Az informáci. nyezı. The information as a risk factor. Vállalatok tündöklése és bukása az információvédelem fényében. Dr. Horváth Zsolt vezetı auditor

Hasonló dokumentumok
Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

Informatikai biztonsági elvárások

Adatbiztonság és adatvédelem

Dr. Horváth Zsolt INFOBIZ Kft.

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Informatikai Biztonsági szabályzata

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Információbiztonság fejlesztése önértékeléssel

Bevezetés az Informatikai biztonsághoz

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Az ISO es tanúsításunk tapasztalatai

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Az információbiztonság új utakon

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE MINİSÉGIRÁNYÍTÁS AZ ÖNKORMÁNYZATOKNÁL 1. MINİSÉGÜGY AZ ÖNKORMÁNYZATOKNÁL

2013 L. - tapasztalatok Antidotum 2015

Tudatos kockázatmenedzsment vs. megfelelés

Tudjuk-e védeni dokumentumainkat az e-irodában?

Aktualitások a minőségirányításban

Információbiztonság irányítása

Üzletmenet folytonosság Üzletmenet? folytonosság?

Alkalmazásportfólió. Szoftvermenedzsment. menedzsment. Racionalizálás. Konszolidáció. Nyilvántartás. Elemzés

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

PARADIGMAVÁLTÁS AZ ÖNKORMÁNYZATI INFORMATIKÁBAN (ASP, Információbiztonság, e-közigazgatás, GDPR) Vékás Sándor, ügyvezető

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Az informatika megjelenése a vállalatok minőségirányítási rendszerében. Dr. Horváth Zsolt INFOBIZ Kft.

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Elektronikus számlázás. Czöndör Szabolcs

Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások

Informatikai kommunikációs technikák a beszállító iparban

SZERVEZETI MAGATARTÁS S II.

Egy sikeres akkreditálás eredményei

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

A megújult NAH tevékenységének tapasztalatai, eredményei

BUDAPESTI MŐSZAKI FİISKOLA

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

ÖNKORMÁNYZATI MUNKA TÁMOGATÁSA TÉRINFORMATIKAI RENDSZEREK SEGÍTSÉGÉVEL VARGA ZSOLT

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

zigazgatás s az informatikai biztonság

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

A Nemzeti Elektronikus Információbiztonsági Hatóság

Nemzetközi és hazai fejlemények az információ és hálózatbiztonság terén

Muha Lajos: Informatikai biztonság

Közigazgatási informatika tantárgyból

Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek minőségirányítási rendszerében Dr. Horváth Zsolt, Dr.

PÉCS MEGYEI JOGÚ VÁROS ÖNKORMÁNYZATA KÖZGYŐLÉSÉNEK NOVEMBER 15-I ÜLÉSÉRE DR. PÁVA ZSOLT POLGÁRMESTER

Vállalati mobilitás. Jellemzők és trendek

30 MB INFORMATIKAI PROJEKTELLENŐR

ADATKEZELÉSI TÁJÉKOZTATÓ

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Beszámoló. II. Rákóczi Ferenc Megyei Könyvtár évi szakmai munkájáról

Explosion Protection Documentation System EPDS

ADATKEZELÉSI TÁJÉKOZTATÓ

Pilis Város Jegyzıje

1. elıadás. Információelmélet Információ technológia Információ menedzsment

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

MINİSÉGIRÁNYÍTÁSI PROGRAMJA

ELİLAP AZ ELİTERJESZTÉSEKHEZ

Ezeket a kiemelkedı sebességő számítógépeket nevezzük szuperszámítógépeknek.

A WINETTOU Távközlési Szolgáltató Korlátolt Felelısségő Társaság. Internet szolgáltatásra vonatkozó Általános Szerzıdéses Feltételek

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Vaszary János Általános Iskola és Logopédiai Intézet

Elkötelezettség a Kiválóságért. Közoktatási Kiválóság Mintaprojekt

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT

Szabványok, ajánlások

legfontosabb adatvédelmi delmi és s direktmarketing

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

Informatika szóbeli vizsga témakörök

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM. Szóbeli vizsgatevékenység

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

E L İ T E R J E S Z T É S a költségvetési intézmények évi pénzügyi-gazdasági ellenırzéseinek tapasztalatairól

AZ INTEGRÁLT KOMMUNIKÁCIÓ ELMÉLETI ÉS GYAKORLATI KÉRDÉSEI. Dr.Tasnádi József fıiskolai tanár

Európa e-gazdaságának fejlıdése. Bakonyi Péter c. docens

DEMIN XV. Hete Gabriella

ADATVÉDELMI TÁJÉKOZTATÓ (Az adatkezelési szabályzat 2. sz. melléklete)

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

A külsı minıségbiztosítás jelentısége az e-kormányzati fejlesztésekben, a magyar IIER fejlesztésben szerzett tapasztalatok alapján

Élethelyzetek. Dr. Mészáros Attila. Élethelyzetek. Élethelyzetek. Élethelyzetek. Élethelyzetek. 2. Élethelyzetek, konfliktusok

Kereskedelmi, Szolgáltató és Tanácsadó Kft.

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Definiciók. Definiciók. Európa e-gazdaságának fejlıdése. Szélessávú hozzáférés-ezer. Web felhasználók- Európa-fejlett része

Átírás:

Az informáci ció mint kockázati tényezt nyezı Vállalatok tündöklése és bukása az információvédelem fényében The information as a risk factor The rise and fall of companies in the light of information protection Dr. Horváth Zsolt vezetı auditor Lead auditor Budapest, 2009. április 21.

2007 ısz PIN-kódot tessék, olcsón n adjuk Angliában két olyan CD veszett el az adóhivatal és a számvevıszék közti postázás során, amelyek körülbelül 25 millió brit állampolgár bizalmas adatait tartalmazták. Nemsokára számos weboldal kínálta a polgárok személyes adatait 2008. Január Totális adatmegsemmisítésre sre készk szült a kirúgott IT alkalmazott. Fannie Mae amerikai jelzáloghitel-intézet egyik felmondott alkalmazottja bosszúvágyból egy szoftvert vitt be a rendszerbe, hogy 2008-01-31-én négyezer szerveren töröljön minden adatot. Szerencsére még idıben észrevették 2008. Január a 14 ezer postafiókot törölt t a szoftverhiba. Egy amerikai kábeltévé-szolgáltató 14 ezer ügyfelének teljes elektronikus postafiókja törlıdött egy szoftverhiba miatt - az elveszett leveleket ráadásul nem is tudják visszaállítani 2008. május m 4,5 millió személy adata veszett el. Az egyik amerikai bank adattároló kazetták gondatlan kezelése miatt 4,5 millió ügyfelének adatát vesztette el 2/21 Információbiztonsági incidensek a világban

és incidensek itthon 2000. Január Hackerek kétszer feltörték az Elender központi szervereit, felülírták a szolgáltató WEB-lapját, és közzétették mintegy 1900 ügyfél nevét és jelszavát. Az Elender web- és s levelezési szolgáltat ltatása megszőnt. 2008. május Kémprogramok a BKV számítógépein. Öt kémprogramot telepítettek a BKV informatikai rendszerére, ezzel a behatolók a hálózat minden eleméhez hozzáfértek. 2008. szeptember A Pannon Egyetem 2007/08-as évre kollégiumba jelentkezık személyi adatbázisa került nyilvánosságra. 2009. február: Szoftverhiba volt az Ügyfélkapuban Lemondott a Kopint-Datorg vezérigazgatója 2009. február Újabb biztonsági incidens a Pannon Egyetemen Hallgatók, oktatók Neptun-kódja, jelszava (?), teljes neve, e-mail címe nyilvánosságra kerültek. 3/21

Adatok, információk védelme Az informáci ció,, mint kockázati tényezt nyezı Mennyire függ f vállalatunk v eredménye, sikere, léte l az informáci cióink ink biztonságától, az IT rendszer mőködésétıl? Mi törtt rténik, ha példp ldául A konkurencia hozzájut üzleti, fejlesztési információinkhoz? Médiákban megjelennek olyan adatok, amelyeket nem a nyilvánosságnak szántunk? Megsemmisül, vagy megsérül a fontos üzleti, termelési vagy személyi adatokat tartalmazó számítógépes adatbázis? Mőködésképtelenné válik a szerver és / vagy a hálózat? Vírus kerül a számítógépes hálózatunkba? A rendszergazda lelép a megváltoztatott jelszavával, esetleg? Stb 4/21 Az informáci ció érték Védeni kell!

Információk biztonsága sérülésének veszélyei (példák) Bizalmas információk illetéktelen kezekbe kerülnek Üzleti veszteségek (tendereken üzletvesztés, piaci pozíció vesztése, ) Ügyfél adatok illetéktelen kezekbe kerülése piacvesztés, jogsértés, kártérítési perek, Elektronikus dokumentumok, feljegyzések megsemmisülnek, elvesznek, hozzáférhetetlenné válnak Feljegyzések, igazolások, jegyzıkönyvek, stb. elvesznek IT folyamattámogatás megszőnése, bizonytalanná válása Üzleti folyamatok leállhatnak, üzemszünet, leállás, E-mail, internet, belsı elektronikus csoportmunka használhatatlanná válik Alapvetı használt kommunikációt (külsı és belsı) blokkolhatja, meglévı információkhoz hozzájutást megakadályozza Stb 5/21 Az informáci ció érték Védeni kell!

Megfelelés a törvényi elvárásoknak Jelenleg: alapvetı informatikai biztonsági jogszabályok: 195/2005. (IX. 22. ) Korm. rendelet az elektronikus ügyintézést lehetıvé tevı informatikai rendszerek biztonságáról 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl figyelembe veendı jogszabályok: 1992. évi LXIII. törvény az Adatvédelmi törvény (Avtv.) 2001. évi XXXV. törvény az elektronikus aláírásról (Eat.) Közigazgatással kapcsolatos törvt rvények. Elıkész születben: Az informatikai biztonságról szóló törvény 6/21

Megfelelés a törvényi elvárásoknak Elıkészületben: Az informatikai biztonságról szóló törvény (jelenleg törvényjavaslat, elıkészületi fázisban) Hatálya kiterjed minden, a Magyar KöztK ztársaság g terület letén n elérhet rhetı informatikai rendszerre és s elektronikus szolgáltat ltatásra a fentiek mőködtetm dtetıire és üzemeltetıire a fentiek használóira és s igénybe vevıire Fıbb elemei: A hatálya alá tartozók besorolása 5 szintbe. Szintenként egyetemes informatikai biztonsági minimum követelmények Rendelkezik az informatikai biztonság g felügyeleti és s irány nyítási rendszerérıl, hálózatbiztonsági központ mőködtetésérıl 2011. január 1-tıl a személyi azonosítást tartalmazó elektronikus szolgáltatások, illetve az e-közszolgáltatások csak akkor mőködhetnek, ha informatikai biztonsági szempontból auditálva és regisztrálva vannak 7/21

Az információbiztonság aktualitása Az információbiztonság kérdése az informatika rohamos elıretörésével minden vállalatnál egyre égetıbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg g elısz ször meg nem égette magát vele. Elvárások felhasználói oldalról: A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellı idıben és sértetlenül álljanak a rendelkezésre. Minden szervezetnél akár tudomásul vesszük, akár nem, van "információ-szivárgás". Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentıs erkölcsi és anyagi károkat okoz(hat) a szervezetnek. Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. Ebben a helyzetben segít rendet teremteni az 8/21 informáci ció-biztonsági irány nyítási rendszer!

Az információk megjelenési formái papírok, dokumentumok fóliák beszélgetések telefonon személyes beszélgetések számítógépközpontok számítógépes munkaállomások PC, WS, DSS mikrofilmek, szalagok, faxtekercsek nyomtató, fax, teletex, telex mágneses adathordozók hálózatok, LAN, WAN laptop-ok, notebook-ok 9/21

Adatok, információk védelme Az informáci ció biztonsága jelenti: Bizalmasságot (jogosulatlanok ne férhessenek hozzá) Sértetlenséget (teljesség, hitelesség, pontosság) Rendelkezésre állása (funkció, tartalom, idı, stb.) 10/21

Az információvédelem értelmezése Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni mőszaki és szervezési intézkedések és eljárások együttes rendszere. Két t fıf területe: ADATBIZTONSÁG: Az információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. ADATVÉDELEM DELEM: Az információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. 11/21

Információbiztonsági irányítási rendszer részei Információs vagyon fenyegetettségeinek átfogó kockázatelemz zatelemzése Védelmi intézked zkedések, eljárások megteremtése különbözı területeken a különbözı fenyegetettségekre Menedzsment rendszer Menedzsment rendszer menedzsment elemek kiépítése (hasonló mint a MIR, KIR, IBIR, ) 12/21

Kockázatkezelés de miért? Biztos, hogy mindenre gondoltam a kockázatkezelés nélkül is? Egyenszilárds rdságú védelem Minden biztonsági lánc annyira erıs, mint a leggyengébb láncszeme! A veszélyeket, fenyegetettségüket a jelentıségüknek megfelelın kezeli Költséghatékony védekezés, (védelmi beruházások megalapozottak) Elıre felkész szülten, tervezetten és s tudatosan védekezni a biztonsági incidensek / események ellen 13/21

Az információvédelmi eljárások szakmai területei objektum, terület védelemv delem, személy védelemv (rendszerben a személy védelme, vagy a rendszer védelme személyektıl), hagyományos (pl. papíralapú) adatok, módszerek, eszközök k védelmev delme, informatikai védelemv delem, (fizikai, logikai és szervezési), elemi károk, k természeti csapások sok elleni védelem (az információbiztonság szemszögébıl). 14/21

Az információbiztonsági irányítási rendszer szabványa(i) Ez tanúsíthat tható! ISO/IEC 27001:2005 Information technology Security techniques Information security management system Requirements ISO/IEC 27002:2005 (= ISO/IEC 17799:2005) Information technology Security techniques Code of practice security management ISO/IEC 27005:2008 Information technology Security techniques Information security risk management 15/21

Gondolatok az ISO/IEC 27001-es szabványról Menedzsmentrendszer és technikai követelmények együttese Integrálható a többi irányítási (menedzsment) rendszerrel Alkalmazási területe megválasztható (scope-olható) Kockázatelemzésre épít Alapvetıen a következı fıbb új elemeket/tevékenységeket adja: Menedzsmentrendszer kiegészítése az információbiztonsággal Információbiztonsági vagyonfelmérés és kockázatkezelés Védelmi követelmények meghatározása és folyamatos aktualizálása Védelmi intézkedések beleépítése a folyamatokba illetve önálló kiépítése Incidenskezelési folyamat mőködtetése Információbiztonsági szabályzat mőködtetése BCP / DRP készítése, mőködtetése 16/21

A (tanúsított) információbiztonsági irányítási rendszer elınyei Felkészülve, a problémák k elıre láthatl thatók. A költségek racionalizálhat lhatók. Az informatikai beruházások megalapozottan indokolhatók. A folyamatok optimalizálása révén a hatékonys konyság g fokozható. Gyorsabb reagálás a piaci változásokra. Nincsenek meglepetések sek, fel lehet készülni a külsı / belsı fenyegetettségekre, ha ismerjük ıket. A projektek az elıre meghatározott kereteken belül végzıdnek. A külsı, illetve a belsı szabályoz lyozóknak meg lehet felelni. A cégérték k növekedikn vekedik, az imázs és a hírnév megvédhetı. 17/21

Egyensúlyok a rendszer kiépítésekor A különbk nbözı területek védelmi v intézked zkedései között (összhang a védelmi célokkal, fenyegetettségekkel; egyenszilárdságú védelem) Ugyanarra a védendv dendı alrendszerre / rendszerelemre ható különbözı jellegő védelmi intézked zkedések közöttk (fizikai logikai szervezési) A menedzsment elemek és a technikai szabályoz lyozások között 18/21

Csapatmunkával lehet csak jól csinálni! Csapatmunka kell a különbözı kompetenciák egyidejő biztosításához: projektvezetési kompetencia menedzsmentrendszer kiépítési kompetencia Informatikai / információbiztonsági kompetenciák a különbözı szakmai ismeretek magas szintő alkalmazására szakemberek együttmőködése! a tanácsadó és a rendszert bevezetı cég munkatársainak együttmőködésére! 19/21

20/21 Mekkora kockázatot vállalhat fel egy kiváló vállalat? A sikeres, eredményes, kiváló vállalatok, akik sokat fordítanak a sikerért, a folyamatos fejlıdésért, eredményeik biztonságáért, megengedhetik-e e maguknak, hogy ne foglalkozzanak az információk biztonsága veszélyeinek üzleti kockázataival, ne foglalkozzanak adataik, információik védelmével, leragadjanak az informatikai védelemnél (csak elektronikus adatok védelme), szemben az információvédelemmel ne rendszerben foglalkozzanak az információvédelemmel, Tudják-e, mekkora kockázatot vállalnak v fel ezzel?

Köszönöm m megtisztelı figyelmüket! Dr. Horváth Zsolt Mobil: 30/299-8599 Email: horvathzs@infobiz.hu http://www.infobiz.hu 21/21

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés