RODO to nie tylko procedury. Marcin Klamra

Podobne dokumenty
GDPR/RODO coraz bliżej czy chronisz swoją przestrzeń przed cyberatakiem? Anna Łyczak Mirosław Menard

Monitorowanie systemów IT

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

PRELEGENT Przemek Frańczak Członek SIODO

rodo. naruszenia bezpieczeństwa danych

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

I. Postanowienia ogólne

Ochrona danych osobowych, co zmienia RODO?

Ochrona danych osobowych w biurach rachunkowych

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Nowe przepisy i zasady ochrony danych osobowych

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Spis treści. Wykaz skrótów... Wprowadzenie...

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Maciej Byczkowski ENSI 2017 ENSI 2017

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

POLITYKA E-BEZPIECZEŃSTWA

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Ochrona danych osobowych w biurach rachunkowych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

ECDL RODO Sylabus - wersja 1.0

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

Al. J. Ch. Szucha 8, Warszawa

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Ochrona danych osobowych

Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych. Marcin Rek Dyrektor ds. Rozwoju Biznesu nflo

Sieci bezprzewodowe WiFi

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Prelegent : Krzysztof Struk Stanowisko: Analityk

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Sprawdzenie systemu ochrony danych

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

Polityka Bezpieczeństwa ochrony danych osobowych

Polityka prywatności i wykorzystywania plików cookies

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Adam Wróblewski ZdrowePodlasie.pl

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Polityka ochrony danych osobowych

Załącznik nr 4 do Umowy nr /PDH/2018 z dnia.. ( Umowa ) UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Kompleksowe Przygotowanie do Egzaminu CISMP

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Z dziennika tłumaczki. Rozważania o RODO. Odcinek 15 - zgłoszenie naruszenia

Zarządzanie relacjami z dostawcami

Bezpieczeństwo z najwyższej półki

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Załącznik 5 Ankieta dla podmiotu przetwarzającego

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

Dla celów niniejszej Umowy powierzenia, CENOBITZ.COM działa jako Podmiot przetwarzający a Klient jako Administrator.

POLITYKA BEZPIECZEŃSTWA

Transkrypt:

1 RODO to nie tylko procedury. Marcin Klamra CCNS SA

2 Agenda O CCNS O GDPR/RODO WIPS TDR Dimension Live demo

O CCNS słów kilka 3

4 O CCNS słów kilka Misja: wspieranie klientów w efektywnym przetwarzaniu zgromadzonych i bezpiecznie przechowywanych danych, dostarczanie informacji bezpiecznie i niezawodnie do osób podejmujących decyzje. Rok założenia 1993 Centrala: Kraków Współpraca z WatchGuard: od 1998 Sprzedanych rozwiązań: kilkaset Certyfikowani inżynierowie

5 Wynajem bezpieczeństwa Nie chcesz lub nie możesz zająć się swoim bezpieczeństwem? Nie masz pieniędzy by jednorazowo sfinansować zakup? Tani dostęp do najnowszych technologii. Wsparcie techniczne specjalistów w zakresie bezpieczeństwa. Miesięczna opłata wynajmu. Roczna lub trzyletnia umowa. Przedłużenie umowy na preferencyjnych warunkach. Możliwość wykupienia urządzenia po upłynięciu okresu umowy na atrakcyjnych warunkach. Możliwość rozbudowy funkcjonalności urządzenia w każdym momencie.

O GDPR/RODO słów kilka 6

8 Rozporządzenie GDPR/RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; ROZDZIAŁ I, Artykuł 4 (Definicje), Punkt 12 aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane bierze pod uwagę między innymi: e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji. ROZDZIAŁ I, Artykuł 6 (Zgodność przetwarzania z prawem), Punkt 4

9 Rozporządzenie GDPR/RODO Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. ROZDZIAŁ IV, Sekcja 1, Artykuł 24 (Obowiązki administratora), Punkt 1 Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; ROZDZIAŁIV, Sekcja 2, Artykuł 32 (Bezpieczeństwo przetwarzania), Punkt 1

10 Rozporządzenie GDPR/RODO 1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. 5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte środki zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. ROZDZIAŁ IV, Sekcja 2, Artykuł 33 (Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu), Punkt 1, Punkt 5

11 Rozporządzenie GDPR/RODO Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. ROZDZIAŁ VIII, Artykuł 82 (Prawo do odszkodowania i odpowiedzialność), Punkt 3 Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: b) umyślny lub nieumyślny charakter naruszenia; d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32; ROZDZIAŁ VIII, Artykuł 83 (Ogólne warunki nakładania administracyjnych kar pieniężnych), Punkt 2

WIPS 16

17 Co to WIPS? Słownik IT Gartner a A wireless intrusion prevention system (WIPS) operates at the Layer 2 (data link layer) level of the Open Systems Interconnection model. WIPS can detect the presence of rogue or misconfigured devices and can prevent them from operating on wireless enterprise networks by scanning the network s RFs for denial of service and other forms of attack. http://www.gartner.com/it-glossary/wips-wireless-intrusion-prevention-system/

Co to WIPS? 18

19 Co to WIPS? Bardzo ważna klasyfikacja Klasyfikacja punktów dostępowych: np.: zaufane, zewnętrzne, wrogie. Klasyfikacja stacji klienckich: np.: zaufane, zewnętrzne, wrogie Tworzenie polityki dostępu do sieci WiFi: Zaufany klient może połączyć się tylko z zaufanym punktem dostępowym. Wrogi klient nie może łączyć się z naszą siecią. Wrogie punkty dostępowe muszą zostać zablokowane.

20 Threat Detection & Response (TDR)

21 Threat Detection & Response co to? Ochrona stacji roboczych przed złośliwym kodem, także (a może przede wszystkim) przed tym nieznanym do tej pory. Bazuje m. in. na analizie zachowania procesów w systemie operacyjnym. Potrafi podejmować automatyczne działanie, co jest kluczowym elementem ochrony przed zagrożeniami typu ransomware. Potencjalnie niebezpieczny proces może zostać zatrzymany, a pliki przesłane do kwarantanny zanim dojdzie np. do zaszyfrowania danych.

22 Threat Detection & Response - architektura Sensor instalowany na chronionych maszynach. Moduł pracujący na urządzeniu Firebox. Threatsync - przeprowadzana w chmurze korelacja danych.

23 Threat Detection & Response działanie Jako źródło wiedzy wykorzystywane są: Zdarzenia generowane przez moduł pracujący na urządzeniu Firebox. Zachowanie procesów na chronionych maszynach, w tym uruchamiane procesy, zestawiane połączenia sieciowe, otwierane pliki itd. Zbiór sygnatur znanych zagrożeń. Analiza heurystyczna z wykorzystaniem 175 dedykowanych algorytmów. Korelacja danych w chmurze (z opcją wyboru wykorzystywanej chmury zlokalizowanej na terenie Europy) Możliwe akcje: Przesłanie niebezpiecznych plików do kwarantanny. Usunięcie niebezpiecznych plików. Zatrzymanie niebezpiecznego procesu. Usunięcie niepożądanego wpisu w rejestrze systemu.

Threat Detection & Response 24

Dimension Threat Visibility 25

Dimension Threat Intelligence Platform Błyskawiczna identyfikacja i analiza trendów, zagrożeń i zdarzeń pozwalająca na zarządzanie siecią i reagowanie w razie incydentów oraz raportowanie. Pulpity wizualne Ruch sieciowy Polityki bezpieczeństwa Najważniejsze zdarzenia Dogłębna analiza Identyfikacja trednów Wskazywanie niedostatków Blokowanie cyberszwendania Badanie skuteczności polityk Reagowanie z Dimension Command Blokowanie niebezpiecznych serwerów, użytkowników, aplikacji Tworzenie bezpiecznych połączeń Wersjonowanie konfiguracji Automatyzacja raportowania Podgląd bieżący Compliance Audit 26

Dimension Visibility Błyskawiczna identyfikacja i analiza trendów, zagrożeń i zdarzeń pozwalająca na zarządzanie siecią i reagowanie w razie incydentów oraz raportowanie. POLICY MAP Wizualizacja ruchu sieciowego pozwalająca na badanie skuteczności polityk. THREAT MAPS Widok geograficzny, pozwalający na analizę i izolację potencjalnie niebezpiecznego ruchu. FIREWATCH Monitoring wykorzystania aplikacji sieciowych. HEALTH REPORTS Bieżące monitorowanie stanu urządzenia. EXECUTIVE DASHBOARD Wskazanie najistotniejszych stwierdzonych incydentów lub naduzyć. SCHEDULED REPORTING Bogactwo raportów predefiniowanych i własnych, generowanych okresowo i/lub na żądanie 27

Dimension Command Praktyczne wykorzystanie wniosków z analizy do modyfikacji polityk i zmian konfiguracji dzięki Dimension Command. PRZYWRACANIE ZAPISANYCH KONFIGURACJI Łatwy powrót do poprzednich konfiguracji firewall a. HUB AND SPOKE VPN Łatwe i przejrzyste zarządzanie strukturą sieci prywatnych VPN. MODYFIKACJA LIST DOSTĘPU Blokowanie dostępu dla użytkowników i usług bez wychodzenia z pulpitu. 28

Live demo 29

Nie chcesz lub nie możesz zająć się swoim bezpieczeństwem? Nie masz pieniędzy by jednorazowo sfinansować zakup? DZIĘKUJĘ Marcin.Klamra@ccns.pl Wsparcie techniczne specjalistów w zakresie bezpieczeństwa. Miesięczna opłata wynajmu. Roczna lub trzyletnia umowa.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres