KISZERVEZÉSI TEVÉKENYSÉG INFORMÁCIÓ BIZTONSÁGI KÉRDÉSEINEK ELEMZÉSE

A PÉNZINTÉZETI KISZERVEZÉSI TEVÉKENYSÉG INFORMÁCIÓ BIZTONSÁGI KÉRDÉSEINEK ELEMZÉSE „A Pénzügyi Szervezetek Állami Felügyelete az általa kiszabott bírságokból befolyt – Felügyeletnél maradó – összeg terhére, a hatályos jogszabályok alapján nyilvános pályázatot hirdetett. Ez a kiadvány a nyilvános pályázaton támogatást nyert el.„

Budapest, 2009. december 30.

1

Tartalom ELŐSZÓ ............................................................................................................................................................ 3 1.

BEVEZETÉS .............................................................................................................................................. 5

2.

ÖSSZEFOGLALÁS ..................................................................................................................................... 7

3.

JOGSZABÁLYI HÁTTÉR ............................................................................................................................. 9 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7.

4.

A KISZERVEZÉSSEL KAPCSOLATOS PROBLÉMÁK. ................................................................................... 37 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7.

5.

MEGHATÁROZÁSOK ÉS ÉRTELMEZÉS .............................................................................................................. 9 A KISZERVEZÉS MEGHATÁROZÁSA A KÜLÖNBÖZŐ SZAKÁGI TÖRVÉNYEKBEN.......................................................... 13 A KISZERVEZÉS, MINT JOGSZABÁLYI LEHETŐSÉG ............................................................................................. 18 A PÉNZÜGYI INTÉZMÉNYEKRE VONATKOZÓ ELŐÍRÁSOK .................................................................................... 19 A BEFEKTETÉSI SZOLGÁLTATÓKRA VONATKOZÓ ELŐÍRÁSOK............................................................................... 25 A PÉNZTÁRAKRA VONATKOZÓ ELŐÍRÁSOK..................................................................................................... 29 A BIZTOSÍTÓKRA VONATKOZÓ ELŐÍRÁSOK..................................................................................................... 33

A KISZERVEZÉS HATÓKÖRE......................................................................................................................... 37 ALVÁLLALKOZÓK ALKALMAZÁSÁNAK LEHETŐSÉGE .......................................................................................... 39 CSOPORTON BELÜLI FELADATOK KISZERVEZÉSE .............................................................................................. 40 FEJLESZTÉS VS KISZERVEZÉS ....................................................................................................................... 40 TÁJÉKOZTATÁS ÉS BEJELENTÉS .................................................................................................................... 42 EGYÉB SZAKÉRTŐ VS KISZERVEZÉS ............................................................................................................... 43 KISZERVEZÉSSEL KAPCSOLATOS PROBLÉMÁK A KÉRDŐÍVEK ALAPJÁN ................................................................... 44

A KISZERVEZÉSRE VONATKOZÓ INFORMATIKAI BIZTONSÁGI FELTÉTELEK. ............................................ 45 5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7. 5.8. 5.9. 5.10. 5.11.

KOCKÁZATOK KEZELÉSE............................................................................................................................. 46 SZERZŐDÉS, SZOLGÁLTATÁSI SZINTEK, SZABÁLYOZÁS....................................................................................... 50 NYILVÁNTARTÁSOK VEZETÉSE .................................................................................................................... 53 INFORMATIKAI IRÁNYÍTÁS, KONTROLLOK, ELLENŐRZÉS..................................................................................... 54 INFORMATIKAI BIZTONSÁG ........................................................................................................................ 56 ADATVÉDELMI KONTROLLOK ...................................................................................................................... 57 HOZZÁFÉRÉSEK ÉS JOGOSULTSÁGOK MENEDZSELÉSE ....................................................................................... 60 VÁLTOZÁSOK KEZELÉSE, FEJLESZTÉSEK.......................................................................................................... 63 ÜZLETMENET-FOLYTONOSSÁG. .................................................................................................................. 65 NAPLÓZÁS, NAPLÓELEMZÉS....................................................................................................................... 70 INFORMATIKAI STRATÉGIA, FEJLESZTÉSI TERVEK.............................................................................................. 75

6.

IRODALOM JEGYZÉK.............................................................................................................................. 77

7.

MELLÉKLETEK ........................................................................................................................................ 79

Tel: +361/7899323 PR-AUDIT Kft.

2

Fax: +361/2204610 www.praudit.hu

Elıszó A PSZÁF-hoz a 2007. évi bírságpénzeibıl befolyt összegek terhére az „5.2. A pénzintézeti kiszervezési tevékenység információ biztonsági kérdéseinek elemzése” címő pályázati témakör került kiírásra, amelynek indoklásában megemlítésre került, hogy a hazai jogszabályok részletesen szabályozzák a kiszervezés feltételeit, azonban ennek értelmezése, betartásának feltételei és megvalósításának lehetıségei számos esetben további kérdéseket vetettek fel illetve a kiszervezés szabályozásának és értelmezésének a teljes pénzügyi szektorra vonatkozó egységesítése vált szükségessé. A fenti pályázati kiírás teljesítése érdekében az alábbi tanulmány a pénzügyi intézmények kiszervezéssel kapcsolatos feladataira vonatkozó elvárásokat és javaslatokat fogalmaz meg, figyelembe véve a hazai jogszabályokat, valamint a hazai és nemzetközi gyakorlatot. Tanulmányunkat a pénzügyi intézményeknél az elmúlt évek során végzett munkánk során szerzett tapasztalatokra, a hazai konferenciákon és szemináriumokon, a pénzügyi szektorban dolgozó szakemberekkel való konzultációkon szerzett ismeretekre valamint a PSZÁF adatszolgáltatási csatornáján keresztül 185 pénzügyi szervezetnek kiküldött és 163 pénzügyi szervezet által megválaszolt, a kiszervezésre vonatkozó felmérı kérdıív (a továbbiakban Kérdıív) kiértékelésére alapozzuk (lásd az 1. sz. mellékletet). A Kérdıív számos hasznos tanulsággal szolgált és mindenképpen érzékelhetı belıle a téma fontossága, mivel a válaszadók háromnegyede alkalmaz külsı szolgáltatókat (lásd 4. számú melléklet) a legkülönbözıbb szolgáltatások elvégzésre. Ezen szolgáltatások közül kiemelkedik az informatikai üzemeltetési, az informatikai karbantartási, az adatfeldolgozási, az informatikai fejlesztési, a naplógyőjtési- és értékelési, a kivonat nyomtatási, a könyvelési és a tanácsadási tevékenységek. A válaszban megadott szolgáltatások egy része nem érinti a kiszervezés témakörét (fejlesztés, könyvelés, bérszámfejtés, vagyonkezelés, adó tanácsadás, jogi képviselet, oktatás, marketing, stb.), de nagyobb részük – jellegénél fogva – mindenképpen együtt jár az ügyfelek adatainak kezelésével, az ügyfelek adataiban való betekintéssel, egyéb személyes adatokhoz és a titokkört érintı információkhoz való hozzáféréssel. A megadott létszámadatokból is látható, hogy a külsısök által végzett tevékenységek mennyiségének (a belsıs munkatársak aránya a külsıs alkalmazottakhoz viszonyítva 11,1 %, a külsıs szerzıdések száma 22530 db a 163 intézmény vonatkozásában – lásd a 3. számú melléklet szerinti statisztikát) és a Kérdıív szerinti szolgáltatásainak száma (lásd a 4. számú melléklet szerinti külsıs szolgáltatásokat) jelentıs!


3


Reméljük, hogy jelen tanulmányunk nagyban hozzásegíti majd az olvasókat, hogy jobban megértsék a kiszervezésre vonatkozó jogszabályi elıírásokat, könnyebben be tudják azt tartani és ennek kapcsán magasabb színvonalú szolgáltatások legyenek elérhetık az ügyfelek számára. A felmérésben aktívan résztvevı (lásd a 2. számú mellékletet) pénzügyi intézményeknek ezúton is nagyon köszönjük segítı hozzáállásukat és tartalmas észrevételeiket! Külön szeretnénk köszönetet mondani dr. Ivanics Éva adatvédelmi szakértınek a tanulmány elkészítésében nyújtott segítségéért. Az elkészült tanulmányhoz hasznos olvasást kívánnak a szerzık:

Hágen Erika és dr. Kımíves Balázs


4


1. Bevezetés Napjainkban egyre több cég, intézmény kiszervezi, kihelyezi az alapvetı üzletmenetéhez szorosan nem kapcsolódó háttértevékenységeket. Ennek az erıforrás kihelyezésnek, - idegen szóval „outsourcing”-nak - a legfontosabb elınye, hogy a szervezetek magas színvonalú, igényüknek pontosan megfelelı szolgáltatást kapnak és mindezt optimális költségen. Ez a kiadás összességében általában alacsonyabb, mintha saját maguk végezték volna el ezt a tevékenységet, sıt a magasabb háttérmőködési színvonal a fı tevékenységük hatékonyságát is javítja. Az erıforrás-kihelyezés lényege, hogy egy vállalat bizonyos feladatait vagy annak egy részét átadja egy másik, erre specializálódott vállalkozásnak. A szolgáltatás legfontosabb elınyei a következık: 1., Mivel erre specializált cég végzi, ezért így maximális hatékonyságot, rugalmasságot és biztonságot garantál, 2., Nincs beruházási költség, az amortizáció nem terheli a Kiszervezıt. 3., Az eszközök rendelkezésre állásának biztosítása nem a Kiszervezı feladata, 4., A munkaerı felvétele, folyamatos képzése, helyettesítése a Szolgáltató feladata, 5., A felmerülı költségek elıre tervezhetıek, folyamatosan kontrollálhatóak, 6., A legújabb és a legfejlettebb technológiákat vehetik igénybe újabb beruházás és annak kockázata nélkül. A kiszervezés („outsourcing”) definíciója nagyon sokrétő, attól függıen, hogy milyen értelemben használjuk. Legáltalánosabban ezt – az angol „outsourcing” kifejezés már a magyarban is fordítás nélkül meghonosodott - fogalmat a gazdasági társaságok hatékony mőködésmódját biztosító funkcióknak egy külsı szolgáltató cég által végzett feladataiként értelmezzük. Ez a definíció a nemzetközi gyakorlatban megszokott, általánosan megfogalmazott értelmezés, de azt, hogy mit, hogyan és milyen feltételekkel végez a külsı szolgáltató, az esetenként mindig más és más lehet. A kiszervezés egy világviszonylatban is rendkívül fejlıdı üzleti modell, amely bizonyos területeken költséghatékonyabb (olcsóbb) és egyszerőbb megoldást kínál az adott problémára felváltva a hagyományos üzleti modelleket. A kiszervezés tehát a gyakorlatban külsı cégek szolgáltatásainak igénybevételét jelenti a vállalat egy-egy belsı részfolyamatának komplex, professzionálisabb ellátására. A jelen tanulmányunkban csak a pénzügyi szektorra vonatkozó kiszervezés definíciót elemezzük és az erre vonatkozó informatikai biztonsági elvárásokkal és javaslatokkal foglalkozunk. A tanulmányban felsoroljuk a pénzügyi szektorra érvényes kiszervezésre vonatkozó jogszabályokat és elvárásokat, majd az erre vonatkozó értelmezési kérdéseket elemezzük, illetve javaslatot teszünk azok leghatékonyabb megvalósítására. A tanulmányban alapozni fogunk a pénzügyi szektorban végzett nem teljes körő felmérés eredményeire és javaslatot teszünk a kiszervezési kontrollok ellenırzésében használható kérdéssorra. Tanulmányunkban elsıként a kiszervezésre vonatkozó jogszabályi hátteret mutatjuk be, majd a kiszervezéssel kapcsolatban felmerült legjellemzıbb problémákat soroljuk fel. Ezt követıen elemezzük a kiszervezés informatika biztonsági jellemzıit és adunk hasznos tanácsokat azok kezeléséhez. A tanulmány végén összefoglaljuk tapasztalatainkat illetve a mellékletben található, a Kérdıív elemzése során készített Tel: +361/7899323 PR-AUDIT Kft.

5


statisztikákat ismertetjük valamint a kiszervezési kontrollok felmérését és értékelését megkönnyítı ellenırzı listát nyújtunk az olvasóknak. A tanulmányban a zárójelek közé tett számokkal a Kérdıív kérdéseinek sorszámát mindig jelezzük, amelyek pontos tartalmát és az adott eldöntendı kérdésekre adott válaszok statisztikai feldolgozását a 3. számú illetve a szöveges feldolgozást igénylı válaszokat pedig a további külön mellékleteket tartalmazzák. A PSZÁF észrevétele alapján a Hpt. kiszervezésre vonatkozó rendelkezéseivel kapcsolatosan az egyik leglényegesebb (és legtöbb értelmezési problémát felvetı) tényezı a kiszervezés elhatárolása az egyéb nem kiszervezésnek minısülı harmadik személyek által végzett tevékenységektıl (pl. szakértıi tevékenység, ügynöki tevékenység, egyéb tevékenység). Ezekrıl több, a Felügyelet honlapján elérhetı állásfoglalás szól. A tanulmány erre a kérdésre nem tér ki, mivel a tanulmány fókuszában a címben is jelzett információbiztonsági kérdések állnak. A kérdések összesítésénél az egyes szektorokat az anonimizált adatfeldolgozás miatt nem kezeltük elkülönítetten. Tanulmányunkat a PSZÁF áttekintette, észrevételeit szó szerint, lábjegyzetként idézzük.


6


2. Összefoglalás A kiszervezés a pénzügyi szervezetek erıforrás hatékonyságában nagy szerepet játszó jogi megoldás, amelyre vonatkozóan a következık jellemzıkre érdemes figyelni: 1. A kiszervezés egy lehetıség, amely a jogszabályoknak megfelelıen teszi lehetıvé a külsıs partnerek különbözı titokköri kategóriák (banktitok, pénztártitok, biztosítási titok, stb.) hozzáférésével együtt járó tevékenységét. 2. A pénzügyi szervezetek túlnyomó többsége a fenti elvek és jogszabályok betartásával mőködik, a kiszervezésre vonatkozó érvényben lévı fenti elvek betarthatóak, ésszerőek és alapvetıen az erıteljesebb kontroll környezet erısítésére vonatkoznak. 3. Az érvényben lévı jogszabályok csak minimum követelményeket támasztanak, azonban felügyeleti lehetıséget teremtenek a PSZÁF-nak a kiszervezést végzı szolgáltató felett a kiszervezett tevékenységet illetıen. 4. A kiszervezést végzıt szerzıdési feltételek kötik, a minimum a megbízóval azonos informatikai biztonsági kontrollok alkalmazása terén. 5. A kiszervezést végzıt nyilatkozat köti, hogy csak a jogszabályok betartásával, csak ugyanolyan vagy magasabb szintő szolgáltatást biztosít. 6. A megbízó felelıssége a kiszervezés vonatkozásában kiterjed az alábbiakra: a felügyelet tájékoztatása és bejelentés a kiszervezést végzıkrıl, az ügyfelek tájékoztatása a külsıs hozzáférésrıl, a belsı ellenırzés kötelezı kontrollja a kiszervezett tevékenység felett. 7. A jogszabály értelmezések megadása alapvetıen jogi feladatok, amely keretet ad a kiszervezett partnerek által végzett tevékenységekhez és ezért ezen feladatok értelmezéséhez és végrehajtásához egyéb speciális szakértelemre (pl. informatikai, közgazdasági, adatvédelmi, stb.) is szükség van. 8. A jogszabály értelmezésekor nem a szóhasználat maximális pontosságára, hanem a jogalkotók céljára és mondanivalójának érvényesülésére kell koncentrálni, hasznos lenne jogszabályi (és felügyeleti) szempontból egységesen kezelni a pénzügyi szervezeteket, amelyhez természetesen a jogszabályi háttér átalakítása és egységesítése kellene. Ettıl függetlenül nem érdemes kivételt képezni és eltérıen kezelni a pénzügyi intézményeket a kiszervezés megítélése szempontjából. 9. Elengedhetetlen, hogy a megbízó pénzügyi szervezetre vonatkozó, a jogszabályokban is rögzített minimális elvárások a kiszervezést végzı partnerekre is érvényesek legyenek és ezek a kontrollok a kiszervezett partner tekintetében is mőködjenek (tervezés, szervezet, feladat- és felelısség elhatárolás, szabályozás, nyilvántartás, dokumentálás, kockázatkezelés, jogosultságmenedzselés, informatikai biztonság, üzletmenet-folytonosság menedzselés, változáskezelés, naplózás, rendszeres független ellenırzés, stb.). 10. Különösen kell figyelni az informatikai kiszervezésekkel kapcsolatban a naplófájlok, e-mail-ek értékelésére, ha személyes adatot tartalmaznak. Ebben az esetben nem továbbíthatja az adatfeldolgozó más adatfeldolgozóhoz, mert ı már kis segítségre sem vehet igénybe további adatfeldolgozót, az Avtv. 4/A. Tel: +361/7899323 PR-AUDIT Kft.

7


§ (2) bekezdése alapján, és a naplófájlokba való betekintéshez kötıdıen pedig azért sem, mert a vele munkaviszonyban, vagy megbízási viszonyban álló személyek hozzáférésének ellenırzése érdekében kezelt, és a hozzáféréssel érintett, így feltehetıen továbbított adatok köre nem azonos adatkezelési céllal történik, így egészen bizonyos, hogy az adatkezelés célhoz kötöttségének egyidejőleg a két adatkezelés adatai nem felelhetnek meg. 11. A pénzügyi szervezetek részére szolgáltatást nyújtó külsıs vállalkozóknak a vonatkozó hazai jogszabályokat be kell tartani. 12. A kiszervezett tevékenységet végzınek – a kockázattal arányos mértékben – rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, melyeket jogszabály a kiszervezett tevékenységet illetıen a hitelintézetre vonatkozóan elıír, A megbízók általi kontrollkörnyezet fenntartása érdekében egy, a független ellenırök és auditorok által használható, rövid ellenırzı listát a 13. számú melléklet tartalmaz. Reméljük fenti tanulmányunkkal mi is hozzájárulhatunk a hazai pénzügyi szektor megbízhatóbb és magasabb szintő mőködéséhez.


8


3. Jogszabályi háttér 3.1.

Meghatározások és értelmezés

Elıször is tekintsük át a hazai jogszabályi hátteret, majd nézzük végig a pénzügyi szervezetek esetén a kiszervezésre vonatkozó törvényi elıírásokat. Minden pénzügyi szervezetnek védenie kell a rá bízott adatokat, titkokat (banktitok, pénztártitok, biztosítási titok, értékpapírtitok, valamint a személyes adatok és a különleges adatok). Minden magyar vállalkozásra és ezzel együtt az összes pénzügyi szervezetre vonatkozik az 1992. évi LXIII. törvény, a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról (továbbiakban: Avtv.), így az abban foglaltak az adott szakági törvényekkel együtt alkalmazandók. Azok a definíciók, amelyek meghatározzák, hogy mi minısül adatkezelésnek, adattovábbításnak, adatfeldolgozásnak stb. az adatvédelmi törvényben kerültek meghatározásra. • Avt: Értelmezı rendelkezések 2. § E törvény alkalmazása során: 1. személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megırzi e minıségét, amíg kapcsolata az érintettel helyreállítható 8. adatkezelı: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; 9. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mővelet vagy a mőveletek összessége, így például győjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzık (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is; 10. adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetıvé teszik; 11. nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetıvé teszik; 12. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; 13. adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott idıre történı lehetetlenné tétele; Tel: +361/7899323 PR-AUDIT Kft.

9


14. adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése; 15. adatfeldolgozás: az adatkezelési mőveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a mőveletek végrehajtásához alkalmazott módszertıl és eszköztıl, valamint az alkalmazás helyétıl; 16. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet, aki vagy amely az adatkezelı megbízásából - beleértve a jogszabály rendelkezése alapján történı megbízást is - személyes adatok feldolgozását végzi; 19. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet, amely vagy aki nem azonos az érintettel, az adatkezelıvel vagy az adatfeldolgozóval; Mivel a szakági törvényekben ezek nem kerülnek meghatározásra, újraértelmezésre, ezért a szakági törvényekben is ezeket a definíciók alkalmazandók. Kiemelendı, hogy az adattovábbítás fogalmi meghatározása „ha az adatot meghatározott harmadik személy számára hozzáférhetıvé teszik” azt jelenti információbiztonsági szempontból, hogy az adatokhoz történı hozzáférés lehetısége már adattovábbításnak számít (kivéve bizonyos aspektusokból a belföldi adatfeldolgozó igénybevételét, mint azt majd a késıbbiekben látni fogjuk, erre az esetre egy speciális, és minden tekintetben könnyebb szabályozást alkalmaz az adatvédelmi törvény) Figyelembe véve azt, hogy az adatkezelés fogalmi meghatározása „az alkalmazott eljárástól függetlenül az adatokon végzett bármely mővelet vagy a mőveletek összessége, így például… továbbítása…” az adatok továbbítását adatkezelésnek minısíti, így a hozzáférés biztosítása harmadik személyek részére adatkezelés. Ebben az értelmezésben a pénzügyi szervezetek esetében minden olyan esemény vagy helyzet, ahol a pénzügyi szervezet lehetıséget biztosít harmadik fél számára az általa kezelt és védendı adatokhoz, titokhoz (banktitok, pénztártitok stb.) adatkezelésnek minısül. Az adattovábbítás feltételei vizsgálatakor az adatfeldolgozó igénybevétele és a kiszervezés szakági törvények (Hpt., Bszt., Bit., Öpt., Mny.tv., továbbiakban: Szakági törvények) szerinti fogalmának szoros összefüggését figyelhetjük meg, azonban néhány ponton mégis szükséges kiemelni a két fogalom elhatárolása között húzódó kicsiny határmezsgyét. Egyik az Avtv.-ben, a másik pedig a Szakági törvényekben definiált, fogalom. Minthogy az Avtv. hatálya kizárólag a személyes adatokra terjed ki, az adatfeldolgozás, az adatvédelmi törvény adat fogalmának definíciójából adódóan kizárólag személyes adatokon történhet, míg a kiszervezés bármely más, a Szakági törvényekben szabályozott adatra (tekintve, hogy a Szakági törvények nem definiálják az adat fogalmát) (üzleti titka, banktitka, adótitka, biztosítási titka, stb. lehet jogi személynek is, az Avtv. alkalmazásában pedig személyes adattal nem természetes személy nem rendelkezhet, míg elhunyt személy esetében, ha egyéni céggel rendelkezett, üzleti titokról beszélhetünk, ezzel szemben és paradoxnak tőnı módon személyes adattal elhunyt személy nem rendelkezik), a Szakági törvények a kiszervezés kapcsán nem tesznek különbséget a kiszervezett tevékenység helyszíne között, addig az adatfeldolgozás szabályai eltérıek az Európai Gazdasági Térség területén tevékenykedı adatfeldolgozók és az azon kívüliek között. Mindezen különbségek taglalása elıtt azonban le kell szögezni, hogy a külföldre történı Tel: +361/7899323 PR-AUDIT Kft.

10


adattovábbítás (beleértve az adatfeldolgozást is, amely tekintetben mégis ide sorolandó, mint láttuk) alapvetı feltétele, hogy az adatkezelés feltételeinek minden egyes személyes adatra nézve teljesülniük kell (szükségesség, célhoz kötöttség, adatbiztonság és adatminıség: így pl. egyetlen olyan személyes adat sem szerepelhet a továbbított adatok között, melynek kezelése az adatkezelés céljának megvalósulásához nem feltétlen és elengedhetetlenül szükséges…) A személyes adat fogalmánál nem részleteztük, szükséges a késıbbiek miatt a személyes adat fogalmát konkretizálni, egy igen érdekes informatikai összefüggésben. Minthogy az Avtv. a személyes adat fogalmát egészen addig kívánja alkalmazni, amíg az adatok kapcsolata az érintettel helyreállítható. Ennek alapján tehát nem feltétlenül azokat az adatokat kell érteni, amelyeket a személyazonosító okmányba a hatóságok bejegyeznek, hanem egyéb, az Avtv.-ben nevesített és nem nevesített adatokat is. Praktikus megoldásnak kínálkozik informatikai szemmel, a számítógép által véletlenül generált adat-, vagy számsor mögé rejteni egy-egy természetes személyhez köthetı adatsort. Amennyiben ez azért történik, hogy a felismerhetetlenné tett megjelöléshez tartozó személy adatait kezelhessük, úgy nem jutottunk a célhoz közelebb, pusztán a személyes adatok számát növeltük meg. Ugyanis amíg az adott szervezet, vagy adatkezelı bármilyen módon vissza tudja keresni a véletlenül generált szám-, vagy karaktersor mögött rejtızı személyt, azaz be tudja azonosítani, hogy melyik természetes személyhez tartoznak, adatkezelést végez, még ha elsı pillantásra ez nem is egyértelmő. Ha pedig nem tudja visszafejteni a mögöttes tartalmat, akkor nem volt értelme egy új adattal ellátni az egyébként anonim adatsort. Kiemelt figyelmet érdemel továbbá az a kérdés is, hogy mely természetes személy adatainak a kezelésére vonatkozik az adat. A Szakági törvények ugyanis az ügyfelek jogaira fordítanak figyelmet, illetve a jogügylet kapcsán megjelenı személyekre, ami mint láttuk a nem természetes személyeknél szélesebb kört ölel fel, ám szőkebb kört szabályoz a természetes személyek között. Az adatkezelı oldalán megjelenı természetes személyek adataira az Avtv. hatálya éppúgy kiterjed, mint az ügyfelekére, még akkor is, ha az adatkezelés más jogalappal, más-más céllal és így más módon történik. Összességében tehát megállapíthatjuk, hogy a kiszervezés során a természetes személyek adatai körében, függetlenül az érintett személyétıl és ebbéli minıségétıl (alkalmazott, vagy ügyfél, illetve egyéb érdekelt), az Avtv. szabályai kötelezıen alkalmazandók, akkor is, ha kóddal jelölték csupán, vagy az, bármely, az adatkezelı által elérhetı nyilvántartásból a természetes személlyel kapcsolatba hozható.1 Figyelembe véve azonban a Szakági törvények már idézett rendelkezéseit, a kiszervezésnek, az alábbiakban részletezett bizonyos feltételek fennállása esetén meg kell felelnie mind az Avtv. adatfeldolgozásra vonatkozó valamennyi rendelkezésének, illetve egyidejőleg a Szakági rendelkezéseinek is. Az Avtv. ugyanis 1 PSZÁF észrevétel: „Összességében……hozható.” A Felügyelet álláspontja szerint az olyan tevékenység harmadik személy által történı végzése, amely során a pénzügyi intézmények alkalmazottai adatainak kezelésére kerül sor (pl. HR feladatok ellátása) nem minısül kiszervezésnek, ugyanis a HR tevékenység nem minısül pénzügyi szolgáltatási tevékenységhez kapcsolódó tevékenységnek.


11


az adatbiztonság fogalmát is meghatározza, és az adatbiztonsági szabályzók típusának felsorolásával, azok szabályait alkalmazni rendeli. Elvi lehetıség mutatkozik arra, hogy másként kezelje a személyes adatokat is tartalmazó adatállományát az adatkezelı, mint a kizárólag az Avtv. hatálya alá nem tartozó adatállományait (azaz a nem természetes személyekre vonatkozó adatokat), ez azonban a gyakorlatban megvalósíthatatlan (minthogy pl. egy jogi személy esetében a kapcsolattartó már természetes személy, így egy jogi személyre vonatkozó adatok összessége természetébıl adódóan személyes adatot is tartalmaz. Nem nehéz belátni, hogy amennyiben a kapcsolattartó személy adatait az általa képviselt nem természetes személy adataitól elkülönítetten kezeljük, akkor az adatkezelés elvesztette célját és értelmét is.) Marad tehát az a lehetıség, hogy az így kezelt valamennyi adatra nézve a pénzintézet megfeleljen egyidejőleg valamennyi, mindkét jogszabályban foglalt alapvetı, ám sokkal szigorúbb elıírásoknak. Az Avtv. meghatározza a harmadik személy fogalmát is, mégpedig oly módon, hogy az adatfeldolgozót nem tekinti harmadik személynek, így elviekben adattovábbításról az Avtv. értelmében adatfeldolgozó irányában nem beszélhetünk. Ezzel ellentétben az adatok külföldre továbbításánál az Avtv. saját maga terjeszti ki az adattovábbítás alkalmazási körét az adatfeldolgozásra is2. Eljutottunk tehát odáig, hogy miután az Avtv. összhangban a jelen tanulmányban idézett valamennyi ágazati szabályozással, az EGT-n kívüli országokat tekinti külföldnek, amennyiben az adatunk külföldre jut, úgy a külföldre történı adattovábbítás szabályait kell alkalmazni. Ennek során kiemelt jelentıséggel bír, hogy amennyiben az érintett elızetes, önkéntes hozzájárulásával rendelkezünk, úgy mindenképpen van lehetıség az adattovábbításra, ha azonban törvényi felhatalmazáson nyugvó adatkezelésrıl beszélünk (mint pl. a Hpt., Bit., Bszt., stb.), akkor az Avtv. 9.§ (2) bekezdésében meghatározottak szerinti megfelelı szintő, ún. adekvát védelem fennállását is vizsgálni kell. Így törvényi felhatalmazás alapján nem jelent problémát Argentínába (2003), Jersey-re, a Man_Szigetre, Guernseyre, Svájcba, Kanadába a légi utasok utas listájának, az USA légi utasok utaslistája és a Safe Harbor-höz csatlakozó szervezetek részére történı adattovábbítás. Az USA Safe Harbor elveinek megfelelı szervezetek kivételével azonban igen csekély a valószínősége annak, hogy jelen tájékoztató olvasója tömeges adattovábbítást végezne bármely más adatfeldolgozó, vagy adatkezelı részére. Jelen tanulmány terjedelmi korlátai nem teszik lehetıvé, hogy komolyabb útmutatót készítsünk a személyes adatok (felismerhetı, vagy sem, ügyfél, vagy adatkezelıi mozzanatot végzı) külföldre történı továbbításához szükséges eljárás részleteit, melynek konkrét alkalmazása mindenképpen adatvédelmi szakember segítségével történhet3. 2

3

9. § (1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévı adatkezelı vagy adatfeldolgozó részére akkor továbbítható, ha a) ahhoz az érintett kifejezetten hozzájárult, vagy b) azt törvény lehetıvé teszi, és a harmadik országban az átadott adatok kezelése, illetıleg feldolgozása során biztosított a személyes adatok megfelelı szintő védelme. (2) A személyes adatok megfelelı szintő védelme akkor biztosított, ha a) az Európai Közösségek Bizottsága - külön törvényben meghatározott jogi aktus alapján - megállapítja, hogy a harmadik ország megfelelı szintő védelmet nyújt,


12


Végül pedig ejtsünk szót az önkéntes hozzájárulás kérdésérıl4. Ebben mind az Európai Adatvédelmi Biztos, mind pedig a haza Adatvédelmi Biztos álláspontja konzekvens: egyrészt az adatkezelést mindenképpen meg kell elıznie a hozzájárulásnak, és befolyásmentesnek kell lennie. Így tehát egy fennálló jogviszonyban önkéntességrıl abban az esetben már nem beszélhetünk, ha a hozzájárulás megtagadása az adott jogviszonyban valamiféle hátrányt eredményezhet, vagy a jogviszony megszüntetésére vezethet. Így pl. egy munkaviszonyban, alkalmazotti viszonyban álló személytıl kapott hozzájárulás már mindenképpen azzal a vélelemmel árnyékolódik be, hogy azt nem önkéntesen, hanem a munkakör megtartása érdekében adta meg a munkavállaló. Különösen vonatkozik ez az informatikai kiszervezésekkel kapcsolatban a naplófájlok értékelésére, ha személyes adatot tartalmaznak, akkor is, ha kódoltak, és harmadik országba történı továbbításukhoz (még adatfeldolgozóhoz is) vagy önkéntes elızetes hozzájárulás kell  és ezt már egy meglévı jogviszonyban nem tudjuk pótolni , vagy pedig törvényi felhatalmazás és adekvát védelem. Ezen feltételek fennállása esetében sem továbbíthatja az adatfeldolgozó más adatfeldolgozóhoz, mert ı már kis segítségre sem vehet igénybe további adatfeldolgozót, az Avtv. 4/A. § (2) bekezdése alapján, és a naplófájlokba való betekintéshez kötıdıen pedig azért sem, mert a vele munkaviszonyban, vagy megbízási viszonyban álló személyek hozzáférésének ellenırzése érdekében kezelt, és a hozzáféréssel érintett, így feltehetıen továbbított adatok köre nem azonos adatkezelési céllal történik, így egészen bizonyos, hogy az adatkezelés célhoz kötöttségének egyidejőleg a két adatkezelés adatai nem felelhetnek meg. 3.2.

A kiszervezés meghatározása a különbözı Szakági törvényekben

Pénzügyi intézményekre (hitelintézet, illetve a pénzügyi vállalkozás) vonatkozó törvényben a „Hitelintézeti törvényben (Hpt.) a következı definíciót találjuk: • Hpt. 2. számú melléklet, Értelmezı rendelkezések, III. egyéb meghatározások 41. Kiszervezés: ha a hitelintézet a pénzügyi-, illetıleg kiegészítı pénzügyi szolgáltatási tevékenységéhez kapcsolódó, illetıleg jogszabály által végezni b) a harmadik ország és a Magyar Köztársaság között az érintetteknek a 11. § szerinti jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenırzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerzıdés van hatályban, vagy c) a harmadik országbeli adatkezelı vagy adatfeldolgozó az adatkezelés vagy adatfeldolgozás szabályainak ismertetésével igazolja, hogy az adatkezelés vagy adatfeldolgozás során megfelelı szinten biztosítja a személyes adatok védelmét, az érintettek jogait és azok érvényesítését, különösen, ha az adatkezelést vagy az adatfeldolgozást az Európai Unió Bizottsága külön törvényben meghatározott jogi aktusának megfelelıen végzi. (3) Személyes adatok nemzetközi jogsegélyegyezmény végrehajtása érdekében, az egyezményben meghatározott célból és tartalommal továbbíthatók harmadik országba. 4

„hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelı tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok teljes körő vagy egyes mőveletekre kiterjedı – kezeléséhez”;


13


rendelt olyan tevékenységét, amelynek során adatkezelés, adatfeldolgozás vagy adattárolás5 valósul meg, nem önállóan végzi, hanem annak folyamatos vagy rendszeres elvégzésére tıle szervezetileg független személlyel vagy jogi személyiséggel nem rendelkezı gazdasági társasággal kizárólagos szerzıdést köt. A definícióból látható, hogy a hitelintézetek esetében alapvetıen az adatkezeléshez, az adatfeldolgozáshoz és az adattároláshoz köti a jogalkotó a kiszervezési feltételeket. A 2.1. bekezdésben tárgyaltak alapján a hozzáférés lehetıségének biztosítása adatkezelésnek minısül. A konkrét rendelkezéseket tartalmazó Hpt. 13/A. §. végigolvasásakor látható, hogy annak 13. pontja „Pénzügyi vállalkozás a Felügyelethez történı bejelentés nélkül szervezheti ki ügyviteli tevékenységét, ha azonban a kiszervezni kívánt ügyviteli tevékenység banktitkot is érint, akkor az (1)(12) bekezdésben foglaltakat megfelelıen alkalmazni kell.” ezt meg is erısíti, hiszen a banktitokhoz való hozzáférés lehetıségéhez köti a kiszervezésként való külsıs tevékenységek kezelését. Ez a bekezdés egyben le is egyszerősíti a kiszervezés kérdéskörének értelmezését, hiszen függetlenül attól, hogy ki hogyan értelmezi az adatkezelést, adatfeldolgozást vagy adattárolást, a kiszervezésre vonatkozó döntést csak az kell, hogy befolyásolja, hogy a külsıs szolgáltatóknak tevékenységük során van-e lehetıségük hozzáférni a titokkörben érintett adatokhoz vagy sem. Ebben a tekintetben nem is mérlegelhetı, hogy a gyakorlatban felhasználja-e a szolgáltató az információt vagy sem (mert ennek bizonyítása legtöbbször nem is lehetséges), hanem egyértelmően a lehetıség biztosítása (pl. rendszergazdai joga van az informatikai rendszerekben, láthatja-e a kinyomtatott ügyféladatokat stb.) az érdekes. Itt jegyeznénk meg azt, hogy a számlakivonat nyomtatása, borítékolása a boríték leragasztásáig kiszervezésként kezelendı (hiszen banktitokhoz férnek hozzá), a lezárt borítékok továbbítása és kezelése már a levéltitok körébe tartozik, és külön jogszabály vonatkozik rá (ennek tárgyalása jelent tanulmánynak nem része). A banktitok definíciója rendkívül tág: • Hpt. 50. § (1) Banktitok minden olyan, az egyes ügyfelekrıl a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerzıdéseire vonatkozik A banktitokhoz történı hozzáférés törvényi lehetıségei rendkívül szigorúak (Hpt. 51. §), gyakorlatilag csak az állami, kormányzati hivataloknak, igazságügyi szerveknek biztosít lehetıséget a banktitok megismerésére, de az üzleti életben mozgó szolgáltatók esetében csak a kiszervezés keretében történı adathozzáférést engedi meg. Látható, hogy a kiszervezés – mint azt a következı 2.3. fejezetben kifejtjük – egy jogi lehetıség arra, hogy a pénzügyi szervezetek szolgáltatói elvégezzék

5

Az Avtv. saját definícióit kizárólag a saját törvényi szabályozása értelmezése érdekében adja meg („E törvény alkalmazása során….”). Minthogy a Hpt. nem definiálja az adat fogalmát, és nem rendeli alkalmazni az Avtv. Fogalmi meghatározását sem, továbbá mind a törvény céljával, mind a „titok” fogalmi meghatározásával szöges ellentétben állna az Avtv. szerinti definíció alkalmazása, leszögezhetjük, hogy a Hpt. a köznyelvben elterjedt kifejezésként használja az adat fogalmát, melyhez akkor kerülünk közelebb, ha bármely rögzített információt értünk.


14


feladataikat, amelyek során hozzáférést kapnak ügyféladatot tartalmazó rendszerekhez, dokumentumokhoz. Nem biztos, hogy az adatokhoz, titkokhoz történı hozzáférés szükséges egy adott szolgáltatás elvégzéséhez, de van olyan eset, amikor az adott tevékenység elvégzésével ez együtt jár. Ilyen eset például az informatika területén a rendszergazdai feladatok ellátása. Egy rendszergazdának nem feltétlenül van szüksége az adott rendszeren az ügyféladatokhoz történı hozzáférésre, hogy a munkáját elvégezze, de tény, hogy a rendszergazdai hozzáférés (egy adott rendszerben a legmagasabb jog) szükségszerően együtt jár az adott rendszeren lévı összes adathoz és információhoz történı hozzáférés lehetıségével, mert biztosítva van a hozzáférés. Ebbıl adódóan egy rendszer üzemeltetésének, vagy karbantartásának külsıs szolgáltatóval történı ellátása mindenképpen kiszervezés, ha a rendszeren vannak ügyféladatok. A befektetési vállalkozásokról és az árutızsdei szolgáltatókról szóló szakági törvényekben (korábban Tpt. jelenleg Bszt.) a pénzügyi intézményekre vonatkozó szabályozással (Hpt.) összhangban volt a tıkepiacra vonatkozó szabályozás (Tpt.) [5], azonban annak kiszervezésre vonatkozó részei már hatályon kívül kerültek, illetve beleolvadtak a befektetési szolgáltatókra (a továbbiakban Bszt.) vonatkozó legújabb szabályozásba [4]. A kiszervezés definíciója a többi – a pénzügyi szervezetekre vonatkozó szakági – törvényben lévıtıl eltérıen átfogóan és általánosan értelmezi a kiszervezést, és az összes szakági törvényt figyelembe véve az ebben szereplı meghatározás felel meg a leginkább az EU-s ajánlásoknak. • Bszt. II. fejezet, Értelmezı rendelkezések 4 §. (1) bekezdés: 35. kiszervezés: olyan megállapodás egy befektetési vállalkozás és egy harmadik személy között, amelynek keretében e harmadik személy olyan tevékenységet végez, amelyet egyébként a befektetési vállalkozás maga végezne Ez a meghatározás kibıvíti a Hpt-ben megismert kiszervezési definíciót, mivel nem az adatkezeléshez, vagy a banktitok megismeréséhez, hanem a pénzügyi szervezet által végzendı tevékenységnek egy harmadik személy által történı elvégzését tekinti kiszervezésnek és ezen tevékenységek vonatkozásában kell ugyanazon szabályokat követni. A Bszt. 79. §-a megismétli, és ezzel meg is erısíti a kiszervezés definícióját: • Bszt. 79. § (1) A befektetési vállalkozás - a (2)-(5) bekezdésekben, valamint a 80. és 81. §-ban foglaltakra figyelemmel - befektetési szolgáltatási tevékenységét, kiegészítı szolgáltatását vagy bármely e törvény hatálya alá nem tartozó tevékenységét vagy szolgáltatását kiszervezheti. A pénztárakra vonatkozó elıírásokat alapvetıen az Mnypt. [7] megfelelı jogszabályi helyeinek felsorolásával tekintjük át, de az Öpt. [8] hasonló paragrafusait is meghivatkoztuk. A két jogszabály ugyanis a külsı szolgáltatók kezelését (kihelyezés, illetve kiszervezés) tekintve lényegileg egyezı elıírásokat tartalmaz. Az Mnypt. a fogalmakat taglaló 4. § (2) z) pontjában és a majdnem szó szerint megegyezı szabályozást az Öpt. 2. §. (2) d) pontjában adja meg a szolgáltatók definícióját: Tel: +361/7899323 PR-AUDIT Kft.

15


•

Mnypt. :4. §. (2) E törvény alkalmazásában: z) szolgáltató: az a természetes személy, jogi személy és jogi személyiség nélküli gazdasági társaság, amely a pénztárral kötött szerzıdés alapján a pénztár részére a pénztárüzem mőködésének részét képezı, azt lehetıvé tevı, elısegítı, illetve a pénztári szolgáltatásokat ténylegesen nyújtó tevékenységet végez. Szolgáltatónak minısül különösen az, aki (amely) a pénztár részére letétkezelıi tevékenységet folytat, amelyhez a pénztár a befektetési üzletmenetét, illetve a könyvelése, nyilvántartásai vezetését kihelyezte, illetve amely a pénztár részére tagszervezést végez, valamint a pénztár tagja részére járadékszolgáltatást teljesítı biztosító intézet. Szolgáltatónak minısül az is, aki (amely) az e pontban meghatározott szolgáltatóval kötött szerzıdés alapján az elızıek szerinti, pénztárral kapcsolatos tevékenységet végez, • Öpt. 2. §. (2) d). A szolgáltató definíciójának a továbbiakban lesz jelentısége. Látható, hogy a törvényben megjelenik a „kihelyezés” fogalma, illetve az arra vonatkozó szabályozások meghatározásának kötelezettsége is. • Mnypt. 4. §. (2) E törvény alkalmazásában: zsa) kihelyezés: a pénztár feladatkörébe tartozó tevékenységének e tevékenység ellátásával üzletszerően foglalkozó szervezet (szolgáltató) által, szerzıdés alapján történı megvalósítása, zsb) kiszervezés: tevékenység olyan kihelyezése, melynek során adatkezelés vagy adatfeldolgozás is megvalósul, • Öpt. 2. §. (4) e) f). • Mnypt. 35. § Az SzMSz-nek tartalmaznia kell: l) a pénztár vagyonkezelésére, adminisztrációs és nyilvántartási, valamint beszámolási, továbbá a járadékszolgáltatási kötelezettségeire irányadó alapvetı elıírásokat, ideértve azt is, hogy a pénztár e tevékenységeket maga kívánja-e ellátni, illetıleg azokat részben vagy egészben pénztári szolgáltatóra bízza-e; ez esetben a tevékenységek kihelyezésével kapcsolatos elıírásokat is tartalmazza a szabályzat, • Az Öpt-ben ilyen elıírás nincs. A törvény mindössze azt írja elı, hogy a tevékenységi engedély iránti kérelemhez kell mellékletként benyújtani a Felügyeletnek a kihelyezésre vonatkozó szerzıdést, de ha a tevékenységi engedély kérésekor nem volt kihelyezés, akkor utólag nem kell benyújtani ilyen szerzıdést. Öpt. 62. §. (2) A kérelemnek tartalmaznia kell: d) a gazdálkodási vagy befektetési üzletmenet kihelyezése esetén az erre vonatkozó szerzıdést A kihelyezés és a kiszervezés fogalmak, annyiban különülnek el, hogy a kiszervezés fogalmát a Hpt. szerinti értelemben (adatkezelés és adatfeldolgozás esetén) kell alkalmazni. A pénztáraknál a kihelyezés intézménye fedi le gyakorlatilag a Bszt-ben átfogóan megfogalmazott kiszervezést (ez az EU konform) és a kiszervezés a pénztáraknál törvényi szinten csak a pénzintézeteknél megfogalmazott adatkezelés, adatfeldolgozás szokványt követi. Az adatkezelésre és adatfeldolgozásra vonatkozó, a pénztári törvényekben lévı definíció megerısíti a korábbi, 2.1. fejezetben tárgyalt véleményünket, hogy az adattovábbítás, adatkezelés meghatározása esetén, a pénzügyi szervezetek


16


vonatkozásában, az adatvédelmi törvényben foglaltakat kell alkalmazni. A pénztárak esetében a törvény ezt konkrétan tartalmazza is: • Mnypt. 4. §. (2) E törvény alkalmazásában: zsc) adatkezelés: a személyes adat, illetve pénztártitkot képezı adat tekintetében végzett, a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló törvényben meghatározott adatkezelési tevékenység, zsd) adatfeldolgozás: a személyes adat, illetve pénztártitkot képezı adat tekintetében végzett, a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló törvényben meghatározott adatfeldolgozási tevékenység, • Öpt. 2. §. (4) g) h). A biztosítókra vonatkozó jogszabály, a Bit. [6] hasonlóan, de mégis kicsit másképpen rendelkezik a kiszervezésrıl. A definíciós rész a Bszt-hez hasonlóan, tágan definiálja a kiszervezés fogalmát: • Bit. 3. § (1) E törvény alkalmazásában 63. ügymenet kiszervezése: a biztosító biztosítási tevékenysége valamely részének végzésére mást bíz meg Látható, hogy a definíciós rész tekintetében bármely, harmadik külsı fél által végzett tevékenység kiszervezésnek tekintendı. A Bit. már a törvény hatályát taglaló elsı paragrafusnál is kitér a kiszervezésre: • Bit. 1. § (1) Ha nemzetközi szerzıdés eltérıen nem rendelkezik, e törvény hatálya kiterjed: d) kizárólag a kiszervezett tevékenységre a kiszervezett tevékenységet végzınél. Ebbıl is látszik, hogy a szolgáltatók azon félelme mely szerint a hatóságok, más a szolgáltatónál végzendı tevékenységre is kiterjednének (lásd a Kérdıív erre vonatkozó 6. számú mellékletének észrevételeit), a biztosítók esetében a törvény legelején tisztázódik. A kérdıívre válaszoló pénzügyi szervezetek által megadott létszámadatokat összesítettük (a saját alkalmazott, saját informatikus, az igénybevett külsıs munkatársak összesen és ebbıl informatikus). A 163 válaszoló pénzügyi szervezet által foglalkoztatott munkavállalók száma összesen 33 246 fı (saját + külsıs). A külsıs munkavállalók aránya az összlétszámhoz viszonyítva 9,98%, ami azt jelenti, hogy a pénzügyi szervezeteknél minden tízedik dolgozó, aki a feladatát végzi, külsıs (tehát harmadik személynek minısül az ügyfél és a pénzügyi szervezet viszonyában). Az összes foglalkoztatott munkavállaló közül (saját + külsıs) az összes informatikai tevékenységet végzı szakember 1974 fı (saját + külsıs). Az informatikusok aránya az összlétszámhoz viszonyítva 5,9%, amely a nemzetközi átlagnál alacsonyabb (nemzetközi szinten az informatikát ilyen jelentıs mértékben használó vállalkozások esetében az átlag10-12%).


