Biztosításfelügyeleti szakmai konzultáció

Slides:



Advertisements
Hasonló előadás
A veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezés szabályai (Seveso II.) - polgármesterek felkészítése Lakossági tájékoztatás A lakosság.
Advertisements

Az államháztartási belső pénzügyi ellenőrzési rendszer fejlesztése
Információbiztonság irányítása
AKTUÁLIS FELADATOK A TANÜGYIGAZGATÁSBAN
Szervezetfejlesztési Program
Humán rendszerek, közszféra
Készítette: Dr. Szabó Péter Főosztályvezető
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
A BIZTONSÁGI INTÉZKEDÉSEK Jogszabályi háttér
A polgári védelmi tervezés Jogszabályi háttér § §1949. évi XX. törvény a Magyar Köztársaság Alkotmánya § §1996. évi XXXVII. törvény a polgári védelemről.
Vizsgálati tapasztalatok a kötelező gépjármű- felelősségbiztosítás és a befektetési egységekhez kötött életbiztosítások területén Konzultáció biztosítók.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
A környezetvédelem intézményrendszere
10. Tétel.
A felelős műszaki vezetőkre vonatkozó szabályok változása A munkavédelem időszerű kérdései a bányászatban és a gáziparban konferencia Visegrád november.
BEMSZ szakosztályi előadás
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
Szervezetfejlesztési Program
Az első lépések Dr. Kadocsa Ildikó, osztályvezető
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
A belső kontroll rendszer hatékony működtetése
MNB – Felügyeleti integráció
MNB felügyeleti integráció
Biztosítók irányítási rendszere
Holczinger Norbert aktuárius MNB - Biztosításfelügyeleti főosztály
Budapest, december 9. 1 A könyvvizsgálói közfelügyelet szerepe és a Közfelügyeleti Bizottság tevékenysége ben Fekete Imréné.
Lakosságriasztás a médiaszolgáltatók közreműködésével
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
MUNKÁLTATÓ ÉS AZ ÜZEMI TANÁCS KAPCSOLATA (Mt. 267.§)
1 NÉHÁNY GONDOLAT AZ (INTÉZMÉNY) AKKREDITÁCIÓ MINŐSÉGBIZTOSÍTÁSSAL KAPCSOLATOS KÉRDÉSEIRŐL Dr. Veress Gábor egyetemi tanár MAB, január 22.
SOX audit lépései, elvárások a CIO-val szemben
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
A pénzügyi felügyelés fő irányai Európában Dr. Szász Károly elnök Új kihívások előtt a biztosítási piacok A Magyar Biztosítók Szövetségének I. Biztosítási.
1 A személyi jövedelemadó 1 %-ának kiutalása, felhasználás elszámolása.
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
Előadó: Bellovicz Gyula igazságügyi szakértő
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Anyagvizsgálat a Gyakorlatban 7. Szakmai Szeminárium Tóth Péter MVM Paks II. Atomerőmű fejlesztő ZRt. Nukleáris Osztály VII. AGY, Új atomerőművek.
Aktuális jogszabályváltozások a szénhidrogén kutatás és termelés vonatkozásában Utasiné dr. Győri Andrea Közigazgatási tanácsadó Utasiné dr. Győri Andrea.
Ellenőrzés, karbantartás, felülvizsgálat
2014. június 12. Lackó Péter Clarity
Belső ellenőrzés az önkormányzatoknál
Könyvtári fejlesztési koncepció a községekben, megvalósítási lehetőségek Dr. Kenyéri Katalin NKÖM Könyvtári Főosztálya 2005.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Szabályozási módszerek Bándi Gyula. A módszertanok rendje Szektorális vagy integrált  az aktuális jogszabály  A jog és állam A környezethasználat beavatkozásaelfogadható.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Az önkormányzati cégek és önkormányzat közötti szerződéses kapcsolatok vizsgálata és az önkormányzati feladatellátást szabályozó külső szerződések rendszere.
A Bit módosítása évi LXXXVI. tv június január január 1.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Szanálási tervek, szanálhatósági vizsgálatok
Stipkovits István ISZ auditor SGS Hungária Kft.
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
1/25 Informatikával kapcsolatos elvárások és jogszabályváltozások a pénztáraknál Budapest, január 18. Kirner Attila Főosztályvezető PSZÁF Informatika.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
40/2006. (VI. 26.) GKM rendelet BIZTONSÁGI JELENTÉS & ÉVES BESZÁMOLÓ.
Helyszíni ellenőrzés Grigely Győző, KDRFÜ. Az ellenőrzés jogi háttere Támogatási Szerződés, ÁSZF 10. pont „Kedvezményezett a Szerződés aláírásával kötelezettséget.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Biztonsági követelmények a beszállítókkal szemben
Nemzeti Energetikusi Hálózat
A JOGSZERŰ ELLENŐRZÉSEK MIKÉNTJE A MUNKAHELYEN
Az informatikai biztonság irányításának követelményrendszere (IBIK)
MUNKAVÉDELMI ELLENŐRZÉS ZÖKKENŐMENTESEN? munkabiztonsági szakmérnök
Megfelelőség értékelés a jogi szabályozása, terméktanúsítás kijelölés alapján HTE Informatikai terméktanúsítási szakosztály - DMS Labor április 25.
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Előadás másolata:

Biztosításfelügyeleti szakmai konzultáció Gajdosné Sági Katalin Informatika felügyeleti önálló osztály Az IT biztonsági kontrollrendszer fejlesztése a jogszabályi változásokhoz kapcsolódóan 2014. április 15.

A jogszabály változása A Bit. 65.§ jelenleg A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: b) folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer; c) a tevékenység végzésére alkalmas technikai, informatikai, műszaki, biztonsági felszereltség és helyiség; d) a megbízható és körültekintő működésnek megfelelő belső szabályzatok; e) a működési kockázatok csökkentését szolgáló információs és ellenőrzési eljárások és rendszerek, valamint a rendkívüli helyzetek kezelésére vonatkozó terv.

A jogszabály változása Bit. 65/A.§ 2015. január 1-től A korábbi Hpt. 13/C.§-ának az informatikai rendszer védelméről szóló része bekerült a törvénybe. A kiszervezésre vonatkozó változások 2014. július 1-től 76.§ (5) A biztosító előzetesen írásbeli kiszervezési politikát dolgoz ki, amely figyelembe veszi a kiszervezés hatását a biztosító tevékenységére, továbbá a kiszervezés során alkalmazandó beszámolási és ellenőrzési eljárásokat. 77.§ (4) d) … a kiszervezett tevékenységet végző - figyelembe véve a kiszervezett feladatköröket és tevékenységeket is - rendelkezzen a veszélyhelyzetek és az üzletviteli fennakadások kezelésére alkalmas megfelelő készenléti tervekkel, és amennyiben szükséges, a kiszervezett tevékenységet végző rendszeresen tesztelje a tartalék rendszereket.

A jogszabály változása 77.§ (10) Amennyiben a biztosító és a kiszervezett tevékenységet végző ugyanazon tulajdonosi csoport tagjai, a biztosító a kiemelten fontos feladatkörök vagy tevékenységek kiszervezésénél a (9) bekezdésben meghatározott követelményeken felül köteles figyelembe venni, hogy a biztosító milyen mértékben ellenőrzi a kiszervezett tevékenységet végzőt vagy képes befolyásolni annak tevékenységeit. 78.§ (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell legalább: h) azt, hogy a biztosító tájékoztatást kérhet a kiszervezett tevékenységekről és utasításokat adhat a kiszervezett tevékenységek és feladatkörök tekintetében;

A jogszabály változása A biztosítók irányítási rendszerével kapcsolatosan 91/D.§ (2) A biztosító olyan üzletmenet-folytonossági szabályzatot hoz létre, vezet be és tart fenn, amely biztosítja, hogy a rendszerekben és eljárásokban bekövetkező megszakítás esetén is meg tudja őrizni a nélkülözhetetlen adatokat és feladatköröket, és fenn tudja tartani a biztosítási és viszontbiztosítási tevékenységeket, és amennyiben ez nem lehetséges, a szabályzatnak biztosítania kell, hogy a biztosító időben helyre tudja állítani az ilyen adatokat és feladatköröket, annak érdekében, hogy mielőbb folytatni tudja a biztosítási vagy viszontbiztosítási tevékenységeket.

Mi változik az informatikai vizsgálatokban?

Fókuszpontok Kockázatelemzés Bit. 65/A. § (2) A biztosító köteles az informatikai rendszer kockázatokkal arányos védelmének biztosítása céljából az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Jellemző problémák: nincs szabályozás; nincs módszertan; nem történik meg az elemzés; nincs javaslat a kockázatok csökkentésére; nem készül intézkedési terv (felelős, határidő); nincs vezetői testületi jóváhagyás (maradék kockázatok vállalása); nem követik az intézkedési terv megvalósítását.

Fókuszpontok Üzletmenet folytonosság és katasztrófa elhárítás (BCP/DRP) Bit. 65/A. § (6) A biztosítónak … rendelkeznie kell a felmerülő kockázatokkal arányos mértékben legalább a következőkkel: c) … a szolgáltatások folytonosságát biztosító tartalék berendezésekkel vagy ezek hiányában az ezeket helyettesítő egyéb - a tevékenységek, szolgáltatások folytonosságát biztosító - megoldásokkal; e) az informatikai rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan biztonsági mentésekkel és mentési renddel (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehetővé teszik; g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel.

Fókuszpontok Jellemző problémák: hiányzó, vagy hiányos vagy nem aktuális a BCP és DRP; kritikus folyamatok meghatározása hiányzik; kritikus folyamatok összerendelése a rendszerekkel és a hardver eszközökkel nincs, vagy hiányos; üzletileg elfogadható kiesési idő (RTO) meghatározása nem történik meg, nincs összehangolva az IT által vállat helyreállítási idővel; tesztelési terv nincs, vagy hiányos; a tesztelés nem valósághű (életszerű) esetekre vonatkozik (hirtelen leállás tesztelése); tesztelési jegyzőkönyv nem készül, vagy hiányos; nem gondoskodnak a tervek rendszeres oktatásáról és teszteléséről.

Fókuszpontok Jogosultságkezelés 65/A.§ (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események); Jellemző problémák: nem megfelelő igénylési folyamat (adatgazdák); nincs nyilvántartás, vagy hiányosak az igénylések; nincs szoftveres támogatás; nincs rendszeres ellenőrzés (engedélyezett és beállított összevetése) a nyilvántartás nem terjed ki a magas jogosultságú és a technikai azonosítókra.

Fókuszpontok Fejlesztés, változáskezelés 65/A.§ (6) d) A Biztosítónak tevékenysége ellátásához … rendelkeznie kell a felmerülő kockázatokkal arányos mértékben legalább a következőkkel: olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és a tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását; Jellemző problémák: Nincs változásmenedzser, nincs feladatmegosztás az üzlet, a fejlesztés és a rendszergazda között. A változások kezelése nem dokumentált, nem ellenőrzött és nem ellenőrizhető.

Módszertani anyagok 1/2013. számú útmutató az informatikai rendszer védelméről 7/2011. számú módszertani útmutató az internetbanki szolgáltatások biztonságáról 4/2012. számú vezetői körlevél a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról

Köszönöm a figyelmet!