Tanácsadás

Megfelelőségi kihívások

2013. évi L. törvény (Ibtv.)

Az Ibtv. és a törvény végrehajtási rendeletének előírásainak való megfeleléshez szükséges az elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezen elektronikus információs rendszerek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása. Ennek keretében ügyfeleinknek támogatást nyújtunk a következőkben:

  1. Elektronikus információs rendszer biztonságáért felelős személy kijelölése.
  2. Az információbiztonsági hatósághoz történő regisztráció, bejelentkezés.
  3. Kockázatelemzés elvégzése.
  4. Szervezet biztonsági szintbe, és az elektronikus információs rendszerek biztonsági osztályba sorolása.
  5. Cselekvési terv készítése (a hiányosságok és nem-megfelelőségek megszüntetésére).

Általános Adatvédelmi Rendelet (GDPR)

A GDPR (General Data Protection Regulation vagy Általános Adatvédelmi Rendelet) hatályba lépése joggal nevezhető a legjelentősebb változásnak az európai uniós adatvédelmi szabályozás elmúlt 20 évében, amely rendkívüli jelentőséggel bír az adatkezelő szervezetek napi üzletmenetében egyrészt adat- és információbiztonsági, másrészt jogi szempontból.

A GDPR a 95/46/EK Adatvédelmi Irányelv helyébe lépve a 21. századi, határok nélküli digitális környezet követelményeinek megfelelő szabályozás, amely az Európai Unió és az Európai Gazdasági Térség valamennyi tagországában minden személyes adatot kezelő szervezet számára kötelező érvényű, 2018. május 25-től alkalmazandó.

„Az új szabályok biztosítják, hogy a személyes adatok védelmének alapjoga mindenki számára garantált legyen. Az általános adatvédelmi rendelet segíti majd az EU-ban a digitális egységes piac élénkítését azáltal, hogy világos és egységes szabályokra alapozva erősíti a felhasználók online szolgáltatásokba vetett bizalmát és a vállalkozások jogbiztonságát” – 16/1403 EB közlemény

A GDPR és a nemzeti adatvédelmi jogszabály harmonizálása érdekében 2018. júliusában módosításra került az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), valamint 2019. márciusában az Országgyűlés elfogadta az ágazati jogszabályok GDPR megfelelőségét szolgáló (az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló) 2019. évi XXXIV. törvényt.

A fenti jogforrások együttes alkalmazása szükséges a magyarországi adatkezelő és adatfeldolgozó szervezetek megfelelőségének biztosításához. A fentiek is alátámasztják, hogy a GDPR és az ágazati adatvédelmi rendelkezéseknek való megfelelés egy állandó folyamat, nem pedig egy egyszeri alkalommal letudható „vizsga”. Az előbbiekben felsorolt tényezőket folyamatosan felül kell vizsgálni, finomhangolniés előírásoknak megfelelően változtatni. Ezért különösen fontos, hogy az adatkezelők és adatfeldolgozók megfelelő személyi, adminisztratív és technológiai erőforrásokat tervezzenek a feladatok elvégzésére, ha szükséges, külső szakértő bevonásával.

Kiket érint a GDPR?

A GDPR területi hatálya valamennyi olyan adatkezelő vagy adatfeldolgozó szervezetre kiterjed, mely az Európai Unió és Európai Gazdasági Térség területén (és bizonyos esetekben azon kívül is: pl. felhőtárhely-szolgáltató) személyes adatot kezel, ami alapján dolgozója, vásárlója vagy ügyfele egyértelműen beazonosítható (különösen, de nem kizárólag név, cím, TAJ, adószám, e-mail cím és jelszó, bankszámlaszám, IP cím, képmás).

A GDPR tárgyi hatálya kiterjed a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azon személyes adatok kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

Az eddigi szabályozásoktól eltérően az adatvédelmi incidenseket főszabály szerint 72 órán belül jelenteni kell az arra kijelölt felügyeleti hatóságnak, Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, tehát nincs már lehetőség az incidensek szándékos elhallgatására.

A GDPR követelményeinek való nem-megfelelés, a személyes adatokat érintő adatvédelmi incidens minden eddiginél nagyobb gazdasági és reputációbeli kárt okoz. A maximálisan kiszabható bírság ugyanis 20 millió euróig, vagy az éves (globális, csoportszintű) árbevétel 4 százalékáig (illetve a kettő közül a magasabb összegig) terjedhet.

A Black Cell CARA valamennyi meglévő és leendő ügyfelének segítséget nyújt a GDPR megfelelés elérésében, a megfelelő adatkezelési folyamatok, támogató dokumentumok és nyilvántartások kialakításában, a szervezet oktatásában és az informatikai környezet megfelelő szintű kontrolljainak beállításában.

GDPR megfelelést támogató szolgáltatásaink

  1. Átfogó adatvédelmi auditálás, ennek keretében az adatkezelési folyamatok feltárása, jogalapok, adatkezelési célok vizsgálata, kezelt személyes adatok kockázati besorolása.
  2. Adatkezelési eljárásrendek felülvizsgálata, hiányzó eljárásrendek esetén azok kidolgozása. A GDPR alapelveinek implementálása az eljárásrendekbe.
  3. Adatvédelmi hatásvizsgálatok, érdekmérlegelési tesztek elvégzése.
  4. Az adatkezelésben résztvevő informatikai rendszerek adatvédelmi érettségének felmérése, javaslattétel a nem-megfelelőségek javítására.
  5. Dokumentációk és szabályzatok adatvédelmi értékelése.
  6. Adatvédelmi incidensdetektálás, incidenskezelési- és bejelentési folyamat kialakítása.
  7. Kiszervezett adatvédelmi tisztviselő (DPO) szolgáltatás.

Célunk, hogy a szervezet hosszú távon jól üzemeltethető adatvédelmi irányítási rendszerrel rendelkezzen, és az adatvédelem kapcsán hozott adminisztratív, elektronikus és fizikai biztonsági intézkedések ne akadályozzák, hanem támogassák a mindennapi üzletmenet során, eleget téve a GDPR követelményeinek.

NIS direktíva

A hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló Európai Parlament és a Tanács (EU) 2016/1148 irányelve (NIS irányelv) előírása alapján a digitális szolgáltatóknak, vagyis az online piactereknek, az online keresőprogramoknak és a felhőalapú számítástechnikai szolgáltatást nyújtóknak a tagállamok által meghatározott konkrét biztonsági követelményeknek való megfelelésről kell gondoskodni.

A hazai implementáció során a követelményeket és szankciókat kormányrendelet határozza meg, mely szerint a bejelentés-köteles szolgáltatást nyújtóknak kockázatelemzést kell készíteni, amely kiterjed a hálózati és információs rendszerek és létesítmények biztonságára, a biztonsági események kezelésére és az üzletmenet folytonosság biztosítására. A követelmények nem teljesítése esetén a bírság mértéke ötmillió forint is lehet.

A kormányrendelet előírásai meghatározzák a kockázatelemzésre vonatkozó rendelkezéseket, mely szerint a létfontosságú rendszerelem teljes körű személyi, fizikai, adminisztratív védelmének, a folyamatos működést veszélyeztető kockázatoknak és kezelésüknek a teljeskörűségét biztosítani szükséges.

Szolgáltatásaink keretében segítséget nyújtunk a kockázatelemzés elvégzésében, vagy annak támogatásában, továbbá az üzemeltetői biztonsági terv elkészítésében és a kapcsolódó tevékenységek elvégzésében, a kormányrendelet és az ISO 31000:2015 kockázatmenedzsment szabvány előírásai szerint.

Pénzügyi szolgáltatók MNB megfelelősége

A Magyar Nemzeti Bank (MNB) által felügyelt pénzügyi intézmények – összefoglaló nevükön pénzügyi szolgáltatók – érintettek az MNB által kibocsátott közjogi szervezetszabályozó eszközöknek való megfelelőségben. Ilyen pénzügyi szolgáltatóknak minősülnek különösen, de nem kizárólag a bankok, fizetési szolgáltatók, biztosítók, követeléskezelők, pénzügyi közvetítők, pénztárak, illetve befektetési szolgáltatók.

Melyek a megfelelés legfontosabb lépései?

A Magyar Nemzeti Bank az informatikai rendszer védelméről szóló ajánlása (7/2017.) arra vonatkozóan nyújt útmutatást, hogy milyen követelményeknek kell megfelelnie a pénzintézeteknek ahhoz, hogy az MNB álláspontja szerint megfelelő IT biztonsági szemlélettel, megoldásokkal és eljárásrendekkel rendelkezzenek.

„Az ajánlás célja, hogy a pénzügyi közvetítőrendszer tagjai számára gyakorlati útmutatást adjon informatikai rendszerük védelmének kockázatokkal arányos kialakításban, valamint azok védelmére vonatkozó jogszabályi rendelkezések alkalmazásának egységes értelmezésében. Az ajánlás az egyes témaköröket, keretszabályokat meghatározó jogszabályi rendelkezésekből elsősorban a Rendelet szabályait ismerteti, az ágazati törvények szövegezése ettől kis mértékben eltérhet. Az ajánlás a jogszabályi rendelkezésekben meghatározott védelmi területeken felmerülő kockázatok alapján határozza meg az elvárt intézkedéseket, és javasol az elvárások teljesítésével kapcsolatos legjobb gyakorlatot (a továbbiakban: előremutató gyakorlat). Az előremutató gyakorlatok mindegyikének egyidejű kialakítása nem minden esetben célszerű, mivel sokszor egymás kompenzáló kontrolljaként is értelmezhetők. Az elvárások más megoldásokkal is teljesíthetők, feltéve, hogy az adott elvárás kockázatcsökkentő célja teljesül.” – fogalmazza meg az ajánlás a célját.

Az ajánlás követelményeinek megfelelő informatikai biztonsági háttér és információbiztonsági kontrollok alkalmazása mind az adminisztratív, mind a technológiai területen szerteágazó feladatokkal látja el a szervezeteket. A Black Cell CARA széleskörű tapasztalattal rendelkezik a kockázatelemzések elvégzése terén, a kapcsolódó szabályozási környezet kialakításában és a technikai, illetve adminisztratív kontrollok implementálásában.

Az informatikai felhőszolgáltatásokat egyre gyakrabban választják különféle szervezetek, különösen a pénzügyi ágazat szereplői költségoptimalizáció, garantált rendelkezésre állás, illetve magasabb fokú biztonság elérése érdekében. A felhőszolgáltatások igénybevétele azonban számos ponton kockázatokat rejt magában, melyeket egyrészt az ügyfelek bizalmának fenntartása, másrészt jogszabályoknak, ajánlásoknak és szabványoknak történő megfelelés érdekében kezelni szükséges. Az MNB a közösségi és publikus felhőszolgáltatások igénybevételéről szóló (4/2019.) számú ajánlása a pénzügyi közvetítőrendszer szereplői számára gyakorlati útmutatást ad a közösségi és publikus felhőszolgáltatások igénybevételéből eredő kockázatok kezeléséhez, valamint a vonatkozó nemzeti és európai uniós jogszabályokban, egyéb szabályozó eszközökben foglalt rendelkezések egységes alkalmazásához.

Kockázatelemzések

ISO/IEC 27005:2018 vagy NIST SP800-53 Rev.4 alapú információbiztonsági kockázatelemzési szolgáltatásunk segít a szervezetekre ható kockázatok pontos azonosításában, kezelésében és a fenyegetésekkel szembeni védekezésre való felkészülésben. Az eszköz- és információvagyon felmérését követően feltérképezésre kerülnek a jellemző fenyegetési típusok, üzleti hatáselemzéssel előrejelzésre kerülnek a fenyegetések bekövetkezése esetén a társaságot érő potenciális károk, azok jellege és hatásai, valamint meghatározásra kerülnek az egyes fenyegetések jövőbeli bekövetkezési valószínűségei. Az így aggregált információk alapján priorizálásra kerülnek a szervezet információbiztonsági kockázatai és azok mitigálására szolgáló intézkedési terv készül.

CJA – hogy megértsük az üzleti célok és az IT eszközök kapcsolatát

Napjainkban az egyik legnagyobb veszélyt egy szervezet elektronikus információs rendszereire a célzott támadások, valamint az állandó külső fenyegetések (APT – Advanced Persistent Threat) jelentik.

A CJA célja az ellenség elektronikus információs rendszeren kívül tartása.

Ahhoz, hogy egy szervezet tisztában legyen a fenyegetések és támadások szervezeten belül található lehetséges célpontjaival, azonosítania kell azon IT eszközöket, amelyektől leginkább függ a szervezet működése.

A CJA segítségével azonosításra kerülnek a szervezet működése szempontjából kritikus IT eszközök, melyekre a későbbiekben felépíthető a kockázatokkal arányos védelmi rendszer, megelőzhetők a célzott támadások, és a minimális szintre csökkenthető az APT-k, vagy egyéb támadók által elkövetett állandó fenyegetések kockázata.

Szakértők szerint a CJA egy kiber-ellenállóképességet megteremtő elemzési módszer, amelynek eljárásait folyamatosan ismételve meghatározhatók a szervezet elektronikus információs rendszerének kritikus pontjai.

  • Függőségi gráf felállítása

    Megmutatja, hogy a szervezet felsővezetése által meghatározott célok (a célokat a felsővezetés kritikusságuk szerint priorizálja) elérését mely feladatok és folyamatok támogatják.

  • Mission Impact Analysis – MIA

    IT eszközöktől indulva a szervezet küldetése, céljai felé haladva a függőségek mentén meghatározható egy hatás fajtája és mértéke. A hatás mértéke 4 fokú skálán: kiesés, jelentős sérülés, helyettesítő megoldással a probléma kezelhető vagy hatás nélküli.

  • “Koronaékszerek” azonosítása

    Az azonosítást követően a szervezet kiberbiztonságában érdekelt valamennyi szereplő megfelelő információhoz juthat, mely alapján a további szükséges lépések, feladatok is meghatározhatók.

IT és üzleti kockázatelemzés

A hagyományos kockázatelemzés keretében a szervezet felméri a fenyegetettségeit, ezen fenyegetettségek becsült hatásait, illetve bekövetkezési valószínűségét. A feltárt kockázatok egyaránt lehetnek IT és nem IT jellegűek (üzleti, reputációs stb.). A kockázatok meghatározásával önmagában azonban a kontrollok még nem kerültek értékelésre, így az eredendő kockázatot (ún. „inherent risk”) csökkenteni kell. A kockázat hatását és/vagy bekövetkezési valószínűséget csökkentő kontrollok kerülnek kiértékelésre. A kontrollok hatékonyságának kiértékelése során megkapjuk a maradványkockázatot (ún. „residual risk”). A maradványkockázat vonatkozásában a szervezetnek döntenie kell, hogy elfogadja vagy további kontrollok alkalmazásával csökkenti azt, esetleg a hatását transzferálja (pl. biztosítással). Végül magát a kockázatot is eliminálhatja a kiváltó ok megszüntetésével.

Az IT és üzleti kockázatelemzés elvégzését követően a szervezet egy kockázatkezelési tervvel rendelkezik (RTP), amely tartalmazza mindazon remediációs lépéseket, amelyek az elvégzett kockázatelemzés eredménye alapján a vezetőség által elfogadásra kerültek a kockázatok hatásának és/vagy bekövetkezési valószínűségének csökkentése érdekében.

A Black Cell CARA teljes IT és üzleti kockázatelemzést egyaránt végez, ennek keretében megbízók vonatkozásában hatékony és releváns a kockázatelemzési metodológia meghatározásától kezdve a kockázatkezelés folyamatának lebonyolításában és a kockázatkezelési terv meghatározásában támogatja a szervezeteket.

Kontrollérettség-felmérés

Mi a kontrollérettség felmérése?

Számos iparági szabvány és ajánlás alapján lehetőség van a kontrollkörnyezet keretrendszerben történő szabályozott, strukturált kialakítására. Amennyiben szükség van arra, hogy a szervezet felmérje a kontrollkörnyezet elérni kívánt szintjét és a szervezet jelenlegi érettségi szintjét, ezzel meghatározva a teljes megfelelés érdekében végrehajtandó feladatokat, úgy kontrollérettségi felmérést szükséges elvégezni.

Kinek javasoljuk?

A kontrollérettség felmérését valamennyi olyan szervezetnek javasoljuk, akik az informatikai biztonsági kontrollokat a szervezet szükségleteinek megfelelően kívánják telepíteni és a jelenlegi, valamint a kívánt szint közötti differencia felmérésével egy pontos képet kívánnak kapni a végrehajtandó lépésekről.

A kontrollérettség felmérés hatékony eszköz a strukturális fejlesztés előtt álló (például egy SOC kialakítása, alap architektúra kiváltása) szervezetek részére a fejlesztéshez szükséges feladatok meghatározása, priorizálása érdekében. A Black Cell CARA ilyen esetben a Black Cell VAR és MSS technológiai üzletágak bevonásával a megoldások teljes implementációját képes megtervezni, a bevezetést végrehajtani, azt követően pedig a rendszert üzemeltetni.

Alkalmazott módszertan

A Black Cell CARA a COBIT, az ISO/IEC 27001:2013, a NIST SP 800-53 Rev.4, a NIST Cybersecurity Framework (CSF), valamint az FFIEC követelményei alapján végzi az érettségi felméréseket. Az érettségi felmérések egy szabványra, törvényre való felkészítő vagy felmérő projekt részeként is végrehajthatók, ebben az esetben a kapcsolódó szabványnak, törvénynek való megfelelés is kiértékelésre kerül.

Keretrendszerek implementációja és üzemeltetése

Alkalmazott keretrendszerek

Az ISO irányítási rendszerei segítenek szabványosítani a minőségirányítási és információbiztonsági irányítási folyamatokat, ezzel szavatolva a szervezet ügyfelei számára magas színvonalon nyújtott szolgáltatásokat a tanúsított módon történő folyamatszervezésnek- és ellenőrzésnek köszönhetően. Azon túl, hogy az ISO keretrendszerei már önmagukban vagy integráltan a vevői elégedettséget és bizalmat növelik, a szervezet üzleti folyamatai hatásfokának növelését is támogatják.

Milyen megoldásokat kínálunk?

ISO tanúsítás megléte esetén a menedzsmentrendszer érettsége kerül felmérésre. Az érettségi felmérés keretében a menedzsmentrendszer valamennyi eleme megvizsgálásra kerül. Az érettségi szint megállapításával feltárásra kerül a meglévő és az elérni kívánt állapot, amely alapján meghatározhatók és priorizálhatók az elérni kívánt szint érdekében végrehajtandó feladatok.

ISO tanúsításra való felkészülés esetén az első lépés a menedzsmentrendszer hatókörének meghatározása, amely alapján a tanúsításhoz elkészítésre kerülnek a szükséges szabályozó dokumentumok, eljárásrendek és folyamatok.

Miért lényeges, hogy a szervezet maga építse fel – folyamatos szakértői támogatás mellett – a saját menedzsmentrendszerét?

Mert így a szervezet igényeit leginkább kielégítő menedzsmentrendszer kerül kialakításra.

Mert így a szervezet a gyakorlatban is elsajátítja az ISO komplex elvárásainak való folyamatszintű megfelelést.

Mert így a szervezet képes lesz az ISO menedzsmentrendszer üzemeltetésére és fejlesztésére.

Üzletmenet-folytonosság biztosítása és incidenskezelés

Kinek javasoljuk?

Az MNB informatikai rendszer védelméről szóló ajánlásának (7/2017.) hatálya alá tartozó szervezetek, továbbá a kritikus infrastruktúrák vonatkozásában az üzletmenet-folytonosság biztosítása elvárás. Azon szervezetek, akik részére nem kötelező elvárás az üzletmenet-folytonosság (BCM) és katasztrófa utáni helyreállítás (DRP) garantálása és az információbiztonsági incidensek szabályozott menedzselése, a szolgáltatásaik magasabb színvonalon történő nyújtása és a vevői igények kielégítése érdekében javasoljuk a BCM-et és DRP-t.

Milyen megoldásokat kínálunk?

Minden szervezet életében bekövetkeznek eltérő típusú és súlyosságú incidensek. Ezek lehetnek a rendelkezésre állásra, az elektronikus információs rendszerekben kezelt adatok integritására vagy a bizalmasságra ható incidensek. Valamennyi esetben az elsődleges cél, hogy a szervezet minél hamarabb visszaálljon a normál működésre, az incidens kezelését pedig előre meghatározott folyamatok alapján végezze.

Az incidenskezelés kapcsán a legfontosabb, hogy az ad-hoc megoldásokat a minimumra szorítsa a szervezet. Krízishelyzetben tendencia, hogy az incidens elhárítása során a résztvevők ugyan a lehető legjobb szándékkal, azonban a lehető legrosszabb döntéseket képesek meghozni. Éppen ezért elengedhetetlen, hogy az incidenskezelés kapcsán meghatározzuk annak folyamatát, felelőseit, és kontrolláljuk a folyamat végrehajtását.

A Black Cell CARA támogatja ügyfeleit a katasztrófa utáni helyreállítási terv (DRP) és incidenskezelési program (IRP) kialakításában, illetve gyakorlati tesztelésében. A kialakítás során az ITIL, COBIT és az ISO/IEC 22301:2012 rendelkezéseit figyelembe véve alakítjuk ki a szervezet saját folyamatait. Megteremtjük a kapcsolatot az üzletmenet-folytonosság folyamatával, hiszen az incidensek befolyásolhatják az üzletmenet-folytonosságot.

Az üzletmenet-folytonosság kapcsán elengedhetetlen, hogy a szervezet felmérje az operációját meghatározó szolgáltatásokat és funkciókat. Erre szolgál az üzleti hatáselemzés (BIA), amely választ adhat azokra a kérdésekre, hogy melyek a kritikus szolgáltatások és funkciók a szervezet vonatkozásában, és ezek kapcsán melyek a visszaállítás és az adatvesztés kapcsán elvárt alapvető szintek (RTO és RPO). Ezek ismeretében tudjuk meghatározni, hogy milyen üzletmenet-folytonossági (BCP) megoldásra van szükség, és ehhez milyen technológiai háttér (DRP), illetve incidenskezelés (IRP) szükséges.

IT biztonsági képzések és szimulációk

Széles körben elfogadott tény, miszerint a támadók a leggyengébb láncszem kihasználásával próbálják megtámadni a célpontjukat. Ez a leggyengébb láncszem a legtöbb esetben maga az ember. A belénk kódolt és tanult viselkedések és minták segítenek a támadóknak, hogy információt csaljanak ki, esetleg hozzáférést szerezzenek a védett elektronikus információs rendszerekhez, információkhoz, miközben megtévesztik a munkavállalókat.

Valamennyi szervezet információbiztonsági politikája és szabályai az azokat alkalmazó felhasználókon keresztül érvényesülnek, így kulcsfontosságú az elektronikus információs rendszereket használók oktatása és információbiztonsági ismereteik naprakészségének szavatolása. Szolgáltatásunk keretében IT biztonsági tudatossági képzéseket nyújtunk (akár a szervezet GDPR vagy ISO megfelelőségéhez kapcsolódóan is). Az üzletmenet-folytonosság és incidenskezelés kapcsán kialakított szabályokat és eljárásrendek végrehajtását oktatjuk, valamint incidenseket szimulálunk, ezzel is szolgálva az élethű felkészülést.

Kiknek javasoljuk?

Valamennyi szervezet számára létfontosságú, hogy a munkavállalói megfelelő edukációban részesüljenek a szervezeti eljárásrendek és a szabályozói elvárások vonatkozásában egyaránt, s a szervezetnek legyen módja felmérni, hogy az átadott tudásanyag milyen mélyen épült be a munkavállalók mindennapi gyakorlatába. Az ISO alapú minőségirányítási- és információbiztonsági irányítási rendszerrel rendelkező vagy a GDPR hatálya alá tartozó szervezetek, a kritikus infrastruktúrák részére egyaránt kötelező a munkavállalók képzése.

Milyen megoldásokat kínálunk?

A biztonságtudatossági (awareness) program keretében szakembereink tematikusan foglalják össze az adott munkavállalói kört érintő információbiztonsági és adatvédelmi kérdéseket, lehetőséget biztosítva a specifikus kérdések megválaszolására. A Black Cell CARA valós, gyakorlati tapasztalatokon alapuló ismereteket közöl, amely segítségével hozzá kívánunk járulni valamennyi munkavállaló biztonságtudatosságának növeléséhez, munkakörükkel járó információbiztonsági és adatvédelmi követelmények felelősebb ellátásához. A biztonságtudatosságra minden kritikus, szenzitív adatot kezelő szervezetnél szükség van a fejlett információgyűjtési (akár social engineering) támadások elkerülése érdekében.

A biztonsági szintet és tudatosságot több módszerrel is fel lehet mérni. Social engineering vizsgálataink során a munkavállalók félrevezethetőségét – mint az egyik legsúlyosabb nem technikai jellegű információbiztonsági kockázatot – próbáljuk meg kiaknázni. Előre egyeztetett módszertanra és szabályokra támaszkodva valós social engineering típusú támadásokat szimulálunk, azok eredményei alapján akciótervet dolgozunk ki a jövőbeli hasonló esetek elkerülése érdekében.

A másik megoldás a vizsgáztatáson alapuló felmérések végzése. A vizsga keretében a szervezetre és az ott elvégzett oktatásra felépített vizsgán mérjük fel a dolgozók információbiztonsági és adatvédelmi felkészültségét.

Kiszervezett szolgáltatások

Adatvédelmi tisztviselő (DPO)

Adatvédelmi tisztviselő (DPO) kijelölésére kötelezettek a GDPR hatálya alá tartozó közhatalmi szervek; azon adatkezelők, akiknek a fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; illetve azon adatkezelők, akiknek a fő tevékenységei különleges kategóriába tartozó személyes adatok vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Az adatvédelmi tisztviselő feladata az Általános Adatvédelmi Rendeletnek és az ágazati adatvédelmi követelményeknek való megfelelőség biztosítása. Ennek keretében az adatvédelmi tisztviselő:

  • Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az Általános Adatvédelmi Rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban.
  • Ellenőrzi az Általános Adatvédelmi Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is.
  • Szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését.
  • Együttműködik a felügyeleti hatósággal, Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatósággal.
  • Az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Adatvédelmi tisztviselő támogatása

Szolgáltatásunk keretében a Black Cell CARA támogatja a szervezet által kijelölt adatvédelmi tisztviselőt a szervezet adatvédelmi, valamint ezzel összhangban az információbiztonsági stratégiájának tervezésében, kialakításában és végrehajtásában.

Teljes kiszervezés

Amennyiben az Általános Adatvédelmi Rendelet 38. cikkével összhangban az adatkezelő vagy adatfeldolgozó nem képes szavatolni az adatvédelmi tisztviselő függetlenségét és jogállására vonatkozó egyéb kógens követelményeket, úgy a Black Cell CARA kiszervezett DPO szolgáltatása keretében ellátja az adatvédelmi tisztviselői feladatkört. Szolgáltatásunk keretében támogatjuk az Általános Adatvédelmi Rendelet és egyéb uniós vagy tagállami jogszabályok komplex követelményrendszerének való teljes megfelelést, kapcsolattartó pontként szolgálunk a felügyeleti hatóság és az adatkezelő között, szükség esetén adatvédelmi hatásvizsgálatot és érdekmérlegelési tesztet készítünk, valamint szavatoljuk az érintett természetes személyek jogainak érvényesíthetőségét és az adatvédelmi követelmények szervezeten belüli maximális teljesülését.

Belső audit

A belső auditok célja annak felmérése, hogy a szervezet mennyire alkalmazza a tanúsított szabványok szervezetre vonatkozó követelményeit, a szervezet folyamatai a szabályzatoknak megfelelők-e, és a szervezet munkavállalói, beszállítói követik-e az elvárt folyamatokat. A belső auditok eredménye elősegíti a szervezet fejlődését, a megfelelő kontrollkörnyezet üzemeltetését. Egy érett szervezet a belső auditok során feltárt információkat hatékonyan tudja használni a működésének fejlesztésére, és az esetleges nem-megfelelőségek kijavítására.

Az ISO szabványok kapcsán azok kötelező előírása a keretrendszerek (információbiztonsági, minőségirányítási, környezetirányítási stb.) folyamatos monitorozása és a megfelelőség ellenőrzése.

 

Belső audit támogatása

Amikor a szervezet belső audit folyamatát támogatjuk, akkor szakmai támogatást nyújtunk a szervezet számára a belső auditok lefolytatása érdekében. Finomhangoljuk a szabályzatokat, segítünk a dokumentumok létrehozásában és az interjúk, dokumentumelemzések koordinálásában.

Belső audit teljes kiszervezése

Kiszervezett belső auditori tevékenységünk során az ISO megfelelőség ellenőrzésére a Black Cell CARA teljes mértékben átvállalja a belső auditok elvégzését. A teljes kiszervezés keretében a Black Cell CARA elvégzi a 3 éves audit terv és éves audit programok meghatározását, az auditok teljes körű lebonyolítását, az audit jelentések megírását és átadását.

Információbiztonsági felelős (IBF)

Támogatás

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) hatálya alá tartozó szervezetnél az információbiztonsági felelős felel:

  • A szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért.
  • Gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról, elvégzi vagy irányítja ezen tevékenységek tervezését, szervezését, koordinálását és ellenőrzését.
  • Előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot, előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását, véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit.
  • Kapcsolatot tart a hatósággal és az eseménykezelő központtal.
  • Az elektronikus információs rendszereket érintő biztonsági eseményről a jogszabályban meghatározottak szerint tájékoztatja a jogszabályban meghatározott szervet.

Tanácsadási szolgáltatásaink keretében a fenti tevékenységek jogszabályban foglalt követelményeknek megfelelő elvégzéséhez támogatást nyújtunk a szervezet információbiztonsági felelősének (IBF). Azon szervezet esetében, amely ISO/IEC 27001:2013 szerinti információbiztonsági irányítási rendszerrel rendelkezik, segítséget nyújtunk a 41/2015. (VII. 15.) BM rendelet és az ISO/IEC 27001:2013 kontrollkörnyezetének összehangolásában.

Teljes kiszervezés

Teljes kiszervezés esetén a Black Cell CARA biztosít a szervezet részére egy szakértőt, amely szakértő az ügyféligénynek megfelelő óraszámban a szervezet információbiztonsági felelőseként (IBF) részt vesz a szervezet munkájában, és ellátja az információbiztonsággal és a törvényi megfeleléssel kapcsolatos valamennyi feladatot.

Top