Biztonságos szolgáltatást hozz létre, amely védi a felhasználók adatait

Következő útmutató
 

Bevezetés

A 9. irányelv kiemelkedő fontosságú a szolgáltatók és a felhasználók számára, az egyre inkább növekvő számú kibertámadások és adatlopások korában. A megfelelő biztonsági intézkedések bevezetésének időben való megkezdése, azok fenntartása és folyamatossága egyrészt rengeteg kellemetlenségtől és komoly anyagi károktól védheti meg a szolgáltatót, másrészt hozzájárul a felhasználók biztonságához, illetve bizalmához.

A felhasználók szempontjából nézve az új technológiák, a közösségi funkciók robbanásszerű térnyelésével egy-egy új digitális szolgáltatás igénybevételekor természetessé vált olyan személyes adatok kezelése, melynek célhoz kötöttsége, védelme kiemelt fontosságú szempontnak kell lennie a digitális szolgáltatások fejlesztése során.

Magyarországon végzett információbiztonsági felmérések és kutatások alapján, a 2010-es években a biztonság megteremtésének fontosságát felismerték a hazai szervezetek és megkezdődött az elmúlt években a hazai szabályozók kialakítása jogszabályi szinten, a szakmai irányítás és felügyelet intézményrendszerének kialakítása, valamint a szakemberek képzése is, de még mindig rengeteg kérdés övezi ezt a területet.

A továbbiakban igyekszünk, hogy bemutassuk a digitális szolgáltatások tervezése és magvalósítása során szükséges legfontosabb biztonsági intézkedéseket, teendőket, amelyekkel erősíthető a szolgáltatók és állampolgárok közötti bizalom, emellett csökkenthetőek, adott esetben teljesen elkerülhetőek a digitális támadások.

 

Mit jelent a biztonság a digitális szolgáltatások esetében?

  • Fogalmak: adatbiztonság / informatikai biztonság / információs biztonság / adatvédelem

Az életünk több területén használjuk azt a fogalmat, hogy „biztonság". (Elsősorban legtöbbünknek a fizikai, illetve anyagi biztonság jut eszünkbe.) A biztonságot azonban nem egy állandó állapot, számos veszély fenyegetheti, így törekedni kell ezen veszélyek megelőzésére, bekövetkezésük esetén a kezelésükre.

Kiindulásként szükséges tisztázni néhány alapfogalmat, amelyek értelmezése olykor még a legszakavatottabbaknak sem egyértelmű:

Adatbiztonság: a számítógépes rendszerekben tárolt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának megteremtését jelenti.

Informatikai biztonság: Az információrendszerekben tárolt adatok és a feldolgozáshoz használt hardveres és szoftveres erőforrások biztonságára vonatkozik.

Információ-biztonság: Tények, utasítások, elképzelések emberi vagy gépi úton formalizált továbbítási, feldolgozási vagy tárolási célú reprezentánsai bizalmasságának, sértetlenségének és rendelkezésre állásának megteremtését jelenti.

Fontos különbséget tenni az adatvédelem és fent említett adatbiztonság vagy információbiztonság között.

Amíg az adatvédelem elsősorban a jogszabályokban használt fogalom és a személyes adat megfelelő, jogszabály által előírt kezelését értjük alatta, addig az adat- vagy információbiztonság azon biztonsági kontrollok összességét jelenti, amelyben az adatok és információk bizalmassága, sértetlensége és rendelkezésre állása biztosított.

Az Európai Unió korán felismerte a személyes adatok kezelésének fontosságát, és az uniós egységes szabályrendszer előnyeit, ezért 1995-ben létrehozta az Európai Parlament és a Tanács 95/46/EK irányelvét (Európai Adatvédelmi Irányelv), majd Az Európai Parlament és a Tanács (EU) 2016/679 rendelete is hatályba lépett, amelyet 2018. május 25-től kell alkalmazni. Ezen rendeletre az angol rövidítéssel GDPR (General Data Protection Regulation) szoktak hivatkozni, amely az elmúlt években mindenki számára ismert fogalommá válhatott.

A GDPR kimondja: „A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog." A GDPR ezen felül - részben összhangban a hatályos magyar szabályozással – rendelkezik a személyes adatok kezeléséről, feldolgozásáról, valamint meghatározza az egyes adatkezelésben résztvevők jogait és kötelességeit.

A GDPR rendelet célja volt az is, hogy az EU állampolgárainak a személyes adatainak kezelését a szervezetek komolyabban vegyék.

  • Magyarországi szabályozás és intézményrendszer (NEIH, NKI, NAIH)

Az alábbi fejezetben a legfontosabb hazai jogszabályokat és intézményeket mutatjuk be.

A közszféra jelentős része számára kötelező a költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. (XII. 31.) Korm. rendelet (továbbiakban: Bkr.), az államháztartásról szóló 2011. évi CXCV törvény (a továbbiakban: Áht.) előírásainak megfelelően belső ellenőrzési rendszert működtetni abból a célból, hogy a szervezet vezetője számára bizonyosságot nyújtson az általa kiépített és működtetett belső kontrollrendszerek megfelelőségét illetően. (Későbbi 9.5.1. pontban részletezve)

https://www.naih.hu/GDPR/GDPR_HU_korregendumokkal.pdf

Nagy áttörést hozott 2013-ban Magyarország Kiberbiztonsági Stratégiája , amely elsődleges célként rögzítette a kibertérben jelentkező és a kibertérből érkező fenyegetés, és az ezzel járó kockázatok kezelését, és az ehhez szükséges kormányzati koordináció és eszköztár erősítését a megelőzésre épülő hatékony védelmi intézkedéseken keresztül.

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) és végrehajtási rendeletei (továbbiakban: Vhr.) azért érdemelnek kiemelést, mert 2013-ban felállította a szükséges intézményrendszert a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága alapfeltételei megteremtéséhez.

A Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: NEIH) fő feladataként felügyeli a költségvetési szervek információtechnológiai, adatkezelő- és feldolgozó tevékenységét, és az információbiztonsági követelmények teljesülését. Ezek mellett engedélyezi az érintett szervezetek által az Európai Unió tagállamaiban történő elektronikus információs rendszer üzemeltetését, ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs rendszer üzemeltetést.

A Nemzeti Kibervédelmi Intézet (NKI) látja el Magyarországon a hatósági, biztonságirányítási, sérülékenység-vizsgálati feladatokat (alapvetően) az állami és önkormányzati szervek vonatkozásában. Ezen komplex feladatkörének köszönhetően az Intézet az elektronikus információs rendszerek teljes információbiztonsági életciklusára vonatkozóan rendelkezik feladatkörrel, továbbá nyomon tudja követni és segíteni tudja azok alakulását, beleértve a tervezést, a szabályozást, az ellenőrzést, valamint az incidenskezelést egyaránt. Célja, hogy előmozdítsa a kormányzati szektor elektronikus informatikai rendszerei biztonsági szintjének emelését, valamint, hogy fejlessze a közigazgatásban dolgozó felhasználók biztonságtudatos viselkedését a kibertérben. A nemzetközi és hazai partnerkapcsolatai révén az NKI hozzájárul a teljes magyar kibertér biztonságának erősítéséhez.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése, továbbá a személyes adatok Európai Unión belüli szabad áramlásának elősegítése. A Hatóság ellátja továbbá az Európai Unió kötelező jogi aktusaiban, így különösen a már korábban említett GDPR rendeletben a tagállami felügyeleti hatóság részére megállapított, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (Infotv.) meghatározott egyéb feladatokat az ott meghatározottak szerint. A NAIH oldalán közzéteszi határozatait, végzéseit, amelyek hasznos tatalomként szolgál a Szolgáltatók számára.

https://2010-2014.kormany.hu/download/b/b6/21000/Magyarorszag_Nemzeti_Kiberbiztonsagi_Strategiaja.pdf

 

Hogyan tervezzünk biztonságos szolgáltatást?

  • A biztonságot szolgáló legfontosabb tervezési elvek

A technológiai fejlődés, a szigorodó jogszabályok és a DISZK is mind abba az irányba szeretnék terelni a szolgáltatókat, hogy kiemeltebb figyelmet fordítsanak a biztonságra, és megteremtsék a (digitális) szolgáltatásaik iránti bizalmat. A teljesség igénye nélkül a továbbiakban olyan kiinduló alapelveket mutatunk be, amelyek figyelembevétele segítheti ennek megvalósulását.

Alapelv Magyarázat
Biztonság „természetesen” A biztonság integrált része kell legyen minden munkafázisnak, folyamatnak, tervezésnek, telepítési és üzemeltetési lépésnek egy szolgáltatás teljes életciklusán át. A biztonságot a tervezés első pillanatától figyelembe kell venni.
Biztonság, mint alapértelmezett beállítás Az alapértelmezett beállítás a tiltás legyen, majd a szükséges és elégséges mértékben kell az engedélyeket megadni a szolgáltatás futásához. Fordítva nem elfogadható – egy alapértelmezetten nyitott rendszer nem tekinthető a későbbiekben biztonságosnak, függetlenül az utólagos kontrollok bevezetésétől.
Nyitott dizájn A védelmi mechanizmusok technikai megvalósítását azzal a feltételezéssel kell tervezni, hogy az esetleges támadó tisztában van a védelmi rendszer felépítésével és konfigurációjával, és annak még így is biztosítani kell az elvárt funkcióját. A „biztonságos mert titkos” feltételezés alapú tervezést minden esetben kerülni kell.
Privilégiumok minimalizálása Minden felhasználó, alkalmazás vagy rendszerkomponens csak annyi információhoz férhessen hozzá, amennyi a legális funkciója betöltéséhez feltétlenül szükséges.
A jogosultságok szeparálása A jogosultságokat úgy kell felosztani a kockázatok minimalizálása érdekében, hogy egyetlen személy ne legyen képes egyedül kiiktatni védelmi mechanizmusokat, vagy jelentős mértékben megszegni biztonsági előírásokat.
Nyomon követhetőség A biztonsági eseményeknek és tevékenységeknek naplózottnak, és személyhez köthetőnek kell lenniük. Az alkalmazásoknak és rendszerelemeknek az általuk kezelt adatok bizalmasságával arányos részletességű audit információt kell előállítaniuk, és ezt a sérthetetlenség biztosítása mellett továbbítani kell az erre szolgáló, technikailag független gyűjtő és elemző eszközbe.
Teljes felügyelet Bármely rendszer-objektumhoz minden hozzáférés indokoltságát ellenőrizni és technikailag betartatni szükséges (személy beazonosítása, beléptetés, jogosultság ellenőrzése).
Moduláris felépítés Lazán csatolt moduláris kialakítás előnyben részesítése az architektúra minden szintjén. A csatlakozó felületeknél a kommunikáció biztonsággal védhető legyen (egyszerű, szabványos).
Sztenderdizálás (Részletek a 11. irányelvhez kapcsolódó útmutatóban) A rendszerelemeket – amennyiben elérhető – releváns ipari sztenderdeknek megfelelően kell tervezni. Ennek hiányában belső sztenderdekkel kell támogatni az újra-felhasználhatóságot. Ezzel az architektúrális és anyagi előnyök mellett biztosítható, hogy a már kialakított védelmi mechanizmusok az új komponenseket is megfelelő szinten védik.
  • Kockázatmenedzsment

A szolgáltatók életében a kockázatoknak kritikus szerepe van. Minden üzleti döntés során figyelembe kell vennünk az azzal együtt járó kockázatokat és a lehetséges hasznokat is. Az informatikai kockázatokat gyakran hagyják figyelmen kívül, ami a későbbiekben számos esetben okoz problémákat.

A kockázatmenedzsment területe a kockázatok felméréséből, értékeléséből és kezeléséből áll.

A kockázatok értékelése történhet kvalitatív és kvantitatív módon is, lényege egy olyan rangsor felállítása, amely a lehetséges veszély nagysága alapján épül fel. Kvantitatív értékelés esetén pontosan megmondható, hogy egy adott kockázat bekövetkezése milyen hatást eredményez (kihatás mértéke), például hogy 1 napos szolgáltatás leállás mekkora anyagi kárt okoz a vállalatnak. Kvalitatív módszer esetében gyakran alkalmazott eszköz a szakértői becslés vagy kategóriák definiálása. Ilyen az értékelésben gyakran alkalmazott módszer a kockázati mátrix, amely a kockázatokat az előfordulásuk valószínűsége és a kockázati hatás nagysága alapján osztja be.

A kockázatmenedzselésről és annak információbiztonsági kérdéseiről ajánljuk az alábbi cikket:

https://infobiz.hu/images/Publikaciok/Minsg_s_Megbzhatsg_2016-3_cikk_HZs-IT_kockzatmenedzsment.pdf

  • Biztonsági osztályba sorolás

Mindenekelőtt tisztázni szükséges az adatgazda fogalmát.

Adatgazdának azt a vezetője által felhatalmazott munkatársat tekintjük, aki jogosult az információs rendszerben kezelt adatok minősítésére, és biztonsági osztályba sorolására.

A biztonsági osztályba sorolás olyan értékelési tevékenység, amely során a kockázat mértékét, az adatok értékét, az adatok kezelésének módját, körülményeit, a védelem eszközeit figyelembe véve meghatározásra kerül a védelmi szint.

A közigazgatás keretén belül a védelmi szinteket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet határozza meg.

A védelmi intézkedéseket annak megfelelően kell meghatározni, hogy az azokban tárolt, feldolgozott vagy közvetített adatokat milyen biztonsági osztályba sorolták az adatgazdák.

A biztonsági osztályba sorolás során meghatározzák, hogy milyen kategóriába (pl. alacsony, fokozott, kiemelt) kerülnek bizalmasság, sértetlenség, és rendelkezésre állás szempontjából.

A biztonsági osztályba sorolásról részletesen a rendeletből, a technikai menetéről az NKI oldaláról javasoljuk a tájékozódást:

https://nki.gov.hu/hatosag/tartalom/ugyfajtak/biztonsagi-osztalyba-sorolas-megfelelosegenek-ellenorzese/

  • Adatvédelmi szempontú tervezés

A tervezés során már szem előtt kell tartanunk azokat az alapelveket, amelyekkel az adatok biztonsága és a követelményeknek való megfelelés biztosítható. Fontos, hogy az adatvédelemi megfelelés minél korábban szempont legyen a fejlesztések során.

Ami nehézséget okozhat, ebből kifolyólag érdemes minél korábban tisztázni, az a felek közötti viszonyrendszer a szolgáltató-fejlesztő kapcsolatban.

Ki lesz adatkezelő? Ki lesz adatfeldolgozó? Esetlegesen közös adatkezelésről van szó? Sok szempontot érdemes megvizsgálni, ami persze attól is függ, hogy a fejlesztő szervezet által vállaltak mire terjednek ki. (Pl., hogy lesz-e később üzemeltetési feladat vagy távoli hozzáférés)

Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelési rendelet követelményeinek való megfelelésében és az érintettek jogainak védelmének biztosításában.

Érdemes design oldalról is megvizsgálni az adatvédelmi szempontokat. Az elkészült megoldások (adatkezelési tájékoztató elérhetősége, chekboxok, tájékoztató szövegek) erősen befolyásolják a felhasználói élményt és szorosan kapcsolódnak az adatkezeléssel érintettek jogainak gyakorlásához, valamint az átláthatósághoz kapcsolódó alapelvhez.

Akiről még beszélni szükséges, az az adatvédelmi tisztviselő.

Az adatvédelmi tisztviselő segíti az adatkezelőt vagy az adatfeldolgozót a személyes adatok védelmével kapcsolatos kérdésekben. Az adatvédelemi tisztviselő bevonása minden esetben, már a tervezési szakaszban javasolt, a 7. irányelvben foglaltak figyelembevételével.

Az adatvédelem kapcsán egyébként évről-évre egyre több anyag olvasható, kifejezetten hasznos anyagok találhatóak a következő blogon:

https://gdpr.blog.hu/

  • Jogosultságkezelés

Kulcsfontosságú az, hogy kik azok a személyek, akik hozzáférhetnek majd az adott rendszerhez. A megfelelően kialakított jogosultsági rendszer és annak fenntartása, nyomon követése, az egyik alapja a biztonság növelésének. A jogosultsági rendszer kialakítására már a tervezési szakaszban érdemes nagy hangsúlyt fektetni.

A megfelelően beállított jogosultságok biztosítják, hogy a felhasználók csak azokhoz a funkciókhoz és erőforrásokhoz férjenek hozzá, amelyekre valóban szükségük van. Ez a biztonság és a felhasználók adatainak védelme szempontjából is kiemelten fontos.

Az engedélyek lehetővé teszik a felhasználói jogok hierarchikus kezelését is. Ez azt jelenti, hogy különböző szintű jogosultságokat lehet adni a felhasználóknak, például rendszergazdák, felhasználók vagy betekintők szintjéhez tartozva. Egy jól felépített hierarchikus rendszerben minden felhasználó a saját jogosultsága alapján célhoz kötötten fér hozzá adatokhoz.

Az alábbi 2 alapelv adhat kiindulást a megfelelő jogosultságrendszer kialakításához:

1. Feladatok szétválasztása (Separation of Duties)

A kiindulás az, hogy egy folyamat különböző lépéseit más-más személyek végezzék el. Kerülni kell, hogy ugyanaz a személy egy teljes folyamatot ellenőrizzen.

2. Legkevesebb jogosultság (Least Privilege)

Ezen elv alapján a rendszer a felhasználók hozzáférését csak a legszükségesebbekre korlátozza. Ehhez meg kell határozni a felhasználók munkájához, feladatköréhez szükséges jogosultságok minimális halmazát, és a hozzáférés erre kell, hogy kiterjedjen.

 

A digitális szolgáltatás fejlesztésének szakasza

  • Azonosítás, hitelesítés

A biztonságot szolgálja és erősíti a felhasználók megfelelő azonosítását és hitelesítését megvalósító módszer alkalmazása.

Az azonosítás tulajdonképpen egy entitás egyedi azonosítóval való ellátásának folyamata. Alapfeltétel, hogy minden eseményt egy egyedi entitáshoz tudjunk kötni. Az azonosításnak biztonságos és dokumentált folyamatnak kell lennie. Az azonosító nem utalhat az entitás funkciójára (például a beosztásra). Egy azonosító nem osztható meg több entitás között. Az azonosító ellenőrzése egyszerű folyamat kell, hogy legyen.

A hitelesítés az a folyamat, mely arra szolgál, hogy az entitás bizonyítsa az önmagáról állítottak valódiságát. A felhasználó bemutatja a rendszernek az azonosítóját, amit a rendszer hitelesít, mielőtt engedné hozzáférni a rendszerhez.

A hitelesítési eljárásnak három típusa ismert:

–– Tudásalapú (jelszó),

–– Tulajdonalapú (tokenek, mobiltelefonra érkező kód),

–– Tulajdonságalapú (ujjlenyomat, írisz).

A leggyakoribb hitelesítési mód a jelszó használat. A jelszó használata, mint egyedüli bejelentkezési/hitelesítő mód, egyre kevésbé elegendő, érdemes a kockázatokkal arányos, többszintű hitelesítési módot választani.

  • Naplózás

A biztonság megteremtésének kulcsfontosságú tényezője, hogy ki kezeli és hogyan használja a rendszereket. Felkészült szolgáltatóként olyan megoldásokat érdemes alkalmaznunk, amivel részletes tevékenységnaplót készíthetünk, és lehetővé teszi az adatok elemzését.

A naplózás bevezetésével és a naplófájlok segítségével egyszerűbben megtalálhatjuk és azonosíthatjuk a fellépő hibákat. A naplók segítségével követhetjük az események sorrendjét, és rögzíthetjük azokat a pontokat, amelyek ismeretében gyorsabban és hatékonyabban javíthatjuk a problémákat.

A naplózás lehetővé teszi a rendszer teljesítményének figyelését. Nyomon követhetővé válik a rendszer terhelése, a válaszidők. Ez lehetővé teszi, hogy időben észlelhetővé és kezelhetővé váljon a teljesítménycsökkenés.

A naplózás segít az incidensek, támadások vagy biztonsági fenyegetések nyomon követésében és megelőzésében. A naplófájlok lehetővé teszik a tevékenységek ellenőrzését és nyomkövetését, amelyek segítségével azonosíthatjuk a potenciális kockázatokat és érzékeny adatokhoz való illetéktelen hozzáféréseket.

A naplófájlokban tárolt adatok értékes információkat tartalmazhatnak az üzleti folyamatokról és az ügyfelek viselkedéséről. A naplófájlok elősegítik a megfelelőség ellenőrzését és a jogi követelményeknek való megfelelést.

  • Penetrációs tesztelés és sérülékenység vizsgálat

Biztonságos szolgáltatás nem jöhet létre a megfelelő biztonsági vizsgálatok lefolytatása nélkül. Több vizsgálati módszer is létezik, ezek a közül a leggyakoribbak a penetrációs tesztelés (behatolás-tesztelésnek is hívják a szakirodalomban) és a sérülékenység vizsgálat.

A penetrációs tesztelés során egy támadó képességeivel felvértezett külső vagy belső ember támadást szimulál a rendszer ellen, akár nulla, akár részleges vagy teljes rendszerismerettel rendelkezve.

A penetrációs tesztelési folyamat a helytelen rendszerkonfiguráció, az ismert és ismeretlen hardver- vagy szoftverhibák, valamint a technológiai ellenintézkedések működési hiányosságai miatt fellépő esetleges sérülékenységek ellen irányuló tevékenység.

Ez egy hatékony megoldás a sérülékenységek felderítésére és a védelmi szintünk felmérésére. A tesztelésbe csak megfelelő felhatalmazással és gondos tervezéssel, különböző módszertanok alapján szabad belekezdeni.

A sérülékenység-vizsgálat a rendszer védelmi kontrolljainál előforduló sebezhetőségek felderítését jelenti tipikusan automatikus eszközökkel. A sérülékeny vizsgálatot általában a minimális biztonsági szint érvényesítésére használják és legtöbbször egy komolyabb penetrációs tesztet előz meg.

A 271/2018. kormányrendelet alapján állami-, önkormányzati, vagy nemzetbiztonsági védelem alá eső szervezetek részére (2009/2015. (XII. 29.) Korm. határozat) sérülékenységvizsgálatot kizárólag az NKI végezhet. Ezzel kapcsolatosan további részletek itt olvashatóak:

https://nki.gov.hu/szolgaltatasok/tartalom/serulekenysegvizsgalat/

A biztonsági vizsgálatokat nem csak a tesztelés fázisában, hanem az éles rendszeren is szükséges meghatározott időközönként lefolytatni.

 

Hosszútávú intézkedések a biztonság fenntartása céljából

  • Belső kontroll és belső ellenőrzés (370/2011. (XII. 31.) Korm. rendelet)

A belső kontroll és belső ellenőrzés rendszerét a költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. Kormányrendelet határozza meg. Attól függetlenül, hogy a rendelet a költségvetési szervekre terjed ki, a belső kontroll és belső ellenőrzés rendszerét javasolt figyelembe vennünk és alkalmaznunk, tekintettel arra, hogy előremutató gyakorlatokat tartalmaz.

A belső kontrollrendszer kialakítása során több védelmi intézkedés kombinációjaként alakítják ki a biztonsági szakemberek azt az összetett kontroll rendszert, amely a felső vezetés által felvállalt kockázat vállalási szintnek megfelelő védelmet biztosítja.

A belső kontrollrendszerben részt vevő szervezeti funkciók feladatait pontosan meg kell határozni, és külön kell választani. Az információbiztonság szempontjából például a szabályozási feladat a biztonsági területéhez tartozhat, az üzemeltetési tevékenység az informatikai üzemeltetés feladatkörébe, az üzemeltetés biztonságának felügyelete szintén a biztonsági terület feladata, a szabályszerűség és eredményesség vizsgálata a belső ellenőrzés feladatkörébe tartozik.

A belső ellenőrzés az ellenőrzés és az arról szóló jelentés irányultságában egy belső, bizonyosságot adó és tanácsadó, nem hatósági jellegű tevékenység. A belső ellenőrzés a felelős szervezetirányítás egyik legfontosabb elemeként működik. Az eredményesség és hatékonyság növelésével segíti a szervezet életét.

  • Incidenskezelés, bejelentések rendszerének kialakítása

Ahogy az irányelvben is olvasható, elengedhetetlen, hogy kidolgozásra kerüljön a megfelelő kockázatkezelés és -menedzselés rendszere az adatvédelmi és információbiztonsági incidensek megelőzése, és az esetleg már bekövetkezett incidensek szakszerű kezelése érdekében.

Érdemes mindenekelőtt tisztázni mit is értünk incidens alatt? Az informatikai rendszer védelmi állapotában beállt illetéktelen, negatív változás, amelynek hatására az informatikai rendszerben kezelt információ bizalmassága, sértetlensége, funkcionalitása, rendelkezésre állása vagy akár hitelessége megsérül, vagy a sérülésük kockázata megnő.

Ilyen esemény lehet többek-között adathalászok támadása, vagy akár egy rövid áramszünet is, amely beláthatatlan károkat okozhat.

Természetesen az incidensek megfelelő és hatékony kezelését meg kell, hogy előzze az incidensek bejelentése. Ebből kifolyólag, a felhasználok feladata, hogy időben jelentsék be az általuk tapasztalt, a szokásostól eltérő működést, illetve működés megszakadását. A felhasználók minden szempontból fontos szerepet töltenek be az incidenskezelést végző csapatok számára, hiszen ők az elsők, akik általában valamilyen incidens jelével találkoznak.

Szolgáltatóként ezt azzal tudjuk segíteni, ahogy az adatvédelmi megfelelés esetében is, hogy átlátható módon teremtjük meg a bejelentések módját (egyértelmű bejelentési mód, megfelelő csatorna megválasztása.)

Minden esetben szükséges belső szabályzatokban definiálni (pl. IT Biztonsági Szabályzat, Katasztrófa Terv) az informatikai üzemeltetési és informatikai biztonsági feladatokat és az azokhoz kapcsolódó felelősöket, le kell írni a vonatkozó folyamatokat és eljárási lépéseket.

Az alábbiak alapján szükséges kidolgozni az incidensek kezelésének menetét:

  • Azonosítsuk az incidenskezelési célját és hatáskörét: Határozzuk meg, hogy milyen típusú incidensek relevánsak, és mely részlegek vagy személyek felelősek az incidensek kezeléséért.
  • Azonosítsuk az incidensek típusait: Vizsgáljuk meg a korábbi incidensek milyenségét és az iparágban gyakran előforduló hasonló rendszerek kapcsán felmerülő problémákat.
  • Részletesen tárgyaljunk minden incidens típusról: Azonosítsuk a lehetséges kiváltó okokat, hatásokat és lehetséges megoldási stratégiákat az egyes incidens típusokra vonatkozóan.
  • Határozzunk meg egyértelmű és részletes incidenskezelési folyamatokat: Hozzunk létre egy lépésről lépésre történő útmutatót az incidensek kezelésére. Határozzuk meg, hogy ki a felelős az incidens bejelentéséért, hogyan történik az incidens felmérése, ki vesz részt a probléma megoldásában, és hogyan történik az incidens dokumentálása.
  • Határozzunk meg kommunikációs stratégiákat: Ahogy fentebb már szóltunk róla, elengedhetetlen, hogy azonosítsuk az incidensekről való tájékoztatás módjait és a kommunikációs csatornákat. Dönteni kell, hogy hogyan értesítjük a felhasználólat az incidensről, és hogyan tartjuk őket naprakészen az incidenskezelési folyamatokról.
  • Képezzük ki a személyzetet: Biztosítsuk, hogy minden érintett munkavállalórendelkezzen a megfelelő képzettséggel és ismeretekkel az incidenskezelési folyamatok végrehajtásához. Képezd ki őket az incidensbejelentés, az értékelés, a kommunikáció és az incidensmegoldás terén.
  • Tartsuk naprakészen az incidenskezeléshez kapcsolódó dokumentumainkat és teszteljük folyamatosan az ismert incidenseket: Frissítsük a dokumentumokat, szabályzatokat amint változások történnek az üzleti folyamatokban, az infrastruktúrában. Biztosítsuk, hogy minden érintett személy és részleg rendelkezzen a legfrissebb verzióval. Rendszeresen teszteljük az incidenskezelési tervet szimulált incidensekkel, és javítsuk az esetleges hiányosságokat.
  • A biztonsági kultúra erősítése

A biztonságtudatosságra külső (pl. jogszabályok, szabványok, politikai hatások, piaci hatások, természeti hatások, egyének környezete) és belső tényezők (pl.: szabályzatok, a közvetlen vezetés utasításai, humánpolitika, az ellenőrzés) egyaránt hatással vannak.

Azért fontos a vállalati kultúra részévé tenni a biztonságot, mert a szervezeti kultúra befolyásolja az egyének hovatartozás tudatát, helyzetét, szerepét. Tehát a biztonsági kultúra, és a szintjének fenntartása vagy emelése önmagában is az egyik legfontosabb védelmi intézkedésnek minősül.

A biztonságtudatosság megjelenhet vállalati szokásokban (pl. minden értekezlet után a fali táblát letöröljük), a belső kommunikációban használt nyelvezetben, és szimbólumok alkalmazásában.

A biztonságtudatosság hiányában előfordulhat, hogy nem ismerjük fel megfelelően a rendkívüli biztonsági eseményeket, és nem leszünk képesek felmérni azok következményeit. Ez a kötelező és vállalt feladatok ellátását is veszélyeztetheti.

A teljesség igénye nélkül néhány tipp, amivel erősíthetjük a biztonsági kultúrát:

  • a (biztonsági) problémákat ne hagyjuk figyelmen kívül,
  • komplexitásában igyekezzük megoldani a problémát,
  • a biztonsági rendszerek karbantartása folyamatos legyen,
  • szervezzünk oktatásokat, a munkatársaknak, tájékoztassuk őket a munkakörükből adódó esetleges veszélyekről (pl. vezetői szinten jó megoldás lehet a biztonságra vonatkozó ismeretekről beszélni egy vezetői értekezletek napirendi pontjaként),
  • nem elhanyagolható az emberi tényező, fordítsunk figyelmet a munkatársak megfelelő kiválasztására, felkészítésére és motiválásárára, szankcionálására,
  • a szervezet belső kommunikációs csatornáin, belső hírlevelekben rendszeresen hívjuk fel a kollégák figyelmét a legaktuálisabb biztonsági kockázatokra, adjunk tippet, mire érdemes odafigyelni, hogyan érdemes elkerülni ezeket a kockázatokat