| Telefon: +36 22 501 632

Seacon Europe Kft. | 8000 Székesfehérvár, Móricz Zs. u. 14.

Felkészülés egy auditra  ̶  a Sealog digitális nyomelemző rendszer audittámogató eszközként történő felhasználása

Tapasztaljuk, hogy nem egyszerű dolog az Ötvenes törvény hatálya alá tartozó szervezeteknek egy auditra történő felkészülés. Aki vett már részt akár egy kis, vagy esetleg egy kicsit nagyobb szervezet információrendszer-auditjának előkészítésében, valószínűleg egyetért velünk abban, hogy az előkészítő munka az informatikai rendszerekből az auditorok számára a szükséges adatok, információk kigyűjtésére önmagában IS hatalmas munkát jelent. Ennek a munkának a folyamatos, és hatékony elvégzését a Seacon Europe Sealog rendszere képes segíteni. Nézzük, hogyan!

Mielőtt a Sealog digitális nyomelemző rendszer alkalmazhatóságával foglalkoznánk, nézzük meg, hogy milyen jogi környezetben milyen üzleti igényt lehet/kell kiszolgálni:

A 41/2015. (VII. 15.) BM rendelet a biztonsági osztályokra vonatkozóan a következőket írja le:

Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg.

A szervezet információs rendszereinek biztonsági osztályba sorolása az érintett szervezet felelőssége. A következő felsorolás a döntéshez csak iránymutatást ad:

Az 1. biztonsági osztály esetében csak jelentéktelen káresemény következhet be, mivel

  • az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot;
  • nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható;
  • a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen;

A 2. biztonsági osztály esetében csekély káresemény következhet be, mivel

  • személyes adat sérülhet;
  • az érintett szervezet üzlet-, vagy ügymenete szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat vagy elektronikus információs rendszer sérülhet;
  • a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető;
  • a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át.

A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel

  • különleges személyes adat sérülhet, személyes adatok nagy mennyiségben sérülhetnek;
  • az érintett szervezet üzlet-, vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet;
  • a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek;
  • a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át.

A 4. biztonsági osztály esetében nagy káresemény következhet be, mivel

  • különleges személyes adat nagy mennyiségben sérülhet;
  • személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);
  • az érintett szervezet üzlet-, vagy ügymenete szempontjából nagy értékű, üzleti titkot, vagy különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;
  • a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni;
  • a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át.

Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel

  • különleges személyes adat kiemelten nagy mennyiségben sérülhet;
  • emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
  • a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
  • az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
  • a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
  • az érintett szervezet üzlet- vagy ügymenete szempontjából nagy értékű üzleti titkot, vagy kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen vagy jelentősen sérülhet;
  • a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át.

A 41/2015. (VII. 15.) BM rendelet a biztonsági szintekre vonatkozóan a következőket írja le (részletek):

  1. Az érintett szervezet biztonsági szintje 3., ha a szervezet vagy szervezeti egység a 2. szinthez rendelt jellemzőkön túl szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.
  2. Az érintett szervezet biztonsági szintje 4., ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet vagy fejleszt.

Egy, a 2013. évi L. törvény végrehajtási rendelete alapján folytatott biztonsági tanúsítás vizsgálati szakaszában az auditban részt vevő szakértők a következő megállapítást tették:

(az audit) „ … a vizsgált rendszerek túlnyomó többségénél olyan kritikus maradvány kockázatokat tárt fel, melyek alapján

  • mind a belső rendszerből (pl. egy rosszindulatú belső felhasználó által),
  • mind kívülről (pl. egy hacker által)

a rendszer a siker esélyével támadható volt: lehetőség volt a rendszer teljesítményének, rendelkezésre állásának lerontására, vagy bizalmas adatokhoz való hozzáférésre, módosításra.

A vizsgálatok az audit során a rendszerek pillanatnyi állapotát mutatták, a múltbeli eseményekre bizonyítékok valószínűleg nem álltak rendelkezésre.

