Uputstvo za izvještavanje o upravljanju informacionim sistemima u bankama
Uputstvo za izvještavanje o upravljanju informacionim sistemima u bankama
Službeni glasnik Republike Srpske – broj 20, 10.3.2021.
Agencija za bankarstvo Republike Srpske
UPUTSTVO
ZA IZVJEŠTAVANJE O UPRAVLJANJU INFORMACIONIM SISTEMIMA U BANKAMA
Uvod
Uputstvo za izvještavanje o upravljanju informacionim sistemima u bankama donosi se na osnovu člana 5. stav 1. tačka b, člana 22. stav 1. tačka đ. i člana 37. Zakona o Agenciji za bankarstvo Republike Srpske (“Službeni glasnik Republike Srpske”, br. 59/13 i 4/17), člana 6. stav 1. tačka b. i člana 22. stav 4. tačka l. Statuta Agencije za bankarstvo Republike Srpske (“Službeni glasnik Republike Srpske”, broj 63/17) te člana 32. stav 1. Odluke o upravljanju informacionim sistemima u bankama (“Službeni glasnik Republike Srpske”, broj 116/17).
I. OPĆE ODREDBE
Predmet Član 1.
Ovim uputstvom propisuju se izvještavanje, sadržaj i način popunjavanja, kao i dinamika dostavljanja izvještajnih obrazaca koje je banka dužna da dostavlja Agenciji za bankarstvo Republike Srpske (u daljem tekstu: Agencija).
Struktura i pravila Član 2.
(1) U skladu sa članom 32. stav 1. Odluke o upravljanju informacionim sistemima u bankama, banka je dužna da Agenciji dostavlja sljedeće izvještaje:
1) Izvještaj Opći podaci na sljedećim obrascima:
1. OP.1 - Opći podaci o organizacionoj strukturi,
2. OP.2 - Opći podaci o odgovornim osobama,
3. OP.3 - Opći podaci o fluktuaciji kadrova,
4. OP.4 - Opći podaci o vanjskim IT saradnicima,
5. OP.5 - Opći podaci o internoj reviziji informacionog sistema;
2) Izvještaj Opći podaci o informacionom sistemu na sljedećim obrascima:
1. IS.1 - Infrastruktura sistema, 2. IS.2 - Serveri,
3. IS.3 - Mrežni uređaji,
4. IS.4 - Radne stanice,
5. IS.5 - Bankomati,
6. IS.6 - Sistemi bez podrške proizvođača,
7. IS.7 - Udaljeni pristup informacionom sistemu;
3) Izvještaj Strategija i operativni planovi informacionog sistema na obrascu SOP - Strateški i operativni ciljevi;
4) Izvještaj Upravljanje rizicima informacionog sistema na obrascu URIS - Plan mjera za postupanje sa procijenje- nim rizicima informacionog sistema;
5) Izvještaj Sigurnost informacionog sistema na obrascu PEN - Rezultati penetracionih testiranja/testova ranjivosti;
6) Izvještaj Interna revizija informacionog sistema na sljedećim obrascima:
1. ITR.1 - Pregled planiranih i obavljenih revizija infor- macionog sistema,
2. ITR.2 - Pregled preporuka/naloga;
7) Izvještaj Budžet za informacioni sistem i tehnologije na sljedećim obrascima:
1. BIS.1 - IKT budžet,
2. BIS.2 - Fintech budžet;
8) Izvještaj Značajne promjene u informacionom sistemu banke na obrascu PIS - Značajne promjene u informacionom sistemu;
9) Izvještaj Pregled incidenata u informacionom sistemu banke na sljedećim obrascima:
1. PI.1 - Kategorizacija incidenata,
2. PI.2 - Pregled incidenata po poslovnim procesima,
3. PI.3 - Pregled operativnih incidenata,
4. PI.4 - Sajber incidenti,
5. PI.5 - Elektronsko bankarstvo i kartično poslovanje - moguće zloupotrebe;
10) Izvještaj Elektronsko bankarstvo na sljedećim obra- scima:
1. EB.1 - Obim elektronskog bankarstva,
2. EB.2 - Elementi autentifikacije i autorizacije u elek- tronskom bankarstvu;
11) Izvještaj Kartično poslovanje na sljedećim obrasci- ma:
1. KP.1 - Obim kartičnog poslovanja,
2. KP.2 - Broj POS i ATM uređaja;
12) Izvještaj Upotreba novih tehnologija (FinTech) na obrascu FT - Obim korišćenja novih tehnologija (Fin- Tech);
13) Izvještaj Plan oporavka informacionog sistema na sljedećim obrascima:
1. POIS.1 - Osnovni podaci o testiranju plana oporavka informacionog sistema,
2. POIS.2 - Scenariji za testiranje,
3. POIS.3 - Pregled testiranih poslovnih procesa, 4. POIS.4 - Ostali podaci.
(2) Forma izvještajnih obrazaca iz stava 1. ovog člana utvrđena je i objavljena na zvaničnoj internet stranici Agen- cije.
II. STRUKTURA IZVJEŠTAJNIH OBRAZACA
Izvještaj Opći podaci Član 3.
(1) Izvještaj Opći podaci sadrži osnovne podatke o broju zaposlenih u banci, organizacionoj jedinici za upravljanje in- formacionim sistemom i organizacionoj jedinici za sigurnost informacionog sistema, fluktuaciji kadrova u ovim organi- zacionim jedinicama, te vanjskim IT saradnicima i internoj reviziji informacionog sistema.
(2) Izvještaj Opći podaci dostavlja se na pet izvještajnih obrazaca:
1) OP.1 - Opći podaci o organizacionoj strukturi,
2) OP.2 - Opći podaci o odgovornim osobama,
3) OP.3 - Opći podaci o fluktuaciji kadrova,
4) OP.4 - Opći podaci o vanjskim IT saradnicima,
5) OP.5 - Opći podaci o internoj reviziji informacionog sistema.
(3) Izvještajni obrazac OP.1 - Opći podaci o organizacio- noj strukturi sadrži podatke o broju zaposlenih u banci, orga- nizacionoj jedinici za upravljanje informacionim sistemom i organizacionoj jedinici za sigurnost informacionog sistema, te nazivima ovih organizacionih jedinica. Broj zaposlenih u jedinici za sigurnost informacionog sistema odnosi se isklju- čivo na zaposlene koji se bave sigurnošću informacionog si- stema, ne odnosi se uopćeno na sigurnost banke, kao što je fizička sigurnost i sl.
(4) Izvještajni obrazac OP.2 - Opći podaci o odgovor- nim osobama sadrži podatke o licima odgovornim za upra- vljanje i sigurnost informacionog sistema (član uprave na- dležan za upravljanje informacionim sistemom, član uprave nadležan za sigurnost informacionog sistema, rukovodilac
organizacione jedinice za upravljanje informacionim siste- mom i lice odgovorno za sigurnost informacionog sistema). Potrebno je popuniti sljedeće podatke: ime i prezime, naziv radnog mjesta, stručna sprema i datum početka obavljanja funkcije.
(5) Izvještajni obrazac OP.3 - Opći podaci o fluktuaciji kadrova sadrži podatke o zaposlenima koji su u izvještaj- nom periodu započeli, prekinuli radni odnos ili promijenili radno mjesto unutar organizacionih jedinica za informacioni sistem ili sigurnost informacionog sistema. Potrebno je po- puniti sljedeće podatke: ime i prezime, naziv radnog mjesta, zanimanje, vrsta promjene i datum promjene. U koloni Vrsta promjene izabrati jednu od ponuđenih opcija: odlazak, do- lazak ili promjena unutar banke. Ukoliko se radi o promjeni unutar banke, kolona Naziv radnog mjesta popunjava se na sljedeći način: naziv novog radnog mjesta (naziv starog rad- nog mjesta).
(6) Izvještajni obrazac OP.4 - Opći podaci o vanjskim IT saradnicima sadrži podatke o svim saradnicima (pravna i fizička lica) koji pružaju usluge iz oblasti informacionih teh- nologija. Potrebno je popuniti sljedeće podatke: naziv prav- nog ili fizičkog lica, opis poslova, datum početka obavljanja usluge, datum potpisivanja ugovora i period trajanja ugovora (iskazan u mjesecima).
(7) Izvještajni obrazac OP.5 - Opći podaci o internoj reviziji informacionog sistema sadrži podatke o licima koja obavljaju internu reviziju IS. Ukoliko je banka ek- sternalizirala internu reviziju informacionog sistema, potrebno je navesti naziv pružaoca usluga. Za lica koja obavljaju reviziju informacionog sistema potrebno je na- vesti ime i prezime, zanimanje, sertifikat relevantan za obavljanje revizije, te period angažiranja (datum od - da- tum do).
Izvještaj Opći podaci o informacionom sistemu banke Član 4.
(1) Izvještaj Opći podaci o informacionom sistemu ban- ke sadrži najznačajnije podatke o informacionom sistemu koji se odnose na: infrastrukturu, servere, mrežne uređaje, radne stanice i bankomate, te pravna i fizička lica kojima je odobren pristup informacionom sistemu banke i podatke o sistemima kojima je istekla podrška proizvođača ili ističe u narednoj godini.
(2) Izvještaj Opći podaci o informacionom sistemu ban- ke dostavlja se na sedam izvještajnih obrazaca:
1) IS.1 - Infrastruktura sistema, 2) IS.2 - Serveri,
3) IS.3 - Mrežni uređaji,
4) IS.4 - Radne stanice,
5) IS.5 - Bankomati,
6) IS.6 - Sistemi bez podrške proizvođača, 7) IS.7 - Udaljeni pristup.
(3) Izvještajni obrazac IS.1 - Infrastruktura sistema sadr- ži podatke o broju računarskih centara koji se nalaze u banci (vlasništvo banke) i izvan banke (ukoliko se radi o ekster- nalizaciji te su u vlasništvu pružaoca usluga), uključujući rezervni računarski centar, podatke o broju kritičnih/ključnih IT sistema (utvrđeni u okviru analize uticaja na poslovanje) i aplikacija koje podržavaju kritične/ključne poslovne proce- se. Potrebno je odvojeno navesti broj aplikacija i pomoćnih alata razvijenih u MS Excelu, MS Accessu i sličnim alatima koje koriste krajnji korisnici (npr. radne tabele/proračuni u MS Excelu...) i pritom podržavaju kritične/ključne poslovne procese, uključujući i izvještavanje.
(4) Izvještajni obrazac IS.2 - Serveri sadrži podatke o svim serverima koji podržavaju kritične/ključne poslovne procese, uključujući i servere koji se nalaze kod pružaoca usluga i na rezervnoj lokaciji. Za svaki server navesti: naziv (oznaka servera u informacionom sistemu banke), namjenu
(npr. aplikativni server ključne bankarske aplikacije, bekap server...), vrstu (fizički/virtualni), naziv i verziju operativnog sistema, lokaciju na kojoj se nalazi (primarni ili rezervni ra- čunarski centar/grad/oznaka država).
(5) Izvještajni obrazac IS.3 - Mrežni uređaji sadrži po- datke o svim mrežnim uređajima koji podržavaju kritične/ ključne poslovne procese, uključujući i uređaje koji se nalaze kod pružaoca usluga i na rezervnoj lokaciji. Ure- đaje grupisati po vrsti, modelu, proizvođaču, operativnom sistemu/firmveru koji koristi i lokaciji (banka ili pružalac usluge), te unijeti broj uređaja u kolonu Količina. U ko- loni Lokacija unosi se naziv pružaoca usluga, ukoliko se uređaj nalazi kod pružaoca usluga, u suprotnom se podra- zumijeva da se uređaj nalazi unutar banke i ova kolona se ne popunjava.
(6) Izvještajni obrazac IS.4 - Radne stanice sadrži po- datke o ukupnom broju radnih stanica u upotrebi, grupisane prema operativnom sistemu koji se na njima koristi.
(7) Izvještajni obrazac IS.5 - Bankomati sadrži podat- ke o broju bankomata koji su grupisani prema proizvo- đaču, operativnom sistemu i softveru koji je se koristi za rad bankomata, te činjenici da li je bankomat u vlasništvu banke ili pružaoca usluga, da li je eksternalizirana usluga održavanja i/ili nadzora bankomata. Ukoliko je neka od navedenih usluga eksternalizirana, navesti naziv pružaoca usluga.
(8) Izvještajni obrazac IS.6 - Sistemi bez podrške pro- izvođača sadrži podatke o svim sistemima (npr. operativni sistemi, sistemi za upravljanje bazama podataka, mrežni operativni sistem...) kojima je istekla podrška proizvođača ili ističe u narednoj godini. Za svaki sistem navesti datum isteka podrške, broj i vrstu uređaja (server, mrežni uređaj, radna stanica, bankomat...) na kojima se koristi, te planirani datum zamjene.
(9) Izvještajni obrazac IS.7 - Udaljeni pristup sadrži po- datke o svim vanjskim kompanijama i saradnicima kojima je odobren udaljeni pristup informacionom sistemu banke, vrsti pristupa (site to site ili client to site) i tipu primijenjene enkripcije. Za vanjske kompanije potrebno je navesti broj za- poslenih koji imaju pristup informacionom sistemu banke, te da li je ovaj pristup personaliziran.
Izvještaj Strategija informacionog sistema i operativni planovi
Član 5.
(1) Izvještaj Strategija informacionog sistema i opera- tivni planovi sadrži podatke o strateškim ciljevima banke i povezanim strateškim ciljevima informacionog sistema, te aktivnostima predviđenim godišnjim operativnim planovi- ma.
(2) Dostavlja se na izvještajnom obrascu SOP - Stra- teški i operativni ciljevi. Izvještajni obrazac SOP sadrži podatke o svim aktivnostima u izvještajnoj i narednoj po- slovnoj godini, koje podržavaju realizaciju strateških ci- ljeva banke i informacionog sistema. Za svaku aktivnost potrebno je unijeti planirane vremenske rokove i realizira- ne, koji predstavljaju stvarni početak, odnosno završetak aktivnosti, te status aktivnosti na dan dostavljanja izvje- štajnog obrasca.
Izvještaj Upravljanje rizicima informacionog sistema Član 6.
(1) Izvještaj Upravljanje rizicima informacionog sistema sadrži rezultate godišnje procjene rizika informacionog si- stema za izvještajnu godinu u skladu sa članom 10. Odluke o upravljanju informacionim sistemima u bankama. Dostavlja se na izvještajnom obrascu URIS - Plan mjera za postupanje sa rizicima informacionog sistema.
(2) Izvještajni obrazac URIS - Plan mjera za ublažavanje rizika informacionog sistema sadrži podatke o svim identifi- ciranim rizicima informacionog sistema. Za svaki rizik na- vodi se kratak opis rizika, nivo rizika, način tretiranja, prije- dlog mjera, te inicijalni rok za primjenu mjera. Ukoliko se produži rok za implementaciju mjera, u kolonu Produženje roka unijeti datum novog roka.
(3) U kolonu Nivo rizika unosi se ocjena 1 do 4, pri čemu ocjena 1 predstavlja najniži nivo rizika, a ocjena 4 najviši nivo rizika. Ukoliko se ocjene nivoa rizika prema internoj metodologiji banke razlikuju od prethodno nave- denih, potrebno je da banka izvrši adekvatno mapiranje u navedene ocjene. Ukoliko je banka u procesu procjene rizika utvrdila da rizik nije prihvatljiv, za taj rizik u kolo- nu Prijedlog mjera unosi kratak opis odabranih mjera. U kolonu Status unosi se status realizacije odabranih mjera na posljednji dan izvještajnog perioda (1-otvoren, 2-u toku, 3-zatvoren). Ako su mjere realizirane, popuniti kolonu Da- tum implementacije mjera.
Izvještaj Sigurnost informacionog sistema Član 7.
(1) Izvještaj Sigurnost informacionog sistema sadrži podatke o rezultatima penetracionih testiranja/provjera ranjivosti. Dostavlja se na izvještajnom obrascu PEN - Rezultati provedenih penetracionih testiranja/testova ra- njivosti.
(2) Izvještajni obrazac PEN - Rezultati provedenih pene- tracionih testiranja/testova ranjivosti sadrži podatke o svim identificiranim ranjivostima u izvještajnom periodu, kao i ra- njivostima koje su utvrđene prethodnim testiranjima, a nisu još otklonjene. Za svaku identificiranu ranjivost unose se po- daci o testiranju: jedinstvena oznaka i naziv, vrsta testiranja (interni test ukoliko je proveden od strane banke ili eksterni test od strane angažirane firme), naziv lica ili firme koja je provela testiranje, period testiranja, zatim kratak opis, nivo rizika (nizak, srednji, visok i kritičan), način tretiranja rizika, opis mjera za otklanjanje, inicijalni rok za otklanjanje i status na posljednji dan izvještajnog kvartala. Ukoliko je produžen rok za implementaciju mjera, unijeti novi rok (kolona Produ- ženje roka). Za ranjivosti koje su otklonjene unijeti Datum implementacije mjera.
Izvještaj Interna revizija informacionog sistema Član 8.
(1) Izvještaj Interna revizija informacionog sistema sa- drži podatke o planiranim i obavljenim internim revizijama informacionog sistema u izvještajnom periodu, kao i prepo- rukama/nalazima izdatim u toku obavljenih revizija.
(2) Izvještaj Interna revizija informacionog sistema do- stavlja se na sljedećim obrascima:
1) ITR.1 - Pregled planiranih i obavljenih revizija infor- macionog sistema,
2) ITR.2 - Pregled preporuka/naloga.
(3) Izvještajni obrazac ITR.1 - Pregled planiranih i oba- vljenih revizija informacionog sistema sadrži podatke o planiranim i obavljenim internim revizijama informacionog sistema u izvještajnom periodu. Za svaku reviziju unosi se jedinstvena oznaka, koja se dosljedno koristi na izvještaj- nom obrascu ITR. 2, i period trajanja revizije. Ukoliko re- vizija nije završena u izvještajnom periodu, kolona Kraj se ne popunjava. Potrebno je naznačiti koje oblasti informa- cionog sistema su predmet revizije u izvještajnom periodu. Za sve oblasti informacionog sistema obavezno se navode revizijski ciklus u skladu sa metodologijom banke (da li se revizija obavlja svake godine, jednom u dvije ili jednom u tri godine) i poslovna godina u kojoj je ta oblast posljednji put revidirana, iako nisu predmet revizije u izvještajnom periodu.
(4) Izvještajni obrazac ITR.2 - Pregled preporuka/naloga sadrži podatke o svim preporukama/nalozima koji su izdati u izvještajnom periodu ili su izdati u prethodnim revizijama (interna IT revizija, vanjska revizija informacionog sistema, revizija od strane regulatora), a još nisu izvršeni. Za sva-
ku preporuku/nalog unose se podaci o reviziji (jedinstvena oznaka i vrsta revizije), datum izdavanja, kratak opis, nivo rizika, prijedlog mjera za otklanjanje utvrđenih nezakonito- sti i nepravilnosti te nedostataka i slabosti utvrđenih tokom obavljanja revizije i rok za implementaciju mjera. Za prepo- ruke/naloge koji su izdati tokom prethodnih revizija unosi se status izvršenja mjera i informacije o statusu izvršenja mjere (kolona Praćenje izvršenja mjera), te ukoliko je produžen rok za implementaciju mjera, unosi se novi rok (kolona Produže- nje roka). Za mjere koje su implementirane unosi se datum implementacije mjera. U kolonu Nivo rizika unosi se ocjena 1 do 4, pri čemu ocjena 1 predstavlja najniži nivo rizika, a ocjena 4 najviši nivo rizika. Ukoliko se ocjene nivoa rizika prema internoj metodologiji banke razlikuju od prethodno navedenih, potrebno je da banka izvrši adekvatno mapiranje u navedene ocjene.
Izvještaj Budžet za informacioni sistem i tehnologije Član 9.
(1) Izvještaj Budžet za informacioni sistem i tehnologije sadrži podatke o planiranim i realiziranim budžetima za in- formaciono-komunikacione tehnologije i Fintech.
(2) Izvještaj Budžet za informacioni sistem i tehnologije dostavlja se na sljedećim obrascima:
1) BIS.1 - IKT budžet,
2) BIS.2 - Fintech budžet.
(3) Izvještajni obrazac BIS.1 - IKT budžet sadrži po- datke o planiranim i realiziranim troškovima/investicijama za izvještajnu godinu, kao i za narednu godinu. Stavke su grupisane u pet kategorija (licence, softver, hardver, komu- nikacione linije, ostalo). Za svaku stavku potrebno je navesti kraći opis, vrstu (trošak/investicija), naziv i JIB pružaoca usluge/dobavljača (ukoliko je primjenjivo). Kolone Interno popunjavaju se ukoliko se radi o internim plaćanjima unutar banke.
(4) Izvještajni obrazac BIS.2 - FinTech budžet sadrži po- datke o budžetu za sva Fintech rješenja koja banka koristi ili razvija i planira koristiti u narednoj poslovnoj godini. U ta- belu se unosi naziv Fintech rješenja, kraći opis, vrsta napred- ne tehnologije na kojoj se zasniva, poslovni proces u kojem se koristi, status (implementirano, testna faza, razvojna faza, u planu) i datum implementacije. Ukoliko banka ne razvija samostalno Fintech rješenje, potrebno je popuniti kolone Na- ziv pružaoca usluge/dobavljača i Vrsta odnosa sa pružaocem usluga.
Izvještaj Značajne promjene u informacionom sistemu banke
Član 10.
(1) Izvještaj Značajne promjene u informacionom si- stemu banke sadrži podatke o svim značajnim izmjenama u informacionom sistemu (npr. zamjena ključnih mrežnih ure- đaja, izmjene na ključnim poslovnim aplikacijama, migra- cija primarnog ili rezervnog računarskog centra...) u izvje- štajnom periodu. Dostavlja se na izvještajnom obrascu PIS - Značajne promjenu u informacionom sistemu.
(2) Izvještajni obrazac PIS - Značajne promjene u infor- macionom sistemu sadrži podatke o dijelu informacionog sistema na koji se odnosi promjena (npr. glavna bankarska aplikacija, sistem za podršku kartičnom poslovanju, fajervol, računarski centar, rezervna lokacija...), kratak opis izmjene, razlog za izmjenu (zakon, regulator, nalog revizora, unapre- đenje, incident, greška u radu...), način provođenja promjene (interno/eksterno) i status (završena, u toku, otkazana) na posljednji dan izvještajnog perioda.
Izvještaj Pregled incidenata u informacionom sistemu banke
Član 11.
(1) Izvještaj Pregled incidenata u informacionom siste- mu banke sadrži podatke o kategorizaciji incidenata prema
internoj metodologiji banke, te broju incidenta i događaja koji su se desili u radu informacionog sistema u izvještajnom periodu, a nisu klasificirani kao incident.
(2) Izvještaj Pregled incidenata u informacionom siste- mu dostavlja se na sljedećim obrascima:
1) PI.1 - Kategorizacija incidenata,
2) PI.2 - Pregled incidenata po poslovnim procesima,
3) PI.3 - Pregled operativnih incidenata,
4) PI.4 - Sajber incidenti,
5) PI.5 - Elektronsko bankarstvo i kartično poslovanje - moguće zloupotrebe.
(3) Izvještajni obrazac PI.1 - Kategorizacija incidenata sadrži podatke o definiranim nivoima incidenata. Nivo I. označava incidente najvišeg rizika, a nivo IV. najnižeg. Uko- liko se kategorizacija incidenata prema internoj metodologiji banke razlikuje od prethodno navedenog, potrebno je da ban- ka izvrši adekvatno mapiranje u navedene nivoe. Za svaku kategoriju potrebno je navesti očekivano vrijeme rješavanja incidenta.
(4) Izvještajni obrazac PI.2 - Pregled incidenata po poslovnim procesima sadrži podatke o broju incidenata i događaja koji nisu klasificirani kao incident i njihovog uticaja na IT segment/poslovni proces koji je naveden u tabeli, pritom treba naznačiti da li se radi o kritičnom/ ključnom segmentu i da li je IT podrška ili sam segment eksternaliziran. Ukoliko se incident/događaj desio u IT segmentu koji nije naveden u tabeli, podaci se unose u red “druge poslovne aplikacije”, uz navođenje poslovnog procesa na koji je incident uticao. U koloni Uticaj na re- putacioni rizik naznačiti DA ukoliko je bar jedan incident u okviru tog IT segmenta uticao na reputacioni rizik, te navesti broj incidenata.
(5) Izvještajni obrazac PI.3 - Pregled operativnih inci- denata sadrži podatke o broju operativnih incidenata i do- gađaja koji nisu klasificirani kao incident prema definiranim kategorijama (greške u procesima, sistemske greške, ljudske greške, eksterni događaji, kritični/ključni poslovni procesi). U obrazac je potrebno uključiti i broj incidenata koji su zabi- lježeni kod pružaoca usluga.
(6) Izvještajni obrazac PI.4 - Pregled sajber incidenata sadrži podatke o broju incidenata iz domena sigurnosti infor- macionog sistema, prema definiranim kategorijama (malici- ozni kod, neovlašćeno prikupljanje podataka, pokušaj upada u IKT sistem, upadi, dostupnost, prevara, ostalo) i vrstama napada/prijetnji. U obrazac je potrebno unijeti i broj detek- tiranih pokušaja za određenu vrstu napada/prijetnji, s tim da ako se radi o velikom broju detektiranih pokušaja, banka može unijeti okviran broj.
(7) Za potrebe popunjavanja izvještajnih obrazaca PI.2, PI.3 i PI.4 koristiti sljedeće napomene.
Broj i iznos obuhvaćenih transakcija se računa na osnovu svih transakcija na koje incident direktno ili indirektno utiče ili će vjerovatno uticati, kao i svih transakcija koje se neće moći inicirati ili obraditi, transakcija sa promijenjenim sadr- žajem poruke o plaćanju i onih koje su inicirane sa namje- rom prevare. Kod izračunavanja broja i iznosa obuhvaćenih transakcija potrebno je posmatrati dnevne prosjeke transak- cija izvršenih istim uslugama koje su pogođene incidentom, pri čemu prethodna godina služi kao referentno razdoblje za izračunavanje.
Obuhvaćeni klijenti su svi klijenti koji imaju ugovor sa bankom kojim im se odobrava korišćenje pogođene usluge i koji su pretrpjeli ili će vjerovatno pretrpjeti posljedice inci- denta. Banka treba na osnovu prethodnih aktivnosti procije- niti broj klijenata koji su se možda koristili uslugom tokom trajanja incidenta.
Kod izračunavanja vremena prekida rada procesa po- smatra se prekid ili značajno smanjena dostupnost bilo koje aktivnosti ili IKT sistema u okviru pogođenog po-
slovnog procesa, koji će onemogućiti pristup usluzi, ini- ciranje i/ili izvršavanje usluge. Pritom se uzima u obzir vremensko razdoblje u kojem je usluga inače dostupna klijentima, ako je to relevantno i primjenjivo za pogođenu uslugu (npr. elektronsko bankarstvo 24 sata, šaltersko po- slovanje u centrali 10 sati, šaltersko poslovanje u agenciji osam sati...). Ako banka ne može da utvrdi kada je počelo razdoblje prekida usluge, vrijeme prekida se računa od trenutka u kojem je prekid rada otkriven. Ukupno vrije- me prekida rada određenog poslovnog procesa predstavlja ukupno vrijeme prekida obavljanja ili smanjene dostupno- sti određenog poslovnog procesa/IT segmenta uzrokova- nih zabilježenim incidentima.
Ukupan iznos gubitka prouzrokovan incidentima za određeni poslovni proces predstavlja zbir svih finansijskih gubitaka zbog prekida rada IT sistema ili značajno smanjene dostupnosti IT sistema koji podržavaju taj poslovni proces.
(8) Izvještajni obrazac PI.5 - Elektronsko bankarstvo i kartično poslovanje - moguće zloupotrebe sadrži podatke o broju incidenata koji su se dogodili u izvještajnom periodu, a odnose se na moguće zloupotrebe sistema elektronskog ban- karstva i kartičnog poslovanja usljed slabosti informacionog sistema, npr. posljedica hakerskih napada i slično. Potrebno je unijeti podatke o neuobičajenim transakcijama u ovisnosti o statusu:
- status otvoren za neuobičajene transakcije koje još nisu izvršene, a sumnja se na zloupotrebu sistema,
- status izvršena za transakcije koje su izvršene i potvrđe- ne da se radi o zloupotrebi sistema,
- status odbijen za neuobičajene transakcije koje su pra- vovremeno blokirane, te nisu izvršene,
- status neriješeno za neuobičajene transakcije za koje se sumnja da se radi o zloupotrebi sistema i analiza je još u toku,
- status neusaglašene za neuobičajene transakcije koje su izvršene, ali ne postoji usaglašen stav banke i korisnika da se radi o zloupotrebi sistema.
Izvještaj Elektronsko bankarstvo Član 12.
(1) Izvještaj Elektronsko bankarstvo sadrži podatke o obimu elektronskog bankarstva (internet i mobilno bankar- stvo), kao i načinima autentifikacije klijenata.
(2) Izvještaj Elektronsko bankarstvo dostavlja se na slje- dećim obrascima:
1) EB.1 - Obim elektronskog bankarstva i
2) EB.2 - Elementi autentifikacije i autorizacije u elek- tronskom bankarstvu.
(3) Izvještajni obrazac EB.1 - Obim elektronskog ban- karstva sadrži podatke o obimu (broj klijenata, broj i iznos transakcija) elektronskog bankarstva za pravna i fizička lica u odnosu na ukupan platni promet banke u izvještajnom pe- riodu. U kolonu Broj klijenata unosi se broj klijenata banke, te broj klijenata internet i mobilnog bankarstva, za pravna i fizička lica na posljednji dan izvještajnog perioda. Broj i iznos izvršenih transakcija unose se za unutrašnji platni pro- met (UPP) i inoplatni promet (IPP), gdje se iznos unosi u hiljadama (000) KM.
(4) Izvještajni obrazac EB.2 - Elementi autentifikacije i autorizacije u elektronskom bankarstvu sadrži podatke o svim mogućim načinima autentifikacije i autorizacije klije- nata u sistemu elektronskog bankarstva, na posljednji dan izvještajnog perioda. Za sve sisteme elektronskog bankar- stva koji su dostupni klijentima banke potrebno je navesti naziv sistema, vrstu elektronskog bankarstva (1-internet ban- karstvo / 2-mobilno bankarstvo), te vrstu klijenata kojima je sistem namijenjen (1-fizička lica / 2-pravna lica). Ukoliko se radi o eksternalizaciji, potrebno je popuniti kolonu Naziv pružaoca usluga. Za svaki sistem potrebno je navesti broj klijenata u ovisnosti o načinu autentifikacije (kombinacija
elementa u kolonama Element autentifikacije 1 i Element autentifikacije 2). U tabeli su navedeni najčešće korišćeni elementi, te ukoliko sistemi koje je banka implementirala dozvoljavaju i neke druge elemente autentifikacije, potrebno ih je unijeti. Također, za svaki sistem, ukoliko je primjenjivo, potrebno je izabrati element autorizacije (kolona Elementi autorizacije), te broj klijenata koji koriste ovaj element au- torizacije.
Izvještaj Kartično poslovanje Član 13.
(1) Izvještaj Kartično poslovanje sadrži podatke o obimu kartičnog poslovanja i broju aktivnih POS i ATM uređaja.
(2) Izvještaj Kartično poslovanje dostavlja se na sljede- ćim obrascima:
1) KP.1 - Obim kartičnog poslovanja i
2) KP.2 - Broj POS i ATM uređaja.
(3) Izvještajni obrazac KP.1 - Obim kartičnog poslovanja sadrži podatke o obimu kartičnog poslovanja za pravna i fizič- ka lica, broju kartica po vrstama na posljednji dan izvještajnog perioda, te iznosu izvršenih transakcija u izvještajnom periodu u ovisnosti o načinu obavljanja transakcije. U kolonu Broj kar- tica unosi se podatak o ukupnom broju kartica prema brendu/ vrsti kartice na posljednji dan izvještajnog perioda, kao i iznos izvršenih transakcija u kolonu Iznos transakcija u odnosu na vrstu kartice i način obavljanja transakcije u izvještajnom pe- riodu. Iznos transakcija unosi se u hiljadama (000) KM. U slu- čaju da banka izdaje i druge vrste kartica, broj kartica i iznos izvršenih transakcija unosi pod Ostalo.
(4) Izvještajni obrazac KP.2 - Broj POS i ATM uređaja sadrži podatke o ukupnom broju POS i ATM uređaja na po- sljednji dan izvještajnog perioda koji se nalaze u objektima u banci (kolona Broj uređaja u banci), kao i izvan banke (kolo- na Broj uređaja izvan banke).
Izvještaj Upotreba novih tehnologija Član 14.
(1) Izvještaj Upotreba novih tehnologija (FinTech) sa- drži podatke o obimu korišćenja novih tehnologija (Fin- Tech) u izvještajnom periodu. Izvještaj se dostavlja na izvještajnom obrascu FT - Obim korišćenja novih tehno- logija (FinTech).
(2) Izvještajni obrazac FT - Obim korišćenja novih teh- nologija (FinTech) sadrži podatke o svim FinTech rješenjima koje banka koristi. Za svako FinTech rješenje unosi se naziv, vrsta napredne tehnologije na kojoj se zasniva, kratak opis, poslovni procesi u kojima se koristi, te ukoliko je primjenji- vo, broj i iznos transakcija ostvarenih korišćenjem navede- nog rješenja u izvještajnom periodu. Iznos transakcija unosi se u hiljadama (000) KM.
Izvještaj Plan oporavka informacionog sistema Član 15.
(1) Izvještaj Plan oporavka informacionog sistema sadrži podatke o testiranju plana oporavka informacionog sistema, scenarijima za testiranje, poslovnim procesima koji su obu- hvaćeni testiranjem i drugim podacima u izvještajnom pe- riodu.
(2) Izvještaj Plan oporavka informacionog sistema dosta- vlja se na sljedećim obrascima:
1) POIS.1 - Osnovni podaci o testiranju plana oporavka informacionog sistema,
2) POIS.2 - Scenario testiranja,
3) POIS.3 - Testirani poslovni procesi i
4) POIS.4 - Ostali podaci o oporavku informacionog si- stema.
(3) Izvještajni obrazac POIS.1 - Osnovni podaci o testi- ranju plana oporavka informacionog sistema sadrži podatke o testiranju plana oporavka informacionog sistema. U izvje- štajnom obrascu potrebno je izabrati ili upisati odgovore o
obavljenom testiranju, kao što su: datum testiranja, način testiranja (simulacija ili stvarni rad banke sa rezervnog raču- narskog centra, kao i broj obuhvaćenih poslovnih procesa), vrsta rezervne lokacije, uključenost centrale, organizacionih dijelova i poslovnih procesa u testiranje, uključenost zapo- slenih banke i pružaoca usluge u testiranje i dr.
(4) Izvještajni obrazac POIS.2 - Scenariji testiranja sa- drži podatke o scenariju koji je korišćen prilikom testiranja plana oporavka informacionog sistema. Za navedene scena- rije potrebno je unijeti odgovor da li su korišćeni ili ne tokom predmetnog testiranja. U slučaju da je banka koristila neki drugi scenario za testiranje, koji nije naveden u tabeli, isti je potrebno dodatno unijeti. U kolonu Datum posljednjeg testi- ranja scenarija unosi se datum posljednjeg testiranja za svaki od navedenih scenarija.
(5) Izvještajni obrazac POIS.3 - Testirani poslovni proce- si sadrži podatke o pojedinačnim poslovnim procesima i IKT sistemima koji su uključeni u testiranje plana oporavka infor- macionog sistema. U izvještajnom obrascu potrebno je dati odgovore koji je poslovni proces ili IKT sistem bio uključen u testiranje plana oporavka informacionog sistema, te da li je isti kritičan/ključan. Za svaki poslovni proces ili IKT sistem unosi se podatak o zahtijevanom RTO i RPO (koji je banka definirala u okviru analize uticaja na poslovanje - BIA), kao i ostvareni RTO tokom obavljenog testiranja. U slučaju da je banka tokom testiranja uključila poslovni procese ili IKT sisteme, koji nisu navedeni u tabeli, potrebno ih je dodatno unijeti.
(6) Izvještajni obrazac POIS.4 - Ostali podaci sadrži ostale podatke o testiranju plana oporavka informacionog sistema. U izvještajnom obrascu potrebno je izabrati ili upi- sati odgovore, kao što su: podaci o fizičkim lokacijama raču- narskih centara (primarni, rezervni, lokalni,...), uključenost resursa sa primarne lokacije tokom testiranja plana oporav- ka informacionog sistema, periodičnost oporavka rezervnih kopija podataka neophodnih za oporavak kritičnih/ključnih poslovnih procesa, te način prijenosa podataka između pri- marne i rezervne lokacije i dr.
III. ROKOVI ZA IZVJEŠTAVANJE
Dinamika dostavljanja izvještaja Član 16.
(1) Banka je dužna da godišnje, a najkasnije do 5. marta naredne godine za prethodnu godinu, dostavlja Agenciji slje- deće izvještajne obrasce:
1) OP.1 - Opći podaci o organizacionoj strukturi,
2) OP.2 - Opći podaci o odgovornim osobama,
3) OP.5 - Opći podaci i internoj reviziji informacionog sistema,
4) IS.1 - Infrastruktura sistema, 5) IS.2 - Serveri,
6) IS.3 - Mrežni uređaji,
7) IS.4 - Radne stanice,
8) IS.5 - Bankomati,
9) IS.6 - Sistemi bez podrške,
10) IS.7 - Udaljeni pristup informacionom sistemu,
11) SOP - Strateški i operativni ciljevi,
12) BIS.1 - IKT budžet,
13) BIS.2 - FinTech budžet,
14) EB.2 - Elementi autentifikacije i autorizacije u elek- tronskom bankarstvu,
15) KP.1 - Obim kartičnog poslovanja,
16) KP.2 - Broj POS i ATM uređaja,
17) FT - Obim korišćenja novih tehnologija (FinTech),
18) POIS.1 - Osnovni podaci o testiranju plana oporavka informacionog sistema, 19) POIS.2 - Scenariji testiranja,
20) POIS.3 - Testirani poslovni procesi, 21) POIS.4 - Ostali podaci o testiranju.
(2) Banka je dužna da kvartalno, a najkasnije 30 dana na- kon posljednjeg dana izvještajnog kvartala, dostavlja Agen- ciji sljedeće izvještajne obrasce:
1) OP.3 - Opći podaci o fluktuaciji kadrova,
2) OP.4 - Opći podaci o vanjskim IT saradnicima,
3) URIS - Plan mjera za postupanje sa rizicima informa- cionog sistema,
4) PEN - Rezultati penetracionih testiranja/testova ranji- vosti,
5) ITR.1 - Pregled planiranih i obavljenih revizija infor- macionog sistema,
6) ITR.2 - Pregled preporuka/naloga,
7) PIS - Značajne promjene u informacionom sistemu,
8) PI.1 - Kategorizacija incidenata,
9) PI.2 - Pregled incidenata po poslovnim procesima,
10) PI.3 - Pregled operativnih incidenata,
11) PI.4 - Sajber incidenti,
12) PI.5 - Elektronsko bankarstvo i kartično poslovanje - moguće zloupotrebe,
13) EB.1 - Obim elektronskog bankarstva.
(3) Banka je dužna da izvještaje iz ovog uputstva elek- tronskim putem dostavlja Agenciji, u formatu i na način koji su propisani ovim uputstvom.
IV. PRIJELAZNE I ZAVRŠNE ODREDBE
Stupanje na snagu Član 17.
(1) Ovo uputstvo stupa na snagu osmog dana od dana objave u “Službenom glasniku Republike Srpske”.
(2) Ovim uputstvom stavlja se van snage Uputstvo za izvještavanje o upravljanju informacionim sistemima u bankama, broj: D-2/18, od 24.1.2018. godine.
(3) Banka je dužna prve izvještaje iz člana 16. st. 1. i 2. sa stanjem na dan 31.12.2020. godine dostaviti do 31.3.2021. godine.
Broj: D-6/21
19. februara 2021. godine
Banjaluka
Direktor, Rade Rastoka, s.r.
PRIKAŽI VIŠE TEKSTA
NAPOMENA: Komentari odražavaju stavove njihovih autora, a ne nužno i stavove internet portala Akta.ba.
