Post on 22-Jan-2020
Informatikai felügyelet
Biztosítási szakmai konzultáció
Célok és módszerek
Gaidosch Tamás
2016.12.19.
Tartalom
• Az Informatikai felügyelet
• Felügyeleti eszközök
• Gyakorlat és tapasztalat
• Hasznos tippek
• Kérdések
Magyar Nemzeti Bank 2
Az Informatikai felügyelet
• 2000-től működik • Jelenleg főosztály • Létszámkeret: 15 fő
Informatikai
felügyeleti főosztály
Speciális kompetencia
igazgatóság
Informatikai
felügyeleti osztály
Informatikai
vizsgálati osztály
Üzleti modell
főosztály
Validáció és SREP
főosztály
Magyar Nemzeti Bank 3
Az Informatikai felügyelet
• Célja: a felügyelt intézmények informatikai megfelelőségének biztosítása
• Mit jelent a „megfelelőség”? • Bit. (2014. évi LXXXVIII. törvény a biztosítási
tevékenységről) és más ágazati törvények • 42/2015. Kormányrendelet a pénzügyi intézmények, a
biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről
• Az MNB1/2015. számú ajánlása az informatikai rendszer védelméről
• Az MNB 15/2015. számú ajánlása az interneten keresztül nyújtott pénzügyi szolgáltatások biztonságáról
• Szakmai standardok: ISO 27001, COBIT
Az IT prudens, megbízható és biztonságos működése
Magyar Nemzeti Bank 4
Prudens
„A cselekvés minden útja kockázatos,
az elővigyázatosság tehát nem a veszély
kerülésében rejlik (ami lehetetlen),
hanem a kockázat kiszámításában és a
határozott cselekvésben.”
Niccolo Machiavelli
Magyar Nemzeti Bank 5
Biztonságos
Magyar Nemzeti Bank 6
Stratégiai irányok
• Új területekre új módszerekkel • prudenciális szempontból nagyobb haszon • nagyobb bizonyosság
• Új kompetenciák fejlesztése / bevonása • adatelemzés • üzletifolyamat-elemzés
• visszaélési kockázatok elemzése
• Soft law eszközök
• Együttműködés javítása • külső • belső
Magyar Nemzeti Bank 7
A felügyelt intézmények
Magyar Nemzeti Bank 8
Felügyeleti eszközök
Felügyelés
Helyszíni (on-site)
Átfogó vizsgálat
Célvizsgálat Témavizsgála
t Utóvizsgála
t
Helyszínen kívüli (off-site)
Szabályozás Adatszolgálta-tás alapú intézkedés
Prudenciális
megbeszélés
Egyéb eszközök (soft law)
Magyar Nemzeti Bank 9
Vizsgálatok
• Éves vizsgálati terv • Ad-hoc vizsgálatok • Módszertan • Fókuszterületek
Tervezett Ad-hoc
Magyar Nemzeti Bank 10
Módszertan
Magyar Nemzeti Bank 11
COBIT: Control Objectives for IT
“We never got it right, in all these years, with the COBIT control objectives”
Eric Guldentops, 2011
COBIT 4.1
kontroll célkitűzések
Val IT / Risk IT
folyamtok
COBIT 5
irányítási és
menedzsment
gyakorlatok
COBIT 4.1
kontroll gyakorlatok
Val IT / Risk IT
menedzsment
gyakorlatok
COBIT 5
tevékenységek
Magyar Nemzeti Bank 12
Vizsgálati területek
• IT biztonsági vizsgálat
• Üzleti folyamatok IT támogatottságának vizsgálata*
• IT stratégiai vizsgálat*
• Visszaélési kockázatok vizsgálata*
• Általános IT kontrollok ellenőrzése
• Specifikus IT biztonsági kontrollok ellenőrzés Infrastruktúra
Üzleti
alkalmazások
Magyar Nemzeti Bank 13
Mire keressük a választ?
Vizsgálat Kérdés
IT biztonsági Biztonságosan működik-e az IT?
Jogszabályoknak megfelel-e az IT?
Üzleti folyamat támogatottsági Alkalmazások jól kontrolláltak?
Megbízhatunk-e a számokban?
Adatok integritása biztosított?
IT stratégiai Üzleti stratégia megvalósítható?
CAPEX/OPEX reális?
Nincs túl nagy kockázat a projektekben?
Csalás kockázati Megfelelően csökkenti az IT a csalás kockázatát?
Magyar Nemzeti Bank 14
IT biztonsági vizsgálat: megközelítés
• Számla
• Hitel
• Értékpapír
• Bankkártya
• Elektronikus csatornák
• Védelmi
tűzfalak, IDS/IPS
vírusvédelmi
adatszivárgás elleni
naplózó
központi jogosultságkezelő
• Jogosultság-kezelés
• Változáskezelés
• BCP/DRP
• Incidenskezelés
• Kockázatkezelés
• Fejlesztés
• Stratégia
• Projektvezetés
• Naplóelemzés
• Irányítás (Governance)
• Számviteli
• Távadatátviteli
• Adattárház
• Fióki (front-end)
• Program-menedzsment
• Tesztelés
• Beszerzés
• Infrastruktúra-menedzsment
• Archiválás
Magas kockázat
Közepes kockázat
Rendszer Folyamat
Magyar Nemzeti Bank 15
IT biztonsági vizsgálat: módszerek
• Dokumentáció vizsgálata • Rendben vannak-e a papírok? • Jogszabályi megfelelés dokumentáltsága
• Mintavétel és tesztelés folyamatok mentén • Tényleg úgy dolgoznak-e, ahogy lepapírozták? • Valójában jól dolgoznak-e?
• Konfigurációk vizsgálata • Biztonsági beállítások tételes vizsgálata
Magyar Nemzeti Bank 16
Üzleti folyamatok IT támogatottságának vizsgálata: módszer
Vizsgálandó folyamatok kockázat alapú kiválasztása
Folyamat felmérése
Közreműködő rendszerek azonosítása
Adatáramlások felmérése (interfészek)
Kontrollok azonosítása és értékelése
Dokumentáció és következtetés
Alkalmazás szintű kontrollok
Interfész kontrollok
Szubsztantív eljárások (opcionális)
Magyar Nemzeti Bank 17
IT stratégiai vizsgálat: módszer
Üzleti stratégiai célok megismerése
IT stratégiai célok megismerése
Korreláció
Projekt portfolió áttekintése
CAPEX/OPEX tervek értékelése
Dokumentáció és következtetés
Magas kockázatú projektek azonosítása
Magyar Nemzeti Bank 18
Visszaélési kockázatok vizsgálata: megközelítés
(vélt) lehetőség
motiváció / nyomás racionalizálás
Visszaélés
Visszaélés háromszög (Fraud Triangle)
Magyar Nemzeti Bank 19
Visszaélési kockázatok vizsgálata: módszer
Magas kockázatú alkalmazások/funkciók azonosítása
Jogosultságok vizsgálata
Naplózás vizsgálata
Gyanús tranzakciók keresése
Dokumentáció és következtetés
Adatelemzés
Magyar Nemzeti Bank 20
Adatelemzés
Magyar Nemzeti Bank 21
Termékek azonosítása és
folyamatfelmérés
Adatforrások, adattáblák azonosítása
Adatbekérések
Átvett adatok ellenőrzése, egyeztetés a
megkapott adatokról
Újra-bekérés az egyeztetés alapján
Javított adatok ellenőrzése
Számítások elvégzése, eltérések
azonosítása
Egyeztetés az elvégzett
számításokról, eltérésekről
Eltérések magyarázatának
bekérése
Mintavételes tesztelés
Problémák • Mekkora legyen a minta? • Mi legyen a mintavétel módszere? • Milyen eséllyel találunk hibás tételt? • Mit tegyünk, ha hibás tételt találtunk? • Mit tegyünk, ha visszaélésre gyanakszunk?
Magyar Nemzeti Bank 22
Helyes
Hibás
Tesztelt
Teljes populációs tesztelés
Magyar Nemzeti Bank 23
Helyes
Hibás
Tesztelt
Problémák • Ki ért hozzá? • Mekkora lesz a ráfordítás? • Hogyan automatizáljuk?
Összehasonlítás
Magyar Nemzeti Bank 24
Kockázatértékelés szükséges Kockázatértékelés nem szükséges (máshol szükséges)
Bizonyosság a mintaméret függvénye
Maximális bizonyosság
A mintavétel nem mindig
szakszerű (az eredmény félrevezető lehet)
Nem merül fel a probléma
Nem egyértelmű teendők gyanús tételek esetén
Egyértelmű teendők gyanús tételek esetén
Könnyebb végrehajtani Nehéz végrehajtani
Kézi módszerek alkalmazhatók Kézi módszerek ritkán alkalmazhatók
Mintavétel Teljes populáció
Milyen vizsgálatokat nem végzünk?
• Titkos vizsgálatok
• Hacker eszközökkel végzett vizsgálatok • Vulnerability scan • Exploitation
• IT visszaélés-felderítési vizsgálatok
Magyar Nemzeti Bank 25
Tipikus problémák
• Jogosultságkezelés gyengeségei
• Naplóelemzés alacsony hatásossága
• DRP (katasztrófahelyzet) felkészülés hiányosságai
• Kockázatelemzés hiányosságai
• Kiszervezéssel kapcsolatos félreértések
Magyar Nemzeti Bank 26
„Feltörekvő” problémák
• Felhőbe való kiszervezés
• Shadow IT
• MDM (mobileszköz-menedzsment) hiánya
• Erőforráshiány
Magyar Nemzeti Bank 27
Hasznos tippek a felügyeleti vizsgálathoz
• Felkészülés • Ne gyártsunk fiktív vagy irreleváns dokumentumokat • A „nincs ilyen” nem feltétlenül rossz válasz
• Helyszíni szakasz • Tartsuk a menetrendet (interjúk és adatkérések) • Küldjünk releváns és felkészült kollégákat az interjúkra • Ne beszéljünk mellé és főleg ne akadályozzunk • Érdemes érvelni, visszakérdezni, pontosítást kérni • Biztosítsuk a technikai feltételeket
• Jelentés • Záró megbeszélés fontossága • Érdemes a véleményezési lehetőséget kihasználni,
tévedésekre rávilágítani, hiányzó bizonyítékokat pótolni
Magyar Nemzeti Bank 28
Összefoglalva
• Az IT Felügyelet a felügyelt intézmények informatikájának prudens, megbízható és biztonságos működését támogatja és ellenőrzi
• Hangsúlyos az IT biztonság vizsgálata (jogszabály alapján)
• Új területeket is vizsgálunk: üzleti folyamatok IT támogatottsága, IT stratégia, visszaélés kockázata
• Adatelemzés
• Nem hekkerkedünk
• Nem nyomozunk
Magyar Nemzeti Bank 29
Köszönöm a figyelmet!