Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved.
Tak było Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2
Artykuł 24 Obowiązki administratora 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3
Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. 2.. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42. 4
Artykuł 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 5
Co to znaczy odpowiednie środki? Ryzyko? Polityki ochrony danych? Certyfikacja?
ISO/IEC 27001:2013 System zarządzania bezpieczeństwem informacji 1. Zarządzanie ryzykiem 2. 114 zabezpieczeń w grupach: Polityki bezpieczeństwa informacji Organizacja bezpieczeństwa informacji Bezpieczeństwo zasobów ludzkich Zarządzanie aktywami Kontrola dostępu Kryptografia Bezpieczeństwo fizyczne i środowiskowe Bezpieczna eksploatacja Bezpieczeństwo komunikacji Pozyskiwanie, rozwój i utrzymanie systemów Relacje z dostawcami Zarządzanie incydentami bezpieczeństwa informacji Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Zgodność 7
Podobieństwa RODO i ISO z zakresu bezpieczeństwa informacji Bezpieczeństwo dane osobowe = dostępność, autentyczność, integralność i poufność Bezpieczeństwo informacji = dostępność, integralność i poufność 8
Normy ISO 27001 i ISO 27002 9
Normy dotyczące zarządzania ryzykiem PKN-ISO Guide 73:2012 Zarządzanie ryzykiem - Terminologia PN ISO/IEC 27005:2014 Zarządzanie ryzykiem w bezpieczeństwie informacji PN ISO 31000:2012 Zarządzanie ryzykiem 10
ISO/IEC 27018:2014: Kodeks postępowania dotyczący ochrony danych osobowych w Chmurach obliczeniowych Zmiany w zabezpieczeniach z ISO 27001 i ISO/IEC 27018 związane z przetwarzaniem danych osobowych w chmurze. Dodatkowe zabezpieczenia 11
Ciągłość przetwarzania danych osobowych wg ISO 22301:2012 Analiza BIA Analiza ryzyka Strategia ciągłości działania Plany ciągłości działania Ćwiczenia i testy 12
Ocena, monitorowanie i pomiary skuteczności zabezpieczeń Co należy mierzyć? Skąd czerpać inspirację? 13
Rodzina norm ISO/IEC 27000 1. ISO 27000 - słownictwo i terminologia (definicje dla wszystkich standardów z tej serii) 2. ISO 27003 Wytyczne dla wdrożenia. 3. ISO 27004 Zarządzanie bezpieczeństwem informacji - wskaźniki i pomiary. 4. ISO/IEC 27032 Guideline for cybersecurity 5. ISO/IEC 27033-x Network security 6. ISO/IEC 27034-x Application security 7. ISO/IEC 27043 Incident investigation 8. ISO 27799 Information security management in health using ISO/IEC 27002 14
Wdrożenie RODO ISO 27001 Bezpieczeństwo fizyczne Bezpieczeństwo IT Bezpieczeństwo osobowe ISO 31000 Identyfikacja zagrożeń i prawdopodobieństwa Ocena ryzyka Postępowanie z ryzykiem ISO 27018 Przetwarzanie DO w Chmurze Zabezpieczenia ISO 15
Pytania? 16