Napjaink kihívásai, információvédelem

Slides:



Advertisements
Hasonló előadás
Információbiztonság irányítása
Advertisements

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Az új Pmt. alkalmazásának gyakorlati tapasztalatai és az ebből fakadó felügyeleti feladatok Kriminálexpo április 16. Kérdő Gyula PSZÁF.
VisiScanner TM Beltéri látogatóelemző szoftver A vállalatról…  2005-ben alapították magyar szakemberek.
1 Felszámolók Országos Egyesülete Balatonalmádi Szeptember 6.
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Az információs jogok.
Munkavédelmi előírások rendszere
Adatvédelmi fogalmak.
A személyes adatok védelme és a közérdekű adatok nyilvánossága
Szoftverminőség biztosítása
A diplomás pályakövetés egyes jogi aspektusai Dr. Görög Márta, SZTE ÁJTK egyetemi docens Szeged, április 29.
Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében
Dr. Péterfalvi Attila: A NAIH internetes gyermekjogi projektje Balatonalmádi, szept.27.
Köszöntő avagy néhány mondat a felsőoktatásról. Adatkezelés a felsőoktatási intézményekben Bakonyi László elnök, Oktatási Hivatal.
MTA Statisztikai és Jövőkutatási Tudományos Bizottsága
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
ADATVÉDELEM – JOG évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
Az adatbiztonság fizikai biztonsági vetülete
A múlt megismerhetősége, mint a közérdekű és személyes adatok kapcsolódási pontjai C SINK L ÓRÁNT főosztályvezető (KIM) egyetemi adjunktus (KRE)
Internettel kapcsolatos adatvédelmi kérdések Szabó Endre Győző Adatvédelmi Biztos Irodája november 20.
Személyes adat Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból.
Alapfogalmak.
Alkotmányos jogi védelem
Adatvédelmi alapelvek
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
Belső ellenőrzés az önkormányzatoknál
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Az adatvédelem szabályozása
Adatbiztonság, adatvédelem, kockázatelemzés
Szervezeten belüli adatvédelem
Stipkovits István ISZ auditor SGS Hungária Kft.
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
112 Dr. Dósa Imre.  Áttekintő  Új adatvédelmi törvény  Alapjogi beágyazás  Ráncfelvarrás  Újdonságok  Javaslatok a felkészüléshez.
Lojalitásprogramok és az adatvédelem Dr. Soós Andrea Klára szeptember.
Dr. Andrássy Gergely Herendi és Purebl Ügyvédi Iroda tel:
Personalization and privacy: a survey of privacy risks and remedies in personalization-based systems Eran Toch · Yang Wang · Lorrie Faith Cranor.
Biztonsági követelmények a beszállítókkal szemben
. A Big Data emberi arca.
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
ADATVÉDELEM – JOG évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
Adatvédelem? Valami jogászos kukacoskodás.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Információbiztonsági és adatvédelmi alapismeretek
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Szenzor Gazdaságmérnöki Kft.
Ide kerülhet az előadás címe
Dr. Nagy Dóra Adriána ügyvéd
A GDPR alkalmazása Dr. Bokros Attila LL.M.
A GDPR jogi vonatkozásai
Nagyobb biztonság vagy több adminisztráció? - Górcső alatt a GDPR
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Biztonság és GDPR kancellar.hu
Dr. Nagy Dóra Adriána ügyvéd
Polgári társulások 2019 tények, tévhitek és a gyakorlat
Új adatvédelmi szabályok – Az EU adatvédelmi rendelete
GDPR szakmai nap május 9..
Előadás másolata:

Napjaink kihívásai, információvédelem „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!” 2012

Prime Rate A helyszín Alapítás éve:1994 Tulajdonosi hátér: magyarországi magánszemélyek Dolgozók száma: 105 fő Nettó árbevétel (2011): 2,6 Mrd. Forint Székhely: Budapest, Megyeri út 53. A helyszín

A tevékenység Digitális nyomtatás vezető szerep A régió legmodernebb digitális nyomdája (13 nyomógép, teljes körű kötészet) Piacvezető a kibocsátásban (színes digitális nyomtatás 30%, egyszínes digitális nyomtatás 10%) Biztonság (ISO9001-14001-27001, 15 éves gyakorlat, beléptető és kamerarendszer, titkosított adatkapcsolat, védett szerverterem, stb.) A tevékenység

A kapcsolat Évtizedes együttműködés Közös projektek Egymásra épülő szolgáltatások pl.:papíralapú számlák – elektronikus számlák Infrastruktúra biztosítás (A Doqsys beszállítói számláinak feldolgozása az Invoicehotel alapokon) A Prime Rate 33 %-os tulajdonos A kapcsolat

A XXI. században is sikeresen működni akaró vállalatoknál a használt információ-technológia alapvető sikertényező. A tárolt információk a működés, a döntések és az üzleti sikerek alapja. A szervezetek felépítése ERP ( Enterprise Resource Planning) - SCM(Supply Chain Management) - Hálózatos szervezetek - Virtuális szervezetek Materiális vagyon - információ vagyon Új helyzet – új értékek

Információ: sikertényező és kockázat Sajátságos kettősség A siker érdekében a szervezetek növelik az információk gyűjtésére és hierarchikus feldolgozására tett igyekezeteiket . fenyegetettebbé tesz információvédelem Információ: sikertényező és kockázat

Információbiztonsági trendek az IT oldaláról IDG Global Solutions (szponzor a HP) IT Infrastructure: A European IT Management Perspective 13 IT téma relatív fontossági rangsorában 1. az adatvédelem 4.55 átlaggal A költségcsökkentést minden országban megelőzi az adatvédelem IT stratégia probléma terület: 1. biztonság 39% Tech/Tudomány - 414 darab 100 fő feletti magyar cég Minden ötödik céget kár ért az információbiztonság gyengesége miatt az informatikai adatbiztonságot a cégvezetők csak közepes fontosságú kérdésként kezelik Ernst&Young (2010) A válaszadók 60 %érzékel kockázatot Információbiztonsági trendek az IT oldaláról

Információbiztonsági trendek az IT oldaláról KPMG Global Information Security Survey A vizsgált cégeknek átlag 108.000 USD káruk volt IT incidensekből Ebből a bizalmas adatok elvesztéséből az átlag: 197.000 USD Csak a cégek 60%-nál készül valamilyen inf. biztonsági jelentés A biztonságért felelősöknek csak 43% tudta mennyit költenek rá „A megelőzés jobb, mint az utólagos kezelés” Gartner A világ informatikai beruházásokra fordított összegének egyre nagyobb részét teszi ki az informatikai biztonság 2000 – 5%; 2001 – 11%; 2004 – 40%.... 2010 – 45% Információbiztonsági trendek az IT oldaláról

Információbiztonsági trendek „…a legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni,…” (Kürt Kft.) Információbiztonsági trendek

Információbiztonsági trendek Üzleti intelligencia Offenzív Információszerzés, elemzés Defenzív Információvédelem Információbiztonsági trendek

A VÉDELEM CÉLJA (Belső) A védelem célja, előnyök: a folyamatos működés megszakadás, zavarás megelőzése, a döntéstámogatás elvesztésének megelőzése, veszteségek, kockázatok , problémák elkerülése/ kezelése kellő gondosság biztosítása a bizalmasság (csak azok férjenek hozzá, akik jogosultak) elvesztésének elkerülése, nyomon követhető a rendszer, az események a vezetői felügyelet megörzése, stb. De ehhez be is kell tartani… A VÉDELEM CÉLJA (Belső) 11

A VÉDELEM CÉLJA (Külső) A védelem célja, előnyök: partnereknek információ, a szükséges korlátokkal vevői bizalom nő piaci versenyben előny vevők, bevétel elvesztés megelőzése, hírnév, goodwill, cégimázs De ehhez be is kell tartani… A VÉDELEM CÉLJA (Külső) 12

Milyen lenne az ideális IT Biztonság? Teljes körű + Humán erőforrás Logikai védelem (technikai megoldások) Adminisztratív védelem Fizikai védelem Milyen lenne az ideális IT Biztonság?

A védelmi intézkedések: Fizikai védelem Vagyonvédelmi Tűzvédelmi Beléptető- Videó megfigyelő- rendszerek Szünetmentes áram- források Logikai védelem Tűzfalak Behatolás-érzékelő rendszerek Autentikációs rendszerek Publikus kulcsú infrastruktúra – PKI Titkosítás Tartalomszűrés Virtuális magánhálózat – VPN Mentési/archiválási rendszerek Jogosultsági rendszerek Vírusvédelem Adminisztratív védelem Informatikai biztonsági politika szabályzat Üzletmenet-folytonossági terv – BCP Katasztrófa-elhárítási terv – DRP Milyen lenne az ideális IT Biztonság?

Egyenszilárd Kockázat arányos Mérhető (?) Biztonsági követelmények szerinti Időben állandó (!) Gazdaságos Minden szervezeti szinten érvényes Milyen lenne az ideális IT Biztonság?

Mi a valóság az IT Biztonság területén? Nincs egységes ajánlás vagy szabvány pl.: CobiT, ISO 27001, CC, ITSEC, stb. Eltérő hangsúlyok, más szemlélet Időben változó kockázatok pl.: technikai, környezeti változások Cégek nagy része: logikai védelem “kérek egy tűzfalat” Az IT biztonsági problémák ~80%-a belső eredetű! Mi a valóság az IT Biztonság területén?

A személyes adeatok védelméhez való alapvető jog – Alaptörvény VI. cikk (2) és (3) bekezdése: Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. A jogi vetület 17

Adatvédelmi törvény A személyes adat fogalma Az új datvédelmi törvény (2012): 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról Új technológiák Új adatkezelési jogalapok Adatvédelmi biztos – Hatóság Nagyobb szankciók Pontosítások Jogharmonizáció (A törvény hatálya változatlan- Kivétel: EU-n átmenő adatforgalom, természetes személy saját céljai) Adatvédelmi törvény A személyes adat fogalma 18

A személyes adat fogalma Az új datvédelmi törvény Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy többfizikai, fiziológiai, mentélis, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret – valamint az adatból levonható, az érintettre vonatkozó következtetés Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az datkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. A személyes adat fogalma

Az adatkezelés – mint jogviszony Az adatkezelés fogalma Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, rovábbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok továbi felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. újj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése Az adatkezelés – mint jogviszony 20

Az adatkezelő Az adatkezelő fogalma Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy általa megbízott adatfeldolgozóval végrehajtatja. Az adatkezelést be kell jelenteni (NAIH nyilvántartásba veszi) (Kivétel: adatkezelővel tagsági-, munkaviszonyban, ügyfélkapcsolatban álló személyek adatkezelését...) DE be kell jelenteni az ügyfélkapcsolatot pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók esetében /65. (3) bek. / Az adatkezelő

Az adatfeldolgozó Az adatfeldolgozó fogalma Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik; Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – az adatkezelővel kötött szerződés alapján – (…) a személye adatok feldolgozását végzi. Az adatfeldolgozó

Adatfeldolgozás Részletszabályok Az adatkezelő írásos megbízás alapján végzi tevékenységét; Csak technikai feladatok ellátása a személyes adatokkal, érdemi döntés nélkül; Az utasítások jogszerűségéért az adatkezelő felel; Az adatfeldolgozó a technikai műveletekért felel; Adatfeldolgozó alvállalkozót nem vehet igénybe; Saját célra adatot nem dolgozhat fel; Nem bízható meg olyan cég aki érdekelt az adatkezelő üzleti tevékenységében; Tájékoztatni kell az érintetteket; Adatfeldolgozás

Az adatkezelés feltételei Az adatkezelés alapvető feltételei 1. célhozkötöttség elve (legfontosabb elv) /Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.(...)/ 2. az adatkezelés jogalapja 3. egyértelmű, részletes tájékoztatás 4. adatvédelmi nyilvántartás Az adatkezelés feltételei

JÓ HÍR! Az Invoicehotel keretében nincs adatkezelés! Ténylegesen és jogi szempontból is adatfeldolgozásról beszélünk! Minden feltétel biztosított! Napi gyakorlat! Rendszeresen auditált környezet, független nemzetközi auditorok által! JÓ HÍR!

Büntetőjog - ultima ratio Visszaélés személyes adattal – 177/A. § Visszaélés közérdekű adattal – 177/B. § Magántitok jogosulatlan megismerése – 178/A. § Üzleti titok megsértése – 300. § Banktitok megsértése – 300/A-B. § Számítástechnikai rendszer és adatok elleni bűncselekmény 300/C. § Nemzeti Adatvédelmi és Információszabadság Hatóság Büntetőjog - ultima ratio 26

AZ INFORMÁCIÓBIZTONSÁG FOGALMA Adatok és a működés teljes körű, folytonos és a kockázatokkal arányos biztonsága sértetlenség (teljesség, hitelesség, pontosság) (integrity) az információ és a feldolgozási módszerek pontosságának és teljességének biztosítása [MSZ ISO/IEC 27001:2006] rendelkezésre állás (availability) annak biztosítása, hogy amikor szükséges, feljogosított felhasználók hozzáférhetnek az információhoz és a kapcsolódó vagyontárgyakhoz [MSZ ISO/IEC 27001:2006] bizalmasság (confidentiality) annak biztosítása, hogy az információ csak azok számára elérhető, akik erre feljogosítottak [MSZ ISO/IEC 27001:2006] Védelem a tevékenység, folyamat, biztonság az eredmény Sértetlenség (integrity) az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése véletlen, illetéktelen szándékos hozzáférés, felhasználás, módosítás, megsemmisítés, elérhetetlenné tétel ellen teljes, eredeti teljesség, veszteség, módosítás, hozzáadás nélkül a kezelési, transzformációs folyamatok során az információk hiteles forrásból, ellenőrzött módon származnak (credibility) Rendelkezésre állás (availability) - a felhatalmazott felhasználók hozzáférése az információkhoz és a kapcsolódó értékekhez, amikor szükséges. (adathoz, kezelő eszközhöz, időben (timeliness), könnyen kezelhetően (easy handling), könnyen visszakereshetően (easy retrieval) Bizalmasság (confidentiality) - az információ csak az arra felhatalmazottak számára legyen elérhető Titkosság (Privacy) csak arra használják, amire szánta Teljeskörű, folytonos, kockázatokkal arányos Megközelítés 27

IT biztonsági kritériumok Hatékonyság Hatásosság Bizalmasság Sértetlenség Rendelkezésre állás Megfelelőség Megbízhatóság IT biztonsági kritériumok Szemléletmód

Prime Rate - ISO 27001 - Doqsys ISO 27001 JELLEMZŐI I. a legjobb gyakorlat szabvánnyá emelése menedzsment rendszer (nem technika, termék) üzleti célokkal összhang biztosítása alkalmazható minden ágazatra, közösségi és magán szektorra is bizalmasság, sértetlenség, rendelkezésre állás mellett szempont az értékelhetőség és a tanúsíthatóság értékelhetőség (accountability) tanúsíthatóság (auditability) Prime Rate - ISO 27001 - Doqsys 29

Prime Rate - ISO 27001 - Doqsys ISO 27001 JELLEMZŐI II. technológia független nemzetközi (nem tartalmazza a nemzeti jogszabályokat) információs rendszerre (nemcsak informatikára) Integrációs lehetőség MIR-rel és KIRrel Prime Rate - ISO 27001 - Doqsys 30

Prime Rate - ISO 27001 - Doqsys ISO 27001 JELLEMZŐI II. technológia független nemzetközi (nem tartalmazza a nemzeti jogszabályokat) információs rendszerre (nemcsak informatikára) Integrációs lehetőség MIR-rel és KIRrel Prime Rate - ISO 27001 - Doqsys 31

DRP: Disaster Recovery Plan – Katasztrófa utáni helyreállítási terv Mikorra? Milyen funkcionalitással? BCP: Business Continuity Plan – Üzletmenet-folytonossági terv Nem az IT folytonosságának, hanem a működés folytonosságának biztosítása van a fókuszban! Mi az a DRP és a BCP? 32

Prime Rate - ISO 27001 - Doqsys Amit elvégeztünk áttekintettük az alkalmazott szoftver és hardver rendszereket, kommunikációs (hálózati) rendszereket, adathordozókat, a személyi környezetet, a teljes fizikai környezetet és infrastruktúrát, az adatok és dokumentumok fajtáit, keletkezésüket, kezelésüket és a hozzáférésük körülményeit. meghatároztuk a biztonságpolitikát és létrehoztuk a szervezetre szabott Információbiztonsági Szabályzatot és kísérő dokumentumait. És nap-mint nap fenntartunk és fejlesztünk! Prime Rate - ISO 27001 - Doqsys

Vigyázunk az adataikra! Köszönöm a figyelmet! Vigyázunk az adataikra!