Az Adatvédelem irányítási alapelv alkalmazása az Adatvédelem - célkitűzés kapcsán beazonosított kockázatok kezelésére
Az Adatvédelem irányítási alapelv alkalmazásának célja annak biztosítása, hogy a szervezet és a munkatársak elkötelezettek legyenek a rendszer- és adatbiztonsági, valamint a bizalmas adatkezelési alapelvek megvalósítása iránt, és elkerülhető legyen az üzleti működés során kezelt bizalmas információk jogosulatlan hozzáférése és illetéktelen felhasználása.
Az Adatvédelem irányítási alapelv sikeres alkalmazásának eredményei:
1) Kontrollokat alakítanak ki, tartanak karban és alkalmaznak a rendszerbiztonsági incidensek megelőzésére.
2) Csalás-megelőzési program kerül kialakításra és fenntartásra.
3) A bizalmas adatkezelésre vonatkozó irányelvek és eljárások kerülnek kidolgozásra és alkalmazásra.
A fenti eredményeket az alábbi irányítási gyakorlatok alkalmazásával lehet elérni:
A rendszerek biztonságának megvalósítása. A szervezet kontrollokat alakít ki, tart karban és alkalmaz annak érdekében, hogy az információk és az adatfeldolgozó infrastruktúra sértetlenségének fenntartása, és a biztonsági sebezhetőségek és rendkívüli helyzetek hatásának minimalizálása megvalósuljon. [Eredmény: 1]
Informatikai biztonság menedzsment. Az informatikai biztonság irányítása a megfelelő legmagasabb szervezeti szinten kell legyen, annak érdekében, hogy a biztonsági intézkedések menedzselése összhangban legyen az üzleti követelményekkel.
Informatikai biztonsági terv. Az üzleti, kockázati és megfelelőségi követelményeket le kell fordítani egy átfogó informatikai biztonsági tervre, figyelembe véve az informatikai infrastruktúrát és a biztonsági kultúrát. Gondoskodni kell arról, hogy a terv megvalósításra kerüljön a biztonsági irányelvek és eljárások formájában, továbbá pénzügyi befektetések révén a szolgáltatásokba, személyzetbe, szoftverekbe és hardverekbe. A biztonsági irányelveket és eljárásokat ismertetni kell az érdekelt felek és a felhasználók felé.
Személyazonosítás kezelése. Gondoskodni kell arról, hogy az összes (belső, külső és ideiglenes) felhasználó és az informatikai rendszereken (üzleti alkalmazások, informatikai környezet, rendszerműveletek, fejlesztés és karbantartás) végzett tevékenységük egyedileg beazonosítható legyenek. A felhasználók azonosítását lehetővé kell tenni hitelesítési mechanizmusokon keresztül. Meg kell győződni arról, hogy a rendszerekre és az adatokra vonatkozó felhasználói hozzáférési jogok összhangban vannak a meghatározott és dokumentált üzleti igényekkel, és hogy a felhasználói azonosítókhoz csatol ták-e a munkaköri leírásokat. Gondoskodni kell arról, hogy a felhasználói hozzáférési jogokat a felhasználó illetékes vezetői kérelmezzék, és azokat a rendszerek felelősei hagyják jóvá, és a biztonságért felelős személy állítsa be. A felhasználói azonosít ókat és a hozzáférési jogok egy központi adattárban kell naprakészen tartani. Gazdaságos műszaki és eljárási rendek bevezetése és naprakészen tartása a felhasználói azonosítás bevezetése, a hitelesítés megvalósítása és a hozzáférési jogok betartatása érdekében.
Felhasználói fiókok kezelése. Foglalkozni kell a felhasználói fiókok és a kapcsolódó felhasználói jogosultságok igénylésével, kialakításával, kiadásával, felfüggesztésével, módosításával és lezárásával a felhasználói fiókkezelő eljárások csoportjának segítségével. Ki kell egészíteni egy jóváhagyási eljárással, amely főbb pontjaiban ismerteti azokat az adatgazdákat és rendszer felelősöket, akik a hozzáférési jogosultságokat megadják. Ezeket az eljárásokat az összes felhasználó esetében alkalmazni kell, beleértve az adminisztrátorokat (kiemelt jogosultságokkal rendelkező felhasználók), valamint a belső és külső felhasználókat mind a normál, mind a rendkívüli eseményekre vonatkozóan. A vállalat rendszereihez és információihoz történő hozzáféréssel kapcsolatos jogokat és kötelezettségeket szerződésben kell rögzíteni az összes felhasználó típusra. Az összes fiók és kapcsolódó jogosultság ok rendszeres vezetői felülvizsgálatát el kell végezni.
Biztonság tesztelése, felügyelete és figyelemmel kísérése. Az informatikai biztonság megvalósítását aktívan és kezdeményezően kell tesztelni és nyomon követni. Az informatikai biztonságot idejekorán, ismételten kell bevizsgálni annak biztosítása érdekében, hogy a vállalat jóváhagyott alap informatikai biztonsági szintjét fenntartsák. Egy naplózási és egy figyelemmel kísérési funkciónak kell lehetővé tennie az olyan szokatlan, és/vagy abnormális tevékenységek korai megelőzését, és / vagy észlelését és azt követően időben történő jelentését, amelyekkel lehet, hogy foglalkozni kell.
Biztonsági rendkívüli esemény meghatározása. A lehetséges biztonsági rendkívüli események jellemzőit világosan meg kell határozni, és ismertetni kell annak érdekében, hogy azokat a rendkívüli esemény és problémakezelő folyamat helyesen osztályozni és kezelni tudja.
Biztonsági technológiák védelme. A biztonsággal kapcsolatos technológiát úgy kell megvalósítani, hogy az ellent tudjon állni az engedély nélküli módosításnak, és a biztonsági dokumentációt nem szabad szükségtelenül nyilvánosságra hozni.
Kriptográfiai kulcsok kezelése. Gondoskodni kell arról, hogy a kriptográfiai kulcsok létrehozásának, megváltoztatásának, visszavonásának, megsemmisítésének, kiosztásának, tanúsításának, tárolásának, bevitelének, használatának és archiválásának szervezését szolgáló irányelvek és eljárások működjenek annak érdekében, hogy a kulcsok módosítás és engedély nélküli feltárás elleni védelme biztosított legyen.
Kártevő szoftverek megelőzése, felismerése és hatásuk korrigálása. Megelőző, észlelő és helyesbítő intézkedések et kell bevezetni (különösen naprakész biztonsági frissítések és vírusvédelem) a szervezet minden területén az információrendszerek és az informatika kártékony szoftverektől való védelme érdekében (például vírusok, férgek, kémszoftverek és kéretlen üzenetek).
Hálózatbiztonság. A hálózatoktól és a hálózatokhoz történő hozzáférés engedélyezése és a hálózatokból történő és a hálózatokba irányuló információáramlás ellenőrzéséhez biztonsági módszereket és azokhoz kapcsolódó irányítási eljárásokat kell alkalmazni (például tűzfalakat, biztonsági készülékeket, hálózati szegmentációt, behatolás észlelés).
Bizalmas adatok cseréje. A bizalmas tranzakciós adatok cseréje csak megbízható útvonalon keresztül, illetve olyan adathordozó segítségével történhet, amelyek kontrolljai biztosítják a tartalom hitelességét, az átadás bizonyíthatóságát, az átvétel bizonyíthatóságát és az eredet letagadhatatlanságát.
A csalás kockázatkezelése. A csalásból eredő lényegileg téves állítások lehetőségét kifejezetten figyelembe kell venni a megbízható üzleti működés és beszámolás céljainak elérését érintő kockázatok értékelése során. [Eredmény: 2]
A kompenzációs csomagokkal kapcsolatos ösztönző és késztető tényezők vizsgálata. A felügyeleti testület és a vezetés áttekintik a szervezetben alkalmazott kompenzációs csomagokat és a szervezet teljesítményértékelési folyamatát annak céljából, hogy megállapítsák azokat a lehetséges ösztönző és az olyan, az egyéneket befolyásoló késztető tényezőket, amelyek az alkalmazottakat csalásra késztethetik.
A csalás kockázatértékelésének elvégzése. A vezetés a csalás kockázatára vonatkozóan átfogó értékelést végez, hogy megállapítsa a csalás, vagy más rosszhiszemű cselekmény előfordulásának minden lehetőségét.
A kontrollok megkerülését vagy megszegését lehetővé tevő módszerek feltárása. A csalás ellen létrehozott, a teljes szervezetet átfogó kontrollok tervezési és működési eredményességének megállapítása, értékelése és tesztelése során a vezetés megvizsgálja, hogy az alkalmazottak milyen módon próbálhatják megkerülni vagy megszegni a csalás megakadályozását vagy felderítését célzó kontrollokat.
Informatikai eszközök használata. A vezetés, ahol az célszerű, a csalás kockázatának megállapításának és kezelésének céljából informatikai eszközöket alkalmaz, mint például biztonsági rendszereket, a csalást felderítő és nyomon követő eszközöket, valamint eseménykövető rendszereket.
Események vizsgálatát és korrekcióját végző folyamatok kidolgozása. A vezetés célszerűen felépített folyamatot dolgoz ki az események kivizsgálására és korrekciójára. A vizsgálati szerepköröket és felelősségeket világosan meghatározzák, a folyamatokba pedig beépítenek egy olyan nyomon követő mechanizmust, amely lehetővé teszi a vezetés számára, hogy jelentse a lényeges csalási eseményeket.
A csalás kockázatának belső ellenőrzés által történő értékelése. A belső ellenőrzési terület felelős vezetője beépíti a csalásra vonatkozó kockázatértékelés eredményét a belső ellenőrzési tervbe. A vezetés megvizsgálja és megerősíti, hogy a belső ellenőrzési terv kitér a vonatkozó kockázatokra.
A bizalmas adatkezelés követelményeinek való megfelelés biztosítása. A személyes információk gyűjtésére, felhasználására, tárolására, közzétételére és megsemmisítésére vonatkozó elkötelezettség megfelelő megjelenítése és megvalósítása az általánosan elfogadott ”privacy” elvek (GAPP) által támasztott követelmények szerint. [Eredmény: 3]
- Irányítás. A szervezet azonosítja, dokumentálja, kommunikálja és kijelöli a felelősöket a bizalmas adatkezelési politikái és eljárásai vonatkozásában.
- Nyilatkozat. A szervezet nyilatkozatot bocsát ki a bizalmas adatkezelési politikáiról és eljárásairól és egyértelműen azonosítja a személyes adatok kezelésének (gyűjtésének, használatának, alkalmazásának és közzétételének) célját vagy céljait.
- Választás és hozzájárulás. A szervezet meghatározza a magánszemélyek választási lehetőségeit, valamint megszerzi a bele érthető vagy nyílt (határozott) hozzájárulást a személyes adatok kezelésére (gyűjtésére, használatára, alkalmazására és közzétételére) vonatkozóan.
- Adatgyűjtés. A szervezet csak az adatkezelési nyilatkozatában leírt célokból gyűjti az adatokat.
- Felhasználás és tárolás. A szervezet az adatkezelési nyilatkozatában meghatározott célok és a magánszemély bele érthető vagy nyílt hozzájárulása szerint korlátozza a személyes adatok felhasználását. A szervezet csak a közzétett célok megvalósulásához szükséges ideig tárolja a személyes adatokat.
- Hozzáférés. A szervezet hozzáférést biztosít a magánszemélyek számára a saját személyes adataikhoz, hogy ellenőrizhessék vagy aktualizálhassák azokat.
- Adatok átadása harmadik félnek. A szervezet a személyes adatokat csak az adatkezelési nyilatkozatában meghatározott célok szerint és a magánszemély bele érthető vagy nyílt hozzájárulása esetén adhatja át harmadik félnek.
- Bizalmasság megvédése. A szervezet megvédi a személyes adatokat az illetéktelen (mind fizikai, mind logikai) hozzáféréstől.
- Minőség. A szervezet fenntartja a kezelt személyes adatok pontosságát, teljességét és relevanciáját az adatkezelési nyilatkozatában meghatározott célok szempontjából.
- Nyomon követés és jogi rendezés. A szervezet nyomon követi a bizalmas adatok kezelésére vonatkozó politikáinak és eljárásainak való megfelelést és eljárásokat alkalmaz a bizalmas adatok kezelése tárgyában felmerülő panaszok és viták rendezésére.