1/24

Felügyeleti ajánlás az informatikai rendszerekről

Budapest, 2005. november 11.

Kirner Attila FőosztályvezetőPSZÁF Informatika Felügyeleti Főosztálykirner.attila@pszaf.hu

2005. november 11. 2/24

• Alapelvek• Jogszabályok• Ajánlás• Egyebek (további kérdések és

válaszok)

Tartalom

2005. november 11. 3/24

Alapelvek - 1

A PSZÁF feladata, célja (1999. évi CXXIV.):• „A Felügyelet tevékenységének célja a pénz- és tőkepiac

zavartalan és eredményes működésének, …elősegítése, a pénzügyi szolgáltatási … szervezet …prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján.”

• Az ügyfelek érdekvédelme• A pénz- és tőkepiaci viszonyok átláthatósága• A pénzpiacokkal szembeni bizalom erősítése• A tisztességes verseny fenntartása

2005. november 11. 4/24

Alapelvek - 2Az útmutató („Módszertani útmutató a pénztárak informatikai

rendszerének védelméről”) célja:• pénztár informatika erősítése• törvényi megfelelés elősegítése• egységes értelmezés és szemléletmód (COBIT) kialakításaGyakran Ismételt Kérdések (GYIK):• Miért pont a COBIT (miért nem pl. ISO17799)? -> „A COBIT

küldetése: Az üzleti vezetők és az ellenőrök napi munkájában használható általánosan elfogadott információ-technológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatása, fejlesztése, közzététele és terjesztése.”

• Miért nem magyarul, a mellékletben? -> On-line elérhető, folyamatosan aktualizált, nemzetközi tapasztalatok.

• Van-e COBIT „megfelelőség”? -> Gondolkodás mód, nincs minősítő szervezet.

• Csak a pénztárakra? -> Egységes IT elvárások.

2005. november 11. 5/24

Az informatikai vizsgálatok négy fő területe:• Tervezés, vezetés, szervezet, szabályozás (stratégia,

munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás).

• IT architektúra, beszerzés, fejlesztés, üzembehelyezés(mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).

• Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás).

• Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).

Alapelvek - 3

2005. november 11. 6/24

Alapelvek - 4

Jogszabályi hangsúlyok, felügyeleti tapasztalatok:• Készüljön üzleti és IT stratégia (tudatos vezetés)• Kockázatelemzés, a veszélyforrások felmérése, a működési

kockázatok rendszeres kiértékelése és a kontrollok kialakítása.• A szabályzatok aktualizálására fordítsanak gondot (Informatikai

szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.)

• Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.

• A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése.

• Belső IT szakértelem és külsősök feletti kontroll erősítése.• A független ellenőrzés fokozása, a beépített audit lehetőségek

kihasználása, naplófájlok rendszeres kiértékelése.

2005. november 11. 7/24

• 2004. évi XXII. - a befektetések védelméről • 1999. évi CXXIV. - a PSZÁF-ról• 1996. évi CXII. (Hpt) a hitelintézetekről.• 2003. évi LX. (Bit) a biztosítóintézetekről.• 2001. évi CXX. (Tpt) a tőkepiacról.• 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról.• 1993. évi XCVI. (Öpt) az önkéntes pénztárakról.• 2004. évi CI. tv. – az adókról és járulékokról• 2004. évi CXL. (KET) a közigazgatási hatósági eljárás és

szolgáltatás általános szabályairól.• 10/2001-es PSZÁF ajánlás a biztonsági feltételekről• 1992. évi LXIII. - a személyes adatok védelméről

Jogszabályok - 1

2005. november 11. 8/24

• Mpt. 44. § (1) A pénztár a pénztártevékenységet csak a … szükséges személyi feltételek, technikai, informatikai, műszaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelelő számviteli renddel és a biztonságos működéshez szükséges belső szabályzatokkal, valamint az egyes tevékenységek végzésében előírt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal.

• Öpt. 64. § (1) A pénztártevékenység folytatásának feltétele: a) valamennyi pénztártípusnál a pénztártevékenység biztonságos folytatására alkalmas irodahelyiség, adószám, elnevezés és legalább mérlegképes könyvelői képesítéssel rendelkező alkalmazott, ha a pénztár nem helyezi ki gazdálkodásának nyilvántartását;

• A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének indoka:„ …az informatikai rendszerek központi szerepet töltenek be …”

• Hatálybalépés a 2004. évi CI. törvény alapján:319. § Az Öpt. 40/C-D. § rendelkezéseit 2006. január 1.-től kell alkalmazni.

321. § Az Mpt. 77/A-B. § rendelkezéseit 2006. január 1.-től kell alkalmazni.

Jogszabályok – 2

2005. november 11. 9/24

Ajánlás - 1Szabályozás:• Jogszabály: Mpt. 77/A. § (1) A pénztárnak ki kell alakítania a tevékenységének

ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, amely kiterjed a bűncselekményekkel kapcsolatos kockázatok kezelésére is. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén. .

• Probléma: Szabályzatok hiányoznak, sokszor nem aktuálisak.• GYIK:

– Mintaszabályzat? -> Nem segíti a vállalati kultúrát. Gondoljuk át mit csinálunk vagy mit kéne másként. Probléma esetén mi alapján döntsünk a felelősség kérdéséről

– Külsősökkel? -> Jó szabályozás a terv szerű munka fokmérője (tudatos vezetés, tudatos munkavégzés)

– Milyen területekre vonatkozik, miért pont ezek? -> IT-vel kapcsolatosak pl. Szabályzatok szabályzata, IBP, IBSZ, SzVSZ, Mentések és archiválások, Vírusvédelem, Jogosultságkezelés, BCP, DRP, Fejlesztés- és változáskezelés, help-desk, ellenőrzési feladatok, Kockázatkezelés módszertana, eljárás rendje)

– Mi a struktúra? -> Irányelvek – szabályzatok – eljárásrendek – stb.• COBIT: „PO6 - Vezetői célok és irányvonal közlése” , a „PO8 - Külső követelmények

betartása” és az „AI1 – Automatizált megoldások meghatározása”

2005. november 11. 10/24

Ajánlás - 2Kockázatkezelés:• Jogszabály: Mpt. 77/A. § (2) A pénztár köteles az informatikai rendszer

biztonsági kockázatelemzését szükség szerint, de legalább kétéventefelülvizsgálni és aktualizálni .

• Probléma: Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása, kisebb intézményeknél több a hiányosság.

• GYIK:– Miért kell szigorú IT előírás a kis pénztáraknak is? -> Nem az erőforrások, hanem

a kockázatok alapján!– Csak külsőssel lehet? -> Nem. Sőt …– Milyen módszertant válasszak? -> Bármilyet, ami szakmailag elfogadható

(www.biztostu.hu, www.cramm.com, www.realpublishers.com, www.netrisk.com, www.riskcenter.com, www.cert.org/octave).

– Mennyire szubjektív, vállalhatok magas kockázatot? -> Szakmai elfogadhatóság!– Hány fokozatú legyen? Módszertan függő (magas, közepes, alacsony). Kockázat

mennyisége, kockázatkezelés minősége, aggregált IT helyzet értékelés, változás iránya. Kockázat = összes Fenyegetésre * Sebezhetőség (bekövetkezési valószínűség) * Veszteség (kárérték).

• COBIT: „PO9 - Kockázatok értékelése”

2005. november 11. 11/24

Ajánlás - 3Feladat és felelősség elhatárolás:• Jogszabály: Mpt. 77/A. § (3) Az informatika alkalmazásából fakadó

biztonsági kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat.

• Probléma: Nem megfelelő feladat és felelősség elhatárolás• GYIK:

– Milyen feladatok vannak? -> • Első számú vezető (mindenért felel)• IT vezető (irányítja az IT területet, gondoskodik az IT megfelelésről),• IT biztonsági menedzser (IT biztonsági szabályok betartatása),• IT üzemeltető (működjenek az eszközök, ha gond van megoldja),• IT fejlesztő (elkészíti az üzleti terület igényeit kielégítő megoldásokat),• IT belső ellenőr (független IT ellenőrzés, ki-mit-hogyan csinál)• Változásmenedzser (változások nyilvántartása, karbantartása)• adatvédelmi felelős (adatvédelmi törvény, inkább jogász),

– Mit tegyek ha nincs elég ember, mi összeférhetetlen? -> Felelős mindig kell!• COBIT: „PO4 – Az informatikai részleg szervezeti felépítésének és

kapcsolatainak meghatározása”, „PO7 – Emberi erőforrások kezelése”

2005. november 11. 12/24

Ajánlás - 4

xxxxIT bizt.felelős

xxxxxxxOperátor

xxxxxxAdatbázis admin.

xxxxxxxHálózati admin

xxxxxxRendszer admin.

xxxxxxxxFelh. támogató

xxxxxxxSW könyvtáros

xxxxxxxxxFejlesztő

xxxxxxxIT ellenőr

xx xxxxFelhasználó

IT biztonsági felelős

OperátorAdatbázis admin.

