Access Rights Management. Only much Smarter. DOKUMENT TECHNICZNY RODO. Jak 8MAN może zabezpieczyć organizację

Podobne dokumenty
Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Access Rights Management. Only much Smarter. 8MATE PRZEGLĄD

Nowe przepisy i zasady ochrony danych osobowych

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

Rozwiązania HP Pull Print

PRELEGENT Przemek Frańczak Członek SIODO

Włącz autopilota w zabezpieczeniach IT

Opracował Zatwierdził Opis nowelizacji

POLITYKA PRYWATNOŚCI

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Bezpieczeństwo danych naszych subskrybentów, klientów i kontrahentów jest dla nas najwyższym priorytetem.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Normalizacja dla bezpieczeństwa informacyjnego

Workplace by Facebook. Twoja bezpieczna, firmowa sieć społecznościowa

POLITYKA PRYWATNOŚCI RODO

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA BEZPIECZEŃSTWA

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

POLITYKA PRYWATNOŚCI

Instalacja Active Directory w Windows Server 2003

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA E-BEZPIECZEŃSTWA

POLITYKA PRYWATNOŚCI

ZASADY OCHRONY DANYCH OSOBOWYCH W WITRYNIE INTERNETOWEJ FIRMY ENERVENT ZEHNDER OY

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Zarządzanie tożsamością i uprawnieniami

Oświadczenie o ochronie prywatności w McFIT dla umowy na okres próbny oraz umowy o członkostwo

Umowa powierzenia danych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ECDL RODO Sylabus - wersja 1.0

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH INFORMACJE DLA PARTNERÓW BIZNESOWYCH, OSÓB KONTAKTOWYCH I GOŚCI

Rozdział I Zagadnienia ogólne

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

RODO a programy Matsol

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Ochrona danych osobowych w biurach rachunkowych

Polityka ochrony danych

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Umowa powierzenia przetwarzania danych osobowych

OFERTA. Polskie Stowarzyszenie Zarządców Nieruchomości oraz Kancelaria KPRF Law Office. w zakresie szkoleń

S Y S T E M D O Z A R Z Ą D Z A N I A U R Z Ą D Z E N I A M I M O B I L N Y M I

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

POLITYKA BEZPIECZEŃSTWA

Al. J. Ch. Szucha 8, Warszawa

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Prywatność i bezpieczeństwo danych medycznych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Konfiguracja danych swojej instytucji i zarządzanie użytkownikami

Bezpieczeństwo danych w sieciach elektroenergetycznych

Umowa na przetwarzanie danych

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

I. Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

Praca w sieci z serwerem

Uczelnianej Sieci Komputerowej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

- REWOLUCJA W PRZEPISACH

ZASADY FUNKCJONOWANIA DZIENNIKA ELEKTRONICZNEGO W ZESPOLE SZKÓŁ IM. JULIANA TUWIMA W POBŁOCIU

25 maja 2018 roku zacznie obowiązywać Rozporządzenie Parlamentu. Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

POLITYKA PRYWATNOŚCI GALACTIC SP. Z O.O.

Bezpieczeństwo danych osobowych listopada 2011 r.

Transkrypt:

Access Rights Management. Only much Smarter. DOKUMENT TECHNICZNY RODO Jak 8MAN może zabezpieczyć organizację

SPIS TREŚCI PODSUMOWANIE DLA KIEROWNICTWA 2 1. Podstawowe informacje na temat RODO 3 2. Najważniejsze wymagania RODO 4 Artykuł 5 Zasady dotyczące przetwarzania danych osobowych 4 Artykuł 32 Bezpieczeństwo przetwarzania 4 3. Wymagania dotyczące zarządzania prawami dostępu 5 Artykuł 5: Wymagania wynikające z treści artykułu 5 Artykuł 32: Wymagania wynikające z treści artykułu 5 4. Realizacja najważniejszych wymagań RODO dzięki 8MAN 6 5. Kroki zmierzające do wdrożenia architektury zabezpieczeń zgodnej z RODO dla Twojej organizacji 8 5.1 Wyznaczenie właścicieli danych i przydzielenie im zasobów 8 5.2 Lokalizowanie i centralizacja plików zawierających dane osobowe 10 5.3 Redukowanie praw dostępu do plików zawierających dane osobowe 10 5.4 Monitorowanie katalogów i grup przy pomocy Monitoringu bezpieczeństwa 12 5.5 Automatyczne włączanie do działania ról odpowiedzialnych za bezpieczeństwo dzięki raportom 12 5.6 Prowadzenie przeglądu katalogów zawierających dane osobowe 13 5.7 Usuwanie uprawnień dostępu do katalogów, gdy pracownik zmieni dział lub odejdzie z firmy 13 6. Pytania, które warto zadać działom IT i biznesowym swojej firmy 14 7. O rozwiązaniu 8MAN 14 8. Kontakt 15 8MAN DOKUMENT TECHNICZNY RODO

