Professional Documents
Culture Documents
OUJAK 2006.
Sadraj
1. Uvod ....................................................................................................................................... 4
1.1. Temeljna naela informacijskog sustava......................................................................... 6
1.2. Ciljevi, strategije i ostali interni akti ............................................................................... 7
1.3. Sigurnost informacijskog sustava.................................................................................... 8
1.4. Elementi upravljanja rizikom .......................................................................................... 9
2. Upravljanje informacijskim sustavom.................................................................................. 13
2.1. Uprava banke................................................................................................................. 16
2.2. Voditelj organizacijske jedinice za informacijsku tehnologiju ..................................... 17
2.3. Voditelj sigurnosti informacijskog sustava ................................................................... 18
2.4. Odbor za upravljanje informacijskim sustavom............................................................ 19
2.5. Upravljanje projektima.................................................................................................. 21
3. Upravljanje rizikom informacijskog sustava........................................................................ 23
3.1. Procjena rizika ............................................................................................................... 24
3.2. Smanjivanje rizika ......................................................................................................... 30
3.3. Kontrole......................................................................................................................... 33
3.4. Klasifikacija informacija ............................................................................................... 35
4. Unutarnja revizija ................................................................................................................. 36
5. Sigurnost informacijskog sustava......................................................................................... 38
5.1. Politika sigurnosti informacijskog sustava.................................................................... 39
5.2. Upravljanje kontrolama pristupa ................................................................................... 40
5.3. Kriptografija .................................................................................................................. 47
5.4. Fizika sigurnost............................................................................................................ 48
5.5. Upravljanje operativnim i sistemskim zapisima............................................................ 49
5.6. Zatita od malicioznog koda.......................................................................................... 51
6. Odravanje informacijskog sustava...................................................................................... 53
6.1. Upravljanje imovinom informacijskog sustava............................................................. 53
6.2. Upravljanje promjenama ............................................................................................... 55
6.3. Upravljanje konfiguracijama ......................................................................................... 57
6.4. Dokumentacija............................................................................................................... 58
6.5. Izobrazba ....................................................................................................................... 59
7. Planiranje kontinuiteta poslovanja ....................................................................................... 61
7.1. Analiza utjecaja na poslovanje ...................................................................................... 63
7.2. Plan kontinuiteta poslovanja.......................................................................................... 65
7.3. Plan oporavka ................................................................................................................ 66
7.4. Upravljanje incidentima ................................................................................................ 67
7.5. Upravljanje priuvnom pohranom................................................................................. 70
8. Razvoj sustava i eksternalizacija .......................................................................................... 72
8.1. Razvoj informacijskih sustava unutar banke................................................................. 72
8.2. Eksternalizacija (dijela) informacijskog sustava ........................................................... 76
9. E-bankarstvo......................................................................................................................... 82
9.1. Uvod .............................................................................................................................. 82
9.2. Rizici povezani s e-bankarstvom................................................................................... 84
9.3. Upravljanje rizikom e-bankarstva ................................................................................. 85
10. Zakljuci i preporuke.......................................................................................................... 92
1. Uvod
Osnovna naela u poslovanju banaka jesu naelo likvidnosti i naelo solventnosti. Kako bi
osigurale poslovanje u skladu sa spomenutim naelima, banke su dune kontinuirano obavljati
mjerenje, procjenu i upravljanje svim rizicima kojima su u svom poslovanju izloene. Rizici
kojima su banke izloene u svom poslovanju i za koje minimalno moraju biti propisani
postupci mjerenja, procjene i upravljanja ukljuuju i rizik koji proizlazi iz neadekvatnog
upravljanja informacijskim i pridruenim tehnologijama. Hrvatska narodna banka uoila je
potrebu da se bankama radi osiguranja sigurnosti i stabilnosti bankarskog poslovanja u
Republici Hrvatskoj skrene pozornost na pitanja vezana uz rizik koji proizlazi iz
neadekvatnog upravljanja informacijskim i pridruenim tehnologijama.
Banke u svom poslovanju ovise o koritenju informacija. Pravodobne, tone i potpune
informacije, s obzirom na njihov utjecaj na poslovanje i odluivanje, kljune su za
ostvarivanje poslovnih ciljeva.
Informacijska tehnologija omoguuje koritenje i upravljanje informacijama odnosno
podrava i unapreuje poslovne procese kako bi se to djelotvornije ostvarivali poslovni
ciljevi i postigla konkurentska prednost. Meudjelovanje informacijske tehnologije, podataka
i postupaka za procesiranje podataka te ljudi koji prikupljaju i koriste navedene podatke ini
informacijski sustav. Drugim rijeima, informacijski je sustav sveobuhvatnost infrastrukture,
organizacije, ljudi i postupaka za prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz,
distribuciju informacija i raspolaganje njima.
S obzirom na ubrzani razvoj i sveprisutnost informacijske tehnologije u poslovnom
okruenju, uporaba informacijskih sustava:
jest jedan od kljunih imbenika u poslovanju banke;
poveava meudjelovanje raznih sustava, jer se informacijski sustavi banke povezuju s
klijentima, pruateljima usluga te ostalim subjektima preko javno dostupnih i
privatnih telekomunikacijskih mrea;
postavlja temelj za razvoj novih proizvoda i usluga te utjee na oblikovanje
konkurentskih prednosti;
pokree reinenjering strateki vanih poslovnih procesa;
poveava potrebu za novim ulaganjima u resurse informacijskog sustava;
zahtijeva usvajanje i primjenu novih strunih znanja.
Iz navedenog proizlazi da je koritenje informacijske tehnologije u svim aspektima
bankarskog poslovanja stvorilo veliku ovisnost o informacijskoj tehnologiji pa je prema tome
potrebno posvetiti veliku pozornost upravljanju informacijskim sustavom kao sastavnom
dijelu upravljanja bankom u cjelini. Nadalje, u sklopu upravljanja informacijskim sustavom
posebnu pozornost potrebno je obratiti upravljanju rizikom koji proizlazi iz koritenja
informacijskog sustava, kako bi se osiguralo pouzdano, sigurno i kontinuirano poslovanje
banke.
Rizici se procjenjuju s aspekta uinka koji bi mogao biti uzrokovan naruavanjem
funkcionalnosti i sigurnosti informacijskog sustava, odnosno naruavanjem temeljnih naela
informacijskog sustava (objanjava se u nastavku dokumenta). Upravljanje rizikom
informacijskog sustava, za potrebe ovog dokumenta, obuhvaa postupke procjene rizika te
poduzimanja radnja za smanjenje rizika na prihvatljivu razinu i odravanje prihvatljive razine
1.4.2. Prijetnje
Resursi su izloeni raznim vrstama prijetnja. Prijetnja moe prouzroiti neeljenu situaciju
ija posljedica moe biti nanoenje tete resursima banke. Drugim rijeima, teta moe nastati
kao posljedica ostvarenja prijetnje (primjerice neovlatenog unitavanja, razotkrivanja,
promjene te unoenja promjena koje uzrokuju pogreno zapisivanje, nedostupnost ili gubitak
informacija). Prijetnja mora iskoristiti postojeu ranjivost resursa da bi se realizirala i
rezultirala tetom. Prijetnje mogu biti prirodne ili uzrokovane ljudskim djelovanjem (sluajne
ili namjerne). Stoga je potrebno tono utvrditi prijetnje kao i njihovu razinu i vjerojatnost.
Primjeri prijetnja prikazani su u tablici br. 1:
Tablica br. 1 Primjeri prijetnja
Ljudske
Namjerne
prislukivanje
modifikacija informacija
"hakiranje"
maliciozni kod
kraa
Sluajne
pogreke i propusti
nenamjerno brisanje datoteka,
podataka i sl.
pogreno preusmjeravanje
nenamjerno fiziko unitenje
Prirodne
potres
udar groma
poplava
poar
Dostupni su statistiki podaci o mnogim vrstama prijetnja koje bi banka trebala pribaviti i
iskoristiti prilikom procesa procjene ranjivosti u svezi s odreenom prijetnjom. Prijetnja se
moe pojaviti unutar banke (primjerice u obliku sabotae nekog od zaposlenika) ili izvan nje,
(primjerice u obliku zlonamjernih "hakera" ili industrijske pijunae). teta koju nanose takvi
neeljeni dogaaji moe biti prolazne prirode ili trajna (u sluaju potpunog unitenja resursa).
Opseg tete uzrokovane prijetnjom moe se razlikovati prema neeljenom dogaaju. Virus,
kao primjer malicioznog koda, moe uzrokovati razliitu razinu tete ovisno o svom
djelovanju.
Prijetnje je esto mogue kvantificirati i/ili kvalificirati kako bi se ocijenila njihova razorna
mo (primjerice virus se moe opisati kao destruktivan ili nedestruktivan, a jaina potresa
moe se opisati na temelju Richterove ljestvice).
Neke prijetnje mogu utjecati na vie od jednog resursa te mogu imati razliit uinak ovisno o
kojem se resursu radi (primjerice virus na osobnom raunalu moe imati ograniene ili
lokalne posljedice, dok uinak istog virusa na mrenom posluitelju moe biti puno iri).
Svaka prijetnja ima obiljeja koja pruaju korisne informacije o samoj prijetnji. Primjeri
takvih korisnih informacija ukljuuju:
1. izvor (primjerice je li rije o unutranjoj ili vanjskoj prijetnji)
2. motiv (primjerice ostvarivanje financijske dobiti, ostvarivanje konkurentske prednosti)
3. uestalost pojavljivanja
4. razornu mo.
Prijetnje je mogue okarakterizirati prema razini i vjerojatnosti pojedine prijetnje (primjerice
kao velike, srednje i male).
1.4.3. Ranjivost
Ranjivost je slabost koju je mogue sluajno aktivirati ili namjerno iskoristiti, a posljedica
toga moe biti nanoenje tete informacijskom sustavu i poslovnim ciljevima. Ranjivosti koje
se povezuju s resursima ukljuuju, izmeu ostalog, slabosti fizike sigurnosti, organizacije,
internih akata, zaposlenika, upravljake strukture, hardvera, softvera i informacija.
Ranjivost sama po sebi ne nanosi tetu, nego ranjivost moemo definirati kao stanje ili skup
stanja koji moe omoguiti nekoj prijetnji da utjee na resurse (primjerice nedostatak
mehanizama kontrole pristupa jest ranjivost koja bi mogla omoguiti ostvarenje prijetnje
neovlatenog pristupa, to moe dovesti do gubitka ili oteenja resursa). Budui da se
okruenje moe brzo promijeniti, potrebno je pratiti sve oblike ranjivosti kako bi se
identificirale one koje su postale izloene starim i novim prijetnjama. Analiza ranjivosti je
procjena slabosti koje identificirane prijetnje mogu iskoristiti. Ta bi analiza trebala uzeti u
obzir okruenje i postojee zatitne mjere i kontrole. Ranjivost u odnosu na neku prijetnju
pokazatelj je lakoe kojom je mogue natetiti sustavu ili resursima.
Ranjivost se moe okarakterizirati ovisno o ishodu analize ranjivosti (primjerice kao velika,
srednja i mala).
10
1.4.4. Uinak
Uinak je posljedica nekoga neeljenog dogaaja, izazvanog namjerno ili sluajno, koji utjee
na resurse. Posljedice mogu biti unitenje nekog resursa, nanoenje tete informacijskom
sustavu te gubitak temeljnih naela informacijskog sustava ega rezultat moe biti (to moe
prouzroiti) financijski gubitak i gubitak trinog udjela ili reputacije banke.
Uestalost pojave neeljenog dogaaja takoer treba uzeti u obzir, posebice kada je razina
tete poinjene svakim dogaajem niska, ali ukupan uinak veeg broja dogaaja s vremenom
moe biti znatan. Analiza uinka vaan je element procjene rizika i odabira zatitnih mjera.
Kvantitativna i kvalitativna mjerenja uinka mogu biti provedena na razliite naine, kao to
su:
utvrivanje trokova
pridruivanje neke empirijske skale za njegovo mjerenje (npr. od 1 do 10)
upotreba unaprijed odreenog naina stupnjevanja (npr. mali, srednji i veliki).
1.4.5. Rizik
Rizik je funkcija vjerojatnosti da e identificirani izvor prijetnje iskoristiti odreenu ranjivost
i uinka koji taj neeljeni dogaaj moe imati na banku. Drugim rijeima, rizik obiljeava
kombinacija dvaju faktora, a to su vjerojatnost da e se neeljeni dogaaj dogoditi te njegov
uinak. Svaka promjena resursa, prijetnja, ranjivosti ili zatitnih mjera moe znatno utjecati na
rizik. Rano otkrivanje te prepoznavanje promjena koje su nastale u okruenju ili sustavu
poveava mogunost pravodobnog poduzimanja koraka potrebnih za smanjivanje rizika.
1.4.6. Mjere
Mjere ukljuuju sve postupke, procedure i mehanizme kojima se:
tite resursi informacijskog sustava od prijetnja;
smanjuju ranjivosti informacijskog sustava;
ograniava uinak neeljenih dogaaja;
otkrivaju neeljeni dogaaji;
pospjeuje oporavak.
Budui da mjere smanjuju izloenost banke riziku, moemo ih smatrati i zatitnim mjerama.
Zatitne se mjere odnose na upravljaku, logiku i fiziku razinu. Djelotvorno upravljanje
informacijskim sustavom obino zahtijeva kombiniranje razliitih zatitnih mjera kako bi se
osigurala slojevita zatita resursa informacijskog sustava.
Zatitne mjere imaju jednu od sljedeih uloga ili vie njih:
1. prevencije
2. odvraanja
3. otkrivanja
4. ograniavanja
11
5.
6.
7.
8.
korigiranja
oporavka
nadzora
osvjeivanja.
Zatitne se mjere provode uvoenjem novih ili izmjenom postojeih kontrola. Podizanje
razine znanja i svijesti zaposlenika vezanih uz sigurnost i funkcionalnost informacijskog
sustava vana je zatitna mjera.
1.4.8. Ogranienja
Pri odabiru i provedbi mjera potrebno je uzeti u obzir ogranienja kao to su:
1. organizacijska ogranienja
2. financijska ogranienja
3. ogranienja odreenog okruenja
4. ogranienja vezana uz ljudske resurse
5. vremenska ogranienja
6. pravna ogranienja
7. tehnika ogranienja
8. kulturoloka i drutvena ogranienja.
Veinu navedenih ogranienja obino postavljaju upravljake strukture banke, te na njih
utjee okruenje u kojem banka posluje. Isto tako, potrebno je periodino revidirati
ogranienja kako bi se identificirala nova ogranienja i uoile promjene ve poznatih
ogranienja.
12
13
regulatorne zahtjeve
potrebe za resursima i nadzorom
ogranienja.
14
odgovorna uprava banke. Interne akte potrebno je integrirati u procese informacijskog sustava
i svakodnevne aktivnosti zaposlenika. Nadalje, interni bi akti trebali biti usklaeni s
propisima, standardima i pravilima struke.
Interni akti na najvioj konceptualnoj ili hijerarhijskoj razini (primjerice politike) trebali bi
obuhvatiti sva podruja i aspekte informacijskog sustava banke ukljuujui osobe, sustave i
procese. Banka bi trebala procijeniti i odrediti koja je podruja i aspekte informacijskog
sustava potrebno razraditi detaljnijim internim aktima nie razine (primjerice smjernicama,
uputama i procedurama) te definirati razinu detaljnosti razrade. Razina detaljnosti i obuhvat
pojedinog internog akta ovise o njegovoj svrsi, namjeni, vrsti te o kompleksnosti
informacijskog sustava.
15
16
17
18
19
20
21
22
23
24
25
popise ranjivosti
strune publikacije vezane uz informacijske sustave
preporuke dobavljaa i proizvoaa
izvjea o rezultatima testiranja informacijskog sustava pomou proaktivnih metoda
testiranja (primjerice alata za automatsko otkrivanje ranjivosti, testiranje mogunosti
prodora u sustav i slino).
Kao metoda u otkrivanju ranjivosti moe posluiti i izrada kontrolne liste zahtjeva koja sadri
osnovne funkcionalne i sigurnosne kriterije koje je potrebno provjeriti kako bi se utvrdile
ranjivosti resursa informacijskog sustava.
Pri otkrivanju ranjivosti mogu se primijeniti kriteriji u sljedeim sigurnosnim segmentima:
upravljakom (primjerice dodjela ovlasti i odgovornosti, procjena rizika)
logikom (primjerice kontrole pristupa, komunikacija, operativni i sistemski zapisi)
fizikom (primjerice kontrola i zatita okoline, fiziki pristup i raspolaganje medijima
s podacima).
Rezultat: izvjee s popisom identificiranih ranjivosti informacijskog sustava koje prijetnje
mogu iskoristiti
26
27
Primjer u tablici br. 2 jest matrica vjerojatnosti da izvor prijetnje iskoristi ranjivost (velika,
srednja i mala) i uinka (velikog, srednjeg i malog), koja prikazuje kako se rauna ukupna
razina rizika. Na primjer:
ocjena vjerojatnosti da izvor prijetnje iskoristi ranjivost koja se pripisuje svakoj razini
vjerojatnosti prijetnje jest 1,0 za veliku, 0,5 za srednju i 0,1 za malu;
ocjena uinka koja se dodjeljuje svakoj razini jaine uinka jest 100 za veliku, 50 za
srednju i 10 za malu.
Ovisno o potrebama i detaljnosti procjene rizika moe se koristiti matrica proizvoljnih
dimenzija.
Tablica br. 2 Matrica razine rizika (engl. Risk-Level Matrix)
Vjerojatnost da izvor
prijetnje iskoristi ranjivost
Velika (1,0)
Srednja (0,5)
Mala (0,1)
Mali (10)
10 x 1,0 = 10
10 x 0,5 = 5
10 x 0,1 = 1
Uinak
Srednji (50)
50 x 1,0 = 50
50 x 0,5 = 25
50 x 0,1 = 5
Veliki (100)
100 x 0,5 = 50
100 x 0,1 = 10
Ljestvica rizika
Tablica br. 3 opisuje razine rizika prikazane u tablici br. 2. Ljestvica rizika s pripadajuim
ocjenama predstavlja stupanj ili razinu rizika kojem su izloeni resursi informacijskog sustava
ako je iskoritena odreena ranjivost. Stupanj ili razina rizika odreuje aktivnosti koje bi se
trebale poduzeti.
Tablica br. 3 Primjer ljestvice rizika i aktivnosti koje je potrebno poduzeti
Razina rizika
Velik rizik
(vei od 51)
Srednji rizik
(11 do 50)
Malen rizik
(1 do 10)
Ako je razina nekih elemenata (vjerojatnosti, uinka ili rizika) tako mala da se moe
okarakterizirati kao ''zanemariva'' ili nevana (primjerice vrijednost je < 1 na ljestvici od 0 do
100), potrebno ju je posebno zabiljeiti. Time se osigurava da isti elementi budu ukljueni u
sljedeu procjenu. Navedeno je posebno vano jer ''zanemarivi'' rizici mogu s vremenom
prerasti u rizike zbog kojih je potrebno poduzeti odreene aktivnosti.
28
Rezultat:
matrica razine rizika
ljestvica rizika i aktivnosti koje je potrebno poduzeti
29
32
3.3. Kontrole
Provoenje odabranih mjera za smanjivanje rizika ostvaruje se uvoenjem novih ili izmjenom
postojeih kontrola. Kontrole je mogue podijeliti na sljedee tri kategorije: upravljake,
logike (tehnike) i fizike. Budui da je informacijski sustav siguran onoliko koliko je
siguran njegov najranjiviji dio, nuan je slojevit pristup u izgradnji sigurnosne infrastrukture,
koji ukljuuje razliite kombinacije upravljakih, logikih i fizikih kontrola. Koritenjem
navedenih kategorija kontrola znaajno se smanjuje rizik od naruavanja temeljnih naela
informacijskog sustava.
Pravilnim provoenjem kontrola mogue je sprijeiti ili ograniiti tetu koju izvor prijetnje
moe nanijeti banci, odnosno smanjiti rizik informacijskog sustava.
Kontrole (slino kao i zatitne mjere) dijele se i prema njihovim ulogama na kontrole:
1. prevencije
2. odvraanja
3. otkrivanja
4. ograniavanja
5. korigiranja
6. oporavka
7. nadzora
8. osvjeivanja.
33
34
35
4. Unutarnja revizija
U skladu s odredbama Zakona o bankama ("Narodne novine", broj 84/2002., u nastavku
teksta: ZOB), banka mora organizirati unutarnju reviziju koja e neovisno i objektivno
obavljati svoje poslove te koja e svojim savjetima i preporukama pridonositi unapreivanju
poslovanja banke. Jedan od zadataka unutarnje revizije jest obavljanje stalnog nadzora nad
cjelokupnim poslovanjem banke kako bi se provjerilo upravlja li banka sustavno rizicima koji
proizlaze iz poslovnih aktivnosti banke u skladu s naelima stabilnog poslovanja, to
ukljuuje upravljanje resursima informacijske i pridruenih tehnologija.
Unutarnja revizija treba obavljati i poslove revizije informacijskog sustava, iz ega proizlazi
da unutarnja revizija treba biti organizirana tako da se osigura sustavno obavljanje revizije
informacijskog sustava. Obavljanje revizije informacijskog sustava banke, za potrebe ovog
dokumenta, nazivamo unutarnjom revizijom informacijskog sustava.
Kako bi se unutarnja revizija informacijskog sustava banke provela na zadovoljavajui i
djelotvoran nain, osobe koje obavljaju unutarnju reviziju informacijskog sustava trebale bi:
posjedovati struna znanja i vjetine, iskustvo te razinu kvalifikacija u skladu s
veliinom i sloenou informacijskog sustava banke
koristiti se metodologijom za provoenje revizije informacijskog sustava temeljenom
na procjeni rizika koja bi detaljno definirala kriterije, nain i postupke provoenja
revizije informacijskog sustava te osigurala dosljednost i sveobuhvatnost revizije
informacijskog sustava
razmotriti dobre prakse upotrebe softverskih alata za provoenje revizije i kontrolu
informacijskog sustava
evidentirati, prikupiti i arhivirati dokumentaciju na temelju koje je sastavljeno izvjee
o provedenoj reviziji imajui u vidu potrebu za adekvatnom zatitom osjetljivih
informacija.
Banka bi trebala kontinuirano obavljati unutarnju reviziju informacijskog sustava i definirati
razdoblje (ciklus) unutar kojeg e obaviti unutarnju reviziju cjelokupnoga informacijskog
sustava.
Prilikom sastavljanja godinjeg programa rada te odreivanja predmeta, obuhvata i uestalosti
revizije pojedinih podruja informacijskog sustava potrebno je uzeti u obzir i rukovoditi se
sljedeim:
obavljenom procjenom rizika informacijskog sustava banke
iskustvom te dobrim praksama u reviziji informacijskih sustava
raspoloivim resursima
novim saznanjima o informacijskom sustavu.
Na temelju godinjeg programa rada unutarnje revizije potrebno je donijeti i operativne
planove rada za unutarnju reviziju informacijskog sustava. Operativni planovi rada za
unutarnju reviziju informacijskog sustava trebali bi sadravati barem sljedee:
ciljeve i opseg revizija
popis podruja koja e biti predmetom revizija
popis predmeta revizije unutar svakog podruja
vremenski raspored revizija koje e se obaviti u razdoblju obuhvaenom planom
36
trajanje revizija.
37
38
39
40
Upravljanje korisnikim pravima (pri tome se misli na osobe, sustave i procese) sastoji se od
etiriju procesa:
Evidentiranje. Podrazumijeva dodavanje novih korisnika informacijskog sustava.
Ovim procesom utvruje se identitet korisnika te odreuju informacije i sustavi
potrebni za obavljanje radnih zadataka u skladu s opisom radnoga mjesta.
Autorizacija. Podrazumijeva dodjelu prava pristupa korisnika informacijskom
sustavu banke. Navedeno obuhvaa dodavanje, brisanje ili modificiranje dodijeljenih
prava pristupa operativnim sustavima, aplikacijama i specifinim vrstama informacija.
Postupak dodjele prava pristupa treba biti formaliziran te sva prava trebaju odobriti
ovlatene osobe.
Identifikacija i autentifikacija. Podrazumijeva identifikaciju korisnika i potvrdu
njegova identiteta prilikom prijave i tijekom provoenja radnja na informacijskom
sustavu.
Nadzor. Obuhvaa praenje, izmjenu i revidiranje prava pristupa korisnika
informacijskog sustava.
Banka bi trebala uspostaviti djelotvoran proces upravljanja korisnikim pravima pristupa.
Navedeni proces trebao bi ukljuiti sljedee kontrole:
dodjeljivanje korisnicima prava pristupa koja su strogo ograniena na one kontrole
koje su potrebne za obavljanje redovnih poslovnih zadataka
auriranje prava pristupa (primjerice na temelju kadrovskih promjena, promjena na
informacijskom sustavu i njegovu okruenju)
periodino pregledavanje korisnikih prava pristupa (uestalost pregledavanja trebala
bi se temeljiti na procjeni rizika).
41
5.2.3.2. Autentifikacija
Autentifikacija je proces kojim se potvruje korisniki identitet koji zahtijeva pristup
informacijskom sustavu. Postoje tri naina utvrivanja neospornosti korisnikog identiteta
koji se mogu primjenjivati samostalno ili u kombinaciji:
neto to samo korisnik zna (primjerice zaporka, PIN, kriptografski klju)
neto to samo korisnik posjeduje (primjerice "token", magnetska kartica, "pametna
kartica")
neto to korisnik jest (primjerice biometrijske metode kao to su otisak prsta,
skeniranje ronice, prepoznavanje glasa i slino).
Banka bi trebala osigurati barem sljedee:
Autentificiranje korisnika. Banka bi trebala zahtijevati od korisnika da potvrdi svoj
identitet na informacijskom sustavu. Isto tako, banka bi u skladu s procjenom rizika
trebala razmotriti i mogunost autentifikacije korisnika pomou metode samo jedne
prijave (engl. single sign-on) kojom se pristupa razliitim resursima informacijskog
sustava.
Ogranien pristup autentifikacijskim oznakama. Autentifikacijske oznake trebaju
biti adekvatno zatiene (primjerice primjenom rigoroznih kontrola pristupa i
jednosmjernim kriptiranjem) kako bi se sprijeilo da neovlateni korisnici dou u
posjed navedenih oznaka.
Siguran prijenos autentifikacijskih oznaka. Banka bi trebala adekvatno zatititi
autentifikacijske oznake prilikom njihova prijenosa javno dostupnim ili privatnim
telekomunikacijskim mreama.
Ograniiti broj pokuaja pristupa. Banka bi trebala ograniiti broj neuspjelih
pokuaja pristupa, odnosno onemoguiti upotrebu korisniko-identifikacijske oznake
nakon odreenog broja neuspjelih pokuaja pristupa resursima informacijskog sustava.
Zatita autentifikacijskih oznaka prilikom unoenja. Banka bi trebala adekvatno
zatititi autentifikacijske oznake od kompromitiranja prilikom unosa u informacijski
sustav (primjerice skrivanje zaporka pri unosu).
Upravljanje autentifikacijskim oznakama. Banka bi trebala adekvatno upravljati
autentifikacijskim oznakama (primjerice definirati postupke za aktivaciju
autentifikacijskih oznaka i dezaktivaciju izgubljenih i ukradenih oznaka).
42
43
44
45
46
5.3. Kriptografija
Banka bi trebala na osnovi obavljene procjene rizika odrediti adekvatne kriptografske metode
ija e primjena smanjiti rizik od naruavanja temeljnih naela informacijskog sustava.
Osnovne komponente svake kriptografske metode jesu kriptografski algoritam (opisuje kako
se provodi transformacija) te jedan ili vie kriptografskih kljueva (podatak pomou kojeg se
obavlja transformacija). Kriptografske metode omoguuju zatitu podataka i kada oni vie
nisu pod kontrolom njihova vlasnika. Kriptografske metode rabe se kao vrsta logikih
kontrola, te se njima dodatno osigurava zatita informacija i smanjuje rizik od naruavanja
temeljnih naela informacijskog sustava. Kriptografija se najee upotrebljava:
za enkripciju (enkripcija ili ifriranje je proces u kojem se podaci transformiraju u
neitljivu formu iz koje poetne podatke mogu dobiti samo osobe koje posjeduju
kriptografski klju pomou kojega se obavlja dekripcija; enkripcija osigurava
povjerljivost podataka prilikom njihovog prijenosa ili pohrane)
za elektroniko potpisivanje (elektroniki potpis moe se dodati bilo kojem podatku
pohranjenom u elektronikom obliku; njime se, pomou kriptografskih mehanizama,
omoguuje potvrivanje temeljnih naela informacijskog sustava)
za ouvanje integriteta podataka
za utvrivanje autentinosti korisnika.
Posebnu pozornost potrebno je posvetiti upravljanju kriptografskim kljuevima (ukljuujui,
primjerice, postupke njihova generiranja, pohrane, razmjene, upotrebe, uklanjanja iz upotrebe
i unitavanja). Izgubljeni ili oteeni dekripcijski kljuevi mogu onemoguiti ovlatenim
osobama pravodobni pristup podacima.
Kriptografske metode mogu se implementirati pomou softverskih ili hardverskih resursa te
njihovom kombinacijom. Dobre prakse nalau primjenu provjerenih kriptografskih algoritama
i implementacija koje su bile predmet detaljnog i opsenog testiranja.
47
48
49
pristup zapisima putem javno dostupnih telekomunikacijskih mrea treba biti strogo
kontroliran.
50
51
52
53
54
55
56
57
6.4. Dokumentacija
Banka bi trebala definirati standarde izrade, pohrane, odravanja i uvanja dokumentacije
koja se odnosi na informacijski sustav banke (u nastavku teksta: dokumentacija).
Dokumentacija je korisna samo ako je tona, potpuna i aurna, te je takvom treba i odravati.
Stoga je potrebno definirati osobe odgovorne za dokumentaciju i njihove dunosti u
odravanju tonosti, potpunosti i aurnosti dokumentacije.
Banka bi trebala zaposlenicima osigurati pristup dokumentaciji koja je povezana s njihovim
poslovnim potrebama. Pristup povjerljivoj dokumentaciji mora biti ogranien, kako bi svaki
zaposlenik mogao pristupiti samo dokumentima za koje je ovlaten. Vanu dokumentaciju (u
skladu s klasifikacijom informacija) trebalo bi pohraniti i na sigurnu udaljenu lokaciju te je
periodino aurirati.
Dobre prakse nalau organiziranje i voenje dokumentacije na takav nain da se za dokument
mogu utvrditi odgovorne osobe, vrijeme nastanka, poetak primjene, klasifikacija te inaica.
Potrebno je uspostaviti i evidenciju koja e omoguiti sveobuhvatni pregled postojee
dokumentacije.
Primjeri dokumentacije:
interni akti vezani uz informacijski sustav (odluke, politike, procedure, upute,
standardi i slino)
opisi hardvera i softvera
programska dokumentacija (programski kod, dijagrami i opisi naina funkcioniranja
programa i slino)
dijagrami i opisi poslovnih procesa
korisnika dokumentacija
ugovori s dobavljaima i pruateljima usluga
izvjea, planovi, zapisnici, dopisi i ostala korespondencija.
58
6.5. Izobrazba
Izobrazba, odnosno edukacija, kontinuirani je proces koji se mora neprekidno odvijati kako bi
se osiguralo da znanja korisnika sustava prate promjene i u informacijskom sustavu i u
njegovoj okolini. Spomenute promjene ukljuuju izmjene postojeih funkcionalnosti i
sigurnosnih obiljeja informacijskog sustava ili dodavanje novih kao i sve promjene izvan
informacijskog sustava banke koje na njega mogu utjecati.
Veina tetnih (neplaniranih i neeljenih) dogaaja na informacijskim sustavima nastaje kao
posljedica ljudskog djelovanja. Od navedenih tetnih dogaaja zaposlenici poslovnog subjekta
uzrokuju kudikamo vei broj nego ostale osobe. Neplanirani i neeljeni dogaaji najee
nastaju kao posljedica nenamjernih radnja (pogreaka ili propusta) ili, rjee, kao posljedica
namjernih radnja poinjenih s ciljem nanoenja tete informacijskom sustavu banke. Kako bi
se navedeni dogaaji i njihovo tetno djelovanje sveli na prihvatljivu razinu, potrebno je
primjereno educirati sve korisnike informacijskog sustava banke.
Posljedica primjerene izobrazbe bit e smanjivanje broja pogreaka i propusta i ograniavanje
njihova dosega te uoavanje i sprjeavanje pokuaja naruavanja temeljnih naela
informacijskog sustava.
Edukacija bi trebala obuhvatiti sve osobe koje se koriste informacijskim sustavom banke:
informatiko osoblje banke
osobe zaduene za sigurnost informacijskog sustava i unutarnju reviziju
ostale zaposlenike banke koji se koriste informacijskim sustavom, i na operativnim i
na upravljakim razinama
osobe koje nisu zaposlenici banke, ali se koriste informacijskim sustavom banke
(primjerice korisnici e-bankarstva, zaposlenici tvrtki vanjskih suradnika i slino).
Izobrazba korisnika informacijskog sustava trebala bi omoguiti navedenim osobama
djelotvorno obavljanje poslovnih zadataka uz istodobno svoenje neeljenih dogaaja na
prihvatljivu razinu. Preciznije, ciljevi edukacije korisnika informacijskog sustava banke jesu:
razviti i odravati znanja i vjetine korisnika na primjerenoj razini, kako bi oni mogli
obavljati poslovne zadatke na djelotvoran i siguran nain
upoznati korisnike s internim aktima (primjerice politikama, procedurama i ostalim
postupcima kojih se navedeni korisnici moraju pridravati) kako bi se tono ustanovili
zadaci, okviri djelovanja i osobna odgovornost svakog korisnika
uspostaviti i unapreivati svijest o potrebi zatite resursa informacijskog sustava
razviti i odravati znanja potrebna da bi se funkcionalnost i sigurnost informacijskog
sustava zadrale na zadovoljavajuoj razini tijekom cijeloga ivotnog ciklusa
informacijskog sustava.
Izobrazba bi trebala biti sastavni dio strategije informacijskog sustava banke te u skladu s
planiranim promjenama informacijskog sustava . Izobrazbu je potrebno unaprijed planirati te
formalno identificirati i specificirati potrebne aktivnosti, nain njihova provoenja te
vremenske i financijske okvire unutar kojih e se provoditi. Prilikom planiranja izobrazbe
posebnu pozornost valja posvetiti potrebi usvajanja i odravanja visoko specijaliziranih
tehnikih znanja ije stjecanje zahtijeva koritenje znaajnim financijskim i vremenskim
resursima te veliki osobni angaman zaposlenika. Navedena visoko specijalizirana znanja
59
60
61
62
64
65
66
67
68
Dobre prakse nalau usku suradnju tima za odgovor na incidente i pravnika kako bi se rijeila
pravna pitanja koja se mogu pojaviti kao posljedica incidenta (primjerice odgovornost banke
kada je s njezina sustava koji je kompromitiran izvren napad na sustav neke druge institucije,
utvrivanje odgovornosti za nastalu tetu te odgovornost banke za izvjeivanje nadlenih
institucija u sluaju incidenata).
69
70
71
72
73
osnovni plan testiranja koji e pokazati da realizirani projektni zadatak daje oekivane
rezultate.
8.1.2.2. Programiranje
Dobre prakse nalau propisivanje standarda programiranja koji bi trebali obuhvatiti barem
sljedee:
principe i pravila pisanja programskog koda, nazivanja programskih dijelova,
varijabla, elemenata baza podataka i slino
obavezne kontrole koje treba ugraditi neovisno o specifinostima odreenoga
projektnog zadatka
principe i pravila upotrebe i dokumentiranja standardiziranih programskih rutina kako
bi se izbjeglo dupliciranje programskoga koda.
Aktivnosti programera trebale bi biti jasno definirane. Pristup programima izvan
programerovih osobnih odgovornosti potrebno je ograniiti. Izvorni programski kod morao bi
biti adekvatno zatien s obzirom na potrebu za odravanjem temeljnih naela informacijskog
sustava.
8.1.2.3. Testiranje
Prije putanja informacijskog sustava u produkcijski rad potrebno je provesti testiranje.
Testiranje razvijenog sustava trebalo bi biti detaljno i na adekvatan nain kontrolirano, kako
bi se utvrdilo odgovara li razvijeni sustav postavljenim ciljevima. Potrebno je propisati
procedure testiranja te prije samog poetka testiranja izraditi detaljni testni plan. Testni plan
trebao bi obuhvaati kombinacije kojima e se analizirati ponaanje sustava:
u standardnim uvjetima
u graninim sluajevima
u svim realno zamislivim neregularnim situacijama.
Testove je potrebno provoditi u kontroliranim uvjetima i upotrijebiti prethodno definirane
podatke. Testni podaci trebali bi biti to sliniji pravim, produkcijskim podacima. Pri
testiranju potrebno je voditi rauna o povjerljivosti informacija. Dobre prakse nalau
verifikaciju rezultata testiranja tako da se usporede s unaprijed definiranim oekivanim
rezultatima. Rezultati testova trebali bi se dokumentirati u standardiziranoj, propisanoj formi.
Konane rezultate trebale bi prekontrolirati sve ukljuene strane te pisano potvrditi njihovu
prihvatljivost.
8.1.2.4. Uvoenje informacijskog sustava u produkcijski rad
Banka bi trebala propisati postupke uvoenja novih ili izmijenjenih sustava u produkcijski
rad. Navedene procedure trebale bi definirati ovlasti, odgovornosti i nain prijenosa s testnog
na produkcijsko okruenje. Prije uvoenja sustava u produkcijski rad potrebno je:
organizirati izobrazbu svih zaposlenika koji e se tim sustavom sluiti
svim korisnicima omoguiti pristup potpunoj korisnikoj dokumentaciji s
jednostavnim, netehnikim opisom svih funkcionalnosti kojima e se sluiti u radu.
74
75
76
Pruatelji usluga bankama mogu biti rezidenti i nerezidenti. S tim u svezi treba napomenuti da
izravni nadzor koji provodi Hrvatska narodna banka u odnosu na pruanje usluga od strane
pruatelja usluga rezidenta i/ili nerezidenta ne smije ni na koji nain i ni u kojem trenutku biti
onemoguen, ogranien ili otean bez obzira na to obavlja li se na teritoriju Republike
Hrvatske ili izvan njega.
Radi postizanja prethodno navedenoga, ako je pruatelj usluga nerezident, banke bi svakako
trebale prije donoenja odluke o izboru pojedinog pruatelja usluga utvrditi da li
zakonodavstvo odnosno propisi drave u kojima dotini pruatelj usluga posluje,
omoguavaju Hrvatskoj narodnoj banci da ostvari cjelovit i neogranien pristup djelatnostima
i poslovima u svezi s kojima obavlja nadzor.
Ugovor(i) i nalazi odnosno izvjea unutarnjih i vanjskih revizora vezani uz eksternalizaciju
(dijela) poslovnih procesa trebali bi biti dostupni na hrvatskom jeziku zbog njihove bolje
razumljivosti kako bi se tonije provelo analiziranje, ocjenjivanje i revidiranje aktivnosti koje
su predmet eksternalizacije.
Rizik u poslovanju postoji bez obzira na to hoe li banke same obavljati aktivnosti vezane uz
informacijski sustav ili e se koristiti uslugama pruatelja usluga. Pri razmatranju svrhovitosti
eksternalizacije aktivnosti vezanih uz informacijski sustav banke trebaju:
biti svjesne rizika vezanog uz eksternalizaciju aktivnosti vezanih uz informacijski
sustav
osigurati da odnos izmeu banke i pruatelja usluga bude prihvatljiv sa stajalita rizika
i u skladu s poslovnim ciljevima banke
implementirati adekvatne zatitne mjere i kontrole kojima bi se smanjili identificirani
rizici
osigurati kontinuirano praenje rizika kako bi se identificirale i procijenile promjene u
odnosu na inicijalnu procjenu rizika
regulirati sve elemente i postupke koji se odnose na eksternalizaciju aktivnosti vezanih
uz informacijski sustav svojim internim aktima.
77
78
79
detaljan opis usluga koje su predmet ugovora te nain ispunjenja ugovornih obveza
odgovornost za tetu u sluaju povrede ugovornih obveza
obvezu pruatelja usluga da prije zakljuenja ugovora s podizvoaem zatrai
prethodnu pismenu suglasnost banke
obvezu zatite bankovne i poslovne tajne te povjerljivosti baninih podataka
detaljan opis prava i obveza ugovornih strana za sluaj prestanka ugovora, i to na
nain koji e osigurati kontinuitet poslovanja banke
pravo banke na pristup informacijama i vlasnitvo nad informacijama
nain na koji e banka obavljati nadzor nad pruateljem usluga
osigurati zaposlenicima Hrvatske narodne banke izravni nadzor djelatnosti i poslova u
svezi s kojima Hrvatska narodna banka obavlja nadzor
osigurati zaposlenicima Hrvatske narodne banke fiziki pristup resursima pruatelja
usluga koji su neophodni za izvrenje usluga koje su predmet ugovora
odgovornost pruatelja usluga za neobavljene, nepravodobne i neispravne transakcije i
ostale ugovorene aktivnosti
detaljan opis prava i obveza ugovornih strana koje e osigurati kontinuitet poslovanja
banke u sluaju raskida ugovora
identifikaciju kljunih kontrola, vremena odgovora na incidente, procedura i stupnjeva
eskalacije u sluaju pojave nepredvienih dogaaja, pokrivenosti osiguranjem,
mogunosti oporavka te drugih mjera upravljanja rizicima koje bi pruatelj usluga
trebao primijeniti
osigurati uvid u financijska izvjea, izvjea unutarnje i vanjske revizije kao i u ostala
izvjea vezana uz poslovanje pruatelja usluga, a koja bi mogla biti relevantna za
banku.
Nadalje, banka bi trebala u sklopu provedbe nadzora pruatelja usluga ije je pruanje usluga
vrlo vano za banku, obuhvatiti i sljedee:
praenje i analiziranje sadraja i kvalitete internih akata pruatelja usluga kako bi se
uoila eventualna odstupanja od zadanih smjernica i ugovornih obveza
neposredan uvid na lokaciji pruanja usluga kako bi se utvrdila primjenjivost
donesenih internih akata pruatelja usluga
procjenjivanje rezultata testiranja plana kontinuiteta poslovanja i plana oporavka
praenje postojanja odgovarajueg osiguranja, ugovorenog od strane pruatelja usluga.
81
9. E-bankarstvo
9.1. Uvod
Za potrebe ovog dokumenta elektroniko bankarstvo (u nastavku teksta: e-bankarstvo)
definira se kao neposredna ponuda novih i tradicionalnih proizvoda i usluga klijentima putem
elektronikih interaktivnih komunikacijskih kanala. E-bankarstvo ukljuuje sustave koji
klijentima banke pruaju bankarske proizvode i usluge (to su primjerice pristup financijskim
informacijama, voenje poslovanja, informiranje o proizvodima i uslugama, personalizirani
financijski portali, agregirani rauni, elektroniko plaanje, elektroniki novac i slino).
Budui da je uslugama i proizvodima e-bankarstva veim dijelom podrka informacijska
infrastruktura banke koja je podrka i tradicionalnim distribucijskim kanalima, sve navedeno
u ostalim poglavljima ovog dokumenta odnosi se i na e-bankarstvo. U ovom poglavlju
naglasit e se specifinosti pojedinih zahtjeva koji proizlaze iz potrebe za adekvatnim
upravljanjem rizicima povezanima s e-bankarstvom.
E-bankarstvo moemo podijeliti u tri kategorije:
1. informativno: odnosi se na pruanje informacija klijentima o proizvodima i
uslugama; iako rizik za banku u ovom sluaju nije velik, potrebno je uvesti kontrole
kako bi se sprijeile neautorizirane promjene informacija koje se prezentiraju
klijentima;
2. komunikacijsko: odnosi se na interakciju banke i klijenata (primjerice obuhvaa
promjene osobnih podataka, traenje informacija o financijskim raunima kao to su
stanja i transakcije, podnoenje zahtjeva za kreditom i slino); rizik je za banku bitno
vei, posebice zato to u veini sluajeva postoji veza izmeu infrastrukture ebankarstva koja prezentira informacije i usluge klijentu te ostalih dijelova
infrastrukture informacijskog sustava banke;
3. transakcijsko: odnosi se na provoenje transakcija (primjerice prijenos novca s
rauna na raun, kupnja vrijednosnih papira i slino); rizik je najvei i u skladu s time
trebaju biti primijenjene adekvatne kontrole.
Stalne tehnoloke inovacije, irenje telekomunikacijskih kanala, a posebice interneta, te sve
vea konkurencija na tritu omoguili su ubrzan razvoj postojeih i novih bankarskih
proizvoda, usluga te naina isporuke, to stvara nove poslovne mogunosti za banke i njihove
klijente. Iako samo e-bankarstvo nije uzrok nastanka novih rizika u poslovanju banaka,
razvidno je da e-bankarstvo utjee na poveanje i promjenu karakteristika ve poznatih rizika
u bankarskom poslovanju (primjerice stratekog, operativnog, pravnog i reputacijskog rizika).
Neka od specifinih svojstava e-bankarstva, izmeu ostalog, ukljuuju:
izrazito brze promjene vezane uz informacijsku tehnologiju
promjenu oekivanja klijenata
sve veu konkurenciju
iroku dostupnost telekomunikacijskih mrea (primjerice interneta)
sve manje tradicionalne komunikacije izmeu klijenta i banke
integraciju aplikacija koje podravaju e-bankarstvo s tradicionalnim bankarskim
aplikacijama
veliku ovisnost banaka o dobavljaima i pruateljima usluga
ubrzanu pojavu prijetnja i ranjivosti povezanih s telekomunikacijskim mreama.
82
Iz prije navedenog moe se zakljuiti da postojei sustav upravljanja rizikom u banci mora
biti prilagoen kako bi adekvatno obuhvatio posebnosti rizika koje proizlaze iz specifinih
svojstava e-bankarstva, opsega e-bankarstva u ukupnom poslovanju te mogunosti banke da
upravlja rizicima. Sve navedeno poveava potrebu da se i prije uvoenja (nove) e-bankarske
usluge provede procjena rizika e-bankarstva i izradi (aurira) strategija e-bankarstva.
83
84
85
neeljenih dogaaja (kao to su unutarnji i vanjski napadi koji mogu imati negativne
posljedice kad je rije o pruanju usluga e-bankarstva) radi njihova rjeavanja ili smanjenja. U
sluaju nastanka incidenta, ukoliko su naruena prava odreenih klijenata banke, klijente je
potrebno o tome obavijestiti.
9.3.1.2. Praenje neuobiajenih aktivnosti
Dobre prakse nalau provoenje procjene rizika i razmatranje uvoenja djelotvornog i
pravodobnog sustava praenja neuobiajenih aktivnosti koje se odnose na e-bankarstvo kao
to su:
transakcije e-bankarstva s neaktivnih rauna, vei broj transakcija u kraem razdoblju
prema raunima s kojima do tada nije bilo transakcija (posebice ako ukupni preneseni
iznos novca prelazi granini iznos novca koji podlijee odredbama Zakona o
sprjeavanju pranja novca, "Narodne novine", br. 69/1997., 106/1997, 67/2001.,
114/2001., 117/2003., 142/2003.), transakcije u offshore zone i slino
promjena osobnih podataka klijenata (primjerice adrese klijenta), nakon koje slijede
aktivnosti kao to su novi ekovi, nove zaporke, PIN-ovi koji se alju na tu adresu,
poveanje limita, vei iznosi koji se prenose i ostalo. Navedeni slijed aktivnosti
upuuje na moguu prijevaru.
Nadalje, u sklopu sustava praenja neuobiajenih aktivnosti banka bi trebala razmotriti
postupke komunikacije s klijentom te izvjeivanja odgovornih osoba i institucija.
9.3.2. Kontrole
Uprava banke je odgovorna za uspostavu adekvatnog sustava kontrola e-bankarstva.
Navedeno ukljuuje uspostavu upravljakih, logikih i fizikih kontrola na svim razinama.
Zbog specifinosti rizika e-bankarstva posebnu pozornost valja posvetiti sljedeim
imbenicima:
identifikaciji, autentifikaciji i autorizaciji
povjerljivosti
integritetu podataka i transakcija
raspoloivosti
razdvajanju dunosti
upravljanju operativnim i sistemskim zapisima
sigurnoj i robusnoj infrastrukturi sustava e-bankarstva
neporecivosti
dokazivosti.
Neki od navedenih imbenika detaljnije su razloeni u nastavku teksta.
9.3.2.1. Identifikacija, autentifikacija i autorizacija
Banka je duna na temelju procjene rizika, koja obuhvaa i specifinosti e-bankarstva,
donijeti standarde i ostale interne akte te u skladu s tim:
87
Prilikom procjene rizika potrebno je uzeti u obzir vrstu pojedine transakcije, osjetljivost
informacija koje se prenose i pohranjuju te pouzdanost, sigurnost, provjerenost i nain
primjene pojedine autentifikacijske metode. Autentifikacija klijenata trebala bi biti "jaka"
odnosno ukljuivati najmanje dva od tri naina utvrivanja neospornosti korisnikog
identiteta (detaljnije objanjeno u poglavlju "Upravljanje kontrolama pristupa").
9.3.2.2. Povjerljivost, integritet i raspoloivost
E-bankarstvo poveava rizik od neovlatenog pristupa informacijama pri prijenosu javno
dostupnom ili privatnom telekomunikacijskom mreom kao i onda kad su pohranjene u
informacijskom sustavu banke. Kako bi se zatitila povjerljivost informacija, banka bi trebala
osigurati barem sljedee:
resursi informacijskog sustava trebaju biti dostupni samo ovlatenim i autentificiranim
osobama, procesima i sustavima;
resursi informacijskog sustava trebaju biti zatieni od neovlatenog otkrivanja ili
mijenjanja za vrijeme prijenosa javno dostupnim i privatnim telekomunikacijskim
mreama kao i pri pohranjivanju i uvanju informacija na sustavima banke;
adekvatnu kontrolu pristupa pruatelja usluga koji imaju pristup povjerljivim
informacijama;
pristup osjetljivim informacijama ili bilo kakva modifikacija konfiguracije resursa
informacijskog sustava (ija posljedica moe biti otkrivanje, unitavanje ili mijenjanje
informacija) trebali bi se zapisivati u operativne i sistemske zapise.
Neadekvatna zatita integriteta sustava i podataka moe dovesti do netonosti, prijevara ili
pogrenih odluka, to moe biti prvi korak u naruavanju povjerljivosti i raspoloivosti
sustava i podataka te smanjiti povjerenje u usluge e-bankarstva openito. Sve navedeno moe
rezultirati poveanjem svih rizika kojima je banaka u svom poslovanju izloena. Kako bi
ouvala integritet podataka, banka bi trebala implementirati adekvatne zatitne mjere i
kontrole koje bi, uz potrebu ouvanja povjerljivosti, osigurale barem sljedee:
e-bankarske transakcije trebaju se provoditi na takav nain da budu izrazito otporne na
neovlatene utjecaje tijekom cijelog procesa;
e-bankarske transakcije te procesi upravljanja podacima trebali bi biti planirani i
izvedeni tako da rizik neprimjeivanja neovlatenih aktivnosti bude sveden na
najmanju moguu mjeru;
adekvatno upravljanje promjenama, ukljuujui praenje i testiranje sustava;
primjenu kriptografskih metoda (primjerice banka bi trebala za prijenos osjetljivih
informacija razmotriti uvoenje enkripcije od polazita do odredita informacije bez
prijelazne dekripcije);
aplikativne kontrole (primjerice za provjeru usklaenosti iznosa nakon izvrenja
transakcija, kao i provjeru integriteta podataka prenesenih izmeu razliitih sustava);
praenje neuobiajenih aktivnosti.
Isto tako, jedna od vanijih karakteristika e-bankarstva jest raspoloivost usluge. Pojam
raspoloivosti odnosi se na svojstvo mogunosti pristupa i upotrebljivosti na zahtjev
88
ovlatenog korisnika usluge e-bankarstva. Kako bi pruila zadovoljavajuu kvalitetu usluge ebankarstva, banka bi trebala osigurati primjerene kapacitete informacijske i
telekomunikacijske infrastrukture te adekvatnu zatitu od namjernog ili sluajnog
uskraivanja usluge.
Neporecivost i dokazivost mogue je promatrati i kao kombinaciju naela povjerljivosti,
integriteta i raspoloivosti. Banka bi trebala koristiti autentifikacijske metode kojima se
osigurava neporecivost i dokazivost transakcija e-bankarstva. Rizik poricanja transakcija ve
je prisutan pri tradicionalnim plaanjima kreditnim karticama, a e-bankarstvo poveava taj
rizik:
zbog kompleksnosti identificiranja, autentificiranja i autoriziranja osoba, procesa ili
sustava koji iniciraju transakciju
zbog mogunosti neovlatene promjene ili "prisvajanja" transakcija
zbog mogunosti osporavanja transakcija e-bankarstva od strane korisnika.
S obzirom na sve navedeno banka bi trebala ovisno o vrsti e-bankarske transakcije osigurati
barem sljedee:
sustavi e-bankarstva trebaju biti projektirani na nain kojim se smanjuje vjerojatnost
iniciranja nenamjernih transakcija od strane ovlatenih korisnika;
korisnici trebaju biti upoznati s rizicima povezanima s transakcijom koju zapoinju;
osobe, procesi i sustavi trebaju biti identificirani i autentificirani;
primjenu odgovarajuih kontrola nad autentificiranim kanalom.
9.3.2.3. Razdvajanje (segregacija) dunosti
Razdvajanje dunosti je vrsta upravljake kontrole kojoj je cilj smanjiti rizik prijevare u
poslovnim procesima te osigurati tonost i integritet podataka. Banka bi trebala primijeniti
adekvatne kontrole radi djelotvornog razdvajanja dunosti u procesu e-bankarstva.
Uobiajene prakse koje se koriste prilikom razdvajanja dunosti ukljuuju sljedee:
transakcijski procesi i sustavi trebali bi biti projektirani tako da ni jedan zaposlenik
banke ili osoba zaposlena kod pruatelja usluga ne moe samostalno zapoeti,
autorizirati i zavriti transakciju;
dunosti bi trebalo razdvojiti na dunosti onih (osoba, procesa i sustava) koji iniciraju
poslovni proces u sklopu e-bankarstva i onih koji su odgovorni za verifikaciju
integriteta tog procesa;
potrebno je testirati sustav e-bankarstva kako bi se iskljuila mogunost zaobilaenja
kontrola uvedenih radi razdvajanja dunosti;
dunosti bi trebalo razdvojiti na dunosti osoblja koje razvija, osoblja koje testira i
dunosti osoblja koje administrira sustav e-bankarstva.
9.3.2.4. Sigurnost aplikacija e-bankarstva
Neprimjerena arhitektura aplikacija e-bankarstva poveava rizik koji proizlazi iz neovlatenih
radnja. Banka bi stoga trebala osigurati primjerenu razinu sigurnosti sustava e-bankarstva
adekvatnom arhitekturom aplikacije, imajui u vidu barem sljedee:
odabir softverskih alata i tehnologije za razvoj e-bankarskih aplikacija s obzirom na
znaajke sigurnosti;
89
91
Uprava banke trebala bi odrediti lana uprave koji e biti nadlean za nadzor i
kontrolu procesa upravljanja informacijskim sustavom.
2.
3.
4.
Uprava banke trebala bi donijeti strategiju informacijskog sustava koja mora biti u
skladu s poslovnom strategijom banke. Strategiju informacijskog sustava potrebno je
razraditi u stratekim i operativnim planovima.
5.
6.
7.
8.
9.
10.
skladu
uspostavljenom
92
2.
3.
4.
5.
Banka bi trebala pri provoenju odabranih mjera uvesti nove i/ili izmijeniti
postojee upravljake, logike ili fizike kontrole. Nakon provoenja odabranih
mjera potrebno je utvrditi preostale rizike.
6.
7.
8.
9.
Unutarnja revizija
1.
2.
3.
4.
5.
93
94
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
14.
2.
3.
4.
5.
6.
7.
2.
96
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
2.
3.
4.
5.
6.
7.
8.
9.
10. Banka bi prije sklapanja ugovora s pruateljem usluga trebala provesti dubinsko
ispitivanje pruatelja usluga.
11.
12.
Ugovori izmeu Banke i pruatelja usluga trebaju biti u pisanom obliku, jasno
sastavljeni i dovoljno detaljni kako bi osigurali ispunjavanje preuzetih obveza
pruanja usluga. Isto tako, ugovori trebaju jasno definirati sve relevantne pojmove,
uvjete, prava i obveze te odgovornosti ugovornih strana.
97
13.
14.
Banka bi trebala svojim internim aktima regulirati sve elemente i postupke vezane
uz eksternalizaciju.
15.
E-bankarstvo
98
1.
Banka bi trebala donijeti strategiju e-bankarstva kao sastavni dio poslovne strategije
banke.
2.
Banka bi trebala prije donoenja odluke o uvoenju e-bankarstva ili novih usluga
procijeniti rizike povezane s e-bankarstvom i tim uslugama.
3.
4.
5.
6.
7.
8.
9.