napjaink kihívásai, információvédelem
DESCRIPTION
Napjaink kihívásai, információvédelem. „A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”. 2012. Prime Rate Alapítás éve: 1994 Tulajdonosi hátér: magyarországi magánszemélyek Dolgozók száma: 105 fő - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/1.jpg)
Napjaink kihívásai, információvédelem
2012
„A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!”
![Page 2: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/2.jpg)
A helyszín
Prime Rate
Alapítás éve:1994
Tulajdonosi hátér: magyarországi magánszemélyek
Dolgozók száma: 105 fő
Nettó árbevétel (2011): 2,6 Mrd. Forint
Székhely: Budapest, Megyeri út 53.
![Page 3: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/3.jpg)
A tevékenység
Digitális nyomtatás vezető szerepDigitális nyomtatás vezető szerep
• A régió legmodernebb digitális nyomdája (13 nyomógép, teljes körű kötészet)
• Piacvezető a kibocsátásban (színes digitális nyomtatás 30%, egyszínes digitális nyomtatás 10%)
• Biztonság (ISO9001-14001-27001, 15 éves gyakorlat, beléptető és kamerarendszer, titkosított adatkapcsolat, védett szerverterem, stb.)
![Page 4: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/4.jpg)
A kapcsolat
Évtizedes együttműködés Közös projektek Egymásra épülő szolgáltatások
pl.:papíralapú számlák – elektronikus számlák
Infrastruktúra biztosítás(A Doqsys beszállítói számláinak feldolgozása az Invoicehotel
alapokon)
A Prime Rate 33 %-os tulajdonos
![Page 5: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/5.jpg)
Új helyzet – új értékek
A XXI. században is sikeresen működni akaró vállalatoknál a használt információ-technológia alapvető sikertényező. A tárolt információk a működés, a döntések és az üzleti sikerek alapja.
A szervezetek felépítése ERP ( Enterprise Resource Planning) - SCM(Supply Chain Management) - Hálózatos szervezetek - Virtuális szervezetek
Materiális vagyon - információ vagyon
![Page 6: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/6.jpg)
Információ: sikertényező és kockázat
Sajátságos kettősség
fenyegetettebbé tesz
információvédelem
A siker érdekében a
szervezetek növelik
az információk
gyűjtésére és
hierarchikus
feldolgozására tett
igyekezeteiket .
![Page 7: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/7.jpg)
Információbiztonsági trendek az IT oldaláról
IDG Global Solutions (szponzor a HP)
IT Infrastructure: A European IT Management Perspective
13 IT téma relatív fontossági rangsorában 1. az adatvédelem 4.55 átlaggal
A költségcsökkentést minden országban megelőzi az adatvédelem IT stratégia probléma terület: 1. biztonság 39%
Tech/Tudomány - 414 darab 100 fő feletti magyar cég
Minden ötödik céget kár ért az információbiztonság gyengesége miatt
az informatikai adatbiztonságot a cégvezetők csak közepes fontosságú kérdésként kezelik
Ernst&Young (2010)A válaszadók 60 %érzékel kockázatot
![Page 8: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/8.jpg)
Információbiztonsági trendek az IT oldaláról
KPMGGlobal Information Security SurveyA vizsgált cégeknek átlag 108.000 USD káruk volt IT incidensekből
Ebből a bizalmas adatok elvesztéséből az átlag: 197.000 USD
Csak a cégek 60%-nál készül valamilyen inf. biztonsági jelentés
A biztonságért felelősöknek csak 43% tudta mennyit költenek rá
„A megelőzés jobb, mint az utólagos kezelés” Gartner
A világ informatikai beruházásokra fordított összegének egyre nagyobb részét teszi ki az informatikai biztonság2000 – 5%; 2001 – 11%; 2004 – 40%.... 2010 – 45%
![Page 9: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/9.jpg)
Információbiztonsági trendek
„…a legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni,…”
(Kürt Kft.)
![Page 10: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/10.jpg)
Információbiztonsági trendek
Üzleti intelligencia
OffenzívInformációszerzés, elemzés
DefenzívInformációvédelem
![Page 11: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/11.jpg)
A védelem célja, előnyök: a folyamatos működés megszakadás,
zavarás megelőzése, a döntéstámogatás elvesztésének
megelőzése, veszteségek, kockázatok , problémák
elkerülése/ kezelése kellő gondosság biztosítása a bizalmasság (csak azok férjenek hozzá,
akik jogosultak) elvesztésének elkerülése, nyomon követhető a rendszer, az
események a vezetői felügyelet megörzése, stb.
A VÉDELEM CÉLJA (Belső)
![Page 12: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/12.jpg)
A védelem célja, előnyök: partnereknek információ, a szükséges
korlátokkal vevői bizalom nő piaci versenyben előny vevők, bevétel elvesztés megelőzése, hírnév, goodwill, cégimázs
A VÉDELEM CÉLJA (Külső)
![Page 13: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/13.jpg)
Teljes körű
Milyen lenne az ideális IT Biztonság?
Fizikai védelemAdminisztratív védelem
Logikai védelem (technikai megoldások)
+ Humán erőforrás
![Page 14: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/14.jpg)
Milyen lenne az ideális IT Biztonság?
A védelmi intézkedések:
Adminisztratív védelem
• Informatikai biztonsági politika• Informatikai biztonsági szabályzat• Üzletmenet-folytonossági terv – BCP• Katasztrófa-elhárítási terv – DRP
Logikai védelem
•Tűzfalak• Behatolás-érzékelő rendszerek• Autentikációs rendszerek• Publikus kulcsú infrastruktúra – PKI• Titkosítás• Tartalomszűrés• Virtuális magánhálózat – VPN• Mentési/archiválási rendszerek• Jogosultsági rendszerek • Vírusvédelem
Fizikai védelem
• Vagyonvédelmi• Tűzvédelmi• Beléptető-• Videó megfigyelő- rendszerek• Szünetmentes áram- források
![Page 15: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/15.jpg)
Egyenszilárd Kockázat arányos Mérhető (?) Biztonsági követelmények szerinti Időben állandó (!) Gazdaságos Minden szervezeti szinten érvényes
Milyen lenne az ideális IT Biztonság?
![Page 16: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/16.jpg)
Nincs egységes ajánlás vagy szabvány pl.: CobiT, ISO 27001, CC, ITSEC, stb.
Eltérő hangsúlyok, más szemlélet Időben változó kockázatok
pl.: technikai, környezeti változások Cégek nagy része: logikai védelem
“kérek egy tűzfalat” Az IT biztonsági problémák ~80%-a belső
eredetű!
Mi a valóság az IT Biztonság területén?
![Page 17: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/17.jpg)
A jogi vetület
A személyes adeatok védelméhez való alapvető jog – Alaptörvény
Alaptörvény
VI. cikk (2) és (3) bekezdése:
Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.
A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.
![Page 18: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/18.jpg)
Adatvédelmi törvényA személyes adat fogalma
Az új datvédelmi törvény (2012): 2011. évi CXII. törvény – az információs
önrendelkezési jogról és az információszabadságról– Új technológiák
– Új adatkezelési jogalapok
– Adatvédelmi biztos – Hatóság
– Nagyobb szankciók
– Pontosítások
– Jogharmonizáció
(A törvény hatálya változatlan-
Kivétel: EU-n átmenő adatforgalom, természetes személy saját céljai)
![Page 19: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/19.jpg)
A személyes adat fogalma
Az új datvédelmi törvény Személyes adat: az érintettel kapcsolatba hozható adat –
különösen az érintett neve, azonosító jele, valamint egy vagy többfizikai, fiziológiai, mentélis, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret – valamint az adatból levonható, az érintettre vonatkozó következtetés
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy
A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az datkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
![Page 20: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/20.jpg)
Az adatkezelés – mint jogviszony
Az adatkezelés fogalma Adatkezelés: az alkalmazott eljárástól függetlenül az
adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, rovábbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok továbi felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. újj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése
![Page 21: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/21.jpg)
Az adatkezelő
Az adatkezelő fogalmaAdatkezelő: az a természetes vagy jogi személy, illetve jogi
személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy általa megbízott adatfeldolgozóval végrehajtatja.
Az adatkezelést be kell jelenteni (NAIH nyilvántartásba veszi)
(Kivétel: adatkezelővel tagsági-, munkaviszonyban, ügyfélkapcsolatban álló személyek adatkezelését...)
DE be kell jelenteni az ügyfélkapcsolatot pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók esetében /65. (3) bek. /
![Page 22: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/22.jpg)
Az adatfeldolgozó
Az adatfeldolgozó fogalma Adatfeldolgozás: az adatkezelési műveletekhez
kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik;
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – az adatkezelővel kötött szerződés alapján – (…) a személye adatok feldolgozását végzi.
![Page 23: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/23.jpg)
Adatfeldolgozás
Részletszabályok Az adatkezelő írásos megbízás alapján végzi tevékenységét;
Csak technikai feladatok ellátása a személyes adatokkal, érdemi döntés nélkül;
Az utasítások jogszerűségéért az adatkezelő felel;
Az adatfeldolgozó a technikai műveletekért felel;
Adatfeldolgozó alvállalkozót nem vehet igénybe;
Saját célra adatot nem dolgozhat fel;
Nem bízható meg olyan cég aki érdekelt az adatkezelő üzleti tevékenységében;
Tájékoztatni kell az érintetteket;
![Page 24: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/24.jpg)
Az adatkezelés feltételei
Az adatkezelés alapvető feltételei 1. célhozkötöttség elve (legfontosabb elv)
/Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.(...)/
2. az adatkezelés jogalapja 3. egyértelmű, részletes tájékoztatás 4. adatvédelmi nyilvántartás
![Page 25: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/25.jpg)
JÓ HÍR!
Az Invoicehotel keretében nincs adatkezelés! Ténylegesen és jogi szempontból is
adatfeldolgozásról beszélünk! Minden feltétel biztosított! Napi gyakorlat! Rendszeresen auditált környezet, független
nemzetközi auditorok által!
![Page 26: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/26.jpg)
Büntetőjog - ultima ratio
Visszaélés személyes adattal – 177/A. § Visszaélés közérdekű adattal – 177/B. § Magántitok jogosulatlan megismerése – 178/A. § Üzleti titok megsértése – 300. § Banktitok megsértése – 300/A-B. § Számítástechnikai rendszer és adatok elleni
bűncselekmény 300/C. §
Nemzeti Adatvédelmi és Információszabadság Hatóság
![Page 27: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/27.jpg)
sértetlenség (teljesség, hitelesség, pontosság) (integrity)
az információ és a feldolgozási módszerek pontosságának és teljességének biztosítása [MSZ ISO/IEC 27001:2006]
rendelkezésre állás (availability)
annak biztosítása, hogy amikor szükséges, feljogosított felhasználók hozzáférhetnek az információhoz és a kapcsolódó vagyontárgyakhoz [MSZ ISO/IEC 27001:2006]
bizalmasság (confidentiality)
annak biztosítása, hogy az információ csak azok számára elérhető, akik erre feljogosítottak [MSZ ISO/IEC 27001:2006]
AZ INFORMÁCIÓBIZTONSÁG FOGALMAAdatok és a működés teljes körű, folytonos és a kockázatokkal arányos biztonsága
Megközelítés
![Page 28: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/28.jpg)
•Hatékonyság•Hatásosság•BizalmasságBizalmasság•SértetlenségSértetlenség•Rendelkezésre Rendelkezésre állásállás•Megfelelőség•Megbízhatóság
IT biztonsági kritériumo
k
Szemléletmód
![Page 29: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/29.jpg)
ISO 27001 JELLEMZŐI I.
a legjobb gyakorlat szabvánnyá emelése menedzsment rendszer (nem technika, termék) üzleti célokkal összhang biztosítása alkalmazható minden ágazatra, közösségi és
magán szektorra is bizalmasság, sértetlenség, rendelkezésre állás
mellett szempont az értékelhetőség és a tanúsíthatóság
Prime Rate - ISO 27001 - Doqsys
![Page 30: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/30.jpg)
ISO 27001 JELLEMZŐI II.
technológia független nemzetközi
(nem tartalmazza a nemzeti jogszabályokat) információs rendszerre (nemcsak
informatikára) Integrációs lehetőség MIR-rel és KIRrel
Prime Rate - ISO 27001 - Doqsys
![Page 31: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/31.jpg)
ISO 27001 JELLEMZŐI II.
technológia független nemzetközi
(nem tartalmazza a nemzeti jogszabályokat) információs rendszerre (nemcsak
informatikára) Integrációs lehetőség MIR-rel és KIRrel
Prime Rate - ISO 27001 - Doqsys
![Page 32: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/32.jpg)
Mi az a DRP és a BCP?
DRP: Disaster Recovery Plan – Katasztrófa utáni helyreállítási terv
Mikorra? Milyen funkcionalitással?
BCP: Business Continuity Plan – Üzletmenet-folytonossági terv
Nem az IT folytonosságának, hanem a működés folytonosságának biztosítása van a fókuszban!
![Page 33: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/33.jpg)
Prime Rate - ISO 27001 - Doqsys
Amit elvégeztünk
áttekintettük az alkalmazott szoftver és hardver rendszereket, kommunikációs (hálózati) rendszereket, adathordozókat,
a személyi környezetet, a teljes fizikai környezetet és infrastruktúrát,
az adatok és dokumentumok fajtáit, keletkezésüket, kezelésüket és a hozzáférésük körülményeit.
meghatároztuk a biztonságpolitikát és létrehoztuk a szervezetre szabott Információbiztonsági Szabályzatot és kísérő dokumentumait.
És nap-mint nap fenntartunk és fejlesztünk!
![Page 34: Napjaink kihívásai, információvédelem](https://reader036.vdocuments.pub/reader036/viewer/2022062808/56815219550346895dc05b54/html5/thumbnails/34.jpg)
Köszönöm a figyelmet!
Vigyázunk az adataikra!