A 2014. január 1-jén hatályba lépett és jelenleg is hatályos a pénzügyi intézmények, a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 535/2013. (XII. 30.) Kormányrendelet tartalmazza a pénzügyi szektor szereplőinek informatikai rendszereivel szemben támasztott elvárásokat. E kormányrendelet hatálya azonban nem terjed ki a biztosítókra és viszontbiztosítókra. Ez azonban megváltozik 2016. január 1-jével, amikor hatályba lép az új kormányrendelet, a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Kormányrendelet, amelynek hatálya már ezekre az intézményekre is ki fog terjedni.
Jelen blogbejegyzésünk apropóját azonban nem a 42/2015. Kormányrendelet adja, hiszen utóbbi – a hatály biztosítókra és viszontbiztosítókra történő kiterjesztésén túl – jelentős újdonsággal nem fog járni.
Jóval érdekesebb az, hogy a Kormány nemrég közzétette azt a tervezetet, amellyel módosítaná a majd 2016. január 1-jén hatályba lépő új 42/2015. Kormányrendeletet (Tervezet). A Tervezet részletesen meghatározza az utóbbi kormányrendelet hatálya alá tartozó intézmények informatikai rendszerét tanúsító szervezetekkel szembeni elvárásokat és a rendszeres felülvizsgálatok kötelező tárgyköreit (új 5/A. §). A 42/2015. Kormányrendelet eredeti szövege itt, a Tervezet eredeti szövege itt érhető el.
A Tervezet által a tanúsító szervezetekkel szembeni elvárások
A Tervezet szerint a tanúsító szervezetekkel szembeni elvárások az alábbiak (új 5/A. § (1) bekezdés):
a) a tanúsító szervezet legalább két szakirányú felsőfokú végzettséggel és legalább kétéves igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat,
b) rendelkezik legalább tíz teljes munkaidőben foglalkoztatott munkavállalóval,
c) tagjai (részvényesei) és munkavállalói közül legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal,
d) a tanúsító szervezet szakmai felelősségbiztosítással rendelkezik,
e) a tanúsító szervezetet az MNB nyilvántartásba vette, mint az e §-nak eleget tevő tanúsító szervezetet és a megfelelést az MNB részére a tanúsító szervezet évente igazolja,
f) informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditált státuszt igazoló okirattal, ha az általa vizsgálni kívánt rendszer mérete ezt megköveteli,
g) informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditáció alapján végzett – bármilyen ágazatból származó – legalább 3 referenciával.
A Tervezet szerint a tanúsító szervezeteknek az ágazati jogszabályokban foglaltakon kívül legalább a következőket kell a rendszeres felülvizsgálaton megvizsgálniuk és szakértői jelentésükben részletezniük (új 5/A. § (2) bekezdés):
a) az informatikai rendszer logikai védelmi intézkedéseinek teljesítési vizsgálata,
b) az informatikai rendszer logikai védelmének ellenőrzése hardver és szoftver vonatkozásában, valamint
c) az informatikai rendszer logikai védelmére használt szoftver termék beállításainak, telepítésének és üzemeltetésének ellenőrzése.
A Tervezet szerint a tanúsító szervezetek a tanúsítás során legfeljebb 25% mértékig lesznek jogosultak alvállalkozót igénybe venni (új 5/A. (3) bekezdés).
A Tervezet arra is kitér, hogy a bizalmas információk és a nagy tömegű személyes adatok védelme érdekében a tanúsító szervezeteknek biztonsági szabályzattal, tanúsított informatikabiztonsági irányítási rendszerrel kell rendelkezniük. A tanúsító szervezeteknek rendelkezniük kell a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephely-biztonsági tanúsítvánnyal, valamint szerepelniük kell a Magyar Nemzeti Bank nyilvántartásában, mint a jogszabályok rendelkezéseinek megfelelő megbízható tanúsító szervezet (új 5/A. § (4) bekezdés).
Ami a Nemzeti Biztonsági Felügyelet által kiállított telephely biztonsági tanúsítványt illeti, ez határozza meg azt, hogy a tanúsító szervezet milyen legmagasabb minősítési szintű minősített adat kezelésére alkalmas (2009. évi CLV. törvény 3. § 15. pontja és 16. § (3) bekezdés).
A tanúsító szervezetekre vonatkozó ágazati előírások
Ugyanakkor nem volt egyértelmű, hogy a Tervezet által hozott módosítások hogyan illeszkednek a jelenleg hatályos ágazati jogszabályokba, utóbbiakban ugyanis eddig nem volt található közvetlen utalás tanúsító szervezetekre. A Tervezetben hivatkozott ágazati jogszabályok az alábbiak:
- Hpt. (a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény) 67/A. §,
- Fsztv. (az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény) 12/A. §,
- Bit. (biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény) 94. §, és
- Bszt. (a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény) 12. §.
Jelenleg a Hpt.-ben és a Fsztv.-ben a Tervezetben hivatkozott §-ok egyáltalán nem találhatóak meg, míg a Bit.-ben és a Bszt.-ben csak általánosságban van szó informatikai rendszerek védelméről, ugyanakkor tanúsító szervezetekről ezek a szabályok sem szólnak. Ennek magyarázata az, hogy ezeket a rendelkezéseket az Országgyűlés csak a tegnapi napon (2015. június 23-án) fogadta el, a kalandos sorsú egyes törvényeknek a pénzügyi közvetítőrendszer fejlesztésének előmozdítása érdekében történő módosításáról szóló, T/4393. számú törvényjavaslat keretében. A pénzügyi salátatörvény néven elhíresült csomagba kerültek ugyanis bele azok a módosítások, amelyek a fenti ágazati jogszabályokba beemelik a tanúsító szervezetekre vonatkozó szabályokat.
Az Országgyűlés által elfogadott (végleges) T/4393/17. sz. módosító javaslat szerint a Hpt.-ét, az Fsztv.-ét és a Bszt.-ét módosító rendelkezések 2016. január 1-jén, míg a Bszt.-t módosító rendelkezések egy nappal később, 2016. január 2-án lépnek hatályba. Az ágazati jogszabályok módosuló rendelkezései az alábbiak:
Hpt. új 67/A. § [T/4393/17. sz. módosító javaslat 195. §-a]
A Hpt. 27. alcíme a következő 67/A. §-sal egészül ki:
67/A. § (1) A pénzügyi szolgáltatói tevékenység – a kiegészítő pénzügyi szolgáltatás kivételével – végzésére csak olyan informatikai rendszer felhasználásával kerülhet sor, amely biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint észrevétlen módosítását. Az informatikai rendszernek meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében a hitelintézetnek adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell az általános információbiztonsági zártsági követelmények teljesülését.
(2) A (1) bekezdésben meghatározott követelményeknek való megfelelést külső szakértő (a továbbiakban: tanúsító szervezet) által történő, az informatikai rendszerre vonatkozó tanúsítással kell igazolni. Kizárólag a külön jogszabályban meghatározott tanúsító szervezet állíthat ki tanúsítványt az ezer állandó ügyfelet meghaladó ügyfelet nyilvántartó informatikai rendszer esetében. Az informatikai rendszerre vonatkozó követelmények teljesülése kizárólag informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek elfogadott hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására akkreditált tanúsító szervezet által kiállított tanúsítvánnyal igazolható. A tanúsítvány a kiadását követő egy évig érvényes .
(3) A (2) bekezdés szerinti tanúsító szervezet írásban haladéktalanul tájékoztatja a Felügyeletet, ha a hitelintézet informatikai rendszerével kapcsolatosan olyan tényt állapít meg, amely a hitelintézet folyamatos működését kedvezőtlenül érinti vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy a hitelintézet belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlel.
Fsztv. új 12/A. § [T/4393/17. sz. módosító javaslat 184. §-a]
Az Fszt. a következő 12/A. §-sal egészül ki:
12/A. § (1) A fizetési számlavezetésre engedéllyel rendelkező pénzforgalmi intézménynek és elektronikuspénz-kibocsátó intézménynek a tevékenysége végzésére csak olyan informatikai rendszer felhasználásával kerülhet sor, amely biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint észrevétlen módosítását. Az informatikai rendszernek meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében a pénzforgalmi intézménynek és elektronikuspénz-kibocsátó intézménynek adminisztratív, fizikai és logikai intézkedésekkel biztosítani kell az általános információbiztonsági zártsági követelmények teljesülését.
(2) Az (1) bekezdésben meghatározott követelményeknek való megfelelést a tanúsító szervezet által történő, az informatikai rendszerre vonatkozó tanúsítással kell igazolni. Kizárólag a külön jogszabályban meghatározott megbízható tanúsító szervezet állíthat ki tanúsítványt az ezer állandó ügyfelet meghaladó ügyfelet nyilvántartó informatikai rendszer esetében. Az informatikai rendszerre vonatkozó követelmények teljesülése kizárólag informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek elfogadott hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására akkreditált tanúsító szervezet által kiállított tanúsítvánnyal igazolható. A tanúsítvány a kiadását követő egy évig érvényes.
(3) A (2) bekezdés szerinti tanúsító szervezet írásban haladéktalanul tájékoztatja a Felügyeletet, ha a pénzforgalmi intézmény és elektronikuspénz-kibocsátó intézmény informatikai rendszerével kapcsolatosan olyan tényt állapít meg, amely a pénzforgalmi intézmény és elektronikuspénz-kibocsátó intézmény folyamatos működését kedvezőtlenül érinti, vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy a pénzforgalmi intézmény és elektronikuspénz-kibocsátó intézmény belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlel.
Bit. módosított 94. § [T/4393/17. sz. módosító javaslat 283. §-a]
A Bit. 94. §-a a következő (4)-(6) bekezdéssel egészül ki:
(4) A biztosítónak és a viszontbiztosítónak a tevékenysége végzésére csak olyan informatikai rendszer felhasználásával kerülhet sor, amely biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint észrevétlen módosítását. Az informatikai rendszernek meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében a biztosítónak és a viszontbiztosítónak adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell az általános információbiztonsági zártsági követelmények teljesülését.
(5) A (4) bekezdésben meghatározott követelményeknek való megfelelést külső szakértő (a továbbiakban: tanúsító szervezet) által történő, az informatikai rendszerre vonatkozó tanúsítással kell igazolni. Kizárólag a külön jogszabályban meghatározott tanúsító szervezet állíthat ki tanúsítványt az ezer állandó ügyfelet meghaladó ügyfelet nyilvántartó informatikai rendszer esetében. Az informatikai rendszerre vonatkozó követelmények teljesülése kizárólag informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek elfogadott hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására akkreditált tanúsító szervezet által kiállított tanúsítvánnyal igazolható. A tanúsítvány a kiadását követő egy évig érvényes.
(6) Az (5) bekezdés szerinti tanúsító szervezet írásban haladéktalanul tájékoztatja a Felügyeletet, ha a biztosító és a viszontbiztosító informatikai rendszerével kapcsolatosan olyan tényt állapít meg , amely a biztosító és a viszontbiztosító folyamatos működését kedvezőtlenül érinti vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy a biztosító és a viszontbiztosító belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlel.
Bszt. módosított 12. § [T/4393/17. sz. módosító javaslat 83. §-a]
A Bszt. 12. § (1) és (2) bekezdése helyébe a következő rendelkezés lép:
(1) Az 5. § (1) bekezdésének a)-d), valamint f)-h) pontjában meghatározott befektetési szolgáltatási tevékenységet végző, továbbá az 5. § (2) bekezdésének a) és b) pontjában meghatározott kiegészítő szolgáltatást nyújtó befektetési vállalkozás és a 9. § (1) bekezdésében meghatározott tevékenységet végző árutőzsdei szolgáltató kialakítja a tevékenysége ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét, valamint gondoskodik az informatikai rendszer kockázatokkal arányos védelméről.
(2) Az (1) bekezdés szerinti szabályozási rendszerben meg kell határozni az információ-technológiával szemben támasztott követelményeket, a használatából adódó biztonsági kockázatok felmérésére és kezelésére vonatkozó szabályokat az informatikai vállalatirányítás, a tervezés, a fejlesztés és a beszerzés, valamint az üzemeltetés, a monitorozás és független ellenőrzés területén.
A Bszt. 12 . § (4)-(10) bekezdései helyébe a következő rendelkezések lépnek:
(4) Az (1) bekezdésben meghatározott befektetési vállalkozás és árutőzsdei szolgáltató az informatika alkalmazásából fakadó biztonsági kockázatok figyelembevételével meghatározza a szervezeti és működési rendeket, a felelősségi, a nyilvántartási és a tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményéket és szabályokat.
(5) Az (1) bekezdésben meghatározott befektetési vállalkozás és árutőzsdei szolgáltató kiépíti az informatikai rendszere biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működteti.
(6) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább:
a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról,
b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljeskörűségét biztosító ellenőrzésekről, eljárásokról,
c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés-naplózás, rendkívüli események),
d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, valamint lehetőséget nyújt a nem rendszeres események kezelésére is,
e) a távadatátvitel bizalmasságáról, sértetlenségéről és hitelességéről,
f) az adathordozók szabályozott és biztonságos kezeléséről, valamint
g) a rendszer biztonsági kockázattal arányos vírus- és más rosszindulatú program elleni védelméről.
(7) Az (1) bekezdésben meghatározott befektetési vállalkozás és árutőzsdei szolgáltató tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket megvalósítja, és rendelkezik
a) informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel,
b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését – még a szállító, valamint a rendszerfejlesztő tevékenységének megszűnése után is – biztosítja,
c) a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítő egyéb – a tevékenységek, illetve szolgáltatások folytonosságát biztosító – megoldásokkal,
d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és a tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását,
e) az informatikai rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan helyreállítási tervekkel, biztonsági mentésekkel és mentési renddel (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehetővé teszik,
f) jogszabályban meghatározott nyilvántartás ismételt előhívására alkalmas adattároló rendszerrel , amely biztosítja, hogy az archivált anyagokat a jogszabályokban meghatározott ideig, de legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, valamint
g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel.
(8) Az (1) bekezdésben meghatározott befektetési vállalkozásnak és árutőzsdei szolgáltatónak a (7) bekezdés e) pontja szerinti mentéseket kockázati szempontból elkülönítetten és tűzbiztos módon kell tárolnia, valamint gondoskodnia kell a mentések forrásrendszerrel azonos szintű hozzáférési védelméről.
(9) Az (1) bekezdésben meghatározott befektetési vállalkozásnál és árutőzsdei szolgáltatónál mindenkor rendelkezésre kell állnia:
a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek,
b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének,
c) az informatikai rendszer elemeinek a szolgáltató, valamint a központi szerződő fél által meghatározott biztonsági osztályokba sorolási rendszerének,
d) az adatokhoz történő hozzáférési rend meghatározásának,
e) az adatgazda és a rendszergazda kijelölését tartalmazó dokumentumnak,
f) az alkalmazott szoftvereszközök jogtisztaságát bizonyító szerződéseknek, valamint
g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának.
(10) A (7) bekezdésben foglalt szoftvereknek együttesen alkalmasaknak kell lenniük
a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására,
b) a pénzeszközök és a pénzügyi eszközök biztonságos nyilvántartására,
c) a befektetési vállalkozás esetében a pénzügyi eszközök, illetve az árutőzsdei szolgáltatás tárgyának ügyfelenkénti és összesített naprakész nyilvántartására,
d) a befektetési vállalkozás tevékenységével összefüggő országos informatikai rendszerekhez történő közvetlen vagy közvetett csatlakozásra,
e) a tárolt adatok ellenőrzéséhez való felhasználására, valamint
f) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére.
A Bszt. 12. §-a a következő (12)–(14) bekezdéssel egészül ki:
(12) A befektetési vállalkozásnak és az árutőzsdei szolgáltatónak a tevékenysége végzésére csak olyan informatikai rendszer felhasználásával kerülhet sor, amely biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint észrevétlen módosítását. Az informatikai rendszernek meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében a befektetési vállalkozásnak és az árutőzsdei szolgáltatónak adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell a z általános információbiztonsági zártsági követelmények teljesülését.
(13) A (12) bekezdésben meghatározott követelményeknek való megfelelést külső szakértő (a továbbiakban: tanúsító szervezet) által történő, az informatikai rendszerre vonatkozó tanúsítással kell igazolni. Kizárólag a külön jogszabályban meghatározott tanúsító szervezet állíthat ki tanúsítványt az ezer állandó ügyfelet meghaladó ügyfelet nyilvántartó informatikai rendszer esetében. Az informatikai rendszerre vonatkozó követelmények teljesülése kizárólag informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek elfogadott hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására akkreditált tanúsító szervezet által kiállított tanúsítvánnyal igazolható. A tanúsítvány a kiadását követő egy évig érvényes.
(14) A (13) bekezdés szerinti tanúsító szervezet írásban haladéktalanul tájékoztatja a Felügyeletet, ha a befektetési vállalkozás, illetőleg az árutőzsdei szolgáltató informatikai rendszerével kapcsolatosan olyan tényt állapít meg, amely a befektetési vállalkozás, illetőleg az árutőzsdei szolgáltató folyamatos működését kedvezőtlenül érinti vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy a befektetési vállalkozás, illetőleg az árutőzsdei szolgáltató belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlel.”
Ami a pénzügyi szektor informatikai rendszereinek védelmét illeti, érdemes még megemlíteni a Magyar Nemzeti Bank (MNB) 1/2015. számú ajánlását. Ez a 2015. február 25. napján kiadott ajánlás 37. oldalon tartalmaz gyakorlati útmutatást a pénzügyi szervezetek számára az informatikai rendszereik védelmével kapcsolatos jogszabályi kötelezettségeikről.
dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000
Categories: Infokommunikáció
