Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

Podobne dokumenty
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Ochrona danych osobowych w biurach rachunkowych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Monitorowanie systemów IT

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

PARTNER.

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

rodo. naruszenia bezpieczeństwa danych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

PRELEGENT Przemek Frańczak Członek SIODO

Ochrona danych osobowych w biurach rachunkowych

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

ECDL RODO Sylabus - wersja 1.0

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Ochrona danych osobowych, co zmienia RODO?

Maciej Byczkowski ENSI 2017 ENSI 2017

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Nowe przepisy i zasady ochrony danych osobowych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

DATA ZASTOSOWANIA GDPR: DZIEŃ MIESIĄC ROK. Mało czasu na zmiany. Nowe przepisy nie wymagają wdrożenia.

POLITYKA PRYWATNOŚCI GALACTIC SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

I. Postanowienia ogólne

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych. Marcin Rek Dyrektor ds. Rozwoju Biznesu nflo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Ochrona danych osobowych

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Innowacyjne rozwiązania odpowiedzą na RODO

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka Prywatności. 3. Pana/Pani dane osobowe przetwarzane będą w celu:

Wzór umowy powierzenia przetwarzania danych osobowych nr...

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

RODO. szanse i wyzwania dla działów IT w przedsiębiorstwie. Janusz Żmudziński. Dział Bezpieczeństwa. maj 2017 r.

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

POLITYKA PRYWATNOŚCI

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Szczegółowy opis przedmiotu zamówienia:

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

Tomasz Zawicki CISSP Passus SA

GDPR wdrożenie krok po kroku. Jakub Manikowski Presales Engineer

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Polityka prywatności..1 Postanowienia Ogólne

TECHNOLOGIE INFORMATYCZNE W MEDYCYNIE NARZĘDZIA IT NIEZBĘDNE DO SPEŁNIENIA WYMOGÓW RODO

Ogólna Polityka Prywatności. 1 Postanowienia Ogólne

RODO co oznacza dla zespołów IT?

Ochrona biznesu w cyfrowej transformacji

#RODO2018. podstawowe szkolenie z zakresu ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Amatorski Klub Sportowy Wybiegani Polkowice

DLP i monitorowanie ataków on-line

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Transkrypt:

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO. Piotr Borkowski Veracomp SA

Wstęp GDPR/RODO jest bardzo dobre Szczególnie prywatnie dla nas jako osób fizycznych Cytat: Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości.

Przegląd zapisów dotykających kwestii technicznych

Aspekty techniczne RODO ( )ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik( )

Aspekty techniczne RODO Osobom fizycznym mogą zostać przypisane identyfikatory internetowe takie jak adresy IP, identyfikatory plików cookie generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID ( )

Aspekty techniczne RODO ( ) Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Aspekty techniczne RODO Administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych ( )

Aspekty techniczne RODO Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator* powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. *administrator danych osobowych a nie administrator IT

Aspekty techniczne RODO Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Aspekty techniczne RODO W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki takie jak szyfrowanie minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (...)

Aspekty techniczne RODO Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Podsumowanie wymagań technicznych

Podsumowanie Dane osobowe: każda informacja, która może zostać użyta do bezpośredniej identyfikacji osoby fizycznej (podmiotu danych), imię, zdjęcie, e-mail, dane bankowe, posty na stronie sieci społecznościowej, dane medyczne, czy adres IP komputera (i wiele więcej) Administrator: podmiot, który określa cele, warunki i środki służące przetwarzaniu Procesor: podmiot przetwarzający dane osobowe w imieniu i na rzecz administratora danych

Podsumowanie Kary: nierejestrowanie przetwarzania, niezgłoszenie naruszenia ochrony, niedokonanie oceny skutków przetwarzania Ochrona: utrzymywana na najwyższym, możliwym poziomie, cyklicznie audytowana i dopasowująca się do zmieniających się zagrożeń Rozwiązania: powszechnie dostępne, stabilne i dojrzałe technologicznie, uznane za skuteczne Neutralność technologiczna zaaprobowana przez lobby biznesowe

Technologie bezpieczeństwa przydatne w kontekście RODO

Wstęp Wdrożenie wszystkich technologii bezpieczeństwa w pełnym zakresie nie jest możliwe w każdym przypadku Zwykle nie zaczynamy od zera Budowa systemu bezpieczeństwa to proces, który wymaga wsparcia od producentów, dystrybutorów i partnerów Pamiętajmy, że chodzi o bezpieczeństwo, a nie tylko RODO

Najważniejsze obszary bezpieczeństwa Bezpieczeństwo sieci, serwerów, stacji i zdalnego dostępu Bezpieczeństwo baz danych oraz aplikacji webowych Silna autentykacja i kontrola dostępu Monitorowanie przepływu danych i przeciwdziałanie ich utracie (Data Loss Prevention) Szyfrowanie, pseudonimizacja Analiza i korelacja zdarzeń pochodzących z systemów przetwarzających dane (SOC) Backup/archiwizacja

GDPR Obszary UTM/NGFW/Web Proxy/Sandbox/APT Podstawa bezpieczeństwa sieciowego w obszarach przetwarzających dane. Zaawansowane metody zapobiegania i wykrywania włamań. Wykrywanie i zapobieganie skutkom incydentów bezpieczeństwa.

GDPR Obszary Deszyfracja SSL Szyfrowanie ruchu zapewnia prywatność i integralność przesyłanych danych, ale równocześnie pozostawia ogromną furtkę w systemach bezpieczeństwa, bardzo chętnie wykorzystywaną przez hakerów oraz zaawansowany malware. Z punktu widzenia GDPR/RODO jakikolwiek audyt i wykrywanie wycieków danych musi się wiązać z wglądem w całą komunikację.

GDPR Obszary Uwierzytelnianie, Kontrola Dostępu Zarządzanie prawami dostępu i tożsamością. Multi-factor authentication. Analiza/wymuszanie haseł. Audyt i kontrola dostępów uprzywilejowanych

GDPR Obszary Network Access Control Kontrola dostępu do sieci od poziomu fizycznego (Ethernet, WiFi itp.) Zapewnienie dostępu tylko do wybranych obszarów sieci zgodnie z uprawnieniami.

GDPR Obszary Ochrona Stacji Końcowych Podstawa bezpieczeństwa dla stacji z dostępem do danych wrażliwych. Zaawansowane metody zapobiegania włamaniom. Wykrywanie i zapobieganie skutkom incydentów bezpieczeństwa. Audyt, DLP. Ochrona urządzeń mobilnych (Android, IOS).

GDPR Obszary Izolacja sieci Web Absolutna izolacja od zagrożeń związanych z siecią Web. Bezpiecznie otwieranie załączników i linków w wiadomościach. Wizualny strumień dostarczany użytkownikowi niezależnie od przeglądarki czy systemu operacyjnego. Praca bez instalacji agentów.

GDPR Obszary Szyfrowanie Stacji Roboczych/Nośników Komponenty szyfrujące dyski twarde i nośniki pamięci. Ochrona w przypadku kradzieży lub zagubienia, nieuprawnionego dostępu fizycznego. Zabezpieczenie przed wyciekiem danych z uszkodzonych, wymienionych czy wyrzuconych komponentów.

GDPR Obszary Szyfrowanie Poczty Elektronicznej Zabezpieczenie przed wyciekiem danych z użyciem poczty email.

GDPR Obszary Data Loss Prevention Klasyfikowanie tworzonych treści. Kontrola przepływu informacji. Zabezpieczenia klasy DLP instalowane na stacjach roboczych, dla usług (np. mail) i na poziomie sieci.

GDPR Obszary Web Application Firewall Ochrona aplikacji webowych najpopularniejszy interfejs dla użytkowników, najbardziej narażony na skuteczne ataki związane z wyciekiem danych.

GDPR Obszary Anonimizacja Danych, Antifraud Pseudonimizacja na najwcześniejszym poziomie już u użytkownika. Szyfrowanie danych wprowadzanych przez użytkownika, zapobieganie wyciekom po stronie użytkownika. Szyfracja na poziomie danych w sieci. Zabezpieczenie przed włamaniami, które mogą prowadzić do wycieków.

GDPR Obszary Audyt, Zgodność z Regulacjami (Compliance) Audyt zasobów sieciowych. Analiza stacji roboczych i serwerów. Analiza aplikacji webowych. Analiza kodu aplikacji. Analiza polityk systemów zabezpieczeń.

GDPR Obszary Audyt Ruchu do Chmury Kontrola aplikacji chmurowych, bardziej zaawansowana niż na poziomie URL, uwzględniająca wiele atrybutów, np. zgodność z regulacjami. Kontrola i tokenizacja danych w aplikacjach chmurowych.

GDPR Obszary Zbieranie Ruchu do Analizy/Deszyfracji Network TAP, Network Packet Brocker (NPB) niezbędny w wykrywaniu incydentów i wycieków na poziomie analizy ruchu wchodzącego lub wychodzącego z różnych segmentów sieci. Nagrywanie całego ruchu wchodzącego i wychodzącego.

GDPR Obszary Korelacja Zdarzeń, Przechowywanie Logów, Raportowanie Systemy SIEM zbierające i korelujące logi. Systemy analityczne. Budowa SOC (Security Operation Center) dla organizacji.

GDPR Obszary - Backup i archiwizacja Danych Lokalizacja danych strukturalnych (np. bazy danych) i niestrukturalnych (pliki biurowe, tekstowe, graficzne), przeszukiwanie i monitorowanie wykorzystania. Ochrona przed utratą, uszkodzeniem i naruszeniem. Minimalizacja przechowywanych danych, retencja i skuteczne usuwanie.

Jak znaleźć się w świecie z RODO Okazja do: Uzupełnienia systemu bezpieczeństwa. Ochrony w nowych obszarach. Modernizacji urządzeń do nowych polityk (wydajność, deszyfracja, większy zakres). Analizy stanu posiadania/ryzyka. Wdrożenia lepszego monitorowania.

Jak znaleźć się w świecie z RODO W ofercie Veracomp mamy rozwiązania w dowolnej skali. - np. DLP w UTM/NGFW FortiGate i DLP Symantec - w zależności od oceny ryzyka można skupić się tylko na określonych kanałach komunikacji np. http czy poczta W ofercie Veracomp mamy rozwiązania praktycznie we wszystkich obszarach które są pomocne w związku z RODO/GDPR. - zachęcamy do kontaktu z nami, jeśli pojawią się jakiekolwiek potrzeby - chętnie pomożemy również w kwestiach projektowych i strategicznych Jak zawsze zalecamy zdrowy rozsądek : ) Mogą się Państwo skontaktować z nami przez stronę: Veracomp.pl/rodo

Dziękuję! Piotr Borkowski

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres