Legislatívne vákuum umožňovalo odlišný prístup slovenských bánk k ochrane informačných systémov

V súčasnom bankovom prostredí nesporne kľúčové postavenie majú informačné technológie. Ich správna funkcia a využitie sa stali základným predpokladom dosahovania obchodných cieľov každej banky. Spoliehanie sa na elektronické spracovanie údajov prináša zvýšené nároky na celkové zabezpečenie korektnej činnosti bankového informačného systému (IS) a ochranu dát pred zneužitím. Bezpečnosť IS treba chápať nie ako ustálený stav, ale ako nepretržitý proces.

Z tohto pohľadu je dôležité kontinuálne posudzovať úroveň bezpečnosti a spoľahlivosti bankového IS a reagovať na identifikované nedostatky. Globalizácia ekonomiky a celosvetové trendy v tejto oblasti priamo ovplyvňujú aj situáciu na Slovensku.

Neúplná legislatíva

Zákon č. 58/1996 Z.z., ktorým sa mení a dopĺňa zákon č. 21/1992 Zb. o bankách v znení neskorších predpisov, ukladá slovenským bankám povinnosť raz ročne overiť spoľahlivosť informačného systému, ktorý spracúvava bankové údaje (§ 22 ods. 8 zákona). V zákone však nie je špecifikované, čo sa považuje za overenie spoľahlivosti IS, kto a za akých podmienok je oprávnený overenie vykonať.

Toto legislatívne vákuum v praxi doteraz spôsobovalo veľmi odlišný prístup bánk k zákonnej povinnosti. Situáciu zahmlievala aj existencia štandardu Slovenskej komory audítorov, ktorý upravuje audit v prostredí počítačových informačných systémov (SAUŠ č. 20). Zamieňanie finančného auditu v prostredí počítačového IS a auditu bankového IS je stále pretrvávajúcim faktom, i keď už v zmenšujúcej sa miere.

V takýchto prípadoch sa ukáže, kto má skutočný záujem o získanie nezávislého komplexného posúdenia úrovne bezpečnosti IS a odstránenie prípadných nedostatkov a komu ide len o formálne naplnenie litery zákona. Legislatívne vákuum sa pokúsila preklenúť Národná banka Slovenska svojimi odporúčaniami na zabezpečenie ochrany elektronicky spracúvaných údajov a overenie spoľahlivosti IS bánk v kontexte predmetného ustanovenia zákona.

Čo je overenie spoľahlivosti bankového IS

Overením spoľahlivosti bankového IS sa chápe činnosť známa vo svete ako audit informačného systému. Pre túto činnosť bolo podobne ako pre finančný audit vypracované množstvo štandardov a odporúčaní. Audit IS v bankovom prostredí kladie dôraz na informačnú bezpečnosť. V tomto kontexte sa v rámci auditu preveruje schopnosť systému podporovať funkcie banky, zabezpečenie ochrany informácií pred neoprávneným použitím, celistvosti a presnosti údajov, dostupnosti informácií. Rovnako sa preverujú aj procesy presahujúce interný charakter, napríklad spoľahlivosť ochrany údajov vymieňaných medzi bankou a externým subjektom, alebo overenie autenticity pokynov zadávaných cez komunikačné prostredie (napríklad home banking).

Audit IS berie do úvahy nielen informácie a IS ako také, ale aj prostredie, v ktorom sa IS nachádza, a personál banky, ktorý má oprávnenie využívať jeho služby. Audit IS si okrem aktuálneho stavu všíma aj celkový trend v zabezpečovaní spoľahlivosti a ochrany a včas upozorňuje na možné budúce riziká. V takomto komplexnom poňatí je potrebné chápať aj predmetné ustanovenie zákona. Pod spoľahlivosťou sa chápu všetky aspekty informačnej bezpečnosti a pod overením spoľahlivosti posúdenie adekvátnosti a kvality realizovaných opatrení na zabezpečenie bankového IS.

Audit bankového IS by mal vykonávať kvalifikovaný špecialista

Audit IS, ktorý nemá byť len formálnym naplnením litery zákona, by mal vykonávať kvalifikovaný špecialista. Iba v takom prípade manažment banky získa kvalifikované a vyargumentované stanovisko k úrovni ochrany IS, ktoré môže využiť ako základ pre opatrenia na zlepšenie. Pri vykonaní auditu bankového IS je okrem kvalifikačných predpokladov potrebné dodržať aj princíp nezávislosti. Audítor IS musí mať nezávislý prístup k predmetu auditu, aby mohol vydať objektívne a spravodlivé stanovisko. Aj preto nie je vhodné spájať finančný audit a audit bankové- ho IS do jednej aktivity.

Bežným postupom vo svete je využívanie služieb špecializovaných konzultantov pre oblasť bezpečnosti IS. Ich odborné predpoklady treba zvyčajne doložiť platným certifikátom vydaným stavovskou organizáciou audítorov IS. Túto úlohu plní celosvetová asociácia ISACA (Information Systems Audit and Control Association). ISACA publikuje celosvetovo akceptované štandardy pre oblasť auditu IS a udeľuje aj certifikát CISA (Certified Information Systems Auditor).

Základným predpokladom na udelenie certifikátu CISA je vykonanie špecializovanej skúšky, ktorú pripraví a vyhodnotí nezávislá medzinárodná odborná komisia. Okrem toho uchádzač musí dokladovať aj aspoň päťročnú prax v odbore. Certifikát CISA má časovo obmedzenú platnosť a podľa pravidiel ISACA je ho potrebné v rámci programu kontinuálneho vzdelávania počas určenej časovej lehoty každoročne obnovovať.

Odporúčania Národnej banky Slovenska akceptujú celosvetovú situáciu, čím sa približujú k zaužívaným praktikám. Vykonanie auditu bankového IS držiteľom certifikátu CISA prispieva k posilneniu dôvery banky v medzinárodnom meradle. Poskytnuté odborné stanovisko k aktuálnemu stavu IS a trendu úrovne jeho zabezpečenia pomáha banke kontinuálne udržiavať, prípadne zlepšovať úroveň bezpečnosti IS.

Mgr. Ivan Kopáčik, CISA
GORDIAS s.r.o.
kopacik@gordias.sk

RNDr. Jozef Vyskoč, CISA
VaF s.r.o.