Top Banner
1/37 A Magyar Nemzeti Bank 1/2015. számú ajánlása az informatikai rendszer védelméről (kiadás ideje: 2015.02.25.) TARTALOM 1 AZ INFORMATIKAI BIZTONSÁGI SZABÁLYOZÁS ÉS A SZABÁLYZATI RENDSZER ......................................... 4 1.1 AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZATI RENDSZER CÉLJA, A KIALAKÍTÁS ALAPELVEI ............................................. 4 1.2 KISZERVEZETT TEVÉKENYSÉGEK SZABÁLYOZÁSA.................................................................................................. 5 1.3 A SZABÁLYZATI RENDSZER KIALAKÍTÁSÁNAK JAVASOLT GYAKORLATI SZEMPONTJAI .................................................... 5 2 AZ INFORMATIKAI KOCKÁZATELEMZÉS ÉS AZ INFORMATIKAI RENDSZER KOCKÁZATOKKAL ARÁNYOS VÉDELME.......................................................................................................................................................... 6 2.1 AZ INFORMATIKAI BIZTONSÁGI KOCKÁZATELEMZÉS CÉLJA .................................................................................... 7 2.2 AZ INFORMATIKAI BIZTONSÁGI KOCKÁZATELEMZÉS MINŐSÍTÉSE............................................................................ 7 2.3 A KOCKÁZATELEMZÉS JAVASOLT FOLYAMATA .................................................................................................... 7 2.4 A FELTÁRT KOCKÁZATOK KEZELÉSE .................................................................................................................. 9 2.5 A KOCKÁZATELEMZÉS FELÜLVIZSGÁLATA .......................................................................................................... 9 2.6 A KOCKÁZATELEMZÉS ELVÉGZÉSE KISZERVEZETT TEVÉKENYSÉGEK ESETÉBEN............................................................. 9 3 TÖRVÉNYI ELŐÍRÁS ALAPJÁN KÖTELEZŐ SZABÁLYZATI DOKUMENTUMOK ............................................ 10 3.1 ÜZLETFOLYTONOSSÁGI TERV ....................................................................................................................... 10 3.2 MENTÉSI REND......................................................................................................................................... 12 3.3 A MŰKÖDTETÉSRE ÉS A FEJLESZTÉSRE VONATKOZÓ SZABÁLYZATI DOKUMENTUMOK ................................................ 13 3.4 ALKALMAZÁSI RENDSZEREK FORRÁSKÓDJAI ÉS AZ INFORMATIKAI RENDSZERLEÍRÁSOK .............................................. 15 3.5 BIZTONSÁGI OSZTÁLYBA SOROLÁSI REND........................................................................................................ 16 3.6 AZ ADATOK HOZZÁFÉRÉSI RENDJE ................................................................................................................. 17 3.7 ADATGAZDA ÉS A RENDSZERGAZDA KIJELÖLÉSÉT TARTALMAZÓ OKIRAT ................................................................. 18 3.8 AZ ALKALMAZOTT SZOFTVER ESZKÖZÖK JOGTISZTASÁGÁT BIZONYÍTÓ SZERZŐDÉSEK ................................................ 18 3.9 A SZOFTVERESZKÖZÖK TELJES KÖRŰ ÉS NAPRAKÉSZ NYILVÁNTARTÁSA .................................................................. 19 3.10 AZ EGYES MUNKAKÖRÖK BETÖLTÉSÉHEZ SZÜKSÉGES INFORMATIKAI ISMERETET MEGHATÁROZÓ DOKUMENTUMOK ....... 19 4 AZ INFORMATIKAI BIZTONSÁGI RENDSZER KÖTELEZŐEN ALKALMAZANDÓ KONTROLLJAI .................... 19 4.1 SZERVEZETI ÉS MŰKÖDÉSI REND, A FOLYAMATBA ÉPÍTETT ELLENŐRZÉS SZABÁLYAI .................................................. 19 4.2 INFORMATIKAI ELLENŐRZŐ RENDSZER ........................................................................................................... 20 4.3 ÜZEMI KÖRNYEZET ELKÜLÖNÍTÉSE ÉS A VÁLTOZTATÁSOK KEZELÉSE ...................................................................... 21 4.4 ARCHIVÁLÁS ............................................................................................................................................ 21 5 AZ INFORMATIKAI BIZTONSÁGI RENDSZER KOCKÁZATOKKAL ARÁNYOSAN KIALAKÍTANDÓ VÉDELMI KONTROLLJAI ................................................................................................................................................. 22 5.1 AZ INFORMATIKAI RENDSZER ELEMEINEK AZONOSÍTÁSA .................................................................................... 22 5.2 A BIZTONSÁGI RENDSZER VÉDELME ............................................................................................................... 22 5.3 FELHASZNÁLÓI FIÓKOK ADMINISZTRÁCIÓJA..................................................................................................... 23 5.4 NAPLÓZÁSI REND, A BEJEGYZÉSEK ÉRTÉKELÉSE ÉS AZ ESEMÉNYEK KEZELÉSE ........................................................... 25 5.5 AZ ADATOK VÉDELME TÁVADATÁTVITEL SORÁN ............................................................................................... 25 5.6 AZ ADATHORDOZÓK KEZELÉSE ..................................................................................................................... 26 5.7 VÍRUSVÉDELEM ........................................................................................................................................ 26 6 AZ INFORMATIKAI RENDSZER FUNKCIONÁLIS ALKALMASSÁGÁNAK A KÖVETELMÉNYE......................... 27 I. MELLÉKLET .................................................................................................................................................. 28
37

számú ajánlása az informatikai rendszer védelméről

Feb 13, 2017

Download

Documents

buidung
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
  • 1/37

    A Magyar Nemzeti Bank 1/2015. szm ajnlsa

    az informatikai rendszer vdelmrl

    (kiads ideje: 2015.02.25.)

    TARTALOM

    1 AZ INFORMATIKAI BIZTONSGI SZABLYOZS S A SZABLYZATI RENDSZER ......................................... 4

    1.1 AZ INFORMATIKAI BIZTONSGI SZABLYZATI RENDSZER CLJA, A KIALAKTS ALAPELVEI ............................................. 4 1.2 KISZERVEZETT TEVKENYSGEK SZABLYOZSA .................................................................................................. 5 1.3 A SZABLYZATI RENDSZER KIALAKTSNAK JAVASOLT GYAKORLATI SZEMPONTJAI .................................................... 5

    2 AZ INFORMATIKAI KOCKZATELEMZS S AZ INFORMATIKAI RENDSZER KOCKZATOKKAL ARNYOS VDELME .......................................................................................................................................................... 6

    2.1 AZ INFORMATIKAI BIZTONSGI KOCKZATELEMZS CLJA .................................................................................... 7 2.2 AZ INFORMATIKAI BIZTONSGI KOCKZATELEMZS MINSTSE ............................................................................ 7 2.3 A KOCKZATELEMZS JAVASOLT FOLYAMATA .................................................................................................... 7 2.4 A FELTRT KOCKZATOK KEZELSE .................................................................................................................. 9 2.5 A KOCKZATELEMZS FELLVIZSGLATA .......................................................................................................... 9 2.6 A KOCKZATELEMZS ELVGZSE KISZERVEZETT TEVKENYSGEK ESETBEN ............................................................. 9

    3 TRVNYI ELRS ALAPJN KTELEZ SZABLYZATI DOKUMENTUMOK ............................................ 10

    3.1 ZLETFOLYTONOSSGI TERV ....................................................................................................................... 10 3.2 MENTSI REND ......................................................................................................................................... 12 3.3 A MKDTETSRE S A FEJLESZTSRE VONATKOZ SZABLYZATI DOKUMENTUMOK ................................................ 13 3.4 ALKALMAZSI RENDSZEREK FORRSKDJAI S AZ INFORMATIKAI RENDSZERLERSOK .............................................. 15 3.5 BIZTONSGI OSZTLYBA SOROLSI REND ........................................................................................................ 16 3.6 AZ ADATOK HOZZFRSI RENDJE ................................................................................................................. 17 3.7 ADATGAZDA S A RENDSZERGAZDA KIJELLST TARTALMAZ OKIRAT ................................................................. 18 3.8 AZ ALKALMAZOTT SZOFTVER ESZKZK JOGTISZTASGT BIZONYT SZERZDSEK ................................................ 18 3.9 A SZOFTVERESZKZK TELJES KR S NAPRAKSZ NYILVNTARTSA .................................................................. 19 3.10 AZ EGYES MUNKAKRK BETLTSHEZ SZKSGES INFORMATIKAI ISMERETET MEGHATROZ DOKUMENTUMOK ....... 19

    4 AZ INFORMATIKAI BIZTONSGI RENDSZER KTELEZEN ALKALMAZAND KONTROLLJAI .................... 19

    4.1 SZERVEZETI S MKDSI REND, A FOLYAMATBA PTETT ELLENRZS SZABLYAI .................................................. 19 4.2 INFORMATIKAI ELLENRZ RENDSZER ........................................................................................................... 20 4.3 ZEMI KRNYEZET ELKLNTSE S A VLTOZTATSOK KEZELSE ...................................................................... 21 4.4 ARCHIVLS ............................................................................................................................................ 21

    5 AZ INFORMATIKAI BIZTONSGI RENDSZER KOCKZATOKKAL ARNYOSAN KIALAKTAND VDELMI KONTROLLJAI ................................................................................................................................................. 22

    5.1 AZ INFORMATIKAI RENDSZER ELEMEINEK AZONOSTSA .................................................................................... 22 5.2 A BIZTONSGI RENDSZER VDELME ............................................................................................................... 22 5.3 FELHASZNLI FIKOK ADMINISZTRCIJA..................................................................................................... 23 5.4 NAPLZSI REND, A BEJEGYZSEK RTKELSE S AZ ESEMNYEK KEZELSE ........................................................... 25 5.5 AZ ADATOK VDELME TVADATTVITEL SORN ............................................................................................... 25 5.6 AZ ADATHORDOZK KEZELSE ..................................................................................................................... 26 5.7 VRUSVDELEM ........................................................................................................................................ 26

    6 AZ INFORMATIKAI RENDSZER FUNKCIONLIS ALKALMASSGNAK A KVETELMNYE ......................... 27

    I. MELLKLET .................................................................................................................................................. 28

  • 2/37

    Bevezets

    A sajt- s a rjuk bzott gyfl vagyon, valamint az gyfl adatok vdelmnek a biztostsra a pnzgyi szervezeteknek fokozottan kell gondoskodniuk a tevkenysgkhz hasznlt informatikai rendszerk vdelmrl. Az egyes pnzgyi tevkenysgek vgzsre, valamint a pnzgyi szervezetekre vonatkoz gazati jogszablyok1 vonatkoz szakaszai a pnzgyi szervezeteket erre klnbz mdon s mrtkben, jogilag is ktelezik.

    Jelen dokumentum clja, hogy a pnzgyi szervezetek szmra gyakorlati tmutatst adjon az informatikai rendszerk vdelmnek a jogszablyi ktelezettsgek szerint a kockzatokkal arnyos szinten trtn kiptshez, amelynek alapja a pnzgyi szervezet relevns informatikai kockzatainak a feltrsa, valamint azok megfelel mdon trtn kezelse.

    Mivel az egyes pnzgyi szervezetek eltr mrete, zleti jellege s vals mkdse klnbz biztonsgi kockzatot jelent, tovbb az informatikai- s telekommunikcis technolgia rohamos fejldse miatt nem lehetsges rk rvny, s a pnzgyi szervezetekre egysgesen javasolhat biztonsgi kontrollokat meghatrozni, ezrt jelen dokumentum az informatikai biztonsgi kontrollok kialaktsa szempontjbl szakmai vezeti tmutatnak tekintend.

    Az anyagban csak az 535/2013 Kormny rendelet, a Bszt., Mpt., pt. s a Bit. vonatkoz szakaszaiban elrtakra hivatkozunk ttelesen, de a lertak az informatikai tmakrt ms struktrban megjelent Kbftv. s Tpt. hatlya al tartoz szervezetek, illetve tevkenysgek esetben is rvnyesek.

    Az ajnlsban a felsorolt jogszablyok hatlya al tartoz szervezetekre egysgesen pnzgyi szervezet nven hivatkozunk.

    Jelen dokumentum a felgyeleti vizsglati tapasztalatok s az informatikai biztonsgnak az ajnlsnak a kiadsa idejn kzismert s ltalnosan elvrhat kvetelmnyei szerint kszlt, s a PSZF azonos cm 1/2013 szm mdszertani tmutatjnak a helybe lp. Felhvjuk a figyelmet az informatikai rendszer vdelmhez kapcsoldan korbban kiadott, az internetbanki szolgltatsok biztonsgrl szl MNB ajnlsra, valamint a kzssgi s publikus felhszolgltats ignybevtelbl ered kockzatokrl szl MNB vezeti krlevlre, ezek figyelembe vtelt szintn szksgesnek tartjuk a biztonsgos informatikai rendszerek kialaktsa s zemeltetse sorn.

    A dokumentum a trvnyi elrsokban szerepl vdelmi terletek szerint fkuszl, ezekhez fz tmutatsokat s sorolja fel az elremutat gyakorlatokat. Ennek megfelelen eltr a jogszablyokban szerepl sorrendtl, sz szerinti szvegrszek szerepeltetse helyett az elrsokbl kiemeli, esetenknt sszevonja a vdelmi terleteken felmerl kockzatok kezelsre vonatkoz kvetelmnyeket, s azokhoz kapcsoldan adja meg a vonatkoz jogszablyi helyekre val hivatkozsokat.

    A jogszablyok lehetv teszik, hogy a pnzgyi szervezetek az informatikai tevkenysget csak rszben lssk el sajt maguk, annak egy rszt vagy egszt kiszervezhetik. Az ajnls a kiszervezs informatikai biztonsgi vonatkozsaira is kitr, annak fenntartsa mellett, hogy a kiszervezett tevkenysgek vgzsrt minden esetben a megbz pnzgyi szervezet a felels.

    1 535/2013 Korm. rendelet a pnzgyi intzmnyek, a befektetsi vllalkozsok s az rutzsdei szolgltatk

    informatikai rendszernek vdelmrl (Korm.r.) 1., 2., 3., 4., 5. 2007. vi CXXXVIII. trvny a befektetsi vllalkozsokrl s az rutzsdei szolgltatkrl (Bszt.) 12. 1997. vi LXXXII. trvny a magnnyugdjrl s a magnnyugdj pnztrakrl (Mpt) 77/A. 1993. vi XCVI. trvny az nkntes Klcsns biztost pnztrakrl (pt.) 40/C. 2003. vi LX. trvny a biztostkrl s a biztostsi tevkenysgrl (Bit.) 2014. vi XVI. trvny (Kbftv.) 2001. vi CXX. trvny a tkepiacrl (Tpt.)

  • 3/37

    Az ajnls tanulmnyozst s hasznlatt a pnzgyi szervezetek vezetinek, az zleti mkdsi kockzatok kezelsrt felels vezetknek, s az informatikai- s informatikai biztonsgi szakembereknek egyarnt javasoljuk.

  • 4/37

    1 Az informatikai biztonsgi szablyozs s a szablyzati rendszer

    A pnzgyi szervezeteknek ki kell alaktaniuk a szolgltatsi tevkenysgk elltshoz hasznlt informatikai rendszerk biztonsgval kapcsolatos szablyozsi rendszerket, s a szablyozsi rendszerben ki kell trni az informcitechnolgival szemben tmasztott kvetelmnyekre, valamint a hasznlatbl add biztonsgi kockzatok felmrsre s kezelsre az informatikai vllalatirnyts, a tervezs, a fejleszts s beszerzs, az zemeltets s a monitorozs s fggetlen ellenrzs terletn.2

    Az informatikai s adatkommunikcis rendszerek vdelmnek meghatroz alapeleme a rendszerek mkdsre s a mkdtetsre vonatkoz szablyozs. Ez a kvetend szablyok bevezetst, betartst, ellenrzst, valamint az ellenrzsek sorn feltrt hinyossgok megszntetst, azaz egyttesen az informatika szablyozst jelenti.

    Az informatikai szablyozs alapeleme az informatikai biztonsgi szablyzati rendszer. Annak ellenre, hogy szablyozs megvalstsnak nem minden esetben felttele a dokumentltsg, a pnzgyi szervezetek szigor szablyozsi fogalmhoz illeszkeden informatikai biztonsgi szablyzati rendszeren jelen ajnlsban minden esetben dokumentlt szablyzati rendszert rtnk, s javasoljuk, hogy a szablyzati rendszer kialaktsa az albbiak figyelembe vtelvel trtnjen:

    1.1 Az informatikai biztonsgi szablyzati rendszer clja, a kialakts alapelvei

    Az informatikai biztonsgi szablyzati rendszer clja, hogy elvrsok meghatrozsn keresztl cskkentse a hibs emberi tevkenysg vgzsbl, az informci hinybl s az elvgzett tevkenysgek dokumentlsnak elmaradsbl szrmaz, informatikai jelleg mkdsi kockzatokat. A szablyzati rendszer a pnzgyi szervezetek informatikai biztonsgnak egyik kzvetett kockzat cskkent kontrollja: meglte s folyamatos megfelelsge a teljests szmonkrsnek alapjul szolgl.

    Cljaival sszhangban, a szablyzati rendszer az albbi dokumentum krkbl tevdhet ssze:

    informatikai szablyzatok: az emberi munkavgzst elr dokumentumok konkrt elnevezsktl fggetlenl, pl. zemeltetsi utastsok, mentsi elrsok, zletmenet folytonossgi eljrsok, cselekvsi tervek, tevkenysgi listk stb.

    mszaki- s nyilvntartsi dokumentumok: pl. hlzati diagramok, eszkznyilvntartsok, mentsi eljrsok, parancs llomnyok, logikai hozzfrsi rendek, stb.

    elvgzett tevkenysgek dokumentumai, a tovbbiakban feljegyzsek: pl. jegyzknyvek, emlkeztetk, beszmolk, elksztett terv dokumentumok, az informatikai trgy vizsglatok dokumentumai, stb.

    A pnzgyi szervezet szmra bizonyos szablyzati dokumentumok elksztst a vonatkoz trvnyek ktelezen elrjk. Ezek kpezik a szablyzati rendszer alapjt s az ajnls ksbbi rszben ismertetsre kerlnek -, ezeken tlmenen a pnzgyi szervezet maga dnthet arrl, hogy mely tovbbi szablyozsok elksztst tartja szksgesnek. Dntsk meghozatala sorn a pnzgyi szervezeteknek figyelemmel kell lennik arra, hogy a szablyzati rendszerk illeszkedjen a pnzgyi tevkenysgk jelleghez, legyen arnyos annak a nagysgrendjvel s sszetettsgvel, s lljon sszhangban az informatikai rendszer kockzatokkal arnyos vdelmt biztost eszkzrendszerrel.

    Az informatikai biztonsgi szablyzati rendszer dokumentumainak formtumt a pnzgyi szervezet az sszersg szem eltt tartsa mellett pl. a tartalomhoz igazodva - szabadon vlaszthatja meg,

    2 Bit. 65/A. (1), Bszt.12. (1) (2), Mpt.77/A. (1), pt.40/C. (1), Korm.r.2. (1)

  • 5/37

    valamint sajt hatskrben dnthet arrl, hogy alkalmaz-e dokumentum hierarchit, illetve milyen bels eljrst alkalmaz a szablyzati rendszer elksztsre, illetve bevezetsre.

    Az informatikai biztonsgi szablyzati rendszer elrsainak szndkos vagy vtlen - figyelmen kvl hagysa, valamint a brmilyen okbl betarthatatlan elrsok, nem napraksz mszaki- s nyilvntartsi dokumentumok jelents mkdsi kockzatot jelentenek a pnzgyi szervezet informatikai mkdsben.

    1.2 Kiszervezett tevkenysgek szablyozsa

    A szablyzati rendszer kialaktsnak trvnyi ktelezettsgt nem befolysolja, ha a pnzgyi szervezet informatikai tevkenysgnek egszt vagy rszeit kiszervezi. A kiszervezett tevkenysgi terletekre vonatkoz szablyzati dokumentumok elksztse a pnzgyi szervezet s a kiszervezett tevkenysget vgz megllapodstl fggen ltalban - de nem felttlenl - a kiszervezett tevkenysget vgz feladata.

    A kiszervezett tevkenysg szerzdsben foglaltaknak megfelel vgzst a Hpt3., pt., s az Mpt. hatlya al tartoz pnzgyi szervezetek esetben a szervezetek bels ellenrzse vente ellenrizni kteles.4 Ennek keretben a bels ellenr vizsglhatja a kiszervezett tevkenysget vgz e tevkenysgre vonatkoz bels szablyzatait is.

    1.3 A szablyzati rendszer kialaktsnak javasolt gyakorlati szempontjai

    1.3.1 A pnzgyi szervezet bels szablyzatban rgzti informatikai biztonsgi szablyzati rendszerrl legalbb az albbiakat:

    a) a hatlyos szablyzati rendszer elemeinek tteles felsorolsa - informatikai szablyzatok, mszaki- nyilvntartsi dokumentumok, valamint a feljegyzsek kre,

    b) az informatikai biztonsgi szablyzati rendszer elemeinek nyilvntartsi mdja, trolsi helye, ezen fell informatikai szablyzatok esetben a hatlyon kvl helyezett szablyzatok nyilvntartsi mdja s trolsi helye,

    c) nyilvntartsonknt a nyilvntartsra kijellt adatok felsorolsa,

    d) az egyes informatikai szablyzati rendszer elemek felelsei, a szerepkrknek illetve munkakrknek a megnevezse, amelyek betlti az adott szablyzati dokumentum tartalmi megfelelsgrt s teljessgrt, tovbb aktulis llapotukrt felelsek,

    e) az informatikai szablyzatok szemlyi s trgyi hatlya, hatlyba lptetsnek a dtuma,

    f) az informatikai szablyzatok kzzttelnek mdja s eljrsa, a hatlyos verzik elrsi mdja, a kiads- s a vltozskezels mdja,

    g) az informatikai biztonsgi szablyzati rendszer, ktelez formai elemei.

    1.3.2 Tevkenysgek szablyozsra a pnzgyi szervezet az elvgzend tevkenysgek rszletes mveleteit rja el, ezek helyett irnyelvek s normk elrsra csak azokban az esetben kerljn sor, amikor a rszletes szablyozs nem lehetsges (pl. titoktartsi ktelezettsg).

    1.3.3 A pnzgyi szervezet a szablyzati rendszert olyan mlysgig dolgozza ki, hogy:

    3 2013. vi CCXXXVII. trvny a hitelintzetekrl s a pnzgyi vllalkozsokrl (Hpt.)

    4 Hpt.68. (6), Mpt. 77/B. (5), pt.40/D. (5). Az ellenrzs sorn kls megbzott szakrt is ignybe vehet.

  • 6/37

    a) az informatikai szablyzatok rszletezettsge, a mszaki- s nyilvntartsi dokumentumok s a feljegyzsek adattartalma informatikus- vagy informatikai szolgltat kiesse esetn is lehetv teszi az informatikai rendszer folyamatos zemt, valamint az esetleges kiesseket kvet jraindtst,

    b) a szablyozs a pnzgyi szervezet az elvgzend tevkenysgek rszletes mveleteit rja el, s ennek a rszletezettsge olyan mlysg, hogy a szablyozott tevkenysget egy, az adott szakterleten jrtas informatikus a szablyzati rendszer alapjn el tudja vgezni,

    c) egy fggetlen informatikai vizsglat meggyzdhessen a tevkenysg tartalmnak a megfelelsgrl, s ellenrizhesse, hogy a tevkenysget a pnzgyi szervezet megfelelen ltja-e el.

    1.3.4 A pnzgyi szervezet szablyzati dokumentumai

    a) egyrtelm, vilgos, knnyen rthet formban vannak megfogalmazva,

    b) lnyegre tren tmrek, s az rintettek szmra csak relevns elrsokat tartalmaznak. A nem informatikus munkatrsak rszre az alapvet informatikai biztonsgi ismeretek s biztonsgi feladataik pl. teendk vrusgyans esetekben, jelszvltoztats gyakorisga, eljrsa stb. - nll dolgozi biztonsgi szablyzatban vannak sszefoglalva, ezen fell az egyes informatikai szakterletekre vonatkoz elrsokat szakterletenknt terleti szablyozs tartalmazza,

    c) az alrsokhoz kapcsoldan minden esetben feltntetik, hogy az adott alrs mit igazol pl. a lertakat vgrehajtotta, ellenrizte, tvette, megismerte, tudomsul vette, stb.

    1.3.5 A pnzgyi szervezet s a kiszervezett tevkenysget vgzk a kiszervezsi tevkenysgek vgzsre vonatkoz szerzdskben vagy ahhoz kapcsoldan rgztik a kiszervezett tevkenysg vgzje ltal minimlisan elksztend szablyzati dokumentumokat, s ezeket a pnzgyi szervezet a szerzdsben foglaltaknak megfelel teljests ellenrzsnek a keretben vizsglhatja.

    1.3.6 A pnzgyi szervezet biztostja szablyzati rendszernek mindenkori rvnyessgt s aktulis llapott, ennek rdekben azt minden vltozssal egyidejleg aktualizlja, s ezen fell a teljes szablyzati rendszert legalbb ktvente fellvizsglja, s ennek elvgzst dokumentlja.

    1.3.7 A pnzgyi szervezet szablyzati rendszerben elrja az informatikai rendszere biztonsgi kockzatainak rendszeres idkznknt trtn ktelez felmrst, kijelli a kockzatok felmrsnek felelst, s meghatrozza a felmrs elvgzsnek s az azt kvet tevkenysgek elvgzsnek az alapvet lnyeges szablyait.

    2 Az informatikai kockzatelemzs s az informatikai rendszer kockzatokkal arnyos vdelme

    A pnzgyi szervezeteknek gondoskodniuk kell informatikai rendszerk kockzatokkal arnyos vdelmrl. Ehhez ktelesek az informatikai rendszerk biztonsgi kockzatelemzst elkszteni - s szksg szerint, de legalbb ktvente fellvizsglni s aktualizlni, valamint a biztonsgi kockzatelemzs alapjn indokolt vdelmi intzkedseket megvalstani.5

    5 Bit.65/A. (2) (6), Bszt.12. (3) (7), Mpt.77/A. (2) (6), pt.40/C. (2) (6), Korm.r. 2. (2) 3. (3)

  • 7/37

    A vonatkoz trvnyi elrsok az informatikai biztonsgi kontrollok egy halmaznak ktelez alkalmazst rjk el, a kockzatarnyos vdelem kialaktshoz azonban szksges, hogy a pnzgyi szervezet az informatikai kockzatait s az alkalmazhat biztonsgi kontrollokat az informatikai s adatkommunikcis technolgia mindenkori szintjre figyelemmel egy teljes kren vgrehajtott kockzatelemzs sorn megvizsglja, valamint a feltrt kockzatokat megfelelen kezelje.

    Az informatikai rendszerek biztonsgi kockzatelemzsnek elvgzshez s a kockzatarnyos vdelem biztostshoz a Felgyelet az albbi szempontokat javasolja megfontolni:

    2.1 Az informatikai biztonsgi kockzatelemzs clja

    Az informatikai kockzatelemzs kzvetett biztonsgi kontroll, azaz elvgzse nmagban nem ersti a vdelmet, de elvgzse szksges ahhoz, illetve eredmnye teszi lehetv, hogy a pnzgyi szervezet a tevkenysge jellegnek, nagysgrendjnek s sszetettsgnek megfelel, kockzataival arnyos biztonsgos informatikai rendszert alakthasson ki. Az informatikai kockzatelemzs clja ennek megfelelen az, hogy meghatrozza az informatikai rendszer biztonsgi hinyossgait, azaz feltrja, s kockzati alapon rtkelje annak hinyz, tovbb a bevezetett, de nem kielgten mkd, informatikai biztonsgi kontrolljait.

    Az informatikai biztonsgi kontrollok egy csoportjnak ktelez, illetve kockzatokkal arnyosan ktelez alkalmazst a vonatkoz trvnyek elrjk. A kockzatokkal arnyos informatikai biztonsg kialaktshoz azonban nlklzhetetlen, hogy sor kerljn a pnzgyi szervezetek specifikus informatikai biztonsgi hinyossgainak pl. architektra, fizikai biztonsg - a feltrsra is, amely a kockzatelemzsnek szintn rszt kpezi.

    2.2 Az informatikai biztonsgi kockzatelemzs minstse

    A vonatkoz trvnyek a kockzatelemzs elvgzsnek mdjt mdszert, eljrst - nem rjk el, errl a pnzgyi szervezet szabadon dnthet. A Felgyelet a pnzgyi szervezet kockzatelemzst annak vgeredmnye alapjn minsti, s a ktelezen elksztend kockzatelemzsi jelents alapjn azt vizsglja s rtkeli, hogy a pnzgyi szervezet a kockzataival arnyos mdon s az informatikai biztonsggal rintett valamennyi terleten tervezs, beszerzs, zemeltets, ellenrzs az elvrhat gondossg mellett teljes kren trta-e fel s rtkelte az informatikai rendszernek az informatikai biztonsgi hinyossgait.

    2.3 A kockzatelemzs javasolt folyamata

    A kockzatelemzs sorn alkalmazott mdtl mdszertl, eljrstl fggetlenl a pnzgyi szervezet a kockzatelemzs sorn elvgzi az albbi lpseket:

    a) az zleti folyamatok meghatrozsa, ezen bell az adatok felmrse s minstse, a folyamatok kockzati besorolsnak elvgzse az adatok bizalmassga, srtetlensge s rendelkezsre llsa, a folyamatok srtetlensge s rendelkezsre llsi kvetelmnyei alapjn,

    b) az zletileg kritikus, f folyamatok azonostsa s kockzatelemzsre trtn kivlasztsa,

    c) a kivlasztott folyamatok informatikai mkdst biztost informatikai s adatkommunikcis rendszerelemek, valamint a folyamatok informatikai biztonsgi szempont gyenge pontjainak - pl. kzi adatbeviteli- s mdostsi lehetsgek, rendszerek kztti adattadsok, tvoli hozzfrsek, technikai felhasznli

  • 8/37

    azonostk, megosztott adatterletek, tmeneti adatllomnyok, szoftver srlkenysgek, stb. - azonostsa,

    d) a rendszerelemekhez, valamint a gyenge pontokhoz kapcsold informatikai biztonsgi kontrollok megltre s mkdsk megfelelsgre vonatkoz vizsglatok elvgzsvel a biztonsgi hinyossgok s elgtelensgek azonostsa s a kockzatok rtkelse,

    e) az ltalnos informatikai biztonsgi kontrollok - a rendszer elemekhez kzvetlenl nem kapcsold biztonsgi kontrollok, mint pl. az emberi erforrs, a szablyozs, az infrastruktra terletek biztonsgi intzkedsei - vizsglata s rtkelse, ennek sorn a vonatkoz trvnyekben kzvetlen mdon nem elrt informatikai biztonsgi kontrollok azonostst s a kockzatok rtkelst a legjobb gyakorlatok alapjn javasolt elvgezni,

    f) a szablyzati elrsok s a gyakorlat sszhangjnak a vizsglata,

    g) vgezetl a pnzgyi szervezet kritikus informatikai krnyezetre vonatkoz informatikai biztonsgi helyzetkp kialaktsa, s a kockzatelemzsi jelents dokumentum elksztse.

    A kockzatelemzsi tevkenysgek elvgzse sorn a pnzgyi szervezet az albbiak szerint jr el:

    a) A kockzatelemzs a) s b) lpsben informatikai, informatikai biztonsgi, valamint a pnzgyi szervezet zleti mkdst s annak f folyamatait naprakszen ismer pnzintzeti szakemberek egytt vesznek rszt.

    b) A kockzatelemzs c), d) s e) lpst olyan szakemberek vgzik, akik az informatikai biztonsgi kontrollokat, valamint ezek alkalmazsnak a legjobb gyakorlatt napi szinten ismerik. Szmos nemzetkzi ajnls tartalmaz informatikai biztonsgi kontroll katalgusokat, amelyek a vizsglat elvgzse sorn felhasznlhatk pl. COBIT5, MSZ ISO/IEC 27001:2006, BSI IT-Grundschutz-Kataloge, stb. Ezekben a katalgusokban a pnzgyi szervezetekre vonatkoz kvetelmnyek is megtallhatk, az ajnls I. Mellklete bemutatja az egyes jogszablyi kontroll kvetelmnyekkel rintett COBIT, illetve MSZ ISO/IEC 27001:2006 fejezeteket.

    c) A pnzgyi szervezet a kockzatelemzsi jelentsben a vizsglt folyamatokat, rendszerelemeket, a feltrt gyenge pontokat, a vizsglat al vont biztonsgi intzkedseket, biztonsgi intzkedsenknt a megllaptst s a kockzat mrtkt, valamint a vizsglat szempontjbl relevns egyb krlmnyeket teljes kren dokumentlja. A dokumentum gy lehetv teszi visszaellenrzsek elvgzst, rgzti a vizsglat hatkrt, gy kiindul pontja lehet a kvetkez idszak kockzatelemzsnek.

    d) A kockzatok feltrst kveten, az esetleges tves megllaptsok feltrsra, eltr kockzati rtkelsek egyeztetsre a kockzatelemzst vgz s a vizsglt terlet kztt egyeztetsre kerl sor.

    e) Mivel a kockzatelemzsi jelents a kockzatkezels dnts elkszt dokumentuma is egyben, ezrt a kockzatelemzsi jelents a feltrt kockzatok mrtkt a legjellemzbb lehetsges kresemny s a negatv zleti hats - a pnzgyi szervezetet fenyeget legjellemzbb zleti kr - bemutatsval rzkelteti. Az zleti kockzatok sszehasonltst a jelents a biztonsgi hinyossgokhoz rendelt kockzati skla hasznlatval vgzi el.

    f) A kockzatelemzst a pnzgyi szervezet fels vezetse trgyalja s hagyja jv.

  • 9/37

    2.4 A feltrt kockzatok kezelse

    A pnzgyi szervezetnek az informatikai rendszer kockzatokkal arnyos vdelmhez a biztonsgi kockzatelemzs alapjn indokolt vdelmi kontrollokat meg kell valstania.

    Fggetlenl attl, hogy a kockzatelemzst sajt maga kszti, vagy kls partnerrel ksztteti, a pnzgyi szervezet viseli a felelssget mind a kockzatelemzs sorn fel nem trt, mind a feltrt, de nem megszntetett kockzatokrt.

    A kockzatok kezelsnek javasolt lpsei

    2.4.1 A biztonsgi hinyossgok megszntetsre a pnzgyi szervezet a kockzatelemzs befejezst kveten intzkedsi feladatokat dolgoz ki, s megllaptja a feladatok erforrs ignyeit.

    2.4.2 A pnzgyi szervezet a feladatok vgrehajtst temezi, amelynek sorn figyelembe veszi az erforrs ignyt, a kockzati rtket, kijelli a felelsket, majd dokumentlt intzkedsi tervet kszt.

    2.4.3 Az intzkedsi terv teljes vagy rszleges vgrehajtst a pnzgyi szervezet erre kijellt vezetje illetve vezeti testlete jvhagyja, s a dntst dokumentlja. A dnts igazolja, hogy a vezetsg a kockzatelemzs eredmnyt megismerte, s a feltrt, de az intzkedsi tervben nem szerepl kockzatokat felvllalja.

    2.4.4 Az intzkedsi feladatok vgrehajtst a pnzgyi szervezet kijellt felels(k) tjn nyomon kveti, ellenrzi, s amennyiben a vgrehajts a feladattervtl eltr, korrekcis intzkedseket hoz a feladat hatridre s a tervezett mdon trtn befejezsre.

    2.5 A kockzatelemzs fellvizsglata

    A pnzgyi szervezetnek az informatikai rendszert rint vltozsok esetben, a vltozssal rintett terletekre vonatkozan, de legalbb ktvente az informatikai biztonsgt rint valamennyi terleten, el kell vgeznie a biztonsgi kockzatok elemzst. A ktelez kockzatelemzs elvgezhet rendszeres bels s/vagy kls informatikai ellenrzsek sorozatval is, amennyiben a pnzgyi szervezet biztostja, hogy ktves ciklusban az informatikai rendszer egsze vizsglat al kerljn, a megllaptsaik dokumentlva legyenek, valamint a fels vezets azokat megismerje s elfogadja.

    2.6 A kockzatelemzs elvgzse kiszervezett tevkenysgek esetben

    Amennyiben a pnzgyi szervezet az informatikai tevkenysgnek egszt vagy rszeit kiszervezi, a kockzatelemzs hatkre s tartalma kiegszl a kiszervezsnek a pnzgyi szervezetre jelentett kockzatainak a vizsglatval. Ezen tlmenen a pnzgyi szervezetek szmra az albbiakat javasoljuk:

    2.6.1 A pnzgyi szervezet s a kiszervezett tevkenysget vgzk a szerzdskben vagy ahhoz kapcsoldan rgztik a tevkenysget vgz informatikai biztonsgi feladatait s felelssgt, ezen bell rgztik a kiszervezett tevkenysgekre vonatkoz kockzatelemzs elvgzsnek feladatt, valamint meghatrozzk annak a hatkrt.

  • 10/37

    2.6.2 A pnzgyi szervezet a kiszervezett tevkenysgre vonatkoz kockzatelemzs megtrtntt a szerzdsben foglaltaknak megfelel teljests ellenrzsnek a keretben vizsglhatja, a vizsglat eredmnyt dokumentlja, s azt a vezetsg rtkeli.

    3 Trvnyi elrs alapjn ktelez szablyzati dokumentumok

    3.1 zletfolytonossgi terv

    Az zletfolytonossgi terv elksztse

    A folyamatos mkds fenntartsra, tovbb a slyos zletviteli fennakadsokbl kvetkez esetleges vesztesgek mrsklse rdekben a pnzgyi szervezetnek rendelkeznie kell a szolgltatsai folyamatossgt akadlyoz rendkvli esemnyek s helyzetek kezelsre vonatkoz vszhelyzeti s zletmenet-folytonossgi tervvel.6 Tovbb, rendelkeznie kell a szolgltatsok folytonossgt biztost tartalk berendezsekkel, illetve e berendezsek hinyban az ezeket helyettest egyb a tevkenysgek, illetve szolgltatsok folytonossgt biztost megoldsokkal. 7

    A trvnyekben elrt rendkvli esemnyek s helyzetek kezelsre vonatkoz vszhelyzeti s zletmenet-folytonossgi terv elksztse sorn a pnzgyi szervezet tetszleges tartalom felosztst s elnevezst alkalmazhat - pl. zletmenet Folytonossgi Terv (Business Continuity Plan, BCP), Katasztrfa Helyzet Elhrtsi Terv (Disaster Recovery Plan, DRP), stb.

    A tervet a tovbbiakban az ajnlsban zletfolytonossgi tervnek nevezzk. Elksztse sorn a pnzgyi szervezetnek legalbb az albbi tevkenysgeket javasolt elvgeznie:

    3.1.1 zletfolytonossgi kvetelmnyek meghatrozsa

    1. A pnzgyi szervezet meghatrozza kritikus zleti szolgltatsait. Azonostja a szolgltatsok nyjtshoz szksges folyamatait, meghatrozza a folyamatok informatikai mkds hibibl szrmaz lehetsges kiessei eseteit. Meghatrozza az zletszablyzatn alapul ignyek alapjn elfogadott visszallsi pontokat (recovery point objective, RPO: az a korbbi rendszer llapot, amely visszalltsa esetn az adatveszts mg elfogadhat, illetve az adatok ptlsa mg lehetsges), valamint kritikus helyrelltsi idket (recovery time objective, RTO: az elfogadhat helyrelltsi id), s ennek sorn kitr legalbb az albbi tpusok letszer eseteire:

    a) termszeti csapsok, ember okozta mkdsi rendellenessgek, informatikai s adatkommunikcis infrastruktra hibkbl fakad, a munkahely hasznlatt akadlyoz tnyezk okozta rszleges, teljes szolgltats kiess klnbz esetei,

    b) az alkalmazott zemeltetsi rendszer s/vagy az informatikai zemeltetsi helyszn hasznlhatatlann vlsa,

    c) kls szolgltatsok hibs teljestse, teljes kiesse vagy elrhetetlenn vlsa.

    2. A pnzgyi szervezet elvgzi a rendszer elemek rendelkezsre llsi szempont biztonsgi osztlyokba sorolst (lsd 3.5 fejezet), s az egyes eszkzkre vettett technolgiai kvetelmnyek alapjn kialaktja informatikai rendszert.

    6 Bit. 65/A. (6) g), Bszt.12. (7) g), Mpt.77/A. (6) g), pt.40/C. (6) g), Korm.r.3. (3) g)

    7 Bit. 65/A. (6) c), Bszt.12. (7) c), Mpt.77/A. (6) c), pt.40/C. (6) c), Korm.r.3. (3) c)

  • 11/37

    3.1.2 Az zletfolytonossgi eljrsok kidolgozsa

    A pnzgyi szervezet kidolgozza s zletfolytonossgi tervben vagy ahhoz kapcsoldan dokumentlja:

    a) az informatikai rendszer kiesse idejn kvetend zleti helyettest eljrsokat,

    b) az informatikai s adatkommunikcis tartalk rendszerekre val tlls, valamint a helyrelltsra vonatkoz operatv eljrsokat,

    c) a norml zemre trtn visszalls operatv eljrsait,

    d) az egyes eljrsokra vonatkozan az eljrsok vgrehajtit illetve a vgrehajts felelseit,

    e) az egyes kiessi esetekre vonatkozan a bels felelssgi rendet s a kls kommunikci rendjt.

    3.1.3 Az zletfolytonossgi eljrsok ellenrzse s bevezetse

    A pnzgyi szervezet, dokumentlt tesztelssel meggyzdik az eljrsok alkalmazhatsgrl, oktatja az eljrsokat, s felkszti a szervezett az eljrsok alkalmazsra.

    3.1.4 A pnzgyi szervezet az zletfolytonossgi tervezs eredmnyt dokumentlja, azt a vezetsg jvhagyja, dokumentlja, valamint azt minden pl. zleti, rendszertechnikai, az alkalmazott informatikai s adatkommunikcis technolgit rint vltozst kveten fellvizsglja.

    Az zletfolytonossgi tervezs sorn az albbiak figyelembevtelt javasoljuk:

    3.1.5 A pnzgyi szervezet zletfolytonossgi terve olyan forgatknyvszer operatv intzkedsi terv, amely lehetv teszi az eljrsok gyors, hibamentes vgrehajtst.

    3.1.6 Az zletfolytonossgi tervet amennyiben azt a pnzgyi szervezet clszernek tartja tbb dokumentumban kszti el, pl. az zletmenet folytonossgi terv az zleti helyettest eljrsokat, az informatikai katasztrfa helyzet elhrtsi terv az informatikai rendszer mkdsnek a helyrelltst rgzti.

    3.1.7 A pnzgyi szervezet az zletfolytonossgi eljrsai alkalmazhatsgrl idertve a kritikus rendelkezsre llsi id teljeslst is , valamint a vgrehajtk felkszltsgrl az egyes kiessi esetek kockzataival s a megvalsts kltsgeivel arnyosan megvlasztott teszt eljrssal gyzdik meg, s trekszik vals gyakorlati tesztek elvgzsre.

    3.1.8 A pnzgyi szervezet az zletfolytonossgi eljrsainak tesztelse sorn a sikeres zr teszt lnyeges krlmnyeit idertve a teszt eljrsok egyes lpseit, a vgrehajts tervezett s mrt idtartamait is -, az elvgzett tevkenysgeket s az egyb megllaptsokat, egyttesen dokumentlja.

    3.1.9 A pnzgyi szervezet gondoskodik az zletfolytonossgi terv aktulis llapotban tartsrl, s azt az informatikai rendszeren kvl is, s a helyrelltshoz szksges helyszneken is trolja.

    3.1.10 A pnzgyi szervezet valamint a kiszervezett tevkenysget vgz a szerzdskben vagy ahhoz kapcsoldan rgztik a pnzgyi szervezet ltal elfogadott visszallsi pontokat valamint kritikus helyrelltsi idket. Rgztik tovbb a kiszervezett tevkenysg vgzjnek kifejezett felelssgt az zletfolytonossgi tervezs elvgzsre, az zletfolytonossgi tervnek mr a tevkenysge megkezdst megelzen trtn elksztsre,

  • 12/37

    zletfolytonossgi eljrsainak mindenkori alkalmazhatsgra, valamint rgztik az eljrsok tesztelsnek mdszert, gyakorisgt, valamint a pnzgyi szervezet fel trtn beszmols mdjt.

    3.1.11 A pnzgyi szervezet a szerzdsben foglaltaknak megfelel teljests ellenrzsnek a keretben meggyzdik arrl, hogy a kiszervezett tevkenysg zletfolytonossgi eljrsai megfelelek-e, s biztostjk-e a pnzgyi szervezet zletfolytonossgi kvetelmnyeit.

    3.2 Mentsi rend

    A pnzgyi szervezetnek rendelkeznie kell az informatikai rendszer szoftver elemeire vonatkoz olyan biztonsgi mentsekkel s mentsi renddel, tovbb helyrelltsi tervvel, amelyek az adott rendszer helyrellthatsgt a rendszer ltal nyjtott szolgltats kritikus helyrelltsi idejn bell lehetv teszik, tovbb a mentseket kockzati szempontbl elklntetten s tzbiztos mdon kell trolnia, s gondoskodnia kell a mentsek forrsrendszerrel azonos szint hozzfrs vdelmrl.8

    A pnzgyi szervezet a mentsi rendjt - az zletfolytonossgi kvetelmnyekkel sszhangban - az elfogadott kritikus helyrelltsi idk s visszalltsi pontok figyelembe vtelvel gy alaktja ki, hogy a mentsek tpusa, gyakorisga s pldnyszma elfogadhat adatvesztsi kockzatot eredmnyezzen, valamint az archivlsra vonatkoz jogszablyi kvetelmnyeket teljesthesse.

    A pnzgyi szervezet gondoskodik tovbb arrl, hogy:

    a) a mentett adatok nyilvntartsba vtele megtrtnjen,

    b) az adatok mentse illetve archivlsa mellett az adatok visszalltshoz szksges valamennyi egyb adat, s szoftver komponens is visszallthatan mentsre illetve archivlsra kerljn, vagy mentsk illetve archivlt llomnyuk ltezzen,

    c) a mentsre illetve archivlsra alkalmazott adathordoz megvlasztsa az adathordoz felhasznlhatsgnak gyrti korltozsai pl. adatmegrzsi id, jrarhatsg szma, trolsi elrsok stb. - figyelembe vtelvel trtnjen,

    d) a mentseket tartalmaz adathordozk kezelse a rajtuk trolt adatok biztonsgi osztlyhoz rendelt elrsok szerint (lsd 3.5.1.3 fejezet) trtnjen, valamint a forrsrendszerrel azonos szint biztonsgos fizikai hozzfrs vdelem mellett kerljenek megrzsre,

    e) a mentett s az archv llomnyok adatainak a visszatltshez szksges berendezs mindenkor a rendelkezsre lljon.

    A mentsi rend kialaktsa sorn az albbiak figyelembevtelt javasoljuk a pnzgyi szervezet szmra:

    3.2.1 A mentsek tzbiztos vdelmt a pnzgyi szervezet az albbiak szerint biztostja:

    a) az informatikai s adatkommunikcis rendszer egyes elemei visszalltsra ksztett mentseket az les adatoktl elklnlt, zrhat, s legalbb 30 perces tzllsg nll helyisgben, az plet egy msik tzszakaszban, vagy az les adatokat tartalmaz plettl a tzvdelmi szablyoknak megfelel mdon elvlasztott msik (pl. szomszdos) pletben trolja,

    8 Bit. 65/A. (6) e), Bszt.12. (7) e), Mpt.77/A. (6) e), pt.40/C. (6) e), Korm.r.3. (3) e), (4)

  • 13/37

    b) az zemi informatikai rendszer teljes hasznlhatatlann vlst kvet helyrelltsra szolgl mentseket s az archv llomnyokat az zemi rendszertl fldrajzilag legalbb 400 mter tvolsgra elklnlt helysznen - trolja.

    3.2.2 A pnzgyi szervezet mentsi rendje tartalmazza az albbi mszaki lersokat:

    a) A pnzgyi szervezet mentsi rendszernek sszefoglal lersa, amely tartalmazza:

    a mentett adatok krnek teljes kr meghatrozst pl. az alkalmazsok- fjlszerverek adatai, zleti- egyb alkalmazsok, rendszer krnyezetek, alkalmazs- s eszkz konfigurcis llomnyok, napl llomnyok, scriptek stb.,

    a mentsek mdjt, az alkalmazott mentsi szoftverek s a menteszkzk megnevezst, a mentett llomnyok rzsi helyt, az egyes mentsekhez tartoz lehetsges adatvesztsi eseteket pl. az elz napi mentsbl a trgynap napkzbeni tranzakcii nem llthatk vissza,

    a mentsek idpontjt,

    a mentett llomnyok megrzsi idejt,

    a mentett llomnyok nyilvntartsnak mdjt,

    az elksztett mentsek olvashatsgnak az ellenrzsre alkalmazott eljrsokat, az ellenrzs gyakorisgt.

    b) Mentsi eljrsok, amelyek a mentsek elvgzsre s annak ellenrzsre vonatkoz operatv eljrsok,

    c) Visszatltsi eljrsok, amelyek az egyes mentsek visszatltsre s a visszatlts megfelelsgnek az ellenrzsre vonatkoz operatv eljrsok.

    d) Helyrelltsi eljrsok, amelyek a mentssel rintett informatikai s/vagy adatkommunikcis rendszerek visszatlts utni visszalltsra s a visszallts megfelelssgnek az ellenrzsre vonatkoz operatv eljrsok,

    3.2.3 A pnzgyi szervezet a mentsek operatv elvgzst az zemeltetsi utastsaiban rja el (lsd 3.3.5 b) fejezet).

    3.3 A mkdtetsre s a fejlesztsre vonatkoz szablyzati dokumentumok

    A pnzgyi szervezetnek rendelkeznie kell az informatikai rendszernek mkdtetsre vonatkoz utastsokkal s elrsokkal, a fejlesztsre vonatkoz tervekkel.9

    Az zleti ignyek folyamatos teljestshez a pnzgyi szervezetnek elreltan fel kell mrnie az alkalmazsi rendszerek fejlesztsi ignyeit, az informatikai rendszer kapacits bvtsi ignyeit, a technolgiai avuls s az j technolgik megjelense miatti infrastruktrafejlesztsi ignyeket, s ezek megvalstst terveznie javasolt.

    Az informatikai rendszer napi mkdtetsre vonatkoz szablyzati rendszert szablyzatok, mszaki- s nyilvntartsi dokumentumok, feljegyzsek stb. a pnzgyi szervezet a jelen ajnls 1.3 fejezetben lertakkal sszhangban alaktja ki.

    9 Bit. 65/A. (6) a), Bszt.12. (7) a), Mpt.77/A. (6) a), pt.40/C. (6) a), Korm.r.3. (3) a)

  • 14/37

    A dokumentumok elksztsnek javasolt szempontjai:

    3.3.1 A pnzgyi szervezet informatikai tervei sszhangban vannak zleti cljaival, figyelembe veszik az informatikai- s adatkommunikcis technolgiai irnyokat, valamint a pnzgyi szervezet az informatikai tervezs sorn elkszti legalbb az albbi dokumentumokat:

    a) ves informatikai beruhzsi s kltsg tervek,

    b) rvidtv informatikai terv vagy stratgia.

    3.3.2 A pnzgyi szervezet megfontolja, s kockzatai arnyban dnt az informatikai- s adatkommunikcis stratgia alkots elvgzsrl, s az albbi dokumentumok elksztsrl:

    a) kzptv informatikai terv vagy stratgia,

    b) hosszabb tv informatikai terv vagy stratgia.

    3.3.3 Az informatikai tervezs eredmnyt a pnzgyi szervezet erre kijellt vezetje illetve vezeti testlete jvhagyja, s a vezeti dnts tartalmt a pnzgyi szervezet dokumentlja.

    3.3.4 A pnzgyi szervezet az informatikai rendszer bevezetshez elkszti, majd vltozsok esetn mdostja az albbi szablyzati dokumentumait:

    a) adatkommunikcis rendszernek hlzati dokumentcija, amely tartalmazza legalbb az albbiakat:

    az adathlzati rendszernek hlzati diagramja,

    a hlzati eszkzk, valamint az eszkz csatlakoztatsok nyilvntartsa,

    adattviteli sszekttetsek (fizikai vonalak) mszaki nyilvntartsa,

    az adathlzat szegmentlsa,

    gptermi eszkz elhelyezsi rajzok,

    a kialaktott hlzati znk, a hlzati znk kztti forgalmi szablyok elvi bemutatsa,

    a logikai szint adatkapcsolatok, s az alkalmazott adatkapcsolati mdok technolgiai megvalstsa (pl. portok, szolgltatsok, pl. layer 3, 4-7 mdok stb.),

    b) futtat rendszerkrnyezet (mkdsi architektra, mkdtet krnyezetek, adatbzis kezel, felgyeleti megolds bemutatsai), rendszerenknt,

    c) mentsi rend (mentsi, visszatltsi, visszalltsi eljrsok, lsd 3.2 fejezet), rendszerenknt,

    d) hozzfrsi rend (az adatokhoz trtn hozzfrsi rend dokumentumai, lsd 3.7 fejezet), rendszerenknt,

    e) a rendszerek zemeltetsi lersai (zemeltets egyes tevkenysgi lpseinek a lersa).

    3.3.5 A pnzgyi szervezet napi informatikai zemeltetshez elkszti legalbb az albbi szablyzati dokumentumokat:

    a) a felhasznli fikok kezelsnek rendje (a felhasznli fikok kezelsnek ltrehozs, mdosts, tilts, engedlyezs, trls, kiemelt jogosultsg fikok hasznlata, vszhelyzeti elrhetsg biztostsa szablyai, lsd 5.3 fejezet),

  • 15/37

    b) zemeltetsi utastsok, amelyek a rendszeres zemelteti tevkenysgekhez kapcsoldnak - pl. napi, heti, havi, ves stb. opertori/rendszergazdai, hlzat/rendszer felgyeleti, vrusvdelmi, biztonsgi feladatok, stb. -, s tartalmazzk

    a feladatok vgrehajtsnak s a bizonylatolsnak az elrst,

    az ellenrzsi feladatok elrst, idertve a naplk ellenrzsi feladatait is,

    a feladat vgrehajtshoz rendelt feljegyzsek elksztst,

    a beszmolsi feladatokat,

    valamint az alkalmazand mszaki dokumentumokra s vezetett nyilvntartsokra trtn hivatkozsokat.

    c) az les zemi rendszerek vltoztatshoz kapcsold engedlyezsi s vltozskezelsi eljrsok,

    d) az adathordozk kezelsnek eljrsa (lsd 5.6 fejezet).

    3.3.6 A pnzgyi szervezet megfontolja, s kockzataival arnyosan dnt az egyes rendszerek belltsi/teleptsi lersainak szablyzati dokumentumokknt trtn elksztsrl.

    3.4 Alkalmazsi rendszerek forrskdjai s az informatikai rendszerlersok

    A pnzgyi szervezetnek rendelkeznie kell minden olyan dokumentcival, amely az zleti tevkenysget kzvetlenl vagy kzvetve tmogat informatikai rendszerek folyamatos s biztonsgos mkdst mg a szllt, illetleg a rendszerfejleszt tevkenysgnek megsznse utn is biztostja.10 Mindenkor a rendelkezsre kell llnia tovbb az ltala fejlesztett, megrendelsre ksztett informatikai rendszer felptsnek s mkdtetsnek az ellenrzshez szksges rendszerlersoknak s modelleknek, valamint az adatok szintaktikai szablyainak, az adatok trolsi szerkezetnek.11

    A pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    3.4.1 Amennyiben a pnzgyi szervezet kritikus alkalmazsait nllan, sajt fejlesztivel maga fejleszti, illetve a fejlesztsbe kls fejlesztket von be, sajt bels vltozskezelsi eljrsa keretben biztostja, hogy az zembe helyezett alkalmazsi rendszerek fejleszti dokumentcija ttekinthet formban elkszljn, s az a forrskddal egytt egyrtelmen azonosthat mdon a sajt szervezetn bell archivlsra kerljn.

    3.4.2 Amennyiben a pnzgyi szervezet az alkalmazsainak a fejlesztst a szakmai irnyts megtartsa mellett kls szoftverfejlesztvel vgezteti, sajt bels vltozskezelsi eljrsa keretben biztostja, hogy az zembe helyezett alkalmazsi rendszerek fejleszti dokumentcija ttekinthet formban a pnzgyi szervezeten bell lljon el, s az a forrskddal egytt egyrtelmen azonosthat mdon archivlsra kerljn.

    3.4.3 Amennyiben a pnzgyi szervezet nem vgez szoftverfejlesztst, a szmra ksztett egyedi fejlesztsek megrendelsei illetve fejlesztsi szerzdsei biztostjk, hogy:

    10 Bit. 65/A. (6) b), Bszt.12. (7) b), Mpt.77/A. (6) b), pt.40/C. (6) b), Korm.r.3. (3) b)

    11 Bit. 65/A. (7) a) b), Bszt.12. (9) a) b), Mpt.77/A. (7) a) b), pt.40/C. (7) a) b), Korm.r.4. (1) a) b)

  • 16/37

    a) a szoftverfejleszt a szoftver tadsval egyidejleg tadja az adatok szintaktikai szablyait s az adatok trolsi szerkezett is tartalmaz rszletes adatbzis dokumentcit,

    b) abban az esetben, ha a szllt a hibajavtsi- vagy az alkalmazs tovbbfejlesztsre vonatkoz ignyeket brmilyen okbl nem teljesti, hozzjuthasson pl. gyvdi lett tjn a szoftver forrskd llomnyhoz s fejlesztsi dokumentcijhoz, s azokat a tovbbiakban jogszeren felhasznlhassa.

    3.4.4 A pnzgyi szervezet gondoskodik arrl, hogy az alkalmazsi rendszerek forrskdjaihoz illetve informatikai rendszerlersaihoz kapcsoldan a kiszervezett rendszernek adatai is - a kockzatai alapjn elfogadott visszallsi pontok figyelembe vtelvel, tovbbi felhasznlsra alkalmas formtumban mindenkor a rendelkezsre lljanak.

    3.4.5 A szoftverfejlesztsi tevkenysget folytat pnzgyi szervezet megfontolja, s kockzatai arnyban dntst hoz bels fejlesztsi eljrsnak dokumentlt szablyzati dokumentumknt trtn elksztsrl, valamint abban rgzti az elksztend fejleszti dokumentcik krt.

    3.5 Biztonsgi osztlyba sorolsi rend

    A pnzgyi szervezetnl mindenkor rendelkezsre kell llnia az informatikai rendszer elemeinek a pnzgyi szervezet ltal meghatrozott biztonsgi osztlyokba sorolsi rendszernek.12

    A kialakts javasolt szempontjai:

    3.5.1 A pnzgyi szervezet a kritikus hardver elemeinek a rendelkezsre llsi kvetelmnyei szerinti biztonsgi osztlyba sorolsi rendszert gy alaktja ki, hogy az egyes osztlyokhoz hozzrendeli legalbb az albbi jellemzket:

    a) a hardver elem technolgiai kialaktsa s hibatr kpessge - pl. bels redundancik,

    b) a javts illetve eszkztartalkols mdja pl. helyszni javts helyszni tartalk modullal vagy csereeszkzzel, kls szerviz szolgltats ignybevtele, szerviz szolgltatnl csereeszkz rendelkezsre tartsa stb.,

    c) a szolgltatsok ignybe vtele esetn a szolgltatsi idk pl. hibajavts kezdete, befejezse, stb.,

    d) eszkz szint (mkdsbeli) redundancia kialaktsa pl. magas rendelkezsre llsi (high availability, HA) megoldsok, terhels megoszts, stb.

    3.5.2 A pnzgyi szervezet adatainak bizalmassg szerinti biztonsgi osztlyokba sorolsi rendszere sszhangban van a bank- rtkpapr- s biztostsi titokra, a szemlyes adatok vdelmre vonatkoz jogszablyi elrsokkal, a pnzgyi szervezet adatvdelmi elrsaival, valamint a sajt dolgozk szemlyes adatait s a klnleges (szemlyes) adatokat13 a legmagasabb biztonsgi osztlyba sorolja,

    3.5.3 Az adatainak bizalmassg szerinti biztonsgi osztlyba sorolsi rendszerhez kapcsoldan a pnzgyi szervezet rendelkezik az egyes biztonsgi osztlyokba tartoz adatok kezelsre cmkzsre, trolsra, fizikai biztonsgra s hozzfrs szablyozsra, tovbbtsra,

    12 Bit. 65/A. (7) c), Bszt.12. (9) c), Mpt.77/A. (7) c), pt.40/C. (7) c), Korm.r.4. (1) c)

    13 az informcis nrendelkezsi jogrl s az informciszabadsgrl szl 2011. vi CXII. trvny Infotv.

  • 17/37

    megsemmistsre stb. vonatkoz eljrsokkal, s az eljrsok biztonsgi szintje arnyos az adatok bizalmassgi kvetelmnyvel.

    3.6 Az adatok hozzfrsi rendje

    A pnzgyi szervezetnl mindenkor rendelkezsre kell llnia az adatokhoz trtn hozzfrsi rend meghatrozsnak,14 valamint gondoskodnia kell a mentsek forrsrendszerrel azonos szint hozzfrs vdelmrl.15

    A hozzfrsi rend vagy ms szhasznlattal: a logikai hozzfrsi rend - rgzti mindazokat a rendszervltozkat s belltsi rtkeket, amelyek meghatrozzk, hogy az adatokhoz csak az arra jogosultak, s k is csak a szmukra szksges mveletek elvgzsre frjenek hozz. Az egyes rendszerek16 hozzfrsi rendjt a rendszerek mszaki dokumentcija illetve nll dokumentum tartalmazza, s a hozzfrsi rendeket a pnzgyi szervezet gy alaktja ki, hogy azok biztostsk a mentett valamint az archivlt adatllomnyoknak a forrs adatokkal legalbb azonos szint hozzfrs vdelmt is.

    A logikai hozzfrsi rend tartalma

    3.6.1 Rendszerenknt legalbb az albbiak:

    a) rendszerazonost (hlzati nv), hlzati kapcsolatok, adatkapcsolatok, portok s protokollok, a felhasznli hitelests mdja,

    b) a rendszerszint biztonsgi belltsok,

    c) a helyi felhasznlk, felhasznlcsoportok, beptett felhasznli fikok, fik belltsok, helyi hzirend tartalma biztonsgi hzirend pl. jelszhzirend, biztonsgi naplzs stb. tartalma,

    d) cmtr rendszerek esetben a felhasznlk, felhasznlcsoportok, beptett felhasznli fikok, fik belltsok, hozzfrs-vezrlsi listk, szervezeti egysgek, kzztett (megosztott) erforrsok, a cmtr objektumokhoz tartoz hozzfrsi jogok, a tartomnyok biztonsgi belltsai pl. jelszszablyok, naplzsi belltsok, stb.

    e) erforrsok hozzfrsi engedlyei, hozzfrs-vezrl listk, erforrsok esemnynaplzsi belltsa,

    f) mappk megosztsa, a megoszts paramterei, a megosztshoz s a fjlokhoz tartoz jogok (pl. share permissions, security, stb.),

    g) alkalmazsi rendszerek esetben tovbb a felhasznli csoportok (szerepkrk) s az zleti mveletek egymshoz rendelse (men security), valamint az ltalnos biztonsgi belltsok pl. jelszszablyok, naplzsi belltsok, az adatkapcsolatok szmra ltrehozott - technikai jelleg - felhasznlk rendszeren belli kezelsnek eljrsa,

    h) adatbzis kezelk esetben tovbb a fik belltsok, a nem beptett szerepkrk (roles) rendszer- s objektum privilgiumai, profilok s biztonsgi belltsok pl. jelszszablyok, naplzsi belltsok,

    14 Bit. 65/A. (7) d), Bszt.12. (9) d), Mpt.77/A. (7) d), pt.40/C. (7) d), Korm.r.4. (1) d)

    15 Bit. 65/A. (6) e), Bszt.12. (7) e), Mpt.77/A. (6) e), pt.40/C. (6) e), Korm.r.3. (4)

    16 alkalmazsok, adatbzis kezelk, opercis rendszerek, hlzati szolgltatst nyjt egyb szerverek - pl. fjl

    szerverek, web, ftp, proxy szerverek stb. -, az adatkommunikcis eszkzk, pl. tzfal, router stb. opercis rendszerei

  • 18/37

    i) a kiemelt jogosultsg rendszer fikok pl. rendszeradminisztrtori fikok -, valamint a technikai jelleg felhasznlk s a felelsk nyilvntartsa, a kezelskre vonatkoz szablyok,

    j) azoknak a felhasznli fikoknak a listja, amelyek esetn a pnzgyi intzmny szksgesnek tartja a vszhelyzeti elrhetsg biztostst.

    A logikai hozzfrsi rend karbantartsa

    3.6.2 A pnzgyi szervezet a rendszerek biztonsgi belltsait a rendszerre vonatkoz szakmai hardening ajnlsok, ill. a szllttl kapott zemeltetsi kziknyvek aktulis verzii alapjn idszakosan fellvizsglja.

    3.7 Adatgazda s a rendszergazda kijellst tartalmaz okirat

    A pnzgyi szervezetnek mindenkor rendelkezsre kell llnia az adatgazda s a rendszergazda kijellst tartalmaz dokumentumnak/okiratnak.17

    A pnzgyi szervezet zleti adatainak gazdja alaprtelmezetten a szervezet operatv vezetje (pl. vezrigazgat), illetve a szervezet mkdsi szablyzatban erre kijellt vezet. Amennyiben az adatgazdai feladatok deleglsra kerlnek, a feladatokhoz rendelt adatgazda szerepkrk illetve munkakrk betltit a pnzgyi szervezetnek dokumentlt mdon kell kijellnie. Ennek sorn az albbiak figyelembevtelt javasoljuk a pnzgyi szervezetek szmra:

    3.7.1 A pnzgyi szervezet az adatgazdai feladatokat a szablyzati rendszerben rgzti. Az adatgazdai feladatkrket az adatok tartalmt s minsgi kvetelmnyeit ismer szerepkrkhz deleglja, s ezt a szablyzati rendszerben rgzti. Az adatgazdk feladata az ltaluk menedzselt adatokhoz val hozzfrshez a jogosultsgok jvhagysa s visszavonsa.

    3.7.2 Az adatgazdk s a rendszergazdk kijellst a pnzgyi szervezet a kijellst tartalmaz, a dolgoz ltal tudomsul vett s alrst tartalmaz hivatalos dokumentummal vgzi, amely lehet megbzs, munkakri lers, illetve egyb dokumentum.

    3.8 Az alkalmazott szoftver eszkzk jogtisztasgt bizonyt szerzdsek

    A pnzgyi intzmnynl mindenkor rendelkezsre kell llnia az alkalmazott szoftver eszkzk jogtisztasgt bizonyt szerzdseknek.18

    Az albbi szempontok figyelembe vtelt javasoljuk a pnzgyi szervezetek szmra:

    3.8.1 A pnzgyi szervezet rendelkezik az ltala birtokolt szoftver eszkzk jogtisztasgt igazol bizonylatokkal - szerzdsek, licensz szmlk, licensz igazolsok stb.-, s ezeket oly mdon trolja, hogy egy bels vagy kls jogtisztasgra vonatkoz vizsglat brmikor, nehzsg nlkl elvgezhet legyen.

    17 Bit. 65/A. (7) e), Bszt.12. (9) e), Mpt.77/A. (7) e), pt.40/C. (7) e), Korm.r.4. (1) e)

    18 Bit. 65/A. (7) f), Bszt.12. (9) f), Mpt.77/A. (7) f), pt.40/C. (7) f), Korm.r.4. (1) f)

  • 19/37

    3.9 A szoftvereszkzk teljes kr s napraksz nyilvntartsa

    A pnzgyi intzmnynl mindenkor rendelkezsre kell llnia az informatikai rendszert alkot gyviteli, zleti szoftvereszkzk teljes kr s napraksz nyilvntartsnak. 19

    Az albbi szempontok figyelembe vtelt javasoljuk a pnzgyi szervezetek szmra:

    3.9.1 A pnzgyi szervezet biztostja, hogy valamennyi gyviteli, zleti szoftvereszkzeinek pl. a szolgltatsnyjtshoz kapcsold alapszoftverek, alkalmazsi rendszerek, adatbzis kezelk, felgyeleti s biztonsgi szoftvereket stb. nyilvntartsa informatikai rendszereibl brmikor nehzsg nlkl elllthat, illetve ennek hinyban ezekrl teljes kr nyilvntartst vezet, s ebben az esetben biztostja a nyilvntarts napraksz llapott.

    3.9.2 A pnzgyi szervezet megfontolja, s kockzatai arnyban dnt nll szoftver nyilvntarts bevezetsrl, s a nyilvntartst rendszeres idkznknt sszeveti az informatikai eszkzein teleptett szoftvereivel.

    3.10 Az egyes munkakrk betltshez szksges informatikai ismeretet meghatroz dokumentumok

    A pnzgyi szervezetnek mindenkor rendelkezsre kell llnia az egyes munkakrk betltshez szksges informatikai ismeretet meghatroz dokumentumoknak.20

    Az albbi szempontok figyelembe vtelt javasoljuk a pnzintzetek szmra:

    3.10.1 A pnzgyi szervezet meghatrozza az egyes munkakrk betltshez szksges informatikai s ezen bell az informatikai biztonsgi ismeretet, s ezt bels szablyzati rendszerben vagy ahhoz kapcsoldan dokumentlja. Gondoskodik tovbb arrl, hogy a munkakrket olyan szemlyek tltsk be, akik birtokban vannak az elrt, napraksz ismereteknek.

    4 Az informatikai biztonsgi rendszer ktelezen alkalmazand kontrolljai

    4.1 Szervezeti s mkdsi rend, a folyamatba ptett ellenrzs szablyai

    Az informatika alkalmazsbl fakad biztonsgi kockzatok figyelembevtelvel a pnzgyi intzmnynek meg kell hatroznia a szervezeti s mkdsi rendeket, a felelssgi, nyilvntartsi s tjkoztatsi szablyokat, a folyamatba ptett ellenrzsi kvetelmnyeket s szablyokat.21

    Az albbi szempontok figyelembe vtelt javasoljuk a pnzintzetek szmra:

    4.1.1 A pnzgyi szervezet meghatrozza a helyettestsi rendet, az egymssal sszefrhetetlen informatikai feladatokat - pl. egyazon alkalmazs fejlesztse s zemeltetse -, s biztostja, hogy sszefrhetetlen feladatokat mg helyettests esetn se lthasson el egyazon szemly.

    19 Bit. 65/A. (7) g), Bszt.12. (9) g), Mpt.77/A. (7) g), pt.40/C. (7) g), Korm.r.4. (1) g)

    20 Bit. 65/A. (9), Bszt.12. (11), Mpt.77/A. (9), pt.40/C. (9), Korm.r.5.

    21 Bit. 65/A. (3), Bszt.12. (4), Mpt.77/A. (3), pt.40/C. (3), Korm.r.2. (3)

  • 20/37

    Amennyiben az sszefrhetetlen feladatok sztvlasztsra a pnzgyi szervezetnek nincs lehetsge, kiegszt kontrollt alkalmaz az ellenrzs, illetve a szmon krhetsg biztostsra.

    4.1.2 A pnzgyi szervezet az informatikai szervezetnek felptst s mkdst a szervezeti s mkdsi szablyzatban, az informatikai munkakrkhz rendelt feladatokat s felelssgeket a dolgozk ltal tudomsul vett s a tudomsul vtelt igazol alrsukat is tartalmaz munkakri lersokban hatrozza meg.

    4.1.3 A pnzgyi szervezet az zleti mkdsnek jellegre, nagysgrendjre figyelemmel alaktja ki informatikai szervezett, annak mkdsi rendjt, nyilvntartsi- s a tjkoztatsi szablyait.

    4.1.4 A pnzgyi szervezet gy alaktja ki az informatikai biztonsgi funkcit illetve szervezetet, valamint gy hatrozza meg a vonatkoz feladatokat, hogy az arnyban lljon informatikai biztonsgi kockzataival.

    4.1.5 A pnzgyi szervezet biztostja, hogy valamennyi munkatrsa megismerje s elfogadja a r vonatkoz informatikai biztonsgi szablyokat, s ezeket kpes legyen alkalmazni.

    4.1.6 Az informatikai biztonsgrt alaprtelmezetten a pnzgyi szervezet legfels operatv vezetje a felels, aki a feladatkrt deleglhatja, s a szervezet ltal meghatrozott informatikai s informcibiztonsgi ismeretekkel rendelkez informatikai biztonsgi felelst nevezhet ki, vagy bzhat meg. Az informatikai biztonsgi felels a kis szervezetek esetben lehet az informatikai terlet kijellt munkatrsa, de nagyobb szervezetek esetben a pnzgyi szervezet nll az informatikai zemeltetstl szervezetileg fggetlen - informatikai biztonsgi felelst nevez ki, s dntse alapjn nll informatikai biztonsgi terletet hoz ltre.

    4.1.7 A pnzgyi szervezet biztostja az informatikai biztonsg fggetlen s rendszeres ellenrzst. Az ellenrzst vgezheti a szervezet bels ellenrzse, az informatikai biztonsgi felels, kls szakrt, egytt, vagy egyms kztt megosztva.

    4.2 Informatikai ellenrz rendszer

    A pnzgyi intzmnynek ki kell dolgoznia az informatikai rendszernek biztonsgos mkdtetst felgyel informatikai ellenrz rendszert s azt folyamatosan mkdtetnie kell.22

    A pnzgyi szervezet informatikai ellenrz rendszert gy alaktja ki, hogy az biztostsa, hogy az informatikai rendszere hibinak szlelse s azok megszntetse az zletfolytonossgi tervben meghatrozott rendelkezsre llsi idknek megfelelen megtrtnhessen. Ennek sorn az albbiak figyelembe vtele javasolt:

    4.2.1 A pnzgyi szervezet informatikai rendszere biztonsgos mkdtetsre sajt hatskrben, vagy kls szolgltat ignybevtelvel

    a) felhasznli helpdesket zemeltet,

    b) hlzat felgyeleti rendszert mkdtet,

    c) adathlzatn elssorban a nem biztonsgosnak tekintett szegmensekben behatols detektl rendszert (intrusion detection system, IDS) mkdtet,

    22 Bit. /5/A. (4), Bszt.12. (5), Mpt.77/A. (4), pt.40/C. (4), Korm.r.3. (1)

  • 21/37

    d) megfontolja, s kockzatai arnyban alkalmazs felgyeleti rendszert, valamint behatols gtl rendszert (intrusion prevention system, IPS) mkdtet.

    4.3 zemi krnyezet elklntse s a vltoztatsok kezelse

    A pnzgyi intzmnynek tevkenysge elltshoz, nyilvntartsai napraksz s biztonsgos vezetshez rendelkeznie kell olyan informatikai rendszerrel, amely lehetv teszi az alkalmazsi krnyezet biztonsgos elklntst a fejlesztsi s tesztelsi krnyezettl, valamint lehetv teszi a megfelel vltozskvets s vltozskezels fenntartst.23

    A vltozskezelsi s vltozskvetsi eljrsainak a kialaktsakor a pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    4.3.1 Fejlesztseit s tesztelseit az zemi krnyezettl elklntett krnyezetekben vgzi pl. nll rendszer, nll virtulis krnyezetek.

    4.3.2 Fejleszti teszt krnyezetein les rendszerbl vett adatokat csak anonimizlst kveten hasznl.

    4.3.3 A futtat kd ellltst a pnzgyi szervezet informatikai zemeltetje vgzi, aki egyben gondoskodik a forrs- s a futtat kd azonostsrl s trolsrl.

    4.3.4 Meghatrozza, hogy milyen mdon s meddig van lehetsg a korbbi futtat kd visszatltsre, illetve a korbbi mkds visszalltsra.

    4.4 Archivls

    A pnzgyi intzmnynek rendelkeznie kell jogszablyban meghatrozott nyilvntarts ismtelt elhvsra alkalmas adattrol rendszerrel, amely biztostja, hogy az archivlt anyagokat a jogszablyokban meghatrozott ideig, de legalbb t vig, brmikor visszakeresheten, helyrellthatan megrizzk.24

    Az archivlsi rendszere kialaktsakor a pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    4.4.1 A pnzgyi szervezet a jogszablyban meghatrozott nyilvntartsairl a dokumentlt mentsi rend alapjn mentseket kszt, s azokat a jogszablyban meghatrozott ideig de legalbb t vig brmikor visszakeresheten, helyrellthatan megrzi (archv llomnyok),

    4.4.2 A pnzgyi szervezet az adattrol berendezseinek, rendszereinek a cserje sorn gondoskodik arrl, hogy a mentett s az archv adatok az jonnan zembe lltott rendszerekbe tkerljenek, vagy gondoskodik a rgi rendszerek zemben tartsrl, illetve arrl, hogy azok mindenkor zembe llthatak legyenek.

    23 Bit. 65/A. (6) d), Bszt.12. (7) d), Mpt.77/A. (6) d), pt.40/C. (6) d), Korm.r.3. (3) d)

    24 Bit. 65/A. (6) f), Bszt.12. (7) f), Mpt.77/A. (6) f), pt.40/C. (6) f), Korm.r.3. (3) f)

  • 22/37

    5 Az informatikai biztonsgi rendszer kockzatokkal arnyosan kialaktand vdelmi kontrolljai

    5.1 Az informatikai rendszer elemeinek azonostsa

    A pnzgyi szervezetnek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodnia kell a rendszer legfontosabb elemeinek (eszkzk, folyamatok, szemlyek) egyrtelm s visszakereshet azonostsrl.25

    A pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    5.1.1 A pnzgyi szervezet az eszkzeirl idertve az informatikai-s adatkommunikcis mkdshez kapcsold hardver s szoftver eszkzket, szemlyi hitelest eszkzket, stb. mszaki cl nyilvntartst vezet, amely rgzti legalbb az albbiakat:

    a) az eszkz megnevezse, tpusa, azonostja,

    b) elhelyezse trolsi helye, vagy mobil eszkzk esetben a birtokos szemlye,

    c) hardver konfigurci.

    5.1.2 Meghatrozza az egyes eszkzre telepthet szoftverek krt, s biztostja, hogy az egyes eszkzkn csak engedlyezett szoftverek legyenek teleptve,

    5.1.3 Biztostja az eszkzk szoftver konfigurcijnak brmikor trtn megllapthatsgt, illetve ennek hinyban az egyes eszkzkn teleptett szoftverekrl nyilvntartst vezet (lsd 3.9.1 fejezet),

    5.1.4 A kritikus zemeltetsi helyszneire belpsi jogosultsggal rendelkez szemlyeket azonostval ltja el, s a belpseket nyilvntartja,

    5.2 A biztonsgi rendszer vdelme

    A pnzgyi szervezetnek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodni kell az informatikai biztonsgi rendszer nvdelmt, kritikus elemei vdelmnek zrtsgt s teljes krsgt biztost ellenrzsekrl, eljrsokrl.26

    A pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    5.2.1 Internet felli adathlzati srlkenysg vizsglat (external network vulnerability scan) elvgzse s a kockzatokkal arnyosan megvlasztott szint feletti hibk kijavtsa, rendszeres idkznknt megismtelve, negyedvente legalbb egyszer,

    5.2.2 Internet fell elrhet web alkalmazsok srlkenysg vizsglata (web application vulnerability scan) elvgzse s a kockzatokkal arnyosan megvlasztott szint feletti hibk kijavtsa, zembe lltst megelzen, majd rendszeres idkznknt megismtelve, vente legalbb egyszer,

    25 Bit. 65/A. (5) a), Bszt.12. (6) a), Mpt.77/A. (5) a), pt.40/C. (5) a), Korm.r.3. (2) a)

    26 Bit. 65/A. (5) b), Bszt.12. (6) b), Mpt.77/A. (5) b), pt.40/C. (5) b), Korm.r.3. (2) b)

  • 23/37

    5.2.3 Adathlzati topolgia, a rendszerkomponensek vltoztatsaira, j eszkzk rendszerbe lltsra teljes kr vltozskezelsi eljrs mkdtetse, a vltozsok jvhagysnak a dokumentlsa,

    5.2.4 Valamennyi rendszerkomponens esetben a belltsok idszakos fellvizsglata, s a nem biztonsgos illetve szksgtelen szolgltatsok pl. szkriptek, driver-ek, portok, szervizek trlse illetve tiltsa.

    5.2.5 A biztonsgi javt csomagok figyelemmel ksrse, s az informatikai rendszer komponensekre s szoftverekre a kockzatoktl fggen, valamint elzetes teszt zemet kveten a gyrti javt csomagok installlsa, vagy ezt kivlt intzkeds megvalstsa s dokumentlsa.

    5.3 Felhasznli fikok adminisztrcija

    A pnzgyi szervezetnek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodni kell a rendszer szablyozott, ellenrizhet s rendszeresen ellenrztt felhasznli adminisztrcijrl (hozzfrsi szintek, egyedi jogosultsgok, engedlyezsk, felelssgi krk, hozzfrs naplzs, rendkvli esemnyek).27

    A pnzgyi szervezet az informatikai rendszernek hozzfrst felhasznli azonostk hasznlathoz kti, s a hasznlatot a felhasznli fikok kezelsnek rendjben szablyozza, s ide nem rtve az gyfelek home/internet oldali hozzfrst , annak kialaktsa sorn az albbiakat veszi figyelembe:

    5.3.1 A felhasznli fikok ltrehozsa, trlse (tiltsa), illetve mdostsa jvhagyott s dokumentlt mdon trtnik, az albbi irnyelvek szerint:

    a) j belp els szint felhasznli fikjnak a ltrehozst (pl. hlzati hozzfrst biztost felhasznli fikok), valamint alkalmazsi rendszerekben meglv felhasznli csoportba sorolt felhasznli fikok ltrehozst, illetve ezek trlst (tiltst) a munkahelyi vezet engedlyezi, a dolgozi felvtelrt felels (vezet vagy szakterlet) javaslatra vagy rtestse mellett,

    b) alkalmazsi rendszerekben meglv felhasznli fikok felhasznli csoportba vagy csoportokba sorolst, a besorolsok mdostst a munkahelyi vezet s az adatgazda egyttesen engedlyezi,

    c) brmilyen rendszerben j felhasznli csoport fik ltrehozst, illetve, meglv csoport fik jogosultsgainak a mdostst az adatgazda kezdemnyezi, s errl tjkoztatst kap az informatikai biztonsgi felels, amennyiben a pnzgyi szervezet az informatikai biztonsgi felels szerepkrt mkdteti,

    d) egyedi rendszer jogosultsggal rendelkez felhasznli fikok ltrehozst, valamint felhasznli fik egyedi rendszer jogosultsgainak vltoztatsval jr mdostst, a munkahelyi vezet s az adatgazda egyttesen engedlyezi, s az engedlyezsrl tjkoztatst kap az informatikai biztonsgi felels, amennyiben a pnzgyi szervezet az informatikai biztonsgi felels szerepkrt mkdteti.

    5.3.2 A felhasznli fik tvtelt kveten a felhasznl felels a felhasznli fik hasznlatrt, valamint a mindenkori jelsz kezelsrt.

    27 Bit. 65/A. (5) c), Bszt.12. (6) c), Mpt.77/A. (5) c), pt.40/C. (5) c), Korm.r.3. (2) c)

  • 24/37

    5.3.3 A pnzgyi szervezet a felhasznli fikok ltrehozsa s kiadsa sorn biztostja, hogy az a szemly vehesse birtokba a felhasznli fikot, akinek a rszre az ltre lett hozva, s az informatikai rendszeren belli vagy nll nyilvntarts vezetsvel - biztostja a felhasznli fikok s a fikok hasznlatrt felels felhasznlk egyrtelm egymshoz rendelst.

    5.3.4 Az informatikai rendszerekben mindenkor csak az engedlyezett felhasznli fikok aktvak, s a pnzgyi szervezet biztostja, hogy ennek ellenrzse nehzsg nlkl elvgezhet legyen.

    5.3.5 Felhasznli fikok tbbek ltali kzs hasznlata csak akkor lehetsges, ha a kzs hasznlat nem jelent vals zleti kockzatot, vagy a felhasznls ltal jelentett kockzatok elfogadsra kerltek, illetve ha a hasznl szemlye ms mdon pl. kiegszt kontrollokon keresztl - egyrtelmen azonosthat - pl. a felhasznli fik hasznlata szemlyes felhasznli fikkal trtn belpshez kttt, s az elrs naplzsra kerl, stb.

    5.3.6 Kiemelt felhasznli fikok valamint technikai felhasznli fikok esetben a pnzgyi szervezet megvizsglja a fikok interaktv hasznlatval vgezhet mveletek kockzatait, nyilvntartja a fikokat s azok felelseit, s a fikok hasznlatnak a feltteleit a kockzatokkal arnyosan alaktja ki. Jelents zleti kockzatot jelent esetekre biztostja, hogy legalbb kt szemly rszvtelre legyen szksg a felhasznli fik hasznlathoz, pl. a belps engedlyezst kt egymstl fggetlen jelsz megadshoz kti. A pnzgyi szervezet osztott jelszavak alkalmazsa esetben is biztostja az egyszemlyi felelssget s a szmon krhetsget.

    5.3.7 A jelsz szablyokat az egyes rendszerekben a felhasznli fik hasznlatnak kockzataival arnyosan hatrozza meg, ennek sorn a bank-, rtkpapr-, biztostsi-, pnztr- s zleti titkot tartalmaz kritikus rendszereknl a bels dolgozi hozzfrsek esetben az albbiakat alkalmazza:

    a) a jelsz komplex (tartalmaz pl. legalbb 2 kis- 2 nagybett, 2 szmot), s hosszsga legalbb 8 karakter,

    b) a felhasznli fikok jelszava maximum 90 napos automatikus lejrat,

    c) a legutoljra hasznlt 5 jelszra nem bellthat,

    d) azon technikai felhasznli azonostk esetben, amelyek letiltsa kritikus rendszerek mkdst meglltja, az automatikus lejratst nem alkalmazza, de azt 90 naponknt megvltoztatja s ennek ktelezettsgt elrja, illetve amennyiben a jelsz megvltoztatsa technolgiai okok miatt nem vagy csak nehezen lenne megvalsthat, a technikai felhasznli fik jelszava komplex (pl. legalbb 3 kis- 3 nagybett, 3 szmot tartalmaz), s hosszsga legalbb 12 karakter.

    5.3.8 A kritikus rendszerek esetben a felhasznli azonostval vgzett belps- kilps, jelszvltoztats esemnyek adatait kivve a jelszt - naplzza.

    5.3.9 Tvoli hozzfrsek esetben a felhasznli azonost hasznlata mellett legalbb mg egy tovbbi, a felhasznlt hitelest faktort pl. dinamikus kdot, tanstvnyt is hasznl.

    5.3.10 Amennyiben a pnzgyi szervezet PKI rendszert zemeltet s tanstvnyokat llt el, rendelkezik a kapcsold dokumentlt kulcskezelsi eljrssal.

    5.3.11 A vszhelyzeti elrs mdjt a felhasznli fikok kezelsnek rendjben dokumentlja, a vszhelyzetben elrhetv tett felhasznli fikokrl egysges nyilvntartst vezet, s a pnzgyi szervezet elvgzi a vszhelyzeti elrs megfelelsgnek idszakos ellenrzst.

  • 25/37

    5.4 Naplzsi rend, a bejegyzsek rtkelse s az esemnyek kezelse

    A pnzgyi szervezetnek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodni kell olyan biztonsgi krnyezetrl, amely az informatikai rendszer mkdse szempontjbl kritikus folyamatok esemnyeit naplzza s alkalmas e naplzs rendszeres (esetleg nmkd) s rdemi rtkelsre, illetve lehetsget nyjt a nem rendszeres esemnyek kezelsre.28

    A pnzgyi szervezet a kritikus rendszerei idertve az adathlzati eszkzket, az informatikai biztonsgi- s egyb felgyeleti rendszereket is naplzsi belltsait a rendszerek hozzfrsi rend dokumentumaiban, a napl bejegyzsek ellenrzsnek szablyait a naplzsi rendjben elrja, s a naplzst megvalstja az albbiak szerint:

    5.4.1 A pnzgyi szervezet, zemeltetsi, informatikai biztonsgi s zleti terlete egyttesen meghatrozzk, hogy az informatikai zemeltetsi infrastruktra s az zleti rendszerek terletn melyek azok az informatikai biztonsgi esemnyek, amelyeket szlelni szksges, valamint meghatrozza a detektls alapjt kpez feltteleket.

    5.4.2 A pnzgyi szervezet naplzsi rendjben elrja az egyes napl llomnyok ellenrzsnek mdjt, gyakorisgt, idpontjt, felelst, a beszmols mdjt, valamint meghatrozza a felgyelni kvnt esemnyeket, az rtestendk krt, az azonnali riaszts eseteit s mdjt.

    5.4.3 A pnzgyi szervezet biztostja az azonnali riasztst ignyl esemnyekre az azonnali reagls feltteleit.

    5.4.4 A biztonsgi incidensekrl s a beavatkozsokrl nyilvntartst vezet, ebben rgzti azok lnyeges tartalmt.

    5.4.5 Megfontolja, s kockzatai arnyban dnt a naplbejegyzsek kzponti gyjtsrl, valamint dnt a bejegyzsek kzponti opertori, illetve automatikus kirtkelsrl, a bevezetse sorn pedig tekintettel van az albbiakra:

    a) automatikus kirtkels elindtst megelzi teljes kr tesztels, s a sikeres tesztelst kveten elindtott les zem bevezetsig az opertori kirtkels vltozatlan formban fennmarad.

    5.5 Az adatok vdelme tvadattvitel sorn

    A pnzgyi intzmnynek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodni kell a tvadattvitel bizalmassgrl, srtetlensgrl s hitelessgrl.29

    A pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    A pnzgyi szervezet

    28 Bit. 65/A. (5) d), Bszt.12. (6) d), Mpt.77/A. (5) d), pt.40/C. (5) d), Korm.r.3. (2) d)

    29 Bit. 65/A. (5) e), Bszt.12. (6) e), Mpt.77/A. (5) e), pt.40/C. (5) e), Korm.r.3. (2) e)

  • 26/37

    5.5.1 bank-, rtkpapr-, biztostsi-, pnztr- s zleti titkok krbe tartoz adatot, tvoli hlzaton idertve a brelt vonalakkal kiptett magnhlzatokat is - csak rejtjelezett formban tovbbt,

    5.5.2 jelszavakat s egyb szemlyi hitelest adatokat tvoli hlzaton s loklis hlzaton is csak rejtjelezett formban tovbbt,

    5.5.3 kockzati szempontbl gyenge pontoknak tekinti azokat a WIFI vezetk nlkli hlzatokat, amelyeken bank-, rtkpapr-, biztostsi-, pnztr- s zleti titkok krbe tartoz adatot tovbbt, illetve amelyek a pnzgyi szervezet adathlzatra csatlakoznak,

    5.5.4 kritikus tranzakcis llomnyok hlzati tvitele sorn kriptogrfiai eljrssal biztostja az llomny srtetlensgnek az ellenrizhetsgt.

    5.6 Az adathordozk kezelse

    A pnzgyi intzmnynek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodnia kell az adathordozk szablyozott s biztonsgos kezelsrl.30

    A megvalsts sorn a pnzgyi szervezet szmra az albbiak figyelembe vtele javasolt:

    5.6.1 A pnzgyi szervezet megfontolja s kockzatai alapjn dntst hoz:

    a) az adathordozk kezelsre vonatkoz nll szablyozsi dokumentum elksztsrl,

    b) az adathordozk egyedi nyilvntartsnak a bevezetsrl.

    5.6.2 Az adathordozk kezelse sorn betartja az adathordozn trolt adatok bizalmassga szerinti biztonsgi osztlyra elrt kezelsi elrsokat (lsd 3.5.3 fejezet).

    5.6.3 Az adathordoz zembl val kivonsa esetn a bank-, rtkpapr-, biztostsi-, pnztr- s zleti titkot tartalmaz adatokat az adathordozkon visszallthatatlan mdon trli, az adathordozt olvashatatlann teszi, megsemmisti, illetve szolgltatval megsemmistteti.

    5.7 Vrusvdelem

    A pnzgyi szervezetnek a biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodni kell a rendszer biztonsgi kockzattal arnyos vrus- s ms rosszindulat program elleni vdelmrl.31

    A vrusvdelem kialaktsnak javasolt szempontjai:

    5.7.1 A pnzgyi szervezet informatikai rendszer elemein olyan integrlt vgponti biztonsgi programot mkdtet, amely alkalmas a vrusok s egyb krtkony kdok kiszrsre, valamint biztostja a program napraksz llapott, valamint naplzst. Olyan belltsok mellett zemelteti a szoftvert, amelyek biztostjk az automatikus frissts, valamint a teljes

    30 Bit. 65/A. (5) f), Bszt.12. (6) f), Mpt.77/A. (5) f), pt.40/C. (5) f), Korm.r.3. (2) f)

    31 Bit. 65/A. (5) g), Bszt.12. (6) g), Mpt.77/A. (5) g), pt.40/C. (5) g), Korm.r.3. (2) g)

  • 27/37

    ellenrzsek (full scan) rendszeres idszakonknt de legalbb heti egy alkalommal trtn elvgzst.

    5.7.2 A pnzgyi szervezet kzponti kezel fellettel rendelkez vgponti biztonsgi programot mkdtet.

    6 Az informatikai rendszer funkcionlis alkalmassgnak a kvetelmnye

    A pnzgyi szervezetnek tevkenysge elltshoz, nyilvntartsai napraksz- s biztonsgos vezetshez rendelkeznie kell a szolgltatsok elltshoz szksges informatikai rendszerrel. Szoftvereinek egyttesen alkalmasnak kell lennik legalbb a mkdshez szksges, s jogszablyban elrt adatok nyilvntartsra, zleti mkdsk adatainak a pnzgyi szervezet tevkenysgvel sszefgg orszgos informatikai rendszerekhez trtn kzvetlen vagy kzvetett csatlakozsra, a trolt adatok ellenrzsre, valamint a biztonsgi kockzattal arnyos logikai vdelemre s a srthetetlensg vdelmre.32

    A kvetelmnyek javasolt teljestse

    6.1.1 A pnzgyi szervezet alkalmazsi rendszerei eleget tesznek a vonatkoz pnzgyi-szmviteli jogszablyi elrsoknak, kiemelve, hogy

    a) a pnzgyi tranzakcikat idsorosan vezetik, s lezrt tranzakcik utlagos mdostst nem engedlyezik,

    b) az zleti s a biztonsggal kapcsolatos tranzakcikat egyarnt naplzzk,

    c) bels jogosultsgi rendszerk lehetv teszi a pnzgyi mveleteknek szerepkrk szerinti megosztst, az sszefrhetetlen szerepkrk elklntst, idertve a biztonsgi adminisztrcis s az zleti mveletek elklntst is.

    6.1.2 A pnzgyi szervezet az informatikai rendszert idben felkszti az orszgos rendszerek valamint a jogszablyi elrsok vltozsaira, az zleti ignyek teljestsre, s a tovbbfejlesztsek sorn mr a tervezs fzisban kitr a technolgiai tovbblps lehetsgeire, valamint figyelembe veszi az informatikai biztonsg idertve az zletfolytonossg kvetelmnyeit is.

    32 Bit. 65/A. (8), Bszt.12. (10), Mpt.77/A. (8), pt.40/C. (8), Korm.r.4. (2)

  • 28/37

    I. Mellklet

    Az egyes jogszablyi kontroll kvetelmnyekkel rintett COBIT, illetve MSZ ISO/IEC 27001:2006 fejezetek.

    Jogszablyi kontroll kvetelmny

    Szakterlet s folyamat

    megnevezse

    Folyamat megnevezse

    Tmakr

    megnevezse

    COBIT 4.0 COBIT 5.0 MSZ ISO/IEC 27001:2006

    Bit. 65/A. (1), Bszt.12. (1) (2), Mpt.77/A. (1), pt.40/C. (1), Korm.r.2. (1)

    A pnzgyi intzmnynek ki kell alaktania a tevkenysge elltshoz hasznlt informatikai rendszer biztonsgval kapcsolatos szablyozsi rendszert s gondoskodnia kell az informatikai rendszer kockzatokkal arnyos vdelmrl. A szablyozsi rendszerben meg kell hatrozni az informcitechnolgival szemben tmasztott kvetelmnyeket, a hasznlatbl add biztonsgi kockzatok felmrsre s kezelsre vonatkoz szablyokat az informatikai vllalatirnyts, a tervezs, a fejleszts s a beszerzs, valamint az zemeltets, a monitorozs s a fggetlen ellenrzs terletn.

    PO Tervezs s szervezet

    PO 6 Tjkoztats a vezeti clokrl s irnyrl

    APO01, APO007 5.1, 5.2.2, A.5, A.6, A.8

    AI Beszerzs s bevezets

    AI 1 Automatizlt megoldsok meghatrozsa

    BAI02 ---

    ME Figyelemmel ksrs s rtkels

    ME3 - Kls kvetelmnyeknek val megfelels biztostsa

    MEA03 6., A.15.1, A.15.3

    Bit.65/A. (2), Bszt.12. (3), Mpt.77/A. (2), pt.40/C. (2), Korm.r. 2. (2)

    A pnzgyi intzmny kteles az informatikai rendszer biztonsgi kockzatelemzst szksg szerint, de legalbb ktvente fellvizsglni s aktualizlni.

    PO Tervezs s szervezet

    PO 9 Az informatikai kockzatok felmrse s kezelse

    EDM03, APO01, APO12

    4.2.1-3, 4.3, 5.1, A.5, A.6

    Bit.65/A. (3), Bszt.12. (4), Mpt.77/A. (3), pt.40/C. (3), Korm.r. 2. (3)

    Az informatika alkalmazsbl fakad biztonsgi kockzatok figyelembevtelvel meg kell hatrozni a szervezeti s mkdsi rendeket, a felelssgi, nyilvntartsi s tjkoztatsi szablyokat, a folyamatba ptett ellenrzsi kvetelmnyeket s szablyokat.

    PO Tervezs s szervezet

    PO 4 Az informatikai folyamatok, szervezet s a kapcsolatok meghatrozsa

    APO01, APO07, APO11

    5.1, 5.2.2, A.5, A.6, A.8, 7.8

  • 29/37

    PO 7 Az informatikai humn erforrsok kezelse

    APO07 5.2.2, A.8

    Bit.65/A. (4), Bszt.12. (5), Mpt.77/A. (4), pt.40/C. (4), Korm.r. 3. (1)

    A pnzgyi intzmnynek ki kell dolgoznia az informatikai rendszernek biztonsgos mkdtetst felgyel informatikai ellenrz rendszert s azt folyamatosan mkdtetnie kell.

    ME Figyelemmel ksrs s rtkels

    M E1 Az informatika teljestmnynek figyelemmel ksrse s rtkelse

    MEA01 4.2.3, 4.2.4, 7.

    ME 2 A Bels irnytsi s ellenrzsi rendszer figyelemmel ksrse s rtkelse

    MEA02 4.2.3, 6., A.15.2

    M E3 Kls kvetelmnyeknek val megfelels biztostsa

    MEA03 6., A.15.1, A.15.3

    M E4 Az informatikai irnyts biztostsa

    EDM01-04, MEA02

    5.1, A.5, 7., 8., 4.2.1-3, 4.3, 5.2, A.6

    Bit.65/A. (5), Bszt.12. (6), Mpt.77/A. (5), pt.40/C. (5), Korm.r. 3. (2)

    A biztonsgi kockzatelemzs eredmnynek rtkelse alapjn a biztonsgi kockzattal arnyos mdon gondoskodni kell legalbb az albbiakrl:

    a) a rendszer legfontosabb elemeinek (eszkzk, folyamatok, szemlyek) egyrtelm s visszakereshet azonostsrl,

    DS Informatikai szolgltats s tmogats

    DS 9 Konfigurcikezels

    BAI10 ---

    b) az informatikai biztonsgi rendszer nvdelmt, kritikus elemei vdelmnek zrtsgt s teljes krsgt biztost ellenrzsekrl, eljrsokrl,

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    DS 12 A fizikai krnyezet biztostsa

    DSS01, DSS05 az egsz sztenderd, 4.2.2

    ME Figyelemmel ksrs s rtkels

    ME 2 A bels irnytsi s ellenrzsi rendszer figyelemmel ksrse s rtkelse

    MEA02 4.2.3, 6., A.15.2

  • 30/37

    c) a rendszer szablyozott, ellenrizhet s rendszeresen ellenrztt felhasznli adminisztrcijrl (hozzfrsi szintek, egyedi jogosultsgok, engedlyezsk, felelssgi krk, hozzfrs naplzs, rendkvli esemnyek),

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    DS 7 Felhasznlk oktatsa s kpzse

    APO07 5.2.2, A.8

    DS 8 A rendkvli esemnyek kezelse s a felhasznli tmogats mkdtetse

    DSS02 A.13

    d) olyan biztonsgi krnyezetrl, amely az informatikai rendszer mkdse szempontjbl kritikus folyamatok esemnyeit naplzza s alkalmas e naplzs rendszeres (esetleg nmkd) s rdemi rtkelsre, illetve lehetsget nyjt a nem rendszeres esemnyek kezelsre,

    AI Beszerzs s bevezets

    AI 2 Alkalmazsi szoftverek beszerzse s karbantartsa

    BAI03 A.12

    AI 3 Technolgiai infrastuktra beszerzse s karbantartsa

    BAI03 A.12

    AI 4 Az zemeltets s a hasznlat tmogatsa

    BAI05, BAI08 4.3

    DS Informatikai szolgltats s tmogats

    DS13 zemeltets irnytsa

    DSS01, DSS05, BAI09

    az egsz sztenderd, 4.2.2, A.7

    e) a tvadat-tvitel bizalmassgrl, srtetlensgrl s hitelessgrl,

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    f) az adathordozk szablyozott s biztonsgos kezelsrl,

    DS Informatikai szolgltats s tmogats

  • 31/37

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    g) a rendszer biztonsgi kockzattal arnyos vrusvdelmrl.

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    DS 9 Konfigurcikezels

    BAI10, DSS02 A.13

    Bit. 65/A. (6), Bszt.12. (7), Mpt.77/A. (6), pt.40/C. (6), Korm.r.3. (3)

    A pnzgyi intzmnynek tevkenysge elltshoz, nyilvntartsai napraksz s biztonsgos vezetshez meg kell valstania a biztonsgi kockzatelemzs alapjn indokolt vdelmi intzkedseket s rendelkeznie kell legalbb a kvetkezkkel:

    a) informatikai rendszernek mkdtetsre vonatkoz utastsokkal s elrsokkal, valamint a fejlesztsre vonatkoz tervekkel,

    PO Tervezs s szervezet

    PO1 Informatikai stratgiai terv kidolgozsa

    APO02, APO05, EDM02

    4.2.1, 7., 8.

    PO2 Informci-architektra meghatrozsa

    APO01, APO03 5.1, A.5, A.6

    PO 3 Technolgiai irny kijellse

    APO02, APO04, EDM01

    4.2.1, 5.1, A.5

    PO5 Informatikai beruhzsok irnytsa

    APO06, APO05 ---

    PO 10 Projektek irnytsa

    BAI01 ---

    DS Informatikai szolgltats s tmogats

    DS 13 zemeltets Irnytsa

    DSS01, DSS05, BAI09

    az egsz sztenderd, 4.2.2, A.7

    DS 6 Kltsgek azonostsa s felosztsa

    APO06 ---

    b) minden olyan dokumentcival, amely az zleti tevkenysget kzvetlenl vagy

    PO Tervezs s szervezet

  • 32/37

    kzvetve tmogat informatikai rendszerek folyamatos s biztonsgos mkdst - mg a szllt, illetleg a rendszerfejleszt tevkenysgnek megsznse utn is - biztostja,

    PO 8 Minsgirnyts

    APO11 7., 8.

    AI Beszerzs s bevezets

    AI5 Az informatikai erforrsok beszerzse

    BAI03, APO10 A.12, A.6.2

    DS Informatikai szolgltats s tmogats

    DS 2 Kls szolgltatsok ignybevtelnek irnytsa

    APO10 A.6.2

    DS 3 Teljestmny- s kapacitskezels

    BAI04 ---

    c) a szolgltatsok elltshoz szksges informatikai rendszerrel, valamint a szolgltatsok folytonossgt biztost tartalk berendezsekkel, illetve e berendezsek hinyban az ezeket helyettest egyb - a tevkenysgek, illetve szolgltatsok folytonossgt biztost - megoldsokkal,

    PO Tervezs s szervezet

    PO 1 Informatikai stratgiai terv meghatrozsa

    EDM02, APO02, APO05

    4.2.1, 7., 8.

    PO 2 Informci-architektra meghatrozsa

    APO01, APO02, APO03

    4.2.1, 5.1, A.5, A.6

    PO 5 Informatikai beruhzsok kezelse

    APO06 ---

    DS Informatikai szolgltats s tmogats

    DS 1 Szolgltatsi szintek meghatrozsa s betartsa

    APO09 ---

    DS 3 Teljestmny- s kapacitskezels

    BAI04 ---

    DS 4 A szolgltats folyamatossgnak biztostsa

    DSS04 4.2.4, 4.3, 8., A.14

    DS 10 Problmakezels

    DSS03 ---

    d) olyan informatikai rendszerrel, amely lehetv teszi az alkalmazsi krnyezet biztonsgos elklntst a fejlesztsi s tesztelsi krnyezettl, valamint a megfelel vltozskvets s vltozskezels fenntartst,

    AI Beszerzs s bevezets

    AI 7 Megoldsok s vltoztatsok zembe helyezse s bevizsglsa

    BAI05, BAI07 ---

  • 33/37

    AI 6 Vltozsok kezelse

    BAI06 ---

    e) az informatikai rendszer szoftver elemeirl (alkalmazsok, adatok, opercis rendszer s krnyezetk) olyan biztonsgi mentsekkel s mentsi renddel (mentsek tpusa, mdja, visszatltsi s helyrelltsi tesztek, eljrsi rend), amelyek az adott rendszer helyrellthatsgt a rendszer ltal nyjtott szolgltats kritikus helyrelltsi idejn bell lehetv teszik. Korm.r.3 (4), Tpt.12. (8): Ezen mentseket kockzati szempontbl elklntetten s tzbiztos mdon kell trolni, valamint gondoskodni kell a mentsek forrsrendszerrel azonos szint hozzfrs vdelmrl,

    DS Informatikai szolgltats s tmogats

    DS 4 A szolgltats folyamatossgnak biztostsa

    DSS04 4.2.4, 4.3.8, A.14

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    f) jogszablyban meghatrozott nyilvntarts ismtelt elhvsra alkalmas adattrol rendszerrel, amely biztostja, hogy az archivlt anyagokat a jogszablyokban meghatrozott ideig, de legalbb t vig, brmikor visszakeresheten, helyrellthatan megrizzk,

    DS Informatikai szolgltats s tmogats

    DS 4 A szolgltats folyamatossgnak biztostsa

    DSS04 4.2.4, 4.3, 8., A.14

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    g) a szolgltatsai folyamatossgt akadlyoz rendkvli esemnyek kezelsre szolgl tervvel.

    DS Informatikai szolgltats s tmogats

    DS1 Szolgltatsi szintek meghatrozsa s betartsa

    APO09 ---

    DS 4 A szolgltats folyamatossgnak biztostsa

    DSS04 4.2.4, 4.3, 8., A.14

    DS 10 Problmakezels

    DSS03 ---

    Bit. 65/A. (7), Bszt.12. (9), Mpt.77/A. (7), pt.40/C. (7) a), Korm.r.4 (1)

    A pnzgyi intzmnynl mindenkor rendelkezsre kell llnia:

    a) az ltala fejlesztett, megrendelsre ksztett informatikai rendszer felptsnek s mkdtetsnek az ellenrzshez szksges rendszerlersoknak s modelleknek,

    PO Tervezs s szervezet

    PO 2 Informci-architektra meghatrozsa

    APO01, APO03 5.1, A.5, A.6

  • 34/37

    PO 8 Minsgirnyts

    APO11 7., 8.

    AI Beszerzs s bevezets

    AI 1 Automatizlt megoldsok meghatrozsa

    BAI02 ---

    AI 2 Alkalmazsi szoftverek beszerzse s karbantartsa

    BAI03 A.12

    AI 4 Az zemeltets s hasznlat tmogatsa

    BAI05, BAI08 4.3

    b) az ltala fejlesztett, megrendelsre ksztett informatikai rendszernl az adatok szintaktikai szablyainak, az adatok trolsi szerkezetnek,

    PO Tervezs s szervezet

    PO 2 Informci-Architektra Meghatrozsa

    APO01, APO03 5.1, A.5, A.6

    AI Beszerzs s bevezets

    AI 1 Automatizlt megoldsok meghatrozsa

    BAI02 ---

    AI 2 Alkalmazsi szoftverek beszerzse s karbantartsa

    BAI03 A.12

    c) az informatikai rendszer elemeinek a pnzgyi intzmny ltal meghatrozott biztonsgi osztlyokba sorolsi rendszernek,

    PO Tervezs s szervezet

    PO 2 Informci-architektra meghatrozsa

    APO01, APO03 5.1, A.5, A.6

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    d) az adatokhoz trtn hozzfrsi rend meghatrozsnak,

    PO Tervezs s szervezet

    PO 2 Informci-architektra meghatrozsa

    APO01, APO03 5.1, A.5, A.6

  • 35/37

    PO 4 Az informatikai folyamatok, szervezet s kapcsolatok meghatrozsa

    APO01, APO07 5.1, 5.2.2, A.5, A.6, A.8

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    e) az adatgazda s a rendszergazda kijellst tartalmaz okiratnak,

    PO Tervezs s szervezet

    PO 4 Az informatikai folyamatok, szervezet s kapcsolatok meghatrozsa

    APO01, APO07 5.1, 5.2.2, A.5, A.6, A.8

    PO7 Az informatikai humn erforrsok kezelse

    APO07 5.2.2, A.8

    f) az alkalmazott szoftver eszkzk jogtisztasgt bizonyt szerzdseknek,

    PO Tervezs s szervezet

    PO 6 Tjkoztats a vezeti clokrl s irnyrl

    APO01, APO007 5.1, 5.2.2, A.5, A.6, A.8

    DS Informatikai szolgltats s tmogats

    DS 9 Konfigurcikezels

    BAI01, DSS02 A.13

    g) az informatikai rendszert alkot gyviteli, zleti szoftvereszkzk teljes kr s napraksz nyilvntartsnak.

    DS Informatikai szolgltats s tmogats

    DS 9 Konfigurcikezels

    BAI01, DSS02 A.13

    Bit. 65/A. (8), Bszt.12. (10), Mpt.77/A. (8), pt.40/C. (8), Korm.r.4. (2)

    A szoftvereknek egyttesen alkalmasnak kell lenni legalbb:

    a) a mkdshez szksges s jogszablyban elrt adatok nyilvntartsra,

    PO Tervezs s szervezet

    PO 1 Informatikai stratgiai terv meghatrozsa

    EDM02, APO02, APO05

    4.2.1, 7., 8.

  • 36/37

    PO 8 Minsgirnyts

    APO11 7., 8.

    AI Beszerzs s bevezets

    AI 7 A megoldsok s vltoztatsok zembe helyezse s bevizsglsa

    BAI05, BAI07 ---

    DS Informatikai szolgltats s tmogats

    DS 1 Szolgltatsi szintek meghatrozsa s betartsa

    APO09 ---

    ME Figyelemmel ksrs s rtkels

    ME3 - Kls kvetelmnyeknek val megfelels biztostsa

    MEA03 6., A.15.1, A.15.3

    b) a pnz s az rtkpaprok biztonsgos nyilvntartsra,

    DS Informatikai szolgltats s tmogats

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    c) a pnzgyi intzmny tevkenysgvel sszefgg orszgos informatikai rendszerekhez trtn kzvetlen vagy kzvetett csatlakozsra,

    AI Beszerzs s bevezets

    AI 2 Alkalmazsi szoftverek beszerzse s karbantartsa

    BAI03 A.12

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    d) a trolt adatok ellenrzshez val felhasznlsra

    AI Beszerzs s Bevezets

    AI 2 Alkalmazsi szoftverek beszerzse s karbantartsa

    BAI03 A.12

  • 37/37

    DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz sztenderd, A.13

    DS 11 Adatok kezelse

    DSS01, DSS04, DSS05, DSS06

    az egsz sztenderd, 4.2.2-4, 4.3, 8. A.14

    e) a biztonsgi kockzattal arnyos logikai vdelemre s a srthetetlensg vdelmre

    AI Beszerzs s bevezets

    AI 2 Alkalmazsi szoftverek beszerzse s karbantartsa

    BAI03 A.12

    . DS Informatikai szolgltats s tmogats

    DS 5 A rendszerek biztonsgnak megvalstsa

    APO13, DSS02, DSS05

    az egsz szte