Hogyan teljesíthetjük a HpT 13§B követelményeit Egy vállalati Compliance Adatbázis terve Dr Lőrincz István Associator Kft.
2 A törvény I/III. 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…)
3 A törvény II/III. 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását
4 A törvény III/III. 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának
5 Tehát, mi az, aminek meg kell felelni: A Kockázatelemző tevékenység követhetővé tétele A rendszer elemek egyértelmű azonosítása A rendszer elemek biztonsági osztályba sorolása Az „Auditor” tükrözze az intézmény „hozzáférési modelljét?!” (függetlenül a beszállítók sokfélesé- gétől), a jogosultságokat, az engedélyezést, a felelőségeket, az eseményeket. Személyesség, Felelősség- vállalás, Időszerűség minden nyilvántartott vonatkozásról Megbízhatóság Alkalmazáskezelés
6 Hogyan közelítettük meg a feladatot? 1.Legyen folyamatelvű (koncentrálva az audit- folyamatra) 2.Az elemei között szerepeljen a szervezet külső és belső környezete (Üzleti, szervezeti, informatikai környezet) 3.Legyen dokumentáló eszköz 4.Legyen adatbáziselvű 5.Az egyes változások legyenek vissza- követhetők (Folyamatos naplózás)
7 Hogyan közelítettük meg a feladatot? 6.Az adatbázis legyen képes leírni a vállalat egyes objektumainak: Állapotát (lásd: Objektum állapot modell”) Egyértelmű azonosítását Kockázati besorolását Védelmi igényét / jogosultságát Tulajdonosát / gazdáját Általános leírását Kapcsolatrendszerét 7.Legyen dinamikusan, egyszerűen kezelhető („auditor központú”)
8 A Compliance adatbázis objektumok bemutatása
9 Üzleti folyamatok Adatbázis jellemzők: - Verzió - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Típus - Részfolyamatok - Jellemzés
10 Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Védelmi szint - Jogosultság - Napló Általános jellemzők: - Név - Vezető / Helyettes - Elérhetőségek - Jellemzés Szervezeti egység
11 Partnerek Adatbázis jellemzők: - Verzió - Típus - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Elérhetőségek - Jellemzés
12 Alkalmazások Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda és egyéb felelősök - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Jellemzés
13 Futtató környezetek Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda és egyéb felelősök - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Jellemzés
14 Kommunikációs kapcsolatok Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda és egyéb felelősök - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Jellemzés
15 Dokumentum címke Adatbázis jellemzők: - Verzió - Típus - Iktatószám - Csatolt dokumentumok - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Lejárat - Jellemzés
16 Terv Archív Teszt Aktív Befogadás Üzembe helyezés Kivonás Újra aktíválás Verzió előkészítés Kényszerű Üzembe helyezés Objektumok állapotai
17 Alkalmazások Kommunikáció Biztonsági leírások Objektum kapcsolat modell Üzleti folyamatok Partnerek Személy Szervezet Futtató környezetek Dokumentum címke
18 Védelmi szint Jogosultságok Audit szempontok Alkalmazások Futtató környezetek Kommunikáció Üzleti folyamatok Partnerek Személy Szervezet Dokumentum címke Kockázati besorolás
19 Köszönjük a figyelmüket Associator Kft. - Codebase Kft.