it vizsgálatok tapasztalatai a biztosítóknál · • iso 9001:2000 szerint tanúsított rendszer...

2005. május 24. PSZÁF Informatika Felügyeleti Főosztály 1/30

IT vizsgálatok tapasztalatai a biztosítóknál

Budapest, 2005. május 24.

Kirner Attila FőosztályvezetőPSZÁF Informatika Felügyeleti Főosztá[email protected]

2005. május 24. 2/30PSZÁF Informatika Felügyeleti Főosztály

• Feladataink• Jogszabályi háttér• Vizsgálati alapelvek• Tapasztalatok• Javaslatok• Audit eszközök

Tartalom


Feladataink - 1

A PSZÁF feladata, célja (1999. évi CXXIV.):• „A Felügyelet tevékenységének célja a pénz- és tőkepiac

zavartalan és eredményes működésének, …elősegítése, a pénzügyi szolgáltatási … szervezet …prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján.”

• Az ügyfelek érdekvédelme• A pénz- és tőkepiaci viszonyok átláthatósága• A pénzpiacokkal szembeni bizalom erősítése• A tisztességes verseny fenntartása


Feladataink - 2Felügyeleti munka minőségének állomásai:• ISO 9001:2000 szerint tanúsított rendszer – 2002

novemberében• CAF (közigazgatási kiválósági modell szerinti

megfelelés) – 2002 óta évente• IIASA SHIBA minőségi díj – 2002-ben• QM 9004 tanúsítás – 2003-ban• Igény az információk szisztematikus teljeskörű

védelmére (ISO 17799:2002) – 2004 február• Évenkénti imázsvizsgálat.


Feladataink – 3A PSZÁF IFF bemutatása:• Létszám: 10 fő (9 + 1)• 8 CISA képesítés, 1 FED minősítés• Banki, távközlési és ellenőrzési tapasztalat (nemzetközi!)• Informatika felügyeleti vizsgálatok, engedélyezés,

módszertani fejlesztések• Szabványok (COBIT, BS7799, TCSEC, ITSEC, CC, ISO

13335, ITIL stb.)• A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének

indoka:„ …, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében.”


Feladataink - 4

További terveink:• Kockázat alapú felügyelet erősítése, a

működési kockázatok kezelése• A „legjobb gyakorlat” meghonosítása,

statisztikák tapasztalatok gyűjtése• Ajánlások, törvényi szabályozások• Az EU csatlakozásból adódó feladatok• Folyamatos képzés, új technológiák


• 1999. évi CXXIV. - a PSZÁF-ról• 2003. évi LX. (Bit) a biztosítóintézetekről.• 2004. évi XXII. - a befektetések védelméről• 1996. évi CXII. (Hpt) a hitelintézetekről.• 2001. évi CXX. (Tpt) a tőkepiacról.• 2004. évi CI. tv. – az adókról és járulékokról• 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról.• 1993. évi XCVI. (Öpt) az önkéntes pénztárakról.• 1957. évi IV. (Áe) az államigazgatási eljárásról.• 10/2001-es PSZÁF ajánlás a biztonsági feltételekről• 1992. évi LXIII. - a személyes adatok védelméről.

Jogszabályi háttér - 1


65. § A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele:

• a) az üzleti tervben meghatározott biztosítási tevékenységhez igazodó, megfelelő színvonalúügyfélszolgálati, kárrendezési tevékenység ellátására szolgáló helyiség(ek) tulajdoni, használati vagy bérleti joga,

• b) a folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer kiépítése, illetve a működési kockázatok csökkentését szolgáló információs és ellenőrzési rendszer, valamint a rendkívüli helyzetek kezelésére vonatkozó terv,

• c) az adatvédelmet szolgáló (kézi és gépi) irattározásfeltételeinek kialakítása.



A biztosítási szükséghelyzet216. § (1) Ha a biztosító• a) fizetési kötelezettségeinek 5 napon belül nem tesz eleget, vagy• b) biztosítástechnikai tartalékai nem érik el a szükséges mértéket,• c) biztonsági tőkéjének fedezete nem elegendő vagy• d) a szanálási, illetve a pénzügyi tervét a Felügyelet által

meghatározott időn belül nem tudja végrehajtani, vagy• e) tevékenysége körében más olyan különösen súlyos

veszélyhelyzet alakult ki, amely a biztosítási szolgáltatások biztonságát fenyegeti (a továbbiakban a)-e) pontok együtt vagy külön-külön: szükséghelyzet) a Felügyelet a felszámolás elkerülése, valamint a biztosítottak érdekében szükségintézkedést tehet



Biztosítási titok:• 153. § Biztosítási titok minden olyan, a biztosító rendelkezésére álló adat,

amely a biztosító egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik.

• 156. § Biztosítási titok csak akkor adható ki harmadik személynek, ha• a) a biztosító ügyfele vagy annak törvényes képviselője a kiszolgáltatható

biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásbanfelmentést ad,

• b) e törvény alapján a titoktartási kötelezettség nem áll fenn.• 157. § (1) A biztosítási titok megtartásának kötelezettsége nem áll fenn• a) a feladatkörében eljáró Felügyelettel,• o) a kiszervezett tevékenység végzéséhez szükséges adatok

tekintetében a kiszervezett tevékenységet végzővel, ;



Az ügymenet kiszervezésének feltételei• 76. § (1) A biztosító - az adatvédelmi előírások betartása mellett -

az ügymenetének bármely elemét kiszervezheti, kivéve a 6. számú melléklet I. pontjában foglaltakat. A tilalom nem terjed ki a ki nem szervezhető feladatok teljesítéséhez szükséges szakértői szolgáltatások igénybevételére. A termékértékesítés más általi végzése nem minősül az ügymenet kiszervezésének.

• (2) Az ügymenet kiszervezésének feltétele, hogy az irányítási és ellenőrzési jog megmaradjon a biztosítónál.

• (3) A biztosító a 6. számú melléklet II. pontjában felsorolt tevékenységek (1. aktuáriusi feladatok; 2. elektronikus adatfeldolgozás; 3. kárrendezés; 4. vagyonkezelési tevékenység) kiszervezését köteles a Felügyeletnek a negyedéves adatszolgáltatás keretében bejelenteni.



• 77. § (1) A kiszervezett tevékenységet a Felügyelet a tevékenységet végzőnél ugyanazon módon és eszközökkel vizsgálhatja, mintha a tevékenységet a biztosító végezné.

• (2) A kiszervezett tevékenységgel harmadik személynek okozott bármely kárért a biztosító felel.

• (3) A biztosító felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és a tőle elvárható gondossággal végezze. Amennyiben a kiszervezetttevékenység végzése jogszabályba vagy a szerződésbe ütközik, haladéktalanul köteles felszólítani a kiszervezett tevékenységet végzőt, hogy tevékenységét a jogszabálynak, illetve a szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a tevékenységet továbbra is jogszabálysértő vagy szerződésszegő módon végzi, a biztosító köteles a szerződést azonnali hatállyal felmondani.



• 77. § (4) Amennyiben a Felügyelet észleli, hogy a biztosító a (3) bekezdésben foglalt kötelezettségének nem tett eleget, a tevékenység kiszervezését megtilthatja.

• (5) Aki egyidejűleg végez kiszervezett tevékenységet több biztosítórészére, az köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával - kezelni.

• (6) A biztosító nem szervezheti ki a tevékenységet olyan szervezethez,• a) amelyben a biztosító vezető tisztségviselőjének vagy e vezető

tisztségviselő közeli hozzátartozójának tulajdonosi részesedése van, vagy

• b) amelynek a biztosító vezető tisztségviselője vagy e tisztségviselőközeli hozzátartozója vezető tisztségviselője.

• (7) A (6) bekezdésben előírt korlátozást nem kell alkalmazni, amennyiben a biztosító és a kiszervezett tevékenységet végzőtulajdonosa azonos illetve azonos tulajdonosi csoportba tartoznak.



