IT vizsgálatok tapasztalatai a pénzügyi szervezeteknél

Átírás

1 IT vizsgálatok tapasztalatai a pénzügyi szervezeteknél Tapolca, november Kirner Attila főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu 1/30

2 Tartalom Feladataink Jogszabályi háttér Vizsgálati alapelvek Vizsgálati szempontok Tapasztalatok Javaslatok 2/30

3 Feladataink - 1 PSZÁF stratégiai célkitűzései: Ellenőrzési hatékonyság javítása A vizsgálati idők csökkentése Erőforrás optimalizálás A PSZÁF vizsgálatok fejlesztési irányai: A konszolidált felügyelés módszertanának továbbfejlesztése (eljárásrend, ellenőrzési kézikönyvek) Kockázat alapú ellenőrzés kialakítása Az elemzés, minősítés és a helyszíni vizsgálat koherens rendszerbe foglalása Útmutatók, ajánlások, jogharmonizáció 3/30

4 Feladataink - 2 PSZÁF statisztika: Átfogó vizsgálat 261 (114/29/31/87) 236 (143/28/15/50) Célvizsgálat 161 (65/30/10/56) 84 (32/29/4/19) Utóvizsgálat 24 (14/5/2/3) 20 (11/0/5/4) Összesen 446 (193/64/43/146) 340 (186/57/24/73) IT vizsgálat 104 (62/15/16/11) 138 (75/8/39/16) Bírság 92 (178,5mFt) 69 (133,8mFt) Megjegyzés: Összesen (Hitelintézet / Befszolg / Biztosító / Pénztár) 4/30

5 Feladataink - 3 A PSZÁF feladata, célja (1999. évi CXXIV.): A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, a pénzügyi szervezetek prudens és hatékony működésének, tulajdonosaik gondos joggyakorlásának elősegítése és folyamatos felügyelete. Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása 5/30

6 Feladataink - 4 A PSZÁF IFF bemutatása: Létszám: 10 fő (9 + 1) 8 CISA képesítés, 1 FED minősítés Banki illetve távközlési tapasztalat Informatika felügyeleti vizsgálatok, engedélyezés, módszertani fejlesztések Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO 13335, ITIL stb.) A évi XXII. tv. 1. -ának (13/B. ) bevezetésének indoka:, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében. 6/30

7 Feladataink -5 Felügyeleti munka minőségének állomásai: ISO 9001:2000 szerint tanúsított rendszer 2002 novemberében CAF (közigazgatási kiválósági modell szerinti megfelelés) 2002 óta évente IIASA SHIBA minőségi díj 2002-ben QM 9004 tanúsítás 2003-ban Igény az információk szisztematikus teljeskörű védelmére (ISO 17799:2002) 2004 február Évenkénti imázsvizsgálat. 7/30

8 Feladataink -6 Imázs vizsgálat megállapításai: 1. Ismerik a felügyelőjüket (leginformáltabbak), kimutatásokat. 2. Szükségesnek tartják a felügyeleti ellenőrzéseket (98%). 3. Szakszerűség? Dícséret 75%-ban (szakmai színvonal, kollegiális hozzáállás, alaposság, korrektség), kritika 25%- ban (vitathatóság, túlzott aprólékosság, helytelen megállapítások, szubjektivitás, hibák) 4. Intézkedések csökkentek (71%-ról 43%-ra), egyetért 65%. 5. A PSZÁF az ügyfelek érdekét védi (80%). 6. A felügyelőknél a legfontosabb a szakmai felkészültség (4,21), a problémakezelés (3,78), a segítőkészség (4,13). 8/30

9 Feladataink -7 Imázs vizsgálat megállapításai (folytatás): 7. PSZÁF tevékenysége általánosságban jó (79%-ban 4-es vagy 5-ös). 8. Vélemény a PSZÁF jellemzőiről 13 ellentétpárral összességében pozitív (határozott, nagy szakértelmű 74%, gyors, rugalmas 52%). 9. PSZÁF szerepe a jövőben? 1. Ne legyen szabályozási hatásköre 56%, 2. Vizsgálja a törvényességet (79%), ügyfélbiztonságot (74%), kockázatokat 52%, szabályok betartását (38%), stabilitást (33%), adatszolgáltatást (31%), szabályozottságot (31%), átláthatóságot (28%) 10. Változtatási javaslatok az információszolgáltatásban. 11. Összesített imázs szektoronként. 9/30

10 További terveink: Feladataink - 8 Kockázat alapú felügyelet erősítése A legjobb gyakorlat meghonosítása, statisztikák tapasztalatok gyűjtése Ajánlások, törvényi szabályozások Működési kockázatok kezelése, felkészülés a Bázeli Bankfelügyeleti ajánlások ellenőrzésére Az EU csatlakozásból adódó feladatok Folyamatos képzés, új technológiák, e-kereskedelem 10/30

11 Jogszabályi háttér évi CXXIV. - a PSZÁF-ról évi IV. - (Áe) az államigazgatási eljárásról évi LXXXII. - (Mpt) a magánnyugdíjpénztárakról évi XCVI. - (Öpt) az önkéntes pénztárakról évi LXXX. - (Tbj) a társadalombiztosításról 281/2001. Korm. - az Öpt-k befektetési és gazd-i tev.-ről 282/2001. Korm. - a Mpt.-k befektetési és gazd-i tev.-ről 268/1997. Korm. - az Ept.-k befektetési és gazd-i tev.-ről 222/2000. Korm. - a Mpt.-k számviteléről 223/2000. Korm. - az Öpt.-k számviteléről 252/2000. Korm. - az Ept.-k számviteléről 263/2003. Korm. az Ept.-k szolgáltatásairól 11/30

12 Jogszabályi háttér évi XXII. - a befektetések védelméről 10/2001-es PSZÁF ajánlás a biztonsági feltételekről évi LXIII. - a személyes adatok védelméről évi LXV. - az államtitok és szolgálati titokról évi IV. (Btk) 300 titoksértés és számítástechnikai rendszerek védelmének megsértésével évi CLV. - a fogyasztóvédelemről 15/2001-es PSZÁF ajánlás a fogyasztók tájékoztatásáról évi XXIV. - a pénzmosás megelőzéséről évi XXXV. - az e-aláírásról évi CVIII. - az e-kereskedelemről. 12/30

13 Jogszabályi háttér - 3 Módosítás az Mpt-ben: 79 (1) A pénztártitok és üzleti titok megtartásának kötelezettsége nem áll fenn l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végző szolgáltatóval szemben. 79 (2) A pénztártitok csak akkor adható ki harmadik személynek, ha a) a pénztártag a rá vonatkozó adatkört pontosan megjelölve közokiratban vagy teljes bizonyító erejű magánokiratban erre felhatalmazást ad. 13/30

14 Jogszabályi háttér - 4 Az évi LXIII. Tv. (Adatvédelmi törvény) módosulása: 31/A (1)... belső adatvédelmi felelőst kell kinevezni vagy megbízni b) a pénzügyi szervezeteknél 31/A (2) A belső adatvédelmi felelős: a) közreműködik az adatkezelési döntésekben b) ellenőrzi az adatbiztonsági követelmények c) kivizsgálja a bejelentéseket d) elkészíti az adatvédelmi szabályzatot e) vezeti az adatvédelmi nyilvántartást (28-30 ) f) gondoskodik az adatvédelmi oktatásról 14/30

15 Vizsgálati alapelvek - 1 COBIT módszertan szerint ( a tudatos vezetés eszköze, A legjobb hazai és nemzetközi gyakorlat követése Kockázatalapú vizsgálat Kontrollok vizsgálata (preventív, detektív, korrektív) Megfelelőségi (compliance) és mélységi (substantial) vizsgálatok 15/30

16 Kontrollok: Vizsgálati alapelvek - 2 Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. 16/30

17 Vizsgálati alapelvek /30

18 Vizsgálati alapelvek /30

19 Vizsgálati alapelvek - 5 Az IT kockázatok összetevői: F - Fenyegetés (eredete, célpontja, hozzáférési módok - logikai, fizikai, külső, belső, stb.) S - Sebezhetőség (szervezeti, technikai mechanikai, elektronikai, rossz konfiguráció adminisztratív, személyi, fizikai) V Veszteség (pénzügyi, üzleti, humán, közvetlen, közvetett) Az IT kockázatok mértéke: K = F * S * V Ha a fenyegetés, a sebezhetőség vagy a veszteség értéke nulla, akkor a kockázat is nulla. 19/30

20 Vizsgálati alapelvek - 6 Fontosabb teendők a BS7799 szerint: Informatikai biztonsági szabályzat Szervezetbiztonság A vagyon osztályozása és ellenőrzése A személyzet biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés menedzselése. Hozzáférések szabályozása, kontrollja Rendszerek fejlesztése és karbantartása Az üzletmenet folyamatosságának biztosítása Megfelelőség és annak felülvizsgálata 20/30

21 Vizsgálati szempontok - 1 Az informatikai rendszer vizsgálata: A PSZÁF 31/2003-as elnöki utasítása alapján A törvényi szabályozás betartásának vizsgálata mellett az ISACA nyílt szabványa a COBIT alapján A helyszíni vizsgálat megkezdéséig a vizsgált szervezet önbevallás szerűen egy adatlapot tölt ki, amely a helyszíni vizsgálatot jelentősen lerövidíti Nem helyszíni vizsgálat esetén kétoldalas Bekérendő anyagok listája, check-listák 21/30

22 Vizsgálati szempontok - 2 Szervezet és feladat elhatárolás Szám Funkció megnevezése Név Beosztás Szakirányú képesítés 1. Az informatikáért felelős felső vezető 2. Az informatika szervezet vezetője 3. Az üzemeltetésért felelős 4. A fejlesztésekért felelős 5. Beszerzésért felelős 6. Adatvédelmi felelős 7. Informatikai biz-tonsági felelős 8. Informatikát vizs-gáló belső ellenőr 9. Külső vizsgálatok 10. Külső könyvvizs-gáló 11. Csoport ill. konszern vizsgálók 12. Egyéb Kitöltés dátuma: Kitöltötte: Ellenőrizte: Név: Beosztás: Név: Beosztás: Dátum: Aláírás: Dátum: Aláírás: Mióta végzi ezt a feladatot Ha külső vállalkozás látja el, a vállalkozás megnevezése 22/30

23 Vizsgálati szempontok - 3 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 23/30

24 Vizsgálati szempontok - 4 Ssz. Kérdés Informatikai helyzet Kockázat mennyisége Kockázat kezelés minősége nagyon jó Változás iránya 1. Tervezés, vezetés, szervezet, szabályozás nagyon jó nagyon alacsony javuló 2. Beszerzés, fejlesztés, jó alacsony jó stagnáló üzembe helyezés 3. Üzemeltetés kielégítő mérsékelt közepes romló 4. Monitorozás, ellenőrzés Összesített értékelés megengedett magas elfogadható erősen romló nem elfogadható nagyon magas gyenge nem értékelhető 24/30

25 Tapasztalatok -1 Általános PSZÁF tapasztalatok: Alapvető rendszerprobléma nincs Többségük stabil, működésük prudens Gyakran számviteli hiányosságok Belső szabályzatok hiányosságai A működési kockázatok jelen vannak Informatikai problémák Kockázatkezelés és belső ellenőrzés vegyes Fogyasztóvédelem, ügyfél-tájékoztatás Problémák külföldi tulajdonos esetén 25/30

26 Tapasztalatok - 2 Pozitívumok: A PSZÁF által felvetett hiányosságokat igyekeznek megszüntetni, pozitív hozzáállás. Az IT fontossága ismert, javuló tendencia. Negatívumok: A stratégiának, éves tervnek nem része az IT. Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása. A szabályzatok hiányoznak, nem aktuálisak. BCP, DRP nincs, nem aktualizált (van olyan, ami még a év váltásra készült). Mentési, archiválási hiányok. 26/30

27 A szakképzettség hiánya. Tapasztalatok - 3 A vezetőség (és EB) saját értékelése szerint is kiszolgáltatottak az informatikai szállítóknak, szolgáltatóknak. Korszerűtlen, nem integrált, biztonságosan csak rendkívüli költségekkel üzemeltethető alaprendszer, amelyek száma fokozatosan csökken Beépített audit lehetőségek hiánya, kihasználatlansága. Változáskezelési hiányosságok, a korszerűtlen rendszer leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment. 27/30

28 Tapasztalatok - 4 Külsős szerződések hiányosságai, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya. A kisebb intézményeknél több a hiányosság. Az IT architektúra nem megfelelően dokumentált, nyilvántartási hiányosságok vannak. Hozzáférés- és jelszókezelés hiányosságai. A biztonság tudatosság alacsony színvonalú, oktatások, felhasználói támogatás hiányosságai. A belső ellenőrzés nem végez IT vizsgálatot (szakképzetlenség), naplófájlok ellenőrizetlensége. 28/30

29 Javaslatok Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése. A szabályzatok aktualizálására fordítsanak gondot (SZVSZ, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Változáskezelés, stb.) Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. A biztonság tudatosság erősítése, biztonsági szempontok érvényesítése a fejlesztésekben. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása 29/30

30 Hasznos webcímek /30