Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola...
Transcript of Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola...
![Page 1: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/1.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
SZERVEZETI-SZERVEZÉSIVESZÉLYFORRÁSOKÉSAZELLENÜKALKALMAZHATÓVÉDELMIMÓDSZEREK
Dombora Sándor
2018.08.22.
30MBAdat és Információvédelmi Mesteriskola
![Page 2: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/2.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tartalom
• Biztonságiszervezetésműködés• Titokvédelemésiratkezelés• Szabályozás,szervezetiműködés• Emberihibák,humánvédelmimódszerek• Harmadikféllelkötöttszerződések• Jogszabályok
2018.08.22. 2
![Page 3: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/3.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Aműködésgyakranszabályozatlan
• Aszervezetnemismerisajátműködését,működésifolyamatait,erőforrásait.
• Aszervezetifelépítésnemegyértelmű.• Nincsenektisztázvaafeladatok,felelősségek,hatáskörökéserőforrások.
• Szigetszerűmegoldások.• Aszabályozásokhiányaill.ellentmondásai.• „Tipikusgyalogságihelyzet:senkinemtudsemmit.”
„Aztsemtudjuk,hogy
működünk”
3
„Ad hoc” szervezeti működés
![Page 4: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/4.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Rendelkezésreállásiprobléma?!
4
• Index:2006.augusztus21.,hétfő21:40:• Azaugusztus20-itűzijátékközbenbekövetkezett,négyhalálosáldozatotkövetelőkatasztrófafelelőseitkeresőkormányzativizsgálatmegállapította,hogyarendezvénytszervező,ésatűzijátékotfelfüggesztő, majdújraindító********mindentmegfelelőencsinált,viszontaztérdemesvolnakivizsgálni,hogyameteorológiai intézetfigyelmeztetésénekmiértnemlettfoganatja.Ameteorológusok ugyanisbárnemigazánkonkrétan,deküldtekegyfigyelmeztetőe-mailtakatasztrófavédelemnek,ámaztcsakórákkalaviharutánolvastákel.Politikaifelelőseiislehetnénekakatasztrófának,haszóltakvolnanekikaviharról.
• AzOMSZriasztásaite-mailenazOrszágosKatasztrófavédelmiFőigazgatóságnak(OKF)küldi,azOMSZelnökeszerintösszhangbanafebruár1-tőlhatályosriasztásirenddel.
Riasztáse-mail-ben?
„Ad hoc” szervezeti működés
![Page 5: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/5.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Előfordul,hogybiztonságnemkapjamegakellősúlytaszervezetéletében(1)
5 veszélyforrások
Gyenge biztonsági szervezet
![Page 6: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/6.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Előfordul,hogybiztonságnemkapjamegakellősúlytaszervezetéletében(2)
• Nincsintegráltbiztonságiszervezet• Avagyonésadatbiztonságegymástólfüggetlenülműködik ill.afunkciókösszekeverednek
• Azadatvédelemésadatbiztonságszétválasztásánakhiánya• Biztonságiellenőrzésekhiánya• Biztonságiszervezetek(tűzvédelmi,polgárivédelmihiánya,gyengesége• Biztonsággalkapcsolatosdokumentumok hiánya:BiztonságiStratégia,BiztonságiPolitika,Biztonságiátvilágítás,Katasztrófaterv,IBSZ…
• Szabályozásokhiányosságai,aszabályokbenemtartása• Amunkakörökésszakmaikompetencianemteljesenfüggössze• Amunkakörileírásésaténylegestevékenységnemegyezikmeg• Segregation ofduties• Nemmegfelelőoktatás
Tipikushiba-
jelenségek
6
Gyenge biztonsági szervezet
![Page 7: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/7.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola7
AzITbiztonságifeladatokatszervezethezésszemélyekhezkellkötni
• Abiztonságértaszervezetelsőszámúvezetőjefelelős.• Abiztonságivezetőésazadatvédelmi(titokvédelmi)felelősazelsőszámúvezetőközvetlenalárendeltje.
• Azinformatikaibiztonságnemazinformatikaiszervezetalegysége.
• Azinformatikaibiztonságésavagyonbiztonságnemelkülönültegység.
• Abiztonságiszervezetfeladatai• avédelmiintézkedésekmeghatározása,betartatása;• abiztonságieseményekkezelése;• követés,naprakészségbiztosítása;• …
AzITbiztonságiszervezet
Biztonsági szervezet és működés
![Page 8: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/8.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atitokvédelemnemmegfelelőenszabályozott
• Nincsenekosztályozvatitokvédelmiszempontbólazadatok,alkalmazások,eszközök,helyiségek(Hanincsmeghatározva,hogyMITkellvédeni,nemlehetmegmondani,hogyHOGYAN)
• Atitokvédelmimunkatárselhelyezkedése aszervezetihierarchiábannemmegfelelő(nemazelsőszámúvezetőközvetlenalárendeltje- nincsmegfelelő jogköre,létezéseformális)
• (Apapíralapúdokumentumokkezeléseáltalábanjobbanszabályozott!!!)
Miszámít
titoknak?
8
Titokvédelmi és iratkezelési hiányosságok
![Page 9: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/9.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atitkosügyiratkezelésspeciáliskompetenciátigényel
9
Titokvédelmi és iratkezelési hiányosságok
![Page 10: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/10.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola10
Atitokvédelemtradicionálisprobléma(1)
• Azadatokat,alkalmazásokat,eszközöketéshelyiségeketosztályozni,minősítenikell.
• Azosztályozásalapjaatitokvédelemről,azüzletititokról,aszemélyesadatokról,abanktitokrólszólójogszabályokéssajátüzletiérdek.
• Azalkalmazásokvédelmiosztályozása:milyenosztálybatartozóadatokatkezel(alegerősebb).
Nemcsakaz
adatokatkell
osztályozni
Titokvédelem
![Page 11: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/11.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola11
Atitokvédelemtradicionálisprobléma(2)
• Titkos(pl.államtitok,üzletititok)• Bizalmas(pl.szolgálatititok,személyesadatok)• Belsőhasználatra• Nyilvános
Adatvédelmiosztályok(adatokra,
alkalmazásokraéseszközökre)
• Zárt• Kiemeltenellenőrzött• Ellenőrzött• Nyilvános
Helyiségekosztályozása
Titokvédelem
![Page 12: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/12.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola12
Atitokvédelemtradicionálisprobléma(3)
• IratkezelésiUtasításszükséges(elektronikusiratokelőállítására,feldolgozására,továbbítására,megsemmisítésére iskitér)
• Kritikusprobléma:áttéréselektronikusrólpapíralapúraésviszont• Papíralapúoutputokelőállítása• Aminősítéstfelkelltüntetniapapíralapúiraton
Kiindulás:azadatok
titokvédelmiosztályozása
Titokvédelem
![Page 13: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/13.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola13
Példa:NAIHadatvédelmibírság
Iratkezelés
![Page 14: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/14.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola14
Hogyankaphategyfelhasználóhozzáféréseket?
Szabályozás
![Page 15: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/15.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola15
Milyenajószabályzatrendszer
• Konzisztens• Lényegretörő• Betarthatószabályokattartalmaz• Végrehajtható,szerepkörhözrendeltmunkafolyamatokattartalmaz
• Amunkatársaknakcsakarájukvonatkozószabályokatéseljárásokatkellismerniük
• Összhangbanvanajogszabályikörnyezettel• Összhangbanvanabevezetettszabványokkal
Számosszabályzatból
álló,konzisztensrendszerszükséges
Szabályozás
![Page 16: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/16.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola16
Aszabályozásnakösszhangbankelllennieajogszabályokkalésmásszabályozásokkal
• Informatikaibiztonságipolitika• IBSZ(InformatikaiBiztonságiSzabályzat)• ITüzemeltetésiszabályzat• Felhasználóiszabályzat• Hozzáférésiszabályzat• Változáskezelésiszabályzat• Incidenskezeléseiszabályzat• Kockázatkezeléseiszabályzat• Katasztrófakezelésiszabályzat• Mentésiszabályzat• …
Számosszabályzatból
álló,konzisztensrendszerszükséges
Szabályozás
![Page 17: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/17.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Amunkatársakrosszhiszeműek?
• Külsőtámadó• Belsőrosszhiszeműmunkatárs
• Belsőjóhiszeműmunkatárs
• Együtt…
Akárokkeletkezésbenközreműködők
17
Emberi hibák
![Page 18: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/18.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Jellemzőhibaelkövetőszemélyiségtípusok(1)
•Munkájukmegkönnyítéseérdekébennemfoglalkoznakabiztonságiszabályokkal.
• Véletlenüladjákkiazinformációtelvesztetteszközökön(laptop,okostelefon, CDlemez,USBstick)keresztül.
• Adatokathagynakaleselejtezett,lecseréltszámítógépeken.•Nemelégkörültekintőenosztjákmegazadatokatharmadikféllel.• Védelemnélkül küldenek adatokatnyilvános szolgáltatókonkeresztül
Hanyag
•Szándékosanmegkerülikabiztonságielőírásokat,aztgondolva,hogyezzelhatékonyabbantudjákszolgálniavállalatérdekeitéssajátkarrierjüket.(Példáultitkosításokelhagyása,clear desk policyfigyelmenkívül hagyása.)
• Kiviszik azadatokatabiztonságoskörnyezetből,hogyirodánésmunkaidőn kívül isdolgozhassanak
Túlbuzgó
18
Emberi hibák
![Page 19: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/19.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Jellemzőhibaelkövetőszemélyiségtípusok(2)
• Célpontjailehetnekasocial engineeringnek• Általábansegítőszándékkaladjákkiakódokat,információkat,abbanahitben,hogyaszervezetérdekébencselekszenek.
Manipulálható
• Sajátosetikaimegfontolásokalapjánadjákkiabizalmasadatokatanyilvánosságszámára.(Aszivárogtatásokáltalábanvalamilyenközösségiszolgáltatásonkeresztülzajlanak.)
Sajátosetikaimegfontolásokat
követő
19
Emberi hibák
![Page 20: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/20.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Példákahumánerőforrásokvisszaéléseire(1)
20
Emberi hibák
![Page 21: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/21.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Példákahumánerőforrásokvisszaéléseire(2)
21
Emberi hibák
![Page 22: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/22.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek(1)
• Ahumánerőforrásokbizalmassága(személyesadatok,feladatkörökstb.),sértetlensége (sérülés),rendelkezésreállása(sérülés,betegség,haláleset, túszejtés,sztrájkstb.)sérülhet
Ahumánerőforrásazinformatikairendszer
egyikeleme
22
Emberi hibák
![Page 23: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/23.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek(2)
• Nemmegbízható,nemlojálismunkaerőalkalmazása(erkölcsibizonyítvány?,előzőmunkahely?,életvitel,pénzügyizavarstb.)
• Nemmegfelelőenképzett,nemelegendőgyakorlattalrendelkezőmunkatársalkalmazása,abiztonságitudatossághiánya,védtelenségasocial engineeringellen…
Ahumánerőforrásazinformatikairendszerrefenyegetést
jelent
23
Emberi hibák
![Page 24: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/24.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek
Ahumánerőforrásjelentettefenyegetéstsajátostényezőkfokozzák
• Digitálisírástudatlanság,informatikaiszakadék,azinformációstechnológiavívmányaihozvalóhozzáféréshiánya,azinnoválhatótudáshiánya(azmultimédiáseszközöklustítjákazagytevékenységet.)
• Azinformációstúlterheltségnegatívhatásai• Azinformációstechnológiaeszközeinekfelhasználásávalösszefüggőpszichikai,fiziológiaiésegészségügyijellegűveszélyek
• Azinformációstechnológiákkalszembeniidegenkedés,bizonytalanság
24
Emberi hibák
![Page 25: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/25.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola25
Hogyanbiztosíthatóahumánerőforráslojalitása?(1)
• Háttérellenőrzés,referenciákbekérése,erkölcsibizonyítvány,folyamatbanlevőbűnügyieljárásellenőrzése
• Titoktartásinyilatkozat(amunkaviszonymegszüntetéseutániidőszakrais)
• Nyilatkozatabiztonságikövetelmények ismeretéről• Érdekütközésinyilatkozat(nincsolyanérdekeltsége,amelynemteszilehetővéatervezettmunkakörbetöltését)
• Szakmaiésemberikompetenciavizsgálat
Munkaviszonylétesítésekor(Felvételipolitika)
Humán védelmi módszerek
![Page 26: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/26.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola26
Hogyanbiztosíthatóahumánerőforráslojalitása?(2)
• Védelmi intézkedésekamegbízhatóságfenntartásaérdekében
• Teljesítménykövetés• Karriermenedzsment– lojalitás,kötődés• Szakmaikompetenciaésfeladatokközöttikonzisztenciabiztosítása
• Képzések• Munkakörileírásoknaprakészsége• Egymástkizáróbiztonságkritikusmunkakörökfigyelembevétele(Segregation ofDuties)
Munkaviszonyalatt
Szabályozás
![Page 27: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/27.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola27
Hogyanbiztosíthatóahumánerőforráslojalitása?(3)
• Jogosultságok,accountokvisszavonása(felmondásiidő:legalábbkorlátozás)
• Megszüntetési interjú:(nyilatkozatavállalatidokumentumokésadathordozókvisszaszolgáltatásáról,kilépésutánititoktartásról)
• Vállalati tulajdonvisszavonása(beléptetőkártya,kulcsokis)
• Törlésafizetésilistáról• Amunkatársakértesítése akilépéstényéről
Munkaviszonymegszüntetésekor
Szabályozás
![Page 28: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/28.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola28
Azinformatikátérintőoutsourcingszerződésekkritikusak(1)
• Afejlesztésikörnyezetrevonatkozóbiztonságikövetelmények
• Amegbízóellenőrzésijogosultságánakelismerése• Afejlesztés tárgyáravonatkozóbiztonságikövetelmények
• Fenyegetettségmentességinyilatkozatazátadás/átvételkor
Outsourcingfejlesztésimegbízás
• Abiztonságikörnyezetrevonatkozókövetelmények(humán,fizikai,logikaileválasztás)
• Amegbízóellenőrzésijogosultságánakelismerése• Megfelelőerősségűhumán,fizikaiéslogikaivédelmiintézkedésekmegtétele
Outsourcingüzemeltetésimegbízás
Harmadik féllel kötött szerződések
![Page 29: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/29.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola29
Azinformatikátérintőoutsourcingszerződésekkritikusak(2)
• AszolgáltatóalárendeléseamegbízóBiztonságiPolitikájának
• Aszolgáltatójogosultságainakkorlátozása,rögzítése
• Ellenőrzésilehetőségbiztosítása
Outsourcingkarbantartási,rendszerkövetési
megbízás
• AmunkaerőalárendeléseamegbízóBiztonságiPolitikájának,nyilatkozatennekelfogadásáról
• Számokérési,szankcionálásilehetőségbiztosítása
Munkaerőbérlés/
kölcsönzés
Harmadik féllel kötött szerződések
![Page 30: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/30.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Azinformatikaibiztonságigaranciákgyakranhiányoznakaszerződésekből
• Szállításiszerződések- beszerzések•Outsourcing szerződések:fejlesztői,karbantartási,üzemeltetési•Amegbízóhatáskörénkívül esőbiztonságikörnyezetkérdésenincskezelve
•Abiztonságikövetelményekérvényesítése,aszámonkérhetőségbiztosíthatóságahiányzik
•Aszervezetterületén„idegenszakemberek”,hozzáférnekarendszerhez.Abiztonságiszabályzatokbetartatásaproblematikus.
•Aszervezetbizalmasadataihoz„idegenszakemberek”,hozzáférnek.Abizalmasságikövetelményekbetartásaproblematikus
Tipikusantöbbféleszerződésérvényes
•Azüzletitevékenységmegszakadásáravonatkozóanaharmadikfélnemvállalgaranciát-- vismaiorrahivatkozik
•Atermékhibájaeseténcsakatermékértékéigvállalkártérítést
Korlátozottfelelősségvállalás
30
Szerződések gyengeségei
![Page 31: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/31.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola31
Azinformatikaibiztonságotkezelnikellaszerződésekben
• Megfelelővédelmiintézkedésekabiztonságikörnyezetben
• Megfelelővédelmiintézkedésekafeladatvégrehajtásasorán
• Megfelelővédelmiintézkedésekavégtermékben
Aszerződéseknekgaranciákatkelltartalmaznia
Harmadik féllel kötött szerződések
![Page 32: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/32.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola32
Elfogadhatófeltételek?
Szervezeti-szervezési veszélyforrások elleni módszerek
Harmadik féllel kötött szerződések
![Page 33: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/33.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atörvényikötelezettségekgyakranfigyelmenkívülvannakhagyva(1)
2011.éviCXII.törvényazinformációsönrendelkezési jogrólésazinformációszabadságról(Infotv.)
2001éviXXXV.törvény:Azelektronikusaláírásról
1999.éviLXXVI.törvényaszerzőijogról
AZEURÓPAIPARLAMENTÉSATANÁCS(EU)2016/679RENDELETE (2016.április27.)– GDPR
2013.éviL.törvény(Ibtv.)
33
Jogszabálysértés
![Page 34: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/34.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atörvényikötelezettségekgyakranfigyelmenkívülvannakhagyva(2)
41/2015.(VII.15.)BMrendelet- azállamiésönkormányzatiszervekelektronikusinformációbiztonságárólszóló2013.éviL.törvénybenmeghatározotttechnológiaibiztonsági,valamintabiztonságosinformációseszközökre,termékekre,továbbáabiztonságiosztálybaésbiztonságiszintbesorolásravonatkozókövetelményekről
26/2013.(X.21.)KIMrendelet- azállamiésönkormányzatiszervekelektronikusinformációbiztonságárólszólótörvénybenmeghatározottvezetőiésazelektronikusinformációsrendszerbiztonságáértfelelősszemélyekképzésénekéstovábbképzésénektartalmáról
Ágazatitörvények…
34
Jogszabálysértés
![Page 35: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/35.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Példatörvénysértésre
35
Jogszabálysértés
![Page 36: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/36.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola36
Példa:NAIHadatvédelmibírság
Iratkezelés
![Page 37: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/37.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Mitjelentasocialengineering?
ASocial Engineering (SE)nemmás,mintannakaművészeteéstudománya,hogymikéntvegyünkrászemélyeketarra,hogyamiakaratunknakmegfelelőencselekedjenek.
Támadásimódszer,amelyazemberihibák,gyengeségek,tájékozatlanság,hiszékenység,felelőtlenségaktívkihasználásáraépül.
37
![Page 38: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/38.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Asocialengineeringnektipikusforgatókönyvevan
Információszerzés
Kapcsolat-építés
Akapcsolatkihaszná-
lása(felhaszná-
lása)
Végrehaj-tás,ater-vezettcélmegva-lósítása
Start
38
![Page 39: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/39.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Azinformációszerzéssorántörvényeséstörvénytelenmódszereketisalkalmaznak(1)
• Aszervezetweboldala• Üzletipartnerekweboldalai• Telephellyelkapcsolatosinformációk(Google Map)• Telefonszámok,kontaktszemélyek,e-mailcímek,munkatársak• Aktuálisesemények(pl.sajtóközlemények)• Nyilvánosanelérhetőműszakiinformációk(szabályzatok,szabványok,stb.)
• Alkalmazottaktólkiszivárgóinformációk(pl.fórumok,blogok,iWiW,Facebook)
• Keresőkáltalszolgáltatottinformációk(pl.Google hacking)• …
Törvényesmódszerek
39
![Page 40: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/40.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Azinformációszerzéssorántörvényeséstörvénytelenmódszereketisalkalmaznak(2)
• Megtévesztésselszerzettinformációk(telefonhívás,személyesismeretség)
• Hackermódszerek• Illegálisbejutásatelephelyre• Vagyontárgyakeltulajdonítása(notebook,okostelefon,dokumentáció)
• …
Törvénytelenmódszerek
40
![Page 41: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/41.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatépítéssoránacélszemélyakarataellenéresegítségetnyújt
• Kíváncsiság• Tudatlanság• Gondatlanság• Sértődöttség• Bosszú• Segítőkészség• Ajómegítélésmegszerzése• Ellenszolgáltatáselvárása(azellenszolgáltatástipikusanegysemmiség)
• Amorálisbűnösségérzésénekelkerülése• Afelelősségelhárítása
Miértnyújtsegítségetacélszemély?
41
![Page 42: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/42.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatépítéstnégyfőtényezősegítheti,mindabizalommegszerzéséreirányul
1• Atámadóacélszeméllyelszembenkonstruktívanésnemtámadószellembenlépfel
2• Korábbiaprószívességeket• Kedvességszolgáltunkacélszemélyfelé
3• Azemberségünkhangsúlyozása• Megértőviselkedés,nemcsupánegyhangatelefonban
4• Gyorsalkalmazkodásakialakultszituációhoz
42
![Page 43: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/43.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatkihasználásaamegszerzettbizalomraépül
• Olyaninformáció/eszközmegszerzése,amelynekbirtokábanatervezettcélmegvalósítatható• Jelszavak• Fizikaibejutáshozszükségeskód• Kulcs• Beléptetőkártya• Megszemélyesítéshezszükségesadatok
Cél:avégsőcéleléréshezszükségeseszközmegszerzése
43
![Page 44: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/44.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatkihasználásaamegszerzettbizalomraépül
• Illegálisbelépésarendszerbe(fizikai,logikai)• Manipulációelvégzése(adatmanipuláció,adathordozóeltulajdonításstb.)
• Dokumentumoklemásolása• Tranzakciómegvalósítás• Anyomokeltüntetése
Avégsőcélelérése,azeredményrealizálása
44
![Page 45: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/45.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tipikussocialengineeringtámadásiminták(1)
• Atámadótelefononpróbálolyaninformációkhozhozzájutni,melyeksegítenekatámadáscélpontjáulszolgálószeméllyelkapcsolatotépítenivagyatámadássoránkésőbb felhasználhatóaklesznek.
• Illetékeseknevei,elérhetőségei,azonosítói(esetlegjelszavai),munkaidő-beosztása,helyettesítőivagyhozzáférésimódokstb.
Direkttelefonosmegkeresés
• Acélzottlevélatámadáscélpontjáulszolgálószemélyrészére• Egyszerűkérdőívnekálcázottlevél:születésidátum,aházikedvencneve,autójatípusa,kedvenchírportálja(aholaztánafórumbanesetlegmegtalálható)
• Motivációakitöltésre:nyereménylehetőség,ajándék
Célzottlevél
• Azirodaihulladékánakátvizsgálása:belsőlevelezés,naptárbejegyzések,feljegyzések,szervezetiábrák
• Cél:acélszemélymunkahelyiéletébetörténőminélmélyebbbelátás• Akésőbbitámadássoránazadottkörnyezetben történőeligazodás
DumpsterDiving (kuka-átvizsgálás)
45
![Page 46: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/46.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tipikussocialengineeringtámadásiminták(2)
• Alkalmazásáhozfizikailagacélszemélyközelébekellkerülni• Példáulegyolcsóajándékkikézbesítésesorán(karácsonyiajándékazügyfélvezetőjének)
• Akárdokumentumok, eszközök, jelszavakbirtokábaislehetígyjutni
ShoulderSurfing
(„vállszörf”)
• EgyigazimunkatársnevébentörténőtelefonaServiceDesknek,hogyelfelejtetteajelszavátéskéri,hogyadjanaknekiegyújat
Megszemélye-sítés
• Atámadómegszerziegyfontosembernevétésbeosztását,majdfelhívjaacélszemélyt,hogyFontosEmber(vezető)kéréséreazonnaladjákodaakövetkező adatokat
• Amódszerkülönösen akkorhatékonyhaFontosEmberéppenszabadságonvan
FontosEmber
46
![Page 47: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/47.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tipikussocialengineeringtámadásiminták(3)
• AServiceDesk nevébenegymunkatársfelhívása,hogyazonnal(pl.későeste)bekelljönnieésbekelljelentkeznie,egyébkéntkieséskövetkezikbe.Alternatívmegoldáskéntmegadhatjafelhasználónevétésajelszavát…?
• AServiceDesk nevébenegymunkatársfelhívásaéstesztretörténőhivatkozássalajelszóelkérése
MivagyunkaHelp-Desk
47
![Page 48: Adat és Információvédelmi Mesteriskola 30 MB · Adat és Információvédelmi Mesteriskola Tartalom • Biztonsági szervezet és működés • Titokvédelem és iratkezelés](https://reader033.fdocuments.net/reader033/viewer/2022041722/5e4f687e8a116a7614752aaf/html5/thumbnails/48.jpg)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.08.22. 48
Köszönöm a figyelmet!