élok és módszerek iztosítási szakmai konzultáció · •infrastruktúra-menedzsment...

Informatikai felügyelet

Biztosítási szakmai konzultáció

Célok és módszerek

Gaidosch Tamás

2016.12.19.

Tartalom

• Az Informatikai felügyelet

• Felügyeleti eszközök

• Gyakorlat és tapasztalat

• Hasznos tippek

• Kérdések

Magyar Nemzeti Bank 2

Az Informatikai felügyelet

• 2000-től működik • Jelenleg főosztály • Létszámkeret: 15 fő

Informatikai

felügyeleti főosztály

Speciális kompetencia

igazgatóság

Informatikai

felügyeleti osztály

Informatikai

vizsgálati osztály

Üzleti modell

főosztály

Validáció és SREP

főosztály

Magyar Nemzeti Bank 3

Az Informatikai felügyelet

• Célja: a felügyelt intézmények informatikai megfelelőségének biztosítása

• Mit jelent a „megfelelőség”? • Bit. (2014. évi LXXXVIII. törvény a biztosítási

tevékenységről) és más ágazati törvények • 42/2015. Kormányrendelet a pénzügyi intézmények, a

biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről

• Az MNB1/2015. számú ajánlása az informatikai rendszer védelméről

• Az MNB 15/2015. számú ajánlása az interneten keresztül nyújtott pénzügyi szolgáltatások biztonságáról

• Szakmai standardok: ISO 27001, COBIT

Az IT prudens, megbízható és biztonságos működése

Magyar Nemzeti Bank 4

Prudens

„A cselekvés minden útja kockázatos,

az elővigyázatosság tehát nem a veszély

kerülésében rejlik (ami lehetetlen),

hanem a kockázat kiszámításában és a

határozott cselekvésben.”

Niccolo Machiavelli

Magyar Nemzeti Bank 5

Biztonságos

Magyar Nemzeti Bank 6

Stratégiai irányok

• Új területekre új módszerekkel • prudenciális szempontból nagyobb haszon • nagyobb bizonyosság

• Új kompetenciák fejlesztése / bevonása • adatelemzés • üzletifolyamat-elemzés

• visszaélési kockázatok elemzése

• Soft law eszközök

• Együttműködés javítása • külső • belső

Magyar Nemzeti Bank 7

A felügyelt intézmények

Magyar Nemzeti Bank 8

Felügyeleti eszközök

Felügyelés

Helyszíni (on-site)

Átfogó vizsgálat

Célvizsgálat Témavizsgála

t Utóvizsgála

t

Helyszínen kívüli (off-site)

Szabályozás Adatszolgálta-tás alapú intézkedés

Prudenciális

megbeszélés

Egyéb eszközök (soft law)

Magyar Nemzeti Bank 9

Vizsgálatok

• Éves vizsgálati terv • Ad-hoc vizsgálatok • Módszertan • Fókuszterületek

Tervezett Ad-hoc

Magyar Nemzeti Bank 10

Módszertan

Magyar Nemzeti Bank 11

COBIT: Control Objectives for IT

“We never got it right, in all these years, with the COBIT control objectives”

Eric Guldentops, 2011

COBIT 4.1

kontroll célkitűzések

Val IT / Risk IT

folyamtok

COBIT 5

irányítási és

menedzsment

gyakorlatok

COBIT 4.1

kontroll gyakorlatok

Val IT / Risk IT

menedzsment

gyakorlatok

COBIT 5

tevékenységek

Magyar Nemzeti Bank 12

Vizsgálati területek

• IT biztonsági vizsgálat

• Üzleti folyamatok IT támogatottságának vizsgálata*

• IT stratégiai vizsgálat*

• Visszaélési kockázatok vizsgálata*

• Általános IT kontrollok ellenőrzése

• Specifikus IT biztonsági kontrollok ellenőrzés Infrastruktúra

Üzleti

alkalmazások

Magyar Nemzeti Bank 13

Mire keressük a választ?

Vizsgálat Kérdés

IT biztonsági Biztonságosan működik-e az IT?

Jogszabályoknak megfelel-e az IT?

Üzleti folyamat támogatottsági Alkalmazások jól kontrolláltak?

Megbízhatunk-e a számokban?

Adatok integritása biztosított?

IT stratégiai Üzleti stratégia megvalósítható?

CAPEX/OPEX reális?

Nincs túl nagy kockázat a projektekben?

Csalás kockázati Megfelelően csökkenti az IT a csalás kockázatát?

Magyar Nemzeti Bank 14

IT biztonsági vizsgálat: megközelítés

• Számla

• Hitel

• Értékpapír

• Bankkártya

• Elektronikus csatornák

• Védelmi

tűzfalak, IDS/IPS

vírusvédelmi

adatszivárgás elleni

naplózó

központi jogosultságkezelő

• Jogosultság-kezelés

• Változáskezelés

• BCP/DRP

• Incidenskezelés

• Kockázatkezelés

• Fejlesztés

• Stratégia

• Projektvezetés

• Naplóelemzés

• Irányítás (Governance)

• Számviteli

• Távadatátviteli

• Adattárház

• Fióki (front-end)

• Program-menedzsment

• Tesztelés

• Beszerzés

• Infrastruktúra-menedzsment

• Archiválás

Magas kockázat

Közepes kockázat

Rendszer Folyamat

Magyar Nemzeti Bank 15

IT biztonsági vizsgálat: módszerek

• Dokumentáció vizsgálata • Rendben vannak-e a papírok? • Jogszabályi megfelelés dokumentáltsága

• Mintavétel és tesztelés folyamatok mentén • Tényleg úgy dolgoznak-e, ahogy lepapírozták? • Valójában jól dolgoznak-e?

• Konfigurációk vizsgálata • Biztonsági beállítások tételes vizsgálata

Magyar Nemzeti Bank 16

Üzleti folyamatok IT támogatottságának vizsgálata: módszer

Vizsgálandó folyamatok kockázat alapú kiválasztása

Folyamat felmérése

Közreműködő rendszerek azonosítása

Adatáramlások felmérése (interfészek)

Kontrollok azonosítása és értékelése

Dokumentáció és következtetés

Alkalmazás szintű kontrollok

Interfész kontrollok

Szubsztantív eljárások (opcionális)

Magyar Nemzeti Bank 17

IT stratégiai vizsgálat: módszer

Üzleti stratégiai célok megismerése

IT stratégiai célok megismerése

Korreláció

Projekt portfolió áttekintése

CAPEX/OPEX tervek értékelése

Dokumentáció és következtetés

Magas kockázatú projektek azonosítása

Magyar Nemzeti Bank 18

Visszaélési kockázatok vizsgálata: megközelítés

(vélt) lehetőség

motiváció / nyomás racionalizálás

Visszaélés

Visszaélés háromszög (Fraud Triangle)

Magyar Nemzeti Bank 19

Visszaélési kockázatok vizsgálata: módszer

Magas kockázatú alkalmazások/funkciók azonosítása

Jogosultságok vizsgálata

Naplózás vizsgálata

Gyanús tranzakciók keresése

Dokumentáció és következtetés

Adatelemzés

Magyar Nemzeti Bank 20

Adatelemzés

Magyar Nemzeti Bank 21

Termékek azonosítása és

folyamatfelmérés

Adatforrások, adattáblák azonosítása

Adatbekérések

Átvett adatok ellenőrzése, egyeztetés a

megkapott adatokról

Újra-bekérés az egyeztetés alapján

Javított adatok ellenőrzése

Számítások elvégzése, eltérések

azonosítása

Egyeztetés az elvégzett

számításokról, eltérésekről

Eltérések magyarázatának

bekérése

Mintavételes tesztelés

Problémák • Mekkora legyen a minta? • Mi legyen a mintavétel módszere? • Milyen eséllyel találunk hibás tételt? • Mit tegyünk, ha hibás tételt találtunk? • Mit tegyünk, ha visszaélésre gyanakszunk?

Magyar Nemzeti Bank 22

Helyes

Hibás

Tesztelt

Teljes populációs tesztelés

Magyar Nemzeti Bank 23

Helyes

Hibás

Tesztelt

Problémák • Ki ért hozzá? • Mekkora lesz a ráfordítás? • Hogyan automatizáljuk?

Összehasonlítás

Magyar Nemzeti Bank 24

Kockázatértékelés szükséges Kockázatértékelés nem szükséges (máshol szükséges)

Bizonyosság a mintaméret függvénye

Maximális bizonyosság

A mintavétel nem mindig

szakszerű (az eredmény félrevezető lehet)

Nem merül fel a probléma

Nem egyértelmű teendők gyanús tételek esetén

Egyértelmű teendők gyanús tételek esetén

Könnyebb végrehajtani Nehéz végrehajtani

Kézi módszerek alkalmazhatók Kézi módszerek ritkán alkalmazhatók

Mintavétel Teljes populáció

Milyen vizsgálatokat nem végzünk?

• Titkos vizsgálatok

• Hacker eszközökkel végzett vizsgálatok • Vulnerability scan • Exploitation

• IT visszaélés-felderítési vizsgálatok

Magyar Nemzeti Bank 25

Tipikus problémák

• Jogosultságkezelés gyengeségei

• Naplóelemzés alacsony hatásossága

• DRP (katasztrófahelyzet) felkészülés hiányosságai

• Kockázatelemzés hiányosságai

• Kiszervezéssel kapcsolatos félreértések

Magyar Nemzeti Bank 26

„Feltörekvő” problémák

• Felhőbe való kiszervezés

• Shadow IT

• MDM (mobileszköz-menedzsment) hiánya

• Erőforráshiány

Magyar Nemzeti Bank 27

Hasznos tippek a felügyeleti vizsgálathoz

• Felkészülés • Ne gyártsunk fiktív vagy irreleváns dokumentumokat • A „nincs ilyen” nem feltétlenül rossz válasz

• Helyszíni szakasz • Tartsuk a menetrendet (interjúk és adatkérések) • Küldjünk releváns és felkészült kollégákat az interjúkra • Ne beszéljünk mellé és főleg ne akadályozzunk • Érdemes érvelni, visszakérdezni, pontosítást kérni • Biztosítsuk a technikai feltételeket

• Jelentés • Záró megbeszélés fontossága • Érdemes a véleményezési lehetőséget kihasználni,

tévedésekre rávilágítani, hiányzó bizonyítékokat pótolni

Magyar Nemzeti Bank 28

Összefoglalva

• Az IT Felügyelet a felügyelt intézmények informatikájának prudens, megbízható és biztonságos működését támogatja és ellenőrzi

• Hangsúlyos az IT biztonság vizsgálata (jogszabály alapján)

• Új területeket is vizsgálunk: üzleti folyamatok IT támogatottsága, IT stratégia, visszaélés kockázata

• Adatelemzés

• Nem hekkerkedünk

• Nem nyomozunk

Magyar Nemzeti Bank 29

Köszönöm a figyelmet!