1/26 Jövőbeni IT elvárások I. Biztosítói konferencia Eger, 2006. május 10. Zsiday-Galgóczy Béla főosztályvezető-helyettes PSZÁF Informatika felügyeleti főosztály [email protected]
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1/26
Jövőbeni IT elvárások
I. Biztosítói konferenciaEger, 2006. május 10.
Zsiday-Galgóczy Béla főosztályvezető-helyettesPSZÁF Informatika felügyeleti főosztá[email protected]
Eger, 2006. május 10. 2/26
• Szemléltetés• Alapok• Jelenlegi helyzet• Jogszabályi környezet• Jövőbeni elvárás• Összefoglalás
Tartalom
Eger, 2006. május 10. 3/26
Eger, 2006. május 10. 4/26
Alapok -1
A PSZÁF feladata, célja (1999. évi CXXIV. 2. § (1) részlet):A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és
eredményes működésének, a pénzügyi szervezetek ügyfelei érdekei védelmének, a piaci viszonyok
átláthatóságának, a pénzügyi piacokkal szembeni bizalom erősítésének, továbbá a tisztességes piaci verseny fenntartása érdekében a … biztosítási, …
szervezet, … prudens és hatékony működésének, tulajdonosaik gondos joggyakorlásának elősegítése és folyamatos felügyelete.
Eger, 2006. május 10. 5/26
Alapok - 2
Az előadás célja:• biztosítói informatika erősítése• jövőbeni törvényi megfelelés elősegítése• egységes értelmezés és szemléletmód kialakítása
Gyakran Ismételt Kérdések (GYIK):• Miért pont a COBIT (miért nem pl. ISO17799)? „A COBIT
küldetése: Az üzleti vezetők és az ellenőrök napi munkájában használható általánosan elfogadott információ-technológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése.”
• On-line elérhető: http://isaca.mediacenter2.hu/ISACA-HuC/e_Docus• Van-e COBIT „megfelelőség”? Gondolkodás mód, nincs minősítő
szervezet.
Eger, 2006. május 10. 6/26
Az informatikai vizsgálatok négy fő területe:• Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszerve-zés,
feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minő-ségbiztosítás).
• IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).
• Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adat-biztonság, jogosultságkezelés, help-desk, mentések és archivá-lások, üzletmenet-folytonossági terv:BCP, helyreállítási terv: DRP, külső szolgáltatások, oktatás).
• Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).
Alapok - 3
Eger, 2006. május 10. 7/26
Alapok - 4Jogszabályi hangsúlyok, felügyeleti tapasztalatok:• Készüljön üzleti és IT stratégia (tudatos vezetés)• Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok
rendszeres kiértékelése és a kontrollok kialakítása.• A szabályzatok aktualizálására fordítsanak gondot (Informatikai
szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.)
• Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.
• A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése.
• Belső IT szakértelem és külsősök feletti kontroll erősítése.• A független ellenőrzés fokozása, a beépített audit lehetőségek
kihasználása, naplófájlok rendszeres kiértékelése.
Eger, 2006. május 10. 8/26
Bit. 63, 65.§ (Engedélyezés feltétele)• megfelelő színvonalú helyiség,• jogszabályon alapuló adatszolgáltatások teljesítésére felkészülés,• a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése,• a működési kockázatok csökkentését szolgáló információs és ellenőrzési rendszer,• a rendkívüli helyzetek kezelésére vonatkozó tervBit. 89.§ (Belső ellenőrzés feladata)• a biztosító belső szabályzatoknak megfelelő működése• adatszolgáltatások tartalmi helyessége és teljessége Bit. 107.§ (KGFB)• BM Hivatal értesítése – ‘informatikai rendszeren keresztül’Bit. 151.§ (Könyvvizsgáló)• nyilvántartási, adatfeldolgozási, adatszolgáltatási, ellenőrzési rendszer megfelelősége
Jelenlegi informatikai vonatkozású követelmények
Eger, 2006. május 10. 9/26
Jogszabályi környezet• 2004. évi XXII. - a befektetések védelméről • 1996. évi CXII. (Hpt) a hitelintézetekről• 2001. évi CXX. (Tpt) a tőkepiacról• 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról• 1993. évi XCVI. (Öpt) az önkéntes pénztárakról • 1999. évi CXXIV. - a PSZÁF-ról
• 2003. évi LX. (Bit) a biztosítóintézetekről
• 1992. évi LXIII. - a személyes adatok védelméről• 10/2001-es PSZÁF Ajánlás a biztonsági feltételekről• 3/2005-ös PSZÁF módszertani útmutató a pénztárak informatikai rendszerének
védelméről• Magyar Könyvvizsgálói Kamara 401. témaszámú standard: könyvvizsgálat
számítógépes információs rendszerek esetén
„A honosított Nemzetközi Könyvvizsgálati Standardokat lényeges esetekre, ügyekre kell alkalmazni.”
