizlaze iz elektronskog bankarstva.
50. Banka je dužna da u poslovima elektronskog bankarstva primeni sigurne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema.
Banka je dužna da, pri izvršavanju platnih transakcija u okviru elektronskog bankarstva, obezbedi da autentifikacija korisnika tog bankarstva uključi kombinaciju najmanje dva elementa za potvrđivanje korisničkog identiteta.
Banka je dužna da obezbedi odgovarajuću potvrdu svog identiteta na distributivnom kanalu elektronskog bankarstva kako bi korisnici tog bankarstva mogli da provere autentičnost banke.
51. Banka je dužna da obezbedi postojanje odgovarajućih operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa elektronskim bankarstvom.
52. Društvo za osiguranje, davalac finansijskog lizinga i društvo za upravljanje dobrovoljnim penzijskim fondom koji do 30. juna 2014. godine povere trećem licu određene aktivnosti iz tačke 40. ove odluke, dužni su da, najkasnije 31. jula 2014. godine, o tome obaveste Narodnu banku Srbije.
Uz obaveštenje iz stava 1. ove tačke, društvo za osiguranje, davalac finansijskog lizinga i društvo za upravljanje dobrovoljnim penzijskim fondom dužni su da Narodnoj banci Srbije dostave dokumentaciju i podatke utvrđene u tački 45. stav 2. ove odluke.
Banka koja do 31. decembra 2013. godine poveri trećem licu određene aktivnosti iz tačke 40. ove odluke dužna je da Narodnoj banci Srbije, najkasnije 31. januara 2014. godine, dostavi izlaznu strategiju iz tačke 42. odredba pod 3) te odluke.
Ako treće lice iz stava 1, odnosno stava 3. ove tačke ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije - finansijska institucija je dužna da Narodnoj banci Srbije, uz obaveštenje iz stava 1. ove tačke, odnosno uz izlaznu strategiju iz stava 3. ove tačke, dostavi i dokaz iz tačke 45. stav 3. ove odluke.
53. Tač. 17. i 18. i tač. od 68. do 72. Odluke o upravljanju rizicima banke ("Službeni glasnik RS", br. 45/11, 94/11, 119/12 i 123/12) prestaju da važe 1. januara 2014. godine.
Tač. 6. i 8. Odluke o minimalnim uslovima organizacione i tehničke osposobljenosti društva za upravljanje dobrovoljnim penzijskim fondom ("Službeni glasnik RS", broj 23/06) prestaju da važe 1. jula 2014. godine.
54. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije" i primenjivaće se od 1. januara 2014. godine na banke, a od 1. jula 2014. godine na društva za osiguranje, davaoce finansijskog lizinga i društva za upravljanje dobrovoljnim penzijskim fondovima.