BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Podobné dokumenty
BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ANECT & SOCA ANECT Security Day

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ANECT, SOCA a bezpečnost aplikací

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

& GDPR & ŘÍZENÍ PŘÍSTUPU

GDPR. Požadavky na dokumentaci. Luděk Nezmar

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

O2 a jeho komplexní řešení pro nařízení GDPR

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

GDPR - příklad z praxe

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Posuzování na základě rizika

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

BEZPEČNOST IT A OT SYSTÉMŮ V ENERGETICE

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Sdělení ÚOOÚ k přístupu založenému na riziku

Dopady GDPR a jejich vazby

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

GDPR Modelová Situace z pohledu IT

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

Agenda DPO po implementaci GDPR Československá obchodní banka, a.s Interní

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Komentáře CISO týkající se ochrany dat

Systémová analýza a opatření v rámci GDPR

Škola ochrany osobních údajů

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní monitoring v praxi. Watson solution market

Představení služeb Konica Minolta GDPR

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Zákon o kybernetické bezpečnosti

Bezpečnostní poradenství.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Státní pokladna. Centrum sdílených služeb

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Případová studie. Zavedení ISMS dle standardu Mastercard

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Prezentace je duševním majetkem ABŠ a není dovoleno ji bez povolení ABŠ dále kopírovat a šířit.

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

Zákon o kybernetické bezpečnosti: kdo je připraven?

Security Expert Center (SEC)

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

GDPR a veřejná správa

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

GDPR. Zbyněk Malý. Pro zveřejnění

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Kybernetická bezpečnost ve státní správě

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zabezpečení osobních údajů

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Není cloud jako cloud, rozhodujte se podle bezpečnosti

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Dopady GDPR na elektronizaci zdravotnictví

Česká Telekomunikační Infrastruktura a.s

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Kybernetická bezpečnost od A do Z

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ OBCHODNÍ SPOLEČNOSTI ARC-H HRADEC KRÁLOVÉ S.R.O.

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Řízení informační bezpečnosti a veřejná správa

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Kybernetická bezpečnost MV

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Zkušenosti z nasazení a provozu systémů SIEM

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

Kybernetická bezpečnost resortu MV

Transkript:

BEZ LIDÍ TO NEPŮJDE Ivan Svoboda, ANECT & SOCA

PROCESY LIDÉ JSOU NEJSLABŠÍM ČLÁNKEM Nedostatek expertů Slabiny zaměstnanců Nefunguje strategie a procesy TECHNOLOGIE LIDÉ

PROCESY TECHNOLOGIE LIDÉ

Incidenty, hrozby, trendy

Smutné trendy Úniky dat Kybernetické útoky Lidé jako nejslabší článek Kyber-rizika rostou Lidé nejsou Má smysl něco dělat?? ANO

Statistiky: Cost of Data Breach Study Ponemon + IBM

MTTI / MTTC 16 Velký prostor ke zlepšení https://www.ibm.com/security/data-breach

MTTI / MTTC & Total cost of data breach / 2017 16 Úspora: 3 M $ Úspora: 3 M $ https://www.ibm.com/security/data-breach

Jak snížit náklady při úniku dat? 16 Úspora: 2,6 M $ (pro 100,000 údajů) https://www.ibm.com/security/data-breach

Jak snížit náklady při úniku dat? 16 INCIDENT RESPONSE SOC / CSIRT ACADEMY RISK MANAGEMENT Úspora: 2,6 M $ (pro 100,000 údajů) DPO https://www.ibm.com/security/data-breach

Požadavky GDPR na IR proces

Co říká GDPR? Článek 33 Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu 1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Praktické dopady GDPR Co k tomu musí každá organizace mít? Co musí každá organizace dělat? Analýzu rizik, Posouzení vlivu Kategorizace bezpečnostních incidentů Incident Response plán / proces Předem dohodnuté zapojení (non)-it rolí Metodu pro zajištění včasné reakce Co dělat? Situace Zaznamenat Jakékoli porušení zabezpečení! Ohlásit úřadu (do 72h) Riziko pro subjekty údajů!! Oznámit subjektům údajů Vysoké riziko pro subjekty údajů!!!

Proces reakce na porušení zabezpečení ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? 72 HOD IR PLAN DETEKCE KATEGORIZACE Incident response tým Expert & Execution tým ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

SOCA IR

SOCA řešení procesu IR IR proces jako komplexní služba Vyhodnocení událostí Zvládání incidentů Reakce dle GDPR

Představení služeb SOCA

Portfolio služeb IR Risk Management PREMIUM ACTIVE START Bezpečnostní role ACADEMY Posouzení stavu DPO SCAN SIEM Log management JEDNORÁZOVÉ PRŮBĚŽNÉ

? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?

ivan.svoboda@anect.com 604 293 394

SOCA: portfolio služeb

SOCA služby: 4 fáze 02 Zjištění stavu Konfigurace Analýzy rizik PREDIKCE PREVENCE Blokace Karanténa REAKCE DETEKCE Monitoring Náprava Analýza incidentů

ONE-TIME Typy služeb SOCA 30 CONTINUOUS

ONE-TIME Typy služeb SOCA: jednorázové 30 SCAN ASSESSMENTS & CONSULTING INCIDENT RESPONSE IR

Typy služeb SOCA: průběžné 30 RISK MANAGEMENT DPO ACADEMY ROLES & OPERATIONS CONTINUOUS MONITORING, DETECTION & RESPONSE SOC / CSIRT

ONE-TIME Typy služeb SOCA: přehled 30 SCAN RISK MANAGEMENT DPO ACADEMY ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE IR SOC / CSIRT

Jednorázové služby SOCA

SCANY

ONE-TIME SCAN & ASSESSMENT 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ STUDIE NA MÍRU

SCAN & ASSESSMENT 30 Změříme COKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV RŮZNÝMI METODAMI AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ANALÝZA AUDIT / POSOUZENÍ SCAN / TECHNICKÁ INVENTURA PENETRAČNÍ TEST SOULAD? DETEKCE & REAKCE?

Znáte stav Vašich sítí a systémů? ODHALÍME, CO VÁS OHROŽUJE HROZBY A RIZIKA, KTERÁ NEZNÁTE / NEVIDÍTE, VÁS MOHOU VÁŽNĚ POŠKODIT ZMĚŘÍME STAV RIZIK A BEZPEČNOSTI ZNÁTE VŠECHNY ZÁVAŽNÉ HROZBY A RIZIKA? ZMĚŘÍME PŘÍNOSY NÁSTROJŮ JAKOU MÁTE JISTOTU, ŽE JSTE V BEZPEČÍ?

ONE-TIME SCAN & ASSESSMENT: AKTIVA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? INVENTURA DAT (GDPR!!) INVENTURA IT PRVKŮ ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

ONE-TIME SCAN & ASSESSMENT: HROZBY 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ÚTOKY / MALWARE / BOTNETY APLIKACE MOBILY / CLOUD DARK WEB THREAT INTELLIGENCE USERS / ACCESS FLOWS INFECTED ENDPOINTS MALWARE BOTNETS SOULAD? DETEKCE & REAKCE?

ONE-TIME SCAN & ASSESSMENT: ZRANITELNOSTI 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? SÍTĚ SERVERY APLIKACE ENDPOINTY SECURITY PRVKY ZAMĚSTNANCI DETEKCE & REAKCE?

ONE-TIME SCAN & ASSESSMENT: RIZIKA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? ANALÝZA RIZIK IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

ONE-TIME SCAN & ASSESSMENT: IT ARCHITEKTURA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? INVENTURA SECURITY PRVKŮ SECURITY ARCHITEKTURA SOULAD? DETEKCE & REAKCE?

ONE-TIME SCAN & ASSESSMENT: PROCESY 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DOKUMENTACE / SMĚRNICE PROCESY ROLE DETEKCE & REAKCE?

ONE-TIME SCAN & ASSESSMENT: SOULAD 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE? LEGISLATIVA STANDARDY BEST PRACTICE ZKB / GDPR ISO 27k / PCI / HIPAA NIST / SANS

ONE-TIME SCAN & ASSESSMENT: DETEKCE A REAKCE 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE? PŘIPRAVENOST - PLÁNY SCHOPNOSTI - MONITORING SCHOPNOSTI - DETEKCE SCHOPNOSTI - REAKCE

INCIDENT RESPONSE

ONE-TIME INCIDENT RESPONSE 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ INCIDENT RESPONSE MONITORING & DETECTION PREPARATION INCIDENT RESPONSE PLANNING BEFORE INCIDENT ANALYSIS & CONTAINMENT DURING POST-ATTACK ANALYSIS & RECOVERY AFTER

INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE KATEGORIZACE ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

Průběžné služby SOCA

ONE-TIME Typy služeb SOCA: PRŮBĚŽNÉ SLUŽBY 30 ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE

BEZPEČNOSTNÍ ROLE A PROVOZ 30 CONTINUOUS ROLES & OPERATIONS SECURITY ROLES TRAININGS AWARENESS & THREAT INTELLIGENCE RISK MANAGEMENT SECURITY TECHNOLOGY OPERATIONS SECURE BACKUP MANAGEMENT

BEZPEČNOSTNÍ ROLE 30 CONTINUOUS ROLES & OPERATIONS SECURITY ROLES CISO / IT SEC MANAGER EDUCATION & TRAINING ZKB MANAŽER KB AWARENESS & THREAT INTELLIGENCE ARCHITEKT KB RISK MANAGEMENT AUDITOR KB SECURITY TECHNOLOGY OPERATIONS GDPR DPO SECURE BACKUP MANAGEMENT

DPO

Kdo potřebuje DPO službu? Kdo musí zřídit DPO: - orgán veřejné moci / veřejný subjekt - rozsáhlé pravidelné a systematické monitorování - rozsáhlé zpracování zvláštních kategorií údajů Kdo chce zřídit DPO - někdo ty činnosti vykonávat musí Článek 37 Jmenování pověřence pro ochranu osobních údajů 1.Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 Nedostatek lidských zdrojů - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Pouze interní

DPO: varianty služby DPO Mandatory DPO Options DPO Support Činnost pověřence v rámci služby Ombudsman pro subjekty údajů Poradenství v rámci organizace Konzultace v případě porušení zabezpečení Prověřování právního souladu zpracování Zvyšování povědomí zaměstnanců Posudek k posouzení vlivu Komunikace s dozorovým úřadem Pravidelný audit souladu se zákonnými požadavky Reporting činností Činnost pověřence v rámci služby Vedení záznamů o činnostech zpracování včetně SW Příprava posouzení vlivu Konzultace záměrné a standardní ochrany Komunikace v případě porušení zabezpečení Konzultace k obsluze subjektů údajů Konzultace k souhlasům se zpracováním osobních údajů Konzultace ke komunikaci se subjekty údajů Revize smluv se zpracovateli Konzultace k předávání do třetích zemí Konzultace k ustanovení společných správců Vytvoření a údržba závazných podnikových pravidel Vzdělávání zaměstnanců Jiné činnosti v oblasti GDPR a bezpečnosti Pouze interní

SOCA DPO otázky Musíte mít DPO? Chcete mít DPO? - Kdo to bude dělat? Jak to bude dělat? Máte na to vlastní vhodné kapacity? - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Kdo bude dělat ty ostatní činnosti v rámci GDPR? (viz SOCA DPO OPTIONS) - Vedení záznamů o činnostech zpracování - Příprava posouzení vlivu (DPIA) - Konzultace záměrné a standardní ochrany - Komunikace v případě porušení zabezpečení (Incident Management) Nepotřebujete podporu pro interního DPO? (viz SOCA DPO SUPPORT) Pouze interní

ACADEMY

Školení kybernetické bezpečnosti - možnosti Pro zaměstnance: - On-line školení - jako BOZP - Moderní, živější, s příklady z reálného života - Aktivní ověřování chování uživatelů - Praktický trénink: jak poznat phishing, atd. - Praktické ověření: kolik uživatelů klikne? - Školení s instruktorem Pro privilegované uživatele a administrátory - Školení pro IT administrátory a IT-sec specialisty (např. nácvik řešení incidentů) - Školení BLUE (SOC) týmu - Další Pouze interní

RISK MANAGEMENT

RISK MANAGEMENT

RISK MANAGEMENT Co to je? - komplexní služba řízení rizik zahrnující všechny potřebné metodiky, nástroje i lidské zdroje Kdo potřebuje řídit rizika? - GDPR - ZoKB - ISO 27000 (ISMS) - Další typy rizik Přínosy - Řada metodik podle účelu - Nejen služba, ale i zavedení procesu - Sofistikovaný nástroj v ceně - Průběžně aktualizovaný pohled Pouze interní

Řízení rizik & DPIA (GDPR) DPIA (Posouzení vlivu na ochranu osobních údajů) - Obecné nařízení o ochraně údajů ukládá správci povinnost zavést odpovídající opatření, aby zajistil a byl schopen doložit soulad s obecným nařízením o ochraně osobních údajů, přičemž přihlíží mimo jiné k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob (čl. 24 odst. 1). - Posouzení vlivu na ochranu osobních údajů se vyžaduje jen tehdy, je-li u určitého druhu zpracování pravděpodobné, že [ ] bude mít za následek vysoké riziko pro práva a svobody fyzických osob (čl. 35 odst. 1). Kdy a jak řídit rizika? - Pouhá skutečnost, že nebyly naplněny podmínky zakládající povinnost provádět posouzení vlivu na ochranu osobních údajů, však nesnižuje obecnou povinnost správců vhodným způsobem zvládat rizika pro práva a svobody subjektů údajů. - V praxi to znamená, že správci musí soustavně vyhodnocovat rizika vznikající při činnostech zpracování, aby mohli stanovit, kdy je u určitého druhu zpracování pravděpodobné, že [...] bude mít za následek vysoké riziko pro práva a svobody fyzických osob. - Je třeba zdůraznit, že řízení rizik pro práva a svobody fyzických osob vyžaduje, aby byl nejprve vypracován jejich výčet, proveden jejich rozbor, odhad, posouzení a aby byla řešena (např. snižována ) a pravidelně přezkoumávána. - Správci nemohou uniknout své odpovědnosti tím, že pokryjí rizika pojistnými smlouvami. Pouze interní

SOC / CSIRT

INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE LOG MNGMT DETEKCE SIEM FORENSICS KATEGORIZACE RISK MNGMT INCIDENT MNGMT ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

Úrovně služeb SOCA 29 Monitoring (7x24) Analýza (7x24) Povolení zásahu Rychlý zásah (7x24) Alerty Incident Management (Service Desk) Analýza (5x8) Návrh opatření (5x8) Nástroje: FW / IDS / SIEM Reporty Analýza Návrh system. opatření

Souhrn: služby SOCA

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika SCAN Security technologie nepřináší efekt Lidé jsou nejslabším článkem RISK MANAGEMENT Chybí vám technologie? DPO ARCH KB Legislativa a standardy? (ZoKB, GDPR, ISO) Bojíte se nových technologií? ACADEMY Chcete mít jistotu pro případ požáru? IR SOC / CSIRT

ONE-TIME Typy služeb SOCA: přehled 30 SCAN RISK MANAGEMENT DPO ACADEMY ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE IR SOC / CSIRT

? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?

ivan.svoboda@anect.com 604 293 394

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář