ODLUKA

O MINIMALNIM STANDARDIMA UPRAVLJANJA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE

("Sl. glasnik RS", br. 23/2013, 113/2013, 2/2017, 88/2019, 37/2021 i 100/2023 - dr. odluka)

 

I UVODNE ODREDBE

1. Ovom odlukom utvrđuju se minimalni standardi i uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga, društvima za upravljanje dobrovoljnim penzijskim fondovima, kao i platnim institucijama, institucijama elektronskog novca i javnom poštanskom operatoru u delu njihovog poslovanja koji se odnosi na pružanje platnih usluga i/ili izdavanje elektronskog novca (u daljem tekstu: finansijska institucija).

Ovom odlukom uređuju se i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa u finansijskoj instituciji.

Ova odluka primenjuje se na sve finansijske institucije, osim ako pojedinim njenim odredbama nije drukčije utvrđeno.

2. Pojedini pojmovi, u smislu ove odluke, imaju sledeće značenje:

1) informacioni sistem je sveobuhvatni skup tehnološke infrastrukture (hardverske i softverske komponente), organizacije, ljudi i postupaka za prikupljanje, smeštanje, obradu, čuvanje, prenos, prikazivanje i korišćenje podataka i informacija;

2) resursi informacionog sistema obuhvataju softverske komponente, hardverske komponente i informaciona dobra;

3) softverske komponente obuhvataju sve tipove sistemskog i aplikativnog softvera, softverske razvojne alate, kao i ostali softver;

4) hardverske komponente obuhvataju računarsku opremu, komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informacionog sistema;

5) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i sl.;

6) korisnici informacionog sistema su sva lica koja su ovlašćena da koriste informacioni sistem (zaposleni u finansijskoj instituciji, zaposleni u drugim licima koji pristupaju informacionom sistemu finansijske institucije, klijenti finansijske institucije koji informacionom sistemu finansijske institucije pristupaju preko elektronskih interaktivnih komunikacionih kanala i dr.);

7) rizik informacionog sistema je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital, ostvarivanje poslovnih ciljeva, poslovanje u skladu s propisima i reputaciju finansijske institucije usled neadekvatnog upravljanja informacionim sistemom ili druge slabosti u tom sistemu koja negativno utiče na njegovu funkcionalnost ili bezbednost, odnosno ugrožava kontinuitet poslovanja finansijske institucije;

8) kontrole su politike, procedure, prakse, tehnologije i organizacione strukture koje se odnose na informacioni sistem, utvrđene da bi se obezbedilo razumno uverenje da će poslovni ciljevi finansijske institucije biti ostvareni i da će neželjeni događaji biti sprečeni ili otkriveni, a mogu se razlikovati prema načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne);

9) upravljačke kontrole obuhvataju donošenje i primenu politika, standarda, planova, procedura i drugih unutrašnjih akata, kao i uspostavljanje odgovarajuće organizacione strukture, a radi postizanja i održavanja adekvatnog nivoa funkcionalnosti i bezbednosti informacionog sistema;

10) tehničke kontrole su kontrole primenjene u hardverskim i softverskim komponentama informacionog sistema;

11) fizičke kontrole su kontrole kojima se resursi informacionog sistema štite od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja;

12) preventivne kontrole su kontrole namenjene sprečavanju nastanka problema i incidenata;

13) detektivne kontrole su kontrole namenjene otkrivanju i prepoznavanju problema i incidenata i ukazivanju na nastale probleme i incidente;

14) korektivne kontrole su kontrole namenjene ograničavanju i otklanjanju problema i posledica incidenata;

15) incident je svaki neplanirani i neželjeni događaj koji može narušiti bezbednost ili funkcionalnost informacionog sistema;

16) bezbednost informacionog sistema podrazumeva očuvanje poverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informacionom sistemu;

17) poverljivost označava da podaci i informacije nisu otkriveni ili dostupni neovlašćenim licima;

18) integritet označava da su podaci, informacije i procesi zaštićeni od neovlašćenog ili nepredviđenog menjanja, odnosno da eventualne takve promene ne ostaju neopažene;

19) raspoloživost označava da su podaci, informacije i procesi dostupni i upotrebljivi na zahtev ovlašćenog lica;

20) autentičnost označava da je identitet lica zaista onaj za koji se tvrdi da jeste;

21) dokazivost označava da svaka aktivnost u informacionom sistemu može biti jednoznačno praćena do njenog izvora;

22) neporecivost označava nemogućnost poricanja aktivnosti izvršene u informacionom sistemu ili prijema informacije;

23) pouzdanost označava da informacioni sistem dosledno i očekivano vrši predviđene funkcije i pruža tačne informacije;

24) autorizacija je proces dodele prava pristupa korisnicima informacionog sistema;

25) identifikacija je proces predstavljanja korisnika informacionog sistema prilikom prijave i u toku izvođenja aktivnosti u tom sistemu;

26) autentifikacija je proces provere i potvrde korisničkog identiteta korišćenjem jednog od sledećih elemenata ili njihove kombinacije:

- nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),

- nešto što samo korisnik poseduje (npr. magnetna kartica, čip kartica, token, kriptografski ključ i sl.),

- nešto što samo korisnik jeste (biometrijske karakteristike kao što su otisak prsta, očna dužica, glas, rukopis i sl.);

27) povlašćeni pristup informacionom sistemu je pristup resursima informacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje tehničkih kontrola;

28) udaljeni pristup informacionom sistemu je pristup resursima informacionog sistema sa udaljene lokacije posredstvom telekomunikacione infrastrukture nad kojom finansijska institucija nema potpunu kontrolu;

29) operativni i sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.);

30) maliciozni programski kôd je bilo koji oblik programskog kôda stvoren s namerom da se neovlašćeno ostvari pristup resursima informacionog sistema, prikupe informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način potencijalno naruši poverljivost, integritet ili raspoloživost tih resursa (npr. računarski virusi, crvi, trojanski konji i dr.);

31) kritični/ključni poslovni procesi su poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajnije ugroziti poslovanje finansijske institucije;

32) najduži prihvatljiv prekid (MAO - Maximum Acceptable Outage) označava najduži prihvatljiv period neraspoloživosti poslovnog procesa, odnosno kritično vreme za oporavak tog procesa;

33) ciljni nivo aktivnosti (SDO - Service Delivery Objective) označava odgovarajući nivo oporavka poslovnog procesa koji treba da bude postignut tokom ciljnog vremena oporavka;

34) ciljno vreme oporavka (RTO - Recovery Time Objective) označava period, odnosno faze u tom periodu tokom kojih treba da bude postignut odgovarajući nivo oporavka poslovnog procesa;

35) ciljna tačka oporavka (RPO - Recovery Point Objective) označava najduži prihvatljiv period od poslednje rezervne kopije podataka do nastupanja neraspoloživosti poslovnog procesa, odnosno najduži prihvatljiv period za koji podaci mogu biti izgubljeni;

36) rezervna kopija podataka predstavlja kopiju najmanje onih izvornih podataka (softverske komponente i informaciona dobra) koji su potrebni za oporavak, odnosno za ponovno uspostavljanje poslovnih procesa;

37) elektronske usluge su usluge koje klijenti banke, platne institucije, institucije elektronskog novca i javnog poštanskog operatora koriste sa udaljene lokacije preko interneta, a koje obuhvataju pristupanje platnom i drugom računu, iniciranje platne transakcije i druge aktivnosti kojima se pristupa podacima u vezi sa uslugama ovih finansijskih institucija koji bi mogli biti predmet prevarnih radnji ili drugih zloupotreba.

II OKVIR ZA UPRAVLJANJE INFORMACIONIM SISTEMOM

3. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, uspostavi adekvatan informacioni sistem, koji ispunjava najmanje sledeće uslove:

1) poseduje funkcionalnosti, kapacitete i performanse koji omogućavaju pružanje odgovarajuće podrške poslovnim procesima;

2) obezbeđuje blagovremene, tačne i potpune informacije značajne za donošenje poslovnih odluka, efikasno obavljanje poslovnih aktivnosti i upravljanje rizicima, odnosno za sigurno i stabilno poslovanje finansijske institucije;

3) projektovan je sa odgovarajućim kontrolama za validaciju podataka na ulazu, u toku procesa obrade, kao i na izlazu iz tog sistema, radi sprečavanja netačnosti i nekonzistentnosti u podacima i informacijama.

Finansijska institucija je dužna da obezbedi da svi poslovno značajni sistemi za obradu podataka, kao i sistem izveštavanja, budu integralni deo informacionog sistema.

4. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, uspostavi, nadzire, redovno revidira i unapređuje proces upravljanja ovim sistemom radi smanjenja izloženosti rizicima i očuvanja bezbednosti i funkcionalnosti tog sistema, kao i da unutrašnjim opštim aktom, u skladu sa zakonom, utvrdi ovlašćenja i odgovornosti svojih organa upravljanja i nadzora koji se odnose na ove poslove.

5. Finansijska institucija je dužna da, u skladu sa strategijom poslovanja, kao i s prirodom, obimom i složenošću poslovanja, donese strategiju razvoja informacionog sistema.

U skladu sa strategijom razvoja informacionog sistema, finansijska institucija dužna je da donese odgovarajuće strategijske i operativne planove.

Finansijska institucija je dužna da, po potrebi, menja strategiju razvoja informacionog sistema, i to naročito ako to zahtevaju odgovarajuće izmene i/ili dopune strategije poslovanja.

Finansijska institucija je dužna da o svakoj izmeni i/ili dopuni strategije razvoja informacionog sistema obavesti Narodnu banku Srbije u roku od 15 dana od dana njenog usvajanja.

6. Finansijska institucija je dužna da, radi adekvatnog upravljanja informacionim sistemom, obezbedi odgovarajuću organizacionu strukturu, s jasno utvrđenom podelom poslova i dužnosti zaposlenih, odnosno sa utvrđenim unutrašnjim kontrolama kojima se sprečava sukob interesa.

Finansijska institucija je u okviru podele poslova i dužnosti iz stava 1. ove tačke naročito dužna da jasno utvrdi poslove i dužnosti zaposlenih koji su u neposrednoj vezi sa efikasnim i odgovarajućim upravljanjem bezbednošću informacionog sistema.

7. Finansijska institucija je dužna da obezbedi primenu svih unutrašnjih opštih akata i procedura u vezi sa informacionim sistemom, kao i da obezbedi da svi korisnici ovog sistema budu upoznati sa sadržajem tih akata i procedura, u skladu s njihovim ovlašćenjima, odgovornostima i potrebama.

8. Finansijska institucija je dužna da usvoji i dokumentuje odgovarajuću metodologiju kojom će se utvrditi kriterijumi, način i postupci upravljanja projektima u vezi sa informacionim sistemom.

9. Finansijska institucija je dužna da utvrdi kriterijume, način i postupke izveštavanja svog nadležnog organa o relevantnim činjenicama u vezi s funkcionalnošću i bezbednošću informacionog sistema.

III UPRAVLJANJE RIZIKOM INFORMACIONOG SISTEMA

10. Odredbe propisa kojima se uređuju opšti uslovi i način upravljanja rizicima u poslovanju finansijskih institucija primenjuju se i na upravljanje rizikom informacionog sistema, osim ako ovom odlukom nije drukčije uređeno.

11. Finansijska institucija je dužna da, u okviru sveobuhvatnog sistema upravljanja rizicima, uspostavi proces upravljanja rizikom informacionog sistema koji obuhvata identifikovanje i merenje, odnosno procenu tog rizika, kao i njegovo ublažavanje, praćenje i kontrolu.

12. Finansijska institucija je dužna da rizikom informacionog sistema upravlja tako da omogući nesmetano upravljanje bezbednošću ovog sistema i upravljanje kontinuitetom poslovanja finansijske institucije.

Upravljanje rizikom informacionog sistema mora da obuhvati celokupan informacioni sistem finansijske institucije i da bude integrisano u sve faze razvoja tog sistema.

13. Finansijska institucija je dužna da adekvatno upravlja rizicima koji proizlaze iz ugovornih odnosa s pravnim i fizičkim licima čije se aktivnosti odnose na njen informacioni sistem.

Finansijska institucija je dužna da kontinuirano nadzire način i kvalitet ugovorenih aktivnosti iz stava 1. ove tačke.

IV UNUTRAŠNJA REVIZIJA INFORMACIONOG SISTEMA

14. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, metodologijom rada unutrašnje revizije obuhvati kriterijume, način i postupke unutrašnje revizije tog sistema zasnovane na rezultatima procene rizika.

15. Unutrašnja revizija informacionog sistema finansijske institucije obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija.

V BEZBEDNOST INFORMACIONOG SISTEMA

16. Finansijska institucija je dužna da, u skladu sa složenošću informacionog sistema, donese unutrašnji opšti akt kojim će se uspostaviti okvir za upravljanje bezbednošću tog sistema (u daljem tekstu: politika bezbednosti informacionog sistema).

Politikom bezbednosti informacionog sistema naročito se uređuju principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema.

Finansijska institucija je dužna da politiku bezbednosti informacionog sistema usklađuje s promenama u okruženju i u samom informacionom sistemu.

17. Finansijska institucija je dužna da proces upravljanja bezbednošću informacionog sistema uspostavi kao kontinuirani proces identifikovanja potreba za ovom bezbednošću i postizanja i održavanja adekvatnog nivoa te bezbednosti.

Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema:

1) podelu poslova u vezi sa bezbednošću tog sistema izvrši tako da se u unutrašnjim aktima kojima se uređuje organizacija njenog poslovanja jasno mogu utvrditi poslovi i dužnosti zaposlenih u vezi s tom bezbednošću;

2) odredi ključne zaposlene zadužene za bezbednost informacionog sistema vodeći računa o tome da njihova pozicija ima značajan uticaj na aktivnosti i donošenje odluka u vezi s tom bezbednošću;

3) u upravljanje bezbednošću informacionog sistema uključi dovoljan broj zaposlenih koji imaju odgovarajuću stručnost i profesionalno iskustvo.

Finansijska institucija je dužna da identifikuje i prati potrebe za bezbednošću informacionog sistema, i to najmanje na osnovu rezultata procene rizika tog sistema i obaveza koje proizlaze iz propisa, unutrašnjih opštih akata, ugovornih odnosa i sl.

18. Finansijska institucija je dužna da, radi postizanja i održavanja adekvatnog nivoa bezbednosti informacionog sistema, uspostavi odgovarajuće kontrole.

19. Finansijska institucija je dužna da unutrašnjim aktima utvrdi bliže kriterijume, način i postupke za klasifikaciju informacionih dobara prema stepenu osetljivosti i kritičnosti - s obzirom na moguće posledice narušavanja njihove poverljivosti, integriteta i raspoloživosti, da dosledno primenjuje tu klasifikaciju, kao i da u skladu s tim obezbedi adekvatan nivo zaštite ovih dobara.

Finansijska institucija je dužna da imenuje lice, odnosno lica zaposlena u toj instituciji koja će biti odgovorna za upravljanje informacionim dobrima, te za klasifikaciju i zaštitu ovih dobara.

20. Finansijska institucija je dužna da sprovodi odgovarajuću kontrolu pristupa resursima informacionog sistema, kao i da s tim u vezi uspostavi adekvatan sistem upravljanja korisničkim pravima pristupa.

Sistemom upravljanja korisničkim pravima pristupa naročito se obuhvataju procesi evidentiranja korisnika informacionog sistema, autorizacije, identifikacije i autentifikacije, kao i nadzor nad korisničkim pravima pristupa.

Finansijska institucija je dužna da obezbedi da se autorizacija korisnika informacionog sistema zasniva na principu dodele najmanjih mogućih prava pristupa resursima tog sistema koja omogućuju efikasno obavljanje poslova.

Finansijska institucija je dužna da periodično i po potrebi, a najmanje jednom godišnje, revidira korisnička prava pristupa.

Pri upravljanju korisničkim pravima pristupa, finansijska institucija je dužna da posebno uredi povlašćeni i udaljeni pristup informacionom sistemu.

21. Finansijska institucija je dužna da, na osnovu rezultata procene rizika informacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanja operativnih i sistemskih zapisa.

Finansijska institucija je dužna da obezbedi odgovarajuću zaštitu zapisa iz stava 1. ove tačke, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa.

Zapisi iz stava 1. ove tačke moraju sadržati dovoljnu količinu informacija radi identifikovanja problema, rekonstruisanja događaja i otkrivanja neovlašćenih pristupa i aktivnosti na resursima informacionog sistema, kao i radi utvrđivanja odgovornosti s tim u vezi.

22. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informacionog sistema i druge sisteme koji su podrška funkcionisanju informacionog sistema zaštiti od neovlašćenog fizičkog pristupa, od krađe, kao i od fizičkog oštećenja ili uništenja izazvanog ljudskim ili prirodnim faktorom.

Finansijska institucija je naročito dužna da obezbedi integritet podataka o platnim transakcijama pri njihovoj obradi, čuvanju i preduzimanju svih drugih radnji u vezi s tim podacima.

23. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informacionog sistema zaštiti od malicioznog programskog kôda.

VI UPRAVLJANJE KONTINUITETOM POSLOVANJA I OPORAVAK AKTIVNOSTI U SLUČAJU KATASTROFA

24. Finansijska institucija je dužna da, radi obezbeđivanja nesmetanog i kontinuiranog funkcionisanja svih svojih značajnih sistema i procesa, kao i ograničavanja gubitaka u vanrednim situacijama, uspostavi proces upravljanja kontinuitetom poslovanja.

25. Finansijska institucija je dužna da obezbedi da upravljanje kontinuitetom poslovanja bude zasnovano na analizi uticaja na poslovanje i na proceni rizika, koje naročito obuhvataju:

1) utvrđivanje resursa i sistema potrebnih za odvijanje pojedinačnih poslovnih procesa, kao i njihove međuzavisnosti i povezanosti;

2) procenu rizika u vezi s pojedinačnim poslovnim procesima, uključujući i verovatnoću nastanka neželjenih događaja i njihov potencijalni uticaj na kontinuitet poslovanja, finansijsko stanje i reputaciju finansijske institucije;

3) utvrđivanje prihvatljivih nivoa rizika i tehnika za ublažavanje identifikovanih rizika;

4) utvrđivanje najdužeg prihvatljivog prekida (MAO) pojedinačnih poslovnih procesa;

5) utvrđivanje kritičnih/ključnih poslovnih procesa i aktivnosti.

Finansijska institucija je dužna da, u skladu sa sprovedenim aktivnostima iz stava 1. ove tačke, usvoji strategiju oporavka koju će primeniti u slučaju prekida poslovanja, a koja naročito sadrži:

1) prioritete oporavka poslovnih procesa, kao i resursa i sistema potrebnih za njihovo odvijanje;

2) ciljne nivoe aktivnosti (SDO);

3) ciljna vremena oporavka (RTO);

4) ciljne tačke oporavka (RPO).

26. Upravni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora dužan je da, na osnovu aktivnosti sprovedenih u skladu s tačkom 25. ove odluke, donese plan kontinuiteta poslovanja (Business Continuity Plan), kao i plan oporavka aktivnosti u slučaju katastrofa (Disaster Recovery Plan) kojim se prevashodno uređuje stvaranje uslova za oporavak i raspoloživost resursa informacionog sistema potrebnih za odvijanje kritičnih/ključnih poslovnih procesa.

Plan kontinuiteta poslovanja naročito sadrži:

1) opis procedura u slučaju prekida poslovanja;

2) ažuran spisak svih resursa neophodnih za ponovno uspostavljanje kontinuiteta poslovanja;

3) podatke o timovima koji će biti odgovorni za ponovno uspostavljanje poslovanja u slučaju nastanka nepredviđenih događaja i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti, kao i plan unutrašnjih i spoljnih linija komunikacije;

4) rezervnu lokaciju - u slučaju prekida poslovanja i nemogućnosti ponovnog uspostavljanja poslovnih procesa na primarnoj lokaciji.

Plan oporavka aktivnosti u slučaju katastrofa naročito sadrži:

1) procedure za oporavak informacionog sistema kad nastupe katastrofalni događaji;

2) prioritete oporavka resursa informacionog sistema;

3) podatke o timovima koji će biti odgovorni za oporavak informacionog sistema i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti;

4) rezervnu lokaciju za oporavak informacionog sistema, odnosno lokaciju rezervnog računarskog centra.

Finansijska institucija je dužna da, radi efikasnog sprovođenja planova iz stava 1. ove tačke, obezbedi da svi zaposleni budu upoznati sa svojim ulogama i odgovornostima u slučaju nastupanja vanrednih situacija.

Finansijska institucija je dužna da preduzima sve neophodne aktivnosti radi usklađivanja planova iz stava 1. ove tačke s poslovnim promenama, uključujući i promene u proizvodima, aktivnostima, procesima i sistemima, s promenama u okruženju, kao i s poslovnom politikom i strategijom poslovanja.

