PRZYGOTOWANIE DO WDROŻENIA OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (GDPR)

Podobne dokumenty
Ochrona biznesu w cyfrowej transformacji

SIŁA PROSTOTY. Business Suite

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Monitorowanie systemów IT

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

OMÓWIENIE ROZWIĄZANIA. Zapora ISFW. Ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

72% 50% 42% Czy Twoje przedsiębiorstwo spełnia nowe wymagania w zakresie Ochrony Danych Osobowych - GDPR?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Małe i średnie firmy Rozwój, konsolidacja i oszczędności

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

OCHRONA SIECI DLA KAŻDEJ CHMURY

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

Ochrona danych osobowych, co zmienia RODO?

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Ochrona danych osobowych w biurach rachunkowych

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

rodo. naruszenia bezpieczeństwa danych

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Wyższy poziom bezpieczeństwa

Włącz autopilota w zabezpieczeniach IT

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

ZAPEWNIENIE NOWOCZESNYCH MECHANIZMÓW OCHRONY DANYCH NA POTRZEBY RODO

Polityka ochrony danych i prywatności

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA PRYWATNOŚCI

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

OMÓWIENIE ROZWIĄZANIA. Connect & Secure. Bezpieczny, opłacalny i jednolity dostęp do sieci w przedsiębiorstwach rozproszonych.

Maciej Byczkowski ENSI 2017 ENSI 2017

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Wewnętrzna ochrona sieci. Zapora ISFW OPRACOWANIE

Opracował Zatwierdził Opis nowelizacji

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO. na podstawie art. 294 ust. 6 Traktatu o funkcjonowaniu Unii Europejskiej. dotyczący

Ochrona danych osobowych

POLITYKA PRYWATNOŚCI

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Wprowadzenie do Kaspersky Value Added Services for xsps

HP Service Anywhere Uproszczenie zarządzania usługami IT

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

LOGmanager a przestrzeganie RODO

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Prywatność i bezpieczeństwo danych medycznych

Prelegent : Krzysztof Struk Stanowisko: Analityk

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

POLITYKA OCHRONY DANYCH OSOBOWYCH

ZINTEGROWANE ZARZĄDZANIE INFORMACJĄ

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Nowe przepisy i zasady ochrony danych osobowych

2016 Proget MDM jest częścią PROGET Sp. z o.o.

OCHRONA SYMANTEC ENTERPRISE SECURITY. Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec

PRELEGENT Przemek Frańczak Członek SIODO

Oracle Log Analytics Cloud Service

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Reforma ochrony danych osobowych RODO/GDPR

` Oxeris Anti-Theft Service Powered by Intel Anti-Theft Technology Usługa antykradzieżowa urządzeń

POLITYKA PRYWATNOŚCI

BITDEFENDER GRAVITYZONE

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Spis treści. Wykaz skrótów... Wprowadzenie...

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Bezpieczeństwo dla wszystkich środowisk wirtualnych

Opinia 3/2014 Grupy Roboczej art. 29 zgłaszanie naruszeń danych osobowych

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

PARTNER.

S Y S T E M D O Z A R Z Ą D Z A N I A U R Z Ą D Z E N I A M I M O B I L N Y M I

WZMOCNIJ SWOJĄ POWIERZCHNIĘ ATAKU. F-Secure Radar - zarządzanie lukami w zabezpieczeniach

BEZPIECZNY OBIEKT Zabezpiecz Kontroluj Zarządzaj Oszczędzaj

BEZPIECZEŃSTWO DANYCH W ŚWIETLE RODO JAK PRZYGOTOWAĆ SIĘ NA NIEUNIKNIONE

Ochrona danych osobowych w biurach rachunkowych

Prezentacja specjalności studiów II stopnia. Inteligentne Technologie Internetowe

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Radom, 13 kwietnia 2018r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

GDPR Zmiany w prawie o ochronie danych osobowych

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Dlaczego połączenie z Internetem przedmiotów powinno stanowić najwyższy priorytet firmy

Ochrona danych GROMADZISZ PRZECHOWUJESZ WYKORZYSTUJESZ DANE? Czym są dane osobowe? Korzystniejsze przepisy dla drobnych przedsiębiorców

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Zapewnienie dostępu do Chmury

System informatyczny jest to wyodrębniona część systemu informacyjnego, która jest, z punktu widzenia przyjętych celów skomputeryzowana.

Transkrypt:

PRZYGOTOWANIE DO WDROŻENIA OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (GDPR) OPRACOWANIE

SPIS TREŚCI Wstęp.....3 Prawa osób fizycznych....4 Odpowiedzialność i zarządzanie...4 Powiadamianie o naruszeniach...5 Wyzwania związane z zabezpieczeniem sieci...5 Rozwiązanie Fortinet zabezpieczenia strukturalne...6 Streszczenie...8 2

PRZYGOTOWANIE DO WDROŻENIA OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (GDPR) WSTĘP CZYM JEST GDPR? Postępująca cyfryzacja i globalizacja naszej gospodarki jest w coraz większym stopniu zależna od kontrolowania i przetwarzania danych osobowych. Wiążą się z tym wprawdzie ogromne możliwości biznesowe, jednak zjawisku temu towarzyszą w coraz większym stopniu świadomość społeczna oraz obawy związane z tym, jak ważna jest ochrona danych osobowych. W ogólnoświatowej ankiecie przeprowadzonej niedawno przez firmę KPMG International ponad połowa (55%) konsumentów przyznała, że zrezygnowała z zakupów przez Internet ze względu na obawy o bezpieczeństwo danych osobowych. Z ankiety wynika również, że mniej niż 10% respondentów uważa obecnie, że ma jakąś kontrolę nad tym, w jaki sposób organizacje przetwarzają i wykorzystują ich dane osobowe. Odpowiedzią Unii Europejskiej na te obawy jest ogólne rozporządzenie o ochronie danych (General Data Protection Regulation GDPR). Uznając wagę tego rodzaju danych, w rozporządzeniu ustala się, że koszty związane z ich gromadzeniem, przechowywaniem i wykorzystywaniem ponoszone są przez organizacje odpowiedzialne za ich ochronę oraz zobowiązuje się te organizacje do przywrócenia kontroli nad danymi i prawa własności do nich osobie fizycznej. W przeciwieństwie do istniejącej dyrektywy w sprawie ochrony danych osobowych 95/46/WE, która została uwzględniona w prawodawstwie poszczególnych krajów, rozporządzenie GDPR ma być regulacją wzmacniającą, unifikującą i egzekwującą ochronę danych osobowych w całej UE. W związku z zastosowaniem bardziej rygorystycznych kryteriów, dodatkowych obowiązków oraz wyższych kar za niezachowanie zgodności (do 4% światowego obrotu lub 20 mln euro zastosowanie ma wyższa kwota) rozporządzenie GDPR bez wątpienia przyczyni się zarówno do zwiększenia nakładu pracy związanej z zachowaniem zgodności, jak i zagrożeń związanych z jej niezachowaniem. Dobra wiadomość jest taka, że w znaczącej części¹ będą to ujednolicone ustalenia dotyczące zobowiązań organizacji w kwestii ochrony danych osobowych obowiązujące we wszystkich krajach członkowskich UE. 1 Prawodawcy pozostawiają władzom lokalnym możliwość dodawania warunków lub dostosowywania ich do lokalnych potrzeb związanych z ochroną danych. Ogólne rozporządzenie o ochronie danych (General Data Protection Regulation GDPR) jest odpowiedzią Unii Europejskiej na ogromny wzrost znaczenia roli, jaką technologia odgrywa obecnie w naszym codziennym życiu. Rozporządzenie GDPR zostało ratyfikowane przez państwa członkowskie w kwietniu 2016 roku i wejdzie w życie w 25 maja 2018 roku. Jest to wprawdzie rozporządzenie UE, jednak ma ono również zastosowanie w odniesieniu do wszystkich organizacji gromadzących dane osobowe mieszkańców UE, niezależnie od fizycznej lokalizacji tych organizacji. Celem nowego rozporządzenia jest zapewnienie wdrożenia odpowiednich mechanizmów ochrony danych w procedury gromadzenia danych osobowych w fazie projektowania oraz domyślna ochrona danych. Założeniem początkowym jest gromadzenie jedynie minimalnej ilości danych niezbędnych do określonego celu oraz usuwanie ich, gdy nie są już potrzebne. Kolejnym ważnym aspektem rozporządzenia GDPR jest to, że osoba, której dotyczą dane, czyli źródło danych osobowych, jest właścicielem swoich danych osobowych. Jako właściciel taka osoba musi mieć możliwość wycofania zgody na gromadzenie danych w sposób równie łatwy, jak łatwe było udzielenie tej zgody. Osobie tej przysługuje również prawo do bycia zapomnianą i do odebrania swoich danych osobowych. W rozporządzeniu GDPR określono również warunki obowiązku powiadamiania w przypadku naruszenia zabezpieczeń danych osobowych oraz wyznaczono dwa poziomy kar zależne od tego, jak poważne jest to naruszenie. W związku z szybkim tempem zmian technologicznych rozporządzenie GDPR nakłada również obowiązek ciągłej oceny ryzyka na organizację gromadzącą dane, czyli administratora danych, oraz wymóg zachowania zgodności z rozporządzeniem GDPR na wszystkie organizacje zewnętrzne przetwarzające dane, czyli podmioty przetwarzające. 3

KOGO DOTYCZY? Rozporządzenie GDPR dotyczy wszystkich organizacji, niezależnie od kraju, które gromadzą, przechowują lub przetwarzają dane osobowe mieszkańców UE. Mogą to być dane pracowników, partnerów biznesowych, klientów czy potencjalnych klientów. W terminologii rozporządzenia organizacje takie zdefiniowane są jako administratorzy, którzy ustalają w jaki sposób i z jakiego powodu dane osobowe są przetwarzane, lub podmioty przetwarzające działające w imieniu administratorów. Na obie te grupy rozporządzenie GDPR nakłada więcej obowiązków i na obie mogą zostać nałożone kary w przypadku niewywiązania się z nich. Już samo osiągnięcie stanu, w którym organizacja potrafi precyzyjnie zlokalizować wszystkie wystąpienia danych określonej osoby fizycznej w całej infrastrukturze, będzie stanowić ogromną część tego wyzwania (czasami określa się ten problem mianem Gdzie są moje dane? ). W przypadku niektórych organizacji będzie to okazja do usprawnienia działań, wyeliminowania niepotrzebnego gromadzenia danych oraz ograniczenia ich przetwarzania wyłącznie do procesów, które są niezbędne do realizacji celów biznesowych. Tak czy inaczej, proces dostosowywania do wymogów rozporządzenia będzie prawdopodobnie znaczącym przedsięwzięciem. W JAKI SPOSÓB WPŁYNIE NA FIRMY NA CAŁYM ŚWIECIE? W przypadku większości organizacji skutki tego rozporządzenia będą znaczące i daleko idące. Wymuszą zmiany dotyczące procedur przetwarzania danych, struktur organizacyjnych, procesów biznesowych, a w konsekwencji technologii informatycznych i technologii zabezpieczeń. PRAWA OSÓB FIZYCZNYCH Istotą rozporządzenia GDPR jest zdefiniowanie praw osób fizycznych związanych z ochroną danych. Prawa te można zasadniczo podsumować w następujący sposób: Świadoma zgoda Prawo do uzyskania jasnych informacji, dlaczego dane są potrzebne i w jaki sposób będą wykorzystywane. Zgoda musi być wyrażona w sposób wyraźny i może zostać wycofana w dowolnym momencie. Dostęp Prawo nieodpłatnego dostępu do wszystkich zgromadzonych danych oraz do uzyskania informacji na temat sposobu ich przetwarzania. Korygowanie Prawo do korygowania danych, jeśli są nieścisłe. Usuwanie i prawo do bycia zapomnianym Prawo osoby fizycznej do zażądania usunięcia jej danych. Przenoszenie danych Prawo do pobierania i ponownego wykorzystania danych osobowych do własnych celów w różnych usługach. Pierwszym wyzwaniem związanym ze spełnieniem wymogów rozporządzenia GDPR jest zatem przeprowadzenie audytu i w razie konieczności zmodyfikowanie sposobów, w jakie organizacja gromadzi, przechowuje i przetwarza dane osobowe, w celu zapewnienia zgodności z tymi przepisami. ODPOWIEDZIALNOŚĆ I ZARZĄDZANIE Organizacja musi ponadto być w stanie wykazać zgodność z rozporządzeniem poprzez odpowiednie zarządzanie, w tym szczegółowe dokumentowanie, rejestrowanie i ciągłą ocenę ryzyka. Dodatkowym wymogiem w rozporządzeniu jest ochrona danych w fazie projektowania i zasada domyślnej ochrony danych, co oznacza, że zabezpieczenia powinny w jak najszerszym zakresie stanowić integralną część wszystkich systemów od samego początku, a nie rozwiązanie stosowane wstecznie, choć wymóg ten jest oczywiście ogromnym wyzwaniem, gdy mowa o starszych systemach. W takich przypadkach wyraźnie widać, jak podstawową rolę pełnią zabezpieczenia na poziomie sieci, będące pierwszą warstwa zabezpieczeń, ponieważ do momentu zmodyfikowania ogromnej liczby starszych systemów, które są nadal w użyciu, i wbudowania w nich mechanizmów ochrony danych, ta pierwsza warstwa może stanowić jedyną ochronę przed naruszeniem bezpieczeństwa danych. W związku z szybkim tempem zmian technologicznych mogliśmy zaobserwować je na przykład w dziedzinie Internetu, urządzeń mobilnych, aplikacji i gospodarki cyfrowej oraz będącą następstwem tych zmian ewolucją cyberzagrożeń, które nadal będą te zmiany wykorzystywać, rozporządzenie jest celowo niedoprecyzowane i nie podaje dokładnych środków technologicznych niezbędnych do zachowania zgodności. Poza najbardziej oczywistymi środkami ostrożności, takimi jak szyfrowanie danych czy pseudonimizacja 2, w rozporządzeniu GDPR w opisie wymogu ciągłej oceny ryzyka i aktualizacji środków zapobiegawczych pojawiają się takie terminy jak odpowiednie i zgodne ze stanem wiedzy technicznej. Wraz z odkrywaniem nowych luk w zabezpieczeniach technologie i praktyki związane z ochroną danych, które dziś są zgodne z wymogami, mogą wymagać modyfikacji w celu utrzymania tej zgodności w przyszłości. Może to bez wątpienia powodować trudności prawne związane z interpretacją, jednak organizacje tak czy inaczej będą potrzebować mechanizmów, które zapewnią, że podejmowane przez nie działania nie pozostają w tyle za najnowszymi zmianami w dziedzinie technologii i zagrożeń. 2 Pseudonimizacja to procedura, w wyniku której większość umożliwiających identyfikację pól w rekordzie danych zostaje zastąpiona przez co najmniej jeden sztuczny identyfikator lub pseudonim 4

POWIADAMIANIE O NARUSZENIACH Rozporządzenie GDPR nakłada również na organizacje nowy obowiązek powiadamiania odpowiednich władz o wszelkich naruszeniach bezpieczeństwa danych osobowych 3, których skutki mogłyby stanowić zagrożenie dla praw i wolności osób 4. Gdy zagrożenie takie zostanie uznane za wysokie, powiadomić należy również osoby, których te dane dotyczą. Powiadomienie należy przeprowadzić bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od wykrycia zdarzenia. Nawet w przypadku braku wyraźnych odniesień do określonych technologii ochrony danych i zabezpieczeń sieciowych, działania zmierzające do zapewnienia zgodności należy zacząć od zadbania o odpowiednie zabezpieczenie infrastruktury sieciowej przed wszelkimi możliwymi wektorami ataku. WYZWANIA ZWIĄZANE Z ZABEZPIECZENIEM SIECI UTRZYMYWANIE ZABEZPIECZEŃ ZGODNYCH ZE STANEM WIEDZY TECHNICZNEJ Dostosowanie do zmieniającego się krajobrazu zagrożeń stanowi wyzwanie, nawet jeśli nie bierzemy pod uwagę zawartego w rozporządzeniu GDPR warunku zabezpieczeń zgodnych ze stanem wiedzy technicznej. Ogromne dochody z cyberprzestępczości, nie mówiąc już o możliwościach działań terrorystycznych wspieranych przez rządy krajów, sprawiają, że pojedyncze firmy czy nawet administracje rządowe mogą mieć trudności z dorównaniem im poziomem zasobów i innowacyjności rozwiązań. Część problemu stanowi to, w jaki sposób rozwijają się zabezpieczenia przed cyberatakami odkrycie każdego nowego wektora ataku skutkuje koniecznością dodania kolejnego rozwiązania jako zabezpieczenia. Każde takie dodatkowe rozwiązanie może wprawdzie spełniać swoją rolę, jednak działa w większości przypadków w sposób izolowany i nie współpracuje lub współpracuje w niewielkim stopniu z pozostałą częścią infrastruktury zabezpieczeń. Efektami są nie tylko trudności z zarządzaniem, ale również łatwość powstawania luk w zabezpieczeniach i brak konsekwencji w reakcjach na nowe zagrożenia szczególnie w środowisku obejmującym rozwiązania wielu dostawców. Zadanie komplikuje dodatkowo pojawianie się nowych tendencji, takich jak rozwiązania mobilne i chmurowe czy Internet rzeczy, które powiększają powierzchnię narażoną na ataki, odsłaniając nowe luki w zabezpieczeniach i zaburzając tradycyjne pojęcie granic sieci. Reakcją na nowe zagrożenia jest stosowanie ściślejszych mechanizmów kontroli, ale może to w krótkim czasie doprowadzić do chaosu oraz opóźnień (co mogą potwierdzić osoby zaznajomione z zabezpieczeniami na lotniskach i granicach). Dodatkowe kontrole zwiększają również złożoność systemu, mnożąc liczbę punktów, z których dane są agregowane i interpretowane w celu ustalenia najodpowiedniejszej reakcji na każde z wykrytych zdarzeń. Każde rozwiązanie zasługujące na miano zgodnego ze stanem wiedzy technicznej będzie musiało nie tylko przezwyciężyć wyżej wymienione trudności, ale również nieustannie dostosować się do nowych sposobów korzystania z technologii oraz do zmian w krajobrazie zagrożeń. RAPORTOWANIE NARUSZEŃ ZABEZPIECZEŃ W CIĄGU 72 GODZIN Pierwszym problemem związanym z nakładanym przez rozporządzenie GDPR wymogiem powiadamiania o naruszeniach zabezpieczeń jest ustalenie, kiedy takie naruszenie miało miejsce oraz które zasoby mogą być zagrożone. Każde udane zewnętrzne naruszenie zabezpieczeń niemal z definicji musi wiązać się z całkowitym uniknięciem wykrycia lub z niewykryciem zdarzenia na czas. Oznacza to, że wykorzystany został mechanizm ataku niepodobny do wcześniej obserwowanych lub że przeoczono sygnały alarmowe wywołane tym zdarzeniem. Warto nadmienić, że w 2016 roku średni czas, jakiego organizacje potrzebowały na wykrycie typowego naruszenia zabezpieczeń, wynosił niemal pięć miesięcy 5. Na szczęście podany w rozporządzeniu GDPR 72-godzinny termin powiadomienia rozpoczyna się w momencie wykrycia, a nie w momencie naruszenia zabezpieczeń. Jednak w związku z tym, że skutki finansowe takiego zdarzenia są mocno powiązane z tym, przez jak długi czas haker ma dostęp do danych, skrócenie czasu potrzebnego na wykrycie nadal jest koniecznością. Początek ataku Okno możliwości T 0 T 1 Ponieważ wykrycie niewykrywalnego jest w oczywisty sposób niemożliwe, administratorzy zabezpieczeń powinni pogodzić się z nieuniknionymi, sporadycznymi włamania i przygotować się na nie, starając się równocześnie ograniczyć do minimum takie zdarzenia i przyspieszyć ich wykrywanie wszelkimi dostępnymi sposobami. Jak już wspomniano, rozporządzenie GDPR nie nakłada obowiązku powiadamiania o wszystkich naruszeniach zabezpieczeń, a jedynie o tych, które narażają na ryzyko prawa osób. W związku z tym, jeśli dane, do których uzyskano dostęp w wyniku naruszenia zabezpieczeń, zostały odpowiednio zaciemnione poprzez szyfrowanie lub pseudonimizację, oraz jeśli czas trwania nieupoważnionego dostępu pozostaje krótki, te prawa powinny być zagrożone w minimalnym stopniu. Początek ataku Wykrycie ataku Wykrycie naruszenia zabezpieczeń T 0 T 1 3 Naruszenie bezpieczeństwa danych osobowych jest tu zdefiniowane jako dowolne naruszenie zabezpieczeń, którego skutkiem jest zniszczenie, utrata, zmiana, nieupoważnione ujawnienie lub uzyskanie dostępu do danych osobowych. 4 Rozporządzenie GDPR, artykuł 32, Bezpieczeństwo przetwarzania 5 2016 M-Trends Report 5

Fakt, że określony profil ataku wcześniej nie występował, nie musi jednak oznaczać braku możliwości wykrycia go. Dysponując odpowiednim połączeniem rozproszonych analiz ruchu i informacji o zagrożeniach oraz technologii takich jak środowiska typu sandbox, można zablokować nieznane wcześniej ataki. Trudność w stosowaniu tak zaawansowanych technik wykrywania polega na odróżnieniu istotnych sygnałów od pozostałych sygnałów. Jest to wyzwanie podobne do tego, z którym zmagają się na całym świecie organizacje antyterrorystyczne. Ich zadaniem jest wyodrębnienie wyraźnych sygnałów informujących oźprzygotowywanym ataku spośród działań i komunikacji tysięcy inwigilowanych obiektów w różnych jurysdykcjach i na terenach różnych krajów. Bez szeroko zakrojonej współpracy i zautomatyzowanych technologii rozpoznawania wzorców, takie działania nie miałyby wielkich szans powodzenia. Tradycyjne podejście do zabezpieczeń sieciowych, w którym wiele izolowanych rozwiązań raportuje, a następnie uzależnia swoje działanie od zdolności podejmowania decyzji osoby będącej administratorem, coraz szybciej traci rację bytu. Ponieważ wrasta zarówno złożoność sieci jak i częstotliwość prób naruszenia zabezpieczeń, w infrastrukturze zabezpieczeń niezbędny jest pewien stopień współpracy i inteligentnej automatyzacji. ROZWIĄZANIE FORTINET ZABEZPIECZENIA STRUKTURALNE Zgodności z rozporządzeniem GDPR nie można wprawdzie zapewnić jedynie poprzez zastosowanie technologii, jednak przygotowanie zabezpieczeń sieciowych zgodnych ze stanem wiedzy technicznej jest w oczywisty sposób niezbędnym pierwszym krokiem. Aby ograniczyć wrażliwość na potencjalnie wyniszczające skutki poważnych naruszeń bezpieczeństwa danych, konieczne jest zarówno obniżenie liczby włamań do sieci, jak i skrócenie czasu ich wykrywania do minimum. Właśnie w tym aspekcie firma Fortinet może najbardziej wspomóc ogólne działania organizacji zmierzające do zapewnienia zgodności. Podstawą rozwiązania Fortinet jest nowe podejście do zabezpieczeń, w którym wszystkie kluczowe komponenty infrastruktury zabezpieczeń splatają się ze sobą, tworząc jedną, nieprzerwaną strukturę. FORTINET SECURITY FABRIC Rozwiązanie Fortinet Security Fabric cechują trzy najważniejsze właściwości rozległość, wydajność i automatyzacja. Jest ono kompleksową odpowiedzią na wyzwania związane z zabezpieczeniem sieci (charakteryzujących się obecnie brakiem granic, wysoką przepustowością i dużą złożonością) przed szybko ewoluującymi cyberzagrożeniami. Zaawansowane usługi Threat Intelligence Centrum operacyjne sieci/bezpieczeństwa Klient Chmura Sieć Dostęp Aplikacja Interfejsy API firm trzecich FORTINET SECURITY FABRIC 6

ROZLEGŁOŚĆ Fortinet Security Fabric to rozwiązanie zaprojektowane z myślą o zabezpieczaniu powiększającej się przestrzeni narażonej na ataki w nowoczesnej sieci korporacyjnej. Zapewnia ono ochronę, widoczność i kontrolę nad każdą częścią środowiska od połączonych przewodowo i bezprzewodowo punktów końcowych, poprzez publiczne i prywatne zasoby chmurowe, po centra danych, a nawet same aplikacje. W połączeniu z dynamiczną segmentacją sieci, która pozwala na logiczną separację danych i zasobów, rozwiązanie Fortinet Security Fabric umożliwia sięgnięcie w głąb sieci w celu wykrycia nowych zagrożeń przemieszczających się pomiędzy strefami. Takie rozległe wdrożenie i dogłębna widoczność umożliwiają poważny krok w kierunku zapewnienia zgodności, ponieważ ułatwiają monitorowanie ruchu wewnętrznego oraz urządzeń, zapobieganie nieupoważnionemu dostępowi do zasobów z ograniczeniami dostępu oraz hamują rozprzestrzenianie się intruzów i złośliwego oprogramowania. Co więcej, korzyści, jakie przynosi Fortinet Security Fabric, nie ograniczają się jedynie do oferty rozwiązań zabezpieczających firmy Fortinet. Dzięki zastosowaniu otwartych interfejsów programowania aplikacji (API), otwartej technologii uwierzytelniania oraz standaryzowanych danych telemetrycznych, rozwija się ekosystem partnerów współpracujących z rozwiązaniem Fabric, co umożliwia organizacjom integrowanie istniejących zabezpieczeń oraz inwestycji w infrastrukturę sieciową w ramach ich własnego rozwiązania Fortinet Security Fabric. WYDAJNOŚĆ W związku z tym, że moc obliczeniowa wielu tradycyjnych urządzeń zabezpieczających nie jest w stanie dotrzymać kroku wzrastającym przepustowościom sieci oraz złożoności zagrożeń, organizacje stają często przed koniecznością pójścia na niedopuszczalny kompromis. Są zmuszone obniżyć poziom zabezpieczeń, co grozi wykorzystaniem niezabezpieczonych wektorów ataku lub niezabezpieczonych części sieci do przeprowadzenia włamania, lub są zmuszone do zaakceptowania obniżenia wydajności aplikacji działających w sieci. Poprzez przeniesienie ciężaru zabezpieczeń i przetwarzania zawartości na dedykowane, specjalnie skonstruowane procesory SPU (Security Processing Unit), w których połączono przyspieszenie sprzętowe z wysoką optymalizacją oprogramowania sprzętowego, produkty firmy Fortinet stały się najszybsze w branży i umożliwiają organizacjom tworzenie kompleksowych rozwiązań zabezpieczających bez obniżania wydajności. AUTOMATYZACJA Oprócz rozległego wglądu w całą przestrzeń narażoną na ataki oraz możliwości bardziej dogłębnego przetwarzania każdego z pakietów rozwiązanie Fortinet Security Fabric umożliwia również gromadzenie połączonych danych pozyskiwanych z komponentów rozproszonych w celu szybkiego korelowania zdarzeń i koordynowania błyskawicznych, automatycznych reakcji odpowiednio do poziomu zagrożenia. Równie szybko, jak wykrywane są nowe zagrożenia, Fortinet Security Fabric jest w stanie automatycznie izolować zaatakowane urządzenia, partycjonować segmenty sieci, aktualizować reguły, wymuszać nowe polityki i usuwać złośliwe oprogramowanie. Wraz z rozrastaniem się sieci organizacji i jej dostosowywaniem do zmieniających się potrzeb biznesowych, rozrasta się i adaptuje również rozwiązanie Fortinet Security Fabric, automatycznie stosując najnowsze polityki zabezpieczeń do nowych urządzeń, obciążeń i usług w momencie ich wdrażania, zarówno lokalnie, jak i zdalnie czy w chmurze. 7

PODSUMOWANIE W wielu organizacjach zapewnienie zgodności z rozporządzeniem GDPR może być procesem długotrwałym i pełnym wyzwań. Ponadto, wraz z cyfrową rewolucją, przynoszącą postęp technologiczny po obu stronach cybernetycznego wyścigu zbrojeń, zgodność tę będzie trzeba regularnie poddawać ponownej ocenie na podstawie przeprowadzanych w sposób ciągły analiz zagrożeń. Podstawowe znaczenie w tym ciągłym procesie będzie mieć rola, jaką zabezpieczenia sieciowe odgrywają w zapobieganiu włamaniom i minimalizowaniu ryzyka poważnych naruszeń bezpieczeństwa poprzez skrócenie czasu wykrywania nowych zagrożeń. Aby to osiągnąć, należy zastosować rozległe, wydajne i zautomatyzowane podejście do zabezpieczeń. Fortinet Security Fabric to technologia bazująca na połączeniu wydajności i zasobów informacyjnych dostępnych w ramach struktury rozwiązań zabezpieczających firmy Fortinet, aby zapewnić korzyści większe niż w przypadku stosowania poszczególnych części tej struktury. Rozwiązania firmy Fortinet bazujące na skalowalnych, wzajemnie połączonych zabezpieczeniach oraz wspomagane użytecznymi informacjami o zagrożeniach i otwartymi standardami API zapewniają nieprzerwaną ochronę najbardziej wymagających środowisk korporacyjnych, a ponadto uzyskały świadectwa skuteczności i wydajności zabezpieczeń od niezależnych podmiotów w branży. Rozwiązania te są realizacją wizji Fortinet Security Fabric infrastrukturą eliminującą luki pozostałe po starszych produktach działających punktowo. Zapewniają rozległą, wydajną i zautomatyzowaną ochronę kompleksową, wymaganą obecnie w fizycznych, wirtualnych i chmurowych środowiskach organizacji. Polska ul. Złota 59 Budynek Lumen II (6 piętro) 00-120 Warszawa Polska Email: poland@fortinet.com SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 Stany Zjednoczone Tel.: +1.408.235 7700 www.fortinet.com/sales BIURO SPRZEDAŻY REGION EMEA 905 rue Albert Einstein 06560 Valbonne Francja Tel.: +33 4 8987 0500 BIURO SPRZEDAŻY REGION APAC 300 Beach Road 20-01 The Concourse Singapur 199555 Tel.: +65 6513 3730 CENTRALA FIRMY AMERYKA ŁACIŃSKA Sawgrass Lakes Center 13450 W. Sunrise Blvd., Suite 430 Sunrise, FL 33323 Tel.: +1 954 368 9990 Copyright 2017 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji). Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji). 67717 0 1 PL

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres