Pénzintézeti jogosultságkezelés szabályozása

A jogosultságkezeléssel és általában az információbiztonsággal kapcsolatban általában a 2013 évi L. „az állami és önkormányzati szervek elektronikus információbiztonságáról” szóló törvényt (továbbiakban: IBTv) [1], illetve az ehhez kapcsolódó a „2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről” szóló 41/2015. (VII. 15.) BM rendeletet [2] szokták kiindulásként emlegetni.

Ugyanakkor alapesetben a pénzintézetekre, valamint a Magyar Nemzeti Bank (MNB) felügyelete alá tartozó egyéb szervezetekre más jogszabályok vonatkoznak. A 2013. évi CCXXXVII. törvény (Hpt) [3] hatálya alá tartozó hitelintézetek és pénzügyi vállalkozások, illetve más, a 2007. évi CXXXVIII. törvény (Bsztv) [4], a 2013. évi CCXXXV. törvény (Fsztv) [5], és a 2014. évi LXXXVIII. törvény (Bit) [6] alá tartozó szervezetek esetén az IBtv helyett elsősorban „a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről” szóló 42/2015. Kormányrendelet (továbbiakban: Kormányrendelet) [7] követelményei az irányadók. Az MNB jogkörébe tartozóan a Kormányrendeleten kívül „az Önkéntes Kölcsönös Biztosító Pénztárakról” szóló 1993. évi XCVI törvény (Öpt) [8] és a magánnyugdíjpénztárakról szóló 1997. évi LXXXII. törvény (Mpt) 77/A § [9] tartalmaz az információbiztonságra vonatkozó követelményeket.

Ezen jogszabályok végrehajtásához adta ki az MNB „az informatikai rendszer védelméről” szóló 7/2017 ajánlást [10] (továbbiakban: 7/2017), illetve az Európai Bankhatóság (EBH) EBA/GL/2017/17 számú iránymutatásainak [11] való megfelelést segítő, a „pénzforgalmi szolgáltatások működési és biztonsági kockázataival kapcsolatos biztonsági intézkedésekről” szóló 26/2018 ajánlást [12].

A jogosultságkezelés terén – a kiszervezések előretörése miatt – fontos figyelembe venni még az MNB „a közösségi és publikus felhőszolgáltatások igénybevételéről” szóló 2/2017 ajánlását is [13].

Ezen ajánlások részletesen kifejtik a jogszabályi célok elérése érdekében elvárt védelmi intézkedéseket. A jogosultságkezeléssel kapcsolatos követelményeket is elsősorban ezen MNB ajánlások alapján tekintjük át. A jelen dolgozat nem tér ki az IBtv hatálya alá tartozó szervezetekre, így annak rendelkezéseit csak esetenként, a Kormányrendelettel párhuzamba állítva jelenítjük meg.

A főbb releváns joganyagokat és azok összefüggését az 1. ábra mutatja. A tényleges megvalósítással foglalkozó joganyagok (MNB ajánlások, 41/2013 BM rendelet) vannak felül, a magasabb szintű jogszabályok lejjebb. Az hivatkozásokat az ábrán nyilak mutatják, illetve a joganyagok típusát (törvény/rendelet/MNB ajánlás) a 2. ábra szerinti színek jelzik.

• A JOGOSULTSÁGKEZELÉS MEGJELENÉSE A JOGANYAGOKBAN
• ADATOK, INFORMÁCIÓSRENDSZEREK VÉDELME ÉS AZ ADATGAZDA FELADATAI
• A RENDSZER-, FOLYAMAT- ÉS ADATOLDALI MEGKÖZELÍTÉS
  Jogosultságok kockázat szerinti minősítése
  Fiókok kockázat szerinti minősítése
  Összeférhetetlen szerepkörök (SoD )
  A legkisebb jogosultság és a szükséges ismeret elve, technikai szerepkörök
• A FELHASZNÁLÓI ADMINISZTRÁCIÓ
  A legkisebb jogosultság és a szükséges ismeret elve, üzleti szerepkörök
  Dokumentáltság, ellenőrzés