Hogyan biztosíthatják a pénzügyi intézmények IT-rendszereik és adataik védelmét?

1/2025. (I.13.) számú szabályozás illusztráció

A digitalizáció előretörésével az IT-biztonság kiemelt prioritássá vált a pénzügyi szektorban. Az MNB új ajánlása, az 1/2025. (I.13.) számú szabályozás részletes iránymutatást ad az intézményeknek a jogszabályi megfelelés és a kockázatalapú védelem kialakításában.

I.Tervezés, szervezet, szabályozás, kockázatelemzés

Informatikai tervezés és szervezet

A pénzügyi intézmények számára elengedhetetlen egy átlátható, jól szervezett IT-biztonsági stratégia kialakítása. Ez magában foglalja a vezetőség aktív szerepvállalását az IT-biztonsági stratégiában, az IT-infrastruktúra folyamatos fejlesztését a fenyegetéseknek megfelelően és a munkaköri felelősségek és eljárások világos meghatározását.

Informatikai biztonsági szabályozási rendszer

A belső szabályzatoknak tartalmazniuk kell:

Az adatok védelmére vonatkozó előírásokat, beleértve a titkosítást és a hozzáférési szabályokat.

Az incidenskezelési protokollokat és azok rendszeres tesztelését.

Az auditálási és megfelelőségi eljárásokat.

Kockázatelemzés

Az IT-biztonság alapja a folyamatos kockázatelemzés és -kezelés, mivel egy sikeres kibertámadás pénzügyi és reputációs veszteségeket okozhat. Ennek következménye, hogy az intézmények kötelesek rendszeresen felmérni rendszereik biztonsági kockázatait, a védelmi intézkedéseket pedig a feltárt kockázatokhoz kell igazítani.

II. Beszerzés, fejlesztés, tesztelés és változáskezelés

Közös rendelkezések

A pénzügyi intézmények egyre inkább támaszkodnak külső IT-szolgáltatókra és felhőalapú megoldásokra. Az MNB ajánlásai szerint:

A szolgáltató által kínált biztonsági intézkedéseket ellenőrizni kell.

Az adatok feldolgozását és tárolását szigorú biztonsági előírásokhoz kell kötni.

A szerződésekben pontosan rögzíteni kell az auditálási és ellenőrzési jogokat.

A fejlesztések és beszerzések során a biztonság alapú tervezési elveket (security by design) figyelembe kell venni, vagyis a védelmi intézkedéseket már a kezdeti fázisban be kell építeni.

A szolgáltatóval kötött szerződésnek tartalmaznia kell a szolgáltatásminőségi (SLA) és üzletfolytonossági (BCP) követelményeket.

A kockázatelemzési eljárásokat folyamatosan frissíteni kell az új fenyegetettségek figyelembevételével.

A fejlesztések és módosítások során kötelező a független biztonsági tesztelés (pl. penetrációs teszt, forráskód-ellenőrzés).

Beszerzés

A pénzügyi intézményeknek az IT-biztonsági beszerzéseiket szabályozott és auditálható módon kell végrehajtaniuk. A beszerzési folyamat során figyelembe kell venni a külső beszállítók és szolgáltatók biztonsági megfelelőségét (pl. tanúsítványok, ISO 27001), a beszerzett szoftverek biztonsági frissíthetőségét és támogatottságát és a szerződésekben a biztonsági incidensek jelentési kötelezettségét és a megfelelő jogi biztosítékokat.

Fejlesztés és tesztelés

Az új rendszerek és alkalmazások fejlesztésének és tesztelésének folyamata a kötelező eleme az informatikai fejlesztések dokumentációja, amely tartalmazza az adatáramlásokat, jogosultságkezelést és a rendszerbiztonsági specifikációkat. A fejlesztések során tilos éles ügyféladatokat használni, kivéve, ha megfelelő anonimizálás vagy maszkolás történik. Továbbá előírás az alkalmazások tesztelési környezetben történő validálása, ahol külön biztonsági ellenőrzések is zajlanak.

III. Üzemeltetés

A pénzügyi intézmények informatikai rendszereinek biztonságos és hatékony üzemeltetése kiemelt jelentőségű. Az MNB ajánlásai alapján az alábbi területek megfelelő szabályozása és gyakorlati alkalmazása elengedhetetlen a stabil és biztonságos működés érdekében.

Adminisztratív védelem

A biztonságos üzemeltetés adminisztratív oldalának biztosítása érdekében az intézményeknek részletes szabályzatokat kell kidolgozniuk az IT-biztonság minden aspektusára vonatkozóan, egyértelműen meg kell határozni az IT-rendszerek működtetéséhez kapcsolódó felelősségi köröket és eljárásokat, ezek mellett továbbá a belső ellenőrzések során dokumentált módon igazolni kell az üzemeltetési folyamatok megfelelőségét.

Fizikai védelem

A fizikai biztonsági intézkedések közé tartozik az adatközpontok és szervertermek ellenőrzött hozzáférésének biztosítása (pl. beléptető rendszerek, kamerás megfigyelés), a környezeti kockázatok csökkentése érdekében tűz-, árvíz- és áramkimaradás elleni védelmi intézkedések alkalmazása és a kritikus infrastruktúrák redundáns áramellátásának és klimatizációjának biztosítása.

Hálózati védelem

A tűzfalak és behatolásérzékelő rendszerek megfelelő konfigurálásáról és folyamatos monitorozásáról.

A belső hálózatok szegmentációjáról a jogosulatlan hozzáférések minimalizálása érdekében.

A titkosított adatkapcsolatok biztosításáról az érzékeny adatok védelme érdekében.

Logikai védelem

A rendszerek logikai védelme magában foglalja qz adatok és rendszerek hozzáférés-ellenőrzésének és naplózásának biztosítását, az IT-rendszerek folyamatos frissítését, beleértve a szoftver- és firmware-frissítéseket, illetve a biztonsági mentések titkosítását és az adatok megfelelő tárolási stratégiáját.

Hozzáférési rend

A hozzáférések szabályozására vonatkozó intézkedések az alábbiakat tartalmazzák:

A felhasználói jogosultságok minimalizálása és rendszeres felülvizsgálata.

A többfaktoros hitelesítés alkalmazása az érzékeny rendszerekhez való hozzáférés során.

A kiemelt jogosultságokkal rendelkező fiókok fokozott ellenőrzése.

Mentési, archiválási rendszer, adathordozók

Az üzletmenet-folytonosság biztosítása érdekében az intézményeknek gondoskodniuk kell:

Rendszeres adatmentésekről, amelyeket eltérő földrajzi helyszínen is tárolni kell.

Az archiválási szabályok betartásáról, különös tekintettel az adatmegőrzési és törlési előírásokra.

A biztonságos adathordozó-kezelésről, beleértve az adatok visszaállíthatatlanná tételét az eszközök selejtezése előtt.

Szolgáltatásfolytonosság

A folyamatos működés biztosításához szükséges katasztrófa-helyreállítási terveket kidolgozása és rendszeres tesztelése, alternatív működési helyszínek kiejlölése és az üzleti kritikus rendszerek redundáns infrastruktúrával való támogatása.

Személyi biztonság

Az emberi tényezőnek kiemelt szerepe van az IT-biztonságban, ezért fontos, hogy a munkavállalók rendszeres IT-biztonsági képzésben részesüljenek és jogosultságok szigorúan ellenőrizve legyenek. Nagyon fontos az IT-szakemberek és rendszergazdák feladatainak és felelősségeinek egyértelmű meghatározása is.

IV. Ellenőrzés

A hatékony IT-biztonság nem működhet folyamatos ellenőrzés és visszacsatolás nélkül. Ennek megteremtése érdekében rendszeres auditálás, az incidensek tanulságainak védekezési stratégiába építése és a vezetőség folyamatos tájékoztatása ajánlott.

Miért fontos mindez?

A pénzügyi szektor IT-biztonsági megfelelősége nem csupán jogszabályi követelmény, hanem az ügyfelek bizalmának záloga is. Egy sikeres kibertámadás nemcsak anyagi károkat okozhat, hanem az intézmény hírnevét is súlyosan rombolhatja.

Hogyan segíthet az ITSecure Kft.?

Cégünk, az ITSecure Kft., az MNB ajánlásainak megfelelően támogatja a pénzügyi intézményeket IT-biztonsági rendszereik kialakításában és fenntartásában. Szolgáltatásaink között szerepel:

Kockázatelemzés és megfelelés – Segítünk a kockázatok azonosításában és a megfelelő védelmi intézkedések kialakításában.

Felhőszolgáltatások bevezetése – Támogatjuk az intézményeket a biztonságos felhőhasználat megvalósításában.

IT-biztonsági stratégia kialakítása – Egyedi, az adott szervezet igényeire szabott stratégiákat dolgozunk ki.

Vegye fel velünk a kapcsolatot, és dolgozzunk együtt rendszereinek védelmén!

További tartalmaink

Bajban vagyok: képesítés nélküli IBF-et jelöltem ki!

Mit tehet, ha nem megfelelő képesítésű, illetve tapasztalatú információbiztonsági felelőst jelölt ki az Ön cége?

7 kritikus lépés a NIS2 megfeleléshez – Készen áll a változásokra?

A NIS2 irányelv jelentős változásokat hoz a kiberbiztonsági szabályozásban, és a megfelelő felkészülés kulcsfontosságú.

Biztonságos felhőhasználat a pénzügyi szektorban: Kockázatok és lehetőségek az MNB legfrissebb ajánlása mentén

A pénzügyi intézmények egyre nagyobb mértékben veszik igénybe a közösségi és publikus felhőszolgáltatásokat, hogy kihasználják azok rugalmasságát és költséghatékonyságát. Az MNB 2/2025. (I.13.) számú ajánlása meghatározza a felhőszolgáltatások használatával kapcsolatos elvárásokat és kockázatkezelési gyakorlatokat.

Informatikai biztonság

Audit

Adatvédelem

Informatikai szabályzatok