Egyértelműen látszik, hogy az audit nem csak a folyamatos felügyeletre/monitoringra, hanem a működés során gyűjtött visszamenőleges bizonyítékokra is koncentrál. Ennek a feladatnak a teljesítésében képes támogatást nyújtani a Sealog digitális nyomelemző rendszer olvassa el esettanulmányunkat!

A Nemzeti Adatvédelmi és Információszabadság Hatóság a tudomásukra jutott információk alapján közleményt adott ki.
Hihetetlen dolog, hogy vannak olyanok, akik még az információvédelmet is megpróbálják a tisztességtelen céljaik elérése érdekében kihasználni!

Kiemelés a közleményből:

A teljes közlemény letölthető a NAIH honlapjáról, a https://naih.hu/files/2018-11-19-kozlemeny-NAIH-neveben-torteno-visszaelesrol.pdf linkről

Nem így terveztem, mégis egy személyes történettel kell kezdenem ezt a cikket.

Kisiskolás unokám szülei engedélyezték számára, hogy egy barátjánál töltsön egy játszós estét, és náluk is aludjon azon az éjszakán. No, ennek sajnos rossz vége lett: a kisfiú ezt követően sokáig éjszakánként nem tudott elaludni, és ő és szülei máig is érzik a vendégségben töltött idő következményeit…

Mi történt?    ‒   A gyerekek filmet néztek, de sajnos a film (vagy filmek) horrorfilm(ek) volt(ak).
Mi történt?    ‒   (Valószínűleg) a vendéglátó barát felügyelet nélkül, vagy minden korlátozás nélkül tehette mindezt.

Volt egyszer réges-régen egy kor, bizony még az internet kora előtt,

‒ amikor a szociális háló a társadalmi osztályok, és rétegek számára az egyes korosztályok létbiztonságának védelmét jelentette…,
‒ amikor a Selyem út csupán egy kontinensek közötti kereskedelmi útvonal volt…,
‒ és amikor ha valakit követtél, az esetleg illegális tevékenységet is jelenthetett… ,
‒ vagy amikor a pornográf képek csak egyes olyan kiadványok tartalmaként jelentek meg, mint pl. a Hustler vagy a Penthouse.

A legtöbb mai gyermek szinte már-már számítástechnikai szakértő, igen gyorsan sajátítják el a különböző eszközök használatát, ügyesen keresnek, böngésznek és telepítenek… Mi pedig ‒ szülők, nagyszülők, vagyis az idősebb korosztályok ‒ igazán nem bánjuk, ha valakitől egy kis segítséget kaphatunk gyermekeinknek, unokáinknak az interneten keresztül történő zaklatásának megakadályozásában, a veszélyes, vagy más okból tiltandó weboldalak blokkolásában, vagy egyszerűen csak a gyermek számítógéphasználatának korlátozásában, hogy ez  sokkal kevesebb legyen, mint a mai…

Szerencsére bőven van szabadon elérhető szoftver, amely segítséget tud nyújtani a szülői feladataink végrehajtásában.

Hát ezzel miért foglalkoznak már megint? – kérdezheti.

Tudunk válaszolni: azért, hogy ismét felhívjuk a figyelmét erre a nagyon fontos témára, és mindenkinek segítsünk, hogyan kerülheti el, hogy adatait − a legfőbb értékeit − lehalássza a hackerek automatizált hadserege!

Nézzük meg a témát részletesebben:

2. rész A web feneketlen mélységeiről

A cikk előző részében tisztáztuk, hogy mit tartalmaz a felszíni (surface) web, és mi van egy kicsit mélyebben, a deep web-en. Cikkünk mostani részében pedig a web „feneketlen” mélyégeiről is beszéljünk!

Tovább folytatódik a Modern Vállalkozások Programja rendezvénysorozata.

A legközelebbi rendezvény, amelyen előadóként a Seacon Europe is rész vesz, a Digitális KKV Nap, Szekszárdon, 2018. szeptember 27.-én 09:00 - 14:20 között kerül megrendezésre, a Babits Mihály Kulturális Központban (címe: Szekszárd, Szent István tér 10.)

A Seacon Europe Kft.-t Pokó István fejlesztési igazgató egy előadással képviseli, amelynek címe "Adatvédelmi rendelet megfelelőség", témája pedig a GDPR-hez, az Európai Unió új adatvédelmi rendeletéhez kapcsolódik.

A rendezvényen való részvétel díjmentes.

A Modern Vállalkozások Programjának honlapja a https://www.vallalkozzdigitalisan.hu/index.html web címen érhető el.

Hinné-e: a föld teljes népességének kb. 40 %-a használja a World Wide Web-et!

Tudta? A világháló (angol eredetiben World Wide Web, WWW vagy röviden Web) az interneten működő, egymással úgynevezett hiperlinkekkel összekötött dokumentumok rendszere. A rendszert web böngészőprogram segítségével lehet elérni. Ez a program képes megjeleníteni az egyes dokumentumokat, weblapokat. A felhasználó a lapokon található hiperlinkek segítségével további lapokat kérhet le, amelyeken újabb hiperlinkek lehetnek. A rendszer háló jellegét is ez adja: a dokumentumok a háló csomópontjai, míg a hiperlinkek a háló szálai, amelyeken keresztül egy vagy több lépésben tetszőleges csomóponthoz eljuthatunk 1.

Az egy gyűrű, vagy másként „Az egy, a gyűrű, Isildur végzete” J. R. R. Tolkien fantasy történeteiben a Hatalom Gyűrűinek leghatalmasabbika. „Egy Gyűrű mind fölött, Egy Gyűrű kegyetlen, Egy a sötétbe zár, bilincs az Egyetlen.”
Az egy gyűrű hatalma a valóságban egy másik formában látszik megvalósulni. A gyűrű megalkotói ‒ a Token ‒ ügyes üzleti modellt dolgoztak ki, ennek eredményeként a Microsoft segítségével a biztonsági eszközök piacán jelentős helyet szerezhet magának, ugyanis a Windows 10 operációs rendszer Hello asszisztense IS képes ezt az okoseszközt használni.

Azonban a Token gyűrűi sok egyéb célra is használhatók, például egy autó ajtajának kulcs nélküli nyitására, beléptetőrendszer tokenjeként, biztonságos fizetésnél, számítógéphez, informatiklai rendszerekhez azonosítás során, sőt lakáskulcs helyett!

Elérkezett. Május 25.-e óta mi, a magyar emberek,  az Európai Unió állampolgáraiként közelebb juthatunk az egyik legfontosabb tulajdonunk, a személyes adataink felügyeletétéhez. Figyeljünk oda arra, mit osztunk meg másokkal, melyik honlapon milyen adatainkat kérik el, és ezeket át akarjuk-e adni másoknak.
Fontos lehet számunkra, hogy mi, és családtagjaink is biztonságban legyenek az adatgyűjtögetőkkel szemben. Ebben segít a GDPR néven már-már széles körben ismertté váló Európai Uniós Általános Adatvédelmi Rendelet.  

Mottó:

„Mi mindig mindenről elkésünk,
Mi biztosan messziről jövünk,
Fáradt, szomorú a lépésünk.
Mi mindig mindenről elkésünk.”

                                               (Ady Endre ‒ Akik mindig elkésnek 1908)

Nagyon régen, már a számítástechnika pelenkás korában is beszéltünk arról az akkori kollégáimmal, hogy vélhetőleg a kívülállók számára az informatika (na, jó akkor még csak számítástechnika) valami csodaszer. Csak egy varázspálca, egy bűvös szó, és minden megoldódik. Sokan még ma is azt gondolják, hogy így van, csak szólni kell az informatikusnak, és csiribú-csiribá, hipp-hopp minden rendben lesz.

Alkategóriák