Finansijska institucija je dužna da, periodično i posle nastanka značajnih promena, a najmanje jednom godišnje, testira planove iz stava 1. ove tačke, kao i da dokumentuje rezultate tih testiranja i obezbedi njihovo uključivanje u izveštavanje nadležnog organa finansijske institucije.

Za sprovođenje planova iz stava 1. ove tačke, kao i odredaba st. od 4. do 6. te tačke, odgovoran je izvršni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora koji, u skladu sa zakonom, vodi poslove društva.

27. Finansijska institucija je dužna da, pri upravljanju kontinuitetom poslovanja, uzme u obzir i aktivnosti poverene trećim licima i zavisnost od usluga tih lica.

28. Finansijska institucija je dužna da, u slučaju nastanka okolnosti koje zahtevaju primenu plana kontinuiteta poslovanja i plana oporavka aktivnosti u slučaju katastrofa, obavesti o tome Narodnu banku Srbije, i to najkasnije narednog dana od dana nastanka tih okolnosti. Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o ovim okolnostima i odrediti rok za dostavljanje te dokumentacije.

29. Finansijska institucija je dužna da uspostavi proces upravljanja incidentima koji će omogućiti blagovremen i efikasan odgovor u slučaju narušavanja bezbednosti ili funkcionalnosti resursa informacionog sistema.

Finansijska institucija je dužna da Narodnu banku Srbije obavesti u slučaju incidenta koji je ozbiljno ugrozio ili narušio njeno poslovanje, odnosno koji bi mogao ozbiljno ugroziti ili narušiti njeno poslovanje, i to:

1) ako je nastao usled narušavanja funkcionalnosti resursa informacionog sistema - odmah po utvrđivanju okolnosti o nastanku tog incidenta;

2) ako je nastao kao posledica narušavanja bezbednosti informacionog sistema - odmah po saznanju o tom incidentu;

3) ako je nastao kod pružaoca usluge, a imao je ili je mogao imati značajan uticaj na informacioni sistem finansijske institucije - odmah po utvrđivanju okolnosti o nastanku tog incidenta, odnosno saznanju o tom incidentu.

Nakon obaveštenja iz stava 2. ove tačke, ako je incident i dalje u toku, finansijska institucija je dužna da Narodnu banku Srbije kontinuirano obaveštava o bitnim događajima i drugim relevantnim informacijama u vezi sa incidentom (status incidenta), kao i o aktivnostima preduzetim radi ublažavanja incidenta i njegovim posledicama. Ovo obaveštenje sadrži i detaljan opis incidenta, informacije o proceni broja korisnika na koje je incident uticao, okvirno vreme potrebno da se incident reši, potencijalni uticaj na druge finansijske institucije, kao i bitne događaje i druge relevantne informacije od nastanka incidenta (npr. informacije o tome da li je incident eskalirao, da li su otkriveni novi uzroci i o efikasnosti primenjenih aktivnosti).

Finansijska institucija je dužna da Narodnoj banci Srbije dostavi završni izveštaj o nastalom incidentu u roku od 15 dana od dana prestanka incidenta, odnosno od dana kada proceni da su uspostavljeni redovno poslovanje finansijske institucije i stabilan rad informacionog sistema. Ovaj izveštaj sadrži konačne informacije o incidentu - datum početka i datum okončanja incidenta, dužina trajanja incidenta, vrsta incidenta (nedostupnost hardverskih komponenti, problemi u radu softverskih komponenti ili bezbednosni incident), opis incidenta, uzroci nastanka i posledice incidenta, aktivnosti koje je finansijska institucija sprovodila tokom incidenta, plan aktivnosti kojima će preventivno delovati i sprečiti ponovne pojave istog incidenta, broj korisnika na koje je incident uticao, nastali finansijski troškovi povezani sa incidentom, uticaj na druge finansijske institucije i, po potrebi, druge relevantne informacije.

29a. Finansijska institucija je dužna da tromesečno izveštava Narodnu banku Srbije o incidentima koji su povezani sa zloupotrebom osetljivih podataka korisnika finansijskih usluga, neodobrenim platnim transakcijama, zloupotrebom, krađom ili gubitkom platnih instrumenata, uključujući korišćenje tehničkih manipulacija na bankomatima (ATM), prevarenim radnjama i zloupotrebama korisnika finansijskih usluga, zloupotrebama faktora autentifikacije i sistema za autentifikaciju i sl. a koji nisu imali direktan uticaj na njen informacioni sistem.

Izveštaj iz stava 1. ove tačke dostavlja se najkasnije 10. u prvom mesecu tromesečja, a Narodna banka Srbije može bliže urediti način dostavljanja ovog izveštaja.

30. Finansijska institucija je dužna da uspostavi proces upravljanja rezervnim kopijama podataka, te da u tu svrhu utvrdi detaljne procedure i odgovornosti.

Upravljanje rezervnim kopijama podataka mora da obuhvati postupke izrade, čuvanja i testiranja ovih kopija, kao i oporavka podataka i softverskih komponenata, kako bi se omogućilo ponovno uspostavljanje poslovnih procesa u okviru ciljnog vremena oporavka.

Finansijska institucija je dužna da obezbedi da su rezervne kopije podataka ažurne i adekvatno zaštićene, a postupci oporavka testirani i uspešni.

Najmanje jedna ažurna i kompletna rezervna kopija podataka mora biti adekvatno uskladištena na odgovarajućoj udaljenosti od primarne lokacije - na osnovu rezultata procene rizika informacionog sistema i uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.

