it vizsgálatok tapasztalatai a biztosítóknál · • iso 9001:2000 szerint tanúsított rendszer...
TRANSCRIPT
![Page 1: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/1.jpg)
2005. május 24. PSZÁF Informatika Felügyeleti Főosztály 1/30
IT vizsgálatok tapasztalatai a biztosítóknál
Budapest, 2005. május 24.
Kirner Attila FőosztályvezetőPSZÁF Informatika Felügyeleti Főosztá[email protected]
![Page 2: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/2.jpg)
2005. május 24. 2/30PSZÁF Informatika Felügyeleti Főosztály
• Feladataink• Jogszabályi háttér• Vizsgálati alapelvek• Tapasztalatok• Javaslatok• Audit eszközök
Tartalom
![Page 3: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/3.jpg)
2005. május 24. 3/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 1
A PSZÁF feladata, célja (1999. évi CXXIV.):• „A Felügyelet tevékenységének célja a pénz- és tőkepiac
zavartalan és eredményes működésének, …elősegítése, a pénzügyi szolgáltatási … szervezet …prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján.”
• Az ügyfelek érdekvédelme• A pénz- és tőkepiaci viszonyok átláthatósága• A pénzpiacokkal szembeni bizalom erősítése• A tisztességes verseny fenntartása
![Page 4: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/4.jpg)
2005. május 24. 4/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 2Felügyeleti munka minőségének állomásai:• ISO 9001:2000 szerint tanúsított rendszer – 2002
novemberében• CAF (közigazgatási kiválósági modell szerinti
megfelelés) – 2002 óta évente• IIASA SHIBA minőségi díj – 2002-ben• QM 9004 tanúsítás – 2003-ban• Igény az információk szisztematikus teljeskörű
védelmére (ISO 17799:2002) – 2004 február• Évenkénti imázsvizsgálat.
![Page 5: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/5.jpg)
2005. május 24. 5/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink – 3A PSZÁF IFF bemutatása:• Létszám: 10 fő (9 + 1)• 8 CISA képesítés, 1 FED minősítés• Banki, távközlési és ellenőrzési tapasztalat (nemzetközi!)• Informatika felügyeleti vizsgálatok, engedélyezés,
módszertani fejlesztések• Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO
13335, ITIL stb.)• A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének
indoka:„ …, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében.”
![Page 6: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/6.jpg)
2005. május 24. 6/30PSZÁF Informatika Felügyeleti Főosztály
Feladataink - 4
További terveink:• Kockázat alapú felügyelet erősítése, a
működési kockázatok kezelése• A „legjobb gyakorlat” meghonosítása,
statisztikák tapasztalatok gyűjtése• Ajánlások, törvényi szabályozások• Az EU csatlakozásból adódó feladatok• Folyamatos képzés, új technológiák
![Page 7: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/7.jpg)
2005. május 24. 7/30PSZÁF Informatika Felügyeleti Főosztály
• 1999. évi CXXIV. - a PSZÁF-ról• 2003. évi LX. (Bit) a biztosítóintézetekről.• 2004. évi XXII. - a befektetések védelméről• 1996. évi CXII. (Hpt) a hitelintézetekről.• 2001. évi CXX. (Tpt) a tőkepiacról.• 2004. évi CI. tv. – az adókról és járulékokról• 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról.• 1993. évi XCVI. (Öpt) az önkéntes pénztárakról.• 1957. évi IV. (Áe) az államigazgatási eljárásról.• 10/2001-es PSZÁF ajánlás a biztonsági feltételekről• 1992. évi LXIII. - a személyes adatok védelméről.
Jogszabályi háttér - 1
![Page 8: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/8.jpg)
2005. május 24. 8/30PSZÁF Informatika Felügyeleti Főosztály
65. § A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele:
• a) az üzleti tervben meghatározott biztosítási tevékenységhez igazodó, megfelelő színvonalúügyfélszolgálati, kárrendezési tevékenység ellátására szolgáló helyiség(ek) tulajdoni, használati vagy bérleti joga,
• b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a működési kockázatok csökkentését szolgáló információs és ellenőrzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv,
• c) az adatvédelmet szolgáló (kézi és gépi) irattározásfeltételeinek kialakítása.
Jogszabályi háttér - 2
![Page 9: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/9.jpg)
2005. május 24. 9/30PSZÁF Informatika Felügyeleti Főosztály
A biztosítási szükséghelyzet216. § (1) Ha a biztosító• a) fizetési kötelezettségeinek 5 napon belül nem tesz eleget, vagy• b) biztosítástechnikai tartalékai nem érik el a szükséges mértéket,• c) biztonsági tőkéjének fedezete nem elegendő vagy• d) a szanálási, illetve a pénzügyi tervét a Felügyelet által
meghatározott időn belül nem tudja végrehajtani, vagy• e) tevékenysége körében más olyan különösen súlyos
veszélyhelyzet alakult ki, amely a biztosítási szolgáltatások biztonságát fenyegeti (a továbbiakban a)-e) pontok együtt vagy külön-külön: szükséghelyzet) a Felügyelet a felszámolás elkerülése, valamint a biztosítottak érdekében szükségintézkedést tehet
Jogszabályi háttér - 3
![Page 10: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/10.jpg)
2005. május 24. 10/30PSZÁF Informatika Felügyeleti Főosztály
Biztosítási titok:• 153. § Biztosítási titok minden olyan, a biztosító rendelkezésére álló adat,
amely a biztosító egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik.
• 156. § Biztosítási titok csak akkor adható ki harmadik személynek, ha• a) a biztosító ügyfele vagy annak törvényes képviselője a kiszolgáltatható
biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásbanfelmentést ad,
• b) e törvény alapján a titoktartási kötelezettség nem áll fenn.• 157. § (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn• a) a feladatkörében eljáró Felügyelettel,• o) a kiszervezett tevékenység végzéséhez szükséges adatok
tekintetében a kiszervezett tevékenységet végzővel, ;
Jogszabályi háttér - 4
![Page 11: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/11.jpg)
2005. május 24. 11/30PSZÁF Informatika Felügyeleti Főosztály
Az ügymenet kiszervezésének feltételei• 76. § (1) A biztosító - az adatvédelmi előírások betartása mellett -
az ügymenetének bármely elemét kiszervezheti, kivéve a 6. számú melléklet I. pontjában foglaltakat. A tilalom nem terjed ki a ki nem szervezhető feladatok teljesítéséhez szükséges szakértői szolgáltatások igénybevételére. A termékértékesítés más általi végzése nem minősül az ügymenet kiszervezésének.
• (2) Az ügymenet kiszervezésének feltétele, hogy az irányítási és ellenőrzési jog megmaradjon a biztosítónál.
• (3) A biztosító a 6. számú melléklet II. pontjában felsorolt tevékenységek (1. aktuáriusi feladatok; 2. elektronikus adatfeldolgozás; 3. kárrendezés; 4. vagyonkezelési tevékenység) kiszervezését köteles a Felügyeletnek a negyedéves adatszolgáltatás keretében bejelenteni.
Jogszabályi háttér - 5
![Page 12: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/12.jpg)
2005. május 24. 12/30PSZÁF Informatika Felügyeleti Főosztály
• 77. § (1) A kiszervezett tevékenységet a Felügyelet a tevékenységet végzőnél ugyanazon módon és eszközökkel vizsgálhatja, mintha a tevékenységet a biztosító végezné.
• (2) A kiszervezett tevékenységgel harmadik személynek okozott bármely kárért a biztosító felel.
• (3) A biztosító felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és a tőle elvárható gondossággal végezze. Amennyiben a kiszervezetttevékenység végzése jogszabályba vagy a szerződésbe ütközik, haladéktalanul köteles felszólítani a kiszervezett tevékenységet végzőt, hogy tevékenységét a jogszabálynak, illetve a szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a tevékenységet továbbra is jogszabálysértő vagy szerződésszegő módon végzi, a biztosító köteles a szerződést azonnali hatállyal felmondani.
Jogszabályi háttér - 6
![Page 13: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/13.jpg)
2005. május 24. 13/30PSZÁF Informatika Felügyeleti Főosztály
• 77. § (4) Amennyiben a Felügyelet észleli, hogy a biztosító a (3) bekezdésben foglalt kötelezettségének nem tett eleget, a tevékenység kiszervezését megtilthatja.
• (5) Aki egyidejűleg végez kiszervezett tevékenységet több biztosítórészére, az köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával - kezelni.
• (6) A biztosító nem szervezheti ki a tevékenységet olyan szervezethez,• a) amelyben a biztosító vezető tisztségviselőjének vagy e vezető
tisztségviselő közeli hozzátartozójának tulajdonosi részesedése van, vagy
• b) amelynek a biztosító vezető tisztségviselője vagy e tisztségviselőközeli hozzátartozója vezető tisztségviselője.
• (7) A (6) bekezdésben előírt korlátozást nem kell alkalmazni, amennyiben a biztosító és a kiszervezett tevékenységet végzőtulajdonosa azonos illetve azonos tulajdonosi csoportba tartoznak.
Jogszabályi háttér - 7
![Page 14: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/14.jpg)
2005. május 24. 14/30PSZÁF Informatika Felügyeleti Főosztály
• 78. § (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell:• a) a biztosítási titok megőrzésére vonatkozó kötelezettséget,
felelősséget és a titok megtartása érdekében teendő intézkedéseket;• b) hozzájárulását a kiszervezett tevékenységnek a biztosító belső
ellenőre, könyvvizsgálója és a Felügyelet által történő ellenőrzéséhez;• c) felelősségét a tevékenység megfelelő színvonalon történő végzéséért;• d) a tevékenység végzésének minőségére vonatkozó részletes
követelményeket;• e) a felmondás lehetőségét a jogszabálysértő tevékenység esetén.• (2) A kiszervezést végző fél köteles a felügyeleti ellenőrzést végzőknek
az ügymenet kiszervezéssel kapcsolatos valamennyi adatot, dokumentumot, információt megadni ill. a szerződésben rögzíteni kell az adatfeldolgozás rendjét és az adatvédelem szabályait.
• (3) Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja, úgy a kiszervezett tevékenységet végző a biztosító adatfeldolgozójának minősül.
Jogszabályi háttér - 8
![Page 15: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/15.jpg)
2005. május 24. 15/30PSZÁF Informatika Felügyeleti Főosztály
Az ügyfelek tájékoztatása:• 166. § (2) A biztosítónak és a biztosításközvetítőnek, a biztosítási
szerződés megkötése előtt bizonyítható és azonosítható módon, közérthető, egyértelmű és részletes írásbeli tájékoztatást kell adnia a szerződést kötni kívánó ügyfél részére a biztosító főbb adatairól (név, székhely, stb.) és a biztosítási szerződés jellemzőiről. A biztosítónak a szerződő féllel szembeni tájékoztatási kötelezettsége - a függőbiztosításközvetítő adatait és a 10. számú melléklet A) pontjának 17. alpontjában foglaltakat (adózási szabályok) kivéve - irányadó a szerződés tartama alatt a fenti adatokban bekövetkezett változások esetében is. A biztosítási szerződésre vonatkozó tájékoztatás jellemzőit a 10. számúmelléklet A) pontja tartalmazza .