PODSUMOWANIE DLA KIEROWNICTWA Zbliża się moment wejścia w życie Rozporządzenia o Ochronie Danych Osobowych (RODO, General Data Protection Regulation - GDPR), które przyniesie szereg nowych wymagań dla każdej organizacji. Ten dokument ma pomóc we wdrożeniu ważnych aspektów RODO i zrozumieć, jak dobrze przygotować organizację na przyszłość. Celem GDPR jest ochrona danych osobowych. Rozporządzenie co prawda koncentruje się na ochronie konsumentów, ale jest również nieocenione, jeśli chodzi o ustalanie standardów ochrony organizacji publicznych i prywatnych firm. W szczególności, wdrożenie RODO ma uchronić każdą organizację przed kradzieżą danych, informacji i wiedzy. Ostatecznie dane cyfrowe należy traktować tak samo, jak poufne dokumenty papierowe, które chowamy w sejfie. Jeśli nie podejmiemy odpowiednich działań, dane te będą mogły być łatwo kopiowane i sprzedawane. Eksperci są zgodni, że ochrona wrażliwych danych firmy jest działaniem niezbędnym do zapewnienia wyjątkowej przewagi konkurencyjnej każdej organizacji. W rozdziale 6 znajduje się kilka pytań testowych. Zadaj te pytania w swojej firmie, aby zobaczyć, jak szybko działy biznesowe i IT będą potrafiły udzielić dokładnych i prawidłowych odpowiedzi. Jeśli aktualnie Twoja firma nie posiada profesjonalnego rozwiązania do zarządzania prawami dostępu, z przyjemnością przekażemy Ci bezpłatną licencję testową na oprogramowanie 8MAN. Prosimy o kontakt z nami. Zawsze chętnie pokażemy, jakie korzyści przyniesie Twojej organizacji korzystanie z 8MAN. Stephan Brack, CEO 8MAN DOKUMENT TECHNICZNY RODO Matthias Schulte-Huxel, CSO

1. Podstawowe informacje na temat RODO / GDPR Rozporządzenie RODO zostało wprowadzone przez Komisję Europejską w celu uregulowania przetwarzania danych osobowych. Dyrektywa została uchwalona 25.05.2016 r., a od 25.05.2018 r. stanie się obowiązującym prawem. Zastępuje ona wcześniejsze wytyczne dotyczące ochrony danych z 1995 r. (95/46/WE). Jako część ponadnarodowego prawa UE, Rozporządzenie stosuje się bezpośrednio i nie wymaga uchwalenia dodatkowych przepisów krajowych. Wdrażając ten środek Komisja chce ze zwiększoną siłą ścigać naruszenia ochrony danych. Wyrazem tego, jak poważnie UE traktuje tę inicjatywę jest wysokość nowych kar za naruszenia. Podczas gdy poprzednio wysokość kar wahała się między 50 000 a 300 000 euro, obecnie UE może ukarać organizację karą w wysokości do 20 milionów euro lub czterech procent rocznego obrotu organizacji (Rozporządzenie GDPR, art. 83, ust. 4 i 5). Przepisy o ochronie danych chronią osoby fizyczne znajdujące się w UE przed nieautoryzowanym wykorzystaniem ich danych osobowych oraz regulują przetwarzanie tych danych przez firmy i instytucje na całym świecie. Dane osobowe charakteryzuje związek między osobą a inną osobą, rzeczą lub zdarzeniem. Kluczową cechą danych osobowych jest możliwość połączenia danych z określoną osobą. Przykłady danych osobowych obejmują tablice rejestracyjne pojazdów, numery rachunków, numery ubezpieczenia społecznego, numery rejestracyjne, adresy e-mail i adresy IP. Czynnikiem decydującym o zastosowaniu przepisów Rozporządzenia nie jest lokalizacja firmy, a fizyczne miejsce przebywania osoby, której dane zostały zgromadzone. 8MAN DOKUMENT TECHNICZNY RODO 3

2. Najważniejsze wymagania RODO Regulacja RODO jest niezwykle złożona. Składa się łącznie z jedenastu rozdziałów, podzielonych na 99 artykułów. Eksperci uważają, że największe znaczenie mają artykuł 5 i artykuł 32. Zawierają one najważniejsze nowe wymagania, w porównaniu do poprzednich wytycznych dotyczących ochrony danych. Artykuł 5 Zasady dotyczące przetwarzania danych osobowych Ust. (1) pkt f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ( integralność i poufność ). 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ( rozliczalność ). Artykuł 32 Bezpieczeństwo przetwarzania (4). Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. 8MAN DOKUMENT TECHNICZNY RODO 4

3. Wymagania dotyczące zarządzania prawami dostępu Z artykułów 5 i 32 wynika wiele wymagań dotyczących Twojej firmy, jeśli chodzi o zarządzanie prawami dostępu. Artykuł 5: Wymagania wynikające z treści artykułu 1. Zapewnienie bezpieczeństwa i integralności danych: Zasoby zawierające dane osobowe mogą być dostępne tylko dla osób godnych zaufania. Ponadto wszystkie foldery muszą podlegać ciągłemu monitorowaniu. Dzięki temu wszystkie procesy kopiowania i modyfikacji są dokumentowane i zawsze dostępna jest ich dokładna historia. W przypadku incydentu związanego z bezpieczeństwem zarówno dział IT, jak i działy biznesowe firmy mogą uzyskać dostęp do odpowiednich informacji i ustalić, jakie środki należy podjąć. 2. Dokumentowanie praw dostępu: Szczególnie wymóg rozliczalności zawarty w art. 5 ust. 2 stanowi, że instytucje przetwarzające dane muszą być w stanie udostępnić dokładną historię dostępu i uprawnień dla każdego katalogu. 3. Zarządzanie sytuacjami związanymi z prawami dostępu: Procesy przychodzenia pracowników do organizacji, przemieszczania się w jej ramach i odchodzenia z organizacji (w tym m.in. cykl życia konta użytkownika w sieci firmowej) wymagają, aby zarówno działy IT, jak i działy biznesowe miały możliwość stałego przeglądu wszystkich praw dostępu i mogły bardzo szybko wprowadzać zmiany. Do kradzieży danych dochodzi najczęściej w fazie odchodzenia z firmy. Zanim ta faza nastąpi, działy biznesowe powinny już wcześniej usunąć uprawnienia pracownika do katalogów krytycznych z punktu widzenia bezpieczeństwa. Artykuł 32: Wymagania wynikające z treści artykułu 4. Wprowadzenie właścicieli danych: RODO wymaga, aby przetwarzaniu danych osobowych towarzyszyło jasne określenie odpowiedzialności. W tym kontekście wprowadzenie roli właściciela danych ma zasadnicze znaczenie. Właściciele danych to menedżerowie, którzy chronią dane w ramach swoich działów. Wiedzą dokładnie, które katalogi muszą być chronione, a także którzy pracownicy muszą mieć do nich dostęp. Wprowadzenie nowych ról, takich jak właściciel danych, wymaga także wprowadzenia nowych procesów współpracy i dokumentowania wspólnych działań i obowiązków. 8MAN DOKUMENT TECHNICZNY RODO 5

4. Realizacja najważniejszych wymagań RODO dzięki 8MAN Rozwiązanie 8MAN obejmuje pięć głównych działów. Razem tworzą one jasny i łatwy do wdrożenia system do zgodnego z RODO zarządzania prawami dostępu. ANALIZA UPRAWNIEŃ Pokazuje kompleksowy przegląd stanu praw dostępu do zasobów w organizacji. DOKUMENTACJA I RAPORTOWANIE Rejestruje w naszym dzienniku wszelkie działania związane z prawami dostępu i tworzy raporty spełniające wymogi audytów. MONITORING BEZPIECZEŃSTWA Monitoruje działania istotne z punktu widzenia bezpieczeństwa w Active Directory oraz na Twoich serwerach plików. OPTYMALIZACJA RÓL I PROCESÓW Skraca proces zarządzania prawami dostępu i angażuje w niego wyłącznie najważniejsze podmioty. NADAWANIE UPRAWNIEŃ UŻYTKOWNIKOM Ustanawia zasady tworzenia nowych kont użytkowników, nadawania uprawnień oraz edytowania danych kont. 8MAN DOKUMENT TECHNICZNY RODO 6

Jednym z najważniejszych zadań, jeśli chodzi o realizację wymagań RODO, jest Analiza uprawnień. Rozwiązanie 8MAN pokazuje sytuację praw dostępu w Twojej sieci w obu kierunkach. Możesz wybrać zasób, który zawiera dane osobowe i zobaczyć, kto ma do niego dostęp, lub wyświetlić wszystkie prawa dostępu wybranego użytkownika. Dzięki tej wiedzy wymaganie (1) Tworzenie bezpieczeństwa i integralności danych może zostać szybko spełnione. Sytuacja praw dostępu, działania na chronionych katalogach, jak również proces przypisywania praw dostępu są w pełni dokumentowane w ramach dobrze zorganizowanych raportów, w części Dokumentacja i raportowanie. Raporty dla konkretnych katalogów mogą być wysyłane automatycznie do wybranych ról w organizacji. W ten sposób wymóg dokumentowania wszystkich praw dostępu jest realizowany automatycznie. Poza kwestiami dotyczącymi praw dostępu, bardzo ważne jest również samo obchodzenie się z danymi osobowymi. Nasz Monitoring bezpieczeństwa podnosi poziom bezpieczeństwa i wychwytuje działania wykonywane w katalogach zawierających dane osobowe. Poza tym, analiza Active Directory pokazuje również zmiany dokonane poza 8MAN. W ten sposób tymczasowe członkostwa w grupach i wynikające z nich, często niekontrolowane uprawnienia stają się natychmiast wyraźnie widoczne. Dzięki funkcji alertów, 8MAN aktywnie informuje Cię, jeśli ktoś spróbuje manipulować prawami dostępu i członkostwem we wrażliwej grupie zabezpieczeń. Dzięki Optymalizacji ról i procesów 8MAN oferuje sekwencję procesów zgodnych z najlepszymi praktykami, które są niezbędne, aby zarządzanie prawami dostępu było zgodne z RODO. Proces kontrolowania i utrzymywania praw dostępu do danych osobowych musi być jasno zdefiniowany w ramach organizacji. Optymalizacja ról i procesów zapewnia odpowiednie ramy, aby to osiągnąć. Jednym z głównych aspektów tego podejścia jest koncepcja roli właściciela danych : Wymaganie (4) Wprowadzenie właścicieli danych. Menedżerowie decydują i zarządzają sytuacją praw dostępu w swoich działach i ustalają, kto powinien mieć dostęp do danych osobowych. Poprzez prowadzenie okresowych ponownych certyfikacji właściciel danych może dodawać i usuwać uprawnienia lub pozostawiać je bez zmian, nawet nie posiadając specjalistycznej wiedzy informatycznej. Nawet jeśli prowadzone są kwartalne recertyfikacje, doraźne dbanie o sytuację praw dostępu pozostaje ważnym wymogiem. Kiedy pracownik odchodzi z firmy, jego dostęp do wrażliwych informacji i innych danych firmy musi zostać usunięty na wczesnym etapie. Dokonuje tego właściciel lub administrator danych poprzez operację typu przeciągnij i upuść w ramach funkcjonalności Nadawanie uprawnień użytkownikom. Wymaganie (3): Zarządzanie sytuacjami związanymi z prawami dostępu. 8MAN DOKUMENT TECHNICZNY RODO 7

5. Kroki zmierzające do wdrożenia architektury zabezpieczeń zgodnej z RODO dla Twojej organizacji Poniższy rozdział przedstawia najważniejsze kroki niezbędne do osiągnięcia zgodnego z RODO zarządzania prawami dostępu. Dokumentację tej usługi można znaleźć w naszym Podręczniku użytkownika. 5.1 Wyznaczenie właścicieli danych i przydzielenie im zasobów Aby poprawić bezpieczeństwo informatyczne danych osobowych, musisz w stanowczy sposób wdrożyć wymagane środki i zasady postępowania. Celem jest zdecentralizowanie kompetencji w zakresie bezpieczeństwa w Twojej organizacji. Osiągniesz to, wyznaczając właściciela danych dla obszarów, w których dane osobowe są wykorzystywane i przetwarzane. Zazwyczaj są to takie obszary, jak zamówienia/finanse, sprzedaż i oczywiście HR. WŁAŚCICIELE DANYCH, SPECJALIŚCI DS. BEZPIECZEŃSTWA DANYCH I AUDYTORZY Zwykle dyrektor generalny firmy przydziela obowiązki właścicieli danych szefom działów. Wiedzą oni, które dane w ich dziale należy chronić i kto powinien mieć do nich dostęp. Właściciel danych to pierwsza linia obrony. Podlega on specjaliście ds. bezpieczeństwa danych, który z kolei udziela wskazówek dotyczących praw i obowiązków związanych z przetwarzaniem wrażliwych danych ( Druga linia obrony ). Trzecia linia obrony to zazwyczaj audyt wewnętrzny lub zewnętrzny. Zarówno specjaliści ds. bezpieczeństwa danych jak i audytorzy wewnętrzni powinni być regularnie informowani o aktualnej sytuacji w zakresie praw dostępu. 8MAN umożliwia również nadawanie ww. rolom odpowiedzialnym za bezpieczeństwo dostępu do 8MAN na zasadzie read only, dzięki czemu uzyskują one natychmiastowy przegląd aktualnych uprawnień (D013). (zob. rysunek na stronie 9) DZIAŁ 8MAN: OPTYMALIZACJA RÓL I PROCESÓW Skraca proces zarządzania prawami dostępu i angażuje w niego wyłącznie najważniejsze podmioty. Required Steps: D002 Zdefiniowanie właścicieli danych i przydzielenie im zasobów D003 Przydzielenie praw administrowania folderami właścicielowi danych (osoby decyzyjne) D013 Zastosowanie konta 8MAN do określonej roli bezpieczeństwa lub właściciela danych 8MAN DOKUMENT TECHNICZNY RODO 8

Chairman CEO General Manager Financial Manager Marketing Manager Accounting Manager HR Manager Sales Team Employee Accounting Team Financial Team 8MAN DOKUMENT TECHNICZNY RODO 9

5.2 Lokalizowanie i centralizacja plików zawierających dane osobowe. W kolejnym kroku każdy właściciel danych inwentaryzuje przypisane mu zasoby i lokalizuje wszystkie pliki zawierające dane osobowe. Jeśli są one zlokalizowane w różnych strukturach drzewa katalogów, zalecamy scentralizowanie ich w obrębie jednego odgałęzienia. (zob. rysunek na stronie 11). 5.3 Redukowanie praw dostępu do plików zawierających dane osobowe Należy utworzyć grupę zabezpieczeń Active Directory i użyć jej do zapewnienia dostępu wszystkim użytkownikom wymagającym dostępu do katalogu o krytycznym znaczeniu dla bezpieczeństwa (E001). Następnie należy zidentyfikować wszelkie różnorodne ścieżki dostępu i usunąć je, tak aby jedyną pozostałą metodą dostępu było członkostwo we wcześniej utworzonej grupie zabezpieczeń (E017).Następnie należy usunąć wszelkie uprawnienia osób, które nie potrzebują dostępu do danych osobowych, aby mogły pełnić swoją rolę (E015). Ma tu zastosowanie zasada minimalnego uprzywilejowania. Mówi ona, że dostęp do danych istotnych z perspektywy bezpieczeństwa należy przyznawać wyłącznie osobom, które potrzebują ich, aby wykonywać swoją pracę. DZIAŁ 8MAN: NADAWANIE UPRAWNIEŃ UŻYTKOWNIKOM Ustanawia zasady tworzenia nowych kont użytkowników, nadawania uprawnień oraz edytowania danych kont. Wymagane działania: E001 Tworzenie konta użytkownika E017 Usuwanie wielu ścieżek dostępu do folderów E015 Zmiana uprawnień folderów 8MAN DOKUMENT TECHNICZNY RODO 10

Dane Osobowe należą do obszaru Strefa Ochrony 2. Ograniczona ilość pracowników powinna mieć dostę do tego obszaru. 8MAN DOKUMENT TECHNICZNY RODO 11

5.4 Monitorowanie katalogów i grup przy pomocy Monitoringu bezpieczeństwa Następny krok to wdrożenie Monitoringu bezpieczeństwa. Jeśli Twoje dane osobowe są przechowywane na Twoich serwerach plików, zalecamy regularne analizowanie rzeczywistego dostępu do katalogów (C009). Raporty z tych analiz można wysyłać do specjalistów ds. bezpieczeństwa danych i audytorów wewnętrznych. W ten sposób automatycznie włączysz do działania wymagane role w ramach swojej organizacji. Twoja grupa Active Directory może zostać zabezpieczona za pomocą funkcji alertów (C005). Jeśli ktoś wprowadzi zmiany w tej grupie, właściciele danych, specjaliści ds. bezpieczeństwa danych i dyrektorzy zostaną automatycznie poinformowani poprzez alert e-mail. DZIAŁ 8MAN: MONITORING BEZPIECZEŃSTWA Monitoruje działania istotne z punktu widzenia bezpieczeństwa w Active Directory oraz na Twoich serwerach plików. Wymagane działania: C009 Identyfikacja dostępu do wrażliwych danych C005 Alerty: tworzenie, edytowanie i usuwanie alertów dla grup Active Directory 5.5 Automatyczne włączanie do działania ról odpowiedzialnych za bezpieczeństwo dzięki raportom Raporty dotyczące aktualnej sytuacji w zakresie praw dostępu lub dostępu do danych osobowych powinny być okresowo udostępniane specjaliście ds. bezpieczeństwa danych i/lub audytorowi wewnętrznemu. 8MAN umożliwia definiowanie raportów dla określonych katalogów i automatyczne wysyłanie ich do odpowiedzialnych podmiotów za pośrednictwem poczty e-mail (D020). Szczególnie istotne są w tym kontekście usługi (B034, B014, C009). DZIAŁ 8MAN: DOKUMENTACJA I RAPORTOWANIE / MONITORING BEZPIECZEŃSTWA Rejestruje w naszym dzienniku wszelkie działania związane z prawami dostępu i tworzy raporty spełniające wymogi audytów / Monitoruje działania istotne z punktu widzenia bezpieczeństwa w Active Directory oraz na Twoich serwerach plików. Wymagane działania: D020 Automatyczne odbieranie raportów B034 Gdzie użytkownicy i grupy uzyskują dostęp? B014 Kto ma dostęp do czego? C009 Identyfikacja dostępu do wrażliwych danych 8MAN DOKUMENT TECHNICZNY RODO 12

5.6 Prowadzenie przeglądu katalogów zawierających dane osobowe Uprawnienia dla katalogów krytycznych z perspektywy bezpieczeństwa muszą być regularnie kontrolowane przez właścicieli danych. Funkcja ponownej certyfikacji 8MAN (D023), aktywowana przez administratora, okresowo przypomina właścicielom danych o tym obowiązku. Dokonując prostego przeglądu uprawnień mogą oni szybko zweryfikować uprawnienia katalogowe i w razie potrzeby zarządzać nimi (D024). DZIAŁ 8MAN: OPTYMALIZACJA RÓL I PROCESÓW Skraca proces zarządzania prawami dostępu i angażuje w niego wyłącznie najważniejsze podmioty. Wymagane działania: D023 Uruchomienie procesu ponownej certyfikacji D024 Ponowna certyfikacja aktualnej sytuacji w zakresie praw dostępu 5.7 Usuwanie uprawnień dostępu do katalogów, gdy pracownik zmieni dział lub odejdzie z firmy Przejście pracownika do innego działu wymaga niezwłocznego usunięcia uprawnień dostępu związanych z danym działem. Właściciele danych mogą tego łatwo dokonać w ramach interfejsu internetowego 8MAN. Kiedy pracownik odejdzie z firmy, należy jak najszybciej usunąć prawa dostępu do katalogów krytycznych z perspektywy bezpieczeństwa (E052). DZIAŁ 8MAN: NADAWANIE UPRAWNIEŃ UŻYTKOWNIKOM Ustanawia zasady tworzenia nowych kont użytkowników, nadawania uprawnień oraz edytowania danych kont. Wymagane działania: E052 Usuwanie uprawnień za pomocą klienta sieci web 8MAN DOKUMENT TECHNICZNY RODO 13

6. Pytania, które warto zadać działom IT i biznesowym swojej firmy 1. Gdzie przechowujemy nasze dane osobowe i kto ma do nich dostęp? 2. Do których plików ma dostęp p. Kowalski? 3. Kto wykonał jakie działania na danym katalogu w określonym przedziale czasowym? 4. Jakie są nasze najważniejsze i istotne z perspektywy bezpieczeństwa grupy Active Directory, do czego dają dostęp i kto jest ich członkiem? 5. W jaki sposób jestem informowany, w przypadku jeśli dojdzie do manipulacji na grupie zabezpieczeń Active Directory lub koncie użytkownika? 6. Kto może dać mi zwięzły i łatwy do przeczytania raport o aktualnej sytuacji praw dostępu w mojej organizacji? 7. Kto jest odpowiedzialny za ochronę katalogów istotnych z perspektywy bezpieczeństwa w każdym dziale? 8. Kiedy ostatnio przeprowadziliśmy audyt i ponowną certyfikację istniejących praw dostępu? 7. O rozwiązaniu 8MAN 8MAN to wiodące rozwiązanie w dziedzinie zarządzania prawami dostępu (ARM Access Rights Management) w środowiskach Microsoft i wirtualnych serwerów, które chroni firmę przed nieautoryzowanym dostępem do wrażliwych danych. Rozwiązanie 8MAN zostało opracowane w Niemczech przez firmę Protected Networks. Poprzez połączenie nowoczesnych aspektów funkcjonalności i użyteczności z aktualnymi standardami zgodności i bezpieczeństwa IT, 8MAN wyznacza nowe standardy profesjonalnego bezpieczeństwa sieci i elastycznej organizacji IT. Główne działy rozwiązania 8MAN to: Analiza uprawnień, Monitoring bezpieczeństwa, Dokumentacja i raportowanie, Optymalizacja ról i procesów oraz Nadawanie uprawnień użytkownikom. 8MAN DOKUMENT TECHNICZNY RODO 14

JAK ZABEZPIECZYĆ SWOJĄ ORGANIZACJĘ Wprowadzenie 8MAN nie jest kłopotliwym projektem - wystarczy krótka rozmowa przez telefon. Wystarczy umówić się na spotkanie, a wykwalifikowany, certyfikowany technik zadba o przeprowadzenie prawidłowej instalacji i konfiguracji w Twoim środowisku. W zależności od konkretnych wymagań, instalacja może zwykle zostać szybko i prosto przeprowadzona zdalnie. 8. Kontakt Rafał Goszyk Sales Manager Prianto GmbH +48 602 670 502 rafal.goszyk@prianto.com Darmowe Webinarium około 30 minutowe webinarium, które wprowadza w możliwości 8MAN w trakcie pokazu na żywo. Uczestnicy pozostają całkowicie anonimowi względem siebie, a na koniec przewidziana jest możliwość zadawania pytań. Darmowa Instalacja Testowa Przez 21 dni możecie Państwo sprawdzić działanie 8MAN i poznać jego wartość. Autor: Fabian Fischer Knowledge Manager +49 30 390 63 45-41 fabian@8man.com 8MAN DOKUMENT TECHNICZNY RODO 13

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres