MNB – Bankbiztonsági Elvárások Ajánlása

A Magyar Nemzeti Bank 11/2020. (X.20.) számú ajánlása a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázat-kezelési feltételeiről; hatályba lépés: 2021. április 1.

Forrás: Biztonsagpiac

Forrás: Biztonsagpiac

Balogh Gábor

Balogh Gábor

A szakmában régen várt dokumentum közérthető ismertetését Balogh Gábor szakértő tollából olvashatjuk a következőkben, aki több évtizedet töltött el felelős bankbiztonsági területeken a Postabanknál, majd az MFB-nél és jelenleg a MA – TAK – EL Zrt szenior bankbiztonsági szakértője, A szerk.

Előzmények: A 3/1994. (PK. 13.) számú BAF rendelkezés „az egyes bankbiztonsági követelmények meghatározásáról” volt az első bankbiztonságra vonatkozó norma. Ezt követte a Pénzügyi Szervezetek Állami Felügyelete elnökének 10/2001. számú ajánlása a pénzügyi szervezetek működésének biztonsági feltételeiről, amely immár 20 éve képezi a bankbiztonsági szakemberek hivatkozási alapját a bankok vezető testületeinél az éves beszámolókon. De már csak az eltelt idő, meg a régen megszűnt testület vezetője általi közzététel okán sem volt ez mindig elég a vezetők meggyőzésére a biztonsági beruházási tervek támogatására. Talán most, egy frissebb dátummal, majdnem duplájára bővült tartalommal, modernebb és többségében pontosabb megfogalmazással és persze a nagy tekintélyű Nemzeti Bank nevével fémjelezve…

Az ajánlás szerkezete

Az új norma XVIII. (római) számozott fejezetből áll, de készítői megtartották a korábbi ajánlás folyamatos számozását, ami az egyes pontokat illeti. Az áttekinthetőség, a kereshetőség érdekében talán jobb lett volna, ha az egyes pontok a fejezet számát is tartalmazzák számozásukban (pl. V./14.)?

Az ajánlás fejezetei

Az ajánlás célja és hatálya

A normaalkotó világossá teszi: célja a közzététellel, a felügyelt intézmények korábbi, esetleges norma-értelmezési variánsainak egységesítése, a felügyeleti elvárások nyilvánossá tétele a fizikai biztonsági és humánkockázat-kezelési feltételekkel szemben. Fontos és akár a bankok biztonsági szervezetére is lehetséges hatással bír az, hogy a 8/2020. (VI. 22.) MNB ajánlással – az informatikai rendszer védelméről – együttesen alkalmazandó a 11/2020-as. Ebben nem tér el a korábbi és jelenlegi szabályozás, abban viszont igen, hogy a humánkockázat már a címben is szerepel, az elmúlt két évtized tapasztalata tehát az, hogy e kockázattípus súlya nőtt.

A fejezet címével ellentétben az időbeli hatályra vonatkozóan itt nem találunk utalást. Kizárja azonban az adatkezelésre, adatvédelemre vonatkozó mindennemű iránymutatást.

Értelmező rendelkezések

„Jelen ajánlás alkalmazásában” –kezdi e fejezetet a normaalkotó és ezzel ki is zárja minden, az esetleg a szakmai zsargon eddig eltérő értelmezését az egyes fogalmaknak. Nem kell különösebb jóstehetség ahhoz, hogy lássuk, az itt jelölt fogalmak és meghatározások át fognak kerülni a biztonsági szakma nyelvébe, zsargonjába, akár az eddigieket kiszorítva, hiszen a norma nem zárja ki, sőt, mintha bátorítaná azt, hogy részeiben, vagy akár egészében a pénzintézeti biztonsági szabályzatokban, vagy szabályzatokként is feltűnjön. Felesleges tehát bármiféle hibának vélt meghatározást, okfejtést keresni az anyagban. Csak a többféle értelmezés lehetősége veti fel az esetleges javítás, bár inkább egyértelműsítés igényét.
Ugyanakkor itt bukkanhatunk a MABISZ nevére először, de nem egyértelmű utalásként. („1.11. értéktár: a trezor (páncélterem), ahol ilyen nincs, a munkatermekben elhelyezett, tűzzel és áttöréssel szemben ellenálló vagy a MABISZ által értéktárolásra alkalmasnak minősített páncélszekrények;”)

Tehát: vagy tűzzel és áttöréssel szemben ellenálló, vagy a MABISZ által értéktárolásra alkalmasnak minősített az eszköz… A MABISZ–ajánlások szerepére a normában – később még érdemes visszatérni.

A pénzügyi szervezet biztonságos működésének általános követelményei

Az általános követelmények tejesítése elvárás. E követelmények körében a korábbi követelményekhez képest a legkisebb a változás. A MABISZ „Betöréses lopás- és rablásbiztosítás technikai feltételei” továbbá a vonatkozó nemzeti és európai uniós szabványok ajánlásainak figyelembevétele és kockázatarányos alkalmazása is a követelmények között van. Nagy pozitívum, hogy a MABISZ ajánlás és a szabványnak való megfelelőség itt nem szerepel követelményként.

Van azonban egy minimum kétévente legalább egy alkalommal történő összegzés és értékelés, amelyet meg kell küldeni az MNB-nek. Valószínűsíthető, hogy nagy volumenű rendkívüli események esetén el fogja várni az MNB a kezelt biztonsági incidensnek a rendkívüli értékelését, a védelmi intézkedéseknek és az ennek kapcsán szükséges beruházási, fejlesztési igényeknek az elfogadásáról, vagy elvetéséről.

A biztonsági szabályzat

A dokumentum léte maga is elvárás (bár ez sem új). Tartalmát illetően azonban több új igény is felmerült, amelyek miatt –gyaníthatóan– minden pénzintézet minimum módosítja, vagy lehetségesen teljesen átdolgozza biztonsági szabályzatát, hogy megfeleljen az ajánlásnak. Újdonság többek között „a külső szolgáltató igénybevételének feltételei a biztonsági tevékenységhez kapcsolódó feladatok ellátására vonatkozólag”, amely alpont alapján a megoldandó feladat és az elvégzésre való alkalmasság feltételei egyaránt meghatározandók.

A pénzügyi szervezet biztonságos működésének szervezeti feltételei

A fejezet a korábbi szabályozás „Vezetői feladatok” részében volt található, új feladatként a vezető testület számára az ellenőrzés kötelezettségét jeleníti meg (de az csak a szabályozás tekintetében új, a biztonsági tevékenységet a pénzintézeteken belül eddig is többen ellenőrizték a vezetés megbízásából pl. a belső ellenőrök). Több helyen finomítja, kiterjeszti a felsorolt feladatokat, pl. a pénzügyi szervezet érdekkörébe tartozó objektumokra, személyekre.

Abszolút újdonság, ezért kiemelt figyelmet érdemel, az, hogy külön pontban tárgyalja a kiszervezés vagy a kiszervezésnek nem minősülő külső szolgáltatói igénybevétel kötelezően ellenőrzendő feltételeit.

A biztonsági szervezet vagy a biztonságért felelős személy rögzített feladatai megkétszereződtek.

A biztonsági környezet azonosításának, kockázatelemzésének, valamint a fenntartható biztonsági szint működtetésének elemei

Ez a fejezet több olyan pénzügyi szervezet tapasztalatait tükrözi, amely korábban úgy döntött, hogy a bankbiztonsági és az ingatlangazdálkodási, üzemeltetési területeket egy szervezeti egységbe (pl. igazgatóságba, vagy főosztályba, stb.) szervezi, de legalább közös irányítás alá vonta. Az MNB elvárása itt, hogy a fejezetben felsorolt biztonsági tevékenységek és feladatok a pénzügyi szervezet részéről figyelembe veendők kell legyenek.

A gyakorlatban az e fejezetben felsorolt, biztonsági szempontból is fontos információk beszerzésének jelentős része ingatlangazdálkodási, üzemeltetési feladat a pénzügyi szervezetekben (pl. határoló felületek statikai tulajdonságainak megállapítása, vagy a kulcsfontosságú közművek helye, a közműszolgáltatók azonosítása és elérhetőségük, stb.).

A Magyar Bankszövetség Fizikai Biztonsági Munkabizottsága az ezredforduló táján dolgozott ki tartalmában nagyon hasonló, minden bankfiókra vonatkozó kérdőívet. Jelentősége ennek a túszejtéses rablás, vagy a túsz-szituáció váratlan kialakulása esetén, de akár egy betöréses lopás esetén is nagyon jelentős. Az elmúlt években/évtizedekben – szerencsére – csak néhány ilyen eset történt. Ha az e fejezetben lévő információk egyszerűen, gyorsan és könnyedén a rendőrség birtokába kerülhetnének a bankfiókokról (mint arról 2004-ben az illetékesek megállapodtak), a túszejtőknek szinte nem lenne esélyük. Mindenképpen örömteli, hogy az elmúlt idők bankbiztonsági tapasztalatai, felhalmozott elméleti- és gyakorlati tudása nem veszett kárba.

Élőerős őrzés-védelem

A fejezetben foglalt tevékenység jelentősége a pénzügyi szektorban alaposan lecsökkent. Egyre kevesebben emlékeznek már azokra az időkre, amikor minden bankfiókban ott silbakolt a személy- és vagyonőr. Egyes bankok hátravonták őket, az ügyfelektől elzárt területre, mások „csak” lőfegyverüktől fosztották meg őket. Ma már a banki központi épületeket, irodaházakat, központi értéktárakat, informatikai központokat őrzik folyamatosan, valamint a fiókokat felújítások, javítások idején és akkor, ha nem működik a biztonságtechnikai rendszer, na meg a távfelügyelet. A biztonsági őrök töltik az ATM-eket és szállítják az értékeket. Szerepüket a bankfiókokban három megoldás vette át: A biztonságtechnika, az időzáras kasszák és távfelügyelet. A jel- kép- hangátvitelre indul a távfelügyeleti reagáló egység, míg az időzárak nem engedik a nagyobb összegekhez történő hozzáférést. Csak az amatőr, „mindenmindegy” rabló fog sokévi szabadságvesztést kockáztatni a megszerezhető 2 millió forintért…

Az új normában már nem szerepel a húszmillió forint napi átlagos készpénz- vagy értékpapír forgalom, mint az élőerős őrzésre okot adó összeg. Ez esetben a húszévi infláció leértékelte a húszmillió forintot…

Az MNB elvárása, hogy az egyedi kockázatértékelés eredménye alapján döntsön a pénzügyi szervezet az élőerős őrzés szükségességéről.

A vagyonvédelmi rendszerekhez kapcsolódó általános követelmények

A fejezet minden pontját elvárások alkotják: Zóna-szintű elvek alapján kialakított kockázatarányos védelem; a védelmi eszközök megfelelősége ajánlások, szabványok alapján (30. pont … ”kizárólag az Európai Unióban elfogadott minősítő szervezet vagy a MABISZ által kiadott, a biztonságtechnikai termék megfelelőségére vonatozó ajánlással rendelkező, a nemzeti és az európai uniós szabványok előírásainak megfelelő eszközt alkalmazzon.”) Itt álljunk is meg egy szóra:

Móró Lajos: A biztonságtechnika szabályozottsága (Pécsi Határőr XI. évfolyam, 2010.) című cikkében írja: „A MABISZ ajánlása és kapcsolatban van a MSZ-ben rögzítettekkel, melynek teljesítése lehetetlen. Így nyugodtan kimondhatjuk, hogy ma Magyarországon nincs olyan bank v. takarékszövetkezet, amely megfelelne a PSZÁF (10/2001-es! BG.) ajánlásának.”

Móré Attila, a biztonságtechnikai szabványok egyik legjobb tudású szakértője pedig, ugyancsak 2010-ben, e lap 9-10. számában: ”…a MABISZ sajátságos elvárásrendszere az üdvözítő és minden nem hozzáértő kontár számára a „bibliát” jelenti, folyamatosan hivatkozási alapként szolgál, szemben az európai biztonságtechnikai szabványokkal.” Két neves szakember súlyos állításait idéztem.

A pénzügyi szervezetek számára logikus választásnak tűnik, ha minden olyan esetben, ahol döntési lehetőség kínálkozik, a szabványos eszközöket választja és használja.

A fejezet más részei a mechanikai, elektronikai eszközök és rendszerek alapvető működtetési szabályait, ezek dokumentálását és az eszközök használhatóságának egyéb követelményeit rögzítik.

Mechanikai-fizikai védelem, helyiségek védelme

A rövid (4 pontból álló) fejezet nagyobb változtatás nélküli átvétele az előző ajánlás azonos című fejezetének. Az infláció ennél a fejezetnél nem fogott a forinton, mert a 20 év sem változtatott a 10 millió forinton, illetve az ezt meg nem haladó tárolási kapacitású páncélszekrények elhelyezésére szolgáló helyiségek falazatán.

Elektronikai védelem

A VIII. fejezetnél írottak itt is érvényesek. Röviden: vagy MABISZ, vagy szabványok. A legjelentősebb módosítás, hogy a korábbi szabályozás a távfelügyeleti jelzések küldését vagy a rendőrség, vagy a rendőrséggel szerződésben lévő távfelügyeleti vagyonvédelmi cég fogadó központja felé írta elő (akkor már hibásan). Jelen sorok írója a ’90-es évek első felében rendőrtisztként a Kamara jelenlegi (akkor ugyancsak rendőrtiszt) elnökével mérte fel a megyei rendőr-főkapitányságokon a távfelügyeletek helyzetét, majd ezt követte a felsőszintű rendőri döntés, amelynek alapján a rendőrség kivonult a távfelügyeleti piacról, mert ott ellenőrző hatóságként is jelen volt. Ezért jó, hogy az új norma korrekt módon helyesbíti a régi hibáját. A mérnöki- (telepítői-) és a mesterkódok birtokosának továbbra is a biztonsági szervezet vezetőjét, a biztonságért felelős személyt, vagy az általuk írásban megbízott személyt nevesíti az ajánlás.

Pénz- és értéktárolás, kezelés védelme

A IX. fejezetről írottak itt szintén érvényesek. Az MNB a 2 millió forint feletti összegek tekintetében a késleltetési időt a korábbi minimum 5 perc helyett, a pénzügyi szervezet kockázatértékelése alapján történő meghatározására hagyta. A kérdés az, hogy egy bankár számára, egy nagyforgalmú bankfiókban melyik a nagyobb kockázat: a kiváló ügyfelek várakoztatása a számukra esetleg apró-cseprő 2 millió forintra, vagy a bankrablás? Az előző ajánlás kénytelen volt reagálni egy banki belsőépítészeti divatra, az „egypontos ügyfélkiszolgálására kialakított munkahelyek” divatjára, amely a „nyitott pultrendszert” is feltételezte. Minden, a biztonsági szakemberek részéről érkezett óvás ellenére az ügyféltérben számos bank körüljárható, egyszemélyes munkahelyeket alakított ki a múltban. Hála az égieknek, ez a divat hamar elmúlt…

Letéti szolgáltatás, értékforgalom

Három rövid elvárás: a letéti szolgáltatás külön helyiségben, betörés és tűzbiztos jelzőrendszerbe kötött trezor, vagy rögzített páncélszekrény használatával, kockázatarányos védelemmel lehetséges; pénztári fizetőhely és értéktár csak valódiság ellenőrzéssel, számláló eszközökkel felszerelve működhet. Az értékpapírok, csekkek, váltók, okmányok kezelése és őrzése csak a vonatkozó szabályzatok szerint történhet. Az új ajánlás alig változtatott a régi szabályokon.

Értéktárolás, értékszállítás

A friss szabályozás a fejezet első felében szóról-szóra a korábbit követi, majd – újdonságként – konkrét leírást ad az értéktárolás, értékszállítás belső szabályzatának tartalmát illetően, 11 pontnyi mankót adva a pénzügyi intézményeknek. Ez már nem elvárás, egyenes kijelentés.

Adatok, információk és adathordozók fizikai védelme

Ebben a fejezetben az elődhöz képest a legnagyobb változást az eltelt időben bekövetkezett biztonságszakmai változások követése adja: A korábbi „Informatikai rendszer védelme” fejezetcím számos olyan rendelkezést tartalmazott, amely mára már az informatikai biztonság részeként, önálló szakmai feladatként nem része a fizikai biztonsági feladatkörnek.
A fejezet az elődhöz képest alapos profiltisztítással veszi sorba adatoknak, adathordozóknak, információknak a körét, amelyeket részletesen leírt fizikai biztonsági eszközökkel, módszerekkel, sőt, rezsimintézkedésekkel szükséges az elvárás szerint védeni. Különös hangsúlyt fektet a fejezet a tűz elleni védelemre (beépített tűzjelző berendezés, „önműködő indítású beépített tűzoltó berendezés”, továbbá 30 perces tűzállósági fokozatú, behatolásjelző rendszerbe kötött tárolószekrény) hiszen az adatok, információk megsemmisülése éppúgy súlyos kockázat egy pénzügyi intézmény esetében, mint eltulajdonításuk.

Az emberi erőforrás biztonságát érintő és az emberi erőforrás irányából felmerülő kockázatok

A fizikai biztonság után az ajánlás a humánkockázatok kiküszöbölése érdekében fogalmaz meg elvárásokat és ismertet jó gyakorlatot. Örvendetes, hogy a humánkockázatok csökkentésének szándéka is az ajánlás formáját öltötte. Ehhez (és az ajánlásban szereplő szinte minden kockázat beazonosítására, összetevőinek megállapítására) a kockázatelemzés eszközével él ismét az ajánlás. (Ha az értelmező rendelkezésekben külön pontot kapott az értéktár, vagy a biztonsági kockázat, talán a sokat emlegetett kockázatelemzés is megérdemelt volna egy pontot.) A kockázatok csökkentésére a megelőzést, a felderítést és a felderített események vizsgálatát egyaránt beveti az ajánlás, mint lehetséges eszközt.

Incidenskezelés

Szinte bizonyosan minden pénzügyi intézményben létező fogalom, két pontban rögzítve. Biztonsági, vagy humánkockázati incidens bekövetkeztére minden pénzügyi biztonsági szervezetnek van forgatókönyve, eljárásrendje. Ezek legfontosabb kereteit rögzíti e fejezet, elvárásként.

Egyéb ajánlások

Az értékekre vonatkozó vagyonbiztosítás legfontosabb ismérvei a rövid fejezetben fellelhetők. Nem elvárásként, ajánlásként. Felhívja a figyelmet az európai, vagy nemzeti létfontosságú rendszerelemként nevesített pénzügyi szervezetekről szóló jogszabály alkalmazására.

Záró rendelkezések

Nagyon fontos fejezet. Az ajánlás összefoglalja, definiálja önmaga helyét szerepét a jogi, jogalkalmazási hierarchiában, egyben megjelöli, hogy az MNB milyen módon alkalmazza az ajánlásban írtakat, és – lásd IV. fejezet – közvetlen pénzintézeti biztonsági szabályzatok számára lehetővé teszi használatát, akár részben, akár egészében.

A fejezet a gyakorlati hatályba léptetésről rendelkezik (2021. április 1.) és hatályon kívül helyezi elődjét. Végül azoknak a pénzügyi intézményeknek, amelyek a közzététel idején (azaz 2020. október 20-án) nem feleltek meg az ajánlásban közzétett elvárásoknak, elvárásként fogalmazza meg, hogy készítsenek (intézkedési) tervet a biztonsági előírásait és gyakorlatát ütemezve fejlesztésre. 2021. március 31-ig az MNB elvárja a terv megküldését.

Az 1. sz. mellékletként kiadott szabályozó eszközök közül számomra hiányzik az 54/2014. (XII. 5.) BM rendelet az Országos Tűzvédelmi Szabályzatról és legalább hivatkozás a szabványokra.

Összefoglalásul

Fontos és régen várt norma született meg az ajánlással. Csak reménykedni lehet abban, hogy nem fog eltelni újabb 19 év a jelen ajánlás utódjának megjelenéséig. A pénzügyi szervezeteknél, a biztonsági területen tevékenykedő kollégáknak pedig ajánlani tudom magam is, hogy ha értelmezési nehézségeik vannak, de nyilván leginkább a Magyar Nemzeti Bankban tevékenykedő és az ajánlást készítő szakembereket.

Balogh Gábor

Hozzászólások