LOGmanager a soulad s požadavky GDPR

Podobné dokumenty
LOGmanager a dodržování požadavků bezpečnostních standardů PCI DSS v3.2

Obecné nařízení o ochraně osobních údajů

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Ochrana osobních údajů Implementace GDPR

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR v sociálních službách

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Bezpečnostní politika společnosti synlab czech s.r.o.

Dopady GDPR a jejich vazby

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Technická a organizační opatření pro ochranu údajů

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Podmínky ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Nová pravidla ochrany osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Posuzování na základě rizika

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

GDPR compliance v Cloudu. Jiří Černý CELA

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

GDPR Obecný metodický pokyn pro školství

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

OSOBNÍ ÚDAJE GDPR ROK POTÉ

Nakládání s osobními údaji


Seznam vzorů, které naleznete v publikaci:

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

GDPR Modelová Situace z pohledu IT

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Představení služeb Konica Minolta GDPR

Ochrana osobních údajů GDPR

1. Standardní pracovní činnost v prostorách Ortoptiky Dr. Očka Mgr. Martiny Hamplové ve vztahu k nařízení GDPR

Příloha Partner. Subjekt C&A: C&A Moda, s.r.o. Datum revize Revizi provedl/a. Aktuální verze 0.5. Stupeň důvěrnosti

JAK SE PŘIPRAVIT NA GDPR?

GDPR obecně Svaz měst a obcí

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Ochrana osobních údajů aktuálně

1. Kdo je správcem Vašich osobních údajů

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

Právní posouzení principů GDPR v rámci organizace

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Zásady zpracování osobních údajů smluvních partnerů Landie s.r.o. v souladu s GDPR

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Tovek Server. Tovek Server nabízí následující základní a servisní funkce: Bezpečnost Statistiky Locale

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Copyright Gaudens s.r.o.

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

SPISOVÁ SLUŽBA A GDPR

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Microsoft Day Dačice - Rok informatiky

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Metodické pokyny ke zpracovatelským smlouvám

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

SMĚRNICE TECHNICKÉHO MUZEA V BRNĚ PRO OCHRANU OSOBNÍCH ÚDAJŮ

Povinnosti osob při zpracování osobních údajů

Směrnice pro ochranu osobních údajů

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zásady zpracování osobních údajů.

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

VARONIS. Obecné nařízení EU o ochraně osobních údajů. Co musíte vědět, abyste ho dodrželi

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Zabezpečení osobních údajů

Transkript:

LOGmanager a soulad s požadavky GDPR Whitepaper ilustrující, jak nasazení platformy LOGmanager napomáhá zajistit dodržov ání požadavků NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 (GDPR). Toto nařízení stanovuje závazná pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů. V roce 2012 Evropská komise navrhla důkladnou revizi Evropské Data Protection Direktivy 95/46/EC. To se stalo základem nové regulace obecně známé pod pojmem General Data Protection Regulation (dále jen GDPR), schválené v dubnu 2016. Harmonizuje doposud mnohdy rozdílné zákony týkající se ochrany osobních údajů a nakládání s nimi, a to napříč všemi státy Evropské Unie. Vejde v účinnost od 25. května roku 2018 a týká se všech organizací, které zpracovávají osobní údaje občanů EU, a to uvnitř i mimo Evropskou unii. Mezi základní požadavky GDPR patří zejména: Zvýšit práva občanů Evropské unie při nakládání s jejich osobními daty. Zahrnout do vývoje a nasazení software zpracovávajících osobní data požadavek na bezpečnost dat i vlastních systémů (privacy by design and by default). V maximální možné míře chránit osobní údaje, doporučeně za použití anonymizace, pseudonymizace a šifrování. Chránit data, jejich dostupnost, důvěrnost i vlastní proces zpracovávání osobních údajů. Vytvořit nové role a procesy v organizaci tak, aby byl posílen dohled nad bezpečností osobních údajů. Pravidelně testovat, posuzovat a hodnotit účinnost zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracovávání. Povinnost do 72 hodin nahlásit zjištění, týkající se porušení tohoto zákona nebo ztráty osobních údajů, příslušným regulačním orgánům. S cílem posílit prosazování této regulace je v této právní normě obsaženo i ustanovení o sankcích včetně správních pokut, které mohou dosahovat astronomických částek. Bohužel nařízení Evropského parlamentu a Rady EU 2016/679 stanovuje, že tyto sankce je nutné v maximu uplatňovat, s možným náhradním opatřením jen ve vztahu k fyzickým osobám. Protože tato regulace je napsaná ne zrovna srozumitelným úředním jazykem, mnoho organizací řeší otázku, jaká opatření a v jakých oblastech jsou dle požadavků GDPR povinny dodržovat. Také se zamýšlejí nad tím, jaké systémy a řešení jim mohou spolehlivé dodržování těchto požadavků zajistit. Tento dokument popisuje, jak lze dosáhnout splnění některých důležitých požadavků této právní normy zavedením vhodného systému centrálního sběru a řízení bezpečnostních událostí postaveného na platformě LOGmanager.

Stručný přehled pro vedoucí pracovníky na pozicích CISO/CIO GDPR a platforma LOGmanager LOGmanager a jeho vztah k GDPR: Stručně řečeno, LOGmanager umožňuje organizaci průběžně i nárazově auditovat a v případě zjištění porušení tohoto zákona i jednoznačně prokázat, kdo, kdy a jakým způsobem přistupoval k datům a systémům, které jsou subjektem GDPR. LOGmanager je certifikovanou platformou pro pořizování auditních záznamů dle ISO/ČSN 27001:2014. Na šifrovaném* diskovém úložišti ukládá a dlouhodobě udržuje ve své centrální, indexované a kompresované databázi informace o událostech ze všech zdrojů, které jí svoje události předávají. Tyto události jsou normalizované pro snadné použití, ale současně uložené i v původní podobě. A to s jednoznačným identifikátorem a důvěryhodným časovým razítkem. Ověřovací a autorizační mechanismy LOGmanageru i jeho vnitřní kontrolní mechanismy zajištují, že k uloženým datům mohou přistupovat jen pověřené osoby a data nelze žádným známým způsobem modifikovat nebo částečně odstranit. * šifrování je dostupné pouze pro LOGmanager běžící na serverech HPE za využití HPE Secure Encryption. Přestože zavedení auditu je důležitým článkem v celém řetězci opatření, je nutné upozornit na to, že je to jen jedno z mnoha opatření. Na druhou stranu nelze jednoznačně konstatovat, že zavedení všech technických a organizačních opatření dle této regulace vyvazuje firmu ze zodpovědnosti za možné nedodržení cílů této regulace. (Ano, takto vytvořená právní norma ve svých možných důsledcích vypadá opravdu děsivě. Ale není nutné předcházet a vytvářet katastrofické scénáře. Teprve budoucí rozhodnutí soudů za porušení GDPR ukážou, jaká bude skutečná realita.) Podrobněji pro pracovníky IT bezpečnosti organizace V jakých oblastech GDPR dokáže LOGmanager pomoci specificky: Článek 32 Zabezpečení zpracování Článek 33 - Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu Článek 34 - Oznamování případů porušení zabezpečení osobních údajů subjektu údajů Článek 58 - Pravomoci Sledovat zabezpečení zpracování dat a přístup k datům: LOGmanager byl vyvinut jako systém pro centralizovanou správu protokolů událostí (logů) poskytující jednoduché zobrazení všech strojově generovaných dat v organizaci. V prvním kroku LOGmanager shromažďuje, sjednocuje a dlouhodobě uchovává protokoly událostí a záznamy o událostech z aktivních síťových prvků, bezpečnostních zařízení, operačních systémů a aplikačního softwaru. Následně v téměř reálném čase (near real-time) převádí shromážděná data do dobře definované výkonné databáze, ke které mohou IT bezpečnostní specialisté přistupovat prostřednictvím předdefinovaných řídicích panelů a strukturovaného i fulltextového vyhledávání s grafickým zobrazením výsledků.

Dokonalá viditelnost do logů, událostí a ostatních strojových dat může být použita, mimo jiné, i pro plnění účelu opatření specifikovaných v GDPR. LOGmanager navíc poskytuje i výkonné aplikační rozhraní podporující integraci s dalšími nástroji používanými v organizaci pro účely monitorování i zabezpečení. Pro výše uvedené povinnosti LOGmanager poskytuje mechanismy protokolování a zajišťuje schopnost zpětně dohledat aktivity systémů i uživatelů a provádět jejich průběžný i nárazový audit. To je kriticky důležité pro prevenci, odhalování nebo minimalizaci dopadů narušení (kompromitace) dat i systémů které jsou subjektem GDPR. Vzhledem k tomu, že LOGmanager v rámci jednoduchého zobrazení poskytuje přístup ke všem strojovým datům, lze v případě, že je zjištěn problém, provádět podrobné sledování, aktivovat výstrahy a zajistit podrobnou analýzu. Ve zkratce se jedná o aplikaci pro shromažďování, ukládání a analýzu protokolů událostí, která umožňuje nákladově efektivní automatizaci bezpečnostních opatření a proaktivní ochranu informačních systémů a elektronických sítí. LOGmanager je tedy nástroj umožňující realizaci části opatření vyplývajících z GDPR. Poskytuje ale i podporu pro zvládnutí kybernetických událostí a kybernetických bezpečnostních incidentů. Operátorům bezpečnosti IT dává prostředky na kontrolu i audit. Jednoznačným a nezpochybnitelným způsobem zaznamenává činnost systémů, umožňuje detekci, sběr a vyhodnocení bezpečnostních událostí a dokáže ze získaných strojových dat průběžně monitorovat dostupnost informací. Povinnost oznamovat incidenty a poskytovat dozorovému úřadu součinnost: LOGmanager podporuje vytvoření podkladů pro oznámení bezpečnostního incidentu v požadovaném formátu a umožňuje organizaci poskytnout součinnost k posouzení bezpečnosti systémů, které jsou subjektem GDPR. Díky dostatečné retenci uložených strojových dat umožnuje vytvořit auditní záznamy a podklady pro oznámení a následnou forenzní analýzu detekovaných bezpečnostních událostí, i když doba od vzniku bezpečnostní události a jejího zjištění se značně liší*. * Retence dat je závislá na modelu LOGmanageru a množství a typu sbíraných strojových dat. U modelu XL LOGmanager s kapacitou databáze 100TB dosahuje při trvalém sběru 3500 událostí za sekundu průměrně 450 dní. Dle doporučení Národního centra kybernetické bezpečnosti (k dispozici zde: https://www.govcert.cz/download/doporuceni/container-nodeid-1259/logmngmntfinal.pdf ) splňují všechny modely LOGmanager požadované retence dat, požadavky na kontrolu integrity, požadavky na šifrování logů a požadavky na šifrovaný přenos logů do log managementu. LOGmanager umožnuje předat v přesně specifikovaném formátu tabulky, provozní údaje (strojová data) a informace, které v souvislosti s činnostmi, které jsou subjektem regulace, vznikly.

LOGmanager a sběr a zpracování osobních údajů časté otázky a odpovědi: 1) Je nutný souhlas subjektu se zpracováním osobních dat vzniklých při sběru logů a událostí ze systémů zpracovávajících osobní údaje v LOGmanageru? Není vyžadován dodatečný souhlas. Pokud jednou osoba souhlasila se zpracováváním svých osobních údajů ve vaší organizaci, je velmi pravděpodobné, že některé z osobních údajů se objeví i v systémech pro bezpečnost, dohled, audit nebo forenzní analýzu. Mezi tyto osobní údaje, které se v LOGmanageru mohou objevit, patří nejčastěji jméno, uživatelské jméno, IP adresa a e-mailová adresa. Co se LOGmanageru týče, jedná se o systém, kde účel sběru a zpracování je definován jako oprávněný zájem správce osobních údajů. LOGmanager zpracovává logy, události, bezpečnostní a systémová data výhradně za účelem bezpečnosti, auditu a případně i forenzní analýzy. Již samotné bezpečnostní a auditní důvody tvoří oprávněný zájem. Proto, pokud vedoucí oddělení bezpečnosti IT organizace využívající LOGmanager provede dokumentaci za dodržení níže uvedených činností, není vyžadován dodatečný souhlas ke zpracování auditních dat. Za použití vnitřní směrnice organizace pro správu osobních údajů vytvořte dokument, v němž budete: a) Definovat účel sběru v tomto případě je to bezpečnost, audit a podklady pro vyšetřování bezpečnostních incidentů a předcházení ztrátě nebo porušení integrity osobních údajů. b) Dokumentovat prostředky použité ke zpracování LOGmanager jako kolektor a centrální úložiště logů, které mohou obsahovat i vybrané osobní údaje z auditu systémů zpracovávajících osobní údaje. Zdroje, které dané události, logy a strojová data poskytují. c) Provedete dokumentaci záruk, přístupových omezení a bezpečnostních opatření k ochraně možných osobních dat uložených v LOGmanageru popsat, jak je řešeno vaše AAA nastavení LOGmanageru, kdo je členem týmu, který může provádět v LOGmanageru operace, jaká má databázová oprávnění vzhledem k osobním údajům, zda tyto údaje potřebuje pro svoji činnost a jak s těmito daty nakládá. d) Provedete dokumentaci, jakým způsobem jsou historická data z LOGmanageru odmazávaná uvést, že data v LOGmanageru nelze žádným způsobem modifikovat a po zaplnění úložného prostoru databáze dochází k automatickému odmazání historických dat dle retence vašeho systému. V případě, že data LOGmanageru zálohujete na externí systémy, je nutné uvést také, jak jsou uloženy a ochráněny zálohy dat před neoprávněným přístupem. Dále je nutné uvést jakým způsobem jsou zálohy, které již nejsou potřebné pro výše uvedené účely, mazány. e) Definovat a dokumentovat pravidelná kontrolní opatření se vztahem k LOGmanageru. 2) Pokud subjekt odvolá souhlas, je nutné jeho veškeré osobní údaje smazat i z LOGmanageru? Není. Zpracování auditních záznamů v LOGmanageru je oprávněný zájem správce osobních údajů. I po odvolání souhlasu subjektem je nutné ponechat vzniklá auditní data. Dokumentace činnosti v předchozím zpracovávání i možné prokázání o vymazání z produkčních systémů jsou hlavní důvody, proč vlastní auditní data nemazat.

LOGmanager správná volba pro dodržování souladu s GDPR Před realizací zákonem požadovaných opatření je třeba provést analýzu rizik a zhodnotit celkové náklady na různé varianty řešení, a to při maximálním zachování souladu s regulacemi. Hlavní výhody LOGmanager řešení pro organizace hledající optimální poměr mezi dosaženou bezpečností a rozumnými náklady: Rychlá implementace. Pro dosažení souladu s regulacemi postačuje implementace v řádu dní. Snadné zaškolení obsluhy. Uživatelsky přehledné a intuitivní ovládání v češtině. Důsledná dokumentace v češtině i angličtině a návody pro vhodné nastavení zdrojů událostí. Nízké, a hlavně přesně definované náklady na provoz řešení. Hardware, software, služby v ceně. Žádné skryté licenční náklady, LOGmanager neobsahuje licenční omezení. Soulad s normou ČSN ISO/IEC 27001:2014, splnění vybraných požadavků regulací. Verze 2 ze dne 7.2.2018; autor: Ing. Miroslav Knapovský Security Solution Architect, CISSP, CEH, CCSK Email: knapovsky@logmanager.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář