Az informatikai adatvédelem Antidotum – 2013
Adatvédelem többféleképpen • Jogi – – – – – – – – – – –
törvényi elıírások NAIH minısített adatok adatvédelmi nyilvántartás elektronikus megfigyelés, kamerázások, adatgyőjtés/tárolás információszabadság személyes adatok titkossága szellemi tulajdonjogok adatvagyon auditálás …
Adatvédelem többféleképpen • EU – Jelenleg: az Európai Parlament és a Tanács 95/46/EK irányelve – Új: talán 2015 • • • •
„adatvédelem a tervezési fázisban” adatvédelmi felelıs mindenhova kifejezett hozzájárulás incidens bejelentés
Adatvédelem többféleképpen • Fizikai – – – –
Területek védelme, biztosítása Berendezések védelme Adathordozók kezelése …
• Tájékoztatás, oktatás, tréning
Adatvédelem többféleképpen • Informatikai – adatvédelmi szintek (biztonsági osztályba sorolás) – hálózati hozzáférés (felhasználók, rendszergazdák, külsısök, VIP,…) – adatszivárgás – információcsere (levelezés, USB, webportál, …) – elektronikus kereskedelem – titkosítás, rejtjelezés, validálás – szoftverfejlesztések (külsı, belsı) – elektronikus aláírás – biztonsági másolatok, archiválás – rosszindulatú kódok, trójaiak, phishing,… – mőszaki sebezhetıség – adatvédelem a „felhıben” – incidenskezelés – …
Adatvédelem többféleképpen • Informatikai – DM
(„közvetlen megkeresés)
– A gazdasági reklámtevékenységrıl szóló 2008. XLVIII. trv. – Az elektronikus kereskedelmi szolgáltatásokról szóló 2001. évi CVIII. Törvény – Az elektronikus hírközlésrıl szóló 2003. évi C. törvény
• Természetes személynek csak elızetes hozzájárulással (Grt. 6.§) • Grt. 6.§ (8) „… hozzájáruló nyilatkozat kérésére vonatkozó közvetlen megkeresés reklámot nem tartalmazhat…”
MIÉRT van szükség az adatvédelemre? -
Jogszabályok -
-
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról Friss!! „Az állami és önkormányzati szervek elektronikus információbiztonságáról” Az Európai Parlament és a Tanács 95/46/EK irányelve (változik!!)
Ellenırzések (külsı/belsı) EU-s pályázatok, elıírások Projektek …
Aktuális helyzet (12 hónap) • Kisapostag Község Polg. Hivatal, lakcímbejelentéssel kapcsolatos adatkezelés – 100.000 Ft • Balatonalmádi Gimnázium, jogellenes adakezelés – 300.000 Ft • Pesterzsébet Önkormányzat, Személyes adatokat tartalmazó iratok nyilvánosságra hozatala – 300.000 Ft • ??, Kör e-mail jogellenes kiküldése – 800.000 Ft • ??, Kör e-mail jogellenes kiküldése ( pénztár ) – 2.000.000 Ft • ??, Jogellenes adatkezelés – 5.000.000 Ft • ingatlandepo.com, ingatlanbazar.com, jogellenes adatkezelés, honlap üzemeltetı - 10.000.000 Ft
Aktuális helyzet Az adatvédelem magyarországi helyzetének társadalmi megítélése (Nézıpont Intézet, NAIH, 2013. március)
• A felnıtt magyar lakosság többségét (62 százalék) érdekli saját adatainak védelme, közel ötöde (18 százalék) azonban nem foglalkozik a kérdéssel. • Érte Önt, vagy hozzátartozóját/ismerısét jogsérelem személyes adataival kapcsolatban? = 5%!
Aktuális helyzet Az adatvédelem nemzetközi helyzetének megítélése (Infosec, 2013. április)
Aktuális helyzet • Minden szervezetben van „valami”, de: – – – –
Különbözı pontokon, különbözı szinteken Különbözı hatékonysággal Különbözı erıfeszítések Nem konzisztens, nem egységes
Következmény: adatszivárgás, üzleti kockázat!
Jellemzık • Sokrétő, szerteágazó – – – –
Hanyagság, felelıtlenség Cyberterrorizmus, Cyberkémkedés Trójai programok , Spyware Phishing
• Nem tudunk/késın értesülünk az adatszivárgásról • BELSİ!!! Belülrıl irányul kifelé! • Nem lehet EGY pontot/folyamatot kijelölni, majd azt védeni…
Belsıs vonatkozások • • • • • • • • •
Jogellenes adatgyőjtés, adatkezelés, honlapok e-mail körlevelek Nyilvános helyen, érzékeny vállalati adatokról beszélni Nem engedélyezett weboldalak látogatása Vállalati eszközök (laptopok, mobiltelefonok, hordozható merevlemez) elvesztése vagy ellopása Vállalatban is használt személyes eszközök elvesztése e-mail, IM (azonnali üzenetküldés) Titkosítás hiánya Távoli hozzáférés-vezérlés ellenırzésének hiánya
Külsı érdekeltek • Robotok (akárki is üzemelteti!) • Célzott adatgyőjtık (pl.) – Hackerek – Ipari kémkedés – Hatóságok
IT biztonság ≠ Adatvédelem Compliance ≠ Adatvédelem • A személyes adatok védelme (privacy) JOGI kategória, nem mőszaki • Az IT biztonsági megoldásokból NEM következik automatikusan a személyes adatok védelme • Az adatvédelmet: – Specifikálni – Tervezni – Bevezetni – Igazolni kell
Összetett… • A cél: a teljes informatikai biztonság • Mindenhol vannak meglévı rendszerek • Minden cég más!
Egy rossz, KÉT jó hír
- Nincs varázspálca! + A jó adatvédelmi (IT biztonsági) rendszer nem varázslat! + Elsısorban NEM pénzkérdés!
Alapkoncepció Vállalatokon belül saját-, illetve a beérkezı adatok védelme: – Kockázatalapú hozzáállás – Üzleti folyamatok alapján – Meglévı rendszerek és megoldások figyelembevételével – Folyamatos üzemeltetés – Ne kerüljön többe,mint amekkora kárt az információ kompromittálódása okoz…
Cél Meg kell teremteni az adat biztonsági szintjének megfelelı – logikai – fizikai – adminisztratív (*) • elektronikus (*)
biztonsági feltételeket a megelızés – észlelés – reagálás - kezelés érdekében.
Adatok • … tárolva 1. Érzékeny információk feltérképezése és katalogizálása 2. Merevlemez titkosítás, DR eljárások
• … mozgásban 1. Az érzékeny adatok mozgásának monitorozása a hálózaton 2. e-mail, HTTP(S), FTP, IM: DLP szoftverek, tartalom alapú szőrés
• … használatban 1. Az érzékeny adatok monitorozása a felhasználóknál 2. Eszközvédelem, portok védelme, sérülékenység elleni védelem
Személyes adatok kezelése • A személyes azonosíthatóság a kulcs • Csak azokat az adatokat tároljuk amikre valóban szükségünk van • Csak addig tároljuk az adatokat amíg azokra valóban szükség van • Csak arra a célra használjuk az adatokat, amelyekre azok használatának engedélyét bekértük • Ne tároljunk olyan rendszerekben amelyeknek a létezése is titkos • Megfelelő eljárásokat kell alkalmazni, hogy az adatokkal ne lehessen visszaélni • Megfelelő eljárásokat kell alkalmazni, hogy az adatokat megbízható módon tároljuk (ne lehessen illetéktelenül és naplózás nélkül módosítani azokat)
Személyes adatok kezelése /II • A tárolt adatok érintett magánszemélyeinek legyen lehetősége: – Megtudni milyen adatokat tárolunk róla, és hogyan használjuk azokat (Nyilvános adatvédelmi nyilatkozat, honlapon) – Megtagadni a beleegyezéset az adatok másféle felhasználásához mint amire már engedélyt adott – Javítani, vagy kiegészíteni a róla tárolt adatokat
Bevezetési (újragondolási) folyamat • Tervezés – – – –
Üzleti folyamatok feltérképezése Adatvagyon felmérés Kockázatelemzés Szabályozási rendszer kialakítása, hiányzó szabályzatok kidolgozása
Bevezetési (újragondolási) folyamat • Végrehajtás – Szoftverek, hardverek telepítése – Oktatás, tréningek, körlevelek – Hatékonysági mérési módszerek, benchmarkok
Bevezetési (újragondolási) folyamat • Ellenırzés – – – –
Monitorozás, naplóelemzés Incidenskezelés Rendszeres átvizsgálások Szabályzatok, tervek frissítése
Bevezetési (újragondolási) folyamat • Fenntartás, fejlesztés – – – –
Helyesbítı fejlesztések További automatizálási lehetıségek keresése Dokumentálás „A biztonsági osztályba sorolást legalább háromévenként …, dokumentált módon felül kell vizsgálni.”
Informatikai sorrend • • • • • • •
Cégen belüli nem-IT felelısök bevonása! Elemzés Jogosultsági kérdések (pl. adatgazdák) Szabályozások pontosítása Irányítási kérdések Tájékoztatás, felhívások, tréning Technológia (hardver, szoftver)
Mőszaki korlátok • • • • • • •
Titkosítás Grafikus állományok Harmadik fél szolgáltatásai Mobil eszközök Virtualizáció, felhı Többnyelvőség Technológiai – Megoldás-bezártság – Limitált kliens OS támogatás – Alkalmazás-korlát
„Best practice” – ITIL • Service Strategy: PBA (Patterns of Business Activity)! • Service Design: – Valuing data, – Classifying data – Data ownership
„Best practice” – COBIT5 • AP012.01: Manage Risk - Collect Data 1. 2. 3. 4. 5. 6. 7.
Establish and maintain a method for the collection, classification and analysis of IT risk-related data, accommodating multiple types of events, multiple categories of IT risk and multiple risk factors. Record relevant data on the enterprise’s internal and external operating environment that could play a significant role in the management of IT risk. Survey and analyse the historical IT risk data and loss experience from externally available data and trends, industry peers through industry-based event logs, databases, and industry agreements for common event disclosure. Record data on risk events that have caused or may cause impacts to IT benefit/value enablement, IT programme and project delivery, and/or IT operations and service delivery. Capture relevant data from related issues, incidents, problems and investigations. For similar classes of events, organise the collected data and highlight contributing factors. Determine common contributing factors across multiple events. Determine the specific conditions that existed or were absent when risk events occurred and the way the conditions affected event frequency and loss magnitude. Perform periodic event and risk factor analysis to identify new or emerging risk issues and to gain an understanding of the associated internal and external risk factors.
„Best practice” – ISO 27001 • A15.1.4. Adatvédelem és a személyes adatok titkossága • ÉS: – – – – – – – – –
A5.1.1. Az információbiztonsági szabályzat dokumentuma A8.2.2. Az információbiztonság tudatosítása, oktatás és képzés A10.1.3. Feladatkörök, kötelezettségek elhatárolása A10.7.3. Információkezelési eljárások A10.8.3 Fizikai adathordozók szállítása A11.3. Felhasználói felelısségek A11.6.1 Információ hozzáférés korlátozása A12.5.4 Információk kiszivárgása …
• Az ISO 27001 nem csak az adatvédelemre jó, de a teljes IT biztonságra!
„Best practice” – Törvény az állami és önkormányzati szervek elektronikus információbiztonságáról „(1) E törvény rendelkezéseit kell alkalmazni: a) a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével, … e) az Országos Bírósági Hivatalra és a bíróságokra, f) az ügyészségekre, … k) a helyi és a nemzetiségi önkormányzatok képviselı-testületének hivatalaira, a hatósági igazgatási társulásokra,…” + „a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére”
„Best practice” – Törvény az állami és önkormányzati szervek elektronikus információbiztonságáról „A szervezet vezetıje köteles gondoskodni az elektronikus információs rendszerek védelmérıl a következık szerint:” 16 pont (!!), többek között:
- h) rendszeresen végrehajtott biztonsági kockázatelemzések, ellenırzések, auditok lefolytatása révén meggyızıdik arról, hogy a szervezet elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak - n) megteszi az elektronikus információs rendszer védelme érdekében felmerülı egyéb szükséges intézkedéseket.
Adatvédelem mérése • Azon személyes adatok száma és százaléka amit úgy tárolunk, hogy – az érintett elızetesen erre nem adott felhatalmazást – az érintettel nem közöltük egyértelmően mire használjuk az adatait – az érintettel nem közöltük egyértelmően meddig tároljuk az adatait
Adatvédelem mérése • Annak gyakorisága, amellyel a szervezet által tárolt adatok pontosságát, teljességét és aktualitását ellenırzik: – a legfrissebb ellenırzés dátuma – a pontos, teljes és aktuális adatok aránya • Annak gyakorisága, hogy a személyes adatokat új célra is felhasználták, anélkül hogy az érintettek elızetes hozzájárulását kérték volna. • Annak sebessége, ahogy a szervezet az érintettek kérésére reagál (pl. korrekció, törlés, stb.)
Adatvédelem mérése • A biztonsági incidensek számszerő és százalékos gyakorisága – – – –
az adatvédelmi eljárásoknál az adatvédelmi eljárások téves konfigurálásánál az adatvédelmi eljárások megkerülésénél az adatvédelmi eljárások betartásánál
• Az adatvédelmi eljárások felülvizsgálatának, megerısítésének és frissítésének gyakorisága
Üzleti elınyök • Kritikus adatok és szellemi tulajdon védelme • Megfelelıség növelése (törvényi, szabályozási, belsı vállalati, stb.) • Belsı figyelemfelkeltés • Üzleti folyamatok javítása • Tárterület és sávszélesség optimalizálása • Rosszindulatú szoftverek kiszőrése • Pénzügyi elınyök
Biztonsági beruházások megtérülése • Kiadások • Megtakarítások – megelızött veszteségek
– megelızött büntetések
• eszközök, vagyontárgyak sérülése • munkaidı-kiesés • üzleti lehetıségek elveszítése (adatszivárgás, késedelem, stb.) • számlakibocsátási késedelem • oktatások, tréningek • visszaállítás költségei • biztosítások önrésze
– felelısségi jogügyletek – mőködési hatékonyság-növekedés
• hatósági • szerzıdéses • licencelési
Ne tévesszük szem elöl a célt! Az üzleti folyamatok támogatása!
Feladatok • Holnap – Az érintettek/érdekeltek listájának összeállítása – Meglévı dokumentumok begyőjtése (SZMSZ, Informatikai szabályzat, stb.)
• 1 hónapon belül – A munka terjedelmének meghatározása, cél kitőzése – Az erıforrások hozzárendelése – Hozzáférési, jogosultsági kérdések
• 3-6 hónapon belül – Jelenlegi állapot elemzése (meglévı szabályzatok, üzleti folyamatok, vállalati igények, elıretervezés, stb.) – Interjúk lefolytatása, konzultációk – Hiányzó anyagok (dokumentáció, szabályzat, tréning, stb.) gyártása, beszerzése – Egyeztetések, vázlatok, közelítés – Végleges anyagok legyártása, elfogadtatása – Technológiai segédeszközök telepítése, konfigurálása – Életbe léptetés
Kérdés?
[email protected]
