IT felügyeleti elvárások és követelmények



Hasonló dokumentumok
A Bankok Bázel II megfelelésének informatikai validációja

A CRD prevalidáció informatika felügyelési vonatkozásai

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

IT ellenőrzés feladata válság idején

Bevezetés előtt az új tőkeszabályozás

Bankkonferencia Visegrád, november panel: Validációs és prevalidációs tapasztalatok

Informatikai prevalidációs módszertan

Felügyeleti ajánlás az informatikai rendszerekről

Hitelintézetek és befektetési vállalkozások tőkekövetelményeinek változásai

Biztonsági kihívások napjainkban avagy általános áttekintés az IT biztonsággal kapcsolatos feladatokról

Az ICAAP felülvizsgálati folyamat bemutatása

OP, KOP A HITELINTÉZETEK MŰKÖDÉSI KOCKÁZATA TŐKEKÖVETELMÉNYÉNEK SZÁMÍTÁSA

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

A Pénzügyi Szervezetek Állami Felügyelete Felügyeleti Tanácsa 1/2008. számú ajánlása a külső hitelminősítő szervezetek és minősítéseik elismeréséről

MŰKÖDÉSI KOCKÁZATKEZELÉS. Veszteség adatbázis kiépítése során felmerülő kérdések

KÖZZÉTÉTEL. - éves kockázatkezelési jelentés -

Agócs Gábor MKVK PTT Elnök június MKVK Pénz és Tőkepiaci Tagozat rendezvénye

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A Random Capital Zrt március 25. napjára összehívott éves rendes közgyűlésén az alábbi döntések születtek:

Könyvvizsgálói különjelentések feldolgozásának tapasztalatai 2012

A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről

Biztonsági kihívások napjainkban kontrollok szerepe az információ biztonságban

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Tőkekövetelmények és azok számítása a pénz és tőkepiaci szervezeteknél - könyvvizsgálói teendők

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

A könyvvizsgálók által a PSZÁF részére évente készítendő külön kiegészítő jelentésre vonatkozó ajánlásban bekövetkező 2008.

Basel II, avagy a tőkekövetelmények és azok számítása a pénz- és tőkepiaci szervezeteknél - számítás gyakorlati

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Informatikai biztonsági elvárások

A tőkemegfelelés és szabályrendszere A BIS és a CRD

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

II. Az Adatvédelmi tv. 1. -ának 4.a) pontja határozza meg az adatkezelés fogalmát:

30 MB INFORMATIKAI PROJEKTELLENŐR

Nemzetközi elvárások a belső ellenőrzés területén IAIS ICP

A Pénzügyi Szervezetek Állami Felügyeletének 3/2005. számú módszertani útmutatója a pénztárak informatikai rendszerének védelméről

A KBC Equitas Zrt kockázatvállalására és kockázatkezelésére vonatkozó tájékoztatása.

A kockázat alapú felügyelés módszertana Mérő Katalin ügyvezető igazgató PSZÁF november 13

A Pénzügyi Szervezetek Állami Felügyelete elnökének 4/2011. (XII. 9.) számú ajánlása a külső hitelminősítő szervezetek és minősítéseik elismeréséről

Üzletmenet folytonosság menedzsment [BCM]

Vizsgálatok aktuáriusi szemmel

Javadalmazási politika

A PSZÁF szövetkezeti hitelintézeteknél végzett átfogó vizsgálatainak tapasztalatai

IT vizsgálatok tapasztalatai a pénzügyi szervezeteknél

Informatikai felügyelet

IT biztonsági törvény hatása

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Információbiztonság irányítása

A PSZÁF szövetkezeti hitelintézeteknél végzett átfogó vizsgálatainak tapasztalatai

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

KOCKÁZATKEZELÉSI JELENTÉS A belső tőkemegfelelés értékelési folyamatára vonatkozó elvekről és stratégiákról

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Az ALTERA VAGYONKEZELŐ Nyrt. kockázatkezelési irányelvei

Stratégia Belső irányítás Belső kontroll

Tőkekövetelmények és azok. szervezeteknél - könyvvizsgálói teendők. PSZÁF november 24.

Agócs Gábor. MKVK PTT Elnök december 11. Tartalom. A külön kiegészítő jelentés javasolt szerkezete és tartalma

A magyarországi prevalidációs tapasztalatok, a bankok felkészülésének kérdései. Matusek Judit Pénzügyi Szervezetek Állami Felügyelete május 24.

A Solvency II 2. pillére

2. Vizsgálati tapasztalatok Előadó: Major Antal főosztályvezető Pénzpiaci vizsgálati főosztály

Könyvvizsgálói különjelentések feldolgozásának tapasztalatai a évi beszámolók tükrében

J A V A S L A T Ózd Kistérség Többcélú Társulása évi stratégiai ellenőrzési tervének elfogadására

Muha Lajos. Az információbiztonsági törvény értelmezése

A könyvvizsgáló kapcsolatrendszere. Kapcsolatrendszer elemei. Szabályozási háttér. Dr. Kántor Béla

Információbiztonság fejlesztése önértékeléssel

A Bázeli Bizottság és a banki belső ellenőrzés

Védelmi Vonalak - Compliance

Bevezetés az Informatikai biztonsághoz

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

AEGON Magyarország Lakástakarékpénztár Zártkörűen Működő Részvénytársaság

INFORMATIKAI SZABÁLYZAT

A kockázatalapú felügyelés tapasztalatai

Üzletmenet folytonosság Üzletmenet? folytonosság?

Bevezető 11. A rész Az általános könyvvizsgálati és bankszámviteli előírások összefoglalása 13

Jogalkotási előzmények

A SREP útmutató 5. számú melléklete: Az önkéntes intézményvédelmi rendszerek minősítése a hitelintézeti szektorban

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

ELEMZŐ KAPACITÁS FEJLESZTÉSE, MÓDSZERTANI FEJLESZTÉS MEGVALÓSÍTÁSA

Kockázat alapú felügyelés

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

CEBS Consultative Paper 10 (folytatás) Krekó Béla PSZÁF, szeptember 15.

Az ISO es tanúsításunk tapasztalatai

XXVII. Magyar Minőség Hét Konferencia

IT vizsgálatok tapasztalatai a biztosítóknál

200/2007. (VII. 30.) Korm. rendelet. Alapmutató módszere

OTP Bank Nyrt. csoportszintű adatai

Aegon Magyarország Lakástakarékpénztár Zrt.

Változások az uniós szabályozásban: Az új tőkeszabályozás (CRD IV/CRR) hazai bevezetése

Az UNICREDIT BANK HUNGARY Zrt harmadik negyedévre vonatkozó konszolidált kockázati jelentése

ÚJSZÁSZ VÁROS JEGYZŐJE 5052 ÚJSZÁSZ, SZABADSÁG TÉR 1. TEL/FAX: 56/

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

Végső változat, 2010 Szeptember Integrált Irányítási Rendszer (IIR) a helyi és regionális szintű fenntartható fejlődésért

OTP Bank Nyrt. csoportszintű adatai

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

A., ALAPELVEK VÁLTOZÁSAI

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Átírás:

IT felügyeleti elvárások és követelmények PSZÁF, IT kockázatkezelés konferencia Budapest, 2007. szeptember 17. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu

2007. évi prioritások Ajánlások, útmutatók, tanácsadás, konzultációk Kockázatalapú felügyelés Kontroll tudatos szemléletmód erősítése Eredmények hatékonyabb kommunikálása Jogszabályi megfelelés ellenőrzése Validációs vizsgálatok A jelenlegi legfontosabb üzleti prioritások az Irányítás, a Kockázatmenedzselés és a Jogszabályi megfelelés (GRC Governance, Risk, Compliance)! ISACA: IT control objectives for Basel2 2

Tematika 2006. szeptember 18. IT projektek és beruházások CRD elvárások és módszertan IT kockázatkezelés Üzletmenet-folytonosság és rendkívüli helyzet kezelés Jogosultságmenedzselés Változásmenedzselés Naplófájl elemzés IT nyilvántartások IT biztonság, IT üzemeltetés 2007. szeptember 19. IT irányítás Corporate governance Működési kockázatok kezelése IT biztonsági kockázatelemzés Üzletmenet-folytonosság és rendkívüli helyzet kezelés IT compliance IT ellenőrzés Biztosítási folyamatok IT támogatása 3

Jogszabályi háttér Az IT felügyelésben alkalmazott fő jogszabályok: 1999. évi CXXIV. a PSZÁF-ról 2004. évi CXL. (KET) a közigazgatási hatósági eljárás általános szabályairól. 1996. évi CXII. (Hpt) a hitelintézetekről. 2003. évi LX. (Bit) a biztosítóintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 283/2001. (XII.26.) Korm. Rendelet a befektetési szolgáltatók személyi-, tárgyi, technikai- és biztonsági feltételeiről. 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 2004/39/EK a pénzügyi eszközök piacairól (MIFID) 2006/48/EK a hitelintézeti tevékenység engedélyezéséről (BASEL2) 2006/49/EK a bef. Váll.-ok és a hitelintézetek tőkemegfeleléséről (BASEL2) 2007/18/EK a tőkemegfelelési szabályok módosításáról (BASEL2) 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 3/2005-ös PSZÁF módszertani útmutató az informatikáról 196/2007 Korm. rendelet a hitelezési kockázatokról 200/2007 Korm rendelet a működési kockázatokról 4

Jogszabályi változások - 1 Hpt. módosítások: az európai tőkemegfelelési szabályok átültetése a korábbi jogharmonizációs célú módosítások a kockázatok csökkentését célzó, átláthatóbb és kiegyensúlyozottabb szabályozási környezet kialakítása Új elem: 13/C. Vállalatirányítási rendszer 13/C. (1) A hitelintézetnek mérete, az általa végzett tevékenysége jellege, nagyságrendje és összetettsége arányában megbízható vállalatirányítási rendszerrel kell rendelkeznie (szervezet, felelősségelhatárolás, kockázatmenedzselés, szabályozás, stb.) Kötelező írásban rögzített szabályzatok 13/C. (3) e): a működési kockázatok mérésére, kezelésére valamint vészhelyzeti és üzletmenet-folytonossági tervvel a folyamatos működés fenntartása továbbá a súlyos 5 üzletviteli fennakadásokból következő esetleges

Jogszabályi változások - 2 Hitelezési kockázat előírása a 76/A. (1)-ban, amely a hitelintézetek mindenkori fizetőképességének fenntartása érdekében az általa végzett tevékenység kockázatának fedezetét mindenkor biztosító megfelelő szavatoló tőkével kell rendelkezni, amely Részletes szabályozás a 196/2007. Korm. Rendeletben ( a rendelet célja, hogy a hitelintézet számára meghatározza a) a hitelezési kockázat tőkekövetelményének sztenderd (STA) módszerrel (Hpt. 76/A. ), illetőleg belső minősítésen alapuló (FIRB, AIRB) módszerrel (Hpt. 76/B-76/D. ) történő kiszámításának, A 76/B. (1) belső minősítésen alapuló módszer feltételei között: a kockázatkezelés és minősítési rendszerei megbízhatóak és átfogóak független hitelkockázat-ellenőrzési egységgel rendelkezzen évente legalább egyszer jóváhagyja és dokumentálja minősítési rendszereit bevezetése előtt legalább három éven át megfelelő minősítési rendszert működtet A 76/K (1) a tőkemegfelelési rendszer értékelési folyamat feltételei között: A hitelintézetnek megbízható, hatékony és átfogó stratégiával és eljárással kell rendelkeznie legalább évente felül kell vizsgálnia stratégiáját 6

Jogszabályi változások - 3 Működési kockázat definíció: 76/J. (1) A hitelintézet a nem megfelelő belső folyamatok és rendszerek, külső események vagy a személyek nem megfelelő feladatellátása miatt felmerülő illetőleg jogszabály, szerződés vagy belső szabályzatban rögzített eljárás megsértése vagy nem teljesítése miatt keletkező, eredményét és szavatoló tőkéjét érintő működési kockázat tőkekövetelményét A) az alapmutató módszerével (BIA), B) a sztenderdizált módszerrel (TSA, ASA), C) a fejlett mérési módszerrel (AMA) vagy D) az a)-c) pontokban rögzített módszerek kombinálásával számítja ki. Részletes szabályozás a 200/2007. Korm. Rendeletben (a működési kockázat kezeléséről és tőkekövetelményéről). 7

Működési kockázatok Négy kulcs elem (VKK II. 2.2. fejezet): Belső adat Külső adat Szcenárió (forgatókönyv) elemzés Belső és külső környezet változása 200/2007. Korm. Rend 5.. A felügyelet csak akkor engedélyezi a TSA, ASA-t, ha a hitelintézet megfelel a 13/C-nek! Több helyen: rendszeresen legalább évente! Kockázatcsökkentő megoldások csak az AMA-nál (VKK II. 2.4. fejezet 130. pont. Szigorú AMA feltételek (7..: kockázatkezelési részleg, szabályzat, módszertan, kidolgozott és dokumentált, stratégiai összhang, belső ellenőr által ellenőrzött,átlátható, teljes körű, adatok pontosak, Veszteség adatok gyűjtése (lásd 8..) Működési kockázat típusok (lásd 13..) : 1., Belső csalás, 2., külső csalás, 3., Munkáltatói gyakorlat és munkabiztonság, 4., Ügyfél gyakorlat, 5., Tárgyi eszköz károk, 6., Üzemmenet fennakadás vagy rendszerhiba, 7., Végrehajtás, folyamathiba. 8

Veszteség típusok Bázel II kockázati eseménytípusok a kapcsolódó IT vonatkozással és CobiT folyamattal (lásd 200/2007. Korm.rend. 13 ) Bázel II eseménytípusok IT vonatkozás CobiT folyamatok Szándékos programmanipulálás Módosító funkció jogosulatlan használata Rendszerparancsok szándékos manipulálása PO6 vezetői célok és irányvonal kommunikálása DS5 rendszer biztonságának biztosítása DS9 konfiguráció kezelése Belső csalás Hardver szándékos manipulálása Rendszer- és alkalmazási adat szándékos megváltoztatása behatolás révén Rendszer- Hozzáférési és jogosultságok alkalmazási adat belső szándékos megkerülése megváltoztatása behatolás révén Liszensszel nem rendelkező vagy nem jóváhagyott szoftver másolása DS5 rendszer biztonságának biztosítása Külső fél birtokába kerülnek bizalmas dokumentumok Külső csalás Hozzáférési jogosultságokat megkerülő külső fél Kommunikációs vonalakkal kapcsolatos lehallgatás és aktív Munkáltatói gyakorlat és beavatkozás Felfedett jelszó IT Számítógépes eszközök nem vírusok rendeltetésszerű használata PO6 vezetői célok és irányvonal kommunikációja munkabiztonság A biztonsági tudatosság hiánya Ügyfél, üzleti gyakorlat, Egy alkalmazott érzékeny információt szivárogtat ki külső fél számára PO6 vezetői célok és irányvonal kommunikációja marketing és Külső beszállítók kezelése DS2 külső szolgáltatások kezelése termékpolitika Tárgyi eszköz károk A fizikai IT infrastruktúra szándékos vagy véletlen rongálása DS12 technikai környezet kezelése Üzletmenet fennakadása és rendszerhiba Végrehajtás, teljesítés és folyamatkezelés Hardver vagy szoftverhiba, Kommunikációszakadás Alkalmazott szabotázsa, IT kulcsmunkatárs elvesztése Program- vagy adatfájlok megsemmisülése Érzékeny adat vagy szoftver eltulajdonítása Számítógépes vírusok Mentés hiánya (Elosztott) szolgáltatásmegtagadási támadás Konfiguráció-kontroll hiba Elektronikus adathordozó hibás kezelése Felügyelet nélkül hagyott munkaállomás Hiba a változáskezelésben Nem teljes körű tranzakció bevitel, Hibás adatbevitel/kivitel Programozási/tesztelési hiba Operátori hiba (pl. hiba a visszaállítási folyamatban) DS3 teljesítmény és kapacitás kezelése DS4 folyamatos működés biztosítása DS5 rendszer biztonságának biztosítása DS9 konfiguráció kezelése DS10 problémák kezelése AI5 rendszerek kiépítése és jóváhagyása AI6 változások kezelése DS5 rendszer biztonságának biztosítása DS10 problémák kezelése 9

COBIT mapping A CobiT alkalmazása a kockázatkezelésre (ISACA: IT control objectives for Basel2) Kapcsolódó CobiT Bázeli alapelv Érintett IT terület 1. Az Igazgatóságnak tudatában kell lenni, hogy folyamat PO9 Kockázatfelmérés és szükség van egy működési kockázatkezelő IT kockázatkezelés kezelés keretrendszerre. 2. A belső ellenőrzés hatásos és átfogó vizsgálatnak ME4 IT ellenőrzés IT belső ellenőrzés veti alá a kockázatkezelő keretrendszert. biztosítása 3.Dolgozzák ki a működési kockázat kezelésének PO9 Kockázatfelmérés és IT kockázatkezelés szabályozását, folyamatait és eljárásait. kezelés PO9 Kockázatfelmérés és 4. A működési kockázat feltérképezése és értékelése. IT kockázatkezelés kezelés 5. Rendszeresen figyelni kell a működési kockázati PO9 Kockázatfelmérés és IT kockázatkezelés profil változását és a jelentős veszteségi kitettséget. kezelés 6. Rendelkezzenek olyan szabályzatokkal, folyamatokkal és eljárásokkal, amelyek ellenőrzés alatt PO9 Kockázatfelmérés és IT kockázatkezelés tartják és/vagy csökkentik a jelentős működési kezelés 7. kockázatokat. Legyen az intézménynek rendkívüli helyzet Folyamatos működés kezelésére vonatkozó terve és üzletmenet folytonossági biztosítása terve. 8. Legyen olyan működőképes keretrendszere az intézménynek, amely képes beazonosítani, felmérni, IT kockázatkezelés monitorozni és ellenőrzés alatt tartani / csökkenteni a jelentős működési kockázatokat. 9. Végezzenek rendszeres független ellenőrzést az intézmény működési kockázatát érintő szabályzatait, eljárásait és gyakorlatát illetően. 10. Megfelelő szintű közzététel. IT belső ellenőrzés IT incidensek jelentése a vezetésnek DS4 Folyamatos működés biztosítása PO9 Kockázatfelmérés és kezelés ME2 Belső kontrollkörnyezet monitorozása és értékelése ME2 Belső kontrollkörnyezet monitorozása és értékelése 10

Basel II kézikönyv Basel II követelmények: A 2006/48/EC direktíva (VII. Melléklet, 4. rész): Egy minősítési rendszernek fel kell ölelnie az összes módszert, folyamatot, ellenőrzést, adatgyűjtő és informatikai rendszert, amelyek a hitelkockázat minősítését, a kitettségek minősítési kategóriákba vagy poolokba sorolását, valamint az egyes kitettség típusokhoz tartozó nemteljesítési és veszteségi becslések mennyiségi meghatározását támogatják. GL10 point 21: A kézikönyv nem tartalmazza az információs technológiára vonatkozó részletes követelményeket mert ezen feltételek jóval túlmutatnak a tőkeszámítás keretein. Elvárható, hogy ezt a felügyelők a szélesebb értelemben vett, általános kontroll struktúra részének tekintsék. GL10 point 350: Egy jól működő IT infrasturktúra elengedhetetlen feltétele a megbízható tőkeszámításnak. GL10 point 351: Az intézményeknek olyan IT rendszerekkel kell rendelkeznie, amely biztosítja 1) a szükséges adatbázisok folyamatos rendelkezésre állását és karbantartását, 2) az adatbázisok és a tőkeszámítási eredmények reprodukálhatóságát. 11

Validációs kézikönyv Az intézmények olyan informatikai rendszerrel kell rendelkezniük, amely mindenkor eleget tesz az alábbiaknak (Validációs kézikönyv II, 2.3.2. fejezet): Biztosítja a megfelelő adatbázis elérhetőségét, karbantartását. Az intézménynek biztosítaniuk kell, hogy az adatokat tároló szoftver elemeiről rendszeres időközönként amely megegyezik az intézmény által használt más adatok mentési rendjével - biztonsági mentés készüljön, amely biztosítja az adatok helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül. Erről az intézmény eljárásrendet készít. Az intézménynek rendelkeznie kell a nyilvántartás ismételt előhívására alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat legalább 5 évig, de minimum az adatgyűjtési periódus hosszáig bármikor visszakereshetően, helyreállíthatóan megőrizze. Biztosítja a modellkészítéshez és a számításokhoz szükséges kapacitást. A szoftvernek - vagy a szoftvereknek együttesen - alkalmasnak kell lennie a működési kockázatot leíró belső modellek előállítására, illetve annak működtetésére. Az adatgyűjtési folyamat megfelelő ellenőrzése. Az intézménynek biztosítania kell az informatikai rendszer szabályozott és ellenőrizhető felhasználói adminisztrációját a hozzáférési szintek, az egyedi jogosultságok és engedélyezésük, valamint a felelősségi körök, a hozzáférés naplózása és a rendkívüli események tekintetében. 12

Vizsgálati program Basel2 vizsgálati program: Szervezet Feladat és felelősségelhatárolás Külső kapcsolatok Projekt (szervezet, projekt módszertan) A Vezetés és Belső ellenőrzés feladatai Térkép Folyamatok Rendszerek (adatáramlás, forrás rendszerek és adattárház kapcsolat, anya-leány kapcsolat) Interfészek Adatfolyam ábra (önértékelés) Adatok Adatpolitika (adatgazdák, szabályozás Adatminőség (sztenderdek, felülvizsgálat, adathiány kezelése, algoritmusok) Adatszótár (adatbázis leírások, adatforrások, konzisztencia ellenőrzés) Adattisztítás Változáskezelés Kontrollok (beviteli-, feldolgozási-, kiviteli kontrollok) Informatikai biztonság (védelmi tervek, fizikai védelem, hozzáférésmenedzselés, naplók) Reprodukálhatóság (BCP, DRP, Idősoros adattárolás) IT validálás (készültségi fok, szabályzatok, dokumentációk, oktatás, belső ellenőrzés) 13

Informatikai rendszer védelme - 1 Szabályozási rendszer (1). az információtechnológiával szemben támasztott követelményekre a COBIT főbb területein. Kockázatkezelés (2). legalább kétévente aktualizálva! Feladatok és felelősségek elhatárolása (3). a szervezeti és működési rend szabályozása, az összeférhetetlenségek kizárása. IT kontrollkörnyezet, független ellenőrzés (4). Ki kell alakítani az informatikai ellenőrző rendszert és azt folyamatosan működtetni kell. Nyilvántartások (5a, 7). gondoskodni kell legalább a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról. IT biztonság és biztonság tudatosság (5b). gondoskodni kell legalább az informatikai biztonsági kontrollkörnyezetről (zárt, teljes körű, folyamatos, kockázatarányos, gazdaságos, mérhető). Hozzáférés- és jogosultságkezelés (5c). gondoskodni kell legalább a rendszerek szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról. 14

Informatikai rendszer védelme - 2 Naplózás, log-ellenőrzés (5d). gondoskodni kell a kritikus folyamatok eseményeinek naplózásáról és a naplózás rendszeres (esetleg önműködő) és érdemi értékeléséről. Adattitkosítás, adatátvitel biztonsága (5e). az elektronikus tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről. Adathordozók kezelése (5f). gondoskodni kell legalább az adathordozók szabályozott és biztonságos kezeléséről. Vírusvédelem (5g). gondoskodni kell legalább a rendszerek biztonsági kockázattal arányos vírusvédelméről. Fejlesztési tervek, IT stratégia (6a). vonatkozó utasításokkal és előírásokkal valamint a fejlesztésre vonatkozó tervekkel. BCP, DRP (6b, 6c, 6e, 6f, 6g). Üzletmenet-folytonosságot biztosító dokumentációk, rendkívüli események kezelésére vonatkozó terv, tartalék eszközök, biztonsági mentések, archiválások, stb. Fejlesztés- és változáskezelés (6d, 8). Alkalmas fejlesztési- és tesztkörnyezet, megfelelő szoftverek. IT szakképzettség (9). szabályzatban meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismereteket. 15

Köszönöm a figyelmet! 16

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés