Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Transkrypt

1 Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved.

2 Tak było Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2

3 Artykuł 24 Obowiązki administratora 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3

4 ISO 27k 4 Kontekst organizacji 5 Przywództwo 6 Planowanie 7 Wsparcie 8 Eksploatacja 9 Ocena skuteczności 10 Doskonalenie Załącznik A - Wiele zabezpieczeń 4

5 Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art

6 ISO 27k 6 Planowanie 6.1 Działania w zakresie zarządzania ryzykiem i możliwościami Ocena ryzyka związanego z bezpieczeństwem informacji Postępowanie z ryzykiem związanym z bezpieczeństwem informacji 6.2 Cele w zakresie bezpieczeństwa informacji i planowanie działań umożliwiających ich osiągnięcie Załącznik A - Wiele zabezpieczeń 6

7 Artykuł 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 5

8 ISO 27k 8.2 Ocena ryzyka związanego z bezpieczeństwem informacji Organizacja powinna przeprowadzać procedurę oceny ryzyka związanego z bezpieczeństwem informacji w planowanych odstępach lub gdy zostaną zasugerowane lub przeprowadzone znaczne zmiany, z uwzględnieniem kryteriów ustalonych w p a). Organizacja powinna zachować udokumentowaną informację dotyczącą wyników oceny ryzyka związanego z bezpieczeństwem informacji. 8.3 Postępowanie z ryzykiem związanym z bezpieczeństwem informacji Organizacja powinna wdrożyć plan postępowania z ryzykiem związanym z bezpieczeństwem informacji. Organizacja powinna zachować udokumentowaną informację dotyczącą rezultatów postępowania z ryzykiem związanego z bezpieczeństwem informacji. Załącznik A - Wiele zabezpieczeń 8

9 Co to znaczy odpowiednie środki? Ryzyko? Polityki ochrony danych? Certyfikacja?

10 ISO/IEC 27001:2013 System zarządzania bezpieczeństwem informacji 1. Zarządzanie ryzykiem zabezpieczeń w grupach: Polityki bezpieczeństwa informacji Organizacja bezpieczeństwa informacji Bezpieczeństwo zasobów ludzkich Zarządzanie aktywami Kontrola dostępu Kryptografia Bezpieczeństwo fizyczne i środowiskowe Bezpieczna eksploatacja Bezpieczeństwo komunikacji Pozyskiwanie, rozwój i utrzymanie systemów Relacje z dostawcami Zarządzanie incydentami bezpieczeństwa informacji Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Zgodność Copyright 2015 BSI. All rights re served. 7

11 Podobieństwa RODO i ISO z zakresu bezpieczeństwa informacji Bezpieczeństwo dane osobowe = dostępność, autentyczność, integralność i poufność Bezpieczeństwo informacji = dostępność, integralność i poufność 1 1

12 Normy ISO i ISO

13 Normy dotyczące zarządzania ryzykiem PKN-ISO Guide 73:2012 Zarządzanie ryzykiem - Terminologia PN ISO/IEC 27005:2014 Zarządzanie ryzykiem w bezpieczeństwie informacji PN ISO 31000:2012 Zarządzanie ryzykiem 10

14 ISO/IEC 27018:2014: Kodeks dobrych praktyk w zakresie ochrony informacji umożliwiających identyfikacje osoby w chmurach obliczeniowych działających w charakterze przetwarzających PII Zmiany w zabezpieczeniach z ISO i ISO/IEC związane z przetwarzaniem danych osobowych w chmurze. Dodatkowe zabezpieczenia np.: A11.1 Kontrola położenia geograficznego PII A11.2 Zamierzone miejsce docelowe 14

15 Ciągłość przetwarzania danych osobowych wg ISO 22301:2012 Analiza BIA Analiza ryzyka Strategia ciągłości działania Plany ciągłości działania Ćwiczenia i testy 15

16 Ocena, monitorowanie i pomiary skuteczności zabezpieczeń Co należy mierzyć? Skąd czerpać inspirację? Copyright 2015 BSI. All right s reserved. 13

17 Rodzina norm ISO/IEC ISO słownictwo i terminologia (definicje dla wszystkich standardów z tej serii) 2. ISO Wytyczne dla wdrożenia. 3. ISO Zarządzanie bezpieczeństwem informacji - wskaźniki i pomiary. 4. ISO/IEC Guideline for cybersecurity 5. ISO/IEC x Network security 6. ISO/IEC x Application security 7. ISO/IEC Incident investigation 8. ISO Information security management in health using ISO/IEC

18 Wdrożenie RODO ISO Bezpieczeństwo fizyczne Bezpieczeństwo IT Bezpieczeństwo osobowe ISO Identyfikacja zagrożeń i prawdopodobieństwa Ocena ryzyka Postępowanie z ryzykiem ISO Przetwarzanie DO w Chmurze Zabezpieczenia ISO 18

19 Pytania? 16

20