Számos vállalatot érint a számlázási rendszer auditokon való megfelelési kötelezettsége. Ilyen társaságok, amelyek a közműszolgáltató törvények hatálya alá esnek és az azokban megfogalmazott feltételrendszer szerint kötelező tanúsíttatniuk az általuk használt számlázási rendszerek zártságát. Ezek a törvények tartalmazzák azokat az elvárt intézkedéseket, követelményeket, amelyeket az auditorok számon kérnek a számlázási rendszerek vizsgálata során. Az idetartozó vállalatok nagy részénél azonban jellemzően működik az ISO 27001 szabvány alapján felépített Információbiztonsági Irányítási Rendszer (IBIR). Emiatt az egyéb információbiztonsági megfelelőségekhez tartozó követelmények legtöbbjének teljesítése eleve magától értetődik, azonban előfordulnak olyan auditkérdések és követelmények, amelyek megválaszolásához és teljesítéshez pluszerőforrások szükségesek.
Elkészítettük a jogszabályi előírások és az ISO 27001 szabványban részletezett kontrollcélok összevetését annak érdekében, hogy az audit alanyaként szereplő szervezet csak a hiányzó elemekre fókuszálva tehesse hatékonyabbá a felkészülést.
Bemutatásra kerülnek az érintett jogszabályok és szabványi követelmények, igazoljuk, hogy az ISO 27001 szabványnak megfelelően működtetett rendszer hatékonyan képes támogatni az auditkövetelményeknek való megfelelést.
A számlázási rendszer audit azokat a társaságokat érinti, amelyek tevékenységét a közműszolgáltatásokkal kapcsolatos törvények szabályozzák. Ezek a törvények megfogalmazzák azokat a feltételrendszereket, melyek szerint az érintett vállalkozásoknak tanúsíttatniuk kell az általuk használt számlázási rendszerek zártságát. Az említett törvények mindegyike a számlázási rendszerek auditálásával kapcsolatban egy másik jogszabályra, - a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról ( a továbbiakban: Ibtv.) - mutatnak. Ennek a törvénynek az egyik végrehajtási rendelete - a 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről [a továbbiakban: 41/2015. (VII. 15.) BM rendelet] - tartalmazza azokat az elvárt intézkedéseket, követelményeket, amelyeket az auditorok számon kérnek a számlázási rendszerek vizsgálata során. Ezeknek a követelményeknek az egyértelmű azonosítása már önmagában sem egyszerű feladat, amelyet tovább színesít, ha a számlázási rendszer auditra kötelezett társaságnál már működnek az MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények (a továbbiakban: ISO 27001) szabványban definiált IBIR. Emiatt az egyéb információbiztonsági megfelelőségekhez tartozó követelmények legtöbbjének teljesítése eleve magától értetődik, azonban gyakran előfordulnak olyan auditkérdések és követelmények, melyek megválaszolását megkönnyítheti egy felkészülést támogató módszertan.
Ebben a cikkben áttekintjük a számlázási rendszer audithoz tartozó jogszabályi információbiztonsági elvárások és az ISO 27001 szabványban lévő kontrollcélok közötti eltéréseket. Bemutatjuk azokat a szempontokat, amelyek alapján a jogszabályi elvárások és a szabványban meghatározott kontrollcélok egymáshoz rendelhetőek.
A felkészülés támogatásához, elkészítettük a két rendszer (jogszabályban előírt védelmi intézkedések és szabványi kontrollok) elemeinek egymáshoz való rendelését, és összegezzük ezt a munkát.
A jogszabályok által előírt elvárásokat a továbbiakban két csoportra bontjuk. Külön vizsgáljuk a jogszabályokat abból a szempontból, hogy melyek írják elő a számlázási rendszer auditokat, illetve azokat, melyek az információbiztonsági követelményekre vonatkozóan tartalmaznak előírásokat.
A közműszolgáltatói törvények hatálya alá tartozó vállalatoknak számlázási rendszer auditon való megfelelési kötelezettségük van.
Ezek a törvények a következők:
- 2007. évi LXXXVI. törvény a villamos energiáról (VET),
- 2008. évi XL. törvény a földgázellátásról (GET),
- 2011. évi CCIX. törvény a víziközmű-szolgáltatásról (Vksztv.),
- 2003. évi C. törvény az elektronikus hírközlésről (Eht.)
A felsorolt törvények értelemszerűen a hatályuk alá tartozó szervezetek számlázási rendszereivel kapcsolatban fogalmaznak meg elvárásokat. Azonban vannak olyan követelmények, melyek mindegyik előzőekben említett törvény szövegében szerepelnek. Ilyenek a következők:
- "Számla kiállítására csak olyan informatikai rendszer felhasználásával kerülhet sor, amely biztosítja a díjak hibátlan kiszámítását végző rendszerelemek zártságát, és megakadályozza a számlázási rendszerhez történő jogosulatlan hozzáférést, valamint a számlázási információk észrevétlen módosítását. A számlázási rendszernek továbbá meg kell felelnie az általános információbiztonsági zártsági követelményeknek is." [1],[2],[3],[4]
- "...az engedélyesnek adminisztratív, fizikai és logikai intézkedésekkel biztosítani kell az általános információbiztonsági zártsági követelmények teljesülését" [1], [2].
- A másik két törvényben is ugyanígy jelen van ez a követelmény egy-egy szó eltéréssel, ugyanis az engedélyes szót a szóban forgó törvények specifikusan lecserélték.
- "A (4.) bekezdésben meghatározott követelményeknek való megfelelést tanúsító szervezet által történő, a számlázási informatikai rendszerre vonatkozó tanúsítással kell igazolni. A számlázási rendszerre vonatkozó követelmények teljesülése kizárólag informatikai biztonsági funkciókat megvalósító szoftver-termékek és rendszerek elfogadott hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására akkreditált tanúsító szervezet által kiállított tanúsítvánnyal igazolható." [1]
Az egyezőség itt is megvan a törvények között, csak értelemszerűen más-más bekezdésre való hivatkozással szerepel ugyanez a szöveg.
Azaz az auditot előíró törvények által megfogalmazott, az alkalmazott számlázási rendszerrel szemben megfogalmazott legfontosabb elvárások a következők:
Számla kibocsátása csak olyan rendszerrel történhet meg, amely biztosítja:
- 46/47 -
- a díjak hibátlan kiszámítását,
- az ezt végző rendszerelemek zártságát,
- a számlázási rendszerhez történő jogosulatlan hozzáférés kizárását,
- megakadályozza a számlázási információk észrevétlen módosítását.
A számlázási rendszernek ugyanakkor meg kell felelnie az általános információbiztonsági zártsági követelményeknek is.
Ugyanezen jogszabályokból az auditra vonatkozóan a következő követelmények azonosíthatóak:
- A követelményeknek való megfelelést tanúsító szervezet által történő, a számlázási informatikai rendszerre vonatkozó tanúsítással kell igazolni.
- A tanúsítványt akkreditált tanúsító szervezet állíthatja ki.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
