Felügyeleti ajánlás az informatikai rendszerekről Budapest, 2005. november 11. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu 1/24
Tartalom Alapelvek Jogszabályok Ajánlás Egyebek (további kérdések és válaszok) 2005. november 11. 2/24
Alapelvek - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, elősegítése, a pénzügyi szolgáltatási szervezet prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján. Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása 2005. november 11. 3/24
Alapelvek - 2 Az útmutató ( Módszertani útmutató a pénztárak informatikai rendszerének védelméről ) célja: pénztár informatika erősítése törvényi megfelelés elősegítése egységes értelmezés és szemléletmód (COBIT) kialakítása Gyakran Ismételt Kérdések (GYIK): Miért pont a COBIT (miért nem pl. ISO17799)? -> A COBIT küldetése: Az üzleti vezetők és az ellenőrök napi munkájában használható általánosan elfogadott információ-technológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése. Miért nem magyarul, a mellékletben? -> On-line elérhető, folyamatosan aktualizált, nemzetközi tapasztalatok. Van-e COBIT megfelelőség? -> Gondolkodás mód, nincs minősítő szervezet. Csak a pénztárakra? -> Egységes IT elvárások. 2005. november 11. 4/24
Alapelvek - 3 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 2005. november 11. 5/24
Alapelvek - 4 Jogszabályi hangsúlyok, felügyeleti tapasztalatok: Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) Nyilvántartások naprakészségének dokumentálásának biztosítása. és a folyamatok A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 2005. november 11. 6/24
Jogszabályok - 1 2004. évi XXII. - a befektetések védelméről 1999. évi CXXIV. - a PSZÁF-ról 1996. évi CXII. (Hpt) a hitelintézetekről. 2003. évi LX. (Bit) a biztosítóintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 2004. évi CI. tv. az adókról és járulékokról 2004. évi CXL. (KET) a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 1992. évi LXIII. - a személyes adatok védelméről 2005. november 11. 7/24
Jogszabályok 2 Mpt. 44. (1) A pénztár a pénztártevékenységet csak a szükséges személyi feltételek, technikai, informatikai, műszaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelelő számviteli renddel és a biztonságos működéshez szükséges belső szabályzatokkal, valamint az egyes tevékenységek végzésében előírt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal. Öpt. 64. (1) A pénztártevékenység folytatásának feltétele: a) valamennyi pénztártípusnál a pénztártevékenység biztonságos folytatására alkalmas irodahelyiség, adószám, elnevezés és legalább mérlegképes könyvelői képesítéssel rendelkező alkalmazott, ha a pénztár nem helyezi ki gazdálkodásának nyilvántartását; A 2004. évi XXII. tv. 1. -ának (13/B. ) bevezetésének indoka: az informatikai rendszerek központi szerepet töltenek be Hatálybalépés a 2004. évi CI. törvény alapján: 319. Az Öpt. 40/C-D. rendelkezéseit 2006. január 1.-től kell alkalmazni. 321. Az Mpt. 77/A-B. rendelkezéseit 2006. január 1.-től kell alkalmazni. 2005. november 11. 8/24
Ajánlás - 1 Szabályozás: Jogszabály: Mpt. 77/A. (1) A pénztárnak ki kell alakítania a tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, amely kiterjed a bűncselekményekkel kapcsolatos kockázatok kezelésére is. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén.. Probléma: Szabályzatok hiányoznak, sokszor nem aktuálisak. Mintaszabályzat? -> Nem segíti a vállalati kultúrát. Gondoljuk át mit csinálunk vagy mit kéne másként. Probléma esetén mi alapján döntsünk a felelősség kérdéséről Külsősökkel? -> Jó szabályozás a terv szerű munka fokmérője (tudatos vezetés, tudatos munkavégzés) Milyen területekre vonatkozik, miért pont ezek? -> IT-vel kapcsolatosak pl. Szabályzatok szabályzata, IBP, IBSZ, SzVSZ, Mentések és archiválások, Vírusvédelem, Jogosultságkezelés, BCP, DRP, Fejlesztés- és változáskezelés, help-desk, ellenőrzési feladatok, Kockázatkezelés módszertana, eljárás rendje) Mi a struktúra? -> Irányelvek szabályzatok eljárásrendek stb. COBIT: PO6 - Vezetői célok és irányvonal közlése, a PO8 - Külső követelmények betartása és az AI1 Automatizált megoldások meghatározása 2005. november 11. 9/24
Ajánlás - 2 Kockázatkezelés: Jogszabály: Mpt. 77/A. (2) A pénztár köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Probléma: Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása, kisebb intézményeknél több a hiányosság. Miért kell szigorú IT előírás a kis pénztáraknak is? -> Nem az erőforrások, hanem a kockázatok alapján! Csak külsőssel lehet? -> Nem. Sőt Milyen módszertant válasszak? -> Bármilyet, ami szakmailag elfogadható (www.biztostu.hu, www.cramm.com, www.realpublishers.com, www.netrisk.com, www.riskcenter.com, www.cert.org/octave). Mennyire szubjektív, vállalhatok magas kockázatot? -> Szakmai elfogadhatóság! Hány fokozatú legyen? Módszertan függő (magas, közepes, alacsony). Kockázat mennyisége, kockázatkezelés minősége, aggregált IT helyzet értékelés, változás iránya. Kockázat = összes Fenyegetésre * Sebezhetőség (bekövetkezési valószínűség) * Veszteség (kárérték). COBIT: PO9 - Kockázatok értékelése 2005. november 11. 10/24
Ajánlás - 3 Feladat és felelősség elhatárolás: Jogszabály: Mpt. 77/A. (3) Az informatika alkalmazásából fakadó biztonsági kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat. Probléma: Nem megfelelő feladat és felelősség elhatárolás Milyen feladatok vannak? -> Első számú vezető (mindenért felel) IT vezető (irányítja az IT területet, gondoskodik az IT megfelelésről), IT biztonsági menedzser (IT biztonsági szabályok betartatása), IT üzemeltető (működjenek az eszközök, ha gond van megoldja), IT fejlesztő (elkészíti az üzleti terület igényeit kielégítő megoldásokat), IT belső ellenőr (független IT ellenőrzés, ki-mit-hogyan csinál) Változásmenedzser (változások nyilvántartása, karbantartása) adatvédelmi felelős (adatvédelmi törvény, inkább jogász), Mit tegyek ha nincs elég ember, mi összeférhetetlen? -> Felelős mindig kell! COBIT: PO4 Az informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása, PO7 Emberi erőforrások kezelése 2005. november 11. 11/24
Ajánlás - 4 Összeférhetetlen feladatok és felelősségek a COBIT szerint Felhaszn áló IT ellenőr Fejlesztő Szoftver könyvtár os Felh. támogató Rendszer admin. Hálózati admin Adatbázi s admin. Operátor IT biztonság i felelős Felhasználó IT ellenőr Fejlesztő SW könyvtáros Felh. támogató Rendszer admin. Hálózati admin Adatbázis admin. Operátor IT bizt.felelős 2005. november 11. 12/24
Ajánlás - 5 IT irányítás, független ellenőrzés: Jogszabály: Mpt. 77/A. (4) A pénztárnak ki kell dolgoznia az informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell. Probléma: Nem megfelelő kontrollkörnyezet, sok kontroll hiányosság, a belső ellenőrzés nem végez IT vizsgálatot. Mik azok a kontrollok? -> Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé (szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok) Hogyan kezelhetők a problémák? -> Az IT irányítás gyakorlati alkalmazásával, megfelelő módszertan választásával (pl. ITIL, COBIT, BS7799, ISO 13335, stb.) A könyvvizsgáló alkalmazza-e a 401-est? COBIT: M1 Eljárások felügyelete, az M2 Belső ellenőrzés megfelelőségének felmérése, az M3 Független értékelés végeztetése és az M4 Független audit elvégeztetése 2005. november 11. 13/24
Ajánlás - 6 Nyilvántartások: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, Mpt. 77/A. (7) A pénztárnál mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénztár által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának. Probléma: Az IT architektúra nem jól dokumentált, nyilvántartási hiányosságok. Milyen nyilvántartások kellenek? -> Rendszerkapcsolati, adatkapcsolati ábrák. Milyen rendszereim vannak, hogyan vannak összekapcsolva, milyen biztonsági problémák adódhatnak? Eszköznyilvántartás (Kinél milyen hardver illetve szoftver van?). Engedélyezett szoftverek listája (Milyen szoftverek megengedettek, mik lehetnek a gépeken?). COBIT: DS9 Konfiguráció kezelése 2005. november 11. 14/24
Ajánlás - 7 IT biztonság, biztonságtudatosság: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról. Probléma:, A beépített IT biztonsági elemek kihasználatlanok, az IT biztonsági szempontok csak útólag kerülnek kiépítésre, a biztonsági szemlélet és a biztonság tudatosság alacsony színvonalú. Mire kell felkészülni, mit vár el a Felügyelet? -> Amit a kockázatelemzés felmért! A biztonsági lyukak betömése. Ha nincs IT biztonsági szakértelem, akkor vegyünk igénybe külsősöket. Fizikai biztonság az ügyfél térre is? -> Lásd kockázatelemzés! Információ vagy informatika biztonság? -> Informatika, de így teljeskörű? COBIT: DS5 A rendszer biztonságának megvalósítása és a DS12 Létesítmények kezelése 2005. november 11. 15/24
Ajánlás - 8 Hozzáférés- és jogosultságkezelés: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események), Probléma: Hozzáférés- és jogosultságkezelési hiányosságok vannak, a jogosultságok kiosztása nem engedélyezett, a beállítások nem egyeznek a nyilvántartással. Milyen legyen, mire terjedjen ki? -> Legyen szabályozott (Van-e jogosultság kezelési folyamat?). A biztonságpolitikával legyen összhangban (Vannak-e jogosultsági csoportok vagy mindenki kap valamit? Kezeli-e a különleges jogokat?). Legyen ellenőrizhető (A vezető mindig engedélyezte-e dokumentáltan?, Van-e jogosultság nyilvántartás? Ellenőrzi-e valaki, hogy mi van beállítva? Naplózva vannak-e?) COBIT: DS5 A rendszer biztonságának biztosítása, a DS7 Felhasználók képzése és a DS8 Informatikai felhasználók segítése 2005. november 11. 16/24
Ajánlás - 9 Naplózás, log-ellenőrzés: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére, Probléma: Naplófájlok hiánya, ellenőrizetlensége, a beépített audit lehetőségek hiánya, kihasználatlansága. Mindent naplózni kell? -> Nem mindent. A pénztár saját döntése a kockázatelemzés alapján! A biztonsági logok teljes hiánya nem megfelelő. A rendelkezésre álló lehetőségek kihasználása és naplózási rendszer átgondolt alkalmazása, elemzése és automatizálása. COBIT: AI2 Alkalmazási szoftverek beszerzése és karbantartása, AI3 Technológiai infrastruktúra beszerzése és karbantartása, AI4 Informatikai eljárások kifejlesztése és karbantartása, DS13 Üzemeltetés irányítása 2005. november 11. 17/24
Ajánlás - 10 Adattitkosítás, adatátvitel biztonsága: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: e) a távadatátvitel, valamint a kizárólag elektronikus úton megvalósuló pénzügyi tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről, Probléma: Külsős hozzáférések problémái, adatbiztonsági hiányosságok, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya. Milyen módon, mi tekinthető elfogadhatónak? -> A biztonsági kockázatokkal arányosan. A biztonsági alapelvek (pl. nyílt üzenettovábbítás helyett titkosítottat, 40 helyett 128 bites SSL, telnet helyett SSH, http helyett https, stb.). Mi a megfelelő tűzfal, kell-e etikus hack-elés? -> Szabályozott, dokumentált, ellenőrzött, aktualizált (patch-elés). Melyik tranzakció esetén kell? -> Saját döntés, kockázat arányos. COBIT: DS5 Rendszer biztonságának biztosítása és a DS11 Adatok kezelése 2005. november 11. 18/24
Ajánlás - 11 Adathordozók kezelése: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: f) az adathordozók szabályozott és biztonságos kezeléséről, Probléma: Az adathordozók megbízható és naprakész nyilvántartásának hiánya. Miért kell a média nyilvántartás? -> Hogy követhető, rendkívüli helyzetben megtalálható, számonkérhető és ellenőrizhető legyen. COBIT: DS11 Adatok kezelése 2005. november 11. 19/24
Ajánlás - 12 Vírusvédelem: Jogszabály: Mpt. 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: g) a rendszer biztonsági kockázattal arányos vírusvédelméről. Probléma: Nem vírusvédelem. kockázatarányos, nem aktualizált Minden gépen, minden kockázatokkal arányosan. nap aktualizálni kell? -> A Milyet válasszunk? -> Ami szakmailag, IT biztonsági szempontból megfelelő, kockázat arányos és költséghatékony. COBIT: DS5 Rendszer biztonságának biztosítása DS9 Konfiguráció kezelése és a 2005. november 11. 20/24
Ajánlás - 13 Fejlesztési tervek, IT stratégia: Jogszabály: Mpt. 77/A. (6) A pénztárnak tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: a) informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel, Probléma: Szabályzatok hiányoznak, nem aktuálisak (lásd Mpt. 77/A. (1) pont), a stratégiának, éves tervnek nem része az IT. Mik az elvárások? -> Legyen összhangban az üzleti stratégiával. Hogyan lehet hosszú távú stratégiát készíteni? -> Ha nem tűzünk ki célokat, sosem fogjuk elérni. A vezetőség által is jóváhagyott alapelveket (külső vagy belső erőforrásból, vásárolt vagy saját fejlesztéssel, milyen hardver illetve szoftver platformon, milyen életciklus idővel, milyen adatbázis kezelővel, stb.). COBIT: COBIT PO1 Informatikai stratégiai terv kidolgozása, a PO2 Információ-architektúra meghatározása, a PO3 Technológiai irány meghatározása, a PO5 Informatikai beruházások kezelése, a PO10 Projektek irányítása, a DS6 Költségek megállapítása és felosztása valamint a DS13 Üzemeltetés irányítása 2005. november 11. 21/24
Ajánlás - 14 Üzletmenet-folytonosság, rendkívüli helyzet kezelés: Jogszabály: Mpt. 77/A. (6) meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja, c) informatikai rendszerrel, tartalék berendezésekkel, szolgáltatások folytonosságát biztosító - megoldásokkal, e) biztonsági mentésekkel és mentési renddel és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, g) a rendkívüli események kezelésére szolgáló tervvel. Probléma: BCP, DRP nincs, nem aktualizált. Mik az elvárások? -> A BCP elkészítése nem IT feladat ( üzletmenetfolytonosság ). Ha nem aktuális, akkor nem használható. Ha nem próbálom ki, nem biztos, hogy működni fog (tesztelés). Mindenre legyen tartalék? (KOCKÁZATELEMZÉS!). Miből tudom, hogy ki mit tegyen? (Rendkívüli helyzet kezelési terv, DRP). Forráskód letét! COBIT: DS2 Külső szolgáltatások kezelése, DS3 Teljesítmény és kapacitás kezelése, PO11 Minőségirányítás, DS1 Szolgáltatási szintek meghatározása, DS4 Folyamatos működés biztosítása DS10 Rendkívüli események kezelése 2005. november 11. 22/24
Ajánlás - 15 Fejlesztés, változáskezelés: Jogszabály: Mpt. 77/A. (6) meg kell valósítania a d) az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását,. Mpt. 77/A. (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére. Probléma: Változáskezelési hiányosságok, a korszerűtlen rendszer leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment. Mik az elvárások? -> Szabályozott és dokumentált keretek között (specifikáció, rendszerterv, fejlesztői teszt, felhasználói teszt, dokumentált átadásátvétel, stb.)! A fejlesztés és üzemeltetés szétválasztása (összeférhetetlenség)! Tudni kell, hogy milyen változások voltak, ki kezdeményezte, hogyan került megvalósításra, volt-e felhasználói teszt, készült-e átadás-átvételi dokumentáció (felelősség!), van-e rendszerüzemeltetői és felhasználói leírás, volt-e oktatás, stb. Megoldás a tágan értelmezett és kialakított változásmendzselési funkció! COBIT: AI6 Változások kezelése, AI5 Rendszerek üzembe helyezése és jóváhagyása, PO11 Minőségirányítás, DS1 Szolgáltatási szintek meghatározása, AI2 Alkalmazói szoftverek beszerzése és karbantartása, DS5 A rendszer biztonságának megvalósítása, DS11 Adatok kezelése 2005. november 11. 23/24
Ajánlás - 16 IT szakképzettség: Jogszabály: Mpt. 77/A. (9) A (9) A pénztár belső szabályzatában meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet. Probléma: Az IT még mindig black-bo, ha valamit nem tudok kezelni IT probléma, erős kiszolgáltatottság a külső szállítóknak, biztonság tudatosság alacsony színvonalú, kevés IT támogatás Mi az elvárás? -> Gondoljuk végig a feladat és felelősség elhatárolás megvalósításához szükséges IT ismereteket és dokumentáljuk le. Készítsünk oktatási tervet. Biztonsági oktatás nem csak az IT-soknak kell! Legyen felhasználói oktatás és felhasználói (üzemeltetői) dokumentáció. Mindenki csak a rá vonatkozó mértékben? -> Minimum a feladatához és a felelősségi köréhez szükséges mértékben, de a biztonsági szabályokat teljes mértékben meg kell érteni. Kell szolgáltatási szint felelős? -> Ha nincs kijelölve, akkor a főnök az! COBIT: PO7 Emberi erőforrások kezelése 2005. november 11. 24/24