Eger, 2006. május 10. 10/26
Jövőbeni elvárás - 1Szabályozás:• Jogszabály: A Biztosítónak ki kell alakítania a tevékenységének ellátásához használt
informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, amely kiterjed a bűncselekményekkel kapcsolatos kockázatok kezelésére is. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén. .
• Probléma: Szabályzatok hiányoznak, sokszor nem aktuálisak.• Gyakran Ismétlődő Kérdések:
– Mintaszabályzat? Nem segíti a vállalati kultúrát. Gondoljuk át mit csinálunk vagy mit kéne másként. Probléma esetén mi alapján döntsünk a felelősség kérdéséről.
– Külsősökkel? Jó szabályozás a tervszerű munka fokmérője (tudatos vezetés, tudatos munkavégzés)– Milyen területekre vonatkozik, miért pont ezek? IT-vel kapcsolatosak pl. Szabályzatok
szabályzata, IBP, IBSZ, SzVSZ, Mentések és archiválások, Vírusvédelem, Jogosultságkezelés, BCP, DRP, Fejlesztés- és változáskezelés, help-desk, ellenőrzési feladatok, Kockázatkezelés módszertana, eljárás rendje)
– Mi a struktúra? Irányelvek – szabályzatok – eljárásrendek – stb.• COBIT: „PO6 - Vezetői célok és irányvonal közlése” , a „PO8 - Külső követelmények betartása” és az
„AI1 – Automatizált megoldások meghatározása”
Eger, 2006. május 10. 11/26
Jövőbeni elvárás - 2Kockázatkezelés:• Jogszabály: A Biztosító köteles az informatikai rendszer biztonsági kockázatelemzését
szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni .• Probléma: Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek
megfelelő kialakítása, kisebb intézményeknél több a hiányosság.• GYIK:
– Miért kell szigorú IT előírás a kis Biztosítóknak is? Nem az erőforrások, hanem a kockázatok alapján!
– Csak külsőssel lehet? Nem. Sőt …– Milyen módszertant válasszak? Bármilyet, ami szakmailag elfogadható (www.biztostu.hu,
www.cramm.com, www.realpublishers.com, www.netrisk.com, www.riskcenter.com, www.cert.org/octave).
– Mennyire szubjektív, vállalhatok magas kockázatot? Szakmai, vezetői elfogadhatóság!– Hány fokozatú legyen? Módszertan függő (magas, közepes, alacsony). Kockázat mennyisége,
kockázatkezelés minősége, aggregált IT helyzet értékelés, változás iránya. Kockázat = összes fenyegetésre {Sebezhetőség (bekövetkezési valószínűség) * Veszteség (kárérték)}.
• COBIT: „PO9 - Kockázatok értékelése”
Eger, 2006. május 10. 12/26
Jövőbeni elvárás - 3Feladat és felelősség elhatárolás:• Jogszabály: Az informatika alkalmazásából fakadó biztonsági kockázatok
figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzésikövetelményeket és szabályokat.
• Probléma: Nem megfelelő feladat és felelősség elhatárolás• GYIK:
– Milyen feladatok vannak? • Első számú vezető (mindenért felel)• IT vezető (irányítja az IT területet, gondoskodik az IT megfelelésről),• IT biztonsági menedzser (IT biztonsági szabályok betartatása),• IT üzemeltető (működjenek az eszközök, ha gond van megoldja),• IT fejlesztő (elkészíti az üzleti terület igényeit kielégítő megoldásokat),• IT belső ellenőr (független IT ellenőrzés, ki-mit-hogyan csinál)• Változásmenedzser (változások nyilvántartása, karbantartása)• Adatvédelmi felelős (adatvédelmi törvény, inkább jogász),
– Mit tegyek ha nincs elég ember, mi összeférhetetlen? Felelős mindig kell!
• COBIT: „PO4 – Az informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása”, „PO7 – Emberi erőforrások kezelése”
Eger, 2006. május 10. 13/26
Jövőbeni elvárás - 4
xxxxIT bizt.felelős
xxxxxxxOperátor
xxxxxxAdatbázis admin.
xxxxxxxHálózati admin
xxxxxxRendszer admin.
xxxxxxxxFelh. támogató
xxxxxxxSW könyvtáros
xxxxxxxxxFejlesztő
xxxxxxxIT ellenőr
xx xxxxFelhasználó
IT biztonsági felelős
OperátorAdatbázis admin.
Hálózati admin
Rendszer admin.
Felh. támogató
Szoftver könyvtáros
FejlesztőIT ellenőrFelhasználó
Összeférhetetlen feladatok és felelősségek a COBIT szerint
Eger, 2006. május 10. 14/26
Jövőbeni elvárás - 5
IT irányítás, független ellenőrzés:• Jogszabály: A Biztosítónak ki kell dolgoznia az informatikai rendszerének biztonságos
működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetniekell.
• Probléma: Nem megfelelő kontrollkörnyezet, sok kontroll hiányosság, a belső ellenőrzés nem végez IT vizsgálatot.
• GYIK:– Mik azok a kontrollok? Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és
szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé (szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok)
– Hogyan kezelhetők a problémák? Az IT irányítás gyakorlati alkalmazásával, megfelelőmódszertan választásával (pl. ITIL, COBIT, BS7799, ISO 13335, stb.)
– A könyvvizsgáló alkalmazza-e a 401-est?
• COBIT: „M1 – Eljárások felügyelete”, az „M2 – Belső ellenőrzés megfelelőségének felmérése”, az „M3 – Független értékelés végeztetése” és az „M4 – Független auditelvégeztetése”
Eger, 2006. május 10. 15/26
Jövőbeni elvárás - 6Nyilvántartások:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal
arányos módon gondoskodni kell legalább az alábbiakról: a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, A Biztosítónálmindenkor rendelkezésre kell állnia: az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, az informatikai rendszer elemeinek a Biztosító által meghatározott biztonsági osztályokba sorolási rendszerének, az adatokhoz történőhozzáférési rend meghatározásának, az adatgazda és a rendszergazda kijelölését tartalmazóokiratnak, az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának.
• Probléma: Az IT architektúra nem jól dokumentált, nyilvántartási hiányosságok.• GYIK:
– Milyen nyilvántartások kellenek? Rendszerkapcsolati, adatkapcsolati ábrák. Milyen rendszereim vannak, hogyan vannak összekapcsolva, milyen biztonsági problémák adódhatnak? Eszköznyilvántartás (Kinél milyen hardver illetve szoftver van?). Engedélyezett szoftverek listája (Milyen szoftverek megengedettek, mik lehetnek a gépeken?).
• COBIT: „DS9 – Konfiguráció kezelése”
Eger, 2006. május 10. 16/26
Jövőbeni elvárás - 7IT biztonság, biztonságtudatosság:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább az alábbiakról: az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról.
• Probléma: A beépített IT biztonsági elemek kihasználatlanok, az IT biztonsági szempontok csak utólag kerülnek kiépítésre, a biztonsági szemlélet és a biztonság tudatosság alacsony színvonalú.
• GYIK:– Mire kell felkészülni, mit vár el a Felügyelet? Amit a kockázatelemzés felmért! A biztonsági
„lyukak betömése”. Ha nincs IT biztonsági szakértelem, akkor vegyünk igénybe külsősöket. – Fizikai biztonság az ügyfél térre is? Lásd kockázatelemzés!– Információ vagy informatika biztonság? Informatika, de így teljeskörű?
• COBIT: „DS5 – A rendszer biztonságának megvalósítása” és a „DS12 – Létesítmények kezelése”
Eger, 2006. május 10. 17/26
Jövőbeni elvárás - 8Hozzáférés- és jogosultságkezelés:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról(hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események),
• Probléma: Hozzáférés- és jogosultságkezelési hiányosságok vannak, a jogosultságok kiosztása nem engedélyezett, a beállítások nem egyeznek a nyilvántartással.
• GYIK:– Milyen legyen, mire terjedjen ki? Legyen szabályozott (Van-e jogosultság kezelési folyamat?). A
biztonságpolitikával legyen összhangban (Vannak-e jogosultsági csoportok vagy mindenki kap valamit? Kezeli-e a különleges jogokat?). Legyen ellenőrizhető (A vezető mindig engedélyezte-e dokumentáltan?, Van-e jogosultság nyilvántartás? Ellenőrzi-e valaki, hogy mi van beállítva? Naplózva vannak-e?)
• COBIT: „DS5 – A rendszer biztonságának biztosítása”, a „DS7 – Felhasználók képzése” és a „DS8 – Informatikai felhasználók segítése”
Eger, 2006. május 10. 18/26
Jövőbeni elvárás - 9
Naplózás, log-ellenőrzés:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább az alábbiakról: olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére,
• Probléma: Naplófájlok hiánya, ellenőrizetlensége, a beépített audit lehetőségek hiánya, kihasználatlansága.
• GYIK:– Mindent naplózni kell? Nem mindent. A Biztosító saját döntése a kockázatelemzés alapján! A
biztonsági logok teljes hiánya nem megfelelő. A rendelkezésre álló lehetőségek kihasználása és naplózási rendszer átgondolt alkalmazása, elemzése és automatizálása.
• COBIT: „AI2 – Alkalmazási szoftverek beszerzése és karbantartása”, „AI3 – Technológiai infrastruktúra beszerzése és karbantartása”, „AI4 – Informatikai eljárások kifejlesztése és karbantartása”,„DS13 – Üzemeltetés irányítása”
Eger, 2006. május 10. 19/26
Jövőbeni elvárás - 10Adattitkosítás, adatátvitel biztonsága:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a távadatátvitel, valamint a kizárólag elektronikus úton megvalósuló pénzügyi tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről,
• Probléma: Külsős hozzáférések problémái, adatbiztonsági hiányosságok, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya.
• GYIK:– Milyen módon, mi tekinthető elfogadhatónak? A biztonsági kockázatokkal arányos. A biztonsági
alapelvek: (pl. nyílt üzenettovábbítás helyett titkosítottat, 40 helyett 128 bites SSL, telnet helyett SSH, http helyett https, stb.).
– Mi a megfelelő tűzfal, kell-e etikus hack-elés? Szabályozott, dokumentált, ellenőrzött, aktualizált(patch-elés).
– Melyik tranzakció esetén kell? Saját döntés, kockázat arányos.
• COBIT: „DS5 – Rendszer biztonságának biztosítása” és a „DS11 – Adatok kezelése”
Eger, 2006. május 10. 20/26
Jövőbeni elvárás - 11
Adathordozók kezelése:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább az alábbiakról: az adathordozókszabályozott és biztonságos kezeléséről,
• Probléma: Az adathordozók megbízható és naprakész nyilvántartásának hiánya.• GYIK:
– Miért kell a média nyilvántartás? Hogy követhető, rendkívüli helyzetben megtalálható, számonkérhető és ellenőrizhető legyen.
– Hány példányt, hány helyen, milyen formában kell őrizni? Hogy az üzletmenet folytonosság, helyreállíthatóság biztosított legyen.
– Meddig kell megőrizni? Archív állományokat a törvények által előírt ideig, mentéseket a helyreállíthatóság által megkövetelt ideig.
• COBIT: „DS11 – Adatok kezelése”
Eger, 2006. május 10. 21/26
Jövőbeni elvárás - 12
Vírusvédelem:• Jogszabály: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a rendszer biztonsági kockázattal arányos vírusvédelméről.
• Probléma: Nem kockázatarányos, nem aktualizált vírusvédelem.
• GYIK:– Minden gépen, minden nap aktualizálni kell? A kockázatokkal arányosan.– Milyet válasszunk? Ami szakmailag, IT biztonsági szempontból megfelelő, kockázat arányos és
költséghatékony.
• COBIT: „DS5 – Rendszer biztonságának biztosítása” és a „DS9 – Konfiguráció kezelése”
Eger, 2006. május 10. 22/26
Jövőbeni elvárás - 13Fejlesztési tervek, IT stratégia:• Jogszabály: A Biztosítónak tevékenysége ellátásához, nyilvántartásai naprakész és
biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: informatikairendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel,
• Probléma: Szabályzatok hiányoznak, nem aktuálisak, a stratégiának, éves tervnek nem része az IT.
• GYIK:– Mik az elvárások? Legyen összhangban az üzleti stratégiával.– Hogyan lehet hosszú távú stratégiát készíteni? Ha nem tűzünk ki célokat, sosem fogjuk elérni. A
vezetőség által is jóváhagyott alapelveket (külső vagy belső erőforrásból, vásárolt vagy saját fejlesztéssel, milyen hardver illetve szoftver platformon, milyen életciklus idővel, milyen adatbázis kezelővel, stb.) hogyan valósítjuk meg.
• COBIT: COBIT „PO1 – Informatikai stratégiai terv kidolgozása”, a „PO2 – Információ-architektúra meghatározása”, a „PO3 – Technológiai irány meghatározása”, a „PO5 –Informatikai beruházások kezelése”, a „PO10 – Projektek irányítása”, a „DS6 – Költségek megállapítása és felosztása” valamint a „DS13 – Üzemeltetés irányítása”
Eger, 2006. május 10. 23/26
Jövőbeni elvárás - 14Üzletmenet-folytonosság, rendkívüli helyzet kezelés:• Jogszabály: Meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi
intézkedéseket, és rendelkeznie kell legalább a következőkkel: minden olyan dokumentációval, amely … működését - még a szállító, illetőleg a rendszerfejlesztőtevékenységének megszűnése után is - biztosítja, … infor-matikai rendszerrel, … tartalék berendezésekkel, … szolgáltatások folytonosságát biztosító - megoldásokkal, … biztonsági mentésekkel és mentési renddel … és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, … alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat … legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, a … rendkívüli események kezelésére szolgáló tervvel.
• Probléma: BCP, DRP nincs, nem aktualizált, nem tesztelt.• GYIK:
– Mik az elvárások? A BCP elkészítése nem IT feladat („üzletmenet-folytonosság”). Ha nem aktuális, akkor nem használható. Ha nem próbálom ki, nem biztos, hogy működni fog (tesztelés). Mindenre legyen tartalék? (KOCKÁZATELEMZÉS!). Miből tudom, hogy ki mit tegyen? (Rendkívüli helyzet kezelési terv, DRP). Forráskód letét!
• COBIT: „DS2 – Külső szolgáltatások kezelése”, „DS3 – Teljesítmény és kapacitás kezelése”, „PO11 – Minőségirányítás”, „DS1 – Szolgáltatási szintek meghatározása”, „DS4 – Folyamatos működés biztosítása” „DS10 – Rendkívüli események kezelése”
Eger, 2006. május 10. 24/26
Jövőbeni elvárás - 15Fejlesztés, változáskezelés:• Jogszabály: Meg kell valósítania … az alkalmazási környezet biztonságos elkülönítését a
fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását,. A szoftvereknek együttesen alkalmasnak kell lenni legalább: aműködéshez szükséges és jogszabályban előírt adatok nyilvántartására, a tárolt adatok ellenőrzéséhez való felhasználására, a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére.
• Probléma: Változáskezelési hiányosságok, a korszerűtlen rendszer leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.
• GYIK: Mik az elvárások? Szabályozott és dokumentált keretek között (specifikáció, rendszerterv, fejlesztői teszt, felhasználói teszt, dokumentált átadás-átvétel, stb.)! A fejlesztés és üzemeltetés szétválasztása (összeférhetetlenség)! Tudni kell, hogy milyen változások voltak, ki kezdeményezte, hogyan került megvalósításra, volt-e felhasználói teszt, készült-e átadás-átvételi dokumentáció(felelősség!), van-e rendszerüzemeltetői és felhasználói leírás, volt-e oktatás, stb. Megoldás a tágan értelmezett és kialakított változásmendzselési funkció!
• COBIT: „AI6 – Változások kezelése”, „AI5 – Rendszerek üzembe helyezése és jóváhagyása”, PO11 – Minőségirányítás”, „DS1 – Szolgáltatási szintek meghatározása”, „AI2 – Alkalmazói szoftverek beszerzése és karbantartása”, „DS5 – A rendszer biztonságának megvalósítása”,„DS11 – Adatok kezelése”
Eger, 2006. május 10. 25/26
Jövőbeni elvárás - 16IT szakképzettség:• Jogszabály: A Biztosító belső szabályzatában meg kell határozni az egyes munkakörök
betöltéséhez szükséges informatikai ismeretet.• Probléma: Az IT még mindig „black-box”, ha valamit nem tudok kezelni „IT probléma”,
erős kiszolgáltatottság a külső szállítóknak, biztonság tudatosság alacsony színvonalú, kevés IT támogatás.
• GYIK:– Mi az elvárás? Gondoljuk végig a feladat és felelősség elhatárolás megvalósításához szükséges IT
ismereteket és dokumentáljuk le. Készítsünk oktatási tervet. Nem csak az IT-soknak kell biztonságioktatás! Legyen felhasználói oktatás és felhasználói (üzemeltetői) dokumentáció.
– Mindenki csak a rá vonatkozó mértékben? Minimum a feladatához és a felelősségi köréhez szükséges mértékben, de a biztonsági szabályokat teljes mértékben meg kell érteni.
• COBIT: „PO7 – Emberi erőforrások kezelése”
Eger, 2006. május 10. 26/26
Összefoglalás: minden összefüggFolyamatok Munkakörök Informatikai veszélyek
Informatikai rendszerek
Felhasználói csoportok Kockázatok
Eszközök Jogosultságok Vállalt kockázatok
Kapcsolatok Felelősségek elkülönítése
Biztonsági osztályok
Adatok Informatikai ismeretek Vírusvédelem
Adathordozók Fejlesztők Jogtisztaság
Tranzakciók Szabályzatok Naplók
Dokumentációk Utasítások Tervek
Related Documents
