Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Podobné dokumenty
Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

GDPR compliance v Cloudu. Jiří Černý CELA

Jak cloudové technologie mohou usnadnit život DPO?

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Windows - bezplatné služby pro školy. Jakub Vlček Specialist Microsoft Corporation

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Uchopitelná cesta k řešení GDPR

Efektivní provoz koncových stanic

Jak může pomoci poskytovatel cloudových služeb

Windows na co se soustředit

Jak urychlit soulad s GDPR využitím cloudových služeb

Komentáře CISO týkající se ochrany dat

Zabezpečení infrastruktury

Sdílíme, a co vy? Ing. Eliška Pečenková Plzeňský kraj. Ing. Václav Koudele Microsoft

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Jak Vám partnerské programy pomohou v rozvoji podnikání. Víte, že můžete získat software v hodnotě tisíců USD za zlomek ceny?

Dnešní program. Jak síť využít. Přínosy sítě. Nasazení sítě. Proč síť

Cloudové inovace a bezpečné služby ve veřejné správě

Lukáš Kubis. MSP pro VŠB-TU Ostrava

System Center Operations Manager

XNA Game Studio 3.1. Tomáš Herceg Microsoft Most Valuable Professional Microsoft Student Partner

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Obecné nařízení o ochraně osobních údajů

Skype for Business 2015

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

Vývojář vs. správce IT

Jakub Čermák Microsoft Student Partner

Posuzování na základě rizika

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Marketingová podpora pro partnery Microsoft

Novinky v licencovaní a edíciách a ako to súvisí s System Center 2012

Jakub Čermák Microsoft Student Partner

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Jakub Čermák Microsoft Student Partner

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

... abych mohl pracovat tak, jak mi to vyhovuje

Management System. Information Security Management System - Governance. Testy a audity

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Cloud nový směr v poskytování IT služeb

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Dopady GDPR na elektronizaci zdravotnictví

Optimalizace infrastruktury cesta ke kontrole IT. Pavel Salava Specialist Team Unit Lead Microsoft, s.r.o

Digital Dao, Jeffrey Carr

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Dopady GDPR na IT 4/9/18. Vaše otázky k tématu. Představení. Obsah. Úvod. 1. Co je GDPR? 2. Co je osobní údaj?

GDPR a poskytovatelé cloudových služeb

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Systémová analýza a opatření v rámci GDPR

Tomáš. Kutěj. Technical Solution Specialist Office platform

ehealth a bezpečnost dat


Řešení Technologických center

Využití identity managementu v prostředí veřejné správy

REGULÁTORY PRO DOMÁCTNOSTI TYP B NG

Praha, City Next město nové. generace. Václav Koudele. Strategy architect for public sector. Real Impact for Better Government

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Je možno bezpečnost dat zajistit v rozsahu daném GDPR a ev. Zákonem 110, 111/2019. Praha, Ing. Zdeněk Blažek, CSc. CISM

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Microsoft Dynamics CRM Online. Martin Čejka Solution Sales Professional Business Solution

Seminář Office 365. Tomáš Mirošník a Pavel Trnka COMPUTER HELP, spol. s r.o.

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Modelová DPIA a analýza rizik pro zpracování osobních údajů v Microsoft Office 365. Studie zpracovaná na základě poptávky Microsoft s.r.o.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Jak udržet citlivé informace v bezpečí i v době cloudu a mobility. Jakub Jiříček, CISSP Praha, 27. listopadu 2012

Jakub Čermák Microsoft Student Partner

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

V Brně dne a

IBM Security. Trusteer Apex. Michal Martínek IBM Corporation IBM Corporation

aktuality, novinky Ing. Martin Řehořek

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

a konverze na úřadech Martin Řehořek

GDPR Nové obecné nařízení o ochraně osobních údajů

Od Czech POINTu k vnitřní integraci

Jak na Cloud. Roman Šuk, Microsoft Monika Kavanová, Sales2Win

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

GDPR Projekt GDPR Compliance

Zabezpečení osobních údajů

GDPR Modelová Situace z pohledu IT

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011

Transkript:

Vzorové analýzy rizik zpracování v cloudu Zdeněk Jiříček National Technology Officer Microsoft ČR

Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

Government National Worldwide Certifikace a podkladová dokumentace nyní přístupné na Microsoft Trust Center www.microsoft.com/trust ISO ISO ISO Cloud Controls SOC 1 (SSAE 16) SOC 2 (AT101) 27001 27017 27018 Matrix Type II Type II PCI DSS Level 1 * Content Delivery and Security Association * HIPAA / HITECH European Union Model Clauses ENISA IAF EU-U.S. Privacy Shield Spain ENS Singapore MTCS Level 3 Australian Signals Directorate New Zealand GCIO Japan Financial Services China MLPS*, TRUCS*, GB 18030* Section 508 VPAT United Kingdom G-Cloud FedRAMP JAB P-ATO FIPS 140-2 21 CFR FERPA DISA Level 2 Part 11 CJIS IRS 1075 FISMA NIST 800-171

Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Zpracovatel: jak nejlépe pomoci správci a vyhovět regulátorovi 1. Vzorová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity, dostupnosti a ztráty os. údajů Dále rizika souladu s regulatorními požadavky pro správce Souvislost se ZoKB: rozsah analýzy rizik dle VoKB č. 316/2014 Sb. 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce

Vzorové Posouzení vlivu DPIA na Office 365 Zpracování osobních údajů v Office 365 - vzorové scénáře: Osobní údaje v Exchange Online / Outlook Citlivé osobní údaje v SharePoint Online např. výpis ze zdravotnické dokumentace Telemedicína / citlivé osobní údaje přes Skype for Business Analýza rizik a návrh zmírňujících bezpečnostních opatření Formát posouzení vlivu na ochranu osobních údajů (DPIA) Navíc: popis účelu a scénáře zpracování osobních údajů Navíc: posouzení nezbytnosti a přiměřenosti operací zpracování

Typ aktiv Aktivum Hrozba Zranitelnost Datová aktiva Služby Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 8 8 Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 8 5 Uložená data Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 7 7 Uložená data Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 7 5 Služba SharePoint Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 9 5 Služba SharePoint Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 10 5 Služba SharePoint Online Zneužití systémových zdrojů Obecná zranitelnost u správce 7 7 Služba SharePoint Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 9 5 Služba SharePoint Online Popření Obecná zranitelnost 8 5 Služba SharePoint Online Napadení komunikace Obecná zranitelnost 8 5 Služba SharePoint Online Přerušení komunikace Obecná zranitelnost 6 5 Služba SharePoint Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 10 5 Služba SharePoint Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 8 4 Služba SharePoint Online Selhání software Obecná zranitelnost u poskytovatele 8 4 Služba SharePoint Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 6 2 Služba SharePoint Online Selhání údržby Obecná zranitelnost u poskytovatele 8 4 Služba SharePoint Online Chyba uživatele Obecná zranitelnost u správce 8 7 Služba SharePoint Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 7 4 Služba SharePoint Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 5 3 Služba SharePoint Online Úmyslné poškození externími pracovníky Obecná zranitelnost 5 2 Služba SharePoint Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 9 5 Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 10 5 Služba Azure AD Popření Obecná zranitelnost 8 5 Služba Azure AD Napadení komunikace Obecná zranitelnost 8 5 Služba Azure AD Přerušení komunikace Obecná zranitelnost 6 5 Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 10 5 Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 8 4 Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 8 7 Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 6 3 Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 5 3 Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 5 2 Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 8 4 Inher. riziko Zbytkové riziko

Typ aktiv Aktivum Hrozba Zranitelnost Datová aktiva Služby Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 6 6 Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 6 3 Datová aktiva Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 5 5 Datová aktiva Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 5 3 Služba Exchange Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 7 3 Služba Exchange Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 8 3 Služba Exchange Online Zneužití systémových zdrojů Obecná zranitelnost u správce 5 5 Služba Exchange Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 7 3 Služba Exchange Online Popření Obecná zranitelnost 6 3 Služba Exchange Online Napadení komunikace Obecná zranitelnost 6 3 Služba Exchange Online Přerušení komunikace Obecná zranitelnost 5 4 Služba Exchange Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 8 3 Služba Exchange Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 5 1 Služba Exchange Online Selhání software Obecná zranitelnost u poskytovatele 6 2 Služba Exchange Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 5 1 Služba Exchange Online Selhání údržby Obecná zranitelnost u poskytovatele 6 2 Služba Exchange Online Chyba uživatele Obecná zranitelnost u správce 6 5 Služba Exchange Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 6 3 Služba Exchange Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 4 2 Služba Exchange Online Úmyslné poškození externími pracovníky Obecná zranitelnost 4 1 Služba Exchange Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 6 2 Služba komunikace s externími IS Zavedení škodlivého software Zranitelnost u příchozích zpráv 7 4 Služba komunikace s externími IS Popření Obecná zranitelnost 6 3 Služba komunikace s externími IS Napadení komunikace Zranitelnost u příchozích zpráv 7 7 Služba komunikace s externími IS Napadení komunikace Zranitelnost u odchozích zpráv 7 5 Služba komunikace s externími IS Přerušení komunikace Obecná zranitelnost 5 4 Služba komunikace s externími IS Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 8 3 Služba komunikace s externími IS Náhodné přesměrování Zranitelnost u odchozích zpráv 6 4 Služba komunikace s externími IS Chyba uživatele Zranitelnost u odchozích zpráv 7 4 Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 7 3 Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 8 3 Služba Azure AD Popření Obecná zranitelnost 6 3 Služba Azure AD Napadení komunikace Obecná zranitelnost 6 3 Služba Azure AD Přerušení komunikace Obecná zranitelnost 5 4 Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 8 3 Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 5 1 Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 6 2 Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 6 5 Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 6 2 Inher. riziko Zbytkové riziko

Vzorové analýzy rizik aplikace nad Azure K dispozici vzorové analýzy rizik pro zákazníky (v češtině): 1) zdravotnická dokumentace: řešení ICZ a.s. PACS snímky v Azure 2) spisová služba: Gordic GINIS v Azure (RAC, Mainstream) Rozsah analýzy rizik: Důvěrnost, integrita, dostupnost, ztráta dat Soulad s regulacemi ZoKB / VoKB, ZOOÚ, GDPR Návrh zmírňujících bezpečnostních opatření Z pohledu zákazníka zahrnuje Azure i příslušnou aplikaci

Vyžádejte si od nás: Vzorové analýzy rizik pro Azure Vzorové posouzení vlivu (DPIA) pro Office 365

2017 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář