Bevezető
A központi jogosultságkezelés mai eszközei az Identity Management (továbbiakban: IdM) vagy újabban Identity és Access Management (IAM) valamint az Identity Governance and Administration (IGA) rendszerek. A pénzügyi szervezetek és nagyvállalatok túlnyomó többsége ilyen rendszerek alkalmazásával valósítja meg a jogosultságkezelés és ellenőrzés feladatát.
Ugyanakkor ezen eszközök a jogosultságkezeléssel kapcsolatos feladatokat csak részben oldják meg. A teljes körű megoldás kialakítása sajnos a továbbra is a folyamatszervezési és IT biztonsági szakemberek munkáját, szakértelmét és kreativitását igényli. Éppen ezért szükségét éreztük vizsgálni és bemutatni az IAM és IGA rendszerek pénzügyi szervezeteknél való konkrét alkalmazását, és ezen rendszerek funkcióin túl mutató feladatok megvalósítását.
A jelen dokumentum tartalma Szondy György 2019-évi „Hatékony jogosultságkezelés, jóváhagyás és ellenőrzés az MNB ajánlása szerint” című zártan kezelt szakdolgozatából került átvételre.
A jogosultságkezelésre vonatkozó releváns előírások és ajánlások
A jogosultságkezeléssel és általában az információbiztonsággal kapcsolatban általában a 2013 évi L. „az állami és önkormányzati szervek elektronikus információbiztonságáról” szóló törvényt (továbbiakban: IBTv) [1], illetve az ehhez kapcsolódó a „2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről” szóló 41/2015. (VII. 15.) BM rendeletet [2] szokták kiindulásként emlegetni.
Ugyanakkor alapesetben a pénzintézetekre, valamint a Magyar Nemzeti Bank (MNB) felügyelete alá tartozó egyéb szervezetekre más jogszabályok vonatkoznak. A 2013. évi CCXXXVII. törvény (Hpt) [3] hatálya alá tartozó hitelintézetek és pénzügyi vállalkozások, illetve más, a 2007. évi CXXXVIII. törvény (Bsztv) [4], a 2013. évi CCXXXV. törvény (Fsztv) [5], és a 2014. évi LXXXVIII. törvény (Bit) [6] alá tartozó szervezetek esetén az IBtv helyett elsősorban „a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről” szóló 42/2015. Kormányrendelet (továbbiakban: Kormányrendelet) [7] követelményei az irányadók. Az MNB jogkörébe tartozóan a Kormányrendeleten kívül „az Önkéntes Kölcsönös Biztosító Pénztárakról” szóló 1993. évi XCVI törvény (Öpt) [8] és a magánnyugdíjpénztárakról szóló 1997. évi LXXXII. törvény (Mpt) 77/A § [9] tartalmaz az információbiztonságra vonatkozó követelményeket.
Ezen jogszabályok végrehajtásához adta ki az MNB „az informatikai rendszer védelméről” szóló 7/2017 ajánlást [10] (továbbiakban: 7/2017), illetve az Európai Bankhatóság (EBH) EBA/GL/2017/17 számú iránymutatásainak [11] való megfelelést segítő, a „pénzforgalmi szolgáltatások működési és biztonsági kockázataival kapcsolatos biztonsági intézkedésekről” szóló 26/2018 ajánlást [12].
A jogosultságkezelés terén – a kiszervezések előretörése miatt – fontos figyelembe venni még az MNB „a közösségi és publikus felhőszolgáltatások igénybevételéről” szóló 2/2017 ajánlását is [13].
Ezen ajánlások részletesen kifejtik a jogszabályi célok elérése érdekében elvárt védelmi intézkedéseket. A jogosultságkezeléssel kapcsolatos követelményeket is elsősorban ezen MNB ajánlások alapján tekintjük át. A jelen dolgozat nem tér ki az IBtv hatálya alá tartozó szervezetekre, így annak rendelkezéseit csak esetenként, a Kormányrendelettel párhuzamba állítva jelenítjük meg.
A főbb releváns joganyagokat és azok összefüggését az 1. ábra mutatja. A tényleges megvalósítással foglalkozó joganyagok (MNB ajánlások, 41/2013 BM rendelet) vannak felül, a magasabb szintű jogszabályok lejjebb. Az hivatkozásokat az ábrán nyilak mutatják, illetve a joganyagok típusát (törvény/rendelet/MNB ajánlás) a 2. ábra szerinti színek jelzik.
1. ábra: Jogszabályi háttér és főbb hivatkozások
2. ábra: Jelmagyarázat a jogszabályi háttér ábrához
Bővebben
Szívesen elküldjük Önnek a teljes szakmai anyagot, amennyiben igényét jelzi nekünk az info@creasys.hu e-mail címen.
További fejezetek:
- A JOGOSULTSÁGKEZELÉS MEGJELENÉSE A JOGANYAGOKBAN
- ADATOK, INFORMÁCIÓSRENDSZEREK VÉDELME ÉS AZ ADATGAZDA FELADATAI
- A RENDSZER-, FOLYAMAT- ÉS ADATOLDALI MEGKÖZELÍTÉS
Jogosultságok kockázat szerinti minősítése
Fiókok kockázat szerinti minősítése
Összeférhetetlen szerepkörök (SoD )
A legkisebb jogosultság és a szükséges ismeret elve, technikai szerepkörök - A FELHASZNÁLÓI ADMINISZTRÁCIÓ
A legkisebb jogosultság és a szükséges ismeret elve, üzleti szerepkörök
Dokumentáltság, ellenőrzés