Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Save this PDF as:
 WORD  PNG  TXT  JPG

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA"

Átírás

1 Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA Témavezető: Dr. Juhász István egyetemi adjunktus Készítette: Lőrincz Tímea gazdaságinformatikus (BSc) szak Debrecen 2010

2 KÖSZÖNETNYILVÁNÍTÁS Ezúton szeretnék köszönetet mondani témavezetőmnek, Dr. Juhász Istvánnak, hogy a vállalati biztonságpolitikára irányította figyelmemet, valamint tanácsaiért, útmutatásáért. Köszönöm hozzátartozóim türelmét, akik munkám során mellettem álltak.

3 TARTALOMJEGYZÉK BEVEZETÉS...5 I. RÉSZ: ÜZLETMENET-FOLYTONOSSÁG...8 II. RÉSZ: ALAPFOGALMAK...12 III. RÉSZ: SZABÁLYOZÁS...15 III. 1. NEMZETKÖZI ÉS HAZAI AJÁNLÁSOK, ÉS SZABVÁNYOK III TCSEC (Trusted Computer System Evaluation Criteria) III ITSEC (Information Technology Security Evaluation Criteria) III Common Criteria ( szabvány) III COBIT (Control Objectives for Information and Related Technology) III MeH ITB 8. sz. ajánlás (Informatikai biztonsági módszertani kézikönyv) III MeH ITB 12. sz. ajánlás (Informatikai rendszerek biztonsági követelményei) III MeH ITB 16. sz. ajánlás (Az informatikai termékek és rendszerek biztonsági értékelésének módszertana) III ITIL (Information Technology Infrastructure Library) III (ISO 27002) III ISO szabványcsalád III. 2. JOGI SZABÁLYOZÁS, INTÉZMÉNYI HÁTTÉR III Adatvédelmi törvény III Módosult a Büntető Törvénykönyv III Merre tart a törvényi szabályzás? Az informatikai biztonságról szóló törvénytervezet III Incidenskezelő szervezetek Magyarországon IV. RÉSZ: AZ INFORMATIKAI RENDSZERT ÉRŐ FENYEGETÉSEK, VESZÉLYFORRÁSOK, ELLENÜK VALÓ VÉDEKEZÉS...24 IV. 1. FENYEGETÉSEK, VESZÉLYFORRÁSOK IV Szervezeti és működési veszélyforrások IV Humán veszélyforrások IV Természeti veszélyforrások IV Fizikai veszélyforrások IV Logikai veszélyforrások IV Életciklushoz kapcsolódó veszélyforrások IV. 2. VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK IV Szervezeti és működési veszélyforrások elleni védelem lehetőségei IV Humán veszélyforrások elleni védelem IV Természeti veszélyforrások elleni védelem IV Fizikai veszélyforrások elleni védelem IV Logikai veszélyforrások elleni védelem IV Életciklushoz kapcsolódó veszélyforrások elleni védelem V. RÉSZ: SZERVEZETI SZABÁLYOZÁS KIALAKÍTÁSA...32 V. I. INFORMATIKAI BIZTONSÁGI KONCEPCIÓ V. II. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

4 VI. RÉSZ: ELLENŐRZÉS, AUDIT...35 ÖSSZEFOGLALÁS...38 IRODALOMJEGYZÉK...40 MELLÉKLETEK

5 BEVEZETÉS Valamennyi vállalat alapvető gazdasági érdeke az, hogy üzleti folyamatai lehetőleg zavarmentesen folyjanak. Ezeknek a folyamatoknak szinte nélkülözhetetlen támogatói az informatikai rendszerek. Ebből fakadóan nő az ilyen rendszerektől való függőség. Egy-egy informatikai incidens nemcsak közvetlenül okozhat komoly anyagi károkat, hanem pl. az ügyfelek bizalmának megrendülésével ügyfélvesztéshez, megrendelésvesztéshez vezethet. A minél eredményesebb vállalati működés érdekében tehát nagy hangsúlyt kell fektetni ezen rendszerek működőképességének megtartására, ami az informatikai biztonság, és a vállalat ezzel kapcsolatos politikájának kérdéskörére irányítja a figyelmet. Az informatikai rendszerekre egyre kevésbé jellemző az egymástól elszigetelten történő működés. Teret hódít az internet üzleti célú felhasználása, és az elektronikus üzletvitel, pl. a hatóságoknak elektronikusan történő adatszolgáltatás. Ez nagy biztonsági kihívást hordoz magában. A vállalat politikai, gazdasági környezete mindig fontos tényező a vállalat számára. Az utóbbi időszakban zajló gazdasági válság következtében a vállalatok arra kényszerülhetnek, hogy csökkentsék az informatikai biztonságra szánt kiadásaikat, amelytől azonban a biztonsági szakértők óva intenek. Egy ilyen döntés nem mindig bizonyulhat helyes döntésnek, figyelembe véve a következő két szempontot. Általánosan elterjedt nézet, hogy az informatikai incidensek nagy része a humán tényezővel hozható összefüggésbe. Belátható, hogy nehéz gazdasági helyzetben a nem vállalati alkalmazotti körből kikerülő számítógépes bűnözők is hajlamosabbak lehetnek illegális tettekre, és nem hagyható figyelmen kívül az alkalmazottak anyagi haszonszerzési vágyának, az elbocsájtás előtt álló vagy elbocsájtott alkalmazottak bosszújának lehetősége sem. A Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ és a VírusBuster Kft. együttműködésében a I. negyedévében tapasztalható IT biztonsági trendekről készített jelentésében szereplő, Magyar László, a Megatrend Informatikai Zrt. technikai tanácsadója által a évi IDC IT Security Roadshow-n ismertetett adatok szerint: az informatikával kapcsolatos anyagi károk 70 százaléka az adatbiztonság hiányából ered. Ez utóbbi kategórián belül az esetek 70 százalékában házon belülről okozták a kárt. Eme belső károkozóknak pedig a 70 százaléka jogosult felhasználónak bizonyult. Összesítve a számokat, 5

6 a jogosult hozzáféréssel rendelkező felhasználók károkozásának kockázati valószínűsége több mint 34 százalék. [VírusBuster, 2009.] Igencsak elgondolkodtató ugyancsak a fenti jelentésben szereplő azon kijelentés, hogy az IDC becslése szerint mintegy 50 ezer magyar kisvállalkozás még csak vírusellenőrzőt sem alkalmaz. A VírusBuster Kft harmadik negyedévéről szóló jelentésében említést tesz az internetes csalások után nyomozó globális szervezet, az Anti-Phishing Working Group (APWG) első félévéről közzétett tapasztalatairól. Eszerint az év első felében a hamis vírusirtók száma 585%-kal, a pénzintézeti site-ok hozzáférési adatainak megszerzésére tervezett kártevők száma 186%-kal nőtt, és több mint adathalász website-ot vettek nyilvántartásba az APWG-nél, a fertőzött számítógépek száma pedig a tavalyi utolsó negyedévtől idén júniusig 66%-kal nőtt. Egyre inkább kiemelt biztonsági célpontokká válnak az okostelefonok operációs rendszerei is. [Kristóf, ] Fontos tényezők a vállalati irányítás informatikai biztonsággal kapcsolatos vélekedése, a biztonságtudatosság kérdése, a biztonsági kockázatok becslése, a felelősség kérdése is. A Ponemon Intézet által 213 ügyvezető/vezérigazgató (CEO), informatikai vezető (CIO-t) és más felsővezetők körében az informatikai biztonsággal kapcsolatban végzett felmérésből az derült ki, hogy az ügyvezetők/vezérigazgatók másként ítélik meg a kockázatokat, mint vezetőtársaik. A megkérdezett CEO-k 48 százaléka úgy vélte, hogy hackerek csak ritkán próbálnak meg hozzáférni cégük adataihoz, a többi felsővezető mintegy 53 százaléka ezzel ellentétben úgy nyilatkozott, hogy minden nap, sőt minden órában támadják őket. A felmérés szerint az ügyvezetők/vezérigazgatók másként látják, ki a felelős a vállalat adatainak védelméért. A CEO-k több mint fele szerint az informatikai vezető (CIO) felelős az adatvédelemért, a többi főnök közül viszont csak 24 százalék vélte így. [Kristóf, ] A biztonságpolitika fogalma azoknak az előírásoknak, rendeleteknek és törvényeknek az összességét foglalja magában, amelyek betartása lehetővé teszi a vállalat számára a céljai eléréséhez szükséges tevékenységek elvégzését azzal, hogy védelmi rendszerével biztosítja a folyamatos munkavégzés feltételeit. [Raffai, 1999.] Az informatikai biztonságpolitika a szervezet általános, globális védelmi stratégiájának szerves része, amelynek a középpontjában az információkat hordozó adatok és azok környezete: a tárolási és feldolgozási infrastruktúra 6

7 (hardver, szoftver), az adathordozók, a működtetés szabályai, dokumentumai, valamint az üzemeltetést, a rendszer kezelését végző munkatársak állnak. [Raffai 2006, 246. o.] Ennek értelmében dolgozatom célja, hogy áttekintse mindazokat az elveket, szempontokat, ajánlásokat, szabályozókat hiszen az informatikai biztonság kialakításának egyik fő hajtóereje a gazdasági érdek mellett a törvényi megfelelés kényszerítő ereje, szükséges lépéseket, amelyekre tekintettel kell lenni ahhoz, hogy a vállalat az üzletmenet-folytonosság biztosításának érdekében megfogalmazhassa az informatikai biztonsággal kapcsolatos politikáját. Szabályzatminta alkotása nem célom, ugyanis az üzleti folyamatok különbözőek, a rendszerek heterogének. Az adott vállalatnál szükséges szabályzat erősen függhet a szervezeti kultúrától, a stratégiától, a vállalati céloktól, a vállalati mérettől, külső környezettől és attól, a vállalat mely szektorban folytatja tevékenységét. A pénz- és hitelintézeti szférában, energiaszektorban, távközlés területén működő vállalatok számára érthető módon szigorúbbak az informatikai biztonsággal kapcsolatos törvényi előírások is. Az I. fejezetben ismertetem az üzletmenet-folytonosság kérdéskörét. A vállalatok jelentős része esetében nem fő tevékenységi kör az informatikai szolgáltatás, az informatikai rendszerek az üzleti folyamatok támogatóiként jelennek meg. Ahhoz, hogy ez a támogatás a lehető legnagyobb mértékben zavarmentes legyen, üzletmenet-folytonossági tervre van szükség, melynek részét képezik a megelőzési terv és intézkedések is, ezen belül a szabályzatok is. Ezt követően, az alapfogalmak áttekintése után, bemutatom azokat az előírásokat, ajánlásokat, amelyek figyelembe vétele szükséges ezen szabályzat megalkotásához. Ezt a különböző fenyegetettségek kategorizálása követi, hiszen az egyes kategóriákba tartozó fenyegetettségek elleni védekezés eltérő védelmi módszereket követel meg. Az informatikai biztonság kialakítására, fenntartására tett erőfeszítések szabályzatalkotás és megvalósítás nem lennének teljesek a folyamatos ellenőrzés megvalósítása nélkül, így az informatikai biztonsági koncepcióval és szabályzattal kapcsolatos fejezetet az audittal kapcsolatos fejezet követi. 7

8 I. RÉSZ: ÜZLETMENET-FOLYTONOSSÁG Azok a lépések, amelyek az üzletmenet folytonosságát szolgálják, arra irányulnak, hogy az üzleti folyamatokat támogató, kiszolgáló informatikai eszközök huzamosabb időszakon keresztül a legnagyobb funkcionalitással, a szervezet számára elfogadható legkisebb kiesési kockázati szinten működjenek. Ezt a folyamatot természetesen tervezni kell, mellyel növelhető a szervezet stabilitása, veszteségek minimalizálhatók, nőhet a váratlan üzemzavar, vagy katasztrófa esetén tett intézkedések, pl. visszaállítás hatékonysága. Az üzletmenet-folytonossági tervezés részét kell, hogy képezze a katasztrófa-elhárítási tervezés is. A fő cél az, hogy a tartalék informatikai és humán erőforrások megfelelő szintű rendelkezésre állását, mobilizálását tervezett műszaki és szervezési megoldásokkal és intézkedésekkel úgy biztosítsuk a kiesés idejére, hogy az informatikai szolgáltatások visszaállítása a szervezet által meghatározott sebezhetőségi résen belül megvalósuljon. [Muha-Bodlaki, 2001.] A tervezést célszerű projektszerűen végezni, melynek lépései a következők: 1. Helyzetfelmérés Ennek során meghatározandók az üzletmenet-folytonosság szempontjából kritikus folyamatok, és ezek zavarának lehetséges következményei, melyeket rangsorolni kell, továbbá a tartalékolási és visszaállítási megoldások. 2. Az üzletmenet-folytonossági terv elkészítése A kidolgozás folyamata három szakaszra osztható. a, megelőzési terv és intézkedések A megelőzési tervnek kell tartalmaznia azokat a szabályzatokat, amelyek betartatásával a problémák nagy része megelőzhető, lehetővé válik a visszaállítás. Ide tartoznak a rendszerszoftverek, a programrendszerek, az adatok előzetes mentése, biztonságos helyen tárolt adathordozókra másolása. Ide tartoznak a hardvereszközöket helyettesítő megoldások lehetőségének biztosítása, pl. duplikált berendezések, tartalékberendezések, hotsite-szerződések révén. Fontos részét képezi a tesztelési és tréningterv. [Raffai, 1999.] b, visszaállítási terv 8

9 Ennek célja az, hogy az informatikai incidensek bekövetkezése esetén a visszaállítás a lehető leggyorsabban történjen meg. A tervnek öt alapkérdésre kell választ adnia: ki, mit, mikor, hol, hogyan. [Muha-Bodlaki, 2001.] A katasztrófatervnek tartalmaznia kell a következőket: - a konkrét beosztások/pozíciók és személyek megfeleltetése - a katasztrófa szervezet felépítését, tagjai - elérhetőségek (telefonkönyv több elérhetőségi lehetőséggel) - a visszaállításban résztvevő operatív munkatársak (pl. szerverek rendszergazdái, speciális ismeretekkel rendelkező szakértők) - a visszaállításban résztvevő üzleti partnerek/hatóságok (mentők, tűzoltóság, rendőrség, polgári védelem, karbantartók, gyorsfutár szolgálat stb.) - értesítési utasítások - értesítési sorrend/lánc - időzítés (Kit mikor?) - az értesítés tartalma - teendők - követendő hierarchia - helyszín - helyszín/alternatív helyszín - erőforrások - akciótervek, szükséghelyzeti tervek - tesztelés, karbantartás, tárolás - oktatás Az informatikai katasztrófahelyzetek kezeléséhez kidolgozott egyes akciótervekhez felelősöket kell rendelni, akiknek az informatikai katasztrófa helyzet esetére előírt felelősségei szoros kapcsolatban kell, hogy legyenek a mindennapi tevékenységükkel. A katasztrófa menedzser a legfőbb operatív irányítója a visszaállítási és helyreállítási folyamatoknak. Feladatai a következők: - Döntés az informatikai katasztrófa helyet bekövetkezéséről, ennek kihirdetése. (Az informatikai katasztrófa helyzetek esetén végrehajtandó akciótervek végrehajtása 9

10 akkor kezdődik meg, amikor a katasztrófa menedzser deklarálta az informatikai katasztrófa helyzetet.) - Utasítást ad a kárfelmérési tevékenységek elvégzésére utasítja a megfelelő személyeknek. Tájékoztatást ad a válságtanácsnak. - Rendelkezik az egyes erőforrások felett. - Koordinálja a szükséges adminisztráció elvégzését. - Koordinálja az informatikai katasztrófa terv felülvizsgálatát. - Szervezi és irányítja az informatikai katasztrófa terv tesztelését. - Kapcsolatot tart a felső vezetéssel. - Minden olyan, az informatikai katasztrófa tervvel kapcsolatos feladat, amely nevesítetten nincs máshoz rendelve. - Jogosult a válságtanács összehívására, ha az egyes akcióterv felelősöktől, vagy a szakmai vezetőktől érkező jelentések alapján álláspontja szerint az akciótervekben rögzített munkafolyamatok működtetése az elvárt szinten nem lehetséges. - Informatikai katasztrófa helyzet esetén, a normál működésen használt erőforrásokon túlmenően a katasztrófa menedzser rendelkezésére állnak a következő többlet erőforrások. - meghatározott számítógép (rajta kell lennie az Informatikai katasztrófa terv aktuális változatának, jelszóval védve); - meghatározott gépjármű - a katasztrófa helyzet kezeléséhez kijelölt helyszínen, ill. alternatív gyülekezési helyszínen rendelkezésre álló vezetékes vagy vezeték nélküli hálózati/internet kapcsolat. [Beinschróth, rész] A Symantec által 2007-ben nyilvánosságra hozta egy nemzetközi, 14 ország 900 IT menedzserének bevonásával elkészített felmérésének eredményét. Ennek során azt vizsgálták, hogyan készülnek fel a cégek egy előre nem látható, váratlan eseményre. A jelentés szerint az informatikai szervezetek közel felének már végeznie kellett informatikai katasztrófa utáni helyreállítást, azonban a legtöbb szervezet ezt az eljárását előtte nem próbálta ki, nem tesztelte átfogóan. A teljes körű katasztrófa utáni helyreállítást kipróbáló szervezetek felénél pedig ez a próba sikertelen volt. A katasztrófa utáni helyreállítási tervvel nem rendelkező szervezetek 44 százaléka már legalább egy problémát vagy katasztrófát, 26 százalékuk legalább kettőt, 11 10

11 százalékuk pedig legalább hármat élt át. A megkérdezett informatikai szakemberek 48 százaléka azt jelezte, hogy a próba technikai, emberi, vagy eljárásbeli probléma miatt nem sikerült. A próba sikertelenségének okaként a leggyakrabban a telepített technológiának a várakozásoktól elmaradó működését említették. A katasztrófa utáni helyreállítási terv készítésére a következők késztették a szervezeteket. 69 százalékuk a természeti katasztrófákat, 57 százalékuk a vírusok támadását, 31 százalékuk pedig a háborút és a terrorizmust nevezte meg okként. A válaszadók 67 százaléka a számítógéphibákat, 57 százaléka a számítógépeket kívülről fenyegető veszélyeket említette. A Symantec jelentése szerint a katasztrófa utáni tervvel rendelkező szervezeteknél a tervek rendszeresen végzett tesztjeinek 48%-a kudarcba fullad és nem sikerül a helyreállítás. A sikertelenségnek 3 fő oka lehet: technikai tényező (22%) emberi tényező (19%) a helyreállítás terv alkalmatlannak bizonyul (18%) A hibák igen magas előfordulási arányának arra kellene ösztönöznie a szervezeteket, hogy rendszeresen ellenőrizzék és korszerűsítsék terveiket. Pulai András, a Symantec magyarországi képviseletének adattárolási szakértője szerint a magyarországi vállalatok IT menedzserei az emberi tényezőt kezelik kiemelt kockázatként, ugyanis többnyire egy személy tudja, mit kell tenni egy esetleges katasztrófa bekövetkeztekor. Kiemelte, hogy a rendszer összeomlását célzó támadásoktól kevésbé kell tartani, hiszen egyre inkább az anyagi haszonszerzés motiválja őket, nekik is a rendszer működőképessége az érdekük. Tapasztalatai szerint azok a vállalatok fordítanak nagyobb figyelmet a katasztrófa utáni visszaállítás kérdésére, amelyeknél kiemelten fontos az IT rendszer szünet nélküli működése, pl. a pénzintézetek, telekommunikációs cégek, áramszolgáltatók és erőművek. [EuroAstra, 2007.] 3. Oktatás, tesztelés Az oktatás során lehetőség nyílik az üzleti folyamatok zavartalansága jelentőségnek tudatosítására is. [Muha-Bodlaki, 2001.] 11

12 II. RÉSZ: ALAPFOGALMAK A vállalatok informatikai rendszerei az információkat adat formájában kezelik. Az adat tények, elképzelések, utasítások emberi vagy technikai eszközökkel történő formalizált ábrázolása ismertetés, feldolgozás, illetve távközlés céljára. [Vasvári 2006, 3. o.] Egy másik megközelítésben: olyan szimbólum vagy jelsorozat, amely esetleges későbbi felhasználás céljából továbbításra és megőrzésre alkalmas formában rögzíti a működő környezet változásait, a meglévő állapotokat. Az adat az információ megjelenése, tények, állítások értelmezhető közlési formája. [Raffai 1999, 155. o.] A két definícióban közös, hogy az adatok rögzítése, tárolása valamilyen további cél érdekében történik. Ilyen művelet lehet az adatfeldolgozás, amely az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. [Dr. Freidler 2009, 47. o.] De mit nevezünk adatkezelésnek? Jogi értelemben az adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. [Dr. Freidler 2009, 39. o.] Az adatokkal kapcsolatban gyakran említett fogalmak az adatvédelem, adatbiztonság. Mi a két fogalom közötti legfőbb különbség? Az adatvédelem egyrészt a személyes és közérdekű adatok kezelésének a jogszabályokban, és az adott gazdasági szervezet szabályzataiban meghatározott korlátozása. [Vasvári, 2006.] Ettől igencsak eltér a jogi értelemben vett definíció, amely a személyes adatok védelméhez való jogot jelenti. [Freidler, 2009.] Személyes adat jogi értelemben bármely konkrét természetes személlyel kapcsolatba hozható adat, de az adatból levonható, az érintettre vonatkozó következtetés is. A személyes adat az adatkezelés során mindaddig megőrzi ezt a minőségét, amíg kapcsolata az érintettel rekonstruálható. [Freidler, 2009.] Amennyiben ez már nem áll fenn, statisztikai adatról beszélünk. Az adatbiztonság az adatok védelme a jogosulatlan hozzáférés, a módosítás, és a törlés, illetve a megsemmisítés ellen. Azaz az adatok bizalmasságának, rendelkezésre állásának, és 12

13 sértetlenségének védelme/védettsége,... [Vasvári 2006, 3. o.] Az adatalany védelme érdekében az adat védelmének műszaki, technikai eszköze. [Kohány Kőnig, 2008.] Jogi szempontból az adatbiztonság az adatkezelés védelmét jelenti. [Freidler, 2009.] Az adatbiztonság tehát az adatokat állítja a középpontba, míg az adatvédelem az embert, a személyiség védelmét. Általában véve a biztonság fogalmának meghatározása nem könnyű. Bármilyen szituációval hozzuk is összefüggésbe, a biztonsági intézkedések általában a káros események elkerülését, ezek bekövetkezési valószínűségének csökkentését, vagy a bekövetkezésükből fakadó károk minimalizálását szolgálják. A biztonság olyan kedvező állapot, amelyben minimális az erőforrások bizalmasságának, sértetlenségének és rendelkezésre állásának fenyegetettsége. [Vasvári, 2006.] A kedvező biztonsági állapot azt is jelenti, hogy a kockázatok vállalható mértékűek, azaz a fenyegetések bekövetkezési valószínűsége elfogadhatóan kicsi. Ugyanakkor nem zárható ki a veszélyforrások bekövetkezése sem. Ezért fontos látni, hogy 100%-os biztonság nem érhető el. [Vasvári Lengyel Valádi, 2006.] Az informatikai biztonság a védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. [Muha Bodlaki 2001, 18. o.] A zártkörű védelem azt jelenti, hogy az összes releváns fenyegetést figyelembe vesszük. Teljes körű védelem akkor valósul meg, ha a védelmi intézkedések a rendszer összes elemére kiterjednek. A folytonos védelem kritériuma a megszakítás nélküli megvalósulás. A kockázattal arányos védelem esetén egy kellően hosszú időtartam alatt a védelmi költségek arányosak a becsült kárértékkel, azaz a védelemre akkora összeget fordítanak, hogy ezzel a kockázat a védendő számára még elviselhető, vagy annál kisebb. [Muha Bodlaki, 2001.] Valamennyi fenyegetettséggel szembeni teljes körű védelem megvalósítása ugyanis a védendő értéket elérő, akár meghaladó költségekkel járna. Azt az állapotot, amikor a biztonság a vállalatot, az üzleti tevékenységet teljesen átfogja, és minden ponton azonos erősségű, egyenszilárdságnak nevezzük. [Vasvári, 2006.] Az alapfenyegetettségnek is nevezett sértetlenség, a hitelesség, a bizalmasság, rendelkezésre állás és a funkcionalitás követelményét két nagy kategóriába szokás sorolni: 13

14 - az adatok által hordozott információk sértetlensége, hitelessége és bizalmassága elvesztésének megakadályozására szolgáló információvédelem; - az adatok és erőforrások rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását biztosító megbízható működés. A bizalmasság akkor valósul meg, ha gondoskodunk arról, hogy az információhoz csak az erre feljogosítottak férhessenek hozzá. Ha valaminek a forrása valóban a forrásként megjelölt hely, és a tartalma az eredeti, teljesül a hitelesség követelménye. Az információ akkor sértetlen, ha az eredeti állapotának megfelelő. [Vasvári, 2006.] A rendelkezésre állás az a valószínűség-érték, amely jelzi, hogy egy alkalmazás egy előre definiált időszakon belül az elvárásnak megfelelően rendelkezésre áll, amely állapotban a felhasználó a számítógépet használni tudja. [Raffai, 1999.] Az eddig ismertetett fogalmak fennállását különböző veszélyforrások különböző valószínűséggel, kockázattal fenyegetik. Veszélyforrásnak mindaz tekinthető, aminek bekövetkezésekor, támadás eredményeként a rendszer működésében nem kívánt állapot jön létre. Ezzel rokon a fenyegetés fogalma, amely a támadás lehetősége a támadás tárgyát képező erőforrásra. A kockázat mértékével fejezzük ki annak a valószínűségét, hogy egy fenyegetés támadás útján kárt okoz. Gyakorlatilag ugyanezt fejezi ki a bekövetkezési valószínűség is, amely az esélye annak, hogy egy esemény, például a veszélyforrás képezte fenyegetettség, támadás formájában bekövetkezzen. A kockázat azonosítása, és a lehetséges kár felbecsülése a kockázatelemzés során valósul meg. [Vasvári, 2006.] Informatikai katasztrófának nevezik az üzleti folyamatokat kiszolgáló információ-rendszer kiesését, az informatikai szolgáltatások megszakadását. [Vasvári, 2006.] Olyan véletlen esemény, amely megszünteti, vagy bizonyos időszakra megakadályozza a cég teljes egészének vagy egy részének folyamatos működését, és károkat, veszteségeket okoz. [Raffai 1999, 163. o.] Azon eljárássorozatot, amely alapján egy katasztrófa esetén a kritikus információkat feldolgozó folyamatok az elvárt időtartamon belül helyreállíthatók, informatikai katasztrófatervben rögzítik. [Raffai, 1999.] Ezen intézkedések a védettség elvárt szintjének elérése érdekében történnek. A védettség azt mutatja meg, hogy mennyire képes a rendszer megvédeni magát véletlen vagy szándékos külső támadásoktól. [Sommerville, 2007.] 14

15 III. RÉSZ: SZABÁLYOZÁS III. 1. NEMZETKÖZI ÉS HAZAI AJÁNLÁSOK, ÉS SZABVÁNYOK Az informatikai biztonság területén felmerült az igény a rendszerek biztonsági szintjének egységes elvek alapján, objektív módon történő összehasonlíthatóságára. Ezen igények első megnyilvánulásai a következő dokumentumok. III TCSEC (Trusted Computer System Evaluation Criteria) Az USA-ban 1983-ban kibocsátott és nemzetközileg az egyik legfontosabb forrásnak tekintett, magyarul Biztonságos Számítógépes Rendszerek Értékelési Kritériumai elnevezést viselő, de Narancs Könyv -nek is nevezett dokumentum évi verziója az USA-ban máig érvényben van. A rendszereket a TCSEC 4 biztonsági osztályba sorolja be: - D csoport: minimális védelem - C csoport: szelektív és ellenőrzött védelem - B csoport: kötelező és ellenőrzött védelem - A csoport: bizonyított védelem A kategóriákon belül növekvő számozás jelöli az egyre erősebb követelményeket. Az osztályokba sorolás a következő négy terület szerinti minősítés alapján történik: biztonsági stratégia (security policy), követhetőség (accountability), biztosítékok (assurance), dokumentálás (documentation). A D osztályba azon rendszerek kerülnek, amelyek a minősítés során nem tudtak a magasabb osztályok kritériumainak eleget tenni. A C osztályba olyan rendszerek sorolhatók, amelyekben a felhasználók szelektív védelmet tudnak előírni adatállományaikra. Emellett az egyes alosztályok további követelményeket írnak elő. A B osztályba sorolt rendszerekre jellemzőnek kell lennie a kötelező védelem bevezetésének, valamennyi adatot minősíteni kell biztonsági szempontból. Ez az osztály főleg a magasabb biztonsági követelményű rendszerekben, pl. bankok, biztosító társaságok esetén alkalmazandó. Az A osztály esetén a rendszerről tett biztonsági állításokat matematikailag is tudni kell bizonyítani. [Muha Bodlaki, 2001.] III ITSEC (Information Technology Security Evaluation Criteria) A 80-as években erősödött az igény, hogy az Európai Közösség is rendelkezzen az informatikai biztonságra vonatkozó egységes szabályozással. A magyarul 15

16 Információtechnológia Biztonsági Értékelési Kritériumok elnevezésű dokumentumot ben adták ki, amely a TCSEC-t alapul véve készült. A TCSEC-vel azonos módon értelmezi a biztonsági osztályokat, de azon túlmenően is definiál biztonsági osztályokat. [Muha Bodlaki, 2001.] III Common Criteria ( szabvány) Az informatikai termékek és rendszerek biztonsági értékelésének követelményrendszere, amely az EU, az amerikai és a kanadai kormány támogatásával került kidolgozásra. Létrehozásának az volt a célja, hogy feloldja a forrásul használt szabványok pl. a TCSEC és az ITSEC technikai különbségeit. 1.0 verzióját 1996-ban publikálták, melyet az MeH ITB 16. sz. ajánlásként adott ki. Segítséget nyújt a felhasználók számára abban, hogy eldönthessék: az ilyen minősítéssel ellátott termék biztonsági szintje megfelel-e számukra, és a megvalósítástól független struktúra, a védelmi profil (PP) alapján láthatják a termékkel szemben támasztott általános biztonsági követelményeket. Megmondja, hogy az értékelőknek milyen vizsgálatokat és melyik biztonsági elemeken kell végrehajtaniuk, de azt nem tartalmazza, hogy ezt milyen módon kell megtenni. Az IT biztonsági termékek kiértékelését a CC keretei között minősítési séma alapján, akkreditált laboratóriumok végzik. A laboratóriumi kiértékelő munka a Minősítő Hatóság felügyeletével történik. A Minősítő Hatóság a kiértékelés sikeres befejezésekor adja ki a hitelesítést. Az USA-ban a sémát NIAP -nak National Information Assurance Partnershipnevezik. Magyarországon MIBÉTS a neve (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma). [Jankovits Krasznay, 2005.] III COBIT (Control Objectives for Information and Related Technology) Nyílt, az információ, az információtechnológia és az ezzel kapcsolatos kockázatok ellenőrzésére vonatkozó szabvány, melyet az ISACA (Information Systems Audit and Control Association) által létrehozott IT Governance Institute dolgozott ki. 4 területen tartalmaz általános, továbbá részletes kontroll irányelveket. A COBIT küldetése: Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek, és a bizonyosság nyújtást végző szakemberek munkájuk során rendszeresen használják. [ 16

17 , 17. o.] A COBIT alapelveit a következő ábra mutatja: [ o.] A COBIT 4 egymással összefüggő szakterületét a következő ábra szemlélteti: [ o.] A szabványok egymáshoz való viszonyát a következő ábra mutatja: Összetett IT rendszerek COBIT Egyszerű termékek ITSEC/CC Technikai megközelítés Szervezeti megközelítés 17

18 [Jankovits Krasznay, 2005.] III MeH ITB 8. sz. ajánlás (Informatikai biztonsági módszertani kézikönyv) A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága által 1994-ben kiadott ajánlás az informatikai biztonság kockázatelemzési módszertanát tartalmazza, mely segédletet nyújt az informatikai biztonsági koncepció, az informatikai biztonsági szabályzat elkészítéséhez. III MeH ITB 12. sz. ajánlás (Informatikai rendszerek biztonsági követelményei) Az 1996-ban kiadott ajánlás az adminisztratív, a fizikai és a logikai védelem területeit öleli fel. Ismerteti a követelményrendszer helyét az informatikai biztonságpolitika, stratégia, a biztonsági vizsgálatok és a védelmi intézkedések viszonylatában, a követelményrendszer kiindulási alapját képező károsztályokat és biztonsági osztályokat definiál, valamint tartalmazza a biztonsági követelmények alapján kifejtett intézkedések gyűjteményét. Foglalkozik az informatikai rendszert vagy annak környezetét érintő katasztrófákkal, a zavarokkal, illetve a legjellemzőbb informatikai típusrendszerekre vonatkozó intézkedésekkel. III MeH ITB 16. sz. ajánlás (Az informatikai termékek és rendszerek biztonsági értékelésének módszertana) Ismerteti a Common Criteria 1.0-ás verzióját és védelmi profil gyűjteményt tartalmaz. III ITIL (Information Technology Infrastructure Library) Tapasztalatokon alapuló bevált megoldások gyűjteménye a következő információbiztonsági vonatkozású témakörökben: - konfiguráció-kezelés, - incidens-kezelés, - problémamenedzsment, - változáskezelés, - kiadás-menedzsment, - szolgáltatási szint menedzsment, - IT-szolgáltatások pénzügyi irányítása, - kapacitás menedzsment, - rendelkezésre állás menedzsment, - IT-szolgáltatás folytonosság menedzsment. [Freidler, 2009.] 18

19 III (ISO 27002) A 2000-ben elfogadott szabvány a biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le. Leírja a biztonsági követelményeket, a megvalósítandó védelmi intézkedéseket, de nem foglalkozik a megfelelőségi és ellenőrzési követelményekkel. Tíz ellenőrzött területe: - biztonsági szabályzat - biztonsági szervezet - javak ellenőrzése és osztályozása - személyi biztonság - fizikai és környezeti biztonság - kommunikáció és műveleti menedzsment - hozzáférési jogosultság ellenőrzése - rendszerfejlesztés és karbantartás - az üzleti folytonosság menedzsmentje - megfelelőség [Muha Bodlaki, 2001.] III ISO szabványcsalád ISO szabvány Az ISO es információbiztonsági menedzsment szabványcsalád követelményszabványa, amely a különböző információvédelmi területekhez célkitűzéseket, óvintézkedéseket fogalmaz meg. [Freidler, 2009.] ISO szabvány Ötletekkel szolgál az információvédelmi kontroll kialakítására, vagy fejlesztésére. ISO szabvány A kockázatmenedzsment kialakításához nyújt segítséget. Tervezett szabványok ISO szabvány Az információvédelmi irányítási rendszerek megvalósításához nyújt segítséget. ISO szabvány Az információvédelmi mérési módszerek kialakításához kíván segítséget nyújtani. ISO szabvány Az információvédelmi irányítási rendszerek auditálásához nyújt támpontot. ISO szabvány 19

20 Az információvédelmi irányítási rendszerek kontrolljainak auditálására vonatkozik. [Freidler, 2009.] Magyar informatikai biztonsági szabványok (a teljesség igénye nélkül) [Hun-CERT, 2009.] A további magyar informatikai biztonsági szabványokat az 1. sz. melléklet tartalmazza. III. 2. JOGI SZABÁLYOZÁS, INTÉZMÉNYI HÁTTÉR III Adatvédelmi törvény Az évi LXIII. (adatvédelmi) törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz. A törvény hatálya nem terjed ki arra, ha a természetes személy saját személyes céljait szolgáló adatkezelést végez. A törvény definiálja többek között a személyes adat, különleges adat, bűnügyi személyes adat, adatkezelés, adattovábbítás fogalmát. Az adatkezelő, az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, megtenni azokat a technikai és szervezési intézkedéseket, kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok 20

21 technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. III Módosult a Büntető Törvénykönyv A jogi szabályozás sajnos nehezen tud lépést tartani a számítógépes bűnözés újabb és újabb formáival. A törvény 300/C. [1] (1) bekezdése a számítógépes csalásról úgy rendelkezik, hogy aki jogtalan haszonszerzés végett, vagy kárt okozva valamely számítógépes adatfeldolgozás eredményét a program megváltoztatásával, törléssel, téves vagy hiányos adatok betáplálásával, illetve egyéb, meg nem engedett műveletek végzésével befolyásolja, 3 év szabadságvesztéssel büntetendő augusztus 10-ével hatályba lépett a Büntető Törvénykönyv módosítása, melynek értelmében már bűncselekménynek minősül a jogtalan haszonszerzési célból való adatkezelés. Ezzel megtörténhet a felelősségre vonás azon esetekben, amikor spamben jogtalanul összeállított címeket, elérhetőségeket, személyes adatokat tartalmazó adatbázisokat kínálnak megvételre. [Adatvédelmi Biztos Hivatala, 2009.] III Merre tart a törvényi szabályzás? Az informatikai biztonságról szóló törvénytervezet Előkészületben van az informatikai biztonságról szóló törvény, melynek fő részei a tervek szerint a következők: - egyetemes informatikai biztonsági minimumkövetelmények, - kritikus infrastruktúrák, - elektronikus szolgáltatások informatikai biztonsága, - az adattartalmak megismeréséhez kapcsolódó rendelkezések - alkalmazásszolgáltató központok, - a lakosság informatikai biztonsági kultúrájának emelését célzó, és a szolgáltatók tájékoztatási kötelezettségeit érintő rendelkezések, - az informatikai biztonsági felügyeleti és irányítási rendszere A törvény hatálya a tervek szerint ki fog terjedni minden, a Magyar Köztársaság területén elérhető informatikai rendszerre és elektronikus szolgáltatásra, a fentiek működtetőire és üzemeltetőire, használóira, igénybe vevőire (kivéve olyan területeket, pl. minősített 21

22 információkat, védett információkat kezelő rendszerek, külügyi, nemzetbiztonsági, katonai, bűnüldöző szervek rendszerei, amelyekre szigorúbb jogszabályokat írhatnak elő). A következő fogalmak kerülnének jogszabályi szinten bevezetésre: - egyetemes informatikai biztonsági minimumkövetelmények, - egyetemes informatikai biztonsági szintek, - informatikai támadást megvalósító hálózat. Egyes biztonsági szintek esetén kötelezővé válna a szolgáltatás auditja, és az NHH regisztrálná az auditált szolgáltatásokat től csak regisztrált 1. és 2. szintű szolgáltatások működhetnének. Egyes szinteknél az üzemeltetőnek nem válna kötelezővé a szolgáltatás auditja, viszont biztosítania kellene az adatok biztonságát. A törvény bevezetné a személyiséglopás és a támadó informatikai hálózat fogalmát, rendelkezne az informatikai biztonság felügyeleti és irányítási rendszeréről. Az auditálásra jogosultak egy átmeneti időszakban ( ) egy kormányrendelet szerint kiválasztott auditáló cégek lennének, később pedig minden olyan informatikai biztonsági auditálással foglalkozó cég, amely ilyen irányú akkreditációval rendelkezik. [Dedinszky, 2009.] Az információbiztonsággal kapcsolatos egyéb jogszabályokat a 2. sz. melléklet tartalmazza. III Incidenskezelő szervezetek Magyarországon Hazánkban az alábbi incidenskezelő szervezetek a következőképp támogatják a közigazgatási, a vállalkozói, és az akadémiai szféra informatikai biztonságát. PTA CERT-Hungary SZTAKI Hun-CERT NIIF CSIRT A PTA CERT-Hungary a magyar kormány - a Miniszterelnöki Hivatal Elektronikuskormányzat-központ felügyelete alatt álló - informatikai biztonsági incidenskezelő központja. Feladata a teljes magyar magán-, üzleti és állami szféra informatikai rendszereinek biztonsági támogatása. Kiemelt szerepe van a nemzetgazdaság és az állami működőképesség szempontjából alapvető fontosságú informatikai rendszerek védelmében, egyben tudásközpont szerepét is betölti a magyar polgárok és informatikai szakemberek számára. A CERT-Hungary a következő szolgáltatásokat nyújtja: 22

23 jelzéseket, figyelmeztetéseket és értesítéseket továbbít biztonsági résekről, vírustámadásokról, behatolásokról, újonnan észlelt sérülékenységekről és behatoló eszközökről stb., és javaslatot tesz a problémák megoldására; a biztonság növelését célzó információkat szolgáltat, mint pl.: a központ elérhetősége, általános biztonsági útmutatók, segédletek, incidensekkel kapcsolatos statisztikák, trendek stb.; értékeli, elemzi a kapott incidensjelentéseket és reagál azokra (pl. a behatolók aktivitásának figyelésével, a hálózati forgalom szűrésével stb.); analizálja a hardver és szoftver sérülékenységeket, és megoldásokat dolgoz ki azok felfedésére és javítására; átvizsgálja a különböző támadásra használt rosszindulatú programokat, elemzi a működési mechanizmusukat és alkalmazásuk módjait, majd megoldásokat dolgoz ki detektálásukra, eltávolításukra és az ellenük való védekezésre; oktatási, képzési és továbbképzési tevékenységet folytat, hogy megismertesse a védett szervezetekkel a biztonsági problémákat, illetve a védekezési lehetőségeket és módszereket. A Hun-CERT az MTA SZTAKI-ban működő csoport, amely az Internet Szolgáltatók Tanácsának (ISZT) támogatásával jött létre és működik. Feladata, hogy az ISZT tagszervezeteinél előforduló információbiztonsági incidensek felderítésénél, elemzésénél és kezelésénél segítséget nyújtson. A Hun-CERT fontosnak tartja a biztonsági tudatosság növelését, amely elsősorban az ISZT tagok felhasználói számára biztosítja mindazon információkat, melyek alapján képessé válnak az Internet biztonságos használatára. Felhatalmazással bír az előforduló vagy előfordulással fenyegető mindennemű számítógépes biztonsági események közlésére a hazai Internet szolgáltatók felé. Az NIIF-CSIRT a Nemzeti Információs Infrastruktúra Fejlesztési Intézet (NIIF) számítógép biztonsági és incidenskezelő csoportja, amely a magyar felsőoktatás, kutató intézetek és közgyűjtemények szolgáltatója. Az NIIF-CSIRT segíti a számítógép és hálózati incidensek kezelését és koordinációját minden olyan esetben, amikor valamelyik NIIF tagintézmény érintett. Fontos, információbiztonsággal kapcsolatos információkat továbbít az NIIF tagintézményeinek, amelyek alapján az egyes intézmények növelhetik saját infokommunikációs rendszereik biztonságát. Az NIIF-CSIRT együttműködik a Hun-CERT-el -el és a kormányzati CERT -Hungary-val is. [Haig, 2007.] 23

24 IV. RÉSZ: AZ INFORMATIKAI RENDSZERT ÉRŐ FENYEGETÉSEK, VESZÉLYFORRÁSOK, ELLENÜK VALÓ VÉDEKEZÉS IV. 1. FENYEGETÉSEK, VESZÉLYFORRÁSOK Ahhoz, hogy egy rendszert megfelelő hatékonysággal védhessünk, elengedhetetlen a lehetséges fenyegetések körültekintő számbavétele, hiszen lehetőleg azonosítani kell, mi ellen kell védekeznünk. A támadások különböző formában valósulhatnak meg, pl.: illetéktelen hozzáférés az információkhoz, vagy megtévesztő adatok bevitele, úgy, hogy az ne feleljen meg a valóságnak, az adatbázis felhasználhatatlanná tétele, rosszindulatú szoftverek bevitele a rendszerbe, elektronikai zavarások, stb. A fenyegetéseket, veszélyeket a MeH ITB 12. ajánlása a következő ábrával szemlélteti: Szabályzatlanság Megvesztegetés Bosszúállás Szakképzetlenség Katasztrófa Fizikai behatolás Üzemzavar Szakszerűtlen tervezés Szakszerűtlen üzemeltetés, karbantartás Beszerzési politika hiánya Doku Adath. Dokum. Adath. Adathord. Légkondicionálás Dokumentációhiány, illetéktelen használat T áp á r a m el l á t á s Személyek (külső+belső) Épület, számítóközpont, szerverszoba Hardver+hálózat Rendszerszoftver Alkalm. sw. Adat Dokum. Tűz- és vagyonvédelem Tűz, illetéktelen behatolás V i l l á m v é d e l e m Túlmelegedés Vírus, illetéktelen szoftver installáció Villámcsapás Illetéktelen rácsatlakozás Illetéktelen hozzáférés Illetéktelen használat, másolás A különböző forrásból leselkedő veszélyek a következők szerint kategorizálhatók. (Forrás: pezsgo.web.elte.hu/inf_ved/adatbizt1.ppt) IV Szervezeti és működési veszélyforrások a biztonsági szervezet hiánya, vagy elégtelen kialakítása 24

25 a titokvédelmi és iratkezelési hiányosságok iratok tárolása, illetve megsemmisítése rendjének hiánya a harmadik felekkel kötött szerződésekből eredő veszélyforrások IV Humán veszélyforrások a biztonsági környezeten belülről az adatbiztonsági és adatvédelmi rendszabályok be nem tartása, a veszély lekicsinylése hamis biztonságtudat, veszélyérzet hiánya maga a felhasználó fordul az informatikai biztonsági környezet valamely eleme ellen szándékos károkozás, bosszú a biztonsági környezeten kívülről hacker cracker, pl.: megtévesztés, zsarolás adathalászat IV Természeti veszélyforrások Ebbe a kategóriába a természeti csapásokat, mint pl. árvíz, villámcsapás, földrengés soroljuk. IV Fizikai veszélyforrások az eszközök fizikai eltulajdonítása, túlmelegedés, hálózati áramellátás kimaradása, annak biztosításának hiánya, hogy csak a hozzáférési jogosultsággal rendelkezők léphessenek be azokba a helyiségekbe, ahol az alkalmazások találhatók, elektromos, mágneses jelek sugárzása, kábelezés, elosztók, csatlakozók lehallgatása, a számítógép képernyőjének távolról történő megfigyelése, adathordozók avulása, elöregedés vagy kopás a levegő nedvességtartalmának jelentős változása, piszkolódás 25

26 IV Logikai veszélyforrások hálózati betörés, gyenge jelszórendszer, a jelszavakhoz rendelt jogosultságok nem feladatfüggően vannak megkülönböztetve, nem biztosított a naplózás (ki, mikor, milyen műveletet végzett), rejtjelfejtés, nincs megfelelő mentési rendszer, rosszindulatú szoftverek IV Életciklushoz kapcsolódó veszélyforrások - nincs elkülönített fejlesztő rendszer, - fejlesztéskor a biztonsági követelmények megfogalmazásának hiánya, - a rendszerek átvételekor a biztonsági követelmények ellenőrzésének hiánya, - nem megfelelő, nem szabályozott selejtezések IV. 2. VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK Forrás: [pezsgo.web.elte.hu/inf_ved/adatbizt1.ppt], [Beinschróth, 2008/2009.] IV Szervezeti és működési veszélyforrások elleni védelem lehetőségei a biztonsági szervezet feladataiból fakadóan: a védelmi intézkedések meghatározása, betartatása, a biztonsági események kezelése követés, naprakészség biztosítása titokvédelem Az adatokat, alkalmazásokat, eszközöket és helyiségeket osztályozni, minősíteni kell. Az adatvédelmi osztályok: titkos (pl. államtitok, üzleti titok), bizalmas (pl. szolgálati titok, személyes adatok) belső használatra, nyilvános (alkalmazások és eszközök is). Az alkalmazások védelmi osztályozása: milyen osztályba tartozó adatokat kezel. Az eszközök védelmi osztályozása biztonságkritikusságuk alapján. A helyiségek védelmi osztályozása funkcióik alapján: zárt, kiemelten ellenőrzött, ellenőrzött, nyilvános. 26

27 Iratkezelési utasítás Tartalmaznia kell az iratok előállítására, feldolgozására, továbbítására, megsemmisítésére vonatkozó utasításokat is. Biztonsági alrendszer tervezés átvilágítási jelentés biztonsági politika katasztrófa terv biztonsági szabályzat Harmadik féllel kötött szerződések garanciák szükségesek a megbízó ellenőrzési jogosultságát el kell ismertetni outsourcing karbantartási, rendszerkövetési megbízás a szolgáltató alárendelése a megbízó biztonsági politikájának a szolgáltató jogosultságainak korlátozása, rögzítése ellenőrzési lehetőség biztosítása számonkérési, szankcionálási lehetőség biztosítása a biztonsági követelményeket szerződésben kell rögzíteni a fejlesztés alatt meg kell tervezni az átadás/átvétel menetét és a konkrét implementációt IV Humán veszélyforrások elleni védelem Munkaviszony létesítésekor háttér ellenőrzés kell végezni, referenciákat, erkölcsi bizonyítványt kell bekérni, folyamatban levő bűnügyi eljárás ellenőrizni kell, titoktartási nyilatkozat (a munkaviszony megszüntetése utáni időszakra is), nyilatkozat a biztonsági követelmények ismeretéről, érdekütközési nyilatkozat (nincs olyan érdekeltsége, amely nem teszi lehetővé a tervezett munkakör betöltését), szakmai és emberi kompetencia vizsgálat Munkaviszony alatt karrier menedzsment lojalitás, kötődés kialakítása 27

28 munkaköri leírások naprakészsége szakmai továbbképzés egymást kizáró biztonságkritikus munkakörök figyelembe vétele Munkaviszony megszüntetésekor jogosultságok, accountok visszavonása, a felmondási időre legalább korlátozni kell megszüntetési interjú: nyilatkozat a vállalati dokumentumok és adathordozók visszaszolgáltatásáról, kilépés utáni titoktartásról vállalati tulajdon visszavonása (beléptető kártya, kulcsok is) a munkatársak értesítése a kilépés tényéről IV Természeti veszélyforrások elleni védelem Leginkább országos szervezetek, szakhatóságok hatásköre. IV Fizikai veszélyforrások elleni védelem Biztonsági intézkedések a hardver védelmében rendszeres megelőző karbantartás a különösen érzékeny összetevők megelőző cseréje a számítógépekbe és a hálózatba való bejutás módozatainak szabályozása a hardver eszközök, illetve szolgáltatásaik igénybevétele csak a felhasználó azonosítását és hitelesítését követően legyen lehetséges hosszabb inaktivitás esetén kényszerített kijelentkezés vagy a berendezés "blokkolása" (például képernyőzárolás) a fejlesztő és a végrehajtó számítógépek szigorú elhatárolása (felhasználói gépen nem folyhat szoftverfejlesztés). az alkalmazott rendszer valamennyi készülékéről, azok műszaki állapotváltozásairól és konfigurálásáról folyamatos nyilvántartás (műszaki törzslap) vezetése zárt elosztók [Jankovits, 2004.] tartalék eszközök jó minőségű eszközök klimatizálás szünetmentes áramellátás, aggretágor épületek mechanikai védelme /kerítések, rácsok, nyílászárók, zárak, stb./ 28

29 elektronikai jelzőrendszerek alkalmazása informatikai helységek tűzvédelme informatikai helységek villámvédelme kisugárzás és zavarvédelem mozgás-, hő- és füstérzékelő eszközök az illegális behatolás és tűz jelzésére csak a megfelelő jogosultsággal rendelkezők bejutásának biztosítása azon helyiségekbe, ahol az alkalmazások találhatók. Az ennek érdekében történő azonosítás a következő módokon valósítható meg. 1. Tulajdonságok, jellemzők alapján történő azonosítás alak hang írisz aláírás ujjlenyomat egyéb 2. Kódolt adatok alapján A, optikai módszer vonalkód mátrix optikai jelfelismerés optikai karakterfelismerés B, mágneses módszer mágnescsík C, félvezetős technika rádiófrekvenciás jeladó memóriakártya aktív memóriakártya [Ködmön, 1999.] 29

30 IV Logikai veszélyforrások elleni védelem Autentikáció a belépni szándékozónak meg kell győznie a rendszert, hogy azonos azzal, akinek mondja magát többször használatos jelszó mit tudsz? egyszer használatos jelszó mi van a birtokodban? biometriai jelszó ki vagy? többszintű hozzáférés védelem: pl. az alkalmazás eléréséhez újabb azonosítás szükséges probléma: egy felhasználónak túl sok jelszót kell ismernie, ezért rögzíti őket jelszó és felhasználói azonosító soha nem kerülhet postai küldeménybe, még elektronikus levélbe sem Kriptográfia az adatokat titkosítva tároljuk vagy továbbítjuk primitív titkosítás: egyszerű karakterhelyettesítés vagy keverés one time pad: a kulcs azonos hosszúságú véletlen sorozat nem megfejthető, de használhatatlan kategóriái: szimmetrikus rejtjelezés, aszimmetrikus rejtjelezés digitális aláírás Határfelületi védelem a csatlakozási pontokon ellenőrizzük, naplózzuk a forgalmat: tűzfal (firewall) Mentések, visszaállítások jól definiált mentési eljárás: mit, milyen gyakran, inkrementális/teljes mentés, mikor, mire, hány példányban, mennyi ideig. A biztonsági másolatokat két példányban kell készíteni. Egyes ajánlások szerint különböző típusú adathordozóra, vagy azonos típusú adathordozók esetén különböző gyártótól származó adathordozókra. Körültekintően kell meghatározni ezen másolatok tárolási helyét (például nem alkalmas erre egy irodai nyitott polc, ahol minden munkatárs hozzáférhet). Lehetőleg egymástól elkülönítetten, tűzbiztos páncélszekrényben kell őket tárolni. Figyelembe kell venni ezen adathordozók fizikai elavulási idejét. Ellenőrizni szükséges az adatok ezen adathordozókról való visszatölthetőségét. 30

INFORMATIKAI BIZTONSÁG ALAPJAI

INFORMATIKAI BIZTONSÁG ALAPJAI INFORMATIKAI BIZTONSÁG ALAPJAI LEVELEZŐ - 1. KONZULTÁCIÓ Göcs László mérnöktanár Kecskeméti Főiskola GAMF Kar Informatika Tanszék 2015-16. 1. félév Elérhetőség, információ Göcs László Informatika Tanszék

Részletesebben

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA Szeged, 2015. szeptember 28. TARTALOMJEGYZÉK Az SZTE Informatikai Biztonsági Szabályzata 1 1. Bevezetés...3 1.1. A szabályzat célja, hatálya,

Részletesebben

Ikt. sz.: ADATVÉDELMI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

Ikt. sz.: ADATVÉDELMI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Ikt. sz.: ADATVÉDELMI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT 2013 A Józsefvárosi Családsegítő és Gyermekjóléti Központ Adatvédelmi és Informatikai Biztonsági Szabályzatát (továbbiakban AIBSZ) a személyes

Részletesebben

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT) Kereskedelmi, Szolgáltató és Tanácsadó Korlátolt Felelősségű Társaság Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT) Verziószám 3.0 OID szám 1.3.6.1.4.1.14868.2.2.1.3

Részletesebben

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM Katonai Műszaki Doktori Iskola Fleiner Rita Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében Doktori (PhD)

Részletesebben

AZ ADATBÁZIS-BIZTONSÁG ALAPJAI

AZ ADATBÁZIS-BIZTONSÁG ALAPJAI V. Évfolyam 2. szám - 2010. június Fleiner Rita fleiner.rita@nik.uni-obuda.hu AZ ADATBÁZIS-BIZTONSÁG ALAPJAI Absztrakt A publikáció az adatbázis-biztonság fogalmának, helyének és szerepének vizsgálatával

Részletesebben

Kereskedelmi, Szolgáltató és Tanácsadó Kft.

Kereskedelmi, Szolgáltató és Tanácsadó Kft. Kereskedelmi, Szolgáltató és Tanácsadó Kft. Trust&Sign Időbélyegzés Szolgáltatási Politika Verziószám 1.1 Hatálybalépés dátuma 2003. augusztus 15. MÁV INFORMATIKA Kereskedelmi, Szolgáltató és Tanácsadó

Részletesebben

Állami Számvevőszék ELEMZÉS a 2014. évi integritás felmérés óvodák, bölcsődék intézménycsoportban mért eredményeiről 2015. május

Állami Számvevőszék ELEMZÉS a 2014. évi integritás felmérés óvodák, bölcsődék intézménycsoportban mért eredményeiről 2015. május Állami Számvevőszék ELEMZÉS a 2014. évi integritás felmérés óvodák, bölcsődék intézménycsoportban mért eredményeiről 2015. május Az elemzés készítését felügyelte: Dr. Pulay Gyula Zoltán felügyeleti vezető

Részletesebben

IT biztonság és szerepe az információbiztonság területén

IT biztonság és szerepe az információbiztonság területén Óbuda University e Bulletin Vol. 1, No. 1, 2010 IT biztonság és szerepe az információbiztonság területén Tóth Georgina Nóra Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar Anyag és

Részletesebben

Az elektronikus közszolgáltatások biztonságáról

Az elektronikus közszolgáltatások biztonságáról 1 3.. Melléklet a /2009. számú kormány-előterjesztéshez A Kormány /2009. (.) Korm. r e n d e l e t e Az elektronikus közszolgáltatások biztonságáról A Kormány az elektronikus közszolgáltatásról szóló 2009.

Részletesebben

Pécs Városi Költségvetési Központi Elszámoló Szervezet 7621 Pécs, Bercsényi u. 3. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT. Hatályos: 2014. április 1.

Pécs Városi Költségvetési Központi Elszámoló Szervezet 7621 Pécs, Bercsényi u. 3. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT. Hatályos: 2014. április 1. Pécs Városi Költségvetési Központi Elszámoló Szervezet 7621 Pécs, Bercsényi u. 3. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Hatályos: 2014. április 1. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT A Pécs Városi Költségvetési

Részletesebben

A BUDAPESTI ÉRTÉKTŐZSDE ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG MŰKÖDÉSI KOCKÁZATKEZELÉSI SZABÁLYZATA

A BUDAPESTI ÉRTÉKTŐZSDE ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG MŰKÖDÉSI KOCKÁZATKEZELÉSI SZABÁLYZATA A BUDAPESTI ÉRTÉKTŐZSDE ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG MŰKÖDÉSI KOCKÁZATKEZELÉSI SZABÁLYZATA Az Igazgatóság elfogadó/módosító határozatának száma és kelte: 36/2010 2010. szeptember 15. A PSZÁF jóváhagyásának

Részletesebben

Mens Mentis EgészségCentrum Korlátolt Felelősségű Társaság - 1119 Budapest, Fehérvári út 85. -

Mens Mentis EgészségCentrum Korlátolt Felelősségű Társaság - 1119 Budapest, Fehérvári út 85. - MU-07-01 B E L S Ő A D A T V É D E L M I E L J Á R Á S R E N D az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, valamint az egészségügyi és a hozzájuk kapcsolódó

Részletesebben

Az elektronikus információs rendszerek védelmére alkalmazható módszerek az Információbiztonsági törvény szemszögéből 2014. Május

Az elektronikus információs rendszerek védelmére alkalmazható módszerek az Információbiztonsági törvény szemszögéből 2014. Május Az elektronikus információs rendszerek védelmére alkalmazható módszerek az Információbiztonsági törvény szemszögéből 2014. Május 1 Napjaink kiemelten fontos az információs társadalmát érő fenyegetések

Részletesebben

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1 VIII. Évfolyam 1. szám - 2013. március Kassai Károly kassai.karoly@hm.gov.hu AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1 Absztrakt A kommunikációs szolgáltatások gyorsuló ütemű

Részletesebben

A Személyes adatok tárolásának módja, az Adatkezelés biztonsága

A Személyes adatok tárolásának módja, az Adatkezelés biztonsága 1 / 7 2012.04.13. 12:36 Adatkezelési Szabályzat A Fogyasztó előzetes tájékoztatása a személyes adatainak felhasználásáról és az adatok tárolásának idejéről. Az Adatkezelési szabályzat az Általános Szerződési

Részletesebben

ÁLTALÁNOS JELLEGŰ ELŐÍRÁSOK. A hitelesítési folyamat résztvevőit, az alapelemeket és a főbb kapcsolódási pontokat az 1.

ÁLTALÁNOS JELLEGŰ ELŐÍRÁSOK. A hitelesítési folyamat résztvevőit, az alapelemeket és a főbb kapcsolódási pontokat az 1. A Miniszterelnöki Hivatalt vezető miniszter 2/2002. (IV. 26.) MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről

Részletesebben

E L Ő T E R J E S Z T É S. Kakucs község Önkormányzata Képviselő-testületének a 2012. január 17-én (kedden) 15.00 órai kezdettel

E L Ő T E R J E S Z T É S. Kakucs község Önkormányzata Képviselő-testületének a 2012. január 17-én (kedden) 15.00 órai kezdettel E L Ő T E R J E S Z T É S Kakucs község Önkormányzata Képviselő-testületének a 2012. január 17-én (kedden) 15.00 órai kezdettel a Kakucs községi Polgármesteri Hivatal dísztermében megtartandó képviselő-testületi

Részletesebben

Adatvédelmi rendelkezések

Adatvédelmi rendelkezések Adatvédelmi rendelkezések (Partneri Együttműködési Feltételek 7. számú melléklete) I. Adatvédelemre vonatkozó általános rendelkezések A Partner kijelenti és szavatol azért, hogy az általa átvett, rendelkezésére

Részletesebben

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék M Ű E G Y E T E M 1 7 8 2 Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék BIZTONSÁGMENEDZSMENT KUTATÓ CSOPORT VASVÁRI GYÖRGY

Részletesebben

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft www.trusted.hu

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft www.trusted.hu A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok alkalmazásában Ivanyos János Trusted Business Partners Kft www.trusted.hu Témakörök Rövid bemutatkozás ECQA Internal Financial Control Assessor képzési

Részletesebben

Mobilengine Szolgáltatás. Általános Szerződési Feltételek. T-Systems Magyarország Zrt. ügyfelek részére. Indirekt (nem online) értékesítés

Mobilengine Szolgáltatás. Általános Szerződési Feltételek. T-Systems Magyarország Zrt. ügyfelek részére. Indirekt (nem online) értékesítés Mobilengine Szolgáltatás Általános Szerződési Feltételek T-Systems Magyarország Zrt. ügyfelek részére Indirekt (nem online) értékesítés 1 TARTALOMJEGYZÉK 1. Szolgáltató adatai, alapfogalmak... 3 1.1 Szolgáltató

Részletesebben

INFORMATIKAI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

INFORMATIKAI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT DUNAÚJVÁROSI FŐISKOLA INFORMATIKAI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Dunaújvárosi Főiskola szenátusa 9-2009/2010. sz. határozatával 2009. december 15-én elfogadta 2009. Dunaújváros 1. kiadás 0. módosítás

Részletesebben

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT. Hatályba lépés időpontja: 2014. 06.13.

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT. Hatályba lépés időpontja: 2014. 06.13. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT Hatályba lépés időpontja: 2014. 06.13. 1. A Szabályzat célja, hatálya A jelen Szabályzat célja, hogy rögzítse az RP Tolz Bt (továbbiakban: Szolgáltató, adatkezelő)

Részletesebben

Ügyiratszám. NAIH-550-15/2013/H Tárgy: az Adecco Személyzeti Közvetítő Kft. adatkezelésének vizsgálata HATÁROZAT

Ügyiratszám. NAIH-550-15/2013/H Tárgy: az Adecco Személyzeti Közvetítő Kft. adatkezelésének vizsgálata HATÁROZAT Ügyiratszám. NAIH-550-15/2013/H Tárgy: az Adecco Személyzeti Közvetítő Kft. adatkezelésének vizsgálata HATÁROZAT Az ADECCO Személyzeti Közvetítő Kft-t (1134 Budapest, Váci út 45. G. ép. 7. em., a továbbiakban:

Részletesebben

9904 Jelentés a társadalombiztosítás informatikai rendszereinek ellenőrzéséről

9904 Jelentés a társadalombiztosítás informatikai rendszereinek ellenőrzéséről 9904 Jelentés a társadalombiztosítás informatikai rendszereinek ellenőrzéséről TARTALOMJEGYZÉK I. A MEGÁLLAPÍTÁSOK ÖSSZEGZÉSE II. FŐBB MEGÁLLAPÍTÁSOK ÉS KÖVETKEZTETÉSEK 1. Az informatika alkalmazás fejlődése

Részletesebben

Hitelesítési Rend nyilvános körben kibocsátott nem minősített tanúsítványokra (HR-NMT)

Hitelesítési Rend nyilvános körben kibocsátott nem minősített tanúsítványokra (HR-NMT) NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Hitelesítési Rend nyilvános körben kibocsátott nem minősített tanúsítványokra (HR-NMT) Verziószám 1.2 OID szám 0.2.216.1.200.1100.100.42.3.2.7.1.2 Hatósági

Részletesebben

FŐVÁROSI CSATORNÁZÁSI MŰVEK ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG

FŐVÁROSI CSATORNÁZÁSI MŰVEK ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG FŐVÁROSI CSATORNÁZÁSI MŰVEK ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG Azonosító szám: kiadás /változat 2.0 Budapest, 2011. december 27. A szabályzat témagazdája: Dr. Prohászka László vezető jogtanácsos A 2.0.

Részletesebben

Magyar Telekom. Minősített Időbélyegzés. Szolgáltatási Szabályzata

Magyar Telekom. Minősített Időbélyegzés. Szolgáltatási Szabályzata Magyar Telekom Minősített Időbélyegzés Szolgáltatási Szabályzata Egyedi objektum-azonosító (OID):...1.3.6.1.4.1.17835.7.1.2.11.3.13.2.1 Verziószám:...2.1 Hatályba lépés dátuma: 2012.01.20. 1. oldal (összesen:

Részletesebben

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA. Javaslat: A TANÁCS IRÁNYELVE

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA. Javaslat: A TANÁCS IRÁNYELVE HU HU HU AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA Brüsszel, 2009.10.26. COM(2009)577 végleges Javaslat: A TANÁCS IRÁNYELVE a kórházakban és az egészségügyben előforduló, éles vagy hegyes eszközök által okozott

Részletesebben

Az adatvédelem szabályai, a közérdekű és a közérdekből nyilvános adat megismerésére irányuló igények teljesítésének rendje

Az adatvédelem szabályai, a közérdekű és a közérdekből nyilvános adat megismerésére irányuló igények teljesítésének rendje Melléklet a 29/2014. (XI.25.) számú Főigazgatói Utasításhoz Az adatvédelem szabályai, a közérdekű és a közérdekből nyilvános adat megismerésére irányuló igények teljesítésének rendje Tartalomjegyzék I.

Részletesebben

KIBERVESZÉLY ÉS A MAGYAR HONVÉDSÉG

KIBERVESZÉLY ÉS A MAGYAR HONVÉDSÉG VII. Évfolyam 4. szám - 2012. december Kassai Károly kassai.karoly@hm.gov.hu KIBERVESZÉLY ÉS A MAGYAR HONVÉDSÉG Absztrakt A korszerű élet és társadalom erősen függ a különböző információs rendszerektől

Részletesebben

Puskás Tivadar Közalapítvány CERT-Hungary Központ. dr. Angyal Zoltán hálózatbiztonsági igazgató

Puskás Tivadar Közalapítvány CERT-Hungary Központ. dr. Angyal Zoltán hálózatbiztonsági igazgató Puskás Tivadar Közalapítvány CERT-Hungary Központ dr. Angyal Zoltán hálózatbiztonsági igazgató 2009 1 PTA CERT-Hungary Központ A Puskás Tivadar Közalapítvány (PTA) keretében működő CERT- Hungary Központ

Részletesebben

ADATVÉDELMI NYILATKOZAT

ADATVÉDELMI NYILATKOZAT ADATVÉDELMI NYILATKOZAT 1. A Szabályzat célja 1.1. A jelen szabályzat (a továbbiakban: Szabályzat ) célja, hogy rögzítse a V-S Csoport 2000 Korlátolt Felelősségű Társaság (a továbbiakban: Társaság ) által

Részletesebben

1. SZÁMÚ MELLÉKLET. EURÓPAI MODELL EDI MEGÁLLAPODÁS JOGI RENDELKEZÉSEK MAGYARÁZAT Bevezető

1. SZÁMÚ MELLÉKLET. EURÓPAI MODELL EDI MEGÁLLAPODÁS JOGI RENDELKEZÉSEK MAGYARÁZAT Bevezető 1. SZÁMÚ MELLÉKLET EURÓPAI MODELL EDI MEGÁLLAPODÁS JOGI RENDELKEZÉSEK MAGYARÁZAT Bevezető Az Európai Modell EDI Megállapodás olyan rendelkezésekkel tartalmaz az EDI felhasználók számára, amely egy adatcsere

Részletesebben

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József Adat és információvédelem Informatikai biztonság CISA Technológia: az informatikai rendszer Az informatikai rendszer főbb elemei: A környezeti infrastruktúra elemei Hardver elemek Adathordozók Dokumentumok

Részletesebben

Cégismerteto. Ez így kicsit tömören hangzik, nézzük meg részletesebben, mivel is foglalkozunk!

Cégismerteto. Ez így kicsit tömören hangzik, nézzük meg részletesebben, mivel is foglalkozunk! Cégismerteto Modern világunkban nem létezhetünk információ nélkül: az informatika végérvényesen alapinfrastruktúrává vált, mindig, mindenhol jelen van, mindannyiunk életét meghatározza. A mai üzleti világban

Részletesebben

HIVATALOS ÉRTESÍTÕ. 44. szám. A M A G Y A R K Ö Z L Ö N Y M E L L É K L E T E 2011. augusztus 11., csütörtök. Tartalomjegyzék. I.

HIVATALOS ÉRTESÍTÕ. 44. szám. A M A G Y A R K Ö Z L Ö N Y M E L L É K L E T E 2011. augusztus 11., csütörtök. Tartalomjegyzék. I. HIVATALOS ÉRTESÍTÕ A M A G Y A R K Ö Z L Ö N Y M E L L É K L E T E 2011. augusztus 11., csütörtök 44. szám Tartalomjegyzék I. Utasítások 21/2011. (VIII. 11.) BM utasítás a Belügyminisztérium Informatikai

Részletesebben

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS BUDAPEST FŐVÁROS XIII. KERÜLETI ÖNKORMÁNYZAT XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS a Budapest Főváros XIII. Kerületi Önkormányzat INFORMÁCIÓ BIZTONSÁGI SZABÁLYZATA Készítő

Részletesebben

Követelmények a megbízható működés terén. Információbiztonsági osztályozás a megbízható működés szempontjából. T - T üz T

Követelmények a megbízható működés terén. Információbiztonsági osztályozás a megbízható működés szempontjából. T - T üz T Követelmények a megbízható működés terén Információbiztonsági osztályozás a megbízható működés szempontjából Megbízható működés Az informatikai rendszerek megbízható működését úgy értelmezzük, hogy az

Részletesebben

A VELENCEI-TÓ TURIZMUSÁÉRT TURISZTIKAI DESZTINÁCIÓ MENEDZSMENT EGYESÜLET ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

A VELENCEI-TÓ TURIZMUSÁÉRT TURISZTIKAI DESZTINÁCIÓ MENEDZSMENT EGYESÜLET ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA A VELENCEI-TÓ TURIZMUSÁÉRT TURISZTIKAI DESZTINÁCIÓ MENEDZSMENT EGYESÜLET ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA A hatályos magyar jogszabályok vonatkozó rendelkezései alapján Ön a Velencei-tó Turizmusáért

Részletesebben

A MAGYAR FÖLDGÁZKERESKEDŐ ZRT. ADATVÉDELMI SZABÁLYZATA

A MAGYAR FÖLDGÁZKERESKEDŐ ZRT. ADATVÉDELMI SZABÁLYZATA A MAGYAR FÖLDGÁZKERESKEDŐ ZRT. ADATVÉDELMI SZABÁLYZATA Tartalom 1. Cél... 2 2. A szabályzat hatálya... 2 2.1. Időbeli hatálya... 2 2.2. Személyi hatály... 2 2.3. Tárgyi hatály... 2 43 Meghatározások...

Részletesebben

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ Hírlevélgyár.hu ADATKEZELÉSI TÁJÉKOZTATÓ 2006. október 1. 1. BEVEZETÉS...2 2. DEFINÍCIÓK...3 3. ALAPELVEK A HÍRLEVÉLGYÁR.HU ADATKEZELÉSE SORÁN...4 4. A SZEMÉLYES ADATOK KÖRE, AZ ADATKEZELÉS CÉLJA, JOGCÍME

Részletesebben

12/2015. sz. Vezérigazgatói utasítás a BKK Zrt. Szervezeti és Működési Szabályzatáról

12/2015. sz. Vezérigazgatói utasítás a BKK Zrt. Szervezeti és Működési Szabályzatáról a BKK Zrt. Szervezeti és Működési Szabályzatáról Elfogadva az Igazgatóság 265/2015. (V. 20.) számú határozatával, Módosítva az Igazgatóság 471/2015. (IX. 23.) számú határozatával a 36/2015. sz. Vezérigazgatói

Részletesebben

Társasági Adatvédelmi és Adatbiztonsági SZABÁLYZAT

Társasági Adatvédelmi és Adatbiztonsági SZABÁLYZAT BKV Rt. Adatvédelmi és Adatbiztonsági Szabályzat 2006. 1. Melléklet Budapesti Közlekedési Részvénytársaság Társasági Adatvédelmi és Adatbiztonsági SZABÁLYZAT 2006. TARTALOMJEGYZÉK Tartalomjegyzék... 2

Részletesebben

21/1998. (IV. 17.) IKIM rendelet. a gépek biztonsági követelményeiről és megfelelőségének tanúsításáról. Általános rendelkezések

21/1998. (IV. 17.) IKIM rendelet. a gépek biztonsági követelményeiről és megfelelőségének tanúsításáról. Általános rendelkezések 21/1998. (IV. 17.) IKIM rendelet a gépek biztonsági követelményeiről és megfelelőségének tanúsításáról A fogyasztóvédelemről szóló 1997. évi CLV. törvény 56. -ának a) pontjában kapott felhatalmazás alapján

Részletesebben

Adatbiztonság, Adatvédelem Dr. Leitold, Ferenc

Adatbiztonság, Adatvédelem Dr. Leitold, Ferenc Adatbiztonság, Adatvédelem Dr. Leitold, Ferenc Adatbiztonság, Adatvédelem Dr. Leitold, Ferenc Publication date 2013 Szerzői jog 2013 Dr. Leitold Ferenc Szerzői jog 2013 Dunaújvárosi Főiskola Kivonat Ez

Részletesebben

Magyar Telekom fokozott e- Szignó. nem-minősített hitelesítés szolgáltatás. Standard Üzleti Tanúsítvány. Fokozott Személyi Tanúsítvány

Magyar Telekom fokozott e- Szignó. nem-minősített hitelesítés szolgáltatás. Standard Üzleti Tanúsítvány. Fokozott Személyi Tanúsítvány Magyar Telekom fokozott e- Szignó nem-minősített hitelesítés szolgáltatás Standard Személyi Tanúsítvány Standard Üzleti Tanúsítvány Fokozott Személyi Tanúsítvány Fokozott Üzleti Tanúsítvány Hitelesítési

Részletesebben

Minőségbiztosítás, minőségirányítás, külső szervek szakfelügyeleti ellenőrzése 1

Minőségbiztosítás, minőségirányítás, külső szervek szakfelügyeleti ellenőrzése 1 Minőségbiztosítás, minőségirányítás, külső szervek szakfelügyeleti ellenőrzése 1 Forgács zoltán Minőségbiztosítás, minőségirányítás I. a minőség fogalma A minőség, mint hétköznapi fogalom már régóta él

Részletesebben

BASEL2 3. PILLÉR NYILVÁNOSSÁGRA HOZATAL

BASEL2 3. PILLÉR NYILVÁNOSSÁGRA HOZATAL BASEL2 3. PILLÉR NYILVÁNOSSÁGRA HOZATAL A KOCKÁZATKEZELÉSRŐL ÉS A TŐKEMEGFELELÉSRŐL 2013. december 31. CIB Bank Zrt. CIB Bank Ltd. H-1027 Budapest, Medve utca 4 14. H-1995 Budapest Telefon: (06 1) 423

Részletesebben

V 114. A CIB Bank Zrt. Adatvédelmi és adatbiztonsági Szabályzata. Data Protection and data security Policy of CIB Bank Ltd.

V 114. A CIB Bank Zrt. Adatvédelmi és adatbiztonsági Szabályzata. Data Protection and data security Policy of CIB Bank Ltd. V 114. A CIB Bank Zrt. Adatvédelmi és adatbiztonsági Szabályzata Data Protection and data security Policy of CIB Bank Ltd. Tartalomjegyzék 1. Általános rész... 4 1.1. A szabályzat célja... 4 1.2. A Szabályzat

Részletesebben

A GYŐRI ARANY JÁNOS ANGOL-NÉMET KÉT TANÍTÁSI NYELVŰ ÁLTALÁNOS ISKOLA KÖZALKALMAZOTTI, ILLETVE GYERMEKEKKEL, TANULÓKKAL

A GYŐRI ARANY JÁNOS ANGOL-NÉMET KÉT TANÍTÁSI NYELVŰ ÁLTALÁNOS ISKOLA KÖZALKALMAZOTTI, ILLETVE GYERMEKEKKEL, TANULÓKKAL A GYŐRI ARANY JÁNOS ANGOL-NÉMET KÉT TANÍTÁSI NYELVŰ ÁLTALÁNOS ISKOLA KÖZALKALMAZOTTI, ILLETVE GYERMEKEKKEL, TANULÓKKAL KAPCSOLATOS ADATKEZELÉSI, ADATVÉDELMI, ADATBIZTONSÁGI, TITOKVÉDELMI SZABÁLYZATA OM-azonosító:

Részletesebben

Nemzeti Alaptanterv Informatika műveltségterület Munkaanyag. 2011. március

Nemzeti Alaptanterv Informatika műveltségterület Munkaanyag. 2011. március Nemzeti Alaptanterv Informatika műveltségterület Munkaanyag 2011. március 1 Informatika Alapelvek, célok Az információ megszerzése, megértése, feldolgozása és felhasználása, vagyis az információs műveltség

Részletesebben

A Fővárosi Közigazgatási és Munkaügyi Bíróság ítélete a Nemzeti Adatvédelmi és Információszabadság Hatóság döntésének hatályon kívül helyezéséről*

A Fővárosi Közigazgatási és Munkaügyi Bíróság ítélete a Nemzeti Adatvédelmi és Információszabadság Hatóság döntésének hatályon kívül helyezéséről* Jóri András A Fővárosi Közigazgatási és Munkaügyi Bíróság ítélete a Nemzeti Adatvédelmi és Információszabadság Hatóság döntésének hatályon kívül helyezéséről* Az adatvédelem bírói kontrollja Hivatalos

Részletesebben

1. verzió Az Óbudai Egyetem Szervezeti és Működési Szabályzata 1. melléklet Szervezeti és Működési Rend 36. függelék Az ÓBUDAI EGYETEM FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE

Részletesebben

Adatvédelmi szabályzat

Adatvédelmi szabályzat Tartalomjegyzék 1. A SZABÁLYZAT TÁRGYA... 2 2. ALKALMAZÁSI TERÜLET... 2 3. VONATKOZÓ SZABÁLYZÁSOK... 2 4. ALKALMAZANDÓ ESZKÖZÖK... 2 5. FOGALOM MEGHATÁROZÁSOK... 3 6. ILLETÉKESSÉG, FELELŐSSÉG, HATÁSKÖR...

Részletesebben

Adatkezelés: Adatkezelési tájékoztató:

Adatkezelés: Adatkezelési tájékoztató: Adatkezelés: Adatkezelési tájékoztató: Az webáruház használata során a In-Car-Tel Kft.részére rendelkezésére bocsátott személyes adatokat bizalmasan kezeli, és nem adja ki további fél számára, kivéve abban

Részletesebben

A MIOK SZEGEDI SZAKKÖZÉPISKOLA ADATKEZELÉSI SZABÁLYZATA

A MIOK SZEGEDI SZAKKÖZÉPISKOLA ADATKEZELÉSI SZABÁLYZATA OM: 201183 A MIOK SZEGEDI SZAKKÖZÉPISKOLA ADATKEZELÉSI SZABÁLYZATA Érvényes a 2015/2016. tanévtől Szeged, 2016. április 21. MIOK Szegedi Szakközépiskola Adatvédelmi szabályzata 2 Tartalom ADATVÉDELMI SZABÁLYZAT...

Részletesebben

Tisztelt Állampolgárok!

Tisztelt Állampolgárok! Tisztelt Állampolgárok! Az elektronikus információszabadságról szóló 2005. évi XC. törvény 3. (6) bekezdése alapján közzé tesszük Jászberény Város Polgármesteri Hivatalának a közérdekű adatok megismerésére

Részletesebben

ÉGÁZ-DÉGÁZ GÁZSZOLGÁLTATÓ ZÁRTKÖRŰEN MŰKÖDŐ RÉSZÉNYTÁRSASÁG

ÉGÁZ-DÉGÁZ GÁZSZOLGÁLTATÓ ZÁRTKÖRŰEN MŰKÖDŐ RÉSZÉNYTÁRSASÁG ÉGÁZ-DÉGÁZ GÁZSZOLGÁLTATÓ ZÁRTKÖRŰEN MŰKÖDŐ RÉSZÉNYTÁRSASÁG EGYETEMES SZOLGÁLTATÓI ÜZLETSZABÁLYZATA Mellékletekkel és függelékekkel 2009. július 1. Egyetemes szolgáltatói üzletszabályzat 1/102 TARTALOMJEGYZÉK

Részletesebben

IT KOCKÁZATOK, ELEMZÉSÜK, KEZELÉSÜK

IT KOCKÁZATOK, ELEMZÉSÜK, KEZELÉSÜK Póserné Oláh Valéria Budapesti Műszaki Főiskola NIK, poserne.valeria@nik.bmf.hu IT KOCKÁZATOK, ELEMZÉSÜK, KEZELÉSÜK Absztrakt Napjainkban már a legtöbb szervezet működése elképzelhetetlen informatikai

Részletesebben

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015. Óbudai Egyetem Neumann János Informatikai Kar Tóth Béla 2015. Név: Tóth Béla Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma Főállásban: Pénzügyi szektor IT Infrastruktúra

Részletesebben

1992. évi LXIII. törvény. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról. I. fejezet ÁLTALÁNOS RENDELKEZÉSEK.

1992. évi LXIII. törvény. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról. I. fejezet ÁLTALÁNOS RENDELKEZÉSEK. 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról Az Országgyűlés - a Magyar Köztársaság Alkotmányában foglaltakkal összhangban - a személyes adatok védelmét,

Részletesebben

Minőségmenedzsment alapok

Minőségmenedzsment alapok MENEDZSMENT ÉS VÁLLALKOZÁSGAZDASÁGTAN (BMEGT20A001) Z ALAPKÉRDÉSEK 2007/08/2 félév 3. zárthelyi dolgozat Minőségmenedzsment alapok Tesztek (A zh-n nem ugyanebben a sorrendben szerepelnek a válaszok, egy

Részletesebben

Végleges iránymutatások

Végleges iránymutatások VÉGLEGES IRÁNYMUTATÁSOK AZ INTERNETES FIZETÉSEK BIZTONSÁGÁRÓL EBA/GL/2014/12_Rev1 2014. december 19. Végleges iránymutatások az internetes fizetések biztonságáról 1 VÉGLEGES IRÁNYMUTATÁSOK AZ INTERNETES

Részletesebben

BIZTONSÁGI AUDIT. 13. óra

BIZTONSÁGI AUDIT. 13. óra 13. óra BIZTONSÁGI AUDIT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH)

Részletesebben

MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNYV Tartalomjegyzék

MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNYV Tartalomjegyzék Tartalomjegyzék Oldal:1/1 Bevezetés Oldalak száma Tartalomjegyzék 1 1. Érvényesség 1 2. A bemutatása 1 3. Meghatározások 1 Minőségirányítási Kézikönyv 4. Minőségirányítási rendszer 8 5. A vezetőség felelősségi

Részletesebben

Merétey-Vida Zsolt * KÖLTSÉGVETÉSI BELSİ ELLENİRZÉS BELSİ ELLENİRZÉS

Merétey-Vida Zsolt * KÖLTSÉGVETÉSI BELSİ ELLENİRZÉS BELSİ ELLENİRZÉS Merétey-Vida Zsolt * KÖLTSÉGVETÉSI BELSİ ELLENİRZÉS BELSİ ELLENİRZÉS Ellenırzés alatt általában valamilyen cél, vagy feladat lehetı leghatékonyabb megvalósítása érdekében végzett tényfeltáró, összehasonlító,

Részletesebben

ADATKEZELÉSI és ADATVÉDELMI SZABÁLYZAT

ADATKEZELÉSI és ADATVÉDELMI SZABÁLYZAT 1 ADATKEZELÉSI és ADATVÉDELMI SZABÁLYZAT Z& C Solution Iroda Hatálybalépés időpontja : 2015.05.24 (Nyilvántartási azonosító: NAIH-85531/2015) 2 Az információs önrendelkezési jogról és az információszabadságról

Részletesebben

Az SSM negyedéves jelentése

Az SSM negyedéves jelentése Az SSM negyedéves jelentése Az egységes felügyeleti mechanizmusról szóló rendelet operatív végrehajtása terén elért eredmények Az EKB 2014. évi kiadványain a 20 eurós bankjegy egy-egy motívuma látható.

Részletesebben

Nemzeti Stratégia. a kábítószer-probléma kezelésére

Nemzeti Stratégia. a kábítószer-probléma kezelésére Melléklet a /2009. (..) OGY határozathoz Biztonságosabb társadalom, megtartó közösség Nemzeti Stratégia a kábítószer-probléma kezelésére 2010-2018 Tartalom Tartalom...2 Bevezetés (a Nemzeti Stratégia szerepe)...3

Részletesebben

Szabványok, ajánlások

Szabványok, ajánlások Szabványok, ajánlások ISO 27000 szabványcsalád COBIT (Control Objectives for Information and Related Technology) Common Criteria (ISO/IEC 15408) ITIL és ISO/IEC 20000 (IT Infrastructure Library) KIB 25.

Részletesebben

Magyarország katasztrófavédelme

Magyarország katasztrófavédelme Szent István Egyetem Gazdasági és Társadalomtudományi Kar Gazdálkodási és menedzsment nappali szak Tantárgy: civilbiztonság Magyarország katasztrófavédelme Készítette: Tanár: Szendrei Máté (DAI5MO) Dr.

Részletesebben

Adatkezelési és adatvédelmi tájékoztató

Adatkezelési és adatvédelmi tájékoztató Adatkezelési és adatvédelmi tájékoztató A http://szakallasember.hu/home/shop/ üzemeltetője ezúton tájékoztatja a honlap látogatóit a személyes adatok kezelése körében követett gyakorlatáról, az adatok

Részletesebben

Adatkezelési szabályzat

Adatkezelési szabályzat Adatkezelési szabályzat A Tagok személyes adatainak kezelése, a személyes adatok védelme érdekében A Szolgáltató az Előfizetők személyes adatait bizalmasan, a hatályos jogszabályi elõírásokkal összhangban

Részletesebben

MUNKAANYAG. Váradi Julianna. Általános és speciális jogszabályi előírások, normák, valamint az etikai,- titokvédelmi szabályok

MUNKAANYAG. Váradi Julianna. Általános és speciális jogszabályi előírások, normák, valamint az etikai,- titokvédelmi szabályok Váradi Julianna Általános és speciális jogszabályi előírások, normák, valamint az etikai,- titokvédelmi szabályok A követelménymodul megnevezése: Személy- és vagyonvédelmi alapfeladatok A követelménymodul

Részletesebben

A TURISZTIKAI VONZERŐ FELHASZNÁLÁSA HELYZETFELTÁRÁS TÁMOP-1.4.4-08/1-2009-0016 FOGLALKOZTATÁSRA A HAJDÚSZOBOSZLÓI KISTÉRSÉGBEN 2010.

A TURISZTIKAI VONZERŐ FELHASZNÁLÁSA HELYZETFELTÁRÁS TÁMOP-1.4.4-08/1-2009-0016 FOGLALKOZTATÁSRA A HAJDÚSZOBOSZLÓI KISTÉRSÉGBEN 2010. A TURISZTIKAI VONZERŐ FELHASZNÁLÁSA FOGLALKOZTATÁSRA A HAJDÚSZOBOSZLÓI KISTÉRSÉGBEN HELYZETFELTÁRÁS TÁMOP-1.4.4-08/1-2009-0016 2010. AUGUSZTUS Tartalomjegyzék 1 VEZETŐI ÖSSZEFOGLALÓ... 3 2 BEVEZETÉS...

Részletesebben

Adatvédelmi Szabályzat. A KCG Partners Ügyvédi Társulás számára kiemelten fontos a személyes adatok legmagasabb szintű védelme.

Adatvédelmi Szabályzat. A KCG Partners Ügyvédi Társulás számára kiemelten fontos a személyes adatok legmagasabb szintű védelme. Adatvédelmi Szabályzat 1. Preambulum A KCG Partners Ügyvédi Társulás számára kiemelten fontos a személyes adatok legmagasabb szintű védelme. A jelen Adatvédelmi Szabályzat célja a www.kcgpartners.com internetes

Részletesebben

KINCSTÁRI RENDSZEREK. A kincstári rendszer létrejötte, fejlődése, bővítési stratégiák, lépések a szubszidiaritás irányába GÁRDOS CSABA 1

KINCSTÁRI RENDSZEREK. A kincstári rendszer létrejötte, fejlődése, bővítési stratégiák, lépések a szubszidiaritás irányába GÁRDOS CSABA 1 GÁRDOS CSABA 1 A kincstári rendszer létrejötte, fejlődése, bővítési stratégiák, lépések a szubszidiaritás irányába Az államháztartási pénzügyi rendszer reformjának egyik fontos és kiemelt eredménye a kincstári

Részletesebben

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT I. A Szabályzat célja A jelen Szabályzat célja, hogy rögzítse a DFL Systems Informatikai Tanácsadó és Szolgáltató Korlátolt Felelősségű Társaság (a továbbiakban:

Részletesebben

564/2011. (13) NGM rendelet

564/2011. (13) NGM rendelet 564/2011. (13) NGM rendelet az egyes szerencsejátékok engedélyezésével, lebonyolításával és ellenőrzésével kapcsolatos feladatok végrehajtásáról szóló 32/2005. (X. 21.) PM rendelet módosításáról A szerencsejáték

Részletesebben

Adatkezelési Tájékoztató

Adatkezelési Tájékoztató Adatkezelési Tájékoztató Ecostudio Informatika Kft. (a továbbiakban: Szolgáltató) a www.ecosite.hu (a továbbiakban: Honlap) működtetése során a Honlapra látogatók és a Honlapon keresztül a Szolgáltató

Részletesebben

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA ÚTMUTATÓ AKKREDITOROK SZÁMÁRA A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt

Részletesebben

7/2009/EK KÖZÖS ÁLLÁSPONT

7/2009/EK KÖZÖS ÁLLÁSPONT C 62 E/46 2009.3.17. 7/2009/EK KÖZÖS ÁLLÁSPONT a Tanács által 2009. január 9-én elfogadva a nemzetközi közúti árufuvarozási piachoz való hozzáférés közös szabályairól szóló európai parlamenti és tanácsi

Részletesebben

INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Bartók Kamaraszínház és Művészetek Háza Dunaújváros, Bartók tér 1. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Hatályos: 2014.01.01-től dr. Borsós Beáta igazgató 1 1. Az Informatikai Biztonsági Szabályzat célja

Részletesebben

Az ajánlás célja és hatálya

Az ajánlás célja és hatálya A Pénzügyi Szervezetek Állami Felügyelete elnökének 1/2013. (I. 15.) számú ajánlása a kereskedési platformok és a befektetési vállalkozások által az automatizált kereskedési környezetben alkalmazandó rendszerekről

Részletesebben

FŐVÁROSI ÖNKORMÁNYZAT ÉRTELMI FOGYATÉKOSOK OTTHONA ZSIRA

FŐVÁROSI ÖNKORMÁNYZAT ÉRTELMI FOGYATÉKOSOK OTTHONA ZSIRA FŐVÁROSI ÖNKORMÁNYZAT ÉRTELMI FOGYATÉKOSOK OTTHONA ZSIRA A KÖZÉRDEKŰ ADATOK MEGISMERÉSÉRE IRÁNYULÓ KÉRELMEK TELJESÍTÉSÉNEK, ÉS A KÖTELEZŐEN KÖZZÉTEENDŐ ADATOK NYILVÁNOSSÁGRA HOZATALÁNAK RENDJÉT RÖGZÍTŐ

Részletesebben

Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kar Hadtudományi Doktori Iskola

Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kar Hadtudományi Doktori Iskola Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kar Hadtudományi Doktori Iskola Agyi érkatasztrófák kezelése a MH Honvédkórházban: a személyi állomány sürgősségi ellátásának megszervezése

Részletesebben

A NYÍREGYHÁZI CIVIL FÓRUM STRATÉGIÁJA

A NYÍREGYHÁZI CIVIL FÓRUM STRATÉGIÁJA A NYÍREGYHÁZI CIVIL FÓRUM STRATÉGIÁJA Nyíregyháza, 2010. május Készült a Felső-Tisza Alapítvány megbízásából. Szerkesztette: Filepné dr. Nagy Éva Katona Mariann Tóth Miklós Lezárva 2010. május 31-én. Nyíregyháza,

Részletesebben

f) bírságot szabhat ki.

f) bírságot szabhat ki. 1. Az Infotv. 3. (1) bekezdés 2. pontja alapján személyes adatnak minősül az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai,

Részletesebben

ADATKEZELÉSI SZABÁLYZAT

ADATKEZELÉSI SZABÁLYZAT NEPOMUKI SZENT JÁNOS RÓMAI KATOLIKUS ÁLTALÁNOS ISKOLA OM azonosító: 200422 ADATKEZELÉSI SZABÁLYZAT 1 ÁLTALÁNOS RENDELKEZÉSEK A szabályzat célja és hatálya 1) A szabályzat célja, hogy meghatározza Nepomuki

Részletesebben

SEGÉDLET A MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNY ELKÉSZÍTÉSÉHEZ

SEGÉDLET A MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNY ELKÉSZÍTÉSÉHEZ Fejezet: (Kitöltés és szakasztördelés a kézikönyv elkészítése után) Oldalszám: 1/18 SEGÉDLET A MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNY ELKÉSZÍTÉSÉHEZ A minőségügyi kézikönyv a minőségirányítási rendszert alapdokumentuma,

Részletesebben

A BIZOTTSÁG HATÁROZATA 2010.6.11. a vízumosztályok működési rendjéről és a helyi schengeni együttműködésről szóló kézikönyv létrehozásáról

A BIZOTTSÁG HATÁROZATA 2010.6.11. a vízumosztályok működési rendjéről és a helyi schengeni együttműködésről szóló kézikönyv létrehozásáról HU HU HU EURÓPAI BIZOTTSÁG Brüsszel, 2010.6.11. C(2010)3667 végleges A BIZOTTSÁG HATÁROZATA 2010.6.11. a vízumosztályok működési rendjéről és a helyi schengeni együttműködésről szóló kézikönyv létrehozásáról

Részletesebben

Magyarország nemzeti programja a kiégett üzemanyag és a radioaktív hulladék kezelésére Stratégiai Környezeti Vizsgálatának felépítése

Magyarország nemzeti programja a kiégett üzemanyag és a radioaktív hulladék kezelésére Stratégiai Környezeti Vizsgálatának felépítése Magyarország nemzeti programja a kiégett üzemanyag és a radioaktív hulladék kezelésére Stratégiai Környezeti Vizsgálatának felépítése Egyeztetési anyag Véglegesített változat a hatósági vélemények figyelembe

Részletesebben

Informatika biztonsági szabályzat

Informatika biztonsági szabályzat Nemesvámos-Veszprémfajsz Községek Körjegyzősége Informatika biztonsági szabályzat (B-13) Jóváhagyta Nemesvámos Község Önkormányzata Veszprémfajsz Község Önkormányzata Veszprémfajsz Község Német Nemzetiségi

Részletesebben

368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény végrehajtásáról

368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény végrehajtásáról OptiJus Opten Kft. I. 368/2011. (XII. 31.) Korm. rendelet 368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény végrehajtásáról A 2012.3.31. és 2012.12.31. között hatályos szöveg Tartalomjegyzék

Részletesebben

Adatkezelési tájékoztató

Adatkezelési tájékoztató 1 Utakerthez.hu - Adatkezelési Tájékoztató - 2016. Utakerthez.hu Adatkezelési tájékoztató Röviden Személyes adatokat csak a törvényeknek megfelelően gyűjtünk és kezelünk. DM levelet csak külön hozzájárulás

Részletesebben

IT ellenőrzés feladata válság idején

IT ellenőrzés feladata válság idején IT ellenőrzés feladata válság idején Budapest, 2010. április 28. BEMSZ rendezvény, Budapest, V. Szabadság tér 5-6. Kirner Attila, Főosztályvezető-helyettes PSZÁF Informatika Felügyeleti Osztály kirner.attila@pszaf.hu

Részletesebben

Adatvédelmi és adatkezelési szabályzat

Adatvédelmi és adatkezelési szabályzat Adatvédelmi és adatkezelési szabályzat 1. A Szabályzat célja A jelen Szabályzat célja, hogy rögzítse a MIKKA Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (rövidített cégnév: MIKKA Kft., székhely:

Részletesebben