Oracle Database Security

Podobné dokumenty
racle Database Security

Oracle Database Security

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Obecné nařízení o ochraně osobních údajů

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Jak efektivně ochránit Informix?

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Nová pravidla ochrany osobních údajů

Sdělení ÚOOÚ k přístupu založenému na riziku

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

LOGmanager a soulad s požadavky GDPR

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Právní posouzení principů GDPR v rámci organizace

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ OBCHODNÍ SPOLEČNOSTI ARC-H HRADEC KRÁLOVÉ S.R.O.

ALIS spol. s r.o., Česká Lípa říjen 2017

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

GDPR compliance v Cloudu. Jiří Černý CELA

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

POUČENÍ O PRÁVECH NA OCHRANU OSOBNÍCH ÚDAJŮ

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Technická opatření pro plnění požadavků GDPR

GDPR Projekt GDPR Compliance

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Představení služeb Konica Minolta GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Škola ochrany osobních údajů

Prohlášení o ochraně osobních údajů

GDPR Modelová Situace z pohledu IT

GDPR a veřejná správa

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

SMĚRNICE TECHNICKÉHO MUZEA V BRNĚ PRO OCHRANU OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Seminář o GDPR

Posuzování na základě rizika

Ochrana osobních údajů GDPR

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Informování veřejnosti o zpracování osobních údajů

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Informování veřejnosti o zpracování osobních údajů

Ochrana osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zásady ochrany osobních údajů

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

10. Předávání a zpřístupnění osobních údajů subjektu údajů třetí straně

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Bezpečnostní politika společnosti synlab czech s.r.o.

Informace o zpracování osobních údajů pro uchazeče o zaměstnání

Skupina společností AUSTIS

Interní směrnice o zpracování osobních údajů dle GDPR

GDPR v sociálních službách

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Informace o zpracování osobních údajů

Podmínky ochrany osobních údajů

Informování veřejnosti o zpracování osobních údajů

Informace k ochraně osobních údajů

A. OBECNÁ ČÁST ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ FYZICKÝCH OSOB

Informace o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Zabezpečení osobních údajů

SPISOVÁ SLUŽBA A GDPR

Dopady GDPR na elektronizaci zdravotnictví

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

Transkript:

Oracle Database Security Reakce na požadavky EU GDPR Patrik Plachy Senior Consultant CoreTech Competency Center

Disclaimer The information in this document may not be construed or used as legal advice about the content, interpretation or application of any law, regulation or regulatory guideline. Customers and prospective customers must seek their own legal counsel to understand the applicability of any law or regulation on their processing of personal data, including through the use of any vendor s products or services. 2

Současný stav ochrany dat v EU Dvě desetiletí stará směrnice o ochraně údajů 95/46/EC Roztříštěný způsob provádění vzhledem k rozdílnému výkladu v jednotlivých zemích Zastaralé vzhledem k rychlému technologickému rozvoji a globalizaci Slabá reakce na zvýšený počet bezpečnostních incidentů 3

General Data Protection Regulation (GDPR) Hlavní cíle Definovat základní úroveň ochrany údajů Vyjasnit odpovědnost za ochranu údajů Vypracovat v souladu s principy ochrany osobních údajů Reagovat na technologické změny Umožnit volný tok dat Zajistit prosazení regulace 4

Hlavní aktéři GDPR Řízení Instituce Organizace Zpracování Třetí strany Datové subjekty Zpracování 5

Hlavní aktéři GDPR (mimo EU pokračování) Řízení Instituce Organizace Datové subjekty Zpracování Zpracování 6

Hrozby Aktéři, Původci a Cíle Cloud/OS/DB Admin Test/Dev Hekři Uživatelé HelpDesk Rizikové multiplikátory Vysoká dostupnost Databázová konsolidace Starší aplikace Outsourcing Cloud Aplikace DB OS Zálohy Síť

GDPR Klíčové Bezpečnostní Principy POSOUDIT OCHRÁNIT ODHALIT Procesy, Profily, Citlivost dat, Rizika Šifrování, Pseudonymizaci, Anonymizace, Detailní řízení přístupu, Řízení privilegovaných přístupů, Oddělení rolí Audit, Monitorování aktivit, Upozorňování, Reportování 8

Posouzení bezpečnostních rizik Odkaz GDPR znění Řízení bezpečnosti z pohledu Oracle Database Článek 35 Citace 84 Citace 91 Provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů v případech, kdy je pravděpodobné, že operace zpracování budou představovat vysoké riziko pro práva a svobody fyzických osob, by měl být správce odpovědný za provedení posouzení vlivu na ochranu osobních údajů, aby vyhodnotil zejména původ, povahu, zvláštnost a závažnost tohoto rizika Posouzení vlivu na ochranu osobních údajů je rovněž zapotřebí v případě monitorování veřejně přístupných prostor prováděného ve velkém rozsahu http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex%3a32016r0679 Použití Oracle Enterprise Manager s Database Lifecycle Management Pack pro posouzení zabezpečeného profilu Oracle Databases zkoumáním její konfigurace. Použití Oracle Enterprise Manager s Application Data Modeling pro posouzení všech dostupných citlivých údajů prozkoumáním databázových sloupců s citlivými informacemi. Použití Oracle Database Vault Privilege Analysis pro posouzení, k jakým citlivým údajům se přistupuje průzkumem rolí a oprávnění v Oracle Database. Použití Oracle Security Assessment Tool pro vyhodnocení konfigurace databáze z pohledu zabezpečení, nastavení bezpečnostních politik, stavu uživatelů, rolí a oprávnění. 9

Nalezení citlivých dat Analýza rolí a oprávnění Průzkum konfigurace z pohledu bezpečnosti 10

Ochrana proti útokům http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex%3a32016r0679 Odkaz GDPR znění Řízení bezpečnosti z pohledu Oracle Database Článek 32 Citace 83 Citace 28 provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: pseudonymizace a šifrování osobních údajů; V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Použití Oracle Advanced Security - Transparent Data Encryption pro šifrování dat. Použití Oracle Advanced Security - Data Redaction pro pseudonymizaci dat u produkčních aplikacích. Použití Oracle Data Masking and Subsetting pro anonymizaci dat u ne-produkčních aplikací. 11

Ochrana proti útokům (pokračování) Odkaz GDPR znění Řízení bezpečnosti z pohledu Oracle Database Citace 26 Článek 5 Článek 20 Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Osobní údaje musí být: přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány ( minimalizace údajů ); Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex%3a32016r0679 Použití Oracle Data Masking and Subsetting pro maskování či anonymizaci dat v ne-produkčním prostředí. Použití Oracle Data Masking and Subsetting pro vytvoření podmnožiny dat, odstraněním či vytažením části dat na jiné umístění. 12

Ochrana proti útokům (pokračování) Odkaz GDPR znění Řízení bezpečnosti z pohledu Oracle Database Článek 29 Článek 32 Citace 64 Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce 4) Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex%3a32016r0679 Použití Oracle Virtual Private Database pro detailní řízení přístupu k ůdajům Použití Oracle Label Security pro klasifikaci a označení údajů podle citlivosti obsažené informace Použití Oracle Label Security pro řízení přístupu na základě klasifikace údajů Použití Oracle Database Vault pro řízení přístupu privilegovaných uživatelů, kteří zpracovávají data. Použití metod Oracle Strong Authentication jako např. SSL nebo Kerberos spolu s Real Application Security (RAS) pro ověření identity databáze a aplikačních uživatelů přistupujících k citlivým údajům. 13

Šifrování při posílání Řízení T3!&@<? Users Příjemci Pseudoanonymizace UK National ID xx xx xx 12 z Applications Zpracování Štítky a řízení Access denied Key Vault Šifrování při ukládání *7#$%!!@!%afb ##<>*$#@34 Omezená množina Region, rok a uživatelský profil Datové subjekty Anonymizace dob: 12/01/1987 xxxxxxxxxx 11/05/1999 Třetí strany Key Vault 14

