Minimális informatikai biztonság kiépítése a hazai bankszektorban

ZSIGMOND KIRÁLY FŐISKOLA

GAZDASÁG- ÉS VEZETÉSTUDOMÁNYI INTÉZET

Minimális informatikai biztonság kiépítése a hazai

bankszektorban

avagy

Technológiai és adminisztrációs kontrollok a

HPT és PSZÁF/MNB ajánlások vonatkozásában

Konzulens tanár: Készítette:

Dr. Hirsch Gábor Asztalos Árpád

ASATAAZ.ZSKF

Informatikai biztonság szakirány

Budapest

2015

1

Tartalomjegyzék

Tartalomjegyzék ....................................................................................................................... 1

Bevezető.................................................................................................................................. 3

Pénzügyi Szervezetek Állami Felügyelete [1]........................................................................... 3

A MNB (PSZÁF) szabályzása a pénzügyi intézetek informatikai biztonságára. ............................ 4

Kapcsolódó törvények [2],[3] ............................................................................................. 5

A törvények alkalmazásának időpontja .................................................................................. 6

Az informatikairányítás és az informatikai biztonság kapcsolata .............................................. 7

COBIT (Control Objectives for Information and Related Technology) nyílt szabvány .................. 7

A COBIT története ................................................................................................................ 8

Áttekintés a COBIT kézikönyvei közt....................................................................................... 9

Kiszervezés........................................................................................................................... 9

Felhőszolgáltatás .................................................................................................................10

Az üzlet-folytonossági terv fogalma és gyakorlati megvalósítása [4], [5] ..................................12

Az állam által meghatározott jogszabályi előírások és azokhoz kapcsolódó felügyeleti elvárások ..13

1) Hpt. 13/B § (1) bekezdés ..................................................................................................14

2) Hpt. 13/B. § (2) bekezdés .................................................................................................15

3) Hpt. 13/B. § (3) bekezdés .................................................................................................16

4) Hpt. 13/B. § (4) bekezdés .................................................................................................18

5) Hpt. 13/B. § (5) bekezdés .................................................................................................20

6) Hpt. 13/B. § (5) bekezdés a) pont ..................................................................................20

7) Hpt. 13/B. § (5) bekezdés b) pont ..................................................................................21

8) Hpt. 13/B. § (5) bekezdés c) pont ..................................................................................23

9) Hpt. 13/B. § (5) bekezdés d) pont ..................................................................................25

10) Hpt. 13/B. § (5) bekezdés e) pont ................................................................................26

11) Hpt. 13/B. § (5) bekezdés f) pont .................................................................................27

12) Hpt. 13/B. § (5) bekezdés g) pont ................................................................................28

13) Hpt. 13/B. § (6) bekezdés ...............................................................................................28

14) Hpt. 13/B. § (6) bekezdés a) pont ................................................................................29

15) Hpt. 13/B. § (6) bekezdés b) pont ................................................................................30

16) Hpt. 13/B. § (6) bekezdés c) pont.................................................................................32

17) Hpt. 13/B. § (6) bekezdés d) pont ................................................................................34




2

21) Hpt. 13/B. § (7) bekezdés ...............................................................................................38


23) Hpt. 13/B. § (7) bekezdés b) pont ................................................................................39

24) Hpt. 13/B. § (7) bekezdés c) pont.................................................................................39





29) Hpt. 13/B. § (8) bekezdés ...............................................................................................41




33) Hpt. 13/B. § (8) bekezdés b)-c) pont ............................................................................42

34) Hpt. 13/B. § (9) bekezdés ...............................................................................................42

Következtetések ......................................................................................................................43

Irodalomjegyzék ......................................................................................................................44

Absztrakt ................................................................................................................................. 0

Abstract ................................................................................................................................... 1

Kép és Ábrajegyzés ................................................................................................................... 2

3

Bevezető

Napjaink igen elterjedt informatikai technológiájának köszönhetően mindennaposak

az informatikai rendszerek ellen elkövetett támadások. Mivel egyre több és több helyen

jelennek meg különböző informa tikai eszközök ez lehetőséget az egyre szélesebb körű

támadásokra. Annak érdekében, hogy ezen támadások ellen sikeresen védekezhessenek az

egyes nagyobb szervezetek, vagy akár csak a magán személyek, elkerülhetetlen a megfe le lő

lépések és intézkedések megtétele. Az egyes védelmi rendszerek kiépítése, amelyek az

informatikai rendszert védik a pénzügyi intézet esetében igen kritikus lépésnek számít. Ezek

az intézkedések nemcsak ezért szükségesek, hogy sikeresen megvédhessék az értékes

információkat, amelyeket tárolnak, hanem azért is, mert ezek az intézkedések

elkerülhetetlenek annak érdekében, hogy megkaphassák a működéshez szükséges

engedélyeket is.

A dolgozatomban szeretném kifejteni azon intézkedések meghozatalát, amelyre egy

kezdő pénzügyi intézetnek szüksége van annak érdekében, hogy megkaphassa az induláshoz

szükséges engedélyeket, valamint biztonságban tudhassa a tárolt információit is. Ezen

intézkedéseket szabályzását a magyar állam meghatározott törvények alapján szeretné

kifejteni amelyeket az állam alkotott meg a pénzügyi szervezetek informatikai rendszerének

védelme érdekében. Ez a törvény a Hitelintézetekről és a Pénzügyi vállalkozásokról szóló

(1996. évi CXII.) törvény, későbbiekben HPT-ként nevezve, 13./B pontjában fogalmazód tak

meg, melyek a pénzügyi intézetek informatikai rendszerének védelméről szólnak. Segítségül

hívva még a PSZÁF vagyis Pénzügyi Szervezetek Állami Felügyelete által kiadott

ajánlásokat, amelyek erre a törvényre vonatkoznak, megalkothatjuk a működéshez valamint

a megfelelő informatikai biztonsági szinthez szükséges eljárásokat, rendszereket.

Pénzügyi Szervezetek Állami Felügyelete [1]

A Pénzügyi Szervezetek Állami Felügyelete, későbbiekben PSZÁF, tevékenységé t

2000 illetve 2013 között folytatta, mint önálló állami hatóság. Legfőbb feladata az országban

jelenlevő pénzügyi közvetítő rendszerének teljes felügyelete és ellenőrzése. Működését a

2000. árpilis 1-jén tartott éves országgyűlésen meghozott döntés után kezdte el. Az Állami

Pénz- és Tőkepiaci Felügyelet, az Állami Biztosításfelügyelet és az Állami Pénztárfelügye let

összevonásából, illetve ezek egyesített jogutódjaként jött létre.

4

A PSZÁF-et egy külön elnök vezeti, akit a miniszterelnök javaslatára a köztársasági

elnök nevez ki pozíciójára, amit hat évig tölthet majd be. Mindezek mellett a szervezet

irányítását még kettő darab alelnök segíti akiket, hat évre nevez ki a szervezet elnöke. A

PSZÁF szervezetén belül működik egy szakmailag teljesen különálló szervezet is, az

úgynevezett „Pénzügyi Békéltető Testület” ami szervezetileg teljes mértékben közvetlenül

PSZÁF elnöke alá tartozik. A szervezet munkájában nagy segítséget nyújt még a „Pénzügyi

Stabilitás Tanács” is, ami három főből áll, a nemzetgazdasági miniszter, a Magyar Nemzeti

Bank elnöke, illetve magának a PSZÁF-nek az elnöke. A PSZÁF minden olyan jogszabály

előkészítésében, amely befolyásolja a pénzügyi rendszert, illetve érinti a felügye lt

intézményeket és személyeket, véleményezési joggal rendelkezik, valamint javaslatokat

tehet ezen jogszabályok megalkotására és rendeletalkotási joggal is bír a meghatározo tt

kérdésekben.

A PSZÁF egy olyan, teljes mértékben önálló alkotmányos szervezet, amely

rendelkezik felügyeleti, ellenőrzési, fogyasztóvédelmi illetve szabályozói jogkörökkel is. A

PSZÁF köteles minden esetben olyan módon cselekedni, hogy azzal a közjó érdekeit

szolgálja. Akkor is ezt kel figyelem előtt tartania amikor meghozza döntéseit,

rendeletalkotás, amikor kibocsájtja az ajánlásait, vizsgálatai alkalmával, értékelései és

elemzései megfogalmazása, illetve minden intézkedései során.

A PSZÁF a tavaly előtti évben, vagyis 2013 október 1-től befejezte önálló munkáját,

beolvasztásra került a Magyar Nemzeti Bankba, ami átvette a fent említett jogköreit is. Ez a

módosítást a Magyar Nemzeti Bankról szóló törvény módosítása tette lehetővé, amit az

országgyűlés a 2013. szeptember 16-an fogadott el és hozott hatályba.

A MNB (PSZÁF) szabályzása a pénzügyi intézetek informatikai

biztonságára.

A napjaink megnövekedett informatika kockázatának köszönhetően a kényes és

értékes adatok, amiket a pénzügyi intézetek őriznek, mint például az ügyfelek adatai, az

intézet által forgalmazott értékpapírok pontos adatai vagy akár a stratégiai tervek a jövőre

nézve, megsemmisülése vagy rossz kezekbe jutása az intézetnek minden esetben pénzügyi

kárt vagy rosszabb esetben teljes megsemmisülést vonhat maga után. Annak érdekében,

hogy ezeket az adatokat biztonságos körülmények között tárolhassák, a pénzügyi intézetek

illetve az állam is, számos törvényt illetve szabványt hozott létre a biztonságos infrastruk túra

kiépítésének segítségére.

5

Az MNB legfőbb feladata, hogy az egyes pénzügyi szervezetek, amelyek létrejöttek

az országban, informatikai rendszerének biztonságát minél színvonalasabb módon, a

törvényben előírtak alapján alkothassák meg. Mindezek mellett törekszik egy olyan

szemléletmód, illetve értelmezés kialakítására, ami egységes minden pénzügyi intézet és a

Felügyelet között. Ezeket a törekvéseket a Felügyelet olyan módón szeretné elérni, hogy

szorgalmazza a COBIT, azaz a Control Objectives for Information and related Technology

irányítás minél gyorsabb és nagyobb mértékben való elterjedését, valamint rámutat arra a

tényre, hogy az informatikai biztonság illetve az informatikairányítás színvonala között

szoros kapcsolat van.

Kapcsolódó törvények [2],[3]

A 2004. évi törvénymódosításokat követően:

az 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi változásokról (HPT.)

az 1997. évi LXXXII. törvény a magánnyugdíjról és a magánnyugdíj pénztárakról

(MPT.)

az 1993. évi XCVI. törvény az Önkéntes Kölcsönös Biztosító Pénztárakról (ÖPV.)

az 2001. évi CXX. törvény a tőkepiacról (Tpt.)

A fenti, állam által meghatározott törvények tartalmazzák azokat a követeléseket, amelyek

betartása és megfelelése szükséges a Magyarországon létrejött pénzintézetek számára. Meg

kell felelni annak érdekében, hogy továbbra is akadályok nélkül, folyamatosan végezhessék

pénzügyi tevékenységüket az ország területén. Ezek a törvények lényegében azonos

követelményeket fogalmaznak meg az informatikai rendszerek védelmének illetve

szabályozásának kiépítése és felügyelete terén.

6

A törvények alkalmazásának időpontja

Az alábbi táblázatban láthatók a 2004. évi törvénymódosítások beiktatott

jogszabályban leírt követelmények alkalmazásának kezdő időpontjai.

„Törvény Informatikai

rendszer védelme

című paragrafus

száma

A törvényi előírás kötelező alkalmazásának

kezdőnapja

1996. évi CXII.

törvény (Hpt.)

13/B. § Beiktatta:

2004. évi XXII.

tv.

2005. november 1. napjától kell alkalmazni azon

pénzügyi intézmény esetében, amely nem tartozott

a befektetési és az árutőzsdei szolgálta tás i

tevékenység, az értékpapír letéti őrzés, az

értékpapír letétkezelés, valamint az elszámoló házi

tevékenység végzéséhez szükséges személyi,

tárgyi, technikai és biztonsági feltételekről szóló

283/2001. (XII. 26.) Korm. rendelet hatálya alá és

e törvény hatálybalépésekor már működött, illetve

a tör- vény hatálybalépését megelőzően érvényesen

nyújtotta be alapítási engedély iránti kérelmét.

2004.05.06-án már működő, a befektetési és az

árutőzsdei szolgáltatási tevékenység, az értékpapír

letéti őrzés, az értékpapír letétkezelés, valamint az

elszámoló házi tevékenység végzéséhez szükséges

személyi, tárgyi, technikai és biztonsági

feltételekről szóló 283/2001. (XII. 26.) Korm.

rendelet hatálya alá tartozó pénzügyi intézménynek

legkésőbb 2005. január 1-jétől kell megfelelnie a

Hpt. 13/B.§-ában foglaltaknak.

1997. évi

LXXXII.

törvény (Mpt.)

77/A. § Beiktatta:

2004. évi CI. tv.

2006.01.01.

1)-a táblázat teljes tartalma, 2) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

8

1993. évi

XCVI. törvény

(Öpt.)

40/C. § Beiktatta:

2004. évi CI. tv.

2006.01.01.

2001. évi

CXX. törvény

(Tpt.)

101/A. §

Beiktatta: 2004.

évi XXII. tv.

2004.05.06-án már működő, a befektetési és az

árutőzsdei szolgáltatási tevékenység, az értékpapír letéti

őrzés, az értékpapír letétkezelés, valamint az elszámoló

házi tevékenység végzéséhez szükséges személyi,

tárgyi, technikai és biztonsági feltételekről szóló

283/2001. (XII. 26.) Korm. rendelet hatálya alá tartozó

szolgáltatónak, elszámoló házi tevékenységet végző

szervezetnek legkésőbb 2005. január 1-jétől kell

megfelelnie a Tpt. 101/A. §-ában foglaltaknak.”

