it vizsgÆlatok tapasztalatai a pØnzügyi szervezeteknØlŁ cobit módszertan szerint (—a tudatos...

2004. november 04. PSZÁF Informatika Felügyeleti Főosztály 1/30

IT vizsgálatok tapasztalatai a pénzügyi szervezeteknél

Tapolca, 2004. november 4. � 5.

Kirner Attila főosztályvezetőPSZÁF Informatika Felügyeleti Főosztá[email protected]

2004. november 04. 2/30PSZÁF Informatika Felügyeleti Főosztály

Tartalom

� Feladataink� Jogszabályi háttér� Vizsgálati alapelvek� Vizsgálati szempontok� Tapasztalatok� Javaslatok


Feladataink - 1PSZÁF stratégiai célkitűzései:� Ellenőrzési hatékonyság javítása� A vizsgálati idők csökkentése� Erőforrás optimalizálásA PSZÁF vizsgálatok fejlesztési irányai:� A konszolidált felügyelés módszertanának továbbfejlesztése

(eljárásrend, ellenőrzési kézikönyvek)� Kockázat alapú ellenőrzés kialakítása� Az elemzés, minősítés és a helyszíni vizsgálat koherens

rendszerbe foglalása� Útmutatók, ajánlások, jogharmonizáció


Feladataink - 2

PSZÁF statisztika: 2002 2003Átfogó vizsgálat 261 (114/29/31/87) 236 (143/28/15/50) Célvizsgálat 161 (65/30/10/56) 84 (32/29/4/19) Utóvizsgálat 24 (14/5/2/3) 20 (11/0/5/4) Összesen 446 (193/64/43/146) 340 (186/57/24/73) IT vizsgálat 104 (62/15/16/11) 138 (75/8/39/16)Bírság 92 (178,5mFt) 69 (133,8mFt)Megjegyzés: Összesen (Hitelintézet / Befszolg / Biztosító / Pénztár)


Feladataink - 3A PSZÁF feladata, célja (1999. évi CXXIV.):� �A Felügyelet tevékenységének célja a pénz- és tőkepiac

zavartalan és eredményes működésének, � a pénzügyi szervezetek prudens és hatékony működésének, tulajdonosaik gondos joggyakorlásának elősegítése és folyamatos felügyelete.�

� Az ügyfelek érdekvédelme� A pénz- és tőkepiaci viszonyok átláthatósága� A pénzpiacokkal szembeni bizalom erősítése� A tisztességes verseny fenntartása


Feladataink - 4A PSZÁF IFF bemutatása:� Létszám: 10 fő (9 + 1)� 8 CISA képesítés, 1 FED minősítés� Banki illetve távközlési tapasztalat� Informatika felügyeleti vizsgálatok, engedélyezés,

módszertani fejlesztések� Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO

13335, ITIL stb.)� A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének

indoka:� �, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében.�


Feladataink - 5Felügyeleti munka minőségének állomásai:� ISO 9001:2000 szerint tanúsított rendszer � 2002

novemberében� CAF (közigazgatási kiválósági modell szerinti

megfelelés) � 2002 óta évente� IIASA SHIBA minőségi díj � 2002-ben� QM 9004 tanúsítás � 2003-ban� Igény az információk szisztematikus teljeskörű

védelmére (ISO 17799:2002) � 2004 február� Évenkénti imázsvizsgálat.


Feladataink - 6Imázs vizsgálat megállapításai:1. Ismerik a felügyelőjüket (leginformáltabbak), kimutatásokat.2. Szükségesnek tartják a felügyeleti ellenőrzéseket (98%).3. Szakszerűség? Dícséret 75%-ban (szakmai színvonal,

kollegiális hozzáállás, alaposság, korrektség), kritika 25%-ban (vitathatóság, túlzott aprólékosság, helytelen megállapítások, szubjektivitás, hibák)

4. Intézkedések csökkentek (71%-ról 43%-ra), egyetért 65%.5. A PSZÁF az ügyfelek érdekét védi (80%).6. A felügyelőknél a legfontosabb a szakmai felkészültség

(4,21), a problémakezelés (3,78), a segítőkészség (4,13).


Feladataink - 7Imázs vizsgálat megállapításai (folytatás):7. PSZÁF tevékenysége általánosságban jó (79%-ban 4-es

vagy 5-ös).8. Vélemény a PSZÁF jellemzőiről 13 ellentétpárral

összességében pozitív (határozott, nagy szakértelmű �74%, gyors, rugalmas 52%).

9. PSZÁF szerepe a jövőben?1. Ne legyen szabályozási hatásköre 56%,2. Vizsgálja a törvényességet (79%), ügyfélbiztonságot (74%),

kockázatokat 52%, szabályok betartását (38%), stabilitást (33%),adatszolgáltatást (31%), szabályozottságot (31%), átláthatóságot (28%)

10. Változtatási javaslatok az információszolgáltatásban.11. Összesített imázs szektoronként.


Feladataink - 8További terveink:� Kockázat alapú felügyelet erősítése� A �legjobb gyakorlat� meghonosítása, statisztikák

tapasztalatok gyűjtése� Ajánlások, törvényi szabályozások� Működési kockázatok kezelése, felkészülés a Bázeli

Bankfelügyeleti ajánlások ellenőrzésére� Az EU csatlakozásból adódó feladatok� Folyamatos képzés, új technológiák, e-kereskedelem


Jogszabályi háttér - 1� 1999. évi CXXIV. - a PSZÁF-ról� 1957. évi IV. - (Áe) az államigazgatási eljárásról� 1997. évi LXXXII. - (Mpt) a magánnyugdíjpénztárakról� 1993. évi XCVI. - (Öpt) az önkéntes pénztárakról� 1995. évi LXXX. - (Tbj) a társadalombiztosításról� 281/2001. Korm. - az Öpt-k befektetési és gazd-i tev.-ről� 282/2001. Korm. - a Mpt.-k befektetési és gazd-i tev.-ről� 268/1997. Korm. - az Ept.-k befektetési és gazd-i tev.-ről� 222/2000. Korm. - a Mpt.-k számviteléről� 223/2000. Korm. - az Öpt.-k számviteléről� 252/2000. Korm. - az Ept.-k számviteléről� 263/2003. Korm. � az Ept.-k szolgáltatásairól


Jogszabályi háttér - 2� 2004. évi XXII. - a befektetések védelméről � 10/2001-es PSZÁF ajánlás a biztonsági feltételekről� 1992. évi LXIII. - a személyes adatok védelméről.� 1995.évi LXV. - az államtitok és szolgálati titokról� 1978. évi IV. (Btk) 300§ titoksértés és számítástechnikai

rendszerek védelmének megsértésével.� 1997. évi CLV. - a fogyasztóvédelemről� 15/2001-es PSZÁF ajánlás a fogyasztók tájékoztatásáról.� 1994. évi XXIV. - a pénzmosás megelőzéséről� 2001. évi XXXV. - az e-aláírásról� 2001. évi CVIII. - az e-kereskedelemről.


Jogszabályi háttér - 3Módosítás az Mpt-ben:� 79§ (1) A pénztártitok és üzleti titok megtartásának

kötelezettsége nem áll fenn � l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végző szolgáltatóval szemben.

� 79§ (2) A pénztártitok csak akkor adható ki harmadik személynek, ha a) a pénztártag � a rá vonatkozó adatkört pontosan megjelölve közokiratban vagy teljes bizonyító erejű magánokiratban erre felhatalmazást ad.


Jogszabályi háttér - 4Az 1992. évi LXIII. Tv. (Adatvédelmi törvény) módosulása:� 31/A§ (1) ... belső adatvédelmi felelőst kell kinevezni vagy

megbízni b) a pénzügyi szervezeteknél� 31/A§ (2) A belső adatvédelmi felelős:� a) közreműködik az adatkezelési döntésekben� b) ellenőrzi az adatbiztonsági követelmények� c) kivizsgálja a bejelentéseket� d) elkészíti az adatvédelmi szabályzatot� e) vezeti az adatvédelmi nyilvántartást (28§-30§)� f) gondoskodik az adatvédelmi oktatásról


Vizsgálati alapelvek - 1

� COBIT módszertan szerint (�a tudatos vezetés eszköze�, www.pszaf.hu)

� A legjobb hazai és nemzetközi gyakorlat követése� Kockázatalapú vizsgálat� Kontrollok vizsgálata (preventív, detektív,

korrektív)� Megfelelőségi (compliance) és mélységi

(substantial) vizsgálatok


Vizsgálati alapelvek - 2Kontrollok:

Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb.


Vizsgálati alapelvek - 5Az IT kockázatok összetevői:� F - Fenyegetés (eredete, célpontja, hozzáférési módok -

logikai, fizikai, külső, belső, stb.)� S - Sebezhetőség (szervezeti, technikai � mechanikai,

elektronikai, rossz konfiguráció � adminisztratív, személyi, fizikai)

� V � Veszteség (pénzügyi, üzleti, humán, közvetlen, közvetett)

Az IT kockázatok mértéke: K = F * S * VHa a fenyegetés, a sebezhetőség vagy a veszteségértéke nulla, akkor a kockázat is nulla.


Vizsgálati alapelvek - 6Fontosabb teendők a BS7799 szerint:� Informatikai biztonsági szabályzat� Szervezetbiztonság� A vagyon osztályozása és ellenőrzése� A személyzet biztonsága� Fizikai és környezeti biztonság� A kommunikáció és az üzemeltetés menedzselése.� Hozzáférések szabályozása, kontrollja� Rendszerek fejlesztése és karbantartása� Az üzletmenet folyamatosságának biztosítása� Megfelelőség és annak felülvizsgálata


Vizsgálati szempontok - 1Az informatikai rendszer vizsgálata:� A PSZÁF 31/2003-as elnöki utasítása alapján� A törvényi szabályozás betartásának vizsgálata mellett az

ISACA nyílt szabványa a COBIT alapján� A helyszíni vizsgálat megkezdéséig a vizsgált szervezet

önbevallás szerűen egy adatlapot tölt ki, amely a helyszíni vizsgálatot jelentősen lerövidíti

� Nem helyszíni vizsgálat esetén kétoldalas� Bekérendő anyagok listája, check-listák


Vizsgálati szempontok - 2

Szám Funkció megnevezése Név Beosztás Szakirányú képesítés

Mióta végzi ezt a feladatot

Ha külső vállalkozás látja el, a vállalkozás megnevezése

1. Az informatikáért felelős felső vezető2. Az informatika szervezet vezetője3. Az üzemeltetésért felelős4. A fejlesztésekért felelős5. Beszerzésért felelős6. Adatvédelmi felelős7. Informatikai biz-tonsági felelős8. Informatikát vizs-gáló belső ellenőr9. Külső vizsgálatok10. Külső könyvvizs-gáló11. Csoport ill. konszern vizsgálók12. Egyéb

Név: Dátum:Beosztás: Aláírás:Név: Dátum:Beosztás: Aláírás:

Kitöltés dátuma:

Szervezet és feladat elhatárolás

Ellenőrizte:

Kitöltötte:


Az informatikai vizsgálatok négy fő területe:� Tervezés, vezetés, szervezet, szabályozás (stratégia,

munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás).

� IT architektúra, beszerzés, fejlesztés, üzembehelyezés(mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).

� Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás).

� Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).

Vizsgálati szempontok - 3


Vizsgálati szempontok - 4Ssz. Kérdés Informatikai

helyzetKockázat

mennyiségeKockázat

kezelés minősége

Változás iránya

1.

Tervezés, vezetés, szervezet, szabályozás

nagyon jó nagyon alacsony

nagyon jó javuló

2.

Beszerzés, fejlesztés,üzembe helyezés

jó alacsony jó stagnáló

3.

Üzemeltetés kielégítő mérsékelt közepes romló

4.

Monitorozás, ellenőrzés

megengedett magas elfogadható erősen romló

nem elfogadható

nagyon magas

gyenge nem értékelhető

Összesített értékelés


Tapasztalatok - 1Általános PSZÁF tapasztalatok:� Alapvető rendszerprobléma nincs� Többségük stabil, működésük prudens� Gyakran számviteli hiányosságok� Belső szabályzatok hiányosságai� A működési kockázatok jelen vannak� Informatikai problémák� Kockázatkezelés és belső ellenőrzés vegyes� Fogyasztóvédelem, ügyfél-tájékoztatás� Problémák külföldi tulajdonos esetén


Tapasztalatok - 2Pozitívumok:� A PSZÁF által felvetett hiányosságokat igyekeznek

megszüntetni, pozitív hozzáállás.� Az IT fontossága ismert, javuló tendencia.Negatívumok:� A stratégiának, éves tervnek nem része az IT.� Hiányzik a működési kockázatok rendszeres

kiértékelése, a kontrollok ennek megfelelő kialakítása.� A szabályzatok hiányoznak, nem aktuálisak.� BCP, DRP nincs, nem aktualizált (van olyan, ami még a

2000. év váltásra készült). Mentési, archiválási hiányok.


Tapasztalatok - 3� A szakképzettség hiánya.� A vezetőség (és EB) saját értékelése szerint is

kiszolgáltatottak az informatikai szállítóknak, szolgáltatóknak.� Korszerűtlen, nem integrált, biztonságosan csak rendkívüli

költségekkel üzemeltethető alaprendszer, amelyek száma fokozatosan csökken

� Beépített audit lehetőségek hiánya, kihasználatlansága.� Változáskezelési hiányosságok, a korszerűtlen rendszer

leváltása nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.


Tapasztalatok - 4� Külsős szerződések hiányosságai, adat- és titokvédelmi

szabályzatok, nyilatkozatok hiánya.� A kisebb intézményeknél több a hiányosság.� Az IT architektúra nem megfelelően dokumentált,

nyilvántartási hiányosságok vannak.� Hozzáférés- és jelszókezelés hiányosságai.� A biztonság tudatosság alacsony színvonalú, oktatások,

felhasználói támogatás hiányosságai.� A belső ellenőrzés nem végez IT vizsgálatot

(szakképzetlenség), naplófájlok ellenőrizetlensége.


Javaslatok� Készüljön üzleti és IT stratégia (tudatos vezetés)� Kockázatelemzés, a veszélyforrások felmérése.� A szabályzatok aktualizálására fordítsanak gondot

(SZVSZ, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Változáskezelés, stb.)

� Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.

� A biztonság tudatosság erősítése, biztonsági szempontok érvényesítése a fejlesztésekben.

� Belső IT szakértelem és külsősök feletti kontroll erősítése.� A független ellenőrzés fokozása


Hasznos webcímek

www.pszaf.huwww.isaca.huwww.isaca.orgwww.itb.hu/ajanlasokwww.securityforum.orgwww.bis.org

www.auditnet.orgwww.itaudit.orgwww.iosco.orgwww.bog.frb.fed.uswww.fraud.orgwww.sec.gov

it vizsgÆlatok tapasztalatai a pØnzügyi szervezeteknØlŁ cobit módszertan szerint (—a tudatos...

Documents