31. Finansijska institucija je dužna da, na osnovu aktivnosti sprovedenih u skladu s tačkom 25. ove odluke, obezbedi raspoloživost rezervnog računarskog centra i njegovu adekvatnu opremljenost, funkcionalnost i nivo bezbednosti, kao i njegovu odgovarajuću udaljenost od primarnog računarskog centra, uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.

VII RAZVOJ I ODRŽAVANJE INFORMACIONOG SISTEMA

32. Finansijska institucija je dužna da uspostavi proces razvoja informacionog sistema u skladu s relevantnim promenama unutar finansijske institucije i u okruženju, kako bi se obezbedila kontinuirana adekvatnost tog sistema.

33. Finansijska institucija proces razvoja informacionog sistema sprovodi u skladu sa usvojenom strategijom razvoja informacionog sistema i metodologijom upravljanja projektima, uz uzimanje u obzir funkcionalnih zahteva i potreba za bezbednošću.

Finansijska institucija je dužna da, tokom razvoja informacionog sistema unutar finansijske institucije, uspostavi i dokumentuje proces tog razvoja, koji obuhvata analizu i projektovanje, programiranje, testiranje i uvođenje u produkciju.

Finansijska institucija je dužna da na odgovarajući način razdvoji razvojno, testno i produkciono okruženje.

34. Finansijska institucija je dužna da uspostavi proces upravljanja hardverskim i softverskim komponentama u svim fazama njihovog životnog ciklusa - od nabavke ili razvoja do povlačenja iz upotrebe.

Finansijska institucija je dužna da obezbedi da upravljanje hardverskim i softverskim komponentama obuhvati, između ostalog, održavanje detaljne i ažurne evidencije ovih komponenata, imenovanje lica zaposlenog, odnosno zaposlenih u finansijskoj instituciji odgovornih za upravljanje i zaštitu tih komponenata, kao i utvrđivanje pravila njihovog prihvatljivog korišćenja i bezbednog odlaganja pri povlačenju iz upotrebe.

35. Finansijska institucija je dužna da obezbedi adekvatno održavanje hardverskih i softverskih komponenata informacionog sistema prema preporukama proizvođača i da čuva zapise o tom održavanju, kao i da se stara o tome da se pritom ne ugrozi bezbednost ili funkcionalnost ovog sistema.

36. Finansijska institucija je dužna da uspostavi proces upravljanja promenama hardverskih i softverskih komponenata informacionog sistema kako bi se izbeglo da one dovedu do neočekivanog i neželjenog ponašanja ovog sistema, odnosno naruše njegovu bezbednost ili funkcionalnost.

Upravljanje promenama softverskih komponenata informacionog sistema obuhvata naročito sledeće postupke:

1) utvrđivanje početnih verzija ovih komponenata;

2) iniciranje, analizu i odobravanje zahteva za promenom;

3) hronološko dokumentovanje svih promena ovih komponenata i arhitekture baza podataka, zajedno s vremenom nastanka promene;

4) informisanje korisnika informacionog sistema o detaljima izvršenih promena.

Finansijska institucija je dužna da obezbedi da sve promene hardverskih i softverskih komponenata, uključujući i nove komponente i sisteme, budu testirane i odobrene pre puštanja u produkcijski rad, kao i da utvrdi plan vraćanja na prethodno stanje.

Finansijska institucija je dužna da unutrašnjim opštim aktom uredi proces upravljanja hitnim promenama hardverskih i softverskih komponenata informacionog sistema.

37. Finansijska institucija koja planira migraciju podataka na novi sistem glavnih poslovnih aplikacija (core business application) ili u drugi računarski centar, odnosno koja vrši promenu lokacije računarskog centra, dužna je da o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre početka testiranja planiranog u vezi s tom migracijom.

Obaveštenje iz stava 1. ove tačke naročito sadrži:

1) detaljne opise sistema između kojih se podaci prenose;

2) plan, dinamiku i opis aktivnosti u vezi s migracijom podataka, uključujući i metodologiju testiranja;

3) rezultate procene rizika i opis kontrola koje će se primeniti tokom migracije podataka s ciljem očuvanja poverljivosti, integriteta i raspoloživosti podataka;

4) plan vraćanja na stanje pre migracije podataka, koji uključuje dinamiku tog vraćanja i opis aktivnosti, kao i kriterijume za donošenje odluke za primenu ovog plana.

Izuzetno od stava 1. ove tačke, finansijska institucija koja planira migraciju podataka zbog statusne promene za koju je dužna da pribavi prethodnu saglasnost, odnosno dozvolu Narodne banke Srbije dužna je da, istovremeno sa zahtevom za davanje ove saglasnosti, odnosno dozvole, Narodnoj banci Srbije dostavi i obaveštenje s podacima iz stava 2. te tačke, a banka je dužna da dostavi i zahtev za omogućavanje funkcionisanja privremenog računa pravnog sledbenika (u daljem tekstu: zahtev za privremeni račun) koji mora potpisati zakonski zastupnik pravnog sledbenika - radi postupanja Narodne banke Srbije po tom zahtevu u slučajevima utvrđenim ovom tačkom.

Privremeni račun pravnog sledbenika predstavlja račun banke koja prestaje da postoji zbog statusne promene koji je otvoren u Narodnoj banci Srbije u skladu s propisima, odnosno pravilima rada platnog sistema u kojem ta banka učestvuje a koji zbog statusne promene preuzima pravni sledbenik, radi njegovog privremenog funkcionisanja u roku utvrđenom ovom odlukom.

Finansijska institucija koja donese odluku o primeni plana vraćanja na stanje pre migracije podataka dužna je da o tome bez odlaganja obavesti Narodnu banku Srbije.

Ako donese odluku o primeni plana vraćanja na stanje pre migracije podataka zbog statusne promene, banka je dužna da o tome obavesti Narodnu banku Srbije najkasnije narednog radnog dana od dana kada je započela migraciju podataka, i to najkasnije jedan sat pre početka perioda utvrđenog Dnevnim terminskim planom rada RTGS platnog sistema Narodne banke Srbije (u daljem tekstu: RTGS NBS sistem) za izvršavanje naloga za prenos u tom sistemu.

Narodna banka Srbije omogućava funkcionisanje privremenog računa iz stava 4. ove tačke u slučaju da banka donese odluku o primeni plana vraćanja na stanje pre migracije podataka.

Izuzetno od stava 7. ove tačke, ako postoje objektivne okolnosti usled kojih mogu biti ugroženi interesi klijenata banke koja sprovodi postupak migracije podataka zbog statusne promene, Narodna banka Srbije može, na obrazloženi zahtev koji banka dostavlja uz dokumentaciju iz stava 3. ove tačke, posebno utvrditi rok sprovođenja postupka migracije podataka i omogućiti funkcionisanje privremenog računa u tom roku.

Finansijska institucija je dužna da postupak migracije podataka zbog statusne promene sprovede najkasnije u roku od deset radnih dana od dana početka primene plana iz stava 5. ove tačke, odnosno u roku koji utvrdi Narodna banka Srbije u skladu sa stavom 8. ove tačke.

Privremeni račun pravnog sledbenika iz ove tačke, kao i postupanje Narodne banke Srbije u skladu sa zahtevom za privremeni račun bliže se uređuju pravilima rada RTGS NBS sistema.

38. Finansijska institucija je dužna da obezbedi izradu, čuvanje i redovno održavanje dokumentacije koja se odnosi na informacioni sistem, kako bi ta dokumentacija u svakom trenutku bila tačna, potpuna i ažurna.

Finansijska institucija je dužna da svim korisnicima informacionog sistema obezbedi pristup odgovarajućim dokumentima u skladu s potrebama posla.

39. Finansijska institucija je dužna da obezbedi adekvatno, kontinuirano stručno osposobljavanje i obučavanje zaposlenih za korišćenje informacionog sistema i očuvanje njegove bezbednosti i funkcionalnosti.

tač. 40. do 48a* (Prestalo da važi)

IX ELEKTRONSKE USLUGE

49. Banka, platna institucija, institucija elektronskog novca i javni poštanski operator koji pružaju elektronske usluge (u daljem tekstu: pružalac elektronskih usluga) dužni su da, kao sastavni deo upravljanja rizikom informacionog sistema, uspostave proces upravljanja rizicima koji proizlaze iz pružanja elektronskih usluga.

50. Pružalac elektronskih usluga dužan je da pri pružanju elektronskih usluga primeni bezbedne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema.

Pružalac elektronskih usluga dužan je da korisnicima pri korišćenju ovih usluga obezbedi autentifikaciju koja uključuje kombinaciju najmanje dva međusobno nezavisna elementa za potvrđivanje korisničkog identiteta.

Izuzetno od stava 2. ove tačke, pružalac elektronskih usluga može primeniti autentifikaciju korisnika koja se vrši korišćenjem jednog elementa za potvrđivanje korisničkog identiteta, u slučaju:

1) plaćanja male novčane vrednosti, u skladu sa okvirnim ugovorom o platnim uslugama, pod uslovom da se rizicima koji se odnose na ukupan iznos ovih plaćanja upravlja na odgovarajući način (npr. utvrđivanje maksimalnog iznosa ovih transakcija u određenom periodu nakon kojih će se sprovesti autentifikacija u skladu sa stavom 2. ove tačke ili preduzeti dodatne mere zaštite);

2) plaćanja prema primaocima plaćanja koja je platilac unapred odredio (npr. utvrđivanje tzv. bele liste primaoca plaćanja);

3) prenos novčanih sredstava između dva platna računa istog korisnika kod istog pružaoca elektronskih usluga;

4) prenos elektronskog novca koji se obavlja u okviru istog pružaoca elektronskih usluga, koji je zasnovan na analizi rizika ovih platnih transakcija;

5) drugih transakcija i usluga koje su na osnovu analize rizika procenjene kao niskorizične.

Pružalac elektronskih usluga može da primeni autentifikaciju korisnika iz stava 3. ove tačke samo ako je najmanje 30 dana pre dana početka pružanja usluge o tome obavestio Narodnu banku Srbije i uz to obaveštenje dostavio sveobuhvatnu i detaljnu analizu rizika i načina upravljanja rizicima koji proizlaze iz pružanja usluga na način utvrđen u odredbama 1) do 5) tog stava i drugu odgovarajuću dokumentaciju koja se odnosi na ovu analizu.

Analiza iz stava 4. ove tačke obuhvata posebno i analize iz stava 3. odredbe pod 4) i 5) ove tačke, ako pružalac elektronskih usluga namerava da primeni autentifikaciju korisnika korišćenjem jednog elementa za potvrđivanje korisničkog identiteta u slučajevima iz tih odredaba.

Rok iz stava 4. ove tačke računa se od dana dostavljanja uredne dokumentacije iz tog stava.

51. Pružalac elektronskih usluga dužan je da usvoji i primeni pravila kojima se na odgovarajući način, u skladu s tržišnom praksom i procenom rizika, ograničava broj pokušaja prijave na sistem za pružanje elektronskih usluga, odnosno pokušaja autentifikacije, da odredi najduže vreme bez aktivnosti korisnika nakon prijave na taj sistem, kao i da utvrdi rokove važenja parametara autentifikacije.

Pri korišćenju jednokratnih lozinki radi autentifikacije (npr. One Time Password - OTP), pružalac elektronskih usluga dužan je da obezbedi da vremensko važenje te lozinke bude ograničeno na period koji je potreban za obavljanje autentifikacije.

Pružalac elektronskih usluga dužan je da utvrdi najveći mogući broj neuspešnih pokušaja prijave na sistem za pružanje elektronskih usluga nakon kojih će taj sistem biti trajno ili privremeno blokiran, kao i da uspostavi procedure za bezbedno ponovno aktiviranje ovog sistema.

Pružalac elektronskih usluga dužan je da utvrdi najduže moguće vreme bez aktivnosti korisnika na sistemu za pružanje elektronskih usluga po prijavljivanju u taj sistem, nakon kojeg dolazi do automatskog odjavljivanja korisnika iz ovog sistema (tzv. završetak sesije).

Pružalac elektronskih usluga dužan je da obezbedi odgovarajuću potvrdu svog identiteta na distributivnom kanalu za pružanje elektronskih usluga kako bi korisnici mogli da provere pružaoca elektronske usluge.

Pružalac elektronskih usluga je dužan da obezbedi postojanje operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa pružanjem elektronskih usluga.

X PRELAZNE I ZAVRŠNE ODREDBE

52. Društvo za osiguranje, davalac finansijskog lizinga i društvo za upravljanje dobrovoljnim penzijskim fondom koji do 30. juna 2014. godine povere trećem licu određene aktivnosti iz tačke 40. ove odluke, dužni su da, najkasnije 31. jula 2014. godine, o tome obaveste Narodnu banku Srbije.

Uz obaveštenje iz stava 1. ove tačke, društvo za osiguranje, davalac finansijskog lizinga i društvo za upravljanje dobrovoljnim penzijskim fondom dužni su da Narodnoj banci Srbije dostave dokumentaciju i podatke utvrđene u tački 45. stav 2. ove odluke.

Banka koja do 31. decembra 2013. godine poveri trećem licu određene aktivnosti iz tačke 40. ove odluke dužna je da Narodnoj banci Srbije, najkasnije 31. januara 2014. godine, dostavi izlaznu strategiju iz tačke 42. stav 1. odredba pod 3) te odluke.

Ako treće lice iz stava 3. ove tačke ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije - banka je dužna da Narodnoj banci Srbije, uz izlaznu strategiju iz stava 3. ove tačke, dostavi i dokaz iz tačke 45. stav 2. odredba pod 8) ove odluke.

53. Tač. 17. i 18. i tač. od 68. do 72. Odluke o upravljanju rizicima banke ("Službeni glasnik RS", br. 45/11, 94/11, 119/12 i 123/12) prestaju da važe 1. januara 2014. godine.

Tač. 6. i 8. Odluke o minimalnim uslovima organizacione i tehničke osposobljenosti društva za upravljanje dobrovoljnim penzijskim fondom ("Službeni glasnik RS", broj 23/06) prestaju da važe 1. jula 2014. godine.

54. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije" i primenjivaće se od 1. januara 2014. godine na banke, a od 1. jula 2014. godine na društva za osiguranje, davaoce finansijskog lizinga i društva za upravljanje dobrovoljnim penzijskim fondovima.

 

Samostalna odredba Odluke o izmenama i dopuni
Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije

("Sl. glasnik RS", br. 113/2013)

6. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".

 

Samostalne odredbe Odluke o izmenama i dopunama
Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije

("Sl. glasnik RS", br. 2/2017)

9. Banke su dužne da svoje poslovanje usklade sa odredbama ove odluke do dana početka njene primene.

Javni poštanski operator je dužan da svoje poslovanje uskladi sa odredbama Odluke i ove odluke do 1. jula 2017. godine, osim tačke 2. stav 2. i tačke 8. ove odluke sa kojima je dužan da to poslovanje uskladi do dana početka njene primene.

10. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se od 1. aprila 2017. godine.

 

Samostalne odredbe Odluke o izmenama i dopunama
Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije

("Sl. glasnik RS", br. 88/2019)

14. Finansijske institucije su dužne da svoje poslovanje usklade sa odredbama ove odluke do dana početka njene primene.

15. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije, a primenjuje se od 12. marta 2020. godine.

 

Samostalna odredba Odluke o izmenama i dopunama
Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije

("Sl. glasnik RS", br. 37/2021)

2. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".

Napomene

* Odredbe tač. 40. do 48a. Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije ("Sl. glasnik RS", br. 23/2013, 113/2013, 2/2017, 88/2019 i 37/2021) prestaju da važe 1. marta 2024. godine, danom početka primene Odluke o uslovima i načinu poveravanja aktivnosti u vezi sa informacionim sistemom finansijske institucije trećim licima ("Sl. glasnik RS", br. 100/2023).