Hálózati admin

Rendszer admin.

Felh. támogató

Szoftver könyvtáros

FejlesztőIT ellenőr

Felhasználó

Összeférhetetlen feladatok és felelősségek a COBIT szerint

2005. november 11. 13/24

Ajánlás - 5IT irányítás, független ellenőrzés:• Jogszabály: Mpt. 77/A. § (4) A pénztárnak ki kell dolgoznia az informatikai

rendszerének biztonságos működtetését felügyelő informatikai ellenőrzőrendszert és azt folyamatosan működtetnie kell.

• Probléma: Nem megfelelő kontrollkörnyezet, sok kontroll hiányosság, a belső ellenőrzés nem végez IT vizsgálatot.

• GYIK:– Mik azok a kontrollok? -> Mindazon irányelvek, folyamatok, eljárások,

gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé(szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok)

– Hogyan kezelhetők a problémák? -> Az IT irányítás gyakorlati alkalmazásával, megfelelő módszertan választásával (pl. ITIL, COBIT, BS7799, ISO 13335, stb.) A könyvvizsgáló alkalmazza-e a 401-est?

• COBIT: „M1 – Eljárások felügyelete”, az „M2 – Belső ellenőrzés megfelelőségének felmérése”, az „M3 – Független értékelés végeztetése” és az „M4 – Független audit elvégeztetése”

2005. november 11. 14/24

Ajánlás - 6Nyilvántartások:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, Mpt. 77/A. § (7) A pénztárnál mindenkor rendelkezésre kell állnia: a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénztár által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történőhozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságátbizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának.

• Probléma: Az IT architektúra nem jól dokumentált, nyilvántartási hiányosságok.• GYIK:

– Milyen nyilvántartások kellenek? -> Rendszerkapcsolati, adatkapcsolati ábrák. Milyen rendszereim vannak, hogyan vannak összekapcsolva, milyen biztonsági problémák adódhatnak? Eszköznyilvántartás (Kinél milyen hardver illetve szoftver van?). Engedélyezett szoftverek listája (Milyen szoftverek megengedettek, mik lehetnek a gépeken?).

• COBIT: „DS9 – Konfiguráció kezelése”

2005. november 11. 15/24

Ajánlás - 7IT biztonság, biztonságtudatosság:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról.

• Probléma:, A beépített IT biztonsági elemek kihasználatlanok, az IT biztonsági szempontok csak útólag kerülnek kiépítésre, a biztonsági szemlélet és a biztonság tudatosság alacsony színvonalú.

• GYIK:– Mire kell felkészülni, mit vár el a Felügyelet? -> Amit a kockázatelemzés

felmért! A biztonsági „lyukak betömése”. Ha nincs IT biztonsági szakértelem, akkor vegyünk igénybe külsősöket.

– Fizikai biztonság az ügyfél térre is? -> Lásd kockázatelemzés!– Információ vagy informatika biztonság? -> Informatika, de így teljeskörű?

• COBIT: „DS5 – A rendszer biztonságának megvalósítása” és a „DS12 –Létesítmények kezelése”

2005. november 11. 16/24

Ajánlás - 8Hozzáférés- és jogosultságkezelés:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események),

• Probléma: Hozzáférés- és jogosultságkezelési hiányosságok vannak, a jogosultságok kiosztása nem engedélyezett, a beállítások nem egyeznek a nyilvántartással.

• GYIK:– Milyen legyen, mire terjedjen ki? -> Legyen szabályozott (Van-e

jogosultság kezelési folyamat?). A biztonságpolitikával legyen összhangban (Vannak-e jogosultsági csoportok vagy mindenki kap valamit? Kezeli-e a különleges jogokat?). Legyen ellenőrizhető (A vezetőmindig engedélyezte-e dokumentáltan?, Van-e jogosultság nyilvántartás? Ellenőrzi-e valaki, hogy mi van beállítva? Naplózva vannak-e?)

• COBIT: „DS5 – A rendszer biztonságának biztosítása”, a „DS7 –Felhasználók képzése” és a „DS8 – Informatikai felhasználók segítése”

2005. november 11. 17/24

Ajánlás - 9Naplózás, log-ellenőrzés:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére,

• Probléma: Naplófájlok hiánya, ellenőrizetlensége, a beépített auditlehetőségek hiánya, kihasználatlansága.

• GYIK:– Mindent naplózni kell? -> Nem mindent. A pénztár saját döntése a

kockázatelemzés alapján! A biztonsági logok teljes hiánya nem megfelelő. A rendelkezésre álló lehetőségek kihasználása és naplózási rendszer átgondolt alkalmazása, elemzése és automatizálása.

• COBIT: „AI2 – Alkalmazási szoftverek beszerzése és karbantartása”, „AI3 –Technológiai infrastruktúra beszerzése és karbantartása”, „AI4 – Informatikai eljárások kifejlesztése és karbantartása”,„DS13 – Üzemeltetés irányítása”

2005. november 11. 18/24

Ajánlás - 10Adattitkosítás, adatátvitel biztonsága:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés eredményének

értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: e) a távadatátvitel, valamint a kizárólag elektronikus úton megvalósuló pénzügyi tranzakciók bizalmasságáról, sértetlenségéről és hitelességéről,

• Probléma: Külsős hozzáférések problémái, adatbiztonsági hiányosságok, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya.

• GYIK:– Milyen módon, mi tekinthető elfogadhatónak? -> A biztonsági

kockázatokkal arányosan. A biztonsági alapelvek (pl. nyílt üzenettovábbítás helyett titkosítottat, 40 helyett 128 bites SSL, telnethelyett SSH, http helyett https, stb.).

– Mi a megfelelő tűzfal, kell-e etikus hack-elés? -> Szabályozott, dokumentált, ellenőrzött, aktualizált (patch-elés).

– Melyik tranzakció esetén kell? -> Saját döntés, kockázat arányos.• COBIT: „DS5 – Rendszer biztonságának biztosítása” és a „DS11 –

Adatok kezelése”

2005. november 11. 19/24

Ajánlás - 11Adathordozók kezelése:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés

eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: f) az adathordozók szabályozott és biztonságos kezeléséről,

• Probléma: Az adathordozók megbízható és naprakész nyilvántartásának hiánya.

• GYIK:– Miért kell a média nyilvántartás? -> Hogy követhető,

rendkívüli helyzetben megtalálható, számonkérhető és ellenőrizhető legyen.

• COBIT: „DS11 – Adatok kezelése”

2005. november 11. 20/24

Ajánlás - 12Vírusvédelem:• Jogszabály: Mpt. 77/A. § (5) A biztonsági kockázatelemzés

eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: g) a rendszer biztonsági kockázattal arányos vírusvédelméről.

• Probléma: Nem kockázatarányos, nem aktualizált vírusvédelem.

• GYIK:– Minden gépen, minden nap aktualizálni kell? -> A

kockázatokkal arányosan.– Milyet válasszunk? -> Ami szakmailag, IT biztonsági

szempontból megfelelő, kockázat arányos és költséghatékony.

• COBIT: „DS5 – Rendszer biztonságának biztosítása” és a „DS9 – Konfiguráció kezelése”

2005. november 11. 21/24

Ajánlás - 13Fejlesztési tervek, IT stratégia:• Jogszabály: Mpt. 77/A. § (6) A pénztárnak tevékenysége ellátásához,

nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: a) informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel,

• Probléma: Szabályzatok hiányoznak, nem aktuálisak (lásd Mpt. 77/A. § (1) pont), a stratégiának, éves tervnek nem része az IT.

• GYIK:– Mik az elvárások? -> Legyen összhangban az üzleti stratégiával.– Hogyan lehet hosszú távú stratégiát készíteni? -> Ha nem tűzünk ki célokat,

sosem fogjuk elérni. A vezetőség által is jóváhagyott alapelveket (külső vagy belső erőforrásból, vásárolt vagy saját fejlesztéssel, milyen hardver illetve szoftver platformon, milyen életciklus idővel, milyen adatbázis kezelővel, stb.).

• COBIT: COBIT „PO1 – Informatikai stratégiai terv kidolgozása”, a „PO2 –Információ-architektúra meghatározása”, a „PO3 – Technológiai irány meghatározása”, a „PO5 – Informatikai beruházások kezelése”, a „PO10 –Projektek irányítása”, a „DS6 – Költségek megállapítása és felosztása”valamint a „DS13 – Üzemeltetés irányítása”

2005. november 11. 22/24

Ajánlás - 14Üzletmenet-folytonosság, rendkívüli helyzet kezelés:• Jogszabály: Mpt. 77/A. § (6) … meg kell valósítania a biztonsági kockázatelemzés

alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: b) minden olyan dokumentációval, amely … működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is -biztosítja, c) … informatikai rendszerrel, … tartalék berendezésekkel, …szolgáltatások folytonosságát biztosító - megoldásokkal, e) … biztonsági mentésekkel és mentési renddel … és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) … alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat … legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, g) a … rendkívüli események kezelésére szolgáló tervvel.

• Probléma: BCP, DRP nincs, nem aktualizált.• GYIK:

– Mik az elvárások? -> A BCP elkészítése nem IT feladat („üzletmenet-folytonosság”). Ha nem aktuális, akkor nem használható. Ha nem próbálom ki, nem biztos, hogy működni fog (tesztelés). Mindenre legyen tartalék? (KOCKÁZATELEMZÉS!). Miből tudom, hogy ki mit tegyen? (Rendkívüli helyzet kezelési terv, DRP). Forráskód letét!

• COBIT: „DS2 – Külső szolgáltatások kezelése”, „DS3 – Teljesítmény és kapacitás kezelése”, „PO11 – Minőségirányítás”, „DS1 – Szolgáltatási szintek meghatározása”, „DS4 – Folyamatos működés biztosítása” „DS10 – Rendkívüli események kezelése”

2005. november 11. 23/24

Ajánlás - 15Fejlesztés, változáskezelés:• Jogszabály: Mpt. 77/A. § (6) … meg kell valósítania a … d) … az alkalmazási

környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását,. Mpt. 77/A. § (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére.

• Probléma: Változáskezelési hiányosságok, a korszerűtlen rendszer leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.

• GYIK: Mik az elvárások? -> Szabályozott és dokumentált keretek között (specifikáció, rendszerterv, fejlesztői teszt, felhasználói teszt, dokumentált átadás-átvétel, stb.)! A fejlesztés és üzemeltetés szétválasztása (összeférhetetlenség)! Tudni kell, hogy milyen változások voltak, ki kezdeményezte, hogyan került megvalósításra, volt-e felhasználói teszt, készült-e átadás-átvételi dokumentáció(felelősség!), van-e rendszerüzemeltetői és felhasználói leírás, volt-e oktatás, stb. Megoldás a tágan értelmezett és kialakított változásmendzselési funkció!

• COBIT: „AI6 – Változások kezelése”, „AI5 – Rendszerek üzembe helyezése és jóváhagyása”, PO11 – Minőségirányítás”, „DS1 – Szolgáltatási szintek meghatározása”, „AI2 – Alkalmazói szoftverek beszerzése és karbantartása”, „DS5 –A rendszer biztonságának megvalósítása”,„DS11 – Adatok kezelése”

2005. november 11. 24/24

Ajánlás - 16IT szakképzettség:• Jogszabály: Mpt. 77/A. § (9) A (9) A pénztár belső szabályzatában meg kell

határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet.

• Probléma: Az IT még mindig „black-box”, ha valamit nem tudok kezelni „IT probléma”, erős kiszolgáltatottság a külső szállítóknak, biztonság tudatosság alacsony színvonalú, kevés IT támogatás

• GYIK:– Mi az elvárás? -> Gondoljuk végig a feladat és felelősség elhatárolás

megvalósításához szükséges IT ismereteket és dokumentáljuk le. Készítsünk oktatási tervet. Biztonsági oktatás nem csak az IT-soknakkell! Legyen felhasználói oktatás és felhasználói (üzemeltetői) dokumentáció.

– Mindenki csak a rá vonatkozó mértékben? -> Minimum a feladatához és a felelősségi köréhez szükséges mértékben, de a biztonsági szabályokat teljes mértékben meg kell érteni.

– Kell szolgáltatási szint felelős? -> Ha nincs kijelölve, akkor a főnök az!• COBIT: „PO7 – Emberi erőforrások kezelése”