Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Transkript

1 Vzorové analýzy rizik zpracování v cloudu Zdeněk Jiříček National Technology Officer Microsoft ČR

2 Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

3 Government National Worldwide Certifikace a podkladová dokumentace nyní přístupné na Microsoft Trust Center ISO ISO ISO Cloud Controls SOC 1 (SSAE 16) SOC 2 (AT101) Matrix Type II Type II PCI DSS Level 1 * Content Delivery and Security Association * HIPAA / HITECH European Union Model Clauses ENISA IAF EU-U.S. Privacy Shield Spain ENS Singapore MTCS Level 3 Australian Signals Directorate New Zealand GCIO Japan Financial Services China MLPS*, TRUCS*, GB 18030* Section 508 VPAT United Kingdom G-Cloud FedRAMP JAB P-ATO FIPS CFR FERPA DISA Level 2 Part 11 CJIS IRS 1075 FISMA NIST

4 Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Zpracovatel: jak nejlépe pomoci správci a vyhovět regulátorovi 1. Vzorová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity, dostupnosti a ztráty os. údajů Dále rizika souladu s regulatorními požadavky pro správce Souvislost se ZoKB: rozsah analýzy rizik dle VoKB č. 316/2014 Sb. 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce

5 Vzorové Posouzení vlivu DPIA na Office 365 Zpracování osobních údajů v Office vzorové scénáře: Osobní údaje v Exchange Online / Outlook Citlivé osobní údaje v SharePoint Online např. výpis ze zdravotnické dokumentace Telemedicína / citlivé osobní údaje přes Skype for Business Analýza rizik a návrh zmírňujících bezpečnostních opatření Formát posouzení vlivu na ochranu osobních údajů (DPIA) Navíc: popis účelu a scénáře zpracování osobních údajů Navíc: posouzení nezbytnosti a přiměřenosti operací zpracování

6

7 Typ aktiv Aktivum Hrozba Zranitelnost Datová aktiva Služby Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 8 8 Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 8 5 Uložená data Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 7 7 Uložená data Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 7 5 Služba SharePoint Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 9 5 Služba SharePoint Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 10 5 Služba SharePoint Online Zneužití systémových zdrojů Obecná zranitelnost u správce 7 7 Služba SharePoint Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 9 5 Služba SharePoint Online Popření Obecná zranitelnost 8 5 Služba SharePoint Online Napadení komunikace Obecná zranitelnost 8 5 Služba SharePoint Online Přerušení komunikace Obecná zranitelnost 6 5 Služba SharePoint Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 10 5 Služba SharePoint Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 8 4 Služba SharePoint Online Selhání software Obecná zranitelnost u poskytovatele 8 4 Služba SharePoint Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 6 2 Služba SharePoint Online Selhání údržby Obecná zranitelnost u poskytovatele 8 4 Služba SharePoint Online Chyba uživatele Obecná zranitelnost u správce 8 7 Služba SharePoint Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 7 4 Služba SharePoint Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 5 3 Služba SharePoint Online Úmyslné poškození externími pracovníky Obecná zranitelnost 5 2 Služba SharePoint Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 9 5 Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 10 5 Služba Azure AD Popření Obecná zranitelnost 8 5 Služba Azure AD Napadení komunikace Obecná zranitelnost 8 5 Služba Azure AD Přerušení komunikace Obecná zranitelnost 6 5 Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 10 5 Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 8 7 Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 6 3 Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 5 3 Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 5 2 Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 8 4 Inher. riziko Zbytkové riziko

8 Typ aktiv Aktivum Hrozba Zranitelnost Datová aktiva Služby Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 6 6 Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 6 3 Datová aktiva Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 5 5 Datová aktiva Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 5 3 Služba Exchange Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 7 3 Služba Exchange Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 8 3 Služba Exchange Online Zneužití systémových zdrojů Obecná zranitelnost u správce 5 5 Služba Exchange Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 7 3 Služba Exchange Online Popření Obecná zranitelnost 6 3 Služba Exchange Online Napadení komunikace Obecná zranitelnost 6 3 Služba Exchange Online Přerušení komunikace Obecná zranitelnost 5 4 Služba Exchange Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 8 3 Služba Exchange Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 5 1 Služba Exchange Online Selhání software Obecná zranitelnost u poskytovatele 6 2 Služba Exchange Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 5 1 Služba Exchange Online Selhání údržby Obecná zranitelnost u poskytovatele 6 2 Služba Exchange Online Chyba uživatele Obecná zranitelnost u správce 6 5 Služba Exchange Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 6 3 Služba Exchange Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 4 2 Služba Exchange Online Úmyslné poškození externími pracovníky Obecná zranitelnost 4 1 Služba Exchange Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 6 2 Služba komunikace s externími IS Zavedení škodlivého software Zranitelnost u příchozích zpráv 7 4 Služba komunikace s externími IS Popření Obecná zranitelnost 6 3 Služba komunikace s externími IS Napadení komunikace Zranitelnost u příchozích zpráv 7 7 Služba komunikace s externími IS Napadení komunikace Zranitelnost u odchozích zpráv 7 5 Služba komunikace s externími IS Přerušení komunikace Obecná zranitelnost 5 4 Služba komunikace s externími IS Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 8 3 Služba komunikace s externími IS Náhodné přesměrování Zranitelnost u odchozích zpráv 6 4 Služba komunikace s externími IS Chyba uživatele Zranitelnost u odchozích zpráv 7 4 Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 7 3 Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 8 3 Služba Azure AD Popření Obecná zranitelnost 6 3 Služba Azure AD Napadení komunikace Obecná zranitelnost 6 3 Služba Azure AD Přerušení komunikace Obecná zranitelnost 5 4 Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 8 3 Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 5 1 Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 6 5 Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 6 2 Inher. riziko Zbytkové riziko

9 Vzorové analýzy rizik aplikace nad Azure K dispozici vzorové analýzy rizik pro zákazníky (v češtině): 1) zdravotnická dokumentace: řešení ICZ a.s. PACS snímky v Azure 2) spisová služba: Gordic GINIS v Azure (RAC, Mainstream) Rozsah analýzy rizik: Důvěrnost, integrita, dostupnost, ztráta dat Soulad s regulacemi ZoKB / VoKB, ZOOÚ, GDPR Návrh zmírňujících bezpečnostních opatření Z pohledu zákazníka zahrnuje Azure i příslušnou aplikaci

10

11

12 Vyžádejte si od nás: Vzorové analýzy rizik pro Azure Vzorové posouzení vlivu (DPIA) pro Office 365

13 2017 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.