h smjernice za upravljanje informacijskim sustavom

SMJERNICE ZA UPRAVLJANJE INFORMACIJSKIM SUSTAVOM U CILJU SMANJENJA OPERATIVNOG RIZIKA

OUJAK 2006.

Hrvatska narodna banka

Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika

Sadraj1. Uvod .......................................................................................................................................4 1.1. Temeljna naela informacijskog sustava.........................................................................6 1.2. Ciljevi, strategije i ostali interni akti ...............................................................................7 1.3. Sigurnost informacijskog sustava....................................................................................8 1.4. Elementi upravljanja rizikom ..........................................................................................9 2. Upravljanje informacijskim sustavom..................................................................................13 2.1. Uprava banke.................................................................................................................16 2.2. Voditelj organizacijske jedinice za informacijsku tehnologiju .....................................17 2.3. Voditelj sigurnosti informacijskog sustava ...................................................................18 2.4. Odbor za upravljanje informacijskim sustavom............................................................19 2.5. Upravljanje projektima..................................................................................................21 3. Upravljanje rizikom informacijskog sustava........................................................................23 3.1. Procjena rizika...............................................................................................................24 3.2. Smanjivanje rizika.........................................................................................................30 3.3. Kontrole.........................................................................................................................33 3.4. Klasifikacija informacija ...............................................................................................35 4. Unutarnja revizija.................................................................................................................36 5. Sigurnost informacijskog sustava.........................................................................................38 5.1. Politika sigurnosti informacijskog sustava....................................................................39 5.2. Upravljanje kontrolama pristupa...................................................................................40 5.3. Kriptografija ..................................................................................................................47 5.4. Fizika sigurnost............................................................................................................48 5.5. Upravljanje operativnim i sistemskim zapisima............................................................49 5.6. Zatita od malicioznog koda..........................................................................................51 6. Odravanje informacijskog sustava......................................................................................53 6.1. Upravljanje imovinom informacijskog sustava.............................................................53 6.2. Upravljanje promjenama ...............................................................................................55 6.3. Upravljanje konfiguracijama.........................................................................................57 6.4. Dokumentacija...............................................................................................................58 6.5. Izobrazba .......................................................................................................................59 7. Planiranje kontinuiteta poslovanja .......................................................................................61 7.1. Analiza utjecaja na poslovanje......................................................................................63 7.2. Plan kontinuiteta poslovanja..........................................................................................65 7.3. Plan oporavka................................................................................................................66 7.4. Upravljanje incidentima ................................................................................................67 7.5. Upravljanje priuvnom pohranom.................................................................................70 8. Razvoj sustava i eksternalizacija..........................................................................................72 8.1. Razvoj informacijskih sustava unutar banke.................................................................72 8.2. Eksternalizacija (dijela) informacijskog sustava...........................................................76 9. E-bankarstvo.........................................................................................................................82 9.1. Uvod ..............................................................................................................................82 9.2. Rizici povezani s e-bankarstvom...................................................................................84 9.3. Upravljanje rizikom e-bankarstva .................................................................................85 10. Zakljuci i preporuke..........................................................................................................92

3



1. UvodOsnovna naela u poslovanju banaka jesu naelo likvidnosti i naelo solventnosti. Kako bi osigurale poslovanje u skladu sa spomenutim naelima, banke su dune kontinuirano obavljati mjerenje, procjenu i upravljanje svim rizicima kojima su u svom poslovanju izloene. Rizici kojima su banke izloene u svom poslovanju i za koje minimalno moraju biti propisani postupci mjerenja, procjene i upravljanja ukljuuju i rizik koji proizlazi iz neadekvatnog upravljanja informacijskim i pridruenim tehnologijama. Hrvatska narodna banka uoila je potrebu da se bankama radi osiguranja sigurnosti i stabilnosti bankarskog poslovanja u Republici Hrvatskoj skrene pozornost na pitanja vezana uz rizik koji proizlazi iz neadekvatnog upravljanja informacijskim i pridruenim tehnologijama. Banke u svom poslovanju ovise o koritenju informacija. Pravodobne, tone i potpune informacije, s obzirom na njihov utjecaj na poslovanje i odluivanje, kljune su za ostvarivanje poslovnih ciljeva. Informacijska tehnologija omoguuje koritenje i upravljanje informacijama odnosno podrava i unapreuje poslovne procese kako bi se to djelotvornije ostvarivali poslovni ciljevi i postigla konkurentska prednost. Meudjelovanje informacijske tehnologije, podataka i postupaka za procesiranje podataka te ljudi koji prikupljaju i koriste navedene podatke ini informacijski sustav. Drugim rijeima, informacijski je sustav sveobuhvatnost infrastrukture, organizacije, ljudi i postupaka za prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz, distribuciju informacija i raspolaganje njima. S obzirom na ubrzani razvoj i sveprisutnost informacijske tehnologije u poslovnom okruenju, uporaba informacijskih sustava: jest jedan od kljunih imbenika u poslovanju banke; poveava meudjelovanje raznih sustava, jer se informacijski sustavi banke povezuju s klijentima, pruateljima usluga te ostalim subjektima preko javno dostupnih i privatnih telekomunikacijskih mrea; postavlja temelj za razvoj novih proizvoda i usluga te utjee na oblikovanje konkurentskih prednosti; pokree reinenjering strateki vanih poslovnih procesa; poveava potrebu za novim ulaganjima u resurse informacijskog sustava; zahtijeva usvajanje i primjenu novih strunih znanja. Iz navedenog proizlazi da je koritenje informacijske tehnologije u svim aspektima bankarskog poslovanja stvorilo veliku ovisnost o informacijskoj tehnologiji pa je prema tome potrebno posvetiti veliku pozornost upravljanju informacijskim sustavom kao sastavnom dijelu upravljanja bankom u cjelini. Nadalje, u sklopu upravljanja informacijskim sustavom posebnu pozornost potrebno je obratiti upravljanju rizikom koji proizlazi iz koritenja informacijskog sustava, kako bi se osiguralo pouzdano, sigurno i kontinuirano poslovanje banke. Rizici se procjenjuju s aspekta uinka koji bi mogao biti uzrokovan naruavanjem funkcionalnosti i sigurnosti informacijskog sustava, odnosno naruavanjem temeljnih naela informacijskog sustava (objanjava se u nastavku dokumenta). Upravljanje rizikom informacijskog sustava, za potrebe ovog dokumenta, obuhvaa postupke procjene rizika te poduzimanja radnja za smanjenje rizika na prihvatljivu razinu i odravanje prihvatljive razine

4



rizika. Poveani rizik informacijskog sustava proizlazi iz neprimjerenog koritenja i upravljanja resursima informacijskog sustava, te moe poveati financijski, strateki, operativni, reputacijski i pravni rizik.

5



1.1. Temeljna naela informacijskog sustavaFunkcionalan i siguran informacijski sustav mora se zasnivati na sljedeim temeljnim naelima: 1. povjerljivosti: svojstvu da informacije ne budu dostupne ili otkrivene neovlatenim subjektima; 2. integritetu: svojstvu da informacije i procesi nisu neovlateno ili nepredvieno mijenjani; 3. raspoloivosti: svojstvu koje omoguuje pristup i upotrebljivost na zahtjev ovlatenog subjekta; 4. neporecivosti: svojstvu koje osigurava nemogunost poricanja izvrene aktivnosti ili primitka informacije; 5. dokazivosti: svojstvu koje osigurava da aktivnosti subjekta mogu biti praene jedinstveno do samog subjekta; 6. autentinosti: svojstvu koje osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jest; 7. pouzdanosti: svojstvu dosljednog, oekivanog ponaanja i rezultata. Neporecivost, dokazivost, autentinost i pouzdanost mogu se promatrati i kao kombinacija naela povjerljivosti, integriteta i raspoloivosti. Posljedice naruavanja temeljnih naela informacijskog sustava jesu: Gubitak integriteta. Integritet sustava i podataka odnosi se na potrebu da informacije budu zatiene od neovlatenih ili neispravnih izmjena. Neovlatene ili neispravne izmjene dovode do gubitka integriteta. Ako integritet sustava ili podataka nije ponovo uspostavljen, nastavak koritenja takvim sustavom ili podacima moe dovesti do netonosti, prijevara ili pogrenih odluka. Isto tako, povreda integriteta moe biti prvi korak u naruavanju raspoloivosti ili povjerljivosti sustava. Zbog tih razloga gubitak integriteta smanjuje povjerenje u informacijski sustav. Gubitak raspoloivosti. Neraspoloivost informacijskog sustava potrebnog za obavljanje zadatka moe negativno utjecati na ciljeve banke i kontinuitet poslovanja te onemoguiti odvijanje vitalnih poslovnih procesa. Gubitak funkcionalnosti sustava i operativne djelotvornosti (uinkovitosti) moe, primjerice, dovesti do naruavanja reputacije banke, rezultirati gubitkom produktivnog vremena te onemoguiti krajnjeg korisnika u izvravanju radnih zadataka. Gubitak povjerljivosti. Neovlateno, neoekivano ili nenamjerno otkrivanje ili objavljivanje podataka moe rezultirati gubitkom povjerljivosti sustava i podataka. Gubitak povjerljivosti moe dovesti do tekih povreda vaeih propisa te utjecati na gubitak povjerenja javnosti i naruavanje reputacije banke, a moe prouzroiti i pokretanje sudskog postupka protiv banke. Pojam "temeljna naela informacijskog sustava" u nastavku dokumenta, ovisno o kontekstu, podrazumijeva jedno naelo ili kombinaciju naela povjerljivosti, integriteta, raspoloivosti, neporecivosti, dokazivosti, autentinosti i pouzdanosti.

6



1.2. Ciljevi, strategije i ostali interni aktiCiljevi, strategije i ostali interni akti banke trebaju biti definirani tako da budu temelj za djelotvorno upravljanje informacijskim sustavom te da podravaju poslovne procese i temeljna naela informacijskog sustava. Ciljevi odreuju to treba ostvariti, dok strategije odreuju kako ostvariti postavljene ciljeve. Ciljevi, strategije i ostali interni akti trebaju se razvijati hijerarhijski od upravljake prema operativnoj razini te trebaju: odraavati potrebe organizacijskih jedinica unutar banke uzeti u obzir organizacijska i druga ogranienja osigurati dosljednost na svim razinama. Strategije i ostale interne akte potrebno je odravati i aurirati u skladu s promjenama poslovnih ciljeva i rezultatima periodinih provjera (primjerice procjenama rizika, revizijama informacijskog sustava) te u skladu s promjenama u okruenju.

7



1.3. Sigurnost informacijskog sustavaBanke pri obavljanju svojih poslovnih aktivnosti uvelike ovise o obradi i upotrebi informacija. Naruavanje temeljnih naela informacijskog sustava moe imati negativne posljedice za banku. Stoga je potrebno primjereno zatititi informacije i upravljati sigurnou informacijskog sustava banke. Potreba za zatitom informacija i upravljanjem sigurnou posebice je vana u dananjem okruenju jer su informacijski sustavi banaka povezani s drugim informacijskim sustavima. Upravljanje sigurnou informacijskog sustava jest, izmeu ostalog, sveobuhvatan, detaljan i sustavan proces identificiranja potreba (radi ostvarivanja zadovoljavajue razine sigurnosti) te postizanja i odravanja zadovoljavajue razine sigurnosti informacijskog sustava.

8



1.4. Elementi upravljanja rizikom1.4.1. Resursi informacijskog sustava Pravilno upravljanje resursima informacijskog sustava kljuno je za uspjeh banke i za njega su odgovorne sve upravljake razine. Resursi, uz ostalo, ukljuuju: 1. opipljivu imovinu (primjerice hardver, komunikacijsku opremu, graevine) 2. informacije/podatke (primjerice dokumente, podatke u bazama podataka) 3. softver 4. sposobnost proizvodnje nekog proizvoda ili pruanja neke usluge (engl. know-how) 5. osobe koje odravaju i koriste informacijski sustav 6. neopipljivu imovinu (primjerice zatitni znak, reputaciju). Banka bi trebala identificirati i klasificirati resurse prema njihovoj vanosti i vrijednosti te odrediti i implementirati potreban stupanj zatite tih resursa. Proces identificiranja resursa i utvrivanja njihove vanosti i vrijednosti moe biti obavljen na najvioj razini i ne mora ukljuivati skupe, detaljne i vremenski zahtjevne analize. Detaljnost analize utvruje se na temelju postavljenih funkcionalnih i sigurnosnih ciljeva te bi se morala mjeriti u kontekstu utroenog vremena i nastalih trokova u odnosu na vanost i vrijednost resursa. Obiljeja resursa koja pritom treba uzeti u obzir jesu njihova vrijednost i osjetljivost, te eventualna inherentna zatita. Funkcionalne i sigurnosne potrebe resursa ovise o njihovoj ranjivosti u prisutnosti odreene prijetnje.

1.4.2. Prijetnje Resursi su izloeni raznim vrstama prijetnja. Prijetnja moe prouzroiti neeljenu situaciju ija posljedica moe biti nanoenje tete resursima banke. Drugim rijeima, teta moe nastati kao posljedica ostvarenja prijetnje (primjerice neovlatenog unitavanja, razotkrivanja, promjene te unoenja promjena koje uzrokuju pogreno zapisivanje, nedostupnost ili gubitak informacija). Prijetnja mora iskoristiti postojeu ranjivost resursa da bi se realizirala i rezultirala tetom. Prijetnje mogu biti prirodne ili uzrokovane ljudskim djelovanjem (sluajne ili namjerne). Stoga je potrebno tono utvrditi prijetnje kao i njihovu razinu i vjerojatnost. Primjeri prijetnja prikazani su u tablici br. 1: Tablica br. 1 Primjeri prijetnja Ljudske Namjerne prislukivanje modifikacija informacija "hakiranje" maliciozni kod kraa Sluajne pogreke i propusti potres nenamjerno brisanje datoteka, udar groma podataka i sl. pogreno preusmjeravanje poplava nenamjerno fiziko unitenje poar Prirodne

9



Dostupni su statistiki podaci o mnogim vrstama prijetnja koje bi banka trebala pribaviti i iskoristiti prilikom procesa procjene ranjivosti u svezi s odreenom prijetnjom. Prijetnja se moe pojaviti unutar banke (primjerice u obliku sabotae nekog od zaposlenika) ili izvan nje, (primjerice u obliku zlonamjernih "hakera" ili industrijske pijunae). teta koju nanose takvi neeljeni dogaaji moe biti prolazne prirode ili trajna (u sluaju potpunog unitenja resursa). Opseg tete uzrokovane prijetnjom moe se razlikovati prema neeljenom dogaaju. Virus, kao primjer malicioznog koda, moe uzrokovati razliitu razinu tete ovisno o svom djelovanju. Prijetnje je esto mogue kvantificirati i/ili kvalificirati kako bi se ocijenila njihova razorna mo (primjerice virus se moe opisati kao destruktivan ili nedestruktivan, a jaina potresa moe se opisati na temelju Richterove ljestvice). Neke prijetnje mogu utjecati na vie od jednog resursa te mogu imati razliit uinak ovisno o kojem se resursu radi (primjerice virus na osobnom raunalu moe imati ograniene ili lokalne posljedice, dok uinak istog virusa na mrenom posluitelju moe biti puno iri). Svaka prijetnja ima obiljeja koja pruaju korisne informacije o samoj prijetnji. Primjeri takvih korisnih informacija ukljuuju: 1. izvor (primjerice je li rije o unutranjoj ili vanjskoj prijetnji) 2. motiv (primjerice ostvarivanje financijske dobiti, ostvarivanje konkurentske prednosti) 3. uestalost pojavljivanja 4. razornu mo. Prijetnje je mogue okarakterizirati prema razini i vjerojatnosti pojedine prijetnje (primjerice kao velike, srednje i male).

1.4.3. Ranjivost Ranjivost je slabost koju je mogue sluajno aktivirati ili namjerno iskoristiti, a posljedica toga moe biti nanoenje tete informacijskom sustavu i poslovnim ciljevima. Ranjivosti koje se povezuju s resursima ukljuuju, izmeu ostalog, slabosti fizike sigurnosti, organizacije, internih akata, zaposlenika, upravljake strukture, hardvera, softvera i informacija. Ranjivost sama po sebi ne nanosi tetu, nego ranjivost moemo definirati kao stanje ili skup stanja koji moe omoguiti nekoj prijetnji da utjee na resurse (primjerice nedostatak mehanizama kontrole pristupa jest ranjivost koja bi mogla omoguiti ostvarenje prijetnje neovlatenog pristupa, to moe dovesti do gubitka ili oteenja resursa). Budui da se okruenje moe brzo promijeniti, potrebno je pratiti sve oblike ranjivosti kako bi se identificirale one koje su postale izloene starim i novim prijetnjama. Analiza ranjivosti je procjena slabosti koje identificirane prijetnje mogu iskoristiti. Ta bi analiza trebala uzeti u obzir okruenje i postojee zatitne mjere i kontrole. Ranjivost u odnosu na neku prijetnju pokazatelj je lakoe kojom je mogue natetiti sustavu ili resursima. Ranjivost se moe okarakterizirati ovisno o ishodu analize ranjivosti (primjerice kao velika, srednja i mala).

10



1.4.4. Uinak Uinak je posljedica nekoga neeljenog dogaaja, izazvanog namjerno ili sluajno, koji utjee na resurse. Posljedice mogu biti unitenje nekog resursa, nanoenje tete informacijskom sustavu te gubitak temeljnih naela informacijskog sustava ega rezultat moe biti (to moe prouzroiti) financijski gubitak i gubitak trinog udjela ili reputacije banke. Uestalost pojave neeljenog dogaaja takoer treba uzeti u obzir, posebice kada je razina tete poinjene svakim dogaajem niska, ali ukupan uinak veeg broja dogaaja s vremenom moe biti znatan. Analiza uinka vaan je element procjene rizika i odabira zatitnih mjera. Kvantitativna i kvalitativna mjerenja uinka mogu biti provedena na razliite naine, kao to su: utvrivanje trokova pridruivanje neke empirijske skale za njegovo mjerenje (npr. od 1 do 10) upotreba unaprijed odreenog naina stupnjevanja (npr. mali, srednji i veliki).

1.4.5. Rizik Rizik je funkcija vjerojatnosti da e identificirani izvor prijetnje iskoristiti odreenu ranjivost i uinka koji taj neeljeni dogaaj moe imati na banku. Drugim rijeima, rizik obiljeava kombinacija dvaju faktora, a to su vjerojatnost da e se neeljeni dogaaj dogoditi te njegov uinak. Svaka promjena resursa, prijetnja, ranjivosti ili zatitnih mjera moe znatno utjecati na rizik. Rano otkrivanje te prepoznavanje promjena koje su nastale u okruenju ili sustavu poveava mogunost pravodobnog poduzimanja koraka potrebnih za smanjivanje rizika.

1.4.6. Mjere Mjere ukljuuju sve postupke, procedure i mehanizme kojima se: tite resursi informacijskog sustava od prijetnja; smanjuju ranjivosti informacijskog sustava; ograniava uinak neeljenih dogaaja; otkrivaju neeljeni dogaaji; pospjeuje oporavak. Budui da mjere smanjuju izloenost banke riziku, moemo ih smatrati i zatitnim mjerama. Zatitne se mjere odnose na upravljaku, logiku i fiziku razinu. Djelotvorno upravljanje informacijskim sustavom obino zahtijeva kombiniranje razliitih zatitnih mjera kako bi se osigurala slojevita zatita resursa informacijskog sustava. Zatitne mjere imaju jednu od sljedeih uloga ili vie njih: 1. prevencije 2. odvraanja 3. otkrivanja 4. ograniavanja

11



5. 6. 7. 8.

korigiranja oporavka nadzora osvjeivanja.

Zatitne se mjere provode uvoenjem novih ili izmjenom postojeih kontrola. Podizanje razine znanja i svijesti zaposlenika vezanih uz sigurnost i funkcionalnost informacijskog sustava vana je zatitna mjera.

1.4.7. Preostali rizici U veini sluajeva provedba zatitnih mjera ne uklanja u potpunosti rizike, to upuuje na postojanje preostalih (rezidualnih) rizika. Upravljake strukture trebaju biti svjesne svih preostalih rizika sa stajalita njihova mogueg uinka i vjerojatnosti pojave negativnog dogaaja, te donijeti odluku o prihvaanju preostalih rizika kojima je izloen informacijski sustav.

1.4.8. Ogranienja Pri odabiru i provedbi mjera potrebno je uzeti u obzir ogranienja kao to su: 1. organizacijska ogranienja 2. financijska ogranienja 3. ogranienja odreenog okruenja 4. ogranienja vezana uz ljudske resurse 5. vremenska ogranienja 6. pravna ogranienja 7. tehnika ogranienja 8. kulturoloka i drutvena ogranienja. Veinu navedenih ogranienja obino postavljaju upravljake strukture banke, te na njih utjee okruenje u kojem banka posluje. Isto tako, potrebno je periodino revidirati ogranienja kako bi se identificirala nova ogranienja i uoile promjene ve poznatih ogranienja.

12



2. Upravljanje informacijskim sustavomCilj upravljanja informacijskim sustavom jest podravanje poslovnih ciljeva i strategije banke uz efikasno koritenje resursa informacijskog sustava te primjereno upravljanje rizicima koji proizlaze iz koritenja informacijske tehnologije. Uspjeno upravljanje informacijskim sustavom rezultira postizanjem optimalnog uinka informacijske tehnologije, te naposljetku daje dodatnu vrijednost poslovanju. Nadalje, upravljanje informacijskim sustavom odnosi se na sve osobe, sustave i procese koji svojim aktivnostima vezanim uz informacijski sustav pridonose ispunjavaju poslovnih ciljeva i strategije banke, te postizanju i odravanju temeljnih naela informacijskog sustava. Primjereno upravljanje informacijskim sustavom ukljuuje, meu ostalim, i uspostavu: adekvatne organizacijske strukture (primjerice organizacijske jedinice za informacijsku tehnologiju, organizacijske jedinice za upravljanje rizikom) odgovarajuih funkcija i odbora (kao to su voditelj organizacijske jedinice za informacijsku tehnologiju, voditelj sigurnosti informacijskog sustava, odbor za upravljanje informacijskim sustavom) procesa upravljanja rizikom informacijskog sustava (procjene rizika, poduzimanje radnja za smanjenje rizika na prihvatljivu razinu i odravanje prihvatljive razine rizika) i nadzora nad tim procesom. Nadalje, upravljanje informacijskim sustavom treba obuhvatiti sljedea podruja: sigurnost informacijskog sustava planiranje kontinuiteta poslovanja razvoj sustava i eksternalizaciju odravanje informacijskog sustava. Banka bi trebala uspostaviti organizacijsku jedinicu za informacijsku tehnologiju koja bi trebala pruati adekvatnu informatiku podrku ostalim organizacijskim jedinicama. Pri odreivanju organizacijske strukture i definiranju funkcija organizacijske jedinice za informacijsku tehnologiju potrebno je osigurati adekvatnu podjelu zadataka i ovlasti. Navedeno je potrebno kako bi se osiguralo prikladno rasporeivanje resursa za sve funkcije organizacijske jedinice za informacijsku tehnologiju i adekvatno razdvajanje (segregiranje) dunosti. Upravljanje informacijskim sustavom banke trebalo bi biti predmetom nadzora unutarnje revizije kako bi se neovisno i objektivno provjerila adekvatnost upravljanja tim sustavom.

Strategija i planiranje Banka bi trebala donijeti strategiju informacijskog sustava koja treba biti usklaena s poslovnom strategijom banke. Strategija informacijskog sustava trebala bi obuhvatiti dugorone i kratkorone inicijative povezane s informacijskim sustavom, pri emu valja uzeti u obzir barem sljedee: nove poslovne inicijative organizacijske promjene tehnoloki razvoj

13



regulatorne zahtjeve potrebe za resursima i nadzorom ogranienja.

Nadalje, strategija informacijskog sustava trebala bi biti formalno dokumentirana, odobrena od strane uprave banke te aurirana i revidirana na godinjoj razini. Strategiju informacijskog sustava potrebno je razraditi donoenjem stratekih i operativnih planova. Strateko planiranje vezano uz informacijski sustav usredotoeno je na srednji rok te pomae osigurati dosljednost primjene i usklaenost tehnolokih planova s poslovnim ciljevima banke. Uspjeno strateko planiranje treba osigurati informatiku podrku kojom bi se odrala ravnotea trokova i djelotvornosti te istodobno omoguilo poslovnim organizacijskim jedinicama da adekvatno odgovore na zahtjeve trita. Isto tako, potrebno je procijeniti potrebna financijska sredstva. Prilikom planiranja informacijskih sustava potrebno je razmotriti barem sljedee imbenike: poslovne ciljeve i planove banke uvjete na tritu planirani rast banke tehnoloke standarde vaee propise kontrolu trokova unapreenje procesa i porast djelotvornosti kvalitetu usluga pruenih klijentima banke usporedbu eksternalizacije procesa i provoenja procesa unutar banke optimalnu infrastrukturu sposobnost usvajanja i uvoenja novih tehnologija ogranienja. Operativno planiranje proizlazi iz stratekog planiranja, usredotoeno je na kratkorone aktivnosti te ukljuuje i donoenje financijskog plana. S obzirom na prije navedeno operativno bi planiranje trebalo biti usredotoeno na neposredna pitanja kao to su postojanje adekvatnih resursa informacijskog sustava, dostatnost financijskih sredstava, adekvatno upravljanje rizikom te uinak moguih promjena na poslovne procese, kako bi se zadovoljile operativne potrebe. Strateke i operativne planove potrebno je meusobno prilagoavati, ovisno o promjenama poslovnih ciljeva.

Interni akti Donoenje i primjena internih akata vezanih uz informacijski sustav osnova su za uspostavljanje i odravanje upravljakih kontrola koje bi trebale biti slojevite i hijerarhijski uspostavljene od najvie (strateke) razine prema najnioj (operativnoj) razini. Banka bi trebala donijeti, dokumentirati, provoditi i odravati interne akte kako bi adekvatno upravljala rizicima koji proizlaze iz koritenja informacijske tehnologije te naposljetku kako bi djelotvorno upravljala informacijskim sustavom u cjelini. Internim aktima smatraju se odluke, politike, standardi, smjernice, procedure, upute i ostali dokumenti za ije je donoenje

14



odgovorna uprava banke. Interne akte potrebno je integrirati u procese informacijskog sustava i svakodnevne aktivnosti zaposlenika. Nadalje, interni bi akti trebali biti usklaeni s propisima, standardima i pravilima struke. Interni akti na najvioj konceptualnoj ili hijerarhijskoj razini (primjerice politike) trebali bi obuhvatiti sva podruja i aspekte informacijskog sustava banke ukljuujui osobe, sustave i procese. Banka bi trebala procijeniti i odrediti koja je podruja i aspekte informacijskog sustava potrebno razraditi detaljnijim internim aktima nie razine (primjerice smjernicama, uputama i procedurama) te definirati razinu detaljnosti razrade. Razina detaljnosti i obuhvat pojedinog internog akta ovise o njegovoj svrsi, namjeni, vrsti te o kompleksnosti informacijskog sustava.

15



2.1. Uprava bankeUpravljanje informacijskim sustavom vrlo je vano u procesu donoenja poslovnih odluka. Kako bi banka primjereno upravljala informacijskim sustavom, uprava bi banke, izmeu ostalog, trebala: biti upoznata s konceptima i aktivnostima vezanim uz informacijski sustav odrediti lana uprave koji e biti nadlean za nadzor i kontrolu procesa upravljanja informacijskim sustavom uspostaviti adekvatnu organizacijsku strukturu, pripadajue funkcije i odbore koji upravljaju informacijskim sustavom banke delegirati ovlasti prema uspostavljenoj organizacijskoj i funkcionalnoj strukturi definirati kriterije, naine i postupke izvjeivanja uprave usvojiti strategiju informacijskog sustava te nadzirati njezino provoenje donijeti interne akte kojima se ureuje upravljanje informacijskim sustavom uspostaviti proces upravljanja rizikom informacijskog sustava.

16



2.2. Voditelj organizacijske jedinice za informacijsku tehnologijuUprava banke trebala bi imenovati voditelja organizacijske jedinice za informacijsku tehnologiju (engl. Chief Information Officer) te definirati njegove ovlasti, odgovornosti kao i djelokrug rada. Voditelj organizacijske jedinice informacijske tehnologije trebao bi prvenstveno biti usmjeren na strateka pitanja vezana uz informacijski sustav, upravljanje, nadzor i koordinaciju rada organizacijske jedinice informacijske tehnologije te na funkcionalnost i djelotvornost informacijskog sustava u cjelini. Nadalje, voditelj organizacijske jedinice informacijske tehnologije trebao bi imati prikladno struno obrazovanje i znanje te odgovarajue iskustvo na podruju informacijske tehnologije i upravljanja njome. Dobre prakse nalau da djelokrug rada voditelja organizacijske jedinice za informacijsku tehnologiju obuhvaa sljedee: razvoj i odravanje informacijskog sustava pruanje podrke korisnicima informacijskog sustava sudjelovanje u izradi strategije i stratekog plana informacijskog sustava planiranje, organizaciju, koordinaciju i nadzor aktivnosti organizacijske jedinice za informacijsku tehnologiju pokretanje inicijativa (npr. unapreivanje postojeih funkcionalnosti informacijskog sustava, uvoenje novih tehnolokih rjeenja, unapreenje sigurnosti informacijskog sustava i slino) provedbu svih prihvaenih inicijativa koje banka poduzima u svezi s informacijskim sustavom koordiniranje aktivnosti vezanih uz sigurnost informacijskog sustava s voditeljem sigurnosti informacijskog sustava koordiniranje aktivnosti glede informacijskog sustava s ostalim organizacijskim jedinicama i tijelima banke planiranje ulaganja u informacijski sustav sudjelovanje u procesu odabira i nabave informatike opreme sudjelovanje u planiranju, provedbi i nadzoru eksternalizacije (dijela) informacijskog sustava sudjelovanje u izradi internih akata povezanih s informacijskim sustavom (politika, standarda, procedura, smjernica, uputa, planova) planiranje izobrazbe upravljanje imovinom informacijskog sustava upravljanje odnosom s dobavljaima izvjetavanje uprave banke ostalo (ovisno o procjeni i odluci uprave banke).

17



2.3. Voditelj sigurnosti informacijskog sustavaBanka bi trebala uspostaviti neovisnu funkciju voditelja sigurnosti informacijskog sustava (engl. Chief Information Systems Security Officer - CISSO). Voditelj sigurnosti informacijskog sustava ne bi trebao istodobno biti angairan na drugim funkcijama koje mogu stvoriti sukob interesa (kao to su rukovoditelj ili zaposlenik organizacijske jedinice za informacijsku tehnologiju i unutarnji revizor informacijskog sustava). Voditelj sigurnosti trebao bi biti odgovoran upravi banke te svoja izvjea dostavljati izravno upravi, a ukoliko procijeni da je potrebno, i nadzornom odboru banke. Nadalje, jednom godinje voditelj sigurnosti informacijskog sustava trebao bi za upravu i nadzorni odbor izraditi izvjee o stanju sigurnosti informacijskog sustava u proteklih godinu dana. Voditelj organizacijske jedinice za informacijsku tehnologiju i unutarnji revizor trebali bi biti upoznati s navedenim izvjeima. Voditelj sigurnosti informacijskog sustava trebao bi: nadzirati i koordinirati aktivnosti vezane uz sigurnost informacijskog sustava inicirati primjenu dobrih praksi i prihvaenih standarda vezanih uz sigurnost informacijskog sustava imati savjetodavnu ulogu u svezi sa sigurnosti informacijskog sustava. Zadaci voditelja sigurnosti trebali bi, izmeu ostalog, ukljuivati sljedee:

odreivanje sigurnosnih ciljeva u skladu sa strategijom informacijskog sustava banke razvoj politike sigurnosti informacijskog sustava, standarda, smjernica i ostalih internih akata s ciljem postizanja i odravanja zadovoljavajue razine sigurnosti razvoj i primjenu strategije sigurnosti i sigurnosne arhitekture informacijskog sustava nadziranje istrage u sluajevima naruavanja sigurnosti informacijskog sustava suradnju s vanjskim suradnicima prilikom obavljanja neovisnih revizija i testiranja sigurnosti informacijskog sustava analiziranje sigurnosnih potreba te u skladu s njima predlaganje planiranja, implementacije, testiranja i nadziranja aktivnosti za poboljanje sigurnosti informacijskog sustava planiranje i koordiniranje analize isplativosti preporuenih i postojeih sigurnosnih rjeenja upozoravanje na potrebu za izobrazbom i davanje smjernica za izobrazbu svih osoba koje se koriste informacijskim sustavom banke, a u svezi sa sigurnosti informacijskog sustava dostavljanje izvjea upravi i nadzornom odboru banke procjenu rizika sigurnosti informacijskog sustava kontroliranje provoenja politike sigurnosti informacijskog sustava i ostalih internih akata koji se odnose na sve aspekte sigurnosti informacijskog sustava koordiniranje aktivnosti s organizacijskom jedinicom informacijske tehnologije i unutarnjom revizijom sudjelovanje u znaajnijim fazama u ivotnom ciklusu informacijskog sustava s aspekta sigurnosti sudjelovanje u planiranju kontinuiteta poslovanja.

18



2.4. Odbor za upravljanje informacijskim sustavomUprava banke trebala bi imenovati odbor za upravljanje informacijskim sustavom ija je uloga praenje i nadziranje informacijskog sustava i njegovih aktivnosti u smislu usklaenosti s poslovnim ciljevima i stratekim planom banke. Isto tako, uloga odbora za upravljanje informacijskim sustavom jest koordinacija inicijativa vezanih uz informacijski sustav na upravljakoj razini, omoguavanje optimizacije trokova i boljeg upravljanja informacijskim sustavom te smanjivanje rizika informacijskog sustava. Opseg djelovanja, ovlasti i ciljevi odbora za upravljanje informacijskim sustavom moraju biti jasno definirani. Aktivnosti odbora za upravljanje informacijskim sustavom trebale bi ukljuiti barem sljedee: koordiniranje i nadzor razvoja i primjenu strategije i stratekog plana informacijskog sustava ocjenjivanje i prihvaanje politike sigurnosti informacijskog sustava kako bi se osiguralo da politika sigurnosti odgovara poslovnim zahtjevima i ne ograniava poslovne aktivnosti odobravanje i kontrolu vanijih projekata vezanih uz informacijski sustav, kao i sredstava potrebnih za njihovu realizaciju postavljanje prioriteta vanih aktivnosti vezanih uz informacijski sustav predlaganje novih te ocjenjivanje postojeih internih akata koji se odnose na informacijski sustav nadziranje funkcionalnosti i sigurnosti informacijskog sustava u cjelini ovisno o potrebi, predlaganje ulaganja u informacijski sustav koja odstupaju od planiranih trokova arbitriranje u sluaju nesuglasica i spornih pitanja povezanih s informacijskim sustavom procjenjivanje i odobravanje eksternalizacije (dijela) poslovnih procesa te koordiniranje aktivnosti vezanih uz eksternalizaciju koordiniranje, nadzor i potvrivanje klasifikacije informacija podnoenje izvjea upravi banke o svom radu davanje miljenja o imenovanju voditelja sigurnosti informacijskog sustava. Odbor za upravljanje informacijskim sustavom trebao bi dobivati potrebne informacije od organizacijske jedinice za informacijsku tehnologiju i ostalih organizacijskih jedinica te unutarnje i vanjske revizije kako bi mogli djelotvorno koordinirati i kontrolirati resurse informacijskog sustava. Odbor za upravljanje informacijskim sustavom trebao bi se redovito sastajati te sastavljati zabiljeke radi dokumentiranja svojih aktivnosti i odluka. Dobre prakse nalau da lanovi odbora za upravljanje informacijskim sustavom budu: lan uprave banke rukovoditelj organizacijske jedinice za informacijsku tehnologiju voditelj sigurnosti informacijskog sustava osoba koja obavlja unutarnju reviziju informacijskog sustava (djelovanje te osobe u odboru ne bi smjelo stvoriti sukob interesa utjecanjem na proces donoenja odluka) predstavnici ostalih organizacijskih jedinica banke, odnosno barem onih organizacijskih jedinica koje su izrazito ovisne o informacijskom sustavu.

19



Sve navedene aktivnosti odbora za upravljanje informacijskim sustavom mogu provoditi i drugi odbori u skladu s potrebama i odlukom uprave banke.

20



2.5. Upravljanje projektimaDobre prakse nalau primjenu projektnog pristupa za postizanje specifinih ciljeva u okviru upravljanja informacijskim sustavom banke. Upravljanje projektima je primjena znanja, vjetina, alata i jasno definiranih te provjerenih tehnika na razliite aktivnosti za potrebe projekata. Upravljanje projektima podrazumijeva uspostavu procesa planiranja, organizacije, provedbe i kontrole osoba, sustava i procesa radi postizanja postavljenih ciljeva. Detaljni projektni planovi, jasno postavljeni zahtjevi i oekivanja, iskustvo voditelja projekata, realan budet i djelotvorna komunikacija uvelike pridonose uspjenom upravljanju projektima. Neprimjereno voenje projekata moe rezultirati, primjerice, kanjenjem projekta, prekoraenjem budeta projekta ili smanjenom kvalitetom proizvoda ili usluge. Smanjena kvaliteta proizvoda ili usluge moe se oitovati u problemima s pouzdanou, djelotvornou ili sigurnou, a svaka naknadna promjena koja unapreuje sigurnost, funkcionalnost i sustav kontrola u cjelini moe zahtijevati dodatne resurse (primjerice novac, ljude, vrijeme). Adekvatno upravljanje projektima omoguava banci razvoj novih proizvoda i usluga te irenje poslovanja u skladu sa stvarnim potrebama, pravodobno i u okviru planiranih financijskih i ljudskih resursa. Drugim rijeima, primjereno upravljanje projektima poveava sposobnost banke prilagoavanju promjenama u poslovanju i okruenju te omoguuje ostvarivanje postavljenih stratekih ciljeva. Uzimajui u obzir sloenost i posebnost projekata i poslovnih procesa, banka bi trebala definirati i formalno propisati proces upravljanja projektima. Metodologija upravljanja projektima (strukturirane tehnike voenja projekata koje ukljuuju naela, prakse i procedure) unapreuje kontrolu nad projektima dijelei sloene zadatke u manje cjeline kojima je lake upravljati. Metodologija upravljanja projektima trebala bi segmentirati projekte u projektne faze ovisno o odabiru metodologije (primjerice faza inicijacije projekta, planiranja, dizajniranja, razvoja, testiranja, implementacije i odravanja) kao i potrebne aktivnosti unutar projektnih faza. Isto tako, metodologija upravljanja projektima trebala bi se moi prilagoditi karakteristikama pojedinih projekata. Metodologija upravljanja projektima trebala bi definirati kriterije, naine i postupke upravljanja projektima odnosno osigurati postojanje adekvatnih: projektnih planova definicija zahtjeva i oekivanja od projekta standarda voenja projekta i procedura standarda kontrole kvalitete i upravljanja rizikom projekta definicija projektnih uloga i odgovornosti financijskih, vremenskih i ljudskih resursa kontrolnih toaka kanala i naina komunikacije.

21



Dobre prakse nalau primjenu projektnog pristupa prilikom: nabave, eksternalizacije i razvoja (dijela) informacijskog sustava ostalih aktivnosti kao to su migracija sustava i podataka, unapreivanje proizvoda, usluga i infrastrukture. Radi primjerenog upravljanja projektima vrlo je vano jasno definirati uloge i odgovornosti svih osoba i tijela ukljuenih u realizaciju projekata kao to su uprava banke, odbor za upravljanje informacijskim sustavom, voditelj projekta, sponzor projekta, organizacijska jedinica za informacijsku tehnologiju, kontrola kvalitete, zaposlenici iz poslovnih sektora, sistemski analitiari i tehnolozi poslovnih procesa, unutarnja revizija te voditelj sigurnosti informacijskog sustava. Ovisno o veliini i sloenosti projekta i samih poslovnih procesa uloge se mogu preklapati pri emu treba uzeti u obzir potrebu za primjerenom segregacijom dunosti. U svim projektnim fazama potrebno je obratiti pozornost na sigurnosne aspekte projekta te na zahtjeve koji proizlaze iz potrebe za odravanjem kontinuiteta poslovanja.

22



3. Upravljanje rizikom informacijskog sustavaUpravljanje rizikom je proces procjene rizika, poduzimanja radnja za smanjenje rizika na prihvatljivu razinu i odravanja prihvatljive razine rizika. Drugim rijeima, upravljanje rizikom kontinuirani je proces usporedbe procijenjenih rizika s prednostima i trokovima predloenih mjera te uvoenja odabranih mjera u skladu s poslovnim ciljevima i temeljnim naelima informacijskog sustava. Upravljanje rizikom treba obuhvatiti cjelokupni informacijski sustav banke. Za nove sustave i sustave koji su u fazi planiranja (ukljuujui i planiranje znaajnih promjena u informacijskom sustavu), upravljanje rizikom treba biti sastavni dio razvojnog procesa, dok se kod postojeih sustava treba uvesti u to kraem vremenu. Zatitne mjere se odabiru ovisno o rizicima odnosno o vjerojatnosti pojave neeljenog dogaaja i o njegovu uinku na informacijski sustav. Takoer je vano napomenuti da provoenje zatitnih mjera moe stvoriti nove ranjivosti i tako rezultirati novim rizicima. Stoga je potrebno pomno izabrati odgovarajue zatitne mjere, ne samo radi smanjivanja rizika ve i zato da bi se izbjeglo izlaganja novim rizicima. Isto tako, potrebno je razmotriti razliite vrste zatitnih mjera i provesti analizu isplativosti te uzeti u obzir prihvatljivu razinu rizika preostalih nakon provoenja odabranih mjera odnosno uvoenja kontrola. Rizici se procjenjuju s aspekta mogueg uinka kao posljedice naruavanja funkcionalnosti i sigurnosti informacijskog sustava, odnosno naruavanja temeljnih naela informacijskog sustava. Veina prijetnja i ranjivosti neposredno se odnosi na sigurnost informacijskog sustava stoga je u nastavku ovog dokumenta poseban naglasak stavljen na procjenu i smanjenje rizika s aspekta sigurnosti. Kako bi se postigla zadovoljavajua razina sigurnosti, banka bi trebala utvrditi sigurnosni potencijal kojim treba raspolagati informacijski sustav te planirati sredstva za njegovo ostvarenje. Upravljanje rizikom omoguuje uravnoteivanje operativnih trokova i koristi od zatitnih mjera da bi se adekvatno zatitio informacijski sustav. Upravljanje rizikom je kontinuirani proces koji ukljuuje: procjenu rizika smanjivanje rizika odravanje prihvatljive razine rizika. Dobre prakse nalau da se upravljanje rizikom integrira u ivotni ciklus informacijskog sustava kako bi procijenjeni rizik odgovarao stvarnom stanju sustava te kako bi se podrali poslovni ciljevi banke. U sljedea dva poglavlja ukratko su opisane radnje koje bi banka, prema dobrim praksama, trebala poduzimati u sklopu upravljanja rizicima. Spomenute su radnje samo jedan od naina provoenja procjene i smanjenja rizika.

23



3.1. Procjena rizikaBanka bi trebala pri procjeni rizika utvrditi razinu rizika kojem je izloen informacijski sustav te predloiti zatitne mjere kako bi se rizik smanjio na prihvatljivu razinu. Rizici se procjenjuju s aspekta mogueg uinka uzrokovanog naruavanjem funkcionalnosti i/ili sigurnosti informacijskog sustava. Kako bi se utvrdila vjerojatnost pojave nekog tetnog dogaaja, potrebno je analizirati prijetnje informacijskom sustavu zajedno s ranjivostima te kontrolama koje su primijenjene u informacijskom sustavu. Uinak se odnosi na opseg i veliinu tete koju prijetnja moe uzrokovati ako iskoristi odreenu ranjivost. Procjena rizika trebala bi ukljuivati sljedee radnje: 1. odreivanje obiljeja sustava 2. identifikaciju prijetnja 3. identifikaciju ranjivosti 4. analizu sustava kontrola 5. odreivanje vjerojatnosti 6. analizu uinka 7. utvrivanje rizika 8. predlaganje mjera 9. dokumentiranje rezultata u obliku formalnog izvjea.

3.1.1. Odreivanje obiljeja sustava Odreivanje obiljeja informacijskog sustava definira opseg procesa procjene rizika te daje informacije kljune za definiranje rizika. Utvrivanje rizika kojem je izloen informacijski sustav zahtijeva razumijevanje njegova okruenja. Stoga je potrebno prikupiti informacije o informacijskom sustavu koje ukljuuju: hardver softver sistemska suelja (npr. interna i eksterna sposobnost povezivanja) poslovne informacije i ostale informacije koje rabi informacijski sustav (informacije je potrebno klasificirati u razliite grupe prema stupnju njihove osjetljivosti, to je detaljnije opisano u poglavlju "Klasifikacija informacija") osobe koje odravaju i koriste informacijski sustav svrhu sustava (npr. procesi koje obavlja informacijski sustav) vanost i osjetljivost sustava i podataka (npr. vrijednost sustava ili kolika je njegova vanost za banku) ostalo. Nadalje, potrebno je prikupiti i dodatne informacije povezane s operativnim okruenjem informacijskog sustava koje ukljuuju sljedee (ali nisu ograniene na to): funkcionalne potrebe interne akte koji se odnose na informacijski sustav arhitekturu sigurnosti sustava topologiju mree (npr. dijagram mree)

24



tok informacija koje se odnose na informacijski sustav (npr. sistemska suelja, dijagram toka ulaznih i izlaznih podataka sustava) identifikaciju upravljakih, logikih i fizikih kontrola fiziku sigurnost (npr. sigurnost prostorija, politike pristupa sistemskoj prostoriji) sigurnost okoline u kojoj je informacijski sustav (npr. kontrola vlanosti, vode, napajanja, oneienja, temperature i kontrola prisutnosti kemikalija).

Rezultat: izvjee o obiljejima informacijskog sustava s cjelovitim prikazom okruenja informacijskog sustava

3.1.2. Identifikacija prijetnja Prijetnja je potencijal odreenog izvora prijetnja da uspjeno iskoristi odreenu ranjivost. Izvor prijetnje ne utjee na rizik ako ne moe iskoristiti ranjivost. Cilj identifikacije prijetnja jest otkriti prijetnje koje se odnose na informacijski sustav koji se procjenjuje, identificirati izvore prijetnja (ako je to mogue) te sastaviti popis identificiranih prijetnja i izvora. Prijetnja je: namjera ili radnja usmjerena k namjernom iskoritavanju ranjivosti sustava ili situacija ili radnja koja moe sluajno aktivirati ranjivost. Izvor prijetnje moe nanijeti tetu informacijskom sustavu. Uobiajeni izvori prijetnja mogu biti prirodni, ljudski ili iz okruenja. Stoga je potrebno identificirati sve prijetnje i izvore prijetnja koji bi mogli natetiti informacijskom sustavu banke i njegovu okruenju. Rezultat: izvjee s popisom prijetnja koje bi mogle iskoristiti ranjivosti informacijskog sustava banke i njihovih izvora

3.1.3. Identifikacija ranjivosti Ranjivost je slabost koju je mogue sluajno aktivirati ili namjerno iskoristiti. Sa stanovita sigurnosti informacijskog sustava ranjivost je mana ili slabost u sigurnosnim procedurama sustava, njegovu dizajnu, implementaciji ili unutarnjim kontrolama, koja moe biti iskoritena te rezultirati povredom sigurnosti. Cilj identifikacije ranjivosti jest utvrivanje ranjivosti informacijskog sustava koje bi mogli iskoristiti izvori prijetnja. Ranjivosti informacijskog sustava mogu biti otkrivene pomou razliitih metoda prikupljanja informacija. Pri analizi ranjivosti potrebno je, izmeu ostalog, uzeti u obzir sljedee: dokumentaciju o prethodnoj procjeni rizika informacijskog sustava izvjea unutarnje i vanjske revizije informacijskog sustava izvjea o nepravilnostima u sustavu izvjea o sigurnosti izvjea o testiranju informacijskog sustava

25



popise ranjivosti strune publikacije vezane uz informacijske sustave preporuke dobavljaa i proizvoaa izvjea o rezultatima testiranja informacijskog sustava pomou proaktivnih metoda testiranja (primjerice alata za automatsko otkrivanje ranjivosti, testiranje mogunosti prodora u sustav i slino).

Kao metoda u otkrivanju ranjivosti moe posluiti i izrada kontrolne liste zahtjeva koja sadri osnovne funkcionalne i sigurnosne kriterije koje je potrebno provjeriti kako bi se utvrdile ranjivosti resursa informacijskog sustava. Pri otkrivanju ranjivosti mogu se primijeniti kriteriji u sljedeim sigurnosnim segmentima: upravljakom (primjerice dodjela ovlasti i odgovornosti, procjena rizika) logikom (primjerice kontrole pristupa, komunikacija, operativni i sistemski zapisi) fizikom (primjerice kontrola i zatita okoline, fiziki pristup i raspolaganje medijima s podacima). Rezultat: izvjee s popisom identificiranih ranjivosti informacijskog sustava koje prijetnje mogu iskoristiti

3.1.4. Analiza sustava kontrola Cilj ove radnje jest analizirati sustav kontrola koje je banka uvela ili planira uvesti radi smanjenja ili otklanjanja vjerojatnosti (ili mogunosti) da neka prijetnja iskoristi ranjivost informacijskog sustava. Analiza sustava kontrola ukljuuje ispitivanje djelotvornosti kontrola koje su ve primijenjene u informacijskom sustavu. Sastavljanje kontrolne liste zahtjeva i/ili upotreba dostupne kontrolne liste moe biti od velike pomoi pri djelotvornom i sistematinom analiziranju sustava kontrola. Rezultat: izvjee s popisom kontrola i ocjenom njihove djelotvornosti

3.1.5. Utvrivanje vjerojatnosti Kako bi banka mogla utvrditi vjerojatnost da identificirana ranjivost bude iskoritena u okruenju izloenom prijetnji, potrebno je uzeti u obzir barem sljedee imbenike: motivaciju i sposobnost izvora prijetnje znaajke odreene ranjivosti postojanje i djelotvornost postojeih kontrola. Vjerojatnost da izvor prijetnje iskoristi ranjivost moe se iskazati pridruivanjem neke empirijske skale za mjerenje vjerojatnosti (npr. od 0 do 1) ili upotrebom unaprijed odreenog naina stupnjevanja kao npr. mala, srednja i velika vjerojatnost. Rezultat: ocjena vjerojatnosti

26



3.1.6. Analiza uinka Analiza uinka je procjenjivanje negativnog uinka koji bi mogao nastati ukoliko prijetnja uspjeno iskoristi ranjivost. Osnovne informacije potrebne za analizu uinka ukljuuju barem sljedee: svrhu sustava (primjerice procesa koje obavlja informacijski sustav) vanost sustava i podataka za poslovanje banke osjetljivost podataka i sustava. Navedene informacije mogue je dobiti iz analize utjecaja na poslovanje, klasifikacije informacija te prikupljanjem informacija od zaposlenika i ostalih izvora. Na temelju dobivenih informacija potrebno je procijeniti negativan uinak nekog neeljenog dogaaja. Negativan uinak dogaaja mogue je opisati kao naruavanje funkcionalnosti ili gubitak odnosno kompromitiranje bilo kojeg temeljnog naela informacijskog sustava ili kombinacije tih naela. Pojedine uinke mogue je mjeriti kvantitativno, u obliku izgubljenog prihoda, trokova popravka sustava ili vremena koje je potrebno uloiti kako bi se rijeili problemi nastali izvrenjem prijetnje. Drugi uinci (npr. gubitak povjerenja javnosti, gubitak kredibiliteta, teta nainjena interesima banke) ne mogu se mjeriti odreenim mjernim jedinicama, ali ih je mogue odrediti ili opisati kvalitativno (npr. kao male, srednje i velike uinke). Rezultat: izvjee o procijenjenoj razini uinka

3.1.7. Utvrivanje rizika Svrha ove radnje jest procijeniti razinu rizika kojem je izloen informacijski sustav banke. Utvrivanje rizika izloenosti odreenoj kombinaciji prijetnje i ranjivosti moe se izraziti kao funkcija: vjerojatnosti da e identificirani izvor prijetnje iskoristiti odreenu ranjivost jaine (razine) uinka ako izvor prijetnje uspjeno iskoristi ranjivost. Prilikom utvrivanja razine rizika potrebno je uzeti u obzir i prikladnost planiranih ili postojeih kontrola za smanjivanje ili uklanjanje rizika te uestalost pojave neeljenih dogaaja. Jedan od naina mjerenja rizika jest izrada matrice razine rizika i ljestvice rizika.

Matrica razine rizika Razina rizika utvruje se mnoenjem ocjene koja je dodijeljena vjerojatnosti da izvor prijetnje iskoristi ranjivost s ocjenom uinka neeljenog dogaaja, pri emu se uzima u obzir prikladnost planiranih ili postojeih kontrola. Tablica br. 2 daje jednostavan primjer kako se mogu odrediti rizici na temelju podataka o vjerojatnosti da izvor prijetnje iskoristi ranjivost i o uinku.

27



Primjer u tablici br. 2 jest matrica vjerojatnosti da izvor prijetnje iskoristi ranjivost (velika, srednja i mala) i uinka (velikog, srednjeg i malog), koja prikazuje kako se rauna ukupna razina rizika. Na primjer: ocjena vjerojatnosti da izvor prijetnje iskoristi ranjivost koja se pripisuje svakoj razini vjerojatnosti prijetnje jest 1,0 za veliku, 0,5 za srednju i 0,1 za malu; ocjena uinka koja se dodjeljuje svakoj razini jaine uinka jest 100 za veliku, 50 za srednju i 10 za malu. Ovisno o potrebama i detaljnosti procjene rizika moe se koristiti matrica proizvoljnih dimenzija. Tablica br. 2 Matrica razine rizika (engl. Risk-Level Matrix) Vjerojatnost da izvor prijetnje iskoristi ranjivost Velika (1,0) Srednja (0,5) Mala (0,1) Uinak Srednji (50) 50 x 1,0 = 50 50 x 0,5 = 25 50 x 0,1 = 5

Mali (10) 10 x 1,0 = 10 10 x 0,5 = 5 10 x 0,1 = 1

Veliki (100) 100 x 0,5 = 50 100 x 0,1 = 10

Ljestvica rizika Tablica br. 3 opisuje razine rizika prikazane u tablici br. 2. Ljestvica rizika s pripadajuim ocjenama predstavlja stupanj ili razinu rizika kojem su izloeni resursi informacijskog sustava ako je iskoritena odreena ranjivost. Stupanj ili razina rizika odreuje aktivnosti koje bi se trebale poduzeti. Tablica br. 3 Primjer ljestvice rizika i aktivnosti koje je potrebno poduzeti Razina rizika Velik rizik (vei od 51) Opis rizika i aktivnosti koje je potrebno poduzeti Ako je rizik procijenjen kao velik, nuno je hitno provoenje mjera za smanjenje rizika. Postojei sustav moe nastaviti raditi, ali nuno je u to kraem roku sastaviti plan provoenja mjera te odrediti prioritete i rokove. Ako je rizik procijenjen kao srednji, nuno je provoenje mjera za smanjenje rizika. Potrebno je sastaviti plan provoenja mjera kako bi se one provele u razumnom vremenu. Ako je rizik procijenjen kao malen, potrebno je utvrditi je li nuno provoenje mjera za smanjenje rizika ili se rizik moe prihvatiti.

Srednji rizik (11 do 50)

Malen rizik (1 do 10)

Ako je razina nekih elemenata (vjerojatnosti, uinka ili rizika) tako mala da se moe okarakterizirati kao ''zanemariva'' ili nevana (primjerice vrijednost je < 1 na ljestvici od 0 do 100), potrebno ju je posebno zabiljeiti. Time se osigurava da isti elementi budu ukljueni u sljedeu procjenu. Navedeno je posebno vano jer ''zanemarivi'' rizici mogu s vremenom prerasti u rizike zbog kojih je potrebno poduzeti odreene aktivnosti.

28



Rezultat: matrica razine rizika ljestvica rizika i aktivnosti koje je potrebno poduzeti

3.1.8. Predlaganje mjera Predloene mjere jedan su od rezultata procesa procjene rizika. Cilj predloenih mjera jest smanjiti razinu rizika kojem je izloen informacijski sustav na prihvatljivu razinu. Prilikom predlaganja mjera za smanjenje ili otklanjanje utvrenih rizika treba uzeti u obzir, izmeu ostalog, sljedee imbenike: djelotvornost predloenih mjera vaee propise interne akte banke utjecaj na poslovne procese utjecaj na temeljna naela informacijskog sustava. U procesu smanjenja rizika odabiru se najprikladnije predloene mjere te se slijedom toga provode uvoenjem novih ili izmjenom postojeih kontrola. Rezultat: izvjee o predloenim mjerama za smanjivanje rizika

3.1.9. Izvjee o procjeni rizika Nakon zavretka procjene rizika (odreena su obiljeja sustava, identificirane prijetnje i ranjivosti, procijenjeni rizici te predloene mjere) potrebno je dokumentirati rezultate u obliku formalnog izvjea. Izvjee o procjeni rizika pomae upravi banke i drugim odgovornim osobama da donesu odluke o promjenama internih akata i prorauna te odluke o operativnim i upravljakim promjenama. Izvjee o procjeni rizika trebalo bi biti sastavljeno na sistematian, analitian i afirmativan nain koji e upravi banke omoguiti prepoznavanje rizika i promovirati potrebu alociranja sredstva kako bi utvreni rizici bili smanjeni na prihvatljivu razinu, a potencijalni gubici izbjegnuti. Rezultat: izvjee o procjeni rizika

29



3.2. Smanjivanje rizikaSmanjivanje rizika ukljuuje odreivanje prioriteta, procjenu, odabir i provoenje adekvatnih zatitnih mjera za smanjivanje rizika (predloenih u sklopu procesa procjene rizika) s obzirom na uestalost pojave neeljenih dogaaja i njihov uinak. Budui da je uklanjanje svih rizika kojima je izloen informacijski sustav gotovo nemogue, banka bi trebala poduzeti sve potrebne radnje kako bi smanjila rizik informacijskog sustava na prihvatljivu razinu provoenjem adekvatnih zatitnih mjera. Prilikom provoenja mjera potrebno je posebnu pozornost posvetiti smanjenju najznaajnijih rizika (kombinacija prijetnja i ranjivosti koje mogu potencijalno uzrokovati znaajan negativan uinak) na prihvatljivu razinu uz najmanji mogui utjecaj na ostale poslovne procese. Smanjivanje rizika identificiranih u procesu procjene rizika moe se postii na sljedee naine: Izbjegavanjem rizika. Izbjegavanje rizika uklanjanjem uzroka rizika i/ili posljedica (npr. odriui se odreenih funkcija sustava ili prestankom koritenja sustava kad su rizici otkriveni). Ograniavanjem rizika. Ograniavanje rizika provoenjem mjera (npr. primjenom preventivnih i detekcijskih kontrola) kojima se smanjuju potencijalni negativni uinci na prihvatljivu razinu. Prenoenjem rizika. Prenoenje rizika pomou drugih naina naknade pretrpljene tete (npr. ugovaranjem osiguranja). Pri odabiru bilo koje od ovih mogunosti smanjenja rizika potrebno je uzeti u obzir poslovne ciljeve i zadatke banke te potrebu za ouvanjem temeljnih naela informacijskog sustava. Ukoliko banka u procesu procjene rizika utvrdi da je rizik prihvatljiv, odnosno da nije potrebno njegovo daljnje smanjivanje, navedeni je rizik mogue prihvatiti donoenjem odluke o prihvaanju preostalih rizika. Smanjivanje rizika trebalo bi obuhvatiti sljedee radnje: 1. odreivanje prioriteta aktivnosti 2. procjenu predloenih mjera za smanjivanje rizika 3. provoenje analize isplativosti 4. odabir mjera za smanjivanje rizika 5. dodjeljivanje odgovornosti 6. izradu plana provoenja odabranih mjera 7. utvrivanje preostalih rizika.

3.2.1. Odreivanje prioriteta aktivnosti Prioriteti provoenja aktivnosti odreuju se na temelju utvrenih razina rizika sadranih u ljestvici rizika i u izvjeu o procjeni rizika. Viim razinama rizika dodijelit e se vii prioriteti (primjerice aktivnosti povezane s rizikom kojem je dodijeljena ocjena rizika vrlo visok ili visok, imat e najvii prioritet). U skladu s dodijeljenim prioritetima potrebno je provesti mjere kako bi se smanjili rizici kojima je izloen informacijski sustav i zatitili poslovni ciljevi. Rezultat: popis aktivnosti ocijenjenih prema prioritetima

30



3.2.2. Procjena predloenih mjera za smanjivanje rizika Pri procjenjivanju predloenih mjera potrebno je analizirati njihovu izvedivost (npr. kompatibilnost, prihvaanje od strane korisnika) i djelotvornost (npr. stupanj zatite i razinu smanjivanja rizika) zato to neke od predloenih mjera nisu uvijek i najprikladnija ili najisplativija rjeenja za banku i informacijski sustav. Cilj je ove radnje odabrati najprikladniju mjeru kako bi se rizik smanjio na prihvatljivu razinu. Rezultat: popis prikladnih mjera

3.2.3. Provoenje analize isplativosti Analiza isplativosti prikladnih mjera provodi se kako bi se olakalo donoenje odluka i utvrdila isplativost provoenja navedenih mjera. Rezultati analize mogu se iskazati kvalitativno ili kvantitativno. Svrha takve analize jest utvrivanje mjera iji e trokovi provoenja biti opravdani smanjenjem razine rizika na prihvatljivu razinu. Rezultat: izvjee o analizi isplativosti koja opisuje trokove i prednosti provoenja mjera ili razloge zbog kojih mjere nisu isplative

3.2.4. Odabir mjera za smanjivanje rizika Svrha ove radnje jest odabrati najdjelotvornije mjere za smanjivanje rizika. Odabrane mjere trebale bi kombinirati upravljake, logike i fizike elemente. Rezultat: popis odabranih mjera za smanjivanje rizika

3.2.5. Dodjeljivanje odgovornosti Svrha ove radnje jest odabir osoba (zaposlenika banke ili vanjskih suradnika) koje raspolau adekvatnim znanjem i vjetinama potrebnim za provoenje odabranih mjera te dodjeljivanje odgovornosti za provoenje mjera. Rezultat: popis dodijeljenih odgovornosti

3.2.6. Izrada plana provoenja odabranih mjera Svrha ove radnje jest izrada plana prema kojem e se provoditi odabrane mjere za smanjenje rizika. Provoenje odabranih mjera ostvaruje se uvoenjem novih ili izmjenom postojeih kontrola. Plan provoenja odabranih mjera treba sadravati barem sljedee: rizike (kombinacije ranjivosti i prijetnja) i pripadajue razine rizika (rezultate izvjea o procjeni rizika) 31



predloene mjere (rezultat izvjea o predloenim mjerama za smanjivanje rizika) ocjenu prioriteta (u skladu s razinama rizika) odabrane mjere (na temelju popisa odabranih mjera za smanjivanje rizika) resurse potrebne za provoenje odabranih zatitnih mjera popise odgovornih osoba datume poetka i zavretka provedbe odabranih zatitnih mjera.

Rezultat: plan provoenja odabranih mjera

3.2.7. Utvrivanje preostalih rizika U veini sluajeva provedene mjere za smanjivanje rizika rezultiraju smanjenjem, ali ne i potpunim otklanjanjem rizika, to upuuje na postojanje preostalih (rezidualnih) rizika. Nakon provoenja odabranih mjera potrebno je utvrditi preostale rizike te donijeti odluku o prihvaanju preostalih rizika ili poduzimanju radnja za daljnje smanjenje rizika. Rezultat: popis preostalih (rezidualnih) rizika

32



3.3. KontroleProvoenje odabranih mjera za smanjivanje rizika ostvaruje se uvoenjem novih ili izmjenom postojeih kontrola. Kontrole je mogue podijeliti na sljedee tri kategorije: upravljake, logike (tehnike) i fizike. Budui da je informacijski sustav siguran onoliko koliko je siguran njegov najranjiviji dio, nuan je slojevit pristup u izgradnji sigurnosne infrastrukture, koji ukljuuje razliite kombinacije upravljakih, logikih i fizikih kontrola. Koritenjem navedenih kategorija kontrola znaajno se smanjuje rizik od naruavanja temeljnih naela informacijskog sustava. Pravilnim provoenjem kontrola mogue je sprijeiti ili ograniiti tetu koju izvor prijetnje moe nanijeti banci, odnosno smanjiti rizik informacijskog sustava. Kontrole (slino kao i zatitne mjere) dijele se i prema njihovim ulogama na kontrole: 1. prevencije 2. odvraanja 3. otkrivanja 4. ograniavanja 5. korigiranja 6. oporavka 7. nadzora 8. osvjeivanja.

3.3.1. Upravljake kontrole Upravljake se kontrole provode donoenjem i primjenom internih akata radi osiguranja funkcionalnosti i sigurnosti te ouvanja temeljnih naela informacijskog sustava banke. Primjeri upravljakih kontrola jesu: dodjeljivanje odgovornosti razvijanje i odravanje politike sigurnosti informacijskog sustava te ostalih internih akata vezanih uz informacijski sustav uvoenje sigurnosne kontrole zaposlenika (primjerice razdvajanje dunosti, princip dodjeljivanja prava koritenja informacijskog sustava samo do razine koja je nuno potrebna za izvravanje radnih zadataka, dodjeljivanje posebnih dozvola, rotacija dunosti te dodjeljivanje i ukidanje prava pristupa informacijskom sustavu) kontrole vezane uz radnje koje je potrebno provoditi prilikom zapoljavanja, prekida radnog odnosa, premjetaja u drugu organizacijsku jedinicu i promaknua provoenje izobrazbe te podizanje razine svijesti o rizicima informacijskog sustava kako bi se osiguralo da krajnji korisnici i ostali korisnici sustava budu upoznati s njima te s pravilima ponaanja i odgovornostima provoenje periodinih nadzora i provjera djelotvornosti kontrola provoenje periodine revizije informacijskog sustava uspostava kontinuiranog procesa upravljanja rizikom radi procjene i smanjenja rizika uspostava procesa planiranja kontinuiteta poslovanja provoenje testiranja.

33



3.3.2. Logike kontrole Kontrole na softverskim i hardverskim komponentama informacijskog sustava nazivamo logikim kontrolama. Primjeri logikih kontrola jesu: softverske i hardverske kontrole za utvrivanje autentinosti, autorizaciju, provoenje obavezne kontrole pristupa te osiguranje neporecivosti radnja, zatienosti komunikacijskih kanala i povjerljivosti transakcija kontrole pristupa informacijskom sustavu kao to su: kombinacija korisnikoidentifikacijske oznake i zaporke, PKI infrastruktura, biometrijske kontrole, autentifikacija pomou "pametne kartice" (engl. smart card) i slino upotreba kriptografskih metoda u svrhu zatite informacija u postupku njihovog prijenosa kroz telekomunikacijsku mreu, te za vrijeme pohrane upotreba sistemskih i operativnih zapisa kako bi se biljeile aktivnosti koje su uinjene unutar telekomunikacijske mree, na mrenom ureaju ili na pojedinom raunalu upotreba usmjernika, preklopnika, vatrozida i ostalih mrenih komponenata u svrhu kontrole pristupa mrenim resursima te izdvajanja i zatite pojedinih segmenata unutar mree upotreba metoda za otkrivanje neovlatenog pristupa i radnja na informacijskom sustavu upotreba metoda za otkrivanje pogreaka u podacima i naruavanja njihova integriteta metode otkrivanja, sprjeavanja irenja i unitavanja malicioznog koda.

3.3.3. Fizike kontrole Fizike kontrole tite i osiguravaju resurse informacijskog sustava od neovlatenog fizikog pristupa, krae, fizikog oteenja ili unitenja. Fizike kontrole trebaju pruiti potporu upravljakim i logikim kontrolama i zajedniki djelovati kako bi se rizik informacijskog sustava sveo na prihvatljivu razinu. Primjeri fizikih kontrola jesu: metode fizike zatite opipljive imovine (osobnih raunala, posluitelja, mrenih ureaja, kabela, medija, graevina i slino) od neovlatenog pristupa mehanizmi nadzora okoline (videonadzor prostorija banke, osvjetljivanje okoline, detektori pokreta, senzori, alarmi i slino) biometrijske kontrole pristupa informacijskim resursima kontrola vlage, temperature, dima i slino fiziko odvajanje dijelova telekomunikacijske mree mehanizmi osiguravanja priuvnog izvora napajanja elektrinom energijom (npr. sustav za neprekinuto napajanje elektrinom energijom, generatori).

34



3.4. Klasifikacija informacijaBanka mora uvati povjerljive podatke u skladu s vaeim propisima. Informacije je potrebno klasificirati u razliite grupe prema stupnju njihove osjetljivosti (npr. jako osjetljive, osjetljive i neosjetljive) s obzirom na mogue posljedice naruavanja temeljnih naela informacijskog sustava. Osjetljiva informacija je bilo koja informacija ije razotkrivanje, privremeni ili trajni gubitak, zlouporaba ili neovlatena modifikacija mogu negativno utjecati na interese banke i klijenata te na usklaenost s vaeim propisima. Banka bi trebala odrediti grupe u koje e se informacije klasificirati, te odrediti smjernice i pravila za svrstavanje u pojedinu grupu. Na temelju toga svaku informaciju potrebno je klasificirati (svrstati u neku od definiranih grupa). Cilj klasifikacije informacija jest postizanje odgovarajueg stupnja zatite informacija pri emu treba uzeti u obzir njihovu osjetljivost. Banka bi trebala donijeti i interne akte kojima bi se definirali kriteriji i postupci te odgovornosti za provoenje klasifikacije informacija. Banka takoer mora osigurati da informacije pohranjene na razliitim medijima budu adekvatno zatiene te uspostaviti siguran proces odlaganja i unitavanja tih medija.

35



4. Unutarnja revizijaU skladu s odredbama Zakona o bankama ("Narodne novine", broj 84/2002., u nastavku teksta: ZOB), banka mora organizirati unutarnju reviziju koja e neovisno i objektivno obavljati svoje poslove te koja e svojim savjetima i preporukama pridonositi unapreivanju poslovanja banke. Jedan od zadataka unutarnje revizije jest obavljanje stalnog nadzora nad cjelokupnim poslovanjem banke kako bi se provjerilo upravlja li banka sustavno rizicima koji proizlaze iz poslovnih aktivnosti banke u skladu s naelima stabilnog poslovanja, to ukljuuje upravljanje resursima informacijske i pridruenih tehnologija. Unutarnja revizija treba obavljati i poslove revizije informacijskog sustava, iz ega proizlazi da unutarnja revizija treba biti organizirana tako da se osigura sustavno obavljanje revizije informacijskog sustava. Obavljanje revizije informacijskog sustava banke, za potrebe ovog dokumenta, nazivamo unutarnjom revizijom informacijskog sustava. Kako bi se unutarnja revizija informacijskog sustava banke provela na zadovoljavajui i djelotvoran nain, osobe koje obavljaju unutarnju reviziju informacijskog sustava trebale bi: posjedovati struna znanja i vjetine, iskustvo te razinu kvalifikacija u skladu s veliinom i sloenou informacijskog sustava banke koristiti se metodologijom za provoenje revizije informacijskog sustava temeljenom na procjeni rizika koja bi detaljno definirala kriterije, nain i postupke provoenja revizije informacijskog sustava te osigurala dosljednost i sveobuhvatnost revizije informacijskog sustava razmotriti dobre prakse upotrebe softverskih alata za provoenje revizije i kontrolu informacijskog sustava evidentirati, prikupiti i arhivirati dokumentaciju na temelju koje je sastavljeno izvjee o provedenoj reviziji imajui u vidu potrebu za adekvatnom zatitom osjetljivih informacija. Banka bi trebala kontinuirano obavljati unutarnju reviziju informacijskog sustava i definirati razdoblje (ciklus) unutar kojeg e obaviti unutarnju reviziju cjelokupnoga informacijskog sustava. Prilikom sastavljanja godinjeg programa rada te odreivanja predmeta, obuhvata i uestalosti revizije pojedinih podruja informacijskog sustava potrebno je uzeti u obzir i rukovoditi se sljedeim: obavljenom procjenom rizika informacijskog sustava banke iskustvom te dobrim praksama u reviziji informacijskih sustava raspoloivim resursima novim saznanjima o informacijskom sustavu. Na temelju godinjeg programa rada unutarnje revizije potrebno je donijeti i operativne planove rada za unutarnju reviziju informacijskog sustava. Operativni planovi rada za unutarnju reviziju informacijskog sustava trebali bi sadravati barem sljedee: ciljeve i opseg revizija popis podruja koja e biti predmetom revizija popis predmeta revizije unutar svakog podruja vremenski raspored revizija koje e se obaviti u razdoblju obuhvaenom planom

36



trajanje revizija.

Na temelju provedene revizije informacijskog sustava unutarnja revizija informacijskog sustava trebala bi sastaviti pisano izvjee o obavljenoj reviziji informacijskog sustava koje bi trebalo sadravati barem sljedee: popis revidiranih podruja popis osoba koje su sudjelovale u reviziji cilj i opseg revizije ocjenu revidiranih podruja nedostatke i slabosti revidiranih podruja nezakonitosti i nepravilnosti, ako su utvrene tijekom obavljanja revizije informacijskog sustava prijedloge, preporuke i rokove za otklanjanje utvrenih nezakonitosti, nepravilnosti, nedostataka i slabosti. Unutarnja revizija trebala bi sastaviti izvjea o radu u skladu s rokovima utvrenima operativnim planom rada. Izvjea o radu trebala bi sadravati i izvjea o obavljenim revizijama informacijskog sustava. Dobre prakse nalau da unutarnja revizija informacijskog sustava bude ukljuena u revidiranje projekata i/ili njihovih faza (primjerice razvoj aplikacija, nabava, migracija sustava, integracije sustava), kao i ostalih aktivnosti vezanih uz informacijski sustav (primjerice upravljanje informacijskim sustavom, planiranje kontinuiteta poslovanja, eksternalizacija (dijela) informacijskog sustava) koje mogu imati znatan utjecaj na funkcionalnost i sigurnost informacijskog sustava.

37



5. Sigurnost informacijskog sustavaSigurnost je odgovornost svih upravljakih razina banke te je vrlo vana u svim fazama ivotnog ciklusa informacijskog sustava. Sigurnost informacijskog sustava obuhvaa sve aspekte povezane s definiranjem, ostvarivanjem i odravanjem temeljnih naela informacijskog sustava. Kako bi se postigla i odrala adekvatna razina sigurnosti informacijskog sustava, dobre prakse nalau rukovoenje sljedeim naelima: 1. naelom zabrane svih radnja koje nisu eksplicitno doputene na temelju dodijeljenih ovlasti 2. naelom dodjele najmanjih moguih ovlasti resursima informacijskog sustava (ukljuujui osobe, sustave i procese) koje omoguuju djelotvorno poslovanje.

38



5.1. Politika sigurnosti informacijskog sustavaPolitika sigurnosti informacijskog sustava temeljni je okvir za upravljanje sigurnou informacijskog sustava banke i trebala bi odraavati opeprihvaena naela sigurnosti. Politika sigurnosti informacijskog sustava trebala bi sadravati naela i principe upravljanja sigurnou resursa informacijskog sustava te odgovornosti koje se odnose na sigurnost informacijskog sustava. Banka bi trebala donijeti politiku sigurnosti informacijskog sustava, upoznati korisnike informacijskog sustava s njom te imenovati osobu odgovornu za praenje provoenja te politike. Cilj donoenja politike sigurnosti informacijskog sustava jest osiguranje adekvatne razine sigurnosti informacijskog sustava. Politika sigurnosti informacijskog sustava trebala bi obuhvatiti podruja upravljake, logike i fizike zatite resursa informacijskog sustava u skladu s veliinom, obuhvatom i kompleksnosti informacijskog sustava. Na temelju politike sigurnosti informacijskog sustava banka bi trebala propisati i primijeniti detaljne interne akte koji se odnose na sve aspekte sigurnosti informacijskog sustava. Politiku sigurnosti informacijskog sustava potrebno je usklaivati s promjenama u informacijskom sustavu i u njegovoj okolini, u sluajevima naruavanja sigurnosti informacijskog sustava, te ovisno o rezultatima procjene rizika. Politika sigurnosti informacijskog sustava treba sadravati barem sljedee: cilj i opseg politike sigurnosti informacijskog sustava naela upravljanja sigurnou informacijskih resursa ope i posebne odgovornosti koje se odnose na sigurnost informacijskog sustava. Naela upravljanja sigurnou resursa informacijskog sustava trebala bi obuhvatiti barem sljedea podruja: upravljanje rizikom informacijskog sustava klasifikaciju informacija upravljanje sigurnou komunikacijskih i distribucijskih kanala osiguravanje kontinuiteta poslovanja banke upravljanje incidentima oporavak informacijskog sustava upravljanje priuvnom pohranom razvoj informacijskih sustava unutar banke upravljanje odnosima s pruateljima usluga i dobavljaima opreme upravljanje kontrolama pristupa resursima informacijskog sustava fiziku sigurnost upravljanje operativnim i sistemskim zapisima zatitu od malicioznog koda upravljanje imovinom informacijskog sustava upravljanje promjenama upravljanje konfiguracijama upravljanje dokumentacijom izobrazbu korisnika informacijskog sustava. Politika sigurnosti informacijskog sustava treba biti djelotvorna i primjenjiva kako bi se omoguilo ostvarivanje poslovnih ciljeva banke.

39



5.2. Upravljanje kontrolama pristupaKontrole pristupa omoguuju provoenje radnja nad resursima informacijskog sustava (primjerice koritenje, mijenjanje, pregled) u skladu s dodijeljenim ovlastima. Pristup se moe definirati kao svojstvo koje omoguuje obavljanje razliitih radnja na informacijskom sustavu. Kontrolama pristupa eksplicitno se omoguava, ograniava ili zabranjuje pristup resursima informacijskog sustava, i to koritenjem pojedine kontrole ili kombinacijom upravljakih, logikih i fizikih kontrola. Proces kontrole pristupa obuhvaa uvoenje niza pojedinanih kontrola pristupa. Cilj uvoenja kontrola pristupa jest sprjeavanje neovlatenog pristupa resursima informacijskog sustava. Pri implementaciji kontrola pristupa potrebno je uzeti u obzir sigurnosne zahtjeve, zahtjeve poslovnih procesa i jednostavnost koritenja za korisnike.

5.2.1. Kriteriji pristupa resursima Banka bi trebala kontrolirati pristup resursima informacijskog sustava primjenjujui, prema potrebi, neke od sljedeih kriterija: Identitet korisnika. Identitet korisnika mora biti jedinstven kako bi se mogle utvrditi ovlasti i odgovornosti svakog korisnika. Funkcija. Pristup informacijama mora biti kontroliran na temelju dodijeljenih poslova i dunosti u skladu s naelima podjele poslova i segregacije dunosti. Navedeno ukljuuje odreivanje radnja koje se mogu obavljati nad resursima informacijskog sustava (primjerice pravo itanja, pisanja, izvravanja i brisanja). Lokacija. Identifikacija i autentifikacija mogu ovisiti i o fizikoj i logikoj lokaciji osobe, procesa ili sustava koji zahtijevaju pristup (primjerice kada korisnici pristupaju s lokacije koja se nalazi unutar banke, mogu im se dopustiti vee ovlasti nego kada pristupaju putem javno dostupnih telekomunikacijskih mrea). Vrijeme. Ogranienje kojim se onemoguuje pristup u odreenom razdoblju tijekom dana ili odreenih dana u tjednu odnosno u mjesecu (primjerice koritenje nekih resursa moe biti doputeno samo tijekom radnog vremena). Transakcija. Pristup resursima informacijskog sustava moe biti ogranien ovisno o tijeku poslovnog procesa (primjerice isplatu s rauna nije mogue obaviti dok se provodi neka druga isplata ili uplata na taj raun).

5.2.2. Upravljanje korisnikim pravima Svakom resursu informacijskog sustava moe se pristupati od strane nekog drugog resursa (koji moe, ali i ne mora biti dio informacijskog sustava banke), ukljuujui i osobe. Prava pristupa koja su vea od onih koja su minimalno potrebna za obavljanje poslova, izlau informacijski sustav banke riziku naruavanja temeljnih naela informacijskog sustava. Prema tome, cilj upravljanja pravima pristupa jest identificirati pristup i ograniiti pristup pojedinom resursu na minimalnu razinu dovoljnu za djelotvorno obavljanje radnih zadataka.

40



Upravljanje korisnikim pravima (pri tome se misli na osobe, sustave i procese) sastoji se od etiriju procesa: Evidentiranje. Podrazumijeva dodavanje novih korisnika informacijskog sustava. Ovim procesom utvruje se identitet korisnika te odreuju informacije i sustavi potrebni za obavljanje radnih zadataka u skladu s opisom radnoga mjesta. Autorizacija. Podrazumijeva dodjelu prava pristupa korisnika informacijskom sustavu banke. Navedeno obuhvaa dodavanje, brisanje ili modificiranje dodijeljenih prava pristupa operativnim sustavima, aplikacijama i specifinim vrstama informacija. Postupak dodjele prava pristupa treba biti formaliziran te sva prava trebaju odobriti ovlatene osobe. Identifikacija i autentifikacija. Podrazumijeva identifikaciju korisnika i potvrdu njegova identiteta prilikom prijave i tijekom provoenja radnja na informacijskom sustavu. Nadzor. Obuhvaa praenje, izmjenu i revidiranje prava pristupa korisnika informacijskog sustava. Banka bi trebala uspostaviti djelotvoran proces upravljanja korisnikim pravima pristupa. Navedeni proces trebao bi ukljuiti sljedee kontrole: dodjeljivanje korisnicima prava pristupa koja su strogo ograniena na one kontrole koje su potrebne za obavljanje redovnih poslovnih zadataka auriranje prava pristupa (primjerice na temelju kadrovskih promjena, promjena na informacijskom sustavu i njegovu okruenju) periodino pregledavanje korisnikih prava pristupa (uestalost pregledavanja trebala bi se temeljiti na procjeni rizika).

5.2.3. Identifikacija i autentifikacija Identifikacija i autentifikacija kljune su komponente u izgradnji sigurnosti informacijskog sustava jer su osnova za mnoge vrste kontrola pristupa i utvrivanja odgovornosti korisnika (dokazivost). Utvrivanje odgovornosti korisnika zahtijeva povezivanje aktivnosti na informacijskom sustavu s tono odreenim osobama, procesima ili sustavima te je u tu svrhu potrebno da ih informacijski sustav identificira i autentificira.

5.2.3.1. Identifikacija Identifikacija je proces kojim korisnik predoava informacijskom sustavu zahtijevani identitet. Identifikacija na informacijskim sustavima najee se provodi pomou jedinstvene korisniko-identifikacijske oznake (engl. User ID). Pri upotrebi navedene oznake potrebno je obratiti posebnu pozornost na sljedee: Jedinstvenu identifikaciju. Potrebno je osigurati jedinstvenu identifikaciju svakom korisniku informacijskog sustava. U odreenim sluajevima moe se dopustiti upotreba grupnog identiteta, no to je poeljno izbjegavati jer onemoguuje dokazivost. Upravljanje jedinstvenim korisniko-identifikacijskim oznakama. Ovlasti za rad na sustavu potrebno je pratiti i aurirati. Kako bi se omoguilo praenje povijesnih aktivnosti korisnika, potrebno je procijeniti potrebu za uvanjem korisnikoidentifikacijske oznake i nakon ukidanja korisnikovih ovlasti.

41



Neaktivne jedinstvene korisniko-identifikacijske oznake. Korisnike koji su u odreenom razdoblju neaktivni na pojedinom resursu informacijskog sustava, treba analizirati i prema procjeni dezaktivirati njihove oznake i ukinuti ovlasti. Uzajamnu povezanost aktivnosti i korisnika. Informacijski sustav treba osigurati praenje identiteta svih korisnika i biti sposoban povezati aktivnosti s tono odreenim korisnicima.

5.2.3.2. Autentifikacija Autentifikacija je proces kojim se potvruje korisniki identitet koji zahtijeva pristup informacijskom sustavu. Postoje tri naina utvrivanja neospornosti korisnikog identiteta koji se mogu primjenjivati samostalno ili u kombinaciji: neto to samo korisnik zna (primjerice zaporka, PIN, kriptografski klju) neto to samo korisnik posjeduje (primjerice "token", magnetska kartica, "pametna kartica") neto to korisnik jest (primjerice biometrijske metode kao to su otisak prsta, skeniranje ronice, prepoznavanje glasa i slino). Banka bi trebala osigurati barem sljedee: Autentificiranje korisnika. Banka bi trebala zahtijevati od korisnika da potvrdi svoj identitet na informacijskom sustavu. Isto tako, banka bi u skladu s procjenom rizika trebala razmotriti i mogunost autentifikacije korisnika pomou metode samo jedne prijave (engl. single sign-on) kojom se pristupa razliitim resursima informacijskog sustava. Ogranien pristup autentifikacijskim oznakama. Autentifikacijske oznake trebaju biti adekvatno zatiene (primjerice primjenom rigoroznih kontrola pristupa i jednosmjernim kriptiranjem) kako bi se sprijeilo da neovlateni korisnici dou u posjed navedenih oznaka. Siguran prijenos autentifikacijskih oznaka. Banka bi trebala adekvatno zatititi autentifikacijske oznake prilikom njihova prijenosa javno dostupnim ili privatnim telekomunikacijskim mreama. Ograniiti broj pokuaja pristupa. Banka bi trebala ograniiti broj neuspjelih pokuaja pristupa, odnosno onemoguiti upotrebu korisniko-identifikacijske oznake nakon odreenog broja neuspjelih pokuaja pristupa resursima informacijskog sustava. Zatita autentifikacijskih oznaka prilikom unoenja. Banka bi trebala adekvatno zatititi autentifikacijske oznake od kompromitiranja prilikom unosa u informacijski sustav (primjerice skrivanje zaporka pri unosu). Upravljanje autentifikacijskim oznakama. Banka bi trebala adekvatno upravljati autentifikacijskim oznakama (primjerice definirati postupke za aktivaciju autentifikacijskih oznaka i dezaktivaciju izgubljenih i ukradenih oznaka).

42



5.2.4. Upravljanje zaporkama Zaporke su najee upotrebljavan mehanizam autentifikacije korisnika. Meutim, zbog neprimjerenih navika korisnika informacijskog sustava (primjerice dijeljenja zaporka i njihove neadekvatne pohrane te upotrebe neprimjerenih zaporka) one su i jedan od najslabijih mehanizama autentifikacije. Primjereno upravljanje zaporkama (koje ukljuuje uklanjanje poznatih ranjivosti i prevenciju uobiajenih napada) moe uvelike unaprijediti sigurnost informacijskog sustava. Napadi na zaporke odnosno pokuaji njihova otkrivanja ili zaobilaenja jedna su od najeih vrsta napada na informacijske sustave. Neke od najeih podvrsta napada na zaporke jesu: pokuaj pogaanja zaporka isprobavanjem svih kombinacija doputenih simbola (engl. dictionary attack) pokuaj pogaanja zaporka pomou specifinih informacija o osobi koja rabi tu zaporku (primjerice ime suprunika, imena djece, ime kunog ljubimca i slino) pokuaj neautorizirane autentifikacije pomou standardnih zaporka koje inicijalno definiraju proizvoai hardvera, softvera i telekomunikacijske opreme pokuaj neautorizirane autentifikacije pomou zaporka ija je povjerljivost naruena zbog neadekvatne pohrane. Ovisno o procjeni rizika, odnosno riziku razotkrivanja zaporka i negativnom uinku koji moe nastati kao posljedica tog razotkrivanja, banka bi trebala postii adekvatnu razinu zatite zaporka pomou upravljakih, logikih i fizikih kontrola. Zbog mnogobrojnih ranjivosti koje proizlaze iz neadekvatnog koritenja zaporki, te velikog broja prijetnja koje pokuavaju iskoristiti te ranjivosti, banka bi trebala propisati restriktivne postupke upravljanja zaporkama, kako bi se osjetljivost na tu vrstu napada svela na najmanju moguu mjeru. Pri upravljanju zaporkama banka

h smjernice za upravljanje informacijskim sustavom

Documents