SlideShare uma empresa Scribd logo

Adatvedelmi informaciobiztonsagi vezeto

L
LogPortál Team
1 de 15
Baixar para ler offline
Az “adatvédelmi felelős” és az “információbiztonsági vezető” (megbízott, felelős...) funkciók közötti különbségek
Bevezetés A társadalmi létben - az együttélés megkönnyítésére - szabályokat alkotunk. A szabályok között találjuk meg a törvényeket és a szabványokat is. Mindkettőre igaz, hogy jó lenne, ha pontosan és szabatosan fogalmazna. 2009 Oláh Tamás - INFOBIZ 2
A belső adatvédelmi felelős és az ő problémái A baj akkor kezdődik, amikor a törvények csak általános elvárásokat fogalmaznak meg. Az 1992. évi LXIII. törvény (a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról) a jobb törvények közül van. Világos a törvényalkotó szándéka, az átadni szándékozott gondolat. A továbbiakban részletezi azokat a követelményeket, elvárásokat amelyek teljesülése szükséges a célhoz való eljutáshoz, meghatározza, hogy milyen "szervezetben" és milyen feladatokkal gondolja velünk végrehajtatni ezeket a követelményeket, de ez is igényli a magyarázatot, értelmezést, hogy értelmet lehessen csempészni a végrehajtásba. 2009 Oláh Tamás - INFOBIZ 3
A rendszer felépítése Adatvédelmi biztos Az Országgyűlés adatvédelmi biztost választ, aki hivatalból ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok megtartását. Adatvédelmi nyilvántartás A személyes adatokat kezelő adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni  az adatkezelés célját;  az adatok fajtáját és kezelésük jogalapját;  az érintettek körét;  az adatok forrását;  a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;  az egyes adatfajták törlési határidejét;  az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét;  a belső adatvédelmi felelős nevét és elérhetőségi adatait. 2009 Oláh Tamás - INFOBIZ 4
A rendszer felépítése Belső adatvédelmi felelős Az adatkezelő, illetőleg az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni:  közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;  ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;  kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;  elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;  vezeti a belső adatvédelmi nyilvántartást;  gondoskodik az adatvédelmi ismeretek oktatásáról. 2009 Oláh Tamás - INFOBIZ 5
A rendszer felépítése Adatbiztonság 10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. (2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. 2009 Oláh Tamás - INFOBIZ 6
Összegezve. A belső adatvédelmi felelős feladata:  Fő feladata a törvényesség feletti őrködés.  Az adatvédelmi nyilvántartása alapján alakítsa ki a saját rendszerét, ahol a törvény csak annyira engedi meg az eltérést, hogy a saját szervezete speciális vonásai érvényesüljenek. (Tulajdonképpen a törvény által "megfoghatóan előírt" feladatok végrehajtása.)  Adatbiztonság címszó alatt kap olyan feladatokat, amelyeket a törvény is csak homályosan fogalmaz meg (10. § (1)), és (a 2. bekezdésben is csak) legfeljebb orientál, hogy ezeket a feladatokat mely területeken és hogyan lehetne végrehajtani. (Ráadásul, egyik szakmai területen sincs otthon, és intézkedési jogosultságot sem biztosít számára a törvény.)  Adatvédelmi és adatbiztonsági szabályzatot kell készítenie, amelynek sem a tartalmáról, sem a formájáról nem rendelkezik a törvény. (Nézőpont kérdése, hogy miért ez a legnehezebb feladata. Azért, mert a törvény nem nyújt az elkészítéshez semmi támpontot, vagy azért, mert ez a feladat teljesen önálló gondolkodást igényel.) 2009 Oláh Tamás - INFOBIZ 7
Az információbiztonsági vezető (megbízott, felelős...) Azon szervezeteknél, ahol szükséges a belső adatvédelmi felelős poszt, ott "erősen ajánlott" az MSZ ISO/IEC 27001:2006 (információbiztonsági) rendszer kiépítése. Az adatvédelmi törvény és az információbiztonsági szabvány meglehetősen hasonló tématerületet fed le, de a feladatuk, megvalósításuk, lehetőségeik nagyon eltérőek. Az információbiztonsági szabvány konkrétan meghatározza a kereteket (az információbiztonsági rendszer kereteit), de a keret megtöltését értelmes tartalommal a szervezetre bízza. A személyek tekintetében irányelveket mutat, de nem határozza meg, hogy pl. kell lennie a szervezetnél információbiztonsági vezetőnek (megbízottnak, felelősnek, stb.). Az elnevezés és a feladat-, jogkör "áthagyományozódott" a minőségirányításból. (ISO 9001 - A felső vezetőségnek ki kell jelölnie a szervezet vezetőségének egy tagját, akinek egyéb felelősségi körétől függetlenül olyan felelősségi körrel és hatáskörrel kell rendelkeznie...) 2009 Oláh Tamás - INFOBIZ 8
Az információbiztonsági vezető (megbízott, felelős...) Továbbá csak meghatározza a követelményeket, elvárásokat, de nem mondja meg az oda vezető utat. És ez jó! Vagy rossz! (Ez mindig csak nézőpont kérdése.) Jó, mert lehetőséget hagy arra, hogy az információbiztonsági rendszer mindig a legoptimálisabban személyre szabott lehessen. Rossz, mert nem "erősíti" sablon megoldások átvételét más szervezetektől. (Gondolkodásra kényszerít.) Jelenleg a nálunk tanúsított információbiztonsági rendszerek kb. 90 %-a (szigorúbban nézve 99 %-a) mechanikusan, sablonok alapján kiépített rendszer, legfeljebb a sablont próbáljuk meg többé-kevésbé a szervezetre szabni. Nem lehet mondani, hogy teljesen alkalmatlanok a feladatukra - hiszen tanúsítottak -, de a hatékonyságuk erősen megkérdőjelezhető. Más kérdés, hogy még cégvezetőt nem hallottunk panaszkodni, hogy drága pénzen fenntartanak egy kétséges hatékonyságú rendszert. Nincs is viszonyítási lehetősége (azaz, azt hiszi, hogy olyannak kell lenni) és ha tudja, hogy nem jó, akkor sem dicsekszik vele. 2009 Oláh Tamás - INFOBIZ 9
Az információbiztonsági vezető (megbízott, felelős...) A sablonok alkalmazásából adódó hibák (a nem lelkiismeretes, vagy nem hozzáértő felkészítői, illetve tanúsítói tevékenység eredménye jobbára) gyorsan kijavíthatók lennének, ha nem a már említett ISO 9001-ből vennénk át bizonyos sémákat. Ilyen pl. az információbiztonsági vezető helye, szerepe a rendszerben. A minőségirányítási rendszer menedzsment rendszer. A menedzsment elemeket mindenki ismeri – mert vagy vezető, vagy vezetett. A helyes sorrendű egymáshoz illesztésüktől függ a rendszer hatékonysága és ezt egy ember – a minőségirányítási vezető – át tudja látni. Az információbiztonság kereteiben felvetődő problémák (akár a kockázatértékelés, akár a védelmi szabályok kérdéseit nézzük) megoldásához több "szakmaterület" tudása és azok összehangoltsága szükséges. 2009 Oláh Tamás - INFOBIZ 10
Az információbiztonság gyakorlati területei:  objektum, terület védelem,  személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől),  "hagyományos" adatok, módszerek, eszközök védelme (elsősorban a papíralapúak),  informatikai védelem,  katasztrófák (elemi károk, természeti csapások, társadalmi konfliktusok) elleni védelem. Látszik, hogy a területek megnevezései "csak" gyűjtőfogalmak, azaz további önálló területekre oszthatók. Továbbá látszik, hogy az egyik szakmaterületen bevezetett védelmi intézkedésnek áthúzódó hatása lesz más szakmaterületekre, azaz a rendszer hatékonyabbá válik, illetve olcsóbbá. 2009 Oláh Tamás - INFOBIZ 11
Az információbiztonsági vezető (megbízott, felelős...) És az is látszik, hogy még nem született meg az az információbiztonsági vezető, aki egy személyben birtokolná az összes szakmaterület szükséges tudását. Mentalitást kell váltani az ISO 9001-hez képest, ahol a minőségirányítási vezető mindent tud, ő a "legokosabb". Az információbiztonsági rendszerben a vezető "csak" a kérdést, követelményt tudja megfogalmazni, illetve a szakterületek megoldási javaslatait (egymással is összehangolva) koordinálni. (Egyébként az MSZ ISO/IEC 27001:2006 is így rendelkezik, csak "bújtatva": "Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni." (A6.1.2.) ) 2009 Oláh Tamás - INFOBIZ 12
Összegezve. Az információbiztonsági vezető feladata:  A szabvány szigorúan meghatározott keretei között, de nagyfokú önállóságot, kreativitást feltételezve szervezze a rendszert.  Koordinálja a védelembe bevont szakmaterületek munkáját.  Ellenőrizze, elemezze, stb. a megvalósított védelem gyakorlati hatékonyságát. 2009 Oláh Tamás - INFOBIZ 13
A két funkció együttműködésének lehetőségei A gyakorlatban sokszor előfordul, hogy a belső adatvédelmi felelős és az információbiztonsági vezető egymás riválisai. Adódik abból, hogy hasonlóak a működési területeik, de nem tisztázottak, vagy inkább nem megértettek a feladataik, lehetőségeik. Valójában pedig az lenne az elvárás (és az érdekük is), hogy szorosan együttműködjenek, mivel nagyon jól kiegészítik egymást még a "hiányosságaikban" is.  A belső adatvédelmi felelős egy meghatározott törvényesség őre, de a törvény által is csak homályosan megfogalmazott gyakorlati adatbiztonsági feladatok megvalósításához sem szakmai hozzáértéssel nem rendelkezik, sem jogosultsággal (legalábbis a törvény alapján).  Az információbiztonsági vezető a kérdéskörbe tartozó védelmi problémák megoldásához rendelkezik jogosultsággal, (a koordináción keresztül) szakmai háttérrel és lehetőséggel. Az ő "hiányossága" rendszerint a biztonsági kérdések felvetésében a legnagyobb. Világ adatvédelmi felelősei és információbiztonsági vezetői, működjetek együtt! 2009 Oláh Tamás - INFOBIZ 14
Köszönöm megtisztelő figyelmüket! Oláh Tamás (30) 9797937 olaht@infobiz.hu 2009 Oláh Tamás - INFOBIZ 15

Recomendados

Adatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőAdatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőHZsolt
 
Infobiz isms alapok
Infobiz isms alapokInfobiz isms alapok
Infobiz isms alapokLogPortál Team
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapokHZsolt
 
Greensboro regional realtors assoc 06 08-10
Greensboro regional realtors assoc 06 08-10Greensboro regional realtors assoc 06 08-10
Greensboro regional realtors assoc 06 08-10Greensboro Regional REALTORS Association
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hezHZsolt
 
IT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólIT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólKatalin Horváth
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
Információbiztonság megjelenése
Információbiztonság megjelenéseInformációbiztonság megjelenése
Információbiztonság megjelenéseHZsolt
 

Recomendados

Adatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőAdatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőHZsolt
 
Infobiz isms alapok
Infobiz isms alapokInfobiz isms alapok
Infobiz isms alapokLogPortál Team
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapokHZsolt
 
Greensboro regional realtors assoc 06 08-10
Greensboro regional realtors assoc 06 08-10Greensboro regional realtors assoc 06 08-10
Greensboro regional realtors assoc 06 08-10Greensboro Regional REALTORS Association
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hezHZsolt
 
IT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólIT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólKatalin Horváth
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
Információbiztonság megjelenése
Információbiztonság megjelenéseInformációbiztonság megjelenése
Információbiztonság megjelenéseHZsolt
 
Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonságaHZsolt
 
Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiHZsolt
 
On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)Csaba Krasznay
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseFerenc Kovács
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályokHZsolt
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...bkiktanoszt
 
Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben HZsolt
 
Új adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozÚj adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozLajos Golovics
 
Uj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programUj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programSystem Media Kft.
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanCsaba KOLLAR (Dr. PhD.)
 
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Agroinform.com
 
Információs aranybánya
Információs aranybányaInformációs aranybánya
Információs aranybányaSpindoc Kommunikációs Hálózat
 
IT és információszabadság
IT és információszabadságIT és információszabadság
IT és információszabadságMKT Informatikai szakosztály
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején Erzsébet Katona
 
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...System Media Kft.
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 
A tudás hatalom
A tudás hatalomA tudás hatalom
A tudás hatalomkmexpert
 

Mais conteúdo relacionado

Semelhante a Adatvedelmi informaciobiztonsagi vezeto

Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonságaHZsolt
 
Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiHZsolt
 
On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)Csaba Krasznay
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseFerenc Kovács
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályokHZsolt
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...bkiktanoszt
 
Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben HZsolt
 
Új adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozÚj adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozLajos Golovics
 
Uj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programUj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programSystem Media Kft.
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanCsaba KOLLAR (Dr. PhD.)
 
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Agroinform.com
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején Erzsébet Katona
 
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...System Media Kft.
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 
A tudás hatalom
A tudás hatalomA tudás hatalom
A tudás hatalomkmexpert
 

Semelhante a Adatvedelmi informaciobiztonsagi vezeto (20)

Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonsága
 
Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalatai
 
On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztése
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)
 
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)
 
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
 
Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben
 
Új adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozÚj adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhoz
 
Uj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programUj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - program
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
 
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
 
Információs aranybánya
Információs aranybányaInformációs aranybánya
Információs aranybánya
 
IT és információszabadság
IT és információszabadságIT és információszabadság
IT és információszabadság
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején
 
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
Munkahelyi adatkezelesi szabalyok, a munkaltato és munkavallalo jogai es kote...
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok
 
A tudás hatalom
A tudás hatalomA tudás hatalom
A tudás hatalom
 

Adatvedelmi informaciobiztonsagi vezeto

  • 1. Az “adatvédelmi felelős” és az “információbiztonsági vezető” (megbízott, felelős...) funkciók közötti különbségek
  • 2. Bevezetés A társadalmi létben - az együttélés megkönnyítésére - szabályokat alkotunk. A szabályok között találjuk meg a törvényeket és a szabványokat is. Mindkettőre igaz, hogy jó lenne, ha pontosan és szabatosan fogalmazna. 2009 Oláh Tamás - INFOBIZ 2
  • 3. A belső adatvédelmi felelős és az ő problémái A baj akkor kezdődik, amikor a törvények csak általános elvárásokat fogalmaznak meg. Az 1992. évi LXIII. törvény (a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról) a jobb törvények közül van. Világos a törvényalkotó szándéka, az átadni szándékozott gondolat. A továbbiakban részletezi azokat a követelményeket, elvárásokat amelyek teljesülése szükséges a célhoz való eljutáshoz, meghatározza, hogy milyen "szervezetben" és milyen feladatokkal gondolja velünk végrehajtatni ezeket a követelményeket, de ez is igényli a magyarázatot, értelmezést, hogy értelmet lehessen csempészni a végrehajtásba. 2009 Oláh Tamás - INFOBIZ 3
  • 4. A rendszer felépítése Adatvédelmi biztos Az Országgyűlés adatvédelmi biztost választ, aki hivatalból ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok megtartását. Adatvédelmi nyilvántartás A személyes adatokat kezelő adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni  az adatkezelés célját;  az adatok fajtáját és kezelésük jogalapját;  az érintettek körét;  az adatok forrását;  a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;  az egyes adatfajták törlési határidejét;  az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét;  a belső adatvédelmi felelős nevét és elérhetőségi adatait. 2009 Oláh Tamás - INFOBIZ 4
  • 5. A rendszer felépítése Belső adatvédelmi felelős Az adatkezelő, illetőleg az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni:  közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;  ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;  kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;  elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;  vezeti a belső adatvédelmi nyilvántartást;  gondoskodik az adatvédelmi ismeretek oktatásáról. 2009 Oláh Tamás - INFOBIZ 5
  • 6. A rendszer felépítése Adatbiztonság 10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. (2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. 2009 Oláh Tamás - INFOBIZ 6
  • 7. Összegezve. A belső adatvédelmi felelős feladata:  Fő feladata a törvényesség feletti őrködés.  Az adatvédelmi nyilvántartása alapján alakítsa ki a saját rendszerét, ahol a törvény csak annyira engedi meg az eltérést, hogy a saját szervezete speciális vonásai érvényesüljenek. (Tulajdonképpen a törvény által "megfoghatóan előírt" feladatok végrehajtása.)  Adatbiztonság címszó alatt kap olyan feladatokat, amelyeket a törvény is csak homályosan fogalmaz meg (10. § (1)), és (a 2. bekezdésben is csak) legfeljebb orientál, hogy ezeket a feladatokat mely területeken és hogyan lehetne végrehajtani. (Ráadásul, egyik szakmai területen sincs otthon, és intézkedési jogosultságot sem biztosít számára a törvény.)  Adatvédelmi és adatbiztonsági szabályzatot kell készítenie, amelynek sem a tartalmáról, sem a formájáról nem rendelkezik a törvény. (Nézőpont kérdése, hogy miért ez a legnehezebb feladata. Azért, mert a törvény nem nyújt az elkészítéshez semmi támpontot, vagy azért, mert ez a feladat teljesen önálló gondolkodást igényel.) 2009 Oláh Tamás - INFOBIZ 7
  • 8. Az információbiztonsági vezető (megbízott, felelős...) Azon szervezeteknél, ahol szükséges a belső adatvédelmi felelős poszt, ott "erősen ajánlott" az MSZ ISO/IEC 27001:2006 (információbiztonsági) rendszer kiépítése. Az adatvédelmi törvény és az információbiztonsági szabvány meglehetősen hasonló tématerületet fed le, de a feladatuk, megvalósításuk, lehetőségeik nagyon eltérőek. Az információbiztonsági szabvány konkrétan meghatározza a kereteket (az információbiztonsági rendszer kereteit), de a keret megtöltését értelmes tartalommal a szervezetre bízza. A személyek tekintetében irányelveket mutat, de nem határozza meg, hogy pl. kell lennie a szervezetnél információbiztonsági vezetőnek (megbízottnak, felelősnek, stb.). Az elnevezés és a feladat-, jogkör "áthagyományozódott" a minőségirányításból. (ISO 9001 - A felső vezetőségnek ki kell jelölnie a szervezet vezetőségének egy tagját, akinek egyéb felelősségi körétől függetlenül olyan felelősségi körrel és hatáskörrel kell rendelkeznie...) 2009 Oláh Tamás - INFOBIZ 8
  • 9. Az információbiztonsági vezető (megbízott, felelős...) Továbbá csak meghatározza a követelményeket, elvárásokat, de nem mondja meg az oda vezető utat. És ez jó! Vagy rossz! (Ez mindig csak nézőpont kérdése.) Jó, mert lehetőséget hagy arra, hogy az információbiztonsági rendszer mindig a legoptimálisabban személyre szabott lehessen. Rossz, mert nem "erősíti" sablon megoldások átvételét más szervezetektől. (Gondolkodásra kényszerít.) Jelenleg a nálunk tanúsított információbiztonsági rendszerek kb. 90 %-a (szigorúbban nézve 99 %-a) mechanikusan, sablonok alapján kiépített rendszer, legfeljebb a sablont próbáljuk meg többé-kevésbé a szervezetre szabni. Nem lehet mondani, hogy teljesen alkalmatlanok a feladatukra - hiszen tanúsítottak -, de a hatékonyságuk erősen megkérdőjelezhető. Más kérdés, hogy még cégvezetőt nem hallottunk panaszkodni, hogy drága pénzen fenntartanak egy kétséges hatékonyságú rendszert. Nincs is viszonyítási lehetősége (azaz, azt hiszi, hogy olyannak kell lenni) és ha tudja, hogy nem jó, akkor sem dicsekszik vele. 2009 Oláh Tamás - INFOBIZ 9
  • 10. Az információbiztonsági vezető (megbízott, felelős...) A sablonok alkalmazásából adódó hibák (a nem lelkiismeretes, vagy nem hozzáértő felkészítői, illetve tanúsítói tevékenység eredménye jobbára) gyorsan kijavíthatók lennének, ha nem a már említett ISO 9001-ből vennénk át bizonyos sémákat. Ilyen pl. az információbiztonsági vezető helye, szerepe a rendszerben. A minőségirányítási rendszer menedzsment rendszer. A menedzsment elemeket mindenki ismeri – mert vagy vezető, vagy vezetett. A helyes sorrendű egymáshoz illesztésüktől függ a rendszer hatékonysága és ezt egy ember – a minőségirányítási vezető – át tudja látni. Az információbiztonság kereteiben felvetődő problémák (akár a kockázatértékelés, akár a védelmi szabályok kérdéseit nézzük) megoldásához több "szakmaterület" tudása és azok összehangoltsága szükséges. 2009 Oláh Tamás - INFOBIZ 10
  • 11. Az információbiztonság gyakorlati területei:  objektum, terület védelem,  személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől),  "hagyományos" adatok, módszerek, eszközök védelme (elsősorban a papíralapúak),  informatikai védelem,  katasztrófák (elemi károk, természeti csapások, társadalmi konfliktusok) elleni védelem. Látszik, hogy a területek megnevezései "csak" gyűjtőfogalmak, azaz további önálló területekre oszthatók. Továbbá látszik, hogy az egyik szakmaterületen bevezetett védelmi intézkedésnek áthúzódó hatása lesz más szakmaterületekre, azaz a rendszer hatékonyabbá válik, illetve olcsóbbá. 2009 Oláh Tamás - INFOBIZ 11
  • 12. Az információbiztonsági vezető (megbízott, felelős...) És az is látszik, hogy még nem született meg az az információbiztonsági vezető, aki egy személyben birtokolná az összes szakmaterület szükséges tudását. Mentalitást kell váltani az ISO 9001-hez képest, ahol a minőségirányítási vezető mindent tud, ő a "legokosabb". Az információbiztonsági rendszerben a vezető "csak" a kérdést, követelményt tudja megfogalmazni, illetve a szakterületek megoldási javaslatait (egymással is összehangolva) koordinálni. (Egyébként az MSZ ISO/IEC 27001:2006 is így rendelkezik, csak "bújtatva": "Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni." (A6.1.2.) ) 2009 Oláh Tamás - INFOBIZ 12
  • 13. Összegezve. Az információbiztonsági vezető feladata:  A szabvány szigorúan meghatározott keretei között, de nagyfokú önállóságot, kreativitást feltételezve szervezze a rendszert.  Koordinálja a védelembe bevont szakmaterületek munkáját.  Ellenőrizze, elemezze, stb. a megvalósított védelem gyakorlati hatékonyságát. 2009 Oláh Tamás - INFOBIZ 13
  • 14. A két funkció együttműködésének lehetőségei A gyakorlatban sokszor előfordul, hogy a belső adatvédelmi felelős és az információbiztonsági vezető egymás riválisai. Adódik abból, hogy hasonlóak a működési területeik, de nem tisztázottak, vagy inkább nem megértettek a feladataik, lehetőségeik. Valójában pedig az lenne az elvárás (és az érdekük is), hogy szorosan együttműködjenek, mivel nagyon jól kiegészítik egymást még a "hiányosságaikban" is.  A belső adatvédelmi felelős egy meghatározott törvényesség őre, de a törvény által is csak homályosan megfogalmazott gyakorlati adatbiztonsági feladatok megvalósításához sem szakmai hozzáértéssel nem rendelkezik, sem jogosultsággal (legalábbis a törvény alapján).  Az információbiztonsági vezető a kérdéskörbe tartozó védelmi problémák megoldásához rendelkezik jogosultsággal, (a koordináción keresztül) szakmai háttérrel és lehetőséggel. Az ő "hiányossága" rendszerint a biztonsági kérdések felvetésében a legnagyobb. Világ adatvédelmi felelősei és információbiztonsági vezetői, működjetek együtt! 2009 Oláh Tamás - INFOBIZ 14
  • 15. Köszönöm megtisztelő figyelmüket! Oláh Tamás (30) 9797937 olaht@infobiz.hu 2009 Oláh Tamás - INFOBIZ 15