17


A külsıs informatikai munkavállalók aránya az összes informatikai létszámhoz (saját + külsıs) viszonyítva 15,05%, amibıl látható, hogy a pénzügyi szervezetek leginkább az informatikai szolgáltatásokat végeztetik külsıs vállalkozásokkal. 001 002 003 004

3.3.

Az intézmény alkalmazottainak (belsıs munkatársainak) száma összesen Ebbıl az informatikai munkakörben foglalkoztatott száma Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársak száma: Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársak közül informatikai munkakörben foglalkoztatottak száma:

29929 1677 3317 297

A kiszervezés, mint jogszabályi lehetıség

A XXI. század még inkább az információ százada, mint az elızıek, mivel az információ hatalom és ennek megırzése mind üzletileg, mind adatvédelmileg rendkívül fontos tényezı egy-egy vállalkozás esetében. A pénzügyi szervezetekre vonatkozó szabályozások elıírják az adott szervezetre vonatkozó titok (banktitok értékpapírtitok, biztosítási-titok, pénztártitok) megırzését. A titok definíciója minden szakági törvényben szinte szó szerint ugyanaz: „minden olyan, az egyes ügyfelekrıl a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerzıdéseire vonatkozik”. A titkok megtartása a gazdasági vállalkozások egyik elsırendő feladata, amely a rengeteg fajta feladat elvégzése közben sokszor nehézségbe ütközik. A pénzügyi szervezetek titka – a szakági jogszabályok szerint – csak rendkívül komoly feltételek megléte esetén adható ki: Pl.: • a Hpt. szerint: „pénzügyi intézmény ügyfele, annak törvényes képviselıje a rá vonatkozó kiszolgáltatható banktitokkört pontosan megjelölve közokiratba vagy teljes bizonyító erejő magánokiratba foglaltan kéri, vagy erre felhatalmazást ad. „ A kivételek minden esetben az adott szakági törvényben meghatározásra kerülnek. Pl.: • „nem szükséges a közokiratba, teljes bizonyító erejő magánokiratba foglalás, ha az ügyfél ezt az írásbeli nyilatkozatát a pénzügyi intézménnyel történı szerzıdéskötés keretében nyújtja” • „a banktitok megtartásának kötelezettsége nem áll fenn pl. az Országos Betétbiztosítási Alappal, a Magyar nemzeti Bankkal, az Állami számvevıszékkel, a Gazdasági Versenyhivatallal, a Pénzügyi Felügyelettel stb. szemben” Ez utóbbi kivételek mellett sorolják fel a szakági jogszabályok a kiszervezett tevékenység végzéséhez szükséges adatátadást: • Hpt. 54. §. (1) nem jelenti a banktitok sérelmét: Tel: +361/7899323 PR-AUDIT Kft.

18


• • •

•

j) a hitelintézet által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végzı részére. Bszt. 120.§ Nem jelenti az értékpapírtitok sérelmét i) a kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végzı részére. Bit. 157. § (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn: o) a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzıvel Öpt. 40/B. § (1) A pénztártitok és az üzleti titok megtartásának kötelezettsége nem áll fenn a feladatkörében eljáró i) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végzı szolgáltatóval, továbbá a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzıvel Mnypt. 79. § (1) A pénztártitok és üzleti titok megtartásának kötelezettsége nem áll fenn a feladatkörében eljáró l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végzı szolgáltatóval, továbbá a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzıvel

A fentiek alapján látható, hogy a kiszervezési keretek között történı feladatvégzés nem korlátozás, hanem egy, a jogszabály biztosította lehetıség a szolgáltatást végzı cégek, külsıs szakemberek, bizalmas munkakörben történı alkalmazására. 3.4.

A pénzügyi intézményekre vonatkozó elıírások

Elıször is nézzük a pénzügyi intézményekre vonatkozó szakági törvényt [3]. Amint elkezdjük olvasni már a törvény hatályát leíró rész is jelzi, hogy a törvény rendelkezései a kiszervezett tevékenységet végzıre is vonatkoznak. • Hpt. 1. §. (1) Ha nemzetközi szerzıdés másként nem rendelkezik, e törvény rendelkezéseit kell alkalmazni: f) a kiszervezett tevékenységet végzı e törvény szerinti felügyeletére is. Érzékelhetı, hogy a törvényalkotók a cselekvés végzésének személyétıl és helyétıl függetlenül egységes feltételek szerint kívánják szabályozni a hitelintézeti ügyfelek pénzügyeinek kezelését. A Hpt. kiszervezéssel foglalkozó fejezete a 13/A. §. Ennek az (1) pontja tulajdonképpen a már hivatkozott definíciót lehetıségként ismétli meg a hitelintézetek vonatkozásában (lásd: pénzügyi intézmény, de nem pénzügyi vállalkozás Hpt. 4-6. §okban rögzített definíciókat): • Hpt. 13/A. §. (1) A hitelintézet pénzügyi-, illetıleg kiegészítı pénzügyi szolgáltatási tevékenységéhez kapcsolódó, illetve jogszabály által végezni rendelt olyan tevékenységét, amelynek során adatkezelés, adatfeldolgozás


19


vagy adattárolás valósul meg, az adatvédelmi elıírások betartása mellett kiszervezheti. A banktitok kezelés fentiekben hivatkozott szabályainak betartása érdekében érdemes a külsıs szolgáltatók (harmadik fél) feladatvégzését kiszervezés keretében megvalósítani. Józanésszel végiggondolva belátható, hogy egy hitelintézeti tevékenység végzésére hitelintézeti oldalról csak olyan szolgáltatót szabad megbízni, aki hatékonyabban és legalább a hitelintézet által nyújtott, vagy magasabb színvonalon képesek dolgozni, tehát minimum teljesítik a hitelintézet által nyújtott minıséget, de kisebb költséggel, vagy ugyanolyan költséggel többet, jobbat nyújt. Elgondolkoztató, hogy miért ódzkodna egy – tegyük fel – világviszonylatban ismert cég, a magyar jogszabályok által elıírt és a magyar pénzügyi felügyelet által ellenırzött feltételek teljesítésétıl, ha egyébként az ajánlatukban (reklám anyagaikban) feltételezhetıen – a szolgáltatásra kiírt feltételeknél – magasabb szintő szolgáltatásokkal próbálják meggyızni ügyfeleiket. Vélhetıen egyetlen nyugat-európai, vagy amerikai központú világcég sem gondolkodna azon, hogy az amerikai, a német, vagy akár francia – a megbízást adó pénzügyi szervezetre vonatkozó – jogszabályi elıírásokat betartsa-e vagy sem. Véleményünk szerint teljesen egyértelmő, hogy a pénzügyi szervezetek részére szolgáltatást nyújtó külsıs vállalkozóknak a vonatkozó hazai jogszabályokat be kell tartani.6 A kiszervezésre vonatkozó elıírások második pontja • Hpt. 13/A. §. (2) A kiszervezett tevékenységet végzınek – a kockázattal arányos mértékben – rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, melyeket jogszabály a kiszervezett tevékenységet illetıen a hitelintézetre vonatkozóan elıír, további józan engedményeket tesz, abban a tekintetben, hogy nem kíván értelmetlen erıfeszítést a szolgáltatótól, csupán a fennálló kockázatokkal arányos feladatvégzést és beruházásokat követeli meg. Ez az elıírás teljesen összhangban van az informatikai rendszerek védelmérıl szóló elıírásokkal, amelyeket részletesen a 4. fejezetben ismertetünk és elemzünk. Felhívjuk a figyelmet arra, hogy kockázattal arányos akkor lehet valami, ha értékelték a kockázatokat (mindenképpen van valamilyen dokumentáció errıl) és az értékelésnek megfelelıen biztosították a személyi-, tárgyi-, biztonsági feltételeket. Tapasztalataink alapján idegenkedést okozhat az a félreértés, miszerint engedélyeztetni kell a kiszervezést, pedig ebben a tekintetben a jogszabály teljesen egyértelmően csak bejelentési kötelezettséget ír elı (igaz azt igen rövid határidıvel): • Hpt. 13/A. §. (3) A hitelintézet köteles a Felügyeletnek a kiszervezésrıl szóló szerzıdés aláírását követıen két napon belül bejelenteni: 6

PSZÁF észrevétel: A tanulmány egyértelmően a kiszervezett tevékenységet folytatók számára, az ı szemszögükbıl készült, ezt mutatják az alábbi, felügyeleti szemszögbıl nézve kissé furcsának tekinthetı mondatok, miszerint: „Véleményünk szerint teljesen egyértelmő, hogy a pénzügyi szervezetek, részére szolgáltatást nyújtó külsıs vállalkozóknak a vonatkozó hazai jogszabályokat be kell tartani.” „Tapasztalataink alapján idegenkedést okozhat az a félreértés, miszerint engedélyeztetni kell a kiszervezést, pedig ebben a tekintetben a jogszabály teljesen egyértelmően csak bejelentési kötelezettséget ír elı.”


20


a) a kiszervezés tényét, b) a kiszervezett tevékenységet végzı nevét, székhelyét vagy állandó lakcímét, c) a kiszervezés idıtartamát. A bejelentés szükségessége egyértelmően a Felügyelet felelısségvállalásának alapvetı feltétele, hiszen csak akkor mőködik a felügyeleti kontroll, ha az információkhoz (jelen esetben a hitelintézeti adatvagyonhoz) történı hozzáférésekrıl a Felügyeletnek is tudomása van. A bejelentés egyszerően megtehetı, hiszen ezen alapvetı információk minden (nem csak a jó kontrollkörnyezetet mőködtetı) gazdasági társaságnál rendelkezésre állnak (milyen témában, kit, milyen idıtartamban bízunk meg munkával). Az olyan pénzügyi szervezeteknél, ahol több száz szolgáltató van, ott pedig teljesen természetes a szerzıdés nyilvántartás léte, amely ezen alapadatokat tartalmazza. A jogszabály a kiszervezési szerzıdések minimális elemeit is felsorolja: • Hpt. 13/A. §. (4) A kiszervezésre vonatkozó szerzıdésnek tartalmaznia kell: a) az adatvédelem7re vonatkozó elıírások érvényesülésének bemutatását, b) a kiszervezett tevékenységet végzı hozzájárulását a kiszervezett tevékenységnek a hitelintézet belsı ellenırzése, külsı könyvvizsgálója, az MNB és a Felügyelet helyszíni, illetve helyszínen kívüli ellenırzéséhez, c) a kiszervezett tevékenységet végzı felelısségét a tevékenység megfelelı színvonalon történı végzéséért, illetve a szerzıdés hitelintézet részérıl történı azonnali felmondási lehetıségét a szerzıdés ismételt vagy súlyos megsértése esetére, d) a kiszervezett tevékenységet végzıtıl elvárt, a tevékenység végzésének minıségére vonatkozó részletes követelményeket, e) a kiszervezett tevékenységet végzı részérıl a bennfentes kereskedelem elkerülése érdekében alkalmazandó szabályokat. Az adatvédelmi feltételek ismertetése, a szolgáltató felelısségének felsorolása, a szolgáltatás minıségére vonatkozó követelmények rögzítése manapság már minden szerzıdés alapvetı elemét jelentik. A felügyeleti szervek (MNB, PSZÁF) ellenırzési hatáskörének a szerzıdésben való rögzítése viszont a jogszerőség szempontjából fontos, hiszen az adott pénzügyi szervezetnél történı esetleges felügyeleti helyszíni vizsgálat során szükség van a megfelelı felhatalmazás biztosítására a külsı szolgáltatók vonatkozásában is. A pénzügyi felügyeleti hatóságok (MNB, PSZÁF) felügyelési jogköre nem terjed ki a pénzügyi szférán kívülre, így egy informatikai cég és az általa végzett tevékenység ellenırzésére sem. Azonban ez nem jelentheti azt, hogy ha egy pénzügyi szervezet nem maga végzi az egyébként szükséges és elvégzendı tevékenységet, akkor azt a felügyeleti hatóságok nem ellenırizhetik (pl: ha egy vállalkozót alkalmaz a számlavezetésre, akkor a számlavezetést nem ellenırizhetné a felügyeleti hatóság). Az ellenırzési jog megszőnése egyébként lehetıséget adna a pénzügyi szervezeteknek az adott tevékenységüket kivonni a felügyeleti hatóságok hatásköre alól. Figyelembe véve azt, hogy akár a teljes informatikai rendszert is külsısökkel üzemeltethetik, ez azt jelentené, hogy a 7

Mint azt már korábban kifejtettük az adatvédelem kifejezés tehát a Szakági törvények. alkalmazásában (kizáró rendelkezés hiányában) egy olyan speciális forma, amely túl az információs önrendelkezési jog biztosítására született Avt. rendelkezésein, magában foglalja a Szakági törvények. által alkalmazott adatok fogalom védelmére szolgáló valamennyi szabályozót is.


21


felügyeleteknek (MNB, PSZÁF) nem lenne hatáskörük ellenırizni a pénzügyi szervezet informatikában végzett tevékenységét. Ezen a ponton azonban láthatóan sok félreértés lehet, hiszen jogosan háborodna fel egy multinacionális szolgáltató, hogy az ı egyéb – nem a pénzügyi szervezettel kapcsolatos, illetve más megrendelınél végzett – tevékenységeivel, vagy adataival kapcsolatos információkat a hatóságoknak (MNB, PSZÁF) meg kellene adnia. A jogszabály azonban ebben a tekintetben egyértelmően fogalmaz: „a kiszervezett tevékenységnek” az ellenırzésérıl van szó. Tehát ha egy külsı szolgáltató a megrendelı pénzügyi szervezet telephelyén végez üzemeltetést vagy adatrögzítést, akkor természetesen a hatóságnak nincs felhatalmazása a szolgáltató egyéb telephelyein történı ellenırzéshez. De úgyszintén nem jelenti ez a jogosítvány a hatóságok számára a vizsgált társaságnak más (nem az adott pénzügyi szervezettel összefüggı) megrendelıkkel kapcsolatos információihoz történı hozzáférést sem. Az államigazgatási eljárások szabályai szerint egy felügyeleti vizsgálat csak az eljárásban meghatározott cégekre vonatkozhat, és külön felhatalmazás kell (másik államigazgatási eljárás), ha további pénzügyi szervezeteket is érintı vizsgálatot akarnának végezni. A „hitelintézet részérıl történı azonnali felmondási lehetıségét a szerzıdés ismételt vagy súlyos megsértése esetére”, illetve „a kiszervezett tevékenységet végzı részérıl a bennfentes kereskedelem elkerülése érdekében alkalmazandó szabályok” betartása a normál piaci viszonylatban furcsának tőnhet, azonban ez a hitelintézeti szerzıdések jellemzıinek tekintendık, és mint ilyet el kell fogadnia annak a szolgáltatónak, aki a hitelintézeti szektorban külsı szolgáltatóként szeretne dolgozni. Ennek oka egyrészt a hitelintézeti szektornak a magyar gazdaságban elfoglalt elıkelı helyével és kiemelten fontos szerepével magyarázható. Fontos elıírás a kiszervezések esetére, a rendkívüli helyzetekre való felkészülés is. • Hpt. 13/A. §. (5) A hitelintézetnek rendelkeznie kell a kiszervezésre vonatkozó szerzıdésben foglaltaktól történı eltérı tevékenységvégzésbıl eredı, rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel. A hitelintézeteknek nyújtott szolgáltatások fontosságát figyelembe véve ez teljesen természetes. Arra vonatkozóan, hogy milyen feltételeket kell teljesítenie a rendkívüli helyzet kezelési tervnek a 4.9. fejezetben mutatunk rá. Annak érdekében, hogy a 13/A. §. (2) pontjában elıírt kötelezettségek teljesüljenek, elengedhetetlenül fontos, hogy a külsı szolgáltató a megbízó hitelintézet kontrollkörnyezetének megfelelıen mőködjön, azaz a belsı ellenırzés kontrollja alól a kiszervezett tevékenységek se kerüljenek ki. Errıl gondoskodik a hatodik bekezdésben foglalt elıírás. • Hpt. 13/A. §. (6) A hitelintézet belsı ellenırzése köteles a kiszervezett tevékenység szerzıdésben foglaltaknak megfelelı végzését legalább évente megvizsgálni. Úgyszintén természetes, hogy a kontrollok mőködtetése eredményeképpen, a felelısség is számon kérhetı legyen. Szintén ésszerő elıírás, ha az igénybevett szolgáltatás nem megfelelı és törvénybe ütközik, a felügyeleti hatóság errıl Tel: +361/7899323 PR-AUDIT Kft.

22


tájékoztatást kapjon, ami az ügyfelek védelme és az adott pénzpiaci szektor megfelelı felügyelése miatt szükséges • Hpt. 13/A. §. (7) A hitelintézet felelıs azért, hogy a kiszervezett tevékenységet végzı a tevékenységet a jogszabályi elıírások betartásával és a tıle elvárható gondossággal végezze. A hitelintézetnek haladéktalanul jelentenie kell a Felügyelet részére, amennyiben a kiszervezett tevékenység végzése jogszabályba vagy a szerzıdésbe ütközik. Ha egy hitelintézet jelzi a felügyeleti hatóságnak, hogy a szolgáltatója törvénytelenül mőködik, akkor a Felügyeletnek kell, hogy legyen törvényben rögzített jogköre az intézkedéshez. Ezt biztosítja a nyolcadik bekezdés. • Hpt. 13/A. §. (8) A Felügyelet a hitelintézet (7) bekezdésben foglalt bejelentése vagy a helyszíni ellenırzése során feltárt hiányosságok alapján a tevékenység kiszervezését megtilthatja. Abban az esetben, ha egy szolgáltató több hitelintézetnek szolgáltat, akkor a szolgáltatónak úgy kell kezelnie a hitelintézetek által rábízott adatokat (információt), hogy azok ne kerülhessenek olyan helyzetbe, amikor nem az adott hitelintézet adatát látja (módosítja) egy másik hitelintézet. • Hpt. 13/A. §. (9) Az a kiszervezett tevékenységet végzı, amely egyidejőleg több hitelintézet részére végez kiszervezett tevékenységet, köteles az így tudomására jutott tényt, adatot, információt elkülönítetten – az adatvédelmi elıírások betartásával – kezelni. Ez az elıírás tulajdonképpen az (1) pont egyfajta megerısítése, amely újból felhívja a figyelmét a szolgáltatóknak az adatvédelmi elıírások betartásának kötelezettségére.8 Fontos és lényeges elıírás a hitelintézetek és szolgáltatóik számára a következı tizedik bekezdés. • Hpt. 13/A. §. (10) A kiszervezett tevékenységet végzı közremőködıt abban az esetben alkalmazhat, ha a közöttük létrejövı szerzıdés - melyet a hitelintézetnek jóvá kell hagynia - biztosítja a kiszervezett tevékenységnek a Felügyelet, az MNB és a hitelintézet belsı ellenırzése, könyvvizsgálója által történı ellenırzését. Az általunk végzett auditok tapasztalata alapján ezt a bekezdést gyakran figyelmen kívül hagyják a szolgáltatók és sokszor a kiszervezési elıírások mellızésével, alvállalkozóval (teljesítési segéddel) oldják meg a rájuk bízott feladatokat. Amennyiben a hitelintézet is tisztában van azzal a ténnyel, hogy a szolgáltató nem csak a saját alkalmazottaival teljesíti szerzıdéses kötelezettségét, hanem alvállalkozót vesz igénybe, a hitelintézet gyengíti a jogszabály által elıírt kontrollokat és nem utolsó sorban, nem tartja be a jogszabályi elıírásokat. 8

PSZAF észrevétel: a 13/A.§ (9) bekezdése vonatkozásában közli, hogy „ez az elıírás tulajdonképpen az (1) pont egyfajta megerısítése, amely újból felhívja a figyelmét a 'szolgáltatóknak az adatvédelmi elıírások betartásának kötelezettségére.” – ez a szakasz valójában nem pusztán a 13/A.§ (1) bekezdés megerısítése (nem világos mire is utal az ’(1) pont’ kifejezés) hanem arra kötelezi a több hitelintézet részére kiszervezett tevékenységet folytatót, hogy a tudomására jutott információt – az adatvédelmi elıírások betartásával – elkülönítetten kezelje.


23


Az elıírás tulajdonképpen azt fogalmazza meg, hogy nem lehet a kiszervezett tevékenységet alvállalkozóval végeztetni, csak ha az alvállalkozó is a kiszervezést végzı fıvállalkozóval kötött szerzıdéshez hasonló (kiszervezési) megállapodást köt a hitelintézettel. Emellett figyelembe kell venni azt is, hogy a pénzintézeti adatokhoz történı hozzáférés esetén az alvállalkozó tevékenysége „harmadik személyként” nem engedélyezett, csak akkor, ha kiszervezésként a pénzintézettel köt szerzıdést, a pénzintézet bejelenti a Felügyeletnek és megjelenítik az üzletszabályzatban.9 Mint minden törvény, így a Hpt. is rendelkezik az összeférhetetlenségi szabályokról. Ez nemcsak a pénzügyi szektorban, de az üzleti életben is természetes. A bekezdésben nincs olyan rész, amely félreértésre adhat okot, vagy külön magyarázatot igényel, egyszerően be kell tartani kiszervezés esetén. • Hpt. 13/A. §. (11) A hitelintézet vezetı tisztségviselıje vagy annak közeli hozzátartozója nem állhat tulajdonosi viszonyban a kiszervezett tevékenységet végzıvel, illetve a hitelintézet vezetı tisztségviselıje, közeli hozzátartozója a kiszervezett tevékenység végzésével nem bízható meg. Mivel a hitelintézet által kezelt ügyféladatok az ügyfelek tulajdonát képezi, így az ügyfeleket olyan helyzetbe kell hoznia az adatkezelınek (hitelintézet), hogy az adataikról rendelkezni tudjanak. Egy olyan szervezetnél, ahol több ezer, vagy több millió ügyfél adatát kezelik, az ügyfelek egyenkénti tájékoztatása szinte lehetetlen. A törvény az ügyfelek tájékoztatási kötelezettségének egy viszonylag költséghatékony módját írja elı úgy, hogy a kiszervezés esetén az információt az üzletszabályzatban kell megjeleníteni. • Hpt. 13/A. §. (12) A hitelintézet a kiszervezett tevékenységek körét, és a kiszervezett tevékenység végzıjét az üzletszabályzatban köteles feltüntetni. Ez is egy fontos pontja annak a megállapításunknak miszerint a kiszervezési feltételek teljesítése egy lehetıség a jogszabályok szerinti adatkezelésre. Pénzügyi vállalkozások (lásd: pénzügyi intézmény, de nem hitelintézet Hpt. 4-6. §okban rögzített definíciókat) esetén a törvény a kiszervezés definíciójától (Hpt. 2. számú melléklet, III. Egyéb meghatározások 41. pont) függetlenül egyszerően és érthetıen fogalmaz. • Hpt. 13/A. §. (13) Pénzügyi vállalkozás a Felügyelethez történı bejelentés nélkül szervezheti ki ügyviteli tevékenységét, ha azonban a kiszervezni kívánt ügyviteli tevékenység banktitkot is érint, akkor az (1)-(12) bekezdésben foglaltakat megfelelıen alkalmazni kell. Ez a bekezdés megerısíti azon véleményünket, hogy azokban az esetekben, ahol a szolgáltató banktitokhoz férhet hozzá, kiszervezésként kell kezelni. 9

PSZÁF észrevétel: A tanulmányban többször felmerül a közremőködık alkalmazásának szabálya. A pályázat többször, több helyen hangsúlyozza, hogy az alvállalkozónak is a kiszervezést végzı fıvállalkozóval kötött szerzıdéshez hasonló megállapodást kell kötnie a pénzügyi szervezettel. Ezzel szemben a Hpt. 13/A.§ (10) bekezdése (ill. az Mpt. 77/B.§ (9) bekezdés, Öpt. 40/D.§ (9) bekezdés) azt az elıírást tartalmazza, hogy a kiszervezett tevékenységet végzı csak abban az esetben alkalmazhat közremőködıt, ha a közöttük (vagyis a fı és alvállalkozó közötti) létrejövı szerzıdés biztosítja a Felügyelet, MNB…stb által történı ellenırzést. Ezt a szerzıdést a hitelintézetnek/pénztárnak jóvá kell hagynia. Ha a közremőködı egy adott feladat ellátására a hitelintézettel/pénztárral önállóan köt szerzıdést a kiszervezésre vonatkozó szabályok alkalmazásával, akkor ı nem közremőködınek, hanem kiszervezést folytatónak minısül.


24


A fentiek alapján tehát a szolgáltatók jogszabályok szerinti feladatvégzésének legegyszerőbb és legjobb módja, ha azt kiszervezés keretében végzik. A kiszervezett tevékenységek informatika biztonsági kérdéseit a 4. fejezetben ismertetjük.

3.5.

A befektetési szolgáltatókra vonatkozó elıírások.

A befektetési szolgáltatókra korábban a Tıkepiaci törvény vonatkozott (Tpt.), amelyben a kiszervezésre vonatkozó elıírások szinte szó szerint megegyeztek a Hpt-ben foglaltakkal. Azonban befektetési szolgáltatók európai szinten egységes kezelésére az EU által kiadott irányelveknek megfelelıen, az EU-s elıírások átvételekor, 2007-ben új EU konform törvényt alkotott az országgyőlés és ebben a kiszervezéssel kapcsolatos részeket is EU konform módon szabályozta. Abban az esetben, ha egy pénzügyi szervezet (pl.: univerzális bank), amely hitelintézeti tevékenységet és befektetési szolgáltatási tevékenységet is végez, akkor számára kötelezı mind a Hpt. mind a Bszt. betartása. A két törvény alapvetıen nem mond ellent egymásnak, de mindenképpen probléma, hogy adott esetben mindkét törvényt be kell tartani, és az elıírások nem egyformák. A Bszt-ben a kiszervezésre vonatkozó szabályokat a 79. §-tól a 81. §-ig terjedı szakaszok foglalják össze. Ezek az elıírások nem csak a befektetési szolgáltatókra, hanem a Bszt. 92. §-ának megfelelıen az árutızsdei szolgáltatókra is vonatkoznak. • Bszt. 92. § (1) Az árutızsdei szolgáltató - figyelemmel a (2) bekezdésben foglaltakra - a 9. § (1) bekezdésében meghatározott tevékenységét vagy bármely e törvény hatálya alá nem tartozó tevékenységét vagy szolgáltatását kiszervezheti. • Bszt. 92. § (2) Az árutızsdei szolgáltató 9. § (1) bekezdésében meghatározott tevékenységével kapcsolatos kiszervezésére a 79-81. §-ban foglalt rendelkezéseket kell alkalmazni. A 79. §. (1) bekezdése határozza meg a kiszervezhetı tevékenységeket: • Bszt. 79. § (1) A befektetési vállalkozás - a (2)-(5) bekezdésekben, valamint a 80. és 81. §-ban foglaltakra figyelemmel - befektetési szolgáltatási tevékenységét, kiegészítı szolgáltatását vagy bármely e törvény hatálya alá nem tartozó tevékenységét vagy szolgáltatását kiszervezheti. A definíciót annyiban szigorítja tovább, hogy az ügyfél és a pénzügyi szervezet közötti változást nem enged meg, megtiltja a hatáskörátadást, és nem engedi, hogy a kiszervezés kapcsán a befektetési szolgáltatókra vonatkozó követelmények megváltozzanak. Azaz a kiszervezést végzınek is teljesítenie kell a befektetési szolgáltatóra vonatkozó törvényi elıírásokat: • Bszt. 79. § (2) A kiszervezés a) nem eredményezheti a befektetési vállalkozás vezetı állású személyei hatáskörének átadását, b) nem eredményezhet változást az ügyfél és a befektetési vállalkozás közötti szerzıdéses viszonyban és nem befolyásolhatja a befektetési vállalkozás ügyfél felé fennálló, e törvényben foglalt kötelezettségeinek teljesítését, és


25


c) nem eredményezhet változást az e törvény szerinti, tevékenység végzésére jogosító engedély megszerzéséhez szükséges feltételek teljesítésében. A kiszervezésként való feladatvégzésnek azonban a törvény szerint számos feltétele van, de a jogalkotó azzal, hogy csak a kritikus funkciók kiszervezésére vonatkozóan írt elı a szolgáltatóra vonatkozó kötelezı feltételeket, jelezte, hogy az olyan nem kritikus, de végrehajtandó tevékenységet, mint pl. az irodatakarítás, nem kívánja szabályozni (a kritikus funkciókat késıbb pontosítja a törvény).10 • Bszt. 79. § (3) Ha a befektetési vállalkozás befektetési szolgáltatási tevékenységét, kiegészítı szolgáltatását vagy kritikus funkcióját szervezi ki, a kiszervezésrıl szóló megállapodás megkötését megelızıen meggyızıdik arról, hogy a leendı szerzıdı fél a) rendelkezik-e a kiszervezésrıl szóló megállapodás tárgyát képezı tevékenység vagy funkció ellátásához szükséges valamennyi hatósági engedéllyel, illetve a szükséges hatósági bejelentési kötelezettségének eleget tett-e, b) szervezeti megoldása, mőködési és eljárási szabályai alkalmasak-e a kiszervezésrıl szóló megállapodás tárgyát képezı tevékenység vagy funkció hatékony és eredményes ellátására, a hatékony ellenırzésre és a kockázatok kezelésére, c) szervezeti megoldása, mőködési és eljárási szabályai alkalmasak-e a kiszervezésrıl szóló megállapodás tárgyát képezı tevékenység vagy funkció ellátása során felhasznált vagy keletkezı, a befektetési vállalkozásra vagy annak ügyfeleire, leendı szerzıdı feleire vonatkozó adatok jogszabályszerő kezelésére és védelmére, 10

PSZÁF észrevétel: Félreérthetı azon megállapítás, hogy: „A kiszervezésként való feladatvégzésnek azonban a törvény szerint számos feltétele van, de a jogalkotó azzal, hogy csak a kritikus funkciók kiszervezésére vonatkozóan írt elı a szolgáltatóra vonatkozó kötelezı feltételeket, jelezte, hogy az olyan nem kritikus, de végrehajtandó tevékenységet, mint pl. az irodatakarítás, nem kívánja szabályozni (a kritikus funkciókat késıbb pontosítja a törvény)”. A Felügyelet – a honlapon is megjelentetett állásfoglalásában közzétett – véleménye szerint „a jogalkotó a Bszt.-ben a kiszervezés fogalmi körét (tárgyi hatályát) a korábbi szabályozáshoz képest a lehetı legtágabban alkotta meg. Így abba beleértendı a befektetési szolgáltatási tevékenység és kiegészítı szolgáltatás, valamint a Bszt. 79. §-ának (6) bekezdésben definiált kritikus funkció kiszervezésén túlmenıen a (7) bekezdésben részletezett, kritikusnak nem minısülı, a (3) bekezdés hatálya alól kivett funkciók mellett bármely, a Bszt. hatálya alá nem tartozó tevékenység vagy szolgáltatás kiszervezése is. Ez utóbbi esetben a szolgáltatónak nem kell alkalmaznia a 79. § (3)-(4) bekezdésének szigorú elıírásait, egyebekben viszont meg kell felelnie a kiszervezésre vonatkozó elıírásoknak. Mindezekre figyelemmel a Felügyelet álláspontja szerint megállapítható, hogy nemcsak a az állásfoglalás kérésben felvetett, hanem valamennyi egyéb tevékenység, szolgáltatás, funkció is kiszervezhetı, vagyis amennyiben azokat a szolgáltató nem a saját alkalmazottaival látja el, hanem harmadik féltıl veszi igénybe, a tevékenység végzés kiszervezésnek minısül.” (Az állásfoglalás teljes szövege megtalálható a Felügyelet honlapján az állásfoglalások között.) A pályázat több helyen is hangsúlyozza és pozitívan értékeli a Bszt. kiszervezésre vonatkozó rendelkezéseit, azonban – ahogy ezt az imént említett felügyeleti állásfoglalás is mutatja – a kiszervezési határok Bszt.-beli kitágítása azt eredményezi, hogy a befektetési vállalkozások vonatkozásában bármilyen tevékenység harmadik személy által történı végzése kiszervezésnek tekintendı, még azon tevékenységek is, amelyeknek a befektetési vállalkozás mőködése szempontjából nincs jelentısége, ilyen pl. az irodatakarítás is. /A Bszt. ezen pontja nehezen alkalmazható és módosítást igényel./


26


d) rendelkezik-e mindazokkal a szervezeti megoldásokkal, mőködési és eljárási szabályokkal, valamint személyi és tárgyi feltételekkel, amelyek biztosítják, hogy a befektetési vállalkozás számára minden, a felügyeleti hatóság eljárásához szükséges információt és adatot az elvárt formában és határidıben szolgáltasson, és e) rendelkezik-e olyan vészforgatókönyvvel, amely a vészhelyzetek megoldására és a biztonsági eszközök rendszeres felülvizsgálatára vonatkozó szabályokat tartalmazza. Érdemes felfigyelni arra, hogy a Bszt-ben szereplı elıírások szerint már a szolgáltatónak is rendelkeznie kell egy szabályzattal a vészhelyzetek megoldására és a biztonsági eszközök rendszeres felülvizsgálatára (ilyen Hpt. elıírásaiban még nem szerepel). Külön kihangsúlyozza a jogszabály, hogy a Bszt. 79. § (3) szerinti feltételeket teljesíteni kell. Figyelni kell arra, hogy itt a jogalkotó a befektetési szolgáltatás felelısségét erısíti meg, tehát nem köthet megállapodást azzal, aki nem teljesíti a korábbi feltételeket: • Bszt. 79. § (4) A befektetési vállalkozás kritikus funkció kiszervezésérıl szóló megállapodást csak azzal köthet, aki megfelel a (3) bekezdésben foglaltaknak. Amennyiben a befektetési szolgáltató nem hazai vállalkozást szeretne igénybe venni a kiszervezett tevékenység ellátására a jogszabály errıl is rendelkezik. Fontos felfigyelni arra, hogy a felügyelési jogkör biztosítására külön rendelkezés született, amely megkönnyíti a Felügyeleti hatóság munkáját és pontosítja a betartandó feltételeket: • Bszt. 79. § (5) „A befektetési vállalkozás az (1) bekezdésben meghatározott tevékenysége vagy szolgáltatása kiszervezésére harmadik országban székhellyel rendelkezı személlyel vagy szervezettel akkor köthet megállapodást, ha a leendı szerzıdı megfelel a (3) bekezdésben foglaltaknak, valamint 11 a) a székhelye szerinti állam e tevékenység végzésére irányadó jogszabályainak és a hatáskörrel rendelkezı felügyeleti hatóság felügyelete alatt áll, és b) a kiszervezett tevékenységére nézve hatáskörrel rendelkezı felügyeleti hatóság és a Felügyelet között együttmőködési megállapodás van hatályban. A törvény definiálja a kritikus funkció fogalmát és felsorolja a kivételeket: • Bszt. 79. § (6) A (3) és (4) bekezdés alkalmazásában kritikus funkciónak minısül minden olyan funkció, amelynek végrehajtásában tapasztalható hiányosság vagy eltérés kétségessé teszi a befektetési vállalkozás e törvényben elıírt kötelezettségeinek teljesítését, jövedelmezıségét vagy a befektetési szolgáltatási tevékenység végzésének folyamatosságát. • Bszt. 79. § (7) Nem minısül a (3) és (4) bekezdés alkalmazásában kritikus funkciónak 11

PSZÁF észrevétel: A Bszt. 79.§ (5) bekezdése nem általában a ’nem hazai vállalkozásokkal’ kötendı megállapodásokra nézve fogalmaz meg rendelkezést, hanem a „harmadik országban székhellyel rendelkezı személlyel vagy szervezettel” kötendı megállapodásokra.


27


a) b) c) d)

a jogi tanácsadás, az alkalmazottak képzése és továbbképzése, a számlázás, a befektetési vállalkozás helyiségei és alkalmazottai biztonságának megteremtését célzó tevékenység, e) a szabványosított piaci információ szolgáltatása, f) az árindikáció szolgáltatása.

Hasonlóan a Hpt-hez ez a jogszabály is elıírja a kiszervezési szerzıdéssel kapcsolatos feltételeket (minimum feltételek): • Bszt. 80. § (1) A kiszervezésrıl szóló megállapodást a szerzıdı felek írásba foglalják. • Bszt. 80. § (2) A kiszervezésrıl szóló megállapodásban a felek rendelkeznek a) a szerzıdés idıtartamáról, b) a szerzıdı felek jogairól és kötelezettségeirıl, c) a kiszervezésre kerülı tevékenységrıl. • Bszt. 80. § (3) A kiszervezésrıl szóló megállapodásban a (2) bekezdés b) pontjában foglalt jogok és kötelezettségek között a felek rendelkeznek legalább a) a kiszervezett tevékenység végzésének a 79. § (3) bekezdésében foglalt feltételek szerinti értékelésének rendszerességérıl és módjáról, b) a 81. § szerinti értékelés során feltárt hiányosságok rendezésének szabályairól, c) a 79. § (3) bekezdésének d) pontjában meghatározott felügyeleti hatóság ellenırzési eljárásához a befektetési vállalkozás számára szükséges információ- és adatszolgáltatás rendjérıl és módjáról, d) a kiszervezett tevékenységet végzı személy vagy szervezet felügyeleti hatósággal történı együttmőködésének kötelezettségérıl, és e) a kiszervezett tevékenység végzésének a 79. § (3) bekezdésében foglalt feltételeiben bekövetkezett változás befektetési vállalkozás felé történı jelentésének módjáról. A Hpt-hez hasonlóan elıírják a bejelentési kötelezettséget is: • Bszt. 80. § (4) A befektetési vállalkozás az (1) bekezdés szerinti, kiszervezésrıl szóló megállapodást a megkötését követı három napon belül megküldi a Felügyeletnek. Jelentıs fejlıdés a jogszabályban a Hpt-hez képest, hogy a szolgáltatás minıségi feltételeinek teljesülését folyamatosan értékelni kell, a Hpt-ben ilyen nincs: • Bszt. 81. § (1) A befektetési vállalkozás a kiszervezésrıl szóló megállapodás tárgyát képezı tevékenysége vagy szolgáltatása megfelelı színvonalú ellátása érdekében folyamatosan értékeli a 79. § (3) bekezdésében foglaltak teljesülését. Emellett ha a feltételek nem teljesülnek, akkor annak következményei vannak: • Bszt. 81. § (2) Ha a befektetési vállalkozás a kiszervezésrıl szóló megállapodásban foglaltak megsértését állapítja meg, amelynek következménye, hogy a 79. § (3) bekezdésében foglaltak nem teljesülnek, a) felszólítja a kiszervezést végzıt a szerzıdésszerő teljesítésre, vagy Tel: +361/7899323 PR-AUDIT Kft.

28


b) ha a szerzıdésszerő állapot nem állítható helyre, felmondja a kiszervezésrıl szóló megállapodást. A szolgáltatás folyamatosságának biztosításáról is rendelkezik a törvény: • Bszt. 81. § (3) A megállapodás (2) bekezdés b) pontjában meghatározott felmondása nem eredményezheti a befektetési vállalkozás befektetési szolgáltatási tevékenységének vagy a kiegészítı szolgáltatásának szünetelését vagy minıségének csökkenését. Mint minden törvény, így a Bszt. is rendelkezik az összeférhetetlenségi szabályokról. A befektetési szolgáltatóra vonatkozó, a Bszt. 108. §. rögzített összeférhetetlenségi szabályokat kiterjeszti a kiszervezést végzı szolgáltatóra is: • Bszt. 108. §. (5) Az (1)-(4) és (6) bekezdésben foglaltakat alkalmazni kell a) az e törvény szerint a befektetési vállalkozással kötött kiszervezésre vonatkozó megállapodás alapján a kiszervezést végzıre és alkalmazottaira, és b) a befektetési vállalkozással kötött közvetítıi tevékenységre vonatkozó megállapodás alapján közvetítıi tevékenységet végzıre, vezetı állású személyeire és alkalmazottaira. A Bszt. titoktartási fejezetei kötelezıvé teszik az értékpapír titok megırzésének szigorú betartását, amely alól csak a külsı szolgáltatók esetében a 120. §. i) pontja ad felmentést • Bszt. 120. § Nem jelenti az értékpapírtitok sérelmét i) a kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végzı részére. A törvényi elıírások nem teljesítésének pedig – a Hpt-hez hasonlóan itt is – következményei lehetnek: • Bszt. 164. § (1) A Felügyelet az e törvényben foglalt kötelezettségek sérelme esetén alkalmazható intézkedése során q) a befektetési szolgáltatási tevékenység, kiegészítı szolgáltatás és az árutızsdei szolgáltatás kiszervezését megtilthatja, A Bszt. 79-81. §-ának szabályai megfelelnek egyrészt a MiFID elıírásainak, másrészt összhangban van a CEBS (Committee of Banking Supervisors) hitelintézetek kiszervezésére vonatkozó 2006. december 14. napján közzétett ajánlásával (Guidelines on outsourcing. Ugyanis a MiFID elıírás kidolgozása során átvették a CEBS ajánlásában foglaltakat. Megjegyezzük, hogy a Hpt. kiszervezésre vonatkozó szabályai még nincsenek még összhangban sem a Bszt., sem a MiFID rendelkezésekkel sem a CEBS ajánlásaival.

3.6.

A pénztárakra vonatkozó elıírások.

A pénztárakra vonatkozó elıírásokat alapvetıen az Mnypt. [7] megfelelı jogszabályi helyeinek felsorolásával tekintjük át, de az Öpt. [8] hasonló paragrafusait is zárójelben behivatkoztuk. A két jogszabály ugyanis a külsı szolgáltatók kezelését (kihelyezés, illetve kiszervezés) tekintve lényegileg egyezı elıírásokat tartalmaz. Tel: +361/7899323 PR-AUDIT Kft.

29


A külsı szolgáltatók által végezhetı (kihelyezhetı) tevékenységek alól azonban vannak kivételek (pl. vagyonkezelés): • Mnypt. 67/B. § (5) Az ingatlanok bérbeadása, forgalmazása és fejlesztése (a továbbiakban: ingatlanhasznosítás) a pénztári befektetési tevékenység részét képezi. A befektetési üzletmenet kihelyezése az ingatlanok tulajdonjogával és hasznosításával kapcsolatos döntések meghozatalára nem vonatkozik, azt a pénztár kizárólag saját maga végezheti. A törvény feltételeket támaszt a külsı szolgáltatókkal szemben: • Mnypt. 73. §. o (1) „A pénztárak adminisztrációs és nyilvántartási, biztosításmatematikai feladataik teljesítésével, illetve a vagyonkezelés lebonyolításával e tevékenységgel üzletszerően foglalkozó és arra feljogosított, valamint a Felügyeletnek bejelentett szervezeteket bízhatnak meg. Az adminisztrációs és nyilvántartási, biztosításmatematikai feladatok ellátását egyetlen szervezet is végezheti. o (2) A vagyonkezelés ellátásával nem bízható meg az adminisztrációs és nyilvántartási, illetve a biztosításmatematikai feladatok elvégzésével megbízott szervezet. o (3) Az (1) bekezdésben meghatározott szervezet a pénztárakra vonatkozó gazdálkodási, számviteli, biztosításmatematikai és befektetési elıírások szerint végzi tevékenységét, és - a vagyonkezelı kivételével - a pénztár nevében és érdekében jár el. Ezek a feltételek hasonlóak (de nem azonosak) az Öpt-ben is: • Öpt. 36. § (6) A pénztárak gazdálkodásuk nyilvántartását, illetve befektetési üzletmenetüket e tevékenységgel üzletszerően foglalkozó szervezethez (szolgáltatóhoz) kihelyezhetik. A szolgáltatóval kötött szerzıdésrıl a Felügyeletet 15 napon belül tájékoztatni kell. A Felügyelet a szerzıdésekkel szemben kifogást emelhet, ha annak tartalma sérti a nyilvántartásra, illetve a befektetésekre vonatkozó jogszabályi elıírásokat. A szolgáltató szervezeteket a Felügyelet nyilvántartásba veszi. Valamely pénztári tevékenység szolgáltatóhoz történı kihelyezése, a kihelyezési szerzıdés módosítása, vagy a kihelyezés megszüntetése esetén arról a pénztártagot tájékoztatni kell. Látható, hogy csak az adott feladatra szakosodott cégek végezhetnek szolgáltatást a pénztáraknak és feladataikat csak a felügyeletnek történt bejelentés után kezdhetik meg! Egyes szolgáltatásokra vonatkozóan a törvény minıségi elıírásokat tartalmaz az ügyfelek pénzének biztonsága és a felügyelés megvalósíthatósága érdekében: • Öpt. 38. § (1) A befektetési üzletmenet kihelyezése esetén a pénztár köteles gondoskodni arról, hogy a befektetési elıírások ellenırzéséhez szükséges információk folyamatosan a Felügyelet rendelkezésére álljanak.

A külsı szolgáltatók mőködésérıl az ügyfeleket (pénztártagok) tájékoztatni kell, amely az Mnypt-ben is tételesen szerepel:


30


•

Mny.tv 75. § (3) Valamely pénztári tevékenység szolgáltatóhoz történı kihelyezése, a kihelyezési szerzıdés módosítása vagy a kihelyezés megszüntetése esetén arról a pénztártagot tájékoztatni kell.

A kiszervezésre vonatkozó elıírások láthatóan a Hpt-ben megismert jogszabályi struktúrában kerültek rögzítésre: • Mny.tv. 77/B. § (1) (illetve Öpt. 40/D. § (1)) A pénztár a tevékenységéhez kapcsolódó, illetve jogszabály által végezni rendelt olyan tevékenységét, amelynek során adatkezelés vagy adatfeldolgozás valósul meg, kiszervezheti a 73. § (1) bekezdésében foglaltaknak megfelelıen. A kiszervezett tevékenységet végzı a 79. § (1) bekezdése alapján adatkezelést végezhet. Adatkezelésen és adatfelhasználáson a személyes adaton, illetve pénztártitkot képezı adaton elvégzett, a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló törvényben meghatározott tevékenységeket kell érteni.” Itt is szeretnénk felhívni a figyelmet arra, hogy a jogszabály, ezekben a bekezdésekben, az adatkezelés meghatározására (értelmezésére) az Avtv-ben elıírtakat hivatkozza meg, melynek oka feltehetıen a Mny.tv. által kezelt adatok végsı soron mindig kapcsolatba hozhatók valamely természetes személlyel. Nagyon fontos, hogy a pénztári törvények a szolgáltatóra ugyanazon követelmények betartását írja elı, amely a megbízó pénztárra is vonatkozik: • Mny.tv. 77/B. § (2) (illetve Öpt. 40/D. §. (2)) „ A kiszervezett tevékenységet végzınek - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, amelyeket jogszabály a kiszervezett tevékenységet illetıen a pénztárra vonatkozóan elıír. A kiszervezéses szerzıdések néhány kötelezı elemét is meghatározzák, hasonlóan a Hpt-ben foglaltakra, azonban nincs bennfentes kereskedelemre vonatkozó bekezdés (nem értelmezett a pénztáraknál), plusz elemként bekerült viszont egy elıírás arra vonatkozóan, hogy a kiszervezı és a szolgáltatója közötti átadás-átvétel eljárását szabályozni kell: • Mny.tv. 77/B. § (3), Öpt. 40/D. §. (3) o e) a pénztár és a kiszervezett tevékenységet végzı szervezet közötti adatátadás-átvétel rendjét.” A pénztárakra vonatkozóan is rendelkezik a törvény arról, hogy a kiszervezett szolgáltatásban bekövetkezı rendkívüli helyezetek kezelésérıl tervet kell készíteni (megegyezik a Hpt-ben rögzítettel), azonban itt is megjelenik egy további elıírás, hogy negyedévente teljes adatállomány mentést kell a szolgáltatónak átadni a pénztár részére. Az elıírás jó és hasznos, de nem tartjuk teljesen átgondoltnak: • Mny.tv. 77/B. § (4) illetve Öpt. 40/D. §. (4) A pénztárnak rendelkeznie kell a kiszervezésre vonatkozó szerzıdésben foglaltaktól eltérı tevékenységvégzésbıl eredı, rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel. A nyilvántartást végzı szervezet köteles negyedévente az adatállomány teljes körő mentésének egy példányát a pénztár részére átadni. Információ biztonsági szempontból az elıírás felemás, mert mit ér egy olyan adatbázis, amelyet nem tudunk kezelni, vagy használni, mert a program, ami kezelni Tel: +361/7899323 PR-AUDIT Kft.

31


és értelmezni tudná nem áll rendelkezésre. Vegyük figyelembe, hogy a programok az idı múlásával szerves fejlıdésen mennek keresztül, így a mai rendelkezésre álló program nem biztos, hogy egyáltalán kezelni tudja a korábbi adatállományokat (pl. megváltozott az adatszerkezet, így a régi nem azonos a maival, és a mai program hibával leáll) A kiszervezett tevékenységek ellenırzésére vonatkozóan is hasonló az elıírás a Hpt-ben foglaltakkal, csak a pénztárak esetében nem a belsı ellenırzésnek, hanem az ellenırzı bizottságnak a feladatkörébe utalják az évente elvégzendı ellenırzést (Mny.tv. 77/B. § (5), illetve Öpt. 40/D. §. (5). A felelısségre vonatkozó elıírások szinte szó szerint megegyeznek a Hpt-ben foglaltakkal a felelısség nem kiszervezhetı (Mny.tv. 77/B. § (6), illetve Öpt. 40/D. §. (6)). A Felügyeleti intézkedési jogkör ugyanaz, mint a Hpt-ben (Mny.tv. 77/B. § (7) (illetve Öpt. 40/D. §. (7)). A több pénztárnak szolgáltató cégek esetében az adatkezelés és adatok elkülönítésére vonatkozó elıírások szintén megegyeznek a Hpt-ben foglaltakkal „elkülönítetten - az adatvédelmi elıírások betartásával – köteles kezelni” (Mny.tv. 77/B. § (8) illetve Öpt. 40/D. §. (8)). A pénztári törvények a Hpt-hez hasonlóan azt fogalmazzák meg, hogy nem lehet a kiszervezett tevékenységet alvállalkozóval végeztetni, csak ha az alvállalkozó is a kiszervezést végzı fıvállalkozóval kötött szerzıdéshez hasonló (kiszervezési) megállapodást köt a pénztárral. Ez gyakorlatilag egy külön kiszervezési szerzıdés megkötését jelenti (Mny.tv. 77/B. § (9) illetve Öpt. 40/D. §. (9)). A többi szakági jogszabályhoz hasonlóan törvény itt is rögzíti az összeférhetetlenségi szabályokat (Mny.tv. 77/B. § (10) illetve Öpt. 40/D. §. (10)). Az ügyfelek (tagok) folyamatos tájékoztatásáról és értesítésérıl is rendelkeznek, hasonlóan a Hpt-hez, csak a pénztárak esetében nem az üzletszabályzatban kell rögzíteni a kiszervezés tényét, hanem az alapszabályban: • Mny.tv. 77/B. § (11) (illetve Öpt. 40/D. §. (11)) „A pénztár a kiszervezett tevékenységek körét az alapszabályban köteles feltüntetni.” A pénztári törvényekben a pénztártitok fogalma (Mny.tv. 78. § illetve Öpt. 40/A. §) majdnem szó szerint megegyezik: „Pénztártitok minden olyan, a pénztártagról a pénztár vagy a pénztári szolgáltató szervezet rendelkezésére álló, a tevékenysége folytán tudomására jutó tény, információ vagy adat, amely a pénztártag személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira, valamint egyéni számláján nyilvántartott összegre, járulékbefizetéseire és a részére járó nyugdíjszolgáltatásra vonatkozik. A pénztártagok nyilvántartható személyes adatainak körét a törvény 2. számú melléklete tartalmazza. A pénztár üzleti és pénztártitkot kizárólag a pénztári tevékenység folytatásával összefüggésben kezelhet. (4) A pénztár igazgatótanácsának és az ellenırzı bizottságának tagja, a Tel: +361/7899323 PR-AUDIT Kft.

32


pénztár alkalmazottja, ideértve a megbízás alapján foglalkoztatott személyeket, szervezeteket, illetıleg ezek alkalmazottait is, köteles a pénztár mőködésével kapcsolatban tudomására jutott üzleti titkot és pénztártitkot - idıbeli korlátozás nélkül, ezen minısége megszőnését követıen is - megtartani. (5) A (4) bekezdésben meghatározott titoktartási kötelezettség kiterjed arra a személyre és szervezetre is, aki, illetve amely üzleti titoknak vagy pénztártitoknak minısülı információhoz jutott.” A pénztártitok definíciója abból a szempontból érdekes, hogy a Mny.tv. 77/B. § (1) (illetve Öpt. 40/D. § (1)) pontokban definiált kiszervezésnek a törvény szerinti kezelése csak az alábbi, a pénztártitok kezelésének szabálya (Mny.tv. 79. § (1) l) illetve az Öpt. 40/B. § (1) i)) szerint történhet, ugyanis: (1) A pénztártitok és üzleti titok megtartásának kötelezettsége nem áll fenn a feladatkörében eljáró ... a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végzı szolgáltatóval, továbbá a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzıvel.” Tehát ha a pénztár el akarja kerülni, a külsı szolgáltatók váltásakor szinte lehetetlen, minden egyes tagot érintı, teljes bizonyító erejő közokiratban történı jóváhagyás beszerzését, akkor a kiszervezés keretében történı feladatvégzést kell választania. 3.7.

A biztosítókra vonatkozó elıírások.

Amint azt a többi szakági jogszabálynál már említettük (lásd a 2.1. fejezetben leírtakat), a kiszervezés itt is egy rendkívüli lehetıségnek tekinthetı, ha figyelembe vesszük a biztosítási titok kezelésének elıírásait: „153. § Biztosítási titok minden olyan - államtitoknak nem minısülı -, a biztosító, a biztosításközvetítı, a biztosítási szaktanácsadó rendelkezésére álló adat, amely a biztosító, a biztosításközvetítı, a biztosítási szaktanácsadó egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerzıdéseire vonatkozik.” A biztosítási titok kezelésének szabályai jelen esetben is szigorúak: „155. § (1) A biztosítási titok tekintetében, idıbeli korlátozás nélkül - ha törvény másként nem rendelkezik - titoktartási kötelezettség terheli a biztosító, a független biztosításközvetítı, a biztosítási szaktanácsadó tulajdonosait, vezetıit, alkalmazottait és mindazokat, akik ahhoz a biztosítóval kapcsolatos tevékenységük során bármilyen módon hozzájutottak.” valamint „156. § Biztosítási titok csak akkor adható ki harmadik személynek, ha a) a biztosító, a biztosításközvetítı és a biztosítási szaktanácsadó ügyfele vagy annak törvényes képviselıje a kiszolgáltatható biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásban felmentést ad, b) e törvény alapján a titoktartási kötelezettség nem áll fenn.” A fentiek teljesítésének a jogszabály szerinti legegyszerőbb módja tehát, ha azt kiszervezés keretében teszik meg, figyelembe véve a törvény ide vonatkozó szakaszát: „157. § (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn o) a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzıvel”. A biztosítókra vonatkozó jogszabályból is látható, hogy a kiszervezés, a harmadik féllel történı feladatvégzés legegyszerőbb módja, az adat hozzáférés biztosításának jogi lehetısége. Tel: +361/7899323 PR-AUDIT Kft.

33


Az ügymenet kiszervezésének feltételeirıl szóló részeket a Bit. 76-78. §-i ölelik fel, amelynek (1) pontja azonban – a definícióval ellentétben – már bizonyos korlátozásokat tesz: „76. § (1) A biztosító - az adatvédelmi elıírások betartása mellett - az ügymenetének bármely elemét kiszervezheti, kivéve a 6. számú melléklet I. pontjában foglaltakat. A 6. számú melléklet I. pontjában foglalt tilalom nem terjed ki a ki nem szervezhetı feladatok teljesítéséhez szükséges szakértıi szolgáltatások igénybevételére. A termékértékesítés más általi végzése nem minısül az ügymenet kiszervezésének.” A 6. számú melléklet szerint a biztosítói ügymenet kiszervezésében a „biztosító által ki nem szervezhetı feladatok: 1. a biztosító szervezeti kialakításával kapcsolatos feladatok; 2. a kockázat elvállalása; 3. az ügyfélszolgálati tevékenység; 4. a belsı ellenırzési tevékenység; 5. a mérlegelemzés és a szavatoló tıke számítás; 6. a személyzeti ügyekben való döntés; 7. a viszontbiztosítási szerzıdés megkötése.” A 6. számú melléklet folytatása szerint továbbá a „Felügyeletnek bejelentendı kiszervezések: 1. az aktuáriusi feladatok; 2. az elektronikus adatfeldolgozás; 3. a kárrendezés; 4. a vagyonkezelési tevékenység.” A fentiekbıl tehát látható, hogy bizonyos tevékenységeken (szervezet kialakítása, ügyfélszolgálat, belsı ellenırzés) a felelısség (kockázatok vállalása, személyzeti döntések, viszontbiztosítás) nem szervezhetı ki. Ez általánosságban is elmondható a kiszervezésekre: a feladatok kiszervezhetık, de a felelısség nem! Összhangban a nem kiszervezhetı feladatokkal a Bit 76. § (2) pontja a kiszervezés alaptételét fogalmazza meg: „Az ügymenet kiszervezésének feltétele, hogy az irányítási és ellenırzési jog megmaradjon a biztosítónál.” Ez a gyakorlatban tehát azt jelenti, hogy a külsı szolgáltató lényegi kérdésekben nem dönthet, be kell tartania a megbízó irányelveit és szabályozásait illetve rendszeresen be kell számolnia munkájáról a biztosítónak, aki továbbá rendszeres ellenırzéseket kell, hogy végezzen. A kiszervezett tevékenységekrıl a 76. § (3) pontjának megfelelıen tájékoztatni kell a PSZÁF-ot, azaz a hitelintézetekhez hasonlóan a kiszervezéseket be kell jelenteni: „A biztosító a 6. számú melléklet II. pontjában felsorolt tevékenységek kiszervezését köteles a Felügyeletnek a negyedéves adatszolgáltatás keretében bejelenteni. A bejelentésnek tartalmaznia kell a kiszervezés tényét, a kiszervezett tevékenységet végzı nevét és címét, valamint a kiszervezés idıtartamát.” A Bit. 77. § - a hitelintézeti szabályozáshoz hasonlóan – a külsı szolgáltatókra vonatkozóan is szigorú, a megbízó biztosítókkal egyenértékő kötelezettségeket ró: „(1) A kiszervezett tevékenységet a Felügyelet a tevékenységet végzınél ugyanazon módon és eszközökkel vizsgálhatja, mintha a tevékenységet a biztosító végezné. (3) A biztosító felelıs azért, hogy a kiszervezett tevékenységet végzı a tevékenységet a jogszabályi elıírások betartásával és a tıle elvárható gondossággal végezze. Amennyiben a biztosító észleli, hogy a kiszervezett tevékenység végzése jogszabályba vagy a szerzıdésbe ütközik, haladéktalanul köteles felszólítani a kiszervezett tevékenységet végzıt, hogy tevékenységét a jogszabálynak, illetve a szerzıdésnek megfelelıen végezze. Amennyiben a felszólítás ellenére a kiszervezett tevékenységet végzı a tevékenységet továbbra is jogszabálysértı,


34


illetve ismételten vagy súlyosan szerzıdésszegı módon végzi, a biztosító köteles a szerzıdést azonnali hatállyal felmondani.”. A már fentebb említett tételt – miszerint a felelısség nem kiszervezhetı – a törvény kihangsúlyozza: 77. § „(2) A kiszervezett tevékenységgel harmadik személynek okozott bármely kárért a biztosító felel.”. A felelısség kihangsúlyozása egyértelmő mivel a pénzügyi szektor kiegyensúlyozott és biztonságos mőködéséért a PSZÁF felel, amelyre vonatkozóan a 77. § további pontjai utalnak: „(4) Amennyiben a Felügyelet észleli, hogy a biztosító a (3) bekezdésben foglalt kötelezettségének nem tett eleget, a tevékenység kiszervezését megtilthatja. A Bit elıírásain kívül a biztosítóra is vonatkoznak az adatvédelmi elıírások: „(5) Aki egyidejőleg végez kiszervezett tevékenységet több biztosító részére, az köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi elıírások betartásával - kezelni.” Úgyszintén megtalálhatjuk a törvényben az összeférhetetlenségi elıírásokat: „(6) A biztosító nem szervezheti ki a tevékenységet olyan szervezethez, a) amelyben a biztosító vezetı tisztségviselıjének vagy e vezetı tisztségviselı közeli hozzátartozójának tulajdonosi részesedése van, vagy b) amelynek a biztosító vezetı tisztségviselıje vagy e tisztségviselı közeli hozzátartozója vezetı tisztségviselıje. (7) A (6) bekezdésben elıírt korlátozást nem kell alkalmazni, amennyiben a biztosító és a kiszervezett tevékenységet végzı tulajdonosa azonos, vagy a kiszervezett tevékenységet végzı a biztosító tulajdonosa, vagy a kiszervezett tevékenységet végzı a biztosító tulajdonában áll, illetve azonos tulajdonosi csoportba tartoznak.” A kiszervezési szerzıdések minimálisan szükséges kötelezı elemeit is felsorolja a törvény: 78. § (1) „A kiszervezésre vonatkozó szerzıdésnek tartalmaznia kell: a) a kiszervezett tevékenység végzése során a tevékenységet végzı tudomására jutott biztosítási titok megırzésére vonatkozó kötelezettséget, felelısséget és a titok megtartása érdekében teendı intézkedéseket; b) a kiszervezett tevékenységet végzı hozzájárulását a kiszervezett tevékenységnek a biztosító belsı ellenıre, könyvvizsgálója és a Felügyelet által történı ellenırzéséhez; c) a kiszervezett tevékenységet végzı felelısségét a tevékenység megfelelı színvonalon történı végzéséért; d) az elvárt, a tevékenység végzésének minıségére vonatkozó részletes követelményeket; e) a biztosító részérıl történı azonnali hatályú felmondás lehetıségét a kiszervezett tevékenységet végzı által történı jogszabálysértı tevékenység, illetve ismételt vagy súlyos szerzıdésszegés esetén.” A Bit-ben is megtalálható a PSZÁF ellenırzések érdekében történı felhatalmazás: 78. § (2) „Az ügymenet kiszervezési szerzıdésben a biztosító köteles elıírni, hogy bármely típusú felügyeleti ellenırzés esetén a vele szerzıdı fél köteles a felügyeleti ellenırzést végzıknek az ügymenet kiszervezéssel kapcsolatos valamennyi adatot, dokumentumot, információt megadni. Amennyiben a kiszervezett tevékenység keretében a biztosító ügyfeleinek személyes adatát továbbítja a kiszervezett


35


tevékenységet végzıhöz, úgy a szerzıdésben rögzíteni kell az adatfeldolgozás rendjét és az adatvédelem szabályait.” A Bit. ad definíciót az adatfeldolgozásra: 78. § (3) „Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja a kiszervezett tevékenységet végzıhöz, úgy a kiszervezett tevékenységet végzı a biztosító adatfeldolgozójának minısül.” A bejelentési elıírásokat ismertetı jogszabályi résznél ez található: 73. § „(2) A biztosító köteles haladéktalanul bejelenteni a Felügyeletnek, ha észleli, hogy a kiszervezett tevékenység végzése jogszabályba vagy a biztosítottak érdekeit veszélyeztetı módon a kiszervezési szerzıdésbe ütközik.”. A jogszabály felsorolja a szükség esetén teendı felügyeleti intézkedési lehetıségeket is: 195. § (1) „A Felügyelet a biztosító, a biztosításközvetítı, valamint a szaktanácsadó kötelezettségének teljesítése, az ügyfelek érdekeinek megóvása, valamint annak érdekében, hogy a biztosítási, a biztosításközvetítıi, a szaktanácsadói, valamint a képviseleti tevékenység e törvénynek, illetve ezen tevékenységekre vonatkozó más jogszabályoknak és a Felügyelet határozatainak megfeleljen, a következı intézkedéseket hozhatja: …p) a tevékenység kiszervezését megtilthatja,”


36


4. A kiszervezéssel kapcsolatos problémák. A kiszervezés értelmezésével és alkalmazásával kapcsolatban számos nehézség és probléma merül fel. A pénzügyi szervezetek oldaláról elsısorban a törvényi elıírások és szabályok betartása, a hatóságok (pl. felügyelet) oldaláról ezek betartatása. Természetesen tisztában kell lenni a kiszervezés végzésének feltételeivel. A feltételek tisztázása érdekében soroltuk fel a 2. fejezetben az érvényben lévı hazai jogszabályokat. Ezek értelmezésével kapcsolatos problémák egy részét a Kérdıívre adott (016, 020, 021) válaszok is tartalmazzák (5-7. számú mellékletek). Az alábbiakban ezeket fogjuk áttekinteni. 4.1.

A kiszervezés hatóköre

A Kérdıív alapján (lásd az 5. számú mellékletet) a legtöbb probléma a kiszervezés értelmezésével van. Annak eldöntésére egy pénzügyi szervezetnél, hogy mi tekintendı kiszervezésnek – tehát olyan megbízásnak (szerzıdésnek), ahol külön elıírások betartása nélkül lehet mással végrehajtatni a társaságnál szükséges munkákat és mi az, amelyet csak a „szigorú” törvényi szabályok betartásával lehet vállalkozónak kiadni – sokszor nehézségbe ütközik. A leggyakoribb értelmezési problémák: • nem egyértelmő a szabályozás • mi a kiszervezés értelmezése • a kiszervezésnek minısülı tevékenységek köre nem volt világos. A vonatkozó szakági jogszabályokat átnézve (lásd: elızı fejezet), látható, hogy valóban nem egységes a szabályozás. Azonban a leginkább EU konformnak tekinthetı Bszt-beli elıírások a leginkább érthetıek és átfogóan szabályozzák a kérdést. A Bszt. 4.§ (1) bekezdésének 34. pontja szerint a kiszervezés minden olyan megállapodás a befektetési vállalkozás és harmadik személy között, amelynek keretében e harmadik személy olyan tevékenységet végez, amelyet egyébként a befektetési vállalkozás maga végezne. A Bszt. 79.§-ának (1) bekezdése ugyanakkor pontosítja és kettéválasztja a kiszervezhetı tevékenységek körét, amennyiben kimondja, hogy a befektetési vállalkozás a befektetési szolgáltatási tevékenységét, kiegészítı szolgáltatását vagy bármely e törvény hatálya alá nem tartozó tevékenységét szervezheti ki. Tehát megkülönbözteti a törvény hatálya alá tartozó és a törvény hatálya alá nem tartozó tevékenységeket. A kiszervezés, mint az adatkezelés kapcsán az adatokkal kapcsolatban kivételesen tevékenység terjedelménél célszerő ismételten az Avtv. 4/A.§-ának, adatfeldolgozásra vonatkozó rendelkezéseit megvizsgálni, mely legalább a fı gondolatok megértésében nagy segítséget nyújthat. Felelısségek: Az adatfeldolgozó,


37


•

Az adatkezelési mőveletekre vonatkozó utasítások jogszerőségéért az adatkezelı felel, • Az adatfeldolgozó felelıs a birtokában lévı személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért Kötelezettségek: Az adatfeldolgozó, • a tudomására jutott személyes adatokat kizárólag az adatkezelı rendelkezései szerint dolgozhatja fel, • a személyes adatokat az adatkezelı rendelkezései szerint köteles tárolni és megırizni. Tiltások: Az adatfeldolgozó, • más adatfeldolgozót nem vehet igénybe. • az adatkezelést érintı érdemi döntést nem hozhat, • saját céljára adatfeldolgozást nem végezhet, • nem lehet olyan vállalkozás, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. Érdemes megfigyelni, hogy az Európai Bizottság 2006/73/EK irányelve 2. cikkének 6. pontja a kiszervezés fogalmát a következıként határozza meg: • kiszervezésnek minısül bármely olyan megállapodás a befektetési vállalkozás és a szolgáltató között, amelynek alapján a szolgáltató olyan eljárást, szolgáltatást vagy tevékenységet végez, amelyet egyébként a befektetési vállalkozás végezne (ennyiben tehát az összhang biztosított a Bszt-vel), ugyanakkor az irányelv 14. cikke többletszabályokat csak a kritikus funkciók esetében fogalmaz meg). Míg a Hpt. üzleti kritikusság szempontjából nem tesz különbséget, addig a Bszt. a befektetési vállalkozás által egyébként végzendı, de kritikus funkciónak nem minısülı tevékenység kiszervezése esetére is tartalmaz elıírásokat, amennyiben a 80.§ (1)-(2) és (4) bekezdés minden kiszervezésre vonatkozik, míg a 80.§ (3) csak befektetési szolgáltatás/kiegészítı szolgáltatás és kritikus funkció kiszervezésre irányadó. A Bszt. 80.§ (1)-(2) bekezdése nem szőkíti le a kiszervezhetı tevékenységek körét, így az minden egyes kiszervezés esetében alkalmazandó, ugyanakkor a 80.§ (3) bekezdés a)- c) és e) pontjai visszautalnak a 79.§ (3) és 81.§ (1) bekezdésére, amelyek viszont kifejezetten a befektetési szolgáltatás/kiegészítı szolgáltatás és kritikus funkció kiszervezésére vonatkoznak. Információ biztonsági szempontból igazán az a fontos, hogy megvalósul-e a védendı titokhoz (banktitok, értékpapír titok stb.) való hozzáférés, vagy nem, emellett azok a kérdések, hogy kritikus-e az adott üzleti tevékenység, vagy hogy visszaéltek-e az adatokkal nem érdekes (más szempontból természetesen ezek lényeges kérdések). Tehát az információkhoz való hozzáférés lehetıségének szempontjából kell megvizsgálni, hogy adott tevékenységet kiszervezettnek tekintsünk-e vagy sem. Ha a külsı szolgáltatónak, tevékenysége során lehetısége van a banktitkok (értékpapírtitok, biztosítási titok, pénztártitok, stb.) megismerésére, akkor azt érdemes kiszervezésként kezelni12 (bejelentés a PSZÁF-nak, a szerzıdésben a 12

PSZÁF észrevétel: „Tehát az információkhoz való hozzáférés lehetıségének szempontiából kell megvizsgálni, hogy adott tevékenységet kiszervezettnek tekintsünk-e vagy sem. Ha a külsı


38


szükséges feltételekkel való kiegészítés, a belsı ellenır általi rendszeres ellenırzés stb.). A kiszervezés szempontjából nem kezelhetı másként a külföldre történı kiszervezés sem. 13Sokan úgy vélik, hogy ha jó messzire viszik a külsıs tevékenységet, akkor már nem is érdemes kézben tartani, de ebbıl a szempontból a kiszervezésnek ugyanazokkal a feltételekkel kell mőködnie. Véleményünk szerint felügyeleti szempontból sem lehet másként kezelni a külföldre kiszervezett tevékenységeket, mint a hazai szolgáltatásokat (legfeljebb a külföldi társ felügyeletekkel történı elızetes egyeztetést le kell bonyolítani). A Bszt. a befektetési szolgáltatási/kiegészítı szolgáltatási tevékenység illetve a törvény hatálya alá nem tartozó tevékenység harmadik országba történı kiszervezése esetén többek között feltételként szabja, hogy a kiszervezett tevékenységet végzı tevékenységére nézve hatáskörrel rendelkezı felügyeleti hatóság és a Felügyelet között együttmőködési megállapodásnak kell hatályban lennie. A 2006/73/EK irányelv 15. cikke azonban ezt feltételként csak abban az esetben írja elı, ha a befektetési vállalkozás a lakossági ügyfelek részére nyújtott portfoliókezelési szolgáltatást szervezi ki. A Bszt. nem tartalmazza a 2006/73/EK irányelv 15. cikkének (2)-(5) bekezdésében foglaltakat, amelynek átvétele – az EU-s elıírásokhoz való erısebb igazodás végett – esetleg javasolt lehet. 4.2.

Alvállalkozók alkalmazásának lehetısége

Sok esetben felmerül a kérdés, hogy kiszervezett tevékenységet végzı cég a kiszervezett tevékenység végrehajtása során, ahhoz kötıdıen alvállalkozókat alkalmazhat-e. A válasz nem, mivel az alvállalkozókkal kötött szerzıdéseket (a törvényi elıírások szerint pl. Mny.tv. 77/B. § (9) illetve Öpt. 40/D. §. (9), stb.) a megbízó pénzügyi szervezetnek minden esetben alá kell írnia és az alvállalkozóknak a kiszervezésre vonatkozó elıírásokat teljesítenie kell, azaz ez olyan mintha külön szerzıdéseket kötnének. Teljesen felpuhítaná a kiszervezési feltételeket, ha a fıvállalkozóra igen, de az alvállalkozókra már nem vonatkozna a jogszabályi elıírás. A másik fontos szempont, hogy a titkok (banktitok, biztosítási titok, pénztártitok stb.) kiadását, vagy a hozzáférés biztosítását a pénzügyi szervezet számára csak a kiszervezés teszi lehetıvé. Ha a kiszervezett szolgáltató és alvállalkozója (teljesítési segédje) között adattovábbítás zajlik, akkor ebben az esetben szintén titok kiadása (továbbítása) történik, így erre is ugyanaz a szabály vonatkozik, mint az eredeti kiszervezésre, tehát csak a pénzügyi szervezet szervezheti ki.

szolgáltatónak, tevékenysége során lehetısége van a banktitkok (értékpapírtitok, biztosítási titok, pénztártitok, stb.) megismerésére, akkor azt érdemes kiszervezésként kezelni.” Ez így nem pontos, tekintetbe véve, hogy az ágazati jogszabályok egymástól eltérı rendelkezéseket tartalmaznak. 13

PSZÁF észrevétel: ”A kiszervezés szempontjából nem kezelhetı másként a külföldre történı kiszervezés sem.” Ez a mondat kissé félreérthetı, azt a benyomást kelti az olvasóban, mintha a külföldre történı kiszervezés esetén minden esetben ugyanazokat a szabályokat kellene alkalmazni. Ez így nem igaz, hiszen egyrészt a Bszt. harmadik országok vonatkozásában többletkövetelményt is elıír (ezt a tanulmány is említi) másrészt amennyiben személyes adatok átadására is sor kerül, harmadik országok esetén alkalmazni kell az Avtv. 9.§-át is.


39


A kiszervezés szempontjából nem jelenthet kivételt a csekély létszám sem (lásd a válaszokban: „A szabályozás egy nagy szervezeti egységre vonatkozik, cégünknél csak 6 fı dolgozik ezért erre a létszámra kellett adaptálni a szabályokat” stb.), hiszen nehezen lehetne egységesen kezelni a „kis” létszám definiálását. Ha egy 5 fıs cég esetén el lehetne tekinteni a kiszervezési szabályok betartásától, akkor joggal kérdezhetné elıször egy 6 fıs, egy 7 fıs (és így tovább) majd egy 7000 fıs cég is, hogy miért kellene betartania a jogszabályokat. Mindennél egyszerőbb a kérdés megválaszolása, amennyiben a kérdést az adatfeldolgozás szabályainak figyelembe vételével, kívánjuk megválaszolni, mint azt, hasonlóképpen tettük már a korábbiakban. Az Avtv. igen kategorikusan kijelenti, hogy „Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.” (4/A.§ (2) bekezdése) 4.3.

Csoporton belüli feladatok kiszervezése

Felmerült kérdésként, hogy egy vállalatcsoporton belüli tevékenységek központosítása a csoporton belül mindenféle adminisztratív és kontroll tevékenység nélkül megtehetı-e? Erre vonatkozóan azt kell figyelembe venni, hogy jogilag külön társaságokról van-e szó, mert ha igen, akkor a különbözı jogi személyiségek között természetesen szerzıdéses kapcsolatoknak kell fennállni, tehát a csoporton belüli tevékenységeket is a kiszervezési elıírásoknak megfelelıen kell ellátni. Az adatok, információk (titok) átadása szempontjából is lényeges, hogy az adat tulajdonosa (az ügyfél) nem hatalmazta fel a társaságot arra, hogy másnak (legyen az akár ugyanazon vállalatcsoport tagja) átadja az adatait, így az adatok átadása csak a törvényi elıírások betartásával lehetséges, tehát kiszervezés keretében 4.4.

Fejlesztés vs kiszervezés

A külsıs szolgáltatók által végzett tevékenységek között a Kérdıív tanúsága (012) szerint nagyon jelentıs az informatikai fejlesztési tevékenység (lásd a 4. számú mellékletet). Sok esetben felmerült, hogy a fejlesztési tevékenység is kiszervezésnek minısül-e vagy sem. Erre vonatkozóan is elsısorban azt kell figyelembe venni, hogy az adatokhoz való hozzáférés megvalósul-e. Ha igen, akkor elvileg kiszervezésként kellene kezelni az ilyen tevékenységeket, azonban ekkor felmerül annak a problémája, hogy egy alapvetı informatikai ökölszabály sérül-e, nevezetesen, hogy a fejlesztı egyben üzemeltetı is. (Ha a fejlesztı ezzel szemben nem az üzemeltetı, és az üzemeltetı sem maga az adatkezelı, akkor ismételten vissza kell térni azonban arra a kérdésre is, hogy a fejlesztınek, mint adatfeldolgozónak továbbítani kívánt adatok már a „kétszeres adatfeldolgozói” tilalomba ütköznek.) Nagyon fontos lenne a hazai informatikai szakmán belül kihangsúlyozni, hogy a nemzetközi sztenderdek alapvetı tétele az, hogy az összeférhetetlenségi szabályokat be kell tartani, amelyek között elsı helyen áll, hogy a fejlesztı ne üzemeltessen, azaz ne férjen hozzá üzleti adatokhoz. Ez azért lényeges, mert Tel: +361/7899323 PR-AUDIT Kft.

40


általában a fejlesztı az, aki a legjobban ismeri a fejlesztendı rendszert és tudása folytán ı az, aki a leginkább ki tudja használni a szoftverek adta visszaélési lehetıségeket. A fejlesztık esetén alapvetıen kerülendı a feltétlen bizalmi elv érvényesítése („régóta ismerjük, ı biztosan nem fog becsapni minket”, „úgyis ı ért hozzá a legjobban, adjuk neki teljes hozzáférést” stb.). A kontroll funkcióknak ebben az esetben feltétlenül mőködnie kell. A fejlesztések átvétele, tesztelése és üzembe helyezése esetén a változásmenedzseri feladatokat végre kell hajtani úgy, hogy az összeférhetetlenség szabályait betartsuk (erre vonatkozóan lásd a 4.8. fejezet ide vonatkozó részét). Egy fejlesztéshez nem az éles adatállomány másolata kell, hanem generált tesztadatok, vagy személytelenített éles adatok. A fentiek alapján pedig, feltételezve, hogy a megfelelı kontroll funkciók mőködnek, a fejlesztési tevékenységeket nem kell kiszervezésként kezelni, hiszen nem fér hozzá titkot (banktitok, értékpapír titok stb.) jelentı adatokhoz. Ha elkerülhetetlen, hogy a fejlesztı cég végzi a karbantartási feladatokat, akkor pedig külön karbantartási szerzıdést kell kötni (a kiszervezési elıírásoknak megfelelıen), ahol gondoskodni kell a fejlesztési és karbantartási funkciók elkülönítésérıl és az ide vonatkozó kontroll feladatok (dokumentálás, rendszeres ellenırzés, elızetes és dokumentált jóváhagyás stb.) mőködésérıl. Azok a pénzügyi szolgáltatásokat segítı tevékenységek, amelyek az ügyfél adathoz, illetve banktitokhoz történı hozzáféréssel járnak, gyakorlatilag az üzleti tevékenységeket támogató informatikai rendszerek mőködtetését jelentik, azaz fogalmilag az informatikai rendszerek „üzemeltetése” és „karbantartása” témaköröket. A fejlesztés – azaz a pénzügyi szolgáltatás támogatásában résztvevı rendszerek létrehozását, kialakítását, módosítását, változtatását stb. – bár természetesen nélkülözhetetlen a végtermék elkészítésében, nem tekinthetı a pénzügyi tevékenység végzéséhez szükséges tevékenységnek (a Windows, vagy a Linux fejlesztése sem az). Az informatikai biztonsági ökölszabályok és egyben a törvényi elıírások (Hpt. 13/C. § (1) bekezdés, Hpt. 13/C. § (3) bekezdés, Hpt. 13/C. § (5) bekezdés b) pont, Hpt. 13/C. § (6) bekezdés d) pont stb.) betartása érdekében, alapvetı követelmény, hogy a fejlesztı (aki az adott rendszert teljes mértékben ismeri, beleértve a visszaélési lehetıségeket is) ne férjen, hozzá az éles rendszerhez. Ebbıl következıen a külsıs fejlesztı az éles adatok megismerése (azaz a banktitokhoz való hozzáférés) vonatkozásában a jogszabály hatályán kívül esik, a külsı szolgáltató általi fejlesztési tevékenység nem értelmezhetı kiszervezésként, ha ez megtörténik, akkor ezt banktitok sértés szempontjából kell kezelni és értékelni. A pénzügyi szervezetek által használt rendszerekre vonatkozóan néhány alapvetı elvárás jogszabályi szinten is megfogalmazásra került (Hpt. 13/C. § (7) bekezdés, Hpt. 13/C. § (8) bekezdés), amely különbséget tesz „dobozos” (bárki által megvehetı, elterjedten használt, stb.) és egyedi (megrendelésre készített speciális, csak adott intézménynél használt) rendszerek között. Mindkét eset azonos azonban abból a szempontból, hogyha bármilyen, beavatkozást igénylı hibajavításra van szükség, azt csak a jogszabályban is definiált (Hpt. 13/C. § (1) bekezdés, Hpt. 13/C. § (6) bekezdés d) pont, stb.) kontroll környezetben és szabályok között végezhetı. Ha egy adott alkalmazás rendszeres, külsı szakértı általi, közvetlen adatmódosítást Tel: +361/7899323 PR-AUDIT Kft.

41


igénylı beavatkozást igényel, akkor az amellett, hogy biztosan nem felel meg a jogszabályoknak (Hpt. 13/C. § (1) bekezdés, Hpt. 13/C. § (2) bekezdés), biztos, hogy a kiszervezési elıírások hatálya alá esik (a fejlesztı cég egyben karbantartó is, a fejlesztési szerzıdés mellett, külön kiszervezett karbantartási szerzıdést is kell kötni). Rossz megoldásnak tartjuk, ha egy rendszer üzemszerő mőködéséhez rendszeres közvetlen adatmódosításra van szükség. A közvetlen adatmódosításokat csak nagyon erıs kontrollok mellett az üzleti terület dokumentált felkérésére és szigorú ellenırzése mellett képzelhetı el. Ha több év alatt, csak egyetlen alkalommal kerül sor a fejlesztı közvetlen - a banktitokhoz való hozzáférésének lehetıségével együtt járó - közremőködésére (a helyi vagy külsıs üzemeltetık, nem tudják a megadott fejlesztıi útmutatások és leírások alapján megoldani), ezt akkor is a kiszervezési vagy a banktitokra vonatkozó elıírásoknak megfelelıen kell végezni. 4.5.

Tájékoztatás és bejelentés

A legtöbb esetben a kiszervezést végzık szeretnének névtelenségben és felelısségi körön kívül maradni. Ennek érdekében sokszor nagyon egyszerő szolgáltatói szerzıdések készülnek, amelyek nem rendelkeznek a problémák esetén felmerülı problémákról, a kiszervezési tevékenységhez szükséges szakértelem folyamatos biztosításáról, a kiszervezett tevékenységek rendszeres ellenırzésérıl, a nyújtott szolgáltatási szintekrıl és azok nem teljesítésének következményeirıl, stb. A 22/2008 (II.7.) Korm. rendelet 6.§ (1) b) pontja szerint az üzletszabályzat kötelezı tartalmi eleme a kiszervezett tevékenységek köre és a kiszervezett tevékenységet végzık jegyzéke. Természetesnek tekinthetı, hogy az ügyfelek tájékoztatásának legegyszerőbb módja a kiszervezett tevékenységet végzıknek az Üzletszabályzatban történı felsorolása, amely ilyen módon folyamatosan elérhetı az ügyfelek részére. Ez a kérdés részben összefüggésben van a kiszervezés definíciójának és a kiszervezhetı tevékenységek értelmezésével, és mint ilyent feltehetıleg érdemes lenne egységesíteni a vonatkozó szakági jogszabályokban14. Már említettük, hogy a kiszervezett tevékenységekrıl a Felügyeletet tájékoztatni kell, azaz a kiszervezés, bejelentési kötelezettséggel jár a Felügyelet felé. A bejelentés azonban nem jóváhagyást jelent, azaz a Felügyeletnek nem a jóváhagyására van szükség. A nem megfelelı módon végzett tevékenységeket a hatóság egy késıbbi idıpontban (helyszíni vagy más vizsgálati módszerrel), ha az számára nem elfogadható megszüntetheti, de a bejelentéskor azt neki tudomásul kell vennie.15 A kiszervezésként kezelt szerzıdés elnevezése nem kell, hogy a „Kiszervezési

15

A PSZÁF észrevétel: „A nem megfelelı módon végzett tevékenységeket a hatóság egy késıbbi idıpontban (helyszíni vagy más vizsgálati módszerrel), ha az számára nem elfogadható megszüntetheti, de a bejelentéskor azt neki tudomásul kell vennie. „’Megszüntetheti’ helyett ’megtilthatja’ a pontos szóhasználat, hiszen a Felügyelet a szerzıdést nem szüntetheti meg. Továbbá a Felügyelet a bejelentést nem köteles tudomásul venni, hanem amennyiben a bejelentést vagy a szerzıdésben foglaltakat nem találja megfelelınek és a pénzügyi szervezettel folytatott egyeztetése sem vezet eredményre, a Felügyelet egyéb intézkedések megtételét mérlegeli.


42


szerzıdés” elnevezést viselje, ezt a jogszabály nem írja elı, azaz a már megkötött szerzıdéseket csak annyiban kell módosítani, amennyiben azok nem felelnek meg a törvényben elıírt tartalmi elemeknek. A kiszervezés jogszabályokban található értelmezése nem egyezik meg teljes mértékben, a nemzetközi gyakorlatban használt „outsourcing” értelmezéssel. Hangsúlyosnak tekintjük, hogy a külsıs szolgáltató által végzett tevékenység felelıssége nem áthárítható (Hpt. 13/A. § (7) pont). A kiszervezési részben rögzített elıírások nem kerülhetık meg semmilyen (pl. külföldi szolgáltatók gyakorlatára, vagy egyéb szakértıi tevékenységre való stb.) hivatkozással. Ha a külsı szolgáltató nem hajlandó elfogadni a hazai jogszabályok betartását, akkor az nem azzal kell szerzıdni (furcsa lenne, ha egy külföldi szolgáltató úgy szeretne piacot vagy munkát szerezni, hogy nem hajlandó a magyar jogszabályok betartására), hanem olyan vállalkozással, aki vállalja a magyar elıírások betartását. 4.6.

Egyéb szakértı vs kiszervezés

A hitelintézetekre vonatkozó jogszabályok szempontjából az informatikai rendszerek eseti megjavítását végzı szolgáltatók tevékenysége nem tekinthetı a Hpt. 54.§ (1) bekezdés d) illetve a Tpt. 374.§ d) pontjában foglalt egyéb szakértıi tevékenységnek. Megítélésünk szerint a Hpt. illetve Tpt. idézett szakaszában foglalt egyéb szakértınek kizárólag az a személy minısülhet, aki egyes tevékenységek, helyzetek megítélésében mőködik közre, ennélfogva nem vesz részt az adott tevékenység – jelen esetben az informatikai hibaelhárítás – végzésében. Véleményünk szerint az egyéb szakértıi tevékenység gondossági kötelemként értékelhetı, ezért az informatikai rendszerek megjavítását végzı szolgáltatók, minthogy tevékenységük valamely eredmény elérésére, így a hiba kijavítására irányuló eredménykötelemnek minısül, az egyéb szakértı fogalmába nem sorolhatók. A vonatkozó jogszabályokban a bank-, értékpapír-, pénztár- illetve biztosítási titokra vonatkozó paragrafusok, a titok kiadását az ügyfeleknek a „bank titokkört pontosan megjelölve közokiratba vagy teljes bizonyító erejő magánokiratba foglaltan” történı hozzájáruláshoz köti (Hpt. 51. § (1) pont). Mivel ez a legtöbb esetbe nagyon sok ügyfél megkeresését jelenti, illetve a jóváhagyások beszerzése egyáltalán nem garantálható, azaz betarthatatlan feltételt jelentene, ezért az informatikai támogatással együtt járó banktitokhoz történı hozzáférés biztosítása törvényesen kiszervezés keretében történhet (Hpt. 54. § (1) bekezdés j) pont). A kiszervezés elkerülése érdekében (lásd 6. számú melléklet) elıfordulhat a külsı szolgáltatók más jogi kategóriába (ügynök, egyéb szakértı stb.) való besorolásával történı kivételek képzése is. A pénzügyi szervezetek külsıs szolgáltatója azonban, függetlenül a rá vonatkozó megbízástól (szerzıdésben nem rögzített feladata az adatkezelés, adatfeldolgozás vagy adattárolás), ha tevékenysége során lehetısége nyílik az adatok megismerésére (Hpt. 2. sz. melléklet – értelmezı rendelkezések – III. egyéb meghatározások – 41. Kiszervezés), akkor ezt csak a jogszabályi elıírások (többek között a Hpt. 51. §, Hpt. 13/A. §, stb.) betartásával végezheti A kiszervezéssel kapcsolatosan egyébként érdemes nem elveszni a jogszabályi részletekben, hanem inkább a törvényalkotó céljának megértésére fókuszálni. A Tel: +361/7899323 PR-AUDIT Kft.

43


külsıs vállalkozók tevékenységébıl eredı kockázatokat megfelelı kontrollokkal kell csökkenteni (nyilatkozni a jogszabályban elıírt informatika biztonsági feltételek betartásáról, tájékoztatni az ügyfeleket és a felügyeletet a külsıs tevékenység végzésérıl, a belsı ellenır által rendszeresen ellenırizni, lehetıséget biztosítani a hatóságoknak a tevékenység felügyelésére stb. 4.7.

Kiszervezéssel kapcsolatos problémák a kérdıívek alapján

Tapasztalataink és a Kérdıív ide vonatkozó válaszai (lásd a 6. számú melléklet) alapján látható, hogy a külsıs szolgáltatók általában miért tartanak, a kiszervezéses formában történı feladatvégzéstıl. Az problémákat és az ellenvetéseiket a megkérdezetteknek csak 1/10-e jelezte. Feltőnı, hogy a problémákat felvetı vállalkozások nem a lehetıségeket, hanem a kötelezettségeket látják. A kifogások rendre: • az esetleges PSZÁF ellenırzés • a Hpt. elıírások betartásának teljesítése • a rendkívül szigorú szabályozás, vagy a megbízó hitelintézet belsı szabályainak betartása. Bár a külsıs cégek konkrét, jórészt az elıbb említett három témakörben illetve a kiszervezéssel kapcsolatban a Kérdıív tanúsága (015) szerint csak 23%-nak volt problémája és csupán 25% konzultált szóban a felügyelettel (018), 12% kereste a PSZÁF-ot írásban (017). 23%

65%

12%

017

Volt-e (van-e) problémájuk a kiszervezés értelmezésével kapcsolatban? Keresték-e ezzel a PSZÁF-ot írásban?

12%

80%

9%

018

Szóban konzultáltak-e a PSZÁF-al?

25%

66%

9%

015


44


5. A kiszervezésre vonatkozó informatikai biztonsági feltételek. A kiszervezéssel kapcsolatos informatika biztonsági problémák – egy harmadik, külsı fél általi feladatvégzésbıl eredıen – elég jelentısek lehetnek, amelyeket a megbízó pénzügyi szervezet részérıl feltétlenül kontrollálni kell. Milyen feltételek vonatkoznak a kiszervezést végzıre? Természetesen azért bízunk meg külsıs szakembereket (szolgáltató céget), mert feltételezésünk szerint, azok jobban, olcsóbban és hatékonyabban végzik ugyanazt a tevékenységet. Ha ez nem teljesül, akkor értelmetlen lenne külsı felet megbízni, mivel ha elınye nincs, akkor az újabb kockázatok miatt ez duplán ráfizetéses lenne. Az elızı fejezetek tanúsága szerint a kiszervezést végzı szolgáltatóra is ugyanazok a törvényi elıírások vonatkoznak, és a jogszabályokban elıírt feltételeket ugyanúgy kell teljesíteniük, mint a megbízó pénzügyi szervezetnek. Azt, hogy milyen informatikai biztonsági feltételeket kell teljesíteniük a külsıs vállalkozóknak (szolgáltatóknak), azt alapvetıen a jogszabályok írják elı, illetve a hazai és nemzetközi szabványok nyújthatnak útmutatást. A különbözı fajta pénzügyi szervezetek esetében az informatikai biztonságra vonatkozóan nagyon hasonló jogszabályi elıírások vannak (Hpt. 13/C. §., Bszt. 12. §., az Mny.tv. 77/A §. Öpt. 40/C. §.) kivéve a biztosítókat (Bit. 65. §.). Ezek a feltételek gyakorlatilag megegyeznek a pénzügyi szervezetre vonatkozó jogszabályi elıírásokkal. A fentiek alapján tehát felmerül a kérdés, hogy hogyan lehet biztosítani a jogszabályi, illetve a vonatkozó informatika biztonsági szabványoknak való megfelelést? A teljes pénzügyi szektorra vonatkozó legátfogóbb magyarázatot a PSZÁF 1/2007-es módszertani útmutatója nyújtja, amely a „pénzügyi szervezetek informatikai rendszerének védelmérıl” szól. A módszertani útmutató mellett a pénzügyi szervezetekre – és ezen keresztül a külsı szolgáltatókra – vonatkozó legfontosabb informatikai biztonsági kontrollokról a PSZÁF informatikai ellenırzéssel foglalkozó fıosztálya által tartott elıadások és tájékoztatók nyújthatnak támpontot. Véleményünk szerint ott, ahol a jogszabályi elıírások nehezen értelmezhetık, vagy egyáltalán nem léteznek, a hazai és nemzetközi szabványokhoz kell igazodnunk. Hazánkban - különösen a PSZÁF felügyelete alá tartozó intézményeknél - egyre nagyobb hangsúlyt kapnak a COBinformatikai nyílt szabványban meghatározott kontrollok és a rendszeres, megfelelı színvonalon végzett informatikai ellenırzések és vizsgálatok. A fentiek mellett jelen tanulmány célja is a pénzügyi szervezetek kiszervezett tevékenységeinek elemzése az információ biztonsági szempontjából, így ez a dokumentum is adhat támpontot, az informatikai biztonsági kontrollok megfelelıségével kapcsolatban felmerült kérdések megválaszolásakor.


45


5.1. Kockázatok kezelése. Az élet bármely területét nézzük is, a megalapozott döntéseket alapos mérlegelésnek kell megelıznie, felmérve a döntés eredményének elınyeit és hátrányait. Nincs ez másként a külsı szolgáltatók alkalmazásával sem. Egy szolgáltató társaság megbízásakor elsısorban tisztában kell lenni az adott tevékenység végzésének kockázataival, másodsorban fel kell tudni mérni a szolgáltató társaság mőködési kockázatait. Egy pénzügyi szervezet vezetése csak akkor lehet tisztában a fennálló kockázatokkal, ha a kockázatok felmérése megtörtént, vagy megtörténik, és amelyet nem mellékesen a vonatkozó jogszabályok is elıírnak. Ez nagy vonalakban azt jelenti, hogy a pénzügyi szervezetnek van kockázatelemzési módszertana, a módszertan végrehajtása belsı ún. kockázatkezelési szabályozásban rögzített és ennek megfelelıen az elıírt kockázatelemzést és értékelést a szabályozás szerint rendszeresen elvégzik, valamint minderrıl a vezetésnek beszámolnak. Az elkészített kockázatértékelést természetesen a vezetésnek kell jóváhagyni és ez alapján intézkedéseket hozni a kockázatok kezelésére, vagy felvállalni a nem kezelt kockázatokat. A Kérdıíven a válaszolók 17%-a jelezte azt, hogy nincs olyan szabályozása, amely az informatikai rendszerek kockázatmenedzselésére vonatkozik (047. kérdés). Ez önmagában jelzi, hogy az adott pénzügyi szervezet menedzsmentje amellett, hogy nem tartja be a törvényi elıírásokat, nem ismeri az általa vezetett szervezet informatikájának mőködési kockázatait. Amennyiben ezt a tevékenységet (informatikai rendszer mőködtetése, üzemeltetése) részben vagy egészben külsı szolgáltatóval végezteti, a menedzsment nem tudja megfelelıen kontrollálni és ellenırizni a szolgáltató munkáját, valamint nem tudja eldönteni, hogy az alkalmazott kontrollok megfelelnek-e a biztonsági kockázatoknak. 047. kérdés: Van-e szabályozás az informatikai kockázatmenedzselésre? 83% igen A vonatkozó szakági törvények (Hpt. 13/C. § (2), Bszt. 12. § (3), Mny.tv. 77/A. § (2), Öpt. 40/C. § (2) bekezdések) erre vonatkozóan úgy fogalmaznak, hogy „a pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni”. Tehát az informatikai józan ész mellett a törvényi kötelezés is elıírja a megfelelı kockázatmenedzselés megvalósítását. Törvényi szempontból tekintve a felsorolt, illetve idézett jogszabályok alapján az informatikai támogató tevékenység akkor tekinthetı jogszerően végzettnek, ha a kiszervezett tevékenységek a kockázatelemzésben szerepelnek és a kockázatcsökkentı intézkedések szabályozottak, valamint ellenırzésük biztosított. Dokumentált kockázatértékelés nélkül nem fogadható el egy tevékenység „felvállalt kockázatként”. A Kérdıív alapján a 163 pénzügyi szervezet közül 39 (24%) nem jelölt meg semmiféle kockázatelemzési módszertant (lásd a 9. számú mellékletet), 95 intézmény saját módszertant említett és 7-en jelöltek meg külsıs cégek által kidolgozott- (KPMG, informatikaiBC, Kancellár.hu, CSB), illetve 22-en használnak Tel: +361/7899323 PR-AUDIT Kft.

46


ismert nagy módszertanokat (CRAMM, OCTAVE, CARISMA, COBinformatikai, ISO27001, CinformatikaiICUS stb.). Azok a szabályozással rendelkezı pénzügyi szervezetek, amelyek nem jelölték meg az általuk alkalmazott kockázatelemzési módszertant (a válaszolók 7%-a), rendelkeznek ugyan kockázatértékelésre vonatkozó szabályozással, de a kockázatértékelésük egységes összefogott és koncepció nélküli végrehajtása (amennyiben nem csak szabályozásuk van, hanem el is készítették a kockázatértékelést) nem igazán fogadható el, emellett felmerül a kérdés, hogy egyáltalán mire használható. 048. kérdés: Milyen módszertanra alapozták a kockázatmenedzselést (pl. OCTAVE/CRAMM/saját egyedi)? --- A válaszok a 8. sz. mellékletben találhatók Milyen kockázatokkal kell szembenéznünk egy külsı szolgáltató esetén? Abból kiindulva, hogy mindig az emberi tényezı a legsérülékenyebb, természetesen a pénzügyi szervezet erıforrásaihoz való hozzáférés növekedésével (most már egy külsıs cég is kap hozzáférést) természetesen nınek a kockázatok. A Bázel2-re vonatkozó jogszabályokban definiált mőködési kockázat definícióból (Hpt. 76/J. § (1): a mőködési kockázat a „nem megfelelı vagy rosszul mőködı belsı folyamatokból, személyekbıl és rendszerekbıl vagy külsı eseményekbıl eredı veszteség mértéke, amely magában foglalja a jogi kockázatot is!”) is látható, hogy mely tevékenységekbıl eredhetnek a legnagyobb kockázatok. A kockázat tulajdonképpen annak a fokmérıje, hogy egy adott szervezet milyen mértékben van kitéve veszélyeknek. A kockázatok függnek a káreseményben érintett eszközök értékének (hatás) illetve a vagyontárgyakat fenyegetni képes veszélyek, sebezhetıségének és ezen hatások súlyosságát csökkenteni képes ellenintézkedések (kontrollok) bekövetkezési lehetıségétıl (valószínőség). A kockázatok tehát a kockázatoknak kitett vagyontárgyak értékébıl (kárérték) és a potenciális kedvezıtlen üzleti hatásokat okozó fenyegetések által a sebezhetıségek kihasználása (bekövetkezési valószínőség) valamint a kockázatokat csökkentı ellenintézkedésekbıl számított számérték. A Kérdıív szerint az intézmények 23%-nál nincs a kockázatok felmérésével és elemzésével megbízott személy, azaz a pénzügyi szervezetek negyedénél nincs személyi garanciája a kockázatelemzés rendszeres végrehajtásának. 049. kérdés: Van-e az intézménynél az informatikai kockázatok felmérésével és elemzésével megbízott felelıs személy? 77% igen A Kérdıív alapján a válaszadók 82%-nál végrehajtásra kerül a kockázatelemzés és a kockázatelemzésbıl adódó kontrollok is hasonló (83%) arányban kialakításra kerültek, azonban a maradék 17-18%-nál felmerül a kérdés, hogy milyen alapon tájékozódik a vezetés a fennálló kockázatokról. Fontosnak tartjuk, hogy a kockázatok menedzselése minden pénzügyi szervezetnél mőködjön.


47


050

051

Elvégezték-e az utóbbi két évben az intézménynél az informatikai biztonsági kockázatok törvényi elıírásoknak (Pl.: Hpt. 13/C, a Tpt. 101/A, Mny.tv. 77/A, Öpt. 40/C stb.) megfelelı felmérést és elemzést? Kialakították-e a kockázatfelmérés eredményeként az informatikai rendszer védelmét szolgáló kontrollokat?

82% igen

83% igen

A kockázatok kezelésének lépései a legtöbb módszertanban a vagyontárgyak felmérésébıl, a vagyontárgyakat fenyegetı veszélyek felmérésébıl, a meglévı ellenintézkedések feltárásából, a kockázati számérték kiszámításából és sorrendbe rakásából (priorizálás), valamint az így összeállított kockázati tábla vezetıi áttekintésébıl és a szükséges intézkedések meghozatalából és végrehajtásából áll. A Kérdıív válaszai alapján látható, hogy az intézmények felsı vezetése csupán 61%-ban tekinti át és hagyja jóvá dokumentáltan a maradék kockázatok változatlanul hagyását és azok felvállalását. Fontos lenne, hogy a kockázatelemzés ne csak az asztalfióknak készüljön, hanem az intézmények tudatos mőködésének eszköze legyen, a kockázatmenedzselés valóban használható és élı tevékenységgé váljon. 052. kérdés: Az intézmény felsı vezetése az informatikai jellegő maradék kockázatokat aláírt dokumentummal bizonyítható módon ismeri-e, vállalta-e? 61% igen Bármilyen módját is válasszuk a kockázat mértékének meghatározására, a felmérés eredménye egy lista kell, hogy legyen a számított és sorrendbe állított kockázatokról, amely a vezetés számára világosan mutatja, hogy mely kockázatokkal szükséges foglalkozni. Az alkalmazott módszernek megismételhetınek és nyomon követhetınek kell lennie. „A kockázatfelmérésnek, elemzésnek és menedzselésnek igazodnia kell a pénzügyi szervezet legkritikusabb üzleti folyamataihoz, és ki kell terjednie a tervezés, a fejlesztés, a beszerzés, az üzemeltetés, a kiszervezés és az ellenırzés területére is.”16 A Kérdıív szerint a külsı szolgáltatókból eredı kockázatok hatása csupán a válaszadók 66%-nál szerepel a kockázatelemzésben, amely ebbıl következıen nem tekinthetı általánosnak és megfelelınek. „A kockázatelemzésnek minden olyan rendszerelemre ki kell terjedni (a kiszervezési szolgáltatónál is), amely egy adott szolgáltatáshoz kapcsolódik (külsı szolgáltatók, kiszervezett tevékenységek is). Ezek megléte nélkül a szolgáltatás megfelelısége nem biztosítható.”17 053.kérdés: A kockázat elemzésben szerepel-e a külsıs szolgáltatókból eredı kockázatok hatása? 66% igen „A kockázatelemzés rendszeres elvégzését belsı szabályozás szintjén kell megfogalmazni, és annak megfelelıen kell eljárni, a szabályzatokban dokumentálni kell a módszertant, annak megismerhetıségét – ellenırizhetıségét és újbóli végrehajthatóságát. A kockázatok felmérését és elemzését új rendszerek üzembe helyezését követıen, a környezeti változásokat figyelembe véve, illetve elıre 16 17

Lásd a PSZÁF 1/2007-es módszertani útmutatóját [13] Lásd a PSZÁF 1/2007-es módszertani útmutatóját [13]


48


meghatározott rendszerességgel (lehetıleg évente) végre kell hajtani. A kockázatelemzést minden rendszerre (a teljes körőség biztosítása érdekében) és minden veszélyforrásra (zártság) el kell végezni.”18

A fentiek és saját gyakorlati tapasztalataink alapján a hazai pénzügyi szektorban a külsısök által végzett tevékenységek nem megfelelıen kontrolláltak, a legtöbb intézmény úgy gondolja, hogy egy külsısök által végzett tevékenység csak jó lehet és annak rendszeres felülvizsgálatára nagyon kevés gondot fordítanak. Természetesen vannak olyan intézmények is, amelyek a jogszabályok adta keretek között, annak megfelelıen végzik tevékenységüket, tehát megfelelnek a jogszabályok alapelveinek. Ha a pénzügyi szervezet vezetése nincs tisztában a kockázatokkal, akkor annak súlyos következményei lehetnek. A kockázatkezelés esetében is (mint általában mindig) a módszertan csak annyit ér, amennyit a gyakorlatban megvalósítunk belıle. A kockázatmenedzselésrıl általánosságban is igaz, amit a COBIT 4.1.-e verziója ír: „A kockázatkezeléshez szükség van arra, hogy a szervezet felsı vezetıi tisztában legyenek a kockázatokkal, hogy egyértelmő legyen az, hogy a vállalat milyen kockázattőrı képességgel rendelkezik, hogy ismertek legyenek a megfelelıségi követelmények, hogy átláthatóak legyenek a vállalat jelentıs kockázatai és, hogy a kockázatkezelésért való felelısséget a szervezet minden szintjén meghatározzák.” Ha a kockázatokat megfelelıen felmértük, rendszeresen számba vettük és az intézkedéseket megtettük, akkor is fordulhatnak elı problémák és visszaélések. A véletlen vagy szándékos adathozzáférés ellen a Btk. 300. §-a nyújt védelmet. A véletlen vagy szándékos károkozás kockázatán kívül a gazdasági (bank, értékpapír, biztosítási vagy pénztár) titok sérelmének lehetısége merül fel. Mivel pénzügyi szervezeteknél a személyes adatok egyben gazdasági titkot is jelentenek, nem kezeljük külön a két fogalmat, de a személyes adatok védelmére vonatkozó szigorúbb elıírásokból indulunk ki. A Btk 300. § indoklása a gazdasági titok sérelmét „csak akkor rendeli büntetni, ha a titoksértést jogtalan haszonszerzés végett, vagy másnak vagyoni hátrányt okozva követik el.” Az Avt 10. § (2) elıírja, hogy „Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelınek, az adatfeldolgozónak, illetıleg a távközlési vagy informatikai eszköz üzemeltetıjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.” Az elıírás kizárólag csak a személyes adatokra vonatkozik, amelynek feldolgozása a karbantartási tevékenységet végzı által nem szokásos tevékenység, másrészt a 18

Lásd a PSZÁF 1/2007-es módszertani útmutatóját [13]


49


„hozzáférés” fogalmát a törvény nem definiálja. Felhasználva a 2005. évi XC. törvény az elektronikus információszabadságról 8. § indoklásában szereplı definíciót: „A közérdekő adatokhoz való elektronikus hozzáférés gyakorlása során a polgárnak három problémát kell megoldania: meg kell találnia a keresett adatot, meg kell ítélnie a megtalált adat minıségét, relevanciáját, a keresés kritériumainak való megfelelıségét, valamint értelmeznie kell az adatot a közérdekő adatok összefüggéseiben, illetve tájékozódnia kell a közérdekő adatok teljes körében” Hozzáférésnek az a tevékenység tekinthetı, amikor A., a keresés, B., az adat minıség megfelelıségének eldöntése, C., az adatok összefüggéseinek értelmezése megtörténik. Véleményünk szerint csak kiszervezési szerzıdés esetében fogadható el, hogy a tevékenység alapvetı célja az Avt által meghatározott adatfeldolgozás, adattovábbítás, stb. legyen. Olyan informatikai rendszer, amely rendszeres külsı támogató által végzett adatfeldolgozást (javítást, módosítást) igényel, nem tekinthetı – a szakági törvények alapján – megfelelıen biztonságosnak. Karbantartási tevékenység végzése során, a szerzıdésben és a kockázatcsökkentı szabályzatokban foglalt módon, dokumentálni kell a beavatkozásokat. Kerülni, lehetıleg kiküszöbölni kell az adatokba a külsı szakember által történı betekintést, módosítást. 5.2.

Szerzıdés, szolgáltatási szintek, szabályozás.

Külsıs szolgáltatók megbízásának legalapvetıbb adminisztratív kontrollja a szerzıdéskötés és a szerzıdéses feltételek meghatározása. Amint láttuk a szakági törvények (Hpt. 13/A. § (4), Bszt. 80. § (2), Bit. 78. § (1), Mny.tv. 77/B. § (3), Öpt. 40/D. § (3)) néhány minimum feltételt a kiszervezési szerzıdések tekintetében is meghatároztak (tevékenység, a kiszervezést végzı neve, székhelye, a kiszervezési tevékenység idıtartama, stb.). Ettıl függetlenül a szerzıdések általában sokkal bonyolultabbak és számos egyéb feltételt tartalmaznak. A külsı szolgáltatások kontrollálása és az ebbıl keletkezı kockázatok csökkentése érdekében azonban érdemes a szolgáltatási szintek (SLA – Service Level Aggreement) minél alaposabb meghatározása, betartatása és rendszeres értékelése. A Kérdıív válaszai (009) szerint a külsıs szerzıdések a válaszadóknak csupán 67%-nál tartalmaznak szolgáltatási szint megállapodásokat. A szolgáltatási szintek meghatározása azért kiemelkedıen fontos, mert ilyen módon kontrollálható leghatékonyabban a külsıs szolgáltatók tevékenysége és ennek segítségével igazolhatók a szerzıdés szerinti kifizetések valamint ennek segítségével mérhetı egy megállapodás megfelelısége és ez teremthet alapot a további szolgáltatók versenyeztetésére és a rosszul teljesítı vállalkozó pótlására. A Kérdıív szerint (011) a válaszadók 71%-nál szokásos a szolgáltatók versenyeztetése. A szolgáltatás szint megállapodások hiánya ellenére a Kérdıív szerint (010) a válaszadók 85%-a figyelik és dokumentálják a szerzıdések teljesítésének alakulását. A szolgáltatók teljesítményének ellenırzése pedig a vonatkozó törvények szerint – legalább évente a belsı ellenırzés által - kötelezı is a


50


pénzügyi szervezetek számára (Hpt. 13/A. § (6), Bszt. 81. § (1), Mny.tv. 77/B. § (5), Öpt 40/D. § (5)). A Kérdıív szerint (006) a válaszadók 87%-nál van szerzıdés nyilvántartás. Ebbıl a szempontból furcsa, hogy ez nem 100% hiszen az alapvetı dokumentációk – nevezetesen a külsısök által végzett tevékenységek problémái esetén szükséges iratok, nevezetesen a szerzıdések - mindenkor rendelkezésre kellene, hogy álljanak. A külsıs cégek tevékenységének kontrollálása természetesen feltételezi, hogy tudjuk, hogy milyen cégek, milyen tevékenységet végeznek, azaz létezik a külsıs szolgáltatóknak listája. A szerzıdéskötések rendje is csak a cégek 72%-nál került szabályozásra (005), amely úgyszintén 100%-ban teljesülni kellene. Sajnálatos módon (008) a belsı szabályozások csupán a válaszadók 74%-nál vonatkoznak a külsıs szolgáltatókra. Fontos lenne, hogy egy szerzıdés megkötésének menetét (igénylések, ajánlatkérés, kiválasztás, szerzıdéskötés, stb.) és feltételei (referenciák, alkalmassági bizonyítvány, engedélyek, szolgáltatási szint, jelentési kötelezettség, dokumentáltság, stb.) belsı szabályzatban definiáltak legyenek és ezen elıírásokat a külsıs szolgáltatók megismerjék és betartsák. Egy tevékenység akkor tekinthetı jogszerően végzettnek, ha a tevékenység végzése szerzıdésen alapul. A szerzıdés alapján a vonatkozó jogszabályok megismerését is tanúsító „titoktartási nyilatkozatok” aláírásra kerülnek. A szerzıdés elnevezése (vállalkozási, szolgáltatási, szakértıi, megbízási) az eredendı kockázat mértékét nem befolyásolja, a tartalma mérvadó. A szerzıdések kötésére, formai- és tartalmi elemeire, nyilvántartására, a teljesítések nyomon követésére és rendszeres ellenırzésére úgyszintén „házon belüli” egyetértés, azaz szabályozás szükséges. A szabályozási rendszerben tehát gondoskodni kell a szerzıdéskötések és szerzıdések menedzselésérıl. A szerzıdések azonban nagymértékben befolyásolják egy szervezet életét, tehát a szerzıdéseknek összhangban kell lennie a belsı szabályozási rendszerrel. Amint a vonatkozó szakági jogszabályokban láttuk, a kiszervezett tevékenységeknek pedig bele kell illeniük a pénzügyi szervezet életébe, azaz gondoskodni kell az ezen szolgáltatásoknak a belsı szabályokkal való megfelelésérıl. A fentiek alapján látható, hogy a pénzügyi szervezet szabályozási rendszere alapvetı fontosságú preventív kontroll. A pénzügyi szervezetekre vonatkozó szakági jogszabályok rendelkeznek a szabályozottságról és a nyilvántartások vezetésérıl. A pénzügyi szervezetekre vonatkozó törvényi elıírások (Hpt. 13/C. § (1), Bszt. 12. § (1) – (2), Mny.tv. 77/A. § (1) bekezdés, Öpt. 40/C. § (1) bekezdése) szerint a „pénzügyi intézménynek ki kell alakítania a pénzügyi, kiegészítı pénzügyi szolgáltatási tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelmérıl. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenırzés területén.”. Ebbıl következıen a belsı szabályozási struktúrának (irányelvek – szabályzatok – eljárásrendek), a szabályozások elkészítésének és karbantartásának (szükség van „szabályzatok szabályzatára”) és


51


nyilvántartásának rendelkezésre kell állnia és a kiszervezett tevékenységekre is érvényesnek kell lennie. A szakági törvények (Hpt. 13/C. (3), Bszt. 12. § (4), Mny.tv. 77/A. § (3), Öpt. 40/C. § (3) bekezdések) a feladatok és felelısségek megfelelı elhatárolását is megkövetelik: „Az informatika alkalmazásából fakadó biztonsági kockázatok figyelembevételével meg kell határozni a szervezeti és mőködési rendeket, a felelısségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenırzési követelményeket és szabályokat.”. Ennek érdekében fontos, hogy a szervezetre vonatkozó információk (személyzeti listák, szervezeti és mőködési szabályzat, munkaköri leírások, üzemeltetési és egyéb mőködési szabályozások, szervezeti ábrák, stb.) mindig pontosak, megbízhatóak és naprakészek legyenek. A megfelelı feladatok felelısei dokumentáltan kijelöltek és tisztázottak legyenek, az összeférhetetlen feladatok felelısei elhatároltak legyenek, a legfontosabb feladatok és felelısségi körök úgy kell szétválasztani, hogy azok ne sértsék az összeférhetetlenségi szabályokat (fejlesztıi és üzemeltetıi feladatok, végrehajtási és ellenırzési feladatok, adatrögzítıi és jóváhagyói funkciók, stb.). „Minden alkalmazottnak megfelelı hatáskört kell biztosítani ahhoz, hogy végre tudja hajtani a rá bízott feladatokat és tájékoztatni kell arról, hogy milyen mértékő ellenırzési és biztonsági felelısséggel tartozik. A szükséges dolgozói létszámot rendszeres idıközönként felül kell vizsgálni annak érdekében, hogy helyettesítések esetére is megfelelı számú és a munkakörre elıírt képzettségő dolgozó álljon rendelkezésre.”19 Fontos, hogy kinevezésre kerüljön az informatika biztonságért felelıs személy, aki a szervezet informatikai eszközeinek fizikai és logikai biztonságáért egyaránt felelıs és közvetlenül a szervezet felsı vezetıjének számol be munkájáról. „Gondoskodni kell arról, hogy minden informatikai eszköznek (adatok és rendszerek) legyen egy kijelölt tulajdonosa (adatgazda)”20, aki dönt az osztályozásról és hozzáférési jogosultsági szintekrıl. Az adatgazda a nyilvántartó rendszerek esetében nem informatikus, hanem egy felhasználó, aki általában a leginkább érintett funkcionális terület vezetıje (számlavezetés, könyvelés, stb.). Az informatikai kiszolgáló alkalmazásoknak adatgazdája informatikus (Windows domain rendszer, Active Directory, adatátviteli hálózat vezérlı alkalmazás, naplógyőjtı és elemzı alkalmazás stb.). Ugyancsak rendelkeznek a jogszabályok (Hpt. 13/C. § (9), Mny.tv. 77/A. § (9) bekezdés, Öpt. 40/C. § (9) bekezdés, Bszt. 12. § (9) bekezdés, Hpt. 13/C. § (9) a megfelelı képzettség elıírásáról is: „ A pénzügyi intézménynek belsı szabályzatában meg kell határoznia az egyes munkakörök betöltéséhez szükséges informatikai ismeretet.” Ez az elıírás feltételezi, hogy a társaság gondoskodott a munkaköri leírások kidolgozásáról és rendszeres aktualizálásáról valamint azokban – vagy egyéb dokumentumokban - világosan rögzítésre kerültek mind a hatáskörök, mind a felelısségi körök, beleértve az adott munkakör ellátásához szükséges képzettség és gyakorlat meghatározása is. Kiszervezés esetén a kiszervezési szolgáltatónak is meg kell felelnie a pénzügyi szervezetre vonatkozó törvényben foglaltaknak a kiszervezéssel érintett területeken.

19 20



52


5.3.

Nyilvántartások vezetése

Annak érdekében, hogy menedzselni tudjuk az erıforrásokat illetve a feladatok felelısei el tudják végezni munkájukat, az informatikai eszközök és rendszerek („hardver és szoftver eszközök, a szervereken és munkaállomásokon lévı alkalmazások, a kiosztható és kiosztott jogosultságok, a rendelkezésre álló adatbázisok, a rendszertechnikai és adatkapcsolati ábrák”21, stb.) teljes körő, megbízható és naprakész nyilvántartásának rendelkezésre kell állnia. Ez kell, hogy alapját képezze a kockázatmenedzselés, a jogosultságkezelés, az üzemeltetés, a hibakezelés, az üzletmenet-folytonosság, a változáskezelés és a belsı ellenırzés elvégzésének is. A nyilvántartásoknak része kell, hogy legyen a megfelelı tevékenységek dokumentálása is, amely nélkül elképzelhetetlen a feladatok- és felelısségek megfelelı kiosztása, a rendszerek fejlesztése és használatba vétele, a folyamatba épített vezetıi ellenırzés, a hiba esetén elıforduló számonkérés és a belsı ellenırzés sem. A szakági jogszabályok (Hpt. 13/C. § (5) a), Bszt. 12. § (6) a), Mny.tv. 77/A. § (5) a) és az Öpt. 40/C. § (5) a) pontok) a nyilvántartásokkal kapcsolatban elıírják, hogy „A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmő és visszakereshetı azonosításáról,” valamint kihangsúlyozzák (Hpt. 13/C. § (7), Bszt. 12. § (6), Mny.tv. 77/A. § (6), Öpt. 40/C. § (6) bekezdések), hogy: „A pénzügyi intézménynél mindenkor rendelkezésre kell állnia a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és mőködtetésének az ellenırzéséhez szükséges rendszerleírásoknak és modelleknek, b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénzügyi intézmény által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történı hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerzıdéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körő és naprakész nyilvántartásának.” A fentiek alapján a megbízónál lévı nyilvántartásoknak rendelkezésre kell állnia és ki kell terjednie a külsıs szolgáltatóknál lévı, a kiszervezett tevékenységre vonatkozó eszközökre is. Az elıírásokból látható, hogy az informatikai eszközök és erıforrások megbízható és rendszeresen aktualizált nyilvántartásának meg kell lennie. Természetes, hogy az informatikai erıforrásokkal csak akkor lehet megfelelıen gazdálkodni, ha az azokra vonatkozó információk meg vannak. A Kérdıív tanúsága szerint (069) a felmérésben érintett szervezetek 90%-ában van teljes körő hardver és szoftver nyilvántartás. Figyelemre méltó kérdés, hogy mi van a maradék 10%-al? Mi lenne a véleményünk, ha mi pont azoknak az intézménynek az ügyfelei vagyunk, akik ebbe a 10%-ba esnek? A mőködés alapját képezı informatikai erıforrások 21



53


megléte és aktualizált nyilvántartása alapvetı feltétele a mőködésnek, ezért ebben 100%-os pontosság lenne az elvárható és megkövetelhetı. Ha figyelembe vesszük például, hogy a fizikai biztonság szempontjából mindig is legjobban védett terület a gépterem, akkor az ottani minimális eltérés is olyan kérdéseket vethet fel, hogy hogyan lehetséges bármit is úgy be- vagy kivinni onnan, hogy annak nem marad nyoma a nyilvántartásokban. És akkor még nem beszéltünk a szervereken illetve a munkaállomásokon lévı szoftverekrıl, amelyek pontos, naprakész nyilvántartásának megvalósítása még nehezebb, viszont a visszaélések szempontjából még fontosabb. Gondoljunk csak az internetrıl letölthetı kémszoftverekre, rootkit-ekre vírusos képés adatfájlokra. A nyilvántartások élın tartása sok munkával járó, de nem lehetetlen feladat. A Kérdıív tanúsága szerint a nyilvántartások ellenırzése (070) az esetek 84%-ban megtörténik és a munkaállomások szoftvereinek kontrollálása (072) is 86%-ban megtörténik. A Kérdıív szerint (071) a szoftverek nyilvántartására vonatkozóan nagyrészt (83%) kialakítottak szabályozást. Annak ellenére, hogy a jogszabályok „az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körő és naprakész” nyilvántartását írja elı, a Kérdıív válaszai szerint (073) csak 77%-ban dokumentált a hálózati topológia és architektúra illetve (074) a külsı kapcsolatok csak 71%-ban vannak feltüntetve az ábrákon. Ez utóbbi tény azért jelent magas kockázatot, mert feltételezi, hogy sem a menedzsment, sem az informatikai üzemeltetık nincsenek minden esetben tisztában a belsı hálózatot esetlegesen veszélyeztetı külsı kapcsolatokkal. Súlyos biztonsági kockázat, hogy a hálózati adatátvitelben (075) csak 61% alkalmaz titkosítást illetve a hálózat biztonságának felmérés (076) csak az esetek 79%-ban történik meg. 5.4.

informatikai irányítás, kontrollok, ellenırzés

A kiszervezésre vonatkozó, a 2. fejezetben ismertetett jogszabályokban elıírásként jelent meg a megbízó általi kontrollok kialakításának és mőködtetésének szükségessége valamint a külsı szolgáltatók ellenırzésének kötelezettsége. Az informatikai rendszerek védelmére vonatkozó jogszabályi részek (Hpt. 13/C. § (4), Bszt. 12. § (5), Mny.tv. 77/A. § (4) és Öpt. 40/C. § (4) bekezdések) is kiemelik az ellenırzı rendszer folyamatos mőködtetésének fontosságát: „A pénzügyi intézménynek ki kell dolgoznia az informatikai rendszerének biztonságos mőködtetését felügyelı informatikai ellenırzı rendszert és azt folyamatosan mőködtetnie kell.”. A jogszabály értelmezése alapján az informatikai ellenırzı rendszer alatt nem egy adott célalkalmazást, hanem az informatikairányítás mőködését felügyelı kontrollkörnyezet kiépítettségét és mőködését kell érteni, amelybe beletartoznak mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok, eszközök, emberi erıforrások és szervezeti struktúrák, amelyek ezt lehetıvé teszik.


54


A Kérdıív alapján (041) a pénzügyi szervezeteknek csak harmadánál (35%) van informatikai képzettségő belsı ellenır vagy erre szakosodott szervezet és ennek (belsı szakértelem) hiányában (042) csak a válaszadók 54%-a vesz igénybe külsı szakértıket. Ez annak fényében is elégtelen, ha figyelembe vesszük a kiszervezés ezen részére vonatkozó jogszabályi elıírásokat, ugyanis a szolgáltatók teljesítményének ellenırzése a vonatkozó jogszabályok szerint a belsı ellenırzésnek évente kötelezı feladata (Hpt. 13/A. § (6), Bszt. 81. § (1), Mny.tv. 77/B. § (5), Öpt 40/D. § (5)). A Kérdıívre adott válaszok szerint (044) a belsı ellenırzés vagy az ezzel megbízott szakértı a kiszervezett tevékenységek kötelezı ellenırzését a válaszadóknak csak 71%-a hajtotta végre. Ezen a ponton fontos kihangsúlyozni, hogy nem csak a külsı szolgáltatásokat, de a belsı feladatok végrehajtásának ellenırzése is elengedhetetlenül fontos a folyamatos minıségi mőködés fenntartása érdekében! A Kérdıív tanúsága szerint (043) az informatikai ellenırzést végzıknek csak 60%-a rendelkezik speciális informatikai auditori (CISA, ISO27001, stb.) képesítéssel (mindössze 29-en jelölték meg a megjegyzésben konkrétan a CISA illetve 13-an az ISO27001-es képesítést). A belsı ellenırzési eljárások akkor mőködnek eredményesen, ha a preventív kontrollok gyorsan felderítik és kijavítják a hibákat, ellentmondásokat, még mielıtt azok befolyásolnák a rendszer üzemszerő mőködését, illetve a szolgáltatásnyújtást. „Gondoskodni kell az üzemeltetési biztonság és a belsı ellenırzés rendszeres felülvizsgálatáról, és ennek kapcsán önértékelés vagy független ellenırzés formájában meg kell vizsgálni, hogy a biztonsági és belsıellenırzési eljárások a meghatározott, illetve alkalmazott biztonsági és belsı ellenırzési követelményeknek megfelelıen mőködnek-e, vagy sem”22. Az ellenırzésnek fel kell tárnia a sebezhetı pontokat és a biztonsági problémákat is. A pénzügyi szervezeteknek ki kell dolgoznia az ellenırzési területre vonatkozó szabályzatot, amelyben fel kell sorolni az ellenırzés feladatait, hatáskörét, beszámolási kötelezettségét és a számon kérhetıség módját. A szabályzatot rendszeres idıközönként felül kell vizsgálni. Az ellenırnek függetlennek kell lennie a vizsgált részlegtıl, annak érdekében, hogy objektív ellenırzést tudjon végezni, A biztosítókra vonatkozó törvény (Bit 76. § (2)) fogalmazza meg legátfogóbban és legérthetıbben a kiszervezéssel kapcsolatos elvárást: a kiszervezés „feltétele, hogy az irányítási és ellenırzési jog megmaradjon a biztosítónál”. Az irányítás fogalmának minimális részleteit pedig a hitelintézeti törvény tartalmazza. A jogszabályok közül a hitelintézeti törvény emeli ki konkrétan az irányítási rendszer szükségességét (Hpt. 13/D. § (1) „A hitelintézetnek a mérete, az általa végzett tevékenysége jellege, nagyságrendje és összetettsége arányában megbízható irányítási rendszerrel kell rendelkeznie”) és részletezi az irányítás minimális elemeit. A megfelelı irányítás érdekében a társaságoknak mérnie kell a külsı és belsı szolgáltatási szint megállapodásokban meghatározott teljesítménymutatók, illetve kritikus sikertényezık alapján a külsı szolgáltatók által nyújtott szolgáltatásokat és össze kell hasonlítania azokat a tervezett szintekkel. A szolgáltatók teljesítményét rendszeres jelleggel, folyamatosan értékelni kell és rendszeres idıközönként meg kell vizsgálni, hogy a felhasználók milyen mértékben elégedettek az informatikai 22



55


részleg szolgáltatásaival. Jelentéseket kell készíteni a vezetés számára a kitőzött szervezeti célok megvalósításának irányában történt elırelépések áttekintéséhez és a kockázatok csökkentése érdekében végrehajtott lépések megítéléséhez. A külsı cégek szolgáltatásainak igénybe vétele (kiszervezés) elıtt a célszerő független szakértıi értékelést beszerezni az adott szolgáltató biztonsági és belsı ellenırzési eljárásairól. A független szakértı lehet a pénzügyi intézmény belsı ellenıre is, ha rendelkezik mindazokkal a szakmai, mőszaki, technikai ismeretekkel, képességekkel és tapasztalatokkal, amelyek az ilyen jellegő feladatok hatékony, eredményes ellátásához szükségesek. 5.5.

informatikai biztonság

Az üzleti vállalkozások mőködésének manapság alapvetı feltétele az információk biztonságos kezelése, az informatikai biztonság menedzselése. A vonatkozó törvényi elıírások (13/C. § (5) b), Bszt. 12. § (6) b), Mny.tv. 77/A. § (5) b), és Öpt. 40/C. § (5) b) pontok) kihangsúlyozzák, hogy biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni „az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körőségét biztosító ellenırzésekrıl, eljárásokról”. Ez a meghatározás meglehetısen maximalistán és átfogóan definiálja az elvégzendı feladatokat. Sokak számára problémát okozhat a „zártság” és a „teljes körőség” fogalmának elfogadása, mivel az nem minimális, hanem maximalizált és ilyen módon teljesíthetetlen kötelezettségeket sugallhat. A zártság fogalma az informatikai biztonsági ajánlásokban a az informatikai biztonság fogalmának definíciójában is megjelenik („Az informatikai biztonság az informatikai rendszer olyan jellemzıje, amely az informatikai rendszerekben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása illetve a rendszerelemek funkcionalitása és rendelkezésre állása szempontjából teljes körő, folytonos, zárt és a kockázatokkal arányos biztonságot jelent a szervezet számára.”). Az informatikai biztonsági ajánlásokban a zártság definíciója az, ha „a védelem az összes releváns fenyegetést figyelembe veszi” és a teljes körő védelem pedig azt jelenti, hogy „a védelmi intézkedések az informatikai rendszer összes elemére kiterjednek”. A folyamatos védelem „az idıben változó körülmények és viszonyok ellenére is megszakítás nélküli megvalósulást jelenti” és a kockázattal arányos védelem pedig azt jelenti, hogy „a védelem költségei arányosak a potenciális kárértékkel”. Tehát a kockázat arányossági elıírás az, amely biztosítja, hogy nem irreális követelményrıl van szó. A védelem akkor kielégítı erısségő (mértékő), ha a védelemre akkora összeget és olyan módon fordítanak, hogy ezzel egyidejőleg a releváns fenyegetésekbıl eredı kockázat az adott intézmény számára még elviselhetı szintő vagy annál kisebb. Ez természetesen csak akkor teljesülhet, ha valóban van mőködı kockázatmenedzsment az adott társaságnál (lásd a 4.1. fejezetet). Az informatikai rendszerek biztonsága kapcsán ügyelni kell arra, hogy a biztonsági intézkedések összhangban legyenek az üzleti követelményekkel. Ez magában foglalja az informatikai kockázatelemzést, az informatikai biztonsági szabályozás és terv készítését és rendszeres aktualizálást, az informatikai biztonsági terv végrehajtását és az informatikai biztonsági elvek gyakorlatba való átültetését. Tel: +361/7899323 PR-AUDIT Kft.

56


Korlátozni kell a számítástechnikai erıforrások használatát („least privilege” elv: csak a szükséges legkisebb jogok biztosítása) és az erıforrásokhoz történı hozzáférést a megfelelı azonosítási, hitelesítési és hozzáférési jogosultság ellenırzési eljárások révén (még az informatikai részleg esetében is) és meg kell akadályozni a jogosulatlan felhasználói hozzáférést. „A vezetésének olyan biztonsági eljárásokat kell kialakítania, amelyek – az informatika biztonsági politikával összhangban – ellenırzik a tranzakciókat továbbító másik fél valódiságát, hitelességét, amelyek segítségével ellenırizhetı a tranzakciók hitelessége és a rendszerbe bejelentkezı felhasználó személyének valódisága. Gondoskodni kell arról, hogy a bizalmas tranzakciók adatainak cseréje megbízható csatornákon keresztül történjen”23. A biztonsági eljárásokhoz kapcsolódó összes hardvert és szoftvert meg kell védeni a jogosulatlan hozzáférésekkel szemben és bizalmasan kell kezelni a biztonsági rendszer felépítését. Megfelelı intézkedéseket kell hozni az informatikai eszközök fizikai védelme és az eszközökhöz történı hozzáférés ellenırzése céljából, beleértve az informatikai eszközök telephelyen kívül történı felhasználását is. Az informatikai biztonsági feladatokat dokumentálni kell az ellenırizhetıség és az utólagos számonkérhetıség érdekében. Kiszervezés esetén a szolgáltatónak is biztosítania kell a fenti feltételeket. A Kérdıív válaszai alapján (055) az intézményeknek csak mintegy 63%-nál van dokumentáltan kinevezett, az informatikai biztonságért felelıs személy vagy szervezet. A Kérdıív következı, a belsı informatikai biztonsági feladatok elvégzését helyettesítı külsıs szerzıdésekre vonatkozó kérdésére (056) csak 28%-ban adott igenlı választ, amelybıl következıen az intézmények jelentıs részénél nincs felelıse az informatikai biztonsági feladatok összefogásának és menedzselésének. Ez érezhetıen komoly biztonsági problémákat okozhat. Ennek ellenére a válaszadók 88%-a érzi úgy, hogy az informatikai biztonsági feladatok menedzselése megtörténik (057). Ez az ellentmondás is érzékelteti a megfelelıen dokumentált kontrollkörnyezet kialakításának és a független ellenırzés mőködésének fontosságát. Fontos megjegyezni, hogy a kontroll környezet fenntartásához szükséges feladatok nem egyszeri munkavégzést jelentenek, hanem folyamatos erıfeszítést igényelnek, annak érdekében, hogy a megfelelı informatikai biztonsági szint megmaradjon. Ennek érdekében rendszeres belsı informatikai biztonsági oktatásokat és informatikai ellenırzéseket kell végezni. 5.6.

Adatvédelmi kontrollok

A vonatkozó jogszabályok (Hpt. 13/C. § (5) e), Bszt. 12. § (6) e), Mny.tv. 77/A. § (5) e), Öpt. 40/C. § (5) e) pontok) elıírják, hogy a biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni „a távadatátvitel bizalmasságáról, sértetlenségérıl és hitelességérıl)”. A jogszabályok értelmében tehát a pénzügyi szervezeteknek „gondoskodniuk kell a bizalmas információk adattovábbítás és szállítás közben történı megvédésérıl, a jogtalan hozzáférések, a módosítások és a téves kézbesítések megakadályozásáról. Az Interneten illetve más nyilvános hálózatokon keresztül történı adattovábbítások kapcsán ki kell alakítani olyan eljárásokat, szabályokat, illetve számítástechnikai, 23



57


hálózati protokollokat, amelyek gondoskodnak a bizalmas üzenetek sértetlenségének, bizalmasságának és letagadhatatlanságának megırzésérıl. A szervezethez kívülrıl érkezı információk hitelességét és sértetlenségét megfelelı módon ellenırizni kell, bármilyen kritikus fontosságú lépés megtétele elıtt. Az adatok továbbításakor gondoskodni kell a megfelelı titkosításról, illetve a biztonságos protokollok (HTTPS, SSL, SSH, stb.) alkalmazásáról. Figyelembe véve, hogy napjainkban a távközlési lehetıségek szinte korlátlan sávhatára miatt a földrajzi és idıbeli határok nem jelentenek akadályt, a társaságoknak megfelelı eljárásokat és szabályokat kell kialakítania a bizalmas és kritikus elektronikus tranzakciók sértetlenségének és hitelességének biztosítása érdekében. Minden külsı hálózattal kapcsolatos információ-áramlást ellenırzés alatt kell tartani mindkét irányban. Az Internethez illetve más nyilvános hálózatokhoz történı kapcsolódás vonatkozásában megfelelı védelmet (pl. tőzfalakat, behatolás védelmi eszközöket, stb.) kell kialakítani a belsı erıforrásokhoz történı jogtalan hozzáférések illetve a szolgáltatások ellehetetlenítését célzó támadások (pl. Denial of Service) megakadályozása érdekében”24. Az adatvédelemmel kapcsolatos kérdésekre adott válaszok felsorolását a 8. számú melléklet tartalmazza. A Kérdıívre adott válaszok (030) szerint a külsıs cégek 40%ban kezelnek ügyféladatokat, amelyek jellemzıen tájékoztató és marketing valamint kivonatok és számlaértesítık nyomtatási feladataiból illetve kiszervezett informatikai tevékenységekbıl adódóan kerülnek a külsı harmadik félhez. Az adatok jelentıs része (031) alapvetıen az ügyfelek személyes és a pénzügyi szervezetnél tárolt az ügyfél azonosítására használt adatok (név, lakcím, születési hely és idı, telefonszám, kötvényszám, számlaszám, ügyfél azonosító szám, stb.). Ezek az információk általában (032) titkosítás (SSH, PGP, SFTP, SSL, stb.) után elektronikus csatornán (bérelt vonal, internet, ISDN) vagy elektronikus adathordozón (CD, DVD) kerül a külsıs szolgáltatóhoz. A válaszokból azonban érezhetı, hogy vannak még bizonytalanságok és hiányosságok (’A Szolgáltató kezeli az adatbázist”, „Az informatikai szolgáltatón keresztül”, „Szerzıdés szerint”, „Elektronikus úton”, stb.) amelyeket mindenképpen ki kell küszöbölni. Ha a külsı szolgáltatónak lehetısége van hozzáférnie az adatokhoz, azaz a titkosítás a külsı félnél ér véget, akkor nem kerülhetı meg a kiszervezés keretében történı szolgáltatás végzés. Azonban a kiszervezéstıl függetlenül mindenképpen védeni kell az adatokat az illetéktelen hozzáféréstıl. A Kérdıív szerint (034) kb. fele részben (48%) van szabályozás a külsı félnél történı adatkezelésre. A válaszok szerint (033) egyrészt adminisztratív („titoktartási nyilatkozat”, „szolgáltatói szerzıdések”, „bankcsoport szintő biztonsági szabályok és elıírások”, „törvényi elıírások”, „ISO27001 szerint”, stb.) illetve technikai megoldások („Tömörített titkosítás és jelszó védelem”, „Három szintő beléptetés”, „zárt technológiai folyamat és elkülönített tárolás”) védik a külsı szolgáltatóhoz került ügyféladatokat. A válaszokból azonban láthatók a hiányosságok is („Nem tudjuk”, „Nincs pontos információnk”, stb.). Fontos felhívni a megbízók figyelmét, hogy a külsı szolgáltatók feletti kontroll csak akkor mőködik, ha azzal kapcsolatban rendszeres naprakész információk állnak rendelkezésre. A 4.2. fejezetben említettek szerint alapvetı fontosságú, hogy a szolgáltatói szerzıdésekben vagy azok mellett, minél részletesebben kerüljenek 24



58


megfogalmazásra a külsı szolgáltatóval szemben megfogalmazott elvárások, amelyek legáltalánosabb formája a szolgáltatási szintek definiálása (SLA). A vonatkozó jogszabályok (Hpt. 13/C. § (5) f), Bszt. 12. § (6) f), Mny.tv. 77/A. § (5) f), Öpt. 40/C. § (5) f) pontok) elıírják, hogy a biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni „az adathordozók szabályozott és biztonságos kezelésérıl”. A Kérdıív erre vonatkozó (034) válaszai alapján a válaszadóknak csupán 48%-a rendelkezik az átvett adatok kezelésének szabályozásával és annak meghatározása, hogy meddig kezelheti ezeket az adatokat (035) nagyon eltérı válaszokat eredményezett („Nem tárolhat”, „Csak a szerzıdéses ideig”, „A felhasználás után megsemmisítik.”, „3 hónapig”, „5 évig”, „8 év az elektronikus számla adatok esetén”, stb.). A válaszok nagyon változatosak voltak arra a kérdésre (036) is, hogy milyen módon frissíti a külsı szolgáltató az adatokat („Nincs frissítés”, „Nem végez ilyen tevékenységet”, „Naponta”, „Automatikus frissítés”, stb.). Fontos felhívni a figyelmet, hogy az „adathordozók szabályozott és biztonságos kezelése érdekében, a kockázatelemzés alapján, megfelelı adattárolási szabályokat kell kialakítani, figyelembe véve a visszakereshetıséggel kapcsolatos követelményeket, a költség-hatékonyságot és a biztonsági alapelveket is”25. Lényeges, hogy az adatok megırzési idejét a jogszabályokkal összhangban határozzák meg és a gyakorlat ennek a szabályozásnak megfelelı legyen. A mentési médiák nyilvántartásának mindig aktualizáltnak és pontosnak kell lennie. Meg kell határozni a dokumentumok, adatok, és programok valamint az ezek rejtjelezéséhez és hitelesítéséhez használt adatok (kulcsok, tanúsítványok) megırzési idejét és tárolási feltételeit. „A vezetésnek gondoskodnia kell az adatokat tartalmazó tároló szisztematikus leltározásáról és arról, hogy a leltározás során talált eltérések idıben rendezésre kerüljenek, továbbá megfelelı intézkedéseket kell hozni a tárolt adathordozók sértetlenségének megırzése érdekében. A szabályozásnak vonatkoznia kell a mentési adathordozók külsején megjelenı azonosító címkékre, az adathordozók tárolására és fizikai mozgatásuk nyomon követésére annak érdekében, hogy mindig el lehessen velük számolni. Ki kell jelölni az adathordozó könyvtár (mágnesszalagok, cserélhetı szalag kazetták illetve egyéb cserélhetı adathordozó elemek, lemezek, CD, DVD) kezeléséért felelıs személyeket is”26. A vonatkozó jogszabályok (Hpt. 13/C. § (5) g), Bszt. 12. § (6) g), Mny.tv. 77/A. § (5) g), Öpt. 40/C. § (5) g) pontok) elıírják, hogy a biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni „a rendszer biztonsági kockázattal arányos vírusvédelmérıl”. A jogszabályi elıírás teljesítése érdekében pénzügyi szervezeteknek „gondoskodniuk kell arról, hogy a szervezet egészére kiterjedıen megfelelı eljárások kerüljenek kialakításra a számítógépes vírusokkal szembeni védelem érdekében. A fenti eljárásoknak a vírusvédelemre, a vírusok felderítésére, a megfelelı válaszlépésekre és a jelentési kötelezettségekre egyaránt ki kell terjedniük. Olyan szabályokat kell kialakítani és kontroll mechanizmusakt kell bevezetni, amelyek korlátozzák a személyes és az engedély nélküli szoftverek használatát. A szervezetnek víruskeresı és vírusirtó szoftvereket kell használnia minden olyan munkaállomáson 25 26



59


és szerveren, amelyek alkalmasak vírusok futtatására. Az informatikai részleg vezetésének rendszeres idıközönként ellenıriznie kell, hogy a szervezet személyi számítógépeire nem lettek-e telepítve engedély nélküli szoftverek”27. A rossz szándékú szoftverek vonatkozásában, mint amilyenek a számítógépes vírusok vagy a “trójai programok”, a vezetésnek megfelelı megelızı, észlelési és korrekciós mechanizmusokat, válaszlépéseket és jelentési eljárásokat kell kidolgoznia. A Kérdıívnek az információ biztonsághoz kapcsolódó kutatás fejlesztésre vonatkozó részei (037-040) gyakorlatilag azt tükrözik, hogy a társaságoknak ilyen jellegő tevékenysége szinte nincs (erre a kérdésre csupán 8 válasz érkezett, amelybıl hárman jelöltek meg konkrét tevékenységet illetve a nemmel válaszolók 1%-a jelezte, hogy van ilyen jövıbeni stratégiai célkitőzése). Az elenyészı ilyen jellegő feladatból a log-elemzés, a belsı hálózat kialakítása, a tanúsítvány kiadás biztonságának növelése, a titkosított külsı memória kialakítása és a menedzsment szoftver témák kerültek megnevezésre. 5.7.

Hozzáférések és jogosultságok menedzselése

A hozzáférések és a jogosultságok kezelése talán a laikusok számára is a legkönnyebben érthetı kontroll terület, de ezzel együtt ez a legérzékenyebb informatikai biztonsági feladat is. Mivel az információ századában élünk, ezért könnyen belátható, hogy aki sok adathoz és információhoz hozzáfér, az egyben a legnagyobb hatalommal bír, de egyben ı jelenti a legnagyobb mőködési kockázatot is. A hozzáférések biztosításának menedzselése nagyon komplex és bonyolult feladat. Ez az a terület, ahol – bár sok informatikai vonatkozása van - az üzleti területnek kell a legalapvetıbb döntéseket (ki, mikor, milyen üzleti adatokhoz, hogyan férhet hozzá) meghoznia, de ezt összhangban kell megtennie az informatikai biztonságért felelıs (informatikai biztonsági menedzser) személyekkel. Legtöbb esetben a vállalati kultúra fokmérıje is egyben, hogy a menedzsment a biztonsági kockázatok kárára is kikövetel-e elıjogokat vagy kivételezés nélkül, kényelmetlenségeket is vállalva aláveti-e magát a biztonsági elıírásoknak. Már ezen a területen eldıl, hogy megoldást találunk-e a „ki ırzi az ırzıket?” kérdésre vagy magas kockázatot vállalva, kontroll nélkül hagyjuk a rendszergazdákat vagy a külsıs szolgáltatókat és bizalmi elven várjuk, hogy hátha nem fogja meggondolni magát a „kulcsok ırzıje”. A jogosultság menedzseléssel kapcsolatos legfıbb megfontolásokat foglaljuk össze az alábbiakban. A vonatkozó jogszabályok (Mny.tv. 77/A. § (5) bekezdés c) pont, Öpt. 40/C. § (5) bekezdés c) pont, Bszt. 12. § (6) bekezdés c) pont, Hpt. 13/C. § (5) bekezdés c) pont) elıírják, hogy a biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni „a rendszer szabályozott, ellenırizhetı és rendszeresen ellenırzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelısségi körök, hozzáférés naplózás, rendkívüli események)”. Ez a gyakorlatban a hozzáférések- és a jogosultságok menedzselését jelentik. 27



60


A Kérdıívre adott válaszokból látható, hogy a jogosultságok kezelésének szabályozása (058) nagyrészt rendelkezésre áll (91%), de jogosan merül fel az a kérdés, hogy legalább szabályozás szinten miért nem teljes mértékben (100%) teljesül ez a feladat, mi van a maradék 9% esetén. Fontos, hogy a jogosultságok kezelésével kapcsolatos feladatok (igénylés, jóváhagyás, nyilvántartás, beállítás, ellenırzés) szabályozott legyen és a gyakorlat a szabályoknak megfelelı legyen („az elmélet és a gyakorlat összhangja”). A szabályozott esetekben is érezhetı, hogy a hozzáférések menedzselésében vannak még hiányosságok hiszen a külsıs szolgáltatók is csak 84%-ban (060) tartoznak a belsı szabályozás alá illetve még a kritikus rendszerek távoli hozzáférése (059) sem teljes körően szabályozott (csupán 85%). Az adatokhoz való hozzáférések legalapvetıbb követelménye, hogy a jogosultságok menedzselése megtörténjen (szabályozás, nyilvántartás, ellenırzés, stb.). A felelısségek megállapítását célzó, a Kérdıív ide vonatkozó egyik kérdésére (054) adott válaszokból az derül ki, hogy az alkalmazási rendszerek megfelelı kezelését biztosító felelısök (adatgazdák) dokumentált kinevezése csak az esetek 73%-ban teljesül. A feladatok és felelısségek meghatározása és számon kérhetısége érdekében elengedhetetlen, hogy jogosultságok kezelésével kapcsolatos feladatokat dokumentáltan határozzuk meg (az adatgazdák kijelölése történjen meg, az adott szerverek és alkalmazások rendszergazdáinak kijelölése dokumentált legyen, a legmagasabb jogú rendszer jelszavak borítékolása és az azzal kapcsolatos feladatok meghatározása dokumentált legyen). Problémás, hogy a jogosultsági szabályozás rendszer szinten (061) sem teljes körő (87%), azaz már elméleti szinten is elıfordulnak nem nyilvántartott és a hozzáférések menedzselése szempontjából kimaradó és nem kontrollált rendszerek. A nyilvántartásokra vonatkozó elıírások ismertetésekor már utaltunk, azok megfelelıségére, de a jogosultság menedzselés esetén ez úgyszintén kiemelt szempont. A hozzáférések menedzselése és ellenırzése csak akkor mőködıképes, ha lehetıség van az elméletileg lehetséges, azaz engedélyezett jogokat összehasonlítani az éppen aktuális beállított jogosultságokkal. Az ellenırizhetıség alapja tehát a nyilvántartás, amely feltételezi, hogy oda viszont úgyszintén csak szabályozott és kontrollált keretek között kerülhet be valaki (igénylési folyamat). A Kérdıív alapján ezen a területen is vannak hiányosságok, hiszen a válaszok szerint a nyilvántartás csak 75%-ban teljes körő (063) és abban a külsısök csak részben (67%) szerepelnek (064). Ez abból a szempontból is aggályos, hogy bevalottan (065) a külsısök 53%-ának van távoli hozzáférése az informatikai rendszerekhez és a tapasztalatok alapján a laza kontrolloknak köszönhetıen ez akár jóval nagyobb részt is képviselhet. Fontos, hogy a kiszervezést végzı külsıs munkatársak fölötti kontroll megmaradjon és ellenırizhetı legyen. Ez a gyakorlatban azt jelenti, hogy a külsıs cég dolgozói szerepelnek a jogosultság menedzselési rendszerben, azaz semelyikük sem kaphat jóváhagyás nélküli jogosultságot, tevékenysége a kockázatok arányában rögzítésre és elemzésre kerül. A gyakorlatban ez azt jelenti, hogy az Emberi erıforrás kezelésével megbízott szervezeti egység nyilvántartásba veszi a külsısöket is és az abban bekövetkezett változásokat nyomon követi. A külsısök által igényelt jogosultság természetesen a normál igénylési csatornákon eljut az arra feljogosított Tel: +361/7899323 PR-AUDIT Kft.

61


jóváhagyóhoz, aki látja, hogy küldıs dolgozóról van szó. A kapott jogosultság összhangban van a belsı jogosultságmenedzselés szabályokkal és folyamatokkal, dokumentált, ellenırizhetı és rendszeresen ellenırzött. A Kérdıív megfelelı kérdésére (lásd a 066 kérdésre adott válaszokat a 10. számú mellékletben) adott válaszaiból is látható, hogy a külsıs hozzáférések területe alapvetıen az üzemeltetés, a karbantartás, a hibaelhárítás, a fejlesztés és a támogatás. A válaszok alapján – és a gyakorlati tapasztalatok alapján – is látható, hogy sok esetben a külsısök teljes körő illetve a legkritikusabb biztonsági eszközökhöz (tőzfal, router, központi szerver, fı üzleti nyilvántartás, stb.) való hozzáféréssel rendelkeznek. Ez a tény felhívja a figyelmet a jogosultság menedzselés megfelelı szintő fontosságára és rendszeres kontrolljára. A Kérdıívre adott válaszokból (067) azonban, ezen terület kontrolljának hiányosságai is szembetőnıek (lásd a 067-es kérdésre adott válaszokat a 11. számú mellékletben). Amellett, hogy a fentiekben említettük az ellenırizhetıség alapját képezı nyilvántartások megbízhatóságának fontosságát, látható, hogy az ellenırzések gyakorisága is számos kívánni valót hagy maga után. A 163 válaszadó közül csak 122-en töltötték ki az utolsó dokumentált ellenırzés celláját, amelyben a válaszok nagy része csak év megjelölést tartalmazott illetve volt benne 2006-os (!), 2007-es (!), számos 2008-as dátum is. Alapvetı elvárás, hogy a külsıs szolgáltatókra is vonatkozzon a megbízóknál érvényben lévı jogosultságmenedzselési szabályozás és nem maradjanak ki a jogosultság nyilvántartásból illetve abban egyértelmően legyen feltüntetve, hogy külsıs vagy belsıs munkatársról van-e szó. Ebbıl következıen elengedhetetlenül fontos, hogy a kiszervezést végzıkre is mőködjön a hozzáférések rendszeres ellenırzése (az engedélyezett jogokkal megegyeznek-e a beállított jogok). Egy gondolatkísérletet végezve felmérhetı, hogy mennyire megvalósítható már egy közepes mérető pénzügyi szervezetnél is, szoftveres támogatás nélkül a dolgozók jogosultságainak aktualizált nyilvántartásának kezelése (pl. 30 fıvel, 50 rendszerrel, rendszerenként 10 féle jogosultságcsoporttal és dolgozónként havi 1 változással számolva!). Az ide vonatkozó válaszokból (062) látható, hogy a cégek 78%-ban már van központosított jogosultság nyilvántartás, azonban a hozzáférések menedzselésében csak nagyon csekély szoftveres támogatás valósul meg (lásd a 068-as kérdésre adott válaszokat a 12. számú mellékletben). A válaszadóknak csak mintegy 2/3-a (109) adott valamilyen választ és azokból csak töredék része említett valamilyen korszerő jogosultság menedzselı (BMC Control SA, Tivoli IDM, Novell IDM, informatikaiIM ESSENCE, HP SD, stb.) vagy saját fejlesztéső (JIR, CUA, egyedi SAM, stb.) rendszert. A válaszok legtöbbje papír alapú vagy excel-es nyilvántartásokra utal, amely nyilvánvalóan sem biztonságilag, sem kivitelezhetıség szempontjából nem megfelelı. A központi jogosultságmenedzselés legnagyobb elınye, hogy – a beépített automatizmusok segítségével – valóban lehetıvé válik az engedélyezett (a menedzsment által jóváhagyott és a biztonságért felelıs szakterületek által kiadhatónak minısített) jogosultságok összehasonlítása a valóban, az élı rendszerekben beállított jogokkal. Szoftveres támogatással rendelkezı nyilvántartás segítségével kezelhetı megfelelıen a folyamatosan változó hozzáférések, aktualizált és bármely idıpontra visszamenılegesen is nyomon követhetı beállításainak figyelemmel kísérése. Egy ilyen rendszer ad lehetıséget az Tel: +361/7899323 PR-AUDIT Kft.

62


egymással összeférhetetlen (adatrögzítı-jóváhagyó, üzleti felhasználó – rendszergazda, fejlesztı - üzemeltetı, stb.) funkciók felfedésére és a jóváhagyáskor történı észrevételére (preventív kontroll). A jogosultság menedzselés során fontos figyelembe venni a legnagyobb kockázatokat, azaz mindenkor a legnagyobb hatású felhasználókra illetve a legkritikusabb rendszerekre koncentrálni. A Kérdıív tanúsága szerint (063) az esetek 75%-ban teljesül az a követelmény, hogy nemcsak az alkalmazási rendszerekre, hanem az operációs rendszerekre és az adatbázis kezelıkre is kiterjedjen a jogosultságok nyilvántartása. Alapvetı elvárás, hogy minden informatika rendszernek legyen felelıse, aki tudatában van annak (felel érte), hogy ki, mikor, milyen joggal, milyen tevékenységet végezhet. 5.8.

Változások kezelése, fejlesztések.

A pénzügyi szervezeteknek az informatika területén megfelelı változáskezelési eljárással kell rendelkezniük. Erre vonatkozóan a legtöbb szakági törvényben konkrét rendelkezés van: • Öpt. 40/C. §. (6) A pénztárnak tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: a) informatikai rendszerének mőködtetésére vonatkozó utasításokkal és elıírásokkal, valamint a fejlesztésre vonatkozó tervekkel, d) olyan informatikai rendszerrel, amely lehetıvé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettıl, valamint a megfelelı változáskövetés és változáskezelés fenntartását, • Mny.tv. 77/A. §. (6) A pénztárnak tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: a) informatikai rendszerének mőködtetésére vonatkozó utasításokkal és elıírásokkal, valamint a fejlesztésre vonatkozó tervekkel, d) olyan informatikai rendszerrel, amely lehetıvé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettıl, valamint a megfelelı változáskövetés és változáskezelés fenntartását, • Hpt. 13/C. §. (6) A pénzügyi intézménynek tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: a) informatikai rendszerének mőködtetésére vonatkozó utasításokkal és elıírásokkal, valamint a fejlesztésre vonatkozó tervekkel, d) olyan informatikai rendszerrel, amely lehetıvé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettıl, valamint a megfelelı változáskövetés és változáskezelés fenntartását, • Bszt. 12. §. (7) Az (1) bekezdésben meghatározott befektetési vállalkozás és árutızsdei szolgáltató tevékenysége ellátásához, nyilvántartásai naprakész és Tel: +361/7899323 PR-AUDIT Kft.

63


biztonságos vezetéséhez a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket tesz és rendelkezik legalább a) az informatikai rendszerének mőködtetésére vonatkozó utasításokkal és elıírásokkal, valamint a fejlesztésre vonatkozó tervekkel, d) olyan informatikai rendszerrel, amely lehetıvé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettıl, valamint a megfelelı változáskövetés és változáskezelés fenntartását, A biztosítókra vonatkozó törvényben nem konkrét, hanem általános elıírás van, amely a tevékenység folytatásának feltételeként írja elı, hogy folyamatosan mőködnie kell a rendszernek és lennie kell a mőködési kockázatok csökkentését szolgáló információs és ellenırzési rendszernek. Ez alapján a biztosítóknak is meg kell felelniük a változáskezelés általános szabályainak. • Bit. 65. §. A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a mőködési kockázatok csökkentését szolgáló információs és ellenırzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv, A törvényi rendelkezések alapján mivel a pénzügyi szervezeteknek megfelelı változáskezelési eljárással kell rendelkezniük, a nekik szolgáltatást nyújtó társaságoknak is kell ilyen eljárással rendelkezniük, vagy a pénzügyi szervezet eljárásának kell érvényben lennie a szolgáltatók által végzett tevékenységekre vonatkozóan. A kérdıíves felmérésben a válaszadók harmadának 33%-nak nincs változáskezelési szabályzata, gyakorlatilag nem tartja be a törvényi elıírást. 077. kérdés: Van-e változáskezelési szabályozás? 67% igen A változáskezelési szabályzattal rendelkezı pénzügyi szervezeteknél is kevesebb az olyan pénzügyi szervezet, ahol van konkrét személy, aki felelıs a változáskezelésért, és a gyakorlatban betartatja, ellenırzi, vizsgálja a változáskezelés szabályait és dokumentálásának módját (minıségét). A felmérésben szereplı pénzügyi szervezetek közel felénél (46%) nincs olyan kinevezett személy, aki a változáskezelésért felel. Ha egy feladatnak nincs felelıse, akkor általában a végrehajtása sem szokott rendesen, szabályszerően megtörténni. 078. kérdés: Van-e változásmenedzser (olyan felelıs, aki a HW/SW/konfiguráció változások dokumentumait kezeli/ellenırzi)? 54% igen Egy olyan szabály betartása, betartatása, amellyel dolgozni kell, folyamatosan figyelni, dokumentálni és a munka közvetlen haszna nem is látszik nagyon nehéz. Az ilyen jellegő szabályok betartását a gyakori ellenırzés és a folyamatos figyelem tudja biztosítani, mert ha nem látszik a közvetlen haszon, akkor hamar ellazulnak a kontrollok és nem fog mőködni. Így van ez a változáskezelés folyamatával és dokumentációs kontrolljaival is, mivel annak haszna közvetlenül nem látszik és csak valamilyen hiba, vagy visszaélés döbbenti rá a menedzsmentet, hogy a változásokról tudniuk kellett volna. Mindezek alapján a változáskezelést is gyakran kell ellenırizni és mőködésének minıségét folyamatosan fenntartani, biztosítani. Azonban a Tel: +361/7899323 PR-AUDIT Kft.

64


válaszadók több mint felénél nem volt ellenırzés a változáskezelési folyamatra vonatkozóan. Ez általában jelzi is, hogy egy folyamat milyen mértékben mőködik jól (mint egy adóbevallásnál, ha nem tartunk az ellenırzéstıl, nem szívesen dolgozunk vele és a folyamat nem is mőködik). 079. kérdés: A változáskezelési folyamat mőködésére vonatkozóan volt-e független ellenırzés az elmúlt két évben? 49% igen A pénzügyi szervezetekre vonatkozó törvény a szolgáltatójukra is vonatkozik, azonban arra a kérdésre, hogy a szolgáltatóra vonatkozik-e a változáskezelési folyamat a válaszolók több, mint egy harmada (41%) jelezte, hogy nem. Ez azt jelenti, hogy a megbízott szolgáltatók nem tartják be az adott pénzügyi szervezet változáskezelési szabályait. Elméletileg lehet a szolgáltatónak is saját változáskezelési szabályozása és folyamata, de az a tény, hogy ez nem egyezik meg az adott pénzügyi szervezetével a két folyamat akár ütheti is egymást, de mindenképpen komoly kockázatot jelent a változáskezelési események utólagos bizonyíthatóságára nézve. 080. kérdés: A változáskezelési folyamat érvényes-e a külsısök által üzemeltetett rendszerekre is? 59% igen A változáskezelés esetében ez azt jelenti, hogy éles rendszeren tesztelnek, engedély nélkül módosítják a rendszert, vagy konfigurációt és utólag sok esetben nem lesz megállapítható, hogy ki, mikor, milyen változtatást hajtott végre. Mindez kiemelten kockázatos, ha a pénzügyi szervezet nem saját maga, hanem egy szolgáltató társaság végzi el a változások kezelését. Ilyen esetekben felmerül az irányítási és ellenırzési kontroll hiánya a pénzügyi szervezet részérıl (ami szintén törvényi elıírás), hiszen ha a pénzügyi szervezet nem tudja mi történt a rendszereiben (mi változott meg és mikor), akkor azt kontrollálni és ellenırizni sem tudja. A saját vizsgálati tapasztalataink is azt mutatják, hogy például a tőzfalak üzemeltetése esetén a szolgáltató társaság szinte semmilyen konfigurációval kapcsolatos dokumentációt nem készít, nincs nyilvántartva ki, mikor, milyen tőzfalszabályokat állított be, vagy törölt, senki nem ellenırizte stb. Hasonlókat tapasztatunk a nyilvántartó (számlavezetı, letétkezelı, befektetési nyilvántartó stb.) szoftverek esetében is. Kiemelt problémának értékeljük, ha egy kisebb pénzügyi szervezet gyakorlatilag az egész informatikai rendszerének üzemeltetését rábízza egy szolgáltatóra, vagy bármekkora szervezet a leglényegesebb nyilvántartó alkalmazásának üzemeltetését bízza az adott alkalmazás fejlesztıjére, mivel ezekben az esetekben a kontroll üzemeltetése és az ellenırzések végrehajtása szinte lehetetlenné válik. 5.9.

Üzletmenet-folytonosság.

A pénzügyi szervezeteknek a kritikus folyamataira vonatkozóan rendelkezniük kell üzletmenet-folytonossági tervvel (Business Continuity Plan = BCP). Erre vonatkozóan minden szakági törvény tartalmaz elıírásokat.


65


•

•

•

•

•

Öpt. 40/C. §. (6) A pénztárnak tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: c) a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítı egyéb - a tevékenységek, illetve szolgáltatások folytonosságát biztosító - megoldásokkal, g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel. Mny.tv. 77/A. §. (6) A pénztárnak tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: c) a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítı egyéb - a tevékenységek, illetve szolgáltatások folytonosságát biztosító - megoldásokkal, g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel. Hpt. 13/C. §. (6) A pénzügyi intézménynek tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: c) a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítı egyéb - a tevékenységek, illetve szolgáltatások folytonosságát biztosító – megoldásokkal g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel. Hpt. 13/C. §. (3) A hitelintézetnek írásban rögzített eljárásrendekkel, szabályzatokkal kell rendelkeznie: e) mőködési kockázatok mérésére, kezelésére, valamint vészhelyzeti és üzletmenet-folytonossági tervvel a folyamatos mőködés fenntartása, továbbá a súlyos üzletviteli fennakadásokból következı esetleges veszteségek mérséklése érdekében, Bit. 65. §. A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a mőködési kockázatok csökkentését szolgáló információs és ellenırzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv Bszt. 100. §. (6) A befektetési vállalkozás vészhelyzeti és üzletmenetfolytonossági tervet készít.

Az BCP létére adott válaszok alapján a pénzügyi szervezetek több mint 4/5-ének (83%) van BCP-je a kritikus folyamataira.


66


081. kérdés: Van-e a felsı vezetés által elfogadott üzletmenet-folytonossági terv [BCP] a kritikus folyamatokra? 83% igen Azonban ez azt is jelenti, hogy a válaszadók 17%-ának nincs üzletmenetfolytonossági terve. Rontja az összképet, hogy a BCP végrehajthatóságát (tehát azt, hogy egyáltalán alkalmas-e arra a BCP, hogy probléma esetén használhassa a Társaság) nem tesztelik. A vonatkozó kérdésre a válaszadók kevesebb mint 2/3-a (60%) válaszolt igennel. 082. kérdés: Tesztelik-e rendszeresen a kritikus rendszerek üzletmenet-folytonossági terveinek végrehajthatóságát? 60% igen A Társaságok 40%-ánál ki sem derülne az, hogy a meglévı és elfogadott BCP használhatatlan. A BCP aktualizálására vonatkozó kérdésre adott válaszok azt jelzik, hogy a Társaságok mindössze 77%-a figyel arra, hogy a BCP-je aktuális maradjon, vagyis probléma esetén a BCP egyáltalán használható legyen. 083. kérdés: Rendszeresen aktualizálják-e az üzletmenet-folytonossági terveket? 77% igen A BCP-hez kapcsolódó katasztrófa utáni helyreállítási tervet (Disaster Recovery Plan = DRP) a Társaságok 80%-a készít, a kérdésekre adott válaszok alapján (hasonló mértékben, mint a BCP esetében). 084. kérdés: Kidolgozták-e a kritikus rendszerek meghibásodásának helyreállítására vonatkozó katasztrófa-elhárítási terveket (DRP)? 80% igen A fenti kérdésekbıl látható, hogy az önbevallás alapján BCP és DRP a Társaságok több mint 80%-ának van. Problémának látjuk hogy a pénzügyi szervezetek közel ötödének (20%) nincs sem BCP-je, sem DRP-je, a vonatkozó törvényi elıírások ellenére sem. A dokumentumok (tervek) aktualitása és használhatósága már a válaszadók szerint is kérdéses az aktualizálás és tesztelés hiánya miatt. Külön kérdést tettünk fel a rendkívüli események (incidensek) nyilvántartására vonatkozóan, amelyre a válaszadók több mint 80%-a jelezte, hogy vezetnek nyilvántartást. Itt is problémának látjuk, hogy a pénzügyi szervezetek közel ötödét (20%) nem is érdekli a bekövetkezett rendkívüli esemény és az arra adott válaszintézkedés, mivel még nyilvántartást sem vezetnek. 085. kérdés: Vezetnek-e nyilvántartást a rendkívüli eseményekrıl? 82% igen A pénzügyi szervezetek kevesebb mint ¾-ének van szabályozása a rendkívüli helyzetek kezelésére vonatkozóan, amibıl az is következik, hogy a cégek több mint negyede nem készült fel arra, hogy egy rendkívüli helyzet esetén kinek mit kellene tennie. Ez azzal a kockázattal jár, hogy egy rendkívüli helyzet esetén a pénzügyi szervezet kapkod, egymásnak ellentmondó utasításokat adnak a vezetık, nem találják a hatáskörrel rendelkezı beosztottakat, nem tudják kitıl kell kérdezni és mit kell tenni. Mindez komoly problémát is okozhat, hiszen egy rendkívüli helyzet esetén Tel: +361/7899323 PR-AUDIT Kft.

67


a pénzügyi szervezet a probléma megoldása helyett elmélyítheti, vagy akár tönkre is teheti, hogy nem megfelelıen kezelik a helyzetet. 087. kérdés: Az incidensek kezelési folyamata szabályozott-e? 74% igen A pénzügyi szervezeteknek abban az esetben is, ha tevékenységük ellátásához külsıs cégeket alkalmaznak, gondoskodniuk kell a feladatok ellátásának folyamatosságáról. A szerzıdéses kapcsolat alatt mindenek elıtt az egyeztetett szolgáltatási szinteket (Service Level Agreement = SLA) kell betartani, vagy betartatni, amennyiben egyáltalán meghatározásra kerültek ilyen szintek. A kiszervezési szerzıdésekben a szolgáltatási szintek meghatározása csak a válaszadók 2/3-a esetében történt meg. 009. kérdés: Tartalmaznak-e a külsıs szerzıdések szolgáltatási szint megállapodást (SLA)? 67% igen Azonban a pénzügyi szervezeteknek gondolniuk kell arra, hogy a szerzıdéses partnerrel kapcsolatban problémák adódhatnak. Mi történik, ha egy adott szerzıdéses partnernél problémák jelennek meg pl.: nem megfelelıen szolgáltat, megszőnik, felszámolják. Egy pénzügyi szervezet esetében a jogszabályoknak megfelelı feladatvégzés egyik alapfeltétele, hogy legyen egy rendkívüli helyzetek esetére vonatkozó szabályzata. Ez szerzıdéses partner igénybevételekor azt jelenti, hogy a szabályzatnak tartalmaznia kell egyrészt a sürgıs támogatás igénybevételének szabályozott folyamatát, másrészt a szerzıdéses partner szolgáltatásának megszőnése esetén az üzletmenet folytatásának szabályait és eljárásait a szerzıdéses partner nélkül. A pénzügyi szervezetekre vonatkozó törvények egy részében a kiszervezés szabályozása elıírja, hogy a pénzügyi szervezetnek készítenie kell egy „rendkívüli helyzetek kezelésére kidolgozott intézkedési tervet” amely a szolgáltató megszőnésének kezelésére vonatkozik. • Hpt. 13/C. §. (5) A hitelintézetnek rendelkeznie kell a kiszervezésre vonatkozó szerzıdésben foglaltaktól történı eltérı tevékenységvégzésbıl eredı, rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel. • Mny.tv. 77/B. §. (4) A pénztárnak rendelkeznie kell a kiszervezésre vonatkozó szerzıdésben foglaltaktól eltérı tevékenységvégzésbıl eredı, rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel. A nyilvántartást végzı szervezet köteles negyedévente az adatállomány teljes körő mentésének egy példányát a pénztár részére átadni. • Öpt. 40/D. §. (4) A pénztárnak rendelkeznie kell a kiszervezésre vonatkozó szerzıdésben foglaltaktól eltérı tevékenységvégzésbıl eredı, rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel. A nyilvántartást végzı szervezet köteles negyedévente az adatállomány teljes körő mentésének egy példányát a pénztár részére átadni. • A befektetési szolgáltatók esetében a kiszervezı pénzügyi szervezetnek már a szerzıdés megkötése elıtt meg kell gyızıdnie arról, hogy a partnere megfelelı rendkívüli helyzetkezelési tervvel rendelkezik.


68


Bszt. 79. §. (3) Ha a befektetési vállalkozás befektetési szolgáltatási tevékenységét, kiegészítı szolgáltatását vagy kritikus funkcióját szervezi ki, a kiszervezésrıl szóló megállapodás megkötését megelızıen meggyızıdik arról, hogy a leendı szerzıdı fél e) rendelkezik-e olyan vészforgatókönyvvel, amely a vészhelyzetek megoldására és a biztonsági eszközök rendszeres felülvizsgálatára vonatkozó szabályokat tartalmazza. • A biztosítók szakági törvényében (Bit.) közvetlen elıírás nincs a kiszervezett tevékenységgel kapcsolatos rendkívüli helyzetekre vonatkozóan, azonban a Biztosítóra vonatkozó általános szabály érvényes a kiszervezett szolgáltató által végzett tevékenységre is, így a biztosító szolgáltatójának a biztosítóra vonatkozó szabályokat kell betartani. Bit. 65. §. A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a mőködési kockázatok csökkentését szolgáló információs és ellenırzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv. A vonatkozó törvényi elıírások ellenére a pénzügyi szervezetek kevesebb mint 2/3-a 61% készít rendkívüli helyzet kezelési tervet a szállító/szolgáltató nem megfelelı teljesítése illetve megszőnése esetére. Ez azzal a kockázattal jár, hogy a szállító/szolgáltató problémája esetén a pénzügyi szervezet nem tud gondoskodni a saját üzletmenetének folytatásáról és ezzel együtt az ügyfeleinek megfelelı kiszolgálásáról. A tesztelés hiánya nagyon sok esetben jelzi, hogy az adott pénzügyi szervezet nem is tudná végrehajtani az adott tervet, mivel elavultak, már a mentés nem is ott van, ahol jelzik, nem azt és oda mentik ahol a terv leírja, nem rendelkeznek megfelelı berendezéssel, amellyel egyáltalán végre tudnák hajtani a tervet stb. 086. kérdés: Kidolgoztak-e rendkívüli helyzet kezelési terveket a szállítók/szolgáltatók nem megfelelı teljesítése illetve megszőnése esetére? 61% igen Azoknál a pénzügyi szervezeteknél (80%), ahol egyébként készítenek BCP-t, DRP-t és incidenskezelési szabályzatot (74%) sem mindegyiknél érvényes a meglévı szabályzat a kiszervezett tevékenységet végzıre. A helyzet azért jelent komoly problémát, mert a kiszervezett szolgáltató, aki akár létfontosságú szolgáltatást nyújthat a pénzügyi szervezetnek és nem biztos, hogy együtt tud mőködni a pénzügyi szervezet alkalmazottaival (rendelkezésre állás, helyzetismeret stb.), és ezzel megakadályozhatja (akár szándékolatlanul is) a rendkívüli helyzet esetén a pénzügyi szolgáltatások folytatását, helyreállítását. 088. kérdés: Az incidenskezelési folyamat érvényes-e a külsıs szolgáltatókra is? igen

62%

Saját gyakorlatunk alapján is kijelenthetjük, hogy a tervek (BCP, DRP) sok esetben hiányosak és végrehajthatatlanok. Az adott szervezetek (nem csak pénzügyi szervezetek) nem tudják mőködıképesen visszaállítani legkritikusabb rendszereiket Tel: +361/7899323 PR-AUDIT Kft.

69


sem valamilyen háttérgépre, így ha lerobban a mőködı rendszer, háttérrendszer hiányában a szolgáltatás akár hosszabb idıre is megszakadhat. Egy-egy ilyen jellegő vizsgálatunk után komoly intézkedéseket hoztak a vállalkozások, hogy legalább a legkritikusabb rendszerük helyreállításában bízhassanak a vezetık. Szintén tapasztalatunk, hogy szolgáltató esetén (a hosszú üzleti kapcsolat alatt kialakult bizalomra tekintettel) az informatikát érintı tervek tesztjének végrehajtása a „szükségtelen”, „felesleges”, „úgysem történne semmi, mert jól ismerjük a rendszerünket” jelzıkkel elutasítják a BCP DRP tervek tesztelését. Ezek a társaságok, amikor végül is rászánják magukat a tesztelésre, akkor döbbennek meg a végrehajtás elején, hogy a tervek és a szakértelem, amiben bíztak, sok esetben alkalmatlanok a folyamatos üzletvitel biztosítására és a rendszerek mőködıképességének helyreállítására.

5.10. Naplózás, naplóelemzés. A pénzügyi szervezeteknek a kritikus informatikai folyamataik eseményeit naplózniuk kell, mint azt a szakági törvények elıírják. A naplózás esetében ez – lévén szó alapvetıen detektív kontrollról – azt jelenti, hogy biztosítani kell egy hiba (hardver, szoftver stb.), fejlesztési probléma, biztonsági incidens, rendkívüli esemény, vagy ügyfél panasz alapján megjelenı igény szerint azokat a nyomokat, amelyekbıl utólag megállapítható az, hogy ki, mikor és milyen mértékben változtatott meg valamit. Ez lehet egy érték az adatbázisban, egy paraméter az operációs rendszerben, egy eljárás a szoftverben, egy beállítás valamely informatikai rendszerelemben, vagy kritikusabb rendszerek esetén ki és mikor tekintett meg a munkájához nem feltétlen szükséges adatokat. •

Hpt. 13/C. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: d) olyan biztonsági környezetrıl, amely az informatikai rendszer mőködése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önmőködı) és érdemi értékelésére, illetve lehetıséget nyújt a nem rendszeres események kezelésére, • Mny.tv. 77/A. §. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: d) olyan biztonsági környezetrıl, amely az informatikai rendszer mőködése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önmőködı) és érdemi értékelésére, illetve lehetıséget nyújt a nem rendszeres események kezelésére, • Öpt. 40/C. §. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: d) olyan biztonsági környezetrıl, amely az informatikai rendszer mőködése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e


70


naplózás rendszeres (esetleg önmőködı) és érdemi értékelésére, illetve lehetıséget nyújt a nem rendszeres események kezelésére • Bszt: 12. §. (6) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább: d) olyan biztonsági környezetrıl, amely az informatikai rendszer mőködése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önmőködı) és érdemi értékelésére, illetve lehetıséget nyújt a nem rendszeres események kezelésére. A biztosítókra vonatkozó szakági törvény viszonylag röviden fogalmaz, de az abban foglaltak alapján nekik is gondoskodniuk kell az informatikai rendszer mőködése szempontjából kritikus folyamatok eseményeinek naplózásáról, mivel egy mőködési kockázatok csökkentését szolgáló információs és ellenırzési rendszer nem mőködhet ezen folyamatok nélkül. • Bit. 65. §. A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a mőködési kockázatok csökkentését szolgáló információs és ellenırzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv, Amint az a pénzügyi szervezetekre vonatkozó jogszabályokban rögzített, a kritikus tevékenység naplóban (fájlban, vagy egyéb adatszerkezetben) történı rögzítése, tárolása és ellenırzése rendszeres kell, hogy legyen. Mivel a pénzügyi szervezeteknek a rájuk vonatkozó szakági törvényeket be kell tartaniuk, így a szolgáltatójuk által végzett tevékenységek sem lehetnek kivételek. A biztonsági kontrolloknak ez nagyon lényeges eleme, ugyanis hogyan lehetne naplóállományok nélkül a detektív kontrollokat mőködtetni és utólag nyomon követni az eseményeket, valamint hitelt érdemlıen a számonkérést és a felelısségre vonást megtenni? A válasz természetesen az, hogy semmilyen módon, amelybıl az következik, hogy a menedzsment számára fontos tevékenységeket naplózni kell. Ezek a feladatok csak akkor végezhetık el, ha a változások és események nyomai eltárolásra kerülnek, naplózódnak. Ez képezheti az alapját a hibák kijavításának és biztosíthatja a felelısök számon kérhetıségét. Itt azonban felmerül az a kérdés, hogy mit is naplózzunk, hiszen az összes esemény naplózása láthatóan hatalmas informatikai erıforrásokat emésztene fel. Ebbıl következıen ezt a tevékenységet kizárólag csak alapos elızetes megfontolások, azaz koncepció alapján történhet. A kérdıíven a válaszadók csak egy részénél készült el és került érvénybehelyezésre a naplózási koncepció, de 61% nem készített naplózási koncepciót, vagy nem helyezte érvénybe. 089. kérdés: Van-e naplózási koncepció? 39% igen 090. kérdés: Van-e naplózási szabályozás? 32% igen 091. kérdés: A külsısök naplózása szerepel-e a szabályozásban (naplózási koncepció/naplózási szabályozás stb.)? 52% igen Azon pénzügyi szervezeteknél, ahol nincs naplózási koncepció, a naplózási rendszer kialakítása igen esetleges lehet. A naplózási koncepció elkészítésének célja, hogy meghatározza az informatikai rendszerek használata során a jogszabályok által elıírt Tel: +361/7899323 PR-AUDIT Kft.

71


és a vezetés által elvárt naplózandó eseményeket és elıírja a keletkezett naplók érdemi értékelésének módszereit és mindezt a kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon. Mivel ezen társaságok esetében ilyen nem készült el, nem várható el a naplózási rendszert kialakító szakemberektıl, hogy megfelelıen átgondolva, koncepció alapján, a teljes cég mőködését átlátva fejlesszék és helyezzék üzembe a naplózási rendszert. A naplózási koncepció egyébként az alapja a naplózási szabályzatnak is, mert az ebben szereplı győjtési és értékelési szabályok alapvetıen meghatározzák a szabályokat a naplózási rendszerünk használhatóságát és megfelelıségét, valamint nem utolsó sorban a költségeit is. A szabályzatban kerül kialakításra a koncepció alapján, hogy mit mikor és hogyan kell naplózni. A kérdıív alapján naplózási szabályzata a pénzügyi szervezetek mindösszesen 32%-ának van. Emellett a naplózási koncepció és a szabályzat nem is vonatkozik a szolgáltatókra csak a válaszadók alig több mint felénél (52%). Tapasztalataink alapján (tevékenységeink egyik lényeges része naplózási rendszerek kialakítása és hangolása a koncepciótól a beállításokra vonatkozó tanácsadásig) a naplózási rendszer kialakítása, mint „rendszer” a pénzügyi szerveztek kis részénél kezdıdött meg. A legtöbb esetben koncepció nélkül elkezdték kialakítani önálló szigetként egy-egy részrendszer naplózását, esetenként elıfordult, hogy egymással párhuzamosan fejlesztették különbözı részrendszerek naplózási megoldását, de azok sem követelmény, sem használhatóság szempontjából nem voltak egységesek. Mindezek oka alapvetıen a követelmények rögzítésének hiánya volt, amit egy megfelelı naplózási koncepció és szabályzat elfogadása kiküszöbölt volna. Amennyiben az informatikai rendszerek üzemeltetését nem maga pénzügyi szervezet, hanem egy szolgáltató végzi, a fenti problémák halmozottan jelentkeznek. Ebben az esetben a menedzsment (vagy az általa megbízott informatikai biztonsági felelıs) gyakorlatilag nem is tudná ellenırizni szaktudás, kialakított naplózó rendszer és megfelelı követelményrendszer hiányában, az informatikai rendszerekben történ kritikus tranzakciókat. A vizsgálati tapasztalataink megerısítik azt is, hogy a naplózás a szolgáltatók munkájának utólagos ellenırzése, vagy az ellenırzés lehetıségének megteremtése nem gyakorlat (ezt a felmérésben résztvevıkénél [52%] nagyobb mértékben tapasztaltuk). Ez átvezet minket a következı kérdésre, amely részben ellentmond az eddigieknek, mivel a válaszadók 80%-a jelezte azt, hogy naplózzák a külsısök hozzáférését. Az elızı kérdés ugyanis arról szólt, hogy a külsısök naplózása szerepel-e a szabályzatban, amelyre a válaszadók mindössze 52%-a jelezte hogy igen és arra a kérdésre, hogy naplózzák-e a külsısök hozzáférését már 80% válaszolta azt, hogy igen. Ez abban az esetben fordulhat elı, ha nem vonatkozik a szabályzat a külsısökre, de a kontrollt kialakították (vizsgálataink alapján nagyon ritkán tapasztaltuk). Azokban az esetekben, amikor az informatikai rendszert szinte teljes egészében, vagy egy-egy lényeges részét külsıs szolgáltatók üzemeltetik, a naplózás megfelelı kialakítása koncepció és szabályzat nélkül szinte lehetetlen feladat. 092. kérdés: A külsısök hozzáférését naplózzák-e? 80% igen Vannak olyan pénzügyi szervezetek, amelyek nyilvántartó rendszere nincs felkészítve arra, hogy az informatikai rendszer szempontjából kritikus eseményeket Tel: +361/7899323 PR-AUDIT Kft.

72


naplózzák (vizsgálati tapasztalatunk alapján), emellett olyan pénzügyi szervezetek is vannak, akik egyszerően nincsenek azzal tisztában, hogy a rendszerük valójában naplóz, mert még sosem nézték meg ezeket a menüpontokat. A válaszadók 81% jelezte azt, hogy az üzleti alkalmazásainak van beépített naplózó funkciója. Ez sajnálatos módon azt is jelenti, hogy közel 20%-uknak nincs (vagy nem ismerik) és gyakorlatilag nem felelnek meg a törvényi elıírásoknak. 093. kérdés: Az intézménynél üzemeltetett üzleti alkalmazásoknak van-e beépített naplózó funkciója? 81% igen Ez a tény, ha szolgáltató cég üzemelteti az adott üzleti rendszert, azzal a további kockázattal jár, hogy a pénzügyi szervezet nem is tudja adott esetben bizonyítani azt, hogy ki hajtott végre egy kritikus tranzakciót, vagy a bizonyítás nem lehet kétséget kizáró. A naplózás fontosságát nem gyızzük hangsúlyozni azokban az esetekben, amikor nem maga a pénzügyi szervezet, hanem egy szolgáltató üzemeltet egy adott kritikus rendszert „a kontrollt minden esetben fenn kell tartania a megrendelınek” (a józan ész mellett ez törvényi elıírás is). Az, hogy egy-egy adott pénzügyi szervezet mit, milyen informatikai tranzakciókat minısít kritikusnak, cégenként eltérı lehet. Ezt jelzi a következı két kérdésre adott válasz is, amely szerint a válaszadók mindössze 77%-a tekinti kritikusnak a hozzáférési jogok megváltoztatását és még ennél is kevesebben mindössze 69% tekinti kritikusnak a biztonsági beállítások módosítását. 094. kérdés: Naplózzák-e a hozzáférési jogosultságok megváltoztatását? 77% igen 095. kérdés: Naplózzák-e a biztonsági beállítások módosítását? 69% igen Minkét eseménytípus a legkritikusabb informatikai események közé tartozik. Hiszen ha egy felhasználónak megváltoztatják a jogait egy rendszerben, akkor olyan tranzakciót is végre tud hajtani, ami összeférhetetlen lenne a munkakörével, vagy engedély és jóváhagyás nélkül létrehozhatnak egy új felhasználói azonosítót, azzal végrehajtják a tranzakciót és törlik. Naplózás és rendszeres naplóelemzés nélkül erre utólag sem derülne fény. Hasonlóan a biztonsági beállítások módosítása is kritikus, hiszen ha egy erre egyébként joggal rendelkezı személy olyan változtatást hajt végre, hogy ne naplózódjanak az események, vagy ne kérjen a rendszer jelszót (esetleg a rendszer töröljön ki néhány lényeges adatot), akkor ennek végrehajtásáról sincs információja utólag senkinek. Ügyfélként nem valószínő, hogy szeretnénk egy olyan pénzügyi szervezetnél tudni a pénzünket, ahol adott esetben nem tudja megmondani senki, hogy ki csapolta meg a számlánkat, mert nem tudják ki, mikor milyen változtatást hajtott végre. Abban az esetben, ha az informatikai részrendszer üzemeltetése egy szolgáltató felelıssége, mindez kiemelten kockázatos, hiszen például egy tőzfalszabály helytelen módosítása (biztonsági beállítás), amely kinyitja a teljes belsı hálózatot az internet felıl, komoly veszélynek teszi ki az egész informatikai rendszert, amelyet egy megfelelıen felparaméterezett napló-elemzı és riasztó rendszer azonnal jelezhetne. Az informatikai rendszerek még kisebb szervezetek esetén is töménytelen mennyiségő naplóeseményt generálnak. Ezek rendszeres érdemi értékelése (elemzése) informatikai támogatás hiányában gyakorlatilag lehetetlen. Az hogy egy vállalkozás az informatikai rendszereiben keletkezı naplókat összegyőjti (normalizálja és elemezhetıvé teszi) sokat mond a naplóelemzésérıl. A válaszadók Tel: +361/7899323 PR-AUDIT Kft.

73


mindössze 52%-a alkalmaz naplógyőjtı szervert. A különbözı informatikai rendszerek különbözı tartalmú és felépítéső naplóeseményeket generálnak ugyanarról az eseményfajtáról. Ha nem győjtjük és tesszük elemezhetıvé az adatokat (naplóeseményeket), akkor az elemzésre annyi eszközt kell beszerezni, ahány fajta rendszerben keletkeztek a naplóesemények (gyakorlatilag elviselhetetlen költséggel járna) és ez azt is eredményezné, hogy a különbözı rendszerekben keletkezı eseményeket nem tudjuk egymással korrelálni (elemzési alaphiba). Vegyük például a belépést a rendszerbe egy Windows szerver egészen más felépítésben és tárolási formában generálja, mint egy linux vagy unix rendszer, továbbá az adatbázis-kezelı rendszerek is más-más tartalmú és formájú bejegyzést nyújtanak attól függıen, ki gyártotta ıket és mindezek tetejébe az egyedi fejlesztéső üzleti rendszerek egyedi naplóeseményeket generálnak (már ha egyáltalán generálnak ilyen). A különbözı forrásból és különbözı szerkezetben érkezı naplóeseményeket ezért egységes, elemezhetı formára kell konvertálni, és az összegyőjtött eseményeket egyben elemezni (értékelni). 096. kérdés: A naplóállományokat elemzésre összegyőjtik (pl. log szerverre)? 28% igen 097. kérdés: A naplóállományokat rendszeresen mentik-e? 80% igen 098. kérdés: Naplók / logok elemzéshez elemzı szoftvert vagy programokat használnak-e? 33% igen A naplóeseményeket – lévén szó alapvetıen detektív kontrollról – az utólagos elemzés és bizonyíthatóság szempontjából menteni és védeni kell. A pénzügyi szervezetek 20%-a a naplóeseményeket el sem menti, azaz utólag senki nem tudja megállapítani hogy ki, mikor, mit változtatott. Tapasztalatunk alapján van olyan pénzügyi szervezet, aki menti ugyan a naplókat, de az elmúlt 5 évben soha senki nem nézte meg (gyakorlatilag majdnem felesleges a mentés). A naplózás sok más mellett a rendszergazdák tevékenységének utólagos kontrolljára is szolgál. Ha a napló mentésének feladata és az utólagos módosítás lehetısége a rendszergazdánál van, akkor nem igazán jelent megbízható kontrollt a rendszergazda felett. A naplózó-szervernek a naplók győjtése mellett az is feladata, hogy a naplóeseményeket biztonságba helyezze, hiszen ha egy rendszergazda (a legmagasabb jogú felhasználó a rendszerében törölni akar valamit, azt meg is teszi, de ha a naplóesemény keletkezésekor egy a rendszergazda felügyeletén kívül álló rendszerre (naplózó-szerver) továbbítjuk az adatokat, a módosítás lehetısége jelentısen csökken, a megbízhatóság pedig megnı. Külsıs szolgáltató esetén ez a kontroll szintén sokat veszít a hatásfokából, hiszen egy szolgáltató a mőködıképesség fenntartása miatt akár csökkentett létszámmal is mőködtetni fogja a rendszereket, azaz a rendszergazdát felhatalmazza a naplószerver kezelésére is, és ezzel a kontroll mőködıképessége erısen csökkenhet. A pénzügyi szervezetek mindössze egyharmada (33%) alkalmaz elemzı szoftvert a naplók érdemi értékelésére. Mivel egy kisebb vállalkozás esetén már egy rendszer önmagában is milliószámra ontja a naplóeseményeket (általában emberi szem által olvashatatlan formában), ezek elemzése kézzel, szemmel nem lehetséges a rendelkezésre álló idı alatt. Így azokban az esetekben, ahol nincs informatikai támogatás az elemzésben, ott gyakorlatilag érdemi értékelés sincs (a válaszadók kétharmada nem tartja be a törvényi elıírásokat). Tel: +361/7899323 PR-AUDIT Kft.

74


099. kérdés: Dokumentálják-e a biztonsági eseményeket? 75% igen A biztonsági események dokumentálása, mint a naplók értékelésének egyik eredménye, a pénzügyi szervezetek háromnegyedénél történik meg. Ebben az esetben ezek a dokumentumok úgy mőködnek, mint naplók, hiszen azt jelzik egy utólagos ellenırzésnél, hogy a felelısök az adott biztonsági esemény okait felderítették, és olyan intézkedéseket hoztak, hogy a hasonló eseményeket elkerüljék. A hasonló 085. kérdésre adott válasz esetében „Vezetnek-e nyilvántartást a rendkívüli eseményekrıl? 82% igen”, ennél többen jelezték, hogy dokumentálják, sıt nyilvántartják a rendkívüli eseményeket. A pénzügyi szervezetek egy része 38%-a a naplók győjtését és értékelését külsıs szolgáltató igénybevételével végzi. Azonban a társaságok csak 28%-a kezeli kiszervezésként ezt a tevékenysége. Figyelembe véve azt, hogy a naplókban szinte minden esetben szerepel védendı titok is, az eltérés több mint érdekes, hiszen a szolgáltató cég így megkapja az adott pénzügyi szervezet védendı titkát is (banktitok, pénztártitok stb.). 100. kérdés: A naplóállományok győjtése és elemzése külsı szolgáltató igénybe vételével történik? 38% igen 101. kérdés: A külsı szolgáltató kiszervezés keretében végzi-e a fenti tevékenységet? 24% igen 5.11. informatikai stratégia, fejlesztési tervek A pénzügyi szervezetekre vonatkozó jogszabályok (Hpt. 13/C. § (6) a), Bszt. 12. § (7) a), Mny.tv. 77/A. § (6) a) és Öpt. 40/C. § (6) a) pontok) szerint a pénzügyi szervezetnek „tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következıkkel: a) informatikai rendszerének mőködtetésére vonatkozó utasításokkal és elıírásokkal, valamint a fejlesztésre vonatkozó tervekkel”. A fenti elıírás teljesítése érdekében a mőködésre vonatkozó szabályozások mellett fontos, hogy hosszú- és rövid távú (fejlesztési) tervek készüljenek. Ez a gyakorlatban az éves terveket és az ezt összefogó hosszú távú elképzeléseket és stratégiákat jelenti. Az üzleti élet manapság már elképzelhetetlen az informatika nélkül, amely ilyen formán az üzleti célok teljesítésének alapvetı feltétele. Az informatikai eszközök beüzemelése és fenntartása azonban jelentıs erıforrásokat köt le. Ebbıl következıen elengedhetetlen, hogy az informatikai erıforrások biztosítása szerepeljen a hosszú távú elképzelésekben és tervekben, azaz az üzleti- és informatikai stratégiában. Ugyancsak stratégiai döntés az erıforrások kezelésében, hogy külsı vagy belsı erıforrásokat kíván-e egy cég igénybe venni, azaz a külsıs cégek tevékenységének szükségességét szerepeltetni kell a stratégiában. A hitelintézeti törvény 2007. évi változása az irányítási rendszerre és kockázatkezelési követelményekre vonatkozóan jelentısen változott és egyik lényegi Tel: +361/7899323 PR-AUDIT Kft.

75


eleme a Hpt. 13/D. § (1) pontjában megfogalmazott elıírás, amely szerint a „hitelintézetnek a mérete, az általa végzett tevékenysége jellege, nagyságrendje és összetettsége arányában megbízható irányítási rendszerrel kell rendelkeznie”. Ez a törvényi változás tulajdonképpen a Bázel2 ajánlásokat követı EU-s direktívákból adódó hazai jogharmonizációjának része, amely egyben hasonló irányítási követelményeket támaszt mint az amerikai SOX (Sarbanes Oxley törvény). A törvény megköveteli, hogy a megbízható irányítási rendszernek legyen része „a kockázatok vállalására, mérésére, kezelésére, nyomon követésére és mérséklésére vonatkozó stratégiák és szabályzatok” kialakítására, „amelynek ki kell terjednie a makrokörnyezet és a gazdasági ciklus állapotának változásából eredı kockázatra is”. A hitelintézeti törvény 76/K. § (1) pontja továbbá kimondja, hogy a „hitelintézetnek megbízható, hatékony és átfogó stratégiával és eljárással kell rendelkeznie annak érdekében, hogy a jelenlegi és jövıben felmerülı kockázatainak fedezetéhez szükséges nagyságú és összetételő tıkét meghatározza és folyamatosan fenntartsa” valamint a 76/K. § (2) pont szerint a „hitelintézetnek legalább évente felül kell vizsgálnia az (1) bekezdés szerinti stratégiáját és eljárását annak érdekében, hogy azok összhangban legyenek a tevékenysége jellegével, nagyságrendjével és összetettségével”. A fentiek alapján látható, hogy az eddigi üzleti józan ész most már beépült a törvényi szabályozásba is és követelmény a hosszú távú tervezés és gondolkodás. A hosszú távú tervezés fontosságát hangsúlyozta a 2008 végén hazánkat is elérı pénzügyi- és gazdasági válságra vonatkozó gazdasági elemzésekkel is. A Kérdıív ide vonatkozó válaszaiból (045, 046) látható, hogy a pénzügyi szervezetek esetén az intézményeknek már 81%-a rendelkezik, az üzleti stratégiával összhangban lévı informatikai stratégiával, azonban a külsıs szolgáltatók csak 61%ban kerülnek feltüntetésre a stratégiákban. Figyelembe véve, hogy a külsıs szolgáltatók megbízásának jelentısége egyre nagyobb, ezért javasolt lenne, hogy a külsıs cégek alkalmazására vonatkozó döntések minél nagyobb arányban jelenlenek meg a hosszú távú elképzelésekben és stratégiákban. A vezetés felel azért, hogy olyan hosszú- és rövidtávú tervek kerüljenek kidolgozásra, végrehajtásra, amelyek megfelelnek a pénzügyi intézmény hosszú távú célkitőzéseinek és rövid távú céljainak. Az informatikai tervezési eljárásnak figyelembe kell vennie az üzleti, a környezeti, a technológiai és az emberi erıforrásokhoz kapcsolódó kockázatokat valamint a bekövetkezı változásokat. Az informatikai stratégia célja definiálni a vállalatok elérendı céljaihoz szükséges informatikai technikai és architektúrára vonatkozó fejlesztéseket és beruházásokat valamint felvázolni a megvalósítás feladatait. Az informatikai stratégiát javasolt legalább évente áttekinteni és a változásoknak megfelelıen aktualizálni, biztosítva a stratégia folyamatos frissítését (gördülı tervezés). Alapvetı elvárás, hogy a stratégia az érintettek körében ismert legyen, támogatást nyújtson a koncepcionális, valamint az operatív informatikai döntésekhez. A stratégiának iránymutatást kell adni az informatikai költségvetésének pénzügyi tervezéséhez és a beruházások elıkészítéséhez.


76


6. Irodalom jegyzék [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30]

Az 1992. évi LXIII. Törvény a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról – Atv. 1978. évi IV. törvény a Büntetı Törvénykönyvrıl - Btk. Az 1996. évi CXII. törvény a hitelintézetekrıl és a pénzügyi vállalkozásokról – Hpt. A 2007. évi CXXXVIII. törvény a befektetési vállalkozásokról és az árutızsdei szolgáltatókról, valamint az általuk végezhetı tevékenységek szabályairól - Bszt. A 2001. évi CXX. törvény a tıkepiacról – Tpt. A 2003. évi LX. törvény a biztosítókról és a biztosítási tevékenységrıl – Bit. Az 1997. évi LXXXII. törvény a magánnyugdíjról és a magánnyugdíjpénztárakról – Mny.tv. Az 1993. évi XCVI. törvény az Önkéntes Kölcsönös Biztosító Pénztárakról – Öpt. A tıkepiaci törvény kiszervezésre vonatkozó rendelkezésinek értelmezése (http://www.pszaf.hu/engine.aspx?page=pszafhu_tokepiacvonrend). A PSZÁF 2/2003. számú ajánlása – az adatkezelés szabályairól. A PSZÁF 2001. számú ajánlás a pénzügyi szervezetek mőködésének biztonsági feltételeirıl. A PSZÁF 3/2005. évi módszertani útmutatója a pénztárak informatikai biztonságáról. a PSZÁF 1/2007. számú módszertani útmutatója az informatikai biztonsági feltételekrıl. Kirner A., Pichler A.: Informatika ellenırzési kézikönyv – ISACA kiadvány 2007. Módszertan az információs rendszerek kontrolljainak ellenırzéséhez – ÁSZ 2007 Az informatikai stratégia kialakításának és megvalósításának irányelvei informatikaiB 2.sz ajánlás,1996. (informatikaiB ajánlások http://www.itb.hu/ajanlasok/) Informatikai biztonsági módszertani kézikönyv informatikaiB 8.sz ajánlás, 1994. informatikai rendszerek biztonsági követelményei informatikaiB 12.sz ajánlás, 1996 informatikaiKTB ajánlás (http://www.itktb.hu/) Common Criteria (MSZ ISO/IEC 15408, informatikaiB 16. számú ajánlása) TCSEC (http://en.wikipedia.org/wiki/TCSEC) informatikaiSEC http://www.bsi.de/zertifiz/itkrit/itsec-en.pdf) MSZE 15100:2005 Az informatikaszolgáltatás irányítása (informatikaiIL) MIBÉTS – Magyar informatikai Biztonsági Értékelési és Tanúsítási Séma (http://www.itktb.hu/engine.aspx?page=dokumentumtar&docstorefolder=11) CERT (http://www.cert.hu/altalanos-biztonsagi-temak/) MSZ EN ISO 27001:2006 Az információbiztonság irányítási rendszerei. MSZ ISO/IEC 13335:2005 Informatika. Az informatikai biztonság menedzselésének irányelvei MSZ ISO/IEC 15408:2003 Az informatikai biztonságértékelés közös szempontjai. A PSZÁF Informatika Felügyeleti Fıosztályvezetıjének prezentációja a 2005. évi pénztár konferencián (www.pszaf.hu/resource.aspx?ResourceID=szkonz054kirner) PSZÁF prezentáció – informatikai biztonsági Lízingreggeli 2008.03.27. (http://www.lizingszovetseg.hu/index.php?pageid=218)

[31] A PSZÁF Informatika Felügyeleti Fıosztályvezetıjének prezentációja a biztosítóknak rendezett konferencián 2005.05.24.-én Tel: +361/7899323 PR-AUDIT Kft.

77


(http://www.pszaf.hu/data/cms1571990/szkonz052kirner[1].pdf) [32] A PSZÁF jogászának (dr. Török Ilona) elıadása az engedélyezési feltételekrıl 2006.05.25.-én (http://www.pszaf.hu/data/cms818856/pszafhu_mifid_engedfelt.ppt) [33] PSZÁF prezentáció az IIR konferencián – 2006.04.26. [34] [35] Directive 2004/39/EC of the European Parliament and of the Council as regards organisational requirements and operating conditions for investment firms and defined terms for the purposes of that Directive [36] A kiszervezés egyik definíciója (http://www.adacsa.hu/outsourcing.php) [37] A Magyar Outsourcing Szövetség honlapja (http://www.hoa.hu/) [38] COBinformatikai (Control Objectives for Information and Related Technology) ver. 4.1. informatikaiGI 2005 (http://www.isaca.org/; http://www.isaca.hu/; http://www.isaca.org/cobitonline) [39] ISACA: informatikai control objectives for Basel2 [40] The Val informatikai Framework (A Val informatikai keretrendszer - Vállalati érték az informatikai befektetések irányításában) [41] COSO: Internal Control - Integrated Framework, 1994 [42] Office of Government Commerce: informatikai Infrastructure Library (informatikaiIL) [43] International Organisation for Standardisation: ISO/IEC 27000 [44] informatikai control objectives for Basel2 – informatikaiGI 2006 [45] 2004/39/EK – a pénzügyi eszközök piacairól (MIFID) [46] 2006/48/EK – a hitelintézeti tevékenység engedélyezésérıl (BASEL2), [47] 2006/49/EK – a befektetési vállalkozások és a hitelintézetek tıkemegfelelésér_l (BASEL2), [48] GL02 – CEBS Guidelines on outsourcing (http://www.cebs.org/GL02OutsourcingGuidelines.pdf) [49] GL03 – Guidelines on the application of the Supervisory REview Process. [50] GL09 – Guidelines for cooperation between supervisors. [51] GL10 – Guidelines on implementation of AMA and IRB. [52] Az Európai Bizottság 2006/73/EK irányelve. [53] Az Európai Parlament és a Tanács 2008/10/EK irányelve. [54] PSZÁF állásfoglalások (http://www.pszaf.hu/bal_menu/szabalyozo_eszkozok/allasfoglalasok)


78


7. Mellékletek 1. sz. melléklet – A pénzügyi szervezeteknek kiküldött kérdıív

Ssz.

Megnevezés

001

Az intézmény alkalmazottainak (belsıs munkatársainak) száma összesen

002

Ebbıl az informatikai munkakörben foglalkoztatott száma

003

Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársak száma:

004

Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársakközül informatikai munkakörben foglalkoztatottak száma:

Kiszervezéssel kapcsolatos kérdések - Szabályozás 005

Szabályozott-e a szerzıdéskötés rendje?

006

Van-e szerzıdés-nyilvántartás?

007

Mennyi külsıs szerzıdésük van?

008

A belsı szabályozások érvényesek-e a külsıs szolgáltatást végzıkre?

009

Tartalmaznak-e a külsıs szerzıdések szolgáltatási szint megállapodást (SLA)?

010

Figyelik-e és dokumentálják-e a szerzıdések teljesítésének alakulását?

011

Versenyeztetik-e a szállítókat- szolgáltatókat?

012

Milyen tevékenységeket végeznek külsıs cégek?

Kiszervezéssel kapcsolatos kérdések - Kiszervezés kezelése 013

Kiszervezés szempontjából értékelik-e (átnézték-e) a szerzıdéseket?

014

Mennyi kiszervezésként kezelt szerzıdésük van?

015

Volt-e (van-e) problémájuk a kiszervezés értelmezésével kapcsolatban?

016

Milyen jellegő problémájuk volt (van) a kiszervezés értelmezésével kapcsolatban?

017

Keresték-e ezzel a PSZÁF-ot írásban?

018


019

A külsıs szolgáltatók idegenkednek-e a kiszervezéstıl?

020

Mi volt a legfıbb problémájuk a külsıs szolgáltatóiknak a kiszervezéssel kapcsolatban?

021

Milyen konkrét jogszabályi változtatásokat javasolnának?

022

A kiszervezésnek minısülı tevékenységet az intézmény a PSZÁF-nak bejelentette-e?


79


023

Tájékoztatták-e az ügyfeleket a kiszervezés tényérıl?

024

Van-e külsıs fejlesztı?

025

A fejlesztési és az üzemeltetési környezetek szétválasztottak-e?

026

A fejlesztési és az üzemeltetési tevékenységek - a tevékenységet végzı személyében szétválasztottak-e?

027

A fejlesztési környezet adatai anonimizáltak-e?

028

Az intézmény biztonsági eszközeinek valamelyikét (hálózati eszközök/tőzfalak/ naplószerver stb.) külsı szolgáltató üzemelteti-e?

029

Ha igen - akkor milyen kontroll biztosítja ennek megbízhatóságát, mőködését?

Kiszervezéssel kapcsolatos kérdések - Adatvédelmi kontrollok 030

Van-e olyan informatikai munkafeladat (piackutatás/reklámszerzıdés/hírlevél küldés/kivonatnyomtatás stb.)ahol nem a pénzintézet által üzemeltetett adatbázisban ügyféladatokat kezelnek?

031

Ha volt ilyen eset akkor milyen ügyféladatok kerültek a külsıs céghez (pl. név/cím/számlaszám lehetıleg pontos felsorolás)

032

Ha volt ilyen eset akkor ezek az ügyféladatok hogyan milyen módon kerültek a külsıs céghez (milyen adatbázisból/milyen csatornán/milyen adatbázisba)?

033

Ha volt ilyen eset akkor milyen biztonsági intézkedések védik ezeket az adatokat a külsıs cégnél?

034

Van-e szabályozás eljárásrend arra, hogyan kell kezelni ilyen adatokat a külsıs cégnél?

035

Meddig tárolhat ilyen adatokat a külsıs cég?

036

Szükség esetén hogyan (milyen módon) frissíti az ilyen adatbázist a külsıs cég?

037

Milyen az információbiztonsághoz kapcsolódó kutatás-fejlesztési tevékenységet valósít meg az intézményén saját szervezetben?

038

Milyen az információbiztonsághoz kapcsolódó kutatás-fejlesztési tevékenységet valósít meg az intézményén külsıs fejlesztésben?

039

Amennyiben kutatás-fejlesztési tevékenységet nem valósít meg az intézmény stratégia célkitőzési között szerepel-e ennek megvalósítása?

040

Kutatás-fejlesztés tevékenység közben kerülnek-e (kerültek-e) ki ügyféladatok külsıs céghez?

Kiszervezéssel kapcsolatos kérdések - Kiszervezés ellenırzése 041

Van-e informatikai képzettségő belsı ellenır vagy informatikai belsı ellenırzést végzı szervezet?

042

Ha nincs informatikai belsı ellenır akkor van-e külsıs informatikai ellenırzés?

043

Van-e az informatikai ellenırzést végzıknek valamilyen informatikai auditori képesítése (pl. CISA/ISO271001)?

044

A belsı ellenırzése vagy az általa megbízott szakértı elvégezte-e a kiszervezett tevékenység évenkénti ellenırzését?

Egyéb kontroll kérdések - Informatikai stratégia 045

Van-e az intézménynek üzleti stratégiával összhangban lévı informatikai stratégiája?

046

A külsıs szolgáltatók szerepelnek-e a stratégiában?


80


Egyéb kontroll kérdések - Informatikai kockázatfelmérés és kezelés 047

Van-e szabályozás az informatikai kockázatmenedzselésre?

048

Milyen módszertanra alapozták a kockázatmenedzselést (pl. OCTAVE/CRAMM/saját egyedi)?

049

Van-e az intézménynél az informatikai kockázatok felmérésével és elemzésével megbízott felelıs személy?

050

Elvégezték-e az utóbbi két évben az intézménynél az informatikai biztonsági kockázatok törvényi elıírásoknak (Pl.: Hpt. 13/C, a Tpt. 101/A, Mnyp 77/A, Öpt 40/C, stb.) megfelelı felmérést és elemzést ?

051

Kialakították-e a kockázatfelmérés eredményeként az informatikai rendszer védelmét szolgáló kontrollokat?

052

Az intézmény felsı vezetése az informatikai jellegő maradék kockázatokat aláírt dokumentummal bizonyítható módon ismeri-e, vállalta-e?

053

A kockázat elemzésben szerepel-e a külsıs szolgáltatókból eredı kockázatok hatása?

Egyéb kontroll kérdések - informatikai biztonság 054

Van-e az intézménynél minden alkalmazási rendszerhez okirattal (Pl.: munkaköri leírás/SZMSZ) kinevezett adatgazda?

055

Van-e az intézménynél saját független (dokumentáltan) kinevezett az informatikai biztonságért felelıs személy vagy szervezet?

056

Ha nincs akkor van-e olyan külsıs szerzıdés, amely az informatikai biztonsági feladatok rendszeres elvégzésére vonatkozik?

057

Az informatikai biztonsági feladatok menedzselése megvalósul-e?

Egyéb kontroll kérdések - Hozzáférési jogosultságok szabályozása 058

Szabályozott-e a hozzáférési jogosultságok kezelése (igénylés/engedélyezés/törlés/ellenırzés stb.)?

059

A kritikus rendszerekhez való távoli hozzáférés szabályozott-e?

060

A külsıs hozzáférések is a belsı szabályozás szerint történik-e?

061

A jogosutlságkezelési szabályozás rendszer szinten teljeskörő-e?

062

Van-e központi jogosultságnyilvántartás?

063

A jogosultság nyilvántartás teljes körő-e (minden alkalmazásra/operációs rendszerre és adatbáziskezelıre)?

064

A külsısök szerepelnek-e a jogosultságnyilvántartásban?

065

Külsı szolgáltatónak van-e távoli hozzáférése bármelyik belsı informatikai rendszerhez?

066

Ha van külsıs hozzáférés akkor az mire terjed ki?

067

Mikor ellenırizték dokumentáltan utoljára a hozzáférési jogosultságokat?

068

A hozzáférési jogosultságok kezelését milyen számítástechnikai eszközökkel támogatják?

Egyéb kontroll kérdések – Nyilvántartások 069

Van-e teljes körő hardver és szoftver nyilvántartás?


81


070

A nyilvántartás megfelelıségét az elmúlt egy évben ellenırizték-e? (pl. belsı ellenırzés/vezetıi ellenırzés keretében)

071

Van-e szabályozás a szervereken és a munkaállomásokon használható szoftverekre vonatkozóan?

072

Ellenırzik-e rendszeresen hogy csak a jóváhagyott és engedélyezett szoftverek vannak-e feltelepítve a szerverekre illetve munkaállomásokra?

073

Dokumentált-e az intézmény informatikai hálózatának topológiája (szerverek és funkcióik/aktív eszközök/címtartományok/protokollok stb.)?

074

A küsı kapcsolatok teljes körően szerepelnek-e a topológiai ábrán?

075

A hálózaton az adatátvitel biztonságosabbá tétele érdekében használnak-e titkosítást?

076

Ellenırizték-e az elmúlt három évben a hálózat biztonságát?

Egyéb kontroll kérdések – Változáskezelés 077

Van-e változáskezelési szabályozás?

078

Van-e változásmenedzser (olyan felelıs aki a HW/SW/konfiguráció változások dokumentumait kezeli/ellenırzi) ?

079

A változáskezelési folyamat mőködésére vonatkozóan volt-e független ellenırzés az elmúlt két évben?

080

A változáskezelési folyamat érvényes-e a külsısök által üzemeltetett rendszerekre is?

Egyéb kontroll kérdések - Üzletmenet folytonossági terv 081

Van-e a felsı vezetés által elfogadott üzletmenet-folytonossági terv (BCP) a kritikus folyamatokra?

082

Tesztelik-e rendszeresen a kritikus rendszerek üzletmenet-folytonossági terveinek végrehajthatóságát?

083

Rendszeresen aktualizálják-e az üzletmenet-folytonossági terveket?

084

Kidolgozták-e a kritikus rendszerek meghibásodásának helyreállítására vonatkozó katasztrófaelhárítási terveket (DRP)?

085

Vezetnek-e nyilvántartást a rendkívüli eseményekrıl?

086

Kidolgoztak-e rendkívüli helyzet kezelési terveket a szállítók/szolgáltatók nem megfelelı teljesítése illetve megszőnése esetére?

087

Az incidensek kezelési folyamata szabályozott-e?

088

Az incidenskezelési folyamat érvényes-e a külsıs szolgáltatókra is?

Egyéb kontroll kérdések - Naplóállományok kiértékelése 089

Van-e naplózási koncepció?

090

Van-e naplózási szabályozás?

091

A külsısök naplózása szerepel-e a szabályozásban (naplózási koncepció, napló szabályozás)?

092

A külsısök hozzáférését naplózzák-e?

093

Az intézménynél üzemeltetett üzleti alkalmazásoknak van-e beépített naplózó funkciója?

094

Naplózzák-e a hozzáférési jogosultságok megváltoztatását?


82


095

Naplózzák-e a biztonsági beállítások módosítását?

096

A naplóállományokat elemzésre összegyőjtik (pl. log szerverre)?

097

A naplóállományokat rendszeresen mentik-e?

098

Naplók / logok elemzéshez elemzı szoftvert vagy programokat használnak-e?

099

Dokumentálják-e a biztonsági eseményeket?

100

A naplóállományok győjtése és elemzése külsı szolgáltató igénybe vételével történik?

101

A külsı szolgáltató kiszervezés keretében végzi-e a fenti tevékenységet?


83


2. sz. melléklet – A felmérésben érintett intézmények listája. Ssz. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Intézmény Abasár és Vidéke Takarékszövetkezet ADOSZT Egészségpénztár AEGON Magyarország Biztosító Zrt. AEGON Magyarország Önkéntes és Magánnyugdíjpénztár Agrár-Vállalkozási Hitelgarancia Alapítvány AGROKONT Brókerház Zrt. AHICO Amerika-Magyar Biztosító Zrt. AIM Általános Biztosító Zrt. Allianz Bank Zrt. Allianz Hungária Biztosító Zrt. Allianz Hungária Egészségpénztár Allianz Hungária Önkéntes és Magánnyugdíjpénztár Alsónémedi és Vidéke Takarékszövetkezet Aranykor Országos Önkéntes és Magánnyugdíjpénztár Attala Térségi Növénybiztosító Egyesület Autohome Magyarországi Biztosító Egyesület Aviva Életbiztosító Zrt. AXA Biztosító Zrt. AXA Önkéntes Egészségpénztár AXA Önkéntes és Magánnyugdíjpénztár Bakonyvidéke Takarékszövetkezet Banco Popolare Hungary Bank Zrt. Bank of China (Hungária) Hitelintézet Rt. Bank Plus Bank Zrt. Baranya Megyei Nonprofit Növénybiztosító Egyesület Biatorbágy és Vidéke Takarékszövetkezet Bodrogközi Non-Profit Növénybiztosító Egyesület Bóly és Vidéke Takarékszövetkezet Buda-Cash Brókerház Zrt. Budapest Hitel- és Fejlesztési Bank Nyrt. Budapesti Értéktızsde Zrt. (BÉT) CALYON Bank Magyarország Zrt CARDIF Biztosító Magyarország ZRt. Cashline Értékpapír Zrt. Chinoin Nyugdíjpénztár CIB Közép-Európai Nemzetközi Bank Zrt. CIB Önkéntes Kölcsönös Nyugdíjpénztár CODEX Értéktár Zrt. Commerzbank Zrt. Concorde Értékpapír Zrt. Credigen Bank Zrt


84


42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86

CREDinformatikaiEXPRESS FACTORING Pénzügyi Szolgáltató Rt Csongrád Megyei Növénybiztosító Egyesület D. A. S. Jogvédelmi Biztosító Zrt. Danubius Gyógyüdülık Országos Egészségpénztára Dimenzió Biztosító és Önsegélyezı Egyesület Dimenzió Egészségpénztár Drávamenti Takarékszövetkezet Eger és Környéke Takarékszövetkezet Életút Elsı Országos Önkéntes és Magánnyugdíjpénztár Elmő Nyugdíjpénztár Elsı Hazai Nyugdíjpénztár Endrıd és Vidéke Takarékszövetkezet EQUILOR Befektetési Zrt. ERSTE BANK HUNGARY Nyrt. ERSTE BANK Országos Önkéntes és Magánnyugdíjpénztár Erste Befektetési Zrt. ERSTE SPARKASSEN Biztosító Zrt. Esztergomi Takarékszövetkezet Euler Hermes Magyar Hitelbiztosító Zrt. Európai Utazási Biztosító Zrt. Évgyőrők Magánnyugdíjpénztár Fejér Megyei Állatbiztosító Egyesület FHB Jelzálogbank Nyrt. FHB Kereskedelmi Bank Zrt. FİGÁZ Kölcsönös Kiegészítı Nyugdíjpénztár Fundamenta-Lakáskassza Lakás-takarékpénztár Zrt. Generali Önkéntes Nyugdíjpénztár Generali-Providencia Zrt. Genertel Biztosító Zrt. GIRO Bankkártya Rt. GIRO Elszámolásforgalmi Zrt. Glencore Grain Hungary Kft. GRAWE Életbiztosító ZRt. GROUPAMA Biztosító Zrt. Gyöngyös-Mátra Takarékszövetkezet Halászi Takarékszövetkezet HAMILTON Tızsdeügynökség Zrt. Hanwha Bank Magyarország Zrt Határidıs-Tızsdeipar Kft. Hatvan és Vidéke Takarékszövetkezet HBW Express Takarékszövetkezet Hitelgarancia Zrt. Honvéd Egészségpénztár HONVÉD Nyugdíjpénztár Magánnyugdíjpénztári Ágazat HUNGÁRIA ÉRTÉKPAPÍR Befektetési és Értékpapírkereskedelmi Zrt


85


87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

HUNGÁRIA-ORDER Tızsdeügynöki Kft. HUNGAROGRAIN Tızsdeügynöki Szolgáltató Zrt. IKR-BRÓKER TİZSDEÜGYNÖKI Kft. ING Biztosító Zrt. ING Önkéntes és Magánnyugdíjpénztár JÓGAZDA Szövetkezeti Takarékpénztár K&H Biztosító Zrt. K&H Medicina Egészségpénztár K&H Önkéntes és Magánynyugdíjpénztár KBC EQUinformatikaiAS Broker Zrt. KDB Bank (Magyarország) Zrt. KELER Zrt. Kereskedelmi és Hitelbank Nyrt. Kinizsi Bank Zrt. Kisdunamenti Takarékszövetkezet Komárom-Esztergom Megyei Vadásztársaságok és Vadgazdálkodó Szervezetek Szövetsége Biztosítási Egyesülete Körmend és Vidéke Takarékszövetkezet Közlekedési Biztosító Egyesület Magyar Cetelem Bank Zrt. Magyar Exporthitel Biztosító Zrt. (MEHIB Zrt.) Magyar Export-Import Bank Zrt. Magyar Fejlesztési Bank Zrt. Magyar Posta Biztosító Zrt. Magyar Takarékszövetkezeti Bank Zrt. Magyar Vállalkozásfinanszírozási Zrt. Magyarországi Volsksbank Zrt. Malév Nyugdíjpénztár Mentı Nyugdíjpénztár Merkantil Bank Zrt. MKB Általános Biztosító Zrt. MKB Bank Nyrt. MKB Egészségpénztár MKB Életbiztosító Zrt. MKB Nyugdíjpénztár Mobilitás Önkéntes Nyugdíjpénztár Mohács és Vidéke Takarékszövetkezet Monor és Vidéke Takarékszövetkezet Mórahalom és Vidéke Takarékszövetkezet Nagybajom és Vidéke Takarékszövetkezet Nyúl és Vidéke Takarékszövetkezet Orgovány és Vidéke Takarékszövetkezet OTP Jelzálogbank Zrt. OTP Lakástakarékpénztár Zrt OTP Magánnyugdíjpénztár


86


131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174

Örkényi Takarékszövetkezet Patika Egészségpénztár Pilisvörösvár és Vidéke Takarékszövetkezet Pláninvest Bróker Zrt. Polgári Takarékszövetkezet Porsche Bank Hungaria Zrt. Postás Egészségpénztár Postás Kiegészítı Nyugdíjpénztár Postás Magánnyugdíjpénztár Premium Magánnyugdíjpénztár Provident Pénzügyi Rt. QUAESTOR Értékpapírkereskedelmi Befektetési Nyrt. QUAESTOR Nyugdíjpénztár Quaestor Országos Magánnyugdíjpénztár RÁBA Önkéntes Kiegészítı Nyugdíjpénztár RAIFFEISEN BANK Zrt. Rajka és Vidéke Takarékszövetkezet REÁLSZISZTÉMA Értékpapír-forgalmazó és Befektetı Zrt. Richter Gedeon Vegyészeti Gyár Rt.mellett mőködı Munkahelyi Önkéntes és Magánnyugdíjpénztár Sajóvölgye Takarékszövetkezet SAVARIA Takarékszövetkezet SIGNAL Biztosító Zrt. Siklós és Vidéke Takarékszövetkezet Solar Capital Markets Értékpapír Kereskedelmi Zrt. Soltvadkert és Vidéke Takarékszövetkezet SOPRON BANK Zrt. SPB Befektetési Zrt. Strategon Értékpapír Zrt. SWAP Tızsdeügynöki Zrt. Szeghalom és Vidéke Takarékszövetkezet Szegvár és Vidéke Takarékszövetkezet Szigetvári Takarékszövetkezet Szivárvány Biztosító Egyesület Szolnok Környéki Növénytermesztık Növénybiztosító Egyesülete Szomolyai Szılısgazdák Növénybiztosító Egyesülete Szıreg és Vidéke Takarékszövetkezet Taurus Nyugdíjpénztár Település-Szolgáltatók Önkéntes Nyugdíjpénztára Tempo Nyugdíjpénztár TEMPO Országos Önkéntes Kiegészítı Egészségpénztár TIR Biztosító Egyesület UniCredit Bank Hungary Zrt. UniCredit Jelzálogbank Zrt. UNION Biztosító Zrt.


87


175 176 177 178 179 180 181 182 183 184 185 186

UNIQA Biztosító Zrt. UNIQA és Egyesült Közszolgálati Nyugdíjpénztár Vasutas Önkéntes- és Magánnyugdíjpénztár VICTORIA-VOLKSBANKEN BIZTOSÍTÓ ZRt. Villamos-energiaipari Társaságok Nyugdíjpénztára VinformatikaiAMIN Egészségpénztár Volán Biztosító Egyesület Völgység-Hegyhát Takarékszövetkezet Wellness Országos Önkéntes Egészségpénztár WestLB Hungaria Bank Zrt. XI. Kerületi Polgármesteri Hivatal Nyugdíjpénztára Zemplén Takarékszövetkezet


88


3. számú melléklet - Az eldöntendı kérdésekre adott válaszok összesítése

Ssz.

Megnevezés

"Igen" "Nem" "Üres"

001

Az intézmény alkalmazottainak (belsıs munkatársainak) száma összesen

29929

002

Ebbıl az informatikai munkakörben foglalkoztatott száma

1677

003 004

Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársak száma: Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársak közül informatikai munkakörben foglalkoztatottak száma:

3317 297

Kiszervezéssel kapcsolatos kérdések – Szabályozás 005

Szabályozott-e a szerzıdéskötés rendje?

72%

19%

9%

006

Van-e szerzıdés-nyilvántartás?

87%

6%

7%

007

Mennyi külsıs szerzıdésük van?

22554

Átlag 165,84

A belsı szabályozások érvényesek-e a külsıs szolgáltatást végzıkre? Tartalmaznak-e a külsıs szerzıdések szolgáltatási szint megállapodást (SLA)? Figyelik-e és dokumentálják-e a szerzıdések teljesítésének alakulását?

74%

16%

10%

67%

25%

9%

85%

7%

8%

011

Versenyeztetik-e a szállítókat- szolgáltatókat?

71%

21%

8%

012

Milyen tevékenységeket végeznek külsıs cégek?

Lásd 4. sz. melléklet

008 009 010

Kiszervezéssel kapcsolatos kérdések - Kiszervezés kezelése 013

Kiszervezés szempontjából értékelik-e (átnézték-e) a szerzıdéseket?

88%

014

Mennyi kiszervezésként kezelt szerzıdésük van?

2455

015

Volt-e (van-e) problémájuk a kiszervezés értelmezésével kapcsolatban?

23%

016

Milyen jellegő problémájuk volt (van) a kiszervezés értelmezésével kapcsolatban?


017

Keresték-e ezzel a PSZÁF-ot írásban?

12%

80%

9%

018


25%

66%

9%

019

A külsıs szolgáltatók idegenkednek-e a kiszervezéstıl?

7%

84%

9%

020

Mi volt a legfıbb problémájuk a külsıs szolgáltatóiknak a kiszervezéssel kapcsolatban?


021

Milyen konkrét jogszabályi változtatásokat javasolnának?


89

5%

7%

Átlag 16,47 65%

12%



022

A kiszervezésnek minısülı tevékenységet az intézmény a PSZÁF82% nak bejelentette-e?

9%

9%

023

Tájékoztatták-e az ügyfeleket a kiszervezés tényérıl?

72%

19%

9%

024

Van-e külsıs fejlesztı?

68%

24%

8%

025

A fejlesztési és az üzemeltetési környezetek szétválasztottak-e?

72%

13%

15%

026

A fejlesztési és az üzemeltetési tevékenységek - a tevékenységet végzı személyében - szétválasztottak-e?

70%

16%

14%

027

A fejlesztési környezet adatai anonimizáltak-e?

61%

25%

15%

55%

37%

8%

22%

17%

61%

51%

9%

028 029

Az intézmény biztonsági eszközeinek valamelyikét (hálózati eszközök/tőzfalak/ naplószerver stb.) külsı szolgáltató üzemeltetie? Ha igen - akkor milyen kontroll biztosítja ennek megbízhatóságát, mőködését?

Kiszervezéssel kapcsolatos kérdések - Adatvédelmi kontrollok 030

Van-e olyan informatikai munkafeladat (piackutatás/reklámszerzıdés/hírlevél küldés/kivonatnyomtatás stb.)ahol nem a pénzintézet által üzemeltetett adatbázisban ügyféladatokat kezelnek?

40%

031

Ha volt ilyen eset akkor milyen ügyféladatok kerültek a külsıs céghez (pl. név/cím/számlaszám - lehetıleg pontos felsorolás)

Lásd a 8. sz. mellékletet.

032 033 034

Ha volt ilyen eset akkor ezek az ügyféladatok hogyan milyen módon kerültek a külsıs céghez (milyen adatbázisból/milyen csatornán/milyen adatbázisba)? Ha volt ilyen eset akkor milyen biztonsági intézkedések védik ezeket az adatokat a külsıs cégnél? Van-e szabályozás eljárásrend arra, hogyan kell kezelni ilyen adatokat a külsıs cégnél?

Lásd a 8. sz. mellékletet. Lásd a 8. sz. mellékletet. 48%

34%

18%

035

Meddig tárolhat ilyen adatokat a külsıs cég?


036

Szükség esetén hogyan (milyen módon) frissíti az ilyen adatbázist a külsıs cég?


037

Milyen az információbiztonsághoz kapcsolódó kutatás-fejlesztési tevékenységet valósít meg az intézményén saját szervezetben?


038

Milyen az információbiztonsághoz kapcsolódó kutatás-fejlesztési tevékenységet valósít meg az intézményén külsıs fejlesztésben?


039 040

Amennyiben kutatás-fejlesztési tevékenységet nem valósít meg az intézmény stratégia célkitőzési között szerepel-e ennek megvalósítása? Kutatás-fejlesztés tevékenység közben kerülnek-e (kerültek-e) ki ügyféladatok külsıs céghez?

1%

74%

25%

1%

72%

28%

35%

55%

10%

54%

25%

21%

60%

20%

20%

Kiszervezéssel kapcsolatos kérdések - Kiszervezés ellenırzése 041 042 043

Van-e informatikai képzettségő belsı ellenır vagy informatikai belsı ellenırzést végzı szervezet? Ha nincs informatikai belsı ellenır akkor van-e külsıs informatikai ellenırzés? Van-e az informatikai ellenırzést végzıknek valamilyen informatikai auditori képesítése (pl. CISA/ISO271001)?


90


044

A belsı ellenırzése vagy az általa megbízott szakértı elvégezte-e a kiszervezett tevékenység évenkénti ellenırzését?

71%

15%

15%

Egyéb kontroll kérdések - Informatikai stratégia 045

Van-e az intézménynek üzleti stratégiával összhangban lévı informatikai stratégiája?

81%

9%

10%

046

A külsıs szolgáltatók szerepelnek-e a stratégiában?

61%

26%

13%

Egyéb kontroll kérdések - Informatikai kockázatfelmérés és kezelés 047

Van-e szabályozás az informatikai kockázatmenedzselésre?

83%

048

Milyen módszertanra alapozták a kockázatmenedzselést (pl. OCTAVE/CRAMM/saját egyedi)?

Lásd a 8. sz. mellékletet

049

Van-e az intézménynél az informatikai kockázatok felmérésével és elemzésével megbízott felelıs személy?

77%

8%

9%

15%

9%

050

Elvégezték-e az utóbbi két évben az intézménynél az informatikai biztonsági kockázatok törvényi elıírásoknak (Pl.: Hpt. 13/C, a Tpt. 82% 101/A, Mnyp 77/A, Öpt 40/C, stb.) megfelelı felmérést és elemzést ?

9%

10%

051

Kialakították-e a kockázatfelmérés eredményeként az informatikai rendszer védelmét szolgáló kontrollokat?

83%

7%

9%

61%

29%

10%

66%

24%

10%

052 053

Az intézmény felsı vezetése az informatikai jellegő maradék kockázatokat aláírt dokumentummal bizonyítható módon ismeri-e, vállalta-e? A kockázat elemzésben szerepel-e a külsıs szolgáltatókból eredı kockázatok hatása?

Egyéb kontroll kérdések - informatikai biztonság 054

Van-e az intézménynél minden alkalmazási rendszerhez okirattal (Pl.: munkaköri leírás/SZMSZ) kinevezett adatgazda?

73%

18%

9%

055

Van-e az intézménynél saját független (dokumentáltan) kinevezett az informatikai biztonságért felelıs személy vagy szervezet?

63%

29%

8%

056

Ha nincs akkor van-e olyan külsıs szerzıdés, amely az informatikai biztonsági feladatok rendszeres elvégzésére vonatkozik?

28%

28%

44%

057

Az informatikai biztonsági feladatok menedzselése megvalósul-e?

88%

4%

8%

Egyéb kontroll kérdések - Hozzáférési jogosultságok szabályozása 058

Szabályozott-e a hozzáférési jogosultságok kezelése (igénylés/engedélyezés/törlés/ellenırzés stb.)?

91%

1%

8%

059

A kritikus rendszerekhez való távoli hozzáférés szabályozott-e?

85%

6%

9%

060

A külsıs hozzáférések is a belsı szabályozás szerint történik-e?

84%

5%

11%

061

A jogosutlságkezelési szabályozás rendszer szinten teljeskörő-e?

87%

4%

9%

062

Van-e központi jogosultságnyilvántartás?

78%

13%

9%

063

A jogosultság nyilvántartás teljes körő-e (minden alkalmazásra/operációs rendszerre és adatbáziskezelıre)?

75%

16%

9%

064

A külsısök szerepelnek-e a jogosultságnyilvántartásban?

67%

21%

11%


91


065

Külsı szolgáltatónak van-e távoli hozzáférése bármelyik belsı informatikai rendszerhez?

53%

066

Ha van külsıs hozzáférés akkor az mire terjed ki?

Lásd a 10.sz. mellékletet.

067 068

Mikor ellenırizték dokumentáltan utoljára a hozzáférési jogosultságokat? A hozzáférési jogosultságok kezelését milyen számítástechnikai eszközökkel támogatják?

39%

9%

Lásd a 11.sz. mellékletet. Lásd a 12.sz. mellékletet.

Egyéb kontroll kérdések - Nyilvántartások 069

Van-e teljes körő hardver és szoftver nyilvántartás?

90%

2%

9%

070

A nyilvántartás megfelelıségét az elmúlt egy évben ellenırizték-e? 84% (pl. belsı ellenırzés/vezetıi ellenırzés keretében)

7%

9%

83%

7%

9%

86%

5%

9%

77%

13%

9%

71%

16%

13%

61%

28%

10%

79%

12%

9%

071 072

073 074 075 076

Van-e szabályozás a szervereken és a munkaállomásokon használható szoftverekre vonatkozóan? Ellenırzik-e rendszeresen hogy csak a jóváhagyott és engedélyezett szoftverek vannak-e feltelepítve a szerverekre illetve munkaállomásokra? Dokumentált-e az intézmény informatikai hálózatának topológiája (szerverek és funkcióik/aktív eszközök/címtartományok/protokollok stb.)? A küsı kapcsolatok teljes körően szerepelnek-e a topológiai ábrán? A hálózaton az adatátvitel biztonságosabbá tétele érdekében használnak-e titkosítást? Ellenırizték-e az elmúlt három évben a hálózat biztonságát? Egyéb kontroll kérdések - Változáskezelés

077

Van-e változáskezelési szabályozás?

67%

25%

9%

078

Van-e változásmenedzser (olyan felelıs aki a HW/SW/konfiguráció 54% változások dokumentumait kezeli/ellenırzi) ?

36%

10%

079

A változáskezelési folyamat mőködésére vonatkozóan volt-e független ellenırzés az elmúlt két évben?

49%

41%

10%

080

A változáskezelési folyamat érvényes-e a külsısök által üzemeltetett rendszerekre is?

59%

28%

13%

Egyéb kontroll kérdések - Üzletmenet folytonossági terv 081

Van-e a felsı vezetés által elfogadott üzletmenet-folytonossági terv 83% (BCP) a kritikus folyamatokra?

7%

9%

082

Tesztelik-e rendszeresen a kritikus rendszerek üzletmenetfolytonossági terveinek végrehajthatóságát?

60%

30%

10%

083

Rendszeresen aktualizálják-e az üzletmenet-folytonossági terveket?

77%

12%

11%

084

Kidolgozták-e a kritikus rendszerek meghibásodásának helyreállítására vonatkozó katasztrófa-elhárítási terveket (DRP)?

80%

10%

9%

085

Vezetnek-e nyilvántartást a rendkívüli eseményekrıl?

82%

9%

9%

086

Kidolgoztak-e rendkívüli helyzet kezelési terveket a szállítók/szolgáltatók nem megfelelı teljesítése illetve megszőnése 61% esetére?

29%

10%

087

Az incidensek kezelési folyamata szabályozott-e?

17%

9%


92

74%


088

Az incidenskezelési folyamat érvényes-e a külsıs szolgáltatókra is?

62%

26%

12%

Egyéb kontroll kérdések - Naplóállományok kiértékelése 089

Van-e naplózási koncepció?

79%

12%

9%

090

Van-e naplózási szabályozás?

67%

24%

9%

091

A külsısök naplózása szerepel-e a szabályozásban (naplózási koncepció/naplózási szabályozás stb.)?

52%

36%

12%

092

A külsısök hozzáférését naplózzák-e?

80%

8%

12%

093

Az intézménynél üzemeltetett üzleti alkalmazásoknak van-e beépített naplózó funkciója?

81%

10%

9%

094

Naplózzák-e a hozzáférési jogosultságok megváltoztatását?

77%

15%

9%

095

Naplózzák-e a biztonsági beállítások módosítását?

69%

21%

9%

096

A naplóállományokat elemzésre összegyőjtik (pl. log szerverre)?

52%

40%

9%

097

A naplóállományokat rendszeresen mentik-e?

80%

12%

9%

098

Naplók / logok elemzéshez elemzı szoftvert vagy programokat használnak-e?

33%

58%

9%

099

Dokumentálják-e a biztonsági eseményeket?

75%

16%

9%

38%

52%

10%

28%

58%

14%

100 101

A naplóállományok győjtése és elemzése külsı szolgáltató igénybe vételével történik? A külsı szolgáltató kiszervezés keretében végzi-e a fenti tevékenységet?


93


4. számú melléklet – Válaszok a Kérdıív 12-es pontjára.

012. kérdés: Milyen tevékenységeket végeznek külsıs cégek?

121 válasz érkezett 2-ik szintő támogatást; Fejlesztést. A bank mőködésével összefüggı beszállítói tevékenységek; Telekommunikációs szolgáltatások; Vállalkozási- és megbízási tanácsadói egyéb szolgáltatói együttmőködések. A Bank pénzügyiilletıleg kiegészítı pénzügyi szolgáltatási tevékenységéhez kapcsolódó olyan tevékenységeket amelyek során adatkezelés adatfeldolgozás adattárolás valósul meg úgy mint (i) az irattározás (ii) az átutalási/fizetési megbízások feldolgozásával kapcsolatos tevékenységek (iii) a számlakivonatok nyomtatása (iv) az expedíciós tevékenységek (v) egyes bankkártya kibocsátói -forgalmazási és elszámolási tevékenységek (vi) a Bázel II hitelezıi kockázati riportok készítéséhez az informatikai környezet biztosítása. A szerzıdések nagy számára való tekintettel általánosan fogalmazva a Hpt. szerinti pénzügyi és pénzügyi kiegészítı szolgáltatásokon kívüli tevékenységek. Adatfeldolgozás; kárszakértıi; nyomozási tevékenység; rendszerfejlesztés; üzemeltetéstámogatás; nyomdai megszemélyesítés. adatkezelés adatfeldolgozás adatmentés fejlesztés kommunikáció tanácsadás audit. adatvédelem információ biztonság GIRO küldés -fogadás bankinformatikai rendszerszoftver tesztelés KHR felé történı adattovábbítás webbank üzemeltetés. adminisztrációs szolgáltatás könyvvizsgálat tanácsadás. Aktuáriusi feladatok, Jogtanácsosi feladatok, Számviteli feladatok. Analitikus nyilvántartás supportja könyvelés munkaügy. Az informatikai területhez kapcsolódó legfontosabb külsı szolgáltató által végzett tevékenységek: szoftverfejlesztés telekommunikációs szolgáltatás szoftver karbantartás- és követés hardware karbantartás adatátviteli vonalak szolgáltatása bankszámlakivonatok nyomtatása borítékolása postázása a bank analitikus és fıkönyvi nyilvántartási rendszere mőködtetéséhez kapcsolódó karbantartási rendszer-felügyeleti rendszertámogatási üzemeltetés-biztonsági és egyéb feladatok kimenı és bejövı SWIFT üzenetek embargó-sz. Bankkártya-gyártás/kivonatküldés. Bankszámla kivonatok nyomtatása kézizálog fedezetek értékelése dokumentumok tárolása számítógépes adatfeldolgozás szoftverfejlesztés karbantartási-javítási munkák fordítás-tolmácsolás ügyvédi szolgáltatás stb. Bérbeadás Ingatlan üzemeltetés közüzemi szolgáltatások nyújtása Távközlési szolgáltatás Kárrendezés kárszakértés Elektronikus adatfeldolgozás Jogi képviselet egyéb jogi feladatok ellátása Reklám- PR és marketing tevékenység Áruk és egyéb szolgálatások nyújtása Informatikai fejlesztés üzemeltetés Postai pénzügyi szolgáltatások nyújtása Humán erıforrás gazdálkodáshoz kapcsolódó szolgáltatások. Tel: +361/7899323 PR-AUDIT Kft.

94



Bérelt vonalhálózat. bérszámfejtés ügyvédi szolgáltatás. Bérszámfejtés. Biztosítási ügymenet körébe tartozó tevékenységeket bérszámfejtésinformatikai üzemeltetés informatikai fejlesztés tanácsadás oktatás marketing. Borítékolás. Compliance officer-i tevékenység. Core rendszerek hostingja, standard és Direkt Marketin levelek megszemélyesítése, marketing kutatások, laptop menedzsment. EDI SZÁMLA BORÍTÉKOLÁS KÁRTYAGYÁRTÁS ZÁROLÁS. Elektronikus adatfeldolgozás, kárrendezés. Elektronikus bankolás; Szoftver-támogatás. EPK kivonat nyomtatás. Fejlesztés informatikai infrastruktúra üzemeltetés. Fejlesztés üzemeltetés; szakértıi tevékenység javítói tevékenység; nagytömegő nyomtatás irattári kikérések nyomtatványkezelési szolgáltatás fordítás nyomtatvány gyártás szállítás; adatrögzítési és feldolgozási tevékenység életbiztosítási senior egészségi kockázat-elbírálás; hívásfogadás. Fejlesztés; adatrögzítés; tanácsadás. Fejlesztés; informatikai biztonság; informatikai karbantartás; csekknyomtatás; Fogl. eü. szőrés; vagyonkezelés. Fejlesztés; informatikai infrastruktúra üzemeltetés; ügyviteli rendszer üzemeltetés; jogász; aktuárius; vagyonkezelés. Fejlesztés; Karbantartás; Üzemeltetés. Fejlesztés; Második szintő támogatás. Fejlesztés; support; Bérszámfejtés/TB; Tárgyieszköz-nyilvántartás; gépjármőgazdálkodás; jogi tevékenység; adó. Fejlesztés;üzemeltetés; követeléskezelés; befketetés; nyomtatás; postázás; archiválás;megsemmisítés. GIRO forgalom fogadása továbbítása KHR referenciaadatokkal kapcsolatos adattovábbítás hitelintézeti szoftver rendszerkövetésének karbantartásának fejlesztésének biztosítása. Giro SMSküldés házibank kommunikációnál SSH szerver biztosítása béreltvonalbiztosítása. Honlap üzemeltetés, jogi és PR szakértıi szerzıdések + számtalan (pl. kommunikációs) szolgáltatás nyújtás. HW/SW szállítás; fejlesztés; tesztelés; karbantartás; szaktanácsadás. Info-kommunikációs és távközlési szolgáltatások (ICT); Tőzvédelem; Reklámszolgáltatás; Irattározás; Postázás; Közüzemi szolgáltatások; Ingatlanfenntartással kapcsolatos szolgáltatások; Biztonságtechnikai szolgáltatások; Munkaerı közvetítés; Futárszolgálat; Telefonhálózat karbantartás; Irodatechnikai szolgáltatások; gépjármőparkkal kapcsolatos szolgáltatások; pénzügyi szolgáltatások; Ügyvédi tevékenység; Telefonos marketing tevékenységek.


95



Informatika Könyvvizsgálat. Informatika; Könyvelés. informatikai alapszolgáltatás adatátvitel karbantartás audit Informatikai feladatok és bérszámfejtés. Informatikai nyomtatási; aktuáriusi; portfoliókezelıi; prevenció; irattározás. Informatikai szolgáltatások, Kárrendezés, Dokumentációs folyamat és archiválás. Informatikai szolgáltatások, vagyonkezelés, személyzeti ügykezelés, kárrendezéssel kapcsolatos feladatok, marketing tevékenység. Informatikai szolgáltatások. Informatikai tanácsadás rendszerkarbantartás és felügyelet bankbiztonsági tanácsadás munkavédelem jogi képviselet Pénzmosás megelızésével kapcsolatos tanácsadás. Informatikai üzemeltetés és könyvelés. Infrastruktúra üzemeltetési támogatás szoftver követés távfelügyelet kommunikációs csatornák szolgáltatása tanácsadás üzemeltetés. irattárolás bértárolás levél érkeztetés postázás Az informatikai infrastruktúra elemei üzemeltetésének támogatása karbantartása követése Egyes médiatervezési és médiavásárlási feladatok ellátása BTL stratégia kidolgozása valamint egyes BTL feladatok megvalósítása. informatikai fejlesztés informatikai üzemeltetés hardware software beszerzés logisztika tagszervezés ügyfélszolgálat marketing nyomdai kivitelezés letétkezelés vagyonkezelés. informatikai fejlesztés informatikai üzemeltetés hardware/software beszerzés logisztika tagszervezés ügyfélszolgálat marketing nyomdai kivitelezés letétkezelés vagyonkezelés könyvvizsgálat. Kárrendezés vagyonkezelés adminisztráció. Kárrendezés, vagyonkezelési tevékenység, elektronikus adatfeldolgozás. Kiszervezésben csak irattározást. Kivonatnyomtatás adatállományok nyomtatása megszemélyesítése ATM-ek és POS terminálok üzemeltetése és karbantartása iratok archiválása iratkezelés fogyasztói kutatás egyes informatikai rendszerek karbantartása. Könyvelés adminisztráció posta biztosítás ırzés közmővek bank stb. Könyvelés karbantartás biztonsági szolgálat informatika üzemeltetés letétkezelés vagyonkezelés informatikai szolg. könyvvizsgálati tev. Könyvviteli és admin. Tev. Letétkezelés; Vagyonkezelés. Levelezı rendszer GIRO bankinformatikai rendszer. levélküldemények nyomtatása borítékolása postázása archiválás. marketing adminisztráció letétkezelés vagyonkezelés informatika. marketing adminisztrávió letétkezelés vagyonkezelés informatika marketing informatika vagyonkezelés letétkezelés adminisztráció. Marketing, bérszámfejtés, informatika. Nagyrészt informatikai és Kár és dokumentáció folyamat és archíválás. nyilvántartás informatikai rendszer üzemeltetése informatikai elemzések szabályzatok készítése.


96



NYILVÁNTARTÁS VEZETÉST. ------ 5 válaszoló esetében nyilvántartás; informatikai rendszerüzemeltetés; nyilvántartó szoftver fejlesztése dokumentum archíváló szoftver fejlesztése CRM szoftver fejlesztése informatikai szabályzatok készítése. Nyomda tagszervezés információbiztonság rendszerfejlesztés adminisztráció posta bérszámfejtés. Nyomdai call center adatfeldolgozás tranz. autorizáció kártyagyártás irattárolás call center.

Nyomdai tevékenység; Telemarketing; Bankkártya gyártás és elszámolás; Irattározás; Bankbiztonság. Pénztári adminisztráció (könyvelés, nyilvántartás, ügyfélszolgálat, házipénztár, informatika), tagszervezés, vagyonkezelés, letétkezelés, számlavezetés, csoportos beszedés, jogi képviselet, könyvvizsgálat, belsı ellenırzés, foglalkozás- eü. ellátás, marketing, kommunikáció tanácsadás, nyelvi továbbképzés, tőz- és munkavédelem ellátása, személygépkocsi, iroda és parkoló bérlet. program- és webfejlesztés inform.rendszer felügyelete. program fejlesztés informatikai rendszer felügyelet. Rendszer support/fejlsztés. Rendszergazdai tevékenység. Hibajavítás. Karbantartás. Rendszerintergrátori Biztonságtechnikai tanácsadás. Rendszerüzemeltetés és rendszertámogatás. Rendszerüzemeltetés; Alkalmazás fejlesztés; Sokszorosítás; REUTERS; Biztonságtechnikai távfelügyelet; könyvelés; rendszerfejlesztés; informatikai rendszer felügylelete; compliance; jogi tanácsadás; hangrögzítı rendszer üzemeletetése; support fejlesztés karbantartás. Szakértés és alkalmazás fejlesztés (jelenleg valódi ügyfél adatokkal van feltöltve a tesztrendszer). Számlakivonat küldés rendszerüzemeltetés hálózatfelügyelet. Számlavezetı rendszer hálózat kommunikáció. Szerteágazó tevékenységet végeznek a külsıs cégek. Szerver üzemeltetés GIRO küldés-fogadás Üzleti és egyéb szoftver supportja Kommunikációs hálózat supportja HW-SW elemek supportja. Szoftverfejlesztés. Szolgáltatás. Tagszervezés tanácsadás adatrögzítés bérszámfejtés informatikai rendszerek üzemeltetése fejlesztése jogi tanácsadás. Tanácsadás marketing jogi támogatás oktatás üzleti tevékenység támogatása. Tanácsadás, tagszervezés, adatrögzítés bérszámfejtés informatikai rendszerek üzemeltetése fejlesztése jogi tanácsadás. Tanácsadási tevékenység - megfelelési vezetı feladatkörre. Teljes dokumentáció. Tömeges levelek nyomtatása, postázása, kártyagyártás.


97



Ügyfél adat kezelés, tárolás és feldolgozás; Szoftver szolgáltatás; Hálózati és infrastruktúra szolgáltatás; Nyomtatás; Postázás; Kintlévıség-kezelés. Üzemeltetés üzemeltetés támogatás fejlesztés koordináció információszolgáltatás adatszolgáltatás vagyonvédelem karbantartás szervízelés bérlet szállítás. Üzleti szoftver Netbank Electra üzemeltetés support Kommunikációs rendszer és hálózat üzemeltetése supportja HWSW karbantartás support. Üzleti szoftver support InternetBank HomeBank üzemeltetés Kommunikációs rendszer és hálózat üzemeltetése supportja HW-SW karbantartás support. Üzleti szoftver support; InternetBank; HomeBank üzemeltetés; Kommunikációs rendszer és hálózat üzemeltetése - supportja; HW-SW karbantartás; support; könyvelés. Üzleti szoftver support; Kommunikációs- és hálózat üzemeltetés; Support; Internetbank; Electra. Üzleti szoftver üzemeltetés - support - Kommunikáció rendszer és hálózat üzemeltetése – supportja. ------- 7 válaszoló esetében vagyon-és letétkezelés; könyvvizsgálat; adminisztráció. Vagyonkezelés könnyvizsgálat letétkezelés nyilvántartás számlavezetı bank. vagyonkezelés letétkezelés általános ellátás bérszámfejtés informatikai fejlesztés számlák nyomtatása és postázása. vagyonkezelés letétkezelés teljeskörő adminisztráció könyvvizsgálat munkaerıkölcsönzés ügyvédi szolgáltatás. Vagyonkezelés, jogi képviselet, jogi tanácsadás, felszámolási és behajtási feladatokkal kapcsolatos jogi tanácsadás, letétkezelés, tanácsadás a MNYP és ÖNYP választható portfóliós rendszer kialakításában és támogatásához, könyvvizsgálat, foglalkozás-egészségügyi ellátás, fogászati ellátás, kommunikációs tanácsadás, marketing kommunikáció, nyelvi továbbképzés, tőz-és munkavédelem ellátása, tagszervezési szerzıdés, autó-lízing, informatikai fejlesztés, parkolás szolgáltatás. web fejlesztés nyilvántartási rendszer karbantartás kereskedési rendszer mőködtetés


98


5. számú melléklet – Válaszok a Kérdıív 16. pontjára.

016. kérdés: Milyen jellegő problémájuk van a kiszervezés értelmezésével kapcsolatban?

40 Válasz érkezett A bankcsoporton belüli feladatmegosztás szempontjából az elkülönültség (szervezeti függetlenség) mértékének értelmezése. A fogalmi elemek értelmezése miszerint adatkezelés valósul meg a kiszervezés során. A házibankos SSH szerveren 3DES titkosítással jelennek meg ügyféladatok ezért ezt nem tartottuk kiszervezésnek. A kárrendezési megbízott aki a biztosító nevében kárrendezési tevékenységet végez bejelentés kötelesen kiszervezhetı tevékenység-e (2004-ben errıl állásfoglalást kértünk)? A kiszervezés bejelentésének módja témában. A kiszervezés értelmezése informatikai szolgáltatásoknál. A kiszervezés okaként a Hpt. az adatkezelés; adatfeldolgozás vagy adattárolás megvalósulását adja meg. Viszont ezen fogalmak a Hpt.-ben nincsenek definiálva; hanem ennek híján az Av.tv.-ben (személyes adatokra) megadott meghatározást lehet használni. Itt fogalmak leírása; magyarázata alapján nem állapítható meg egyértelmüen; hogy bizonyos helyzetek; esetek elıfordulása (akár elvi lehetısége) adatkezelésnek minısül-e. Ezen bizonytalan helyzetben sajnos sok esetben csak feltételezésekre lehet hagyatkozni. A kiszervezés tárgyi hatályának értelmezése nem kritikus funkciók kiszervezése esetén is jelentıs adminisztratív teher. A kiszervezésnek minısülı tevékenységek köre nem volt világos. A Bit. 157. § (1) o. pontjának gyakorlati alkalmazása álláspontunk szerint nem egységes. A kiszervezhetı adatkezelési-, adatfeldolgozási (rész)tevékenységek elhatárolása a pénzügyi szolgáltatást jelentı (rész)tevékenységektıl. A negyedéves felügyeleti jelentés során kitöltendı táblázatban nem lehet pontosítani a kiszervezett tevékenység típusát csak a törvény szerinti 4 kategória választható. A recepciósi feladatok minısítése. A szabályozás egy nagy szervezeti egységre vonatkozik. Pénztárunknál 6 könyvelı dolgozik; ezért erre a létszámra kellett adaptálni a szabályokat. Adott esetben nehezen eldönthetı; hogy mi tartozik a Bit. 4.§ szerinti biztosítási tevékenységbe! Annak eldöntése hogy bizonyos tevékenység illetve a visszkereseti kárigények érvényesítésében való közremőködés bejelentendı tevékenységnek minısül-e? Annak minısül vagy sem. Mi annak minısítettük. Az alanyi és tárgyi hatályosság. Azon informatikai tevékenységet ahol nem kezelnek ügyféladatot és nem férnek hozzá az ugye nem tekintendı kiszervezésnek (mi ezt nem tekintettük kiszervezésnek)? Behajtó cégek ide értendık-e PSZÁF állásfoglalás szerint NEM? Fıként az ICT szerzıdések kapcsán Pl. szoftvervásárlás nem minısül kiszervezésnek. Tel: +361/7899323 PR-AUDIT Kft.

99



Ha külsı megbízott szerzıdéses tevékenységének elvégzése során nem kerül kapcsolatba biztosítási titkot képezı adattal; de technikai lehetısége lenne szerzıdésszegı módon ilyen adat birtokába kerülni; akkor az ilyen (egyébként szerzıdésszerő) tevékenységet kiszervezésnek kell-e minısíteni? Jogi kérdéseink vannak. Leginkább a "pénzügyi tevékenységhez tartozó" szövegfordulat értelmezése jelent sokszor problémát. Problémás, hogy a több jogszabály hatálya alá is tartozó pénzintézetek tekintetében az alkalmazandó jogszabály helyek által elıírt követelmények nem egységesek illetve nem tesznek különbséget az egyes tevékenységek között, hanem az adott pénzintézetre általánosságban vonatkoznak. Az adatkezelés, adatfeldolgozás, adattárolás nincs definiálva, így azok kapcsán csak az Atv. ad értelmezési lehetıségeket, amelyek azonban sok esetben túl tágak. Mely tevékenységek minısülnek kiszervezettnek? Mi a kiszervezés értelmezése? Mi a pontos meghatározása kulcsfontosságú területnek? MiFID - Hpt rendelkezések összhangjának hiánya, kiszervezhetı tevékenységek köre, kritikus funkciók fogalmának értelmezése. Miként kell értelmezni hogy egy adott szolgáltatást kizárólag egy szolgáltató részére lehet kiszervezni. A szolgáltatás körének meghatározása a kizárólagosság szempontjából néhány esetben problémás volt. Milyen típusú jogviszony (szerzıdés) tartozik a kiszervezés hatálya alá. Milyen típusú jogviszony (szerzıdés) tartozik a kiszervezés hatálya alá? Nem egyértelmő a szabályozás! Nem egyértelmő definiálás. Nem egyértelmő jogszabályi elıírások a PSZÁF állásfoglalások nem mindig konzisztensek a PSZÁF ellenırzési gyakorlattal a Hpt és a Bszt kiszervezésre vonatkozó elıírásai nem konzisztensek eltérı tartalmúak függı ügynökök kiszervezett tevékenységeivel szembeni jogszabályi elıírások értelmezése. Nem világos; hogy a biztosítóra vonatkozó szabályok közül mit és milyen mértékben kell a kiszervezett tevékenységet végzıktıl megkövetelni. Álláspontunk szerint a Bit. Értelmezı rendelkezéseinek 63. pontjával összhangban kiszervezési szerzıdés az; amely a biztosítási ügymenet egy meghatározott részének más jogalany által történı végzését jelenti. Megjegyzés: Ha a más által történı teljesítés nem a biztosítási ügymenet részét képezı tevékenység végzésére vonatkozik (pl. hírlevél elküldése); az nem kiszervezés. Nem kiszervezés akkor sem, ha a biztosítási titoknak minısülı adat átadása történik a megbízás teljesítésekor, hiszen a megbízási vagy vállalkozási szerzıdésben a szerzıdı partner titoktartási kötelezettséget vállal. Célszerő lenne, ha a PSZÁF kiadna egy állásfoglalást arról, hogy a PSZÁF mit tekint ténylegesen a kiszervezési tevékenységnek!


100



Nincs pontos meghatározás arra hogy milyen fajta/típusú adatok kezelésérıl van szó. Pénztárunk saját szervezete végzi a tagok adatainak kezelésével összefüggı feladatokat. Ezeket nem szerveztük ki csak informatikai havaria esetén fordulhat elı hogy külsı szervezet hozzáférhet a tagok személyes adataihoz. Problémáink vannak a kiszervezés fogalmi értelmezésével kapcsolatban. Regressz perben adott ügyvédi megbízási szerzıdést a Felügyelet kiszervezésnek minısítette álláspontom szerint ez feleslegesen kiterjesztı értelmezése a törvénynek! Tágabb körben lenne szükség kiszervezésre lehetıséget adni akár a Felügyelet erısebb felügyelete mellett. A PSZÁF 2/2003. sz. ajánlása értelmében a külföldre történı kiszervezés esetén a személyes adatot is jelentı banktitok kiadásakor az ügyfél külön hozzájárulásának bekérése szükséges ami a gyakorlatban szinte kivitelezhetetlen. A Bszt. 79. § (7) bekezdése felsorolja hogy mi NEM tekintendı kritikus funkciónak de nem egyértelmő hogy ez kimerítı vagy példálódzó felsorolás-e Véleményünk szerint a jogszabály számunkra nehézség nélkül értelmezhetı és alkalmazható!


101


020. kérdés: Mi volt a legfıbb problémájuk a külsıs szolgáltatóiknak a kiszervezéssel kapcsolatban?


Az esetleges PSZÁF ellenırzés. A PSZÁF ellenırzéssel kapcsolatos jogai. Néha megijednek attól a szerzıdéses ponttól, hogy a PSZÁF ellenırizheti ıket is. Gyakorlatilag elfogadhatatlan egy külsı szállító számára; hogy egy a Hpt. alá tartozó pénzügyi vállalkozással egyenértékő felügyeletet kap önhibáján kívül, nem beszélve az egész tovagyőrőzı hatásáról a szállító partnerei felé. A külföldi szolgáltatók a külföldi felügyelet ellenırzésével egyeztetett felügyeleti ellenırzést kérnének valamint az azonnali felmondási jog kikötése. A törvényben meghatározott felügyeleti szervek ellenırzését nem szívesen veszik tudomásul. Az alvállalkozók lépcsıjének csökkentése (közremőködık igénybevételének korlátozása) sok esetben nehezen kivitelezhetı, mert a szerzıdéses szabadság elvébıl kiindulva az adott szolgáltatók a részükre szolgáltatást nyújtó személyekkel a jogviszonyaikat szabadon választhatják meg. Nehezen fogadják el az azonnali felmondási lehetıséget. A Felügyeleti és az MNB ellenırzés lehetısége. A rendkívüli szigorú szabályozás. A vonatkozó jogszabályi elıírásoknak való teljes körő megfeleléstıl való idegenkedés. Társaságunk szabályaihoz és munka folyamatához való alkalmazkodás. A törvény hatályba lépését követıen nehézségekbe ütközött azok alkalmazása. Személyes ügyletek monitoringjának követelménye csoporton belüli kiszervezésre nincs könnyítés. A tevékenység jogi hatálya. Feladathoz kapcsolódó jogértelmezés. A kiszervezés értelmezése az informatikai szolgáltatásoknál. Szerzıdések naprakészsége változtatás. A külföldi szolgáltatók a közremőködıvel kötendı szerzıdés hitelintézet általi elızetes jóváhagyását a hitelintézet egyébként is fennálló felelıssége miatt túl szigorú szabálynak tartják; ezzel összefüggésben nem egyértelmő a közremőködı fogalma sem. A külföldi szolgáltatók nem akarják elfogadni hogy nyilatkozzanak a Bszt. 108. § (5) bekezdésére tekintettel arról, hogy a Bszt. 108. és 109. §-ában foglaltakat betartják.


102


021. kérdés: Milyen konkrét jogszabályi változtatásokat javasolnának?


Sokkal egyértelmőbb meghatározás szükséges a kiszervezés fogalmára. A Bit. 6. sz. mellékletében használt kifejezések definiálása. Az egyes kiszervezési körökbe tartozó tevékenységek részletes meghatározása. Tilalom nem szükséges. PSZÁF állásfoglalás szükséges a javaslat megtételéhez. Tegye kötelezıvé a törvény a szolgáltató rendszeres önellenırzését és arról a jelentés leadását. A kizárólagosságra vonatkozó korlátozást szeretnénk megszüntetni továbbá a Bszt (2007. évi CXXXVIII. tv. XV. Fejezet) szövegezésével azonos jellegő szabályozást javaslunk. Kiszervezés fogalmának újradefiniálása a Hpt. összevont felügyelete szabályai figyelembevételével vagyis a szervezetileg független megfogalmazásba bele lehessen értelmezni az irányítást illetve az összevont felügyelet alá tartozó csoporttagok közötti kiszervezés ne minısüljön kiszervezésnek. Egyértelmőbb fogalmat kiszervezésre elhatárolást a kiszervezhetı (rész)tevékenységekre. Tágabb körben lenne szükség kiszervezésre lehetıséget adni akár a Felügyelet erısebb felügyelete mellett. A PSZÁF 2/2003. sz. ajánlása értelmében a külföldre történı kiszervezés esetén a személyes adatot is jelentı banktitok kiadásakor az ügyfél külön hozzájárulásának bekérése szükséges ami a gyakorlatban szinte kivitelezhetetlen, tehát pl. a banktitok kiadása tekintetében a külföldre történı kiszervezésre is terjedjen ki a törvényi felhatalmazás és ne kelljen külön ügyfélnyilatkozatot beszerezni vagy a 2/2003 PSZÁF ajánlás szövegezése kerüljön összhangba az Avtv. hatályos rendelkezéseivel. A Bszt. 79. § (7) bekezdése felsorolja hogy mi NEM tekintendı kritikus funkciónak de nem egyértelmő hogy ez kimerítı vagy példálódzó felsorolás-e. Legyen egyértelmőbb a kiszervezés fogalma. A szolgáltatóra vonatkozóan is tartalmazzon PSZÁF általi ellenırzési és szankcionálási jogot. Az univerzális bankokra tekintettel javasoljuk a kiszervezésre vonatkozó szabályok egységesítését. Javasoljuk a fogalmak definiálását valamint a szabályok alkalmazási körének egyértelmőbbé tételét.


103


030. kérdés: Van-e olyan informatikai munkafeladat (piackutatás/reklámszerzıdés/hírlevél küldés/kivonatnyomtatás stb.) ahol nem a pénzintézet által üzemeltetett adatbázisban ügyféladatokat kezelnek?

8. számú melléklet – Válaszok a Kérdıív 30-40. pontjaira. Esetenként kampányokhoz kapcsolódóan. Hírlevél nyomtatás. Foglalkoztatás egészségügyi szőrés; csekknyomtatás. Kötvény generálás és nyomtatás (anyavállalat). A Díjbeszedı Zrt ügyféllevelek nyomtatását és postázását intézi szintén ügyféladataink felhasználásával. Az ügyféladatok marketing célú elemzését támogató külsı cégek tevékenysége. A marketing célú szerzıdések esetén. Tömeges nyomtatás során ps file-ok kerülnek kiküldésre melyek nem módosíthatóak. Küldemények nyomtatása külsı nyomdában. Nyomdai. Biztosítás üzleti levelek az ügyfélnek a Díjbeszedı Rt.-n keresztül. Kivonat nyomtatás. Számlakivonat nyomtatás. A beérkezett adatokat mentés után átalakítjuk és továbbítjuk az alvállalkozónak. Adatbázis szintő tárolás nem történik. Kivonat nyomtatás. Kizárólag kiszervezési szerzıdés keretében a kiszervezett tevékenységet végzık kezelnek banktól kapott ügyféladatokat tartalmazó adatállományokat. A bankok adatbázisait a bankcsoporthoz tartozó Szolgáltató Zrt. kezeli kiszervezett tevékenységként. Kivonat nyomtatás és küldés. Hátralékérvényesítés; követeléskezelés (ügyvédi iroda). A TAKINFO nyomtatandó állományait SFTP-n keresztül egy ISO 27001/2005 audittal rendelkezı zárt rendszerbe érkeztetjük majd ebbıl a file-ból kerül kinyomtatásra illetve borítékolásra a küldemény A beérkezett adatokat mentés után átalakítja és továbbítja az alvállalkozónak Adatbázis szintő tárolás nem történik. Díjbeszedı Zrt.-nek küldés. Kivonat nyomtatás. Magyar Posta Zrt. TAKINFO Kft. számlaforgalom bankszámlakivonat nyomtatás. Folyószámla/értékpapírszámla kivonatnyomtatás; Bankkártya gyártás. Tagi éves számlaértesítık adóigazolások nyomtatása. Egyenleg közlı levelek. Pénztártagok adatai. Ügyviteli adatok. DKR. Pénztártagok adatai. Kiszervezett adminisztráció. Pénztártagok adatai. Egyenleg közlı adatok. Pénztártagok adatai. EPK Személyes adatkezelés nincs illetve az "ügyféladatok" (cégbírósági adatok) nyilvánosak, mőködésünknek lényeges eleme a transzparencia.


104


031. kérdés: Ha volt ilyen eset (amikor külsısök ügyféladatokat kezelnek), akkor milyen ügyféladatok kerültek a külsıs céghez (pl. név/cím/számlaszám - lehetıleg pontos felsorolás)?

Név; Cím; Biztosítási szerzıdés adatok; Név; Cím; Születési adatok; Telefon szám Név; lakcím Név; cím; jogosult-e a szőrésre Összes szerzıdésadat, ügyfél alapadatok és elérhetıségi adatok káradat Díjbeszedı Zrt ügyfélelérhetıségi adatok Microsegment ajánlati és szerzıdés adatok ügyfél profiladatok és értékesítési adatok Név; Cím; telefonszám; Születés idı. Név; lakcím; születési dátum; kötvényszám. Név; cím; a biztosítási szerzıdés összes adata; díjfizetési adatok. Szerzıdı; kedvezményezett törzsadatok. Megszemélyesítés releváns adatok Díjbeszedı Rt. Kárrendezés és informatikai kiszervezés. Név; Cím; Kötvényszám; Biztosított objektum azonosítója; Számlaszám. Számlakivonat tartalmi elemei. A teljes ügyfél adatbázis üzemeltetését külsı szolgáltató végzi. Név; lakcím; szerzıdés szám; Gépjármő rendszáma; hitel összege. Adatbázis konvertálás. Számlakivonat adatai. Nyomda ügyfél személyes szerzıdés és tranzakciós adatok irattár szerzıdéssel kapcsolatos összes dokumentum levelezés. Név; Cím; Számlaszám; Teljes számlakivonat-tartalom. Név; cím; számlaszám; számlaszámadatok. A kivonat elıállításához szükséges ügyfél illetve üzleti adatok. Kiszervezési szerzıdésben meghatározott adattartalom kerül átadásra. Pld. Banki számla kivonat adatai továbbá bankkártya megszemélyesítéshez szükséges adatok. Szolgáltatónál minden adat korábban külsıs cégnél név lakcím borítékolás miatt. Név; Cím; számlaszám; számlaforgalom. Hitelügyszám; Hiteltípus; szerzıdésszám; számlaszám; név; elhunyt; titulus; település; irsz; utca; házsz.; em/ajtó; kifiz.dátuma; kapott áll.tám.; anyja neve. Név cím számlaszám számlaszámadatok. Ez mindig az adott szerzıdés tárgyának függvénye. Számlakivonat tartalma. Név;cím;számlaszám;számlaforgalom és egyenlegek. Számla egyenleg nyomtatás (név cím számla forgalmi adatok). Név cím számlaszám szerzıdéses összeg elmaradás egyéb adatok. Név; Cím; Számlaszám; Bankszámla azonosító adatok egyenlegek egyedi lekérdezések. Mindig az adott feladat elvégzéséhez szükséges személyes és a banktitok kategóriába tartozó adatok. Név; Cím. Név/cím/számlaszám/számlaforgalmi adatok. NÉV; CÍM; SZÁMASZÁM; SZÁMLA ADATOK. Név cím számlaszám tranzakciók. Pénztártagok adatai.


105


031. kérdés: Ha volt ilyen eset (amikor külsısök ügyféladatokat kezelnek), akkor milyen ügyféladatok kerültek a külsıs céghez (pl. név/cím/számlaszám lehetıleg pontos felsorolás)?

Név születési dátum születési hely Anyja neve adószám belépés dátuma egyéni számla adatai. Levelezési cím egyenleginformációk. Név cím egyenleg e-számla adatok. Név; Születéskori név; Születési hely és idı; Anyja neve lakcím levelezési cím bankszámlaszám adószám kedvezményezettek adatai. Név; Cím; Számlaadatok. Név; Cím; Számla forgalom egyenleg. Név; lakcím; azonosító; anya neve; születési idı; adóazonosító jel; személyazonosító irat száma; tagsági jogviszony kezdete; pénztári tagság kezdete; munkáltató neve. Név; Cím; Számlaszám, Számla egyenleg adóazonosító; Pénztári azonosító. Név; Cím. Pénztártagok adatai. Személyes és pénzügyi adatok. Név cím számlaszám egyéni számla adószám személyes adatok. Levelezési cím egyenleginformációk. Név; cím; adóazonosító jel; számlaegyenleg; születési idı; tagi azonosító; TAJ-szám; anyja neve. Számlakivonat adatai (név, cím, számlaszám, tranzakciók adatai - idıpont, szöveges leírás, összeg - egyenleg). Név;Cím; Okiratszám; Adóazonosító; Tagdíj.


106


032. kérdés: Ha volt ilyen eset (amikor külsısök ügyféladatokat kezelnek), akkor ezek az ügyféladatok hogyan milyen módon kerültek a külsıs céghez (milyen adatbázisból/milyen csatornán/milyen adatbázisba)?

Zárt csatornán valamilyen titkosított eljárással (pl. PGP) vagy közvetlen bérelt vonali kapcsolaton keresztül. excel táblába CD-re írva félévente CD-n Csatorna: Webservice interface; Cél; jelszóval védett adatbázis A Generali esetében nem kerül át a Generali rendszerébe a Genertel ügyféladat A Díjbeszedı Zrt esetében a nyomtatandó állományok titkosított csatornán (SFTP protokollon) kerülnek a Díjbeszedı szerverére A Microsegment esetében a Genertel adatok nem kerülnek a Microsegment rendszerébe a Genertel tulajdonában lévı szerveren hozunk létre egy másolatot az ügyféladatokból amihez hozzáférést adunk a Microsegment munkatársának. A belsı adatbáziszunkból történı leválogatást excell formátumban CD adathordozóra másoltunk amelyet közvetlen futár szolgálattal továbbítattunk a partner cég projektmanagerének. CD/DVD-n titkosított állományban. A biztosító nyilvántartórendszere nyomdai adatállományt készít; amely titkosított csatornán elektronikus formában kerül átadásra a nyomda felé. Sftp szerverren keresztül - felhasználónév-jelszó; portfoliókezelı rendszer adatbázisából leválogatott txt; ill. xml fájlként. DFTP feltöltés. informatikai alkalmazás segítségével. A valós adatbázisból a lekérdezés által leválogatott adatokat SFTP-n keresztül küldik a külsıs céghez. Számlavezetı rendszerbıl titkosított fájl e-mailben. A Banknak titkosított bérelt vonalon keresztül vékony kliens alkalmazásával van hozzáférése az adatbázishoz. Titkosított e-mail. Titkosítva közvetlen vonalon. Bérelt vonalon titkosítva. Progress sql pervasive sql adatbázisból titkosított e-mail sftp eszközökkel külsı adatbázis ms sql oracle. SWIFT. A folyamat leírása: Adatfogadás mentés feldolgozás archiválás továbbítás az alvállalkozó szerverére SFTP protokollon keresztül. Az üzleti adatbázisból az üzemeltetı kinyeri a szükséges adatokat és azokat biztonságos kommunikációs csatornán eljuttatja a kivonat elıállítóhoz. A banki adatbázisból sftp szerveren keresztül titkosított xml állomány naponta. Szolgáltató esetében adatrögzítés külsı cégnél korábban CD FTP. A Takinfo kezeli az adatbázist. Fundamenta által üzemeltetett FTP szerveren keresztül; jelszóval védett mappa; SSH titkosítással.


107


032. kérdés: Ha volt ilyen eset (amikor külsısök ügyféladatokat kezelnek), akkor ezek az ügyféladatok hogyan milyen módon kerültek a külsıs céghez (milyen adatbázisból/milyen csatornán/milyen adatbázisba)?

A folyamat leírása: Adatfogadás mentés feldolgozás archiválás továbbítás az alvállalkozó szerverére SFTP protokollon keresztül. Ez mindig az adott szerzıdés tárgyának függvénye. Az adatokat mindig titkosított csatornán vagy adathordozón titkosítva adjuk át. Az adathordozókat vissza kell szolgáltatni vagy a belsı szabályzatnak megfelelıen meg kell semmisítenia a külsı partnernek. Elektronikusan védett csatorna. A számlavezetı rendszer által készített listák titkosított útvonalon; formai átalakítás után jutnak el a Magyar Posta Rt.-be. A folyamat leírása: Adatfogadás mentés feldolgozás archiválás továbbítás az alvállalkozó szerverére SFTP protokollon keresztül. Giro tranzakciók levelezı bankon keresztül KHR adatrögzítés (TBAR rendszeren keresztül). TAKINFO Kft.-tıl a Magyar Posta Zrt.-hez. Számlavezetı rendszerbıl titkosított kapcsolaton keresztül a külsı cég adatbázisába Titkosított és védett a Bankbiztonsági elvárások figyelembevételével kialakított csatornán keresztül. INFORMATIKAI SZOLGÁLTATÓN (TAKINFO KFT.) KERESZTÜL. A/Takinfo/Kft/kivonat/állományok/mentése/feldolgozása/archiválása/után/S FTP/protokollon/keresztül/Posta/ISO/27001/2005/audittal/rendelkezı/zárt/re ndszerébe/továbbítja/a/szöveges/állományokat/Ebben/zárt/rendszerben/fájl ból/kerül/kinyomtatásra/borítékolásra/a/küldemény. ISDN VONALON JELSZÓVAL VÉDETT FTP KAPCSOLAT. SFTP. Vertexbıl SAP-ba. Titkosítva jelszóval ellátva sftp csatonán feltöltve a nyomda szerverére. FTP szerveren keresztül. Ingrid adatbázisból CD-n. VPN; a kiszervezést végzı szervezet saját alkalmazása az ügyvitei rendszer. Titkosított csatornán RSA kriptográfia. Szerzıdés szerint. FTP szerver. Pénztári adatbázisból titkosított FTP csatornán a szolgáltató szerverére. Korábbi pénztári szolgáltató nyilvántartásából az új pénztári szolgáltató nyilvántartásába illetve belépı/átlépı tagok esetén papíralapon a belépési/átlépési nyilatkozat az ügyintézıtıl a pénztárszolgáltatóhoz. PGP-VEL TinformatikaiKOSÍTOTT FILE-BAN. SSL. Elektronikus úton. Ingrid adatbázisból CD-n. A pénztár saját adatbázisából kerültek átadásra; lepecsételt adathordozón. Arról nincs információnk; hogy a külsıs cég milyen adatbázist használ. Text fájlba leválogatott kivonat adatok, titkosított és tömörített formában ftpvel kerülnek át a szolgáltató szerverére. leválogatott adatok SFTP+SSH/PKA csatornán.


108


033. kérdés: Ha volt ilyen eset (amikor külsısök ügyféladatokat kezelnek), akkor milyen biztonsági intézkedések védik ezeket az adatokat a külsıs cégnél?

Titoktartási nyilatkozatok a szerzıdésben korlátozott hozzáférés az adatokhoz (titkosított állományok). A szerzıdésben rögzített Bit és Adatvédelmi tv. Elıírásainak megfelelıen elkülönítetten Az adatokhoz történı hozzáférés kontrollált; jogosultsághoz kötött. A feladat elvégzése után az adatállományok törlésre kerülnek. Jelszóval védett adatbázis. Titkosított protokoll. Az adatbázisokat még az ING-bıl való továbbítás elıtt jelszavas védelemmel látjuk el ami megakadályozza hogy a megfelelı jelszó hiányában az adatbázis megnyitható legyen ezt követıen mikor az átadásátvételi elismervény visszaérkezik a partnerünktıl telefonon közvetelnül a projektmanager számára átadásra kerül a szükséges jelszó. Titoktartási szerzıdés. A szolgáltató saját biztonsági környezete védi ISO 27001 minısítéső az Állami Nyomda. A cég rendelkezik ISO 27001/2005 Információbiztonsági audittal; ami garantálja az adatok titkos; zárt rendszerben történı kezelését. Komoly. Jogosultság és a szokásos informatikai biztonsági feltételek. ISO9001 ISO 14000 minıségbiztosítási rendszer ISO27001:2006 információvédelmi irányítási rendszer. ISO 27001 szerint. Törvényi elıírások szabályzatok szabványok elkülönített adatbázis szerzıdés. Tömörített titkosítás és jelszó védelem Fizikai, logikai. Nincs pontos információnk. A cég az anyabankunk másik leányvállalata ugyanazok a biztonsági szabályzatok és elıírások vonatkoznak rá mint a bankcsoportra. Három szintő beléptetés az alkalmazást is beleértve WINDOWS; LINUX; KÖKINYO alkalmazás. Hálózati Check Point és Cisco tőzfalak védik a belsı rendszereket. Az üzemeltetı szerzıdésben vállalt technológia zártságára vonatkozó nyilatkozata és kötelezettségvállalása. A bank által meghatározott adatvédelmi elıírások. A szolgáltató függvényében logikai hozzáférés korlátozás (jogosultság korlátozás behatolás detektálás tőzfal stb.) Szolgáltatónál SLA bankcsoporti szabályozás ellenırzés külsıs cégnél ISO 27000:1 ellenırzés. Megfelelı irodai biztonságtechnikai redszer; belépési kódok; korlátozott hozzáférés; az adatok elkülönített kezelése; az adatok rendszeres mentése SQL Backup; a mentett fájlok naponta szalagra másolása;


109


033. kérdés: Ha volt ilyen eset (amikor külsısök ügyféladatokat kezelnek), akkor milyen biztonsági intézkedések védik ezeket az adatokat a külsıs cégnél?

jogosultságkzelés;SQL szerver autentikáció; csak a jogosult személyek kapnak belépési jogot; teljesen elkülınített ügykezelés; eltérı színő papírhasználat és mapparendszer. Három szintő beléptetés az alkalmazást is beleértve:WINDOWS LINUX KÖKINYO alkalmazás. Hálózati Check Point és Cisco tőzfalak védik a belsı rendszereket. Ez mindig az adott szerzıdés tárgyának függvénye. Alapvetıen ugyanazt a logikai és fizikai védelmet kell biztosítaniuk mint ami a belsı szabályozók által elvárt. Elektronikusan védett csatorna. A Takinfo KFt a Kivonat Nyomtatás szolgáltatás biztonságos mőködése érdekében érvényesíti; és az összes közremőködıvel (saját alkalmazott vagy alvállalkozó) betartatja a kontrollokat. Ezek között különösen: a Központi Kivonat Nyomtatás szolgáltatásról szóló Szolgáltatási Szerzıdést; a Szolgáltató érvényes szabályzat-nyilvántartása szerint; a Központi Kivonat Nyomtatás-ra vonatkozó saját szabályzatait; beleértve ezen kötelezettségbe a szabályzatok rendszeres felülvizsgálatát és karbantartását. Három szintő beléptetés az alkalmazást is beleértve: WINDOWS LINUX KÖKINYO alkalmazás. Hálózati Check Point és Cisco tőzfalak védik a belsı rendszereket. Szerzıdés. Szolgáltatói szerzıdések titoktartási nyilatkozatok TAKINFO Kft. Szabályzatai. Szerzıdésben szabályozott kontroll és titkosított hálózati kapcsolat. Az adott cég belsı biztonság és adatkezelési szabályzat betartása mellet informatikai –biztonság technikai- eszközök és jogosultsági profilok használatával. Hálózati check point és cisco tőzfalak védik a belsı rendszereket. három/szintő/beléptetés/az/alkalmazást/is/beleértve:/WINDOWS/LINUX/KÖ KINYO/alkalmazás. SLA biztosítja. informatikai security szabályzat. Dedikált szerverterület bonyolult jelszó sftp protokoll titoktartási nyilatkozat. Az ftp szerverhez való hozzáférés korlátozott. Szerzıdés szabályozza. Technikailag zárt adatbázis és alkalmazás. Szerzıdés szerint. Magyar Posta szabályai szerint. ISO 9001 szabványnak megfelelı mőködés. Jelszóval védett adatbázis; hozzáférési jogok korlátozása. Jelszavas védelem. NEM TUDJUK. ISO/IEC 27001 + éves audit. A külsıs cég saját adatvédelmi rendszere. A pénztár személyes "látogatást" tett ezeknél a cégeknél. A cégek


110


035. kérdés: Meddig tárolhat ilyen adatokat a külsı cég?

telephelyei biztonsági eszközökkel védettek; informatikai hálózatuk külsı behatolás ellen védett. A szolgáltató szervere SFTP adatcsatornán érhetı el. Az adatcsere a szolgáltató által adott felhasználó névvel és a bank által karbantartott jelszóval hajtható végre. zárt techn. folyamat; elkülönített tárolás.

Szerzıdés szerint definiált. A szerzıdés tárgyát képzı cél megvalósulásáig mindig határozott ideig. Max. 4 napig. Szerzıdés szerint a nyomtatás után az adatokat véglegesen törlik. Feldolgozás idejére / tranzakció idejére. Ameddig ellátja azt a funkciót a cég amire felkértük. Amíg a feladat elvégzésre kerül! A szerzıdésben rögzített cél megvalósulásáig figyelemmel az Avtv. Rendelkezéseire A szolgáltatás teljesítéséhez szükséges idıtartamig Megszemélyesített gyártási adatokat legfeljebb 3 hónapig. Nem tárolhat. Kárrendezésnél évekre visszamenıleges adatok. A felhasználás után megsemmisítik. Amíg az adatkezelés célhoz kötöttsége fennáll. A tevékenység befejeztéig. A vonatkozó magyarországi törvényi elıírások szerinti ideig. A külsıs céggel kötött megállapodás szerzıdés tartalmazza. A felek között megkötött szerzıdések rendelkezései az irányadóak. Csak a szükséges ideig. A feladat elvégzése után törlésre kerül. 5 év. A szerveren maximálisan 3 hónapig tároljuk. Amíg az adatkezelés célhoz kötöttsége fennáll. Általános elvárás hogy a kiszervezett tevékenységet végzınek a szerzıdés megszőnésekor minden kezelt adatot meg kell semmisítenie ill. a banknak visszaszolgáltatnia. Egyes szolgáltatások esetén speciális elvárás a rendszeres adattörlés pl. 60 napon belül törlés kivonat nyomtatás esetén. Ügyfélkapcsolat megszőnésétıl 8 év pénzmosási tv. Alapján. Amíg az adatkezelés célhoz kötöttsége fennáll. Ügyek lezárásáig. Az adatvédelmi törvény és a Hpt. szabályai itt is irányadóak. Maximálisan 3 hónapig tárolják. Az adatkezelı határozza meg az AvTv. szerint. Amíg az adatkezelés célhoz kötöttsége fennáll. A kivonatok adatai röviddel a nyomtatás és borítékolás után törlésre kerülnek. A szerzıdésben kapott megbízás teljesítéséig


111


035. kérdés: Meddig tárolhat ilyen adatokat a külsı cég?

5 év (Hpt.). A szolgáltatói szerzıdésben szabályozva. Amíg az adatkezelés célhoz kötöttsége fennáll. Az adott szerzıdésnek kell tartalmaznia az átadott adatok tárolására és törlésére vonatkozó idıtartamot. Törvényben elıírt idıpontig. 3 hónap. Ameddig erre a kiszervezett tevékenység ellátása céljából szükség van. Amíg az adatkezelés célhoz kötöttsége fennáll. Szerzıdés alapján. A nyomtatást követıen az adatok megsemmisítésre kerülnek. Teljesítés után törlésre kerül az ftp szerverrıl. Csak a felhasználás idejére. MNYP tv. Által elıírt ideig. 8 év az elektronikus számla adatok esetén. A többi adat session alapú és naponta frissül. Törvényi elıírásoknak megfelelıen. Feldolgozás és szerzıdés függvénye. A szerzıdésében rögzített ideig. Az adatkezelés tartamára. Nyomtatás után törlés. Szerzıdés felmondási idejének utolsó napjáig. Szerzıdés alapján. Csak a felhasználás idejére. Szerzıdés szerinti feladat ellátásig. Az adott feladat végrehajtása után meg kell semmisíteni. A szerzıdés szerint max. 3 hónapig. Csak a feladat által feltétlenül megkövetelt ideig tárolhatók a BÉT-tıl származó adatok. Csak a folyamat végéig.


112


036. kérdés: Szükség esetén hogyan (milyen módon) frissíti az ilyen adatbázist a külsıs cég?

A belsı informatikai frissíti a fejlesztıi adatbázist; eseti jelleggel. Mi biztosítjuk részükre az adatokat. A külsıs cégek automatikusan nem frissítik az adatokat csak amennyiben tılünk kapnak újabb adatokat. Nincs frissítés ezek mindig eseti adatszolgáltatások. Félévente CD-n Napi interfész szinkron. Az adatvédelmi szabályzat értelmében a mindenkori jogszabályi elıírások szerint. Nincs ilyen, a partnereknél nem frissíttetjük az adatbázist A tevékenységük ellátásához nincs szükség az adatok frissítésére. A kutatásainkban együttmőködı partnereink nem frissítik az adatbázisokat hanem a kutatás lezárását követıen megsemmisítették vagy visszaszolgáltatták a számunkra amit mi szintén megsemmisítettünk. CD/DVD-n titkosított állományban. Nem adatbázisról van szó; hanem egyszeri nyomtatási feladatok elvégzéséhez szükséges adatállományról - nem kell frissíteni. Nincs frissítés. Nincs ilyen adatbázis. Automatikus frissítés. SFTP-n keresztül. Nem végez ilyen tevékenységet. Naponta. Minden esetben aktuális adatbázist kap a külsı cég. Csak a Takarékszövetkezet közremőködésével lehetséges. Banktól kapott adattal. Feladatonkénti átadás van. SWIFT. Az adatokat nem adatbázisban tároljuk ezért nincs adatbázis frissítés. A rendszer üzemeltetıjétıl szükség esetén megkapja. SFTP szerveren keresztül titkosított xml állomány naponta. Adatrögzítéssel. Új ügyek havi 1x; változások heti 1x az FTP szerveren keresztül. A kapcsolat titkosított (SFTP) csatornán keresztül bonyolódik. Az adatokat nem adatbázisban tárolják ezért nincs adatbázis frissítés. Ez mindig az adott szerzıdés tárgyának függvénye. Megkaphatják adathordozón vagy valamilyen kommunikációs csatornán titkosított formában. A gyakoriságot az adatkezelı határozza meg hogy mindig idıszerő adatokkal rendelkezzen. VPN kapcsolattal. Rendszeres adatátadás. Az adatokat nem adatbázisban tároljuk ezért nincs adatbázis frissítés. Levelezı banki tranzakciók - elektronikusan KHR - Tksz ügyintézı rögzíti.


113


036. kérdés: Szükség esetén hogyan (milyen módon) frissíti az ilyen adatbázist a külsıs cég?

Zárt rendszerő adatok továbbításával. Automatizált napi frissítés az alap adatokra és egyedi frissítés kérésnek megfelelıen. Konkrét információnk nincsen errıl viszont véleményünk szerint a pontos gyártás (kivonat bankkártya) követıen az adatok (lásd elıbb) törlésre kell hogy kerüljenek. Az adatok az elızetes elvárások alapján kialakított formátumban kerülnek átadásra így már csak pl. nyomtatni kell azokat. Takinfo Kft.-n keresztül. Az/adatokat/nem/adatbázisban/tárolja/a/TAKINFO/ezért/nincs/adatbázis/fr issítés. Nem ık frissítik. Nem ık frissítik hanem mi távolról. Frissítés esetén a pénztár új állományt küld, a régi állomány törlésre kerül. FTP szerveren keresztül. Nincs szükség frissítésre; a kiszervezést végzı szervezet saját alkalmazása az ügyviteli rendszer. VPN-en keresztül. Kézi frissítés. A Pénztár küldi a frissítést. Nem frissít. TİLÜNK KAPJÁK AZ ÚJ ADATBÁZIST. Nincs frissítés. Kérésre vagy indokolt esetben közös megegyezéssel. Naponta új adatbázist kapnak. Sehogyan; folyamat végén adattörlés miatt nincsen folyamatosan adatbázis fenntartva.


114


037 – Milyen az információbiztonsághoz kapcsolódó kutatás-fejlesztési tevékenységet valósít meg az intézményén saját szervezetben? 038 – Milyen az információbiztonsághoz kapcsolódó kutatás-fejlesztési tevékenységet valósít meg az intézményén külsıs fejlesztésben?

Tervezett K+F téma informatikai biztonság területen: log kezeléselemzés fejlesztése (belsı és külsı közös részvétellel) Belsı hálózaton további zónák kialakítása Tanúsítvány kiadás biztonságosabbá tétele Titkosított külsı memória és menedzsment szoftver A külsı szolgáltató Kürt Zrt. valósít meg ilyen tevékenységet. Web fejlesztés szabályzatok fejlesztése (Kutatási tevékenységre nincsen kapacitásunk) Információbiztonsághoz kapcsolódóan kutatás-fejlesztési tevékenységet nem valósítunk meg. Van azonban két jelentısebb projekt van folyamatban: események monitorozása és Laptopok titkosítása. A szervezet belsı erıforrásainak felhasználásával (is) az általa használt informatikai applikációk vonatkozásában végez informatikai alkalmazás fejlesztési feladatokat. A biztonsági rendszerek a korábbi stratégia alapján kialakításra kerültek. Nem tervezünk ilyen jellegő fejlesztéseket. Szoftverfejlesztés.

Tervezett K+F téma informatikai biztonság területen: kezeléselemzés fejlesztése (belsı és külsı közös részvétellel)

log

Levelezés titkosítása Access Manager SSO E-mail kontroll A külsı szolgáltató Kürt Zrt. valósít meg ilyen tevékenységet. informatikai sérülékenységi vizsgálat A szervezet esetekben külsı erıforrásainak bevonásával az általa használt informatikai applikációk vonatkozásában végez informatikai alkalmazás fejlesztési feladatokat. A biztonsági rendszerek a korábbi stratégia alapján kialakításra kerültek. Nem tervezünk ilyen jellegő fejlesztéseket. Semmilyet.


115


048. kérdés: Milyen módszertanra alapozták a kockázatmenedzselést (pl. OCTAVE/CRAMM/saját egyedi)?

9. számú melléklet – Válaszok a Kérdıív 48. pontjára. A konszern saját módszertana. A KPMG által kifejlesztett SPARK módszertan továbbfejlesztett változatát használjuk + (BS7799) cégcsoport módszertana CinformatikaiICUS nevő kockázatelemzési szoftver COBinformatikai ---- 5 válaszoló esetében CRAMM ---- 3 válaszoló esetében CRAMM alapú egyedi. CSB csoport saját sztenderd dbRAMM Ebios 2 fenyegetı tényezık ISO 17799 Védelmi Intézkedések informatikaiB 8 Értékelés egyedi ---- 31 válaszoló esetében egyedi – csoport standard egyedi – egyszerősített CRAMM Egyedi klasszikus módszertan eszköz támogatással ---- 2 válaszoló esetében egyedi saját eseti Fenyegetı tényezık - Ebios2; Védelmi intézkedések - ISO 17799;Értékelés informatikaiB 8 IBSZ alapra ISO 27001 szerint. ISO17799 ISO27001 informatikaiBC - informatikaiBC külsı szolgáltató által használt módszertan alapján informatikaiBC/KPMG Kockázat elemzési módszertan 20081101 MSZ OCTAVE saját ---- 35 válaszoló esetében saját - A kancellárhu szállította a kockázat menedzsment módszertanát saját - csoport általi saját - KPMG végzett kockázatelemzést Saját / IRM System saját egyedi ---- 14 válaszoló esetében saját egyedi - informatikai kockázatelemzés CARISMA szoftver eszköz használatával saját egyedi piaci résztvevık tapasztalatai alapján saját figyelembe véve a csoport elvárásait Saját; külsı szakmai segítséggel Security Management Methodology - Carisma - a Common Evaluation Methodology ajánlásai szerint SPARK vállalati group módszertan


116


066. kérdés: Ha van külsıs hozzáférés akkor az mire terjed ki?

10. számú melléklet – A Kérdıív 066. pontjára adott válaszok.

A Boss support. A feladat függvényében szerzıdésben szabályozva. A feladatához szükségesre. A feladatához szükségesre; a szükséges ideig. A GLOBE Hitelintézeti szoftveren történı hibajavítás support verziófrissítés. A külsıs cég szerzıdés szerinti szolgáltatás nyújtásához szükséges rendszerekhez. A supportot és csak a supportot ellátó külsıs cég meghatározott alkalmazottjainak van adminisztrált hozzáférési joga. Ez a jog NEM terjed ki üzleti jellegő tranzakciók végzésére (már ahol ez egyáltalán értelmezett) hanem a hibaelemzés lehetıségét biztosítja. A javításokat az informatika szakemberei hajtják végre. A TCT rendszer támogatására. A teljes adatbázis kezelésére. Adminisztráció, technikai feladatok. Anyabanki informatikai hozzáférése a rendszereinkhez. Az általa üzemeltetett rendszerekhez. Az informatikai üzemeltetés minden a biztonságos mőködéshez szükséges területen Betekintési jogkör. BOSS Netbank Electra support Szerver support. BOSS support lenne. BOSS support. ----- 6 válaszoló esetében BOSS support; BORDER support. Csak a szükséges és elégséges feladatok ellátására. Csak az általános szoftverek frissítésére elszámoló rendszer kóddal védve. Egy terminál szerverre való belépésre. Eseti hozzáférés van - de nem teljes körő Eurobank programhoz. Europé alkalmazás Informix adatbázis-kiszolgáló MS Dynamics alkalmazás. Fejlesztés / support. Fejlesztési feladat miatt. Fejlesztési környezethez. Fejlesztı szerver. Fejlesztıi és tesztrendszerekre. Fejlesztık a teszt rendszerekhez, a supportok az éles rendszerekhez kizárólag rendkívüli hibaelhárítási okból, egyei engedélyezéssel. Valamely banki dolgozó mindig részt vesz rajta. Hibaelhárítás. ----- 2 válaszoló esetében


117


066. kérdés: Ha van külsıs hozzáférés akkor az mire terjed ki?

Informatikai üzemeltetés. Ingrid teszt rendszer. ----- 2 válaszoló esetében Ingrid tesztrendszere. ----- 2 válaszoló esetében informatikai infrastruktúra. Kommunikációs; üzleti szoftver; szerverek supportjára. könyvelıprogram karbantartása Külsıs fejlesztınek elkülönített tesztrendszerhez van hozzáférése (éleshez nincs). Levelezés valamint az ügyeleti feladatokat ellátása. Probléma kezelés és incidens kezelés. Program javítás, Táv ell. RENDSZER KARBANTARTÁS. Rendszeradminisztrációs feladatok ellátásához rendelkezik jogosultságokkal. ----- 4 válaszoló esetében Rendszerfelügyelet, támogatás. Rendszerfelügyelet. Reuters rendszer illetve teszt rendszerek. Router tőzfal. Support igénytıl függ. Support. Szerverek munkaállomások. Szerzıdés szerinti support tevékenységek. Távoli hibaelhárítás. Csak a tevékenység idejére és csak az adott rendszerre kerül megnyitásra a kommunikációs csatorna. Telefonos kampánykezelı szoftver telefonközpont. Teljes körő. ----- 6 válaszoló esetében Teszt adatbázis, levelezı munkacsoport könyvtár, core rendszer (több faktoros authentikáció +VPN). Teszt fejlesztıi rendszerekre. Teszt környezet szervereire (csak a jóváhagyott rendszerekre). Teszt rendszer. ----- 2 válaszoló esetében Teszt. TESZTKÖRNYEZET. Tesztrendszerhez. Tesztrendszerre. Üzemeltetés alkalmazásokhoz való hozzáférés. Üzemeltetés támogatás. Üzemeltetés. ----- 11 válaszoló esetében Üzleti szoftver InternetBank HomeBank support Szerver support router support. Üzleti szoftver; InternetBank; HomeBank support; Szerver support; router support; minden könyveléshez szükséges rendszer elérése.


118



067. kérdés: Mikor ellenırizték dokumentáltan utoljára a hozzáférési jogosultságokat?

122 válasz érkezett 2008.09.01 ----- 2 válaszoló esetében 2008.09.15 2008.11.01 2008.12.01 ----- 3 válaszoló esetében 2008.12.31 2009.01.30 2009.03.01 ----- 3 válaszoló esetében 2009.04.01 ----- 4 válaszoló esetében 2009.04.08 2009.04.10 ----- 2 válaszoló esetében 2009.04.27 1 éve. ----- 5 válaszoló esetében 1 HÓNAPJA (NEM DOKUMENTÁLTAN NAPONTA). 2 hete. ----- 11 válaszoló esetében 2006. ----- 2 válaszoló esetében 2007.-ben. 2008 áprilisban. 2008 február internal audit 2008 május pszáf. 2008 közepén; de nem volt dokumentálva az ellenırzés. 2008. ----- 16 válaszoló esetében 2008. 05. hóban. 2008-ban BEI. 2008-ban volt ----- 5 válaszoló esetében 2008-ban, 2008/01 informatikai jogosultsági rendszer c belsı audit alkalmával. 2008-ban. 2009 elején került kialakításra az új struktúra. 2009. ----- 15 válaszoló esetében 2009. 01. hóban. 2009. 03. hóban. 2009. I. negyedév. 2009. Q1 (Az ellenırzés rendszerenként idıben elosztva gyakorlatilag folyamatos.) 2009.03.hó 2009.04.17-2009.04.24 2009.I.negyedév ----- 2 válaszoló esetében 2009-ben (informatikai eseti operatív ellenırzés keretében BAO rendszeres utólagosan a beállítások automatikus értesítése alapjá Belsı ellenırzés minden informatikai vizsgálat során). 2009-ben (Negyedévente van ellenırzés utoljára 2009 áprilisban.) 2009-ben volt 6 illetve 12 hónapon belül (folyamatosan az információs rendszerek besorolásának megfelelıen 6 ill. 12 hónapon belül). Tel: +361/7899323 PR-AUDIT Kft.

119


067. kérdés: Mikor ellenırizték dokumentáltan utoljára a hozzáférési jogosultságokat?

A nem kiszervezett tevékenység vonatkozásában folyamatosan ütemezetten. belsı ellenırzési ütemterv alapján rendszeresen Domain jogok 2009.02.17., Nyilvántartási rendszer 2009.04.03. Év elején. ----- 2 válaszoló esetében Évente kétszer. Évente. Fél éve. ----- 2 válaszoló esetében folyamatos Folyamatos az ellenırzés nincs dokumentálva. folyamatos ellenırzés Folyamatos. Folyamatosan. Havonta (2009.05.05.) Minden 90 napban. Minden hónap elején. Munkáltatónál. Naponta. Negyedév végén. Negyedéve. Negyedévente szúrópróba szerően. Negyedévente. PWC ellenırzés tavaly. Rendszerenként változó az utolsó ellenırzés idıpontja. Rendszeres ellenırzés van, szoftverrel (System Account Management) támogatott.


120



068. kérdés: A hozzáférési jogosultságok kezelését milyen számítástechnikai eszközökkel támogatják?

109 válasz érkezett "JIR" alkalmazás (Generali SW). A hozzáférési jogosultságok kezelése programba épített. A HP -nak az SD Sevice Desk rendszere. A Monbank mellett Excel táblázatban is nyilvántartjuk. Active directori. központi jogosultságkezelı. Active Directory + saját fejlesztéső HermDesk 5. Active directory Hyena; Vanadium; Apex SQL. Active Directory MS SQL ingrált. Active Directory OracleTőzfal. ----- 2 válaszoló esetében Active Directory. ActiveDirectory és szoftverek. AD DumpSec Access 2003. Adott szoftver jogosultság kezelı felületével. ---- 13 válaszoló esetében Anyacég. Belsı fejlesztéső szoftver. Belsı portálon elérhetı jogosultsági igénylés. ---- 4 válaszoló esetében BMC Control SA (Enterprise Security Station / Ctsa Workflow). CUA rendszer. Dossziéban tartjuk nyilván a hozzáférési jogosultságokat. DumpSec. Egyedi fejlesztéső rendszer SAM (System Account Management). Elektronikus adatlapok Excel tábla. EXCEL táblázat. Excel. ---- 4 válaszoló esetében Excel; formanyomtatványok. IDM rendszer valamint excel nyilvántartás. Igen. Igénylés papíron; nyilvántartás Excelben. Irodai alkalmazás (excel). informatikai Admin alkalmazás a jogosultság igénylések workflow-ja és a jogosultságok nyilvántartása. informatikaiIM ESSENCE. Jelenleg nincs rendszertámogatás ms excelben táblázatban van tárolva. JOGAR (belsı banki fejlesztéső rendszer). Jogosultság adminisztrációs rendszerrel illetve az alkalmazások natív jogosultság kezelésével. Jogosultság Igénylı Rendszer (JIR alkalmazás Notes alapú saját rendszer). Jogosultságigénylı nyilvántartó rendszer. Jogosultságkérelmek kezelése központi informatikai adminisztrációs rendszerben. ---- 2 válaszoló esetében Kizárólag szoftverrel. Tel: +361/7899323 PR-AUDIT Kft.

121



Központi címtárban jogosultsági csoportok központi felügyeleti és riasztási rendszer. Központi Service Desk-en keresztül történik az igénylés a vezetıi jóváhagyást követıen. Email formában történik az igények/módosítások tárolása. Külsıs szolgáltató: RT ügykezelı és nyilvántartó szoftver, belsıs: Glencore cégcsoport központi informatikai. Lotus Notes és MS Access adatbázisok. Lotus Notes Tivoli Identity Manager. Mantis issue tracker. Manuális rögzítés és manuális beállítás. ---- 2 válaszoló esetében Minden rendszernek egyedi jogosultság kezelése van. MS EXCEL. Nem támogatjuk. Nincs erre szolgáló eszköz. Nincs ilyen, papír alapú a folyamat. Nincs számítástechnikai eszközzel támogatott egységes nyilvántartási rendszer (Minden rendszer saját jogosultságkezelıvel rendelkezik). Nyilvántartás Lotus Notes adatbázisban van kezelve. NYOMTATÓ. ---- 5 válaszoló esetében Office. Op.rendszer és alkalmazás szinten illetve a MantisBT alapú igénylés hibabejelentı rendszerben. Operációs rendszer segédeszközei és egyéb szoftverek. Operációs rendszer/ alkalmazás naplózás/ audit. Összekapcsolt AD és alk. jog ellenırzés automatizmussal. Papír alapon történik az engedélyezés majd az engedélyezést követıen a Szoftverben a jogosultságok rögzítése. Papír alapú nyilvántartás. Papírlapú nyilvántartás helyben + LDAP az üzemeltetınél. Program. Remedy Novell IDM. Jelenleg két rendszert használunk:1. Remedy. Ide a munkatárs fınöke írja be a hozzáférési igényt amelyet a change manager jóváhagy vagy elutasít.2. Folyamatosan történik az átállás a NOVELL IDM rendszerére. Itt profilok és szerepkörök kerültek kialakításra s az eszköz támogatja elıre definiált programozott workflow-kon keresztül a mind a jogosultságok definícióinak jóváhagyását mind a jogosultságok kérésének megadásának elutasításának visszavonásának folyamatait. Rendszerek egyedi jogosultság kezelı felülettel rendelkeznek. Rendszerenkénti nyilvántartás. RMS - saját fejlesztés. Saját fejlesztéső applikáció. Saját fejlesztéső eszköz alkalmazása. Saját fejlesztéső rendszer. ---- 2 válaszoló esetében Saját. Softwares eszközökkel.


122



Számítástechnikai eszközökkel nem, papír alapú adatlapokkal. SZERVER KP-I ADATBÁZIS. Szoftver. Szoftver. Terminál szerveren távoli elérés. Tőzfal. Tőzfal. VPN - külön munkaállomás. Vasco Token VPN koncentrátor Balabit. Vegyes (elektronikus és papír alapú). VPN. Windows 2003(AD). Windows Server AD egyébként alkalmazás szinten excel táblázatban nyilvántartva.


123


13. számú melléklet – A kiszervezési kontrollok felmérését segítı ellenırzı lista.

Ssz.

Megnevezés

1. 2. 3. 4.

Tervezés, informatikai stratégia Van-e az intézménynek üzleti stratégiával összhangban lévı informatikai stratégiája? Van-e szabályozás a stratégia készítésére? Az informatikai stratégiát évente aktualizálják-e? A külsıs szolgáltatók szerepelnek-e a stratégiában? Szervezet

5. 6.

Van-e szervezeti ábra? Az informatikai biztonsági menedzser, az informatikai belsı ellenır függetlensége biztosított-e?

7. 8.

Az intézmény alkalmazottainak (belsıs munkatársainak) száma összesen? Ebbıl az informatikai munkakörben foglalkoztatott száma?

9.

Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársak száma? Az intézménynél foglalkoztatott (bérelt vagy kölcsönzött) külsıs munkatársakközül informatikai munkakörben foglalkoztatottak száma? Szabályozás, szerzıdések Szabályozott-e a belsı szabályozások készítésének és aktualizálásának rendje? A szabályozások követnek-e valamilyen hierarchiát (irányelvek - szabályzatok - eljárásrendek kézikönyvek, stb.)? Van-e nyilvántartás a szabályzatokról? Elérhetık-e a szabályzatok a munkatársak számára (megfelelı szintek szerint)?

10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35.

Szabályozott-e a szerzıdéskötés rendje? Van-e szerzıdés-nyilvántartás? Mennyi külsıs szerzıdésük van? A belsı szabályozások érvényesek-e a külsıs szolgáltatást végzıkre? Tartalmaznak-e a külsıs szerzıdések szolgáltatási szint megállapodást (SLA)? Figyelik-e és dokumentálják-e a szerzıdések teljesítésének alakulását? Versenyeztetik-e a szállítókat- szolgáltatókat? Milyen tevékenységeket végeznek külsıs cégek? Kiszervezés szempontjából értékelik-e (átnézték-e) a szerzıdéseket? Mennyi kiszervezésként kezelt szerzıdésük van? Volt-e (van-e) problémájuk a kiszervezés értelmezésével kapcsolatban? Milyen jellegő problémájuk volt (van) a kiszervezés értelmezésével kapcsolatban? Keresték-e ezzel a PSZÁF-ot írásban? Szóban konzultáltak-e a PSZÁF-al? A külsıs szolgáltatók idegenkednek-e a kiszervezéstıl? Mi volt a legfıbb problémájuk a külsıs szolgáltatóiknak a kiszervezéssel kapcsolatban? A kiszervezésnek minısülı tevékenységet az intézmény a PSZÁF-nak bejelentette-e? Tájékoztatták-e az ügyfeleket a kiszervezés tényérıl? Az intézmény biztonsági eszközeinek valamelyikét (hálózati eszközök/tőzfalak/ naplószerver stb.) külsı szolgáltató üzemelteti-e? Ha igen - akkor milyen kontroll biztosítja ennek megbízhatóságát, mőködését?


124


36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68.

informatikai biztonsági kockázatfelmérés és kezelés Van-e szabályozás az informatikai kockázatmenedzselésre? Milyen módszertanra alapozták a kockázatmenedzselést (pl. OCTAVE/CRAMM/saját egyedi)? Van-e az intézménynél az informatikai kockázatok felmérésével és elemzésével megbízott felelıs személy? Elvégezték-e az utóbbi két évben az intézménynél az informatikai biztonsági kockázatok törvényi elıírásoknak (Pl.: Hpt. 13/C, Bszt. 12. §, Mny.tv. 77/A. §, Öpt 40/C. §, stb.) megfelelı felmérést és elemzést? Kialakították-e a kockázatfelmérés eredményeként az informatikai rendszer védelmét szolgáló kontrollokat? Az intézmény felsı vezetése az informatikai jellegő maradék kockázatokat aláírt dokumentummal bizonyítható módon ismeri-e, vállalta-e? A kockázat elemzésben szerepel-e a külsıs szolgáltatókból eredı kockázatok hatása? Architektúra, nyilvántartások Van-e teljes körő hardver- és szoftver-nyilvántartás? A nyilvántartás megfelelıségét az elmúlt egy évben ellenırizték-e (pl. belsı ellenırzés/vezetıi ellenırzés keretében)? Van-e szabályozás a szervereken és a munkaállomásokon használható szoftverekre vonatkozóan? Ellenırzik-e rendszeresen hogy csak a jóváhagyott és engedélyezett szoftverek vannak-e feltelepítve a szerverekre illetve munkaállomásokra? Dokumentált-e az intézmény informatikai hálózatának topológiája (szerverek és funkcióik/aktív eszközök/címtartományok/protokollok stb.)? Vannak-e architektúra és adatkapcsolati ábrákat? A küsı kapcsolatok teljes körően szerepelnek-e a topológiai ábrán? A hálózaton az adatátvitel biztonságosabbá tétele érdekében használnak-e titkosítást? Ellenırizték-e az elmúlt három évben a hálózat biztonságát? Fejlesztés A fejlesztési folyamat szabályozott-e? Van-e általánosan használt fejlesztési módszertan (RUP, SSADM, OO, stb.)? Készítenek-e éves fejlesztési tervet? A fejlesztések menedzselésének (igénylés, specifikálás, fejlesztési, tesztelés, átadás-átvétel, stb.) támogatására használnak-e célalkalmazást? Van-e külsıs fejlesztı? A fejlesztési és az üzemeltetési környezetek szétválasztottak-e? A fejlesztési és az üzemeltetési tevékenységek - a tevékenységet végzı személyében szétválasztottak-e? A fejlesztési környezet adatai anonimizáltak-e? Változáskezelés Van-e változáskezelési szabályozás? Van-e változásmenedzser (olyan felelıs aki a HW/SW/konfiguráció változások dokumentumait kezeli/ellenırzi) ? A változáskezelési folyamat mőködésére vonatkozóan volt-e független ellenırzés az elmúlt két évben? A változáskezelési folyamat érvényes-e a külsısök által üzemeltetett rendszerekre is? informatikai biztonság, adatvédelem Van-e informatikai biztonsági szabályozás (irányelv, szabályzat, eljárásrend, stb.)? Van-e az intézménynél saját független (dokumentáltan) kinevezett az informatikai biztonságért felelıs személy vagy szervezet? Ha nincs akkor van-e olyan külsıs szerzıdés, amely az informatikai biztonsági feladatok rendszeres elvégzésére vonatkozik? Az informatikai biztonsági feladatok menedzselése megvalósul-e? Van-e adatvédelmi szabályozás?


125


69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 85. 86. 87. 88. 89. 90. 91. 92. 93. 94. 95. 96. 97. 98. 99. 100. 101. 102. 103.

Van-e dokumentáltan kinevezett adatvédelmi felelıs? Van-e az intézménynél minden alkalmazási rendszerhez okirattal (Pl.: munkaköri leírás/SZMSZ) kinevezett adatgazda? Van-e olyan informatikai munkafeladat, amelynek során külsısök kezelnek ügyféladatokat? A külsısök által kezelt ügyféladatok kontrolláltak-e (szabályozás, szabályozásnak megfelelı gyakorlat)? Van-e szabályozás eljárásrend arra, hogyan kell kezelni ilyen adatokat a külsıs cégnél? Hozzáférés- és jogosultság menedzselés Szabályozott-e a hozzáférési jogosultságok kezelése (igénylés/engedélyezés/törlés/ellenırzés stb.)? A jogosultságkezelési szabályozás rendszer szinten teljeskörő-e (minden hardverre és szoftverre kiterjed-e)? A jogosultság nyilvántartás teljes körő-e (minden alkalmazásra/operációs rendszerre és adatbázis-kezelıre)? A külsıs hozzáférések is a belsı szabályozás szerint történik-e? A szabályozás kiterjed-e a külsıs szolgáltatókra (náluk is érvényben van-e)? A kritikus rendszerekhez való távoli hozzáférés szabályozott-e? Van-e központi jogosultság-nyilvántartás? A külsısök szerepelnek-e a jogosultság-nyilvántartásban? Külsı szolgáltatónak van-e távoli hozzáférése bármelyik belsı informatikai rendszerhez? Ha van külsıs hozzáférés akkor az mire terjed ki? A hozzáférési jogosultságok kezelését milyen számítástechnikai eszközökkel támogatják? Mikor ellenırizték dokumentáltan utoljára a hozzáférési jogosultságokat? Üzletmenet-folytonosság és rendkívüli helyzetek kezelése Van-e a felsı vezetés által elfogadott üzletmenet-folytonossági terv (BCP) a kritikus folyamatokra? Tesztelik-e rendszeresen a kritikus rendszerek üzletmenet-folytonossági terveinek végrehajthatóságát? Rendszeresen aktualizálják-e az üzletmenet-folytonossági terveket? Kidolgozták-e a kritikus rendszerek meghibásodásának helyreállítására vonatkozó katasztrófaelhárítási terveket (DRP)? Vezetnek-e nyilvántartást a rendkívüli eseményekrıl? Kidolgoztak-e rendkívüli helyzet kezelési terveket a szállítók/szolgáltatók nem megfelelı teljesítése illetve megszőnése esetére? Az incidensek kezelési folyamata szabályozott-e? Az incidenskezelési folyamat érvényes-e a külsıs szolgáltatókra is? Oktatás, képzés Van-e képzési terv? Belsı szabályozásban meghatározták-e az egyes munkakörökhöz szükséges informatikai képzettséget? Tartanak-e rendszeresen informatikai biztonsági oktatást? A rendszerek változása esetén van-e kötelezı képzés (vizsgáztatás)? Ellenırzés, monitorozás Van-e informatikai képzettségő belsı ellenır vagy informatikai belsı ellenırzést végzı szervezet? Ha nincs informatikai belsı ellenır akkor van-e külsıs informatikai ellenırzés? Van-e az informatikai ellenırzést végzıknek valamilyen informatikai auditori képesítése (pl. CISA/ISO271001)? A belsı ellenırzése vagy az általa megbízott szakértı elvégezte-e a kiszervezett tevékenység évenkénti ellenırzését? Naplózás, naplóállományok kiértékelése Van-e naplózási koncepció? Van-e naplózási szabályozás?


126


104. 105. 106. 107. 108. 109. 110. 111. 112. 113. 114.

A külsısök naplózása szerepel-e a szabályozásban (naplózási koncepció/naplózási szabályozás stb.)? A külsısök hozzáférését naplózzák-e? Az intézménynél üzemeltetett üzleti alkalmazásoknak van-e beépített naplózó funkciója? Naplózzák-e a hozzáférési jogosultságok megváltoztatását? Naplózzák-e a biztonsági beállítások módosítását? A naplóállományokat elemzésre összegyőjtik (pl. log szerverre)? A naplóállományokat rendszeresen mentik-e? Naplók / logok elemzéshez elemzı szoftvert vagy programokat használnak-e? Dokumentálják-e a biztonsági eseményeket? A naplóállományok győjtése és elemzése külsı szolgáltató igénybe vételével történik? A külsı szolgáltató kiszervezés keretében végzi-e a fenti tevékenységet?


127


KISZERVEZÉSI TEVÉKENYSÉG INFORMÁCIÓ BIZTONSÁGI KÉRDÉSEINEK ELEMZÉSE

Recommend Documents