Hogyan teljesíthetjük a HpT 13§B követelményeit Egy vállalati Compliance Adatbázis terve Dr Lőrincz István Associator Kft.

Slides:



Advertisements
Hasonló előadás
Térinformatika a Soproni Vízmű Rt. - nél Bódis Gábor Varga Ákos Sopron és Környéke Víz- és Csatornamű Rt.
Advertisements

E-BANKING SUMMIT március 3. Biztonságos kommunikáció biztosítása a pénzintézetek és a hatóságok között Szabó Katalin Termékmenedzsment osztályvezető.
A Végrehajtó Ügynökség, a pályáztatást támogató elektronikus rendszerek, valamint az elszámolhatóság főbb kérdéseinek bemutatása Németh Veronika – NFFKÜ.
A képzett szakemberekért SZMBK KERETRENDSZER 2.1. előadás.
Kocsis Tibor Kaposvár, március 01. Vállalatok K+F+I tevékenységének támogatása.
AZ ISKOLA–EGÉSZSÉG KÖZPONT – FORMA ÉS TARTALOM A TÁMOP KIEMELT PROJEKT KÖZNEVELÉSI ALPROJEKTJÉNEK CÉLJAI, A MEGVALÓSÍTÁS MÓDSZEREI ÉS A SZAKMAI.
1 VIII. VASÚTI PÁLYÁK TERVEZÉSÉTŐL A KIVITELEZÉSIG VASÚTI PÁLYÁS MÉRNÖKTOVÁBBKÉPZŐ Magyar Mérnöki Kamara Budapest, EU támogatású projektek.
IT hálózati biztonság a szabvány tükrében avagy az MSZ/ISO szabvány sorozat Harsán Péter szervező mérnök alapító tag Hétpecsét Információbiztonsági.
ISO 9001:2009 SZABVÁNYNAK MEGFELELŐ MINŐSÉGIRÁNYÍTÁSI RENDSZER 1 Minőségügy alapjai 2.
A képzett szakemberekért AZ ÖNÉRTÉKELÉS FOGALMA, LÉNYEGE, SZEREPE A MINŐSÉGFEJLESZTÉSBEN 3.2. előadás.
A MINŐSÉGFEJLESZTÉSI TERÜLET 2007 Menner Ákos. A minőségfejlesztés intézményi ritmusa Önértékelés 2006 Önértékelésből származó fejlesztési célkitűzések.
1 Az önértékelés mint projekt 6. előadás 1 2 Az előadás tartalmi elemei  A projekt fogalma  A projektek elemei  A projekt szervezete  Projektfázisok.
Dr. Szűcs Erzsébet Egészségfejlesztési Igazgatóság Igazgató Budapest, szeptember 29. ÚJ EGÉSZSÉGFEJLESZTÉSI HÁLÓZATOK KIALAKÍTÁSA ÉS MŰKÖDTETÉSE.
A KÖZBESZERZÉS JÖVŐJE május 26.. A KÖZBESZERZÉS JÖVŐJE Beszerzés vs. közbeszerzés Az új közbeszerzési törvény tükrében Willinger Kornél NVMT Elnökségi.
Egységes, központi elektronikus nyilvántartás jön létre a korábbi széttagolt, és egymással nem kompatibilis, adathiányos korszerűtlen nyilvántartások.
Iskolai információs rendszer. Alapkövetelmények Oktatási, nevelési intézmények részére fejlesztett Oktatási, nevelési intézmények részére fejlesztett.
A évi zárlati értekezleten sok szeretettel köszönti Önöket a 20 éves AUDIT SERVICE KFT.
Az események bejelentésének és kezelésének folyamata Nagy Zsigmond, balesetvizsgáló október 19.
Környezeti fenntarthatóság. A KÖRNYEZETI FENNTARTHATÓSÁG JELENTÉSE A HELYI GYAKORLATBAN Nevelőtestületi ülés,
Kiszervezés szolgáltatói szemmel Tóth Zoltán november 9.
EU pályázati programok A szervezet / változások 1.A pályázók adminisztrációs terheinek csökkentése a projektfejlesztési, pályázati szakaszban.
Szervezeteken átnyúló folyamatok biztonsága Harsán Péter szervezőmérnök.
8.BESZÁMOLÁSI ÉS KÖNYVVEZETÉSI KÖTELEZETTSÉG SZÁMVITELI SZOLGÁLTATÁS.
Az Európai Unió fogyatékosügyi stratégiája Szombathely, június 22.
BEST-INVEST Független Biztosításközvetítő Kft.. Összes biztosítási díjbevétel 2004 (600 Mrd Ft)
Az állami köznevelési közfeladat-ellátás
Palotás József elnök Felnőttképzési Szakértők Országos Egyesülete
A szerkezetátalakítási programban bekövetkezett változások
Fenntartható utak Jogi Bizottság
Kína üzleti szemmel június 24..
Tájékoztató a Magyar Nemzeti Vidéki Hálózatról
Egészségügyi Menedzserképző Központ
A rehabilitációt segítő támogatások, jogszabályi változások
A víziközmű-szolgáltatásról szóló évi CCIX
ŐRSÉGI TÖBBCÉLÚ KISTÉRSÉGI TÁRSULÁS
Jogszabályi és hatósági támogatás az elektronikus számlázáshoz
Szupergyors Internet Program (SZIP) Jogi akadálymentesítés megvalósítása: Jogalkotással is támogatjuk a fejlesztéseket dr. Pócza András főosztályvezető.
Foglalkoztatási Paktumok az EU-ban
K+F+I pályázati lehetőségek vállalkozásoknak!

Az iskolai könyvtár szolgáltatás típusai
Magyar Tudományos Művek Tára
A cégvezetők problémái az informatikával kapcsolatban
Kommunikáció a könyvvizsgálatban
Követelményelemzés Cél: A rendszer tervezése, a feladatok leosztása.
CSOPORT - A minőségellenőrök egy megfelelő csoportja
A kiváltást tervezők / megvalósítók és Az fszk TÁRS projektje közti együttműködés rendszere EFOP VEKOP TÁRS projekt.
A földrajzi kísérletek szervezése és végrehajtása
Integrált Közösségi Szolgáltató Tér
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1
Nemeskocs Község Önkormányzatának Településkép-védelmi Rendelete
Önfeledt játék a biztonság tudatában
Cipész, maradj a kaptafánál!
CONTROLLING ÉS TELJESÍTMÉNYMENEDZSMENT DEBRECENI EGYETEM
Tájékoztató az Önkormányzati ASP Projektről
Compliance és Corporate Governance
Tevékenységünk Célunk P92rdi Kft - p92rdi.hu Kutatás (Research)
Környezeti Kontrolling
Szabványok, normák, ami az ÉMI minősítési rendszerei mögött van
SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL I. HELYZETFELMÉRŐ SZINT FOLYAMATA 8
Kérdőív a Pénzmosás és terrorizmus finanszírozása megelőzésének és megakadályozásának ellenőrzésére Készítette: Dancsné Veres Mária 2/24/2019.
Az állami tulajdonú társaságok számvevőszéki ellenőrzésének tapasztalatai Előadó: dr. Nagy Imre felügyeleti vezető Budapest, szeptember 27.
SZAKMAI CÉLKITŰZÉSEK,TEVÉKENYSÉGEK
SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL I. HELYZETFELMÉRŐ SZINT FOLYAMATA 7
Az MKET új stratégiája – Szolgáltató MKET
A részekre bontás tilalma és annak gyakorlati alkalmazása
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
A SIKERTELENSÉG NÉHÁNY OKA
Kórházi és ágazati gazdálkodást érintő informatikai fejlesztések és az azokban rejlő lehetőségek Horváth Tamás Vezérigazgató CompuTREND Zrt.
KONFERENCIA Adminisztráció Óvári Márta
Előadás másolata:

Hogyan teljesíthetjük a HpT 13§B követelményeit Egy vállalati Compliance Adatbázis terve Dr Lőrincz István Associator Kft.

2 A törvény I/III. 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…) 13.§ Informatikai rendszer védelme 13/B. § (1) …biztonsági kockázatok felmérésére és kezelésére a tervezés, beszerzés, az üzemeltetés és az ellenőrzés területén… (2) A pénzügyi intézmény köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. (5) … gondoskodni kell: a) a rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosításáról, b) a rendszer…adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelőségi körök…)

3 A törvény II/III. 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását 13.§ Informatikai rendszer védelme (6) A pénzügyi intézménynek… meg kell valósítania a védelmi intézkedéseket, és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését… biztosítja, d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását

4 A törvény III/III. 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának 13.§ Informatikai rendszer védelme (7) a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályba sorolási rendszerének d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftver- eszközök teljes körű és naprakész nyilvántartásának

5 Tehát, mi az, aminek meg kell felelni: A Kockázatelemző tevékenység követhetővé tétele A rendszer elemek egyértelmű azonosítása A rendszer elemek biztonsági osztályba sorolása Az „Auditor” tükrözze az intézmény „hozzáférési modelljét?!” (függetlenül a beszállítók sokfélesé- gétől), a jogosultságokat, az engedélyezést, a felelőségeket, az eseményeket. Személyesség, Felelősség- vállalás, Időszerűség minden nyilvántartott vonatkozásról Megbízhatóság Alkalmazáskezelés

6 Hogyan közelítettük meg a feladatot? 1.Legyen folyamatelvű (koncentrálva az audit- folyamatra) 2.Az elemei között szerepeljen a szervezet külső és belső környezete (Üzleti, szervezeti, informatikai környezet) 3.Legyen dokumentáló eszköz 4.Legyen adatbáziselvű 5.Az egyes változások legyenek vissza- követhetők (Folyamatos naplózás)

7 Hogyan közelítettük meg a feladatot? 6.Az adatbázis legyen képes leírni a vállalat egyes objektumainak: Állapotát (lásd: Objektum állapot modell”) Egyértelmű azonosítását Kockázati besorolását Védelmi igényét / jogosultságát Tulajdonosát / gazdáját Általános leírását Kapcsolatrendszerét 7.Legyen dinamikusan, egyszerűen kezelhető („auditor központú”)

8 A Compliance adatbázis objektumok bemutatása

9 Üzleti folyamatok Adatbázis jellemzők: - Verzió - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Típus - Részfolyamatok - Jellemzés

10 Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Védelmi szint - Jogosultság - Napló Általános jellemzők: - Név - Vezető / Helyettes - Elérhetőségek - Jellemzés Szervezeti egység

11 Partnerek Adatbázis jellemzők: - Verzió - Típus - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Elérhetőségek - Jellemzés

12 Alkalmazások Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda és egyéb felelősök - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Jellemzés

13 Futtató környezetek Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda és egyéb felelősök - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Jellemzés

14 Kommunikációs kapcsolatok Adatbázis jellemzők: - Verzió - Osztályozók - Adatbázis gazda és egyéb felelősök - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Jellemzés

15 Dokumentum címke Adatbázis jellemzők: - Verzió - Típus - Iktatószám - Csatolt dokumentumok - Adatbázis gazda - Utolsó Karbantartás - Kapcsolatok - Dátum „Audit” jellemzők: - Állapot - Kockázati besorolás - Védelmi szint - Napló Általános jellemzők: - Név - Érvényesség - Lejárat - Jellemzés

16 Terv Archív Teszt Aktív Befogadás Üzembe helyezés Kivonás Újra aktíválás Verzió előkészítés Kényszerű Üzembe helyezés Objektumok állapotai

17 Alkalmazások Kommunikáció Biztonsági leírások Objektum kapcsolat modell Üzleti folyamatok Partnerek Személy Szervezet Futtató környezetek Dokumentum címke

18 Védelmi szint Jogosultságok Audit szempontok Alkalmazások Futtató környezetek Kommunikáció Üzleti folyamatok Partnerek Személy Szervezet Dokumentum címke Kockázati besorolás

19 Köszönjük a figyelmüket Associator Kft. - Codebase Kft.