IT biztonság és adatvédelmi alapok

Slides:



Advertisements
Hasonló előadás
Az elektronikus közigazgatási rendszerek biztonsága
Advertisements

Nemzeti Biztonsági Felügyelet
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
AZ INFORMATIKAI BIZTONSÁG
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.
Az Ibtv. civil-szakmai támogatása
2005. április 15.Kulcsár Zoltán - ppos.hu1 Adatvédelem az önkormányzatoknál Kulcsár Zoltán.
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Az idős ember méltóságát védő jogok idősek otthonában
Az információs jogok.
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
A nemzetközi ajánlások közös jellemzői: Egyensúly biztosítása a személyes adatok védelme és az információ szabad áramlása között A nemzetközi törvényhozásokban.
Adatvédelmi fogalmak.
Polgári védelmi feladatok a nem rendszeres hulladékszállítás során
Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében
Dr. Péterfalvi Attila: A NAIH internetes gyermekjogi projektje Balatonalmádi, szept.27.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Köszöntő avagy néhány mondat a felsőoktatásról. Adatkezelés a felsőoktatási intézményekben Bakonyi László elnök, Oktatási Hivatal.
MTA Statisztikai és Jövőkutatási Tudományos Bizottsága
Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,
Transzparencia, információszabadság és közérdekű adatok nyilvánossága Dr. Fazekas Judit Igazságügyi Minisztérium európai uniós ügyekért felelős helyettes.
ADATVÉDELEM – JOG évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
A múlt megismerhetősége, mint a közérdekű és személyes adatok kapcsolódási pontjai C SINK L ÓRÁNT főosztályvezető (KIM) egyetemi adjunktus (KRE)
Internettel kapcsolatos adatvédelmi kérdések Szabó Endre Győző Adatvédelmi Biztos Irodája november 20.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
Alapfogalmak.
Alkotmányos jogi védelem
Adatvédelmi alapelvek
KÖZIGAZGATÁSI ELJÁRÁS
MATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. Szádeczky Tamás e-közszolgáltatások tesztelési módszertana Törvényesség, szabványosság, biztonság.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Közigazgatás- technológiai kérdések Dr. Budai Balázs Benjámin.
Jogi tudnivalók Adatbiztonság. Adatbiztonsági osztályok Alapbiztonsági osztály Személyes adat, üzleti titok, pénzügyi adatok. Fokozott biztonsági osztály.
Az adatvédelem szabályozása
Adatbiztonság, adatvédelem, kockázatelemzés
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
avagy a zártság dilemmái
Munkavédelmi érdekképviselet és érdekegyeztetés Összeállította: dr. Váró György.
Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény tervezete
112 Dr. Dósa Imre.  Áttekintő  Új adatvédelmi törvény  Alapjogi beágyazás  Ráncfelvarrás  Újdonságok  Javaslatok a felkészüléshez.
Lojalitásprogramok és az adatvédelem Dr. Soós Andrea Klára szeptember.
Dr. Andrássy Gergely Herendi és Purebl Ügyvédi Iroda tel:
Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
A közigazgatási eljárás II.
ADATVÉDELEM – JOG évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
Adatvédelem? Valami jogászos kukacoskodás.
Információbiztonsági és adatvédelmi alapismeretek
Országos Statisztikai Tanács
A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr
A hivatalos statisztikáról szóló évi CLV. törvény bemutatása Dr
Ide kerülhet az előadás címe
Dr. Nagy Dóra Adriána ügyvéd
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
A GDPR alkalmazása Dr. Bokros Attila LL.M.
A GDPR jogi vonatkozásai
Nagyobb biztonság vagy több adminisztráció? - Górcső alatt a GDPR
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Dr. Nagy Dóra Adriána ügyvéd
Polgári társulások 2019 tények, tévhitek és a gyakorlat
Új adatvédelmi szabályok – Az EU adatvédelmi rendelete
Előadás másolata:

IT biztonság és adatvédelmi alapok dr. Kálmán János

Az e-közigazgatás gyenge pontjai Gyenge pontok IT biztonság Adatvédelem

Adatbiztonság Az adatbiztonság – az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Az adatok a megfelelő helyen és időben rendelkezésre álljanak az arra jogosult számára; Csak a tulajdonos engedélyével lehessen megváltoztatni, vagyis sértetlenek legyenek; Ha szükséges, akkor bizalmasan kezeljék őket; Hitelesek legyenek; Feldolgozásuk zavartalan legyen.

„Information warfare”

Kibervédelmi fenyegetettségek Kártékony kódok, programok: Vírus; Malware; Féreg (worm); Trójai. Rootkit (keylogger, tevékenységfigyelő) Adwere, spyware, ransomware

Ransomware

Kibervédelmi fenyegetettségek Szolgáltatásmegtagadást okozó támadások Az ilyen támadások lényege, hogy egy adott, interneten keresztül nyújtott hálózati szolgáltatást a támadó olyan módon támad meg, hogy a szolgáltatás a támadás miatt jelentősen lelassul vagy akár a sikeres támadás esetén teljes mértékben elérhetetlenné válik. szolgáltatásmegtagadás okozó támadás (DoS, Denial of Service) elosztott szolgáltatásmegtagadást okozó támadás (DDoS, Distributed Denial of Service)

Kibervédelmi fenyegetettségek

Kibervédelmi fenyegetettségek Jogosulatlan adathozzáférést elérő illetve adat módosítást elérő támadások Az incidensek lényege, hogy a rendszer által kezelt adatokhoz jogosultság nélkül hozzáfér illetéktelen felhasználó vagy támadó, súlyosabb esetben az adatokat módosítani is képes. További „minősített” eset, ha az illetéktelen felhasználó úgy képes ezt megtenni, hogy a tevékenység később nem visszakövethető. E-mail + jelszó!

Kibervédelmi fenyegetettségek Célzott támadások Végrehajtói professzionális szakemberek, akiket többnyire állami hírszerző szolgálatok vagy bűnöző szervezetek foglalkoztatnak. Fontos tulajdonsága a típusnak, hogy ezek a támadások egyértelműen egy adott célra irányulnak, azaz egy rendszer vagy ágazat ellen illetve megadott adatok illetve információk megszerzésére. Stuxnet (iráni atomprogram)

Célok Számítógépes hálózatok megbénítása, működésképtelenné tétele; Hibás, vagy megbízhatatlan működés, szematikai támadás; Adatlopás; Jogosulatlan használat vagy ehhez szükséges adatgyűjtés, adathalászat; Információgyűjtés, lehallgatással vagy megfigyeléssel.

Adatvédelem A demokrácia alapelve, hogy minden polgár megismerhesse az őt érintő közügyekre vonatkozó információkat Másik oldalról mindenkit megillet a magánélet védelme, a magántitok és a személyes adatok védelméhez való jog.

Adatvédelem nemzetközi alapelvei A nemzetközi ajánlások a következő alapelveket fogadták el: Meg kell határozni az adatgyűjtés célját és azt ismertetni az adatszolgáltatóval. Korlátokat kell felállítani, pontosan meghatározva az adatok körét, amire az adatgyűjtés kiterjedhet. Az adatok meghatározott csoportjához kell az adatvédelmi rendszert felépíteni. Az állampolgárral ismertetni kell, hogy kik jutnak hozzá az adataihoz. Biztosítani kell, hogy mindenki hozzáférjen a róla szóló adatokhoz, és az esetleges hibák kijavítása megtörténjék. Meg kell határozni azokat az adatcsoportokat, amelyek csak az érintett külön engedélyével tárolhatók. Az adatkezelő köteles az általa tárolt adatok védelmét biztosítani. Gondoskodni kell az adatvédelemre vonatkozó előírások betartásának ellenőrzéséről.

Adatvédelem alapelvei Az Internet használatának általános elfogadott erkölcseit a Netikett (Netiquette) rögzíti, amely a hálózati viselkedés alapelveinek egy minimális halmazát határozza meg. Néhány alapelv: Ha nem egy IS keresztül kerülsz kapcsolatba az Internettel, akkor fontos ismerned a munkáltatód szabályait az elektronikus levelek tulajdonjogáról Fel kell tételezned, hogy az Interneten történő levelezés nem biztonságos, kivéve, ha valamilyen rejtjelező eszközt használsz Tiszteld a szerző jogait avval az anyaggal kapcsolatban, amit másolsz Ha továbbküldesz egy üzenetet, akkor ne változtasd meg annak szóhasználatát. Ha ez egy neked írt személyes üzenet volt, és egy csoportnak kívánod továbbítani, akkor kérjél először engedélyt a feladótól.

Az adatvédelem hazai szabályozása 1989. évi XXX. törvény (Alkotmány módosítása) 15/1991. ABH 1992. évi LXIII. törvény (Infotv.) Alaptörvény + 2011. évi CXII. törvény (Infotv.2.) 2013. évi L. törvény (Ibt. tv.)

Az adatvédelem hazai szabályozása Alaptörvény VI. cikk (1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát, kapcsolattartását és jó hírnevét tiszteletben tartsák. (2) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (3) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. Info.tv. Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés; Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;

Az adatkezelés elvei Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

Korlátozott terjesztésű (10 év) Minősített adatok Szigorúan titkos (30 év) Titkos (30 év) Bizalmas (20 év) Korlátozott terjesztésű (10 év)

Visszaélés minősített adattal 265. § (1) Aki minősített adatot a) jogosulatlanul megszerez vagy felhasznál, b) jogosulatlan személy részére hozzáférhetővé, vagy jogosult személy részére hozzáférhetetlenné tesz, minősített adattal visszaélést követ el. (2) A büntetés a) vétség miatt elzárás, ha korlátozott terjesztésű, b) egy évig terjedő szabadságvesztés, ha bizalmas, c) bűntett miatt három évig terjedő szabadságvesztés, ha titkos, d) egy évtől öt évig terjedő szabadságvesztés, ha szigorúan titkos minősítésű adatra követik el a bűncselekményt.

Ibtv. Jelenleg ez a törvény a hazai kibervédelmi, illetve információ védelmi szabályozás alapja! A törvény alapvetően „keret törvénynek” készült, azaz főként az alapvetéseket tisztázza, a pontos részletszabályozás – technikai és technológiai szinten – alsóbb szintű jogszabályokban jelent meg. A törvény hatálya több ezer szervezetre terjed ki, köztük az államigazgatás, az önkormányzatok szervezeteire a kormányhivatalokra és az igazságszolgáltatás intézményrendszerére is.

Ibtv. A törvény számos feladatot ír elő az intézményeknek. Ezek közül a legfontosabbak kockázatelemzés elvégzése (rendszeresen) elektronikus információs rendszerek biztonsági osztályba sorolása szervezet biztonsági szintbe sorolása szabályozás kialakítása: Információ Biztonsági Politika, Információ Biztonsági Stratégia, Információ Biztonsági Szabályzat, stb. elektronikus információs rendszer biztonságáért felelős személy kijelölése, illetve e személynek az előírt feladatok ellátása

Egyéb titokfajták Banktitok Üzleti titok

Kibervédelem hazai intézményrendszere 2013. július 1.: hatályba lép az Ibtv. Heterogén szervezetrendszer: Hatósági feladatok: NEIH (NFM) + a kivételek (BM, NGM, HM, ME) Szakhatóság (sérülékenységvizsgálat): NBF (KIM) Kormányzati CERT: NBSZ (BM) Kiberbiztonsági Koordináció (Miniszterelnökség) Nehézkes együttműködés, szakemberhiány, forráshiány, infóhiány… 2014: e-közigazgatás és IT biztonság felelőse a BM 2015: Ibtv. felülvizsgálat, feladatkoncentráció

Kibervédelem hazai intézményrendszere 2015. július 16. előtt

Kibervédelem hazai intézményrendszere 2015. októberétől Belügyminisztérium Nemzeti Kiberbiztonsági Koordinációs Tanács Nemzeti Kiberbiztonsági Intézet Gov CERT NEIH Biztonságirányítás támogatás

Nemzeti Kiberbiztonsági Intézet Nemzeti Elektronikus Információbiztonsági Hatóság - Ibtv. 14-16.§ -187/2015. (VII. 13.) Korm. Rendelet - Ügyfelek és rendszerek nyilvántartása - Biztonsági osztályba és szintbe sorolás ellenőrzése - Követelmények teljesülésének ellenőrzése - Sérülékenységvizsgálat elrendelése - Javaslat létfontosságú rsz. kijelölésére - Javaslat információbiztonsági felügyelő kirendelésére Kormányzati eseménykezelő Központ - Ibtv. 19-20.§ - 185/2015. (VII. 13.) Korm. Rendelet - Biztonsági események kezelése - Fenyegetésmenedzsment - Ügyeleti szolgálat - Elemzés/értékelés - Kibervédelmi gyakorlat - Képzés, tudatosítás - Felelősök kijelölésének támogatása - Sérülékenységvizsgálat - Biztonságiesemény-kezelés kapcsán együttműködés a NISZ-szel - Rendszeres vezetői tájékoztatás Biztonságirányítás és sérülékenységvizsgálat - Ibtv. 18.§ - 60/2014. (III. 6.) Korm. Rendelet - Sérülékenységvizsgálat, valamint biztonsági események kivizsgálása - EMIR / FAIR rendszerekkel kapcsolatos informatikai biztonsági feladatok ellátása

Adatbiztonsági alapelvek Rendelkezésre állás: az adatoknak megfelelő helyen és időben rendelkezésre kell állniuk a jogosultak számára. Sértetlenség: az adatokat csak a tulajdonos engedélyével, vagy közreműködésével lehet meghatározni. Bizalmas kezelés: az adatokat bizalmasan kell kezelni, amennyiben az adat természete ezt szükségessé teszi. Hitelesség: az adatokat egyértelmű azonosítókkal kell ellátni. Működőképesség: az adatok feldolgozásának zavartalannak kell lennie, vagyis az információs rendszer működőképes állapotát meg kell őrizni.

Adatbiztonság közvetlen eszközei Kriptográfia Elektronikus aláírás Tűzfal Jelszavas védelem

Információkezelés a gyakorlatban Vezetői hozzáállás hiányosságai; Nincs megfelelő titokvédelmi/adatvédelmi osztályozás (biztonsági alapdokumentumok hiányoznak, nem naprakészek); Problémás a ki- és belépő munkatársak körüli adminisztráció; Fizikai veszélyforrások elleni védelem gyenge (tűzvédelem, egyéb elemi tényezőkkel szembeni védelem); Mentések hiányossága; Adathordozók megsemmisítésének szabályozatlansága; Jelszókezelés központi probléma.

Köszönöm figyelmüket!