1

Az informatikairányítás és az informatikai biztonság kapcsolata

A mai egyre jobban fejlődő és globalizálódó világunkban az újonnan megjelent, nem

ismert kockázatok tömkelege fenyegeti az informatikai rendszerek biztonságát, hála az új

információ technológiák lehetőségének. Egy biztonságos hálózat informatikai rendszerének

kiépítéséhez ma már nem elég, ha csak bizonyos különböző biztonságot elősegítő

intézkedéseket teszünk, vagy ha adoptáljuk a különböző biztonsági szabványokat a kiépítés

során. Annak érdekében, hogy sikeresen kiépítsünk egy igen költséghatékony, de

ugyanakkor teljes mértékben biztonságos informatikai rendszert, javasolt segítségül hívni a

nemzetközileg is elismert informatikairányítás jól bevált gyakorlatait is.

COBIT (Control Objectives for Information and Related Technology)

nyílt szabvány

A COBIT nyílt szabvány, már világszerte elismert és igen gyakran, erőszertetette l

használják, mint eszközt az informatikairányítás területein, hiszen a COBIT „rendszerbe

foglalja az információ, az információ technológia és az ezzel kapcsolatos kockázatok

kontrollálására alkalmas gyakorlatát”2. A COBIT nagy hangsúlyt fektet arra, hogy elérje azt,

hogy az informatika minden esetben az üzleti célokat szolgálja. Mindemellett törekszik a

már megszerzett és bevált eredményeket az informatikairányítás területeiről, de ugyanakkor

törekszik hangsúlyt fektetni a modern, korszerű vállalat irányítási módszerekre is. A COBIT

felhasználásának segítségével, lehetőség nyílik a precíz együttműködésre a válla lat

8

irányítók, azon szakemberek, akik a működési kockázatok felmérésével, megelőzéséve l

foglalkoznak, a vállalatban dolgozó informatikusokkal, illetve az auditorokkal. A COBIT

ezen tulajdonságainak hála kifejezetten jól alkalmazható a pénzügyi intézmények biztonsági

rendszerének kialakításában. Minden olyan elvárást, amit a törvény előír az egyes

informatikai rendszerek kialakítására a COBIT I. sz. melléklete tartalmazza. Természetesen

a két anyag elvárasai között, értem ide a törvényeket és a COBIT anyagait, mindig lesznek

eltérések, hiszen az ezen alkotások szerzője, felhasználási köre, céljuk illetve keletkezésük

következménye nem egyezik meg egymással. Ezen különbségek ellenére a COBIT célja,

hogy mindenképp a jogszabályban előírt illetve a nemzetközi gyakorlatban bevált

módszerek segítségével lefedjék az informatikai biztonság egész területét. Ellenben a nem

teljes megfeleltetés következtében előfordulhat, az a tény, hogy a COBIT egyes fejezetei

akár több jogszabályi pontnál is megjelenhetnek.

A COBIT története

A COBIT-ot kiadó társintézmény az IT Governance Institute, ami amerikai

származású, 1998-ban alakult, a mint egy 35000 tagból álló ISACA, vagyis Information

System Audit and Control Association világszerte elismert társaság tagja. A válla lat

megalakulása óta eddig öt darab COBIT kiadvánnyal büszkélkedhetnek. A könyvek közül

az elsőt 1996-ban adták ki. A második könyvet 1998-ben, ez a kiadvány már tartalmazza a

egyes kontrollokat is. A harmadik könyvet 2000-ben publikálták. Ez a példány 2003-ban

jelent meg az on-line elektronikus formája is, ez már tartalmazott különböző

iránymutatásokat a menedzsment számára. A negyedik könyvüket 2005 decemberében adták

ki, amit később, 2007 májusában lecseréltem egy bővített, javított de még mindig negyedik

kiadásúval. Majd végül kiadták 2012-ben a COBIT ötödik, jelenleg is elfogadott és használt

verzióját, amihez 2012 decemberében, illetve 2013 júniusában kiadtak egy-egy kiegészítő

dokumentumot, ami rendre az informatikai biztonságról illetve a szavatolásokról szólt.

Nagyban elősegíti a részletesen kidolgozott auditálási módszertana a COBIT egyre növekvő

elfogadását nemzetköri szinten. Azok az ellenőrök, akik feladata a hazai pénzügyi

szervezetek auditálása, már évek óta, egytől egyig az ISACA tagja illetve az auditokat

minden esetben a COBIT szemléletei alapján végzik.

9

Áttekintés a COBIT kézikönyvei közt.

A COBIT mára tekintélyes számú kézikönyvet tartalmaz, ami az informatikairányítás

eszközeként szolgál a mai napig. A COBIT kézikönyvek csoportosítását az alábbi, vagyis 1-

es számú ábra segítségével szeretném szemléltetni.

1. ábra

Kiszervezés

Kiszervezés alatt azt értjük, amikor a szervezet egy adott tevékenység elvégzésé re,

amit eddig ő maga csinált, egy másik a szervezeten kívüli vállalkozást bíz meg. A

kiszervezés folyamatát törvényileg a Hitelintézetekről és a Pénzügyi vállalkozásokról szóló

(1996. évi CXII.) törvény, 13./A része szabályozza. A pénzügyi szervezet mind addig, amíg

eleget tesz a törvényben leírt követelményeknek, bármilyen tevékenységet kiszervez het.

Abban az esetben amennyiben a kiszervezés során bármilyen adatfeldolgozás vagy

adattárolás jön létre, a szervezet ezt csak az adatvédelmi szabályzatának betartatásával teheti

meg. Egy adott tevékenységet a pénzügyi intézet akkor szervezhet ki amennyibe

meggyőződött arról, hogy a külsős vállalat rendelkezik mindazon emberi, tárgyi valamint

biztonsági feltételekkel, amelyek a kockázatelemzés alapján előírt a pénzügyi szervezet.

Minden kiszervezett tevékenység után a pénzügyi intézménynek kötelessége bejelenteni az

MNB részére ezt. A bejelentést légkésőbb két napra a szerződés aláírta után kell megtennie.

Ebben a jelentésben szerepelnie kell az adott szolgáltatást nyújtó a vállalat neve, székhelye

10

valamint a tevékenység időtartama. A pénzügyi szervezet illetve a kiszerveze tt

tevékenységet végző vállalat között szerződést kell kötni. Ennek a szerződésnek minden

esetben tartalmaznia kell mindazon adatvédelmi előírásokat amiket a pénzügyi szervezete

alkalmaz. Tartalmaznia kell még a tevékenységet végző vállalkozás beegyezését az egyes

külsős vagy belsős ellenőrzésekre. Azt is, hogy vállalja a felelősséget az megállapodo tt

szolgáltatások megfelelő színvonalú végzését. Tartalmaznia kell még ezen szolgáltatások

minőségére vonatkozó leírásokat és azon szabályokat amelyek meggátolják a bennfentes

kereskedelmét a szolgáltatást nyújtó vállalatnak. A szervezetnek kötelessége mindazon

rendkívüli helyzetek megoldására készített tervvel, amelyek a szerződésben megfogalmazo tt

tevékenységektől eltérő esetekben léphetnek fel. Legalább évente az intézetnek kötelessége

azt felülvizsgálni, hogy az adott vállalkozás valóban a szerződésben foglaltaknak

megfelelően végzi az adott szolgáltatás nyújtását. Kiszervezés esetén a pénzügyis szervezete

a felelős a kiszervezett folyamatot végző vállalkozás minden tevékenységéért. Abban az

esetben amennyiben jogszabálysértést észlel a pénzügyi szervezet, azonnal jelentenie kell

azt. Abban az esetben amennyiben jogszabálysértés áll fenn a szervezet felfüggesztheti a

szolgáltatást nyújtó vállalkozással a megkötött szerződést. A szervezetnek figyelnie kell

arra, hogy ha olyan vállalat számára szervez ki tevékenységeket, amely más pénzügyi

szervezetekkel is dolgozik, akkor ez a vállalat minden a szervezettel kapcsolatos adatok és

információt az adatvédelmi szabályzatnak megfelelően és elkülönítve tároljon. Csak abban

az esetben alkalmazhat közreműködőt a szolgáltatást nyújtó vállalat, amennyiben erre a

megkötött szerződés is engedélyt ad valamit, hogyha ez a közreműködő vállalja az egyes

külsős vagy belsős ellenőrzéseket is. Abban az esetben amennyiben a pénzügyi szervezet

tisztségviselője vagy bármely közeli hozzátartozója bármiféle tulajdonosi viszonyban áll

azzal a vállalattal, amit a szolgáltatás végzésével szeretne megbízni a szervezet, a

szerződéskötés nem jöhet létre. A pénzügyi intézetnek minden esetben kötelessége a

kiszervezett tevékenységet illetve ennek elvégzőjét az üzletszabályzatban feltüntetnie. Az

adott pénzügyi szervezetnek csak abban az esetben kötelessége alkalmaznia a fent leírtakat

amennyiben a kiszervezett tevékenység bármilyen banktitkot érint. Ellenkező esetben még

a Felügyelet számára sem kötelező a kiszervezett tevékenység bejelentése.

Felhőszolgáltatás

A felhőszolgáltatások egyre nagyobb elterjedésének köszönhetően ez a szolgálta tás

is kiszervezésnek számít. Minden esetben a kockázatelemzés kiértékelésének megfele lően

kell szolgáltatót választani, abban az esetben, hogyha ezt a típusú szolgáltatást szeretné a

11

szervezet igénybe venni. Ez a típusú kiszervezés annyiban különbözik az eddigiektől, hogy

ebben az esetben a szervezetnek kell alkalmazkodni a szolgáltató szabályzásaihoz. A

felhőszolgáltatások igénybevétele eseten érdemes figyelmet fordítani az egyes európai uniós

jogszabály változtatásokra és gyakorlati tanácsokra, az adatvédelmi előírásokra illetve

gyakorlati folyamatokra, valamint a pontos szolgáltatási szerződésekre illetve szolgáltatá s i

szint szerződésekre is.

Felhőszolgáltatás igénybevétele esetén a szervezet legfontosabb feladata eldönteni,

hogy melyek azok az adatok, amelyeket lehet publikus felhőben tárolni és melyeket nem.

Azon adatok, amelyek banktitkokat, személyes adatok vagy másfajta érzékeny adatokat

tartalmaznak nem ajánlott publikus felhőben tárolni. Még szerződéskötés előtt javasolt

mérlegelni, illetve megfontolni a fennálló kockázatokat. Figyelni kel arra, hogy léteznek

olyan védelmi technológiák, amelyeket hogyha a virtuális környezetben futtatnak - amely

elengedhetetlen a felhőszolgáltatások esetében - nem képesek azonos mértékű biztonság

biztosítására, mint az ugyanazon célra használt fizikai megoldások. Abban az esetben

amennyiben a szervezet publikus felhőszolgáltatáshoz tartozik és egy esetleges támadásrolás

éri akkor azt nehézkes a naplóadatok segítségével felderíteni a támadást, hiszem ez a támadó

lehet akár a szolgáltatás egy másik ügyfele is. Mivel ezen szolgáltatásnak nincs jogosultsága

arra, hogy a már megszüntetett virtuális gépek - amelyekből az esetleges támadás érkezhetett

- naplózásának megtartására. Abban az esetben amennyiben az adott szervezetben

fellelhetők olyan adatok, folyamatok amelyeket maga a szervezet sem tud megfele lően

megvédeni vagy kontrollálni, azokat nem javasolt semmilyen felhőszolgáltatásnak kiadni.

Mivel a szolgáltató biztosítja jeldolgozásának illetve tárolásának fizikai helyszínét azért

fontos figyelembe venni, hogy ez, lehetőség szerint, ne legyen az EU területén kívül, valamit

ez határozza meg azt, hogy melyik ország jogszabályai vonatkoznak a szolgáltatóra.

Érdemes megbizonyosodni arról, hogy a szolgáltató kórszerű és megbízható titkosítást

alkalmat az adatok továbbítására illetve tárolására, valamint arra is figyelmet kell fordítani,

hogy a hozzáféréstérő is korszerű technológiák segítségével oldják meg. Figyelmet kel

fordítani arra is, hogy megfelelő naplózást alkalmazzanak, illetve azt is, hogy törlés esetén

a törölt adat helyét fizikai véletlenszerű adatokkal töltsék ki.

Természeten a megbízhatóság illetve a bizalom alapja mindig egy szerződés marad

a két érintett fél között. Ezért fontos, hogy felhőszolgáltatás esetében a szerződések tartalma

minden esetben precízen legyen megalkotva. Különösen fontos ezekben meghatározni azt,

hogy miként lehet monitorozni, ellenőrizni a szerződésben illetve szolgáltatás szerződésben

12

vállaltakat. Figyelni kell arra, hogy e két szerződés tartalma ne térjen egymástól. Minden

esetben kerülendő a szerződésekben az általános feltételek alkalmazása. Érdemes olyan

feltételeket kialakítani a szerződésekben, amelyek meggátolják az esetleges szolgáltató

váltásokat is. Meg kell határozni a rendelkezésre állás feltételeit illetve mértékét, valamit a

helyreállítási terveket is, oly módon, hogy ezek illeszkedjenek az ügyfél üzletmenet

folytonossági tevéhez. Szerződésbe kell foglalni azt is, hogy a szolgáltató az egyes

incidensekről mihamarabb tájékoztassa az intézetet valamint, hogy ezen tájékoztatók a

lehető legpontosabbak legyenek. Figyelmet kel fordítani arra, hogy mennyire alkalmas a

szolgáltató az egyes kapacitásszükséglet változások kielégítésére, annak érdekében, hogy ne

okozzanak gondot az egyes csúcsterhelések se. Pontosan meg kell határozni a

változáskezelés szabályzatait, a változások gyakorlati megvalósítását illetve pontos

ellenőrzését is. Meg kell határozni az időközönkénti független auditok menetét is, valamint

azon tartalmakat valamint biztonsági tanúsítványokat amelyeket a szolgáltató az ügyfe lek

számára is elérhetővé kell tegyen. Le kell szögezni azt is, hogy mik a teendők abban az

esetben amennyiben a két fél között nézeteltérés következik be. Értve ez alatt, hogy melyek

azok a jogszabályok, amelyeket ebben az esetben alkalmazni kell, illetve mely hatósági

szervezeteket kell értesíteni a probléma megoldása érdekében. A legfontosabb eleme a

szerződésnek a pontos felelősségi és biztosítási szabályzatok meghatározása oly módon,

hogy ezek minden esetben illeszkedjenek a magyar jogrendekhez is.

Az üzlet-folytonossági terv fogalma és gyakorlati megvalósítása [4], [5]

Az üzletfolytonossági terv az a folyamat, amely során az egyes szervezetek

meghatározzák azt, hogy mik a teendők az egyes kritikus üzleti folyamatok sérülése vagy

leállása esetén annak érdekében, hogy a lehető legrövidebb időn belül visszaállhasson az

eredeti állapotába.

A következő ábrával szeretném szemléltetni azt, hogy miként zajlik le a folyamat az

egyes katasztrófák bekövetkezte esetén:

13

2. ábra

Az ábrán az üzlet-folytonossági terv, valamint a katasztrófa-elhárítási viszony

látható. Minden esetben az egyes rendkívüli helyzetek bekövetkezte után a szervezet

vetőinek krízishelyzetnek kell nyilvánítani a történteket, illetve el kel rendelnie a

helyreállítási folyamat beindítását. Mindaddig amíg a helyreállítási folyamat zajlik

elengedhetetlen egy helyettesítő folyamat elindítása, ami legtöbb esetben ez eredeti egy

csökkentett funkciókkal rendelkező változata. A helyreállítási folyamat lezajlása után

minden esetben újabb döntést kell hozni az eredeti működésre való visszaállás

körülményeiről. Amint ez a visszaállás bekövetkezett minden esetben étesíteni kell az

érintett feleket erről.

Fontos, hogy minden szervezet rendelkezzen ilyen tervezettel annak érdekében, hogy

megfelelően, illetve a lehető legrövidebb idő elteltével tudja kezelni az egyes

krízishelyzetekből adódó problémák megoldását.

Az állam által meghatározott jogszabályi előírások és azokhoz

kapcsolódó felügyeleti elvárások

Az állam által kiadott törvényeknek az a célja, hogy hazánkban is minél jobban

elterjedhessenek, a már más országokban jól bevált és használt COBIT által meghatározo tt

módszerek és eljárások. Ezen módszereket, eljárások leírását magyar nyelven is el lehet érni.

A következőkben szeretném ismertetni a HPT 13/B részét, valamint az ehhez kapcsolódó

3) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

14

gyakorlati tennivalókat annak érdekében, hogy az egyes szervezetek megkaphassák a

működésükhöz szükséges engedélyeket.

1) Hpt. 13/B § (1) bekezdés

A pénzügyi intézménynek ki kell alakítania a pénzügyi, kiegészítő pénzügyi szolgáltatási

tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos

szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal

arányos védelméről. A szabályozási rendszerben ki kell térni az információtechnológiával

szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok

felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén.3

A pénzügyi szervezet működésében elkerülhetetlen a pontos és naprakész

informatikai szabályzatok elkészítése a vezetők által. A szabályzatok kialakítása során az

első lépések közé tartozik a szervezet működési irányelveinek megfogalmazása. Ezek után

a szabályzások kialakításával kell foglalkozni, majd a szükséges eljárásrendek

megalkotásával. Az irányelvek megalkotásában teljes mértékben szabad kezet kapnak a

szervezet vezetői, tehát ezeket a belátásuk szerint alkothatják meg. A szabályzatok

megalkotása szintén a vezetők feladatkörébe tartozik. Minden megalkotott szabálynak

tartalmaznia kell azt, hogy mikortól lép hatályba az adott szabály, azt, hogy az adott szabály

mennyire aktuális, mikor volt utoljára módosítva, és kik azok a személyek akikre

vonatkozik. A szabályzatban mindenképp bele kell foglalni a szervezet által alkalmazo tt

informatikai biztonsági politikát és szabályzatot, amit a működés során alkalmazni

szeretnének. Szabályzást kell alkotni arról, hogy miként üzemelteti a szervezet az

informatikai rendszerét. Arról is szabályzás kell, hogy a szervezetben az előre meghatározo tt

különböző szerepkörök milyen hozzáféréssel, jogosultsággal rendelkezzenek. Létre kell

hozni egy vírusvédelmi szabályzatot, amelyben megfogalmazzák a vírusvédelemre használt

szoftverek, illetve hardverek használatának szabályait, a rutin víruskeresés és irtás időpontját

és menetét, valamint az esetleges vészhelyzetek esetén fellépő intézkedéseket. Hasonlóan

kell eljárni a mentésekre, illetve archiválásokra vonatkozó szabályzattal is. Szabályzást kell

kialakítani a kockázatok elemzésére valamint kezelésére is, amelyben meghatározzuk, hogy

mely módszertant alkalmazzuk a kockázatok elemzése, a kockázatok dokumentáltságának a

formai kialakítását, valamint az egyes kockázatok kezelésére vonatkozó eljárásokat.

Hasonló felépítéssel kell megalkotni a változások kezelésére vonatkozó szabályozást is. Meg

kell alkotni azon szabályokat is, amelyek kitérnek az újonnan megalkotott szabályok


15

elkészítésének és kiadásainak menetére, formai követelményekre, amelyeket a válla lat

vezetői szabadon választhatnak meg. Gondoskodni kell arról, hogy szabályzás legyen arról,

hogy miként találhatják meg az alkalmazottak az új szabályokat, módosításokat. Ennek

megvalósításában nincsenek törvénybeli megkötések, megoldható akár kinyomtatott papír

formában is, amiket minden alkalmazott számára eljuttat a szervezet vagy elektronikus útón,

például e-mail formájában is elküldheti ezeket a szabályokat a dolgozók számára

A szabályváltozásokat legalább évente egyszer, vagy jelentősebb működési

környezetben történő változás esetén felül kell vizsgálniuk a vezetésnek. Amennyiben a

vezetőség szükségesnek tarja, akkor módosítani kell az egyes szabályzatok annak érdekében,

hogy mindig naprakészek legyenek.

A szervezet minden dolgozójával meg kell ismertetni a jelen pillanatban érvényes

szabályzatot, amelyet oktatás segítségével végezhet el a vezetés. Azért, hogy minden esetben

megbizonyosodhassanak a vezetők arról, hogy az alkalmazottak megértették a rájuk

vonatkozó szabályzatot, egy számonkérést kell alkalmazni. Ez a számonkérés lehet akár

szóbeli vagy az egyszerűség kedvéért írásbeli is, amelyet az adott dolgozó csak akkor vehet

sikeresen amennyiben elérte az ebben meghatározott minimális követelményeket.

A felhasznált információ technológiákat a szervezet vezetői határozzák meg. Ezek

lehetnek akár a legdrágább és legmodernebb eszközök, amelyeket a piacon meg lehet találni,

ellenben lehetnek akár idősebb technológiák, amelyeket érdemesebb a költséghatékonyság

érdekében választani.

A szabályzások elkészítésének kiszervezése más vállalkozások számára a törvény

által engedélyezve vannak, ellenben figyelni kell, hogy a folyamatok során, az erre

vonatkozó szabályok, minden esetben betartásra kerüljenek minkét fél által. Ennek

érdekében a szervezet kijelöl egy biztost, aki felügyeli a folyamat minden lépését.

2) Hpt. 13/B. § (2) bekezdés

A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését

szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni.4

A növekedett kockázatoknak köszönhetően elengedhetetlen, hogy a pénzügyi

szervezetnek legyen egy megfelelően elkészített kockázatelemzése. Ezt az elemezést

legkönnyebben úgy tudjuk elvégezni, hogyha megbízunk egy erre szakosodott külső

vállalkozást. Ebben az esetben vigyázni kell arra, hogy semmilyen kár ne keletkezhessen a


16

kiszervezésnek köszönhetően. Abban az esetben, amennyiben nem áll rendelkezésre

elegendő tőke, úgy ezt házon belül is elvégezhetjük. Alkalmazva a kockázatelemzés alapvető

folyamatát, legelőszőr fel kell tárni mindazon kockázatokat, amelyek az informatika i

rendszer biztonságát fenyegetik. Ez a felmérés minden rendszerre, legyen az szoftver vagy

hardver, ki kell terjednie. A kockázatok feltárása után egyenként ki kell értékelni ezeket és

meghatározni, hogy ezek mekkora fenyegetést a szervezet számára. Azon pontokat ellen,

amelyeket kritikusnak ítélünk meg, kell a leghamarabb megelőző, illetve kockázatcsökkentő

folyamatokat kialakítani. Ilyen kockázatcsökkentő folyamat lehet például egy megfe le lő

fizikai védelemmel rendelkező terem megépítése a szervezet hardverei számára, de akár egy

egyszerű informatikai biztonsági oktatás lebonyolítása a szervezet dolgozói részére. Az

elemzés minden lépéséről pontos és megfelelő dokumentációt kell készíteni.

Ezt a kockázatelemzést időről időre, de legalább évente egyszer, el kell végezni

illetve, aktualizálni kell. Amennyiben bármilyen változás következik be a szervezetben,

legyen az új egy rendszer bevezetése, vagy bármilyen környezeti változás a

kockázatelemzést újra el kell végezni.


Az informatika alkalmazásából fakadó biztonsági kockázatok figyelembevételével meg kell

határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási

szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat.5

Minden pénzügyi szervezetben lényeges az, hogy pontosan meg legyenek határozva

az egyes szervezeti rendek, felelősségi körök. Ezeket minden esetben a kockázatelemzés

alapján kell kialakítani a szervezet vezetésének.

Az egyes rendszerek felelősségi körét pontosan és egyértelműen kell meghatározni,

annak érdekében, hogy ne legyenek félreértések. Minden esetben figyelni kell az

összeférhetetlenség elvének betartására. A következő táblázatban egy példával szeretném

ezt bemutatni.

17

3 . számú ábra

Ez a táblázatot a COBIT készítette az összeférhetetlen feladatok és felelősségi körök

bemutatására. A táblázat csak példaként szerepel itt, mert a szervezetek számára nincs

semmiféle törvényi kötelezettség a szerepkörök kialakítására, mindaddig, amíg eleget

tesznek az összeférhetetlenség elvének.

Figyelembe véve a kockázatelemzés eredményeit, a szerepköröket olyan módon kell

kialakítani, hogy az egyes kritikus rendszerek esetében ne kerülhessen egy azon személy

kezébe az egyes folyamatok irányítása, ellenőrzése illetve végrehajtása, ugyanis ez minden

esetben visszaélésre ad lehetőséget. Mindezen szerepkörök közül a legfontosabb azok a

szerepkörök különválasztása, amelyek a rendszer karbantartását végzik, vagyis a

rendszergazdák, az adott rendszer fejlesztői valamint az adott rendszer üzemeltetői. Erre a

tevékenységre segítségünkre lehet a fenti táblázat. Mindezek mellett a vezetésnek arról is

gondoskodnia kell, hogy minden alkalmazott teljes mértékben tisztában legyen azzal, hogy

mi az, ami az ő feladatkörébe tartozik, valamint, hogy ezek milyen felelősséggel járnak. Ezt

a vezetőség akár egy oktatás keretén belül is megvalósíthatja, vagy akár egy megfele lőe n

elkészített, papír alapú leírást használva is. Figyelni kell arra, hogy minden alkalmazott a

megfelelő hatáskörrel rendelkezzen, annak érdekében, hogy akadálytalanul el tudja végezni

a munkáját. Ezen probléma megoldására érdemes egy külön csoport kialakítása, akiknek az

a feladatuk az egyes személyek számára kiossza a megfelelő hozzáféréseket.

Fontos az, hogy a vezetőség nevezzen ki egy úgynevezett informatikai biztonsági

felelőst, aki felel minden, a szervezetben használt, informatikai rendszer fizika valamint


18

logikai védelméről egyaránt, valamint aki közvetlenül a felső vezetésnek tartozik

beszámolással a munkájáról. Fontos az is, hogy minden, a szervezetben használt

informatikai rendszernek legyen kinevezve egy úgynevezett tulajdonosa, akinek a feladata

az adott rendszer osztályozása, illetve a jogosultsági szintjeinek kialakítása. Mindezek

mellett ki kell alakítani egy olyan eljárást, amely segítségével kinevezhetők az egyes

adatgazdák. A felelősök kinevezésére több módszer is alkalmazható. A legegyszerűbb módja

az, hogy a vezetőség jelöli ki, belátásuk szerint, az adott felelőt, vagy lebonyolítható egy

többlépcsős vizsgasorozat is ezen személyek kinevezésére. Ellenben, nem minden esetben

szükségesek, hogy ezen adatgazdák hogy informatikus legyenek. Azon rendszerek

tulajdonosai, amelyek valamiféle nyilvántartást kezelnek, mint például az egyes könyvelő

rendszerek vagy számlavezető rendszerek, azok vezetők lesznek amelyek leginkább

érintettek az adott területben. Mindazon rendszerek esetében, amelyek valamifé le

informatikai szolgáltatást nyújtanak, elengedhetetlen az, hogy a tulajdonosok informatikus

legyen.

Időről időre érdemes a szervezet dolgozóinak létszámának felülvizsgálata annak

érdekében, hogy ha helyettesítésre kerül a sor, akkor a szervezet informatikai részlege,

megfelelő tudással bíró, munkaerővel rendelkezzen az adott hiány pótlása érdekében. Ezt a

felülvizsgálatot általában a szervezet humán erőforrás részlege végzi el, az informatika i

részleg vezetőségének segítségével. A mindenkori rendelkezésre állás érdekében

elengedhetetlen az informatikai munkaköri leírások pontos kidolgozása és aktualizálása a

vezetőség által. Ezen munkakörökben pontosan rögzíteni kell az egyes hatás- valamint

felelősségi köröket, illetve az egyes munkakörökhöz szükséges minimális informatika i

tudást képzettséget, beleértve az elméleti és gyakorlati tudást is.


A pénzügyi szervezetnek ki kell dolgoznia az informatikai rendszerének biztonságos

működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie

kell.6

A bekezdésben szereplő rendszer alatt nem egy adott alkalmazást kell érteni, amely

ellenőrzi a szervezetben használt alkalmazásokat külön-külön, hanem egy olyan, a

kockázatokkal arányos, kontrollkörnyezetet, amely lehetővé teszi az informatika i irányítás

mindennapi működésének felügyeletét. Ez a folyamatnak magába kell foglalnia minden a

szervezetben meglévő folyamatot valamint erőforrást is.

19

Minden esetben a vezetésnek mérnie kell, valamilyen program segítségével vagy egy

személy által, azon szolgáltatásokat szintjét, amelyeket az informatikai osztály jelenleg

nyújt. Ezeket a szolgáltatásokat össze kell hasonlítania a szolgáltatási szint megállapodásban

vállaltattakkal, annak érdekében, hogy tartani tudják ezeket. Rendszeresen értékelniük is kell

ezeket szolgáltatásokat. Gondoskodni kell arról is, hogy rendszeresen mérjék fel a

felhasználók elégedettségét a nyújtott szolgáltatásokkal kapcsolatosan. Ez program vagy

papír alapú kérdőív kitöltése segítségével könnyedén megoldható. Annak érdekében, hogy

a szervezet vezetése pontos információkat kapjon arról, hogy milyen irányban történtek

előrelépések a kitűzött célok megvalósítása, valamint a kockázatok csökkentésére, az

informatikai részleg dolgozóinak jelentéseket kell készíteniük a tevékenységükről. A

vezetésnek figyelemmel kell kísérnie, hogy azon a kockázatelemzés eredményének tükrében

kialakított ellenőrzési eljárások, amelyek a belső ellenőrzési feladatokat látják el,

megfelelően, valamint eredményesen működnek vagy sem. Amennyiben szükséges, ezen

áttekintés alapján, lépéseket kell alkalmazni ezen folyamat javítására. Abban az esetben

tekinthető sikeresnek ez a folyamat, amennyiben ez gyorsan felderíti, illetve kijavítja az

esetlegesen fellépő hibákat, még mielőtt ezen hibák bármiféle módon befolyásolni tudnák a

rendszerek üzemszerű működtetését, valamint a szolgáltatások nyújtását.

Időről időre a vezetésnek felül kell vizsgálnia a belső ellenőrző rendszerek

működését, valamint az üzemeltetési biztonsági folyamatokat. Ez a vizsgálat elvégezhető

önértékelés segítségével, de igénybe vehető egy külsős független ellenőrző válla lat

szolgálatai is. Az ellenőrzés során meg kell vizsgálni ezen rendszerek megfelelő működését.

Abban az esetben, hogy ha a szervezet egy új informatikai szolgáltatás bevezetését

fontolgatja, amelyet a kockázatelemzés kritikusnak ítélt, akkor az üzembe helyezés előtt

mindenképp szereznie kell egy tanúsítványt, amelyet független szakértő állít ki. Ezen

kritikus rendszerek üzembe helyezése után időről időre meg kell újítani, a szakértő által

kiállított tanúsítványokat. Minden olyan esetben, amikor az adott szervezet úgy dönt, hogy

egy külső vállalat szolgáltatásait veszi igénybe, akkor meg kell győződnie, egy független

szakértő segítségével, arról hogy ez az adott vállalat rendelkezik a megfelelő biztonsági

valamint belső ellenőrzési tanúsítványokkal. E szolgáltatások használatának igénybevéte le

után is rendszereses meg kell újítani ezeket a tanúsítványokat. A független szakértő nem kell

feltétlenül egy külsős személynek lennie, hanem alkalmazható belsős, az adott intézetben

dolgozó személy munkája is, abban az esetben, ha az adott személy rendelkezik megfe le lő

tudással ezen feladatok ellátására.

7), 8) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről 22

Minden esetben olyan szabályzatot kell kialakítani, az ellenőrzési terület esetében is,

amelyben pontosan meghatározzák az adott terület feladatait, hatásköreit, számon

kérhetőségének módját valamint azt, hogy kinek kötelesek beszámolni a munkájukról. Ezt a

szabályzatot időről időre felül kell vizsgálnia a vezetőségnek vagy a vezetőség által kijelölt

személynek.

Annak érdekében, hogy az ellenőrzés minden esetben objektív lehessen, az adott

ellenőrnek függetlennek kell lennie a vizsgált részlegtől. Amennyiben szükséges érdemes

külsős ellenőr alkalmazása.


A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal

arányos módon gondoskodni kell legalább az a)-g) pontokban meghatározottakról. 7

A következő bekezdésben előírt követelményeket a már korábban kifejtett

kockázatelemzés kiértékelése alapján kell teljesíteni.

6) Hpt. 13/B. § (5) bekezdés a) pont


arányos módon kell gondoskodni a rendszer legfontosabb elemeinek (eszközök,

folyamatok, személyek) egyértelmű és visszakereshető azonosításáról. 8

Az adott szervezetnek minden esetben rendelkeznie kell egy megfele lő

nyilvántartással, amelyben pontosan visszakereshető kell legyen minden használt eszköz,

folyamat és személy. Ezeknek a nyilvántartásoknak formai követelményük nincs, tehát a

vezetés döntése az, hogy milyen formában lesz megalkotva. Ezen nyilvántartások meg lehet

alkotni akár papír alapon vagy akár elektronikus formában is. A nyilvántartásokban szereplő

eszközöket, személyeket, folyamatokat érdemes egy egyedi azonosítóval ellátni, amely

alapján egyértelműen visszakereshetőek a szereplők. Ezek az azonosítók tetszés szerint

választhatóak, vagyis kezdve a legegyszerűbb sorszámtól, a legbonyolultabb módszerekkel

megalkotott számozásig bármi lehetséges. Törvény által tartalmi követelmény az is, hogy a

nyilvántartott elemnek mindig naprakész státusszal kell rendelkezzek, például az

informatikai eszközök esetében alkalmazhatóak olyan státuszok mint a „újonnan beszerzett”

vagy „jelenleg fejlesztés alatt”. Ezen státuszok milyensége szabadon választható meg. E

mellett a nyilvántartásban szereplő minden elemmel történő változásnak is szerepelnie kell,


21

tetszőleges, de visszakövethető formában. Ilyen változás lehet például az egyes személyek

áthelyezése a szervezeten belül.

A szervezet vezetőinek gondoskodniuk kell arról, hogy csak azon konfiguráció s -

elemek kerüljenek használatba, amelyeket már engedélyeztek, illetve pontosan

visszakövethetők a nyilvántartásban. Ennek megvalósítása érdekében érdemes egy külön

csoport kialakítása, amelynek tagjai ezért felelősek.

Ezen nyilvántartások tartalmát és pontosságát rendszeresen ellenőrizni kell. Ennek

az elvégzését a részleg vezetője saját kezűleg is megcsinálhatja, ugyanakkor ezt a részlegen

dolgozó szakemberek is elvégezhetik.

Ez a tevékenység teljes mértékben kiszervezhető egy másik vállalat számára. Ebben

az esetben a pénzügyi intézet nyilvántartását ki kell egészíteni azokkal a személyekke l,

eszközökkel illetve folyamatokkal, amelyek bármilyen módon érintkezésben vannak az

intézet számára végzett szolgáltatásokkal.

7) Hpt. 13/B. § (5) bekezdés b) pont


arányos módon kell gondoskodni az informatikai biztonsági rendszer önvédelmét, kritikus

elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról. 9

A kockázatelemzés alapján kritikusnak értékel rendszerek esetében nagyobb

odafigyelést kell fordítani az adott rendszer védelmére, zártságára és ellenőrzésére, mint

azon rendszerek esetében, amelyek kisebb kockázati értékelést kaptak. Azonban minden

esetben figyelni kell arra, hogy ezen biztonsági lépések ne akadályozzák a dolgozókat

munkájuk elvégzésében. Azon eljárások, amelyeket ennek érdekében alkot meg a vezetőség

tartalmazniuk kell az IT kockázatelemzést, az informatikai biztonsági tervet, valamint annak

végrehajtását és aktualizálását minden informatikai rendszer felépítésében történt változás

esetében legyen akár egy egyszerű képernyő vagy billentyűzet csere vagy akár egy teljes

szerver cseréje. Ezeket minden esetben megfelelően dokumentálni kell.

Biztonsági szempontból érdemes olyan szinten korlátozni a számítástechnika i

erőforrások használatát, amely éppen elegendő a feladtok elvégzésére. Ezen erőforrásokhoz

való hozzáférést is korlátozni kell a megfelelő azonosítási eljárások révén. Ezen a

korlátozások különböző erőforrásokhoz különböző hozzáféréssel rendelkező munkatársakat

enged hozza. Ezen azonosítási eljárás segítségével megakadályozhatók az egyes

22

jogosulatlan hozzáférések is a szervezet adott rendszereihez. Annak érdekében, hogy az

egyes tranzakciókat továbbító másik fel valódisága ellenőrizhető legyen, külön eljárásokat

kell alkalmazni. Figyelve, hogy ezen eljárások összhangban legyenek az informatika i

biztonsági politikával a szervezetnek lehetősége van különböző eljárásokat használni. Ilyen

eljárás lehet a két kulcsos titkosítás használata vagy HTTPS protokoll használat. Ellenben,

amennyiben a szervezet úgy ítéli meg, akkor akár elegendő lehet egy egyszerű

felhasználónév, jelszó páros alkalmazása a hitelesség ellenőrzésére. Mindezek mellett

megfelelő naplózási illetve hitelesítési eljárások segítségével biztosítani kell, azokban az

esetekben ahol szükségesnek találták, azt hogy ezen tranzakciókat egyik fél se tagadhassa

le. Amennyiben a szervezet úgy ítéli meg, abban az esetben megfelelő biztonsági

protokollok használata segítségével gondoskodni kell arról, hogy azon bizalmas adatok,

amelyek a tranzakciókban szerepelnek, azok megbízható csatornákon közlekedjenek. Ennek

érdekében a szervezet használhatja a HTTPS vagy SLA protokollok egyikét. Minden olyan

rendszert, amely a biztonsági eljárásokat futtatja, legyen ez akár hardver vagy akár szoftver,

minden esetben meg kell védeni a jogosulatlan hozzáféréstől annak érdekében, hogy ezek a

rendszerek megőrizhessék sértetlenségüket. Ennek érdekében javasolt ezen rendszerek

hardverjeinek megfelelő fizikai biztonságot kiépíteni, valamint az adott szoftverekhez is

csak megfelelő jogosultsággal lehessen hozzáférni. Mindezek mellett érdemes az adott

rendszer felépítésének titokban tartása is.

Megfelelő intézkedések segítségével gondoskodni kell az eszközök fizika i

védelméről, illetve a hozzáférésükről is. Ezt a legegyszerűbben egy megfelelő biztonsági

zárral rendelkező helyiség segítségével oldhatjuk meg, amelyhez korlátozott a hozzáférés és

amelyek pontosan rögzítésre kerülnek. Ezen biztonsági intézkedéseket azonban nemcsak

magukra az eszközökre, hanem az őket összekötő illetve kiszolgáló kábelezésre is

alkalmazni kell. Ezt akár biztosítható egy műanyag védőborítással vagy falba teljesen

beleépített kábelcsatornákkal is. Hasonló zártságot kell biztosítani azon hordozható

adathordozók számára is, amelyeket a biztonsági mentések tárolására használnak, illetve

minden egyéb, a működéshez szükségem elemre is. Minden esetben hozzáférési jogot csak

a vezetőség álltál kijelöl személyek férhetnek hozza ezekhez

Abban az esetben, amennyiben egy külsős személy szeretne a fent említettekhez

hozzáférést kapni, akkor egy külön eljárást kell kialakítani erre, amelyben biztosítsák az

adatok sértetlenségét. Minden esetben ez a külsős személy csakis egy a fent említett jogosult

személy jelenlétében léphet be az egyes kulcsfontosságú helyiségekbe. Minden ilyen


23

megtörtént látogatásról pontos naplót kell vezetni a könnyebb visszakereshetőség érdekében.

Ezen napló megvalósításában a törvény nem tartalmaz formai követelményeket, ezért

lehetnek akár kézzel írt papír alapúak vagy modern informatikai eszközzel rögzítettek is.

Annak érdekében, hogy ezek a berendezések a környezeti veszélyforrásoktó l is

védve legyenek, külön eljárásokat kell alkalmazni a vezetőségnek, amennyiben ezeket a

kockázatelemzés alapján szükségesnek tartják. Ilyen eljárások lehetnek tűz esetére a

megfelelő vastagságú és szigetelt falak, por ellen a megfelelően szűrt levegő, túlmelegedés

ellen a klíma használata, páratartalom ellen egy párátlanító készülék, megfelelő szigeteltség

az esetleges áramütésektől valamint megfelelő épületbeli elhelyezés az esetleges árvizek

elkerülése végett.

Ezen rendszerek folyamatosságának biztosítása érdekében a vezetésnek időről időre

javasolt a szünetmentes tápegységek vagy generátorok iránti igényt felülvizsgálni, azon

rendszerek esetében amelyeket a kockázatelemzés során kritikusnak találtak.

8) Hpt. 13/B. § (5) bekezdés c) pont


arányos módon kell gondoskodni a rendszer szabályozott, ellenőrizhető és rendszeresen

ellenőrzött fel-használói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok,

engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események). 10

Minden esetben gondoskodni kell arról, hogy azon intézkedések, amelyek a

felhasználók jogosultság kérelmével, rögzítésével, kiadásával, felfüggesztésével valamint

lezárásával kapcsolatosak időben megtörténjenek. Ezt a megfelelő szabályzással illetve

megfelelő folyamat megalkotásával érheti el a vezetés. A szabályzatban le kell rögzíteni az

egyes kérelmek formai követelményeit, valamint azt is, hogy miként engedélyezik az egyes

hozzáféréseket az adott adatbázishoz a tulajdonosok. Abban az esetben, amelyben egy olyan

felhasználó kér hozzáférést az adott adatbázishoz aki nem része a szervezetnek, akkor

minden esetben meg kel győződni arról, hogy a titoktartási szerződés aláírásra kerüljön,

illetve, hogy az adott felhasználó tudomásul vette a rá vonatkozó felelősségeket. Ezt a

legegyszerűbben személyes módon lehet megtenni egy kijelölt, szervezeten belül, dolgozó

felelős által.

A szervezet kijelölt informatikai biztonsági felelősének úgy kell kialakítani az egyes

rendszerek biztonságát védő rendszereket, hogy azok a lehető legrövidebb időn belül

24

jelezzék azokat az eseményeket, amelyek esetleg megsértik a biztonsági előírásokat. Ezekről

a jelzésekről szintén ennek a felelősnek kell gondoskodnia, hogy megfelelő időben értesítsen

minden érintett felet. Mindezek mellett gondoskodnia kell ezen esetek pontos

nyilvántartásáról, a felsőbb vezetésnek való jelentéséről, teljes körű átvizsgálásáról. Ezt akár

személyesen végezheti el, akár kijelölhet egy biztost aki foglalkozik ezzel

Az adatgazdáknak kötelezően osztályozniuk kell a tulajdonukban levő adatok

milyenségét. Érdemes ezeket a különböző hozzáférési szintek alapján megcsinálni.

A vállalat lehetőségeit számba véve érdemes úgy kialakítani a felhaszná lók

azonosítására szolgáló rendszert, hogy egyetlen központi rendszer képes legyen ezeket

kezelni. Ez azért ajánlott, mert ezzel a módszerrel hatékonyabban lehet felügyelni az

eseményeket.

Amikor a jogosultságok adminisztrálására kerül sor, akkor azt rendszerenként kell

elvégezni. Minden rendszerben érdemes kialakítani egyedi hozzáférési szinteket az igények

alapján, nagyon figyelve az összeférhetetlenség elvére, valamint figyelni kell arra is, hogy

kiosztás esetén az adott felhasználók csak a számukra kijelölt jogosultságokat kaphassák

meg. A legegyszerűbb ilyen kiosztás lehet: a rendszer felhasználói, a rendszer fejlesztői, a

rendszer karbantartói valamint érdemes külön hozzáférési szintet kialakítani az

ellenőrzésekre is.

Minden egyes jogosultság kérés jóváhagyása esetén, amennyiben papír alapú

módszert használ a szervezet minden esetben rendelkezni kell azon személy aláírásával, aki

jóváhagyta a jogokat, valamint ha elektronikus rendszert használnak akkor az adott személy

elektronikus aláírására van szükség, amely bármikor visszakereshető. Minden jelentkezés i

formulát úgy kell kialakítani, hogy azon félreérthetetlenül szerepeljen az adott kérelmező

felhasználó személyét azonosító adatok valamint a kérelmezett jogok. A kiosztott jogokról

készített feljegyzéseket egy külön adatbázisban kell tárolni, amelyből bármikor lekérdezhető

az, hogy melyik felhasználó pontosan milyen hozzáférési jogokkal rendelkezik. Ez akár

egyszerű adatbázis kezelő programmal és megfelelő méretű tárhellye l könnyedén

megoldható. Külön felelőst érdemes kinevezni annak érdekében, hogy a kiosztott

jogosultságok, valamint az adatbázisban szereplő feljegyzések minden esetben

megegyezzenek.

Abban az esetben, amelyben bármilyen változás lépne fel az egyes jogosultságokban,

azt minden esetben naplózni kell, olyam módon, hogy ebből a naplózásból egyértelműen


25

kiderüljön az, hogy milyen változás történt az adott jogosultságban, ki végezte el ezeket a

módosításokat, valamint a módosítások pontos ideje.

9) Hpt. 13/B. § (5) bekezdés d) pont


arányos módon kell gondoskodni olyan biztonsági környezetről, amely az informatikai

rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e

naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a

nem rendszeres események kezelésére. 11

A biztonságos működés illetve a visszakereshetőség szempontjából fontos az, hogy

a szervezetben minden eseményt, amelyet a kockázatelemzés során kritikusnak ítéltek,

megfelelően naplózni kell, legyen ez egy egész folyamat vagy akár egy egyszerű

rendszerbeli bejelentkezés. Fontos az, hogy ezek a kritikus események mindig a megfe le lő

kronológia adatokkal legyenek naplózva.

A naplózás folyamatát a vezetőség lehetőség szerint megoldhatja egy központi

rendszer segítségével, amelyen keresztül naplózásra kerülnek a különböző alkalmazásokban

történő események, vagy pedig már a használt szoftvereket érdemes úgy kiválasztani, hogy

rendelkezzenek beépített naplózással, amely alkalmas egyaránt a kronológiai naplózásra, a

naplófájlok biztonságos tárolására illetve szükség esetén ezen fájlok előkeresésére.

Amennyiben a szervezet saját maga által fejlesztett szoftvert készít, akkor úgy kell

kialakítani az adott szoftver specifikációját illetve fejlesztési tervét, hogy az a lehető

leghamarabb lehetővé tegye maga a naplózási folyamat beépítését.

Figyelni kell arra is, hogy ezek a naplóelemek ne legyenek túl nagy méretűek,

ugyanis azokat nehézkes és igen időigényes megfelelően tárolni és kezelni. Ennek érdekében

figyelni kell, arra, hogy a naplózási beállítások oly módon legyenek elkészítve, hogy maga

a naplózási folyamat csak a legszükségesebb és engedhetetlen adatokat rögzítse a naplózási

fájlba.

Érdemes kialakítani egy olyan automatikus vagy manuális folyamatot, amely

meghatározott időközönként ellenőrzi az egyes szoftverek naplózását. Ezen naplófájlokban

az elvégzett feladatok, tevékenységek szerepelnek. E naplózás milyensége csak a szervezet

kereteitől függ. Figyelni kell arra, hogy a naplófájlok elemzési folyamatának minden egyes

lépése megfelelően legyen dokumentálva. Annak érdekében, hogy megfelelő időben illetve


26

megfelelő színvonallal legyenek ezek a fájlok elemezve, ajánlott a vezetésnek az informatika

segítségül hívása is.

10) Hpt. 13/B. § (5) bekezdés e) pont


arányos módon kell gondoskodni a távadat-átvitel bizalmasságáról, sérthetetlenségéről és

hitelességéről. 12

A bizalom megőrzése valamint az esetleges károk elkerülése végett úgy kell

kialakítani az adattovábbító rendszert, hogy az, a lehető legbiztonságosabb és

legmegbízhatóbb legyen az egyes adatok továbbítására. A szervezeten kívülről, illetve a

szervezetből kívülre küldött adatok védelmére a legköltséghatékonyabb megoldás az, hogy

a szervezet valamiféle titkosítást használ a küldés során. A szervezet vezetősége, a kerettől

függően, választhat szimmetrikus, más néven egykulcsos titkosítási módszert vagy

aszimmetrikus, más néven kétkulcsos titkosítást is. Az egykulcsos titkosítás esetében azonos

kulcsot használnak az adatok kódolásához és visszafejtéséhez is, ennek előnye az, hogy

viszonylag gyors a titkosítási folyamat, ellenben hátrányai is vannak ennek a módszernek.

A hátrányok közé tartozik az, hogy minden félnek, akik között ezzel a módszerrel titkosított

adat közlekedik, külön kulcsokat kell készíteni. A másik hatalmas hátránya az, hogy el is

kell juttatni ezeket a kulcsokat a másik félhez, ami újabb kockázati tényeket vethet fel. A

kétkulcsos titkosítás esetében a két fél egy nyilvános, bárki számára elérhető kulcsot ,

valamint egy privát, saját kulcsot használnak. Előnyei közé tartozik az, hogy a privát kulcs

segítségével bármikor előállítható a nyilvános kulcs, de fordítva ez nem lehetséges, valamint

az is, hogy nincs szükségünk előzetes kulcsegyeztetésre, ezzel is kiiktatva a plusz kockázat

lehetőségét. Ellenben nagy hátránya ennek a típusú titkosításnak az, hogy sokkal lassabb

mint az egykulcsos testvére, ezért nem igazán alkalmas arra, hogy nagy mennyiségű adatot

titkosítsunk egy időben vele. Ezekkel a módszerekkel azonban csak az adatok hitelességérő l

lehet meggyőződni. Mindezek mellett alkalmazni kell különböző biztonsági protokollokat is

az adatok sérthetetlenségének biztosítása érdekében.

Annak érdekében, hogy a vezetőség megbizonyosodhasson azon adatok

bizalmasságáról, amelyeket a szervezeten kívülről érkeznek, javasolt az egyes biztonsági

protokollok használata, amennyiben ezt a kockázatelemzés eredménye is megkövete li.

Amennyiben szükséges számos protokoll közül választhat a vezetőség. Ilyen protokollok


27

lehetnek az IPSec, a HTTPS protokollja, az SSL protokoll vagy épp az SSH protokollja, de

akár ezektől eltérő protokollok használata is megengedett a szervezet számára.

Figyelni kell arra, hogy minden olyan adatáramlás, amely külső hálózatta l

kapcsolatos, a megfelelő eljárások révén minden irányba figyelve legyen. Az internet te l,

valamint bármiféle külső hálózattal való kommunikációt figyelni kell illetve, ki kell alakítani

a megfelelő védelmi folyamatokat. Ilyen folyamatok lehetnek: az egyes tűzfalak

alkalmazása, különböző behatolás védelmi eszközök, különböző eszközkezelő megoldások ,

amelyek meggátolják a szervezet rendszereihez való jogosulatlan hozzáférést is.

11) Hpt. 13/B. § (5) bekezdés f) pont


arányos módon kell gondoskodni az adathordozók szabályozott és biztonságos

kezeléséről.13

A szervezetben minden használatban levő adathordózók megfele lő

dokumentáltsággal kell rendelkezzenek annak érdekében, hogy minél pontosabban nyomon

követhetőek legyenek. Ezekben a dokumentációkban érdemes feltűntetni azt, hogy milyen

információkat, fájlokat tartalmaz az adott hordozó, ezek a fájlok mikor kerültek az

adathordózóra és ki által. Ezek a dokumentációk bármilyen formában elkészíthetők, tehát

akár kézzel írott papír formában vagy automatikusan egy naplózó program segítségéve l.

Annak érdekében, hogy kontrollálni lehessen az adathordozók használatán, minden esetben

úgy kell beállítani a szervezetben használt minden informatikai eszközt, hogy csak azokat

az adathordozókat lehessen használni, amelyeket előzetesen már az informatika osztály

dolgozói ellenőriztek, elláttak megfelelő titkosítással.

Azon adathordozókat, amelyeket a szervezet a mentések tárolására használ, el ke ll

látni megfelelő dokumentációval is. A dokumentációt úgy kell összeállítani, hogy az

tartalmazza a mentés időpontját, a mentett adatok milyenségét illetve mennyiségét, az utolsó

időpontot amikor a tárolón levő adatok épségét ellenőrizték valamint a tárolásuk helyét is.

Mindezek mellett el kell látni minden adathordozót egy cédulával is, amely tartalmazza a

mentés dátumát illetve az utolsó időpontot, amikor az adatok épsége ellenőrizve volt.

Minden esetben ezeket az adathordozókat egy jól elzárt és védett helyiségben kell tartani,

amelybe csak néhány megbízható személynek van bejárása. Azon az adathordozók épségét,

amelyeket mentésekre használtak, rendszeresen ellenőrizni kell. Ezt a leghatékonyabb

módón egy program segítségével lehet elvégezni, de akár használható emberi erőforrás is,

14),15) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

28

aki egyenként átvizsgálja a hordozókon tárolt adatok milyenségét. Amennyiben az

adathordozók mozgatására kerül sor abban az esetben, arról is megfelelő dokumentációk kell

készíteni, amelyben pontosan le van írva, hogy ki, mikor, honnan, hova és milyen módon

szállította ezeket az eszközöket.

Mindezek felügyelésére érdemes kijelölni egy külön személyt, aki vállalja a

felelősséget az adathordozók kezeléséért és használatáért.

12) Hpt. 13/B. § (5) bekezdés g) pont


arányos módon kell gondoskodni a vírusvédelméről. 14

A szervezet vezetőinek gondoskodniuk kell arról, hogy az informatikai rendszer

megfelelő védelemmel legyen ellátva az esetleges kártékony kód alapú támadásokkal

szemben. Ennek elérése érdekében minden olyan eszköz, amely képes ezen kódok

futtatására, el kell látni egy, a szervezet vezetése által választott tűzfallal, valamint vírusirtó

programmal. Ezeket a programokat úgy kell beállítani, hogy ne engedjen semmiféle külső

forrásból származó, előre nem ellenőrzött programok vagy alkalmazások futtatását. Figyelni

kell arra is, hogy ezek a programok rendszeres időközönként, legalább hetente egyszer,

minden használt informatika eszközt ellenőrizzenek a kártékony kódok után. Abban az

esetben, amennyiben ezek a programok találtak ilyen kártékony kódot, jelzést kell küldjenek

a vezetésnek, illetve el kell kezdeniük a megfelelő válaszlépéseket is probléma elhárítása

érdekében. A folyamat során el kell távolítaniuk a kártékony kódot, valamint minden olyan

adatot amelyet már megfertőzött, majd ezek után a lehető legpontosabban kell helyettesíteni

az adatokat a mentések közül.


A pénzügyi szervezetnek tevékenysége ellátásához, nyilvántartásai naprakész és

biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján

indokolt védelmi intézkedéseket és rendelkeznie kell legalább az a)-g) pontokban

meghatározottakkal. 15

Ebben a bekezdésben szereplő követelményeket a kockázatelemzés kiértékelése

valamint, az ezen pontokban szereplő minimális követelmények alapján lehet teljesíteni.

16) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről 22


A pénzügyi szervezetnek rendelkeznie kell informatikai rendszerének működtetésére

vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel. 16

A vezetésnek gondoskodnia kell egy olyan működtetési tervről, amely a szervezet

minden informatikai egységére egyaránt alkalmazható. Erről a működési tervről megfe le lő

dokumentációt kell készíteni vagy papír vagy elektronikus formában. A szervezetben

érdemes egy külön dolgozó csoportot kialakítani minden rendszer működtetésére is. A

vezetésnek kötelessége meggyőződni arról, hogy ezen csoportban dolgozó emberek

rendelkeznek-e a megfelelő elméleti, valamint gyakorlati tudással az egyes rendszerek

működtetéséhez, karbantartásához és dokumentálásához. Ez könnyedén megoldható egy

megfelelően kialakított írásos- vagy szóbeli teszt segítségével, amelyet a szervezet humán

erőforrás részlegének segítségével kell lebonyolítani.

Annak érdekében, hogy a lehető legjobb áteresztőképességgel és kihasználtságga l

működhessen az informatikai rendszer, a vezetésnek gondoskodnia kell, hogy a szükséges

munkafolyamatok, feladatok a lehető leghatékonyabb módon legyenek megszervezve az

erőforrásokhoz képest, ezzel is elősegítve a szolgáltatási szint megállapodásban kitűzött

célok teljesítését. Abban az esetben, amennyiben az egyes munkafolyamatok eltérnek az

előzetesen megalkotott ütemezéstől, akkor a vezetésnek gondoskodnia kell ezen alkalmak

kivizsgálásáról. Ezt egy felelős kijelölésével tehetik meg. Egy külön eljárást kell kialakítani

minden műszakváltás esetében, hogy a rendszerek folyamatos feldolgozása ne szakadjon

meg. Ennek érdekében ki kell alakítani egy külön folyamatot a munkafeladatok átadására és

az állapot jelentések aktualizálására. Fontos az, hogy az üzemeltetési naplókba minden

esetben bekerüljenek azon szükséges kronológiai adatok, amelyek bármikor lehetővé teszik

azon adatfeldolgozási folyamatok illetve az ehhez kapcsolódó egyéb tevékenységek

idősorrendben való visszaállítását, amely segíti az egyes folyamatok áttekintését illetve

kivizsgálását. Ezen naplóbejegyzéseknek nincs törvény által meghatozott formai

követelménye, ezért ezeket akár kézzel is feljegyezhetik vagy használhatnak erre alkalmas

naplózó programokat is. Azon speciális nyomtatványok, illetve bizalmas jellegű output

eszközök, amelyeket a szervezet esetleg használ, fizikai biztonságáról a kockázatelemzés

kiértékelése után megfelelően gondoskodni kell. Abban az esetben, amennyiben az egyes

munkaállomásokon távműködtetést alkalmaznak, külön eljárást kell kidolgozni a

biztonságos csatlakozásra illetve lecsatlakozásra az adott rendszerről. Ezt a legegyszerűbben


30

egy VPN alkalmazása segítségével oldhatjuk meg, amely megfelelő titkosítássa l

rendelkezik. Fontos az, hogy minden, a szervezetben használt alkalmazás esetében

megfelelő üzemeltetési utasítások legyenek kialakítva.

A vezetőség felelősségi körébe tartozik az is, hogy kialakítsák azon hosszú- valamint

rövid távú terveket, amelyek a legnagyobb mértékben megfelelnek a szervezet által kitűzött

hosszú- illetve rövid távú célkitűzéseinek is. Akkor, amikor a szervezet informatika i

tervezését alakítja ki a vezetőség, minden esetben figyelembe kell vennie a kockázatelemzés

eredményeit és minden olyan kockázatot, amely üzleti, környezeti, emberi erőforrás

valamint technológiai megvalósításokkal jár.


A pénzügyi szervezetnek rendelkeznie kell minden olyan dokumentációval, amely az üzleti

tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és

biztonságos működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének

megszűnése után is biztosítja. 17

A pénzügyi szervezet vezetésének gondoskodnia kell, hogy pontosan meg legyenek

határozva az egyes informatikai rendszerek rendelkezésre állására valamint a

teljesítményükre kitűzött követelmények. Ez alapján kell majd elkészíteni az egyes

rendszerek rendelkezésre állásának feltétele it. Minden esetben gondoskodni kell az egyes

rendszerek rendelkezésre állásának figyelemmel kísérésével. A rendkívüli események

bekövetkeztében biztosítsa a megfelelő időbeli problémamegoldást.

Azon rendszereknek, amelyeket a kockázatelemzés alapján kritikusnak ítélt meg a

szervezet érdemes kialakítani egy külön csoportot ezeknek a támogatására. Ezen csoport

dolgozói fogadják és oldják meg azon problémákat, amelyeket a felhasználók jelentenek be.

Ezt a problémamegoldást elvégezhetik akár egy automatizált rendszer segítségével is vagy

akár személyesen, közvetlenül a felhasználónál is kiküszöbölhetik az adott problémát. Azon

rendszerek számára, amelyek nem számítanak kritikusnak elegendő egy csoport kialakítása

amely foglalkozik az összes ilyen rendszer támogatásával és hibaelhárításával. Mindezen

rendszerek esetében meg kell határozni azt a maximális időtartamot, amely még

megengedett a szüneteltetésre. Abban az esetben ha ezt valamilyen kritikus probléma miatt

nem tartható abban az esetben külön eljárást kell alkalmazni egy helyettesítő szolgálta tás

működtetésére a kérdéses időszakra.

31

Készíteni kell egy olyan folyamatról is amely az egyes rendszerek

verziófrissítéseiről, fejlesztéseiről illetve módosításukról gondoskodik. Szintén a

kockázatelemezés alapján meg kell határozni azokat a rendszereket amelyet esetében, ha

verziófrissítés történik akkor, szükséges a régi illetve új verzió párhuzamos futtatása.

Minden fejlesztés, verzióváltás illetve hibajavítási csomag élesbe helyezése előtt szükséges

elvégezni ezek tesztelését egy külön, az eredeti rendszertől elkülönített, tesztrendszerben,

amelynek lépéseit pontosan dokumentálni kell írott papír formában vagy gépelt, digitális

formában.

Abban az esetben ha szervezet egy külső vállalkozó szolgáltatásait veszi igénybe

abban az esetben az általa biztosított szolgáltatások körét pontosan meg kell határozni a vele

kötött szerződésben. Még a szolgáltatások megkezdése előbb a szervezet vezetőinek

gondoskodnia kell arról, hogy minden kapcsolatot írásbeli szerződés szabályozzon a két fél

közt, amelyektől eltérni csak rendkívüli esetekben lehetséges. Mindezek mellett olyan jogi

intézkedéseket kell tenni amely biztosítja a szervezet adatainak sértetlenségét annak

érdekében, hogy a közreműködés során ne érhesse semmi féle kár magát a szervezetet. A

szolgáltatások megkezdése után, a pénzügyi szervezetnek, gondoskodnia kell ezen

szolgáltatások folyamatos figyeléséről, annak érdekében, hogy a szerződésben

megállapodott szolgáltatásokat kapják. Ezt a legegyszerűbben egy külön felelős

kinevezésével oldhatja meg a vezetőség.

Előfordulhat az is, hogy a fent említett külsős vállalat nem csak támogatási

szolgáltatást nyújt a pénzügyi szervezet számára, hanem rendszerfejlesztéseket is biztosít.

Eben az esetben egy külön eljárást kell kialakítani az egyes fejlesztések átvételére, hogy ezek

biztonságosan történhessenek meg. Az átvett fejlesztésekről, az élesbe helyezés előtt,

gondoskodni kell, hogy a kódja ne tartalmazzon olyan eljárásokat amely megkárosíthatja a

szerveztet. A megkötött szerződésben fontos még kitérni arra, hogy a külsős vállalkozó által

fejlesztett alkalmazások minden dokumentációját, beleértve még a forráskódot is, letétbe

helyezéséről, annak érdekében ezek hozzáférhetőek legyen a pénzügyi szervezet számára

abban az esetben ha a külsős szolgáltató megszűnik.

18) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről 22


A pénzügyi szervezetnek rendelkeznie kell a szolgáltatások ellátásához szükséges

informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék

berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítő egyéb - a

tevékenységek, illetve szolgáltatások folytonosságát biztosító – megoldásokkal. 18

A pénzügyi szervezet vezetőinek gondoskodnia kell arról, hogy azon informatika i

rendszerek amelyek szolgáltatást nyújtanak, hogyha a szervezet alkalmaz ilyet rendszereket,

megszakítás nélkül, vagy a lehető legkevesebb kimaradással üzemeljenek. Ennek

megvalósítása érdekében meg kell alkotni egy olyan üzletmenet-folytonossági tervet amely

arra szolgál, hogy esetleges kimaradások esetén mik a teendők az adott folyamat újra

indítására. Ezt az üzemeltetési tervet minden rendszerre a kockázatelemzés alapján kell

elkészíteni a szervezetnek. Értve ez alatt, hogy olyan eljárásokat kell kialakítani amelyek

lehetővé teszik a kritikus rendszerek azonnali vagy a minimális idő igénybevételével a

helyreállítást, helyettesítést. A nem annyira kritikus rendszerek esetében nem fontos az

azonnali intézkedés, ellenben ezen rendszereknél is fontos meghatározni azt az időt amin

belül helyre kell állítani vagy helyettesíteni kell. Ezen kialakított tervek esetében figye lni

kell arra, hogy a tervek igazodjanak az üzleti valamint a szervezeti követelményekhez.

Annak érdekében, hogy ezen tervek eredményességüket megőrizhessék érdemes ezen

terveket rendszeresen, meghatározott időközönként felülvizsgálni. A terveket újra kell

gondolni minden olyan esetben amelyben valamilyen üzleti vagy infrastruktúra béli változás

történik a szervezet felépítésében. Fontos megbizonyosodni arról, hogy azon dolgozók, akik

az adott rendszerszerrel kapcsolatban állnak, időközönként, oktatás vagy kinyomtato tt

tananyagok révén, megfelelő képzést kapjanak arról, hogy mik a teendők az egyes

katasztrófák valamint rendkívüli események bekövetkezte esetén. Gondoskodni kell arról,

hogy amíg az informatikai részleg munkatársai az egyes rendszerek problémáinak

elhárításán dolgoznak, addig az adott rendszer felhasználói más alternatív módszerek

segítségével folytathassák munkájukat. Ezen módszerek lehetnek akár egy egyszerűbb

alternatív rendszer használata az elhárítás ideje alatt vagy akár egyszerű papír illetve toll

alapú megoldások is. Abban az esetben amennyiben egy nagyobb méretű természet i

katasztrófa következik be, a helyreállítási folyamatban meg kell határozni azon rendszereket,

külső szolgáltatókat, adatállományokat, készleteket valamint humán erőforrásokat is

amelyek kritikusnak számítanak annak érdekében, hogy a szervezet mi hamarabb

újrakezdhesse a működését. Fontos a vezetésnek meghatároznia, a kockázatelemzés alapján,

33

hogy melyek azok a kritikus rendszerek amelyek esetében szükséges egy alternatív telephely

illetve póthardver elemek tárolása is. Gondoskodni kell arról, hogy az egyes helyreállításhoz

szükséges kritikus biztonsági mentéseket tartalmazó adathordozók, dokumentációk illetve

minden szükséges informatikai erőforrás külön fizikai helyen történő, megfe le lő

biztonsággal ellátott tárolásáról.

A szervezet által nyújtott szolgáltatások meghatározása, illetve az kockázatelemzés

alapján, a vezetésnek meg kell alkotnia egy olyan keretrendszer amely segítségéve l

kidolgozhatják a szolgáltatási-szint megállapodásokat illetve azok tartalmát. Ide értve az

adott rendszerek rendelkezésre állását, biztonsági védelmét, megbízhatóságát, kapacitását,

az adott szolgáltatás esetleges díjait, teljesítményére vonatkozó adatokat és változáskezelését

is. Olyan szerződést kell kötni az egyes felhasználók illetve az informatikai részleg közt,

amelyben pontosan meghatározzák az egyes szolgáltatási szinteket minőségi, illetve

mennyiségi vonatkozásukban is. A vezetésnek ki kell neveznie, valamiféle kritériumok

alapján, egy olyan személyt akinek az a feladata, hogy minden esetben figyelemmel kísérje

ezen meghatározott szerződésben vállaltak teljesítését. Mindezek mellett a vezetésnek időről

időre meg kell vizsgálni az egyes szolgáltatási szint megállapodásokat, valamint szükség

illetve igény eseten meg kell újítaniuk akár módosítva is, a külső szolgáltatókkal megkötött

szerződéseket.

Az informatikai részleg vezetésének egy olyan problémakezelő rendszer kell

kialakítani amely gondoskodik arról, hogy az egyes rendkívüli esetek, hibák, problémák

megfelelően legyenek nyilvántartva, kivizsgálva és meghatározott időn belül megoldva.

Ezen probléma-kezelő rendszer esetén a megvalósításban a törvény nem köti meg a vezetés

kezét, tehát a nyilvántartás akár papír alapon is végezhető vagy használható informatika i

rendszer is erre a célra. A kivizsgálásra is használhat akár emberi erőforrást vagy elemző

szoftver. A megfelelő időbeni megoldásra is ugyanúgy használható emberi vagy

informatikai erőforrás. Halaszthatatlan problémás esetén a vezetés számára kötelesek az

alkalmazottak „rendkívüli esemény jelentést” készíteni, amely tartalmazza a probléma okát

és azon eljárásokat amelyeket alkalmazni szeretnének a probléma megoldására. Ez utóbbira

végrehajtásához vezetőségi engedélyre is szükség lehet hogyha azt a kockázatelemzés

eredménye megköveteli. Érdemes kialakítani egy olyan folyamatot amely a probléma

felderítésére illetve továbbításáért felelős. A problémák továbbítását akár személyes, emberi

erőforrás segítségével is meg lehet oldani, de a szervezet használhat akár egy külön

probléma-bejelentő alkalmazást is erre a célra. Minden esetben figyelni kell arra, hogy ez a


34

bejelentés mindig a meghatározott időn belül jussak el azokhoz az alkalmazottakhoz akik

kapcsolatban állnak a bejelentő által használt alkalmazással. Minden esetben a

kockázatelemzés eredményét figyelembe véve kell meghatározni a problémák elhárításának

prioritását is.

Ezen probléma kezelési rendszeren belül egy olyan naplózást kell kialakítani amely

lehetővé teszi az adott problémákat létrehozó okok felderítését.


A pénzügyi szervezetnek rendelkeznie kell olyan informatikai rendszerrel, amely lehetővé

teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési

környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását. 19

Minden a szervezetben használt alkalmazás időről időre bővítésre, hibajavítás ra,

fejlesztésre szorul. Annak érdekében, hogy a működő alkalmazások fennakadás nélkül

működhessenek tovább a fejlesztések során, egy külön környezet kell kialakítani ennek ,

amely rendelkezik saját erőforrással és teljesen független az adott rendszertől. A

költséghatékonyság érdekében érdemes kettő, három elkülönített környezet kialakítása

amelyben felváltva történnek a fejlesztések. Ellenben amennyiben a szervezet erőforrásaik

megengedik ajánlott, minden használt alkalmazásnak egy saját elkülönített környezetet

kialakítani. Az utóbbi megvalósítás előnye, hogy nem kell megvárni az előző fejlesztés

befejezését azért, hogy megkezdődhessen egy másik alkalmazás fejlesztése a szervezetben,

ezzel is időt spórolva. A fejlesztői környezet mellett érdemes az előzőekhez hasonló módon

kialakítani egy olyan tesztkörnyezetet, amelyben a szervezet dolgozói meggyőződnek arról,

hogy a fejlesztett program kód működése valóban megegyezik azzal ami a fejlesztés i

kérelemben szerepel. Ezen kívül érdemes még úgynevezett felhasználói környezetet is

kialakítani. Ezt is hasonló módon lehet kialakítani mint az előzőeket. Ebben a környezetben

azon dolgozók végzik el a fejlesztés tesztelését, akik a későbbiekben használni fogják az

adott alkalmazásokat. Ezeket a környezetek egy megfelelően titkosított vonallal kell

összekötni egymással.

Az egyes alkalmazás fejlesztések több típusúak is lehetnek. Lehetnek olyan

fejlesztések amelyek plusz, munka megkönnyítését elősegítő funkciókat hoznak az

alkalmazásba, vagy olyan fejlesztések amelyek egyes hibákat javítanak ki. Fejlesztésre

szükség lehet az egyes törvényváltoztatások esetében is, működési hibák esetében vagy

plusz funkciók bevezetése esetében is.

35

Legyen szó bármilyen típusú fejlesztésről a vezetés felelőssége, hogy az egyes

fejlesztések lépései pontosan nyomon követhetőek, ellenőrizhetőek legyenek. Erre külön

szabályzást, eljárásokat kell készíteni. Egy alkalmazás fejlesztése minden esetben a pontos

igény megfogalmazásával kezdődik, amelyet felsőbb utasításra az informatikai osztály

dolgozói készítenek, akik rendelkeznek az adott programmal kapcsolatos ismerettel, a

felhasználók kérésére. Ennek az igénynek minden esetben tartalmaznia kell egy pontos

specifikációt, amely a fejlesztés leírását jelenti, a fejlesztést kérelmező azonosítási adatait,

illetve egy dátumot, amikor a kérést készítették. Formai követelményét a szervezet maga

választja meg. Ez a kérelem, legyen akár papír, akár elektronikus formában, továbbításra

kerül a vezetők számára, akik kiértékelés után elfogadják vagy visszautasítsák a kérelmet. A

fejlesztést csak pozitív visszajelzés után kezdhetik meg a fejlesztő csapat dolgozói. A

fejlesztés elvégezése után a fejlesztői környezetből átkerül a fejlesztés technikai tesztelésre.

A technikai tesztek elvégzése után kerülhet csak át a feszhasználók tesztkörnyezetébe. Ez

után kerülhet csak élesbe az adott fejlesztés. Természetes minden állomáson megfe le lő

dokumentációt kell készíteni, aminek tartalmaznia kell egy tesztforgatókönyvet, amely

alapján elvégezték a teszteléseket, tartalmaznia kell az esetleges hibákat. Amennyibe

bármelyik szinten az adott tesztelő hibát talál akkor visszaküldi az adott fejlesztést az eggyel

lentebbi szintre ahol megpróbálják megoldani a problémát, amennyiben nem sikerül ismét

egy szinttel lennebb küldik. Végső esetben előfordulhat az is, hogy az egész fejlesztést

elölről kell kezdeni.

Mindazon változásokat, legyen ezek akár környezetbeli, akár rendszerbeli, akár

emberi erőforrásbeli, amelyet befolyásolják bármilyen formában a szervezet működését

kezelnie kell a vezetésnek. Bármiféle változás történik a szervezetben, arról megfe le lő

dokumentációt kell készíteni, ami minden esetben tartalmazza magát változást valamint

pontos időpontját. Ezekre a változásokra külön külön kockázatelemzéseket kell készíteni a

szervezetnek.

Azokban az esetekben amikor a szervezetben bármilyen adat migráció vagy

átalakítás történik, egy külön tervet kell arra készíteni. Ebben a tervbe az érintett

munkatársak leírják, hogy milyen formára szeretnék összegyűjteni az migrálandó adatokat.

Ez alatt értendő az, hogy az összegyűjtést egy szerveren oldják meg, ez érvényes digitális

adatok esetén, vagy csak egyszerűen egy helyre viszik az adatokat tároló iratokat. A tervben

szerepelnie kell annak is, hogy milyen módszerrel ellenőrzik az adatok helyességét.

Segítségül hívhatnak erre a célra egy programot vagy akár emberi erőforrást is


36

használhatnak. Mindezek mellett ennek a folyamatnak fel kell tárnia az esetleges hibákat

amik az adatbázisban szerepelnek és meg is kell oldania ezeket. Ez adat átalakítással illetve

pótlással vagy törléssel lehet megoldani.

Abban az esetben amennyiben szoftverváltás történik, akkor az új szoftver

rendszerbe helyezése előtt meg kell győződni, tesztelés segítségével, hogy valóban megfe le l

az adott szoftver a feladat ellátásra és, hogy rendelkezik vagy sem megfelelő védelmi

eljárásokkal. Mindezen tesztekről pontos dokumentációt kell készíteni. Amennyiben a

tesztelési eredmények alapján megfelel a program abban az esetben a legfelsőbb vezetésnek

gondoskodnia kell arról, hogy az adott osztály, ahol a váltás történt, vezetése formálisan is

elfogadta az új szoftver használatát és a vele járó kockázatok is tudomásul vette. Ezt a

legegyszerűbben egy papír alapú nyilatkozat aláíratásával oldhatjuk meg, de lehet erről

digitális dokumentumokat is készíteni.

A vezetésnek kell eldöntenie, a kockázatelemzés alapján, azt, hogy melyek azok a

szituációk amelyekben sürgősségi változásokat kell alkalmazni. Ezekre az esetekre a

folyamat annyiban különbözik, hogy gyors fejlesztést követően még funkcionális tesztelésre

sincs lehetőség az élesbe kerülés előtt. Ennek folyamatnak kettő-három nap alatt le kell

zajlania.

Minden, éles rendszerbe került változás után az adott szoftver dokumentációt az

informatika osztálynak aktualizálnia kell, hogy azok megfeleljenek a valóságnak.


A pénzügyi szervezetnek rendelkeznie kell az informatikai rendszer szoftver elemeiről

(alkalmazások, adatok, operációs rendszer és környezetük) olyan biztonsági mentésekkel

és mentési rend-del (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási

rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás

kritikus helyreállítási idején belül lehetővé teszik. Ezen mentéseket környezeti kockázati

szempontból elkülönítetten és védett módon kell tárolni, valamint gondoskodni kell a

mentések forrásrendszerrel azonos szintű hozzáférés védelméről. 20

A szervezet vezetésének gondoskodni kell arról, hogy az informatikai rendszerről

megfelelő mentések legyenek készítve. A módszer kiválasztásában nincs megkötés, tehát

választhat a vezetés teljesen automatizált megoldást vagy akár alkalmazhat humán erőforrást

is. Ezt csakis a szervezet keretei szabják meg. A számos biztonsági mentés fajták közül is


37

szabadon választhat, de ajánlott a napi mentés használata, ugyanis ez a típusú mentés csak

azokat a fájlokról csinál másolatot amik aznap kerültek módosításra.

Ezeket a mentéseket minden esetben egy jól őrzött helyiségben kell tárolni ahova

csak bizonyos személyeknek van belépési joguk, legyenek ezek a mentések akár egy

szerveren tárolva, akár hordozható adattárolóra mentve. Ezen a mentések használhatóságá t

és hibátlanságát időről időre érdemes vagy program segítségével vagy emberi erőforrást

használva ellenőrizni. Érdemes ezeket a mentéseket fizikailag más helyen tárolni mint ahol

az eredeti adatok vannak, ezzel elkerülve az esetleges természeti katasztrófákból adódó

károsodásokat.

Ezek a mentések bármely pillanatban visszatölthetők kell legyenek, ami egyszerű

feladat amennyiben külön programot használnak a mentések elkészítésére, ugyanis ezek a

programok rendelkeznek visszaállítási opcióval is így rövid időn belül visszaállíthatók ezek

az elvesztett adatok.


A pénzügyi szervezetnek rendelkeznie kell jogszabályban meghatározott nyilvántartás

ismételt előhívására alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált

anyagokat a jog-szabályokban meghatározott ideig, de legalább öt évig (pénztárak

esetében az adott tag tagsági jogviszonyának megszűnését követő 5 évig), bármikor

visszakereshetően, helyreállíthatóan megőrizzék. 21

Az egyes programok, fájlok megőrzéséről, archiválásáról a kijelölt adatgazdáknak

kell gondoskodniuk minden esetben. Azok az adatok amelyek archiválásra kerülnek

megfelelően, elkülönítve kell tárolni egy elzárt helyen a vezetés által választott módon, vagy

szervereket vagy hordozható adattárolókon. Mindezen archivált adatokról megfe le lő

dokumentációt kell készíteni, amely tartalmazza az adatok milyenségét és az archivá lás

pontos időpontját is. Időről időre, program vagy emberi erőforrás segítségével, meg kell

győződni az adatok épségéről is. Ezeket az adatokat minimum öt évig őrizni kell, egyes

adatok esetében ez az időtartam több is lehet.


A pénzügyi szervezetnek rendelkeznie kell a szolgáltatásai folyamatosságát akadályozó

rendkívüli események kezelésére szolgáló tervvel. 22


38

Az adott szervezetnek mindenkoron rendelkeznie kell, vagy elektronikus vagy

papírra írt formában, azokkal a dokumentumokkal amely az üzletmenet- folytonossági tervet

tartalmazzák. Ezeket a dokumentumokat egy megfelelően elzárt valamit korlátozott

hozzáféréssel rendelkező raktárhelyiségben kell elhelyezni akkor, ha papír formában

találhatók meg. Amennyiben ezek elektronikus formában vannak akkor egy hasonló

paraméterekkel rendelkező teremben kell üzemelni azokat az adattároló egységeket,

amelyek ezeket a dokumentumokat tárolják. Mind a két esetben egy elkülönített egységben

kell tárolni az ezekről készített biztonsági másolatokat, amelyeket hasonló biztonsági

paraméterekkel ellátott tároló egységben kell tárolni.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az a)-g) pontokban

meghatározottaknak. 23

Ezen bekezdésben leírt követelményeket az egyes pénzügyi szervezetek abban az

esetben teljesíthetik, amennyiben eleget tesz már az engedélyezésekor, valamint mindaddig

amíg tevékenységét folytatja a következőknek.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az általa fejlesztett,

megrendelésére készített informatikai rendszer felépítésének és működtetésének az

ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek teljes körű és naprakész

nyilvántartásának. 24

Minden alkalmazásnak amelyet a pénzügyi intézet használ rendelkeznie kell egy

megfelelő leírással és modellel, ellenkező esetben nem kerülhetnek használatba ezek. Ezeket

a rendszerleírásokat, valamint modelleket megfelelően védve, egy jól elzárt raktárban kell

tárolni abban az esetben amennyiben ezek papír alapúak, vagy megfelelő védelemmel

ellátott tárhelyeket ha ezek elektronikus alapúak. Ezeket a dokumentumokat addig kell

tárolni amíg a programok használatban vannak. Abban az esetben amennyiben bármelyik

leírás megsemmisülne vagy károsodna a szervezet dolgozóinak azonnal pótolniuk kel

azokat.

25),26),27) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről 22


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az általa fejlesztett,

megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az

adatok tárolási szerkezetének teljes körű és naprakész nyilvántartásának. 25

Ezen dokumentumok mindegyike akkor kerül elkészítésre amikor az egyes

alkalmazások fejlesztési folyamata zajlik. A vezetésnek gondoskodnia kell arról, hogy ezek

a dokumentumok, mind addig amíg az alkalmazások használatban vannak a szervezetné l,

megfelelően legyen tárolva, akár elektronikus formában, akár papír formában, megfele lően

el legyenek zárva és csak a jogosult személyek férhessenek hozza.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az informatikai rendszer

elemeinek a pénzügyi szervezet által meghatározott biztonsági osztályokba sorolási

rendszerének. 26

Az adott pénzügyi szervezetnek mindenkoron rendelkeznie kell azokkal a

dokumentumokkal amelyek a szervezet egységeit, biztonsági osztályokba való besorolását

és magukat a biztonsági osztályok leírást tartalmazzák. Akárcsak az eddigiekhez hasonlóan

ezeket a dokumentumok is lehetnek, akár papír akár, elektronikus formában tárolva egy jól

elzárt és korlátozott hozzáféréssel rendelkező tároló helyiségben. Ezekről a

dokumentumokról is érdemes biztonsági másolatot készíteni az esetleges kockázatok miatt

bekövetkezett károk minimalizálása érdekében. Érdemes ezeket a dokumentumokat az

eredetitől elkülönítve, akár más szervezeti egységben tárolni.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az adatokhoz történő

hozzáférési rend meghatározásának teljes körű és naprakész nyilvántartásának. 27

A pénzügyi szervezet vezetésének gondoskodnia kell arról, hogy minden olyan

dokumentum amelyben a dolgozók hozzáférése jogait tárolják bármikor előkereshetőek

legyenek. Ezeked a dokumentumokat tárolhatják akár elektronikus formában amely esetén

az előkeresésesük egyszerűbb folyamat, de táról hatják egy megfelelő fizikai biztonsággal is

ellátott raktárhelyiségben papír alapú formában. Gondoskodni kell arról is, hogy ezek a

28),29),30) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

40

dokumentumok időről időre ellenőrzésre kerüljenek a szervezet dolgozói által, annak

érdekében, hogy mindig naprakészek legyenek.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az adatgazda és a

rendszergazda kijelölését tartalmazó okiratnak teljes körű és naprakész

nyilvántartásának. 28

Az intézmény adatbázisában elektronikus formában vagy pedig egyszerű papíros

formában raktárában, mindaddig amíg működését folytatja, el kell tártólmi azokat a

dokumentumokat amelyekben az egyes adatbázisok biztonságáért felelős, valamit az egyes

rendszéket karbantartó személyek, adatait tartalmazza. Ezen dokumentumoknak feltétlenül

tartalmazniuk kell a benne szereplő személyek pontos nevét, félreérthetetlen azonosítójukat

valamint a kinevezésük esetleg leváltásuk pontos időpontjait.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az alkalmazott szoftver

eszközök jogtisztaságát bizonyító szerződéseknek. 29

Mivel minden a szervezetben használt szoftvernek jogtisztának kel lennie ezért a

szervezetnek azon igazoló elektronikus vagy papír formában levő jogi dokumentumokat

amelyeket az adott szoftver megvásárlása vagy fejlesztése során készítettek megfe le lő

helyen elzártan kell tárolni amihez csak egyes személyek férnek hozza.


A pénzügyi szervezetnél mindenkor rendelkezésre kell állnia az informatikai rendszert

alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának teljes

körű és naprakész nyilvántartásának. 30

Minden a szervezetben használt szoftverről a szervezetnek rendelkezni kell egy, vagy

elektronikus vagy papír alapú nyilvántartással, amelyeket olyan helyen kell tárolni ahonnan

könnyen elő lehet keresni. A papír alapú megoldások esetében egy jó felépíte tt

raktárrendszerrel lehet, az elektronikus formában levőket egy központi tároló helyen tárolva,

amelyen könnyednél lehetséges a keresés.

31),32),33),34) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

41


A pénzügyi szervezetnél a szoftvereknek együttesen alkalmasnak kell lenniük legalább a

bekezdésben meghatározottaknak. 31

Ezen bekezdésben azon követelmények szerepelnek amelyek a szervezet által

esetleg használt szoftverekre vonatkoznak. Abban az esetben ha a szervezet a bekezdésben

szereplő szoftverek egyikét sem alkalmazza így ez a pont figyelmen kívül hagyható.


A pénzügyi szervezetnél a szoftvereknek együttesen alkalmasnak kell lenniük a

működéshez szükséges és jogszabályban előírt adatok nyilvántartására. 32

Abban az esetben ha ezen dokumentumokat a szervezet elektronikus módon tárolja

akkor olyan szoftvereket kell használni amelyek alkalmasak ezen adatok pontos

nyilvántartására.


A pénzügyi szervezetnél a szoftvereknek együttesen alkalmasnak kell lenniük a tárolt

adatok ellenőrzéséhez való felhasználására. 33

Mivel a szervezetben tárolt adatokat időről időre ellenőrzés alá kell vetni ezért úgy

kell kialakítani az informatikai rendszereteket, hogy, az e célra használt programok képesek

legyenek a szervezet által elvárt szint szerint elvégezni ezt.


A pénzügyi szervezetnél a szoftvereknek együttesen alkalmasnak kell lenniük a biztonsági

kockázattal arányos logikai védelemre és a sérthetetlenség védelmére. 34

Abban az esetben amennyiben az adott pénzügyi szervezet vezetősége úgy dönt,

hogy fent említett adatokat elektronikusan tárolja, abban az esetben úgy kell kialakítani

ezeket, hogy az adatok megfelelő biztonságban, teljes mértékben elkülönítve legyenek

tárolva, gondoskodva arról, hogy ne legyen kompromittálhatóak ezek az adatok.

35), 36) Idézve: A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

42

33) Hpt. 13/B. § (8) bekezdés b)-c) pont

A pénzügyi szervezetnél a szoftvereknek együttesen alkalmasnak kell lenniük a pénz és az

értékpapírok biztonságos nyilvántartására, a befektetési és árutőzsdei szolgáltatások

tárgyának elkülönített naprakész nyilvántartására, valamint az országos informatikai

rendszerekhez történő közvetlen vagy közvetett csatlakozásra. 35

Abban az esetben amennyiben a bank úgy dönt, hogy folytat a bekezdésben leírt

tevékenységeket abban az esetben rendelkeznie kell olyan rendszerrel amely képes tárolni a

fent említett adatokat. Tehát ezen rendszereknek ki kell alakítani megfelelő fizikai illetve

logikai védelmet, gondoskodni kell arról, hogy a tárolt adatok ne legyenek

kompromittálhatóak, tehát egy zárt rendszer legyen, korlátozni kell minden használt

szoftverhez a hozzáférést valamint meg kell osztani a felelősségi köröket azon dolgozók

között akik érintettek az adott tevékenység lefolytatásosában.


A pénzügyi szervezet belső szabályzatában meg kell határozni az egyes munkakörök

betöltéséhez szükséges informatikai ismeretet. 36

Vezetésnek meg kell határozni azokat a minimális gyakorlati ismereteket amelyekke l

rendelkezni kell az szervezet dolgozóinak. Minden, a szervezetben létező munkakörhöz

külön külön meg kell határozni ezt. Ilyen követelmény lehet például az alapvető Microsoft

Office gyakorlati használata vagy egy magasabb szintű, szervezetben használt egyedi

alkalmazás használatának ismeretei. Abban az esetben amennyiben az adott dolgozó nem

rendelkezik a megfelelő tudással akkor azt oktatás útját biztosítani kell számára. Mindezek

mellett a szervezetnek gondoskodnia kell arról, hogy mindenki, a munkakörének megfe le lő

szinten ismerje az informatikai biztonság alapelveit. Ezt oktatás útján lehet a

leghatékonyabban megvalósítani, valamint számonkérés útján ellenőrizni. Ezeket az

oktatásokat rendszeres jelleggel meg kell ismételni, hogy a vezetés megbizonyosodhasson

arról, hogy minden dolgozója rendelkezik a szükséges informatika ismeretekkel a feladata

elvégzéséhez.

43

Következtetések

A dolgozat tartalma után levonhatjuk azokat a következtetéseket, miszerint a Magyar

állam, illetve az MNB által meghatározott követelmények mindegyike azért jött létre, hogy

elterjesszék hazánkban is az igen népszerű és bevált gyakorlati megoldásokat, amelyeket a

COBIT alkotott meg. Céljuk elérése érdekében azonban az auditoroknak minden esetben

szigorúan és precízen kell ellenőrizzék az egyes pénzügyi szervezetek rendszereit. Abban az

esetben, ha bármiféle eltérést, hibát találnak súlyos büntetéseket szabhatnak ki az

intézetekre, vagy akár felfüggeszthetik munkájukat is. Kötelezhetik őket a hibák minél

hamarabbi kijavítására. Ezek a büntetések elkerülhetetlenek annak érdekében, hogy egy

megfelelő, külföldi szinten is elismert biztonsági rendszert alkossanak meg.

Akárcsak a törvények, úgy a COBIT is, széles körű megvalósítási módszereket kínál

az intézmények számára, kezdve az egyszerű papír és emberi erőforrás alapú módszerektől,

egészen a teljes mértékben automatizált és emberi erőforrást igénybe nem vevő

rendszerekig. Véleményem szerint azonban, hogy ezek a megoldások minden esetben a

kornak megfelelőek legyenek, a megvalósítás esetében a legmodernebb és legkorszerűbb

eszközök használata szükséges, amelyek minden esetben automatikusan végzik azt a

feladatukat.

Sajnálatos módon, az gyakorlati időm alatt is tapasztalhattam, hogy a magyarországi

viszonylatban a legtöbb intézmény minden esetben arra törekszik, hogy gond nélkül

megfeleljen az auditorok által megkövetelt minimumoknak, annak érdekében, hogy

folytathassa tevékenységét, és nem arra, hogy egy megfelelő, nemzetközi szinten is elismert

informatikai biztonsági rendszert alkossanak meg.

44

Irodalomjegyzék

1. PSZÁF - Pénzügyi Szervezetek Állami Felügyelete és információk című cikk -

http://www.biztoshely.hu/pszaf-penzugyi-szervezetek-allami-felugyelete-es-

informaciok.html

2. A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani

útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről -

https://www.mnb.hu/letoltes/pszafhu-utmut-107cobit.pdf

Letöltve: 2015. október 13.

3. 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról -

http://www.gvh.hu/data/cms1024022/1996_evi_CXII_torveny.pdf

Letöltve: 2015. október 13.

4. 2013-2014-1 Zsigmond Király Főiskola – Gazdaságinformatika - Informatikai

biztonság alapjai 1 tananyaga

5. 2013-2014-1 Zsigmond Király Főiskola – Gazdaságinformatika - Informatikai

biztonság alapjai 2 tananyaga

https://www.mnb.hu/letoltes/pszafhu-utmut-107cobit.pdf

http://www.gvh.hu/data/cms1024022/1996_evi_CXII_torveny.pdf

Absztrakt

A szakdolgozatom segítségével szeretném bemutatni azon, Magyarországon érvényben

levő, törvényeket és azok rövid gyakorlati megvalósításának lehetőségeit annak érdekében,

hogy a Magyarországon működő pénzintézet teljesíteni tudja azon minimális a

követelményeket, amelyeket egy lehetséges audit során támasztanak feléjük.

A dolgozatom első részében bemutatom általánosságban a mindennapi életben történő

változásokat az informatika terén, COBIT rövid történetét, a PSZÁF-et és az MNB-t

valamint a köztük levő kapcsolatot, a kiszervezés kapcsán figyelendőket, a

felhőszolgáltatással együtt valamint egy általános üzletfolytonossági tervet is.

A dolgozatom következő részében felsorolom azokat a törvényeket, amelyeket az MNB

határozott meg annak érdekében, hogy segítse az intézeteket a sikeres auditon történő

részvételen valamint ezzel szorgalmazza a COBIT használatának elterjedését. Minden

törvény követelményét részletesen kibontottam a dolgozatomban.

Végül, a dolgozat végén szemléltettem a dolgozatból levont következtetéseket is.

Abstract

In my thesis I have introduced every, in Hungary currently used, laws and their practical

realizition so that every financial instition could meet those excpected requirement during

an audit.

In the first part of my thesis I introduce the changes whitch happend on the field of IT, I

present the PSZÁF and the MNB whit their relationship, the short hystory of the COBIT,

the methids of oursoursing, including the cloud solutions, and a generaly made Business

Continuity Plan.

In the next part I listed every law made by the MNB in interest to help the institions to pass

the audit exam and the efforts made by the govermant to spread the COBIT’s standards. I

expleined the requirements made by every law.

Finally in my conclusion I describet my thoughts related to my topic.

Kép és Ábrajegyzés

1. ábra: Ábra a COBIT könyveinek csoportosításáról, Forrás: COBIT Security Baseline

(Copyright © 2004 IT Governance Institute), Letöltve 2015. október 13.

2. ábra: Ábra a Az üzletmenet folytonossági terv (BCP) és a katasztrófa-elhárítási terv

(DRP) viszonya, Forrás: Az üzletment-folytonosság tervezése, BCP/DRP, üzleti

hatáselemzés (BIA) című előadás (Órai előadás prezentáció: Tarján Gábor, 2013.

október 30.)

3. ábra: Ábra az összeférhetetlen feladatok és felelősségekről a COBIT szerint, Forrás:

A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani

útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről, Letöltve

2015. október 13.

Minimális informatikai biztonság kiépítése a hazai bankszektorban

Documents

Transcript of Minimális informatikai biztonság kiépítése a hazai bankszektorban