Bár a versenyszférában lévő jogi személyeknek a kétéves türelmi időn túl, 2018. május 25. óta kell kötelezően alkalmazni a GDPR által megfogalmazott adatvédelmi és információbiztonsági előírásokat, azonban a közigazgatási szereplők már legalább 2009 óta foglalkoznak a mind hatékonyabb folyamatok kialakításával és a kapcsolódó feladatok maradéktalan ellátásával. Felméréseink és személyes tapasztalataink szerint azonban a gyakorlati felkészülés sok szervezetnél akadályokba ütközik, vagy nem valósult még meg maradéktalanul. Alábbiakban olyan biztonsági problémákat és megoldásokat részletezünk, amelyek hatékony segítséget nyújtanak a jogszabályok által támasztott megfelelésnek.
Fontos leszögezni, hogy a globálisan összekapcsolt, dinamikusan növekvő elektronikus információs rendszerek, valamint az ezeken keresztül áramló és tárolt adatok biztonsága egyre nagyobb kockázatnak vannak kitéve a társadalom és a gazdasági szereplők számára egyaránt. A nemzeti adatvagyon védelme, a biztonság fenntartása és annak megerősítése közös feladata valamennyi szereplőnek.
A biztonsági kockázatokkal arányos, költséghatékony védelem kialakítása érdekében az elektronikus információs rendszereket, a védelemre való felkészültsége alapján, biztonsági osztályokba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás követelményeinek megfelelően, melyet a 41/2015. BM rendelet részletez a 2013. évi L. törvény (Ibtv.) alapján. Mindezek együttes célja és lényege, hogy minden szinten gondoskodni kell az adatok biztonságáról és azok illetéktelen felhasználásának megelőzéséről.
• Nem megfelelően kezelt jogosultsági beállítások - olyanok is hozzáférnek fájlokhoz, adatokhoz, akiknek nem szükséges.
• Strukturálatlan adatállományok a szervezetben. - Szinte ellenőrizhetetlen, milyen adatok és hol tárolódnak az elektronikus információs rendszerben és azokhoz ki fér hozzá.
• Védtelen informatikai eszközök. - Titkosítás és végponti védelem nélküli laptopok, mobilkommunikációs eszközök, azokon értékes és stratégiailag fontos adatokkal.
• Gondatlanul leselejtezett adattároló eszközök. - Számos esetben üzleti titkokat is tartalmaznak a raktárba kerülő adathordozók, eszközök, rosszabb esetben adatokkal együtt kerül ki az intézményből a selejtezést követően.
Mi most néhány olyan kötelezettségre és azok megoldási módjára világítunk rá, melyek könnyen integrálhatók a szervezet működésébe és rövid időn belül, hatékony eredményességet nyújtanak.
Munkánk során gyakorlati betekintéssel bírunk különféle nagyságú, közigazgatási területen lévő rendszerek működésébe, a napi szintű adatvédelmi folyamatokba. Ebből eredően látjuk, hogy sok adat feleslegesen van tárolva, vagy épp nincs meghatározva, hogy azok hol helyezkednek el az infrastruktúrában és az sem, hogy kik férjenek hozzá. Persze ez nem azt jelenti, hogy nincsenek adatvédelmi belső szabályok és jogosultságkezelés, de számos alkalommal fény derül arra, hogy egy-egy adategyüttes olyan munkatársak vagy csoportok által is mentésre került, amelynek sem célja, sem elérési helye előre nem volt definiálva. Ennélfogva nagyon nehéz az adatokkal felelősen bánni. Ha nem átlátható, hogy akár papír-, akár elektronikus alapon, hol helyezkednek el azok a szervezeten belül és kik férnek hozzá az érintett adatokhoz, akkor mind az osztályozás, mind pedig a kapcsolódó további intézkedések meghatározása is lehetetlenné válik.
Hol és kiknél vannak érzékeny adatok, azokhoz kik férnek hozzá? Milyen fájlokat kell megtartani? Milyen típusú fájlok vannak a rendszer nem fókuszált részein?
Az adatvagyonleltár készítése, a kinyert személyes adatok osztályozása - a vonatkozó jogszabályok alapján - kulcsfontosságú feladat, melyre az "Adatfürkész" megoldásunk nyújt hatékony segítséget.
Előnyei:
• Biztosítja a részletes és auditálható riportok elkészítését.
• Adatvédelmi szempontból azonosíthatóvá teszi a kockázatos adatokat.
• Segíti és előkészíti az adatosztályozást.
• Kiszűri a duplikált adatállományokat.
• Egyedi, a szervezet számára kialakított elemzéseket készít.
• Előkészíti és segíti az elektronikus információs rendszer további optimalizálását és tehermentesítését.
• Támogatja az esetleges cselekvési, vagy intézkedési terv szakszerű és gyors elkészítését.
- 30/31 -
A szervezet falain belül tárolt adatok biztonságán és hozzáférhetőségén túl, kiemelt figyelmet kell fordítani a hordozható eszközök védelmére is. Be kell látni, hogy stratégiai vezetők és munkatársak nemcsak az intézmény falain belül dolgoznak, de külső helyszínen, partneri találkozókon, szakmai utak során is magukkal hordják laptopjukat. Ennek elvesztése, eltulajdonítása nemcsak biztonsági incidensnek számít, de a gyakorlatban valóban nagymértékű kárt szenvedhet el vele az egész szervezet. Az azon tárolt dokumentumok, érzékeny adatok megszerzése bűncselekmény alapjául szolgálhatnak vagy az üzletmenet-folytonosságot is károsan befolyásolhatják, nem beszélve a jóhírnév csorbulásáról és a további szükséges jogi és technikai intézkedések hosszadalmas folyamatáról.
Milyen következményekkel járhat, ha az érintett munkatárs laptopját eltulajdonítják vagy elhagyják? Lehet-e védeni a laptopot úgy, hogy még rosszindulatú hozzáértő se tudjon a rajta tárolt adatokhoz hozzáférni?
Módszerünk különösen bizalmas vagy kényes adatok tárolása esetén is kiemelt szintű védelmet nyújt elvesztés vagy akár eltulajdonítás esetén is. Ezzel a megoldással a titkosítási kötelezettséggel járó számos feladat végrehajtható.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
