Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Minimális informatikai biztonság kiépítése a hazai bankszektorban

50 views

Published on

  • Be the first to comment

  • Be the first to like this

Minimális informatikai biztonság kiépítése a hazai bankszektorban

  1. 1. ZSIGMOND KIRÁLYFŐISKOLA GAZDASÁG- ÉS VEZETÉSTUDOMÁNYI INTÉZET Minimális informatikai biztonság kiépítése a hazai bankszektorban avagy Technológiai és adminisztrációs kontrollok a HPT és PSZÁF/MNB ajánlások vonatkozásában Konzulens tanár: Készítette: Dr. Hirsch Gábor Asztalos Árpád ASATAAZ.ZSKF Informatikai biztonság szakirány Budapest 2015
  2. 2. 1 Tartalomjegyzék Tartalomjegyzék....................................................................................................................... 1 Bevezető.................................................................................................................................. 3 Pénzügyi Szervezetek Állami Felügyelete [1]........................................................................... 3 A MNB (PSZÁF) szabályzása a pénzügyi intézetek informatikai biztonságára............................. 4 Kapcsolódó törvények [2],[3]............................................................................................. 5 A törvények alkalmazásának időpontja .................................................................................. 6 Az informatikairányításés az informatikai biztonság kapcsolata .............................................. 7 COBIT (Control Objectives for Information and Related Technology) nyílt szabvány.................. 7 A COBIT története ................................................................................................................ 8 Áttekintés a COBIT kézikönyvei közt....................................................................................... 9 Kiszervezés........................................................................................................................... 9 Felhőszolgáltatás.................................................................................................................10 Az üzlet-folytonossági tervfogalma és gyakorlati megvalósítása [4], [5]..................................12 Az állam által meghatározott jogszabályi előírásokés azokhoz kapcsolódó felügyeleti elvárások..13 1) Hpt. 13/B § (1) bekezdés..................................................................................................14 2) Hpt. 13/B. § (2) bekezdés .................................................................................................15 3) Hpt. 13/B. § (3) bekezdés .................................................................................................16 4) Hpt. 13/B. § (4) bekezdés .................................................................................................18 5) Hpt. 13/B. § (5) bekezdés .................................................................................................20 6) Hpt. 13/B. § (5) bekezdés a) pont..................................................................................20 7) Hpt. 13/B. § (5) bekezdés b) pont..................................................................................21 8) Hpt. 13/B. § (5) bekezdés c) pont ..................................................................................23 9) Hpt. 13/B. § (5) bekezdés d) pont..................................................................................25 10) Hpt. 13/B. § (5) bekezdése) pont ................................................................................26 11) Hpt. 13/B. § (5) bekezdés f) pont.................................................................................27 12) Hpt. 13/B. § (5) bekezdés g) pont ................................................................................28 13) Hpt. 13/B. § (6) bekezdés ...............................................................................................28 14) Hpt. 13/B. § (6) bekezdés a) pont ................................................................................29 15) Hpt. 13/B. § (6) bekezdés b) pont................................................................................30 16) Hpt. 13/B. § (6) bekezdés c) pont.................................................................................32 17) Hpt. 13/B. § (6) bekezdés d) pont................................................................................34 18) Hpt. 13/B. § (6) bekezdése) pont ................................................................................36 19) Hpt. 13/B. § (6) bekezdés f) pont.................................................................................37 20) Hpt. 13/B. § (6) bekezdés g) pont................................................................................37
  3. 3. 2 21) Hpt. 13/B. § (7) bekezdés ...............................................................................................38 22) Hpt. 13/B. § (7) bekezdés a) pont ................................................................................38 23) Hpt. 13/B. § (7) bekezdés b) pont................................................................................39 24) Hpt. 13/B. § (7) bekezdés c) pont.................................................................................39 25) Hpt. 13/B. § (7) bekezdés d) pont................................................................................39 26) Hpt. 13/B. § (7) bekezdése) pont ................................................................................40 27) Hpt. 13/B. § (7) bekezdés f) pont.................................................................................40 28) Hpt. 13/B. § (7) bekezdés g) pont ................................................................................40 29) Hpt. 13/B. § (8) bekezdés ...............................................................................................41 30) Hpt. 13/B. § (8) bekezdés a) pont ................................................................................41 31) Hpt. 13/B. § (8) bekezdés d) pont................................................................................41 32) Hpt. 13/B. § (8) bekezdése) pont ................................................................................41 33) Hpt. 13/B. § (8) bekezdés b)-c) pont............................................................................42 34) Hpt. 13/B. § (9) bekezdés ...............................................................................................42 Következtetések......................................................................................................................43 Irodalomjegyzék......................................................................................................................44 Absztrakt................................................................................................................................. 0 Abstract................................................................................................................................... 1 Képés Ábrajegyzés................................................................................................................... 2
  4. 4. 3 Bevezető Napjaink igen elterjedt informatikai technológiájának köszönhetően mindennaposak az informatikai rendszerek ellen elkövetett támadások. Mivel egyre több és több helyen jelennek meg különböző informatikai eszközök ez lehetőséget az egyre szélesebb körű támadásokra. Annak érdekében, hogy ezen támadások ellen sikeresen védekezhessenek az egyes nagyobb szervezetek, vagy akár csak a magán személyek, elkerülhetetlen a megfelelő lépések és intézkedések megtétele. Az egyes védelmi rendszerek kiépítése, amelyek az informatikai rendszert védik a pénzügyi intézet esetében igen kritikus lépésnek számít. Ezek az intézkedések nemcsak ezért szükségesek, hogy sikeresen megvédhessék az értékes információkat, amelyeket tárolnak, hanem azért is, mert ezek az intézkedések elkerülhetetlenek annak érdekében, hogy megkaphassák a működéshez szükséges engedélyeket is. A dolgozatomban szeretném kifejteni azon intézkedések meghozatalát, amelyre egy kezdő pénzügyi intézetnek szüksége van annak érdekében, hogy megkaphassa az induláshoz szükséges engedélyeket, valamint biztonságban tudhassa a tárolt információit is. Ezen intézkedéseket szabályzását a magyar állam meghatározott törvények alapján szeretné kifejteni amelyeket az állam alkotott meg a pénzügyi szervezetek informatikai rendszerének védelme érdekében. Ez a törvény a Hitelintézetekről és a Pénzügyi vállalkozásokról szóló (1996. évi CXII.) törvény, későbbiekben HPT-ként nevezve, 13./B pontjában fogalmazódtak meg, melyek a pénzügyi intézetek informatikai rendszerének védelméről szólnak. Segítségül hívva még a PSZÁF vagyis Pénzügyi Szervezetek Állami Felügyelete által kiadott ajánlásokat, amelyek erre a törvényre vonatkoznak, megalkothatjuk a működéshez valamint a megfelelő informatikai biztonsági szinthez szükséges eljárásokat, rendszereket. Pénzügyi Szervezetek Állami Felügyelete [1] A Pénzügyi Szervezetek Állami Felügyelete, későbbiekben PSZÁF, tevékenységét 2000 illetve 2013 között folytatta, mint önálló állami hatóság. Legfőbb feladata az országban jelenlevő pénzügyi közvetítő rendszerének teljes felügyelete és ellenőrzése. Működését a 2000. árpilis 1-jén tartott éves országgyűlésen meghozott döntés után kezdte el. Az Állami Pénz- és Tőkepiaci Felügyelet, az Állami Biztosításfelügyelet és az Állami Pénztárfelügyelet összevonásából, illetve ezek egyesített jogutódjaként jött létre.
  5. 5. 4 A PSZÁF-et egy külön elnök vezeti, akit a miniszterelnök javaslatára a köztársasági elnök nevez ki pozíciójára, amit hat évig tölthet majd be. Mindezek mellett a szervezet irányítását még kettő darab alelnök segíti akiket, hat évre nevez ki a szervezet elnöke. A PSZÁF szervezetén belül működik egy szakmailag teljesen különálló szervezet is, az úgynevezett „Pénzügyi Békéltető Testület” ami szervezetileg teljes mértékben közvetlenül PSZÁF elnöke alá tartozik. A szervezet munkájában nagy segítséget nyújt még a „Pénzügyi Stabilitás Tanács” is, ami három főből áll, a nemzetgazdasági miniszter, a Magyar Nemzeti Bank elnöke, illetve magának a PSZÁF-nek az elnöke. A PSZÁF minden olyan jogszabály előkészítésében, amely befolyásolja a pénzügyi rendszert, illetve érinti a felügyelt intézményeket és személyeket, véleményezési joggal rendelkezik, valamint javaslatokat tehet ezen jogszabályok megalkotására és rendeletalkotási joggal is bír a meghatározott kérdésekben. A PSZÁF egy olyan, teljes mértékben önálló alkotmányos szervezet, amely rendelkezik felügyeleti, ellenőrzési, fogyasztóvédelmi illetve szabályozói jogkörökkel is. A PSZÁF köteles minden esetben olyan módon cselekedni, hogy azzal a közjó érdekeit szolgálja. Akkor is ezt kel figyelem előtt tartania amikor meghozza döntéseit, rendeletalkotás, amikor kibocsájtja az ajánlásait, vizsgálatai alkalmával, értékelései és elemzései megfogalmazása, illetve minden intézkedései során. A PSZÁF a tavaly előtti évben, vagyis 2013 október 1-től befejezte önálló munkáját, beolvasztásra került a Magyar Nemzeti Bankba, ami átvette a fent említett jogköreit is. Ez a módosítást a Magyar Nemzeti Bankról szóló törvény módosítása tette lehetővé, amit az országgyűlés a 2013. szeptember 16-an fogadott el és hozott hatályba. A MNB (PSZÁF) szabályzása a pénzügyi intézetek informatikai biztonságára. A napjaink megnövekedett informatika kockázatának köszönhetően a kényes és értékes adatok, amiket a pénzügyi intézetek őriznek, mint például az ügyfelek adatai, az intézet által forgalmazott értékpapírok pontos adatai vagy akár a stratégiai tervek a jövőre nézve, megsemmisülése vagy rossz kezekbe jutása az intézetnek minden esetben pénzügyi kárt vagy rosszabb esetben teljes megsemmisülést vonhat maga után. Annak érdekében, hogy ezeket az adatokat biztonságos körülmények között tárolhassák, a pénzügyi intézetek illetve az állam is, számos törvényt illetve szabványt hozott létre a biztonságos infrastruktúra kiépítésének segítségére.
  6. 6. 5 Az MNB legfőbb feladata, hogy az egyes pénzügyi szervezetek, amelyek létrejöttek az országban, informatikai rendszerének biztonságát minél színvonalasabb módon, a törvényben előírtak alapján alkothassák meg. Mindezek mellett törekszik egy olyan szemléletmód, illetve értelmezés kialakítására, ami egységes minden pénzügyi intézet és a Felügyelet között. Ezeket a törekvéseket a Felügyelet olyan módón szeretné elérni, hogy szorgalmazza a COBIT, azaz a Control Objectives for Information and related Technology irányítás minél gyorsabb és nagyobb mértékben való elterjedését, valamint rámutat arra a tényre, hogy az informatikai biztonság illetve az informatikairányítás színvonala között szoros kapcsolat van. Kapcsolódó törvények [2],[3] A 2004. évi törvénymódosításokat követően:  az 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi változásokról (HPT.)  az 1997. évi LXXXII. törvény a magánnyugdíjról és a magánnyugdíj pénztárakról (MPT.)  az 1993. évi XCVI. törvény az Önkéntes Kölcsönös Biztosító Pénztárakról (ÖPV.)  az 2001. évi CXX. törvény a tőkepiacról (Tpt.) A fenti, állam által meghatározott törvények tartalmazzák azokat a követeléseket, amelyek betartása és megfelelése szükséges a Magyarországon létrejött pénzintézetek számára. Meg kell felelni annak érdekében, hogy továbbra is akadályok nélkül, folyamatosan végezhessék pénzügyi tevékenységüket az ország területén. Ezek a törvények lényegében azonos követelményeket fogalmaznak meg az informatikai rendszerek védelmének illetve szabályozásának kiépítése és felügyelete terén.
  7. 7. 6 A törvények alkalmazásának időpontja Az alábbi táblázatban láthatók a 2004. évi törvénymódosítások beiktatott jogszabályban leírt követelmények alkalmazásának kezdő időpontjai. „Törvény Informatikai rendszer védelme című paragrafus száma A törvényi előírás kötelező alkalmazásának kezdőnapja 1996. évi CXII. törvény (Hpt.) 13/B. § Beiktatta: 2004. évi XXII. tv. 2005. november 1. napjától kell alkalmazni azon pénzügyi intézmény esetében, amely nem tartozott a befektetési és az árutőzsdei szolgáltatási tevékenység, az értékpapír letéti őrzés, az értékpapír letétkezelés, valamint az elszámoló házi tevékenység végzéséhez szükséges személyi, tárgyi, technikai és biztonsági feltételekről szóló 283/2001. (XII. 26.) Korm. rendelet hatálya alá és e törvény hatálybalépésekor már működött, illetve a tör- vény hatálybalépését megelőzően érvényesen nyújtotta be alapítási engedély iránti kérelmét. 2004.05.06-án már működő, a befektetési és az árutőzsdei szolgáltatási tevékenység, az értékpapír letéti őrzés, az értékpapír letétkezelés, valamint az elszámoló házi tevékenység végzéséhez szükséges személyi, tárgyi, technikai és biztonsági feltételekről szóló 283/2001. (XII. 26.) Korm. rendelet hatálya alá tartozó pénzügyi intézménynek legkésőbb 2005. január 1-jétől kell megfelelnie a Hpt. 13/B.§-ában foglaltaknak. 1997. évi LXXXII. törvény (Mpt.) 77/A. § Beiktatta: 2004. évi CI. tv. 2006.01.01.
  8. 8. 1)-a táblázatteljestartalma,2) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatójaapénzügyi szervezetekinformatikai rendszerénekvédelméről 8 1993. évi XCVI. törvény (Öpt.) 40/C. § Beiktatta: 2004. évi CI. tv. 2006.01.01. 2001. évi CXX. törvény (Tpt.) 101/A. § Beiktatta: 2004. évi XXII. tv. 2004.05.06-án már működő, a befektetési és az árutőzsdei szolgáltatási tevékenység,az értékpapír letéti őrzés, az értékpapír letétkezelés, valamint az elszámoló házi tevékenység végzéséhez szükséges személyi, tárgyi, technikai és biztonsági feltételekről szóló 283/2001. (XII. 26.) Korm. rendelet hatálya alá tartozó szolgáltatónak, elszámoló házi tevékenységet végző szervezetnek legkésőbb 2005. január 1-jétől kell megfelelnie a Tpt. 101/A. §-ában foglaltaknak.” 1 Az informatikairányítás és az informatikai biztonság kapcsolata A mai egyre jobban fejlődő és globalizálódó világunkban az újonnan megjelent, nem ismert kockázatok tömkelege fenyegeti az informatikai rendszerek biztonságát, hála az új információ technológiák lehetőségének. Egy biztonságos hálózat informatikai rendszerének kiépítéséhez ma már nem elég, ha csak bizonyos különböző biztonságot elősegítő intézkedéseket teszünk, vagy ha adoptáljuk a különböző biztonsági szabványokat a kiépítés során. Annak érdekében, hogy sikeresen kiépítsünk egy igen költséghatékony, de ugyanakkor teljes mértékben biztonságos informatikai rendszert, javasolt segítségül hívni a nemzetközileg is elismert informatikairányítás jól bevált gyakorlatait is. COBIT (Control Objectives for Information and Related Technology) nyílt szabvány A COBIT nyílt szabvány, már világszerte elismert és igen gyakran, erőszertetettel használják, mint eszközt az informatikairányítás területein, hiszen a COBIT „rendszerbe foglalja az információ, az információ technológia és az ezzel kapcsolatos kockázatok kontrollálására alkalmas gyakorlatát”2. A COBIT nagy hangsúlyt fektet arra, hogy elérje azt, hogy az informatika minden esetben az üzleti célokat szolgálja. Mindemellett törekszik a már megszerzett és bevált eredményeket az informatikairányítás területeiről, de ugyanakkor törekszik hangsúlyt fektetni a modern, korszerű vállalat irányítási módszerekre is. A COBIT felhasználásának segítségével, lehetőség nyílik a precíz együttműködésre a vállalat
  9. 9. 8 irányítók, azon szakemberek, akik a működési kockázatok felmérésével, megelőzésével foglalkoznak, a vállalatban dolgozó informatikusokkal, illetve az auditorokkal. A COBIT ezen tulajdonságainak hála kifejezetten jól alkalmazható a pénzügyi intézmények biztonsági rendszerének kialakításában. Minden olyan elvárást, amit a törvény előír az egyes informatikai rendszerek kialakítására a COBIT I. sz. melléklete tartalmazza. Természetesen a két anyag elvárasai között, értem ide a törvényeket és a COBIT anyagait, mindig lesznek eltérések, hiszen az ezen alkotások szerzője, felhasználási köre, céljuk illetve keletkezésük következménye nem egyezik meg egymással. Ezen különbségek ellenére a COBIT célja, hogy mindenképp a jogszabályban előírt illetve a nemzetközi gyakorlatban bevált módszerek segítségével lefedjék az informatikai biztonság egész területét. Ellenben a nem teljes megfeleltetés következtében előfordulhat, az a tény, hogy a COBIT egyes fejezetei akár több jogszabályi pontnál is megjelenhetnek. A COBIT története A COBIT-ot kiadó társintézmény az IT Governance Institute, ami amerikai származású, 1998-ban alakult, a mint egy 35000 tagból álló ISACA, vagyis Information System Audit and Control Association világszerte elismert társaság tagja. A vállalat megalakulása óta eddig öt darab COBIT kiadvánnyal büszkélkedhetnek. A könyvek közül az elsőt 1996-ban adták ki. A második könyvet 1998-ben, ez a kiadvány már tartalmazza a egyes kontrollokat is. A harmadik könyvet 2000-ben publikálták. Ez a példány 2003-ban jelent meg az on-line elektronikus formája is, ez már tartalmazott különböző iránymutatásokat a menedzsment számára. A negyedik könyvüket 2005 decemberében adták ki, amit később, 2007 májusában lecseréltem egy bővített, javított de még mindig negyedik kiadásúval. Majd végül kiadták 2012-ben a COBIT ötödik, jelenleg is elfogadott és használt verzióját, amihez 2012 decemberében, illetve 2013 júniusában kiadtak egy-egy kiegészítő dokumentumot, ami rendre az informatikai biztonságról illetve a szavatolásokról szólt. Nagyban elősegíti a részletesen kidolgozott auditálási módszertana a COBIT egyre növekvő elfogadását nemzetköri szinten. Azok az ellenőrök, akik feladata a hazai pénzügyi szervezetek auditálása, már évek óta, egytől egyig az ISACA tagja illetve az auditokat minden esetben a COBIT szemléletei alapján végzik.
  10. 10. 9 Áttekintés a COBIT kézikönyvei közt. A COBIT mára tekintélyes számú kézikönyvet tartalmaz, ami az informatikairányítás eszközeként szolgál a mai napig. A COBIT kézikönyvek csoportosítását az alábbi, vagyis 1- es számú ábra segítségével szeretném szemléltetni. 1. ábra Kiszervezés Kiszervezés alatt azt értjük, amikor a szervezet egy adott tevékenység elvégzésére, amit eddig ő maga csinált, egy másik a szervezeten kívüli vállalkozást bíz meg. A kiszervezés folyamatát törvényileg a Hitelintézetekről és a Pénzügyi vállalkozásokról szóló (1996. évi CXII.) törvény, 13./A része szabályozza. A pénzügyi szervezet mind addig, amíg eleget tesz a törvényben leírt követelményeknek, bármilyen tevékenységet kiszervezhet. Abban az esetben amennyiben a kiszervezés során bármilyen adatfeldolgozás vagy adattárolás jön létre, a szervezet ezt csak az adatvédelmi szabályzatának betartatásával teheti meg. Egy adott tevékenységet a pénzügyi intézet akkor szervezhet ki amennyibe meggyőződött arról, hogy a külsős vállalat rendelkezik mindazon emberi, tárgyi valamint biztonsági feltételekkel, amelyek a kockázatelemzés alapján előírt a pénzügyi szervezet. Minden kiszervezett tevékenység után a pénzügyi intézménynek kötelessége bejelenteni az MNB részére ezt. A bejelentést légkésőbb két napra a szerződés aláírta után kell megtennie. Ebben a jelentésben szerepelnie kell az adott szolgáltatást nyújtó a vállalat neve, székhelye
  11. 11. 10 valamint a tevékenység időtartama. A pénzügyi szervezet illetve a kiszervezett tevékenységet végző vállalat között szerződést kell kötni. Ennek a szerződésnek minden esetben tartalmaznia kell mindazon adatvédelmi előírásokat amiket a pénzügyi szervezete alkalmaz. Tartalmaznia kell még a tevékenységet végző vállalkozás beegyezését az egyes külsős vagy belsős ellenőrzésekre. Azt is, hogy vállalja a felelősséget az megállapodott szolgáltatások megfelelő színvonalú végzését. Tartalmaznia kell még ezen szolgáltatások minőségére vonatkozó leírásokat és azon szabályokat amelyek meggátolják a bennfentes kereskedelmét a szolgáltatást nyújtó vállalatnak. A szervezetnek kötelessége mindazon rendkívüli helyzetek megoldására készített tervvel, amelyek a szerződésben megfogalmazott tevékenységektől eltérő esetekben léphetnek fel. Legalább évente az intézetnek kötelessége azt felülvizsgálni, hogy az adott vállalkozás valóban a szerződésben foglaltaknak megfelelően végzi az adott szolgáltatás nyújtását. Kiszervezés esetén a pénzügyis szervezete a felelős a kiszervezett folyamatot végző vállalkozás minden tevékenységéért. Abban az esetben amennyiben jogszabálysértést észlel a pénzügyi szervezet, azonnal jelentenie kell azt. Abban az esetben amennyiben jogszabálysértés áll fenn a szervezet felfüggesztheti a szolgáltatást nyújtó vállalkozással a megkötött szerződést. A szervezetnek figyelnie kell arra, hogy ha olyan vállalat számára szervez ki tevékenységeket, amely más pénzügyi szervezetekkel is dolgozik, akkor ez a vállalat minden a szervezettel kapcsolatos adatok és információt az adatvédelmi szabályzatnak megfelelően és elkülönítve tároljon. Csak abban az esetben alkalmazhat közreműködőt a szolgáltatást nyújtó vállalat, amennyiben erre a megkötött szerződés is engedélyt ad valamit, hogyha ez a közreműködő vállalja az egyes külsős vagy belsős ellenőrzéseket is. Abban az esetben amennyiben a pénzügyi szervezet tisztségviselője vagy bármely közeli hozzátartozója bármiféle tulajdonosi viszonyban áll azzal a vállalattal, amit a szolgáltatás végzésével szeretne megbízni a szervezet, a szerződéskötés nem jöhet létre. A pénzügyi intézetnek minden esetben kötelessége a kiszervezett tevékenységet illetve ennek elvégzőjét az üzletszabályzatban feltüntetnie. Az adott pénzügyi szervezetnek csak abban az esetben kötelessége alkalmaznia a fent leírtakat amennyiben a kiszervezett tevékenység bármilyen banktitkot érint. Ellenkező esetben még a Felügyelet számára sem kötelező a kiszervezett tevékenység bejelentése. Felhőszolgáltatás A felhőszolgáltatások egyre nagyobb elterjedésének köszönhetően ez a szolgáltatás is kiszervezésnek számít. Minden esetben a kockázatelemzés kiértékelésének megfelelően kell szolgáltatót választani, abban az esetben, hogyha ezt a típusú szolgáltatást szeretné a
  12. 12. 11 szervezet igénybe venni. Ez a típusú kiszervezés annyiban különbözik az eddigiektől, hogy ebben az esetben a szervezetnek kell alkalmazkodni a szolgáltató szabályzásaihoz. A felhőszolgáltatások igénybevétele eseten érdemes figyelmet fordítani az egyes európai uniós jogszabály változtatásokra és gyakorlati tanácsokra, az adatvédelmi előírásokra illetve gyakorlati folyamatokra, valamint a pontos szolgáltatási szerződésekre illetve szolgáltatási szint szerződésekre is. Felhőszolgáltatás igénybevétele esetén a szervezet legfontosabb feladata eldönteni, hogy melyek azok az adatok, amelyeket lehet publikus felhőben tárolni és melyeket nem. Azon adatok, amelyek banktitkokat, személyes adatok vagy másfajta érzékeny adatokat tartalmaznak nem ajánlott publikus felhőben tárolni. Még szerződéskötés előtt javasolt mérlegelni, illetve megfontolni a fennálló kockázatokat. Figyelni kel arra, hogy léteznek olyan védelmi technológiák, amelyeket hogyha a virtuális környezetben futtatnak - amely elengedhetetlen a felhőszolgáltatások esetében - nem képesek azonos mértékű biztonság biztosítására, mint az ugyanazon célra használt fizikai megoldások. Abban az esetben amennyiben a szervezet publikus felhőszolgáltatáshoz tartozik és egy esetleges támadásrolás éri akkor azt nehézkes a naplóadatok segítségével felderíteni a támadást, hiszem ez a támadó lehet akár a szolgáltatás egy másik ügyfele is. Mivel ezen szolgáltatásnak nincs jogosultsága arra, hogy a már megszüntetett virtuális gépek - amelyekből az esetleges támadás érkezhetett - naplózásának megtartására. Abban az esetben amennyiben az adott szervezetben fellelhetők olyan adatok, folyamatok amelyeket maga a szervezet sem tud megfelelően megvédeni vagy kontrollálni, azokat nem javasolt semmilyen felhőszolgáltatásnak kiadni. Mivel a szolgáltató biztosítja jeldolgozásának illetve tárolásának fizikai helyszínét azért fontos figyelembe venni, hogy ez, lehetőség szerint, ne legyen az EU területén kívül, valamit ez határozza meg azt, hogy melyik ország jogszabályai vonatkoznak a szolgáltatóra. Érdemes megbizonyosodni arról, hogy a szolgáltató kórszerű és megbízható titkosítást alkalmat az adatok továbbítására illetve tárolására, valamint arra is figyelmet kell fordítani, hogy a hozzáféréstérő is korszerű technológiák segítségével oldják meg. Figyelmet kel fordítani arra is, hogy megfelelő naplózást alkalmazzanak, illetve azt is, hogy törlés esetén a törölt adat helyét fizikai véletlenszerű adatokkal töltsék ki. Természeten a megbízhatóság illetve a bizalom alapja mindig egy szerződés marad a két érintett fél között. Ezért fontos, hogy felhőszolgáltatás esetében a szerződések tartalma minden esetben precízen legyen megalkotva. Különösen fontos ezekben meghatározni azt, hogy miként lehet monitorozni, ellenőrizni a szerződésben illetve szolgáltatás szerződésben
  13. 13. 12 vállaltakat. Figyelni kell arra, hogy e két szerződés tartalma ne térjen egymástól. Minden esetben kerülendő a szerződésekben az általános feltételek alkalmazása. Érdemes olyan feltételeket kialakítani a szerződésekben, amelyek meggátolják az esetleges szolgáltató váltásokat is. Meg kell határozni a rendelkezésre állás feltételeit illetve mértékét, valamit a helyreállítási terveket is, oly módon, hogy ezek illeszkedjenek az ügyfél üzletmenet folytonossági tevéhez. Szerződésbe kell foglalni azt is, hogy a szolgáltató az egyes incidensekről mihamarabb tájékoztassa az intézetet valamint, hogy ezen tájékoztatók a lehető legpontosabbak legyenek. Figyelmet kel fordítani arra, hogy mennyire alkalmas a szolgáltató az egyes kapacitásszükséglet változások kielégítésére, annak érdekében, hogy ne okozzanak gondot az egyes csúcsterhelések se. Pontosan meg kell határozni a változáskezelés szabályzatait, a változások gyakorlati megvalósítását illetve pontos ellenőrzését is. Meg kell határozni az időközönkénti független auditok menetét is, valamint azon tartalmakat valamint biztonsági tanúsítványokat amelyeket a szolgáltató az ügyfelek számára is elérhetővé kell tegyen. Le kell szögezni azt is, hogy mik a teendők abban az esetben amennyiben a két fél között nézeteltérés következik be. Értve ez alatt, hogy melyek azok a jogszabályok, amelyeket ebben az esetben alkalmazni kell, illetve mely hatósági szervezeteket kell értesíteni a probléma megoldása érdekében. A legfontosabb eleme a szerződésnek a pontos felelősségi és biztosítási szabályzatok meghatározása oly módon, hogy ezek minden esetben illeszkedjenek a magyar jogrendekhez is. Az üzlet-folytonossági terv fogalma és gyakorlati megvalósítása [4], [5] Az üzletfolytonossági terv az a folyamat, amely során az egyes szervezetek meghatározzák azt, hogy mik a teendők az egyes kritikus üzleti folyamatok sérülése vagy leállása esetén annak érdekében, hogy a lehető legrövidebb időn belül visszaállhasson az eredeti állapotába. A következő ábrával szeretném szemléltetni azt, hogy miként zajlik le a folyamat az egyes katasztrófák bekövetkezte esetén:
  14. 14. 13 2. ábra Az ábrán az üzlet-folytonossági terv, valamint a katasztrófa-elhárítási viszony látható. Minden esetben az egyes rendkívüli helyzetek bekövetkezte után a szervezet vetőinek krízishelyzetnek kell nyilvánítani a történteket, illetve el kel rendelnie a helyreállítási folyamat beindítását. Mindaddig amíg a helyreállítási folyamat zajlik elengedhetetlen egy helyettesítő folyamat elindítása, ami legtöbb esetben ez eredeti egy csökkentett funkciókkal rendelkező változata. A helyreállítási folyamat lezajlása után minden esetben újabb döntést kell hozni az eredeti működésre való visszaállás körülményeiről. Amint ez a visszaállás bekövetkezett minden esetben étesíteni kell az érintett feleket erről. Fontos, hogy minden szervezet rendelkezzen ilyen tervezettel annak érdekében, hogy megfelelően, illetve a lehető legrövidebb idő elteltével tudja kezelni az egyes krízishelyzetekből adódó problémák megoldását. Az állam által meghatározott jogszabályi előírások és azokhoz kapcsolódó felügyeleti elvárások Az állam által kiadott törvényeknek az a célja, hogy hazánkban is minél jobban elterjedhessenek, a már más országokban jól bevált és használt COBIT által meghatározott módszerek és eljárások. Ezen módszereket, eljárások leírását magyar nyelven is el lehet érni. A következőkben szeretném ismertetni a HPT 13/B részét, valamint az ehhez kapcsolódó
  15. 15. 3) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 14 gyakorlati tennivalókat annak érdekében, hogy az egyes szervezetek megkaphassák a működésükhöz szükséges engedélyeket. 1) Hpt. 13/B § (1) bekezdés A pénzügyi intézménynek ki kell alakítania a pénzügyi, kiegészítő pénzügyi szolgáltatási tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről. A szabályozási rendszerben ki kell térni az információtechnológiával szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén.3 A pénzügyi szervezet működésében elkerülhetetlen a pontos és naprakész informatikai szabályzatok elkészítése a vezetők által. A szabályzatok kialakítása során az első lépések közé tartozik a szervezet működési irányelveinek megfogalmazása. Ezek után a szabályzások kialakításával kell foglalkozni, majd a szükséges eljárásrendek megalkotásával. Az irányelvek megalkotásában teljes mértékben szabad kezet kapnak a szervezet vezetői, tehát ezeket a belátásuk szerint alkothatják meg. A szabályzatok megalkotása szintén a vezetők feladatkörébe tartozik. Minden megalkotott szabálynak tartalmaznia kell azt, hogy mikortól lép hatályba az adott szabály, azt, hogy az adott szabály mennyire aktuális, mikor volt utoljára módosítva, és kik azok a személyek akikre vonatkozik. A szabályzatban mindenképp bele kell foglalni a szervezet által alkalmazott informatikai biztonsági politikát és szabályzatot, amit a működés során alkalmazni szeretnének. Szabályzást kell alkotni arról, hogy miként üzemelteti a szervezet az informatikai rendszerét. Arról is szabályzás kell, hogy a szervezetben az előre meghatározott különböző szerepkörök milyen hozzáféréssel, jogosultsággal rendelkezzenek. Létre kell hozni egy vírusvédelmi szabályzatot, amelyben megfogalmazzák a vírusvédelemre használt szoftverek, illetve hardverek használatának szabályait, a rutin víruskeresés és irtás időpontját és menetét, valamint az esetleges vészhelyzetek esetén fellépő intézkedéseket. Hasonlóan kell eljárni a mentésekre, illetve archiválásokra vonatkozó szabályzattal is. Szabályzást kell kialakítani a kockázatok elemzésére valamint kezelésére is, amelyben meghatározzuk, hogy mely módszertant alkalmazzuk a kockázatok elemzése, a kockázatok dokumentáltságának a formai kialakítását, valamint az egyes kockázatok kezelésére vonatkozó eljárásokat. Hasonló felépítéssel kell megalkotni a változások kezelésére vonatkozó szabályozást is. Meg kell alkotni azon szabályokat is, amelyek kitérnek az újonnan megalkotott szabályok
  16. 16. 4) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 15 elkészítésének és kiadásainak menetére, formai követelményekre, amelyeket a vállalat vezetői szabadon választhatnak meg. Gondoskodni kell arról, hogy szabályzás legyen arról, hogy miként találhatják meg az alkalmazottak az új szabályokat, módosításokat. Ennek megvalósításában nincsenek törvénybeli megkötések, megoldható akár kinyomtatott papír formában is, amiket minden alkalmazott számára eljuttat a szervezet vagy elektronikus útón, például e-mail formájában is elküldheti ezeket a szabályokat a dolgozók számára A szabályváltozásokat legalább évente egyszer, vagy jelentősebb működési környezetben történő változás esetén felül kell vizsgálniuk a vezetésnek. Amennyiben a vezetőség szükségesnek tarja, akkor módosítani kell az egyes szabályzatok annak érdekében, hogy mindig naprakészek legyenek. A szervezet minden dolgozójával meg kell ismertetni a jelen pillanatban érvényes szabályzatot, amelyet oktatás segítségével végezhet el a vezetés. Azért, hogy minden esetben megbizonyosodhassanak a vezetők arról, hogy az alkalmazottak megértették a rájuk vonatkozó szabályzatot, egy számonkérést kell alkalmazni. Ez a számonkérés lehet akár szóbeli vagy az egyszerűség kedvéért írásbeli is, amelyet az adott dolgozó csak akkor vehet sikeresen amennyiben elérte az ebben meghatározott minimális követelményeket. A felhasznált információ technológiákat a szervezet vezetői határozzák meg. Ezek lehetnek akár a legdrágább és legmodernebb eszközök, amelyeket a piacon meg lehet találni, ellenben lehetnek akár idősebb technológiák, amelyeket érdemesebb a költséghatékonyság érdekében választani. A szabályzások elkészítésének kiszervezése más vállalkozások számára a törvény által engedélyezve vannak, ellenben figyelni kell, hogy a folyamatok során, az erre vonatkozó szabályok, minden esetben betartásra kerüljenek minkét fél által. Ennek érdekében a szervezet kijelöl egy biztost, aki felügyeli a folyamat minden lépését. 2) Hpt. 13/B. § (2) bekezdés A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni.4 A növekedett kockázatoknak köszönhetően elengedhetetlen, hogy a pénzügyi szervezetnek legyen egy megfelelően elkészített kockázatelemzése. Ezt az elemezést legkönnyebben úgy tudjuk elvégezni, hogyha megbízunk egy erre szakosodott külső vállalkozást. Ebben az esetben vigyázni kell arra, hogy semmilyen kár ne keletkezhessen a
  17. 17. 5) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 16 kiszervezésnek köszönhetően. Abban az esetben, amennyiben nem áll rendelkezésre elegendő tőke, úgy ezt házon belül is elvégezhetjük. Alkalmazva a kockázatelemzés alapvető folyamatát, legelőszőr fel kell tárni mindazon kockázatokat, amelyek az informatikai rendszer biztonságát fenyegetik. Ez a felmérés minden rendszerre, legyen az szoftver vagy hardver, ki kell terjednie. A kockázatok feltárása után egyenként ki kell értékelni ezeket és meghatározni, hogy ezek mekkora fenyegetést a szervezet számára. Azon pontokat ellen, amelyeket kritikusnak ítélünk meg, kell a leghamarabb megelőző, illetve kockázatcsökkentő folyamatokat kialakítani. Ilyen kockázatcsökkentő folyamat lehet például egy megfelelő fizikai védelemmel rendelkező terem megépítése a szervezet hardverei számára, de akár egy egyszerű informatikai biztonsági oktatás lebonyolítása a szervezet dolgozói részére. Az elemzés minden lépéséről pontos és megfelelő dokumentációt kell készíteni. Ezt a kockázatelemzést időről időre, de legalább évente egyszer, el kell végezni illetve, aktualizálni kell. Amennyiben bármilyen változás következik be a szervezetben, legyen az új egy rendszer bevezetése, vagy bármilyen környezeti változás a kockázatelemzést újra el kell végezni. 3) Hpt. 13/B. § (3) bekezdés Az informatikaalkalmazásából fakadó biztonsági kockázatokfigyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat.5 Minden pénzügyi szervezetben lényeges az, hogy pontosan meg legyenek határozva az egyes szervezeti rendek, felelősségi körök. Ezeket minden esetben a kockázatelemzés alapján kell kialakítani a szervezet vezetésének. Az egyes rendszerek felelősségi körét pontosan és egyértelműen kell meghatározni, annak érdekében, hogy ne legyenek félreértések. Minden esetben figyelni kell az összeférhetetlenség elvének betartására. A következő táblázatban egy példával szeretném ezt bemutatni.
  18. 18. 17 3 . számú ábra Ez a táblázatot a COBIT készítette az összeférhetetlen feladatok és felelősségi körök bemutatására. A táblázat csak példaként szerepel itt, mert a szervezetek számára nincs semmiféle törvényi kötelezettség a szerepkörök kialakítására, mindaddig, amíg eleget tesznek az összeférhetetlenség elvének. Figyelembe véve a kockázatelemzés eredményeit, a szerepköröket olyan módon kell kialakítani, hogy az egyes kritikus rendszerek esetében ne kerülhessen egy azon személy kezébe az egyes folyamatok irányítása, ellenőrzése illetve végrehajtása, ugyanis ez minden esetben visszaélésre ad lehetőséget. Mindezen szerepkörök közül a legfontosabb azok a szerepkörök különválasztása, amelyek a rendszer karbantartását végzik, vagyis a rendszergazdák, az adott rendszer fejlesztői valamint az adott rendszer üzemeltetői. Erre a tevékenységre segítségünkre lehet a fenti táblázat. Mindezek mellett a vezetésnek arról is gondoskodnia kell, hogy minden alkalmazott teljes mértékben tisztában legyen azzal, hogy mi az, ami az ő feladatkörébe tartozik, valamint, hogy ezek milyen felelősséggel járnak. Ezt a vezetőség akár egy oktatás keretén belül is megvalósíthatja, vagy akár egy megfelelően elkészített, papír alapú leírást használva is. Figyelni kell arra, hogy minden alkalmazott a megfelelő hatáskörrel rendelkezzen, annak érdekében, hogy akadálytalanul el tudja végezni a munkáját. Ezen probléma megoldására érdemes egy külön csoport kialakítása, akiknek az a feladatuk az egyes személyek számára kiossza a megfelelő hozzáféréseket. Fontos az, hogy a vezetőség nevezzen ki egy úgynevezett informatikai biztonsági felelőst, aki felel minden, a szervezetben használt, informatikai rendszer fizika valamint
  19. 19. 6) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 18 logikai védelméről egyaránt, valamint aki közvetlenül a felső vezetésnek tartozik beszámolással a munkájáról. Fontos az is, hogy minden, a szervezetben használt informatikai rendszernek legyen kinevezve egy úgynevezett tulajdonosa, akinek a feladata az adott rendszer osztályozása, illetve a jogosultsági szintjeinek kialakítása. Mindezek mellett ki kell alakítani egy olyan eljárást, amely segítségével kinevezhetők az egyes adatgazdák. A felelősök kinevezésére több módszer is alkalmazható. A legegyszerűbb módja az, hogy a vezetőség jelöli ki, belátásuk szerint, az adott felelőt, vagy lebonyolítható egy többlépcsős vizsgasorozat is ezen személyek kinevezésére. Ellenben, nem minden esetben szükségesek, hogy ezen adatgazdák hogy informatikus legyenek. Azon rendszerek tulajdonosai, amelyek valamiféle nyilvántartást kezelnek, mint például az egyes könyvelő rendszerek vagy számlavezető rendszerek, azok vezetők lesznek amelyek leginkább érintettek az adott területben. Mindazon rendszerek esetében, amelyek valamiféle informatikai szolgáltatást nyújtanak, elengedhetetlen az, hogy a tulajdonosok informatikus legyen. Időről időre érdemes a szervezet dolgozóinak létszámának felülvizsgálata annak érdekében, hogy ha helyettesítésre kerül a sor, akkor a szervezet informatikai részlege, megfelelő tudással bíró, munkaerővel rendelkezzen az adott hiány pótlása érdekében. Ezt a felülvizsgálatot általában a szervezet humán erőforrás részlege végzi el, az informatikai részleg vezetőségének segítségével. A mindenkori rendelkezésre állás érdekében elengedhetetlen az informatikai munkaköri leírások pontos kidolgozása és aktualizálása a vezetőség által. Ezen munkakörökben pontosan rögzíteni kell az egyes hatás- valamint felelősségi köröket, illetve az egyes munkakörökhöz szükséges minimális informatikai tudást képzettséget, beleértve az elméleti és gyakorlati tudást is. 4) Hpt. 13/B. § (4) bekezdés A pénzügyi szervezetnek ki kell dolgoznia az informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell.6 A bekezdésben szereplő rendszer alatt nem egy adott alkalmazást kell érteni, amely ellenőrzi a szervezetben használt alkalmazásokat külön-külön, hanem egy olyan, a kockázatokkal arányos, kontrollkörnyezetet, amely lehetővé teszi az informatikai irányítás mindennapi működésének felügyeletét. Ez a folyamatnak magába kell foglalnia minden a szervezetben meglévő folyamatot valamint erőforrást is.
  20. 20. 19 Minden esetben a vezetésnek mérnie kell, valamilyen program segítségével vagy egy személy által, azon szolgáltatásokat szintjét, amelyeket az informatikai osztály jelenleg nyújt. Ezeket a szolgáltatásokat össze kell hasonlítania a szolgáltatási szint megállapodásban vállaltattakkal, annak érdekében, hogy tartani tudják ezeket. Rendszeresen értékelniük is kell ezeket szolgáltatásokat. Gondoskodni kell arról is, hogy rendszeresen mérjék fel a felhasználók elégedettségét a nyújtott szolgáltatásokkal kapcsolatosan. Ez program vagy papír alapú kérdőív kitöltése segítségével könnyedén megoldható. Annak érdekében, hogy a szervezet vezetése pontos információkat kapjon arról, hogy milyen irányban történtek előrelépések a kitűzött célok megvalósítása, valamint a kockázatok csökkentésére, az informatikai részleg dolgozóinak jelentéseket kell készíteniük a tevékenységükről. A vezetésnek figyelemmel kell kísérnie, hogy azon a kockázatelemzés eredményének tükrében kialakított ellenőrzési eljárások, amelyek a belső ellenőrzési feladatokat látják el, megfelelően, valamint eredményesen működnek vagy sem. Amennyiben szükséges, ezen áttekintés alapján, lépéseket kell alkalmazni ezen folyamat javítására. Abban az esetben tekinthető sikeresnek ez a folyamat, amennyiben ez gyorsan felderíti, illetve kijavítja az esetlegesen fellépő hibákat, még mielőtt ezen hibák bármiféle módon befolyásolni tudnák a rendszerek üzemszerű működtetését, valamint a szolgáltatások nyújtását. Időről időre a vezetésnek felül kell vizsgálnia a belső ellenőrző rendszerek működését, valamint az üzemeltetési biztonsági folyamatokat. Ez a vizsgálat elvégezhető önértékelés segítségével, de igénybe vehető egy külsős független ellenőrző vállalat szolgálatai is. Az ellenőrzés során meg kell vizsgálni ezen rendszerek megfelelő működését. Abban az esetben, hogy ha a szervezet egy új informatikai szolgáltatás bevezetését fontolgatja, amelyet a kockázatelemzés kritikusnak ítélt, akkor az üzembe helyezés előtt mindenképp szereznie kell egy tanúsítványt, amelyet független szakértő állít ki. Ezen kritikus rendszerek üzembe helyezése után időről időre meg kell újítani, a szakértő által kiállított tanúsítványokat. Minden olyan esetben, amikor az adott szervezet úgy dönt, hogy egy külső vállalat szolgáltatásait veszi igénybe, akkor meg kell győződnie, egy független szakértő segítségével, arról hogy ez az adott vállalat rendelkezik a megfelelő biztonsági valamint belső ellenőrzési tanúsítványokkal. E szolgáltatások használatának igénybevétele után is rendszereses meg kell újítani ezeket a tanúsítványokat. A független szakértő nem kell feltétlenül egy külsős személynek lennie, hanem alkalmazható belsős, az adott intézetben dolgozó személy munkája is, abban az esetben, ha az adott személy rendelkezik megfelelő tudással ezen feladatok ellátására.
  21. 21. 7), 8) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007.számú módszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 22 Minden esetben olyan szabályzatot kell kialakítani, az ellenőrzési terület esetében is, amelyben pontosan meghatározzák az adott terület feladatait, hatásköreit, számon kérhetőségének módját valamint azt, hogy kinek kötelesek beszámolni a munkájukról. Ezt a szabályzatot időről időre felül kell vizsgálnia a vezetőségnek vagy a vezetőség által kijelölt személynek. Annak érdekében, hogy az ellenőrzés minden esetben objektív lehessen, az adott ellenőrnek függetlennek kell lennie a vizsgált részlegtől. Amennyiben szükséges érdemes külsős ellenőr alkalmazása. 5) Hpt. 13/B. § (5) bekezdés A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az a)-g) pontokban meghatározottakról. 7 A következő bekezdésben előírt követelményeket a már korábban kifejtett kockázatelemzés kiértékelése alapján kell teljesíteni. 6) Hpt. 13/B. § (5) bekezdés a) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról. 8 Az adott szervezetnek minden esetben rendelkeznie kell egy megfelelő nyilvántartással, amelyben pontosan visszakereshető kell legyen minden használt eszköz, folyamat és személy. Ezeknek a nyilvántartásoknak formai követelményük nincs, tehát a vezetés döntése az, hogy milyen formában lesz megalkotva. Ezen nyilvántartások meg lehet alkotni akár papír alapon vagy akár elektronikus formában is. A nyilvántartásokban szereplő eszközöket, személyeket, folyamatokat érdemes egy egyedi azonosítóval ellátni, amely alapján egyértelműen visszakereshetőek a szereplők. Ezek az azonosítók tetszés szerint választhatóak, vagyis kezdve a legegyszerűbb sorszámtól, a legbonyolultabb módszerekkel megalkotott számozásig bármi lehetséges. Törvény által tartalmi követelmény az is, hogy a nyilvántartott elemnek mindig naprakész státusszal kell rendelkezzek, például az informatikai eszközök esetében alkalmazhatóak olyan státuszok mint a „újonnan beszerzett” vagy „jelenleg fejlesztés alatt”. Ezen státuszok milyensége szabadon választható meg. E mellett a nyilvántartásban szereplő minden elemmel történő változásnak is szerepelnie kell,
  22. 22. 9) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 21 tetszőleges, de visszakövethető formában. Ilyen változás lehet például az egyes személyek áthelyezése a szervezeten belül. A szervezet vezetőinek gondoskodniuk kell arról, hogy csak azon konfigurációs- elemek kerüljenek használatba, amelyeket már engedélyeztek, illetve pontosan visszakövethetők a nyilvántartásban. Ennek megvalósítása érdekében érdemes egy külön csoport kialakítása, amelynek tagjai ezért felelősek. Ezen nyilvántartások tartalmát és pontosságát rendszeresen ellenőrizni kell. Ennek az elvégzését a részleg vezetője saját kezűleg is megcsinálhatja, ugyanakkor ezt a részlegen dolgozó szakemberek is elvégezhetik. Ez a tevékenység teljes mértékben kiszervezhető egy másik vállalat számára. Ebben az esetben a pénzügyi intézet nyilvántartását ki kell egészíteni azokkal a személyekkel, eszközökkel illetve folyamatokkal, amelyek bármilyen módon érintkezésben vannak az intézet számára végzett szolgáltatásokkal. 7) Hpt. 13/B. § (5) bekezdés b) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról. 9 A kockázatelemzés alapján kritikusnak értékel rendszerek esetében nagyobb odafigyelést kell fordítani az adott rendszer védelmére, zártságára és ellenőrzésére, mint azon rendszerek esetében, amelyek kisebb kockázati értékelést kaptak. Azonban minden esetben figyelni kell arra, hogy ezen biztonsági lépések ne akadályozzák a dolgozókat munkájuk elvégzésében. Azon eljárások, amelyeket ennek érdekében alkot meg a vezetőség tartalmazniuk kell az IT kockázatelemzést, az informatikai biztonsági tervet, valamint annak végrehajtását és aktualizálását minden informatikai rendszer felépítésében történt változás esetében legyen akár egy egyszerű képernyő vagy billentyűzet csere vagy akár egy teljes szerver cseréje. Ezeket minden esetben megfelelően dokumentálni kell. Biztonsági szempontból érdemes olyan szinten korlátozni a számítástechnikai erőforrások használatát, amely éppen elegendő a feladtok elvégzésére. Ezen erőforrásokhoz való hozzáférést is korlátozni kell a megfelelő azonosítási eljárások révén. Ezen a korlátozások különböző erőforrásokhoz különböző hozzáféréssel rendelkező munkatársakat enged hozza. Ezen azonosítási eljárás segítségével megakadályozhatók az egyes
  23. 23. 22 jogosulatlan hozzáférések is a szervezet adott rendszereihez. Annak érdekében, hogy az egyes tranzakciókat továbbító másik fel valódisága ellenőrizhető legyen, külön eljárásokat kell alkalmazni. Figyelve, hogy ezen eljárások összhangban legyenek az informatikai biztonsági politikával a szervezetnek lehetősége van különböző eljárásokat használni. Ilyen eljárás lehet a két kulcsos titkosítás használata vagy HTTPS protokoll használat. Ellenben, amennyiben a szervezet úgy ítéli meg, akkor akár elegendő lehet egy egyszerű felhasználónév, jelszó páros alkalmazása a hitelesség ellenőrzésére. Mindezek mellett megfelelő naplózási illetve hitelesítési eljárások segítségével biztosítani kell, azokban az esetekben ahol szükségesnek találták, azt hogy ezen tranzakciókat egyik fél se tagadhassa le. Amennyiben a szervezet úgy ítéli meg, abban az esetben megfelelő biztonsági protokollok használata segítségével gondoskodni kell arról, hogy azon bizalmas adatok, amelyek a tranzakciókban szerepelnek, azok megbízható csatornákon közlekedjenek. Ennek érdekében a szervezet használhatja a HTTPS vagy SLA protokollok egyikét. Minden olyan rendszert, amely a biztonsági eljárásokat futtatja, legyen ez akár hardver vagy akár szoftver, minden esetben meg kell védeni a jogosulatlan hozzáféréstől annak érdekében, hogy ezek a rendszerek megőrizhessék sértetlenségüket. Ennek érdekében javasolt ezen rendszerek hardverjeinek megfelelő fizikai biztonságot kiépíteni, valamint az adott szoftverekhez is csak megfelelő jogosultsággal lehessen hozzáférni. Mindezek mellett érdemes az adott rendszer felépítésének titokban tartása is. Megfelelő intézkedések segítségével gondoskodni kell az eszközök fizikai védelméről, illetve a hozzáférésükről is. Ezt a legegyszerűbben egy megfelelő biztonsági zárral rendelkező helyiség segítségével oldhatjuk meg, amelyhez korlátozott a hozzáférés és amelyek pontosan rögzítésre kerülnek. Ezen biztonsági intézkedéseket azonban nemcsak magukra az eszközökre, hanem az őket összekötő illetve kiszolgáló kábelezésre is alkalmazni kell. Ezt akár biztosítható egy műanyag védőborítással vagy falba teljesen beleépített kábelcsatornákkal is. Hasonló zártságot kell biztosítani azon hordozható adathordozók számára is, amelyeket a biztonsági mentések tárolására használnak, illetve minden egyéb, a működéshez szükségem elemre is. Minden esetben hozzáférési jogot csak a vezetőség álltál kijelöl személyek férhetnek hozza ezekhez Abban az esetben, amennyiben egy külsős személy szeretne a fent említettekhez hozzáférést kapni, akkor egy külön eljárást kell kialakítani erre, amelyben biztosítsák az adatok sértetlenségét. Minden esetben ez a külsős személy csakis egy a fent említett jogosult személy jelenlétében léphet be az egyes kulcsfontosságú helyiségekbe. Minden ilyen
  24. 24. 10) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 23 megtörtént látogatásról pontos naplót kell vezetni a könnyebb visszakereshetőség érdekében. Ezen napló megvalósításában a törvény nem tartalmaz formai követelményeket, ezért lehetnek akár kézzel írt papír alapúak vagy modern informatikai eszközzel rögzítettek is. Annak érdekében, hogy ezek a berendezések a környezeti veszélyforrásoktól is védve legyenek, külön eljárásokat kell alkalmazni a vezetőségnek, amennyiben ezeket a kockázatelemzés alapján szükségesnek tartják. Ilyen eljárások lehetnek tűz esetére a megfelelő vastagságú és szigetelt falak, por ellen a megfelelően szűrt levegő, túlmelegedés ellen a klíma használata, páratartalom ellen egy párátlanító készülék, megfelelő szigeteltség az esetleges áramütésektől valamint megfelelő épületbeli elhelyezés az esetleges árvizek elkerülése végett. Ezen rendszerek folyamatosságának biztosítása érdekében a vezetésnek időről időre javasolt a szünetmentes tápegységek vagy generátorok iránti igényt felülvizsgálni, azon rendszerek esetében amelyeket a kockázatelemzés során kritikusnak találtak. 8) Hpt. 13/B. § (5) bekezdés c) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött fel-használói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események). 10 Minden esetben gondoskodni kell arról, hogy azon intézkedések, amelyek a felhasználók jogosultság kérelmével, rögzítésével, kiadásával, felfüggesztésével valamint lezárásával kapcsolatosak időben megtörténjenek. Ezt a megfelelő szabályzással illetve megfelelő folyamat megalkotásával érheti el a vezetés. A szabályzatban le kell rögzíteni az egyes kérelmek formai követelményeit, valamint azt is, hogy miként engedélyezik az egyes hozzáféréseket az adott adatbázishoz a tulajdonosok. Abban az esetben, amelyben egy olyan felhasználó kér hozzáférést az adott adatbázishoz aki nem része a szervezetnek, akkor minden esetben meg kel győződni arról, hogy a titoktartási szerződés aláírásra kerüljön, illetve, hogy az adott felhasználó tudomásul vette a rá vonatkozó felelősségeket. Ezt a legegyszerűbben személyes módon lehet megtenni egy kijelölt, szervezeten belül, dolgozó felelős által. A szervezet kijelölt informatikai biztonsági felelősének úgy kell kialakítani az egyes rendszerek biztonságát védő rendszereket, hogy azok a lehető legrövidebb időn belül
  25. 25. 24 jelezzék azokat az eseményeket, amelyek esetleg megsértik a biztonsági előírásokat. Ezekről a jelzésekről szintén ennek a felelősnek kell gondoskodnia, hogy megfelelő időben értesítsen minden érintett felet. Mindezek mellett gondoskodnia kell ezen esetek pontos nyilvántartásáról, a felsőbb vezetésnek való jelentéséről, teljes körű átvizsgálásáról. Ezt akár személyesen végezheti el, akár kijelölhet egy biztost aki foglalkozik ezzel Az adatgazdáknak kötelezően osztályozniuk kell a tulajdonukban levő adatok milyenségét. Érdemes ezeket a különböző hozzáférési szintek alapján megcsinálni. A vállalat lehetőségeit számba véve érdemes úgy kialakítani a felhasználók azonosítására szolgáló rendszert, hogy egyetlen központi rendszer képes legyen ezeket kezelni. Ez azért ajánlott, mert ezzel a módszerrel hatékonyabban lehet felügyelni az eseményeket. Amikor a jogosultságok adminisztrálására kerül sor, akkor azt rendszerenként kell elvégezni. Minden rendszerben érdemes kialakítani egyedi hozzáférési szinteket az igények alapján, nagyon figyelve az összeférhetetlenség elvére, valamint figyelni kell arra is, hogy kiosztás esetén az adott felhasználók csak a számukra kijelölt jogosultságokat kaphassák meg. A legegyszerűbb ilyen kiosztás lehet: a rendszer felhasználói, a rendszer fejlesztői, a rendszer karbantartói valamint érdemes külön hozzáférési szintet kialakítani az ellenőrzésekre is. Minden egyes jogosultság kérés jóváhagyása esetén, amennyiben papír alapú módszert használ a szervezet minden esetben rendelkezni kell azon személy aláírásával, aki jóváhagyta a jogokat, valamint ha elektronikus rendszert használnak akkor az adott személy elektronikus aláírására van szükség, amely bármikor visszakereshető. Minden jelentkezés i formulát úgy kell kialakítani, hogy azon félreérthetetlenül szerepeljen az adott kérelmező felhasználó személyét azonosító adatok valamint a kérelmezett jogok. A kiosztott jogokról készített feljegyzéseket egy külön adatbázisban kell tárolni, amelyből bármikor lekérdezhető az, hogy melyik felhasználó pontosan milyen hozzáférési jogokkal rendelkezik. Ez akár egyszerű adatbázis kezelő programmal és megfelelő méretű tárhellyel könnyedén megoldható. Külön felelőst érdemes kinevezni annak érdekében, hogy a kiosztott jogosultságok, valamint az adatbázisban szereplő feljegyzések minden esetben megegyezzenek. Abban az esetben, amelyben bármilyen változás lépne fel az egyes jogosultságokban, azt minden esetben naplózni kell, olyam módon, hogy ebből a naplózásból egyértelműen
  26. 26. 11) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 25 kiderüljön az, hogy milyen változás történt az adott jogosultságban, ki végezte el ezeket a módosításokat, valamint a módosítások pontos ideje. 9) Hpt. 13/B. § (5) bekezdés d) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére. 11 A biztonságos működés illetve a visszakereshetőség szempontjából fontos az, hogy a szervezetben minden eseményt, amelyet a kockázatelemzés során kritikusnak ítéltek, megfelelően naplózni kell, legyen ez egy egész folyamat vagy akár egy egyszerű rendszerbeli bejelentkezés. Fontos az, hogy ezek a kritikus események mindig a megfelelő kronológia adatokkal legyenek naplózva. A naplózás folyamatát a vezetőség lehetőség szerint megoldhatja egy központi rendszer segítségével, amelyen keresztül naplózásra kerülnek a különböző alkalmazásokban történő események, vagy pedig már a használt szoftvereket érdemes úgy kiválasztani, hogy rendelkezzenek beépített naplózással, amely alkalmas egyaránt a kronológiai naplózásra, a naplófájlok biztonságos tárolására illetve szükség esetén ezen fájlok előkeresésére. Amennyiben a szervezet saját maga által fejlesztett szoftvert készít, akkor úgy kell kialakítani az adott szoftver specifikációját illetve fejlesztési tervét, hogy az a lehető leghamarabb lehetővé tegye maga a naplózási folyamat beépítését. Figyelni kell arra is, hogy ezek a naplóelemek ne legyenek túl nagy méretűek, ugyanis azokat nehézkes és igen időigényes megfelelően tárolni és kezelni. Ennek érdekében figyelni kell, arra, hogy a naplózási beállítások oly módon legyenek elkészítve, hogy maga a naplózási folyamat csak a legszükségesebb és engedhetetlen adatokat rögzítse a naplózási fájlba. Érdemes kialakítani egy olyan automatikus vagy manuális folyamatot, amely meghatározott időközönként ellenőrzi az egyes szoftverek naplózását. Ezen naplófájlokban az elvégzett feladatok, tevékenységek szerepelnek. E naplózás milyensége csak a szervezet kereteitől függ. Figyelni kell arra, hogy a naplófájlok elemzési folyamatának minden egyes lépése megfelelően legyen dokumentálva. Annak érdekében, hogy megfelelő időben illetve
  27. 27. 12) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 26 megfelelő színvonallal legyenek ezek a fájlok elemezve, ajánlott a vezetésnek az informatika segítségül hívása is. 10) Hpt. 13/B. § (5) bekezdés e) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni a távadat-átvitel bizalmasságáról, sérthetetlenségéről és hitelességéről. 12 A bizalom megőrzése valamint az esetleges károk elkerülése végett úgy kell kialakítani az adattovábbító rendszert, hogy az, a lehető legbiztonságosabb és legmegbízhatóbb legyen az egyes adatok továbbítására. A szervezeten kívülről, illetve a szervezetből kívülre küldött adatok védelmére a legköltséghatékonyabb megoldás az, hogy a szervezet valamiféle titkosítást használ a küldés során. A szervezet vezetősége, a kerettől függően, választhat szimmetrikus, más néven egykulcsos titkosítási módszert vagy aszimmetrikus, más néven kétkulcsos titkosítást is. Az egykulcsos titkosítás esetében azonos kulcsot használnak az adatok kódolásához és visszafejtéséhez is, ennek előnye az, hogy viszonylag gyors a titkosítási folyamat, ellenben hátrányai is vannak ennek a módszernek. A hátrányok közé tartozik az, hogy minden félnek, akik között ezzel a módszerrel titkosított adat közlekedik, külön kulcsokat kell készíteni. A másik hatalmas hátránya az, hogy el is kell juttatni ezeket a kulcsokat a másik félhez, ami újabb kockázati tényeket vethet fel. A kétkulcsos titkosítás esetében a két fél egy nyilvános, bárki számára elérhető kulcsot, valamint egy privát, saját kulcsot használnak. Előnyei közé tartozik az, hogy a privát kulcs segítségével bármikor előállítható a nyilvános kulcs, de fordítva ez nem lehetséges, valamint az is, hogy nincs szükségünk előzetes kulcsegyeztetésre, ezzel is kiiktatva a plusz kockázat lehetőségét. Ellenben nagy hátránya ennek a típusú titkosításnak az, hogy sokkal lassabb mint az egykulcsos testvére, ezért nem igazán alkalmas arra, hogy nagy mennyiségű adatot titkosítsunk egy időben vele. Ezekkel a módszerekkel azonban csak az adatok hitelességéről lehet meggyőződni. Mindezek mellett alkalmazni kell különböző biztonsági protokollokat is az adatok sérthetetlenségének biztosítása érdekében. Annak érdekében, hogy a vezetőség megbizonyosodhasson azon adatok bizalmasságáról, amelyeket a szervezeten kívülről érkeznek, javasolt az egyes biztonsági protokollok használata, amennyiben ezt a kockázatelemzés eredménye is megköveteli. Amennyiben szükséges számos protokoll közül választhat a vezetőség. Ilyen protokollok
  28. 28. 13) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 27 lehetnek az IPSec, a HTTPS protokollja, az SSL protokoll vagy épp az SSH protokollja, de akár ezektől eltérő protokollok használata is megengedett a szervezet számára. Figyelni kell arra, hogy minden olyan adatáramlás, amely külső hálózattal kapcsolatos, a megfelelő eljárások révén minden irányba figyelve legyen. Az internettel, valamint bármiféle külső hálózattal való kommunikációt figyelni kell illetve, ki kell alakítani a megfelelő védelmi folyamatokat. Ilyen folyamatok lehetnek: az egyes tűzfalak alkalmazása, különböző behatolás védelmi eszközök, különböző eszközkezelő megoldások, amelyek meggátolják a szervezet rendszereihez való jogosulatlan hozzáférést is. 11) Hpt. 13/B. § (5) bekezdés f) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni az adathordozók szabályozott és biztonságos kezeléséről.13 A szervezetben minden használatban levő adathordózók megfelelő dokumentáltsággal kell rendelkezzenek annak érdekében, hogy minél pontosabban nyomon követhetőek legyenek. Ezekben a dokumentációkban érdemes feltűntetni azt, hogy milyen információkat, fájlokat tartalmaz az adott hordozó, ezek a fájlok mikor kerültek az adathordózóra és ki által. Ezek a dokumentációk bármilyen formában elkészíthetők, tehát akár kézzel írott papír formában vagy automatikusan egy naplózó program segítségével. Annak érdekében, hogy kontrollálni lehessen az adathordozók használatán, minden esetben úgy kell beállítani a szervezetben használt minden informatikai eszközt, hogy csak azokat az adathordozókat lehessen használni, amelyeket előzetesen már az informatika osztály dolgozói ellenőriztek, elláttak megfelelő titkosítással. Azon adathordozókat, amelyeket a szervezet a mentések tárolására használ, el kell látni megfelelő dokumentációval is. A dokumentációt úgy kell összeállítani, hogy az tartalmazza a mentés időpontját, a mentett adatok milyenségét illetve mennyiségét, az utolsó időpontot amikor a tárolón levő adatok épségét ellenőrizték valamint a tárolásuk helyét is. Mindezek mellett el kell látni minden adathordozót egy cédulával is, amely tartalmazza a mentés dátumát illetve az utolsó időpontot, amikor az adatok épsége ellenőrizve volt. Minden esetben ezeket az adathordozókat egy jól elzárt és védett helyiségben kell tartani, amelybe csak néhány megbízható személynek van bejárása. Azon az adathordozók épségét, amelyeket mentésekre használtak, rendszeresen ellenőrizni kell. Ezt a leghatékonyabb módón egy program segítségével lehet elvégezni, de akár használható emberi erőforrás is,
  29. 29. 14),15) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 28 aki egyenként átvizsgálja a hordozókon tárolt adatok milyenségét. Amennyiben az adathordozók mozgatására kerül sor abban az esetben, arról is megfelelő dokumentációk kell készíteni, amelyben pontosan le van írva, hogy ki, mikor, honnan, hova és milyen módon szállította ezeket az eszközöket. Mindezek felügyelésére érdemes kijelölni egy külön személyt, aki vállalja a felelősséget az adathordozók kezeléséért és használatáért. 12) Hpt. 13/B. § (5) bekezdés g) pont A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni a vírusvédelméről. 14 A szervezet vezetőinek gondoskodniuk kell arról, hogy az informatikai rendszer megfelelő védelemmel legyen ellátva az esetleges kártékony kód alapú támadásokkal szemben. Ennek elérése érdekében minden olyan eszköz, amely képes ezen kódok futtatására, el kell látni egy, a szervezet vezetése által választott tűzfallal, valamint vírusirtó programmal. Ezeket a programokat úgy kell beállítani, hogy ne engedjen semmiféle külső forrásból származó, előre nem ellenőrzött programok vagy alkalmazások futtatását. Figyelni kell arra is, hogy ezek a programok rendszeres időközönként, legalább hetente egyszer, minden használt informatika eszközt ellenőrizzenek a kártékony kódok után. Abban az esetben, amennyiben ezek a programok találtak ilyen kártékony kódot, jelzést kell küldjenek a vezetésnek, illetve el kell kezdeniük a megfelelő válaszlépéseket is probléma elhárítása érdekében. A folyamat során el kell távolítaniuk a kártékony kódot, valamint minden olyan adatot amelyet már megfertőzött, majd ezek után a lehető legpontosabban kell helyettesíteni az adatokat a mentések közül. 13) Hpt. 13/B. § (6) bekezdés A pénzügyi szervezetnek tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább az a)-g) pontokban meghatározottakkal. 15 Ebben a bekezdésben szereplő követelményeket a kockázatelemzés kiértékelése valamint, az ezen pontokban szereplő minimális követelmények alapján lehet teljesíteni.
  30. 30. 16) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 22 14) Hpt. 13/B. § (6) bekezdés a) pont A pénzügyi szervezetnek rendelkeznie kell informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel. 16 A vezetésnek gondoskodnia kell egy olyan működtetési tervről, amely a szervezet minden informatikai egységére egyaránt alkalmazható. Erről a működési tervről megfelelő dokumentációt kell készíteni vagy papír vagy elektronikus formában. A szervezetben érdemes egy külön dolgozó csoportot kialakítani minden rendszer működtetésére is. A vezetésnek kötelessége meggyőződni arról, hogy ezen csoportban dolgozó emberek rendelkeznek-e a megfelelő elméleti, valamint gyakorlati tudással az egyes rendszerek működtetéséhez, karbantartásához és dokumentálásához. Ez könnyedén megoldható egy megfelelően kialakított írásos- vagy szóbeli teszt segítségével, amelyet a szervezet humán erőforrás részlegének segítségével kell lebonyolítani. Annak érdekében, hogy a lehető legjobb áteresztőképességgel és kihasználtsággal működhessen az informatikai rendszer, a vezetésnek gondoskodnia kell, hogy a szükséges munkafolyamatok, feladatok a lehető leghatékonyabb módon legyenek megszervezve az erőforrásokhoz képest, ezzel is elősegítve a szolgáltatási szint megállapodásban kitűzött célok teljesítését. Abban az esetben, amennyiben az egyes munkafolyamatok eltérnek az előzetesen megalkotott ütemezéstől, akkor a vezetésnek gondoskodnia kell ezen alkalmak kivizsgálásáról. Ezt egy felelős kijelölésével tehetik meg. Egy külön eljárást kell kialakítani minden műszakváltás esetében, hogy a rendszerek folyamatos feldolgozása ne szakadjon meg. Ennek érdekében ki kell alakítani egy külön folyamatot a munkafeladatok átadására és az állapot jelentések aktualizálására. Fontos az, hogy az üzemeltetési naplókba minden esetben bekerüljenek azon szükséges kronológiai adatok, amelyek bármikor lehetővé teszik azon adatfeldolgozási folyamatok illetve az ehhez kapcsolódó egyéb tevékenységek idősorrendben való visszaállítását, amely segíti az egyes folyamatok áttekintését illetve kivizsgálását. Ezen naplóbejegyzéseknek nincs törvény által meghatozott formai követelménye, ezért ezeket akár kézzel is feljegyezhetik vagy használhatnak erre alkalmas naplózó programokat is. Azon speciális nyomtatványok, illetve bizalmas jellegű output eszközök, amelyeket a szervezet esetleg használ, fizikai biztonságáról a kockázatelemzés kiértékelése után megfelelően gondoskodni kell. Abban az esetben, amennyiben az egyes munkaállomásokon távműködtetést alkalmaznak, külön eljárást kell kidolgozni a biztonságos csatlakozásra illetve lecsatlakozásra az adott rendszerről. Ezt a legegyszerűbben
  31. 31. 17) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 30 egy VPN alkalmazása segítségével oldhatjuk meg, amely megfelelő titkosítással rendelkezik. Fontos az, hogy minden, a szervezetben használt alkalmazás esetében megfelelő üzemeltetési utasítások legyenek kialakítva. A vezetőség felelősségi körébe tartozik az is, hogy kialakítsák azon hosszú- valamint rövid távú terveket, amelyek a legnagyobb mértékben megfelelnek a szervezet által kitűzött hosszú- illetve rövid távú célkitűzéseinek is. Akkor, amikor a szervezet informatikai tervezését alakítja ki a vezetőség, minden esetben figyelembe kell vennie a kockázatelemzés eredményeit és minden olyan kockázatot, amely üzleti, környezeti, emberi erőforrás valamint technológiai megvalósításokkal jár. 15) Hpt. 13/B. § (6) bekezdés b) pont A pénzügyi szervezetnek rendelkeznie kell minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is biztosítja. 17 A pénzügyi szervezet vezetésének gondoskodnia kell, hogy pontosan meg legyenek határozva az egyes informatikai rendszerek rendelkezésre állására valamint a teljesítményükre kitűzött követelmények. Ez alapján kell majd elkészíteni az egyes rendszerek rendelkezésre állásának feltételeit. Minden esetben gondoskodni kell az egyes rendszerek rendelkezésre állásának figyelemmel kísérésével. A rendkívüli események bekövetkeztében biztosítsa a megfelelő időbeli problémamegoldást. Azon rendszereknek, amelyeket a kockázatelemzés alapján kritikusnak ítélt meg a szervezet érdemes kialakítani egy külön csoportot ezeknek a támogatására. Ezen csoport dolgozói fogadják és oldják meg azon problémákat, amelyeket a felhasználók jelentenek be. Ezt a problémamegoldást elvégezhetik akár egy automatizált rendszer segítségével is vagy akár személyesen, közvetlenül a felhasználónál is kiküszöbölhetik az adott problémát. Azon rendszerek számára, amelyek nem számítanak kritikusnak elegendő egy csoport kialakítása amely foglalkozik az összes ilyen rendszer támogatásával és hibaelhárításával. Mindezen rendszerek esetében meg kell határozni azt a maximális időtartamot, amely még megengedett a szüneteltetésre. Abban az esetben ha ezt valamilyen kritikus probléma miatt nem tartható abban az esetben külön eljárást kell alkalmazni egy helyettesítő szolgáltatás működtetésére a kérdéses időszakra.
  32. 32. 31 Készíteni kell egy olyan folyamatról is amely az egyes rendszerek verziófrissítéseiről, fejlesztéseiről illetve módosításukról gondoskodik. Szintén a kockázatelemezés alapján meg kell határozni azokat a rendszereket amelyet esetében, ha verziófrissítés történik akkor, szükséges a régi illetve új verzió párhuzamos futtatása. Minden fejlesztés, verzióváltás illetve hibajavítási csomag élesbe helyezése előtt szükséges elvégezni ezek tesztelését egy külön, az eredeti rendszertől elkülönített, tesztrendszerben, amelynek lépéseit pontosan dokumentálni kell írott papír formában vagy gépelt, digitális formában. Abban az esetben ha szervezet egy külső vállalkozó szolgáltatásait veszi igénybe abban az esetben az általa biztosított szolgáltatások körét pontosan meg kell határozni a vele kötött szerződésben. Még a szolgáltatások megkezdése előbb a szervezet vezetőinek gondoskodnia kell arról, hogy minden kapcsolatot írásbeli szerződés szabályozzon a két fél közt, amelyektől eltérni csak rendkívüli esetekben lehetséges. Mindezek mellett olyan jogi intézkedéseket kell tenni amely biztosítja a szervezet adatainak sértetlenségét annak érdekében, hogy a közreműködés során ne érhesse semmi féle kár magát a szervezetet. A szolgáltatások megkezdése után, a pénzügyi szervezetnek, gondoskodnia kell ezen szolgáltatások folyamatos figyeléséről, annak érdekében, hogy a szerződésben megállapodott szolgáltatásokat kapják. Ezt a legegyszerűbben egy külön felelős kinevezésével oldhatja meg a vezetőség. Előfordulhat az is, hogy a fent említett külsős vállalat nem csak támogatási szolgáltatást nyújt a pénzügyi szervezet számára, hanem rendszerfejlesztéseket is biztosít. Eben az esetben egy külön eljárást kell kialakítani az egyes fejlesztések átvételére, hogy ezek biztonságosan történhessenek meg. Az átvett fejlesztésekről, az élesbe helyezés előtt, gondoskodni kell, hogy a kódja ne tartalmazzon olyan eljárásokat amely megkárosíthatja a szerveztet. A megkötött szerződésben fontos még kitérni arra, hogy a külsős vállalkozó által fejlesztett alkalmazások minden dokumentációját, beleértve még a forráskódot is, letétbe helyezéséről, annak érdekében ezek hozzáférhetőek legyen a pénzügyi szervezet számára abban az esetben ha a külsős szolgáltató megszűnik.
  33. 33. 18) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 22 16) Hpt. 13/B. § (6) bekezdés c) pont A pénzügyi szervezetnek rendelkeznie kell a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítő egyéb - a tevékenységek, illetve szolgáltatások folytonosságát biztosító – megoldásokkal. 18 A pénzügyi szervezet vezetőinek gondoskodnia kell arról, hogy azon informatikai rendszerek amelyek szolgáltatást nyújtanak, hogyha a szervezet alkalmaz ilyet rendszereket, megszakítás nélkül, vagy a lehető legkevesebb kimaradással üzemeljenek. Ennek megvalósítása érdekében meg kell alkotni egy olyan üzletmenet-folytonossági tervet amely arra szolgál, hogy esetleges kimaradások esetén mik a teendők az adott folyamat újra indítására. Ezt az üzemeltetési tervet minden rendszerre a kockázatelemzés alapján kell elkészíteni a szervezetnek. Értve ez alatt, hogy olyan eljárásokat kell kialakítani amelyek lehetővé teszik a kritikus rendszerek azonnali vagy a minimális idő igénybevételével a helyreállítást, helyettesítést. A nem annyira kritikus rendszerek esetében nem fontos az azonnali intézkedés, ellenben ezen rendszereknél is fontos meghatározni azt az időt amin belül helyre kell állítani vagy helyettesíteni kell. Ezen kialakított tervek esetében figyelni kell arra, hogy a tervek igazodjanak az üzleti valamint a szervezeti követelményekhez. Annak érdekében, hogy ezen tervek eredményességüket megőrizhessék érdemes ezen terveket rendszeresen, meghatározott időközönként felülvizsgálni. A terveket újra kell gondolni minden olyan esetben amelyben valamilyen üzleti vagy infrastruktúra béli változás történik a szervezet felépítésében. Fontos megbizonyosodni arról, hogy azon dolgozók, akik az adott rendszerszerrel kapcsolatban állnak, időközönként, oktatás vagy kinyomtatott tananyagok révén, megfelelő képzést kapjanak arról, hogy mik a teendők az egyes katasztrófák valamint rendkívüli események bekövetkezte esetén. Gondoskodni kell arról, hogy amíg az informatikai részleg munkatársai az egyes rendszerek problémáinak elhárításán dolgoznak, addig az adott rendszer felhasználói más alternatív módszerek segítségével folytathassák munkájukat. Ezen módszerek lehetnek akár egy egyszerűbb alternatív rendszer használata az elhárítás ideje alatt vagy akár egyszerű papír illetve toll alapú megoldások is. Abban az esetben amennyiben egy nagyobb méretű természeti katasztrófa következik be, a helyreállítási folyamatban meg kell határozni azon rendszereket, külső szolgáltatókat, adatállományokat, készleteket valamint humán erőforrásokat is amelyek kritikusnak számítanak annak érdekében, hogy a szervezet mi hamarabb újrakezdhesse a működését. Fontos a vezetésnek meghatároznia, a kockázatelemzés alapján,
  34. 34. 33 hogy melyek azok a kritikus rendszerek amelyek esetében szükséges egy alternatív telephely illetve póthardver elemek tárolása is. Gondoskodni kell arról, hogy az egyes helyreállításhoz szükséges kritikus biztonsági mentéseket tartalmazó adathordozók, dokumentációk illetve minden szükséges informatikai erőforrás külön fizikai helyen történő, megfelelő biztonsággal ellátott tárolásáról. A szervezet által nyújtott szolgáltatások meghatározása, illetve az kockázatelemzés alapján, a vezetésnek meg kell alkotnia egy olyan keretrendszer amely segítségével kidolgozhatják a szolgáltatási-szint megállapodásokat illetve azok tartalmát. Ide értve az adott rendszerek rendelkezésre állását, biztonsági védelmét, megbízhatóságát, kapacitását, az adott szolgáltatás esetleges díjait, teljesítményére vonatkozó adatokat és változáskezelését is. Olyan szerződést kell kötni az egyes felhasználók illetve az informatikai részleg közt, amelyben pontosan meghatározzák az egyes szolgáltatási szinteket minőségi, illetve mennyiségi vonatkozásukban is. A vezetésnek ki kell neveznie, valamiféle kritériumok alapján, egy olyan személyt akinek az a feladata, hogy minden esetben figyelemmel kísérje ezen meghatározott szerződésben vállaltak teljesítését. Mindezek mellett a vezetésnek időről időre meg kell vizsgálni az egyes szolgáltatási szint megállapodásokat, valamint szükség illetve igény eseten meg kell újítaniuk akár módosítva is, a külső szolgáltatókkal megkötött szerződéseket. Az informatikai részleg vezetésének egy olyan problémakezelő rendszer kell kialakítani amely gondoskodik arról, hogy az egyes rendkívüli esetek, hibák, problémák megfelelően legyenek nyilvántartva, kivizsgálva és meghatározott időn belül megoldva. Ezen probléma-kezelő rendszer esetén a megvalósításban a törvény nem köti meg a vezetés kezét, tehát a nyilvántartás akár papír alapon is végezhető vagy használható informatikai rendszer is erre a célra. A kivizsgálásra is használhat akár emberi erőforrást vagy elemző szoftver. A megfelelő időbeni megoldásra is ugyanúgy használható emberi vagy informatikai erőforrás. Halaszthatatlan problémás esetén a vezetés számára kötelesek az alkalmazottak „rendkívüli esemény jelentést” készíteni, amely tartalmazza a probléma okát és azon eljárásokat amelyeket alkalmazni szeretnének a probléma megoldására. Ez utóbbira végrehajtásához vezetőségi engedélyre is szükség lehet hogyha azt a kockázatelemzés eredménye megköveteli. Érdemes kialakítani egy olyan folyamatot amely a probléma felderítésére illetve továbbításáért felelős. A problémák továbbítását akár személyes, emberi erőforrás segítségével is meg lehet oldani, de a szervezet használhat akár egy külön probléma-bejelentő alkalmazást is erre a célra. Minden esetben figyelni kell arra, hogy ez a
  35. 35. 19) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 34 bejelentés mindig a meghatározott időn belül jussak el azokhoz az alkalmazottakhoz akik kapcsolatban állnak a bejelentő által használt alkalmazással. Minden esetben a kockázatelemzés eredményét figyelembe véve kell meghatározni a problémák elhárításának prioritását is. Ezen probléma kezelési rendszeren belül egy olyan naplózást kell kialakítani amely lehetővé teszi az adott problémákat létrehozó okok felderítését. 17) Hpt. 13/B. § (6) bekezdés d) pont A pénzügyi szervezetnek rendelkeznie kell olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását. 19 Minden a szervezetben használt alkalmazás időről időre bővítésre, hibajavításra, fejlesztésre szorul. Annak érdekében, hogy a működő alkalmazások fennakadás nélkül működhessenek tovább a fejlesztések során, egy külön környezet kell kialakítani ennek, amely rendelkezik saját erőforrással és teljesen független az adott rendszertől. A költséghatékonyság érdekében érdemes kettő, három elkülönített környezet kialakítása amelyben felváltva történnek a fejlesztések. Ellenben amennyiben a szervezet erőforrásaik megengedik ajánlott, minden használt alkalmazásnak egy saját elkülönített környezetet kialakítani. Az utóbbi megvalósítás előnye, hogy nem kell megvárni az előző fejlesztés befejezését azért, hogy megkezdődhessen egy másik alkalmazás fejlesztése a szervezetben, ezzel is időt spórolva. A fejlesztői környezet mellett érdemes az előzőekhez hasonló módon kialakítani egy olyan tesztkörnyezetet, amelyben a szervezet dolgozói meggyőződnek arról, hogy a fejlesztett program kód működése valóban megegyezik azzal ami a fejlesztési kérelemben szerepel. Ezen kívül érdemes még úgynevezett felhasználói környezetet is kialakítani. Ezt is hasonló módon lehet kialakítani mint az előzőeket. Ebben a környezetben azon dolgozók végzik el a fejlesztés tesztelését, akik a későbbiekben használni fogják az adott alkalmazásokat. Ezeket a környezetek egy megfelelően titkosított vonallal kell összekötni egymással. Az egyes alkalmazás fejlesztések több típusúak is lehetnek. Lehetnek olyan fejlesztések amelyek plusz, munka megkönnyítését elősegítő funkciókat hoznak az alkalmazásba, vagy olyan fejlesztések amelyek egyes hibákat javítanak ki. Fejlesztésre szükség lehet az egyes törvényváltoztatások esetében is, működési hibák esetében vagy plusz funkciók bevezetése esetében is.
  36. 36. 35 Legyen szó bármilyen típusú fejlesztésről a vezetés felelőssége, hogy az egyes fejlesztések lépései pontosan nyomon követhetőek, ellenőrizhetőek legyenek. Erre külön szabályzást, eljárásokat kell készíteni. Egy alkalmazás fejlesztése minden esetben a pontos igény megfogalmazásával kezdődik, amelyet felsőbb utasításra az informatikai osztály dolgozói készítenek, akik rendelkeznek az adott programmal kapcsolatos ismerettel, a felhasználók kérésére. Ennek az igénynek minden esetben tartalmaznia kell egy pontos specifikációt, amely a fejlesztés leírását jelenti, a fejlesztést kérelmező azonosítási adatait, illetve egy dátumot, amikor a kérést készítették. Formai követelményét a szervezet maga választja meg. Ez a kérelem, legyen akár papír, akár elektronikus formában, továbbításra kerül a vezetők számára, akik kiértékelés után elfogadják vagy visszautasítsák a kérelmet. A fejlesztést csak pozitív visszajelzés után kezdhetik meg a fejlesztő csapat dolgozói. A fejlesztés elvégezése után a fejlesztői környezetből átkerül a fejlesztés technikai tesztelésre. A technikai tesztek elvégzése után kerülhet csak át a feszhasználók tesztkörnyezetébe. Ez után kerülhet csak élesbe az adott fejlesztés. Természetes minden állomáson megfelelő dokumentációt kell készíteni, aminek tartalmaznia kell egy tesztforgatókönyvet, amely alapján elvégezték a teszteléseket, tartalmaznia kell az esetleges hibákat. Amennyibe bármelyik szinten az adott tesztelő hibát talál akkor visszaküldi az adott fejlesztést az eggyel lentebbi szintre ahol megpróbálják megoldani a problémát, amennyiben nem sikerül ismét egy szinttel lennebb küldik. Végső esetben előfordulhat az is, hogy az egész fejlesztést elölről kell kezdeni. Mindazon változásokat, legyen ezek akár környezetbeli, akár rendszerbeli, akár emberi erőforrásbeli, amelyet befolyásolják bármilyen formában a szervezet működését kezelnie kell a vezetésnek. Bármiféle változás történik a szervezetben, arról megfelelő dokumentációt kell készíteni, ami minden esetben tartalmazza magát változást valamint pontos időpontját. Ezekre a változásokra külön külön kockázatelemzéseket kell készíteni a szervezetnek. Azokban az esetekben amikor a szervezetben bármilyen adat migráció vagy átalakítás történik, egy külön tervet kell arra készíteni. Ebben a tervbe az érintett munkatársak leírják, hogy milyen formára szeretnék összegyűjteni az migrálandó adatokat. Ez alatt értendő az, hogy az összegyűjtést egy szerveren oldják meg, ez érvényes digitális adatok esetén, vagy csak egyszerűen egy helyre viszik az adatokat tároló iratokat. A tervben szerepelnie kell annak is, hogy milyen módszerrel ellenőrzik az adatok helyességét. Segítségül hívhatnak erre a célra egy programot vagy akár emberi erőforrást is
  37. 37. 20) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója a pénzügyi szervezetekinformatikai rendszerénekvédelméről 36 használhatnak. Mindezek mellett ennek a folyamatnak fel kell tárnia az esetleges hibákat amik az adatbázisban szerepelnek és meg is kell oldania ezeket. Ez adat átalakítással illetve pótlással vagy törléssel lehet megoldani. Abban az esetben amennyiben szoftverváltás történik, akkor az új szoftver rendszerbe helyezése előtt meg kell győződni, tesztelés segítségével, hogy valóban megfelel az adott szoftver a feladat ellátásra és, hogy rendelkezik vagy sem megfelelő védelmi eljárásokkal. Mindezen tesztekről pontos dokumentációt kell készíteni. Amennyiben a tesztelési eredmények alapján megfelel a program abban az esetben a legfelsőbb vezetésnek gondoskodnia kell arról, hogy az adott osztály, ahol a váltás történt, vezetése formálisan is elfogadta az új szoftver használatát és a vele járó kockázatok is tudomásul vette. Ezt a legegyszerűbben egy papír alapú nyilatkozat aláíratásával oldhatjuk meg, de lehet erről digitális dokumentumokat is készíteni. A vezetésnek kell eldöntenie, a kockázatelemzés alapján, azt, hogy melyek azok a szituációk amelyekben sürgősségi változásokat kell alkalmazni. Ezekre az esetekre a folyamat annyiban különbözik, hogy gyors fejlesztést követően még funkcionális tesztelésre sincs lehetőség az élesbe kerülés előtt. Ennek folyamatnak kettő-három nap alatt le kell zajlania. Minden, éles rendszerbe került változás után az adott szoftver dokumentációt az informatika osztálynak aktualizálnia kell, hogy azok megfeleljenek a valóságnak. 18) Hpt. 13/B. § (6) bekezdés e) pont A pénzügyi szervezetnek rendelkeznie kell az informatikai rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan biztonsági mentésekkel és mentési rend-del (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehetővé teszik. Ezen mentéseket környezeti kockázati szempontból elkülönítetten és védett módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről. 20 A szervezet vezetésének gondoskodni kell arról, hogy az informatikai rendszerről megfelelő mentések legyenek készítve. A módszer kiválasztásában nincs megkötés, tehát választhat a vezetés teljesen automatizált megoldást vagy akár alkalmazhat humán erőforrást is. Ezt csakis a szervezet keretei szabják meg. A számos biztonsági mentés fajták közül is
  38. 38. 21),22) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről 37 szabadon választhat, de ajánlott a napi mentés használata, ugyanis ez a típusú mentés csak azokat a fájlokról csinál másolatot amik aznap kerültek módosításra. Ezeket a mentéseket minden esetben egy jól őrzött helyiségben kell tárolni ahova csak bizonyos személyeknek van belépési joguk, legyenek ezek a mentések akár egy szerveren tárolva, akár hordozható adattárolóra mentve. Ezen a mentések használhatóságát és hibátlanságát időről időre érdemes vagy program segítségével vagy emberi erőforrást használva ellenőrizni. Érdemes ezeket a mentéseket fizikailag más helyen tárolni mint ahol az eredeti adatok vannak, ezzel elkerülve az esetleges természeti katasztrófákból adódó károsodásokat. Ezek a mentések bármely pillanatban visszatölthetők kell legyenek, ami egyszerű feladat amennyiben külön programot használnak a mentések elkészítésére, ugyanis ezek a programok rendelkeznek visszaállítási opcióval is így rövid időn belül visszaállíthatók ezek az elvesztett adatok. 19) Hpt. 13/B. § (6) bekezdés f) pont A pénzügyi szervezetnek rendelkeznie kell jogszabályban meghatározott nyilvántartás ismételt előhívására alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat a jog-szabályokban meghatározott ideig, de legalább öt évig (pénztárak esetében az adott tag tagsági jogviszonyának megszűnését követő 5 évig), bármikor visszakereshetően, helyreállíthatóan megőrizzék. 21 Az egyes programok, fájlok megőrzéséről, archiválásáról a kijelölt adatgazdáknak kell gondoskodniuk minden esetben. Azok az adatok amelyek archiválásra kerülnek megfelelően, elkülönítve kell tárolni egy elzárt helyen a vezetés által választott módon, vagy szervereket vagy hordozható adattárolókon. Mindezen archivált adatokról megfelelő dokumentációt kell készíteni, amely tartalmazza az adatok milyenségét és az archiválás pontos időpontját is. Időről időre, program vagy emberi erőforrás segítségével, meg kell győződni az adatok épségéről is. Ezeket az adatokat minimum öt évig őrizni kell, egyes adatok esetében ez az időtartam több is lehet. 20) Hpt. 13/B. § (6) bekezdés g) pont A pénzügyi szervezetnek rendelkeznie kell a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel. 22

×