340 likes | 429 Views
Napjaink kihívásai, információvédelem. „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”. 2012. Prime Rate Alapítás éve: 1994 Tulajdonosi hátér: magyarországi magánszemélyek Dolgozók száma: 105 fő
E N D
Napjaink kihívásai, információvédelem „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!” 2012
Prime Rate Alapítás éve:1994 Tulajdonosi hátér: magyarországi magánszemélyek Dolgozók száma: 105 fő Nettó árbevétel (2011): 2,6 Mrd. Forint Székhely: Budapest, Megyeri út 53. A helyszín
Digitális nyomtatás vezető szerep • A régió legmodernebb digitális nyomdája (13 nyomógép, teljes körű kötészet) • Piacvezető a kibocsátásban (színes digitális nyomtatás 30%, egyszínes digitális nyomtatás 10%) • Biztonság (ISO9001-14001-27001, 15 éves gyakorlat, beléptető és kamerarendszer, titkosított adatkapcsolat, védett szerverterem, stb.) A tevékenység
Évtizedes együttműködés • Közös projektek • Egymásra épülő szolgáltatások • pl.:papíralapú számlák – elektronikus számlák • Infrastruktúra biztosítás (A Doqsys beszállítói számláinak feldolgozása az Invoicehotel alapokon) • A Prime Rate 33 %-os tulajdonos A kapcsolat
A XXI. században is sikeresen működni akaró vállalatoknál a használt információ-technológia alapvető sikertényező. A tárolt információk a működés, a döntések és az üzleti sikerek alapja. A szervezetek felépítése ERP ( Enterprise Resource Planning)- SCM(Supply Chain Management) - Hálózatos szervezetek - Virtuális szervezetek • Materiális vagyon - információ vagyon Új helyzet – új értékek
Sajátságos kettősség A siker érdekében a szervezetek növelik az információk gyűjtésére és hierarchikus feldolgozására tett igyekezeteiket . fenyegetettebbé tesz információvédelem Információ: sikertényező és kockázat
IDG Global Solutions (szponzor a HP)IT Infrastructure: A European IT Management Perspective • 13 IT téma relatív fontossági rangsorában 1. az adatvédelem 4.55 átlaggal • A költségcsökkentést minden országban megelőzi az adatvédelem • IT stratégia probléma terület: 1. biztonság 39% • Tech/Tudomány - 414 darab 100 fő feletti magyar cég • Minden ötödik céget kár ért az információbiztonság gyengesége miatt • az informatikai adatbiztonságot a cégvezetők csak közepes fontosságú kérdésként kezelik • Ernst&Young (2010) A válaszadók 60 %érzékel kockázatot Információbiztonsági trendek az IT oldaláról
KPMGGlobal Information Security SurveyA vizsgált cégeknek átlag 108.000 USD káruk volt IT incidensekből • Ebből a bizalmas adatok elvesztéséből az átlag: 197.000 USD • Csak a cégek 60%-nál készül valamilyen inf. biztonsági jelentés • A biztonságért felelősöknek csak 43% tudta mennyit költenek rá • „A megelőzés jobb, mint az utólagos kezelés” • GartnerA világ informatikai beruházásokra fordított összegének egyre nagyobb részét teszi ki az informatikai biztonság2000 – 5%; 2001 – 11%; 2004 – 40%.... 2010 – 45% Információbiztonsági trendek az IT oldaláról
„…a legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni,…” (Kürt Kft.) Információbiztonsági trendek
Üzleti intelligencia • Offenzív Információszerzés, elemzés • Defenzív Információvédelem Információbiztonsági trendek
A védelem célja, előnyök: • a folyamatos működés megszakadás, zavarás megelőzése, • a döntéstámogatás elvesztésének megelőzése, • veszteségek, kockázatok , problémák elkerülése/ kezelése • kellő gondosság biztosítása • a bizalmasság (csak azok férjenek hozzá, akik jogosultak) elvesztésének elkerülése, • nyomon követhető a rendszer, az események • a vezetői felügyelet megörzése, stb. A VÉDELEM CÉLJA (Belső)
A védelem célja, előnyök: • partnereknek információ, a szükséges korlátokkal • vevői bizalom nő • piaci versenyben előny • vevők, bevétel elvesztés megelőzése, • hírnév, goodwill, cégimázs A VÉDELEM CÉLJA (Külső)
Milyen lenne az ideális IT Biztonság? Adminisztratív védelem Fizikai védelem Logikai védelem (technikai megoldások) Teljes körű + Humán erőforrás
A védelmi intézkedések: Fizikai védelem • Vagyonvédelmi • Tűzvédelmi • Beléptető- • Videó megfigyelő- rendszerek • Szünetmentes áram- források Logikai védelem • Tűzfalak • Behatolás-érzékelő rendszerek • Autentikációs rendszerek • Publikus kulcsú infrastruktúra – PKI • Titkosítás • Tartalomszűrés • Virtuális magánhálózat – VPN • Mentési/archiválási rendszerek • Jogosultsági rendszerek • Vírusvédelem Adminisztratív védelem • Informatikai biztonsági politika • Informatikai biztonsági szabályzat • Üzletmenet-folytonossági terv – BCP • Katasztrófa-elhárítási terv – DRP Milyen lenne az ideális IT Biztonság?
Egyenszilárd • Kockázat arányos • Mérhető (?) • Biztonsági követelmények szerinti • Időben állandó (!) • Gazdaságos • Minden szervezeti szinten érvényes Milyen lenne az ideális IT Biztonság?
Mi a valóság az IT Biztonság területén? • Nincs egységes ajánlás vagy szabvány • pl.: CobiT, ISO 27001, CC, ITSEC, stb. • Eltérő hangsúlyok, más szemlélet • Időben változó kockázatok • pl.: technikai, környezeti változások • Cégek nagy része: logikai védelem • “kérek egy tűzfalat” • Az IT biztonsági problémák ~80%-a belső eredetű!
A személyes adeatok védelméhez való alapvető jog – Alaptörvény • Alaptörvény VI. cikk (2) és (3) bekezdése: Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. A jogi vetület
Az új datvédelmi törvény (2012): • 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról • Új technológiák • Új adatkezelési jogalapok • Adatvédelmi biztos – Hatóság • Nagyobb szankciók • Pontosítások • Jogharmonizáció (A törvény hatálya változatlan- Kivétel: EU-n átmenő adatforgalom, természetes személy saját céljai) Adatvédelmi törvényA személyes adat fogalma
Az új datvédelmi törvény • Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy többfizikai, fiziológiai, mentélis, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret – valamint az adatból levonható, az érintettre vonatkozó következtetés • Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy • A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az datkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. A személyes adat fogalma
Az adatkezelés fogalma • Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, rovábbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok továbi felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. újj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése Az adatkezelés – mint jogviszony
Az adatkezelő fogalma Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy általa megbízott adatfeldolgozóval végrehajtatja. • Az adatkezelést be kell jelenteni (NAIH nyilvántartásba veszi) (Kivétel: adatkezelővel tagsági-, munkaviszonyban, ügyfélkapcsolatban álló személyek adatkezelését...) DE be kell jelenteni az ügyfélkapcsolatot pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók esetében /65. (3) bek. / Az adatkezelő
Az adatfeldolgozó fogalma • Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik; • Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – az adatkezelővel kötött szerződés alapján – (…) a személye adatok feldolgozását végzi. Az adatfeldolgozó
Részletszabályok • Az adatkezelő írásos megbízás alapján végzi tevékenységét; • Csak technikai feladatok ellátása a személyes adatokkal, érdemi döntés nélkül; • Az utasítások jogszerűségéért az adatkezelő felel; • Az adatfeldolgozó a technikai műveletekért felel; • Adatfeldolgozó alvállalkozót nem vehet igénybe; • Saját célra adatot nem dolgozhat fel; • Nem bízható meg olyan cég aki érdekelt az adatkezelő üzleti tevékenységében; • Tájékoztatni kell az érintetteket; Adatfeldolgozás
Az adatkezelés alapvető feltételei • 1. célhozkötöttség elve (legfontosabb elv) /Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.(...)/ • 2. az adatkezelés jogalapja • 3. egyértelmű, részletes tájékoztatás • 4. adatvédelmi nyilvántartás Az adatkezelés feltételei
Az Invoicehotel keretében nincs adatkezelés! • Ténylegesen és jogi szempontból is adatfeldolgozásrólbeszélünk! • Minden feltétel biztosított! • Napi gyakorlat! • Rendszeresen auditált környezet, független nemzetközi auditorok által! JÓ HÍR!
Visszaélés személyes adattal – 177/A. § • Visszaélés közérdekű adattal – 177/B. § • Magántitok jogosulatlan megismerése – 178/A. § • Üzleti titok megsértése – 300. § • Banktitok megsértése – 300/A-B. § • Számítástechnikai rendszer és adatok elleni bűncselekmény 300/C. § Nemzeti Adatvédelmi és Információszabadság Hatóság Büntetőjog - ultima ratio
AZ INFORMÁCIÓBIZTONSÁG FOGALMA Adatok és a működés teljes körű, folytonos és a kockázatokkal arányos biztonsága sértetlenség(teljesség, hitelesség, pontosság) (integrity) az információ és a feldolgozási módszerek pontosságának és teljességének biztosítása [MSZ ISO/IEC 27001:2006] rendelkezésre állás(availability) annak biztosítása, hogy amikor szükséges, feljogosított felhasználók hozzáférhetnek az információhoz és a kapcsolódó vagyontárgyakhoz [MSZ ISO/IEC 27001:2006] bizalmasság (confidentiality) annak biztosítása, hogy az információ csak azok számára elérhető, akik erre feljogosítottak [MSZ ISO/IEC 27001:2006] Megközelítés
Hatékonyság • Hatásosság • Bizalmasság • Sértetlenség • Rendelkezésre állás • Megfelelőség • Megbízhatóság IT biztonsági kritériumok Szemléletmód
ISO 27001 JELLEMZŐI I. • a legjobb gyakorlat szabvánnyá emelése • menedzsment rendszer (nem technika, termék) • üzleti célokkal összhang biztosítása • alkalmazható minden ágazatra, közösségi és magán szektorra is • bizalmasság, sértetlenség, rendelkezésre állás mellett szempont az értékelhetőség és a tanúsíthatóság Prime Rate - ISO 27001 - Doqsys
ISO 27001 JELLEMZŐI II. • technológia független • nemzetközi(nem tartalmazza a nemzeti jogszabályokat) • információs rendszerre (nemcsak informatikára) • Integrációs lehetőség MIR-rel és KIRrel Prime Rate - ISO 27001 - Doqsys
ISO 27001 JELLEMZŐI II. • technológia független • nemzetközi(nem tartalmazza a nemzeti jogszabályokat) • információs rendszerre (nemcsak informatikára) • Integrációs lehetőség MIR-rel és KIRrel Prime Rate - ISO 27001 - Doqsys
DRP: Disaster Recovery Plan – Katasztrófa utáni helyreállítási terv • Mikorra? • Milyen funkcionalitással? • BCP: Business Continuity Plan – Üzletmenet-folytonossági terv • Nem az IT folytonosságának, hanem a működés folytonosságának biztosítása van a fókuszban! Mi az a DRP és a BCP?
Amit elvégeztünk • áttekintettük az alkalmazott szoftver és hardver rendszereket, kommunikációs (hálózati) rendszereket, adathordozókat, • a személyi környezetet, a teljes fizikai környezetet és infrastruktúrát, • az adatok és dokumentumok fajtáit, keletkezésüket, kezelésüket és a hozzáférésük körülményeit. • meghatároztuk a biztonságpolitikát és létrehoztuk a szervezetre szabott Információbiztonsági Szabályzatot és kísérő dokumentumait. És nap-mint nap fenntartunk és fejlesztünk! Prime Rate - ISO 27001 - Doqsys
Köszönöm a figyelmet! Vigyázunk az adataikra!