ISO/IEC 27001:2014

AZ MSZ ISO/IEC 27001:2014 INFORMÁCIÓBIZTONSÁGI IRÁNYÍTÁSI
SZABVÁNY KÖVETELMÉNYEK SZERINTI IRÁNYÍTÁSI RENDSZER
KIÉPÍTÉSE, BEVEZETÉSE ÉS TANÚSÍTTATÁSA

Az információbiztonsági irányítási rendszer felkészíti és alkalmassá teszi az adott szervezetet, hogy hatékonyan megvédhesse adatait és információit, továbbá lehetővé teszi számára, hogy a nemzetközileg elismert szabvány követelményeinek való megfelelőségüket igazolja, alátámasztva ezt egy független, akkreditált tanúsító testület tanúsításával is.
Az információbiztonsági irányítási rendszer célja, hogy az üzleti igényeknek és elvárásoknak megfelelő minőségű szolgáltatás nyújtás biztosítása és fejlesztése az információbiztonság megteremtésével; az információk sérthetetlenségének, hitelességének megőrzésével, rendelkezésre állásának biztosításával, valamint az üzletmenet folytonosság biztosításával.

A nemzetközi, az Európai Unió és a jövőben követendő magyarországi gyakorlat szerint egy szervezet információbiztonsági irányítási rendszerét az MSZ ISO/IEC 27001:2014 információbiztonsági irányítási rendszerszabványban foglalt követelmények szerint célszerű kiépíteni.

Az információbiztonság alkalmazandó védelmi intézkedései, főbb szabályozandó területei:

Előnyei:

A szervezet információbiztonsági irányítási rendszere kiépítésének lépései az alábbiak:

INFORMÁCIÓBIZTONSÁGI SZERVEZET ÁTVILÁGÍTÁS

Magyarország társadalmi, gazdasági fejlődésének eredményeként a nemzetgazdaság, a közigazgatás valamennyi területén meghatározóvá vált az informatika eszközök és rendszerek megléte és működése. Informatikai eszközökkel és rendszerekkel keletkeztetjük, dolgozzuk fel, továbbítjuk és fogadjuk, rendezzük és őrizzük adatainkat és információinkat, melyek nélkül már elképzelhetetlenek lennének mindennapi tevékenységeink.

Az adatok, információk bizalmassága, hitelessége, sérthetetlensége, reprodukálhatósága minden szervezet számára kulcskérdés szakmai és gazdasági szempontból is elsőrendű feladat az adatok és az információk védelme, az adatkezelő rendszerek funkcionalitásának és rendelkezésre állásának folyamatos biztosítása.

A fentiek érdekében első lépésként meg kell vizsgálni a szervezet, az alkalmazott eszközök és rendszerek információvédelmi állapotát. Ezen információvédelmi szervezet átvilágítást a nemzetközileg elfogadott, az Európai Unió országaiban széleskörűen alkalmazott MSZ ISO/IEC 27001:2014 információbiztonsági irányítási szabványban rögzített követelmények alapján célszerű lefolytatni.

Az átvilágítás főbb területei:

Az átvilágítás eredménye az alábbi szakmai fejezetek szerint kerül összefoglalásra:

Az MSZ ISO/IEC 27001:2014 információbiztonsági irányítási szabvány követelményei alapján történő átvilágítás egyértelműen rögzíti a szervezet aktuális információbiztonsági helyzetét, feltárja az eltéréseket a rendszer szabvány követelményeihez, elvárásaihoz képest. Az információbiztonsági irányítási szabvány szerinti átvilágítás eredményéről készülő jelentés rögzíti a hiányosságokat, felsorolja mindazokat a tennivalókat, amelyek a szabvány követelményeinek történő megfeleléshez szükségesek és ajánlásokat is tartalmaz az információbiztonsági irányítási rendszer további fejlesztésére és kiépítésére vonatkozólag.

ELEKTRONIKUS KÖZSZOLGÁLTATÁSOK INFORMÁCIÓBIZTONSÁGA

A 2013. évi L. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény alapján kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Mindezekre tekintettel az elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell:

Az elektronikus információs rendszernek meghatározott feltételeknek megfelelő védelme körében a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják:

Bejelentési kötelezettségek: A 2013. évi L. törvény 26. § (3) alapján A szervezet a 15. § (1) bekezdés a) és c) pontjában foglalt adatokat az e törvény hatálybalépésétől számított 60 napon belül, nyilvántartásba vétel céljából köteles volt bejelenteni a hatóságnak. - az NFM alá tartozó Nemzeti Elektronikus Információbiztonsági Hatóságnak

  1. § (1) A hatóság nyilvántartja és kezeli a szervezet azonosításához szükséges adatokat,
a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, a 13. § (8) bekezdésében meghatározott végzettségét. a 15. § (1) bekezdés d) pontjában foglalt szabályzatot az e törvény hatálybalépésétől számított 90 napon belül nyilvántartásba vétel céljából köteles bejelenteni a hatóságnak.
  2. § (1) bekezdés A hatóság nyilvántartja és kezeli d) a szervezet informatikai biztonsági szabályzatát.

Kiadták továbbá a 41/2015. (VII. 15.) BM rendeletet az állami és önkormányzati szervek, elektronikus rendszereinek, kezelt és tárolt adatainak biztonsági osztályba és biztonsági szintbe sorolás követelményeiről. Ez írja elő a biztonsági osztályba sorolás szempontjait, kockázatelemzés követelményeit, az alkalmazandó védelmi intézkedéseket, ezek a következők:

INFORMATIKAI SZOLGÁLTATÁS IRÁNYÍTÁS

Napjainkra az informatikai rendszerek szinte minden vállalat számára elengedhetetlenül fontossá váltak. Ezek a rendszerek közel állandó felügyeletet igényelnek a folyamatos működés és a megfelelő működőképesség miatt. Az ISO/IEC 20000-1:2013 szabvány szerinti rendszerkiépítés strukturált és hatékony módszert biztosít a megbízható informatikai szolgáltatások igénybevételére. Amellett, hogy kihívást jelent, egyúttal biztonságot és lehetőséget is ad arra, hogy a vállalatok megóvják informatikai rendszereik működőképességét. A szabvány az alábbi témakörökkel foglalkozik:

Az egyértelműen meghatározott igények, folyamatok és felelősségi körök egyebek között lehetővé teszik az ISO 20000 tanúsítvánnyal rendelkező cégek számára, hogy:

Az ISO/IEC 20000 összekapcsolható az ISO/IEC 27001 szabvány szerinti tanúsítással
(az információbiztonság nemzetközi szabványával) is. A két irányítási rendszer integrált auditálásával időt és pénzt takaríthat meg.

További felvilágosítást adunk személyesen, telefonon, e-mail-en.

dr. Vadász István ügyvezető igazgató tel.: 06-30-9599-662

Kuti Anita vezető tanácsadó tel.: 06-30-347-1151

ADATVÉDELEM, KÖZÉRDEKŰ ADATOK KEZELÉSE

Jogi, jogszabályi háttér

Az adatvédelmi felelős feladatai:

Fontos tudnivalók:

A külsős (kiszervezett) adatvédelmi felelős:

Az adatvédelmi felelős pozíciót külsős adatvédelmi szakértő is betöltheti.
(Bárkit is választ a szervezet vezetője, fontos, hogy az adatvédelmi felelős naprakész ismeretekkel rendelkezzen a jogszabályi előírásokkal, alkalmazott legjobb gyakorlatokkal kapcsolatosan.)

A QSTAR Minőségfejlesztési Tanácsadó Kft. vállalja a szervezeteknél szükséges infotörvény által előírt adatvédelmi feladatok ellátását, adatvédelmi felelős pozíció ellátását külsős adatvédelmi szakértőként.

EGY GYAKORLATI PÉLDA:

KAMERÁS MEGFIGYELÉS ALKALMAZÁSA

A kamerák által készített és közvetített felvételek, - amennyiben azon a személyek felismerhetők, azonosíthatók - személyes adatokat tartalmaznak, ezért az ilyen berendezések működtetése adatkezelésnek minősül.

Kamerás megfigyelés megfelelő cél érdekében részletes tájékoztatáson alapuló
bejelentett adatkezelés. Az adatkezelést be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvántartásába.

A NAIH szankcionálási jogkörében 100.000 Ft-tól 10.000.000 Ft-ig terjedő bírságot szabhat ki.

További felvilágosítást adunk telefonon, postai úton, e-mailon, vagy személyesen:

dr. Vadász István ügyvezető igazgató tel.: 06-30-9599-662

Kuti Anita vezető tanácsadó tel.: 06-30-347-1151