Információbiztonsági ajánlások KKV-k számára
Előző cikkünkben azokat az alapvető lépéseket és megoldásokat mutattuk be, melyek alkalmazásával a magyar KKV-k csökkenthetik az adatvédelmi incidensek bekövetkezésének kockázatát.
Úgy gondoljuk, érdemes jobban elmerülni a technikai kérdések között is, hiszen az ISO27001 szabvány bevezetése és működtetése során világos kép alakult ki bennünk arról, hogy miképp lehet gondoskodni a kezelt adatok és a működésfolytonosság biztonságáról. Cégünk Információbiztonsági megbízottja összeállított egy olyan díjmentesen letölthető kézikönyvet, melyben a KKV cégvezetők és rendszergazdák számára fogalmazunk meg kiindulási alapnak használható biztonságtechnikai ajánlásokat.
Egy ilyen részletes anyag elkészítése sok háttérmunkával jár, így szeretnénk egy kis előzetes betekintést nyújtani a kézikönyvben leírtakba, mielőtt díjmentesen elérhetővé tesszük a teljes dokumentumot.
Kockázatértékelés
Az első és legfontosabb lépés, hogy megvizsgáljuk a cég folyamatait, hiszen ennek segítségével tudjuk felmérni azok kockázatosságát. Több módszertan is létezik arra, hogy miképpen állapítható meg, hogy az adott folyamat vagy működési mechanizmus mekkora kockázatot hordoz magában. Ennek ismeretében dönthetünk egy új rendszer kiépítése, vagy a már meglévő rendszer és folyamatok átalakítása mellett. Egy új rendszer kialakítása során – bár a tervezési feladatokat el kell végezni – várhatóan nem kell szervezeti ellenállással és már megszokott, "rossz szokásokkal" megküzdeni, azonban a kellő határozottsággal és tenni akarással a meglévő rendszerek is korszerűsíthetők. Jelen cikkünkben, és letölthető kézikönyvünkben is hangsúlyozzuk, hogy a kockázatértékelés kritikus pontja az információbiztonság kialakításának.
Munkatársak és hozzáférések
A munkatársak rendszerbe bevonására és onnan kivezetésére is egységes munkamenet szükséges. Ezzel elkerülhető az, hogy az újonnan érkező kollégáknak nincs hozzáférése olyan munkafelületekhez vagy szoftverekhez, amelyek elengedhetetlenek a munkája elvégzéséhez. Természetesen a cégtől való távozás során is gondoskodni kell arról, hogy a távozni készülő munkatárs többé ne férhessen hozzá olyan adatokhoz, szolgáltatásokhoz és információhoz, amelyek a cég működésével kapcsolatban állnak.
Az általunk használt, és ajánlott módszer az úgynevezett onboarding és offboarding checklistek alkalmazása. Az előre létrehozott listák segítségével megbizonyosodhatunk arról, hogy minden szükséges hozzáférés kiosztásra került-e, ha új munkatárs érkezik a céghez, így pontosan tudni fogjuk azt is, hogy egy esetleges távozás esetén milyen hozzáféréseket kell megvonni az illetőtől.
Kiemelten fontos, hogy minden felhasználó saját hozzáféréssel rendelkezzen a rendszerekhez. Ezzel biztosíthatjuk a rendszernaplózás pontosságát, ezáltal pedig megteremtjük a számonkérhetőséget is.
Munkatér biztonsága
Az informatikai biztonság mellett a hagyományos módon tárolt iratok, és általánosságban a munkatér megfelelő biztosítása is szükséges. Érdemes felülvizsgálni a helyiségek jellegét és biztonságtechnikai paramétereit. A leggyakrabban előforduló példa az irattár, ahova bárki beléphet, esetleg az a szerverszoba ahol nem csak a hálózati eszközökkel, de például tisztitóeszközök tárolásával is találkozhatunk. Ezeket a helyiségeket meg kell szabadítani azoktól a tárgyaktól, melyek nem tartoznak oda, és el kell látni őket a megfelelő védelemmel, zárakkal.
Hálózatok
Az emberek általában a legkisebb ellenállás felé mennek, ezért hajlamosak minden dokumentumot és fájlt a saját számítógépükre menteni, esetleg minden kommunikációt emailben folytatni. Ezek közül egyik sem követendő példa, de szerencsére számos jó megoldás van az információk közös menedzselésére, akár célszoftverek nélkül is.
A legfontosabb lépés, hogy információbiztonsági szabályzatunkban tiltsuk meg, hogy a munka során képződő dokumentumokat és anyagokat a saját számítógépükön tárolják. Erre azért van szükség, mert egy esetleges hardvermeghibásodás, szabadságolás, vagy egy váratlan betegség előfordulásakor egyik cég sem engedheti meg magának azt, hogy ne férjen hozzá az adatokhoz. A magyar KKV-knek is számos lehetőségük van az adatok központosítására, melyben csak az igények és a költségvetés szabhat határt. Választhatunk a felhőtárhelyek, a NAS vagy akár az irodai szerverek közül, esetleg kombinálhatjuk is ezeket. Mindhárom felsorolt alternatívának vannak előnyei és hátrányai is, így fontos, hogy először a cég saját igényeit mérjük fel.
Amennyiben az irodában biztosítunk WiFi-s internet hozzáférést a kollégáknak, vagy a tárgyalópartnereknek, ügyeljünk arra, hogy ezt egy tűzfalazott, a cég eszközeitől leválasztott hálózaton keresztül tegyük. Fontos kiemelni, hogy a kábeles hálózat is hasonló védelmet igényel, szükség esetén a nem használt fali csatlakozók tiltásáról is gondoskodnunk kell!
Biztonsági mentések
Biztonsági mentések nélkül nem lehet felelős módon számítógépes rendszereket üzemeltetni. Már a belépő szintű biztonsági mentési megoldások ára is eltörpül az adatvesztés lehetséges következményei mellett, melyek hatására a cég működése ellehetetlenülhet, az adatmegőrzési kötelezettségek elmulasztása miatt bírságot kaphat, valamint a hírneve és üzleti kapcsolatai is megszenvedhetik az esetleges adatvesztést.
Az egyre gyakrabban előforduló vírus- és zsarolóvírusfertőzések mellett gondolni kell a hardveres meghibásodásokra, vis maior esetekre is. Egy csőtörés, vagy vihar okozta túláram könnyen tönkre teheti a telephelyen tárolt helyszíni mentéseket is, így érdemes gondoskodni az úgynevezett "offsite", azaz telephelyen kívüli mentési példányokról is.
Fontos, hogy az elkészített biztonsági mentéseket is ellenőrizni kell, hiszen probléma esetén nem nyújtanak segítséget a sérült, hibásan mentett vagy hiányos mentési adatok.
Információvagyon bizalmi osztályozása
Ahhoz, hogy a cég meg tudja határozni a hozzáféréseket, fontos, hogy be tudja sorolni az adott információk bizalmassági szintjét. A publikus, a belső felhasználású és a bizalmas jellegű tartalmakat máshogy kell kezelni, hiszen a téves besorolás, vagy a bizalmi osztályozás figyelmen kívül hagyása komoly anyagi kárt okozhat a vállalkozások számára. Javasolt a bizalmas jellegű papírokat külön, zárható szekrényekben vagy fiókokban tárolni, és kijelölni egy kollégát, aki a papír alapú dokumentumok védelméért felelős.
GDPR megfelelés
A 2018.05.25-től alkalmazandó egységes európai adatvédelmi rendelet számos követelményt támaszt az európai – így a magyarországi – vállalkozások számára.
Az automata döntéshozatalok kezelése és nyilvántartása, az incidens kezelési protokollok, az adatmódosítások naplózása, a hozzájárulások nyilvántartása és naprakész frissítése, valamint az adatbázisok megfelelő használatában több cégnél is tapasztaltunk hiányosságokat, így ezekre GDPR managereink külön kitérnek a letölthető dokumentumban.
Fontos, hogy amennyiben adatfeldolgozókkal dolgozunk, vagy az ő szolgáltatásaikat használjuk, mindenképpen adatkezelési szerződést kell kötnünk az érintett vállalkozásokkal. Az ilyen szerződésekben tisztázni tudjuk azokat az elvárásokat, melyeket megkövetelünk a partnerünkkel szemben, és adott esetben segíteni tudunk ezek elérésében.
Iratkozzon fel!
Ezen blogcikkünkben természetesen nem tudjuk feldolgozni a teljes, több mint 20 oldalas kézikönyv minden témakörét és javaslatát, ezért amennyiben felkeltettük érdeklődését, kérjük iratkozzon fel hírlevelünkre, hogy azonnal értesíteni tudjuk a megjelenésről. Blogunk mellett kövesse Facebook oldalunkat, ahol értesíteni fogjuk követőinket is, amint letölthetővé válik az anyag.
Frissítés: A kézikönyv díjmentesen elérhető az alábbi letöltőoldalon
