Személyes adatok védelméről készült úttörő szabvány
A viharos sebességgel fejlődő informatikai rendszerek – felhőalapú megoldások, mesterséges intelligencia, okosvárosok, automatizált folyamatok – egyre hatékonyabbá teszik a cégek, szervezetek, közösségek működését. Ennek azonban ára is van: a korábban megszokottnál jóval több figyelmet kell fordítani az informatikai biztonságra.
2017 végén világszerte mintegy 3,8 milliárd internetfelhasználó volt, szemben a 2015-ös 2 milliárddal. A Cybersecurity Ventures úgy becsüli, hogy 2022-ra 6 milliárd internetező lesz (amely az addigra 8 milliárdra gyarapodó népesség 75%-a), 2030-ra pedig a számuk eléri a 7,5 milliárdot is (amely a jósolt 8,5 milliárdos lakosság 90%-a).
2016-ban minden 39. másodpercre jutott egy hekkertámadás. A személyes adatok megszerzésére irányult sikeres támadások 95%-a három területre összpontosult: a kormányzatra, továbbá a kereskedelmi és technológiai cégekre. 2016-ban a cégek 64%-a szenvedett el webalapú támadásokat, melyek 43%-a főként kisvállalkozásokra összpontosult. Tavaly összesen egymilliárd személyes profilt sikerült feltörni.
A Cybersecurity Ventures 2017-es jelentése szerint 2015-ben 3 milliárd dollár volt a kiberbűnözés okozta károk mértéke, és ez az összeg 2021-re meg fog duplázódni. A védekezésre költött összeg pedig öt éven belül el fogja érni az 1 milliárd dollárt.
Egy hekkertámadás komoly veszélyekkel járhat, köztük elvesztett ügyfelekkel és ezáltal akár csökkenő bevétellel is. A Cisco frissen közzétett IT-biztonsági jelentése szerint például, az adatvesztést elszenvedő vállalatok 22%-ától távozott már ügyfél emiatt, az ilyen vállalatok 44%-ánál a korábbi ügyfélszám mintegy egyötöde. A vizsgált szervezetek 29%-ánál az adatvesztés bevételcsökkenést is eredményezett, az ilyen szervezetek 38%-ánál a bevételkiesés mértéke a 20%-ot is meghaladta.
Nem meglepő, hogy a világ kormányai törvényekkel és rendeletekkel reagáltak annak érdekében, hogy csökkentsék ezeket a veszélyeket és védjék digitális biztonságunkat. Hogyan tudnak a cégek ezeknek az elvárásoknak megfelelni és ugyanakkor védeni is magukat? Nemrégen megjelent a világ első erre vonatkozó nemzetközi szabványa, mely abban segíti a szervezeteket, hogyan kezeljék a személyes információkat és hogyan feleljenek meg a törvényi szabályozásoknak.
A digitális adatvédelem jelentős üzleti aggodalomra ad okot. Az IMB szerint az adatokkal való visszaélés átlagos költsége 3,6 millió dollár, és a jogi kötelezettségek egyre szigorúbbak. A világ kormányai különféle adatvédelmi szabályokat vezetnek be, mint pl. az Európai Unió a GDPR-t, melynek minden szervezetnek eleget kell tennie. Az új ISO-szabvány segíti a cégeket, hogy megfeleljenek a követelményeknek, bármely területen tevékenykednek is.
Az ISO/IEC 27701:2019 Biztonságtechnika. Az ISO/IEC 27001 és ISO/IEC 27002 kibővítése a személyes adatok védelme tekintetében. Követelmények és útmutatások meghatározza egy egyedi személyes adatvédelemre vonatkozó információbiztonság-irányítási rendszer létrehozásának, megvalósításának, kezelésének és fejlesztésének követelményeit. Más szóval a személyes adatok védelmének irányítási rendszerét (PIMS).
A kidolgozás alatt korábban ISO/IEC 27552-ként említett szabvány az ISO/IEC 27001 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények című szabványra épül, és foglalkozik a személyes adatvédelemmel kapcsolatos extra követelményekkel is.
Dr. Andreas Wolf, a szabványt kidolgozó ISO/IEC bizottság elnöke szerint szinte minden szervezet feldolgoz személyazonosító adatokat (PII), és ezeket védeni nemcsak jogszabályi követelmény, hanem társadalmi igény is.
„Az ISO/IEC 27701 folyamatokat határoz meg és útmutatót ad a személyazonosító adatok védelmére. Mivel ez egy irányítási rendszer, meghatározza az adatvédelem folyamatos fejlesztésének folyamatait, amely különösen fontos egy olyan világban, ahol a technológiai fejlődés nem áll meg.”
Julie Brill, a Microsoft – mely a bizottság egyik aktív tagja – alelnöke és az adatvédelmi és szabályozási ügyek helyettes jogtanácsosa a következőket mondta: „Gratulálunk az ISO/IEC műszaki bizottságának, hogy megalkotta ezt az úttörő szabványt az adatvédelemről, s így bármilyen méretű, tevékenységi területű vagy iparágú szervezet védeni és ellenőrizni tudja az általa kezelt adatokat. A Microsoft az EU-s GDPR-jogok globális kiterjesztése iránti elköteleződésének következő lépéseként a Microsoft Azure és az Office 365 szoftvereiben is megvalósítja a PIMS-et (személyes adatok védelmének irányítási rendszerét) és támogatja ügyfeleit és partnereit ezen interoperabilitási modell alkalmazásában.”
Az ISO/IEC 27701-t az ISO/IEC JTC1/SC 27 „Információbiztonság, kiberbiztonság és adatvédelem” műszaki bizottság WG 5 munkacsoportja dolgozta ki, mely számos szakértőt tömörít a világ minden részéről, ideértve az adatvédelmi hatóságokat, információbiztonsági ügynökségeket, egyetemeket és piaci szereplőket. A titkárságát a DIN, a Német Szabványügyi Intézet látja el.
Matthieu Grall, a Commission Nationale de l’Informatique et des Libertés tagja független francia adatvédelmi figyelő és az SC 27 -ben aktívan részt vett a szabvány kidolgozásában. „Mivel jelentősen szigorodnak az adatkezelési szabályok, valós szükség van erre a szabványra”, mondja Grall úr. „Annak a kockázatnak ellenére, hogy nem teljesítik ezeket a szabályokat, tudjuk, hogy sok cég egyszerűen még nem áll készen és útmutatást igényel. Mivel egyre több a panasz és a büntetés az adatvédelem hiánya miatt, nyilvánvaló, hogy szükség van erre a szabványra. Sőt, a cégeknek növelniük kell a bizalmat a hatóságokban, a partnereikben, az ügyfeleikben és az alkalmazottaikban, melyhez ez a szabvány jelentősen hozzájárul.”
Források:
ISO honlapja
https://www.invitech.hu/blog/it-szolgaltatas/informatikai-biztonsag-ot-erdekes-szempontbol
https://computerworld.hu/biztonsag/egyre-nagyobb-kihivast-jelent-a-vallalatoknak-az-it-biztonsag-228987.html
World Economic Forum Global Risks 2018
2017 Cost of Data Breach Study
Az ISO által kiadott nemzetközi szabványokat nem kötelező bevezetni nemzeti szabványként, de abban az esetben, ha a gazdaság szereplői igénylik, nincs akadálya nemzeti szabványként való kiadásának. Az ISO/IEC 27701:2019 nemzeti szabványként való bevezetésére árajánlat kérhető a szabvtit@mszt.hu címen.
A szabvány megvásárolható az MSZT Szabványboltban vagy megrendelhető a kiado@mszt.hu e-mail-címen a Megrendelőlap kitöltésével vagy az MSZT webáruházában.
Zajdon Anna
2019. szeptember