• 78. § (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell:• a) a biztosítási titok megőrzésére vonatkozó kötelezettséget,

felelősséget és a titok megtartása érdekében teendő intézkedéseket;• b) hozzájárulását a kiszervezett tevékenységnek a biztosító belső

ellenőre, könyvvizsgálója és a Felügyelet által történő ellenőrzéséhez;• c) felelősségét a tevékenység megfelelő színvonalon történő végzéséért;• d) a tevékenység végzésének minőségére vonatkozó részletes

követelményeket;• e) a felmondás lehetőségét a jogszabálysértő tevékenység esetén.• (2) A kiszervezést végző fél köteles a felügyeleti ellenőrzést végzőknek

az ügymenet kiszervezéssel kapcsolatos valamennyi adatot, dokumentumot, információt megadni ill. a szerződésben rögzíteni kell az adatfeldolgozás rendjét és az adatvédelem szabályait.

• (3) Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja, úgy a kiszervezett tevékenységet végző a biztosító adatfeldolgozójának minősül.



Az ügyfelek tájékoztatása:• 166. § (2) A biztosítónak és a biztosításközvetítőnek, a biztosítási

szerződés megkötése előtt bizonyítható és azonosítható módon, közérthető, egyértelmű és részletes írásbeli tájékoztatást kell adnia a szerződést kötni kívánó ügyfél részére a biztosító főbb adatairól (név, székhely, stb.) és a biztosítási szerződés jellemzőiről. A biztosítónak a szerződő féllel szembeni tájékoztatási kötelezettsége - a függőbiztosításközvetítő adatait és a 10. számú melléklet A) pontjának 17. alpontjában foglaltakat (adózási szabályok) kivéve - irányadó a szerződés tartama alatt a fenti adatokban bekövetkezett változások esetében is. A biztosítási szerződésre vonatkozó tájékoztatás jellemzőit a 10. számúmelléklet A) pontja tartalmazza .

• A) A biztosítási szerződésre vonatkozó írásos tájékoztatásnak legalább a következőket kell tartalmaznia: 13. azon szervezetek felsorolását, amelyeknek a biztosító az ügyfelek adatait - a Bit. 153-161. §-aiban és 165. §-ában foglaltak (biztosítási titok) alapján - továbbíthatja;



• COBIT módszertan szerint („a tudatos vezetés eszköze”, www.pszaf.hu)

• A legjobb hazai és nemzetközi gyakorlat követése• Kockázatalapú vizsgálat (előzetes IT adatlapok)• Kontrollok vizsgálata (preventív, detektív,

korrektív)• Megfelelőségi (compliance) és mélységi

(substantial) vizsgálatok

Vizsgálati alapelvek - 1


Kontrollok:Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb.



Az informatikai vizsgálatok négy fő területe:• Tervezés, vezetés, szervezet, szabályozás (stratégia,

munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás).

• IT architektúra, beszerzés, fejlesztés, üzembehelyezés(mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása).

• Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás).

• Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok).



Tapasztalatok - 1Pozitívumok:• A PSZÁF által felvetett hiányosságokat igyekeznek

megszüntetni, pozitív hozzáállás.• Az IT fontossága ismert, javuló tendencia.Negatívumok:• A stratégiának, éves tervnek nem része az IT.• Hiányzik a működési kockázatok rendszeres

kiértékelése, a kontrollok ennek megfelelő kialakítása.• A szabályzatok hiányoznak, nem aktuálisak.• BCP, DRP nincs, nem aktualizált.


Tapasztalatok - 2• A szakképzettség hiánya, kiszolgáltatottak az informatikai

szállítóknak, szolgáltatóknak.• Külsős szerződések hiányosságai, adat- és titokvédelmi

szabályzatok, nyilatkozatok hiánya.• Korszerűtlen, nem integrált, biztonságosan csak rendkívüli

költségekkel üzemeltethető alaprendszer, a beépített audit lehetőségek hiánya, kihasználatlansága.

• Változáskezelési hiányosságok, az új informatikai rendszerek bevezetése nem megfelelően menedzselt, kockázatos az adatok migrációja, nem megoldott a korrekt változásmenedzsment.


Tapasztalatok - 3

• A kisebb intézményeknél több a hiányosság.• Az IT architektúra nem megfelelően dokumentált,

nyilvántartási hiányosságok vannak.• Hozzáférés- és jelszókezelés hiányosságai.• A biztonság tudatosság alacsony színvonalú,

oktatások, felhasználói támogatás hiányosságai.• A belső ellenőrzés nem végez IT vizsgálatot

(szakképzetlenség), naplófájlok ellenőrizetlensége.


Javaslatok• Készüljön üzleti és IT stratégia (tudatos vezetés)• Kockázatelemzés, a veszélyforrások felmérése, a működési

kockázatok rendszeres kiértékelése és a kontrollok kialakítása.• A szabályzatok aktualizálására fordítsanak gondot (Informatikai

szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.)

• Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása.

• A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése.

• Belső IT szakértelem és külsősök feletti kontroll erősítése.• A független ellenőrzés fokozása, a beépített audit lehetőségek

kihasználása, naplófájlok rendszeres kiértékelése.


Audit eszközök - 1• Keresők (Google, Netcraft, RIPE, 192.com)• Hálózati információk (network enumeration tools)

– SmartWhois (http://www.tamos.com)– Ping, Traceroute, Explorer, CMD– NetScanTools (http://www.netscantools.com)– SamSpade (http://www.samspade.org)– Solarwinds (http://www.solarwinds.net)– SNScan (http://www.foundstone.com)– Hyena (http://www.systemtools.com)– Dumpsec (http://www.systemtools.com)– Stb., stb.


Audit eszközök - 2• Port-letapogatók (port scanning tools)

– Nmap (http://www.insecure.org)– Mingsweeper (http://www.hoobie.net)– SuperScan (http://www.foundstone.com)

• Target enumeration tools– idServe (http://www.grc.com/id/idserve.htm)– CommView (http://www.tamos.com)– Achilles (http://www.mavensecurity.com/achilles)– Netcat (http://www.securityfocus.com/tools/139/scoreit)– Telnet– Stb., stb.


Audit eszközök - 3• Jelszótörők

– Brutus (http://www.hoobie.net/)– Various! (http://www.elcomsoft.com)– L0phtcrack (http://www.atstake.com)– RainbowCrack (http://www.rainbowcrack.serveftp.com)

• Sérülékenység vizsgálók és audit eszközök– ENT (http://www.tamos.com)– STAT (http://www.stat.harris.com)– NeWT (http://www.tenablesecurity.com)– AppDetective (http://www.appsecinc.com)– WebInspect (http://www.spidynamics.com)– Nessus (http://www.nessus.org)– Stb., stb.


Audit eszközök - 4• Penetration testing tools

– CoreImpact (http://www.coresecurity.com)– Canvas (http://www.immunitysec.com)– Metasploit (http://www.metasploit.com)

• Módszertani anyagok– http://www.isecom.org/projects/osstmm.htm– http://rr.sans.org– http://www.owasp.org

• „Hacker” oldalak– http://packetstormsecurity.nl– http://www.blackcode.com– http://www.hackernetwork.com– http://www.insecure.org– http://www.nmrc.org


Audit eszközök - 5• Port információk

– http://www.neohapsis.com/neolabs/neo-ports/– http://www.iss.net/security_center/advice/Exploits/Ports/– http://www.lebouef.com/faqs/ip%20Port%20Numbers.htm– http://www.portsdb.org/– http://ports.tantalo.net/index.php– http://www.iana.org/assignments/port-numbers– http://www.isecom.info/cgi-local/protocoldb/browse.dsp– http://www.seifried.org/security/ports/– http://www.chebucto.ns.ca/~rakerman/port-table.html– http://www.simovits.com/trojans/trojans.html– Stb., stb.


Audit eszközök - 6• Biztonsággal kapcsolatos oldalak (security sites)

– http://www.cerias.purdue.edu– http://www.cisecurity.org– http://www.cert.org– http://www.infosyssec.com– http://searchsecurity.techtarget.com– http://www.securityfocus.com– http://www.securitytracker.com– http://www.ssa.gov/– http://www.microsoft.com/security/default.mspx– http://www.rsasecurity.com/– http://securityresponse.symantec.com/– Stb., stb.

it vizsgálatok tapasztalatai a biztosítóknál · • iso 9001:2000 szerint tanúsított rendszer...

Documents