Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych. Marcin Rek Dyrektor ds. Rozwoju Biznesu nflo

Transkrypt

1 Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych Marcin Rek Dyrektor ds. Rozwoju Biznesu nflo

2 Kliknij, ROZDZIAŁ ROZDZIAŁ X ROZDZIAŁ - aby II - Zasady edytować styl ROZDZIAŁ Akty VIII delegowane - Środki ochrony III - Prawa i akty prawnej, osoby, wykonawcze odpowiedzialność i sankcje której dane dotyczą ROZDZIAŁ VII ROZDZIAŁ ROZDZIAŁ - Współpraca IV VI ROZDZIAŁ - Administrator - Niezależne i spójność XI - Przepisy organy i podmiot nadzorcze końcowe przetwarzający ROZDZIAŁ I - Przepisy ogólne 51 ROZDZIAŁ Zasady Przedmiot dotyczące V - Przekazywanie i cele przetwarzania danych danych osobowych osobowych do państw trzecich lub organizacji międzynarodowych Artykuł Artykuł Artykuł Wykonywanie Prawo wniesienia - Przejrzyste informowanie przekazanych skargi do i uprawnień organu nadzorczego Zgodność Ogólna zasada Materialny przetwarzania przekazywania przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą Artykuł Artykuł Artykuł Artykuł Procedura - Uchylenie Prawo - Współpraca Organ do - Informacje Obowiązki nadzorczy skutecznego komitetowa dyrektywy zakres podawane miedzy administratora stosowania wiodącym 95/46/WE ROZDZIAŁ IX środka - w z Przepisy prawem ochrony przypadku organem dotyczące prawnej zbierania nadzorczym szczególnych przed danych a sądem innymi osoby, sytuacji przeciwko organami której związanych organowi dane dotyczą z przetwarzaniem nadzorczemu Artykuł nadzorczymi, Artykuł Warunki Terytorialny Stosunek Prawo Przekazywanie Niezależność - - Informacje których do wyrażenia do skutecznego Uwzględnianie sprawa dyrektywy na zakres podawane ochrony dotyczy podstawie stosowania zgody środka 2002/58/WE decyzji stwierdzającej odpowiedni stopień ochrony Artykuł 85 - Przetwarzanie a wolność w wypowiedzi ochrony przypadku danych w fazie pozyskiwania i prawnej informacji przed sądem przeciwko administratorowi lub podmiotowi Artykuł projektowania danych oraz osobowych domyślna w ochrona sposób inny danych przetwarzającemu niż od osoby, której dane dotyczą Artykuł Warunki Definicje Stosunek Przekazywanie Wzajemna Ogólne - Współadministratorzy wyrażenia warunki do pomoc uprzednio z dotyczące zastrzeżeniem zgody zawartych przez członków dziecko odpowiednich umów w przypadku zabezpieczeń Artykuł 86 - Przetwarzanie a publiczny dostęp do dokumentów organu nadzorczego urzędowych usług społeczeństwa Artykuł informacyjnego Artykuł Sprawozdania Prawo wiążące - Wspólne Zasady do - Prawo Przedstawiciele ustanawiania reguły odszkodowania dostępu operacje Komisji korporacyjnych Artykuł 87 - Przetwarzanie krajowego przysługujące administratorów organów organu i numeru odpowiedzialność nadzorczych nadzorczego osobie, identyfikacyjnego Artykuł lub której podmiotów dane dotyczą przetwarzających niemających jednostki organizacyjnej w Unii Przegląd Ogólne Przekazywanie - Mechanizm Właściwość warunki innych Prawo do sprostowania spójności szczególnych aktów lub nakładania ujawnianie prawnych danych kategorii administracyjnych niedozwolone Unii danych dotyczących osobowych na kar mocy pieniężnych ochrony prawa danych Unii Artykuł 88 - Przetwarzanie w kontekście zatrudnienia Artykuł Artykuł Wejście Sankcje Wyjątki - Opinia Przetwarzanie Właściwość szczególnych - Prawo Podmiot Europejskiej w życie do usunięcia przetwarzający wiodącego danych i stosowanie danych osobowych sytuacjach Artykuł 89 - Zabezpieczenia i wyjątki Rady organu mające Ochrony nadzorczego ( prawo zastosowanie dotyczących Danych bycia zapomnianym ) do wyroków przetwarzania skazujących do celów i naruszeń archiwalnych w interesie publicznym, do Artykuł prawa 50 Międzynarodowa współpraca na rzecz ochrony danych osobowych celów Artykuł badań Zadania - Rozstrzyganie - Prawo naukowych Przetwarzanie do ograniczenia lub sporów historycznych z upoważnienia przez przetwarzania Europejską lub administratora do celów Radę statystycznych Ochrony lub podmiotu Danych przetwarzającego Artykuł Artykuł Obowiązek Tryb Przetwarzanie Uprawnienia - Rejestrowanie pilny zachowania powiadomienia niewymagające czynności tajemnicy przetwarzania o sprostowaniu identyfikacji lub usunięciu danych osobowych lub o ograniczeniu przetwarzania Artykuł Artykuł Sprawozdanie - Istniejące Wymiana - Prawo Współpraca do informacji zasady przenoszenia z organem działalności ochrony danych nadzorczym danych obowiązujące kościoły i związki wyznaniowe Artykuł Artykuł Niezależność - Prawo Bezpieczeństwo do sprzeciwu przetwarzania Artykuł Artykuł Sprawozdania - Zautomatyzowane Zgłaszanie naruszenia podejmowanie ochrony danych decyzji osobowych w indywidualnych organowi przypadkach, nadzorczemu w tym profilowanie Artykuł Ograniczenia Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Artykuł 36 - Uprzednie konsultacje Artykuł 37 - Wyznaczenie inspektora ochrony danych Artykuł 38 - Status inspektora ochrony danych Artykuł 39 - Zadania inspektora ochrony danych Artykuł 40 - Kodeksy postępowania Artykuł 41 - Monitorowanie zatwierdzonych kodeksów postępowania Artykuł 42 - Certyfikacja Artykuł 43 - Podmiot certyfikujący

3 Kliknij, aby edytować styl Szacowanie ryzyka podstawą do wdrożenia zabezpieczeń Artykuł 35 - Ocena skutków dla ochrony danych Artykuł 25 ust. 1 - Uwzględnianie ochrony danych w fazie projektowania Artykuł 25 ust. 2 - Domyślna ochrona danych Artykuł 32 - Bezpieczeństwo przetwarzania

4 Konsekwencje/skutki biznesowe (Impact) Szacowanie ryzyka wg ISO/IEC Kliknij, aby edytować styl WIELKOŚĆ RYZYKA Wartość zasobu (potencjalne straty) WYSOKA Krytyczność zasobu (np. SCADA/OT) ŚREDNIA Konsekwencje prawne (np. kary finansowe RODO) NISKA NISKA ŚREDNIA WYSOKA Prawdopodobieństwo scenariusza incydentu (Likelihood) Wielkość zagrożenia Wielkość podatności

5 Kliknij, aby edytować styl Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności Nieuprawniony dostęp do danych osobowych (utrata poufności) Nieuprawniona modyfikacja danych osobowych (utrata integralności) Utrata, kradzież lub nieuprawnione usunięcie danych osobowych (utrata dostępności) Nadmiarowa ilość danych osobowych Nieprawidłowe powiązanie danych osobowych z osobami, których dotyczą Niewystarczający opis powodów przetwarzania danych osobowych (brak przejrzystości) Nierespektowanie praw osób, których dotyczą danych osobowych Przetwarzanie danych osobowych bez wiedzy lub zgody osób, których dotyczą (chyba że takie przetwarzanie jest przewidziane w stosownych przepisach lub przepisach) Przekazanie danych osobowych stronom trzecim bez zgody osób, których dotyczą Nieuzasadnione przedłużenie czasu przechowywania danych osobowych

6 zaczynamy od inwentaryzacji i dokumentacji Ocena skutków dla prywatności wg ISO/IEC Kliknij, aby edytować styl 1. Identyfikacja przepływów danych osobowych w organizacji Dane wejściowe: Wykaz procesów biznesowych i systemów IT przetwarzających dane osobowe Wymagania standardów np. ISO/ IEC 29100, wymagania polityki bezpieczeństwa organizacji, wymagania prawa np. GDPR, wymagania wynikające z umów i kontraktów, itd. 2. Analiza zagrożeń wynikających z przetwarzania danych osobowych 3. Ustalenie wymagań względem bezpieczeństwa danych osobowych 4. Oszacowanie ryzyka danych osobowych 4.1. Identyfikacja ryzyk danych osobowych 4.2. Analiza ryzyka danych osobowych (analiza zagrożeń i potencjalnych konsekwencji, estymacja skutków i prawdopodobieństwa materializacji zagrożeń) 4.3. Ocena (priorytetyzacja) ryzyka danych osobowych (opracowanie mapy ryzyka danych osobowych) 5.1. Wybór opcji obsługi ryzyk (redukcja, zachowanie, eliminacja, transfer) 5.2. Wybór zabezpieczeń 5.3. Plan obsługi ryzyk (akceptacja właścicieli ryzyk, plan wdrożenia zabezpieczeń) 5. Przygotowanie do obsługi ryzyk danych osobowych 6. Działania końcowe 6.1. Przygotowanie raportu z prac 6.2. Publikacja raportu 6.3. Implementacja planu obsługi ryzyk 6.4. Przegląd i audyt prac 6.5. Rozważenie zmiany wielkości ryzyk, gdy nastąpiły zmiany w procesach biznesowych

7 Kliknij, aby edytować styl Obowiązek zgłaszania naruszeń bezpieczeństwa Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu (...) Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a. opisywać charakter naruszenia ochrony danych osobowych ( ) b. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych ( ) c. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. (...)

8 Etapy zarządzania incydentami Zarządzanie incydentami wg ISO/IEC Kliknij, aby edytować styl Główne czynności wykonywane przez osoby odpowiedzialne 1. Planuj i przygotuj się Opracowanie planów, procedur, itp. oraz wdrożenie narzędzi wspomagających zarządzanie incydentami 2. Wykrywanie i raportowanie Wykrywanie incydentów Manualne raportowanie incydentów 3. Ocena i decyzje Ocena uszkodzeń po incydencie (triage) Klasyfikacja (oraz usunięcie fałszywych alarmów) 4. Reakcja na incydent Powiadamianie i eskalacja (jeżeli jest wymagane) Zablokowanie rozszerzenia incydentu (containment) Zebranie śladów incydentu, dokumentacja (chain of custody) Usunięcie źródła incydentu (eradication) Odtwarzanie po incydencie (recovery) Analiza śladów incydentu (forensic analysis) 5. Wyciąganie wniosków Analiza przyczyn incydentu (root cause analysis) Rekomendacja poprawy bezpieczeństwa Komunikowanie i dzielenie się wiedzą

9 Kliknij, aby edytować styl Obowiązek utrzymania dokumentacji danych osobowych Artykuł 30 - Rejestrowanie czynności przetwarzania 1. Każdy administrator oraz gdy ma to zastosowanie przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych (...) b. cele przetwarzania; c. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; (...) g. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust Każdy podmiot przetwarzający oraz gdy ma to zastosowanie przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania (...) 3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną. 4. Administrator lub podmiot przetwarzający oraz gdy ma to zastosowanie przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. 5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko (...)

10 Obowiązek wykazania zgodności z Kliknij, aby wymaganiami edytować RODO styl Artykuł 24 - Obowiązki administratora (...) administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać Artykuł 33(5) - Rejestrowanie naruszeń ochrony danych osobowych ( ) dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu Artykuł 35 - Ocena skutków dla ochrony danych (...) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia

11 Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych 1. Utrzymanie dokumentacji danych osobowych 2. Szacowanie ryzyka i rekomendacje wdrożenia zabezpieczeń 3. Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności 4. Raport naruszenia bezpieczeństwa dla organu nadzorczego 5. Rozliczanie i wykazanie zgodności z wymaganiami RODO

12 Czym jest SecureVisio? Kliknij, aby edytować styl API auto-rozpoznawanie systemów IT Elektroniczna dokumentacja wizualna CMDB, w tym narzędzia do mapowania systemów IT do procesów biznesowych/ przemysłowych oraz danych wrażliwych rozumienie procesów biznesowych rozumienie procesów biznesowych i danych wrażliwych rozumienie zasobów i zabezpieczeń Baza wiedzy eksperckiej Modelowanie zagrożeń, audytowanie bezpieczeństwa, symulacja pojedynczych punktów awarii Narzędzia wspomagające RODO incydenty i podatności istotne dla danych osobowych błędy w projekcie zabezpieczeń i "pojedyncze punkty awarii" krytyczne dla organizacji rekomendowane zabezpieczenia ocena skutków naruszenia danych osobowych i generowanie raportów zgodnie z RODO Konsola i raporty Zarządzanie incydentami (workflow, playbook) prezentacja stanu bezpieczeństwa organizacji powiadamianie o incydentach i innych ważnych zdarzeniach ocena skutków i priorytetyzacja biznesowa wykrytych incydentów i podatności bezpieczeństwa generowanie dynamicznych reguł korelacji SIEM incydenty wykryte z analizy logów Szacowanie ryzyka / Ocena skutków incydenty wykryte z analizy flowów wykryte podatności adekwatne IoC SIEM Network Anomaly Detection Skanery podatności Analiza Threat Intelligence logi flowy skanowanie zgodnie z harmonogramem feedy

13 Dokumentacja sieci, systemów IT, zabezpieczeń oraz danych osobowych AUTOMATYCZNE ROZPOZNANIE SYSTEMÓW BAZA WIEDZY EKSPERCKIEJ

14 Utrzymanie dokumentacji danych osobowych Kliknij, aby edytować styl

15 Kliknij, aby edytować styl Szacowanie ryzyka w obszarze cyberzagrożeń i konsekwencji naruszenia bezpieczeństwa

16 Kliknij, aby edytować styl Szacowanie ryzyka w obszarze cyberzagrożeń i rekomendacja wdrożenia zabezpieczeń

17 Szacowanie ryzyka w obszarze prywatności Kliknij, aby edytować styl

18 Kliknij, aby edytować styl Szacowanie ryzyka w zarządzaniu podatnościami Ocena skutków

19 Kliknij, aby edytować styl Raport naruszenia bezpieczeństwa dla organu nadzorczego

20 Narzędzia analizy i wyjaśniania incydentów Kliknij, aby edytować styl

21 Kliknij, aby edytować styl Szacowanie konsekwencji naruszenia bezpieczeństwa

22 Narzędzia powiadamiania o incydentach systemów IT przetwarzających dane osobowe INCYDENT SYSTEMU KRYTYCZNEGO BAZA WIEDZY EKSPERCKIEJ

23 Kliknij, aby edytować styl Rozliczanie i wykazanie zgodności z wymaganiami RODO Rejestr czynności przetwarzania Rejestr naruszeń bezpieczeństwa danych osobowych Raport z oceny skutków dla ochrony danych Upoważnienia Udostępnienia Uprawnienia Wnioski Szkolenia

24 Kliknij, aby edytować styl Rozliczanie i wykazanie zgodności z wymaganiami RODO

25 Kliknij, aby Podsumowanie edytować styl SecureVisio pomaga organizacjom przejść "krok po kroku" do osiągnięcia zgodności z RODO Narzędzia informatyczne wspomagają IOD w zarządzaniu ochroną danych osobowych w najbardziej złożonych i czasochłonnych czynnościach: 1. Szacowanie ryzyka podstawą do wdrożenia zabezpieczeń 2. Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności 3. Obowiązek utrzymania dokumentacji danych osobowych 4. Obowiązek zgłaszania naruszeń bezpieczeństwa organowi nadzorczemu 5. Obowiązek wykazania zgodności z wymaganiami RODO