Monitorování za účelem odhalení hrozby Odkaz GDPR znění Řízení bezpečnosti z pohledu Oracle Database Článek 30 Citace 82 Článek 33 Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu... http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex%3a32016r0679 Použití Oracle Database Auditing pro sledování a údržbu záznamů (auditních záznamů) během práce s daty. Použití Oracle Fine Grained Auditing pro záznam či audit specifických aktivit uživatelů jako např. výběr citlivých dat apod. Použití Oracle Audit Vault and Database Firewall pro centrální řízení záznamů o aktivitách a zpracování dat. Použití Oracle Audit Vault and Database Firewall pro monitorování a zasílání upozornění na podezřelé chování. 15

Uživatelé Database Firewall! SYBASE Aplikace Síťové události Hlášení! Auditní data Reporty Politiky Audit Vault Auditní data, záznamy o událostech 16

Kvalita ochrany CENTRALIZOVANÁ ADMINISTRACE KONTROLA SBĚR OPRÁVNĚNÍ. Použít Oracle Key Vault pro centrální řízení klíčů při práci s osobními údaji Použít Oracle Audit Vault and Database Firewall to pro centrální sběr a řízení auditních záznamů 17

Kvalita ochrany (pokračování) Odkaz GDPR znění Oracle Database Security Control Článek 25 Článek 32 zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. http://eur-lex.europa.eu/legal-content/cs/txt/?uri=celex%3a32016r0679 Použití Oracle Database Security maximum security architecture pro ochranu dat, jak uvnitř databáze, tak příchozích dat, dále pak návrh nasazení řídících prvků do architektury, sloužících pro posouzení citlivých dat, návrh preventivních ochran a v neposlední řadě návrh detektivních činností, když je nutné identifikovat původce zneužití údajů. 18

Single Sign-on použitím Oracle Identity Management Uživatelé Database Firewall Data Redaction Network Encryption Enterprise Manager Řízení konfigurace a dodržování Nalezení citlivých dat Analýza oprávnění Data Masking and Subsetting Key Vault Aplikace Strong Authentication Hlášení Události Fine-Grained Access Controls Database Vault Virtual Private Database Label Security Real Application Security Data Encryption Reporty Politiky Audit Vault Auditní data a záznamy o událostech Řízení bezpečnosti z pohledu databáze Administrace Prevence Detekce 19

Řízení bezpečnosti z pohledu Oracle ADMINISTRACE PREVENCE DETEKCE Bezpečná konfigurace Šifrování a redakce Audit Nalezení citlivých dat Použití minimálních oprávnění Maskování a menší množina dat DBA a řízení provozu Monitorování aktivit Upozornění a reporty 20

Stabilní strategie pro bezpečnost Oracle Database PŘEDVÍDÁNÍ HROZEB A JEJICH ZMÍRNĚNÍ Transparent Data Encryption, DBA Control, Redaction, Masking, Privilege Analysis, DB Firewall, RAS, Cloud, DEFENSE-IN-DEPTH SECURITY CONTROLS Překrývající se prvky: Šifrování, maskování, audit, monitorování, řízení přístupu, redakce, SECURITY INSIDE-OUT Zabezpečení, které je, co nejblíže datům: Eliminuje dohady, maximalizuje výkon a je transparentní pro aplikace ZKUŠENOST S NASAZENÍM Napříč různými systémy: Operační systémy, heterogenní databáze, aplikace,

SPARC/Solaris platforma bezpečnost na všech úrovních

Spojte se s námi /OracleDatabase /OracleSecurity blogs.oracle.com/ SecurityInsideOut blogs.oracle.com/ datamasking Oracle Database Insider /Oracle/database /OracleLearning oracle.com/database/security oracle.com/technetwork/database/security 23

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář