Az előadás letölthető anyaga

Informatika felügyeleti elvárások és tapasztalatok a

pénzügyi szervezeteknél

BEMSZ szakosztályi előadás

Kirner Attila FőosztályvezetőPSZÁF Informatika Felügyeleti Főosztá[email protected]

Budapest, 2009. február 26.

2

•2009. évi felügyeleti prioritások•Feladataink•Vizsgálati alapelvek• Jogszabályi változások•Bázel2• IT elvárások és tapasztalatok•Esettanulmányok•Banktitok, adatvédelem•Kiszervezés•Összefoglalás

Tartalom

3

• Likviditás, Stratégia, Hitelkockázat, Tisztességes piaci magatartás biztosítása (működési kockázatok)

• „A jelenlegi legfontosabb üzleti prioritások az Irányítás, a Kockázatmenedzselés és a Jogszabályi megfelelés (GRC – Governance, Risk, Compliance)!” ISACA: IT control objectives for Basel2

• Jogszabályi megfelelés ellenőrzése, kontroll-tudatosság• Továbbra is fókuszban a Bázel2 validációs vizsgálatok• Eredmények hatékonyabb kommunikálása• Ajánlások, útmutatók, tanácsadás, konzultációk• Kockázatalapú felügyelés, folyamatos kapcsolat• Csoportvizsgálatok, csoportfelügyelés

2009. évi prioritások

4

Feladataink - 1A PSZÁF feladata, célja (2007. évi CXXXV.

törvény):3. § (1) A Felügyelet ellátja mindazon feladatot, amelyet törvény

vagy törvény felhatalmazása alapján kiadott jogszabály a hatáskörébe utal.

• A pénzügyi piacok zavartalan és eredményes működése

• Az ügyfelek érdekvédelme• A piaci viszonyok átláthatósága• A pénzügyi piacokkal szembeni bizalom erősítése• A tisztességes piaci verseny fenntartása3. § (2): „A Felügyelet feladatai ellátása során

együttműködik a Magyar Nemzeti Bankkal (a továbbiakban: MNB), a Gazdasági Versenyhivatallal és a 4. §-ban meghatározott szervezetek vagy személyek ellenőrzését ellátó más hatóságokkal.”

5

Feladataink - 2Bejelentés:A Psztv. 26/B. § (1) bekezdés szerint: a „bejelentés olyan beadvány”, amely tartalmazza a bejelentő és a bejelentett azonosításához szükséges adatokat:

• a bejelentő szervezet vagy személy nevét (megnevezését),• lakóhelyét (székhelyét vagy telephelyét) vagy tartózkodási helyét,• a feltételezett jogsértés megjelölését, • a feltételezett jogsértést megvalósító konkrét magatartás leírását, • a feltételezett jogsértést alátámasztó tényeket és bizonyítékokat.

Ebben az esetben automatikusan indul vizsgálat!Panasz:A Psztv. 26/C § (1) bekezdése szerint: „A 26/B. § (1) bekezdése szerinti bejelentésnek nem minősülő beadványt a Felügyelet panaszként köteles kezelni.” (valamelyik feltétel hiányzik).

A fentiek kezeléséről a PSZÁF 22/2008. számú belső utasítása („A fogyasztói beadványok intézésének, valamint a bejelentések alapján és tisztességtelen kereskedelmi gyakorlatok észlelése esetén indított vizsgálatok lefolytatásának eljárásrendje”) rendelkezik.

6

Feladataink - 3Az IT felügyeleti főosztály bemutatása:• IFF munkatársak: 8 fő CISA auditor (1,5%-a a teljes

PSZÁF állománynak!), több mint 10 éve IT ellenőrzés

• Hazai és nemzetközi (!) banki felügyelési tapasztalat.

• Főbb feladatok: IT felügyelés, IT engedélyezés, IT felügyelési módszertan fejlesztése, tanácsadás és konzultáció

• Szabványok követése (COBIT, ISO 27001, TCSEC, ITSEC, CC, ISO 13335, ITIL, stb.)

• Folyamatos képzés és oktatás• Főbb fókusz az EU felügyeleti szabályoknak való

megfelelés (Bazel2, MIFID, SOLVENCY2, stb.)

7

Vizsgálati alapelvek - 1IT felügyelési alapelvek:• Vizsgálati módszertan COBIT alapokon („a tudatos

vezetés eszköze”, „Az üzleti vezetők és az ellenőrök napi munkájában használható, általánosan elfogadott információ-technológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése.”)

• A legjobb hazai és nemzetközi gyakorlat követése, meghonosítása.

• Kockázat alapú felügyelés és vizsgálat (www.pszaf.hu), előzetes on-site és off-site kockázatfelmérő kérdőívek.

• Kontrollok vizsgálata (preventív, detektív, korrektív), a működési kockázatok kezelése.

• Megfelelőségi (compliance) és mélységi (substantial) vizsgálatok

8

Vizsgálati alapelvek - 2Az informatikai vizsgálatok négy fő

területe:• Tervezés, vezetés, szervezet, szabályozás

(stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás).

• IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).

• Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás).

• Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).

9

COBIT vs ISO 27001:2005:Vizsgálati alapelvek - 3

COBIT által lefedett területek

10

• Hpt. módosítások:– az európai tőkemegfelelési szabályok átültetése– a korábbi jogharmonizációs célú módosítások– a kockázatok csökkentését célzó, átláthatóbb és

kiegyensúlyozottabb szabályozási környezet kialakítása• Új elem: „13/C. § Vállalatirányítási rendszer” 13/C. §

(1) A hitelintézetnek mérete, az általa végzett tevékenysége jellege, nagyságrendje és összetettsége arányában megbízható vállalatirányítási rendszerrel kell rendelkeznie (szervezet, felelősségelhatárolás, kockázatmenedzselés, szabályozás, stb.)

• Kötelező írásban rögzített szabályzatok 13/C. § (3) e): „a működési kockázatok mérésére, kezelésére valamint vészhelyzeti és üzletmenet-folytonossági tervvel a folyamatos működés fenntartása továbbá a súlyos üzletviteli fennakadásokból következő esetleges veszteségek mérséklése érdekében,”

Jogszabályi változások - 1

11

• Hitelezési kockázat előírása a 76/A. § (1)-ban, amely „a hitelintézetek mindenkori fizetőképességének fenntartása érdekében az általa végzett tevékenység kockázatának fedezetét mindenkor biztosító megfelelő szavatoló tőkével kell rendelkezni, amely …

• Részletes szabályozás a 196/2007. Korm. Rendeletben („a rendelet célja, hogy a hitelintézet számára meghatározza a) a hitelezési kockázat tőkekövetelményének sztenderd (STA) módszerrel (Hpt. 76/A. §), illetőleg belső minősítésen alapuló (FIRB, AIRB) módszerrel (Hpt. 76/B-76/D. §) történő kiszámításának,

• A 76/B. § (1) belső minősítésen alapuló módszer feltételei között:– „a kockázatkezelés és minősítési rendszerei megbízhatóak és átfogóak”– „független hitelkockázat-ellenőrzési egységgel rendelkezzen”– „évente legalább egyszer jóváhagyja és dokumentálja minősítési rendszereit”– „bevezetése előtt legalább három éven át” megfelelő minősítési rendszert

működtet• A 76/K § (1) a tőkemegfelelési rendszer értékelési folyamat feltételei között:

– „A hitelintézetnek megbízható, hatékony és átfogó stratégiával és eljárással kell rendelkeznie”

– „legalább évente felül kell vizsgálnia stratégiáját”

Jogszabályi változások - 2

12

• Működési kockázat definíció: 76/J. § (1) A hitelintézet a – nem megfelelő belső folyamatok és rendszerek, külső események vagy a személyek nem megfelelő feladatellátása miatt felmerülő illetőleg jogszabály, szerződés vagy belső szabályzatban rögzített eljárás megsértése vagy nem teljesítése miatt keletkező, eredményét és szavatoló tőkéjét érintő – működési kockázat tőkekövetelményét

• A) az alapmutató módszerével (BIA),• B) a sztenderdizált módszerrel (TSA, ASA),• C) a fejlett mérési módszerrel (AMA) vagy• D) az a)-c) pontokban rögzített módszerek

kombinálásával számítja ki.• Részletes szabályozás a 200/2007. Korm. Rendeletben

(a működési kockázat kezeléséről és tőkekövetelményéről).

Jogszabályi változások - 3

13

Bázel2 - Veszteség típusokBázel II kockázati eseménytípusok a kapcsolódó IT vonatkozással és CobiT folyamattal (lásd 200/2007. Korm.rend. 13§)

Bázel II eseménytípusok IT vonatkozás CobiT folyamatok

Belső csalás

• Szándékos programmanipulálás• Módosító funkció jogosulatlan használata• Rendszerparancsok szándékos manipulálása• Hardver szándékos manipulálása• Rendszer- és alkalmazási adat szándékos megváltoztatása behatolás révén• Hozzáférési jogosultságok belső megkerülése• Liszensszel nem rendelkező vagy nem jóváhagyott szoftver másolása

• PO6 vezetői célok és irányvonal kommunikálása• DS5 rendszer biztonságának biztosítása• DS9 konfiguráció kezelése

Külső csalás

• Rendszer- és alkalmazási adat szándékos megváltoztatása behatolás révén• Külső fél birtokába kerülnek bizalmas dokumentumok• Hozzáférési jogosultságokat megkerülő külső fél• Kommunikációs vonalakkal kapcsolatos lehallgatás és aktív beavatkozás• Felfedett jelszó• Számítógépes vírusok

• DS5 rendszer biztonságának biztosítása

Munkáltatói gyakorlat és munkabiztonság

• IT eszközök nem rendeltetésszerű használata• A biztonsági tudatosság hiánya

• PO6 vezetői célok és irányvonal kommunikációja

Ügyfél, üzleti gyakorlat, marketing és termékpolitika

• Egy alkalmazott érzékeny információt szivárogtat ki külső fél számára• Külső beszállítók kezelése

• PO6 vezetői célok és irányvonal kommunikációja• DS2 külső szolgáltatások kezelése

Tárgyi eszköz károk • A fizikai IT infrastruktúra szándékos vagy véletlen rongálása • DS12 technikai környezet kezelése

Üzletmenet fennakadása és rendszerhiba

• Hardver vagy szoftverhiba, Kommunikációszakadás• Alkalmazott szabotázsa, IT kulcsmunkatárs elvesztése• Program- vagy adatfájlok megsemmisülése• Érzékeny adat vagy szoftver eltulajdonítása• Számítógépes vírusok• Mentés hiánya• (Elosztott) szolgáltatásmegtagadási támadás• Konfiguráció-kontroll hiba

• DS3 teljesítmény és kapacitás kezelése• DS4 folyamatos működés biztosítása• DS5 rendszer biztonságának biztosítása• DS9 konfiguráció kezelése• DS10 problémák kezelése

Végrehajtás, teljesítés és folyamatkezelés

• Elektronikus adathordozó hibás kezelése• Felügyelet nélkül hagyott munkaállomás• Hiba a változáskezelésben• Nem teljes körű tranzakció bevitel, Hibás adatbevitel/kivitel• Programozási/tesztelési hiba• Operátori hiba (pl. hiba a visszaállítási folyamatban)

• AI5 rendszerek kiépítése és jóváhagyása• AI6 változások kezelése• DS5 rendszer biztonságának biztosítása• DS10 problémák kezelése

14

Bázel2 - COBIT mappingA CobiT alkalmazása a kockázatkezelésre (ISACA: IT control objectives for Basel2)

Bázeli alapelv Érintett IT terület Kapcsolódó CobiT folyamat

1. Az Igazgatóságnak tudatában kell lenni, hogy szükség van egy működési kockázatkezelő keretrendszerre. IT kockázatkezelés PO9 Kockázatfelmérés és

kezelés2. A belső ellenőrzés hatásos és átfogó vizsgálatnak veti alá a kockázatkezelő keretrendszert. IT belső ellenőrzés ME4 IT ellenőrzés biztosítása3.Dolgozzák ki a működési kockázat kezelésének szabályozását, folyamatait és eljárásait. IT kockázatkezelés PO9 Kockázatfelmérés és

kezelés4. A működési kockázat feltérképezése és értékelése. IT kockázatkezelés PO9 Kockázatfelmérés és

kezelés5. Rendszeresen figyelni kell a működési kockázati profil változását és a jelentős veszteségi kitettséget. IT kockázatkezelés PO9 Kockázatfelmérés és

kezelés6. Rendelkezzenek olyan szabályzatokkal, folyamatokkal és eljárásokkal, amelyek ellenőrzés alatt tartják és/vagy csökkentik a jelentős működési kockázatokat.

IT kockázatkezelés PO9 Kockázatfelmérés és kezelés

7. Legyen az intézménynek rendkívüli helyzet kezelésére vonatkozó terve és üzletmenet folytonossági terve.

Folyamatos működés biztosítása

DS4 Folyamatos működés biztosítása

8. Legyen olyan működőképes keretrendszere az intézménynek, amely képes beazonosítani, felmérni, monitorozni és ellenőrzés alatt tartani / csökkenteni a jelentős működési kockázatokat.

IT kockázatkezelés PO9 Kockázatfelmérés és kezelés

9. Végezzenek rendszeres független ellenőrzést az intézmény működési kockázatát érintő szabályzatait, eljárásait és gyakorlatát illetően.

IT belső ellenőrzés ME2 Belső kontrollkörnyezet monitorozása és értékelése

10. Megfelelő szintű közzététel. IT incidensek jelentése a vezetésnek

ME2 Belső kontrollkörnyezet monitorozása és értékelése

15

Basel II követelmények:• A 2006/48/EC direktíva (VII. Melléklet, 4. rész): „Egy „minősítési

rendszernek” fel kell ölelnie az összes módszert, folyamatot, ellenőrzést, adatgyűjtő és informatikai rendszert, amelyek a hitelkockázat minősítését, a kitettségek minősítési kategóriákba vagy poolokba sorolását, valamint az egyes kitettség típusokhoz tartozó nemteljesítési és veszteségi becslések mennyiségi meghatározását támogatják.”

• GL10 point 21: „A kézikönyv nem tartalmazza az információs technológiára vonatkozó részletes követelményeket mert ezen feltételek jóval túlmutatnak a tőkeszámítás keretein. Elvárható, hogy ezt a felügyelők a szélesebb értelemben vett, általános kontroll struktúra részének tekintsék.”

• GL10 point 350: „Egy jól működő IT infrasturktúra elengedhetetlen feltétele a megbízható tőkeszámításnak.”

• GL10 point 351: „Az intézményeknek olyan IT rendszerekkel kell rendelkeznie, amely biztosítja 1) a szükséges adatbázisok folyamatos rendelkezésre állását és karbantartását, 2) az adatbázisok és a tőkeszámítási eredmények reprodukálhatóságát.

Bázel2 - Kézikönyvek

16

Basel2 vizsgálati program:• Szervezet

– Feladat és felelősségelhatárolás– Külső kapcsolatok– Projekt (szervezet, projekt módszertan)– A Vezetés és Belső ellenőrzés feladatai

• Térkép– Folyamatok– Rendszerek (adatáramlás, forrás rendszerek és adattárház kapcsolat, anya-leány kapcsolat)– Interfészek– Adatfolyam ábra (önértékelés)

• Adatok– Adatpolitika (adatgazdák, szabályozás– Adatminőség (sztenderdek, felülvizsgálat, adathiány kezelése, algoritmusok)– Adatszótár (adatbázis leírások, adatforrások, konzisztencia ellenőrzés)– Adattisztítás– Változáskezelés– Kontrollok (beviteli-, feldolgozási-, kiviteli kontrollok)– Informatikai biztonság (védelmi tervek, fizikai védelem, hozzáférésmenedzselés, naplók)

• Reprodukálhatóság (BCP, DRP, Idősoros adattárolás)• IT validálás (készültségi fok, szabályzatok, dokumentációk, oktatás, belső ellenőrzés)

Bázel2 - vizsgálati program

17

Elvárások és tapasztalatok - 11. Szabályozás:• Probléma: Szabályzatok hiányoznak, sokszor nem aktuálisak.• Jogszabály: Hpt. 13/B. § (1) A pénzügyi szervezetnek ki kell alakítania a

tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, amely kiterjed a bűncselekményekkel kapcsolatos kockázatok kezelésére is. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén. .

2. Kockázatkezelés:• Probléma: Hiányzik a működési kockázatok rendszeres kiértékelése, a

kontrollok ennek megfelelő kialakítása, kisebb intézményeknél több a hiányosság.

• Jogszabály: Hpt. 13/B. § (2) A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni .

3. Feladat és felelősség elhatárolás:• Probléma: Nem megfelelő feladat és felelősség elhatárolás• Jogszabály: Hpt. 13/B. § (3) Az informatika alkalmazásából fakadó biztonsági

kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat.

18

4. IT irányítás, független ellenőrzés:• Probléma: Nem megfelelő kontrollkörnyezet, sok kontroll hiányosság, a belső

ellenőrzés nem végez kellő mennyiségű és mélységű IT vizsgálatot.• Jogszabály: Hpt. 13/B. § (4) A pénzügyi szervezetnek ki kell dolgoznia az

informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell.

5. Nyilvántartások:• Probléma: Az IT architektúra nem jól dokumentált, nyilvántartási

hiányosságok.• Jogszabály: Hpt. 13/B. § (5) a) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, (7) A pü-i szervezetnél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pű-i szervezet által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának.

Elvárások és tapasztalatok - 2

19

IT kontroll hiányosságok• Eset leírása:

– Átfogó hitelintézeti vizsgálat során számos kontrollhiányosság tapasztalható (nem aktualizált nyilvántartások, a menedzsment nincs tisztában a fennálló IT biztonsági kockázatokkal, az IT biztonsági osztály nem megfelelő munkavégzése, bizalmi elv a legtöbb funkcióban, a jogosultságmenedzselés alacsony szintje miatt sok magas jogú felhasználó, a fejlesztők folyamatosan, naplózás nélkül „turkálnak” az éles rendszerben, a változásmenedzseri funkció teljes hiánya, BCP csak néhány folyamatra készül, az IT belső ellenőrzés mindent bemondásra, szankció nélkül elfogad, stb.

• Eredmény:– PSZÁF határozat majdnem a Hpt. 13/B. § majd minden pontjára

• Megoldás:– A PSZÁF megállapításokra vonatkozó projekt beindítása– Jelentős IT beruházások, jelentős szervezeti változtatások– Az IT biztonsági osztály megerősítése, kockázatmenedzselés– A belső ellenőrzés megerősítése, folyamatos beszámoltatás– Kultúraváltási erőfeszítések, COBIT alapú szemléletformálás

Esettanulmány - 1

Kezeljük a kockázatokat, tartsuk be az IT ökölszabályokat!

20

6. IT biztonság, biztonságtudatosság:• Probléma: A beépített IT biztonsági elemek kihasználatlanok, az IT biztonsági

szempontok csak utólag kerülnek kiépítésre, a biztonsági szemlélet és a biztonság tudatosság alacsony színvonalú.

• Jogszabály: Hpt. 13/B. § (5) b) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról.

7. Hozzáférés- és jogosultságkezelés:• Probléma: Hozzáférés- és jogosultságkezelési hiányosságok vannak, a jogosultságok

kiosztása nem engedélyezett, a beállítások nem egyeznek a nyilvántartással.• Jogszabály: Hpt. 13/B. § (5) c) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események),

8. Naplózás, log-ellenőrzés:• Probléma: Naplófájlok hiánya, ellenőrizetlensége, a beépített audit lehetőségek

hiánya, kihasználatlansága.• Jogszabály: Hpt. 13/B. § (5) d) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére,

Elvárások és tapasztalatok - 3

21

E-bankolási problémák• Eset leírása:

– Panaszbejelentés egy home-banki ügyféltől, a probléma oka az ügyfél rendszergazdájának visszaélése, kb. 60 mFt-os kárérték

– A hitelintézet szerint minden jogszerű és szakszerű volt– Az ügyfél szerint a hitelintézet felelőssége nem zárható ki, amelyet egy

52 pontos kérdéssor PSZÁF-nak való megküldésével érzékeltetett• Eredmény:

– PSZÁF határozat: „a home-banking szolgáltatását tegye alkalmassá a Hpt. 13/B. § (1), (4) és (8) e) követelmények kielégítésére

• Gondok:– Nem teljes illetve „konyhanyelven” megfogalmazott ügyfél tájékoztató– Hiányos volt a home-banki rendszer kockázatainak felmérése– A felelősség áthárítása az ügyfélre (elsőre „key-logger” hiba)– Sok kontroll hiányosság az ügyfélnél (késett a számla ellenőrzés is)– Hamis biztonsági kép (kiiktatott titkosító floppy, nem titkosított fájlok)– Lazán kezelt jogosultságokat (jelszó nélküli Windows, bizalmi elv!)– Naplófájlok hiánya (nem jelzi ha módosult a tranzakció vagy a partner)– A szoftver alapvető biztonsági problémái, nem egykapus help-desk.

Esettanulmány - 2

Tartsuk be a Hpt. 13/B. §-t!

22

9. Adattitkosítás, adatátvitel biztonsága:• Probléma: Külsős hozzáférések problémái, adatbiztonsági hiányosságok,

adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya.• Jogszabály: Hpt. 13/B. § (5) e) A biztonsági kockázatelemzés

eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább a távadatátvitel, valamint a kizárólag elektronikus útn megvalósuló pénzügyi tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről,

10. Adathordozók kezelése:• Probléma: Adathordozók megbízható, naprakész nyilvántartásának

hiánya.• Jogszabály: Hpt. 13/B. § (5) f) A biztonsági kockázatelemzés

eredménye alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az adathordozók szabályozott és biztonságos kezeléséről,

11. Vírusvédelem:• Probléma: Nem kockázatarányos, nem aktualizált vírusvédelem.• Jogszabály: Hpt. 13/B. § (5) g) A biztonsági kockázatelemzés

eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább a rendszer biztonsági kockázattal arányos vírusvédelméről.

Elvárások és tapasztalatok - 4

23

Elmélet és gyakorlat eltérése archiválás esetén

• Eset leírása:– Az archivált adatok megőrzését pénzintézetek esetében

törvény írja elő, így a mentési és archiváló rendszereket ennek megfelelően kell beállítani.

– Egy külsős vállalkozó állítja be a mentési rendszert, és a paraméterezéséhez is csak ő ért igazán

– Nem ellenőrizte senki, hogy a ténylegesen beállított paraméterek a törvényi előírásokat teljesítik-e

• Problémák:– Az IT vezető teljes nyugalommal nyilatkozza, hogy az egy éve

általa szabályozott és bevezetett „modern és korszerű” mentőrendszer minden törvényi előírást teljesít

– Az archív adatok megőrzési ideje csak 30 napra volt beállítva– Ismeret hiányában az üzemeltető személyzet még ellenőrizni

sem tudja, hogy a beállítások megfelelőek-e.

Esettanulmány - 3

Elmélet és gyakorlat összhangja! Oktassuk a személyzetet és ellenőrizzük

az átvett munkát!

24

12. Fejlesztési tervek, IT stratégia:• Probléma: Szabályzatok hiányoznak, nem aktuálisak (lásd (1) pont), a

stratégiának, éves tervnek nem része az IT.• Jogszabály: (6) a) A pénzügyi szervezet tevékenysége ellátásához,

nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább az informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel,

13. Üzletmenet-folytonosság, rendkívüli helyzet kezelés:• Probléma: BCP, DRP nincs, nem aktualizált.• Jogszabály: (6) … meg kell valósítania a biztonsági kockázatelemzés

alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely … működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja, c) … informatikai rendszerrel, … tartalék berendezésekkel, … szolgáltatások folytonosságát biztosító - megoldásokkal, e) … biztonsági mentésekkel és mentési renddel … és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) … alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat … legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, g) a … rendkívüli események kezelésére szolgáló tervvel.

Elvárások és tapasztalatok - 5

25

A teljes gépterem elvesztése („állatorvosi BCP ló”)

• Eset leírása:– Átköltözés után három hónappal még nincs aktualizált BCP– A BCP helyszín alkalmatlan a tartalék funkcióra– Az új gépteremben csak a legalapvetőbb menedzsment funkciók

működnek (riasztás nincs bekötve még a portára sem!)– Kevés használható szakember van, oktatásban nem

részesülnek, karbantartási szerződések nincsenek– A mentési médiákat a helyszínen nem tűzálló helyen tárolják

• Eredmény:– A gépterem a klíma hibája miatt 60 C° melegedett – Csak a szerencsén múlott, hogy a gépek és a mentések nem

semmisültek (sültek) meg– A BCP és DRP tervek használhatatlanok voltak (régi gépterem) – A háttérgépteremre történő átállás nem volt alternatíva (10 éles

gép látja el a napi feladatokat és ott csak 2 volt).

Esettanulmány - 4

Aktualizálni és tesztelni kell a BCP, DRP terveket!

26

BCP átgondolása és tesztelése• Eset leírása:

– Tesztelésnek veszik a tervezett „back-up”-ra állást, de nem tesztelik, hogy a „back-up” valóban elindulna-e egy váratlan hiba esetén

– A szoftver megbízhatatlansága miatt nem mernek tesztelni– A háttérgép kisebb lemezkapacitású mint az éles, vagy kisebb

teljesítményű– A belső ellenőrzés mindent elfogad

• Eredmény:– Hiba esetén nem tudtak átállni, mert az éles gép nem várta

meg a szinkron teljes lefutását, hanem egyszerűen leállt– Nem tudtak átállni a háttérgépre, mert az éles gépet bővítették,

de a háttérgép diszk kapacitását nem és nem fért el az éles rendszer

– A kisebb teljesítményű háttérgépre átálltak, de a fiókokban várakozó ügyfelek és a normál ügyintézés miatt a terhelés többszöröse volt a normálnak, így gyakorlatilag nem működött a rendszer

.

Esettanulmány - 5

Teszteljük a BCP-t!

27

14. Fejlesztés, változáskezelés:• Probléma: Változáskezelési hiányosságok, a korszerűtlen rendszer

leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.

• Jogszabály: (6) … meg kell valósítania a … d) … az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását. (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére.

15. IT szakképzettség:• Probléma: Az IT még mindig „black-box”, ha valamit nem tudok

kezelni „IT probléma”, erős kiszolgáltatottság a külső szállítóknak, biztonság tudatosság alacsony színvonalú, kevés IT támogatás

• Jogszabály: (9) A pénzügyi szervezet belső szabályzatában meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet.

Elvárások és tapasztalatok - 6

28

Veszprémi egyetemisták személyes adatai a net-en.• Eset leírása: A rendszergazda költségtakarékossági és kényelmi

szempontból internetes tárhelyre készíti a biztonsági mentést.• Eredmény: Egyetemisták adatai (név, e-mail, telefon, szig,

bankszámla, Neptun jelszó, stb.) nyilvánosak lesznek, bizalmas adatok, titkosítás nélkül, több hónapig letölthetők. Bizalom vesztés..

Ügyfélkapun keresztül a felhasználók egymás adatait látják• Eset leírása: Az új fejlesztések nem megfelelő tesztelése miatt

hozzáférés menedzselési gondok, beléptetési modul cache-ben zavar.

• Eredmény: A rendszer 7 órán át használhatatlan, a felhasználók egymás adatait látják, bizalmatlanság, személyi konzekvenciák.

Adatvesztés egy hitelkártyacégnél (Heartland Payment Systems)

• Eset leírása:– VISA és MC figyelmeztetés után rosszindulatú szoftvert fedeztek

fel, kérdésessé tette a tranzakciók biztonságát.• Eredmény:

– Vizsgálat, új biztonsági szoftver, presztizs veszteség.

Esettanulmány - 6

Gondoskodjunk az adatvédelemről!

29

Jogszabályok: A Hpt 50-55. §., a Tpt. 368-374. §, az Öpt. 40/A-40/B. §., az Mpt. 78-79. §.-i valamint a Bit. 153-162. §.-i szerint!

Definíció: Hpt. 50. § (1) Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik.

Kivétel: Hpt. 51. § (1) Banktitok csak akkor adható ki harmadik személynek, ha a) a pénzügyi intézmény ügyfele, annak törvényes képviselője a rá vonatkozó kiszolgáltatható banktitokkört pontosan megjelölve közokiratba vagy teljes bizonyító erejű magánokiratba foglaltan kéri, vagy erre felhatalmazást ad; … Hpt. 54. § (1) Nem jelenti a banktitok sérelmét a) az olyan összesített adatok szolgáltatása, amelyből az egyes ügyfelek személye vagy üzleti adata nem állapítható meg j) a hitelintézet által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére

Adatvédelem: az Adatvédelmi törvény (1992. évi LXIII. ) 31/A. § szerint!

Banktitok és adatvédelem

30

Definíció: Hpt. 13/A. § (1) olyan tevékenységét, amelynek során adatkezelés, adatfeldolgozás vagy adattárolás valósul meg (lásd még a Tpt 160. §., az Öpt. 40/B. §., az Mpt. 77/B. §. valamint a Bit 76-78. §.-it).

Feltételek: Hpt. 13/A. § (2) A kiszervezett tevékenységet végzőnek - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, melyeket jogszabály a kiszervezett tevékenységet illetően a hitelintézetre vonatkozóan előír.

Értesítés: Hpt. 13/A. § (3) A pü-i szervezet köteles … két napon belül bejelenteni a felügyeletnek …

Szerződés: Hpt. 13/A. § (4) A … szerződésnek tartalmaznia kell a részletes feltételeket.

BCP: Hpt. 13/A. § (5) A hitelintézetnek rendelkeznie kell a kiszervezésre vonatkozó szerződésben foglaltaktól történő eltérő tevékenységvégzésből eredő, rendkívüli helyzetek kezelésére kidolgozott tervvel.

Ellenőrzés: Hpt. 13/A. §(6) A hitelintézet belső ellenőrzése köteles a kiszervezett tevékenység … végzését legalább évente megvizsgálni.

Felelősség: Hpt. 13/A. §(7) A hitelintézet felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és a tőle elvárható gondossággal végezze.

.

Kiszervezés - 1

31

Felügyelet: Hpt. 13/A. § (8) A Felügyelet … a tevékenység kiszervezését megtilthatja.

Adatvédelem: Hpt. 13/A. §(9) … köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával - kezelni.

Alvállalkozók: Hpt. 13/A. §(10) … közreműködőt abban az esetben alkalmazhat, ha a közöttük létrejövő szerződés biztosítja a kiszervezett tevékenységnek a PSZÁF, az MNB, a belső ellenőrzés által történő ellenőrzését.

Inkompatibilitás: Hpt. 13/A. §(11) A hitelintézet vezető tisztségviselője vagy … a kiszervezett tevékenység végzésével nem bízható meg.

Tájékoztatás: Hpt. 13/A. §(12) … a kiszervezett tevékenységek körét, és a kiszervezett tevékenység végzőjét az üzletszabályzatban köteles feltüntetni.

Alkalmazás: Hpt. 13/A. §(13) Pénzügyi vállalkozás a Felügyelethez történő bejelentés nélkül szervezheti ki ügyviteli tevékenységét, ha azonban a kiszervezni kívánt ügyviteli tevékenység banktitkot is érint, akkor az (1)-(12) bekezdésben foglaltakat megfelelően alkalmazni kell.

Kiszervezés - 2

32

Összefoglalás• Alakítsunk ki jól működő IT irányítást, készüljön üzleti és IT stratégia

(tudatos vezetés)• Feleljünk meg a hazai és a nemzetközi jogszabályoknak és

szabványoknak valamint a gyakorlatot az előírások szerint alakítsuk ki!• Kockázatelemzés, a veszélyforrások felmérése, a működési

kockázatok rendszeres kiértékelése és a kontrollok kialakítása.• A szabályzatok aktualizálása, a szabályzati rendszer

egyenszilárdsága a csoporton belül (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.)

• Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.

• A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, mobil eszközök védelme, a Help-Desk funkció erősítése.

• Fizikai biztonság a lehetőségekhez mérten egészséges kontrollok és gyakorlat kialakítása (gépterem és környéke).

• Belső IT szakértelem és külsősök feletti kontroll erősítése.• A független ellenőrzés fokozása, hatékony IT audit, a beépített audit

lehetőségek kihasználása, naplófájlok rendszeres kiértékelése.”

33

Köszönöm a figyelmet!