Biztosításfelügyeleti szakmai konzultáció Gajdosné Sági Katalin Informatika felügyeleti önálló osztály Az IT biztonsági kontrollrendszer fejlesztése a jogszabályi változásokhoz kapcsolódóan 2014. április 15.
A jogszabály változása A Bit. 65.§ jelenleg A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: b) folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer; c) a tevékenység végzésére alkalmas technikai, informatikai, műszaki, biztonsági felszereltség és helyiség; d) a megbízható és körültekintő működésnek megfelelő belső szabályzatok; e) a működési kockázatok csökkentését szolgáló információs és ellenőrzési eljárások és rendszerek, valamint a rendkívüli helyzetek kezelésére vonatkozó terv.
A jogszabály változása Bit. 65/A.§ 2015. január 1-től A korábbi Hpt. 13/C.§-ának az informatikai rendszer védelméről szóló része bekerült a törvénybe. A kiszervezésre vonatkozó változások 2014. július 1-től 76.§ (5) A biztosító előzetesen írásbeli kiszervezési politikát dolgoz ki, amely figyelembe veszi a kiszervezés hatását a biztosító tevékenységére, továbbá a kiszervezés során alkalmazandó beszámolási és ellenőrzési eljárásokat. 77.§ (4) d) … a kiszervezett tevékenységet végző - figyelembe véve a kiszervezett feladatköröket és tevékenységeket is - rendelkezzen a veszélyhelyzetek és az üzletviteli fennakadások kezelésére alkalmas megfelelő készenléti tervekkel, és amennyiben szükséges, a kiszervezett tevékenységet végző rendszeresen tesztelje a tartalék rendszereket.
A jogszabály változása 77.§ (10) Amennyiben a biztosító és a kiszervezett tevékenységet végző ugyanazon tulajdonosi csoport tagjai, a biztosító a kiemelten fontos feladatkörök vagy tevékenységek kiszervezésénél a (9) bekezdésben meghatározott követelményeken felül köteles figyelembe venni, hogy a biztosító milyen mértékben ellenőrzi a kiszervezett tevékenységet végzőt vagy képes befolyásolni annak tevékenységeit. 78.§ (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell legalább: h) azt, hogy a biztosító tájékoztatást kérhet a kiszervezett tevékenységekről és utasításokat adhat a kiszervezett tevékenységek és feladatkörök tekintetében;
A jogszabály változása A biztosítók irányítási rendszerével kapcsolatosan 91/D.§ (2) A biztosító olyan üzletmenet-folytonossági szabályzatot hoz létre, vezet be és tart fenn, amely biztosítja, hogy a rendszerekben és eljárásokban bekövetkező megszakítás esetén is meg tudja őrizni a nélkülözhetetlen adatokat és feladatköröket, és fenn tudja tartani a biztosítási és viszontbiztosítási tevékenységeket, és amennyiben ez nem lehetséges, a szabályzatnak biztosítania kell, hogy a biztosító időben helyre tudja állítani az ilyen adatokat és feladatköröket, annak érdekében, hogy mielőbb folytatni tudja a biztosítási vagy viszontbiztosítási tevékenységeket.
Mi változik az informatikai vizsgálatokban?
Fókuszpontok Kockázatelemzés Bit. 65/A. § (2) A biztosító köteles az informatikai rendszer kockázatokkal arányos védelmének biztosítása céljából az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Jellemző problémák: nincs szabályozás; nincs módszertan; nem történik meg az elemzés; nincs javaslat a kockázatok csökkentésére; nem készül intézkedési terv (felelős, határidő); nincs vezetői testületi jóváhagyás (maradék kockázatok vállalása); nem követik az intézkedési terv megvalósítását.
Fókuszpontok Üzletmenet folytonosság és katasztrófa elhárítás (BCP/DRP) Bit. 65/A. § (6) A biztosítónak … rendelkeznie kell a felmerülő kockázatokkal arányos mértékben legalább a következőkkel: c) … a szolgáltatások folytonosságát biztosító tartalék berendezésekkel vagy ezek hiányában az ezeket helyettesítő egyéb - a tevékenységek, szolgáltatások folytonosságát biztosító - megoldásokkal; e) az informatikai rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan biztonsági mentésekkel és mentési renddel (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehetővé teszik; g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel.
Fókuszpontok Jellemző problémák: hiányzó, vagy hiányos vagy nem aktuális a BCP és DRP; kritikus folyamatok meghatározása hiányzik; kritikus folyamatok összerendelése a rendszerekkel és a hardver eszközökkel nincs, vagy hiányos; üzletileg elfogadható kiesési idő (RTO) meghatározása nem történik meg, nincs összehangolva az IT által vállat helyreállítási idővel; tesztelési terv nincs, vagy hiányos; a tesztelés nem valósághű (életszerű) esetekre vonatkozik (hirtelen leállás tesztelése); tesztelési jegyzőkönyv nem készül, vagy hiányos; nem gondoskodnak a tervek rendszeres oktatásáról és teszteléséről.
Fókuszpontok Jogosultságkezelés 65/A.§ (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események); Jellemző problémák: nem megfelelő igénylési folyamat (adatgazdák); nincs nyilvántartás, vagy hiányosak az igénylések; nincs szoftveres támogatás; nincs rendszeres ellenőrzés (engedélyezett és beállított összevetése) a nyilvántartás nem terjed ki a magas jogosultságú és a technikai azonosítókra.
Fókuszpontok Fejlesztés, változáskezelés 65/A.§ (6) d) A Biztosítónak tevékenysége ellátásához … rendelkeznie kell a felmerülő kockázatokkal arányos mértékben legalább a következőkkel: olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és a tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását; Jellemző problémák: Nincs változásmenedzser, nincs feladatmegosztás az üzlet, a fejlesztés és a rendszergazda között. A változások kezelése nem dokumentált, nem ellenőrzött és nem ellenőrizhető.
Módszertani anyagok 1/2013. számú útmutató az informatikai rendszer védelméről 7/2011. számú módszertani útmutató az internetbanki szolgáltatások biztonságáról 4/2012. számú vezetői körlevél a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról
Köszönöm a figyelmet!