NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Hasonló dokumentumok
A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Szabványok, ajánlások

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Csorba Zsolt EV. Adatvédelmi Szabályzata

Adatkezelési tájékoztató

A GDPR elmúlt egy éve

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

Adatkezelési és - védelmi tájékoztató. Adatkezelési és-védelmi tájékoztató a GDPR megfeleléshez

EU általános adatvédelmi rendelet Fábián Péter

ADATVÉDELMI RENDELET (GDPR) ISKOLAPSZICHOLÓGIAI KONZEKVENCIÁI

Adatkezelési tájékoztató

Az adatkezelésre jogosult személye: Oktatási Hivatal az Oktatási Hivatalról szóló 121/2013. (IV. 26.) Korm. rendelet 3. c) pont alapján.

Adatkezelési tájékoztató

Adatkezelési tájékoztató

Az IT biztonság szerepe a könyvvizsgálatban

AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI KÖNYVELŐIRODÁK RÉSZÉRE

HBCS Audit Kft. Adatvédelmi Nyilatkozat

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

Dr. Muha Lajos. Az L. törvény és következményei

Adatvédelmi tájékoztató Készült:

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

Adatkezelési tájékoztató

Adatvédelmi tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

(az egyesület nevét beírni!) EGYESÜLET BELSŐ ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

ADATKEZELÉSI TÁJÉKOZTATÓ

Big Data és adatvédelem

ÁLTALÁNOS SZEMÉLYES ADATVÉDELMI TÁJÉKOZTATÓ MÁJUS 25.

FŐVÁROSI ÁLLAT- ÉS NÖVÉNYKERT

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

Daganatos.hu Alapítvány (a továbbiakban: adatkezelő) Jelentkező adatvédelmi szabályzat és tájékoztató

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

ADATKEZELÉSI SZABÁLYZAT AZ EGYESÜLETI TAGOK NYILVÁNTARTÁSA VONATKOZÁSÁBAN. HATÁLYA: január 1.

Személyes adatok kezelésére vonatkozó információk. A Rendelet 13. cikke szerinti információk és kiegészítő információk

A személyes adatok védelmére vonatkozóan alkalmazandó előírások

Account Berater GmbH Adatvédelmi és Adatkezelési Szabályzata. Végh Ágnes Judit Ügyvezető. Cím: 1190 Wien Döblingergürtel 21-23/6/3

Vállalati adatvédelem

Adatkezelési tájékoztató

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

ADATKEZELÉSI SZABÁLYZAT

Muha Lajos. Az információbiztonsági törvény értelmezése

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZATA

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési Tájékoztató. ZOLL-PLATZ Vámügynökség Korlátolt Felelősségű Társaság által kezelt személyes adatokról

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

ADATKEZELÉSI TÁJÉKOZTATÓ. Személy- és vagyonőrök 40 órás képzése

ADATVÉDELMI SZABÁLYZAT

Ipari hálózatok biztonságának speciális szempontjai és szabványai

ADATKEZELÉSI SZABÁLYZAT FÜGGELÉK A MÁS ADATKEZELŐ MEGBÍZÁSÁBÓL VÉGZETT ADATKEZELÉS (ADATFELDOLGOZÁS) VÉGZÉSÉNEK BELSŐ SZABÁLYAIRÓL

GDPR-ÁLTALÁNOS ADATVÉDELMI RENDELET. Változások az adatvédelemben

METABOND Magyarország Kft. H-9030 Győr, Szigligeti E.u. 5. Tel.: +3696/ Közvetlen szervező:... Név:... Cím:...

Dr. Tényi Géza Dr. Polefkó Patrik: Bizalmas információk kezelése és. adatvédelem a felhőszolgáltatásban

Adatkezelési tájékoztató

GYŐRI BALETT ADATVÉDELMI SZABÁLYZAT

ADATKEZELÉSI TÁJÉKOZTATÓ. az és a telefonos ügyfélszolgálat (helpdesk szolgáltatás) üzemeltetésével kapcsolatban

ADATKEZELÉSI TÁJÉKOZTATÓ. Preambulum

Adatfeldolgozói megállapodás

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

Adatkezelési tájékoztató, és nyilatkozat

BIZTONSÁGI AUDIT. 13. óra

A Belügyminisztérium, mint adatkezelő (a továbbiakban: Adatkezelő) az Ön által a regisztráció során megadott adatokat, azaz az Ön

Adatfeldolgozói Általános Szerződési Feltételek

Adatvédelmi Nyilatkozat

Adatkezelési tájékoztató

KAMERA/ ELEKTRONIKUS MEGFIGYELŐRENDSZER ALKALMAZÁSÁRA VONATKOZÓ SZABÁLYZAT. Török János Mezőgazdasági és Egészségügyi Szakgimnázium és Szakközépiskola

GDPR szelídítés. Gyakorlati megfontolások a KKV szférának.

Adatvédelmi tájékoztató - az Európai Parlament és a Tanács (EU) 2016/679 (GDPR) rendeletében foglaltaknak megfelelően

ADATKEZELÉSI TÁJÉKOZTATÓ

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

Előadásvázlatok az adatvédelmi jog általános részéből. P a t r o c i n i u m. Károli Gáspár Református Egyetem Állam- és Jogtudományi Kar

ADATVÉDELMI TÁJÉKOZTATÓ

ADATELEMZÉSEK ÉS ADATÉRTÉKELÉS. a GDPR szemszögéből. Budai László IT Biztonságtechnikai üzletágvezető

Miracoloso Event Kft. Adatkezelési tájékoztató

Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében

ADATKEZELÉSI TÁJÉKOZTATÓ A VOLT ANYÁK NAPI FACEBOOK-OS JÁTÉKBAN VALÓ RÉSZVÉTELHEZ

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

Adatvédelmi Tájékoztató

Adatvédelmi tájékoztató

ADATFELDOLGOZÓI KÓDEX

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Információbiztonság irányítása

ADATKEZELÉSI TÁJÉKOZTATÓK ÉS HOZZÁJÁRULÓ NYILATKOZATOK

Adatkezelési tájékoztató Karrier menüpont. (Hatályos: május 25.)

ADATKEZELÉSI NYILATKOZAT.

ADATKEZELÉSI TÁJÉKOZTATÓ (hatályos: május 17. napjától visszavonásig)

INT-13 ADATVÉDELMI SZABÁLYZAT. (4. kiadás 1. módosítása) Módosítások

ADATKEZELÉSI TÁJÉKOZTATÓ

Átírás:

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

RULES AND REGULATION Az Európai parlament és a Tanács (EU) 2016/679 rendelete- a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) 2011. évi CXII. törvény - az információs önrendelkezési jogról és az információszabadságról 2003. évi C. törvény - az elektronikus hírközlésről

RULES AND REGULATION 1997. évi XLVII. törvény - az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 2013. évi CCXXXV. törvény az egyes fizetési szolgáltatókról (Fsztv.) 2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról (Hpt.) 42/2015. (III. 12.) Korm. rendelet a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről SOX, HIPAA, PCI-DSS

A RÉSZLETEK GDPR 32. cikk Az adatkezelés biztonsága (1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja

A RÉSZLETEK Infotv 10. bekezdés Az adatkezelő általános feladatai 25/A. (1) Az adatkezelő az adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez, így különösen céljához, valamint az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket tesz Ezeket az intézkedéseket az adatkezelő rendszeresen felülvizsgálja és szükség esetén megfelelően módosítja.

HOGY JÖN IDE A NAPLÓZÁS? Nem csak az incidensek kivizsgálása során szükséges, hanem igazolni szükséges az egyes adatkezelési tevékenységek során például: az érintett kifejezett hozzájárulását, a szükséges és elégséges mértékű tájékoztatás megtörténtét, az adat korlátozott kezelését, törlését.

HOGY JÖN IDE A NAPLÓZÁS? EBA Iránymutatás 4. Iránymutatás Védelem Az adatok és rendszerek integritása és bizalmassága A hozzáférések felügyelete 5 Iránymutatás: Észlelés Folyamatos felügyelet és észlelés A működési és biztonsági események felügyelete és bejelentése

MINDEN ÁLTALUNK HASZNÁLT ELEKTRONIKUS INFORMÁCIÓS RENDSZER KÉPES EZEN KÖVETELMÉNYEK IGAZOLÁSÁRA?

VÉGEZZ AUDITOT - FELKÉSZÜLÉS Azonosításra kerültek-e az adatkezelési tevékenységek? Meghatározásra került-e a tevékenységekkel kezelt adatok köre? Rendelkezik a szervezet adatvagyon leltárral? Az adatvagyon leltár elemei hozzárendelésre kerültek az egyes elektronikus információs rendszerekkel? Meghatározásra kerültek az adatkezelési, feldolgozási, tárolási és továbbítási tevékenységek, folyamatok kockázatai?

VÉGEZZ AUDITOT - FELKÉSZÜLÉS Feltárta-e a szervezet, hogy az informatikai környezet, és az egyes elektronikus információs rendszerek képesek-e naplózásra, és amennyiben képesek, úgy a naplózás mértéke (mélysége) megfelelő-e?

A NAPLÓZÁS MEGFELELŐSÉGE AVAGY MIT NAPLÓZUNK? Milyen tevékenységet végeztek? Ki vagy mi végezte a tevékenységet, beleértve azt is, hogy hol vagy milyen rendszeren volt a tevékenység végrehajtva? Milyen tevékenység került végrehajtásra? Mikor végezték el a tevékenységet? Milyen eszközzel / eszközökkel hajtották végre a tevékenységet? Mi volt a tevékenység eredménye? (például siker vs. kudarc)

VÉGEZZ AUDITOT - FELKÉSZÜLÉS Rendelkezik-e a szervezet Naplózási szabályzattal/ eljárásrenddel? Vezetőség, mint menedzsment, és IT mint operatív szint feladat és felelősség köre meghatározott, elfogadott? Létezik a szervezetben ellenőrzés a naplózás tekintetében?

VÉGEZZ AUDITOT - VÉGREHAJTÁS Naplóforrások, formátumok Naplózandó események, és ami kimaradt! rendszergazdai tevékenységek naplózása Napló állományok keletkezése, tárolása, kezelése Naplóállományok védelme Naplók elemzése, korreláció Riasztások, jelentések

STANDARDS, GUIDELINES ISO/IEC 27001:2013 (MSZ ISO/IEC 27001:2014) - Information technology -- Security techniques -- Information security management systems -- Requirements ISO/IEC 27002:2013 - Information technology -- Security techniques -- Code of practice for information security controls ISO/IEC 27018:2014 - Information technology Security techniques Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

STANDARDS, GUIDELINES NIST SP 800-53 rev 4. - Security and Privacy Controls for Federal Information Systems and Organizations NIST SP 800-92 (2006) - Guide to Computer Security Log Management SANS - Information Logging Standard IT Compliance Institute - IT Audit Cheklist - Logging, Monitoring and Reporting

Lengré Tamás - lengret@asc.hu

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés