IT vizsgálatok tapasztalatai a biztosítóknál

Átírás

1 IT vizsgálatok tapasztalatai a biztosítóknál Budapest, május 24. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu 1/30

2 Feladataink Jogszabályi háttér Vizsgálati alapelvek Tapasztalatok Javaslatok Audit eszközök Tartalom 2/30

3 Feladataink - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, elősegítése, a pénzügyi szolgáltatási szervezet prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján. Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása 3/30

4 Feladataink -2 Felügyeleti munka minőségének állomásai: ISO 9001:2000 szerint tanúsított rendszer 2002 novemberében CAF (közigazgatási kiválósági modell szerinti megfelelés) 2002 óta évente IIASA SHIBA minőségi díj 2002-ben QM 9004 tanúsítás 2003-ban Igény az információk szisztematikus teljeskörű védelmére (ISO 17799:2002) 2004 február Évenkénti imázsvizsgálat. 4/30

5 Feladataink 3 A PSZÁF IFF bemutatása: Létszám: 10 fő (9 + 1) 8 CISA képesítés, 1 FED minősítés Banki, távközlési és ellenőrzési tapasztalat (nemzetközi!) Informatika felügyeleti vizsgálatok, engedélyezés, módszertani fejlesztések Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO 13335, ITIL stb.) A évi XXII. tv. 1. -ának (13/B. ) bevezetésének indoka:, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében. 5/30

6 Feladataink - 4 További terveink: Kockázat alapú felügyelet erősítése, a működési kockázatok kezelése A legjobb gyakorlat meghonosítása, statisztikák tapasztalatok gyűjtése Ajánlások, törvényi szabályozások Az EU csatlakozásból adódó feladatok Folyamatos képzés, új technológiák 6/30

7 Jogszabályi háttér évi CXXIV. - a PSZÁF-ról évi LX. (Bit) a biztosítóintézetekről évi XXII. - a befektetések védelméről évi CXII. (Hpt) a hitelintézetekről évi CXX. (Tpt) a tőkepiacról évi CI. tv. az adókról és járulékokról évi LXXXII. (Mpt) a magánnyugdíjpénztárakról évi XCVI. (Öpt) az önkéntes pénztárakról évi IV. (Áe) az államigazgatási eljárásról. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről évi LXIII. - a személyes adatok védelméről. 7/30

8 Jogszabályi háttér A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: a) az üzleti tervben meghatározott biztosítási tevékenységhez igazodó, megfelelő színvonalú ügyfélszolgálati, kárrendezési tevékenység ellátására szolgáló helyiség(ek) tulajdoni, használati vagy bérleti joga, b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a működési kockázatok csökkentését szolgáló információs és ellenőrzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv, c) az adatvédelmet szolgáló (kézi és gépi) irattározás feltételeinek kialakítása. 8/30

9 Jogszabályi háttér - 3 A biztosítási szükséghelyzet 216. (1) Ha a biztosító a) fizetési kötelezettségeinek 5 napon belül nem tesz eleget, vagy b) biztosítástechnikai tartalékai nem érik el a szükséges mértéket, c) biztonsági tőkéjének fedezete nem elegendő vagy d) a szanálási, illetve a pénzügyi tervét a Felügyelet által meghatározott időn belül nem tudja végrehajtani, vagy e) tevékenysége körében más olyan különösen súlyos veszélyhelyzet alakult ki, amely a biztosítási szolgáltatások biztonságát fenyegeti (a továbbiakban a)-e) pontok együtt vagy külön-külön: szükséghelyzet) a Felügyelet a felszámolás elkerülése, valamint a biztosítottak érdekében szükségintézkedést tehet 9/30

10 Jogszabályi háttér - 4 Biztosítási titok: 153. Biztosítási titok minden olyan, a biztosító rendelkezésére álló adat, amely a biztosító egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik Biztosítási titok csak akkor adható ki harmadik személynek, ha a) a biztosító ügyfele vagy annak törvényes képviselője a kiszolgáltatható biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásban felmentést ad, b) e törvény alapján a titoktartási kötelezettség nem áll fenn (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn a) a feladatkörében eljáró Felügyelettel, o) a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzővel, ; 10/30

11 Jogszabályi háttér - 5 Az ügymenet kiszervezésének feltételei 76. (1) A biztosító - az adatvédelmi előírások betartása mellett - az ügymenetének bármely elemét kiszervezheti, kivéve a 6. számú melléklet I. pontjában foglaltakat. A tilalom nem terjed ki a ki nem szervezhető feladatok teljesítéséhez szükséges szakértői szolgáltatások igénybevételére. A termékértékesítés más általi végzése nem minősül az ügymenet kiszervezésének. (2) Az ügymenet kiszervezésének feltétele, hogy az irányítási és ellenőrzési jog megmaradjon a biztosítónál. (3) A biztosító a 6. számú melléklet II. pontjában felsorolt tevékenységek (1. aktuáriusi feladatok; 2. elektronikus adatfeldolgozás; 3. kárrendezés; 4. vagyonkezelési tevékenység) kiszervezését köteles a Felügyeletnek a negyedéves adatszolgáltatás keretében bejelenteni. 11/30

12 Jogszabályi háttér (1) A kiszervezett tevékenységet a Felügyelet a tevékenységet végzőnél ugyanazon módon és eszközökkel vizsgálhatja, mintha a tevékenységet a biztosító végezné. (2) A kiszervezett tevékenységgel harmadik személynek okozott bármely kárért a biztosító felel. (3) A biztosító felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és a tőle elvárható gondossággal végezze. Amennyiben a kiszervezett tevékenység végzése jogszabályba vagy a szerződésbe ütközik, haladéktalanul köteles felszólítani a kiszervezett tevékenységet végzőt, hogy tevékenységét a jogszabálynak, illetve a szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a tevékenységet továbbra is jogszabálysértő vagy szerződésszegő módon végzi, a biztosító köteles a szerződést azonnali hatállyal felmondani. 12/30

13 Jogszabályi háttér (4) Amennyiben a Felügyelet észleli, hogy a biztosító a (3) bekezdésben foglalt kötelezettségének nem tett eleget, a tevékenység kiszervezését megtilthatja. (5) Aki egyidejűleg végez kiszervezett tevékenységet több biztosító részére, az köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával - kezelni. (6) A biztosító nem szervezheti ki a tevékenységet olyan szervezethez, a) amelyben a biztosító vezető tisztségviselőjének vagy e vezető tisztségviselő közeli hozzátartozójának tulajdonosi részesedése van, vagy b) amelynek a biztosító vezető tisztségviselője vagy e tisztségviselő közeli hozzátartozója vezető tisztségviselője. (7) A (6) bekezdésben előírt korlátozást nem kell alkalmazni, amennyiben a biztosító és a kiszervezett tevékenységet végző tulajdonosa azonos illetve azonos tulajdonosi csoportba tartoznak. 13/30

14 Jogszabályi háttér (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell: a) a biztosítási titok megőrzésére vonatkozó kötelezettséget, felelősséget és a titok megtartása érdekében teendő intézkedéseket; b) hozzájárulását a kiszervezett tevékenységnek a biztosító belső ellenőre, könyvvizsgálója és a Felügyelet által történő ellenőrzéséhez; c) felelősségét a tevékenység megfelelő színvonalon történő végzéséért; d) a tevékenység végzésének minőségére vonatkozó részletes követelményeket; e) a felmondás lehetőségét a jogszabálysértő tevékenység esetén. (2) A kiszervezést végző fél köteles a felügyeleti ellenőrzést végzőknek az ügymenet kiszervezéssel kapcsolatos valamennyi adatot, dokumentumot, információt megadni ill. a szerződésben rögzíteni kell az adatfeldolgozás rendjét és az adatvédelem szabályait. (3) Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja, úgy a kiszervezett tevékenységet végző a biztosító adatfeldolgozójának minősül. 14/30

15 Jogszabályi háttér - 9 Az ügyfelek tájékoztatása: 166. (2) A biztosítónak és a biztosításközvetítőnek, a biztosítási szerződés megkötése előtt bizonyítható és azonosítható módon, közérthető, egyértelmű és részletes írásbeli tájékoztatást kell adnia a szerződést kötni kívánó ügyfél részére a biztosító főbb adatairól (név, székhely, stb.) és a biztosítási szerződés jellemzőiről. A biztosítónak a szerződő féllel szembeni tájékoztatási kötelezettsége - a függő biztosításközvetítő adatait és a 10. számú melléklet A) pontjának 17. alpontjában foglaltakat (adózási szabályok) kivéve - irányadó a szerződés tartama alatt a fenti adatokban bekövetkezett változások esetében is. A biztosítási szerződésre vonatkozó tájékoztatás jellemzőit a 10. számú melléklet A) pontja tartalmazza. A) A biztosítási szerződésre vonatkozó írásos tájékoztatásnak legalább a következőket kell tartalmaznia: 13. azon szervezetek felsorolását, amelyeknek a biztosító az ügyfelek adatait - a Bit aiban és ában foglaltak (biztosítási titok) alapján - továbbíthatja; 15/30

16 Vizsgálati alapelvek - 1 COBIT módszertan szerint ( a tudatos vezetés eszköze, A legjobb hazai és nemzetközi gyakorlat követése Kockázatalapú vizsgálat (előzetes IT adatlapok) Kontrollok vizsgálata (preventív, detektív, korrektív) Megfelelőségi (compliance) és mélységi (substantial) vizsgálatok 16/30

17 Vizsgálati alapelvek - 2 Kontrollok: Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. 17/30

18 Vizsgálati alapelvek /30

19 Vizsgálati alapelvek /30

20 Vizsgálati alapelvek - 5 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 20/30

21 Tapasztalatok - 1 Pozitívumok: A PSZÁF által felvetett hiányosságokat igyekeznek megszüntetni, pozitív hozzáállás. Az IT fontossága ismert, javuló tendencia. Negatívumok: A stratégiának, éves tervnek nem része az IT. Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása. A szabályzatok hiányoznak, nem aktuálisak. BCP, DRP nincs, nem aktualizált. 21/30

22 Tapasztalatok - 2 A szakképzettség hiánya, kiszolgáltatottak az informatikai szállítóknak, szolgáltatóknak. Külsős szerződések hiányosságai, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya. Korszerűtlen, nem integrált, biztonságosan csak rendkívüli költségekkel üzemeltethető alaprendszer, a beépített audit lehetőségek hiánya, kihasználatlansága. Változáskezelési hiányosságok, az új informatikai rendszerek bevezetése nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment. 22/30

23 Tapasztalatok - 3 A kisebb intézményeknél több a hiányosság. Az IT architektúra nem megfelelően dokumentált, nyilvántartási hiányosságok vannak. Hozzáférés- és jelszókezelés hiányosságai. A biztonság tudatosság alacsony színvonalú, oktatások, felhasználói támogatás hiányosságai. A belső ellenőrzés nem végez IT vizsgálatot (szakképzetlenség), naplófájlok ellenőrizetlensége. 23/30

24 Javaslatok Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 24/30

25 Audit eszközök - 1 Keresők (Google, Netcraft, RIPE, 192.com) Hálózati információk (network enumeration tools) SmartWhois ( Ping, Traceroute, Explorer, CMD NetScanTools ( SamSpade ( Solarwinds ( SNScan ( Hyena ( Dumpsec ( Stb., stb. 25/30

26 Audit eszközök - 2 Port-letapogatók (port scanning tools) Nmap ( Mingsweeper ( SuperScan ( Target enumeration tools idserve ( CommView ( Achilles ( Netcat ( Telnet Stb., stb. 26/30

27 Audit eszközök - 3 Jelszótörők Brutus ( Various! ( L0phtcrack ( RainbowCrack ( Sérülékenység vizsgálók és audit eszközök ENT ( STAT ( NeWT ( AppDetective ( WebInspect ( Nessus ( Stb., stb. 27/30

28 Audit eszközök - 4 Penetration testing tools CoreImpact ( Canvas ( Metasploit ( Módszertani anyagok Hacker oldalak /30

29 Port információk Audit eszközök Stb., stb. 29/30

30 Audit eszközök - 6 Biztonsággal kapcsolatos oldalak (security sites) Stb., stb. 30/30