it vizsgÆlatok tapasztalatai a pØnzügyi szervezeteknØlŁ cobit módszertan szerint (—a tudatos...
TRANSCRIPT
2004. november 04. PSZÁF Informatika Felügyeleti Főosztály 1/30
IT vizsgálatok tapasztalatai a pénzügyi szervezeteknél
Tapolca, 2004. november 4. � 5.
Kirner Attila főosztályvezetőPSZÁF Informatika Felügyeleti Főosztá[email protected]
2004. november 04. 2/30PSZÁF Informatika Felügyeleti Főosztály
Tartalom
� Feladataink� Jogszabályi háttér� Vizsgálati alapelvek� Vizsgálati szempontok� Tapasztalatok� Javaslatok
2004. november 04. 3/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 1PSZÁF stratégiai célkitűzései:� Ellenőrzési hatékonyság javítása� A vizsgálati idők csökkentése� Erőforrás optimalizálásA PSZÁF vizsgálatok fejlesztési irányai:� A konszolidált felügyelés módszertanának továbbfejlesztése
(eljárásrend, ellenőrzési kézikönyvek)� Kockázat alapú ellenőrzés kialakítása� Az elemzés, minősítés és a helyszíni vizsgálat koherens
rendszerbe foglalása� Útmutatók, ajánlások, jogharmonizáció
2004. november 04. 4/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 2
PSZÁF statisztika: 2002 2003Átfogó vizsgálat 261 (114/29/31/87) 236 (143/28/15/50) Célvizsgálat 161 (65/30/10/56) 84 (32/29/4/19) Utóvizsgálat 24 (14/5/2/3) 20 (11/0/5/4) Összesen 446 (193/64/43/146) 340 (186/57/24/73) IT vizsgálat 104 (62/15/16/11) 138 (75/8/39/16)Bírság 92 (178,5mFt) 69 (133,8mFt)Megjegyzés: Összesen (Hitelintézet / Befszolg / Biztosító / Pénztár)
2004. november 04. 5/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 3A PSZÁF feladata, célja (1999. évi CXXIV.):� �A Felügyelet tevékenységének célja a pénz- és tőkepiac
zavartalan és eredményes működésének, � a pénzügyi szervezetek prudens és hatékony működésének, tulajdonosaik gondos joggyakorlásának elősegítése és folyamatos felügyelete.�
� Az ügyfelek érdekvédelme� A pénz- és tőkepiaci viszonyok átláthatósága� A pénzpiacokkal szembeni bizalom erősítése� A tisztességes verseny fenntartása
2004. november 04. 6/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 4A PSZÁF IFF bemutatása:� Létszám: 10 fő (9 + 1)� 8 CISA képesítés, 1 FED minősítés� Banki illetve távközlési tapasztalat� Informatika felügyeleti vizsgálatok, engedélyezés,
módszertani fejlesztések� Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO
13335, ITIL stb.)� A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének
indoka:� �, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében.�
2004. november 04. 7/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 5Felügyeleti munka minőségének állomásai:� ISO 9001:2000 szerint tanúsított rendszer � 2002
novemberében� CAF (közigazgatási kiválósági modell szerinti
megfelelés) � 2002 óta évente� IIASA SHIBA minőségi díj � 2002-ben� QM 9004 tanúsítás � 2003-ban� Igény az információk szisztematikus teljeskörű
védelmére (ISO 17799:2002) � 2004 február� Évenkénti imázsvizsgálat.
2004. november 04. 8/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 6Imázs vizsgálat megállapításai:1. Ismerik a felügyelőjüket (leginformáltabbak), kimutatásokat.2. Szükségesnek tartják a felügyeleti ellenőrzéseket (98%).3. Szakszerűség? Dícséret 75%-ban (szakmai színvonal,
kollegiális hozzáállás, alaposság, korrektség), kritika 25%-ban (vitathatóság, túlzott aprólékosság, helytelen megállapítások, szubjektivitás, hibák)
4. Intézkedések csökkentek (71%-ról 43%-ra), egyetért 65%.5. A PSZÁF az ügyfelek érdekét védi (80%).6. A felügyelőknél a legfontosabb a szakmai felkészültség
(4,21), a problémakezelés (3,78), a segítőkészség (4,13).
2004. november 04. 9/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 7Imázs vizsgálat megállapításai (folytatás):7. PSZÁF tevékenysége általánosságban jó (79%-ban 4-es
vagy 5-ös).8. Vélemény a PSZÁF jellemzőiről 13 ellentétpárral
összességében pozitív (határozott, nagy szakértelmű �74%, gyors, rugalmas 52%).
9. PSZÁF szerepe a jövőben?1. Ne legyen szabályozási hatásköre 56%,2. Vizsgálja a törvényességet (79%), ügyfélbiztonságot (74%),
kockázatokat 52%, szabályok betartását (38%), stabilitást (33%),adatszolgáltatást (31%), szabályozottságot (31%), átláthatóságot (28%)
10. Változtatási javaslatok az információszolgáltatásban.11. Összesített imázs szektoronként.
2004. november 04. 10/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 8További terveink:� Kockázat alapú felügyelet erősítése� A �legjobb gyakorlat� meghonosítása, statisztikák
tapasztalatok gyűjtése� Ajánlások, törvényi szabályozások� Működési kockázatok kezelése, felkészülés a Bázeli
Bankfelügyeleti ajánlások ellenőrzésére� Az EU csatlakozásból adódó feladatok� Folyamatos képzés, új technológiák, e-kereskedelem
2004. november 04. 11/30PSZÁF Informatika Felügyeleti Főosztály
Jogszabályi háttér - 1� 1999. évi CXXIV. - a PSZÁF-ról� 1957. évi IV. - (Áe) az államigazgatási eljárásról� 1997. évi LXXXII. - (Mpt) a magánnyugdíjpénztárakról� 1993. évi XCVI. - (Öpt) az önkéntes pénztárakról� 1995. évi LXXX. - (Tbj) a társadalombiztosításról� 281/2001. Korm. - az Öpt-k befektetési és gazd-i tev.-ről� 282/2001. Korm. - a Mpt.-k befektetési és gazd-i tev.-ről� 268/1997. Korm. - az Ept.-k befektetési és gazd-i tev.-ről� 222/2000. Korm. - a Mpt.-k számviteléről� 223/2000. Korm. - az Öpt.-k számviteléről� 252/2000. Korm. - az Ept.-k számviteléről� 263/2003. Korm. � az Ept.-k szolgáltatásairól
2004. november 04. 12/30PSZÁF Informatika Felügyeleti Főosztály
Jogszabályi háttér - 2� 2004. évi XXII. - a befektetések védelméről � 10/2001-es PSZÁF ajánlás a biztonsági feltételekről� 1992. évi LXIII. - a személyes adatok védelméről.� 1995.évi LXV. - az államtitok és szolgálati titokról� 1978. évi IV. (Btk) 300§ titoksértés és számítástechnikai
rendszerek védelmének megsértésével.� 1997. évi CLV. - a fogyasztóvédelemről� 15/2001-es PSZÁF ajánlás a fogyasztók tájékoztatásáról.� 1994. évi XXIV. - a pénzmosás megelőzéséről� 2001. évi XXXV. - az e-aláírásról� 2001. évi CVIII. - az e-kereskedelemről.
2004. november 04. 13/30PSZÁF Informatika Felügyeleti Főosztály
Jogszabályi háttér - 3Módosítás az Mpt-ben:� 79§ (1) A pénztártitok és üzleti titok megtartásának
kötelezettsége nem áll fenn � l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végző szolgáltatóval szemben.
� 79§ (2) A pénztártitok csak akkor adható ki harmadik személynek, ha a) a pénztártag � a rá vonatkozó adatkört pontosan megjelölve közokiratban vagy teljes bizonyító erejű magánokiratban erre felhatalmazást ad.
2004. november 04. 14/30PSZÁF Informatika Felügyeleti Főosztály
Jogszabályi háttér - 4Az 1992. évi LXIII. Tv. (Adatvédelmi törvény) módosulása:� 31/A§ (1) ... belső adatvédelmi felelőst kell kinevezni vagy
megbízni b) a pénzügyi szervezeteknél� 31/A§ (2) A belső adatvédelmi felelős:� a) közreműködik az adatkezelési döntésekben� b) ellenőrzi az adatbiztonsági követelmények� c) kivizsgálja a bejelentéseket� d) elkészíti az adatvédelmi szabályzatot� e) vezeti az adatvédelmi nyilvántartást (28§-30§)� f) gondoskodik az adatvédelmi oktatásról
2004. november 04. 15/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati alapelvek - 1
� COBIT módszertan szerint (�a tudatos vezetés eszköze�, www.pszaf.hu)
� A legjobb hazai és nemzetközi gyakorlat követése� Kockázatalapú vizsgálat� Kontrollok vizsgálata (preventív, detektív,
korrektív)� Megfelelőségi (compliance) és mélységi
(substantial) vizsgálatok
2004. november 04. 16/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati alapelvek - 2Kontrollok:
Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb.
2004. november 04. 19/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati alapelvek - 5Az IT kockázatok összetevői:� F - Fenyegetés (eredete, célpontja, hozzáférési módok -
logikai, fizikai, külső, belső, stb.)� S - Sebezhetőség (szervezeti, technikai � mechanikai,
elektronikai, rossz konfiguráció � adminisztratív, személyi, fizikai)
� V � Veszteség (pénzügyi, üzleti, humán, közvetlen, közvetett)
Az IT kockázatok mértéke: K = F * S * VHa a fenyegetés, a sebezhetőség vagy a veszteségértéke nulla, akkor a kockázat is nulla.
2004. november 04. 20/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati alapelvek - 6Fontosabb teendők a BS7799 szerint:� Informatikai biztonsági szabályzat� Szervezetbiztonság� A vagyon osztályozása és ellenőrzése� A személyzet biztonsága� Fizikai és környezeti biztonság� A kommunikáció és az üzemeltetés menedzselése.� Hozzáférések szabályozása, kontrollja� Rendszerek fejlesztése és karbantartása� Az üzletmenet folyamatosságának biztosítása� Megfelelőség és annak felülvizsgálata
2004. november 04. 21/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati szempontok - 1Az informatikai rendszer vizsgálata:� A PSZÁF 31/2003-as elnöki utasítása alapján� A törvényi szabályozás betartásának vizsgálata mellett az
ISACA nyílt szabványa a COBIT alapján� A helyszíni vizsgálat megkezdéséig a vizsgált szervezet
önbevallás szerűen egy adatlapot tölt ki, amely a helyszíni vizsgálatot jelentősen lerövidíti
� Nem helyszíni vizsgálat esetén kétoldalas� Bekérendő anyagok listája, check-listák
2004. november 04. 22/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati szempontok - 2
Szám Funkció megnevezése Név Beosztás Szakirányú képesítés
Mióta végzi ezt a feladatot
Ha külső vállalkozás látja el, a vállalkozás megnevezése
1. Az informatikáért felelős felső vezető2. Az informatika szervezet vezetője3. Az üzemeltetésért felelős4. A fejlesztésekért felelős5. Beszerzésért felelős6. Adatvédelmi felelős7. Informatikai biz-tonsági felelős8. Informatikát vizs-gáló belső ellenőr9. Külső vizsgálatok10. Külső könyvvizs-gáló11. Csoport ill. konszern vizsgálók12. Egyéb
Név: Dátum:Beosztás: Aláírás:Név: Dátum:Beosztás: Aláírás:
Kitöltés dátuma:
Szervezet és feladat elhatárolás
Ellenőrizte:
Kitöltötte:
2004. november 04. 23/30PSZÁF Informatika Felügyeleti Főosztály
Az informatikai vizsgálatok négy fő területe:� Tervezés, vezetés, szervezet, szabályozás (stratégia,
munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás).
� IT architektúra, beszerzés, fejlesztés, üzembehelyezés(mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).
� Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás).
� Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).
Vizsgálati szempontok - 3
2004. november 04. 24/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati szempontok - 4Ssz. Kérdés Informatikai
helyzetKockázat
mennyiségeKockázat
kezelés minősége
Változás iránya
1.
Tervezés, vezetés, szervezet, szabályozás
nagyon jó nagyon alacsony
nagyon jó javuló
2.
Beszerzés, fejlesztés,üzembe helyezés
jó alacsony jó stagnáló
3.
Üzemeltetés kielégítő mérsékelt közepes romló
4.
Monitorozás, ellenőrzés
megengedett magas elfogadható erősen romló
nem elfogadható
nagyon magas
gyenge nem értékelhető
Összesített értékelés
2004. november 04. 25/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 1Általános PSZÁF tapasztalatok:� Alapvető rendszerprobléma nincs� Többségük stabil, működésük prudens� Gyakran számviteli hiányosságok� Belső szabályzatok hiányosságai� A működési kockázatok jelen vannak� Informatikai problémák� Kockázatkezelés és belső ellenőrzés vegyes� Fogyasztóvédelem, ügyfél-tájékoztatás� Problémák külföldi tulajdonos esetén
2004. november 04. 26/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 2Pozitívumok:� A PSZÁF által felvetett hiányosságokat igyekeznek
megszüntetni, pozitív hozzáállás.� Az IT fontossága ismert, javuló tendencia.Negatívumok:� A stratégiának, éves tervnek nem része az IT.� Hiányzik a működési kockázatok rendszeres
kiértékelése, a kontrollok ennek megfelelő kialakítása.� A szabályzatok hiányoznak, nem aktuálisak.� BCP, DRP nincs, nem aktualizált (van olyan, ami még a
2000. év váltásra készült). Mentési, archiválási hiányok.
2004. november 04. 27/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 3� A szakképzettség hiánya.� A vezetőség (és EB) saját értékelése szerint is
kiszolgáltatottak az informatikai szállítóknak, szolgáltatóknak.� Korszerűtlen, nem integrált, biztonságosan csak rendkívüli
költségekkel üzemeltethető alaprendszer, amelyek száma fokozatosan csökken
� Beépített audit lehetőségek hiánya, kihasználatlansága.� Változáskezelési hiányosságok, a korszerűtlen rendszer
leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.
2004. november 04. 28/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 4� Külsős szerződések hiányosságai, adat- és titokvédelmi
szabályzatok, nyilatkozatok hiánya.� A kisebb intézményeknél több a hiányosság.� Az IT architektúra nem megfelelően dokumentált,
nyilvántartási hiányosságok vannak.� Hozzáférés- és jelszókezelés hiányosságai.� A biztonság tudatosság alacsony színvonalú, oktatások,
felhasználói támogatás hiányosságai.� A belső ellenőrzés nem végez IT vizsgálatot
(szakképzetlenség), naplófájlok ellenőrizetlensége.
2004. november 04. 29/30PSZÁF Informatika Felügyeleti Főosztály
Javaslatok� Készüljön üzleti és IT stratégia (tudatos vezetés)� Kockázatelemzés, a veszélyforrások felmérése.� A szabályzatok aktualizálására fordítsanak gondot
(SZVSZ, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Változáskezelés, stb.)
� Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.
� A biztonság tudatosság erősítése, biztonsági szempontok érvényesítése a fejlesztésekben.
� Belső IT szakértelem és külsősök feletti kontroll erősítése.� A független ellenőrzés fokozása