Transcript 9.Eloadas
Adat- és indormációvédelmi intézkedések I. Papír alapú és e-dokumentumok minősítése, kezelése, az itt alkalmazandó speciális rezsimek. © Szabó Lajos Adat és Információ • Adat: jelekből álló, • kódolt elemi ismeret, • mely más adatokkal összekapcsolva, valamilyen • új ismeretet tartalmaz, • hoz létre. Informatio (latin): előadás, magyarázat • Az adat más adatokkal való összekapcsolásával létrejövő, • olyan új ismeret, • mely kizárólag az adatok összefüggéseinek értelmezése során keletkezik. az adat önmagában csak magáról hordoz információt. © Szabó Lajos Adat fogalmának elemei • Jel: Érzékszerveinkkel érzékelhető, vagy technikai eszközzel érzékszervi érzékletté alakítható jelentség, melyet az agy észleletté alakít, így azt dekódolva, elemeire bontva, egyedileg értelmezni tudunk. • (Érzékelés: a külvilág hatásainak érzékeinkre gyakorolt hatása, Észlelet: az érzékelés során beérkezett adatok feldolgozásával képzett következtetés. Pszichológiai alapfogalmak) • Kód: az adat elemi részei csoportosításának rendszere, mellyel a jel észleletté alakítható • Dekódolás: Az adat elemi részei csoportosításának rendszere, mellyel az észlelet jellé alakítható • Elemi ismeret: Olyan tény, körülmény, jelenség, mely kizárólag valamely más ténnyel, körülménnyel, vagy jelenséggel összefüggésben értelmezhető, önmagában csak saját magára vonatkozóan bír jelentéssel. © Szabó Lajos Információ fogalmának elemei • Adat: jelekből álló, kódolt elemi ismeret, mely más adatokkal összekapcsolva, valamilyen új ismeretet tartalmaz, hoz létre • Összefüggés: az a tudatos tevékenység, melynek során az érzékletek során tudatunkban megjelenő érzékletekből származó adatokat egymással kapcsolatba hozzuk • Ismeret: a kapcsolatba hozott adatok összefüggéseiből levont következtetés, az összefüggés tartalmi értelmezése (magyarázata, ld. Informatio szó jelentése) © Szabó Lajos Az irat (információ) kezelés alapfogalmai • • • • • • Irat (adathordozó) Elektronikus irat Iratkezelés Iktatás Iktatókönyv Elektronikus iktatókönyv • Érkeztetés • Irattár • Irattári terv • • • • • • • • • • Kiadmányozás Kivonat Küldemény Másolat/Másodlat Megsemmisítés Minősítés Ügyintéző Ügykezelő Iratkezelési Szabályzat Információ Biztonsági Szabályzat © Szabó Lajos Elérendő célok • • • • • • • Rendelkezésre állás Sértetlenség Bizalmasság Hitelesség Funkcionalitás Ellenőrizhetőség Nyomon követhetőség © Szabó Lajos Hozzáférés • Az adatok és információk védelmének alapvető kérdése, hogy azokhoz kik, hogyan férnek hozzá, a hozzáférést kontroll alatt tudjuke tartani? • • • • • • • • Azonosítás? Betekintés Kivonatolás Másolás Módosítás Törlés Megsemmisítés Ellenőrzöttség? © Szabó Lajos Nyomon követés • • • • • • • • A keletkezés helyén A rendszerbe bejuttatáskor Minden hozzáférés esetén Multiplikálása ~ Kivonatolása ~ Módosítása ~ Felügyelete ~ Törlése során, • többszörösen dokumentált módon! © Szabó Lajos Az adatmegőrzés kockázatai • • • • • • • Papírok Filmek Mágneses adathordozók Optikai adathordozók Speciális adathordozók Szoftveres alkalmazások Siffirozás © Szabó Lajos Az adathordozók fizikai biztonsága • • • • • • • • Biztosítani kell a: Környezeti hatások ~ Katasztrófák hatása ~ Kezelés közbeni sérülések ~ Illetéktelen hozzáférés ~ Szándékos rongálás ~ Megsemmisítés ~ Eltulajdonítás elleni védelmet © Szabó Lajos A fizikai védelem eszköztára Borítékok Mappák Iratgyűjtők Kazetták Tokok Konténerek Szekrények Széfek Irattárak Szabványos és minőségtanúsított eszközöket használjunk!!! © Szabó Lajos További biztonsági megoldások • • • • • • • Az adathordozók kezelésére kijelölt zónák Az adathordozók zónák közti szállítása Az adathordozók zónákban való tárolása Az adathordozók objektumon kívüli szállítása Az objektumvédelemre és értékszállításra vonatkozó elvek alapján Annak mechanikai, technikai védelmi eszköztárával, speciális személyzettel, És szervezési rendszerét biztosító Iratkezelési Szabályzat alapján történik © Szabó Lajos Az IT biztonság követelményei Vonatkoznak az : • Infrastruktúrára • Hardverelemekre • Szoftverekre • Adathordozókra • Dokumentumokra • Adatokra • Kommunikációra és az azt használó • Személyekre © Szabó Lajos IT biztonság fő szempontjai • • • • • • • • Tanúsított rendszerek Tanúsított eszközök Minősített rendszerek Minősített eszközök Egyszintű rendszer Többszintű rendszer Egyesített osztott rendszer Összekapcsolt osztott rendszer © Szabó Lajos A bizalmas, titkos információk sérülésének kockázatai • • • • • • • • Gazdasági kockázatok Marketing (arculat) kockázatok Ügyfelekre kiható kockázatok A „cég” megítélésére A taktikai-stratégiai célok teljesülésére kiható A „cég” létét veszélyeztető kockázatok Politikai kockázatok Katonai kockázatok © Szabó Lajos Fontosabb jogszabályok • 2009. évi CLV. Törvény a minősített adat védelméről • 90/2010. (III. 26.) Kormány rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről • 92/2010. (III. 31.) Kormány rendelet Az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól • 161/2010. (V. 6.) Kormány rendelet A minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól • 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról • 1959. évi IV. tv. a Polgári Törvénykönyvről • 1978. évi IV. tv. a Büntető Törvénykönyvről © Szabó Lajos A minősített adatok kezelésének szempontrendszere • • • • Személyi Biztonság Fizikai és Adminisztratív Biztonság Elektronikus Biztonság Iparbiztonság © Szabó Lajos • • • • • • • • • • • Fontosabb szabványok, ajánlások ISO/IEC 27001:2005 Information security management systems MSZ ISO/IEC 27001:2006 Az információbiztonság irányítási rendszerei. MeH ITB 12. sz. ajánlása Information Technology Security Evaluation Criteria (ITSEC) ITSEC : Version 1.2.EC DG XIII. 1991. május. Orange Book of the Security of Information Systems - Amerikai Egyesült Államok Védelmi Minisztériuma (USA DoD): Trusted Computer System Evaluation Criteria, Guide. Defining and Buying Secure Open Systems. - X/Open Company Ltd., 1992 szeptember. Security. Part 5 of the Open Systems Directive. - X/Open Company Ltd., 1993 március. MSZ ISO 7498 szabványsorozat - Információ-feldolgozó rendszerek. Nyílt rendszerek összekapcsolása. Trusted Network Interpretation Environments Guideline. - National Computer Security Center, USA, 1990 augusztus. Útmutató az "Informatikai Biztonsági Szabályzat" elkészítéséhez. MeH ITB Biztonságtechnikai Munkacsoport, 1993. © Szabó Lajos Építési, és egyéb szabványok • 2/1986 (II. 27.) ÉVM rendelet az Országos Építési Szabályzat Kiadásáról, • MSZ 595 Építmények tűzvédelme, • MSZ 9785 Tűzjelző berendezések, • MI-02-102-79 Számítóközpontok tűzvédelme (műszaki irányelvek), • MSZ 274 Villámvédelem. • Security Within The North Atlantic Treaty Organisation (NATO) C-M(2002)-49 • NATO Security Commitee Directive On The Security Of Information AC/35-D/2002-REV2 © Szabó Lajos