Megjelent a Magyar Nemzeti Bank 7/2017. számú ajánlása az informatikai rendszerek védelméről, mely alapján az alábbi ellenőrzési irányvonalak rajzolódnak ki:
- Az új ajánlás egyértelműen szigorítást, az MNB elvárások, ajánlások bővülését jelenti, melyek jelentős része azért nem érhet senkit váratlanul, hiszen azok az MNB ellenőrzési gyakorlata alapján már ismertek voltak. Természetesen azért vannak olykor meglepő és értelmezésre szoruló pontok is az ajánlásban.
- Az EU adatvédelmi rendeletével (GDPR) összhangban a személyes adatok védelme jelentős hangsúlyt kapott, valamint megfigyelhető az adatvédelmi jogszabályokból és NAIH ajánlásokból már ismert követelmények felbukkanása. Kiemelendő a mentések tekintetében az adattörlési kötelezettség átvétele, melynek technológiai megvalósítása továbbra is kérdéseket vet fel.
- A közelmúltban megkezdett és az idei évben 10 pénzintézetnél tervezett, a kockázatelemzést érintő célvizsgálat már előrevetítette és az ajánláson is visszatükröződik, hogy az MNB kiemelt hangsúlyt kíván a közeljövőben a területnek szentelni.
A továbbiakban – a teljesség igénye nélkül – a lényegesebb és érdekesebb változásokat emeltük ki az ajánlásból.
Kockázatfelmérés
3.3.1. Az intézmény a kockázatfelmérés során azonosított és osztályozott kockázatok kezelésére dokumentált és elfogadott intézkedési tervvel rendelkezik. Azokat a kockázatokat, amelyeket az intézmény nem kezel, dokumentáltan felvállalja. Az intézmény nem vállalhat fel jogszabályi rendelkezések betartásával kapcsolatos kockázatokat.
3.3.3. Az intézmény a feladatok végrehajtását – a kockázatok mértékével és az erőforrás igényekkel összhangban – egyértelmű véghatáridők meghatározásával ütemezi, valamint kijelöli a felelősöket. A véghatáridők nem nyúlhatnak túl a következő kockázatelemzés előírt időpontján.
Beszerzés
4.2.2. Az intézmény az informatikai szabályozási rendszerében rendelkezik a beszerzés szabályairól és eljárásrendjéről.
4.2.3. Az intézmény az informatikai szabályozási rendszerében rendelkezik arról, hogy a rendszerek és szolgáltatások beszerzése esetén a szerződésbe – szerződés típusonként – milyen kötelező szerződési elemeket foglaljon.
Tesztelés és változáskezelés
4.4.2. Adatkezelőként mindenkor biztosítani kell az adatok célhoz kötött kezelését. A fejlesztési és tesztelési célok nem azonosak azzal a céllal, amellyel az ügyféladat, illetve a pénzügyi ágazati titok körébe tartozó adatok felvételre kerültek, ezért gondoskodni kell arról, hogy a kezelt adatok sértetlensége, bizalmassága és rendelkezésre állása is biztosított legyen. Ez azt jelenti, hogy az eltérő célú adatkezelés során nem elégséges a környezetek fizikai szeparációjáról gondoskodni (hiszen az csak a sértetlenséget és a rendelkezésre állást biztosítják), az adatokat meg kell fosztani azoktól a
jellemzőktől, amelyek okán bizalmasnak minősülnek. Így különösen: az ügyféladatot és a pénzügyi ágazati titok körébe tartozó adatokat felismerhetetlenné kell tenni minden olyan környezetben, amely az éles környezettől elkülönített (így tesztelési vagy fejlesztési) céllal működik.
Kiszervezés
4.5.3. A kiszervezett adatkezelés, adatfeldolgozás vagy adattárolás vonatkozásában az intézmény megfelelő garanciális szabályokat határoz meg, amelyek biztosítják, hogy az ügyfél- vagy pénzügyi ágazati titok körébe tartozó adatot csak az adatkezelés céljának megvalósulásához elengedhetetlen mértékben és ideig kezeljen az adat kezelője, továbbá ezek feldolgozását is a célhoz kötöttség elve alapján szabályozza.
4.5.4. Kiszervezéskor az intézmény gondoskodik az érintettek megfelelő tájékoztatásáról, hogy az ügyféladat, illetve pénzügyi ágazati titok körébe tartozó adataik vonatkozásában az adatfeldolgozás teljes útja az érintettek számára is követhető és ellenőrizhető legyen.
4.5.6 Az intézmény minden olyan tevékenységét, amely során harmadik fél az ügyfél adataihoz vagy az ügyfél közvetett azonosítására alkalmas adatokhoz bármilyen módon hozzáférhet—függetlenül attól, hogy ezt milyen minőségében és jogalappal teszi – célszerű kiszervezésként kezelni. Ezzel az intézmény proaktív módon biztosítja a transzparenciát a harmadik személyek ügyféladathoz (adott esetben személyes vagy különleges adathoz), illetve pénzügyi ágazati titok körébe tartozó adathoz történő hozzáférései vonatkozásában.
Működésre vonatkozó utasítások
5.1.7 Az intézmény gondoskodik arról, hogy a szolgáltatás-folytonosság biztosítása érdekében az operatív utasítások – megfelelő (fizikai és logikai) hozzáférés-védelem kialakítása mellett – a székhelytől, illetve fő telephelytől eltérő helyszínen is tárolásra kerüljenek.
Szoftver eszközök nyilvántartása
5.2.4. A nyilvántartás a számviteli nyilvántartással megfeleltethető, tartalmazza az intézmény azon eszközein lévő szoftvereket is, amelyek az adott hálózatból nem érhetők el.
Fizikai védelem (előre mutató két pont)
6.2.9.1. Az intézmény a kockázataival arányosan gondoskodhat arról, hogy a kritikus infrastruktúra elemeket koncentráltan tartalmazó helyiségek és tárolók fizikai hozzáférés-védelmének ellenőrző rendszerét az adatvédelmi előírások betartása mellett kamerás megfigyelő és rögzítő rendszerrel is kiegészíti.
6.2.9.2. Az intézmény a kockázataival arányosan gondoskodhat arról, hogy a kritikus infrastruktúra elemeket koncentráltan tartalmazó helyiségek tűzvédelmét automata tűzoltó berendezéssel is kiegészíti.
Határvédelem
7.5.2. Az intézmény gondoskodik a megfelelően szabályozott, üzleti igényekkel alátámasztott, engedélyezett, dokumentált, és rendszeresen – de legkésőbb a kockázatelemzése során – felülvizsgált hálózati kapcsolati szabályrendszerről.
7.5.4. Az intézmény gondoskodik a nem kívánt hálózati kapcsolatok és események automatikus kiszűréséről.
7.5.6. Az intézmény felméri és kezeli az adatátviteli hálózaton megvalósított hangátviteli és multimédiás megoldásainak (például VoIP, SIP) határvédelmét és egyéb biztonságát érintő kockázatait.
Hozzáférési rend
9.3.3. A hozzáférések kezelése során az intézmény azonosítja azokat a jogosultsági objektumokat és erőforrásokat, amelyekhez az informatikai rendszerben definiált felhasználók (fiókok) hozzáférhetnek, és amely felhasználókat folyamatok (például processzek, tárolt eljárások, automatizált tevékenységek) vagy személyek (például munkavállalók, beszállítók, partnerek, ügyfelek) megszemélyesítenek.
9.3.4. Az intézmény a jogosultsági objektumokat és erőforrásokat kockázataik szerint minősíti és csoportosítja. Az intézmény a felhasználói (fiók) hozzáférések módját és szabályait a csoportosítással összhangban állapítja meg.
Mentéssel kapcsolatos adatkezelés
10.5.1. Az intézmény a mentések és archiválások során biztosítja, hogy az adatok a célhoz kötöttség elve szerint az adatvédelmi és az ágazati jogszabályok előírásai szerint kerüljenek tárolásra. A mentések kialakítása során biztosítani kell, hogy az ügyféladatok és a pénzügyi ágazati titok körébe tartozó adatok a csak a jogszabályi előírások szerinti időtartamában kerüljenek tárolásra. Ezt követően az adatokat törölni kell, vagy az adatok ügyféllel történő összekapcsolását visszaállíthatatlanul meg kell szüntetni úgy, hogy az ügyféladat és a pénzügyi ágazati titok körébe tartozó adat az érintettel a továbbiakban ne legyen összefüggésbe hozható, a kapcsolat közöttük ne legyen helyreállítható.
Biztonságtudatossági oktatás
12.2.3. Az intézmény folyamatosan gondoskodik az éles üzemi rendszerek üzemeltetésében részt vevő személyek megfelelő szakmai színvonalon történő biztonságtudatossági képzéséről.
A személyi biztonság munkaügyi szabályozása
12.3.1. Az intézmény azon munkaköröket, amelyek ellátása során a munkavállalók az intézmény üzleti folyamataihoz közvetlenül vagy közvetve hozzáférnek – beleértve a külső vagy harmadik személyek hozzáféréseit is – az adatbesorolás alapján biztonsági osztályba sorolja. Az intézmény informatikai biztonsági szabályozási rendszerében rögzíti a munkakörökhöz rendelt biztonsági osztályokat és az azokhoz tartozó biztonsági kritériumokat.
12.3.2. Az intézmény adott munkakörbe történő munkaerő felvételkor ellenőrzi, hogy az érintett munkavállaló az adott munkakörhöz tartozó biztonsági osztálynak megfelelő biztonsági kritériumokat teljesíti.
Független ellenőrzés
13.1.2. Az intézmény az informatikai biztonsági szabályozási rendszerében rendelkezik az informatikai biztonság független, rendszeres, teljes körű ellenőrzéséről. Függetlenség alatt az értendő, hogy az ellenőrzési terület nem vonható be az ellenőrzendő kontrollintézkedések megtervezésébe, kiválasztásába, implementálásába vagy azok működtetésébe, és nincs alárendelt viszonyban az ellenőrzött területtel.
Naplózás
14.4. Az intézmény a naplózás szabályozási rendszerében kitér legalább
- a) az operációs rendszerek, informatikai hálózat, a szerverek, az alkalmazási rendszerek, adatbázisok, mappastruktúrák, informatikai és hálózati rendszerelemek hozzáférése,
- b) az alkalmazási rendszereiben történő ügyfél- és pénzügyi ágazati titok körébe tartozó adatok (beleértve a tranzakciós adatok) változásai,
- c) az információs és hálózati rendszerelemek beállításai, paraméterezései naplózására és naplókiértékelésére.