monitorowanie systemów it | zmiany w ustawie o ochronie danych osobowych
TRANSCRIPT
Monitorowanie systemów IT
Zmiany w Ustawie o Ochronie Danych Osobowych
Adam Wódz
CISSP QSA ASVBusiness Unit Director Security SolutionCybercom Poland
• Co i kiedy zmieni się w ustawie o ochronie danych
osobowych?
• Kilka ważnych definicji…
• Co to wszystko oznacza dla firm przetwarzających dane?
• Przykładowe wyzwania: ataki XSS na aplikacje
Agenda
Po wielu miesiącach prac, w kwietniu 2016 r. zostało
opublikowane rozporządzenie Parlamentu
Europejskiego i Rady Unii Europejskiej
w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych.
Rozporządzenie zacznie obowiązywać od 25 maja
2018 r., a zatem państwa członkowskie mają 2 lata na
dostosowanie swoich regulacji do wymagań wspólnoty.
Co i kiedy ma się zmienić?
25Maj
2018r.
DANE OSOBOWE oznaczają informacje o zidentyfikowanej
lub możliwej do zidentyfikowania osobie fizycznej.
MOŻLIWA DO ZIDENTYFIKOWANIA OSOBA FIZYCZNA
to osoba, którą można bezpośrednio lub pośrednio
zidentyfikować, w szczególności na podstawie
identyfikatora takiego jak imię i nazwisko, numer
identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników
określających fizyczną, fizjologiczną, genetyczną,
psychiczną, ekonomiczną, kulturową lub społeczną
tożsamość osoby fizycznej.
Kilka ważnych definicji…
DANE GENETYCZNE oznaczają wszelkie dane dowolnego
rodzaju dotyczące charakterystycznych cech osoby fizycznej,
odziedziczonych lub nabytych na etapie wczesnego rozwoju
prenatalnego;
DANE BIOMETRYCZNE oznaczają wszelkie dane dotyczące
cech fizycznych, fizjologicznych i behawioralnych danej
osoby, które umożliwiają jej precyzyjną identyfikację, takie jak
wizerunek twarzy lub dane daktyloskopijne
Kilka ważnych definicji…
PROFILOWANIE oznacza dowolną formę zautomatyzowanego
przetwarzania danych osobowych, które polega na wykorzystaniu
danych osobowych do oceny niektórych czynników osobowych osoby
fizycznej, w szczególności do analizy lub prognozy aspektów
dotyczących efektów pracy tej osoby fizycznej, jej sytuacji
ekonomicznej, zdrowia, osobistych preferencji, zainteresowań,
wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Kilka ważnych definicji…
PSEUDONIMIZACJA oznacza przetworzenie danych osobowych
w taki sposób, by nie można ich było już przypisać konkretnej
osobie, której dane dotyczą, bez użycia dodatkowych informacji,
pod warunkiem że takie dodatkowe informacje są przechowywane
osobno i są objęte środkami technicznymi i organizacyjnymi
uniemożliwiającymi ich przypisanie zidentyfikowanej lub
możliwej do zidentyfikowania osobie fizycznej.
Kilka ważnych definicji…
NARUSZENIE OCHRONY DANYCH OSOBOWYCH oznacza
naruszenie bezpieczeństwa prowadzące do przypadkowego lub
niezgodnego z prawem zniszczenia, utraty, modyfikacji,
nieuprawnionego ujawnienia lub dostępu do danych osobowych
przesyłanych, przechowywanych lub przetwarzanych w inny
sposób.
Kilka ważnych definicji…
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz
charakter, zakres, kontekst i cele przetwarzania oraz ryzyko
naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i
podmiot przetwarzający wdrażają odpowiednie środki techniczne i
organizacyjne, aby zapewnić stopień bezpieczeństwa
odpowiadający temu ryzyku, w tym między innymi:
Bezpieczeństwo przetwarzania
• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności,
dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych
osobowych i dostępu do nich w razie incydentu fizycznego lub
technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności
środków technicznych i organizacyjnych mających zapewnić
bezpieczeństwo przetwarzania.
Bezpieczeństwo przetwarzania
W przypadku naruszenia ochrony danych osobowych,
administrator bez zbędnej zwłoki – w miarę
możliwości, nie później niż w terminie 72 godzin po
stwierdzeniu naruszenia – zgłasza je organowi
nadzorczemu właściwemu zgodnie z art. 55, chyba że
jest mało prawdopodobne, by naruszenie to
skutkowało ryzykiem naruszenia praw lub wolności
osób fizycznych. Do zgłoszenia przekazanego
organowi nadzorczemu po upływie 72 godzin dołącza
się wyjaśnienie przyczyn opóźnienia.
Zgłaszanie naruszenia ochrony danych osobowych
Max72h
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony
danych osobowych bez zbędnej zwłoki zgłasza je
administratorowi.
Zgłaszanie naruszenia ochrony danych osobowych
Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
• opisywać charakter naruszenia ochrony danych osobowych, w tym
w miarę możliwości wskazywać kategorie i przybliżoną liczbę
osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę
wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony
danych lub oznaczenie innego punktu kontaktowego, od którego
można uzyskać więcej informacji;
Zgłaszanie naruszenia ochrony danych osobowych
Administrator dokumentuje wszelkie naruszenia ochrony danych
osobowych, w tym okoliczności naruszenia ochrony danych
osobowych, jego skutki oraz podjęte działania zaradcze.
Dokumentacja ta musi pozwolić organowi nadzorczemu
weryfikowanie przestrzegania niniejszego artykułu.
Zgłaszanie naruszenia ochrony danych osobowych
Jeżeli naruszenie ochrony danych osobowych może
powodować wysokie ryzyko naruszenia praw lub
wolności osób fizycznych, administrator bez zbędnej
zwłoki zawiadamia osobę, której dane dotyczą, o
takim naruszeniu.
Zawiadomienie (…) jasnym i prostym językiem
opisuje charakter naruszenia ochrony danych
osobowych oraz zawiera przynajmniej (te same
informacje, co w przypadku zgłoszenia).
Zawiadomienie osób o naruszeniu ochrony danych osobowych
Zawiadomienie (…) nie jest wymagane, w następujących
przypadkach:
• administrator wdrożył odpowiednie techniczne i organizacyjne
środki ochrony i środki te zostały zastosowane do danych
osobowych, których dotyczy naruszenie, w szczególności środki
takie jak szyfrowanie, uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych danych osobowych;
Zawiadomienie osób o naruszeniu ochrony danych osobowych
• administrator zastosował następnie środki eliminujące
prawdopodobieństwo wysokiego ryzyka naruszenia praw lub
wolności osoby, której dane dotyczą (…);
• wymagałoby ono niewspółmiernie dużego wysiłku. W takim
przypadku wydany zostaje publiczny komunikat lub zastosowany
zostaje podobny środek, za pomocą którego osoby, których dane
dotyczą, zostają poinformowane w równie skuteczny sposób.
Zawiadomienie osób o naruszeniu ochrony danych osobowych
• Konieczność przeprowadzania analizy ryzyk dla przetwarzanych
danych osobowych (świadomość zagrożeń)
• Opracowanie i wdrożenie adekwatnych procedur i środków
bezpieczeństwa
• Regularne audytowanie systemów i ocena ich skuteczności (testy
zewnętrzne i wewnętrzne, dotyczące także podwykonawców)
• Monitorowanie i raportowanie incydentów (alerty o zagrożeniach,
analiza logów, monitorowanie systemów antywirusowych)
• Zwiększenie świadomości pracowników (testy socjotechniczne)
• Przykładowe wyzwanie: ataki XSS na aplikację…
Co to wszystko oznacza w praktyce?
Adam Wódz
CISSP QSABusiness Unit Director
Security SolutionsCybercom Poland