Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Napjaink kihívásai, információvédelem 2012 „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”

Hasonló előadás


Az előadások a következő témára: "Napjaink kihívásai, információvédelem 2012 „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”"— Előadás másolata:

1 Napjaink kihívásai, információvédelem 2012 „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”

2 A helyszín Prime Rate Alapítás éve:1994 Tulajdonosi hátér: magyarországi magánszemélyek Dolgozók száma: 105 fő Nettó árbevétel (2011): 2,6 Mrd. Forint Székhely: Budapest, Megyeri út 53.

3 A tevékenység Digitális nyomtatás vezető szerep • A régió legmodernebb digitális nyomdája (13 nyomógép, teljes körű kötészet) • Piacvezető a kibocsátásban (színes digitális nyomtatás 30%, egyszínes digitális nyomtatás 10%) • Biztonság (ISO , 15 éves gyakorlat, beléptető és kamerarendszer, titkosított adatkapcsolat, védett szerverterem, stb.)

4 A kapcsolat  Évtizedes együttműködés  Közös projektek  Egymásra épülő szolgáltatások  pl.:papíralapú számlák – elektronikus számlák  Infrastruktúra biztosítás (A Doqsys beszállítói számláinak feldolgozása az Invoicehotel alapokon)  A Prime Rate 33 %-os tulajdonos

5 Új helyzet – új értékek  A XXI. században is sikeresen működni akaró vállalatoknál a használt információ-technológia alapvető sikertényező. A tárolt információk a működés, a döntések és az üzleti sikerek alapja. A szervezetek felépítése ERP ( Enterprise Resource Planning) - SCM (Supply Chain Management) - Hálózatos szervezetek - Virtuális szervezetek  Materiális vagyon - információ vagyon

6 Információ: sikertényező és kockázat Sajátságos kettősség fenyegetettebbé tesz információvédelem A siker érdekében a szervezetek növelik az információk gyűjtésére és hierarchikus feldolgozására tett igyekezeteiket.

7 Információbiztonsági trendek az IT oldaláról  IDG Global Solutions (szponzor a HP) IT Infrastructure: A European IT Management Perspective  13 IT téma relatív fontossági rangsorában 1. az adatvédelem 4.55 átlaggal  A költségcsökkentést minden országban megelőzi az adatvédelem  IT stratégia probléma terület: 1. biztonság 39%  Tech/Tudomány darab 100 fő feletti magyar cég  Minden ötödik céget kár ért az információbiztonság gyengesége miatt  az informatikai adatbiztonságot a cégvezetők csak közepes fontosságú kérdésként kezelik  Ernst&Young (2010) A válaszadók 60 %érzékel kockázatot

8 Információbiztonsági trendek az IT oldaláról  KPMG Global Information Security Survey A vizsgált cégeknek átlag USD káruk volt IT incidensekből  Ebből a bizalmas adatok elvesztéséből az átlag: USD  Csak a cégek 60%-nál készül valamilyen inf. biztonsági jelentés  A biztonságért felelősöknek csak 43% tudta mennyit költenek rá  „A megelőzés jobb, mint az utólagos kezelés”  Gartner A világ informatikai beruházásokra fordított összegének egyre nagyobb részét teszi ki az informatikai biztonság 2000 – 5%; 2001 – 11%; 2004 – 40% – 45%

9 Információbiztonsági trendek „…a legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni,…” (Kürt Kft.)

10 Információbiztonsági trendek Üzleti intelligencia  Offenzív Információszerzés, elemzés  Defenzív Információvédelem

11 A védelem célja, előnyök:  a folyamatos működés megszakadás, zavarás megelőzése,  a döntéstámogatás elvesztésének megelőzése,  veszteségek, kockázatok, problémák elkerülése/ kezelése  kellő gondosság biztosítása  a bizalmasság (csak azok férjenek hozzá, akik jogosultak) elvesztésének elkerülése,  nyomon követhető a rendszer, az események  a vezetői felügyelet megörzése, stb. A VÉDELEM CÉLJA (Belső)

12 A védelem célja, előnyök:  partnereknek információ, a szükséges korlátokkal  vevői bizalom nő  piaci versenyben előny  vevők, bevétel elvesztés megelőzése,  hírnév, goodwill, cégimázs A VÉDELEM CÉLJA (Külső)

13 Teljes körű Milyen lenne az ideális IT Biztonság? Fizikai védelem Adminisztratív védelem Logikai védelem (technikai megoldások) + Humán erőforrás

14 Milyen lenne az ideális IT Biztonság? A védelmi intézkedések: Adminisztratív védelem • Informatikai biztonsági politika • Informatikai biztonsági szabályzat • Üzletmenet-folytonossági terv – BCP • Katasztrófa-elhárítási terv – DRP Logikai védelem •Tűzfalak • Behatolás-érzékelő rendszerek • Autentikációs rendszerek • Publikus kulcsú infrastruktúra – PKI • Titkosítás • Tartalomszűrés • Virtuális magánhálózat – VPN • Mentési/archiválási rendszerek • Jogosultsági rendszerek • Vírusvédelem Fizikai védelem • Vagyonvédelmi • Tűzvédelmi • Beléptető- • Videó megfigyelő- rendszerek • Szünetmentes áram- források

15  Egyenszilárd  Kockázat arányos  Mérhető (?)  Biztonsági követelmények szerinti  Időben állandó (!)  Gazdaságos  Minden szervezeti szinten érvényes Milyen lenne az ideális IT Biztonság?

16  Nincs egységes ajánlás vagy szabvány  pl.: CobiT, ISO 27001, CC, ITSEC, stb.  Eltérő hangsúlyok, más szemlélet  Időben változó kockázatok  pl.: technikai, környezeti változások  Cégek nagy része: logikai védelem  “kérek egy tűzfalat”  Az IT biztonsági problémák ~80%-a belső eredetű! Mi a valóság az IT Biztonság területén?

17 A jogi vetület A személyes adeatok védelméhez való alapvető jog – Alaptörvény  Alaptörvény VI. cikk (2) és (3) bekezdése: Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.

18 Adatvédelmi törvény A személyes adat fogalma Az új datvédelmi törvény (2012):  évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról – Új technológiák – Új adatkezelési jogalapok – Adatvédelmi biztos – Hatóság – Nagyobb szankciók – Pontosítások – Jogharmonizáció (A törvény hatálya változatlan- Kivétel: EU-n átmenő adatforgalom, természetes személy saját céljai)

19 A személyes adat fogalma Az új datvédelmi törvény  Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy többfizikai, fiziológiai, mentélis, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret – valamint az adatból levonható, az érintettre vonatkozó következtetés  Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy  A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az datkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

20 Az adatkezelés – mint jogviszony Az adatkezelés fogalma  Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, rovábbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok továbi felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. újj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése

21 Az adatkezelő Az adatkezelő fogalma Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy általa megbízott adatfeldolgozóval végrehajtatja.  Az adatkezelést be kell jelenteni (NAIH nyilvántartásba veszi) (Kivétel: adatkezelővel tagsági-, munkaviszonyban, ügyfélkapcsolatban álló személyek adatkezelését...) DE be kell jelenteni az ügyfélkapcsolatot pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók esetében /65. (3) bek. /

22 Az adatfeldolgozó Az adatfeldolgozó fogalma  Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik;  Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – az adatkezelővel kötött szerződés alapján – (…) a személye adatok feldolgozását végzi.

23 Adatfeldolgozás Részletszabályok  Az adatkezelő írásos megbízás alapján végzi tevékenységét;  Csak technikai feladatok ellátása a személyes adatokkal, érdemi döntés nélkül;  Az utasítások jogszerűségéért az adatkezelő felel;  Az adatfeldolgozó a technikai műveletekért felel;  Adatfeldolgozó alvállalkozót nem vehet igénybe;  Saját célra adatot nem dolgozhat fel;  Nem bízható meg olyan cég aki érdekelt az adatkezelő üzleti tevékenységében;  Tájékoztatni kell az érintetteket;

24 Az adatkezelés feltételei Az adatkezelés alapvető feltételei  1. célhozkötöttség elve (legfontosabb elv) /Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.(...)/  2. az adatkezelés jogalapja  3. egyértelmű, részletes tájékoztatás  4. adatvédelmi nyilvántartás

25 JÓ HÍR!  Az Invoicehotel keretében nincs adatkezelés!  Ténylegesen és jogi szempontból is adatfeldolgozásról beszélünk!  Minden feltétel biztosított!  Napi gyakorlat!  Rendszeresen auditált környezet, független nemzetközi auditorok által!

26 Büntetőjog - ultima ratio  Visszaélés személyes adattal – 177/A. §  Visszaélés közérdekű adattal – 177/B. §  Magántitok jogosulatlan megismerése – 178/A. §  Üzleti titok megsértése – 300. §  Banktitok megsértése – 300/A-B. §  Számítástechnikai rendszer és adatok elleni bűncselekmény 300/C. § Nemzeti Adatvédelmi és Információszabadság Hatóság

27 sértetlenség (teljesség, hitelesség, pontosság) (integrity) az információ és a feldolgozási módszerek pontosságának és teljességének biztosítása [MSZ ISO/IEC 27001:2006] rendelkezésre állás (availability) annak biztosítása, hogy amikor szükséges, feljogosított felhasználók hozzáférhetnek az információhoz és a kapcsolódó vagyontárgyakhoz [MSZ ISO/IEC 27001:2006] bizalmasság (confidentiality) annak biztosítása, hogy az információ csak azok számára elérhető, akik erre feljogosítottak [MSZ ISO/IEC 27001:2006] AZ INFORMÁCIÓBIZTONSÁG FOGALMA Adatok és a működés teljes körű, folytonos és a kockázatokkal arányos biztonsága Megközelítés

28 •Hatékonyság •Hatásosság •Bizalmasság •Sértetlenség •Rendelkezésre állás •Megfelelőség •Megbízhatóság IT biztonsági kritériumok Szemléletmód

29 ISO JELLEMZŐI I.  a legjobb gyakorlat szabvánnyá emelése  menedzsment rendszer (nem technika, termék)  üzleti célokkal összhang biztosítása  alkalmazható minden ágazatra, közösségi és magán szektorra is  bizalmasság, sértetlenség, rendelkezésre állás mellett szempont az értékelhetőség és a tanúsíthatóság Prime Rate - ISO Doqsys

30 ISO JELLEMZŐI II.  technológia független  nemzetközi (nem tartalmazza a nemzeti jogszabályokat)  információs rendszerre (nemcsak informatikára)  Integrációs lehetőség MIR-rel és KIRrel Prime Rate - ISO Doqsys

31 ISO JELLEMZŐI II.  technológia független  nemzetközi (nem tartalmazza a nemzeti jogszabályokat)  információs rendszerre (nemcsak informatikára)  Integrációs lehetőség MIR-rel és KIRrel Prime Rate - ISO Doqsys

32 Mi az a DRP és a BCP?  DRP: Disaster Recovery Plan – Katasztrófa utáni helyreállítási terv  Mikorra?  Milyen funkcionalitással?  BCP: Business Continuity Plan – Üzletmenet-folytonossági terv  Nem az IT folytonosságának, hanem a működés folytonosságának biztosítása van a fókuszban!

33 Prime Rate - ISO Doqsys Amit elvégeztünk  áttekintettük az alkalmazott szoftver és hardver rendszereket, kommunikációs (hálózati) rendszereket, adathordozókat,  a személyi környezetet, a teljes fizikai környezetet és infrastruktúrát,  az adatok és dokumentumok fajtáit, keletkezésüket, kezelésüket és a hozzáférésük körülményeit.  meghatároztuk a biztonságpolitikát és létrehoztuk a szervezetre szabott Információbiztonsági Szabályzatot és kísérő dokumentumait. És nap-mint nap fenntartunk és fejlesztünk!

34 Köszönöm a figyelmet! Vigyázunk az adataikra!


Letölteni ppt "Napjaink kihívásai, információvédelem 2012 „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”"

Hasonló előadás


Google Hirdetések