Napjaink kihívásai, információvédelem

2012

„A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”

A helyszín

Prime Rate

Alapítás éve:1994

Tulajdonosi hátér: magyarországi magánszemélyek

Dolgozók száma: 105 fő

Nettó árbevétel (2011): 2,6 Mrd. Forint

Székhely: Budapest, Megyeri út 53.

A tevékenység

Digitális nyomtatás vezető szerepDigitális nyomtatás vezető szerep

• A régió legmodernebb digitális nyomdája (13 nyomógép, teljes körű kötészet)

• Piacvezető a kibocsátásban (színes digitális nyomtatás 30%, egyszínes digitális nyomtatás 10%)

• Biztonság (ISO9001-14001-27001, 15 éves gyakorlat, beléptető és kamerarendszer, titkosított adatkapcsolat, védett szerverterem, stb.)

A kapcsolat

Évtizedes együttműködés Közös projektek Egymásra épülő szolgáltatások

pl.:papíralapú számlák – elektronikus számlák

Infrastruktúra biztosítás(A Doqsys beszállítói számláinak feldolgozása az Invoicehotel

alapokon)

A Prime Rate 33 %-os tulajdonos

Új helyzet – új értékek

A XXI. században is sikeresen működni akaró vállalatoknál a használt információ-technológia alapvető sikertényező. A tárolt információk a működés, a döntések és az üzleti sikerek alapja.

A szervezetek felépítése ERP ( Enterprise Resource Planning) - SCM(Supply Chain Management) - Hálózatos szervezetek - Virtuális szervezetek

Materiális vagyon - információ vagyon

Információ: sikertényező és kockázat

Sajátságos kettősség

fenyegetettebbé tesz

információvédelem

A siker érdekében a

szervezetek növelik

az információk

gyűjtésére és

hierarchikus

feldolgozására tett

igyekezeteiket .

Információbiztonsági trendek az IT oldaláról

IDG Global Solutions (szponzor a HP)

IT Infrastructure: A European IT Management Perspective

13 IT téma relatív fontossági rangsorában 1. az adatvédelem 4.55 átlaggal

A költségcsökkentést minden országban megelőzi az adatvédelem IT stratégia probléma terület: 1. biztonság 39%

Tech/Tudomány - 414 darab 100 fő feletti magyar cég

Minden ötödik céget kár ért az információbiztonság gyengesége miatt

az informatikai adatbiztonságot a cégvezetők csak közepes fontosságú kérdésként kezelik

Ernst&Young (2010)A válaszadók 60 %érzékel kockázatot

Információbiztonsági trendek az IT oldaláról

KPMGGlobal Information Security SurveyA vizsgált cégeknek átlag 108.000 USD káruk volt IT incidensekből

Ebből a bizalmas adatok elvesztéséből az átlag: 197.000 USD

Csak a cégek 60%-nál készül valamilyen inf. biztonsági jelentés

A biztonságért felelősöknek csak 43% tudta mennyit költenek rá

„A megelőzés jobb, mint az utólagos kezelés” Gartner

A világ informatikai beruházásokra fordított összegének egyre nagyobb részét teszi ki az informatikai biztonság2000 – 5%; 2001 – 11%; 2004 – 40%.... 2010 – 45%

Információbiztonsági trendek

„…a legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni,…”

(Kürt Kft.)

Információbiztonsági trendek

Üzleti intelligencia

OffenzívInformációszerzés, elemzés

DefenzívInformációvédelem

A védelem célja, előnyök: a folyamatos működés megszakadás,

zavarás megelőzése, a döntéstámogatás elvesztésének

megelőzése, veszteségek, kockázatok , problémák

elkerülése/ kezelése kellő gondosság biztosítása a bizalmasság (csak azok férjenek hozzá,

akik jogosultak) elvesztésének elkerülése, nyomon követhető a rendszer, az

események a vezetői felügyelet megörzése, stb.

A VÉDELEM CÉLJA (Belső)

A védelem célja, előnyök: partnereknek információ, a szükséges

korlátokkal vevői bizalom nő piaci versenyben előny vevők, bevétel elvesztés megelőzése, hírnév, goodwill, cégimázs

A VÉDELEM CÉLJA (Külső)

Teljes körű

Milyen lenne az ideális IT Biztonság?

Fizikai védelemAdminisztratív védelem

Logikai védelem (technikai megoldások)

+ Humán erőforrás

Milyen lenne az ideális IT Biztonság?

A védelmi intézkedések:

Adminisztratív védelem

• Informatikai biztonsági politika• Informatikai biztonsági szabályzat• Üzletmenet-folytonossági terv – BCP• Katasztrófa-elhárítási terv – DRP

Logikai védelem

•Tűzfalak• Behatolás-érzékelő rendszerek• Autentikációs rendszerek• Publikus kulcsú infrastruktúra – PKI• Titkosítás• Tartalomszűrés• Virtuális magánhálózat – VPN• Mentési/archiválási rendszerek• Jogosultsági rendszerek • Vírusvédelem

Fizikai védelem

• Vagyonvédelmi• Tűzvédelmi• Beléptető-• Videó megfigyelő- rendszerek• Szünetmentes áram- források

Egyenszilárd Kockázat arányos Mérhető (?) Biztonsági követelmények szerinti Időben állandó (!) Gazdaságos Minden szervezeti szinten érvényes

Milyen lenne az ideális IT Biztonság?

Nincs egységes ajánlás vagy szabvány pl.: CobiT, ISO 27001, CC, ITSEC, stb.

Eltérő hangsúlyok, más szemlélet Időben változó kockázatok

pl.: technikai, környezeti változások Cégek nagy része: logikai védelem

“kérek egy tűzfalat” Az IT biztonsági problémák ~80%-a belső

eredetű!

Mi a valóság az IT Biztonság területén?

A jogi vetület

A személyes adeatok védelméhez való alapvető jog – Alaptörvény

Alaptörvény

VI. cikk (2) és (3) bekezdése:

Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.

A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.

Adatvédelmi törvényA személyes adat fogalma

Az új datvédelmi törvény (2012): 2011. évi CXII. törvény – az információs

önrendelkezési jogról és az információszabadságról– Új technológiák

– Új adatkezelési jogalapok

– Adatvédelmi biztos – Hatóság

– Nagyobb szankciók

– Pontosítások

– Jogharmonizáció

(A törvény hatálya változatlan-

Kivétel: EU-n átmenő adatforgalom, természetes személy saját céljai)

A személyes adat fogalma

Az új datvédelmi törvény Személyes adat: az érintettel kapcsolatba hozható adat –

különösen az érintett neve, azonosító jele, valamint egy vagy többfizikai, fiziológiai, mentélis, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret – valamint az adatból levonható, az érintettre vonatkozó következtetés

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy

A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az datkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

Az adatkezelés – mint jogviszony

Az adatkezelés fogalma Adatkezelés: az alkalmazott eljárástól függetlenül az

adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, rovábbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok továbi felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. újj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése

Az adatkezelő

Az adatkezelő fogalmaAdatkezelő: az a természetes vagy jogi személy, illetve jogi

személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy általa megbízott adatfeldolgozóval végrehajtatja.

Az adatkezelést be kell jelenteni (NAIH nyilvántartásba veszi)

(Kivétel: adatkezelővel tagsági-, munkaviszonyban, ügyfélkapcsolatban álló személyek adatkezelését...)

DE be kell jelenteni az ügyfélkapcsolatot pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók esetében /65. (3) bek. /

Az adatfeldolgozó

Az adatfeldolgozó fogalma Adatfeldolgozás: az adatkezelési műveletekhez

kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik;

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – az adatkezelővel kötött szerződés alapján – (…) a személye adatok feldolgozását végzi.

Adatfeldolgozás

Részletszabályok Az adatkezelő írásos megbízás alapján végzi tevékenységét;

Csak technikai feladatok ellátása a személyes adatokkal, érdemi döntés nélkül;

Az utasítások jogszerűségéért az adatkezelő felel;

Az adatfeldolgozó a technikai műveletekért felel;

Adatfeldolgozó alvállalkozót nem vehet igénybe;

Saját célra adatot nem dolgozhat fel;

Nem bízható meg olyan cég aki érdekelt az adatkezelő üzleti tevékenységében;

Tájékoztatni kell az érintetteket;

Az adatkezelés feltételei

Az adatkezelés alapvető feltételei 1. célhozkötöttség elve (legfontosabb elv)

/Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.(...)/

2. az adatkezelés jogalapja 3. egyértelmű, részletes tájékoztatás 4. adatvédelmi nyilvántartás

JÓ HÍR!

Az Invoicehotel keretében nincs adatkezelés! Ténylegesen és jogi szempontból is

adatfeldolgozásról beszélünk! Minden feltétel biztosított! Napi gyakorlat! Rendszeresen auditált környezet, független

nemzetközi auditorok által!

Büntetőjog - ultima ratio

Visszaélés személyes adattal – 177/A. § Visszaélés közérdekű adattal – 177/B. § Magántitok jogosulatlan megismerése – 178/A. § Üzleti titok megsértése – 300. § Banktitok megsértése – 300/A-B. § Számítástechnikai rendszer és adatok elleni

bűncselekmény 300/C. §

Nemzeti Adatvédelmi és Információszabadság Hatóság

sértetlenség (teljesség, hitelesség, pontosság) (integrity)

az információ és a feldolgozási módszerek pontosságának és teljességének biztosítása [MSZ ISO/IEC 27001:2006]

rendelkezésre állás (availability)

annak biztosítása, hogy amikor szükséges, feljogosított felhasználók hozzáférhetnek az információhoz és a kapcsolódó vagyontárgyakhoz [MSZ ISO/IEC 27001:2006]

bizalmasság (confidentiality)

annak biztosítása, hogy az információ csak azok számára elérhető, akik erre feljogosítottak [MSZ ISO/IEC 27001:2006]

AZ INFORMÁCIÓBIZTONSÁG FOGALMAAdatok és a működés teljes körű, folytonos és a kockázatokkal arányos biztonsága

Megközelítés

•Hatékonyság•Hatásosság•BizalmasságBizalmasság•SértetlenségSértetlenség•Rendelkezésre Rendelkezésre állásállás•Megfelelőség•Megbízhatóság

IT biztonsági kritériumo

k

Szemléletmód

ISO 27001 JELLEMZŐI I.

a legjobb gyakorlat szabvánnyá emelése menedzsment rendszer (nem technika, termék) üzleti célokkal összhang biztosítása alkalmazható minden ágazatra, közösségi és

magán szektorra is bizalmasság, sértetlenség, rendelkezésre állás

mellett szempont az értékelhetőség és a tanúsíthatóság

Prime Rate - ISO 27001 - Doqsys

ISO 27001 JELLEMZŐI II.

technológia független nemzetközi

(nem tartalmazza a nemzeti jogszabályokat) információs rendszerre (nemcsak

informatikára) Integrációs lehetőség MIR-rel és KIRrel

Prime Rate - ISO 27001 - Doqsys

ISO 27001 JELLEMZŐI II.

technológia független nemzetközi

(nem tartalmazza a nemzeti jogszabályokat) információs rendszerre (nemcsak

informatikára) Integrációs lehetőség MIR-rel és KIRrel

Prime Rate - ISO 27001 - Doqsys

Mi az a DRP és a BCP?

DRP: Disaster Recovery Plan – Katasztrófa utáni helyreállítási terv

Mikorra? Milyen funkcionalitással?

BCP: Business Continuity Plan – Üzletmenet-folytonossági terv

Nem az IT folytonosságának, hanem a működés folytonosságának biztosítása van a fókuszban!

Prime Rate - ISO 27001 - Doqsys

Amit elvégeztünk

áttekintettük az alkalmazott szoftver és hardver rendszereket, kommunikációs (hálózati) rendszereket, adathordozókat,

a személyi környezetet, a teljes fizikai környezetet és infrastruktúrát,

az adatok és dokumentumok fajtáit, keletkezésüket, kezelésüket és a hozzáférésük körülményeit.

meghatároztuk a biztonságpolitikát és létrehoztuk a szervezetre szabott Információbiztonsági Szabályzatot és kísérő dokumentumait.

És nap-mint nap fenntartunk és fejlesztünk!

Köszönöm a figyelmet!

Vigyázunk az adataikra!