• A) A biztosítási szerződésre vonatkozó írásos tájékoztatásnak legalább a következőket kell tartalmaznia: 13. azon szervezetek felsorolását, amelyeknek a biztosító az ügyfelek adatait - a Bit. 153-161. §-aiban és 165. §-ában foglaltak (biztosítási titok) alapján - továbbíthatja;
Jogszabályi háttér - 9
![Page 16: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/16.jpg)
2005. május 24. 16/30PSZÁF Informatika Felügyeleti Főosztály
• COBIT módszertan szerint („a tudatos vezetés eszköze”, www.pszaf.hu)
• A legjobb hazai és nemzetközi gyakorlat követése• Kockázatalapú vizsgálat (előzetes IT adatlapok)• Kontrollok vizsgálata (preventív, detektív,
korrektív)• Megfelelőségi (compliance) és mélységi
(substantial) vizsgálatok
Vizsgálati alapelvek - 1
![Page 17: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/17.jpg)
2005. május 24. 17/30PSZÁF Informatika Felügyeleti Főosztály
Kontrollok:Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb.
Vizsgálati alapelvek - 2
![Page 18: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/18.jpg)
2005. május 24. 18/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati alapelvek - 3
![Page 19: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/19.jpg)
2005. május 24. 19/30PSZÁF Informatika Felügyeleti Főosztály
Vizsgálati alapelvek - 4
![Page 20: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/20.jpg)
2005. május 24. 20/30PSZÁF Informatika Felügyeleti Főosztály
Az informatikai vizsgálatok négy fő területe:• Tervezés, vezetés, szervezet, szabályozás (stratégia,
munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás).
• IT architektúra, beszerzés, fejlesztés, üzembehelyezés(mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).
• Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás).
• Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).
Vizsgálati alapelvek - 5
![Page 21: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/21.jpg)
2005. május 24. 21/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 1Pozitívumok:• A PSZÁF által felvetett hiányosságokat igyekeznek
megszüntetni, pozitív hozzáállás.• Az IT fontossága ismert, javuló tendencia.Negatívumok:• A stratégiának, éves tervnek nem része az IT.• Hiányzik a működési kockázatok rendszeres
kiértékelése, a kontrollok ennek megfelelő kialakítása.• A szabályzatok hiányoznak, nem aktuálisak.• BCP, DRP nincs, nem aktualizált.
![Page 22: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/22.jpg)
2005. május 24. 22/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 2• A szakképzettség hiánya, kiszolgáltatottak az informatikai
szállítóknak, szolgáltatóknak.• Külsős szerződések hiányosságai, adat- és titokvédelmi
szabályzatok, nyilatkozatok hiánya.• Korszerűtlen, nem integrált, biztonságosan csak rendkívüli
költségekkel üzemeltethető alaprendszer, a beépített audit lehetőségek hiánya, kihasználatlansága.
• Változáskezelési hiányosságok, az új informatikai rendszerek bevezetése nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.
![Page 23: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/23.jpg)
2005. május 24. 23/30PSZÁF Informatika Felügyeleti Főosztály
Tapasztalatok - 3
• A kisebb intézményeknél több a hiányosság.• Az IT architektúra nem megfelelően dokumentált,
nyilvántartási hiányosságok vannak.• Hozzáférés- és jelszókezelés hiányosságai.• A biztonság tudatosság alacsony színvonalú,
oktatások, felhasználói támogatás hiányosságai.• A belső ellenőrzés nem végez IT vizsgálatot
(szakképzetlenség), naplófájlok ellenőrizetlensége.
![Page 24: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/24.jpg)
2005. május 24. 24/30PSZÁF Informatika Felügyeleti Főosztály
Javaslatok• Készüljön üzleti és IT stratégia (tudatos vezetés)• Kockázatelemzés, a veszélyforrások felmérése, a működési
kockázatok rendszeres kiértékelése és a kontrollok kialakítása.• A szabályzatok aktualizálására fordítsanak gondot (Informatikai
szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.)
• Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.
• A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése.
• Belső IT szakértelem és külsősök feletti kontroll erősítése.• A független ellenőrzés fokozása, a beépített audit lehetőségek
kihasználása, naplófájlok rendszeres kiértékelése.
![Page 25: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/25.jpg)
2005. május 24. 25/30PSZÁF Informatika Felügyeleti Főosztály
Audit eszközök - 1• Keresők (Google, Netcraft, RIPE, 192.com)• Hálózati információk (network enumeration tools)
– SmartWhois (http://www.tamos.com)– Ping, Traceroute, Explorer, CMD– NetScanTools (http://www.netscantools.com)– SamSpade (http://www.samspade.org)– Solarwinds (http://www.solarwinds.net)– SNScan (http://www.foundstone.com)– Hyena (http://www.systemtools.com)– Dumpsec (http://www.systemtools.com)– Stb., stb.
![Page 26: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/26.jpg)
2005. május 24. 26/30PSZÁF Informatika Felügyeleti Főosztály
Audit eszközök - 2• Port-letapogatók (port scanning tools)
– Nmap (http://www.insecure.org)– Mingsweeper (http://www.hoobie.net)– SuperScan (http://www.foundstone.com)
• Target enumeration tools– idServe (http://www.grc.com/id/idserve.htm)– CommView (http://www.tamos.com)– Achilles (http://www.mavensecurity.com/achilles)– Netcat (http://www.securityfocus.com/tools/139/scoreit)– Telnet– Stb., stb.
![Page 27: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/27.jpg)
2005. május 24. 27/30PSZÁF Informatika Felügyeleti Főosztály
Audit eszközök - 3• Jelszótörők
– Brutus (http://www.hoobie.net/)– Various! (http://www.elcomsoft.com)– L0phtcrack (http://www.atstake.com)– RainbowCrack (http://www.rainbowcrack.serveftp.com)
• Sérülékenység vizsgálók és audit eszközök– ENT (http://www.tamos.com)– STAT (http://www.stat.harris.com)– NeWT (http://www.tenablesecurity.com)– AppDetective (http://www.appsecinc.com)– WebInspect (http://www.spidynamics.com)– Nessus (http://www.nessus.org)– Stb., stb.
![Page 28: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/28.jpg)
2005. május 24. 28/30PSZÁF Informatika Felügyeleti Főosztály
Audit eszközök - 4• Penetration testing tools
– CoreImpact (http://www.coresecurity.com)– Canvas (http://www.immunitysec.com)– Metasploit (http://www.metasploit.com)
• Módszertani anyagok– http://www.isecom.org/projects/osstmm.htm– http://rr.sans.org– http://www.owasp.org
• „Hacker” oldalak– http://packetstormsecurity.nl– http://www.blackcode.com– http://www.hackernetwork.com– http://www.insecure.org– http://www.nmrc.org
![Page 29: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/29.jpg)
2005. május 24. 29/30PSZÁF Informatika Felügyeleti Főosztály
Audit eszközök - 5• Port információk
– http://www.neohapsis.com/neolabs/neo-ports/– http://www.iss.net/security_center/advice/Exploits/Ports/– http://www.lebouef.com/faqs/ip%20Port%20Numbers.htm– http://www.portsdb.org/– http://ports.tantalo.net/index.php– http://www.iana.org/assignments/port-numbers– http://www.isecom.info/cgi-local/protocoldb/browse.dsp– http://www.seifried.org/security/ports/– http://www.chebucto.ns.ca/~rakerman/port-table.html– http://www.simovits.com/trojans/trojans.html– Stb., stb.
![Page 30: IT vizsgálatok tapasztalatai a biztosítóknál · • ISO 9001:2000 szerint tanúsított rendszer – 2002 novemberében • CAF (közigazgatási kiválósági modell szerinti megfelelés)](https://reader034.vdocuments.site/reader034/viewer/2022052002/6014e49279391863834e4b23/html5/thumbnails/30.jpg)
2005. május 24. 30/30PSZÁF Informatika Felügyeleti Főosztály
Audit eszközök - 6• Biztonsággal kapcsolatos oldalak (security sites)
– http://www.cerias.purdue.edu– http://www.cisecurity.org– http://www.cert.org– http://www.infosyssec.com– http://searchsecurity.techtarget.com– http://www.securityfocus.com– http://www.securitytracker.com– http://www.ssa.gov/– http://www.microsoft.com/security/default.mspx– http://www.rsasecurity.com/– http://securityresponse.symantec.com/– Stb., stb.