Gondolatok a PSZÁF 6/2013. számú ajánlásáról az információbiztonság szemszögéből

Home  /  Blog  /  Gondolatok a PSZÁF 6/2013. számú ajánlásáról az információbiztonság szemszögéből

© 2015 június 20 , By ,

A Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) 2013. március 11-én adta ki 6/2013. (III. 11.) számú, a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról szóló ajánlását. A teljesség igénye nélkül, elődjéhez képest az ajánlás az informatikai irányítás és információbiztonság szemszögéből két lényeges fejezettel bővült. Egyrészt részletesen kitér a „Kiszervezés, külső szakértők igénybevételének szabályaira”, másrészt részletezi a „Vészhelyzeti és üzletmenet-folytonossági tervek, helyreállítási tervekkel” kapcsolatos felügyeleti elvárásokat. Jelen blogbejegyzésben röviden ezen változások bemutatására vállalkozunk.

A Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) 2013. március 11-én adta ki 6/2013. (III. 11.) számú, a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról szóló ajánlását. Az ajánlás a PSZÁF 11/2006. számú ajánlására épül, helyezi egyben hatályon kívül, és azt “az időközben bekövetkezett hazai szabályozási környezet sajátosságaiból fakadó változások” alapján fejleszti tovább. Az ajánlás kötelező erővel nem rendelkezik, azonban a Felügyelet álláspontja szerint tartalma kifejezi a jogszabályok által támasztott követelményeket, a Felügyelet jogalkalmazási gyakorlata alapján alkalmazni javasolt elveket, illetve módszereket, a piaci szabványokat és szokványokat, tehát a Felügyelet kvázi jogértelmezésének minősül így ajánlásnak való megfelelés jelentősen egyszerűbbé teszi a PSZÁF auditon való megfelelés elérését. Az ajánlásban megfogalmazott javaslatok megvalósítását és alkalmazását erősen ajánljuk valamennyi pénzügyi szervezet részére.

A teljesség igénye nélkül, elődjéhez képest az ajánlás az informatikai irányítás és információbiztonság szemszögéből két lényeges fejezettel bővült. Egyrészt részletesen kitér a „Kiszervezés, külső szakértők igénybevételének szabályaira”, másrészt részletezi a „Vészhelyzeti és üzletmenet-folytonossági tervek, helyreállítási tervekkel” kapcsolatos felügyeleti elvárásokat. Érdekesség, hogy mind a két fejezet az ajánlás végén „A belső védelmi vonalak kialakításának és működtetésének speciális kérdései” pontban kapott helyett. (Zárójelben jegyzem meg, hogy míg a kiszervezésre vonatkozó pont teljesen beillik az ajánlás logikai struktúrájába, hiszen a védelmi vonalak, kontroll funkciók kiszervezés esetén történő érvényesítését taglalja, ezzel szemben az üzletmenet-folytonosság tervezéssel kapcsolatos rendelkezések ajánlásba emelését rendszer idegennek érzem, bár kifejezetten örülök neki.)

A kiszervezés, külső szakértők igénybe vételével kapcsolatos rendelkezések közül kiemelendő, hogy az ajánlás értelmében a „Felügyelet elvárja, hogy az intézmény/csoport rendelkezzen az intézmény vezetése által jóváhagyott kiszervezési politikával.” A politikában a szervezet szükséges, hogy rögzítse:
• azon szolgáltatásait, tevékenységeit és funkcióit, amelyet ki kíván szervezni és értékelje a kiszervezésnek az intézmény vagy a csoport működésére gyakorolt hatásait és kockázatait,
• valamint rögzítse a kiszervezési tevékenységgel összefüggésben felmerülő belső irányítási és kontroll követelményeket.

A politikát minimum 5 évente, vagy jelentősebb változás esetén kell aktualizálni. A további pontok csupán megerősítik az ágazati jogszabályokból korábbról már ismert követelményeket (funkcióért, tevékenységért való felelősség továbbra is a szervezet vezetésénél marad, ellenőrzés lehetővé tétele, stb.)

Az üzletmenet-folytonosság tervezés tekintetében az ajánlás kiemeli, hogy a Felügyelet elvárja, hogy a pénzügyi szervezetek a válsághelyzetekre való felkészülés érdekében a jogszabályi előírások által megkövetelt vészhelyzeti és üzletmenet-folytonossági tervek mellett, intézményi és csoport szintű helyreállítási tervet is kidolgozzanak.

A pénzügyi szervezetek informatikai rendszereinek védelméről szóló 1/2007-es számú Felügyeleti ajánlás az ágazati jogszabályok alapján („pénzügyi szervezetnek rendelkeznie kell a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítő egyéb – a tevékenységek, illetve szolgáltatások folytonosságát biztosító – megoldásokkal”) korábban már részletesen foglalkozott a témakörrel. Röviden összefoglalva előírta egy informatikai folyamatossági keretrendszer valamint folyamatossági tervek megalkotását, melyek az üzletmenet-folytonossági terv alapján rögzítik a feladat és felelősségi köröket, az alkalmazandó eljárásokat, tartalék berendezéseket, valamint a katasztrófa esemény bekövetkezése után alkalmazandó visszaállítási eljárásrendet. Az ajánlás kimondta, hogy „a folyamatossági tervben meg kell határozni a katasztrófa-helyzet utáni helyreállításhoz szükséges kritikus fontosságú alkalmazási programokat, külső szolgáltatókat, operációs rendszereket, munkatársakat és készleteket, adatállományokat és a katasztrófa utáni visszaállításhoz szükséges időt. A vezetésnek gondoskodnia kell arról, hogy a folyamatossági módszertan alternatív tartalék telephelyek és hardverek meghatározását is előírja és egy végleges alternatíva is ki legyen választva.”

A 6/2013. számú ajánlásban a fenti vészhelyzeti és üzletmenet-folytonossági tervektől egyértelműen elkülönítésre kerül a szervezeti szintű helyreállítási terv:

„A Felügyelet elvárja, hogy a pénzügyi szervezetek a válsághelyzetekre való felkészülés érdekében a jogszabályi előírások által megkövetelt vészhelyzeti és üzletmenet-folytonossági tervek mellett, intézményi és csoport szintű helyreállítási tervet is kidolgozzanak.
A vészhelyzeti és üzletmenet-folytonossági tervekben az intézmény azokat a potenciális intézkedéseit tekinti át, amelyek vészhelyzet bekövetkezése esetén a legfontosabb üzleti tevékenységek (például nyilvántartási folyamatok), funkciók (például IT, kommunikációs rendszerek működése, stb.) folyamatos működésének fenntartása érdekében szükségesek.
A helyreállítási terv készítése keretében felmérésre kerül, hogy az egyes rendszer-, intézményi- vagy csoport szinten jelentkező stressz helyzetek kezelésére (állami segítségnyújtás igénybe vétele nélkül) milyen eszközök állhatnak az intézmény/csoport rendelkezésére a normál üzleti tevékenység keretei közé való visszatérés érdekében, illetőleg, hogy azokat miként tudják alkalmazni.”

Az elkülönítést véleményem szerint indokolja az Európai Bankfelügyeleti Bizottság (EBA) 2013. januári ajánlása a helyreállítási tervek elkészítéséről, valamint az EBA belső irányítás témában kiadott ajánlása, mely szintén előírja a helyreállítási tervek elkészítését. Az EBA ajánlások alapján a Felügyelet kidolgozta és publikálta a helyreállítási tervre vonatkozó módszertani útmutatóját. A módszertan a helyreállítási terv célja a pénzügyi helyzet helyreállítása a fizetőképesség megroppanásának esetére, viszont előírja, hogy minden azonosított stressz szituációhoz a szervezet vészhelyzeti és üzletmenet-folytonossági tervet dolgozzon ki.

Szintén fontosnak tartom kiemelni, hogy bár az ajánlás a szervezeti szintű helyreállítási tervek évenkénti felülvizsgálatát előírja, viszont informatikai vészhelyzeti tervek évenkénti tesztelése csak az intézményi IT kockázatfelmérés alapján kritikusnak minősített üzleti folyamatokat támogató informatikai erőforrások vonatkozásában írja elő!

Összefoglalva, a fentiek alapján javasoljuk, amennyiben nem áll rendelkezésre, egy kiszervezési politika megalkotását, valamint a kritikus informatikai rendszerek helyreállításának eljárásrendjét tartalmazó DR terveken túl, egy szervezeti szintű helyreállítási terv megalkotásához szükséges tervezési és felmérési munkálatok megkezdését.