Az informatikai adatvédelem Antidotum 2013
Adatvédelem többféleképpen Jogi törvényi elıírások NAIH minısített adatok adatvédelmi nyilvántartás elektronikus megfigyelés, kamerázások, adatgyőjtés/tárolás információszabadság személyes adatok titkossága szellemi tulajdonjogok adatvagyon auditálás
Adatvédelem többféleképpen EU Jelenleg: az Európai Parlament és a Tanács 95/46/EK irányelve Új: talán 2015 adatvédelem a tervezési fázisban adatvédelmi felelıs mindenhova kifejezett hozzájárulás incidens bejelentés
Adatvédelem többféleképpen Fizikai Területek védelme, biztosítása Berendezések védelme Adathordozók kezelése Tájékoztatás, oktatás, tréning
Adatvédelem többféleképpen Informatikai adatvédelmi szintek (biztonsági osztályba sorolás) hálózati hozzáférés (felhasználók, rendszergazdák, külsısök, VIP, ) adatszivárgás információcsere (levelezés, USB, webportál, ) elektronikus kereskedelem titkosítás, rejtjelezés, validálás szoftverfejlesztések (külsı, belsı) elektronikus aláírás biztonsági másolatok, archiválás rosszindulatú kódok, trójaiak, phishing, mőszaki sebezhetıség adatvédelem a felhıben incidenskezelés
Adatvédelem többféleképpen Informatikai DM ( közvetlen megkeresés) A gazdasági reklámtevékenységrıl szóló 2008. XLVIII. trv. Az elektronikus kereskedelmi szolgáltatásokról szóló 2001. évi CVIII. Törvény Az elektronikus hírközlésrıl szóló 2003. évi C. törvény Természetes személynek csak elızetes hozzájárulással (Grt. 6. ) Grt. 6. (8) hozzájáruló nyilatkozat kérésére vonatkozó közvetlen megkeresés reklámot nem tartalmazhat
MIÉRT van szükség az adatvédelemre? - Jogszabályok - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról - Friss!! Az állami és önkormányzati szervek elektronikus információbiztonságáról - Az Európai Parlament és a Tanács 95/46/EK irányelve (változik!!) - Ellenırzések (külsı/belsı) - EU-s pályázatok, elıírások - Projektek -
Aktuális helyzet (12 hónap) Kisapostag Község Polg. Hivatal, lakcímbejelentéssel kapcsolatos adatkezelés 100.000 Ft Balatonalmádi Gimnázium, jogellenes adakezelés 300.000 Ft Pesterzsébet Önkormányzat, Személyes adatokat tartalmazó iratok nyilvánosságra hozatala 300.000 Ft??, Kör e-mail jogellenes kiküldése 800.000 Ft??, Kör e-mail jogellenes kiküldése ( pénztár ) 2.000.000 Ft??, Jogellenes adatkezelés 5.000.000 Ft ingatlandepo.com, ingatlanbazar.com, jogellenes adatkezelés, honlap üzemeltetı - 10.000.000 Ft
Aktuális helyzet Az adatvédelem magyarországi helyzetének társadalmi megítélése (Nézıpont Intézet, NAIH, 2013. március) A felnıtt magyar lakosság többségét (62 százalék) érdekli saját adatainak védelme, közel ötöde (18 százalék) azonban nem foglalkozik a kérdéssel. Érte Önt, vagy hozzátartozóját/ismerısét jogsérelem személyes adataival kapcsolatban? = 5%!
Aktuális helyzet Az adatvédelem nemzetközi helyzetének megítélése (Infosec, 2013. április)
Aktuális helyzet Minden szervezetben van valami, de: Különbözı pontokon, különbözı szinteken Különbözı hatékonysággal Különbözı erıfeszítések Nem konzisztens, nem egységes Következmény: adatszivárgás, üzleti kockázat!
Sokrétő, szerteágazó Hanyagság, felelıtlenség Jellemzık Cyberterrorizmus, Cyberkémkedés Trójai programok, Spyware Phishing Nem tudunk/késın értesülünk az adatszivárgásról BELSİ!!! Belülrıl irányul kifelé! Nem lehet EGY pontot/folyamatot kijelölni, majd azt védeni
Belsıs vonatkozások Jogellenes adatgyőjtés, adatkezelés, honlapok e-mail körlevelek Nyilvános helyen, érzékeny vállalati adatokról beszélni Nem engedélyezett weboldalak látogatása Vállalati eszközök (laptopok, mobiltelefonok, hordozható merevlemez) elvesztése vagy ellopása Vállalatban is használt személyes eszközök elvesztése e-mail, IM (azonnali üzenetküldés) Titkosítás hiánya Távoli hozzáférés-vezérlés ellenırzésének hiánya
Külsı érdekeltek Robotok (akárki is üzemelteti!) Célzott adatgyőjtık (pl.) Hackerek Ipari kémkedés Hatóságok
IT biztonság Adatvédelem Compliance Adatvédelem A személyes adatok védelme (privacy) JOGI kategória, nem mőszaki Az IT biztonsági megoldásokból NEM következik automatikusan a személyes adatok védelme Az adatvédelmet: Specifikálni Tervezni Bevezetni Igazolni kell
Összetett A cél: a teljes informatikai biztonság Mindenhol vannak meglévı rendszerek Minden cég más!
Egy rossz, KÉT jó hír - Nincs varázspálca! + A jó adatvédelmi (IT biztonsági) rendszer nem varázslat! + Elsısorban NEM pénzkérdés!
Alapkoncepció Vállalatokon belül saját-, illetve a beérkezı adatok védelme: Kockázatalapú hozzáállás Üzleti folyamatok alapján Meglévı rendszerek és megoldások figyelembevételével Folyamatos üzemeltetés Ne kerüljön többe,mint amekkora kárt az információ kompromittálódása okoz
Cél Meg kell teremteni az adat biztonsági szintjének megfelelı logikai fizikai adminisztratív ( * ) elektronikus ( * ) biztonsági feltételeket a érdekében. megelızés észlelés reagálás - kezelés
Adatok tárolva 1. Érzékeny információk feltérképezése és katalogizálása 2. Merevlemez titkosítás, DR eljárások mozgásban 1. Az érzékeny adatok mozgásának monitorozása a hálózaton 2. e-mail, HTTP(S), FTP, IM: DLP szoftverek, tartalom alapú szőrés használatban 1. Az érzékeny adatok monitorozása a felhasználóknál 2. Eszközvédelem, portok védelme, sérülékenység elleni védelem
Személyes adatok kezelése A személyes azonosíthatóság a kulcs Csak azokat az adatokat tároljuk amikre valóban szükségünk van Csak addig tároljuk az adatokat amíg azokra valóban szükség van Csak arra a célra használjuk az adatokat, amelyekre azok használatának engedélyét bekértük Ne tároljunk olyan rendszerekben amelyeknek a létezése is titkos Megfelelő eljárásokat kell alkalmazni, hogy az adatokkal ne lehessen visszaélni Megfelelő eljárásokat kell alkalmazni, hogy az adatokat megbízható módon tároljuk (ne lehessen illetéktelenül és naplózás nélkül módosítani azokat)
Személyes adatok kezelése /II A tárolt adatok érintett magánszemélyeinek legyen lehetősége: Megtudni milyen adatokat tárolunk róla, és hogyan használjuk azokat (Nyilvános adatvédelmi nyilatkozat, honlapon) Megtagadni a beleegyezéset az adatok másféle felhasználásához mint amire már engedélyt adott Javítani, vagy kiegészíteni a róla tárolt adatokat
Bevezetési (újragondolási) folyamat Tervezés Üzleti folyamatok feltérképezése Adatvagyon felmérés Kockázatelemzés Szabályozási rendszer kialakítása, hiányzó szabályzatok kidolgozása
Bevezetési (újragondolási) folyamat Végrehajtás Szoftverek, hardverek telepítése Oktatás, tréningek, körlevelek Hatékonysági mérési módszerek, benchmarkok
Bevezetési (újragondolási) folyamat Ellenırzés Monitorozás, naplóelemzés Incidenskezelés Rendszeres átvizsgálások Szabályzatok, tervek frissítése
Bevezetési (újragondolási) folyamat Fenntartás, fejlesztés Helyesbítı fejlesztések További automatizálási lehetıségek keresése Dokumentálás A biztonsági osztályba sorolást legalább háromévenként, dokumentált módon felül kell vizsgálni.
Informatikai sorrend Cégen belüli nem-it felelısök bevonása! Elemzés Jogosultsági kérdések (pl. adatgazdák) Szabályozások pontosítása Irányítási kérdések Tájékoztatás, felhívások, tréning Technológia (hardver, szoftver)
Mőszaki korlátok Titkosítás Grafikus állományok Harmadik fél szolgáltatásai Mobil eszközök Virtualizáció, felhı Többnyelvőség Technológiai Megoldás-bezártság Limitált kliens OS támogatás Alkalmazás-korlát
Best practice ITIL Service Strategy: PBA (Patterns of Business Activity)! Service Design: Valuing data, Classifying data Data ownership
Best practice COBIT5 AP012.01: Manage Risk - Collect Data 1. Establish and maintain a method for the collection, classification and analysis of IT risk-related data, accommodating multiple types of events, multiple categories of IT risk and multiple risk factors. 2. Record relevant data on the enterprise s internal and external operating environment that could play a significant role in the management of IT risk. 3. Survey and analyse the historical IT risk data and loss experience from externally available data and trends, industry peers through industry-based event logs, databases, and industry agreements for common event disclosure. 4. Record data on risk events that have caused or may cause impacts to IT benefit/value enablement, IT programme and project delivery, and/or IT operations and service delivery. Capture relevant data from related issues, incidents, problems and investigations. 5. For similar classes of events, organise the collected data and highlight contributing factors. Determine common contributing factors across multiple events. 6. Determine the specific conditions that existed or were absent when risk events occurred and the way the conditions affected event frequency and loss magnitude. 7. Perform periodic event and risk factor analysis to identify new or emerging risk issues and to gain an understanding of the associated internal and external risk factors.
Best practice ISO 27001 A15.1.4. Adatvédelem és a személyes adatok titkossága ÉS: A5.1.1. Az információbiztonsági szabályzat dokumentuma A8.2.2. Az információbiztonság tudatosítása, oktatás és képzés A10.1.3. Feladatkörök, kötelezettségek elhatárolása A10.7.3. Információkezelési eljárások A10.8.3 Fizikai adathordozók szállítása A11.3. Felhasználói felelısségek A11.6.1 Információ hozzáférés korlátozása A12.5.4 Információk kiszivárgása Az ISO 27001 nem csak az adatvédelemre jó, de a teljes IT biztonságra!
Best practice Törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (1) E törvény rendelkezéseit kell alkalmazni: a) a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével, e) az Országos Bírósági Hivatalra és a bíróságokra, f) az ügyészségekre, k) a helyi és a nemzetiségi önkormányzatok képviselı-testületének hivatalaira, a hatósági igazgatási társulásokra, + a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére
Best practice Törvény az állami és önkormányzati szervek elektronikus információbiztonságáról A szervezet vezetıje köteles gondoskodni az elektronikus információs rendszerek védelmérıl a következık szerint: 16 pont (!!), többek között: - h) rendszeresen végrehajtott biztonsági kockázatelemzések, ellenırzések, auditok lefolytatása révén meggyızıdik arról, hogy a szervezet elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak - n) megteszi az elektronikus információs rendszer védelme érdekében felmerülı egyéb szükséges intézkedéseket.
Adatvédelem mérése Azon személyes adatok száma és százaléka amit úgy tárolunk, hogy az érintett elızetesen erre nem adott felhatalmazást az érintettel nem közöltük egyértelmően mire használjuk az adatait az érintettel nem közöltük egyértelmően meddig tároljuk az adatait
Adatvédelem mérése Annak gyakorisága, amellyel a szervezet által tárolt adatok pontosságát, teljességét és aktualitását ellenırzik: a legfrissebb ellenırzés dátuma a pontos, teljes és aktuális adatok aránya Annak gyakorisága, hogy a személyes adatokat új célra is felhasználták, anélkül hogy az érintettek elızetes hozzájárulását kérték volna. Annak sebessége, ahogy a szervezet az érintettek kérésére reagál (pl. korrekció, törlés, stb.)
Adatvédelem mérése A biztonsági incidensek számszerő és százalékos gyakorisága az adatvédelmi eljárásoknál az adatvédelmi eljárások téves konfigurálásánál az adatvédelmi eljárások megkerülésénél az adatvédelmi eljárások betartásánál Az adatvédelmi eljárások felülvizsgálatának, megerısítésének és frissítésének gyakorisága
Üzleti elınyök Kritikus adatok és szellemi tulajdon védelme Megfelelıség növelése (törvényi, szabályozási, belsı vállalati, stb.) Belsı figyelemfelkeltés Üzleti folyamatok javítása Tárterület és sávszélesség optimalizálása Rosszindulatú szoftverek kiszőrése Pénzügyi elınyök
Biztonsági beruházások megtérülése Kiadások Megtakarítások megelızött veszteségek eszközök, vagyontárgyak sérülése munkaidı-kiesés üzleti lehetıségek elveszítése (adatszivárgás, késedelem, stb.) számlakibocsátási késedelem oktatások, tréningek visszaállítás költségei biztosítások önrésze megelızött büntetések hatósági szerzıdéses licencelési felelısségi jogügyletek mőködési hatékonyság-növekedés
Ne tévesszük szem elöl a célt! Az üzleti folyamatok támogatása!
Holnap Feladatok Az érintettek/érdekeltek listájának összeállítása Meglévı dokumentumok begyőjtése (SZMSZ, Informatikai szabályzat, stb.) 1 hónapon belül A munka terjedelmének meghatározása, cél kitőzése Az erıforrások hozzárendelése Hozzáférési, jogosultsági kérdések 3-6 hónapon belül Jelenlegi állapot elemzése (meglévı szabályzatok, üzleti folyamatok, vállalati igények, elıretervezés, stb.) Interjúk lefolytatása, konzultációk Hiányzó anyagok (dokumentáció, szabályzat, tréning, stb.) gyártása, beszerzése Egyeztetések, vázlatok, közelítés Végleges anyagok legyártása, elfogadtatása Technológiai segédeszközök telepítése, konfigurálása Életbe léptetés
Kérdés? zoltan.tozser@tmsi.hu