GDPR, eidas Procesní nebo technologický problém?

Transkript

1 GDPR, eidas Procesní nebo technologický problém?

2 Co znamená nařízení eidas?

3 Co znamená nařízení eidas Služby el. doporučeného doručení jedná se o přesně definované, účelově rozdělené a vzájemně se doplňující služby elektronické identifikace včetně služby vytvářejících důvěru Ověřování el. podpisů Uchovávání el. podpisů eidas eid Elektronické pečetě služby jsou děleny podle jejich účelu tak, jak by měly být státem nebo komerčními organizacemi poskytovány Autentizace webových stránek Správa el. dokumentů Časová razítka 03

4 eidas motivy a cíle Zvýšit důvěryhodnost a bezpečnost služeb poskytovaných na jednotném digitálním trhu EU. Mít státem garantovanou identitu občana a k ní zajistit technický prostředek pro bezpečnou autentizaci. Umožnit přístup občana ke službám státu i dalších subjektů. Vytvořit právní jistotu a použití certifikovaných prostředků pro přístup k online službám. Vzájemné uznávání prostředků pro online identifikaci a autentizaci napříč státy EU. 04

5 eidas služby vytvářející důvěru důvěryhodná elektronická identita fyzické osoby (uznávaný elektronický identitní prostředek) nové typy občanských průkazů elektronický podpis slouží k projevu vůle podepisující osoby (fyzické osoby) elektronická pečeť slouží k projevu vůle pečetící osoby (právnické osoby) elektronická časová značka elektronické doporučené doručování slouží k doručování el. dokumentů služby autentizace webových stránek prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt 05

6 eidas úrovně záruky Zavádí se tři úrovně záruk v souvislosti se systémem elektronické identifikace: nízká značná vysoká nová eop s kontaktním čipem splňuje požadavky eidas na autentizační prostředek s vysokou úrovní záruky + PIN = 06

7 eidas co se musí v rámci IS řešit Orgány veřejné moci musí v souvislosti s účinností nařízení eidas: umět ověřovat platnost zaručených el. podpisů a pečetí, které byly vydány v jiných členských státech EU umět ověřovat formáty zaruč. el. podpisů a pečetí podepisovat a pečetit dokumenty tak, aby byly ověřitelné v jiných státech EU vybavit se technickým a programovým vybavením pro používaní kvalif. el. podpisu a pečeti opatřovat podepsané, příp. zapečetěné el. dokumenty el. časovým razítkem rozpoznávat tzv. el. identifikaci z oznámených systémů el. identifikace Ověřování Ověřování el. podpisů a pečetí Vytváření Vytváření kvalifikovaných el. podpisů a pečetí Uznávání Uznávání prostředků pro el. identifikaci 07 Zavést nový způsob ověřování uznávaných el. podpisů a pečetí Zavedení kvalifikovaných prostředků nebo využití kvalifikované služby Napojení na uzel eidas a správa autentizovaných osob

8 Co znamená nařízení GDPR?

9 Co znamená GDPR práva fyzických osob General Data Protection Regulation nařízení EP a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) automaticky nahrazuje zákon 101/2000 Sb., o ochraně osobních údajů Nová práva pro fyzické osoby právo být zapomenut (správce musí zajistit vymazání i u ostatních správců) portabilita (správce může na naši žádost poskytnout údaje jinému subjektu) 09

10 Co znamená GDPR povinnosti správců a zpracovatelů Nové povinnosti pro správce a nově i ZPRACOVATELE osobních údajů zajištění bezpečnosti osobních údajů nová role Pověřenec pro ochranu osobních údajů ( DPO ) oznámení o narušení bezpečnosti osobních údajů ÚOOÚ do 72 hodin oznámení o narušení bezpečnosti osobních údajů subjektu údajů (představuje-li riziko pro práva a svobody subjektů) posouzení, zda způsob zpracování neohrožuje práva a svobody jednotlivců Největší změna v ochraně osobních dat za posledních 20 let 010

11 Jak se s eidas a GDPR vypořádat?

12 GDPR čemu je nutné se věnovat je velmi vhodné provést co nejdříve datovou inventuru (co se děje s daty) datový audit revize a úprava vnitřních předpisů revize souhlasů a smluv povinnost šifrovat vnitřní předpisy revize smluv se zpracovateli Firmy nastavení nových procesů (incidenty, dokumentace, ) Státní správa Samospráva zajištění personálních kapacit pro plnění organizačních požadavků jmenovat Pověřence pro ochranu osobních údajů DPO (dále jen pověřenec ). veř. správa bude mít povinnost šifrovat personální kapacity procesy smlouvy a souhlasy 012

13 Atos k tématům eidas a GDPR Nemocnice Transakční bezpečnost Občan a organizace Školy Školky Procesní opatření v oblasti elektronické identifikace a ochrany osobních údajů Úřady Komerční sféra Bezpečná autentizace a autorizace Analýza dopadů obou nařízení na systémy a procesy Návrh nápravných opatření v procesní i IT oblasti Elektronická identita Státní správa a samospráva Zahraniční subjekty Ochrana osobních údajů Outsourcing Data Protection Officer Pověřenec pro ochranu osobních údajů dle nařízení GDPR Autentizace, elektronický podpis a elektronické pečetě Komerční sféra Implementace technologií řešící tato nařízení 013

14 Procesní schéma ověření dopadů GDPR do procesů a systémů 1. POROZUMĚNÍ 2. ANALÝZA 3. AKCE Pochopení business procesů a IT prostředí zákazníka Identifikace běžného chování Vyhodnocení rizik (podložené scénáři) BUILD Nastavení procesů Příprava DPO Definice potřeb GDPR Definice kritického chování, systémů a dat Definování kontroly (podložené scénáři) Konsolidace dat a implementace ochranných nástrojů 4. OPATŘENÍ Vyhodnotit bezpečnostní dopady Audit Posoudit chyby v zabezpečení Monitoring dat a systémů 5. PROVOZ Reakce na incident Monitoring abnormálního chování Použití nástrojů v reálném čase (Risk Management Technologie) 014

15 GDPR které oblasti řešit? Identifikační a autentizační prostředky PKI Řízení identit a uživatelských přístupů Řízení privilegovaných účtů Autentizace & Autorizace Ochrana osobních údajů dle GDPR Centra řízení bezpečnosti Monitoring sítí a infrastruktury Zabezpečení databází a úložišť DLP (Data Loss Prevention) 015

16 GDPR čím jednotlivé oblasti řešit? (příklady technologií) Atos Identifikační Trustcenter a Atos autentizační CardOS prostředky TrustWay /Thales PKI (HSM) Řízení DirX identit Identity a uživatelských DirX Audit přístupů Řízení privilegovaných CyberArk účtů Evidian Autentizace Web Access & Manager Evidian Autorizace SSO DirX Access Ochrana osobních údajů dle GDPR Centra Atos řízení SOC bezpečnosti IBM QRadar Monitoring (SIEM) Flowmon sítí a infrastruktury penetrační testy Zabezpečení databází IBM a úložišť Guardium DLP Digital (Data Guardian Loss Prevention) 016

17

18 GDPR spolupráce Atos a Marsh Společnosti Atos a Marsh (přední mezinárodní pojišťovací makléř a poradce v řízení rizik) rozšířili své partnerství a nabízení svým zákazníkům end-to-end řešení pro podporu zavádění GDPR. Analýza společností Atos a Marsh umožňuje: Ohodnocení rizik a jejich dopadů, umožnění plánovat a implementovat nezbytná měření pro snížení dopadů potenciálních ztrát vyplývajících ze ztráty ochrany osobních údajů. Implementace nové implicitní bezpečnostní" role, kterou potřebují všechny organizace, aby mohli provozovat bezpečné IT systémy. Revize procesů pro řízení správy osobních dat tak, aby odpovídala novým nařízením. Podpora pomocí konkrétních nástrojů na měření úrovně ochrany. 018

19 eidas čeho se týkají prováděcí akty procesní opatření v oblasti elektronické identifikace specifikace značky důvěry EU pro kvalif. služby vytvářející důvěru specifikace pro formáty zaručených el. podpisů a pečetí tech. specifikace a formáty důvěryhodných seznamů tech. specifikace a postupy pro úrovně záruky prostředků pro el. identifikaci prováděcí nařízení pro el. transakce na vnitřním trhu normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí 019

20 eidas definice elektronického podpisu Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy. eidas definuje 4 úrovně elektronického podpisu: prostý el. podpis zaručený el. podpis uznávaný el. podpis kvalifikovaný el. podpis Kvalifikovaný elektronický podpis: právní účinek rovnocenný vlastnoručnímu podpisu uznáván ve všech členských státech EU 020

21 eidas vazba na Úplné elektronické podání (UEP) Veřejná správa je povinná do připravit své systémy na přijímání UEP. Tzn. také povinné rozpoznávání identifikace osob z oznámených systémů. Principy UEP: automatizované strojové zpracování podání rovnocenné dostupné ze všech el. kanálů (samoobslužných i asistovaných) data se zadávají jen jednou (předvyplněné jíž známé údaje) (občan dokládá jen nové údaje) zrušení místní příslušnosti, i mezinárodně důvěryhodnost, bezpečnost, transparentnost Do má být podle Nařízení schopno umožnit UEP cca 508 inf. systémů veřejné správy. A to na 22 ministerstvech a ústředních správních úřadech. 021

22 eidas prostředek pro elektronickou identifikaci osob Bezpečnostní funkce Údaje Předměty Identifikace Jednoznačné rozlišení osoby (uživatele systému) Autentizace Ověření identity osoby pro přihlášení k systému Autorizace Udělení práva osoby použít funkci systému Jedinečný identifikátor Údaje specifikující osobu: Jméno, datum narození Název firmy, DIČ Tajný údaj pro ověření identity v systému: Heslo PIN Data pověření k funkcím systému: Registr práv uživatelů Typy uživatelů a akcí Předmět pro zjištění identity: Průkazy vydávané státem ID karty s fotografiemi Předmět pro ověření identity v systému: OTP Kryptografický token Prokázání odpovědnosti a vůle k provedení akce: SMS Elektronický podpis 022