INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U …zastita.info/UserFiles/file/zastita/SIGBANK 2013/Sperbank_Kadic.pdf · INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA

INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U

BANKAMA

Amel Kadić, mr.sci.Interna revizija, Sberbank BH

[email protected]

INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA

Praksa i edukacija

• Od 2005 – Information security officer, tada Volksbank BH,

a sada Sberbank BH

• Od 2006 – Operational risk manager banke

• Od 2009 – Interni revizor za IT i operacije

• Od 2011 – Zamjenik vođe odjela Interne revizije

... uz to:

• od 2007 do danas – Član Odbora za reviziju Sberbank a.d. Banja Luka

• Član Upravnog odbora Udruženja menadžera sigurnosti BiH

• Po struci

• Magistar sigurnosti na Fakultetu za kriminalistiku, kriminologiju i sugurnosne studije, Univerziteta u Sarajevu (sigurnost banaka)

• Ovlašteni interni revizor za IT


Osnov za reviziju...

„Interni revizor banke je dužan da osigura

efikasno provođenje programa interne revizije,

koje kao minimum, mora da obuhvati:

…PRAĆENJE USKLAĐENOSTI POSLOVANJA SA

RELEVANTNIM ZAKONSKIM PROPISIMA“ (Odluka

Agencije za bankarstvo FBiH o Minimalnim

standardima interne i eksterne revizije u

bankama, član 8. tačka 3. Odluke),


• ... Relevantni zakonski propis ... odnosno zakonski okvir

zaštite i sugurnosti finansijskih institucija:

– Uredba o mjerama zaštite finansijskih institucija, Službene novine Feredacije BiH, broj 24/12

– Prvi put usvojena 18. marta 2009. godine,

– Nova, nešto izmijenjena Uredba usvojena je 7. marta 2012. godine, i ona je trenutno u primjeni,

– Sastoji se od 34 člana raspoređena u 9 poglavlja.• Tu je i Zakon o agencijama i unutrašnjim službama za zaštitu ljudi i

imovine sa pripadajućim pravilnicima


Zašto je došlo do regulacije u oblasti

sigurnosti i zaštite finansijskih institucija?


• Kakvi su bili efekti prikazanih (ne)djela prije donošenja Uredbe?


• Do marta mjeseca 2009. godine, u BiH nije postojao bilo kakav zakonski propis koji direktno reguliše područje zaštite i sigurnosti u finansijskim institucijama

• Situacija se značajno popravila nakon donošenja Uredbe,

Informacija o stanju sigurnosti u BIH za 2012, Ministarstvo sigurnosti BiH, 8.5.2013. Navodi se da je u 2012, zabilježeno svega 2 napada (razbojništva) na banke što može biti pokazatelj pozitivnih rezultata nakon implementacije Uredbe u FBiH.

• Ipak, samo je zakonodavac u Federaciji BiH regulisao ovu oblast (za sad nema slične regulative u RS)

• Na šta se propis odnosi

• Zaštita osoba,

• Zaštita objekata u kojima se obavlja poslovanje gotovim novcem, vrijednosnim papirima i dragocjenostima,

• Zaštita prevoza i prenosa gotovine i dragocjenosti te,

• Zaštita podataka pribavljenih primjenom mjera zaštite


Na koga se Uredba odnosi

• Članom 4. Uredbe izričito se određuju finansijske institucije koje moraju da implementiraju mjere zaštite, i to:

– banke

– mjenjačnice

– štedionice i

– mikrokreditne organizacije.

• Također, Uredba se odnosi i na pravna lica koja posluju gotovim novcem, i to: javni poštanski operateri, Lutrija BiH, kasina i kladionice te javna komunalna preduzeća koja posjeduju uplatno isplatna mjesta.


Finansijske institucije, njihove poslovne jedinice i

poslovna mjesta razvrstane su u tri kategorije:

• Prvu kategoriju (I) čine banke, štedionice i centri javnih

poštanskih operatera (što u praksi znači, najstrožiji zahtjevi

zaštite...)

• U drugu (II) kategoriju spadaju poslovnice javnih poštanskih

operatera i Lutrija BiH

• U treću kategoriju (III) spadaju mikrokreditne organizacije,

mjenjačnice, kasina i kladionice te javna komunalna

preduzeća (uplatno-isplatna mjesta).


• Član 10. Uredbe donosi obavezu primjene mjera zaštite, za finansijske institucije I (prve) kategorije (banke, štedionice i centri javnih poštanskih operatera ), u objektima u kojima posluju gotovinom i drugim dragocjenostima osigurati mjere zaštite iz člana 8. Uredbe i to:

– protuprovalne i protuprepadne sistema sa centralizovanom dojavom i nadzorom alarma,

– neprekidni video nadzor s mogućnošću pohrane video zapisa,

– druge oblike tehničke zaštite i

– fizičku zaštitu.

• Dodatni kriterij:

– ukoliko se u objektu nalazi iznos novca veći od 100.000 KM, finansijske institucije dužne su ugraditi neprobojne pregrade ili osigurati fizičku zaštitu

tokom radnog vremena.

– Ukoliko se u objektu nalazi iznos novca veći od 200.000,00 KM finansijske institucije dužne su osigurati fizičku zaštitu tokom radnog vremena.

– Ukoliko se u objektima finansijskih institucija nalazi iznos novca veći od 1.500.000,00 KM, obavezna je 24-satna fizička zaštita.


• Posebna pažnja posvećena je objektima finansijskih institucija gdje se nalazi trezor.

• Članom 12. propisano je da u objektima gdje se nalazi trezor mora postojati video nadzor, protuprovalni i protuprepadni sistemi i drugi sistemi tehničke i mehaničke zaštite, a ako se u trezoru finansijskih institucija nalazi iznos novca veći od 1.500.000,00 KM, obavezno je osigurati neprekidnu 24-satnu fizičku zaštitu.


• Uredbom su propisane i mjere zaštite bankomata. Propisana je dužnost osiguranja sljedećih minimalnih mjera zaštite bankomata:

– postojanje komunikacijske mreže za neprekidan nadzor veze bankomata sa dojavnim centrom,

– instaliranje alarma otvorenih vrata trezorskog dijela bankomata te

– instalirati neprekidan video nadzor uz obavezu pohranjivanja video zapisa.

• Posebno poglavlje Uredbe koje čini samo jedan član odnosi se na čuvanje i raspolaganje podacima pribavljenim sredstvima tehničke zaštite. Pribavljeni podaci čuvaju se na mediju na kojem su pohranjeni najmanje

30 dana od dana bilježenja, te se moraju štiti u skladu sa odredbama posebnog zakona*


• Uredbom se predviđa i mogućnost inspekcijskog nadzora nad provedbom

zahtjeva iz Uredbe.

– Federalno Ministarstvo unutrašnjih poslova obavlja nadzor u bankama, Lutriji BiH i

javnim poštanskim operaterima,

– Kantonalna ministarstva obavljaju nadzor u mikrokreditnim organizacijama,

mjenjačnicama, štedionicama, kasinima i kockarnicama

• Propisane su i kaznene odredbe za pravna lica (finansijske institucije) i

odgovorna lica u pravnom licu ukoliko počine neki od definisanih

prekršaja (ne ostvarivanje predviđenih mjera zaštite i sl).

– Pravno lice, novčana kazna u rasponu od 1000 KM do 5000 KM,

– za iste prekršaje odgovorno lice u finansijskoj instituciji , novčana kazna u iznosu od 200

KM do 1000 KM.


• Cilj revizije?– Ocijeniti adekvatnost i usklađenost politika i procedura koje se odnose na

poslove sigurnosti u odnosu na važeće zakonske propise a posebno na

„Uredbu o mjerama zaštite finansijskih institucija FBiH“ te bančine interne

standarde sigurnosti (ukoliko postoje),

– Utvrditi nivo implementacije i poštivanja zakonskih i internih zahtjeva u okviru

sistema sigurnosti banke,

– Potvrditi postojanje, ispravnosti i funkcionisanje sistema fizičko-tehničke

zaštite te inicirati i predložiti korektivne mjere i akcije, ukoliko se utvrde

manjkavosti i nedostaci, itd...

• Mogući opseg revizije– Kontrola poslova i aktivnosti u segmentu sigurnosti, na nivou banke (u okviru

organizacionih jedinica zaduženih za poslove sigurnosti i zaštite), u posmatranom periodu vremena, ili

– Kontrola direktne implementacije sistema sigurnosti na nivou organizacione jedinice (npr. filijale), u posmatranom periodu vremena.


• Metode revizije (neke od mogućih)– Analiza internih akata banke te kontrola usklađenost sa relevantnim zakonskim

propisima te internim standardima banke (Grupacije, ukoliko postoje),

– Analiza i kontrola praktične implementacije odredbi internih dokumenata i odluka Uprave banke koje se odnose na poslove sigurnosti,

– Pregled evidencija i dokumentacije:

• izvještaji o obavljenim aktivnostima (mjesečni, kvartalni i sl.),

• zapisnici o obavljenim kontrolama i propisanim aktivnostima (npr. zapisnici o periodičnoj provjeri funkcionalnosti instaliranih uređaja i opreme, zapisnici o promjenama šifri i kombinacijama na okretnim bravama kasa i sl.)

• logovi rada uređaja i opreme instalirane u okviru sistema sigurnosti (npr. pregled pohranjenih logo zapisa alarmne centrale o radu spojenih detektora, pregled zabilježenih zapisa sistema video nadzora i sl),

– Praktična provjera instaliranih sistema zaštite (testiranje / simulacije),

– Pregled aktivnosti zaštitara / agencije za zaštitu na štićenoj lokaciji,

– Kontrola poznavanja internih zahtjeva sistema sigurnosti od strane zaštitara / zaštitarske agencije na štićenoj lokaciji,

– Intervju sa zaposlenicima (zaduženim za sigurnost i drugim, te sa zaštitarom na lokaciji).


KONKRETNE KONTROLE

Okvir sistema sigurnosti

– Identifikovati interne akte banke kojim su determinisane postavke

sistema sigurnosti banke (Strategija / Politika sigurnosti, odluke,

procedure, uputstva, priručnici, procjene rizika …),

– Utvrditi da li su interni akti usaglašeni sa važećim zakonskim

propisima, prije svega sa Uredbom o mjerama zaštite finansijskih

institucija FBiH?

– Da li postoji organizaciona jedinica ili pojedinac zadužen za poslove

sigurnosti, i ako da...

• Opis(i) poslova i zadataka,

• Linije odgovornosti,

• Sistem izvještavanja itd.


Fizička i tehnička zaštita / generalno

– Ukoliko banka nema organizovanu službu unutrašnje zaštite, provjeriti da li postoji potpisan ugovor (ili više ugovora) sa agencijom za zaštitu ljudi i imovine o obavljanju poslova fizičke / tehničke zaštite?

– Da li su identifikovane sve lokacije banke koje su predmetom zaštite (filijale, ekspoziture, bankomati, drugi objekti banke itd.)?

– Da li postoji elaborat sistema zaštite (izrađen na bazi procjene rizika) za svaku štićenu lokaciju banke?

– Da li elaborat zaštite predviđa primjenu odgovarajućih mjera zaštite (bazirano na procjeni rizika, iznosu novca koji se drži na lokaciji i drugim kriterijima), u skladu sa zahtjevima Uredbe?


Tehnička zaštita (na nivou štićene lokacije)

• Da li je protuprovalni sistem postavljen u skladu sa elaboratom sistema zaštite?

• Da li su korišteni odgovarajući detektori (detektore pokreta, loma stakla i sl.)?

• Da li je protuprepadni sistem postavljen u skladu sa elaboratom sistema zaštite (panik tasteri na odgovarajućim mjestima, izbor odgovarajućeg tipa panik tastera – panik šine, fiksni panik tasteri, bežični panik tasteri, „detektori zadnje novčanice“, elektronske blagajniče kase, kase sa „duplim dnom“ itd.)?

• Da li su detektori i panik tasteri spojeni na upravljački centralni uređaj - alarmnu centralu i da li je alarmna centrala spojena sa dojavnim centrom?

• Da li postoji vanjski zvučni / vizualni javljač alarma?

• Da li se provodi redovno testiranje i provjera ispravnosti i funkcije tehničkog sistema zaštite?

• Po mogućnosti, izvršiti kontrolisani (najavljeni) test alarmnog sistema.


Tehnička zaštita (generalno)

• Centralizovani / decenralizovani monitoring sistema video nadzora

• Frekvencija i obim monitoringa (dnevno, više puta dnevno, 24/7 nadzor)– Rad kamera i video snimača / servera (sve kamere, najvažnije…)

– Dužina memorisanog video zapisa po lokaciji (minimalno 30 dana)

• Odgovornost za održavanje i monitoring sistema video nadzora

(definisana ili ne)

• Izvještavanje (prema kome, koliko često)

• Monitoring korištenja alarmnog sistema (od strane zaposlenika),– Stalni pristup logovima alarmnog sistema svih lokacija (read only mode)

– Frekvencija provjera

– Eskalacija u slučaju utvrđenih nedostataka i slabosti (definisano ili ne)

• Monitoring bilježenja alarmnih događaja na strani dojavnog centra, kroz formu izvještaja ili uz „on-line“ kontrolu, (redni broj, vrsta događaja, datum, vrijeme, mjere koje je poduzeo dojavni centar, utvrđeno stanje i sl.)


Fizička zaštita

• Kontrole prema agenciji za zaštitu / zaštitaru na objektu, i to:

• Da li zaštitar na objektu posjeduje certifikat za obavljanje poslova fizičke zaštite

• Poznavanje zakonom definisanih ovlaštenja* i odredbi internih akata banke koji se odnose na obavljanje poslova fizičke zaštite i protiv požarne zaštite

• Poznavanje i korištenje alarmnog sistema štićene lokacije

• Postupak otvaranja / zatvaranja objekta,

• Evidencije boravka trećih lica u posebno zaštićenim prostorima banke (filijale)

• Linije i načini komunikacije i eskalacije u slučaju ugrožavanja sigurnosti

• Reagovanje dojavnog centra na aktiviranje alarma i interakcija sa vlastitom interventnim timom

• Saradnja sa zaposlenicima banke na štićenoj lokaciji * (sindrom – “idi po doručak”),

• Kodeks oblačenja i akreditacija zaštitara,

• Dužina angažmana zaštitara na štićenom objektu (u toku dana / generalno)*

• Izvještavanje prema banci (zaštitar / agencija)


Kontrola zaštite bankomata

• Da li postoji alarmni sistem na bankomatu?

• Da li je bankomat povezan na dojavni centar 24/7?

• Da li je bankomat zaštićen odgovarajućim detektorima (alarm otvorenih vrata, vibracioni detektor i sl.)?

• Raspolaganje pristupnim šiframa alarmnog sistema bankomata

• Raspolaganje ključevima i šiframa mehaničkih brava bankomata (saključarstvo)

• Permanentni video nadzor bankomata,

• Zadržavanje snimka video nadzora bankomata, najmanje 30 dana.


Kontrola (neovlaštenog) pristupa prostorima banke

• Da li postoji sistem kontrole pristupa prostorima banke

• Da li se za kontrolu pristupa koristi neki elektronski sistem

• Da li je taj sistem dokumentovan, odnosno da li su definisane odgovarajuće „zone“ pristupa (npr. javni prostori, prostori za zaposlene, posebno zaštićeni prostori i sl.)

• Ko je „vlasnik“ tog sistema, odnosno ko upravlja istim,

• Da li su definisana prava pristupa pojedinim zonama za zaposlenike banke

• Da li sistem pruža mogućnost historijskog evidentiranja ulaska u definisane zone

• Da li se radi monitoring sistema za kontrolu pristupa, u smislu provjere poštivanja dodijeljenih prava pristupa pojedinim zonama, itd.


Ostali segmenti sigurnosti i zaštite

Kontrola saključarstva / Bazirano na Odluci o minimalnim standardima

sistema interne kontrole Agencije za bankarstvo, član 11. tačka 2.

(Plan za zaštitu fizičke aktive)

• Odluka o saključarima (u filijali),

• Ispravnost postavljenog sistema saključarstva,

• Provođenje saključarstva u svakodnevnim aktivnostima (ili direktan uvid i analiza logova alarmnog sistema, ukoliko se koriste šifre istog),

• Držanje ključeva te „vlasništvo“ nad šiframa alarmnog sistema i / ili šiframa mehaničkih brava na vratima i kasama trezora

• Evidencije o primopredaji ključeva / šifri, te redovaj zamjena istih.


Kontrole u segmentu protiv požarne zaštite

• Postojanje internog akta / Pravilnika o zaštiti od požara,

• Definisanje odgovornog lica za zaštitu od požara,

• Plan zaštite od požara, za svaku lokaciju banke (sistem za gašenje, aparati, „panic“ rasvjeta, i sl),

• Održavanje i redovno ispitivanje ispravnosti protiv požarnog sistema (detektori, aparati za gašenje početnog požara, hidranti, itd.)

• Povezanost sistema za javljanje požara na dojavni centar,

• Atest i redovna provjera elektro instalacija na lokacijama banke,

• Broj aparata za gašenje početnog požara

• Provođenje obavezne edukacije zaposlenika o protiv požarnoj zaštiti i evidencija o istoj, itd.


DVIJE NAPOMENE

• Poglavlje IV Uredbe donosi i propise vezane za prevoz i prenos gotovog novca, vrijednosnih papira i dragocjenosti,

– predstavlja posebnu temu za provođenje interne revizije,

– zbog razine rizika koja postoji kod ovog tipa aktivnosti, ali i

– zbog specifičnih oblika ugrožavanja dobara finansijskih institucija koji su zabilježeni u ranijem periodu.

• Poseban segment sigurnosti u banci predstavlja informaciona sigurnost.

Iako se informaciona sigurnost značajno prepliće sa opštim sistemom sigurnosti banke (zapravo je njegov sastavni dio), interna revizija informacione sigurnosti predstavlja zaseban segment revizije i radi se u sklopu revizije informacionog sistema banke.


Umjesto zaključka

• Revizija sigurnosti u značajnom dijelu je “tehnička revizija”

• Za revizora, potrebno i poželjno dobro poznavanje informacionih

tehnologija kao i elementarno poznavanje uređaja i opreme koji se koriste

u sistemu zaštite

• Interni revizor bi trebao imati odgovarajuću stručnu spremu, te kroz

povremenu edukaciju pratiti razvoj i trendove sistema sigurnosti i zaštite,

• Prva i osnova vrijednost koja se štiti u banci je ljudski život, a potom druge

vrijednosti i dobara banke i njenih klijenata.

• Zbog toga, interna revizija sistema sigurnosti i zaštite dodatno dobija na

značaju , sa ciljem stalnog unapređenja sistema sigurnosti


Hvala na pažnji

Pitanja?

Documents

INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U …zastita.info/UserFiles/file/zastita/SIGBANK 2013/Sperbank_Kadic.pdf · INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA