1/25 Informatikával kapcsolatos elvárások és jogszabályváltozások a pénztáraknál Budapest, 2006. január 18. Kirner Attila Főosztályvezető PSZÁF Informatika.

Slides:



Advertisements
Hasonló előadás
Az államháztartási belső pénzügyi ellenőrzési rendszer fejlesztése
Advertisements

Az új Pmt. alkalmazásának gyakorlati tapasztalatai és az ebből fakadó felügyeleti feladatok Kriminálexpo április 16. Kérdő Gyula PSZÁF.
Humán rendszerek, közszféra
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
BEFEKTETÉSI ALAPOK - FŐBB JELLEMZŐK
Információbiztonság a Magyar Köztársaság közigazgatásában dr
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
DOKUMENTUMKEZELÉS.
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
A FOLYAMATBA ÉPÍTETT ELLENŐRZÉS JELLEMZŐI
Minőségirányítás a felsőoktatásban
Állam munkavédelmi feladatai
Szoftverminőség biztosítása
Az első lépések Dr. Kadocsa Ildikó, osztályvezető
Konzulens: Dr. Boda György Készítette: Kovács Katalin
A belső kontroll rendszer hatékony működtetése
Biztosításfelügyeleti szakmai konzultáció
MNB felügyeleti integráció
Biztosítók irányítási rendszere
1 MER ellenőrzés ek egységes értelmezése Budapest, szeptember 5. Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Munkahelyi egészség és biztonság
7. hét: Az EN ISO 14001:2005 KIR szabvány
HEFOP hét: az ISO 9001:2008-es szabványnak megfelelő minőségirányítási rendszer II. rész A diákhoz itt kellene beszúrni a tanári magyarázatokat.
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
A belső kontrollok és kockázatelemzés az Integritás felmérés alapján
Az adatbiztonság fizikai biztonsági vetülete
SOX audit lépései, elvárások a CIO-val szemben
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Szabályozási reform – az intézményrendszer és a járadékszabályozás továbbfejlesztése Szikszainé dr. Bérces Anna PM, főosztályvezető Pénztárkonferencia.
Kaposvári Egyetem Gazdaságtudományi Kar 2009/2010-es tanévre pótfelvételi eljárásban meghirdetett képzések.
A pénzügyi felügyelés fő irányai Európában Dr. Szász Károly elnök Új kihívások előtt a biztosítási piacok A Magyar Biztosítók Szövetségének I. Biztosítási.
Miért szükséges? Önkormányzati feladatok irányításának alapköve Kinek és miért hasznos? Képviselőtestületek és bizottságai Polgármester Polgármesteri hivatal.
Építési projectek monitoringja a szakmai szakértő szemével
Ellenőrzés, karbantartás, felülvizsgálat
Belső ellenőrzés az önkormányzatoknál
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Visegrád, Könyvvizsgálat, Minőség-ellenőrzés és
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Az adatvédelem szabályozása
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
KONFIGURÁCIÓKEZELÉS è A projektirányítás a költségekkel, erőforrásokkal és a felhasznált idővel foglalkozik. è A konfigurációkezelés pedig magukkal a termékekkel.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
1 XIV. Országos Minőségellenőrzési Továbbképzés MER ellenőrzések módszertana Siófok, Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Biztonsági követelmények a beszállítókkal szemben
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Úton az elektronikus levéltár felé
ISO/IEC Software Asset Management szabvány
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
Informatikai rendszerek lassulása - a tervszerű archiválás hiánya?
A MINŐSÉGFEJLESZTÉSI TERÜLET TÖREKVÉSEI 2007
Ide kerülhet az előadás címe
MUNKAVÉDELMI ELLENŐRZÉS ZÖKKENŐMENTESEN? munkabiztonsági szakmérnök
Biztonság és GDPR kancellar.hu
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Az SZMBK Intézményi Modell
Előadás másolata:

1/25 Informatikával kapcsolatos elvárások és jogszabályváltozások a pénztáraknál Budapest, január 18. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály

2/25 Alapelvek Jogszabályok Útmutató További kérdések és válaszok Tartalom

3/25 Alapelvek - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): „A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, … elősegítése, a pénzügyi szolgáltatási … szervezet … prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján.” Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása

4/25 Alapelvek - 2 Az útmutató („Módszertani útmutató a pénztárak informatikai rendszerének védelméről”) célja: pénztár informatika erősítése törvényi megfelelés elősegítése egységes értelmezés és szemléletmód (COBIT) kialakítása Gyakran Ismételt Kérdések (GYIK): Miért pont a COBIT (miért nem pl. ISO17799)? -> „A COBIT küldetése: Az üzleti vezetők és az ellenőrök napi munkájában használható általánosan elfogadott információ-technológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése.” Miért nem magyarul, a mellékletben? -> On-line elérhető, folyamatosan aktualizált, nemzetközi tapasztalatok. Van-e COBIT „megfelelőség”? -> Gondolkodás mód, nincs minősítő szervezet. Csak a pénztárakra? -> Egységes IT elvárások.

5/25 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). Alapelvek - 3

6/25 Alapelvek - 4 Jogszabályi hangsúlyok, felügyeleti tapasztalatok: Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése.

7/ évi XXII. - a befektetések védelméről évi CXXIV. - a PSZÁF-ról évi CXII. (Hpt) a hitelintézetekről évi LX. (Bit) a biztosítóintézetekről évi CXX. (Tpt) a tőkepiacról évi LXXXII. (Mpt) a magánnyugdíjpénztárakról évi XCVI. (Öpt) az önkéntes pénztárakról évi CI. tv. – az adókról és járulékokról évi LXIII. - a személyes adatok védelméről évi CXL. (KET) a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 3/2005-ös PSZÁF módszertani útmutató az informatikáról Jogszabályok - 1

8/25 Mpt. 44. § (1) A pénztár a pénztártevékenységet csak a … szükséges személyi feltételek, technikai, informatikai, műszaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelelő számviteli renddel és a biztonságos működéshez szükséges belső szabályzatokkal, valamint az egyes tevékenységek végzésében előírt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal. Öpt. 64. § (1) A pénztártevékenység folytatásának feltétele: a) valamennyi pénztártípusnál a pénztártevékenység biztonságos folytatására alkalmas irodahelyiség, adószám, elnevezés és legalább mérlegképes könyvelői képesítéssel rendelkező alkalmazott, ha a pénztár nem helyezi ki gazdálkodásának nyilvántartását; A évi XXII. tv. 1.§-ának (13/B. §) bevezetésének indoka: „ …az informatikai rendszerek központi szerepet töltenek be …” Hatálybalépés a évi CI. törvény alapján: 319. § Az Öpt. 40/C-D. § rendelkezéseit január 1.-től kell alkalmazni § Az Mpt. 77/A-B. § rendelkezéseit január 1.-től kell alkalmazni. Jogszabályok – 2

9/25 Útmutató - 1 Szabályozás: Jogszabály: Mpt. 77/A. § (1) A pénztárnak ki kell alakítania a tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, amely kiterjed a bűncselekményekkel kapcsolatos kockázatok kezelésére is. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén.. Probléma: Szabályzatok hiányoznak, sokszor nem aktuálisak. GYIK: –Mintaszabályzat? -> Nem segíti a vállalati kultúrát. Gondoljuk át mit csinálunk vagy mit kéne másként. Probléma esetén mi alapján döntsünk a felelősség kérdéséről –Külsősökkel? -> Jó szabályozás a terv szerű munka fokmérője (tudatos vezetés, tudatos munkavégzés) –Milyen területekre vonatkozik, miért pont ezek? -> IT-vel kapcsolatosak pl. Szabályzatok szabályzata, IBP, IBSZ, SzVSZ, Mentések és archiválások, Vírusvédelem, Jogosultságkezelés, BCP, DRP, Fejlesztés- és változáskezelés, help-desk, ellenőrzési feladatok, Kockázatkezelés módszertana, eljárás rendje) –Mi a struktúra? -> Irányelvek – szabályzatok – eljárásrendek – stb. COBIT: „PO6 - Vezetői célok és irányvonal közlése”, a „PO8 - Külső követelmények betartása” és az „AI1 – Automatizált megoldások meghatározása”

10/25 Útmutató - 2 Kockázatkezelés: Jogszabály: Mpt. 77/A. § (2) A pénztár köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Probléma: Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása, kisebb intézményeknél több a hiányosság. GYIK: – Miért kell szigorú IT előírás a kis pénztáraknak is? -> Nem az erőforrások, hanem a kockázatok alapján! – Csak külsőssel lehet? -> Nem. Sőt … – Milyen módszertant válasszak? -> Bármilyet, ami szakmailag elfogadható ( com, – Mennyire szubjektív, vállalhatok magas kockázatot? -> Szakmai elfogadhatóság! – Hány fokozatú legyen? Módszertan függő (magas, közepes, alacsony). Kockázat mennyisége, kockázatkezelés minősége, aggregált IT helyzet értékelés, változás iránya. Kockázat = összes Fenyegetésre * Sebezhetőség (bekövetkezési valószínűség) * Veszteség (kárérték). COBIT: „PO9 - Kockázatok értékelése”

11/25 Útmutató - 3 Feladat és felelősség elhatárolás: Jogszabály: Mpt. 77/A. § (3) Az informatika alkalmazásából fakadó biztonsági kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat. Probléma: Nem megfelelő feladat és felelősség elhatárolás GYIK: – Milyen feladatok vannak? -> Első számú vezető (mindenért felel) IT vezető (irányítja az IT területet, gondoskodik az IT megfelelésről), IT biztonsági menedzser (IT biztonsági szabályok betartatása), IT üzemeltető (működjenek az eszközök, ha gond van megoldja), IT fejlesztő (elkészíti az üzleti terület igényeit kielégítő megoldásokat), IT belső ellenőr (független IT ellenőrzés, ki-mit-hogyan csinál) Változásmenedzser (változások nyilvántartása, karbantartása) adatvédelmi felelős (adatvédelmi törvény, inkább jogász), – Mit tegyek ha nincs elég ember, mi összeférhetetlen? -> Felelős mindig kell! COBIT: „PO4 – Az informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása”, „PO7 – Emberi erőforrások kezelése”

12/25 Útmutató - 4 Felhaszn áló IT ellenőr FejlesztőSzoftver könyvtár os Felh. támogató Rendszer admin. Hálózati admin Adatbázi s admin. OperátorIT biztonság i felelős Felhasználó xxx xxx IT ellenőr xxxxxxx Fejlesztő xx xxxxxxx SW könyvtáros xxx xxx x Felh. támogató xxxx xxx x Rendszer admin. xxxx xx Hálózati admin xxxxx xx Adatbázis admin. xxx xxx Operátor xxx xxx x IT bizt.felelős xxx x Összeférhetetlen feladatok és felelősségek a COBIT szerint

13/25 Útmutató - 5 IT irányítás, független ellenőrzés: Jogszabály: Mpt. 77/A. § (4) A pénztárnak ki kell dolgoznia az informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell. Probléma: Nem megfelelő kontrollkörnyezet, sok kontroll hiányosság, a belső ellenőrzés nem végez IT vizsgálatot. GYIK: –Mik azok a kontrollok? -> Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé (szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok) – Hogyan kezelhetők a problémák? -> Az IT irányítás gyakorlati alkalmazásával, megfelelő módszertan választásával (pl. ITIL, COBIT, BS7799, ISO 13335, stb.) A könyvvizsgáló alkalmazza-e a 401-est? COBIT: „M1 – Eljárások felügyelete”, az „M2 – Belső ellenőrzés megfelelőségének felmérése”, az „M3 – Független értékelés végeztetése” és az „M4 – Független audit elvégeztetése”

14/25 Útmutató - 6 Nyilvántartások: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, Mpt. 77/A. § (7) A pénztárnál mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénztár által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának. Probléma: Az IT architektúra nem jól dokumentált, nyilvántartási hiányosságok. GYIK: –Milyen nyilvántartások kellenek? -> Rendszerkapcsolati, adatkapcsolati ábrák. Milyen rendszereim vannak, hogyan vannak összekapcsolva, milyen biztonsági problémák adódhatnak? Eszköznyilvántartás (Kinél milyen hardver illetve szoftver van?). Engedélyezett szoftverek listája (Milyen szoftverek megengedettek, mik lehetnek a gépeken?). COBIT: „DS9 – Konfiguráció kezelése”

15/25 Útmutató - 7 IT biztonság, biztonságtudatosság: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról. Probléma:, A beépített IT biztonsági elemek kihasználatlanok, az IT biztonsági szempontok csak útólag kerülnek kiépítésre, a biztonsági szemlélet és a biztonság tudatosság alacsony színvonalú. GYIK: –Mire kell felkészülni, mit vár el a Felügyelet? -> Amit a kockázatelemzés felmért! A biztonsági „lyukak betömése”. Ha nincs IT biztonsági szakértelem, akkor vegyünk igénybe külsősöket. –Fizikai biztonság az ügyfél térre is? -> Lásd kockázatelemzés! –Információ vagy informatika biztonság? -> Informatika, de így teljeskörű? COBIT: „DS5 – A rendszer biztonságának megvalósítása” és a „DS12 – Létesítmények kezelése”

16/25 Útmutató - 8 Hozzáférés- és jogosultságkezelés: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események), Probléma: Hozzáférés- és jogosultságkezelési hiányosságok vannak, a jogosultságok kiosztása nem engedélyezett, a beállítások nem egyeznek a nyilvántartással. GYIK: –Milyen legyen, mire terjedjen ki? -> Legyen szabályozott (Van-e jogosultság kezelési folyamat?). A biztonságpolitikával legyen összhangban (Vannak-e jogosultsági csoportok vagy mindenki kap valamit? Kezeli-e a különleges jogokat?). Legyen ellenőrizhető (A vezető mindig engedélyezte-e dokumentáltan?, Van-e jogosultság nyilvántartás? Ellenőrzi-e valaki, hogy mi van beállítva? Naplózva vannak-e?) COBIT: „DS5 – A rendszer biztonságának biztosítása”, a „DS7 – Felhasználók képzése” és a „DS8 – Informatikai felhasználók segítése”

17/25 Útmutató - 9 Naplózás, log-ellenőrzés: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére, Probléma: Naplófájlok hiánya, ellenőrizetlensége, a beépített audit lehetőségek hiánya, kihasználatlansága. GYIK: –Mindent naplózni kell? -> Nem mindent. A pénztár saját döntése a kockázatelemzés alapján! A biztonsági logok teljes hiánya nem megfelelő. A rendelkezésre álló lehetőségek kihasználása és naplózási rendszer átgondolt alkalmazása, elemzése és automatizálása. COBIT: „AI2 – Alkalmazási szoftverek beszerzése és karbantartása”, „AI3 – Technológiai infrastruktúra beszerzése és karbantartása”, „AI4 – Informatikai eljárások kifejlesztése és karbantartása”,„DS13 – Üzemeltetés irányítása”

18/25 Útmutató - 10 Adattitkosítás, adatátvitel biztonsága: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: e) a távadatátvitel, valamint a kizárólag elektronikus úton megvalósuló pénzügyi tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről, Probléma: Külsős hozzáférések problémái, adatbiztonsági hiányosságok, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya. GYIK: –Milyen módon, mi tekinthető elfogadhatónak? -> A biztonsági kockázatokkal arányosan. A biztonsági alapelvek (pl. nyílt üzenettovábbítás helyett titkosítottat, 40 helyett 128 bites SSL, telnet helyett SSH, http helyett https, stb.). –Mi a megfelelő tűzfal, kell-e etikus hack-elés? -> Szabályozott, dokumentált, ellenőrzött, aktualizált (patch-elés). –Melyik tranzakció esetén kell? -> Saját döntés, kockázat arányos. COBIT: „DS5 – Rendszer biztonságának biztosítása” és a „DS11 – Adatok kezelése”

19/25 Útmutató - 11 Adathordozók kezelése: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: f) az adathordozók szabályozott és biztonságos kezeléséről, Probléma: Az adathordozók megbízható és naprakész nyilvántartásának hiánya. GYIK: –Miért kell a média nyilvántartás? -> Hogy követhető, rendkívüli helyzetben megtalálható, számonkérhető és ellenőrizhető legyen. COBIT: „DS11 – Adatok kezelése”

20/25 Útmutató - 12 Vírusvédelem: Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: g) a rendszer biztonsági kockázattal arányos vírusvédelméről. Probléma: Nem kockázatarányos, nem aktualizált vírusvédelem. GYIK: –Minden gépen, minden nap aktualizálni kell? -> A kockázatokkal arányosan. –Milyet válasszunk? -> Ami szakmailag, IT biztonsági szempontból megfelelő, kockázat arányos és költséghatékony. COBIT: „DS5 – Rendszer biztonságának biztosítása” és a „DS9 – Konfiguráció kezelése”

21/25 Útmutató - 13 Fejlesztési tervek, IT stratégia: Jogszabály: Mpt. 77/A. § (6) A pénztárnak tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: a) informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel, Probléma: Szabályzatok hiányoznak, nem aktuálisak (lásd Mpt. 77/A. § (1) pont), a stratégiának, éves tervnek nem része az IT. GYIK: –Mik az elvárások? -> Legyen összhangban az üzleti stratégiával. –Hogyan lehet hosszú távú stratégiát készíteni? -> Ha nem tűzünk ki célokat, sosem fogjuk elérni. A vezetőség által is jóváhagyott alapelveket (külső vagy belső erőforrásból, vásárolt vagy saját fejlesztéssel, milyen hardver illetve szoftver platformon, milyen életciklus idővel, milyen adatbázis kezelővel, stb.). COBIT: COBIT „PO1 – Informatikai stratégiai terv kidolgozása”, a „PO2 – Információ-architektúra meghatározása”, a „PO3 – Technológiai irány meghatározása”, a „PO5 – Informatikai beruházások kezelése”, a „PO10 – Projektek irányítása”, a „DS6 – Költségek megállapítása és felosztása” valamint a „DS13 – Üzemeltetés irányítása”

22/25 Útmutató - 14 Üzletmenet-folytonosság, rendkívüli helyzet kezelés: Jogszabály: Mpt. 77/A. § (6) … meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely … működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja, c) … informatikai rendszerrel, … tartalék berendezésekkel, … szolgáltatások folytonosságát biztosító - megoldásokkal, e) … biztonsági mentésekkel és mentési renddel … és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) … alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat … legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, g) a … rendkívüli események kezelésére szolgáló tervvel. Probléma: BCP, DRP nincs, nem aktualizált. GYIK: – Mik az elvárások? -> A BCP elkészítése nem IT feladat („üzletmenet- folytonosság”). Ha nem aktuális, akkor nem használható. Ha nem próbálom ki, nem biztos, hogy működni fog (tesztelés). Mindenre legyen tartalék? (KOCKÁZATELEMZÉS!). Miből tudom, hogy ki mit tegyen? (Rendkívüli helyzet kezelési terv, DRP). Forráskód letét! COBIT: „DS2 – Külső szolgáltatások kezelése”, „DS3 – Teljesítmény és kapacitás kezelése”, „PO11 – Minőségirányítás”, „DS1 – Szolgáltatási szintek meghatározása”, „DS4 – Folyamatos működés biztosítása” „DS10 – Rendkívüli események kezelése”

23/25 Útmutató - 15 Fejlesztés, változáskezelés: Jogszabály: Mpt. 77/A. § (6) … meg kell valósítania a … d) … az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását,. Mpt. 77/A. § (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére. Probléma: Változáskezelési hiányosságok, a korszerűtlen rendszer leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment. GYIK: Mik az elvárások? -> Szabályozott és dokumentált keretek között (specifikáció, rendszerterv, fejlesztői teszt, felhasználói teszt, dokumentált átadás- átvétel, stb.)! A fejlesztés és üzemeltetés szétválasztása (összeférhetetlenség)! Tudni kell, hogy milyen változások voltak, ki kezdeményezte, hogyan került megvalósításra, volt-e felhasználói teszt, készült-e átadás-átvételi dokumentáció (felelősség!), van-e rendszerüzemeltetői és felhasználói leírás, volt-e oktatás, stb. Megoldás a tágan értelmezett és kialakított változásmendzselési funkció! COBIT: „AI6 – Változások kezelése”, „AI5 – Rendszerek üzembe helyezése és jóváhagyása”, PO11 – Minőségirányítás”, „DS1 – Szolgáltatási szintek meghatározása”, „AI2 – Alkalmazói szoftverek beszerzése és karbantartása”, „DS5 – A rendszer biztonságának megvalósítása”,„DS11 – Adatok kezelése”

24/25 Útmutató - 16 IT szakképzettség: Jogszabály: Mpt. 77/A. § (9) A (9) A pénztár belső szabályzatában meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet. Probléma: Az IT még mindig „black-box”, ha valamit nem tudok kezelni „IT probléma”, erős kiszolgáltatottság a külső szállítóknak, biztonság tudatosság alacsony színvonalú, kevés IT támogatás GYIK: –Mi az elvárás? -> Gondoljuk végig a feladat és felelősség elhatárolás megvalósításához szükséges IT ismereteket és dokumentáljuk le. Készítsünk oktatási tervet. Biztonsági oktatás nem csak az IT-soknak kell! Legyen felhasználói oktatás és felhasználói (üzemeltetői) dokumentáció. –Mindenki csak a rá vonatkozó mértékben? -> Minimum a feladatához és a felelősségi köréhez szükséges mértékben, de a biztonsági szabályokat teljes mértékben meg kell érteni. –Kell szolgáltatási szint felelős? -> Ha nincs kijelölve, akkor a főnök az! COBIT: „PO7 – Emberi erőforrások kezelése”

25/25 További kérdések és válaszok Köszönöm a figyelmet! Várom további észrevételeiket, kérdéseiket!