Podmienka J - Opis IKT bezpečnosti vrátane podrobného posúdenia rizika
Vysvetlivky
Žiadateľ o udelenie povolenia je povinný preukázať zabezpečenie všetkých bezpečnostných a prevádzkových rizík v oblasti IKT a bezpečnosti tak, ako sú uvedené v dokumente o bezpečnostnej politike a v príslušných usmerneniach (Usmernenie EBA povoľovacie, Usmernenie EBA IKT). Žiadateľ má riadiť IKT bezpečnosť pomocou rizikovo orientovaného prístupu. Tento prístup zahŕňa kontinuálnu identifikáciu IKT rizík a prijímanie primeraných opatrení pre definovaný zoznam IKT aktív klasifikovaných podľa kritickosti.
V opise IKT bezpečnosti žiadateľ najprv popíše hlavné komunikačné kanály, podporované funkcionality a postupnosť jednotlivých krokov podporovaných procesov. Opísaná funkčnosť riešenia je následne vyjadrená v opise architektúry, ktorá uvedené funkcionality a procesy zabezpečuje. Žiadateľ ďalej uvedie opis IKT stratégie, ktorá podporuje celkovú obchodnú stratégiu žiadateľa. Následne definuje postup riadenia IKT rizík žiadateľa, ako aj jeho výstupy ako zoznam IKT aktív, identifikované riziká a opatrenia. V časti informačnej bezpečnosti popisuje pravidlá a postupy pre zabezpečenie logickej a fyzickej bezpečnosti, ako aj vzdelávania personálu. V ďalších častiach uvedie postupy pre nadobudnutie IKT riešení resp. ich vývoj a testovanie. V záverečnej časti popíše prevádzku IKT riešení vrátané ochrany koncových bodov, údajov, aktualizácií, pravidelného testovania IKT bezpečnosti a riadenie incidentov.
IKT aktíva opísané v nižšie uvedených prílohách majú zahŕňať aj IKT aktíva pobočiek a IKT aktíva agentov a distribútorov v prípade, ak vykonávajú činnosti v mene žiadateľa.
-
Právny základ
- § 82 ods.4 v spojení s § 64 ods. 4 písm. u) ZoPS
- § 85c ods.1 ZoPS
- § 85e ZoPS
- čl. 5 ods. 1 písm. j) Smernice PSD 2
- čl. 95 až 97 Smernice PSD 2
- Usmernenie 13, časť 4.3, Usmernenie EBA povoľovacie
- Usmernenie 5 (bod 5.1 písm. e) bod ii), časť 4.3, Usmernenie EBA povoľovacie
- Usmernenie EBA IKT
Prílohy
Žiadateľ popíše všetky požiadavky v súvislosti s IKT bezpečnosťou vo forme nižšie uvedených príloh.
PRÍLOHA J1 – Opis funkcionality riešenia
Popis všetkých kľúčových rozhraní, procesov a funkcionalít, podrobne vysvetlený postup jednotlivých krokov vo forme návrhov grafického rozhrania, snímok obrazoviek prípadne diagramov aj s textovými popismi. To zahŕňa (ak sa uvedené týka poskytovanej platobnej služby):
- zoznam a popis podporovaných komunikačných kanálov (zahŕňa napríklad webové rozhranie – internet banking, webové rozhranie – platobná brána, mobilná aplikácia, API, webové rozhranie – interný backoffice)
- opis procesu registrácie používateľa a zrušenie účtu cez všetky podporované rozhrania, bezpečné doručenie prihlasovacích údajov
- opis procesu prihlásenia a odhlásenia používateľa cez všetky rozhrania vrátane podporovaných druhých faktorov
- opis procesu vkladu a výberu peňažných prostriedkov alebo operácie presunu prostriedkov v rámci riešenia medzi používateľmi
- opis ďalších kľúčových procesov alebo funkcionalít riešenia ako napríklad predplatené alebo platobné karty, funkcionality internet bankingu alebo mobilnej aplikácie, elektronická peňaženka, platobný terminál, aplikácia umelej inteligencie, analytika, elektronické peniaze
- opis procesu podpory používateľov v prípade otázok, problémov alebo incidentov, zoznam podporovaných kontaktných bodov
PRÍLOHA J2 – Opis architektúry riešenia
Popis architektúry riešenia vo forme diagramov a textových popisov, ktorými je zabezpečená funkcionalita celého riešenia vrátane hlavných podnikateľských IT systémov, podporných IT systémov, externých služieb a prepojení. Do popisu je potrebné zahrnúť:
- aplikačnú architektúru – opis hlavných a podporných IT systémov, aplikácií, databáz, rozhraní, služieb (vrátane externých), prostredí (napr. testovacie a produkčné), prepojení a protokolov vo forme diagramov a textových popisov. Zvýrazniť outsourcované služby alebo aplikácie.
- infraštruktúrnu architektúru – opis infraštruktúry riešenia vo forme diagramov a textových popisov. To môže zahŕňať napríklad kontajnerovú infraštruktúru, relevantné cloudové komponenty, servery, diskové polia, siete a sieťovú segmentáciu, firewally, prepojenia, zálohy, dátové centrá a lokality resp. cloud, na ktorých sú prevádzkované aplikácie riešenia.
PRÍLOHA J3 – IKT stratégia
Definovaná IKT stratégia v kontexte celkovej obchodnej stratégie organizácie, ktorej obsahom je:
- definované ciele informačnej bezpečnosti, ktoré určujú smerovanie IKT a možnú závislosť od tretích strán
- prijaté akčné plány s opatreniami na dosiahnutie smerovania a cieľov stratégie v oblasti IKT. Akčné plány definujú úlohy pre dosiahnutie cieľov IKT stratégie vrátane míľnikov a zodpovedností.
PRÍLOHA J4 – IKT riziká, opatrenia a vnútorná kontrola
Popis riadenia IKT rizík vrátane analýzy rizík a opatrení, ktorý obsahuje:
- popis procesu riadenia rizík v oblasti IKT a bezpečnosti, ktorý pre IKT aktíva zabezpečuje kontinuálnu identifikáciu ich kritickosti, relevantných rizík a prijatie potrebných opatrení. Popis tiež definuje zodpovednosti pre jednotlivé oblasti riadenia IKT rizík.
- definovaný zoznam IKT aktív a ich kritickosť
- identifikované riziká IKT aktív vzhľadom na kritickosť
- pre identifikované riziká definované opatrenia. V prípade potreby je možné popis opatrenia odkázať na ostatné prílohy tejto podmienky.
- definovaný program vnútornej kontroly a plán auditov vo vzťahu k bezpečnosti IKT systémov
PRÍLOHA J5 – Informačná bezpečnosť
Popis informačnej bezpečnosti, ktorá definuje nasledujúce časti:
Časť 1 – Politika informačnej bezpečnosti, ktorá obsahuje:
- zásady a pravidlá na ochranu dôvernosti, integrity a dostupnosti údajov
- úlohy a povinnosti riadenia informačnej bezpečnosti
- požiadavky na zamestnancov, dodávateľov, procesy a technológie v súvislosti s informačnou bezpečnosťou
Časť 2 – Logická bezpečnosť – popis zavedených opatrení a postupov pre riadenie identity a prístupu do IKT systémov, služieb a funkcionalít. To zahŕňa opis minimálne nasledujúcich oblastí:
- popis riadenia oprávnení, ktorý zahŕňa:
- udelenie minimálnych oprávnení používateľom na vykonávanie ich povinností
- deľba povinností pre zamedzenie obchádzania kontrol alebo príliš silnému prístupu
- schvaľovanie a pravidelná revízia oprávnení a prístupov, včasná úprava oprávnení, zodpovednosti za schvaľovanie, revíziu a úpravu oprávnení
- pre kľúčové IKT aktíva:
- definované skupiny oprávnení a ich popis,
- definovaný odhadovaný zoznam pracovných miest v skupinách oprávnení,
- popis zaznamenávania a monitorovania aktivít v IKT riešení, zabezpečenie auditných logov, monitorovanie podozrivých operácií a anomálií, opis postupu v prípade detekcie podozrivej operácie
- popis primeraných kontrol pre overenie identity a prístup do IKT aktív vrátane tých pre privilegovaný prístup (napríklad správca systému)
Časť 3 – Fyzická bezpečnosť – popis zavedených opatrení a postupov pre riadenie fyzického prístupu k priestorom, objektom, dátovým centrám, serverom, kanceláriám a pred nebezpečenstvami prostredia. To zahŕňa minimálne nasledujúce oblasti:
- udelenie fyzického prístupu len oprávneným osobám, ktoré sú primerane vyškolené
- zaznamenávanie a monitorovanie fyzického prístupu, identifikácia neštandardných prístupov
- schvaľovanie, pravidelná revízia prístupov a ich včasná úprava, zodpovednosti za schvaľovanie, revíziu a úpravu prístupov
- definovaný odhadovaný zoznam pracovných miest, ktoré majú fyzický prístup k IKT aktívam a objektom
- popis primeraných opatrení na ochranu budov a priestorov pred nebezpečenstvami prostredia
Časť 4 – Vzdelávanie zamestnancov v oblasti informačnej bezpečnosti:
- opis odbornej prípravy zamestnancov pre vykonávanie povinností a úloh v súlade s politikami informačnej bezpečnosti
- opis programu pre zvyšovanie vzdelanosti a informovanosti zamestnancov v oblasti IKT bezpečnosti
PRÍLOHA J6 – Nadobudnutie, vývoj a zmeny IKT riešení
Popis postupov a procesov pre riadenie nadobudnutia, vývoja, testovania, projektového riadenia a zmien IKT aktív. Opis sa skladá z nasledujúcich častí:
Časť 1 – Politika projektového riadenia, v ktorej sú definované pravidlá a postupy pre projektové riadenie. To zahŕňa:
- definované požiadavky na ciele projektu, úlohy, zodpovednosti, posúdenie rizík a bezpečnostných požiadaviek projektu, plán, míľniky a riadenie zmien
- definované požiadavky na členov projektového tímu pre zabezpečenie relevantných zamestnancov zo všetkých oblastí, na ktoré ma projekt vplyv, a aby mal projektový tím znalosti potrebné na zabezpečenie bezpečnej a úspešnej realizácie projektu
- definované pravidlá pre informovanie o stave projektu a súvisiacich rizikách riadiacemu orgánu
Časť 2 – Nadobudnutie, vývoj, testovanie – popis postupov, procesov a zodpovedností pre nadobudnutie, vývoj a testovanie IKT riešení vrátane penetračných testov a dokumentácie. To zahŕňa:
- procesy a postupy sú navrhnuté pomocou prístupu založeného na rizikách a zahŕňajú minimálne (ak je aplikovateľné):
- postup definovania požiadaviek vrátane požiadaviek na informačnú bezpečnosť a ich schválenie
- opis zaznamenávania zdrojového kódu a konfigurácií
- opis analýzy zdrojových kódov
- opis oddelenia prostredí (napríklad vývoj, testovanie, produkcia)
- opis testovania a schvaľovania IKT riešení pred ich prvým použitím vrátane penetračných testov
- opis zabezpečenia prípadných produkčných údajov v neprodukčných prostrediach
- výsledky penetračných testov IKT riešenia
- používateľská dokumentácia k IKT riešeniu
Časť 3 – Nasadenie a riadenie zmien – popis postupov, procesov a zodpovedností pre nasadenie zmien IKT riešení do produkcie, ktorý zahŕňa:
- zaznamenanie zmien, schvaľovanie, vykonanie a overenie zmeny kontrolovaným spôsobom
- prípadná aktualizácia prevádzkových postupov
PRÍLOHA J7 – Prevádzka IKT riešení
Popis postupov a procesov pre bezpečnú prevádzku IKT aktív. Popis sa skladá z minimálne nasledujúcich častí:
Časť 1 – Bezpečnosť prevádzky
- aplikačnú architektúru – opis hlavných a podporných IT systémov, aplikácií, databáz, rozhraní, služieb (vrátane externých), prostredí opis ochrany koncových bodov vrátane serverov, počítačov, mobilných zariadení, používaných antivírusových a antimalware riešení
- opis šifrovania a podpisovania údajov v pokoji a v tranzite pre IKT aktíva, použité šifrovacie algoritmy a typy kľúčov
- opis sieťovej segmentácie IKT riešení
Časť 2 – Životný cyklus IKT aktív (záplaty, aktualizácie)
- opis pravidelnej aktualizácie knižníc a softvéru pre aplikáciu bezpečnostných záplat a aktualizácií
- opis mechanizmov na overovanie originality a integrity knižníc a softvéru
Časť 3 – Záloha a obnova
- opis postupu zálohovania údajov a systémov v súlade s kritickosťou a rizikovosťou vrátane rozsahu, frekvencie, oddelenej lokality od primárneho miesta
- opis ochrany záloh pred neoprávneným prístupom, zoznam skupín osôb s prístupom k zálohám a prípadným šifrovacím kľúčom
- opis postupu pravidelného testovania obnovy údajov alebo IKT aktív zo záloh
Časť 4 – Testovanie bezpečnosti – definovaný rámec testovania informačnej bezpečnosti IKT aktív obsahujúci:
- požiadavky na kontroly zraniteľných miest a penetračné testy
- požiadavky na nezávislých vykonávateľov testov s dostatočnými vedomosťami
- definované cykly periodických testov bezpečnostných opatrení podľa kritickosti IKT aktív
Časť 5 – Riadenie incidentov
- opis postupov riadenia incidentov a problémov vrátane:
- postupu na identifikáciu, zaznamenávanie a klasifikáciu incidentov vrátane vhodných klasifikačných kritérií
- postupu pre analýzu príčiny incidentu
- postupu pre reakciu na incident s cieľom zmierniť vplyvy spojené s incidentom a zabezpečiť, aby sa služba včas stala prevádzkyschopnou a bezpečnou
- definovaných úloh a zodpovedností pre rôzne scenáre incidentov (napr. chyby, nesprávne fungovanie, kybernetické útoky)
- opis plánov internej a externej komunikácie vrátane zamestnancov, manažmentu a externých strán (napríklad klientov, iných účastníkov trhu, orgánu dohľadu) tak, ako je to vhodné, a v súlade s platnou reguláciou
- opis procesu reportovania incidentov orgánu dohľadu