Kontrola dostępu do informacji w administracji publicznej

Kontrola dostępu do informacji w administracji publicznej Marcin Kozak Architekt Bezpieczeństwa Oracle Polska 1

Data Privacy Act 25 stycznia 2012 Cel Propozycja Nowej Dyrektywy Parlamentu Europejskiego w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. 2

Data Privacy Act propozycje zmian Propozycja nowelizacji Ustawy o ochronie danych osobowych Artykuły 28 i 29 wprowadzają obowiązek zawiadamiania o naruszeniach ochrony danych osobowych (24 godziny) Artykuł 46 umocnienie pozycji organu nadzorczego (GIODO), Uprawnienia dochodzeniowe Uprawnienia interwencyjne Nowe możliwości nakładanie kar finansowych: Artykuł 55: Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające. 3

Społeczna świadomość poufności informacji 4

Odpowiedzialności Informacja jest aktywem posiadającym wartość, niezależnie od sposobu czy formy przechowywania (papier, postać cyfrowa itd.) Kierownictowo odpowiedzialne jest za bezpieczeństwo informacji (tak jak odpowiedzialne jest za zarządzanie sekcją/oddziałem/departamentem) Aktywa: Dane osobowe Podpisane umowy 5 5

Podejście do zagadnienia zarządzania informacją Właściciel informacji (information owner/biznes - ODPOWIEDZIALNOŚĆ) Klasyfikacja informacji (np. ISO 27001 A.7.2) Kontrola dostępu (ISO 27001 A.11.2.4) Opiekun informacji (information custodian) Użytkownik informacji (user) 6 6

Zarządzanie Ryzykiem Analiza Ryzyka (na etapie projektu) Identyfikacja aktywów i ich wartości Identyfikacja słabości i zagrożeń Określenie ryzyka związanego ze zmaterializowaniem się zagrożeń Zarządzanie ryzykiem (w tym stosowanie mechanizmów kontrolnych) Analiza Ryzyka pozwala zarządzającym skonstruować budżet i określić kierunki działań uwzględniając aspekty strategiczne 7 7

Porozmawiajmy o ryzykach Podejście praktyka 8

Standardy, Standardy, Standardy Czyli czego warto używać? STIG (Database Security Technical Implemetation Guide) DISA (DoD) CIS (Center for Internet Security) National Institute of Standards and Technology SP 800-12 SP 800-27 SP 800-30 9 9

10 10

Repozytorium informacyjne Zewnętrze Audyt Aplikacje Monitorowanie komunikacji Auditing Tajne Procurement Authorization Wewnętrzne HR Authentication Publiczne Rebates Nieautoryzowany dostęp Silne uwierzytelnianie Klasyfikacja informacji ochrona tego co najwazniejsze Szyfrowanie informacji na dysku/macierzy Szyfrowanie kopii zapasowych Szyfrowana komunikacja Anonimizacja 11

Czy akceptujemy fakt, że administratorzy bazy danych mają dostęp do wszystkich informacji znajdujących się w tej bazie? Czy stanowi to dla nas ryzyko? 12

Czy akceptujemy sytuację, w której informacje zapisywane są na dysk (macierz, nośnik) w postaci niezaszyfrowanej? Czy ten fakt może stanowić dla nas ryzyko? 13

Czy akceptujemy sytuację, w której wszystkie informacje przesyłane między aplikacjami, a bazą, są przesyłane tekstem? (niezaszyfrowane) Czy ten fakt może dla nas stanowić ryzyko? 14

Czy akceptujemy sytuację, w której przekazując komuś informacje tracimy nad nią kontrolę? Czy ten fakt może dla nas stanowić ryzyko? 15

16

17

18

Minimalizacja ryzyka Regulacje i prawo Rekomendacje Standardy Umowy (ochrona poufności) Czy technologicznie jesteśmy gotowi? 19 19

DZIĘKUJĘ Marcin.Kozak@oracle.com 20