IT vizsgálatok tapasztalatai a biztosítóknál

IT vizsgálatok tapasztalatai a biztosítóknál Budapest, 2005. május 24. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu 1/30

Feladataink Jogszabályi háttér Vizsgálati alapelvek Tapasztalatok Javaslatok Audit eszközök Tartalom 2/30

Feladataink - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, elősegítése, a pénzügyi szolgáltatási szervezet prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján. Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása 3/30

Feladataink -2 Felügyeleti munka minőségének állomásai: ISO 9001:2000 szerint tanúsított rendszer 2002 novemberében CAF (közigazgatási kiválósági modell szerinti megfelelés) 2002 óta évente IIASA SHIBA minőségi díj 2002-ben QM 9004 tanúsítás 2003-ban Igény az információk szisztematikus teljeskörű védelmére (ISO 17799:2002) 2004 február Évenkénti imázsvizsgálat. 4/30

Feladataink 3 A PSZÁF IFF bemutatása: Létszám: 10 fő (9 + 1) 8 CISA képesítés, 1 FED minősítés Banki, távközlési és ellenőrzési tapasztalat (nemzetközi!) Informatika felügyeleti vizsgálatok, engedélyezés, módszertani fejlesztések Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO 13335, ITIL stb.) A 2004. évi XXII. tv. 1. -ának (13/B. ) bevezetésének indoka:, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében. 5/30

Feladataink - 4 További terveink: Kockázat alapú felügyelet erősítése, a működési kockázatok kezelése A legjobb gyakorlat meghonosítása, statisztikák tapasztalatok gyűjtése Ajánlások, törvényi szabályozások Az EU csatlakozásból adódó feladatok Folyamatos képzés, új technológiák 6/30

Jogszabályi háttér - 1 1999. évi CXXIV. - a PSZÁF-ról 2003. évi LX. (Bit) a biztosítóintézetekről. 2004. évi XXII. - a befektetések védelméről 1996. évi CXII. (Hpt) a hitelintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 2004. évi CI. tv. az adókról és járulékokról 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 1957. évi IV. (Áe) az államigazgatási eljárásról. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 1992. évi LXIII. - a személyes adatok védelméről. 7/30

Jogszabályi háttér - 2 65. A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: a) az üzleti tervben meghatározott biztosítási tevékenységhez igazodó, megfelelő színvonalú ügyfélszolgálati, kárrendezési tevékenység ellátására szolgáló helyiség(ek) tulajdoni, használati vagy bérleti joga, b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a működési kockázatok csökkentését szolgáló információs és ellenőrzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv, c) az adatvédelmet szolgáló (kézi és gépi) irattározás feltételeinek kialakítása. 8/30

Jogszabályi háttér - 3 A biztosítási szükséghelyzet 216. (1) Ha a biztosító a) fizetési kötelezettségeinek 5 napon belül nem tesz eleget, vagy b) biztosítástechnikai tartalékai nem érik el a szükséges mértéket, c) biztonsági tőkéjének fedezete nem elegendő vagy d) a szanálási, illetve a pénzügyi tervét a Felügyelet által meghatározott időn belül nem tudja végrehajtani, vagy e) tevékenysége körében más olyan különösen súlyos veszélyhelyzet alakult ki, amely a biztosítási szolgáltatások biztonságát fenyegeti (a továbbiakban a)-e) pontok együtt vagy külön-külön: szükséghelyzet) a Felügyelet a felszámolás elkerülése, valamint a biztosítottak érdekében szükségintézkedést tehet 9/30

Jogszabályi háttér - 4 Biztosítási titok: 153. Biztosítási titok minden olyan, a biztosító rendelkezésére álló adat, amely a biztosító egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik. 156. Biztosítási titok csak akkor adható ki harmadik személynek, ha a) a biztosító ügyfele vagy annak törvényes képviselője a kiszolgáltatható biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásban felmentést ad, b) e törvény alapján a titoktartási kötelezettség nem áll fenn. 157. (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn a) a feladatkörében eljáró Felügyelettel, o) a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzővel, ; 10/30

Jogszabályi háttér - 5 Az ügymenet kiszervezésének feltételei 76. (1) A biztosító - az adatvédelmi előírások betartása mellett - az ügymenetének bármely elemét kiszervezheti, kivéve a 6. számú melléklet I. pontjában foglaltakat. A tilalom nem terjed ki a ki nem szervezhető feladatok teljesítéséhez szükséges szakértői szolgáltatások igénybevételére. A termékértékesítés más általi végzése nem minősül az ügymenet kiszervezésének. (2) Az ügymenet kiszervezésének feltétele, hogy az irányítási és ellenőrzési jog megmaradjon a biztosítónál. (3) A biztosító a 6. számú melléklet II. pontjában felsorolt tevékenységek (1. aktuáriusi feladatok; 2. elektronikus adatfeldolgozás; 3. kárrendezés; 4. vagyonkezelési tevékenység) kiszervezését köteles a Felügyeletnek a negyedéves adatszolgáltatás keretében bejelenteni. 11/30

Jogszabályi háttér - 6 77. (1) A kiszervezett tevékenységet a Felügyelet a tevékenységet végzőnél ugyanazon módon és eszközökkel vizsgálhatja, mintha a tevékenységet a biztosító végezné. (2) A kiszervezett tevékenységgel harmadik személynek okozott bármely kárért a biztosító felel. (3) A biztosító felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és a tőle elvárható gondossággal végezze. Amennyiben a kiszervezett tevékenység végzése jogszabályba vagy a szerződésbe ütközik, haladéktalanul köteles felszólítani a kiszervezett tevékenységet végzőt, hogy tevékenységét a jogszabálynak, illetve a szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a tevékenységet továbbra is jogszabálysértő vagy szerződésszegő módon végzi, a biztosító köteles a szerződést azonnali hatállyal felmondani. 12/30

Jogszabályi háttér - 7 77. (4) Amennyiben a Felügyelet észleli, hogy a biztosító a (3) bekezdésben foglalt kötelezettségének nem tett eleget, a tevékenység kiszervezését megtilthatja. (5) Aki egyidejűleg végez kiszervezett tevékenységet több biztosító részére, az köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával - kezelni. (6) A biztosító nem szervezheti ki a tevékenységet olyan szervezethez, a) amelyben a biztosító vezető tisztségviselőjének vagy e vezető tisztségviselő közeli hozzátartozójának tulajdonosi részesedése van, vagy b) amelynek a biztosító vezető tisztségviselője vagy e tisztségviselő közeli hozzátartozója vezető tisztségviselője. (7) A (6) bekezdésben előírt korlátozást nem kell alkalmazni, amennyiben a biztosító és a kiszervezett tevékenységet végző tulajdonosa azonos illetve azonos tulajdonosi csoportba tartoznak. 13/30

Jogszabályi háttér - 8 78. (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell: a) a biztosítási titok megőrzésére vonatkozó kötelezettséget, felelősséget és a titok megtartása érdekében teendő intézkedéseket; b) hozzájárulását a kiszervezett tevékenységnek a biztosító belső ellenőre, könyvvizsgálója és a Felügyelet által történő ellenőrzéséhez; c) felelősségét a tevékenység megfelelő színvonalon történő végzéséért; d) a tevékenység végzésének minőségére vonatkozó részletes követelményeket; e) a felmondás lehetőségét a jogszabálysértő tevékenység esetén. (2) A kiszervezést végző fél köteles a felügyeleti ellenőrzést végzőknek az ügymenet kiszervezéssel kapcsolatos valamennyi adatot, dokumentumot, információt megadni ill. a szerződésben rögzíteni kell az adatfeldolgozás rendjét és az adatvédelem szabályait. (3) Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja, úgy a kiszervezett tevékenységet végző a biztosító adatfeldolgozójának minősül. 14/30

Jogszabályi háttér - 9 Az ügyfelek tájékoztatása: 166. (2) A biztosítónak és a biztosításközvetítőnek, a biztosítási szerződés megkötése előtt bizonyítható és azonosítható módon, közérthető, egyértelmű és részletes írásbeli tájékoztatást kell adnia a szerződést kötni kívánó ügyfél részére a biztosító főbb adatairól (név, székhely, stb.) és a biztosítási szerződés jellemzőiről. A biztosítónak a szerződő féllel szembeni tájékoztatási kötelezettsége - a függő biztosításközvetítő adatait és a 10. számú melléklet A) pontjának 17. alpontjában foglaltakat (adózási szabályok) kivéve - irányadó a szerződés tartama alatt a fenti adatokban bekövetkezett változások esetében is. A biztosítási szerződésre vonatkozó tájékoztatás jellemzőit a 10. számú melléklet A) pontja tartalmazza. A) A biztosítási szerződésre vonatkozó írásos tájékoztatásnak legalább a következőket kell tartalmaznia: 13. azon szervezetek felsorolását, amelyeknek a biztosító az ügyfelek adatait - a Bit. 153-161. -aiban és 165. -ában foglaltak (biztosítási titok) alapján - továbbíthatja; 15/30

Vizsgálati alapelvek - 1 COBIT módszertan szerint ( a tudatos vezetés eszköze, www.pszaf.hu) A legjobb hazai és nemzetközi gyakorlat követése Kockázatalapú vizsgálat (előzetes IT adatlapok) Kontrollok vizsgálata (preventív, detektív, korrektív) Megfelelőségi (compliance) és mélységi (substantial) vizsgálatok 16/30

Vizsgálati alapelvek - 2 Kontrollok: Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. 17/30

Vizsgálati alapelvek - 3 18/30

Vizsgálati alapelvek - 4 19/30

Vizsgálati alapelvek - 5 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 20/30

Tapasztalatok - 1 Pozitívumok: A PSZÁF által felvetett hiányosságokat igyekeznek megszüntetni, pozitív hozzáállás. Az IT fontossága ismert, javuló tendencia. Negatívumok: A stratégiának, éves tervnek nem része az IT. Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása. A szabályzatok hiányoznak, nem aktuálisak. BCP, DRP nincs, nem aktualizált. 21/30

Tapasztalatok - 2 A szakképzettség hiánya, kiszolgáltatottak az informatikai szállítóknak, szolgáltatóknak. Külsős szerződések hiányosságai, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya. Korszerűtlen, nem integrált, biztonságosan csak rendkívüli költségekkel üzemeltethető alaprendszer, a beépített audit lehetőségek hiánya, kihasználatlansága. Változáskezelési hiányosságok, az új informatikai rendszerek bevezetése nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment. 22/30

Tapasztalatok - 3 A kisebb intézményeknél több a hiányosság. Az IT architektúra nem megfelelően dokumentált, nyilvántartási hiányosságok vannak. Hozzáférés- és jelszókezelés hiányosságai. A biztonság tudatosság alacsony színvonalú, oktatások, felhasználói támogatás hiányosságai. A belső ellenőrzés nem végez IT vizsgálatot (szakképzetlenség), naplófájlok ellenőrizetlensége. 23/30

Javaslatok Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 24/30

Audit eszközök - 1 Keresők (Google, Netcraft, RIPE, 192.com) Hálózati információk (network enumeration tools) SmartWhois (http://www.tamos.com) Ping, Traceroute, Explorer, CMD NetScanTools (http://www.netscantools.com) SamSpade (http://www.samspade.org) Solarwinds (http://www.solarwinds.net) SNScan (http://www.foundstone.com) Hyena (http://www.systemtools.com) Dumpsec (http://www.systemtools.com) Stb., stb. 25/30

Audit eszközök - 2 Port-letapogatók (port scanning tools) Nmap (http://www.insecure.org) Mingsweeper (http://www.hoobie.net) SuperScan (http://www.foundstone.com) Target enumeration tools idserve (http://www.grc.com/id/idserve.htm) CommView (http://www.tamos.com) Achilles (http://www.mavensecurity.com/achilles) Netcat (http://www.securityfocus.com/tools/139/scoreit) Telnet Stb., stb. 26/30

Audit eszközök - 3 Jelszótörők Brutus (http://www.hoobie.net/) Various! (http://www.elcomsoft.com) L0phtcrack (http://www.atstake.com) RainbowCrack (http://www.rainbowcrack.serveftp.com) Sérülékenység vizsgálók és audit eszközök ENT (http://www.tamos.com) STAT (http://www.stat.harris.com) NeWT (http://www.tenablesecurity.com) AppDetective (http://www.appsecinc.com) WebInspect (http://www.spidynamics.com) Nessus (http://www.nessus.org) Stb., stb. 27/30

Audit eszközök - 4 Penetration testing tools CoreImpact (http://www.coresecurity.com) Canvas (http://www.immunitysec.com) Metasploit (http://www.metasploit.com) Módszertani anyagok http://www.isecom.org/projects/osstmm.htm http://rr.sans.org http://www.owasp.org Hacker oldalak http://packetstormsecurity.nl http://www.blackcode.com http://www.hackernetwork.com http://www.insecure.org http://www.nmrc.org 28/30

Port információk Audit eszközök - 5 http://www.neohapsis.com/neolabs/neo-ports/ http://www.iss.net/security_center/advice/exploits/ports/ http://www.lebouef.com/faqs/ip%20port%20numbers.htm http://www.portsdb.org/ http://ports.tantalo.net/index.php http://www.iana.org/assignments/port-numbers http://www.isecom.info/cgi-local/protocoldb/browse.dsp http://www.seifried.org/security/ports/ http://www.chebucto.ns.ca/~rakerman/port-table.html http://www.simovits.com/trojans/trojans.html Stb., stb. 29/30

Audit eszközök - 6 Biztonsággal kapcsolatos oldalak (security sites) http://www.cerias.purdue.edu http://www.cisecurity.org http://www.cert.org http://www.infosyssec.com http://searchsecurity.techtarget.com http://www.securityfocus.com http://www.securitytracker.com http://www.ssa.gov/ http://www.microsoft.com/security/default.mspx http://www.rsasecurity.com/ http://securityresponse.symantec.com/ Stb., stb. 30/30