IT felügyeleti elvárások és követelmények PSZÁF, IT kockázatkezelés konferencia Budapest, 2007. szeptember 17. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu
2007. évi prioritások Ajánlások, útmutatók, tanácsadás, konzultációk Kockázatalapú felügyelés Kontroll tudatos szemléletmód erősítése Eredmények hatékonyabb kommunikálása Jogszabályi megfelelés ellenőrzése Validációs vizsgálatok A jelenlegi legfontosabb üzleti prioritások az Irányítás, a Kockázatmenedzselés és a Jogszabályi megfelelés (GRC Governance, Risk, Compliance)! ISACA: IT control objectives for Basel2 2
Tematika 2006. szeptember 18. IT projektek és beruházások CRD elvárások és módszertan IT kockázatkezelés Üzletmenet-folytonosság és rendkívüli helyzet kezelés Jogosultságmenedzselés Változásmenedzselés Naplófájl elemzés IT nyilvántartások IT biztonság, IT üzemeltetés 2007. szeptember 19. IT irányítás Corporate governance Működési kockázatok kezelése IT biztonsági kockázatelemzés Üzletmenet-folytonosság és rendkívüli helyzet kezelés IT compliance IT ellenőrzés Biztosítási folyamatok IT támogatása 3
Jogszabályi háttér Az IT felügyelésben alkalmazott fő jogszabályok: 1999. évi CXXIV. a PSZÁF-ról 2004. évi CXL. (KET) a közigazgatási hatósági eljárás általános szabályairól. 1996. évi CXII. (Hpt) a hitelintézetekről. 2003. évi LX. (Bit) a biztosítóintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 283/2001. (XII.26.) Korm. Rendelet a befektetési szolgáltatók személyi-, tárgyi, technikai- és biztonsági feltételeiről. 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 2004/39/EK a pénzügyi eszközök piacairól (MIFID) 2006/48/EK a hitelintézeti tevékenység engedélyezéséről (BASEL2) 2006/49/EK a bef. Váll.-ok és a hitelintézetek tőkemegfeleléséről (BASEL2) 2007/18/EK a tőkemegfelelési szabályok módosításáról (BASEL2) 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 3/2005-ös PSZÁF módszertani útmutató az informatikáról 196/2007 Korm. rendelet a hitelezési kockázatokról 200/2007 Korm rendelet a működési kockázatokról 4
Jogszabályi változások - 1 Hpt. módosítások: az európai tőkemegfelelési szabályok átültetése a korábbi jogharmonizációs célú módosítások a kockázatok csökkentését célzó, átláthatóbb és kiegyensúlyozottabb szabályozási környezet kialakítása Új elem: 13/C. Vállalatirányítási rendszer 13/C. (1) A hitelintézetnek mérete, az általa végzett tevékenysége jellege, nagyságrendje és összetettsége arányában megbízható vállalatirányítási rendszerrel kell rendelkeznie (szervezet, felelősségelhatárolás, kockázatmenedzselés, szabályozás, stb.) Kötelező írásban rögzített szabályzatok 13/C. (3) e): a működési kockázatok mérésére, kezelésére valamint vészhelyzeti és üzletmenet-folytonossági tervvel a folyamatos működés fenntartása továbbá a súlyos 5 üzletviteli fennakadásokból következő esetleges
Jogszabályi változások - 2 Hitelezési kockázat előírása a 76/A. (1)-ban, amely a hitelintézetek mindenkori fizetőképességének fenntartása érdekében az általa végzett tevékenység kockázatának fedezetét mindenkor biztosító megfelelő szavatoló tőkével kell rendelkezni, amely Részletes szabályozás a 196/2007. Korm. Rendeletben ( a rendelet célja, hogy a hitelintézet számára meghatározza a) a hitelezési kockázat tőkekövetelményének sztenderd (STA) módszerrel (Hpt. 76/A. ), illetőleg belső minősítésen alapuló (FIRB, AIRB) módszerrel (Hpt. 76/B-76/D. ) történő kiszámításának, A 76/B. (1) belső minősítésen alapuló módszer feltételei között: a kockázatkezelés és minősítési rendszerei megbízhatóak és átfogóak független hitelkockázat-ellenőrzési egységgel rendelkezzen évente legalább egyszer jóváhagyja és dokumentálja minősítési rendszereit bevezetése előtt legalább három éven át megfelelő minősítési rendszert működtet A 76/K (1) a tőkemegfelelési rendszer értékelési folyamat feltételei között: A hitelintézetnek megbízható, hatékony és átfogó stratégiával és eljárással kell rendelkeznie legalább évente felül kell vizsgálnia stratégiáját 6
Jogszabályi változások - 3 Működési kockázat definíció: 76/J. (1) A hitelintézet a nem megfelelő belső folyamatok és rendszerek, külső események vagy a személyek nem megfelelő feladatellátása miatt felmerülő illetőleg jogszabály, szerződés vagy belső szabályzatban rögzített eljárás megsértése vagy nem teljesítése miatt keletkező, eredményét és szavatoló tőkéjét érintő működési kockázat tőkekövetelményét A) az alapmutató módszerével (BIA), B) a sztenderdizált módszerrel (TSA, ASA), C) a fejlett mérési módszerrel (AMA) vagy D) az a)-c) pontokban rögzített módszerek kombinálásával számítja ki. Részletes szabályozás a 200/2007. Korm. Rendeletben (a működési kockázat kezeléséről és tőkekövetelményéről). 7
Működési kockázatok Négy kulcs elem (VKK II. 2.2. fejezet): Belső adat Külső adat Szcenárió (forgatókönyv) elemzés Belső és külső környezet változása 200/2007. Korm. Rend 5.. A felügyelet csak akkor engedélyezi a TSA, ASA-t, ha a hitelintézet megfelel a 13/C-nek! Több helyen: rendszeresen legalább évente! Kockázatcsökkentő megoldások csak az AMA-nál (VKK II. 2.4. fejezet 130. pont. Szigorú AMA feltételek (7..: kockázatkezelési részleg, szabályzat, módszertan, kidolgozott és dokumentált, stratégiai összhang, belső ellenőr által ellenőrzött,átlátható, teljes körű, adatok pontosak, Veszteség adatok gyűjtése (lásd 8..) Működési kockázat típusok (lásd 13..) : 1., Belső csalás, 2., külső csalás, 3., Munkáltatói gyakorlat és munkabiztonság, 4., Ügyfél gyakorlat, 5., Tárgyi eszköz károk, 6., Üzemmenet fennakadás vagy rendszerhiba, 7., Végrehajtás, folyamathiba. 8
Veszteség típusok Bázel II kockázati eseménytípusok a kapcsolódó IT vonatkozással és CobiT folyamattal (lásd 200/2007. Korm.rend. 13 ) Bázel II eseménytípusok IT vonatkozás CobiT folyamatok Szándékos programmanipulálás Módosító funkció jogosulatlan használata Rendszerparancsok szándékos manipulálása PO6 vezetői célok és irányvonal kommunikálása DS5 rendszer biztonságának biztosítása DS9 konfiguráció kezelése Belső csalás Hardver szándékos manipulálása Rendszer- és alkalmazási adat szándékos megváltoztatása behatolás révén Rendszer- Hozzáférési és jogosultságok alkalmazási adat belső szándékos megkerülése megváltoztatása behatolás révén Liszensszel nem rendelkező vagy nem jóváhagyott szoftver másolása DS5 rendszer biztonságának biztosítása Külső fél birtokába kerülnek bizalmas dokumentumok Külső csalás Hozzáférési jogosultságokat megkerülő külső fél Kommunikációs vonalakkal kapcsolatos lehallgatás és aktív Munkáltatói gyakorlat és beavatkozás Felfedett jelszó IT Számítógépes eszközök nem vírusok rendeltetésszerű használata PO6 vezetői célok és irányvonal kommunikációja munkabiztonság A biztonsági tudatosság hiánya Ügyfél, üzleti gyakorlat, Egy alkalmazott érzékeny információt szivárogtat ki külső fél számára PO6 vezetői célok és irányvonal kommunikációja marketing és Külső beszállítók kezelése DS2 külső szolgáltatások kezelése termékpolitika Tárgyi eszköz károk A fizikai IT infrastruktúra szándékos vagy véletlen rongálása DS12 technikai környezet kezelése Üzletmenet fennakadása és rendszerhiba Végrehajtás, teljesítés és folyamatkezelés Hardver vagy szoftverhiba, Kommunikációszakadás Alkalmazott szabotázsa, IT kulcsmunkatárs elvesztése Program- vagy adatfájlok megsemmisülése Érzékeny adat vagy szoftver eltulajdonítása Számítógépes vírusok Mentés hiánya (Elosztott) szolgáltatásmegtagadási támadás Konfiguráció-kontroll hiba Elektronikus adathordozó hibás kezelése Felügyelet nélkül hagyott munkaállomás Hiba a változáskezelésben Nem teljes körű tranzakció bevitel, Hibás adatbevitel/kivitel Programozási/tesztelési hiba Operátori hiba (pl. hiba a visszaállítási folyamatban) DS3 teljesítmény és kapacitás kezelése DS4 folyamatos működés biztosítása DS5 rendszer biztonságának biztosítása DS9 konfiguráció kezelése DS10 problémák kezelése AI5 rendszerek kiépítése és jóváhagyása AI6 változások kezelése DS5 rendszer biztonságának biztosítása DS10 problémák kezelése 9
COBIT mapping A CobiT alkalmazása a kockázatkezelésre (ISACA: IT control objectives for Basel2) Kapcsolódó CobiT Bázeli alapelv Érintett IT terület 1. Az Igazgatóságnak tudatában kell lenni, hogy folyamat PO9 Kockázatfelmérés és szükség van egy működési kockázatkezelő IT kockázatkezelés kezelés keretrendszerre. 2. A belső ellenőrzés hatásos és átfogó vizsgálatnak ME4 IT ellenőrzés IT belső ellenőrzés veti alá a kockázatkezelő keretrendszert. biztosítása 3.Dolgozzák ki a működési kockázat kezelésének PO9 Kockázatfelmérés és IT kockázatkezelés szabályozását, folyamatait és eljárásait. kezelés PO9 Kockázatfelmérés és 4. A működési kockázat feltérképezése és értékelése. IT kockázatkezelés kezelés 5. Rendszeresen figyelni kell a működési kockázati PO9 Kockázatfelmérés és IT kockázatkezelés profil változását és a jelentős veszteségi kitettséget. kezelés 6. Rendelkezzenek olyan szabályzatokkal, folyamatokkal és eljárásokkal, amelyek ellenőrzés alatt PO9 Kockázatfelmérés és IT kockázatkezelés tartják és/vagy csökkentik a jelentős működési kezelés 7. kockázatokat. Legyen az intézménynek rendkívüli helyzet Folyamatos működés kezelésére vonatkozó terve és üzletmenet folytonossági biztosítása terve. 8. Legyen olyan működőképes keretrendszere az intézménynek, amely képes beazonosítani, felmérni, IT kockázatkezelés monitorozni és ellenőrzés alatt tartani / csökkenteni a jelentős működési kockázatokat. 9. Végezzenek rendszeres független ellenőrzést az intézmény működési kockázatát érintő szabályzatait, eljárásait és gyakorlatát illetően. 10. Megfelelő szintű közzététel. IT belső ellenőrzés IT incidensek jelentése a vezetésnek DS4 Folyamatos működés biztosítása PO9 Kockázatfelmérés és kezelés ME2 Belső kontrollkörnyezet monitorozása és értékelése ME2 Belső kontrollkörnyezet monitorozása és értékelése 10
Basel II kézikönyv Basel II követelmények: A 2006/48/EC direktíva (VII. Melléklet, 4. rész): Egy minősítési rendszernek fel kell ölelnie az összes módszert, folyamatot, ellenőrzést, adatgyűjtő és informatikai rendszert, amelyek a hitelkockázat minősítését, a kitettségek minősítési kategóriákba vagy poolokba sorolását, valamint az egyes kitettség típusokhoz tartozó nemteljesítési és veszteségi becslések mennyiségi meghatározását támogatják. GL10 point 21: A kézikönyv nem tartalmazza az információs technológiára vonatkozó részletes követelményeket mert ezen feltételek jóval túlmutatnak a tőkeszámítás keretein. Elvárható, hogy ezt a felügyelők a szélesebb értelemben vett, általános kontroll struktúra részének tekintsék. GL10 point 350: Egy jól működő IT infrasturktúra elengedhetetlen feltétele a megbízható tőkeszámításnak. GL10 point 351: Az intézményeknek olyan IT rendszerekkel kell rendelkeznie, amely biztosítja 1) a szükséges adatbázisok folyamatos rendelkezésre állását és karbantartását, 2) az adatbázisok és a tőkeszámítási eredmények reprodukálhatóságát. 11
Validációs kézikönyv Az intézmények olyan informatikai rendszerrel kell rendelkezniük, amely mindenkor eleget tesz az alábbiaknak (Validációs kézikönyv II, 2.3.2. fejezet): Biztosítja a megfelelő adatbázis elérhetőségét, karbantartását. Az intézménynek biztosítaniuk kell, hogy az adatokat tároló szoftver elemeiről rendszeres időközönként amely megegyezik az intézmény által használt más adatok mentési rendjével - biztonsági mentés készüljön, amely biztosítja az adatok helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül. Erről az intézmény eljárásrendet készít. Az intézménynek rendelkeznie kell a nyilvántartás ismételt előhívására alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat legalább 5 évig, de minimum az adatgyűjtési periódus hosszáig bármikor visszakereshetően, helyreállíthatóan megőrizze. Biztosítja a modellkészítéshez és a számításokhoz szükséges kapacitást. A szoftvernek - vagy a szoftvereknek együttesen - alkalmasnak kell lennie a működési kockázatot leíró belső modellek előállítására, illetve annak működtetésére. Az adatgyűjtési folyamat megfelelő ellenőrzése. Az intézménynek biztosítania kell az informatikai rendszer szabályozott és ellenőrizhető felhasználói adminisztrációját a hozzáférési szintek, az egyedi jogosultságok és engedélyezésük, valamint a felelősségi körök, a hozzáférés naplózása és a rendkívüli események tekintetében. 12
Vizsgálati program Basel2 vizsgálati program: Szervezet Feladat és felelősségelhatárolás Külső kapcsolatok Projekt (szervezet, projekt módszertan) A Vezetés és Belső ellenőrzés feladatai Térkép Folyamatok Rendszerek (adatáramlás, forrás rendszerek és adattárház kapcsolat, anya-leány kapcsolat) Interfészek Adatfolyam ábra (önértékelés) Adatok Adatpolitika (adatgazdák, szabályozás Adatminőség (sztenderdek, felülvizsgálat, adathiány kezelése, algoritmusok) Adatszótár (adatbázis leírások, adatforrások, konzisztencia ellenőrzés) Adattisztítás Változáskezelés Kontrollok (beviteli-, feldolgozási-, kiviteli kontrollok) Informatikai biztonság (védelmi tervek, fizikai védelem, hozzáférésmenedzselés, naplók) Reprodukálhatóság (BCP, DRP, Idősoros adattárolás) IT validálás (készültségi fok, szabályzatok, dokumentációk, oktatás, belső ellenőrzés) 13
Informatikai rendszer védelme - 1 Szabályozási rendszer (1). az információtechnológiával szemben támasztott követelményekre a COBIT főbb területein. Kockázatkezelés (2). legalább kétévente aktualizálva! Feladatok és felelősségek elhatárolása (3). a szervezeti és működési rend szabályozása, az összeférhetetlenségek kizárása. IT kontrollkörnyezet, független ellenőrzés (4). Ki kell alakítani az informatikai ellenőrző rendszert és azt folyamatosan működtetni kell. Nyilvántartások (5a, 7). gondoskodni kell legalább a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról. IT biztonság és biztonság tudatosság (5b). gondoskodni kell legalább az informatikai biztonsági kontrollkörnyezetről (zárt, teljes körű, folyamatos, kockázatarányos, gazdaságos, mérhető). Hozzáférés- és jogosultságkezelés (5c). gondoskodni kell legalább a rendszerek szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról. 14
Informatikai rendszer védelme - 2 Naplózás, log-ellenőrzés (5d). gondoskodni kell a kritikus folyamatok eseményeinek naplózásáról és a naplózás rendszeres (esetleg önműködő) és érdemi értékeléséről. Adattitkosítás, adatátvitel biztonsága (5e). az elektronikus tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről. Adathordozók kezelése (5f). gondoskodni kell legalább az adathordozók szabályozott és biztonságos kezeléséről. Vírusvédelem (5g). gondoskodni kell legalább a rendszerek biztonsági kockázattal arányos vírusvédelméről. Fejlesztési tervek, IT stratégia (6a). vonatkozó utasításokkal és előírásokkal valamint a fejlesztésre vonatkozó tervekkel. BCP, DRP (6b, 6c, 6e, 6f, 6g). Üzletmenet-folytonosságot biztosító dokumentációk, rendkívüli események kezelésére vonatkozó terv, tartalék eszközök, biztonsági mentések, archiválások, stb. Fejlesztés- és változáskezelés (6d, 8). Alkalmas fejlesztési- és tesztkörnyezet, megfelelő szoftverek. IT szakképzettség (9). szabályzatban meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismereteket. 15
Köszönöm a figyelmet! 16