GDPR a vybraná technická opatření Petr Dvořák Konference GAPP System 2018 Hotel Diplomat, Praha 12. dubna 2018
Technické opatření se 100 % účinností Stěžejní výhody Eliminuje potřebu rozsáhlých směrnic, organizačních a procesních opatření Časově a finančně nenáročné řešení Funkční pro jakýkoliv informační systém a jakoukoliv platformu Platforma Linux / UNIX: rm rf / Platforma Windows: format c: Nežádoucí vedlejší účinky Ztráta veškerých dat Signifikantní až katastrofický vliv na zachování funkčnosti organizace
Vybraná technická opatření (1) Sebelepší technické opatření nezajistí organizaci soulad s GDPR! GDPR je o celkovém přístupu k práci s osobními údaji, o souvisejících pravidlech, o lidech, jejich školení a fungování kontrolních mechanismů. Vybraná technická opatření mohou zvýšit úroveň ICT bezpečnosti a tím přispět k vyšší míře ochrany osobních údajů uložených v informačních systémech.
Vybraná technická opatření (2) Opatření číslo 1: Adekvátní změny ve stěžejním IS organizace Musí zajistit výrobce příslušného programového vybavení Není zpravidla nutné vyvíjet na míru Může (ale nemusí) být součástí pravidelných aktualizací daného IS Podpůrná technická opatření v oblasti ICT bezpečnosti - příklady 1. Řízení identit a přístupů 2. Řízení práce s citlivými daty 3. Monitoring a kontrola přístupů k souborovým datům; jejich klasifikace 4. Vyhledávání osobních údajů napříč organizací
Řízení identit a přístupů (1) Typický průběh přidělování přístupů 1. Příchod nového zaměstnance. 2. Přidělení adekvátních přístupů. 3. Participace zaměstnance na projektech. 4. Přidělení adekvátních přístupů. 5. Kariérní postup zaměstnance. 6. Přidělení adekvátních přístupů. 7. Odchod zaměstnance z organizace. 8. Odebrání všech/některých přístupů Kdo v organizaci definuje, jaké přístupy jsou pro daného uživatele adekvátní?
Řízení identit a přístupů (2) Typický výchozí stav Přístupy jsou řízeny manuálně pracovníky IT na základě explicitních požadavků Zodpovědní manažeři neřeší odebírání uživatelských práv a rolí V systému zůstávají neexistující uživatelé a uživatelé s neadekvátními právy Řešení Přesun kompetence za přidělení uživatelských práv z IT na zodpovědného manažera/hr Technologie Identity and Access Management (IAM), např. Evolveum midpoint Přínos pro organizaci Vysoká míra zabezpečení IS organizace (a tím i osobních údajů)
Řízení práce s citlivými daty (1)
Řízení práce s citlivými daty (2) Typický výchozí stav Uživatel může kopírovat/odesílat/nahrávat na Internet jakákoli data, ke kterým má přístup (který potřebuje, aby mohl dělat svoji práci) Řešení Rozšíření řízení přístupu o řízení práce s citlivými daty Technologie Data Loss Prevention (DLP), např. Safetica Přínos pro organizaci Výrazné snížení rizika, že uživatelé budou pracovat s daty a informacemi, ke kterým mají přístup neadekvátním způsobem
Monitoring a kontrola přístupů k souborovým datům
Monitoring a kontrola přístupů k souborovým datům Typický výchozí stav Přístupy uživatelů k souborovým datům nejsou auditovány Pokud jsou auditovány, neexistuje zpravidla jednoduchý nástroj na vyhledávání/analýzu Řešení Implementace řešení pro monitoring a vyhodnocení přístupů k souborovým systémům Technologie např. řešení Veritas Data Insight Přínos pro organizaci Snadné dohledávání průběhu bezpečnostních incidentů Včasná identifikace některých typů podezřelého chování Vyhodnocení správnosti nastavení uživatelských práv
Děkuji za pozornost. Petr Dvořák petr.dvorak@gapp.cz +420 602 150 352
Další program následuje již nyní 1. Moderovaná diskuse. 2. Odměnění některých z Vás za vyplnění dotazníků. 3. Krátký průvodce dnešní ochutnávkou vín přímo od someliéra. 4. Ochutnávka vín v předsálí.