ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Transkript

1

2 ANECT & SOCA GDPR & DLP Ivan Svoboda / ANECT / SOCA Lenka Suchánková / PIERSTONE Petr Zahálka / AVNET / SYMANTEC

3 GDPR struktura a změny

4 Hlavní změny Regulovaná data (osobní údaje, citlivé OÚ, pseudonymizace) technické údaje: IP adresy, cookies genetická, biometrická data pseudonymizace vs. šifrování profilování

5 Hlavní změny Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas - Přísnější požadavky - Snadné odvolání souhlasu

6 Hlavní změny Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat - Právo na opravu - Právo na výmaz - Právo na přenositelnost - Právo přístupu

7 Pravidla ochrany a možnost výmazu

8 Pravidla ochrany a možnost výmazu

9 Pravidla ochrany a možnost výmazu

10 Hlavní změny Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat ( Privacy by design ) DŮVĚRNOST DOSTUPNOST - Záměrná a standardní ochrana OÚ - S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům - zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování - proces pravidelného testování, posuzování a hodnocení účinnosti INTEGRITA

11 Hlavní změny Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat Odpovědnost, řízení rizik a reporting - Posouzení vlivu na ochranu OÚ - Pověřenec pro ochranu OÚ - Záznamy o činnostech zpracování DPIA

12 Hlavní změny Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat Zodpovědnost, řízení rizik a reporting Hlášení bezpečnostních incidentů - Jakékoli porušení zabezpečení OÚ, - Bez odkladu, do 72 hodin

13 INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? 72 HOD

14 INCIDENT MANAGEMENT Incident Management

15 INCIDENT MANAGEMENT & GDPR 01 Ohlašování případů porušení zabezpečení 1.Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55 3.Ohlášení podle odstavce 1 musí přinejmenším obsahovat: a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů; b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace; c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů; d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. 5.Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

16 INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE KATEGORIZACE ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

17 INCIDENT RESPONSE PLAN

18 INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE LOG MNGMT DETEKCE SIEM FORENSICS KATEGORIZACE RISK MNGMT INCIDENT MNGMT ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

19 ICT / Kybernetická bezpečnost: 3 oblasti 02 PROCESY Výběr nástrojů? Umístění? Konfigurace? Výběr kritických aktiv? Požadavky ochrany? Jaké hrozby? Úroveň ochrany? Typy opatření? Zodpovědné OSOBY? ROZPOČET? CEO VLASTNÍK DAT UŽIVATEL Kdo je MANAGER? ANALYTIK? ARCHITEKT? ADMINISTRÁTOR? AUDITOR? DOHLED? TECHNOLOGIE LIDÉ

20 INCIDENT MANAGEMENT & GDPR Procesy, směrnice: IR PLAN KLASIFIKACE Incident Response Plan, DR Plán DPIA INCIDENT MNGMT PROCESSES Směrnice pro klasifikaci dat (aktiv) Analýza rizik (DPIA) TECHNOLOGIES PEOPLE Směrnice pro detekci a zvládání událostí a incidentů Lidé SOC Ostatní (uživatelé, gestoři, spolupracovníci) Technologie DETEKCE SIEM RISK MNGMT LOG MNGMT FORENSICS INCIDENT MNGMT

21 Nejsložitější požadavky GDPR? Právo výmazu Právo přenositelnosti Získávání souhlasu subjektů Předávání údajů do třetích zemí Ohlašování incidentů Provádění analýz rizik (DPIA) Pověřenec () IAPP-EY Annual Privacy Governance Report 2016

22 Náklady na GDPR? - podle velikosti společnosti < 5, ,000 < , ,000 40k $ 310k $ 740k $ 1,7 M $ IAPP-EY Annual Privacy Governance Report 2016

23 Ochrana dat

24 Ochrana dat - požadavky 01 DŮVĚRNOST ÚNIKY DAT DOSTUPNOST ZTRÁTY DAT, DOS/DDOS, HAVÁRIE INTEGRITA ZNEUŽITÍ DAT, MODIFIKACE, CHYBY KONTROLA ŘÍZENÍ PŘÍSTUPU, DOHLED, INCIDENT RESPONSE

25 Data security: oblasti a technologie Rozumět svým datům (klasifikace, umístění, procesy) Řídit přístup k datům (minimalizovat, autentizace) DATA DISCOVERY DATA CLASSIFICATION DB SECURITY MOBILE SECURITY CLOUD SECURITY IDENTITY & ACCESS MANAGEMENT PRIVILIGED USER MANAGEMENT Monitorovat a detekovat anomálie (síťové, uživatelské, exfiltrace dat) Inteligentně ukládat (archivace, zálohování) DLP ARCHIVING ENCRYPTION ANOMALY DETECTION BACKUP & RESTORE PSEUDONYMIZATION Být připraven na incidenty (šifrování, obnova, reakce) ENTERPRISE KEY MANAGEMENT INCIDENT MANAGEMENT

26 Principy a fáze ochrany osobních údajů Posuzovat (citlivost, kontext, rizika) Chránit (zajistit neustálou ochranu) Odhalovat (detekovat odchylky a porušení) PREDIKCE PREDIKCE PREVENCE PREVENCE DETEKCE REAKCE DETEKCE Hlásit (analyzovat a ohlásit) REAKCE

27 INCIDENT MANAGEMENT Management rizik