en en

Podmienka J - Opis IKT bezpečnosti vrátane podrobného posúdenia rizika

Vysvetlivky

Žiadateľ o udelenie povolenia je povinný preukázať zabezpečenie účinného a obozretného riadenia IKT rizika s cieľom dosiahnuť vysokú úroveň digitálnej prevádzkovej odolnosti (DORA). Uvedené sa preukazuje predložením politík, postupov, protokolov a nástrojov v oblasti bezpečnosti IKT, ktoré sú začlenené do rámca riadenia IKT rizika žiadateľa.

Rámec riadenia IKT rizika je upravený v článkoch 6 až 16 nariadenia DORA a článkoch 3 až 21 RTS IKT risk management.

Primárnym dokumentom rámca riadenia IKT rizika je stratégia digitálnej prevádzkovej odolnosti, v ktorej je stanovený spôsob vykonávania rámca riadenia IKT rizika.

Žiadateľ má riadiť IKT bezpečnosť pomocou rizikovo-orientovaného prístupu s ohľadom na povahu, rozsah a zložitosť jeho služieb, činností a operácií. Na základe tohto prístupu založeného na riziku má žiadateľ zavedené spoľahlivé riadenie siete a infraštruktúry pomocou vhodných techník, metód a protokolov naprieč celým rámcom riadenia IKT rizika.

V opise IKT bezpečnosti žiadateľ popíše hlavné komunikačné kanály, podporované funkcionality a postupnosť jednotlivých krokov podporovaných procesov. Opísaná funkčnosť riešenia je následne vyjadrená v opise architektúry, ktorá uvedené funkcionality a procesy zabezpečuje. Žiadateľ predloží IKT stratégiu, ktorá podporuje celkovú obchodnú stratégiu žiadateľa. Žiadateľ ďalej definuje postup riadenia IKT rizík vrátane zoznamu IKT aktív, identifikovaných rizík a prijatých opatrení, popisuje pravidlá a postupy pre zabezpečenie logickej a fyzickej bezpečnosti, postupy pre nadobudnutie IKT riešení resp. ich vývoj a testovanie, prevádzku IKT riešení vrátané ochrany koncových bodov, údajov, aktualizácií a program vzdelávania personálu.

IKT aktíva majú zahŕňať aj IKT aktíva pobočiek a IKT aktíva agentov v prípade, ak vykonávajú činnosti v mene žiadateľa.

  • Právny základ
    • § 64 ods. 4 písm. u) ZoPS
    • § 28c ods.1 ZoPS
    • § 73 ods. 1 ZoPS
    • § 77a ZoPS
    • § 31 ods. 5 písm f) ZoPS
    • čl. 5 ods. 1 písm. j) Smernice PSD 2
    • čl. 95 až 97 Smernice PSD 2
    • Usmernenie 13, časť 4.1, Usmernenie EBA povoľovacie
    • Usmernenie 5 (bod 5.1 písm. e) bod ii), časť 4.1, Usmernenie EBA povoľovacie
    • Nariadenie DORA
    • RTS IKT risk management

Prílohy

Žiadateľ popíše všetky požiadavky v súvislosti s digitálnou prevádzkovou odolnosťou vo forme nižšie uvedených príloh.

PRÍLOHA J1 – Opis funkcionality riešenia

Popis všetkých kľúčových rozhraníprocesov a funkcionalít, podrobne vysvetlený postup jednotlivých krokov vo forme návrhov grafického rozhrania, snímok obrazoviek prípadne diagramov aj s textovými popismi. To zahŕňa (ak sa uvedené týka poskytovanej platobnej služby):

  • zoznam a popis podporovaných komunikačných kanálov (zahŕňa napríklad webové rozhranie – internet banking, webové rozhranie – platobná brána, mobilná aplikácia, API, webové rozhranie – interný backoffice)
  • opis procesu registrácie používateľa a zrušenie účtu cez všetky podporované rozhrania, bezpečné doručenie prihlasovacích údajov
  • opis procesu prihlásenia a odhlásenia používateľa cez všetky rozhrania vrátane podporovaných druhých faktorov
  • opis procesu vkladu a výberu peňažných prostriedkov alebo operácie presunu prostriedkov v rámci riešenia medzi používateľmi
  • opis ďalších kľúčových procesov alebo funkcionalít riešenia ako napríklad predplatené alebo platobné karty, funkcionality internet bankingu alebo mobilnej aplikácie, elektronická peňaženka, platobný terminál, aplikácia umelej inteligencie, analytika
  • opis procesu podpory používateľov v prípade otázok, problémov alebo incidentov, zoznam podporovaných kontaktných bodov

PRÍLOHA J2 – Opis architektúry riešenia

Popis architektúry riešenia vo forme diagramov a textových popisov, ktorými je zabezpečená funkcionalita celého riešenia vrátane hlavných podnikateľských IT systémov, podporných IT systémov, externých služieb a prepojení. Do popisu je potrebné zahrnúť:

  • aplikačnú architektúru – opis hlavných a podporných IT systémov, aplikácií, databáz, rozhraní, služieb (vrátane externých), prostredí (napr. testovacie a produkčné), prepojení a protokolov vo forme diagramov a textových popisov. Zvýrazniť outsourcované služby alebo aplikácie.
  • infraštruktúrnu architektúru – opis infraštruktúry riešenia vo forme diagramov a textových popisov. To môže zahŕňať napríklad kontajnerovú infraštruktúru, relevantné cloudové komponenty, servery, diskové polia, siete a sieťovú segmentáciu, firewally, prepojenia, zálohy, dátové centrá a lokality resp. cloud, na ktorých sú prevádzkované aplikácie riešenia.

PRÍLOHA J3 – Rámec riadenia IKT rizika

Rámec riadenia IKT rizika zahŕňa politiky, postupy, protokoly a nástroje riadenia IKT rizika. Primárnym dokumentom rámca riadenia IKT rizika je stratégia digitálnej prevádzkovej odolnosti, v ktorej je stanovený spôsob vykonávania rámca riadenia IKT rizika a na ktorú nadväzujú ostatné politiky, postupy, protokoly a nástroje.

Rámec riadenia IKT rizika by mal obsahovať tieto časti:

Časť 1 – Stratégia digitálnej prevádzkovej odolnosti

Stratégia digitálnej prevádzkovej odolnosti sa vypracuje podľa čl. 6 ods. 8 naradenia DORA, obsahuje informácie k nasledovným oblastiam:

  • Podpora obchodnej stratégie
  • Tolerancia rizika
  • Ciele informačnej bezpečnosti
  • Referenčná architektúra IKT
  • Mechanizmy na odhaľovanie a prevenciu IKT incidentov
  • Vyhodnotenie súčasného stavu na základe počtu závažných IKT incidentov a účinnosť opatrení (oblasť je relevantná pri zmene udeleného povolenia)
  • Testovanie
  • Komunikačná stratégia

Ako súčasť stratégie digitálnej prevádzkovej odolnosti môže žiadateľ popísať využívanie/zámer využívať externých dodávateľov IKT služieb.

Časť 2 – IKT riziká, opatrenia a vnútorná kontrola

Rámec riadenia IKT rizík vychádza pri identifikácii, klasifikácii a dokumentácii obchodných funkcií, úloh, informačných aktív a IKT aktív, určení ich kritickosti, popise zdrojov rizika, zraniteľností, rizikových scenároch a dokumentácii závislosti od externých poskytovateľov IKT služieb z ustanovení čl. 8 nariadenia DORA a RTS IKT risk management.

Žiadateľ v tejto časti predloží vypracovanú politiku riadenia IKT aktív.

Ako súčasť podmienky J3 sa v časti 2 predkladá aj program vnútornej kontroly a plán auditov vo vzťahu k bezpečnosti IKT systémov na aktuálny rok spolu s výhľadom na najbližšie 3 roky.

Časť 3 – Politika v oblasti bezpečnosti IKT

Politika v oblasti bezpečnosti IKT obsahuje vymedzenie pravidiel na ochranu dostupnosti, pravosti, integrity a dôvernosti údajov, informačných aktív a IKT aktív vrátane údajov a aktív zákazníkov žiadateľa. Popisuje požiadavky na zamestnancov, dodávateľov, procesy a technológie v súvislosti s informačnou bezpečnosťou. Opisuje techniky, metódy, mechanizmy a protokoly na riadenie siete a infraštruktúry.

Požiadavky na politiku v oblasti informačnej bezpečnosti sú upravené v čl. 9 nariadenia DORA a RTS IKT risk management.

Ako súčasť záruk na zachovanie dostupnosti, pravosti, integrity a dôvernosti údajov žiadateľ v tejto časti tiež vypracuje a zdokumentuje:

  • politiky týkajúce sa opráv a aktualizácií (životný cyklus IKT aktív), ktoré dopĺňajú politiku riadenia IKT aktív (čl. 4, 7, 20 a 34 RTS IKT risk management),
  • politiku v oblasti šifrovania a kryptografických kontrol (čl. 6, 7 a 13 RTS IKT risk management),
  • postupy riadenia zraniteľnosti  a postupy riadenia bezpečnostných záplat (čl. 10 RTS ITK risk management),
  • postup v oblasti bezpečnosti údajov a systému, vrátane opisu ochrany koncových bodov vrátane serverov, počítačov, mobilných zariadení, používaných antivírusových a antimalware riešení (čl. 11 RTS IKT risk management),
  • politiky alebo postupy riadenia bezpečnosti siete (čl. 13 RTS IKT risk management),
  • politiky alebo postupy zabezpečenia ochrany údajov pri prenose (čl. 14 RTS IKT risk management),
  • politiku riadenia IKT projektu (čl. 15 a 38 RTS IKT risk management),
  • politiku v oblasti riadenia nadobúdania, vývoja a údržby IKT systémov (čl. 16 a 38 RTS IKT risk management),
  • politiku riadenia zmien IKT (čl. 12, 17 a 34 RTS IKT risk management),
  • mechanizmus na urýchlené odhaľovanie anomálnych činností vrátane problémov s výkonnosťou siete IKT a incidentov súvisiacich s IKT (čl.10 ods. 1 nariadenia DORA, čl. 23 RTS IKT risk management).

Časť 4 – Riadenie prístupových oprávnení

Žiadateľ predloží zdokumentovanú politiku fyzickej a environmentálnej bezpečnosti a politiku logických prístupov k informačným aktívam a IKT aktívam a politik riadenia systému identifikačných dát.

Politika fyzickej a environmentálnej bezpečnosti (čl. 18 RTS IKT risk management) obsahuje všetky tieto prvky:

  • odkaz na politiku v oblasti kontroly práv na riadenie prístupu uvedenú v článku 21 prvého pododseku písm. g) RTS IKT risk management;
  • opatrenia na ochranu priestorov, dátových centier finančného subjektu, ako aj citlivých oblastí identifikovaných finančným subjektom, v ktorých sa nachádzajú IKT aktíva a informačné aktíva, pred útokmi, nehodami a environmentálnymi hrozbami a nebezpečenstvami;
  • opatrenia na zabezpečenie IKT aktív v priestoroch finančného subjektu aj mimo neho, pričom sa zohľadňujú výsledky posudzovania IKT rizika súvisiace s príslušnými IKT aktívami;
  • opatrenia na zabezpečenie dostupnosti, pravosti, integrity a dôvernosti IKT aktív, informačných aktív a zariadení na kontrolu fyzického prístupu finančného subjektu prostredníctvom primeranej údržby;
  • opatrenia na zachovanie dostupnosti, pravosti, integrity a dôvernosti údajov vrátane prvkov: i) jednoznačná administratívna politika pre dokumenty v papierovej forme; ii) politika čistej obrazovky pre zariadenia na spracúvanie informácií.

Politiky riadenia systému identifikačných dát (čl. 20 RTS IKT risk management) obsahujú všetky tieto prvky:

  • pridelenie jedinečnej totožnosti odpovedajúcej jedinečnému používateľskému účtu každému zamestnancovi finančného subjektu alebo všetkým zamestnancom externých poskytovateľov IKT služieb, ktorí majú prístup k informačným aktívam a IKT aktívam finančného subjektu,
  • proces riadenia životného cyklu v prípade totožností a účtov, ktorými sa riadi vytváranie, zmena, preskúmanie a aktualizácia, dočasná deaktivácia a ukončenie všetkých účtov.

Politika riadenia logických prístupov (čl. 21RTS IKT risk management) obsahuje všetky tieto prvky:

  • prideľovanie prístupových práv k aktívam IKT na základe zásady potreby poznať, zásady potreby používať a zásady minimálneho privilégia, a to aj v prípade vzdialeného a núdzového prístupu;
  • segregácia povinností určených na zabránenie neoprávnenému prístupu ku kritickým údajom alebo na zabránenie prideľovaniu kombinácií prístupových práv, ktoré sa môžu použiť na obchádzanie kontrol;
  • stanovenie o zodpovednosti používateľa tým, že sa v čo najväčšej možnej miere obmedzí používanie generických a spoločných používateľských účtov a zabezpečí sa, aby boli používatelia vždy identifikovateľní, pokiaľ ide o činnosti, ktoré v IKT systémoch vykonávajú;
  • ustanovenie o obmedzeniach prístupu k IKT aktívam, v ktorom sa stanovujú kontroly a nástroje na zabránenie neoprávnenému prístupu;
  • postupy riadenia účtov na účely udeľovania, zmeny alebo odoberania prístupových práv k používateľským a generickým účtom vrátane generických správcovských účtov,
  • metódy autentifikácie,
  • opatrenia na kontrolu fyzického prístupu.

Časť 5 – Zálohovanie, reštaurovanie a obnova

Žiadateľ predloží zdokumentované politiky a postupy zálohovania, postupy a metódy reštaurovania a obnovy vypracované podľa ustanovení čl. 12 nariadenia DORA a RTS IKT risk management.

V týchto popíše najmä:

  • postup zálohovania údajov, IKT aktív a IKT systémov v súlade s kritickosťou a rizikovosťou vrátane rozsahu, frekvencie, oddelenej lokality od primárneho miesta (tzv. sekundárne miesto spracúvania),
  • spôsob ochrany záloh pred neoprávneným prístupom, zoznam skupín osôb s prístupom k zálohám a prípadným šifrovacím kľúčom,
  • postupy a metódy reštaurovania a obnovy,
  • postup pravidelného testovania obnovy údajov alebo IKT aktív zo záloh.

Časť 6 – Testovanie digitálnej prevádzkovej odolnosti

Žiadateľ vypracuje a predloží program na testovanie digitálnej prevádzkovej odolnosti, ktorý zahŕňa celý rad posúdení, testov, metodík, postupov a nástrojov, ktoré sa majú uplatňovať v súlade s čl.25 a 26 nariadenia DORA, obsahuje najmä:

  • popis postupov, procesov a zodpovedností pre nadobudnutie, vývoj, testovanie a produkciu IKT riešení vrátane popisu penetračných testov,
  • popis metód, postupov, nástrojov a posúdenia vhodnosti externých testovacích subjektov (požiadavky na nezávislých vykonávateľov testov s dostatočnými vedomosťami),
  • popis zabezpečenia prípadných produkčných údajov v neprodukčných (testovacích) prostrediach,
  • stanovenie pravidelných testov bezpečnostných opatrení podľa kritickosti IKT aktív vrátane určenia ich frekvencie.

Časť 7 – Vzdelávanie zamestnancov v oblasti informačnej bezpečnosti

Žiadateľ predloží program zvyšovania informovanosti o bezpečnosti v oblasti IKT a prehľad školení o digitálnej prevádzkovej odolnosti, ktoré by sa malo vzťahovať na všetkých interných zamestnancov až po úroveň vrcholového manažmentu a v náležitých prípadoch aj na externých poskytovateľov IKT služieb podľa čl. 13 a 30 nariadenia DORA.