1 / 13

Biztosításfelügyeleti szakmai konzultáció

Biztosításfelügyeleti szakmai konzultáció. Gajdosné Sági Katalin Informatika felügyeleti önálló osztály. Az IT biztonsági kontrollrendszer fejlesztése a jogszabályi változásokhoz kapcsolódóan. A jogszabály változása. A Bit. 65.§ jelenleg

cyrus-harvey
Download Presentation

Biztosításfelügyeleti szakmai konzultáció

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Biztosításfelügyeleti szakmai konzultáció Gajdosné Sági Katalin Informatika felügyeleti önálló osztály Az IT biztonsági kontrollrendszer fejlesztése a jogszabályi változásokhoz kapcsolódóan

  2. A jogszabály változása A Bit. 65.§ jelenleg A biztosítási tevékenység engedélyezésének és a tevékenység folytatásának feltétele: • b) folyamatos nyilvántartási, adatfeldolgozási és adatszolgáltatási rendszer; • c) a tevékenység végzésére alkalmas technikai, informatikai, műszaki, biztonsági felszereltség és helyiség; • d) a megbízható és körültekintő működésnek megfelelő belső szabályzatok; • e) a működési kockázatok csökkentését szolgáló információs és ellenőrzési eljárások és rendszerek, valamint a rendkívüli helyzetek kezelésére vonatkozó terv.

  3. A jogszabály változása Bit. 65/A.§ 2015. január 1-től A korábbi Hpt. 13/C.§-ának az informatikai rendszer védelméről szóló része bekerült a törvénybe. A kiszervezésre vonatkozó változások 2014. július 1-től 76.§ (5) A biztosító előzetesen írásbeli kiszervezési politikát dolgoz ki, amely figyelembe veszi a kiszervezés hatását a biztosító tevékenységére, továbbá a kiszervezés során alkalmazandó beszámolási és ellenőrzési eljárásokat. 77.§ (4) d) … a kiszervezett tevékenységet végző - figyelembe véve a kiszervezett feladatköröket és tevékenységeket is - rendelkezzen a veszélyhelyzetek és az üzletviteli fennakadások kezelésére alkalmas megfelelő készenléti tervekkel, és amennyiben szükséges, a kiszervezett tevékenységet végző rendszeresen tesztelje a tartalék rendszereket.

  4. A jogszabály változása 77.§ (10) Amennyiben a biztosító és a kiszervezett tevékenységet végző ugyanazon tulajdonosi csoport tagjai, a biztosító a kiemelten fontos feladatkörök vagy tevékenységek kiszervezésénél a (9) bekezdésben meghatározott követelményeken felül köteles figyelembe venni, hogy a biztosító milyen mértékben ellenőrzi a kiszervezett tevékenységet végzőt vagy képes befolyásolni annak tevékenységeit. 78.§ (1) A kiszervezésre vonatkozó szerződésnek tartalmaznia kell legalább: h) azt, hogy a biztosító tájékoztatást kérhet a kiszervezett tevékenységekről és utasításokat adhat a kiszervezett tevékenységek és feladatkörök tekintetében;

  5. A jogszabály változása A biztosítók irányítási rendszerével kapcsolatosan 91/D.§ (2) A biztosító olyan üzletmenet-folytonossági szabályzatot hoz létre, vezet be és tart fenn, amely biztosítja, hogy a rendszerekben és eljárásokban bekövetkező megszakítás esetén is meg tudja őrizni a nélkülözhetetlen adatokat és feladatköröket, és fenn tudja tartani a biztosítási és viszontbiztosítási tevékenységeket, és amennyiben ez nem lehetséges, a szabályzatnak biztosítania kell, hogy a biztosító időben helyre tudja állítani az ilyen adatokat és feladatköröket, annak érdekében, hogy mielőbb folytatni tudja a biztosítási vagy viszontbiztosítási tevékenységeket.

  6. Mi változik az informatikai vizsgálatokban?

  7. Fókuszpontok Kockázatelemzés • Bit. 65/A. § (2) A biztosító köteles az informatikai rendszer kockázatokkal arányos védelmének biztosítása céljából az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. Jellemző problémák: • nincs szabályozás; • nincs módszertan; • nem történik meg az elemzés; • nincs javaslat a kockázatok csökkentésére; • nem készül intézkedési terv (felelős, határidő); • nincs vezetői testületi jóváhagyás (maradék kockázatok vállalása); • nem követik az intézkedési terv megvalósítását.

  8. Fókuszpontok Üzletmenet folytonosság és katasztrófa elhárítás (BCP/DRP) Bit. 65/A. § (6) A biztosítónak … rendelkeznie kell a felmerülő kockázatokkal arányos mértékben legalább a következőkkel: c) … a szolgáltatások folytonosságát biztosító tartalék berendezésekkel vagy ezek hiányában az ezeket helyettesítő egyéb - a tevékenységek, szolgáltatások folytonosságát biztosító - megoldásokkal; e) az informatikai rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan biztonsági mentésekkel és mentési renddel (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehetővé teszik; g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel.

  9. Fókuszpontok Jellemző problémák: • hiányzó, vagy hiányos vagy nem aktuális a BCP és DRP; • kritikus folyamatok meghatározása hiányzik; • kritikus folyamatok összerendelése a rendszerekkel és a hardver eszközökkel nincs, vagy hiányos; • üzletileg elfogadható kiesési idő (RTO) meghatározása nem történik meg, nincs összehangolva az IT által vállat helyreállítási idővel; • tesztelési terv nincs, vagy hiányos; • a tesztelés nem valósághű (életszerű) esetekre vonatkozik (hirtelen leállás tesztelése); • tesztelési jegyzőkönyv nem készül, vagy hiányos; • nem gondoskodnak a tervek rendszeres oktatásáról és teszteléséről.

  10. Fókuszpontok Jogosultságkezelés 65/A.§ (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események); • Jellemző problémák: • nem megfelelő igénylési folyamat (adatgazdák); • nincs nyilvántartás, vagy hiányosak az igénylések; • nincs szoftveres támogatás; • nincs rendszeres ellenőrzés (engedélyezett és beállított összevetése) • a nyilvántartás nem terjed ki a magas jogosultságú és a technikai azonosítókra.

  11. Fókuszpontok Fejlesztés, változáskezelés 65/A.§ (6) d) A Biztosítónak tevékenysége ellátásához … rendelkeznie kell a felmerülő kockázatokkal arányos mértékben legalább a következőkkel: olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és a tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását; Jellemző problémák: • Nincs változásmenedzser, nincs feladatmegosztás az üzlet, a fejlesztés és a rendszergazda között. • A változások kezelése nem dokumentált, nem ellenőrzött és nem ellenőrizhető.

  12. Módszertani anyagok • 1/2013. számú útmutató az informatikai rendszer védelméről • 7/2011. számú módszertani útmutatóaz internetbanki szolgáltatások biztonságáról • 4/2012. számú vezetői körlevél a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról

  13. Köszönöm a figyelmet!

More Related