narzędzia informatyczne wspomagające iod w zarządzaniu ... · narzędzia informatyczne...
TRANSCRIPT
Narzędzia informatyczne
wspomagające IOD w zarządzaniu ochroną danych osobowych
Marcin Rek Dyrektor ds. Rozwoju Biznesu nFlo
Kliknij, aby edytować styl
© ESECURE 2018
ROZDZIAŁ I - Przepisy ogólne Artykuł 1 - Przedmiot i cele Artykuł 2 - Materialny zakres stosowania Artykuł 3 - Terytorialny zakres stosowania Artykuł 4 - Definicje
ROZDZIAŁ II - Zasady Artykuł 5 - Zasady dotyczące przetwarzania danych osobowych Artykuł 6 - Zgodność przetwarzania z prawem Artykuł 7 - Warunki wyrażenia zgody Artykuł 8 - Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego Artykuł 9 - Przetwarzanie szczególnych kategorii danych osobowych Artykuł 10 - Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa Artykuł 11 - Przetwarzanie niewymagające identyfikacji
ROZDZIAŁ III - Prawa osoby, której dane dotyczą Artykuł 12 - Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą Artykuł 13 - Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą Artykuł 14 - Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą Artykuł 15 - Prawo dostępu przysługujące osobie, której dane dotyczą Artykuł 16 - Prawo do sprostowania danych Artykuł 17 - Prawo do usunięcia danych („prawo do bycia zapomnianym”) Artykuł 18 - Prawo do ograniczenia przetwarzania Artykuł 19 - Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania Artykuł 20 - Prawo do przenoszenia danych Artykuł 21 - Prawo do sprzeciwu Artykuł 22 - Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie Artykuł 23 - Ograniczenia
ROZDZIAŁ IV - Administrator i podmiot przetwarzający Artykuł 24 - Obowiązki administratora Artykuł 25 - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych Artykuł 26 - Współadministratorzy Artykuł 27 - Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii Artykuł 28 - Podmiot przetwarzający Artykuł 29 - Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego Artykuł 30 - Rejestrowanie czynności przetwarzania Artykuł 31 - Współpraca z organem nadzorczym Artykuł 32 - Bezpieczeństwo przetwarzania Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu Artykuł 34 - Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Artykuł 36 - Uprzednie konsultacje Artykuł 37 - Wyznaczenie inspektora ochrony danych Artykuł 38 - Status inspektora ochrony danych Artykuł 39 - Zadania inspektora ochrony danych Artykuł 40 - Kodeksy postępowania Artykuł 41 - Monitorowanie zatwierdzonych kodeksów postępowania Artykuł 42 - Certyfikacja Artykuł 43 - Podmiot certyfikujący
ROZDZIAŁ V - Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych Artykuł 44 - Ogólna zasada przekazywania Artykuł 45 - Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony Artykuł 46 - Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń Artykuł 47 - wiążące reguły korporacyjnych Artykuł 48 - Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii Artykuł 49 - Wyjątki w szczególnych sytuacjach Artykuł 50 - Międzynarodowa współpraca na rzecz ochrony danych osobowych
ROZDZIAŁ VI - Niezależne organy nadzorcze Artykuł 51 - Organ nadzorczy Artykuł 52 - Niezależność Artykuł 53 - Ogólne warunki dotyczące członków organu nadzorczego Artykuł 54 - Zasady ustanawiania organu nadzorczego Artykuł 55 - Właściwość Artykuł 56 - Właściwość wiodącego organu nadzorczego Artykuł 57 - Zadania Artykuł 58 - Uprawnienia Artykuł 59 - Sprawozdanie z działalności
ROZDZIAŁ VII - Współpraca i spójność Artykuł 60 - Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy Artykuł 61 - Wzajemna pomoc Artykuł 62 - Wspólne operacje organów nadzorczych Artykuł 63 - Mechanizm spójności Artykuł 64 - Opinia Europejskiej Rady Ochrony Danych Artykuł 65 - Rozstrzyganie sporów przez Europejską Radę Ochrony Danych Artykuł 66 - Tryb pilny Artykuł 67 - Wymiana informacji Artykuł 69 - Niezależność Artykuł 71 - Sprawozdania
ROZDZIAŁ VIII - Środki ochrony prawnej, odpowiedzialność i sankcje Artykuł 77 - Prawo do wniesienia skargi do organu nadzorczego Artykuł 78 - Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu Artykuł 79 - Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu Artykuł 82 - Prawo do odszkodowania i odpowiedzialność Artykuł 83 - Ogólne warunki nakładania administracyjnych kar pieniężnych Artykuł 84 - Sankcje
ROZDZIAŁ IX - Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem Artykuł 85 - Przetwarzanie a wolność wypowiedzi i informacji Artykuł 86 - Przetwarzanie a publiczny dostęp do dokumentów urzędowych Artykuł 87 - Przetwarzanie krajowego numeru identyfikacyjnego Artykuł 88 - Przetwarzanie w kontekście zatrudnienia Artykuł 89 - Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych Artykuł 90 - Obowiązek zachowania tajemnicy Artykuł 91 - Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe
ROZDZIAŁ X - Akty delegowane i akty wykonawcze Artykuł 92 - Wykonywanie przekazanych uprawnień Artykuł 93 - Procedura komitetowa
ROZDZIAŁ XI - Przepisy końcowe Artykuł 94 - Uchylenie dyrektywy 95/46/WE Artykuł 95 - Stosunek do dyrektywy 2002/58/WE Artykuł 96 - Stosunek do uprzednio zawartych umów Artykuł 97 - Sprawozdania Komisji Artykuł 98 - Przegląd innych aktów prawnych Unii dotyczących ochrony danych Artykuł 99 - Wejście w życie i stosowanie
Kliknij, aby edytować styl
© ESECURE 2018
Szacowanie ryzyka podstawą do wdrożenia zabezpieczeń
Artykuł 35 - Ocena skutków dla ochrony danych
Artykuł 25 ust. 1 - Uwzględnianie ochrony danych w fazie
projektowania
Artykuł 32 - Bezpieczeństwo przetwarzania
Artykuł 25 ust. 2 - Domyślna ochrona danych
Kliknij, aby edytować styl
© ESECURE 2018
Szacowanie ryzyka wg ISO/IEC 27005
Ko
nse
kwen
cje/
sku
tki b
izn
eso
we
(Im
pac
t)
Prawdopodobieństwo scenariusza incydentu (Likelihood)
WYSOKA Wartość zasobu (potencjalne straty)
Konsekwencje prawne (np. kary finansowe
RODO)
Krytyczność zasobu (np. SCADA/OT)
Wielkość zagrożenia
Wielkość podatności
WIELKOŚĆ RYZYKA
ŚREDNIA
NISKA
NISKA
ŚREDNIA
WYSOKA
Kliknij, aby edytować styl
© ESECURE 2018
Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności
• Nieuprawniony dostęp do danych osobowych (utrata poufności)
• Nieuprawniona modyfikacja danych osobowych (utrata integralności)
• Utrata, kradzież lub nieuprawnione usunięcie danych osobowych (utrata dostępności)
• Nadmiarowa ilość danych osobowych
• Nieprawidłowe powiązanie danych osobowych z osobami, których dotyczą
• Niewystarczający opis powodów przetwarzania danych osobowych (brak przejrzystości)
• Nierespektowanie praw osób, których dotyczą danych osobowych
• Przetwarzanie danych osobowych bez wiedzy lub zgody osób, których dotyczą (chyba że takie przetwarzanie jest przewidziane w stosownych przepisach lub przepisach)
• Przekazanie danych osobowych stronom trzecim bez zgody osób, których dotyczą
• Nieuzasadnione przedłużenie czasu przechowywania danych osobowych
Kliknij, aby edytować styl
© ESECURE 2018
Ocena skutków dla prywatności wg ISO/IEC 29134
1. Identyfikacja przepływów danych osobowych w organizacji
2. Analiza zagrożeń wynikających z przetwarzania danych osobowych
Dane wejściowe: Wykaz procesów
biznesowych i systemów IT przetwarzających dane
osobowe
3. Ustalenie wymagań względem bezpieczeństwa danych osobowych
Wymagania standardów np. ISO/IEC 29100, wymagania polityki
bezpieczeństwa organizacji, wymagania prawa np. GDPR,
wymagania wynikające z umów i kontraktów, itd.
4. Oszacowanie ryzyka danych osobowych
5. Przygotowanie do obsługi ryzyk danych osobowych
6. Działania końcowe
4.1. Identyfikacja ryzyk danych osobowych4.2. Analiza ryzyka danych osobowych(analiza zagrożeń i potencjalnych konsekwencji, estymacja skutków i prawdopodobieństwa materializacji zagrożeń) 4.3. Ocena (priorytetyzacja) ryzyka danych osobowych(opracowanie mapy ryzyka danych osobowych)
5.1. Wybór opcji obsługi ryzyk (redukcja, zachowanie, eliminacja, transfer)5.2. Wybór zabezpieczeń5.3. Plan obsługi ryzyk (akceptacja właścicieli ryzyk, plan wdrożenia zabezpieczeń)
6.1. Przygotowanie raportu z prac6.2. Publikacja raportu6.3. Implementacja planu obsługi ryzyk6.4. Przegląd i audyt prac6.5. Rozważenie zmiany wielkości ryzyk, gdy nastąpiły zmiany w procesach biznesowych
zaczynamy od inwentaryzacji i dokumentacji
Kliknij, aby edytować styl
© ESECURE 2018
Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
„Naruszenie ochrony danych osobowych” - naruszenie bezpieczeństwa prowadzące do przypadkowego lub
niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego
dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości,
nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (...)
Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
a. opisywać charakter naruszenia ochrony danych osobowych (…)
b. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (…)
c. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu
ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego
ewentualnych negatywnych skutków.
(...)
Obowiązek zgłaszania naruszeń bezpieczeństwa
Kliknij, aby edytować styl
© ESECURE 2018
Zarządzanie incydentami wg ISO/IEC 27035
Etapy zarządzania incydentami Główne czynności wykonywane przez osoby odpowiedzialne
1. Planuj i przygotuj się Opracowanie planów, procedur, itp. oraz wdrożenie narzędzi
wspomagających zarządzanie incydentami
2. Wykrywanie i raportowanie Wykrywanie incydentów
Manualne raportowanie incydentów
3. Ocena i decyzje Ocena uszkodzeń po incydencie (triage)
Klasyfikacja (oraz usunięcie fałszywych alarmów)
4. Reakcja na incydent Powiadamianie i eskalacja (jeżeli jest wymagane)
Zablokowanie rozszerzenia incydentu (containment)
Zebranie śladów incydentu, dokumentacja (chain of custody)
Usunięcie źródła incydentu (eradication)
Odtwarzanie po incydencie (recovery)
Analiza śladów incydentu (forensic analysis)
5. Wyciąganie wniosków Analiza przyczyn incydentu (root cause analysis)
Rekomendacja poprawy bezpieczeństwa
Komunikowanie i dzielenie się wiedzą
Kliknij, aby edytować styl
© ESECURE 2018
Artykuł 30 - Rejestrowanie czynności przetwarzania
1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności
przetwarzania danych osobowych (...)
b. cele przetwarzania;
c. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
(...)
g. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których
mowa w art. 32 ust. 1.
2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego
prowadzą rejestr wszystkich kategorii czynności przetwarzania (...)
3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.
4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub
podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.
5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu
zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko (...)
Obowiązek utrzymania dokumentacji danych osobowych
Kliknij, aby edytować styl
© ESECURE 2018
Obowiązek wykazania zgodności z wymaganiami RODO
Artykuł 35 - Ocena skutków dla ochrony danych
Artykuł 33(5) - Rejestrowanie naruszeń ochrony danych osobowych
Artykuł 24 - Obowiązki administratora (...) administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać
(...) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia
(…) dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu
© ESECURE 2018
Narzędzia informatyczne wspomagające IOD w zarządzaniu
ochroną danych osobowych
1. Utrzymanie dokumentacji danych osobowych
2. Szacowanie ryzyka i rekomendacje wdrożenia zabezpieczeń
3. Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności
4. Raport naruszenia bezpieczeństwa dla organu nadzorczego
5. Rozliczanie i wykazanie zgodności z wymaganiami RODO
Kliknij, aby edytować styl
© ESECURE 2018
Czym jest SecureVisio?
Baza wiedzy eksperckiejModelowanie zagrożeń, audytowanie
bezpieczeństwa, symulacja pojedynczych punktów awarii
Elektroniczna dokumentacja wizualna CMDB, w tym narzędzia do mapowania systemów IT do
procesów biznesowych/ przemysłowych
oraz danych wrażliwych
Narzędzia wspomagające RODO
Zarządzanie incydentami(workflow, playbook)
Szacowanie ryzyka / Ocena skutków
SIEMNetwork Anomaly
DetectionSkanery podatności
generowanie dynamicznych reguł korelacji
SIEM
logi flowyskanowanie
zgodnie z harmonogramem
incydenty wykryte z
analizy flowów
wykrytepodatności
rozumienie zasobówi zabezpieczeń
API
auto-rozpoznawanie systemów IT
incydenty i podatności istotne dla danych
osobowych
ocena skutków i priorytetyzacja biznesowa wykrytych incydentów
i podatności bezpieczeństwa
błędy w projekcie zabezpieczeń i "pojedyncze punkty awarii"
krytyczne dla organizacji
ocena skutków naruszenia danych osobowych i generowanie raportów zgodnie z RODO
incydenty wykryte z
analizy logów
rozumienie procesów biznesowych i danych
wrażliwych
powiadamianie o incydentach i innych ważnych zdarzeniach
Analiza Threat Intelligence
feedy
Konsola i raportyrekomendowanezabezpieczenia
prezentacja stanu bezpieczeństwa
organizacji
rozumienieprocesów
biznesowych
adekwatne IoC
© ESECURE 2018
AUTOMATYCZNE ROZPOZNANIE
SYSTEMÓW
BAZA WIEDZY EKSPERCKIEJ
Dokumentacja sieci, systemów IT, zabezpieczeń oraz danych osobowych
Kliknij, aby edytować styl
© ESECURE 2018
Szacowanie ryzyka w obszarze cyberzagrożeń i konsekwencji naruszenia bezpieczeństwa
Kliknij, aby edytować styl
© ESECURE 2018
Szacowanie ryzyka w obszarze cyberzagrożeń i rekomendacja wdrożenia zabezpieczeń
Kliknij, aby edytować styl
© ESECURE 2018
Szacowanie ryzyka w zarządzaniu podatnościami
Ocena
skutków
© ESECURE 2018
INCYDENT SYSTEMU
KRYTYCZNEGO
BAZA WIEDZY EKSPERCKIEJ
Narzędzia powiadamiania o incydentach systemów IT przetwarzających dane osobowe
Kliknij, aby edytować styl
© ESECURE 2018
Rozliczanie i wykazanie zgodności z wymaganiami RODO
• Rejestr czynności przetwarzania
• Rejestr naruszeń bezpieczeństwa danych osobowych
• Raport z oceny skutków dla ochrony danych
• Upoważnienia
• Udostępnienia
• Uprawnienia
• Wnioski
• Szkolenia
Kliknij, aby edytować styl
© ESECURE 2018
Podsumowanie • SecureVisio pomaga organizacjom przejść "krok po kroku" do
osiągnięcia zgodności z RODO
• Narzędzia informatyczne wspomagają IOD w zarządzaniu ochroną danych osobowych w najbardziej złożonych i czasochłonnych czynnościach:
1. Szacowanie ryzyka podstawą do wdrożenia zabezpieczeń
2. Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności
3. Obowiązek utrzymania dokumentacji danych osobowych
4. Obowiązek zgłaszania naruszeń bezpieczeństwa organowi nadzorczemu
5. Obowiązek wykazania zgodności z wymaganiami RODO