Adatvédelem, információ-biztonság a könyvvizsgálatban másolata másolata

Folyamatos rendelkezésre állás biztosítása

• Mit kell védeni?
• papír alapú, digitális, emberi fejben lévő adatok
• eszköz, berendezés

• Mitől kell védeni?
• információk bizalmasságát, integritását, rendelkezésre állását fenyegető veszélyek elől
• emberi tényező!

• Hogyan kell megvédeni?
• IT stratégia

• üzleti titok
• könyvvizsgálói bizonyítékok megszerzése
• szoftver használat
• adatok, információk tárolásának helye
• jelszavas belépési lehetőség
• vírusok elleni védelem
• notebook használat
• hozzáférés korlátozása: jelszavak
• "idegen" hálózat használata
• titkosítás
• fizikai védelem

Tusnádiné Ágoston Márta

könyvvizsgáló, adótanácsadó,

informatikus mérnök

tusnadi.marta@helloado.hu

www.metrumreferencia.hu

Adatvédelem,

információ-biztonság

a könyvvizsgálatban

Adat - információ információ-biztonság?

Az információ-biztonság alapjai

Információ:

• értesülés, hír, üzenet, tájékozódás
• valamely releváns ismeret hiányt csökkent

értéke van profitot termel

• tulajdonságai: mennyisége, minősége, felhasználhatósága, hozzáférhetősége, érthetősége, védelme

Adat:

• Bizalmasság (jogosultság)
• Sértetlenség (az adatot nem éri kár, teljesség, pontosság)
• Rendelkezésre állás (hozzáférés az információhoz)

100%-os biztonság nincs

Kellő bizonyosság!

Cél:

kockázatarányos biztonság megteremtése

• az információ közlése, hír, értesülés elemi ismeret
• független az adathordozótól
• feltételez valamilyen médiumot, közvetítést

információ informatika

IT : Information Technology

ADATVÉDELEM:

adatvesztés elleni intézkedések

ADATBIZTONSÁG:

illetéktelen hozzáférés elleni intézkedések

Üzleti titok

• MKVK Alapszabály: 166. pont

• Ptk. 2:46. § magán titok, levéltitok és hivatásbeli titok oltalma
• 2018. évi LIV. törvény az üzleti titok védelméről

Hatályos: 2018.08.08. (MK.123.)

Köszönöm

megtisztelő figyelmét!

Tusnádiné Ágoston Márta

tusnadi.marta@helloado.hu

2018. 09. 07.

Könyvvizsgálói bizonyítékok

megszerzése

• e-mail

technológiailag nem támogatja a GDPR elveit

• pen drive

ügyfelenként szeparáltan, titkosítási lehetőség!

• a könyvvizsgáló webes/felhő alapú tárhelye

a biztonság a könyvvizsgáló hatáskörébe tartozik

• az ügyfél webes/felhő alapú tárhelye

a biztonságot az ügyfél nyújtja

• független ingyenes felhő alapú tárhely

az adatbiztonság erősen kérdéses

Biztonságos jelszó

Információ-biztonság

A leggyakabban használt jelszavak:

2015-ben 11,7 millió kiszivárgott jelszó alapján

• 10% a 25 legrosszabb jelszót használja
• 3% jelszava: 123456

Legalább

• 8-10 karakter
• betű és számjegy
• 2 nagy betű
• 2 számjegy
• 1 írásjel
• nehezen kitalálható
• pl. Mici-9e

Biztonsági mentés - rossz jelszó választás

Mit tárolunk például mobil eszközökön?

• üzleti levelezést?
• könyvvizsgálói bizonyítékokat?
• céges naptárt?
• elmentett jelszavakat?
• bankkártya adatokat?
• egyéb szenzitív adatokat?

MSZ ISO/IEC 27001

Sérül a bizalmasság!

Biztonságos jelszó!

Ingyenes felhő Fizetős felhő

Szerver Felhő

• a szolgáltatások

korlátozások nélkül vehetők igénybe

• nincs benne reklám
• jelentős szakmai támogatást igényel
• rendelkezésre állás 7/24 h
• szolgáltatói garancia valamennyi szolgáltatásra

jellemző a korlátozott funkcionalitás, de átlagos célokra megfelelő lehet

• szakmai támogatás nem, vagy

szinte nem elérhető

• a szolgáltató reklámok nyújtásával fedezi költségeit,

az ingyenesség = lehetőség

e-mail postafiók ?!

Adatmentések szabályozása

• Érdekelt felek azonosítása, követelményeik
• Információ-biztonság irányítási rendszer kialakítása, fejlesztése
• Szabályzat: szervezet céljai,

információ-biztonsági célok, fejlesztés

• funkció:

• fenntartás:

• tárolása helye:

• rendelkezésre

állás:

• skálázhatóság:

• biztonság:

• kontroll:

erőforrás (tárhely, program futtatása)

saját infrastruktúra / bérelt

fizikai adattárolás,

a tárolás helye ismert

alacsonyabb rendelkezésre állás,

hiba esetén nem működik, support

beruházás költsége,

tárhely alul/felül méretezése, nehezen bővíthető

közvetlen rendszergazdai felügyelet (tűzfal, biztonsági védelem,...)

szoftver környezet kiválasztás lehetősége, teljes kontroll

erőforrás (tárhely, program futtatás)

szerverek összessége, szerver-hálózat

csak bérelt

adott tárhely feletti rendelkezési jog

a tárolás helye ismeretlen

nem áll le, egy hiba esetén a másik szerver átveszi a hibás gép szerepét

csak a szükséges tárhely után kell fizetni, rugalmas

bizalmi alapon, nincs ráhatásunk

korlátozott szolgáltatások köre

Adatok tárolása,

adatokhoz való hozzáférés

• manuális / automatizált: mentő szoftver, tükrözés
• kijelölt adatok: meghajtók, mappák, file-ok vagy

a teljes rendszerről készül

• gyakoriság: napi/heti/havi
• tárolás ideje: meddig kereshetők vissza az adatok?
• mentés helye: egyidejűleg ajánlott!
• saját számítógépen belül
• hálózaton belül, de más eszközön (szerver, külső winchester...)
• fizikailag más helyen
• felhőben / távoli számítógépen / mentő eszköz elszállítása
• kémprogramok, vírusok támadási elleni védelem
• ELLENŐRZÉS! Tesztelés!

• saját gépen

• hálózatban
• távoli bejelentkezéssel

Működés - értékelés

Tervezés

• felhőben

IT stratégia

• Folyamatok meghatározása és felügyelet
• Ellenőrzés: megfigyelés, mérés, elemzés (mikor? kinek? miről?)
• Dokumentálás
• Belső audit:
• Cél: megfelel-e a szervezet követelményeinek / szabványnak?
• Audit program (gyakoriság, auditor, módszer, felelősség, audit kritériumok és alkalmazási területek)
• Bizonyítékok beszerzése, dokumentálása
• Eredmények elemzése
• Kommunikáció a vezetés felé
• Vezetői átvizsgálás, fejlesztési lehetőségek
• Nem megfelelőség esetén reakció
• Folyamatos fejlesztés garantálása

• a kockázatok felmérése
• a lehetőségek azonosítása
• a rendszer fejlesztésének megtervezése
• a folyamat megvalósítása
• értékelés
• dokumentálás kockázatkezelési terv

Támogatás

• erőforrások
• felkészültség: oktatás
• kommunikáció: miről? mikor? kivel? kinek? mit? folyamatok...
• dokumentáció
• elérhetőség, hozzáférés, tárolás, megőrzés, védelem, változás-felügyelet, selejtezés

2018.09.07.