RODO zmiana podejścia do ochrony danych osobowych

Podobne dokumenty
RODO zmiana podejścia do ochrony danych osobowych

ROLA SECURITY OFFICERA

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zdrowe podejście do informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

biznesowych i organizacyjnych. Podstawowe cechy naszych rozwiązań to jakość, niezawodność i profesjonalizm.

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Zarządzanie ryzykiem w bezpieczeostwie IT

Maciej Byczkowski ENSI 2017 ENSI 2017

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Zarządzanie ryzykiem w bezpieczeństwie informacji

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO co oznacza dla zespołów IT?

Ochrona biznesu w cyfrowej transformacji

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Imed El Fray Włodzimierz Chocianowicz

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Nr sprawy: ST Poznań, Zapytanie ofertowe

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Reforma ochrony danych osobowych RODO/GDPR

Zarządzanie Ciągłością Działania

Bezpieczeństwo danych w sieciach elektroenergetycznych

Monitorowanie systemów IT

POLITYKA ZARZĄDZANIA RYZYKIEM

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

ZAGROŻENIA BEZPIECZEŃSTWA DANYCH

Szkolenie otwarte 2016 r.

rodo. naruszenia bezpieczeństwa danych

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Promotor: dr inż. Krzysztof Różanowski

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

POLITYKA ZARZĄDZANIA RYZYKIEM

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

ISO w Banku Spółdzielczym - od decyzji do realizacji

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Ocena ryzyka zawodowegoto proste! Copyright by Zdzisław Wiszniewski

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

PRELEGENT Przemek Frańczak Członek SIODO

Kompleksowe Przygotowanie do Egzaminu CISMP

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Ochrona danych osobowych, co zmienia RODO?

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Szczegółowe informacje o kursach

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Prelegent : Krzysztof Struk Stanowisko: Analityk

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

I. O P I S S Z K O L E N I A

INTERNATIONAL POLICE CORPORATION

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Spis treści. Wykaz skrótów... Wprowadzenie...

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

OCHRONA PRZED RANSOMWARE

SIŁA PROSTOTY. Business Suite

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów

Zarządzanie ryzykiem w projektach informatycznych. Marcin Krysiński marcin@krysinski.eu

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Zarządzanie procesem dostosowawczym do unijnej reformy ochrony danych osobowych (GDPR / RODO)

Plan realizacji celów głównych i zadań... w roku...

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Transkrypt:

RODO zmiana podejścia do ochrony danych osobowych Wprowadzenie do RODO Analiza ryzyka Metodyki analizy Kryteria akceptowalności Aktywa Zagrożenia Zabezpieczenia Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.

ZMIANY W RODO W KONTEKŚCIE ZAPEWNIENIA BEZPIECZEŃSTWA Obowiązek zgłaszania naruszeń bezpieczeństwa organowi nadzorczemu, administratorowi danych oraz podmiotowi danych. Zapewnienie ochrony prywatności już w fazie projektowania systemów (Privacy By Design) Zapewnienie ochrony prywatności jako domyślnej cechy systemów (Privacy By Default) Art. 32 RODO nakłada obowiązek wdrożenia odpowiednich zabezpieczeń w celu ochrony przed zagrożeniami Wprowadzenie podejścia do zabezpieczeń opartego na analizie ryzyka 3

ANALIZA RYZYKA - DEFINICJE Czym jest ryzyko? 4

ANALIZA RYZYKA - DEFINICJE RYZYKO Potocznie to wskaźnik stanu lub zdarzenia mogącego prowadzid do straty (obawa, niepewnośd). 1 / 22 000 000 1 / 776 000 1 / 14 000 000 1 / 176 000 000 Ryzyko to nie tylko prawdopodobieostwo, jest ono rzutowane na subiektywne poczucie wartości i straty 5

ANALIZA RYZYKA - DEFINICJE STRATA nie tylko wymiar materialny Strata wizerunku lub zaufania Strata przewagi konkurencyjnej Strata spodziewanych przychodów lub klientów Strata przywilejów lub legalności Aktywa również niematerialne 6

ANALIZA RYZYKA - DEFINICJE AKTYWA wszystko co stanowi wartośd dla organizacji Wiedza, know-how Pracownicy Lokalizacja Dostawcy, kontrakty Dane Licencje Infrastruktura 7

AKTYWA CHRONIONE WARTOŚCI Jakie wartości aktywów podlegają ochronie? Przykład: co uznamy za stratę w przypadku bazy danych? Jeden rekord bazy na 1 tys.? Jeden rekord bazy na 1 mln? Wykradziony / ujawniony? Skasowany? Błędnie wprowadzony? 8

BEZPIECZEŃSTWO W kontekście ochrony danych stratą będzie każde naruszenie ich bezpieczeostwa. Jak zatem precyzyjnie zdefiniowad bezpieczeostwo? Confidentality - poufnośd Integrity - integralnośd Availability - dostępnośd 9

INCYDENT BEZPIECZEŃSTWA INCYDENT - pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeo, które stwarzają ZNACZNE prawdopodobieostwo zakłócenia działao biznesowych i zagrażają bezpieczeostwu informacji. Jak zatem rozpoznad ZNACZNY wpływ na działania biznesowe? Konieczna jest analiza wpływu na biznes (BIA) 11

BIA BUSINESS IMPACT ANALYSIS BIA ma na celu ustalenie jak niekorzystny wpływ na realizację celów biznesowych będzie miało zaistnienie określonego incydentu bezpieczeostwa. W tym celu musimy zidentyfikowad wszystkie krytyczne procesy biznesowe (np. przyjmowanie zamówieo, produkcja, realizacja wysyłki). Musimy też znad zasoby konieczne do realizacji krytycznych procesów (np. infrastruktura, ludzie, materiały). 12

WSTĘP DO ANALIZY RYZYKA PODSUMOWANIE POJĘD: ryzyko, strata, aktywa i ich wartośd, incydent, bezpieczeostwo, wpływ na biznes ANALIZA: Ocena ryzyka zaistnienia incydentu naruszającego bezpieczeostwo aktywów o określonej wartości i mogącego spowodowad określone straty biznesowe. Jaki jest ostatni, brakujący element układanki? 13

ZAGROŻENIA ZAGROŻENIE: czynnik odpowiedzialny za powstanie incydentu naturalne (zjawiska przyrodnicze, ale też np. wyczerpanie zasobów) przypadkowe (awarie, wypadki, błędy ludzkie) zamierzone (kradzieże, ataki cyberprzestępców, akty wandalizmu, terroryści, hacktywiści) administracyjne (zmiana prawa) 14

PODATNOŚCI PODATNOŚD cecha sprzyjająca urzeczywistnieniu się potencjalnego zagrożenia. Przykłady: Brak aktualizacji oprogramowania Częste awarie systemu zasilania Brak szkoleo dla pracowników Brak polityk bezpieczeostwa Dwiczenie: Jakie potencjalne podatności zagrażające bezpieczeostwu bazy danych osobowych jesteś w stanie wskazad? 16

PODATNOŚCI POWIERZCHNIA ATAKU całościowy zbiór elementów, w których mogą wystąpid podatności zagrażające danym aktywom. dane osobowe baza danych dyski system pamięci masowej serwer W tym wypadku zagrożenia dla danych osobowych wynikają z sumy podatności wszystkich elementów mających na nie wpływ system operacyjny data center dostawca chmury 17

METODYKA 5S Szacowanie skutków oraz prawdopodobieostwa odbywa się w skali 1-5 Wytyczne dotyczące kwalifikacji następstw i prawdopodobieostwa do odpowiednich kategorii (1-5) Ryzyko jako iloczyn prawdopodobieostwa i skutków R - Ryzyko P - Prawdopodobieństwo S - Skutki R = P x S 21

METODYKA 5S Szacowanie prawdopodobieostwa Poziom Opis Prawdopodobieostwo Częstotliwośd wystąpienia 1 Prawie niemożliwe < 0,01 1 x 100 lat 2 Mało prawdopodobne 0,01 0,1 1 x 10 lat 3 Umiarkowanie możliwe 0,1 0,2 1 x 5 lat 4 Prawdopodobne 0,2 0,5 1 x rok 5 Prawie pewne > 0,5 1 x m-c 22

METODYKA 5S Szacowanie następstw Poziom Skutek Opis 1 2 3 Minimalny, pomijalny Mało znaczący, niski Znaczący, umiarkowany 4 Poważny, wysoki 5 Katastrofalny, krytyczny Nikły wpływ na funkcjonowanie organizacji Brak poważnego wpływu na działanie organizacji Krótkotrwały, poważny wpływ na działanie organizacji Poważny wpływ na działanie organizacji Zagrożenie dla kontynuacji działania organizacji 23

METODYKA 5S Następstwa Szacowanie ryzyka Macierz ryzyka Prawdopodobieostwo 5 4 3 2 1 5 25 20 15 10 5 4 20 16 12 8 4 3 15 12 9 6 3 2 10 8 6 4 2 1 5 4 3 2 1 24

METODYKA 5S Postępowanie z ryzykiem Wartośd Rodzaj ryzyka Opis działania 25 Krytyczne 10 20 Nieakceptowalne Konieczna natychmiastowa poprawa, należy rozważyd wstrzymanie procesu Konieczne niezwłoczne podjęcie działao obniżających ryzyko 5 10 Akceptowalne warunkowo Konieczne działania zmniejszające ryzyko jeśli nie ma przeciwwskazao ekonomicznych 2 4 Akceptowalne 1 Pomijalne Nie ma konieczności podejmowania działao ale należy monitorowad ryzyko Nie ma konieczności podejmowania jakichkolwiek działao 25

ANALIZA RYZYKA - POSTĘPOWANIE Postępowanie z ryzykiem możliwe warianty działania: AKCEPTACJA: godzimy się z możliwością wystąpienia incydentu, jego skutki są ekonomicznie akceptowalne a koszt wdrożenia zabezpieczeo przewyższa wartośd ewentualnych strat MIMINALIZACJA: wdrożenie rozwiązao zmniejszających poziom ryzyka (techniczne lub operacyjne środki zaradcze) UNIKANIE: unikanie i eliminacja działao powodujących występowanie ryzyka PRZENIESIENIE: przekazanie ryzyka innemu podmiotowi (np. ubezpieczyciel, dostawca, podwykonawca) 26

ŹRÓDŁA INFORMACJI O ZAGROŻENIACH Testy penetracyjne i audyty bezpieczeostwa jako narzędzia identyfikacji zagrożeo oraz podatności: Ustawa o Ochronie Danych Osobowych (plan sprawdzeo) Krajowe Ramy Interoperacyjności (audyt bezpieczeostwa min. 1 x rok) ISO 27001 (audyt bezpieczeostwa jako narzędzie oceny skuteczności) 27

ZADANIA ZESPOŁU SECURITY Inwentaryzacja i klasyfikacja aktywów Polityki bezpieczeństwa Okresowe audyty bezpieczeństwa i testy penetracyjne Zarządzanie incydentami bezpieczeństwa Szkolenia pracowników Dokumentacja Zarządzanie aktualizacjami Procedury disaster recovery Dobór i utrzymanie środków technicznych Filtrowanie ruchu Polityki AD Monitoring infrastruktury Archiwizacja i analiza logów Szacowanie i analiza ryzyka 35

POTRZEBUJEMY SOC SOC Security Operations Center Wydzielona jednostka do monitorowania, reagowania na incydenty i utrzymywania infrastruktury związanej z ochroną Monitorowanie IDS/IPS, sondy sieciowe, monitoring sieci, monitoring środowiskowy, monitoring bezpieczeństwa stacji AV, HIDS, bramki skanujące ruch smtp i http/https Zarządzanie logami Centralne gromadzenie, archiwizacja i kompresja. Korelacja zdarzeń i ich ocena pod kątem zagrożeń systemy typu SIEM 36

SOC CLEAN PIPE Filtrowanie poczty ochrona antywirusowa i antyspamowa Filtrowanie WWW i DNS ochrona na podstawie treści, kategorii, bazy reputacji Ochrona usług webowych anty DDOS, web application firewall 38

SOC ENDPOINT SECURITY Ochrona antywirusowa Skanowanie podatności Zarządzanie aktualizacjami Backup i archiwizacja Zdalny dostęp Inwentaryzacja sprzętu i oprogramowania Monitoring usług i parametrów systemowych Ochrona urządzeń mobilnych (BYOD) 39

SOC USŁUGI DODATKOWE Polityki i audyty bezpieczeństwa Testy penetracyjne i próby socjotechniczne Szkolenia użytkowników Usługi ABI Konsultacje z zakresu bezpieczeństwa 40

Dziękuję za uwagę http://www.upgreat.pl/blog http://www.facebook.com/upgreat.poznan Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.

Dziękuję za uwagę Jakub Staśkiewicz tel.: 667 768 452 mail: jakub.staskiewicz@upgreat.pl UpGreat Systemy Komputerowe Sp. z o.o. 60-122 Poznao, ul. Ostrobramska 22 http://www.upgreat.com.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres