B. Podrobnější požadavky na řízení operačního rizika
I. Systém řízení operačního rizika
1. Banka nebo družstevní záložna vytvoří a udržuje systém řízení operačního rizika, který je přiměřený povaze, rozsahu a složitosti činností,a obsahuje alespoň
a) vymezení operačního rizika,
b) zásady a cíle řízení operačního rizika,
c) postupy řízení operačního rizika,
d) odpovědnosti, pravomoci a informační toky při řízení operačního rizika na všech řídicích a organizačních úrovních,
e) informace o významných událostech a ztrátách vzniklých v důsledku operačního rizika,
f) míru akceptovaného operačního rizika,
g) způsob případného vyvedení operačního rizika mimo banku nebo družstevní záložnu.
2. Banka nebo družstevní záložna pravidelně vyhodnocuje a případně upravuje systém řízení operačního rizika.
II. Rozpoznávání, vyhodnocování, sledování a ohlašování operačního rizika
1. Banka nebo družstevní záložna identifikuje (rozpoznává) zdroje operačního rizika.
2. Vyhodnocování a sledování operačního rizika je začleněno do běžných procesů.
3. Banka nebo družstevní záložna pravidelně vyhodnocuje a sleduje možné dopady a potenciální ztráty vyplývající z událostí operačního rizika.
4. Banka nebo družstevní záložna zabezpečí pravidelné informování příslušných zaměstnanců o podstupovaném operačním riziku souvisejícím s jejich činností (ohlašování operačního rizika).
III. Omezování operačního rizika
1. Banka nebo družstevní záložna upravuje míru podstupovaného operačního rizika uplatňováním vhodných postupů omezování výskytu či nepříznivých dopadů výskytu událostí operačního rizika.
2. Banka nebo družstevní záložna posoudí jak rizika ovlivnitelná, tak rizika stojící mimo její přímý vliv, a rozhodne, zda rizika přijme, omezí jejich případné dopady, či zda omezí nebo zcela ukončí příslušnou činnost. Pro omezování operačního rizika vytvoří a udržuje například postupy pro
a) řízení přístupů zaměstnanců, klientů a dalších oprávněných osob k hmotnému a nehmotnému majetku banky nebo družstevní záložny,
b) řešení odezvy na případný výskyt bezpečnostních incidentů,
c) řešení operačního rizika, včetně rizika právního a compliance, při zajišťování dodávek zboží a služeb a při outsourcingu, pokud je bankou nebo družstevní záložnou uplatňován či zvažován.
3. Banka nebo družstevní záložna sjednává smluvní vztahy s třetími osobami písemnou formou.
IV. Kontinuita činností a pohotovostní plánování
1. Pro případy neplánovaného přerušení nebo omezení svých činností, havárie včetně havárií informačních systémů, selhání pro banku nebo družstevní záložnu významných třetích osob nebo selhání vnější infrastruktury zabezpečí banka nebo družstevní záložna postupy, které vedou k obnovitelnosti činností významných z hlediska jejího fungování.
2. Banka nebo družstevní záložna přijme pohotovostní plány pro obnovení své činnosti pro případy uvedené v odstavci 1. Pro řešení obnovy činností jsou v plánech stanovena alespoň tato opatření:
a) činnost následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod,
b) činnost následující po vzniku krizové situace zaměřená na likvidaci následků krizové situace,
c) způsob zálohování, pokud je to relevantní,
d) způsob zajištění nouzového provozu s uvedením minimálních funkcí, které musí být zachovány,
e) způsob obnovy činností včetně činností zajišťovaných třetími osobami.
3. Banka nebo družstevní záložna zabezpečí, aby příslušní zaměstnanci byli s pohotovostními plány seznámeni a postupovali podle nich.
4. Pohotovostní plány jsou pravidelně testovány, vyhodnocovány a případně aktualizovány.
V. Informační systémy a technologie
1. Pro účely bodu V. se rozumí
a) informačním systémem dílčí funkční celek v rámci informačního systému podle § 2 odst. 1 písm. j) zabezpečující získávání, uchovávání, přenášení, zpracovávání a poskytování informací pomocí informačních technologií,
b) informační technologií technické a programové vybavení. Technickým vybavením se rozumí hmotné technické prostředky výpočetní a komunikační techniky. Programovým vybavením se rozumí programy, procedury a pravidla nutné k tomu, aby příslušné technické vybavení plnilo požadovanou funkci;
c) aktivem informačního systému informační technologie, informace uložené v informačním systému a dokumentace informačního systému,
d) autentizací uživatele proces ověření jeho totožnosti,
e) autorizací uživatele proces ověření jeho přístupových práv na základě autentizace,
f) důvěrností informace zajištění, že informace je přístupná pouze uživateli, který je k přístupu oprávněn,
g) dostupností informace zajištění, že informace je pro oprávněného uživatele přístupná ve stanovené době,
h) integritou informace zajištění správnosti a úplnosti informace a metody jejího zpracování.
2. Bezpečnostní zásady informačních systémů obsahují
a) cíle bezpečnosti informačních systémů,
b) hlavní zásady a postupy pro zajištění důvěrnosti, integrity a dostupnosti informací,
c) odpovědnosti za ochranu aktiv a plnění bezpečnostních zásad informačních systémů.
3. Banka nebo družstevní záložna zabezpečí dodržování bezpečnostních zásad v jednotlivých informačních systémech.
4. Banka nebo družstevní záložna provede analýzu rizik spjatých s informačními systémy. V ní definuje aktiva informačních systémů, hrozby, které na ně působí, zranitelná místa informačních systémů, pravděpodobnost realizace hrozeb a odhad jejich následků a protiopatření. Banka nebo družstevní záložna pravidelně provádí aktualizaci analýzy rizik spjatých s informačními systémy.
5. V oblasti bezpečnosti přístupu k informacím banka nebo družstevní záložna zajistí
a) přidělení přístupových práv uživatelům v informačních systémech,
b) jednoznačnou autentizaci uživatele, která musí předcházet jeho činnostem v informačních systémech,
c) přístup k informacím v informačních systémech pouze uživateli, který byl pro tento přístup autorizován,
d) ochranu důvěrnosti a integrity autentizační informace,
e) zaznamenávání událostí, které ohrozily nebo narušily bezpečnost informačních systémů, do bezpečnostních auditních záznamů, ochranu těchto záznamů před neautorizovaným přístupem, zejména úpravou (modifikací) nebo zničením, a jejich archivaci,
f) vyhodnocování bezpečnostních auditních záznamů zaměstnancem, který nemá možnost upravovat (modifikovat) v informačních systémech informace související s činností, o které je bezpečnostní auditní záznam pořízen.
6. V oblasti bezpečnosti komunikačních sítí banka nebo družstevní záložna zabezpečí
a) připojení sítě, která je pod kontrolou banky nebo družstevní záložny, k vnější komunikační síti, která není pod kontrolou banky nebo družstevní záložny tak, aby byla minimalizována možnost průniku do jejích informačních systémů,
b) aby při přenosu důvěrných informací vnější komunikační sítí byla zajištěna
1. přiměřená důvěrnost a integrita informací,
2. spolehlivá autentizace komunikujících stran, včetně ochrany autentizačních informací.
7. Banka nebo družstevní záložna vytvoří a udržuje opatření pro fyzickou ochranu aktiv informačních systémů.
8. Při provozování informačních systémů banka nebo družstevní záložna zejména zajistí
a) aby změnu v provozovaných informačních systémech bylo možno provést až po vyhodnocení vlivu této změny na bezpečnost informačních systémů,
b) aby v provozovaných informačních systémech bylo používáno pouze otestované programové vybavení, u kterého výsledky testů prokázaly, že bezpečnostní funkce jsou v souladu se schválenými bezpečnostními zásadami informačních systémů. Výsledky testů jsou zdokumentovány;
c) aby servisní činnost v provozovaných informačních systémech byla organizována tak, aby bylo minimalizováno ohrožení jejich bezpečnosti,
d) zálohování informací a programového vybavení provozovaných informačních systémů, významných pro její fungování. Zálohované informace a programové vybavení jsou uloženy tak, aby byly zabezpečeny proti poškození, zničení a krádeži;
e) pravidelné prověřování a vyhodnocování bezpečnosti informačních systémů.