ÜZLETMENET-FOLYTONOSSÁGI FELVIGYÁZÓI AJÁNLÁSOK

Hasonló dokumentumok
TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A CRD prevalidáció informatika felügyelési vonatkozásai

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

E l ő t e r j e s z t é s

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Üzletmenet folytonosság Üzletmenet? folytonosság?

A Bankok Bázel II megfelelésének informatikai validációja

J A V A S L A T Ózd Kistérség Többcélú Társulása évi stratégiai ellenőrzési tervének elfogadására

Headline Verdana Bold

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

IT biztonsági szolgáltatás csomag. ISO 9001:2000 TÜV ID: Simplexion Informatikai Kft., 1094 Budapest, Tompa utca 11, 3. emelet 24.

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

A Kar FEUVE rendszere

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila

Információbiztonság irányítása

4. Napirend ELŐ TERJESZTÉS évi belső ellenőrzési terv

Salgótarján Megyei Jogú Város Polgárm es tere JAVASLAT

E L Ő T E R J E S Z T É S

Község Önkormányzata

A Magyar Nemzeti Bank elnökének 19/2009. (VIII. 6.) MNB rendelete

NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Stratégia felülvizsgálat, szennyvíziszap hasznosítási és elhelyezési projektfejlesztési koncepció készítés című, KEOP- 7.9.

Informatikai prevalidációs módszertan

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)

Dr. Imre László főjegyző

Bevezetés az Informatikai biztonsághoz

Általános rendelkezések

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

A SREP útmutató 5. számú melléklete: Az önkéntes intézményvédelmi rendszerek minősítése a hitelintézeti szektorban

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE

Neszmély Község Polgármesteri Hivatala

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

ELŐTERJESZTÉS. Újhartyán Község Önkormányzata Képviselő-testületének november 27-i ülésére. 5. napirendhez. Tóth Antal Pénzügyi biz.

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

IT üzemeltetés és IT biztonság a Takarékbankban

Nyomtatási rendszer szolgáltatás - SLA

Bevezető 11. A rész Az általános könyvvizsgálati és bankszámviteli előírások összefoglalása 13

147. sz. Ajánlás. a rákkeltő anyagok és hatóanyagok által előidézett foglalkozási ártalmak elleni védekezésről és ezek ellenőrzéséről

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

1 A SIKERES PROJEKT KOCKÁZATMENEDZ SMENT FŐ ELEMEI ÉS KULCSTÉNYEZŐI

Fókuszban az információbiztonság

8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE

I. Fejezet ÁLTALÁNOS RENDELKEZÉSEK

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Üzletmenet folytonosság menedzsment [BCM]

Legjobb gyakorlati alkalmazások

7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT

SZOLGÁLTATÁS BIZTOSÍTÁS

2. A évi ellenőrzési terv jóváhagyása december 13. ELŐTERJESZTÉS

MELLÉKLETEK. a következőhöz: A BIZOTTSÁG (EU) FELHATALMAZÁSON ALAPULÓ RENDELETE

1. A tárgyalandó témakör tárgyilagos és tényszerű bemutatása

II. Az Adatvédelmi tv. 1. -ának 4.a) pontja határozza meg az adatkezelés fogalmát:

Éves összefoglaló ellenőrzési jelentés, Tiszalök Város Önkormányzatának évi belső ellenőrzési tevékenységéről

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

XXIII. MAGYAR MINŐSÉG HÉT

Jogalkotási előzmények

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a évi ellenőrzési munkaterv elfogadása tárgyában

Tisztelt Képviselő-testület!

DOROG VÁROS POLGÁRMESTERE 2510 DOROG BÉCSI ÚT DOROG PF.:43. TF.: FAX.: PMESTER@DOROG.

Kossa György elnök-vezérigazgató címzetes egyetemi docens Az OKF Iparbiztonsági Tanácsadó Testület Elnöke

ITIL alapú folyamat optimalizációs tapasztalatok

Agócs Gábor MKVK PTT Elnök június MKVK Pénz és Tőkepiaci Tagozat rendezvénye

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

E L Ő T E R J E S Z T É S. Lajosmizse Város Önkormányzata Képviselő-testületének december 17-i ülésére

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

Bodorkós Ferenc polgármester évi belső ellenőrzési terv

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Stratégiai döntés előkészítő

2013. évi L. törvény ismertetése. Péter Szabolcs

A Számvizsgáló Bizottság megbízatása

SEPA fizetési módok. forint pénzforgalomban. A SEPA átállás munkacsoport május 27. Gergely András

1. célhoz kötöttség elve 2. az adatkezelés jogalapja 3. adat megőrzésének ideje 4. egyértelmű, részletes tájékoztatás 5. hozzájárulás 6.

A CYBER interdependencia gyakorlatok nemzetközi és hazai tapasztalatai

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

Jászivány Község Önkormányzata évi belső ellenőrzési terve

AZ ELLENŐRZÉSI NYOMVONAL

Hitelintézetek és befektetési vállalkozások tőkekövetelményeinek változásai

Folyamatba épített ELŐZETES, UTÓLAGOS ÉS VEZETŐI ELLENŐRZÉS RENDSZERE

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK december 14-ei képviselő-testületi ülésre

SLA RÉSZLETESEN. 14. óra

Ágazati és intézményi szinten meglévő nemzetközi jó gyakorlatok bemutatása Új-Zéland

Cibakháza Nagyközség Önkormányzata 144/2015.(XII.15.) KT határozata Cibakháza Nagyközség Önkormányzatának évi belső ellenőrzési tervéről

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének december 15-én megtartott ülésének jegyzőkönyvéből

IRÁNYMUTATÁSOK A MÁSODIK PÉNZFORGALMI IRÁNYELV SZERINTI SZAKMAI FELELŐSSÉGBIZTOSÍTÁSRÓL EBA/GL/2017/08 12/09/2017. Iránymutatások

Sajóvámos Község Önkormányzata A közérdekű adatok közzétételi kötelezettségének teljesítéséről szóló szabályzata

Dabas Város Önkormányzat A közérdekű adatok közzétételi kötelezettségének teljesítéséről szóló szabályzata

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

V/6. sz. melléklet: Táv- és csoportmunka támogatás funkcionális specifikáció

A felelős személy (üzemeltető) feladatai.

Az ISO es tanúsításunk tapasztalatai

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

dr. Belicza Éva minőségügyi programok szakmai vezetője dr. Török Krisztina főigazgató Mihalicza Péter főosztályvezető

6/2015. ( ) SZ. DÉKÁNI UTASÍTÁS

(HL L 384., , 75. o.)

Átírás:

ÜZLETMENET-FOLYTONOSSÁGI FELVIGYÁZÓI AJÁNLÁSOK A HAZAI FELMÉRÉS ELŐZMÉNYEI A pénzügyi szektor intézményeinél, - így a hazai fizetési és elszámolási rendszerek résztvevőinél is - a világszerte bekövetkező váratlan incidensek előtérbe helyezték és fontos stratégiai kérdéssé emelték az üzletmenet-folytonosság biztosítását. A külső és belső fenyegetések a pénzügyi intézmények működésében kisebb-nagyobb szolgáltatáskieséseket okozva akadályozhatják a gazdaságban betöltött szerepük és ügyfeleik felé vállalt kötelezettségeik ellátását. A gazdaság szempontjából kritikus tevékenységek nem megfelelő ellátása veszélyeztetheti a pénzügyi szektor hatékony működését, szélsőséges esetben a rendszeren belül meglévő kölcsönös egymásrautaltság miatt - akár a rendszer egészének stabilitását is. Ezért a jegybankok világszerte nagy hangsúlyt helyeznek e kritikus tevékenységeket ellátó intézményekben rejlő működési kockázatok megfelelő kezelésére. A fejlett pénzügyi kultúrával rendelkező országok jegybankjai a pénzügyi szektor üzletmenetfolytonossági gyakorlatával évek óta behatóan foglalkoznak. Az egyes országokban (Egyesült Királyság, Olaszország, USA, Hollandia, Japán, Szingapúr, Svájc, Ausztrália, Hong Kong) a jegybankifelügyeleti előírásokat, ajánlásokat folyamatosan felülvizsgálják, frissítik a pénzügyi szektor üzletmenet-folytonossági gyakorlatának meghatározott időközönkénti felmérése, illetve tesztelése alapján. HAZAI FELMÉRÉS ÉS A FELMÉRÉS EREDMÉNYEKÉPPEN ADÓDÓ AJÁNLÁSOK A jegybank MNBtv.-ben rögzített (4. (5)) alapvető feladata a felvigyázás, amely a törvény definíciója szerint a fizetési rendszerek biztonságos és hatékony működését hivatott előmozdítani. E szempont érvényesülését a rendszerek résztvevőinek tevékenysége is nagyban befolyásolja. Az üzletmenet-folytonosság terén mostanáig nem történt felmérés, de tekintettel a nemzetközi és hazai viszonylatban felmerülő incidensekre és a nemzetközi felvigyázói gyakorlat ez irányba történő elmozdulására, időszerűvé vált. A hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény (a továbbiakban: Hpt.) 13, 13/B C D. -a tartalmaz üzletmenet-folytonosságra vonatkozó előírásokat, amelyek betartását a Pénzügyi Szervezetek Állami Felügyelete ellenőrzi. A PSZÁF módszertani útmutatót 1 adott ki a pénzügyi szervezetek informatikai rendszerének védelméről. A Felügyelet az üzletmenetfolytonosságot a hitelintézeti tevékenységek egészének szempontjából vizsgálja a pénzügyi intézményeknél, ezért szempontrendszerének pénzforgalmi irányú kiegészítése indokolt. Másrészt az általa felügyelt intézményi kör nem fedi le a felvigyázott rendszerek résztvevőinek teljes körét, de még a kritikus résztvevőkét sem. A fentiek miatt a fizetési forgalomban betöltött súlyuk alapján azonosítottuk a VIBER és BKR kritikus résztvevőit, akikkel együttgondolkodást indítottunk el üzletmenet-folytonossági témakörben. Első 1 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről, mely útmutató 8. oldalán (kockázatelemzés), 17-18. oldalán (szolgáltatások folytonosságának biztosítása) és a 20-21. oldalán (mentések) leírtak különösen fontosak az üzletmenet-folytonosság tekintetében. Cím: Budapest V. ker., Szabadság tér 8 9. Levelezési cím: 1850 Budapest Telefon: +36 1 428 26 00 Fax: +36 1 428 25 00

lépésként felmérést végeztünk 2010 első félévében 13 hitelintézet és a Magyar Államkincstár részvételével, akik együtt a hazai elszámolásforgalomnak a 82,67%-át bonyolítják le. Célunk az volt, hogy feltérképezzük a pénzügyi szektor egy szűkebb szegmensének jelenlegi felkészültségét üzletmenet-folytonossági kérdésekben. A felmérésben a pénzforgalmi szolgáltatás nyújtásához, fizetési rendszer tagsághoz kötődő folyamataikra fókuszáltunk. Felmérésünk keretében a következő témákat tekintettük át: Üzletmenet-folytonossági stratégia, menedzsment; Üzleti hatás elemzés, kockázatelemzés; Üzletmenet-folytonossági tervezés; Alapvető erőforrások az üzletmenet-folytonosság érdekében Emberi erőforrás Éles és tartalék helyszín Infrastruktúra Külső szolgáltatóktól való függés; Helyreállítási és újraindítási célok, tervek; Kritikus működési folyamatok, funkciók háttér megoldásai (tartalék helyszín); Üzletmenet-folytonossági tervek tesztelése. A felmérés során képet kaptunk a kiválasztott intézmények gyakorlatáról. A felmérés alapvető megállapítása, hogy a felmérésben résztvevők kivétel nélkül felismerték az üzletmenet-folytonosság fontosságát és megközelítően hasonló válaszlépéseket alakítottak ki. Ugyanakkor a világ vezető pénzügyi központjaiban működő intézmények felkészültségéhez képest a hazai pénzügyi szektor elmaradást mutat, valamint az együttműködés, a közös gondolkodás, közös felkészülés és együtt-tesztelés sem jellemző. Elismerve a fejlődés, így egy egységesebb gyakorlat kialakításának idő- és erőforrásigényét, a fizetési rendszer résztvevők részéről egy fokozatosságra épülő megközelítést tartunk megvalósíthatónak. Ehhez segítségképpen a felmérés tapasztalatai alapján egy felvigyázói ajánláscsomagot adunk közre a fizetési rendszer résztvevők számára. Az ajánlások egységes szempontrendszert jelentenek, melyhez igazodni lehet, illetve segítségükkel az intézmények felmérhetik erősségeiket és gyengeségeiket az üzletmenet-folytonosság területén. Az ajánlások véglegesítésére a bankközönség észrevételeinek figyelembe vételével került sor. Bízunk benne, hogy a most elvégzett munka közép- és hosszútávon tapasztalható hatása a szektor üzletmenet-folytonossági gyakorlatának további egységesítésének irányába hat, ezáltal a szektor működési kockázatai csökkenhetnek. A nagyobb mértékű harmonizáció eredményeképpen a szektor egy esetleges katasztrófahelyzetre, vagy eseti incidensekre összességében gyorsabban és nagyobb egyenszilárdsággal tud majd reagálni. A felvigyázói ajánlások azt célozzák, hogy a banki üzletmenet-folytonosság a pénzforgalom területén jól szabályozott, kellően dokumentált, alapos és összefüggéseiben átlátott, gyakorlatban működő, szükséges és elégséges erőforrásokat felvonultató, biztonságot adó tevékenység legyen. 2/7

AZ ÜZLETMENET-FOLYTONOSSÁGI FELVIGYÁZÓI AJÁNLÁSOK I. Üzletmenet-folytonossági stratégia, menedzsment I/1. ajánlás: A szervezetnek üzletmenet-folytonossági stratégiát kell kialakítania, melyet legalább az operatív szintű felsővezetés jóváhagy, és kiterjed mind az üzleti területek, mind az informatika üzletmenet-folytonosságára és helyreállítási tevékenységére. I/2. ajánlás: Ki kell jelölni egy lehetőleg az informatikai területtől független szervezeti egységet, amely felelős az üzletmenet-folytonossági erőfeszítések teljeskörű koordinációjáért. Előremutató gyakorlat: I/3. ajánlás: Hasznos, ha a folyamatgazda üzleti területek vezetőiből és a szervezet csúcsvezetőiből álló üzletmenet-folytonossági bizottság irányítása alatt történik a üzletmenet-folytonossági erőfeszítések koordinálása. II. Üzleti hatás elemzés (ÜHE), kockázatelemzés II/1. ajánlás: Az üzletmenet-folytonossági stratégia alapján üzleti hatás elemzést (ÜHE) kell készíteni, melyet évente felülvizsgálnak. Az ÜHE azonosítja a kritikus folyamatokat, ezek mindegyikéhez folyamatgazdát rendel, megjelöli a kritikus erőforrásokat, meghatározza a folyamatok sebezhetőségi ablakát, és pénzben, valamint egyéb tényezőkben is kifejezi a folyamat vagy erőforrás értékét a szervezet szempontjából. II/2. ajánlás: Az ÜHE-t felsővezetői jóváhagyással kell elkészíteni, legalább a kritikus folyamat és erőforrás lista, illetve a számszerűsített üzleti hatás vonatkozásában, egységes elvek szerint, amelyek érvényesítését az üzletmenet-folytonossági koordinációval megbízott szervezet felügyeli. II/3. ajánlás: Az ÜHE-t egészítse ki kockázatelemzés, amely feltárja a folyamatok konkrét fenyegetettségeit, és azok bekövetkezési valószínűségét, valamint a folyamatok erőforrásfüggéseit. Ezt is évente kell frissíteni. II/4. ajánlás: Újonnan bevezetendő kritikus termékek vagy folyamatok esetén az ÜHE és kockázatelemzés elvégzése, valamint a termék vagy folyamat sikeres ÜF tesztje a bevezetés feltételét képezik (ugyanez érvényes meglévő termék vagy folyamat változtatása esetén). Előremutató gyakorlat: II/5. ajánlás: Az egyes fenyegetettségek által okozott üzleti hatást nem csak összeghatáronként (sávonként) határozzák meg, hanem konkrét pénzösszeget rendelnek hozzá becsléssel és számítással alátámasztva. Ez alapján az egyes folyamatok rangsorolása pontosabbá válik. II/6. ajánlás: Az ÜHE célszoftveres támogatással készül, amelyet minden szervezeti egység használ. III. Üzletmenet-folytonossági tervezés III/1. ajánlás: A szervezet minden ÜHE-ben azonosított kritikus folyamatára és erőforrására üzletmenet-folytonossági tervet, illetve katasztrófa-helyreállítási tervet kell készíteni. A tervek egymáshoz viszonyított összhangját biztosítani kell. A terveket legalább évente felül kell vizsgálni és szükség esetén frissíteni, ezen felül akkor is, ha a folyamat vagy erőforrás jelentősebb változáson megy keresztül. A tervek oktatása és tesztelése évente egyszer dokumentáltan történjék meg. III/2. ajánlás: Az ÜF tervezésnek mind a krízissel érintett folyamatok elkerülő eljárásaival, mind pedig a krízis kiváltó okainak megszüntetési módjával foglalkoznia kell. 3/7

III/3. ajánlás: Az incidenskezelés tapasztalatait és az ÜF tesztelés eredményeit haladéktalanul át kell vezetni az ÜF terveken. III/4. ajánlás: Az ÜFT dokumentáció elektronikus és nyomtatott formában is rendelkezésre áll, mind az éles, mind a tartalék helyszínen. III/5. ajánlás: A belső ellenőrzés terjedjen ki az ÜFT k naprakészségének rendszeres vizsgálatára is. Előremutató gyakorlat: III/6. ajánlás: Új kritikus termék vagy folyamat, illetve meglévő kritikus termék, vagy folyamat változtatásának bevezetésére csak akkor kerülhet sor, ha az elkerülő megoldások kialakítása és sikeres tesztelése megtörtént. IV. Alapvető erőforrások az üzletmenet-folytonosság érdekében Emberi erőforrás IV/1. ajánlás: Számba kell venni, hogy milyen típusú incidens, katasztrófahelyzetek veszélyeztetik a munkaerő rendelkezésre állását (közlekedés, sztrájk, járvány ) és ezekhez kapcsolódóan üzletmenet-folytonossági eljárásokat kell kialakítani. IV/2. ajánlás: Szervezeti egységenként vagy a kritikus folyamatok esetében a tevékenység ellátásához szükséges kritikus létszámot, kulcsemberek számát meg kell határozni és tevékenységük ellátásához a tudásbázist és a döntéshozatali szinteket biztosítani kell. IV/3. ajánlás: Gondoskodni kell a munkaerő hosszú és rövidtávú helyettesíthetőségi megoldásának, tervezéséről, felméréséről, mely történhet központilag, vagy szervezeti egység szinten is, de az utóbbi esetben egy központi összesítés, nyilvántartás és az érintettek általi hozzáférés a nyilvántartáshoz mindenképpen elvárt. IV/4. ajánlás: A kulcsemberek felmérése és pótlásukra, helyettesítésükre terv készítése elvárt, mely magában foglalja a helyettesek (háttéremberek) kijelölését, a helyettesítés biztosításához szükséges képzési módszertan, tudásbázis kialakítását, illetve a helyettesek teszteléseken való részvételének megszervezését is. IV/5. ajánlás: A kritikus folyamatok biztosításához szükséges minimális létszám, a kulcsemberek és a helyettesek kérdéskörét (helyettesítési rend) folyamatosan vizsgálják felül, aktualizálják az intézménynél bekövetkezett szervezeti változások, a kritikus folyamatok átalakulása esetén, a rendkívüli események kezelése során szerzett tapasztalatok visszacsatolásaként, az ÜF tesztek folyományaként, illetve az egyes üzletmenet-folytonossági folyamatok felülvizsgálatakor. IV/6. ajánlás: Meg kell győződni arról, hogy a megfelelő rendszerekhez, adatbázisokhoz való hozzáférések a háttéremberek, helyettesítők számára is biztosítottak-e. IV/7. ajánlás: Mindig legyen elérhető felsővezető, illetve döntéshozó vezető, aki a rendkívüli események során képes irányítani. IV/8. ajánlás: Az aláírók redundanciája biztosított legyen, hogy rendkívüli helyzetben megfelelően képviselhessék intézményüket. IV/9. ajánlás: Céleszerű felmérni, hogy a tervezett üzletmenet-folytonossági folyamataik mekkora munkaerő-kiesést viselnek el, illetve mennyi ideig tartható fenn az üzletmenet-folytonossági elkerülő megoldás alkalmazása a napi üzletmenetben. Éles és tartalék helyszín 4/7

IV/10. ajánlás: Az üzletmenet-folytonosságának biztosítása érdekében az intézményeknek kritikus folyamataik, tevékenységeik ellátásához tartalék helyszínnel kell rendelkezniük (IT és munkahely), melyek kialakításakor törekedni kell arra, hogy a két helyszín földrajzilag olyan mértékben legyen elkülönülő, hogy kockázati profiljuk gyökeresen eltérjen. IV/11. ajánlás: A tartalékhelyszínen a következő tartalék erőforrásokkal, eszközökkel kell rendelkezni: a rendszerek működéséhez szükséges áramtermelő/szünetmentes energiaforrás; a berendezések hűtéséhez szükséges légkondicionáló, párátlanító; a kritikus folyamatok ellátásához szükséges, megfelelő kapacitású számítógépek; a kritikus üzleti tevékenység folytatásához szükséges üzleti számítógépes programok; biztonságos távadatátviteli berendezések (melyek lehetővé teszik az adatátvitel bizalmasságát, sértetlenségét, hitelességét); naprakész ügyviteli és üzemeltetési dokumentációk. IV/12 ajánlás: Amennyiben a helyszínek (akár éles, tartalék vagy mindkettő) külföldön helyezkednek el, a hazai intézménynek kell a kliens oldali hozzáférést a távoli helyszínekhez úgy kialakítani, hogy a hozzáférés rendkívüli esemény bekövetkezésekor is biztosított legyen. Előremutató a gyakorlat: IV/13. ajánlás: Előremutató a gyakorlat, amennyiben a tartalék helyszínen elegendő férőhely biztosított a személyzet fogadására, mindemellett az üzleti tevékenység ellátásához szükséges eszközök (pl. íróasztal, telefon, fax, egyéb irodai eszköz), illetve a kritikus személyzet ellátásához szükséges víz is rendelkezésre áll. IV/14. ajánlás: Előremutató gyakorlatnak, ha a külföldi helyszínt biztosító szervezettel kötött szerződésben biztosítják a hazai egység helyszíni ellenőrzési jogát a szolgáltatás nyújtására vonatkozóan. Infrastruktúra IV/15. ajánlás: A tartalék helyszín függőségét az elsődleges helyszín kritikus infrastrukturális alkotórészeitől minimálisra kell csökkenteni annak érdekében, hogy a forgatókönyvekben meghatározott helyreállítási célok teljesíthetőek legyenek. IV/16. ajánlás: Redundancia, alternatív útvonalak, alternatív szolgáltatók biztosítása. Külső szolgáltatóktól való függés IV/17. ajánlás: A kritikus folyamatok esetében a külső szolgáltatóktól/partnerektől való függőségeket fel kell térképezni. IV/18. ajánlás: A kritikus folyamatok esetében a külső szolgáltatókkal szerződést kell kötni, melyben az SLA-t rögzítik. A szerződéseket az üzletmenet-folytonossági stratégia változása, üzleti folyamatok és a hozzájuk kapcsolódó ÜF tervek módosítása esetén felül kell vizsgálni. IV/19. ajánlás: Az SLA-t az ÜHE alapján úgy kell megállapítani, hogy az ne veszélyeztesse az üzletmenet-folytonossági vagy katasztrófa tervekben meghatározott helyreállítási és visszaállítási célokat. A kritikus folyamatot támogató szolgáltatások SLA-i eredőjének összhangban kell állnia - és így támogatnia kell - a kritikus folyamat sebezhetőségi ablakában meghatározott elvárt rendelkezésre állást. Előremutató a gyakorlat: IV/20. ajánlás: Az intézménynek rendelkeznie kell a külső szolgáltatóknak a fent említett függőségi viszonyokra vonatkozó aktualizált, legfrissebb ÜF terveivel. 5/7

IV/21. ajánlás: A külső szolgáltatók ÜF tervei és az intézmény saját ÜF tervei közötti konzisztenciát ellenőrizni és biztosítani kell. V. Helyreállítási és újraindítási célok, tervek V/1. ajánlás: A kritikus működési folyamatok, tevékenységek esetében - főként az azokat támogató IT technológia esetében a helyreállítási és újraindítási célokat meg kell állapítani. Az időbeli helyreállítási és újraindítási cél időtartam betarthatóságát tesztelni kell, eredményességét dokumentálni, mely alapján az ÜF- és katasztrófa tervek aktualizálását el kell végezni. V/2. ajánlás: A tartalékhelyszínre történő átkapcsolás/átállás/átköltözés időszükségletét is figyelembe kell venni a helyreállítási és újraindítási időpontok meghatározásakor, ezek konzisztenciáját folyamatosan biztosítani kell. V/3. ajánlás: A tartalék helyszínről az éles helyszínre történő visszakapcsolás/visszaállás/visszaköltözés folyamatát is meg kell tervezni. A folyamat időszükségletét fel kell mérni. V/4. ajánlás: Törekedni kell arra, hogy a kritikus funkciók helyreállítása ugyanazon az elszámolási napon megtörténhessen. V/5. ajánlás: Adatvesztés, illetve duplikáció elkerülését biztosítani kell a helyreállítás és újraindítás során, mely eljárásokat teszteléssel ellenőrizni szükséges (pl. megszakításos teszt napközbeni átállás a tartalékhelyszínre olyan módon, hogy adatréseket 2 hozzanak létre, melyek feldolgozását követően biztosított, hogy adatvesztés, duplikáció nem áll fenn). VI. Kritikus működési folyamatok, funkciók háttér megoldásai (tartalék helyszín) VI/1. ajánlás: A háttér helyszínt úgy kell kialakítani, hogy a kritikus tevékenységek és folyamatok ellátása biztosítható legyen. VI/2. ajánlás: A tartalék helyszín kapacitása alacsonyabb lehet, mint az éles központé, de minimumkövetelmény, hogy képes legyen átállás esetén feldolgozni egy átlagos nap adatforgalmát. A tartalék helyszín kapacitását tesztelni és eredményességét dokumentálni kell. VI/3. ajánlás: Az intézménynek képesnek kell lennie arra, hogy a kritikusnak minősített folyamatok esetében egy adott üzleti napot az átkapcsolást követően a tartalék helyszínen lezárjanak, majd az azt követő napot megnyissák a tartalék helyszínen. VI/4. ajánlás: Folyamatosan frissített, minden eszközre és erőforrásra kiterjedő, elérhető műszaki leírás (hálózati, eszközpark, konfigurációk, stb.) létezzen a tartalék helyszínről, és elérhető legyen mind az éles, mind a tartalék helyszínen elektronikus és papír formátumban is. Az üzletmenetfolytonosság része legyen e dokumentáció karbantartása, az érintett munkatársakkal való megismertetése. VI/5. ajánlás: Költséghatékonysági megfontolásból más intézménnyel bilaterális üzletmenetfolytonossági megállapodás köthető egymás éles helyszíneinek tartalék helyszínként való használatáról, illetve megosztott, több résztvevő által is használt tartalék helyszín is alkalmazható. Ezekben az esetekben megfelelő szerződési feltételekkel garantálni kell, hogy a közös helyszín üzemeltetője ténylegesen rendelkezésre tudja bocsátani az üzletmenet-folytonossági esemény (incidens) idején a helyszínt, akkor is ha több résztvevőre kiterjedő incidens következik be. 2 befejezetlen műveletsorok 6/7

Előremutató gyakorlat: VI/6. ajánlás: Előremutató gyakorlat, ha a tartalék helyszín a csúcsnapok forgalmát is fel tudja dolgozni, illetve ha a két helyszín feldolgozó kapacitása azonos. VII. Üzletmenet-folytonossági tervek tesztelése VII/1. ajánlás: Az ÜF tervek gyakorlati tesztelésére legalább évente egyszer teljeskörűen sort kell keríteni a kritikus folyamatok és kritikus erőforrások vonatkozásában. Az üzleti és informatikai szempontú tesztelésre lehetőség szerint egyszerre kerüljön sor. Az egymásra épülő és kapcsolódó kritikus folyamatokat lehetőség szerint egyszerre, összefüggésükben kell tesztelni. VII/2. ajánlás: A tesztelés eredményeit minden esetben el kell juttatni az érintett területek vezetőin kívül az üzletmenet-folytonosság koordinációjáért felelős szervezethez vagy bizottsághoz, valamint legalább összefoglaló formában a cég legfelső szintű vezetéséhez. VII/3. ajánlás: A kiszervezett tevékenységek üzletmenet-folytonossági eljárásait és ezek teszt eredményeit a kiszervező legalább a cégcsoporton belüli kiszervezés esetében meg kell, hogy ismerje és szempontjainak érvényesítéséhez szolgáltatási szint szerződésben meghatározott megfelelő biztosítékokkal kell rendelkeznie. VII/4. ajánlás: A ténylegesen bekövetkező incidenseket, kríziseket az ÜF tervek tesztjének kell tekinteni és ennek megfelelően kell kezelni folyamatában. VII/5. ajánlás: Az elsődleges és másodlagos helyszínek közötti architektúrabeli, kapacitásbeli és egyéb különbségek okozta kockázatokat a legfelső szintű operatív vezetés számára transzparenssé kell tenni és hivatalosan el kell velük fogadtatni. Budapest, 2010. december 15. MAGYAR NEMZETI BANK 7/7

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés