Minimális informatikai biztonság kiépítése a hazai bankszektorban

ZSIGMOND KIRÁLYFŐISKOLA
GAZDASÁG- ÉS VEZETÉSTUDOMÁNYI INTÉZET
Minimális informatikai biztonság kiépítése a hazai
bankszektorban
avagy
Technológiai és adminisztrációs kontrollok a
HPT és PSZÁF/MNB ajánlások vonatkozásában
Konzulens tanár: Készítette:
Dr. Hirsch Gábor Asztalos Árpád
ASATAAZ.ZSKF
Informatikai biztonság szakirány
Budapest
2015

1
Tartalomjegyzék
Tartalomjegyzék....................................................................................................................... 1
Bevezető.................................................................................................................................. 3
Pénzügyi Szervezetek Állami Felügyelete [1]........................................................................... 3
A MNB (PSZÁF) szabályzása a pénzügyi intézetek informatikai biztonságára............................. 4
Kapcsolódó törvények [2],[3]............................................................................................. 5
A törvények alkalmazásának időpontja .................................................................................. 6
Az informatikairányításés az informatikai biztonság kapcsolata .............................................. 7
COBIT (Control Objectives for Information and Related Technology) nyílt szabvány.................. 7
A COBIT története ................................................................................................................ 8
Áttekintés a COBIT kézikönyvei közt....................................................................................... 9
Kiszervezés........................................................................................................................... 9
Felhőszolgáltatás.................................................................................................................10
Az üzlet-folytonossági tervfogalma és gyakorlati megvalósítása [4], [5]..................................12
Az állam által meghatározott jogszabályi előírásokés azokhoz kapcsolódó felügyeleti elvárások..13
1) Hpt. 13/B § (1) bekezdés..................................................................................................14
2) Hpt. 13/B. § (2) bekezdés .................................................................................................15
3) Hpt. 13/B. § (3) bekezdés .................................................................................................16
4) Hpt. 13/B. § (4) bekezdés .................................................................................................18
5) Hpt. 13/B. § (5) bekezdés .................................................................................................20
6) Hpt. 13/B. § (5) bekezdés a) pont..................................................................................20
7) Hpt. 13/B. § (5) bekezdés b) pont..................................................................................21
8) Hpt. 13/B. § (5) bekezdés c) pont ..................................................................................23
9) Hpt. 13/B. § (5) bekezdés d) pont..................................................................................25
10) Hpt. 13/B. § (5) bekezdése) pont ................................................................................26
11) Hpt. 13/B. § (5) bekezdés f) pont.................................................................................27
12) Hpt. 13/B. § (5) bekezdés g) pont ................................................................................28
13) Hpt. 13/B. § (6) bekezdés ...............................................................................................28
14) Hpt. 13/B. § (6) bekezdés a) pont ................................................................................29
15) Hpt. 13/B. § (6) bekezdés b) pont................................................................................30
16) Hpt. 13/B. § (6) bekezdés c) pont.................................................................................32
17) Hpt. 13/B. § (6) bekezdés d) pont................................................................................34
20) Hpt. 13/B. § (6) bekezdés g) pont................................................................................37

2
21) Hpt. 13/B. § (7) bekezdés ...............................................................................................38
23) Hpt. 13/B. § (7) bekezdés b) pont................................................................................39
24) Hpt. 13/B. § (7) bekezdés c) pont.................................................................................39
28) Hpt. 13/B. § (7) bekezdés g) pont ................................................................................40
29) Hpt. 13/B. § (8) bekezdés ...............................................................................................41
33) Hpt. 13/B. § (8) bekezdés b)-c) pont............................................................................42
34) Hpt. 13/B. § (9) bekezdés ...............................................................................................42
Következtetések......................................................................................................................43
Irodalomjegyzék......................................................................................................................44
Absztrakt................................................................................................................................. 0
Abstract................................................................................................................................... 1
Képés Ábrajegyzés................................................................................................................... 2

3
Bevezető
Napjaink igen elterjedt informatikai technológiájának köszönhetően mindennaposak
az informatikai rendszerek ellen elkövetett támadások. Mivel egyre több és több helyen
jelennek meg különböző informatikai eszközök ez lehetőséget az egyre szélesebb körű
támadásokra. Annak érdekében, hogy ezen támadások ellen sikeresen védekezhessenek az
egyes nagyobb szervezetek, vagy akár csak a magán személyek, elkerülhetetlen a megfelelő
lépések és intézkedések megtétele. Az egyes védelmi rendszerek kiépítése, amelyek az
informatikai rendszert védik a pénzügyi intézet esetében igen kritikus lépésnek számít. Ezek
az intézkedések nemcsak ezért szükségesek, hogy sikeresen megvédhessék az értékes
információkat, amelyeket tárolnak, hanem azért is, mert ezek az intézkedések
elkerülhetetlenek annak érdekében, hogy megkaphassák a működéshez szükséges
engedélyeket is.
A dolgozatomban szeretném kifejteni azon intézkedések meghozatalát, amelyre egy
kezdő pénzügyi intézetnek szüksége van annak érdekében, hogy megkaphassa az induláshoz
szükséges engedélyeket, valamint biztonságban tudhassa a tárolt információit is. Ezen
intézkedéseket szabályzását a magyar állam meghatározott törvények alapján szeretné
kifejteni amelyeket az állam alkotott meg a pénzügyi szervezetek informatikai rendszerének
védelme érdekében. Ez a törvény a Hitelintézetekről és a Pénzügyi vállalkozásokról szóló
(1996. évi CXII.) törvény, későbbiekben HPT-ként nevezve, 13./B pontjában fogalmazódtak
meg, melyek a pénzügyi intézetek informatikai rendszerének védelméről szólnak. Segítségül
hívva még a PSZÁF vagyis Pénzügyi Szervezetek Állami Felügyelete által kiadott
ajánlásokat, amelyek erre a törvényre vonatkoznak, megalkothatjuk a működéshez valamint
a megfelelő informatikai biztonsági szinthez szükséges eljárásokat, rendszereket.
Pénzügyi Szervezetek Állami Felügyelete [1]
A Pénzügyi Szervezetek Állami Felügyelete, későbbiekben PSZÁF, tevékenységét
2000 illetve 2013 között folytatta, mint önálló állami hatóság. Legfőbb feladata az országban
jelenlevő pénzügyi közvetítő rendszerének teljes felügyelete és ellenőrzése. Működését a
2000. árpilis 1-jén tartott éves országgyűlésen meghozott döntés után kezdte el. Az Állami
Pénz- és Tőkepiaci Felügyelet, az Állami Biztosításfelügyelet és az Állami Pénztárfelügyelet
összevonásából, illetve ezek egyesített jogutódjaként jött létre.

4
A PSZÁF-et egy külön elnök vezeti, akit a miniszterelnök javaslatára a köztársasági
elnök nevez ki pozíciójára, amit hat évig tölthet majd be. Mindezek mellett a szervezet
irányítását még kettő darab alelnök segíti akiket, hat évre nevez ki a szervezet elnöke. A
PSZÁF szervezetén belül működik egy szakmailag teljesen különálló szervezet is, az
úgynevezett „Pénzügyi Békéltető Testület” ami szervezetileg teljes mértékben közvetlenül
PSZÁF elnöke alá tartozik. A szervezet munkájában nagy segítséget nyújt még a „Pénzügyi
Stabilitás Tanács” is, ami három főből áll, a nemzetgazdasági miniszter, a Magyar Nemzeti
Bank elnöke, illetve magának a PSZÁF-nek az elnöke. A PSZÁF minden olyan jogszabály
előkészítésében, amely befolyásolja a pénzügyi rendszert, illetve érinti a felügyelt
intézményeket és személyeket, véleményezési joggal rendelkezik, valamint javaslatokat
tehet ezen jogszabályok megalkotására és rendeletalkotási joggal is bír a meghatározott
kérdésekben.
A PSZÁF egy olyan, teljes mértékben önálló alkotmányos szervezet, amely
rendelkezik felügyeleti, ellenőrzési, fogyasztóvédelmi illetve szabályozói jogkörökkel is. A
PSZÁF köteles minden esetben olyan módon cselekedni, hogy azzal a közjó érdekeit
szolgálja. Akkor is ezt kel figyelem előtt tartania amikor meghozza döntéseit,
rendeletalkotás, amikor kibocsájtja az ajánlásait, vizsgálatai alkalmával, értékelései és
elemzései megfogalmazása, illetve minden intézkedései során.
A PSZÁF a tavaly előtti évben, vagyis 2013 október 1-től befejezte önálló munkáját,
beolvasztásra került a Magyar Nemzeti Bankba, ami átvette a fent említett jogköreit is. Ez a
módosítást a Magyar Nemzeti Bankról szóló törvény módosítása tette lehetővé, amit az
országgyűlés a 2013. szeptember 16-an fogadott el és hozott hatályba.
A MNB (PSZÁF) szabályzása a pénzügyi intézetek informatikai
biztonságára.
A napjaink megnövekedett informatika kockázatának köszönhetően a kényes és
értékes adatok, amiket a pénzügyi intézetek őriznek, mint például az ügyfelek adatai, az
intézet által forgalmazott értékpapírok pontos adatai vagy akár a stratégiai tervek a jövőre
nézve, megsemmisülése vagy rossz kezekbe jutása az intézetnek minden esetben pénzügyi
kárt vagy rosszabb esetben teljes megsemmisülést vonhat maga után. Annak érdekében,
hogy ezeket az adatokat biztonságos körülmények között tárolhassák, a pénzügyi intézetek
illetve az állam is, számos törvényt illetve szabványt hozott létre a biztonságos infrastruktúra
kiépítésének segítségére.

5
Az MNB legfőbb feladata, hogy az egyes pénzügyi szervezetek, amelyek létrejöttek
az országban, informatikai rendszerének biztonságát minél színvonalasabb módon, a
törvényben előírtak alapján alkothassák meg. Mindezek mellett törekszik egy olyan
szemléletmód, illetve értelmezés kialakítására, ami egységes minden pénzügyi intézet és a
Felügyelet között. Ezeket a törekvéseket a Felügyelet olyan módón szeretné elérni, hogy
szorgalmazza a COBIT, azaz a Control Objectives for Information and related Technology
irányítás minél gyorsabb és nagyobb mértékben való elterjedését, valamint rámutat arra a
tényre, hogy az informatikai biztonság illetve az informatikairányítás színvonala között
szoros kapcsolat van.
Kapcsolódó törvények [2],[3]
A 2004. évi törvénymódosításokat követően:
 az 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi változásokról (HPT.)
 az 1997. évi LXXXII. törvény a magánnyugdíjról és a magánnyugdíj pénztárakról
(MPT.)
 az 1993. évi XCVI. törvény az Önkéntes Kölcsönös Biztosító Pénztárakról (ÖPV.)
 az 2001. évi CXX. törvény a tőkepiacról (Tpt.)
A fenti, állam által meghatározott törvények tartalmazzák azokat a követeléseket, amelyek
betartása és megfelelése szükséges a Magyarországon létrejött pénzintézetek számára. Meg
kell felelni annak érdekében, hogy továbbra is akadályok nélkül, folyamatosan végezhessék
pénzügyi tevékenységüket az ország területén. Ezek a törvények lényegében azonos
követelményeket fogalmaznak meg az informatikai rendszerek védelmének illetve
szabályozásának kiépítése és felügyelete terén.

6
A törvények alkalmazásának időpontja
Az alábbi táblázatban láthatók a 2004. évi törvénymódosítások beiktatott
jogszabályban leírt követelmények alkalmazásának kezdő időpontjai.
„Törvény Informatikai
rendszer védelme
című paragrafus
száma
A törvényi előírás kötelező alkalmazásának
kezdőnapja
1996. évi CXII.
törvény (Hpt.)
13/B. § Beiktatta:
2004. évi XXII.
tv.
2005. november 1. napjától kell alkalmazni azon
pénzügyi intézmény esetében, amely nem tartozott
a befektetési és az árutőzsdei szolgáltatási
tevékenység, az értékpapír letéti őrzés, az
értékpapír letétkezelés, valamint az elszámoló házi
tevékenység végzéséhez szükséges személyi,
tárgyi, technikai és biztonsági feltételekről szóló
283/2001. (XII. 26.) Korm. rendelet hatálya alá és
e törvény hatálybalépésekor már működött, illetve
a tör- vény hatálybalépését megelőzően érvényesen
nyújtotta be alapítási engedély iránti kérelmét.
2004.05.06-án már működő, a befektetési és az
árutőzsdei szolgáltatási tevékenység, az értékpapír
letéti őrzés, az értékpapír letétkezelés, valamint az
elszámoló házi tevékenység végzéséhez szükséges
személyi, tárgyi, technikai és biztonsági
feltételekről szóló 283/2001. (XII. 26.) Korm.
rendelet hatálya alá tartozó pénzügyi intézménynek
legkésőbb 2005. január 1-jétől kell megfelelnie a
Hpt. 13/B.§-ában foglaltaknak.
1997. évi
LXXXII.
törvény (Mpt.)
77/A. § Beiktatta:
2004. évi CI. tv. 2006.01.01.

1)-a táblázatteljestartalma,2) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007.
számúmódszertani útmutatójaapénzügyi szervezetekinformatikai rendszerénekvédelméről
8
1993. évi
XCVI. törvény
(Öpt.)
40/C. § Beiktatta:
2004. évi CI. tv. 2006.01.01.
2001. évi
CXX. törvény
(Tpt.)
101/A. §
Beiktatta: 2004.
évi XXII. tv.
2004.05.06-án már működő, a befektetési és az
árutőzsdei szolgáltatási tevékenység,az értékpapír letéti
őrzés, az értékpapír letétkezelés, valamint az elszámoló
házi tevékenység végzéséhez szükséges személyi,
tárgyi, technikai és biztonsági feltételekről szóló
283/2001. (XII. 26.) Korm. rendelet hatálya alá tartozó
szolgáltatónak, elszámoló házi tevékenységet végző
szervezetnek legkésőbb 2005. január 1-jétől kell
megfelelnie a Tpt. 101/A. §-ában foglaltaknak.”
1
Az informatikairányítás és az informatikai biztonság kapcsolata
A mai egyre jobban fejlődő és globalizálódó világunkban az újonnan megjelent, nem
ismert kockázatok tömkelege fenyegeti az informatikai rendszerek biztonságát, hála az új
információ technológiák lehetőségének. Egy biztonságos hálózat informatikai rendszerének
kiépítéséhez ma már nem elég, ha csak bizonyos különböző biztonságot elősegítő
intézkedéseket teszünk, vagy ha adoptáljuk a különböző biztonsági szabványokat a kiépítés
során. Annak érdekében, hogy sikeresen kiépítsünk egy igen költséghatékony, de
ugyanakkor teljes mértékben biztonságos informatikai rendszert, javasolt segítségül hívni a
nemzetközileg is elismert informatikairányítás jól bevált gyakorlatait is.
COBIT (Control Objectives for Information and Related Technology)
nyílt szabvány
A COBIT nyílt szabvány, már világszerte elismert és igen gyakran, erőszertetettel
használják, mint eszközt az informatikairányítás területein, hiszen a COBIT „rendszerbe
foglalja az információ, az információ technológia és az ezzel kapcsolatos kockázatok
kontrollálására alkalmas gyakorlatát”2. A COBIT nagy hangsúlyt fektet arra, hogy elérje azt,
hogy az informatika minden esetben az üzleti célokat szolgálja. Mindemellett törekszik a
már megszerzett és bevált eredményeket az informatikairányítás területeiről, de ugyanakkor
törekszik hangsúlyt fektetni a modern, korszerű vállalat irányítási módszerekre is. A COBIT
felhasználásának segítségével, lehetőség nyílik a precíz együttműködésre a vállalat

8
irányítók, azon szakemberek, akik a működési kockázatok felmérésével, megelőzésével
foglalkoznak, a vállalatban dolgozó informatikusokkal, illetve az auditorokkal. A COBIT
ezen tulajdonságainak hála kifejezetten jól alkalmazható a pénzügyi intézmények biztonsági
rendszerének kialakításában. Minden olyan elvárást, amit a törvény előír az egyes
informatikai rendszerek kialakítására a COBIT I. sz. melléklete tartalmazza. Természetesen
a két anyag elvárasai között, értem ide a törvényeket és a COBIT anyagait, mindig lesznek
eltérések, hiszen az ezen alkotások szerzője, felhasználási köre, céljuk illetve keletkezésük
következménye nem egyezik meg egymással. Ezen különbségek ellenére a COBIT célja,
hogy mindenképp a jogszabályban előírt illetve a nemzetközi gyakorlatban bevált
módszerek segítségével lefedjék az informatikai biztonság egész területét. Ellenben a nem
teljes megfeleltetés következtében előfordulhat, az a tény, hogy a COBIT egyes fejezetei
akár több jogszabályi pontnál is megjelenhetnek.
A COBIT története
A COBIT-ot kiadó társintézmény az IT Governance Institute, ami amerikai
származású, 1998-ban alakult, a mint egy 35000 tagból álló ISACA, vagyis Information
System Audit and Control Association világszerte elismert társaság tagja. A vállalat
megalakulása óta eddig öt darab COBIT kiadvánnyal büszkélkedhetnek. A könyvek közül
az elsőt 1996-ban adták ki. A második könyvet 1998-ben, ez a kiadvány már tartalmazza a
egyes kontrollokat is. A harmadik könyvet 2000-ben publikálták. Ez a példány 2003-ban
jelent meg az on-line elektronikus formája is, ez már tartalmazott különböző
iránymutatásokat a menedzsment számára. A negyedik könyvüket 2005 decemberében adták
ki, amit később, 2007 májusában lecseréltem egy bővített, javított de még mindig negyedik
kiadásúval. Majd végül kiadták 2012-ben a COBIT ötödik, jelenleg is elfogadott és használt
verzióját, amihez 2012 decemberében, illetve 2013 júniusában kiadtak egy-egy kiegészítő
dokumentumot, ami rendre az informatikai biztonságról illetve a szavatolásokról szólt.
Nagyban elősegíti a részletesen kidolgozott auditálási módszertana a COBIT egyre növekvő
elfogadását nemzetköri szinten. Azok az ellenőrök, akik feladata a hazai pénzügyi
szervezetek auditálása, már évek óta, egytől egyig az ISACA tagja illetve az auditokat
minden esetben a COBIT szemléletei alapján végzik.

9
Áttekintés a COBIT kézikönyvei közt.
A COBIT mára tekintélyes számú kézikönyvet tartalmaz, ami az informatikairányítás
eszközeként szolgál a mai napig. A COBIT kézikönyvek csoportosítását az alábbi, vagyis 1-
es számú ábra segítségével szeretném szemléltetni.
1. ábra
Kiszervezés
Kiszervezés alatt azt értjük, amikor a szervezet egy adott tevékenység elvégzésére,
amit eddig ő maga csinált, egy másik a szervezeten kívüli vállalkozást bíz meg. A
kiszervezés folyamatát törvényileg a Hitelintézetekről és a Pénzügyi vállalkozásokról szóló
(1996. évi CXII.) törvény, 13./A része szabályozza. A pénzügyi szervezet mind addig, amíg
eleget tesz a törvényben leírt követelményeknek, bármilyen tevékenységet kiszervezhet.
Abban az esetben amennyiben a kiszervezés során bármilyen adatfeldolgozás vagy
adattárolás jön létre, a szervezet ezt csak az adatvédelmi szabályzatának betartatásával teheti
meg. Egy adott tevékenységet a pénzügyi intézet akkor szervezhet ki amennyibe
meggyőződött arról, hogy a külsős vállalat rendelkezik mindazon emberi, tárgyi valamint
biztonsági feltételekkel, amelyek a kockázatelemzés alapján előírt a pénzügyi szervezet.
Minden kiszervezett tevékenység után a pénzügyi intézménynek kötelessége bejelenteni az
MNB részére ezt. A bejelentést légkésőbb két napra a szerződés aláírta után kell megtennie.
Ebben a jelentésben szerepelnie kell az adott szolgáltatást nyújtó a vállalat neve, székhelye

10
valamint a tevékenység időtartama. A pénzügyi szervezet illetve a kiszervezett
tevékenységet végző vállalat között szerződést kell kötni. Ennek a szerződésnek minden
esetben tartalmaznia kell mindazon adatvédelmi előírásokat amiket a pénzügyi szervezete
alkalmaz. Tartalmaznia kell még a tevékenységet végző vállalkozás beegyezését az egyes
külsős vagy belsős ellenőrzésekre. Azt is, hogy vállalja a felelősséget az megállapodott
szolgáltatások megfelelő színvonalú végzését. Tartalmaznia kell még ezen szolgáltatások
minőségére vonatkozó leírásokat és azon szabályokat amelyek meggátolják a bennfentes
kereskedelmét a szolgáltatást nyújtó vállalatnak. A szervezetnek kötelessége mindazon
rendkívüli helyzetek megoldására készített tervvel, amelyek a szerződésben megfogalmazott
tevékenységektől eltérő esetekben léphetnek fel. Legalább évente az intézetnek kötelessége
azt felülvizsgálni, hogy az adott vállalkozás valóban a szerződésben foglaltaknak
megfelelően végzi az adott szolgáltatás nyújtását. Kiszervezés esetén a pénzügyis szervezete
a felelős a kiszervezett folyamatot végző vállalkozás minden tevékenységéért. Abban az
esetben amennyiben jogszabálysértést észlel a pénzügyi szervezet, azonnal jelentenie kell
azt. Abban az esetben amennyiben jogszabálysértés áll fenn a szervezet felfüggesztheti a
szolgáltatást nyújtó vállalkozással a megkötött szerződést. A szervezetnek figyelnie kell
arra, hogy ha olyan vállalat számára szervez ki tevékenységeket, amely más pénzügyi
szervezetekkel is dolgozik, akkor ez a vállalat minden a szervezettel kapcsolatos adatok és
információt az adatvédelmi szabályzatnak megfelelően és elkülönítve tároljon. Csak abban
az esetben alkalmazhat közreműködőt a szolgáltatást nyújtó vállalat, amennyiben erre a
megkötött szerződés is engedélyt ad valamit, hogyha ez a közreműködő vállalja az egyes
külsős vagy belsős ellenőrzéseket is. Abban az esetben amennyiben a pénzügyi szervezet
tisztségviselője vagy bármely közeli hozzátartozója bármiféle tulajdonosi viszonyban áll
azzal a vállalattal, amit a szolgáltatás végzésével szeretne megbízni a szervezet, a
szerződéskötés nem jöhet létre. A pénzügyi intézetnek minden esetben kötelessége a
kiszervezett tevékenységet illetve ennek elvégzőjét az üzletszabályzatban feltüntetnie. Az
adott pénzügyi szervezetnek csak abban az esetben kötelessége alkalmaznia a fent leírtakat
amennyiben a kiszervezett tevékenység bármilyen banktitkot érint. Ellenkező esetben még
a Felügyelet számára sem kötelező a kiszervezett tevékenység bejelentése.
Felhőszolgáltatás
A felhőszolgáltatások egyre nagyobb elterjedésének köszönhetően ez a szolgáltatás
is kiszervezésnek számít. Minden esetben a kockázatelemzés kiértékelésének megfelelően
kell szolgáltatót választani, abban az esetben, hogyha ezt a típusú szolgáltatást szeretné a

11
szervezet igénybe venni. Ez a típusú kiszervezés annyiban különbözik az eddigiektől, hogy
ebben az esetben a szervezetnek kell alkalmazkodni a szolgáltató szabályzásaihoz. A
felhőszolgáltatások igénybevétele eseten érdemes figyelmet fordítani az egyes európai uniós
jogszabály változtatásokra és gyakorlati tanácsokra, az adatvédelmi előírásokra illetve
gyakorlati folyamatokra, valamint a pontos szolgáltatási szerződésekre illetve szolgáltatási
szint szerződésekre is.
Felhőszolgáltatás igénybevétele esetén a szervezet legfontosabb feladata eldönteni,
hogy melyek azok az adatok, amelyeket lehet publikus felhőben tárolni és melyeket nem.
Azon adatok, amelyek banktitkokat, személyes adatok vagy másfajta érzékeny adatokat
tartalmaznak nem ajánlott publikus felhőben tárolni. Még szerződéskötés előtt javasolt
mérlegelni, illetve megfontolni a fennálló kockázatokat. Figyelni kel arra, hogy léteznek
olyan védelmi technológiák, amelyeket hogyha a virtuális környezetben futtatnak - amely
elengedhetetlen a felhőszolgáltatások esetében - nem képesek azonos mértékű biztonság
biztosítására, mint az ugyanazon célra használt fizikai megoldások. Abban az esetben
amennyiben a szervezet publikus felhőszolgáltatáshoz tartozik és egy esetleges támadásrolás
éri akkor azt nehézkes a naplóadatok segítségével felderíteni a támadást, hiszem ez a támadó
lehet akár a szolgáltatás egy másik ügyfele is. Mivel ezen szolgáltatásnak nincs jogosultsága
arra, hogy a már megszüntetett virtuális gépek - amelyekből az esetleges támadás érkezhetett
- naplózásának megtartására. Abban az esetben amennyiben az adott szervezetben
fellelhetők olyan adatok, folyamatok amelyeket maga a szervezet sem tud megfelelően
megvédeni vagy kontrollálni, azokat nem javasolt semmilyen felhőszolgáltatásnak kiadni.
Mivel a szolgáltató biztosítja jeldolgozásának illetve tárolásának fizikai helyszínét azért
fontos figyelembe venni, hogy ez, lehetőség szerint, ne legyen az EU területén kívül, valamit
ez határozza meg azt, hogy melyik ország jogszabályai vonatkoznak a szolgáltatóra.
Érdemes megbizonyosodni arról, hogy a szolgáltató kórszerű és megbízható titkosítást
alkalmat az adatok továbbítására illetve tárolására, valamint arra is figyelmet kell fordítani,
hogy a hozzáféréstérő is korszerű technológiák segítségével oldják meg. Figyelmet kel
fordítani arra is, hogy megfelelő naplózást alkalmazzanak, illetve azt is, hogy törlés esetén
a törölt adat helyét fizikai véletlenszerű adatokkal töltsék ki.
Természeten a megbízhatóság illetve a bizalom alapja mindig egy szerződés marad
a két érintett fél között. Ezért fontos, hogy felhőszolgáltatás esetében a szerződések tartalma
minden esetben precízen legyen megalkotva. Különösen fontos ezekben meghatározni azt,
hogy miként lehet monitorozni, ellenőrizni a szerződésben illetve szolgáltatás szerződésben

12
vállaltakat. Figyelni kell arra, hogy e két szerződés tartalma ne térjen egymástól. Minden
esetben kerülendő a szerződésekben az általános feltételek alkalmazása. Érdemes olyan
feltételeket kialakítani a szerződésekben, amelyek meggátolják az esetleges szolgáltató
váltásokat is. Meg kell határozni a rendelkezésre állás feltételeit illetve mértékét, valamit a
helyreállítási terveket is, oly módon, hogy ezek illeszkedjenek az ügyfél üzletmenet
folytonossági tevéhez. Szerződésbe kell foglalni azt is, hogy a szolgáltató az egyes
incidensekről mihamarabb tájékoztassa az intézetet valamint, hogy ezen tájékoztatók a
lehető legpontosabbak legyenek. Figyelmet kel fordítani arra, hogy mennyire alkalmas a
szolgáltató az egyes kapacitásszükséglet változások kielégítésére, annak érdekében, hogy ne
okozzanak gondot az egyes csúcsterhelések se. Pontosan meg kell határozni a
változáskezelés szabályzatait, a változások gyakorlati megvalósítását illetve pontos
ellenőrzését is. Meg kell határozni az időközönkénti független auditok menetét is, valamint
azon tartalmakat valamint biztonsági tanúsítványokat amelyeket a szolgáltató az ügyfelek
számára is elérhetővé kell tegyen. Le kell szögezni azt is, hogy mik a teendők abban az
esetben amennyiben a két fél között nézeteltérés következik be. Értve ez alatt, hogy melyek
azok a jogszabályok, amelyeket ebben az esetben alkalmazni kell, illetve mely hatósági
szervezeteket kell értesíteni a probléma megoldása érdekében. A legfontosabb eleme a
szerződésnek a pontos felelősségi és biztosítási szabályzatok meghatározása oly módon,
hogy ezek minden esetben illeszkedjenek a magyar jogrendekhez is.
Az üzlet-folytonossági terv fogalma és gyakorlati megvalósítása [4], [5]
Az üzletfolytonossági terv az a folyamat, amely során az egyes szervezetek
meghatározzák azt, hogy mik a teendők az egyes kritikus üzleti folyamatok sérülése vagy
leállása esetén annak érdekében, hogy a lehető legrövidebb időn belül visszaállhasson az
eredeti állapotába.
A következő ábrával szeretném szemléltetni azt, hogy miként zajlik le a folyamat az
egyes katasztrófák bekövetkezte esetén:

13
2. ábra
Az ábrán az üzlet-folytonossági terv, valamint a katasztrófa-elhárítási viszony
látható. Minden esetben az egyes rendkívüli helyzetek bekövetkezte után a szervezet
vetőinek krízishelyzetnek kell nyilvánítani a történteket, illetve el kel rendelnie a
helyreállítási folyamat beindítását. Mindaddig amíg a helyreállítási folyamat zajlik
elengedhetetlen egy helyettesítő folyamat elindítása, ami legtöbb esetben ez eredeti egy
csökkentett funkciókkal rendelkező változata. A helyreállítási folyamat lezajlása után
minden esetben újabb döntést kell hozni az eredeti működésre való visszaállás
körülményeiről. Amint ez a visszaállás bekövetkezett minden esetben étesíteni kell az
érintett feleket erről.
Fontos, hogy minden szervezet rendelkezzen ilyen tervezettel annak érdekében, hogy
megfelelően, illetve a lehető legrövidebb idő elteltével tudja kezelni az egyes
krízishelyzetekből adódó problémák megoldását.
Az állam által meghatározott jogszabályi előírások és azokhoz
kapcsolódó felügyeleti elvárások
Az állam által kiadott törvényeknek az a célja, hogy hazánkban is minél jobban
elterjedhessenek, a már más országokban jól bevált és használt COBIT által meghatározott
módszerek és eljárások. Ezen módszereket, eljárások leírását magyar nyelven is el lehet érni.
A következőkben szeretném ismertetni a HPT 13/B részét, valamint az ehhez kapcsolódó

3) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007. számúmódszertani útmutatójaa
pénzügyi szervezetekinformatikairendszerénekvédelméről
14
gyakorlati tennivalókat annak érdekében, hogy az egyes szervezetek megkaphassák a
működésükhöz szükséges engedélyeket.
1) Hpt. 13/B § (1) bekezdés
A pénzügyi intézménynek ki kell alakítania a pénzügyi, kiegészítő pénzügyi szolgáltatási
tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos
szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal
arányos védelméről. A szabályozási rendszerben ki kell térni az információtechnológiával
szemben támasztott követelményekre, a használatából adódó biztonsági kockázatok
felmérésére és kezelésére a tervezés, a beszerzés, az üzemeltetés és az ellenőrzés területén.3
A pénzügyi szervezet működésében elkerülhetetlen a pontos és naprakész
informatikai szabályzatok elkészítése a vezetők által. A szabályzatok kialakítása során az
első lépések közé tartozik a szervezet működési irányelveinek megfogalmazása. Ezek után
a szabályzások kialakításával kell foglalkozni, majd a szükséges eljárásrendek
megalkotásával. Az irányelvek megalkotásában teljes mértékben szabad kezet kapnak a
szervezet vezetői, tehát ezeket a belátásuk szerint alkothatják meg. A szabályzatok
megalkotása szintén a vezetők feladatkörébe tartozik. Minden megalkotott szabálynak
tartalmaznia kell azt, hogy mikortól lép hatályba az adott szabály, azt, hogy az adott szabály
mennyire aktuális, mikor volt utoljára módosítva, és kik azok a személyek akikre
vonatkozik. A szabályzatban mindenképp bele kell foglalni a szervezet által alkalmazott
informatikai biztonsági politikát és szabályzatot, amit a működés során alkalmazni
szeretnének. Szabályzást kell alkotni arról, hogy miként üzemelteti a szervezet az
informatikai rendszerét. Arról is szabályzás kell, hogy a szervezetben az előre meghatározott
különböző szerepkörök milyen hozzáféréssel, jogosultsággal rendelkezzenek. Létre kell
hozni egy vírusvédelmi szabályzatot, amelyben megfogalmazzák a vírusvédelemre használt
szoftverek, illetve hardverek használatának szabályait, a rutin víruskeresés és irtás időpontját
és menetét, valamint az esetleges vészhelyzetek esetén fellépő intézkedéseket. Hasonlóan
kell eljárni a mentésekre, illetve archiválásokra vonatkozó szabályzattal is. Szabályzást kell
kialakítani a kockázatok elemzésére valamint kezelésére is, amelyben meghatározzuk, hogy
mely módszertant alkalmazzuk a kockázatok elemzése, a kockázatok dokumentáltságának a
formai kialakítását, valamint az egyes kockázatok kezelésére vonatkozó eljárásokat.
Hasonló felépítéssel kell megalkotni a változások kezelésére vonatkozó szabályozást is. Meg
kell alkotni azon szabályokat is, amelyek kitérnek az újonnan megalkotott szabályok

15
elkészítésének és kiadásainak menetére, formai követelményekre, amelyeket a vállalat
vezetői szabadon választhatnak meg. Gondoskodni kell arról, hogy szabályzás legyen arról,
hogy miként találhatják meg az alkalmazottak az új szabályokat, módosításokat. Ennek
megvalósításában nincsenek törvénybeli megkötések, megoldható akár kinyomtatott papír
formában is, amiket minden alkalmazott számára eljuttat a szervezet vagy elektronikus útón,
például e-mail formájában is elküldheti ezeket a szabályokat a dolgozók számára
A szabályváltozásokat legalább évente egyszer, vagy jelentősebb működési
környezetben történő változás esetén felül kell vizsgálniuk a vezetésnek. Amennyiben a
vezetőség szükségesnek tarja, akkor módosítani kell az egyes szabályzatok annak érdekében,
hogy mindig naprakészek legyenek.
A szervezet minden dolgozójával meg kell ismertetni a jelen pillanatban érvényes
szabályzatot, amelyet oktatás segítségével végezhet el a vezetés. Azért, hogy minden esetben
megbizonyosodhassanak a vezetők arról, hogy az alkalmazottak megértették a rájuk
vonatkozó szabályzatot, egy számonkérést kell alkalmazni. Ez a számonkérés lehet akár
szóbeli vagy az egyszerűség kedvéért írásbeli is, amelyet az adott dolgozó csak akkor vehet
sikeresen amennyiben elérte az ebben meghatározott minimális követelményeket.
A felhasznált információ technológiákat a szervezet vezetői határozzák meg. Ezek
lehetnek akár a legdrágább és legmodernebb eszközök, amelyeket a piacon meg lehet találni,
ellenben lehetnek akár idősebb technológiák, amelyeket érdemesebb a költséghatékonyság
érdekében választani.
A szabályzások elkészítésének kiszervezése más vállalkozások számára a törvény
által engedélyezve vannak, ellenben figyelni kell, hogy a folyamatok során, az erre
vonatkozó szabályok, minden esetben betartásra kerüljenek minkét fél által. Ennek
érdekében a szervezet kijelöl egy biztost, aki felügyeli a folyamat minden lépését.
2) Hpt. 13/B. § (2) bekezdés
A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését
szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni.4
A növekedett kockázatoknak köszönhetően elengedhetetlen, hogy a pénzügyi
szervezetnek legyen egy megfelelően elkészített kockázatelemzése. Ezt az elemezést
legkönnyebben úgy tudjuk elvégezni, hogyha megbízunk egy erre szakosodott külső
vállalkozást. Ebben az esetben vigyázni kell arra, hogy semmilyen kár ne keletkezhessen a

16
kiszervezésnek köszönhetően. Abban az esetben, amennyiben nem áll rendelkezésre
elegendő tőke, úgy ezt házon belül is elvégezhetjük. Alkalmazva a kockázatelemzés alapvető
folyamatát, legelőszőr fel kell tárni mindazon kockázatokat, amelyek az informatikai
rendszer biztonságát fenyegetik. Ez a felmérés minden rendszerre, legyen az szoftver vagy
hardver, ki kell terjednie. A kockázatok feltárása után egyenként ki kell értékelni ezeket és
meghatározni, hogy ezek mekkora fenyegetést a szervezet számára. Azon pontokat ellen,
amelyeket kritikusnak ítélünk meg, kell a leghamarabb megelőző, illetve kockázatcsökkentő
folyamatokat kialakítani. Ilyen kockázatcsökkentő folyamat lehet például egy megfelelő
fizikai védelemmel rendelkező terem megépítése a szervezet hardverei számára, de akár egy
egyszerű informatikai biztonsági oktatás lebonyolítása a szervezet dolgozói részére. Az
elemzés minden lépéséről pontos és megfelelő dokumentációt kell készíteni.
Ezt a kockázatelemzést időről időre, de legalább évente egyszer, el kell végezni
illetve, aktualizálni kell. Amennyiben bármilyen változás következik be a szervezetben,
legyen az új egy rendszer bevezetése, vagy bármilyen környezeti változás a
kockázatelemzést újra el kell végezni.
Az informatikaalkalmazásából fakadó biztonsági kockázatokfigyelembevételével meg kell
határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási
szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat.5
Minden pénzügyi szervezetben lényeges az, hogy pontosan meg legyenek határozva
az egyes szervezeti rendek, felelősségi körök. Ezeket minden esetben a kockázatelemzés
alapján kell kialakítani a szervezet vezetésének.
Az egyes rendszerek felelősségi körét pontosan és egyértelműen kell meghatározni,
annak érdekében, hogy ne legyenek félreértések. Minden esetben figyelni kell az
összeférhetetlenség elvének betartására. A következő táblázatban egy példával szeretném
ezt bemutatni.

17
3 . számú ábra
Ez a táblázatot a COBIT készítette az összeférhetetlen feladatok és felelősségi körök
bemutatására. A táblázat csak példaként szerepel itt, mert a szervezetek számára nincs
semmiféle törvényi kötelezettség a szerepkörök kialakítására, mindaddig, amíg eleget
tesznek az összeférhetetlenség elvének.
Figyelembe véve a kockázatelemzés eredményeit, a szerepköröket olyan módon kell
kialakítani, hogy az egyes kritikus rendszerek esetében ne kerülhessen egy azon személy
kezébe az egyes folyamatok irányítása, ellenőrzése illetve végrehajtása, ugyanis ez minden
esetben visszaélésre ad lehetőséget. Mindezen szerepkörök közül a legfontosabb azok a
szerepkörök különválasztása, amelyek a rendszer karbantartását végzik, vagyis a
rendszergazdák, az adott rendszer fejlesztői valamint az adott rendszer üzemeltetői. Erre a
tevékenységre segítségünkre lehet a fenti táblázat. Mindezek mellett a vezetésnek arról is
gondoskodnia kell, hogy minden alkalmazott teljes mértékben tisztában legyen azzal, hogy
mi az, ami az ő feladatkörébe tartozik, valamint, hogy ezek milyen felelősséggel járnak. Ezt
a vezetőség akár egy oktatás keretén belül is megvalósíthatja, vagy akár egy megfelelően
elkészített, papír alapú leírást használva is. Figyelni kell arra, hogy minden alkalmazott a
megfelelő hatáskörrel rendelkezzen, annak érdekében, hogy akadálytalanul el tudja végezni
a munkáját. Ezen probléma megoldására érdemes egy külön csoport kialakítása, akiknek az
a feladatuk az egyes személyek számára kiossza a megfelelő hozzáféréseket.
Fontos az, hogy a vezetőség nevezzen ki egy úgynevezett informatikai biztonsági
felelőst, aki felel minden, a szervezetben használt, informatikai rendszer fizika valamint

18
logikai védelméről egyaránt, valamint aki közvetlenül a felső vezetésnek tartozik
beszámolással a munkájáról. Fontos az is, hogy minden, a szervezetben használt
informatikai rendszernek legyen kinevezve egy úgynevezett tulajdonosa, akinek a feladata
az adott rendszer osztályozása, illetve a jogosultsági szintjeinek kialakítása. Mindezek
mellett ki kell alakítani egy olyan eljárást, amely segítségével kinevezhetők az egyes
adatgazdák. A felelősök kinevezésére több módszer is alkalmazható. A legegyszerűbb módja
az, hogy a vezetőség jelöli ki, belátásuk szerint, az adott felelőt, vagy lebonyolítható egy
többlépcsős vizsgasorozat is ezen személyek kinevezésére. Ellenben, nem minden esetben
szükségesek, hogy ezen adatgazdák hogy informatikus legyenek. Azon rendszerek
tulajdonosai, amelyek valamiféle nyilvántartást kezelnek, mint például az egyes könyvelő
rendszerek vagy számlavezető rendszerek, azok vezetők lesznek amelyek leginkább
érintettek az adott területben. Mindazon rendszerek esetében, amelyek valamiféle
informatikai szolgáltatást nyújtanak, elengedhetetlen az, hogy a tulajdonosok informatikus
legyen.
Időről időre érdemes a szervezet dolgozóinak létszámának felülvizsgálata annak
érdekében, hogy ha helyettesítésre kerül a sor, akkor a szervezet informatikai részlege,
megfelelő tudással bíró, munkaerővel rendelkezzen az adott hiány pótlása érdekében. Ezt a
felülvizsgálatot általában a szervezet humán erőforrás részlege végzi el, az informatikai
részleg vezetőségének segítségével. A mindenkori rendelkezésre állás érdekében
elengedhetetlen az informatikai munkaköri leírások pontos kidolgozása és aktualizálása a
vezetőség által. Ezen munkakörökben pontosan rögzíteni kell az egyes hatás- valamint
felelősségi köröket, illetve az egyes munkakörökhöz szükséges minimális informatikai
tudást képzettséget, beleértve az elméleti és gyakorlati tudást is.
A pénzügyi szervezetnek ki kell dolgoznia az informatikai rendszerének biztonságos
működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie
kell.6
A bekezdésben szereplő rendszer alatt nem egy adott alkalmazást kell érteni, amely
ellenőrzi a szervezetben használt alkalmazásokat külön-külön, hanem egy olyan, a
kockázatokkal arányos, kontrollkörnyezetet, amely lehetővé teszi az informatikai irányítás
mindennapi működésének felügyeletét. Ez a folyamatnak magába kell foglalnia minden a
szervezetben meglévő folyamatot valamint erőforrást is.

19
Minden esetben a vezetésnek mérnie kell, valamilyen program segítségével vagy egy
személy által, azon szolgáltatásokat szintjét, amelyeket az informatikai osztály jelenleg
nyújt. Ezeket a szolgáltatásokat össze kell hasonlítania a szolgáltatási szint megállapodásban
vállaltattakkal, annak érdekében, hogy tartani tudják ezeket. Rendszeresen értékelniük is kell
ezeket szolgáltatásokat. Gondoskodni kell arról is, hogy rendszeresen mérjék fel a
felhasználók elégedettségét a nyújtott szolgáltatásokkal kapcsolatosan. Ez program vagy
papír alapú kérdőív kitöltése segítségével könnyedén megoldható. Annak érdekében, hogy
a szervezet vezetése pontos információkat kapjon arról, hogy milyen irányban történtek
előrelépések a kitűzött célok megvalósítása, valamint a kockázatok csökkentésére, az
informatikai részleg dolgozóinak jelentéseket kell készíteniük a tevékenységükről. A
vezetésnek figyelemmel kell kísérnie, hogy azon a kockázatelemzés eredményének tükrében
kialakított ellenőrzési eljárások, amelyek a belső ellenőrzési feladatokat látják el,
megfelelően, valamint eredményesen működnek vagy sem. Amennyiben szükséges, ezen
áttekintés alapján, lépéseket kell alkalmazni ezen folyamat javítására. Abban az esetben
tekinthető sikeresnek ez a folyamat, amennyiben ez gyorsan felderíti, illetve kijavítja az
esetlegesen fellépő hibákat, még mielőtt ezen hibák bármiféle módon befolyásolni tudnák a
rendszerek üzemszerű működtetését, valamint a szolgáltatások nyújtását.
Időről időre a vezetésnek felül kell vizsgálnia a belső ellenőrző rendszerek
működését, valamint az üzemeltetési biztonsági folyamatokat. Ez a vizsgálat elvégezhető
önértékelés segítségével, de igénybe vehető egy külsős független ellenőrző vállalat
szolgálatai is. Az ellenőrzés során meg kell vizsgálni ezen rendszerek megfelelő működését.
Abban az esetben, hogy ha a szervezet egy új informatikai szolgáltatás bevezetését
fontolgatja, amelyet a kockázatelemzés kritikusnak ítélt, akkor az üzembe helyezés előtt
mindenképp szereznie kell egy tanúsítványt, amelyet független szakértő állít ki. Ezen
kritikus rendszerek üzembe helyezése után időről időre meg kell újítani, a szakértő által
kiállított tanúsítványokat. Minden olyan esetben, amikor az adott szervezet úgy dönt, hogy
egy külső vállalat szolgáltatásait veszi igénybe, akkor meg kell győződnie, egy független
szakértő segítségével, arról hogy ez az adott vállalat rendelkezik a megfelelő biztonsági
valamint belső ellenőrzési tanúsítványokkal. E szolgáltatások használatának igénybevétele
után is rendszereses meg kell újítani ezeket a tanúsítványokat. A független szakértő nem kell
feltétlenül egy külsős személynek lennie, hanem alkalmazható belsős, az adott intézetben
dolgozó személy munkája is, abban az esetben, ha az adott személy rendelkezik megfelelő
tudással ezen feladatok ellátására.

7), 8) Idézve:A Pénzügyi SzervezetekÁllami Felügyeletének1/2007.számú módszertani
útmutatójaa pénzügyi szervezetekinformatikairendszerénekvédelméről
22
Minden esetben olyan szabályzatot kell kialakítani, az ellenőrzési terület esetében is,
amelyben pontosan meghatározzák az adott terület feladatait, hatásköreit, számon
kérhetőségének módját valamint azt, hogy kinek kötelesek beszámolni a munkájukról. Ezt a
szabályzatot időről időre felül kell vizsgálnia a vezetőségnek vagy a vezetőség által kijelölt
személynek.
Annak érdekében, hogy az ellenőrzés minden esetben objektív lehessen, az adott
ellenőrnek függetlennek kell lennie a vizsgált részlegtől. Amennyiben szükséges érdemes
külsős ellenőr alkalmazása.
A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal
arányos módon gondoskodni kell legalább az a)-g) pontokban meghatározottakról. 7
A következő bekezdésben előírt követelményeket a már korábban kifejtett
kockázatelemzés kiértékelése alapján kell teljesíteni.
6) Hpt. 13/B. § (5) bekezdés a) pont
arányos módon kell gondoskodni a rendszer legfontosabb elemeinek (eszközök,
folyamatok, személyek) egyértelmű és visszakereshető azonosításáról. 8
Az adott szervezetnek minden esetben rendelkeznie kell egy megfelelő
nyilvántartással, amelyben pontosan visszakereshető kell legyen minden használt eszköz,
folyamat és személy. Ezeknek a nyilvántartásoknak formai követelményük nincs, tehát a
vezetés döntése az, hogy milyen formában lesz megalkotva. Ezen nyilvántartások meg lehet
alkotni akár papír alapon vagy akár elektronikus formában is. A nyilvántartásokban szereplő
eszközöket, személyeket, folyamatokat érdemes egy egyedi azonosítóval ellátni, amely
alapján egyértelműen visszakereshetőek a szereplők. Ezek az azonosítók tetszés szerint
választhatóak, vagyis kezdve a legegyszerűbb sorszámtól, a legbonyolultabb módszerekkel
megalkotott számozásig bármi lehetséges. Törvény által tartalmi követelmény az is, hogy a
nyilvántartott elemnek mindig naprakész státusszal kell rendelkezzek, például az
informatikai eszközök esetében alkalmazhatóak olyan státuszok mint a „újonnan beszerzett”
vagy „jelenleg fejlesztés alatt”. Ezen státuszok milyensége szabadon választható meg. E
mellett a nyilvántartásban szereplő minden elemmel történő változásnak is szerepelnie kell,

21
tetszőleges, de visszakövethető formában. Ilyen változás lehet például az egyes személyek
áthelyezése a szervezeten belül.
A szervezet vezetőinek gondoskodniuk kell arról, hogy csak azon konfigurációs-
elemek kerüljenek használatba, amelyeket már engedélyeztek, illetve pontosan
visszakövethetők a nyilvántartásban. Ennek megvalósítása érdekében érdemes egy külön
csoport kialakítása, amelynek tagjai ezért felelősek.
Ezen nyilvántartások tartalmát és pontosságát rendszeresen ellenőrizni kell. Ennek
az elvégzését a részleg vezetője saját kezűleg is megcsinálhatja, ugyanakkor ezt a részlegen
dolgozó szakemberek is elvégezhetik.
Ez a tevékenység teljes mértékben kiszervezhető egy másik vállalat számára. Ebben
az esetben a pénzügyi intézet nyilvántartását ki kell egészíteni azokkal a személyekkel,
eszközökkel illetve folyamatokkal, amelyek bármilyen módon érintkezésben vannak az
intézet számára végzett szolgáltatásokkal.
7) Hpt. 13/B. § (5) bekezdés b) pont
arányos módon kell gondoskodni az informatikai biztonsági rendszer önvédelmét, kritikus
elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról. 9
A kockázatelemzés alapján kritikusnak értékel rendszerek esetében nagyobb
odafigyelést kell fordítani az adott rendszer védelmére, zártságára és ellenőrzésére, mint
azon rendszerek esetében, amelyek kisebb kockázati értékelést kaptak. Azonban minden
esetben figyelni kell arra, hogy ezen biztonsági lépések ne akadályozzák a dolgozókat
munkájuk elvégzésében. Azon eljárások, amelyeket ennek érdekében alkot meg a vezetőség
tartalmazniuk kell az IT kockázatelemzést, az informatikai biztonsági tervet, valamint annak
végrehajtását és aktualizálását minden informatikai rendszer felépítésében történt változás
esetében legyen akár egy egyszerű képernyő vagy billentyűzet csere vagy akár egy teljes
szerver cseréje. Ezeket minden esetben megfelelően dokumentálni kell.
Biztonsági szempontból érdemes olyan szinten korlátozni a számítástechnikai
erőforrások használatát, amely éppen elegendő a feladtok elvégzésére. Ezen erőforrásokhoz
való hozzáférést is korlátozni kell a megfelelő azonosítási eljárások révén. Ezen a
korlátozások különböző erőforrásokhoz különböző hozzáféréssel rendelkező munkatársakat
enged hozza. Ezen azonosítási eljárás segítségével megakadályozhatók az egyes

22
jogosulatlan hozzáférések is a szervezet adott rendszereihez. Annak érdekében, hogy az
egyes tranzakciókat továbbító másik fel valódisága ellenőrizhető legyen, külön eljárásokat
kell alkalmazni. Figyelve, hogy ezen eljárások összhangban legyenek az informatikai
biztonsági politikával a szervezetnek lehetősége van különböző eljárásokat használni. Ilyen
eljárás lehet a két kulcsos titkosítás használata vagy HTTPS protokoll használat. Ellenben,
amennyiben a szervezet úgy ítéli meg, akkor akár elegendő lehet egy egyszerű
felhasználónév, jelszó páros alkalmazása a hitelesség ellenőrzésére. Mindezek mellett
megfelelő naplózási illetve hitelesítési eljárások segítségével biztosítani kell, azokban az
esetekben ahol szükségesnek találták, azt hogy ezen tranzakciókat egyik fél se tagadhassa
le. Amennyiben a szervezet úgy ítéli meg, abban az esetben megfelelő biztonsági
protokollok használata segítségével gondoskodni kell arról, hogy azon bizalmas adatok,
amelyek a tranzakciókban szerepelnek, azok megbízható csatornákon közlekedjenek. Ennek
érdekében a szervezet használhatja a HTTPS vagy SLA protokollok egyikét. Minden olyan
rendszert, amely a biztonsági eljárásokat futtatja, legyen ez akár hardver vagy akár szoftver,
minden esetben meg kell védeni a jogosulatlan hozzáféréstől annak érdekében, hogy ezek a
rendszerek megőrizhessék sértetlenségüket. Ennek érdekében javasolt ezen rendszerek
hardverjeinek megfelelő fizikai biztonságot kiépíteni, valamint az adott szoftverekhez is
csak megfelelő jogosultsággal lehessen hozzáférni. Mindezek mellett érdemes az adott
rendszer felépítésének titokban tartása is.
Megfelelő intézkedések segítségével gondoskodni kell az eszközök fizikai
védelméről, illetve a hozzáférésükről is. Ezt a legegyszerűbben egy megfelelő biztonsági
zárral rendelkező helyiség segítségével oldhatjuk meg, amelyhez korlátozott a hozzáférés és
amelyek pontosan rögzítésre kerülnek. Ezen biztonsági intézkedéseket azonban nemcsak
magukra az eszközökre, hanem az őket összekötő illetve kiszolgáló kábelezésre is
alkalmazni kell. Ezt akár biztosítható egy műanyag védőborítással vagy falba teljesen
beleépített kábelcsatornákkal is. Hasonló zártságot kell biztosítani azon hordozható
adathordozók számára is, amelyeket a biztonsági mentések tárolására használnak, illetve
minden egyéb, a működéshez szükségem elemre is. Minden esetben hozzáférési jogot csak
a vezetőség álltál kijelöl személyek férhetnek hozza ezekhez
Abban az esetben, amennyiben egy külsős személy szeretne a fent említettekhez
hozzáférést kapni, akkor egy külön eljárást kell kialakítani erre, amelyben biztosítsák az
adatok sértetlenségét. Minden esetben ez a külsős személy csakis egy a fent említett jogosult
személy jelenlétében léphet be az egyes kulcsfontosságú helyiségekbe. Minden ilyen

10) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani útmutatója
a pénzügyi szervezetekinformatikai rendszerénekvédelméről
23
megtörtént látogatásról pontos naplót kell vezetni a könnyebb visszakereshetőség érdekében.
Ezen napló megvalósításában a törvény nem tartalmaz formai követelményeket, ezért
lehetnek akár kézzel írt papír alapúak vagy modern informatikai eszközzel rögzítettek is.
Annak érdekében, hogy ezek a berendezések a környezeti veszélyforrásoktól is
védve legyenek, külön eljárásokat kell alkalmazni a vezetőségnek, amennyiben ezeket a
kockázatelemzés alapján szükségesnek tartják. Ilyen eljárások lehetnek tűz esetére a
megfelelő vastagságú és szigetelt falak, por ellen a megfelelően szűrt levegő, túlmelegedés
ellen a klíma használata, páratartalom ellen egy párátlanító készülék, megfelelő szigeteltség
az esetleges áramütésektől valamint megfelelő épületbeli elhelyezés az esetleges árvizek
elkerülése végett.
Ezen rendszerek folyamatosságának biztosítása érdekében a vezetésnek időről időre
javasolt a szünetmentes tápegységek vagy generátorok iránti igényt felülvizsgálni, azon
rendszerek esetében amelyeket a kockázatelemzés során kritikusnak találtak.
8) Hpt. 13/B. § (5) bekezdés c) pont
arányos módon kell gondoskodni a rendszer szabályozott, ellenőrizhető és rendszeresen
ellenőrzött fel-használói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok,
engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események). 10
Minden esetben gondoskodni kell arról, hogy azon intézkedések, amelyek a
felhasználók jogosultság kérelmével, rögzítésével, kiadásával, felfüggesztésével valamint
lezárásával kapcsolatosak időben megtörténjenek. Ezt a megfelelő szabályzással illetve
megfelelő folyamat megalkotásával érheti el a vezetés. A szabályzatban le kell rögzíteni az
egyes kérelmek formai követelményeit, valamint azt is, hogy miként engedélyezik az egyes
hozzáféréseket az adott adatbázishoz a tulajdonosok. Abban az esetben, amelyben egy olyan
felhasználó kér hozzáférést az adott adatbázishoz aki nem része a szervezetnek, akkor
minden esetben meg kel győződni arról, hogy a titoktartási szerződés aláírásra kerüljön,
illetve, hogy az adott felhasználó tudomásul vette a rá vonatkozó felelősségeket. Ezt a
legegyszerűbben személyes módon lehet megtenni egy kijelölt, szervezeten belül, dolgozó
felelős által.
A szervezet kijelölt informatikai biztonsági felelősének úgy kell kialakítani az egyes
rendszerek biztonságát védő rendszereket, hogy azok a lehető legrövidebb időn belül

24
jelezzék azokat az eseményeket, amelyek esetleg megsértik a biztonsági előírásokat. Ezekről
a jelzésekről szintén ennek a felelősnek kell gondoskodnia, hogy megfelelő időben értesítsen
minden érintett felet. Mindezek mellett gondoskodnia kell ezen esetek pontos
nyilvántartásáról, a felsőbb vezetésnek való jelentéséről, teljes körű átvizsgálásáról. Ezt akár
személyesen végezheti el, akár kijelölhet egy biztost aki foglalkozik ezzel
Az adatgazdáknak kötelezően osztályozniuk kell a tulajdonukban levő adatok
milyenségét. Érdemes ezeket a különböző hozzáférési szintek alapján megcsinálni.
A vállalat lehetőségeit számba véve érdemes úgy kialakítani a felhasználók
azonosítására szolgáló rendszert, hogy egyetlen központi rendszer képes legyen ezeket
kezelni. Ez azért ajánlott, mert ezzel a módszerrel hatékonyabban lehet felügyelni az
eseményeket.
Amikor a jogosultságok adminisztrálására kerül sor, akkor azt rendszerenként kell
elvégezni. Minden rendszerben érdemes kialakítani egyedi hozzáférési szinteket az igények
alapján, nagyon figyelve az összeférhetetlenség elvére, valamint figyelni kell arra is, hogy
kiosztás esetén az adott felhasználók csak a számukra kijelölt jogosultságokat kaphassák
meg. A legegyszerűbb ilyen kiosztás lehet: a rendszer felhasználói, a rendszer fejlesztői, a
rendszer karbantartói valamint érdemes külön hozzáférési szintet kialakítani az
ellenőrzésekre is.
Minden egyes jogosultság kérés jóváhagyása esetén, amennyiben papír alapú
módszert használ a szervezet minden esetben rendelkezni kell azon személy aláírásával, aki
jóváhagyta a jogokat, valamint ha elektronikus rendszert használnak akkor az adott személy
elektronikus aláírására van szükség, amely bármikor visszakereshető. Minden jelentkezés i
formulát úgy kell kialakítani, hogy azon félreérthetetlenül szerepeljen az adott kérelmező
felhasználó személyét azonosító adatok valamint a kérelmezett jogok. A kiosztott jogokról
készített feljegyzéseket egy külön adatbázisban kell tárolni, amelyből bármikor lekérdezhető
az, hogy melyik felhasználó pontosan milyen hozzáférési jogokkal rendelkezik. Ez akár
egyszerű adatbázis kezelő programmal és megfelelő méretű tárhellyel könnyedén
megoldható. Külön felelőst érdemes kinevezni annak érdekében, hogy a kiosztott
jogosultságok, valamint az adatbázisban szereplő feljegyzések minden esetben
megegyezzenek.
Abban az esetben, amelyben bármilyen változás lépne fel az egyes jogosultságokban,
azt minden esetben naplózni kell, olyam módon, hogy ebből a naplózásból egyértelműen

25
kiderüljön az, hogy milyen változás történt az adott jogosultságban, ki végezte el ezeket a
módosításokat, valamint a módosítások pontos ideje.
9) Hpt. 13/B. § (5) bekezdés d) pont
arányos módon kell gondoskodni olyan biztonsági környezetről, amely az informatikai
rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e
naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a
nem rendszeres események kezelésére. 11
A biztonságos működés illetve a visszakereshetőség szempontjából fontos az, hogy
a szervezetben minden eseményt, amelyet a kockázatelemzés során kritikusnak ítéltek,
megfelelően naplózni kell, legyen ez egy egész folyamat vagy akár egy egyszerű
rendszerbeli bejelentkezés. Fontos az, hogy ezek a kritikus események mindig a megfelelő
kronológia adatokkal legyenek naplózva.
A naplózás folyamatát a vezetőség lehetőség szerint megoldhatja egy központi
rendszer segítségével, amelyen keresztül naplózásra kerülnek a különböző alkalmazásokban
történő események, vagy pedig már a használt szoftvereket érdemes úgy kiválasztani, hogy
rendelkezzenek beépített naplózással, amely alkalmas egyaránt a kronológiai naplózásra, a
naplófájlok biztonságos tárolására illetve szükség esetén ezen fájlok előkeresésére.
Amennyiben a szervezet saját maga által fejlesztett szoftvert készít, akkor úgy kell
kialakítani az adott szoftver specifikációját illetve fejlesztési tervét, hogy az a lehető
leghamarabb lehetővé tegye maga a naplózási folyamat beépítését.
Figyelni kell arra is, hogy ezek a naplóelemek ne legyenek túl nagy méretűek,
ugyanis azokat nehézkes és igen időigényes megfelelően tárolni és kezelni. Ennek érdekében
figyelni kell, arra, hogy a naplózási beállítások oly módon legyenek elkészítve, hogy maga
a naplózási folyamat csak a legszükségesebb és engedhetetlen adatokat rögzítse a naplózási
fájlba.
Érdemes kialakítani egy olyan automatikus vagy manuális folyamatot, amely
meghatározott időközönként ellenőrzi az egyes szoftverek naplózását. Ezen naplófájlokban
az elvégzett feladatok, tevékenységek szerepelnek. E naplózás milyensége csak a szervezet
kereteitől függ. Figyelni kell arra, hogy a naplófájlok elemzési folyamatának minden egyes
lépése megfelelően legyen dokumentálva. Annak érdekében, hogy megfelelő időben illetve

26
megfelelő színvonallal legyenek ezek a fájlok elemezve, ajánlott a vezetésnek az informatika
segítségül hívása is.
10) Hpt. 13/B. § (5) bekezdés e) pont
arányos módon kell gondoskodni a távadat-átvitel bizalmasságáról, sérthetetlenségéről és
hitelességéről. 12
A bizalom megőrzése valamint az esetleges károk elkerülése végett úgy kell
kialakítani az adattovábbító rendszert, hogy az, a lehető legbiztonságosabb és
legmegbízhatóbb legyen az egyes adatok továbbítására. A szervezeten kívülről, illetve a
szervezetből kívülre küldött adatok védelmére a legköltséghatékonyabb megoldás az, hogy
a szervezet valamiféle titkosítást használ a küldés során. A szervezet vezetősége, a kerettől
függően, választhat szimmetrikus, más néven egykulcsos titkosítási módszert vagy
aszimmetrikus, más néven kétkulcsos titkosítást is. Az egykulcsos titkosítás esetében azonos
kulcsot használnak az adatok kódolásához és visszafejtéséhez is, ennek előnye az, hogy
viszonylag gyors a titkosítási folyamat, ellenben hátrányai is vannak ennek a módszernek.
A hátrányok közé tartozik az, hogy minden félnek, akik között ezzel a módszerrel titkosított
adat közlekedik, külön kulcsokat kell készíteni. A másik hatalmas hátránya az, hogy el is
kell juttatni ezeket a kulcsokat a másik félhez, ami újabb kockázati tényeket vethet fel. A
kétkulcsos titkosítás esetében a két fél egy nyilvános, bárki számára elérhető kulcsot,
valamint egy privát, saját kulcsot használnak. Előnyei közé tartozik az, hogy a privát kulcs
segítségével bármikor előállítható a nyilvános kulcs, de fordítva ez nem lehetséges, valamint
az is, hogy nincs szükségünk előzetes kulcsegyeztetésre, ezzel is kiiktatva a plusz kockázat
lehetőségét. Ellenben nagy hátránya ennek a típusú titkosításnak az, hogy sokkal lassabb
mint az egykulcsos testvére, ezért nem igazán alkalmas arra, hogy nagy mennyiségű adatot
titkosítsunk egy időben vele. Ezekkel a módszerekkel azonban csak az adatok hitelességéről
lehet meggyőződni. Mindezek mellett alkalmazni kell különböző biztonsági protokollokat is
az adatok sérthetetlenségének biztosítása érdekében.
Annak érdekében, hogy a vezetőség megbizonyosodhasson azon adatok
bizalmasságáról, amelyeket a szervezeten kívülről érkeznek, javasolt az egyes biztonsági
protokollok használata, amennyiben ezt a kockázatelemzés eredménye is megköveteli.
Amennyiben szükséges számos protokoll közül választhat a vezetőség. Ilyen protokollok

27
lehetnek az IPSec, a HTTPS protokollja, az SSL protokoll vagy épp az SSH protokollja, de
akár ezektől eltérő protokollok használata is megengedett a szervezet számára.
Figyelni kell arra, hogy minden olyan adatáramlás, amely külső hálózattal
kapcsolatos, a megfelelő eljárások révén minden irányba figyelve legyen. Az internettel,
valamint bármiféle külső hálózattal való kommunikációt figyelni kell illetve, ki kell alakítani
a megfelelő védelmi folyamatokat. Ilyen folyamatok lehetnek: az egyes tűzfalak
alkalmazása, különböző behatolás védelmi eszközök, különböző eszközkezelő megoldások,
amelyek meggátolják a szervezet rendszereihez való jogosulatlan hozzáférést is.
11) Hpt. 13/B. § (5) bekezdés f) pont
arányos módon kell gondoskodni az adathordozók szabályozott és biztonságos
kezeléséről.13
A szervezetben minden használatban levő adathordózók megfelelő
dokumentáltsággal kell rendelkezzenek annak érdekében, hogy minél pontosabban nyomon
követhetőek legyenek. Ezekben a dokumentációkban érdemes feltűntetni azt, hogy milyen
információkat, fájlokat tartalmaz az adott hordozó, ezek a fájlok mikor kerültek az
adathordózóra és ki által. Ezek a dokumentációk bármilyen formában elkészíthetők, tehát
akár kézzel írott papír formában vagy automatikusan egy naplózó program segítségével.
Annak érdekében, hogy kontrollálni lehessen az adathordozók használatán, minden esetben
úgy kell beállítani a szervezetben használt minden informatikai eszközt, hogy csak azokat
az adathordozókat lehessen használni, amelyeket előzetesen már az informatika osztály
dolgozói ellenőriztek, elláttak megfelelő titkosítással.
Azon adathordozókat, amelyeket a szervezet a mentések tárolására használ, el kell
látni megfelelő dokumentációval is. A dokumentációt úgy kell összeállítani, hogy az
tartalmazza a mentés időpontját, a mentett adatok milyenségét illetve mennyiségét, az utolsó
időpontot amikor a tárolón levő adatok épségét ellenőrizték valamint a tárolásuk helyét is.
Mindezek mellett el kell látni minden adathordozót egy cédulával is, amely tartalmazza a
mentés dátumát illetve az utolsó időpontot, amikor az adatok épsége ellenőrizve volt.
Minden esetben ezeket az adathordozókat egy jól elzárt és védett helyiségben kell tartani,
amelybe csak néhány megbízható személynek van bejárása. Azon az adathordozók épségét,
amelyeket mentésekre használtak, rendszeresen ellenőrizni kell. Ezt a leghatékonyabb
módón egy program segítségével lehet elvégezni, de akár használható emberi erőforrás is,

14),15) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani
28
aki egyenként átvizsgálja a hordozókon tárolt adatok milyenségét. Amennyiben az
adathordozók mozgatására kerül sor abban az esetben, arról is megfelelő dokumentációk kell
készíteni, amelyben pontosan le van írva, hogy ki, mikor, honnan, hova és milyen módon
szállította ezeket az eszközöket.
Mindezek felügyelésére érdemes kijelölni egy külön személyt, aki vállalja a
felelősséget az adathordozók kezeléséért és használatáért.
12) Hpt. 13/B. § (5) bekezdés g) pont
arányos módon kell gondoskodni a vírusvédelméről. 14
A szervezet vezetőinek gondoskodniuk kell arról, hogy az informatikai rendszer
megfelelő védelemmel legyen ellátva az esetleges kártékony kód alapú támadásokkal
szemben. Ennek elérése érdekében minden olyan eszköz, amely képes ezen kódok
futtatására, el kell látni egy, a szervezet vezetése által választott tűzfallal, valamint vírusirtó
programmal. Ezeket a programokat úgy kell beállítani, hogy ne engedjen semmiféle külső
forrásból származó, előre nem ellenőrzött programok vagy alkalmazások futtatását. Figyelni
kell arra is, hogy ezek a programok rendszeres időközönként, legalább hetente egyszer,
minden használt informatika eszközt ellenőrizzenek a kártékony kódok után. Abban az
esetben, amennyiben ezek a programok találtak ilyen kártékony kódot, jelzést kell küldjenek
a vezetésnek, illetve el kell kezdeniük a megfelelő válaszlépéseket is probléma elhárítása
érdekében. A folyamat során el kell távolítaniuk a kártékony kódot, valamint minden olyan
adatot amelyet már megfertőzött, majd ezek után a lehető legpontosabban kell helyettesíteni
az adatokat a mentések közül.
A pénzügyi szervezetnek tevékenysége ellátásához, nyilvántartásai naprakész és
biztonságos vezetéséhez meg kell valósítania a biztonsági kockázatelemzés alapján
indokolt védelmi intézkedéseket és rendelkeznie kell legalább az a)-g) pontokban
meghatározottakkal. 15
Ebben a bekezdésben szereplő követelményeket a kockázatelemzés kiértékelése
valamint, az ezen pontokban szereplő minimális követelmények alapján lehet teljesíteni.

22
14) Hpt. 13/B. § (6) bekezdés a) pont
A pénzügyi szervezetnek rendelkeznie kell informatikai rendszerének működtetésére
vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel. 16
A vezetésnek gondoskodnia kell egy olyan működtetési tervről, amely a szervezet
minden informatikai egységére egyaránt alkalmazható. Erről a működési tervről megfelelő
dokumentációt kell készíteni vagy papír vagy elektronikus formában. A szervezetben
érdemes egy külön dolgozó csoportot kialakítani minden rendszer működtetésére is. A
vezetésnek kötelessége meggyőződni arról, hogy ezen csoportban dolgozó emberek
rendelkeznek-e a megfelelő elméleti, valamint gyakorlati tudással az egyes rendszerek
működtetéséhez, karbantartásához és dokumentálásához. Ez könnyedén megoldható egy
megfelelően kialakított írásos- vagy szóbeli teszt segítségével, amelyet a szervezet humán
erőforrás részlegének segítségével kell lebonyolítani.
Annak érdekében, hogy a lehető legjobb áteresztőképességgel és kihasználtsággal
működhessen az informatikai rendszer, a vezetésnek gondoskodnia kell, hogy a szükséges
munkafolyamatok, feladatok a lehető leghatékonyabb módon legyenek megszervezve az
erőforrásokhoz képest, ezzel is elősegítve a szolgáltatási szint megállapodásban kitűzött
célok teljesítését. Abban az esetben, amennyiben az egyes munkafolyamatok eltérnek az
előzetesen megalkotott ütemezéstől, akkor a vezetésnek gondoskodnia kell ezen alkalmak
kivizsgálásáról. Ezt egy felelős kijelölésével tehetik meg. Egy külön eljárást kell kialakítani
minden műszakváltás esetében, hogy a rendszerek folyamatos feldolgozása ne szakadjon
meg. Ennek érdekében ki kell alakítani egy külön folyamatot a munkafeladatok átadására és
az állapot jelentések aktualizálására. Fontos az, hogy az üzemeltetési naplókba minden
esetben bekerüljenek azon szükséges kronológiai adatok, amelyek bármikor lehetővé teszik
azon adatfeldolgozási folyamatok illetve az ehhez kapcsolódó egyéb tevékenységek
idősorrendben való visszaállítását, amely segíti az egyes folyamatok áttekintését illetve
kivizsgálását. Ezen naplóbejegyzéseknek nincs törvény által meghatozott formai
követelménye, ezért ezeket akár kézzel is feljegyezhetik vagy használhatnak erre alkalmas
naplózó programokat is. Azon speciális nyomtatványok, illetve bizalmas jellegű output
eszközök, amelyeket a szervezet esetleg használ, fizikai biztonságáról a kockázatelemzés
kiértékelése után megfelelően gondoskodni kell. Abban az esetben, amennyiben az egyes
munkaállomásokon távműködtetést alkalmaznak, külön eljárást kell kidolgozni a
biztonságos csatlakozásra illetve lecsatlakozásra az adott rendszerről. Ezt a legegyszerűbben

30
egy VPN alkalmazása segítségével oldhatjuk meg, amely megfelelő titkosítással
rendelkezik. Fontos az, hogy minden, a szervezetben használt alkalmazás esetében
megfelelő üzemeltetési utasítások legyenek kialakítva.
A vezetőség felelősségi körébe tartozik az is, hogy kialakítsák azon hosszú- valamint
rövid távú terveket, amelyek a legnagyobb mértékben megfelelnek a szervezet által kitűzött
hosszú- illetve rövid távú célkitűzéseinek is. Akkor, amikor a szervezet informatikai
tervezését alakítja ki a vezetőség, minden esetben figyelembe kell vennie a kockázatelemzés
eredményeit és minden olyan kockázatot, amely üzleti, környezeti, emberi erőforrás
valamint technológiai megvalósításokkal jár.
15) Hpt. 13/B. § (6) bekezdés b) pont
A pénzügyi szervezetnek rendelkeznie kell minden olyan dokumentációval, amely az üzleti
tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és
biztonságos működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének
megszűnése után is biztosítja. 17
A pénzügyi szervezet vezetésének gondoskodnia kell, hogy pontosan meg legyenek
határozva az egyes informatikai rendszerek rendelkezésre állására valamint a
teljesítményükre kitűzött követelmények. Ez alapján kell majd elkészíteni az egyes
rendszerek rendelkezésre állásának feltételeit. Minden esetben gondoskodni kell az egyes
rendszerek rendelkezésre állásának figyelemmel kísérésével. A rendkívüli események
bekövetkeztében biztosítsa a megfelelő időbeli problémamegoldást.
Azon rendszereknek, amelyeket a kockázatelemzés alapján kritikusnak ítélt meg a
szervezet érdemes kialakítani egy külön csoportot ezeknek a támogatására. Ezen csoport
dolgozói fogadják és oldják meg azon problémákat, amelyeket a felhasználók jelentenek be.
Ezt a problémamegoldást elvégezhetik akár egy automatizált rendszer segítségével is vagy
akár személyesen, közvetlenül a felhasználónál is kiküszöbölhetik az adott problémát. Azon
rendszerek számára, amelyek nem számítanak kritikusnak elegendő egy csoport kialakítása
amely foglalkozik az összes ilyen rendszer támogatásával és hibaelhárításával. Mindezen
rendszerek esetében meg kell határozni azt a maximális időtartamot, amely még
megengedett a szüneteltetésre. Abban az esetben ha ezt valamilyen kritikus probléma miatt
nem tartható abban az esetben külön eljárást kell alkalmazni egy helyettesítő szolgáltatás
működtetésére a kérdéses időszakra.

31
Készíteni kell egy olyan folyamatról is amely az egyes rendszerek
verziófrissítéseiről, fejlesztéseiről illetve módosításukról gondoskodik. Szintén a
kockázatelemezés alapján meg kell határozni azokat a rendszereket amelyet esetében, ha
verziófrissítés történik akkor, szükséges a régi illetve új verzió párhuzamos futtatása.
Minden fejlesztés, verzióváltás illetve hibajavítási csomag élesbe helyezése előtt szükséges
elvégezni ezek tesztelését egy külön, az eredeti rendszertől elkülönített, tesztrendszerben,
amelynek lépéseit pontosan dokumentálni kell írott papír formában vagy gépelt, digitális
formában.
Abban az esetben ha szervezet egy külső vállalkozó szolgáltatásait veszi igénybe
abban az esetben az általa biztosított szolgáltatások körét pontosan meg kell határozni a vele
kötött szerződésben. Még a szolgáltatások megkezdése előbb a szervezet vezetőinek
gondoskodnia kell arról, hogy minden kapcsolatot írásbeli szerződés szabályozzon a két fél
közt, amelyektől eltérni csak rendkívüli esetekben lehetséges. Mindezek mellett olyan jogi
intézkedéseket kell tenni amely biztosítja a szervezet adatainak sértetlenségét annak
érdekében, hogy a közreműködés során ne érhesse semmi féle kár magát a szervezetet. A
szolgáltatások megkezdése után, a pénzügyi szervezetnek, gondoskodnia kell ezen
szolgáltatások folyamatos figyeléséről, annak érdekében, hogy a szerződésben
megállapodott szolgáltatásokat kapják. Ezt a legegyszerűbben egy külön felelős
kinevezésével oldhatja meg a vezetőség.
Előfordulhat az is, hogy a fent említett külsős vállalat nem csak támogatási
szolgáltatást nyújt a pénzügyi szervezet számára, hanem rendszerfejlesztéseket is biztosít.
Eben az esetben egy külön eljárást kell kialakítani az egyes fejlesztések átvételére, hogy ezek
biztonságosan történhessenek meg. Az átvett fejlesztésekről, az élesbe helyezés előtt,
gondoskodni kell, hogy a kódja ne tartalmazzon olyan eljárásokat amely megkárosíthatja a
szerveztet. A megkötött szerződésben fontos még kitérni arra, hogy a külsős vállalkozó által
fejlesztett alkalmazások minden dokumentációját, beleértve még a forráskódot is, letétbe
helyezéséről, annak érdekében ezek hozzáférhetőek legyen a pénzügyi szervezet számára
abban az esetben ha a külsős szolgáltató megszűnik.

22
16) Hpt. 13/B. § (6) bekezdés c) pont
A pénzügyi szervezetnek rendelkeznie kell a szolgáltatások ellátásához szükséges
informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék
berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítő egyéb - a
tevékenységek, illetve szolgáltatások folytonosságát biztosító – megoldásokkal. 18
A pénzügyi szervezet vezetőinek gondoskodnia kell arról, hogy azon informatikai
rendszerek amelyek szolgáltatást nyújtanak, hogyha a szervezet alkalmaz ilyet rendszereket,
megszakítás nélkül, vagy a lehető legkevesebb kimaradással üzemeljenek. Ennek
megvalósítása érdekében meg kell alkotni egy olyan üzletmenet-folytonossági tervet amely
arra szolgál, hogy esetleges kimaradások esetén mik a teendők az adott folyamat újra
indítására. Ezt az üzemeltetési tervet minden rendszerre a kockázatelemzés alapján kell
elkészíteni a szervezetnek. Értve ez alatt, hogy olyan eljárásokat kell kialakítani amelyek
lehetővé teszik a kritikus rendszerek azonnali vagy a minimális idő igénybevételével a
helyreállítást, helyettesítést. A nem annyira kritikus rendszerek esetében nem fontos az
azonnali intézkedés, ellenben ezen rendszereknél is fontos meghatározni azt az időt amin
belül helyre kell állítani vagy helyettesíteni kell. Ezen kialakított tervek esetében figyelni
kell arra, hogy a tervek igazodjanak az üzleti valamint a szervezeti követelményekhez.
Annak érdekében, hogy ezen tervek eredményességüket megőrizhessék érdemes ezen
terveket rendszeresen, meghatározott időközönként felülvizsgálni. A terveket újra kell
gondolni minden olyan esetben amelyben valamilyen üzleti vagy infrastruktúra béli változás
történik a szervezet felépítésében. Fontos megbizonyosodni arról, hogy azon dolgozók, akik
az adott rendszerszerrel kapcsolatban állnak, időközönként, oktatás vagy kinyomtatott
tananyagok révén, megfelelő képzést kapjanak arról, hogy mik a teendők az egyes
katasztrófák valamint rendkívüli események bekövetkezte esetén. Gondoskodni kell arról,
hogy amíg az informatikai részleg munkatársai az egyes rendszerek problémáinak
elhárításán dolgoznak, addig az adott rendszer felhasználói más alternatív módszerek
segítségével folytathassák munkájukat. Ezen módszerek lehetnek akár egy egyszerűbb
alternatív rendszer használata az elhárítás ideje alatt vagy akár egyszerű papír illetve toll
alapú megoldások is. Abban az esetben amennyiben egy nagyobb méretű természeti
katasztrófa következik be, a helyreállítási folyamatban meg kell határozni azon rendszereket,
külső szolgáltatókat, adatállományokat, készleteket valamint humán erőforrásokat is
amelyek kritikusnak számítanak annak érdekében, hogy a szervezet mi hamarabb
újrakezdhesse a működését. Fontos a vezetésnek meghatároznia, a kockázatelemzés alapján,

33
hogy melyek azok a kritikus rendszerek amelyek esetében szükséges egy alternatív telephely
illetve póthardver elemek tárolása is. Gondoskodni kell arról, hogy az egyes helyreállításhoz
szükséges kritikus biztonsági mentéseket tartalmazó adathordozók, dokumentációk illetve
minden szükséges informatikai erőforrás külön fizikai helyen történő, megfelelő
biztonsággal ellátott tárolásáról.
A szervezet által nyújtott szolgáltatások meghatározása, illetve az kockázatelemzés
alapján, a vezetésnek meg kell alkotnia egy olyan keretrendszer amely segítségével
kidolgozhatják a szolgáltatási-szint megállapodásokat illetve azok tartalmát. Ide értve az
adott rendszerek rendelkezésre állását, biztonsági védelmét, megbízhatóságát, kapacitását,
az adott szolgáltatás esetleges díjait, teljesítményére vonatkozó adatokat és változáskezelését
is. Olyan szerződést kell kötni az egyes felhasználók illetve az informatikai részleg közt,
amelyben pontosan meghatározzák az egyes szolgáltatási szinteket minőségi, illetve
mennyiségi vonatkozásukban is. A vezetésnek ki kell neveznie, valamiféle kritériumok
alapján, egy olyan személyt akinek az a feladata, hogy minden esetben figyelemmel kísérje
ezen meghatározott szerződésben vállaltak teljesítését. Mindezek mellett a vezetésnek időről
időre meg kell vizsgálni az egyes szolgáltatási szint megállapodásokat, valamint szükség
illetve igény eseten meg kell újítaniuk akár módosítva is, a külső szolgáltatókkal megkötött
szerződéseket.
Az informatikai részleg vezetésének egy olyan problémakezelő rendszer kell
kialakítani amely gondoskodik arról, hogy az egyes rendkívüli esetek, hibák, problémák
megfelelően legyenek nyilvántartva, kivizsgálva és meghatározott időn belül megoldva.
Ezen probléma-kezelő rendszer esetén a megvalósításban a törvény nem köti meg a vezetés
kezét, tehát a nyilvántartás akár papír alapon is végezhető vagy használható informatikai
rendszer is erre a célra. A kivizsgálásra is használhat akár emberi erőforrást vagy elemző
szoftver. A megfelelő időbeni megoldásra is ugyanúgy használható emberi vagy
informatikai erőforrás. Halaszthatatlan problémás esetén a vezetés számára kötelesek az
alkalmazottak „rendkívüli esemény jelentést” készíteni, amely tartalmazza a probléma okát
és azon eljárásokat amelyeket alkalmazni szeretnének a probléma megoldására. Ez utóbbira
végrehajtásához vezetőségi engedélyre is szükség lehet hogyha azt a kockázatelemzés
eredménye megköveteli. Érdemes kialakítani egy olyan folyamatot amely a probléma
felderítésére illetve továbbításáért felelős. A problémák továbbítását akár személyes, emberi
erőforrás segítségével is meg lehet oldani, de a szervezet használhat akár egy külön
probléma-bejelentő alkalmazást is erre a célra. Minden esetben figyelni kell arra, hogy ez a

34
bejelentés mindig a meghatározott időn belül jussak el azokhoz az alkalmazottakhoz akik
kapcsolatban állnak a bejelentő által használt alkalmazással. Minden esetben a
kockázatelemzés eredményét figyelembe véve kell meghatározni a problémák elhárításának
prioritását is.
Ezen probléma kezelési rendszeren belül egy olyan naplózást kell kialakítani amely
lehetővé teszi az adott problémákat létrehozó okok felderítését.
17) Hpt. 13/B. § (6) bekezdés d) pont
A pénzügyi szervezetnek rendelkeznie kell olyan informatikai rendszerrel, amely lehetővé
teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési
környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását. 19
Minden a szervezetben használt alkalmazás időről időre bővítésre, hibajavításra,
fejlesztésre szorul. Annak érdekében, hogy a működő alkalmazások fennakadás nélkül
működhessenek tovább a fejlesztések során, egy külön környezet kell kialakítani ennek,
amely rendelkezik saját erőforrással és teljesen független az adott rendszertől. A
költséghatékonyság érdekében érdemes kettő, három elkülönített környezet kialakítása
amelyben felváltva történnek a fejlesztések. Ellenben amennyiben a szervezet erőforrásaik
megengedik ajánlott, minden használt alkalmazásnak egy saját elkülönített környezetet
kialakítani. Az utóbbi megvalósítás előnye, hogy nem kell megvárni az előző fejlesztés
befejezését azért, hogy megkezdődhessen egy másik alkalmazás fejlesztése a szervezetben,
ezzel is időt spórolva. A fejlesztői környezet mellett érdemes az előzőekhez hasonló módon
kialakítani egy olyan tesztkörnyezetet, amelyben a szervezet dolgozói meggyőződnek arról,
hogy a fejlesztett program kód működése valóban megegyezik azzal ami a fejlesztési
kérelemben szerepel. Ezen kívül érdemes még úgynevezett felhasználói környezetet is
kialakítani. Ezt is hasonló módon lehet kialakítani mint az előzőeket. Ebben a környezetben
azon dolgozók végzik el a fejlesztés tesztelését, akik a későbbiekben használni fogják az
adott alkalmazásokat. Ezeket a környezetek egy megfelelően titkosított vonallal kell
összekötni egymással.
Az egyes alkalmazás fejlesztések több típusúak is lehetnek. Lehetnek olyan
fejlesztések amelyek plusz, munka megkönnyítését elősegítő funkciókat hoznak az
alkalmazásba, vagy olyan fejlesztések amelyek egyes hibákat javítanak ki. Fejlesztésre
szükség lehet az egyes törvényváltoztatások esetében is, működési hibák esetében vagy
plusz funkciók bevezetése esetében is.

35
Legyen szó bármilyen típusú fejlesztésről a vezetés felelőssége, hogy az egyes
fejlesztések lépései pontosan nyomon követhetőek, ellenőrizhetőek legyenek. Erre külön
szabályzást, eljárásokat kell készíteni. Egy alkalmazás fejlesztése minden esetben a pontos
igény megfogalmazásával kezdődik, amelyet felsőbb utasításra az informatikai osztály
dolgozói készítenek, akik rendelkeznek az adott programmal kapcsolatos ismerettel, a
felhasználók kérésére. Ennek az igénynek minden esetben tartalmaznia kell egy pontos
specifikációt, amely a fejlesztés leírását jelenti, a fejlesztést kérelmező azonosítási adatait,
illetve egy dátumot, amikor a kérést készítették. Formai követelményét a szervezet maga
választja meg. Ez a kérelem, legyen akár papír, akár elektronikus formában, továbbításra
kerül a vezetők számára, akik kiértékelés után elfogadják vagy visszautasítsák a kérelmet. A
fejlesztést csak pozitív visszajelzés után kezdhetik meg a fejlesztő csapat dolgozói. A
fejlesztés elvégezése után a fejlesztői környezetből átkerül a fejlesztés technikai tesztelésre.
A technikai tesztek elvégzése után kerülhet csak át a feszhasználók tesztkörnyezetébe. Ez
után kerülhet csak élesbe az adott fejlesztés. Természetes minden állomáson megfelelő
dokumentációt kell készíteni, aminek tartalmaznia kell egy tesztforgatókönyvet, amely
alapján elvégezték a teszteléseket, tartalmaznia kell az esetleges hibákat. Amennyibe
bármelyik szinten az adott tesztelő hibát talál akkor visszaküldi az adott fejlesztést az eggyel
lentebbi szintre ahol megpróbálják megoldani a problémát, amennyiben nem sikerül ismét
egy szinttel lennebb küldik. Végső esetben előfordulhat az is, hogy az egész fejlesztést
elölről kell kezdeni.
Mindazon változásokat, legyen ezek akár környezetbeli, akár rendszerbeli, akár
emberi erőforrásbeli, amelyet befolyásolják bármilyen formában a szervezet működését
kezelnie kell a vezetésnek. Bármiféle változás történik a szervezetben, arról megfelelő
dokumentációt kell készíteni, ami minden esetben tartalmazza magát változást valamint
pontos időpontját. Ezekre a változásokra külön külön kockázatelemzéseket kell készíteni a
szervezetnek.
Azokban az esetekben amikor a szervezetben bármilyen adat migráció vagy
átalakítás történik, egy külön tervet kell arra készíteni. Ebben a tervbe az érintett
munkatársak leírják, hogy milyen formára szeretnék összegyűjteni az migrálandó adatokat.
Ez alatt értendő az, hogy az összegyűjtést egy szerveren oldják meg, ez érvényes digitális
adatok esetén, vagy csak egyszerűen egy helyre viszik az adatokat tároló iratokat. A tervben
szerepelnie kell annak is, hogy milyen módszerrel ellenőrzik az adatok helyességét.
Segítségül hívhatnak erre a célra egy programot vagy akár emberi erőforrást is

36
használhatnak. Mindezek mellett ennek a folyamatnak fel kell tárnia az esetleges hibákat
amik az adatbázisban szerepelnek és meg is kell oldania ezeket. Ez adat átalakítással illetve
pótlással vagy törléssel lehet megoldani.
Abban az esetben amennyiben szoftverváltás történik, akkor az új szoftver
rendszerbe helyezése előtt meg kell győződni, tesztelés segítségével, hogy valóban megfelel
az adott szoftver a feladat ellátásra és, hogy rendelkezik vagy sem megfelelő védelmi
eljárásokkal. Mindezen tesztekről pontos dokumentációt kell készíteni. Amennyiben a
tesztelési eredmények alapján megfelel a program abban az esetben a legfelsőbb vezetésnek
gondoskodnia kell arról, hogy az adott osztály, ahol a váltás történt, vezetése formálisan is
elfogadta az új szoftver használatát és a vele járó kockázatok is tudomásul vette. Ezt a
legegyszerűbben egy papír alapú nyilatkozat aláíratásával oldhatjuk meg, de lehet erről
digitális dokumentumokat is készíteni.
A vezetésnek kell eldöntenie, a kockázatelemzés alapján, azt, hogy melyek azok a
szituációk amelyekben sürgősségi változásokat kell alkalmazni. Ezekre az esetekre a
folyamat annyiban különbözik, hogy gyors fejlesztést követően még funkcionális tesztelésre
sincs lehetőség az élesbe kerülés előtt. Ennek folyamatnak kettő-három nap alatt le kell
zajlania.
Minden, éles rendszerbe került változás után az adott szoftver dokumentációt az
informatika osztálynak aktualizálnia kell, hogy azok megfeleljenek a valóságnak.
18) Hpt. 13/B. § (6) bekezdés e) pont
A pénzügyi szervezetnek rendelkeznie kell az informatikai rendszer szoftver elemeiről
(alkalmazások, adatok, operációs rendszer és környezetük) olyan biztonsági mentésekkel
és mentési rend-del (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási
rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás
kritikus helyreállítási idején belül lehetővé teszik. Ezen mentéseket környezeti kockázati
szempontból elkülönítetten és védett módon kell tárolni, valamint gondoskodni kell a
mentések forrásrendszerrel azonos szintű hozzáférés védelméről. 20
A szervezet vezetésének gondoskodni kell arról, hogy az informatikai rendszerről
megfelelő mentések legyenek készítve. A módszer kiválasztásában nincs megkötés, tehát
választhat a vezetés teljesen automatizált megoldást vagy akár alkalmazhat humán erőforrást
is. Ezt csakis a szervezet keretei szabják meg. A számos biztonsági mentés fajták közül is

21),22) Idézve:A PénzügyiSzervezetekÁllamiFelügyeletének1/2007. számúmódszertani
37
szabadon választhat, de ajánlott a napi mentés használata, ugyanis ez a típusú mentés csak
azokat a fájlokról csinál másolatot amik aznap kerültek módosításra.
Ezeket a mentéseket minden esetben egy jól őrzött helyiségben kell tárolni ahova
csak bizonyos személyeknek van belépési joguk, legyenek ezek a mentések akár egy
szerveren tárolva, akár hordozható adattárolóra mentve. Ezen a mentések használhatóságát
és hibátlanságát időről időre érdemes vagy program segítségével vagy emberi erőforrást
használva ellenőrizni. Érdemes ezeket a mentéseket fizikailag más helyen tárolni mint ahol
az eredeti adatok vannak, ezzel elkerülve az esetleges természeti katasztrófákból adódó
károsodásokat.
Ezek a mentések bármely pillanatban visszatölthetők kell legyenek, ami egyszerű
feladat amennyiben külön programot használnak a mentések elkészítésére, ugyanis ezek a
programok rendelkeznek visszaállítási opcióval is így rövid időn belül visszaállíthatók ezek
az elvesztett adatok.
19) Hpt. 13/B. § (6) bekezdés f) pont
A pénzügyi szervezetnek rendelkeznie kell jogszabályban meghatározott nyilvántartás
ismételt előhívására alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált
anyagokat a jog-szabályokban meghatározott ideig, de legalább öt évig (pénztárak
esetében az adott tag tagsági jogviszonyának megszűnését követő 5 évig), bármikor
visszakereshetően, helyreállíthatóan megőrizzék. 21
Az egyes programok, fájlok megőrzéséről, archiválásáról a kijelölt adatgazdáknak
kell gondoskodniuk minden esetben. Azok az adatok amelyek archiválásra kerülnek
megfelelően, elkülönítve kell tárolni egy elzárt helyen a vezetés által választott módon, vagy
szervereket vagy hordozható adattárolókon. Mindezen archivált adatokról megfelelő
dokumentációt kell készíteni, amely tartalmazza az adatok milyenségét és az archiválás
pontos időpontját is. Időről időre, program vagy emberi erőforrás segítségével, meg kell
győződni az adatok épségéről is. Ezeket az adatokat minimum öt évig őrizni kell, egyes
adatok esetében ez az időtartam több is lehet.
20) Hpt. 13/B. § (6) bekezdés g) pont
A pénzügyi szervezetnek rendelkeznie kell a szolgáltatásai folyamatosságát akadályozó
rendkívüli események kezelésére szolgáló tervvel. 22

Minimális informatikai biztonság kiépítése a hazai bankszektorban

Minimális informatikai biztonság kiépítése a hazai bankszektorban

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (6)

Similar to Minimális informatikai biztonság kiépítése a hazai bankszektorban

Similar to Minimális informatikai biztonság kiépítése a hazai bankszektorban (8)

Minimális informatikai biztonság kiépítése a hazai bankszektorban