IT vizsgálatok tapasztalatai a biztosítóknál Budapest, 2005. május 24.
Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály
[email protected]
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
1/30
Tartalom • • • • • •
Feladataink Jogszabályi háttér Vizsgálati alapelvek Tapasztalatok Javaslatok Audit eszközök 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
2/30
Feladataink - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): • „A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, … elősegítése, a pénzügyi szolgáltatási … szervezet … prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján.” • Az ügyfelek érdekvédelme • A pénz- és tőkepiaci viszonyok átláthatósága • A pénzpiacokkal szembeni bizalom erősítése • A tisztességes verseny fenntartása 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
3/30
Feladataink - 2 Felügyeleti munka minőségének állomásai: • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés) – 2002 óta évente • IIASA SHIBA minőségi díj – 2002-ben • QM 9004 tanúsítás – 2003-ban • Igény az információk szisztematikus teljeskörű védelmére (ISO 17799:2002) – 2004 február • Évenkénti imázsvizsgálat. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
4/30
Feladataink – 3 A PSZÁF IFF bemutatása: • Létszám: 10 fő (9 + 1) • 8 CISA képesítés, 1 FED minősítés • Banki, távközlési és ellenőrzési tapasztalat (nemzetközi!) • Informatika felügyeleti vizsgálatok, engedélyezés, módszertani fejlesztések • Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO 13335, ITIL stb.) • A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének indoka: „ …, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében.” 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
5/30
Feladataink - 4 További terveink: • Kockázat alapú felügyelet erősítése, a működési kockázatok kezelése • A „legjobb gyakorlat” meghonosítása, statisztikák tapasztalatok gyűjtése • Ajánlások, törvényi szabályozások • Az EU csatlakozásból adódó feladatok • Folyamatos képzés, új technológiák 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
6/30
Jogszabályi háttér - 1 • • • • • • • • • • •
1999. évi CXXIV. - a PSZÁF-ról 2003. évi LX. (Bit) a biztosítóintézetekről. 2004. évi XXII. - a befektetések védelméről 1996. évi CXII. (Hpt) a hitelintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 2004. évi CI. tv. – az adókról és járulékokról 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 1957. évi IV. (Áe) az államigazgatási eljárásról. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 1992. évi LXIII. - a személyes adatok védelméről. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
7/30
Jogszabályi háttér - 2 65. § A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: • a) az üzleti tervben meghatározott biztosítási tevékenységhez igazodó, megfelelő színvonalú ügyfélszolgálati, kárrendezési tevékenység ellátására szolgáló helyiség(ek) tulajdoni, használati vagy bérleti joga, • b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a működési kockázatok csökkentését szolgáló információs és ellenőrzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv, • c) az adatvédelmet szolgáló (kézi és gépi) irattározás feltételeinek kialakítása. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
8/30
Jogszabályi háttér - 3 A biztosítási szükséghelyzet 216. § (1) Ha a biztosító • a) fizetési kötelezettségeinek 5 napon belül nem tesz eleget, vagy • b) biztosítástechnikai tartalékai nem érik el a szükséges mértéket, • c) biztonsági tőkéjének fedezete nem elegendő vagy • d) a szanálási, illetve a pénzügyi tervét a Felügyelet által meghatározott időn belül nem tudja végrehajtani, vagy • e) tevékenysége körében más olyan különösen súlyos veszélyhelyzet alakult ki, amely a biztosítási szolgáltatások biztonságát fenyegeti (a továbbiakban a)-e) pontok együtt vagy külön-külön: szükséghelyzet) a Felügyelet a felszámolás elkerülése, valamint a biztosítottak érdekében szükségintézkedést tehet 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
9/30
Jogszabályi háttér - 4 Biztosítási titok: •
• • • • • •
153. § Biztosítási titok minden olyan, a biztosító rendelkezésére álló adat, amely a biztosító egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik. 156. § Biztosítási titok csak akkor adható ki harmadik személynek, ha a) a biztosító ügyfele vagy annak törvényes képviselője a kiszolgáltatható biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásban felmentést ad, b) e törvény alapján a titoktartási kötelezettség nem áll fenn. 157. § (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn a) a feladatkörében eljáró Felügyelettel, o) a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzővel, ; 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
10/30
Jogszabályi háttér - 5 Az ügymenet kiszervezésének feltételei • 76. § (1) A biztosító - az adatvédelmi előírások betartása mellett az ügymenetének bármely elemét kiszervezheti, kivéve a 6. számú melléklet I. pontjában foglaltakat. A tilalom nem terjed ki a ki nem szervezhető feladatok teljesítéséhez szükséges szakértői szolgáltatások igénybevételére. A termékértékesítés más általi végzése nem minősül az ügymenet kiszervezésének. • (2) Az ügymenet kiszervezésének feltétele, hogy az irányítási és ellenőrzési jog megmaradjon a biztosítónál. • (3) A biztosító a 6. számú melléklet II. pontjában felsorolt tevékenységek (1. aktuáriusi feladatok; 2. elektronikus adatfeldolgozás; 3. kárrendezés; 4. vagyonkezelési tevékenység) kiszervezését köteles a Felügyeletnek a negyedéves adatszolgáltatás keretében bejelenteni. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
11/30
Jogszabályi háttér - 6 • 77. § (1) A kiszervezett tevékenységet a Felügyelet a tevékenységet végzőnél ugyanazon módon és eszközökkel vizsgálhatja, mintha a tevékenységet a biztosító végezné. • (2) A kiszervezett tevékenységgel harmadik személynek okozott bármely kárért a biztosító felel. • (3) A biztosító felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és a tőle elvárható gondossággal végezze. Amennyiben a kiszervezett tevékenység végzése jogszabályba vagy a szerződésbe ütközik, haladéktalanul köteles felszólítani a kiszervezett tevékenységet végzőt, hogy tevékenységét a jogszabálynak, illetve a szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a tevékenységet továbbra is jogszabálysértő vagy szerződésszegő módon végzi, a biztosító köteles a szerződést azonnali hatállyal felmondani. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
12/30
Jogszabályi háttér - 7 • • • • • •
77. § (4) Amennyiben a Felügyelet észleli, hogy a biztosító a (3) bekezdésben foglalt kötelezettségének nem tett eleget, a tevékenység kiszervezését megtilthatja. (5) Aki egyidejűleg végez kiszervezett tevékenységet több biztosító részére, az köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával - kezelni. (6) A biztosító nem szervezheti ki a tevékenységet olyan szervezethez, a) amelyben a biztosító vezető tisztségviselőjének vagy e vezető tisztségviselő közeli hozzátartozójának tulajdonosi részesedése van, vagy b) amelynek a biztosító vezető tisztségviselője vagy e tisztségviselő közeli hozzátartozója vezető tisztségviselője. (7) A (6) bekezdésben előírt korlátozást nem kell alkalmazni, amennyiben a biztosító és a kiszervezett tevékenységet végző tulajdonosa azonos illetve azonos tulajdonosi csoportba tartoznak. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
13/30
Jogszabályi háttér - 8 • • • • • • •
•
78. § (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell: a) a biztosítási titok megőrzésére vonatkozó kötelezettséget, felelősséget és a titok megtartása érdekében teendő intézkedéseket; b) hozzájárulását a kiszervezett tevékenységnek a biztosító belső ellenőre, könyvvizsgálója és a Felügyelet által történő ellenőrzéséhez; c) felelősségét a tevékenység megfelelő színvonalon történő végzéséért; d) a tevékenység végzésének minőségére vonatkozó részletes követelményeket; e) a felmondás lehetőségét a jogszabálysértő tevékenység esetén. (2) A kiszervezést végző fél köteles a felügyeleti ellenőrzést végzőknek az ügymenet kiszervezéssel kapcsolatos valamennyi adatot, dokumentumot, információt megadni ill. a szerződésben rögzíteni kell az adatfeldolgozás rendjét és az adatvédelem szabályait. (3) Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja, úgy a kiszervezett tevékenységet végző a biztosító adatfeldolgozójának minősül. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
14/30
Jogszabályi háttér - 9 Az ügyfelek tájékoztatása: •
•
166. § (2) A biztosítónak és a biztosításközvetítőnek, a biztosítási szerződés megkötése előtt bizonyítható és azonosítható módon, közérthető, egyértelmű és részletes írásbeli tájékoztatást kell adnia a szerződést kötni kívánó ügyfél részére a biztosító főbb adatairól (név, székhely, stb.) és a biztosítási szerződés jellemzőiről. A biztosítónak a szerződő féllel szembeni tájékoztatási kötelezettsége - a függő biztosításközvetítő adatait és a 10. számú melléklet A) pontjának 17. alpontjában foglaltakat (adózási szabályok) kivéve - irányadó a szerződés tartama alatt a fenti adatokban bekövetkezett változások esetében is. A biztosítási szerződésre vonatkozó tájékoztatás jellemzőit a 10. számú melléklet A) pontja tartalmazza . A) A biztosítási szerződésre vonatkozó írásos tájékoztatásnak legalább a következőket kell tartalmaznia: 13. azon szervezetek felsorolását, amelyeknek a biztosító az ügyfelek adatait - a Bit. 153-161. §-aiban és 165. §-ában foglaltak (biztosítási titok) alapján - továbbíthatja; 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
15/30
Vizsgálati alapelvek - 1 • COBIT módszertan szerint („a tudatos vezetés eszköze”, www.pszaf.hu) • A legjobb hazai és nemzetközi gyakorlat követése • Kockázatalapú vizsgálat (előzetes IT adatlapok) • Kontrollok vizsgálata (preventív, detektív, korrektív) • Megfelelőségi (compliance) és mélységi (substantial) vizsgálatok 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
16/30
Vizsgálati alapelvek - 2 Kontrollok: Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
17/30
Vizsgálati alapelvek - 3
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
18/30
Vizsgálati alapelvek - 4
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
19/30
Vizsgálati alapelvek - 5 Az informatikai vizsgálatok négy fő területe: • Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). • IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). • Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). • Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
20/30
Tapasztalatok - 1 Pozitívumok: • A PSZÁF által felvetett hiányosságokat igyekeznek megszüntetni, pozitív hozzáállás. • Az IT fontossága ismert, javuló tendencia. Negatívumok: • A stratégiának, éves tervnek nem része az IT. • Hiányzik a működési kockázatok rendszeres kiértékelése, a kontrollok ennek megfelelő kialakítása. • A szabályzatok hiányoznak, nem aktuálisak. • BCP, DRP nincs, nem aktualizált. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
21/30
Tapasztalatok - 2 • A szakképzettség hiánya, kiszolgáltatottak az informatikai szállítóknak, szolgáltatóknak. • Külsős szerződések hiányosságai, adat- és titokvédelmi szabályzatok, nyilatkozatok hiánya. • Korszerűtlen, nem integrált, biztonságosan csak rendkívüli költségekkel üzemeltethető alaprendszer, a beépített audit lehetőségek hiánya, kihasználatlansága. • Változáskezelési hiányosságok, az új informatikai rendszerek bevezetése nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
22/30
Tapasztalatok - 3 • A kisebb intézményeknél több a hiányosság. • Az IT architektúra nem megfelelően dokumentált, nyilvántartási hiányosságok vannak. • Hozzáférés- és jelszókezelés hiányosságai. • A biztonság tudatosság alacsony színvonalú, oktatások, felhasználói támogatás hiányosságai. • A belső ellenőrzés nem végez IT vizsgálatot (szakképzetlenség), naplófájlok ellenőrizetlensége. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
23/30
Javaslatok • Készüljön üzleti és IT stratégia (tudatos vezetés) • Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. • A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) • Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. • A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. • Belső IT szakértelem és külsősök feletti kontroll erősítése. • A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
24/30
Audit eszközök - 1 • Keresők (Google, Netcraft, RIPE, 192.com) • Hálózati információk (network enumeration tools) – – – – – – – – –
SmartWhois (http://www.tamos.com) Ping, Traceroute, Explorer, CMD NetScanTools (http://www.netscantools.com) SamSpade (http://www.samspade.org) Solarwinds (http://www.solarwinds.net) SNScan (http://www.foundstone.com) Hyena (http://www.systemtools.com) Dumpsec (http://www.systemtools.com) Stb., stb.
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
25/30
Audit eszközök - 2 • Port-letapogatók (port scanning tools) – Nmap (http://www.insecure.org) – Mingsweeper (http://www.hoobie.net) – SuperScan (http://www.foundstone.com)
• Target enumeration tools – – – – – –
idServe (http://www.grc.com/id/idserve.htm) CommView (http://www.tamos.com) Achilles (http://www.mavensecurity.com/achilles) Netcat (http://www.securityfocus.com/tools/139/scoreit) Telnet Stb., stb.
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
26/30
Audit eszközök - 3 • Jelszótörők – – – –
Brutus (http://www.hoobie.net/) Various! (http://www.elcomsoft.com) L0phtcrack (http://www.atstake.com) RainbowCrack (http://www.rainbowcrack.serveftp.com)
• Sérülékenység vizsgálók és audit eszközök – – – – – – –
ENT (http://www.tamos.com) STAT (http://www.stat.harris.com) NeWT (http://www.tenablesecurity.com) AppDetective (http://www.appsecinc.com) WebInspect (http://www.spidynamics.com) Nessus (http://www.nessus.org) Stb., stb.
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
27/30
Audit eszközök - 4
• Penetration testing tools
– CoreImpact (http://www.coresecurity.com) – Canvas (http://www.immunitysec.com) – Metasploit (http://www.metasploit.com)
• Módszertani anyagok – http://www.isecom.org/projects/osstmm.htm – http://rr.sans.org – http://www.owasp.org
• „Hacker” oldalak – – – – –
http://packetstormsecurity.nl http://www.blackcode.com http://www.hackernetwork.com http://www.insecure.org http://www.nmrc.org
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
28/30
Audit eszközök - 5 • Port információk – – – – – – – – – – –
http://www.neohapsis.com/neolabs/neo-ports/ http://www.iss.net/security_center/advice/Exploits/Ports/ http://www.lebouef.com/faqs/ip%20Port%20Numbers.htm http://www.portsdb.org/ http://ports.tantalo.net/index.php http://www.iana.org/assignments/port-numbers http://www.isecom.info/cgi-local/protocoldb/browse.dsp http://www.seifried.org/security/ports/ http://www.chebucto.ns.ca/~rakerman/port-table.html http://www.simovits.com/trojans/trojans.html Stb., stb.
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
29/30
Audit eszközök - 6 • Biztonsággal kapcsolatos oldalak (security sites) – – – – – – – – – – – –
http://www.cerias.purdue.edu http://www.cisecurity.org http://www.cert.org http://www.infosyssec.com http://searchsecurity.techtarget.com http://www.securityfocus.com http://www.securitytracker.com http://www.ssa.gov/ http://www.microsoft.com/security/default.mspx http://www.rsasecurity.com/ http://securityresponse.symantec.com/ Stb., stb.
2005. május 24.
PSZÁF Informatika Felügyeleti Főosztály
30/30