Kontrola dostępu do informacji w administracji publicznej

Transkrypt

1 Kontrola dostępu do informacji w administracji publicznej Marcin Kozak Architekt Bezpieczeństwa Oracle Polska 1

2 Data Privacy Act 25 stycznia 2012 Cel Propozycja Nowej Dyrektywy Parlamentu Europejskiego w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. 2

3 Data Privacy Act propozycje zmian Propozycja nowelizacji Ustawy o ochronie danych osobowych Artykuły 28 i 29 wprowadzają obowiązek zawiadamiania o naruszeniach ochrony danych osobowych (24 godziny) Artykuł 46 umocnienie pozycji organu nadzorczego (GIODO), Uprawnienia dochodzeniowe Uprawnienia interwencyjne Nowe możliwości nakładanie kar finansowych: Artykuł 55: Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające. 3

4 Społeczna świadomość poufności informacji 4

5 Odpowiedzialności Informacja jest aktywem posiadającym wartość, niezależnie od sposobu czy formy przechowywania (papier, postać cyfrowa itd.) Kierownictowo odpowiedzialne jest za bezpieczeństwo informacji (tak jak odpowiedzialne jest za zarządzanie sekcją/oddziałem/departamentem) Aktywa: Dane osobowe Podpisane umowy 5 5

6 Podejście do zagadnienia zarządzania informacją Właściciel informacji (information owner/biznes - ODPOWIEDZIALNOŚĆ) Klasyfikacja informacji (np. ISO A.7.2) Kontrola dostępu (ISO A ) Opiekun informacji (information custodian) Użytkownik informacji (user) 6 6

7 Zarządzanie Ryzykiem Analiza Ryzyka (na etapie projektu) Identyfikacja aktywów i ich wartości Identyfikacja słabości i zagrożeń Określenie ryzyka związanego ze zmaterializowaniem się zagrożeń Zarządzanie ryzykiem (w tym stosowanie mechanizmów kontrolnych) Analiza Ryzyka pozwala zarządzającym skonstruować budżet i określić kierunki działań uwzględniając aspekty strategiczne 7 7

8 Porozmawiajmy o ryzykach Podejście praktyka 8

9 Standardy, Standardy, Standardy Czyli czego warto używać? STIG (Database Security Technical Implemetation Guide) DISA (DoD) CIS (Center for Internet Security) National Institute of Standards and Technology SP SP SP

10 10 10

11 Repozytorium informacyjne Zewnętrze Audyt Aplikacje Monitorowanie komunikacji Auditing Tajne Procurement Authorization Wewnętrzne HR Authentication Publiczne Rebates Nieautoryzowany dostęp Silne uwierzytelnianie Klasyfikacja informacji ochrona tego co najwazniejsze Szyfrowanie informacji na dysku/macierzy Szyfrowanie kopii zapasowych Szyfrowana komunikacja Anonimizacja 11

12 Czy akceptujemy fakt, że administratorzy bazy danych mają dostęp do wszystkich informacji znajdujących się w tej bazie? Czy stanowi to dla nas ryzyko? 12

13 Czy akceptujemy sytuację, w której informacje zapisywane są na dysk (macierz, nośnik) w postaci niezaszyfrowanej? Czy ten fakt może stanowić dla nas ryzyko? 13

14 Czy akceptujemy sytuację, w której wszystkie informacje przesyłane między aplikacjami, a bazą, są przesyłane tekstem? (niezaszyfrowane) Czy ten fakt może dla nas stanowić ryzyko? 14

15 Czy akceptujemy sytuację, w której przekazując komuś informacje tracimy nad nią kontrolę? Czy ten fakt może dla nas stanowić ryzyko? 15

16 16

17 17

18 18

19 Minimalizacja ryzyka Regulacje i prawo Rekomendacje Standardy Umowy (ochrona poufności) Czy technologicznie jesteśmy gotowi? 19 19

20 DZIĘKUJĘ 20