narzędzia informatyczne wspomagające iod w zarządzaniu ... · narzędzia informatyczne...

Narzędzia informatyczne

wspomagające IOD w zarządzaniu ochroną danych osobowych

Marcin Rek Dyrektor ds. Rozwoju Biznesu nFlo

Kliknij, aby edytować styl

© ESECURE 2018

ROZDZIAŁ I - Przepisy ogólne Artykuł 1 - Przedmiot i cele Artykuł 2 - Materialny zakres stosowania Artykuł 3 - Terytorialny zakres stosowania Artykuł 4 - Definicje

ROZDZIAŁ II - Zasady Artykuł 5 - Zasady dotyczące przetwarzania danych osobowych Artykuł 6 - Zgodność przetwarzania z prawem Artykuł 7 - Warunki wyrażenia zgody Artykuł 8 - Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego Artykuł 9 - Przetwarzanie szczególnych kategorii danych osobowych Artykuł 10 - Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa Artykuł 11 - Przetwarzanie niewymagające identyfikacji

ROZDZIAŁ III - Prawa osoby, której dane dotyczą Artykuł 12 - Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą Artykuł 13 - Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą Artykuł 14 - Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą Artykuł 15 - Prawo dostępu przysługujące osobie, której dane dotyczą Artykuł 16 - Prawo do sprostowania danych Artykuł 17 - Prawo do usunięcia danych („prawo do bycia zapomnianym”) Artykuł 18 - Prawo do ograniczenia przetwarzania Artykuł 19 - Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania Artykuł 20 - Prawo do przenoszenia danych Artykuł 21 - Prawo do sprzeciwu Artykuł 22 - Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie Artykuł 23 - Ograniczenia

ROZDZIAŁ IV - Administrator i podmiot przetwarzający Artykuł 24 - Obowiązki administratora Artykuł 25 - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych Artykuł 26 - Współadministratorzy Artykuł 27 - Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii Artykuł 28 - Podmiot przetwarzający Artykuł 29 - Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego Artykuł 30 - Rejestrowanie czynności przetwarzania Artykuł 31 - Współpraca z organem nadzorczym Artykuł 32 - Bezpieczeństwo przetwarzania Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu Artykuł 34 - Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Artykuł 36 - Uprzednie konsultacje Artykuł 37 - Wyznaczenie inspektora ochrony danych Artykuł 38 - Status inspektora ochrony danych Artykuł 39 - Zadania inspektora ochrony danych Artykuł 40 - Kodeksy postępowania Artykuł 41 - Monitorowanie zatwierdzonych kodeksów postępowania Artykuł 42 - Certyfikacja Artykuł 43 - Podmiot certyfikujący

ROZDZIAŁ V - Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych Artykuł 44 - Ogólna zasada przekazywania Artykuł 45 - Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony Artykuł 46 - Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń Artykuł 47 - wiążące reguły korporacyjnych Artykuł 48 - Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii Artykuł 49 - Wyjątki w szczególnych sytuacjach Artykuł 50 - Międzynarodowa współpraca na rzecz ochrony danych osobowych

ROZDZIAŁ VI - Niezależne organy nadzorcze Artykuł 51 - Organ nadzorczy Artykuł 52 - Niezależność Artykuł 53 - Ogólne warunki dotyczące członków organu nadzorczego Artykuł 54 - Zasady ustanawiania organu nadzorczego Artykuł 55 - Właściwość Artykuł 56 - Właściwość wiodącego organu nadzorczego Artykuł 57 - Zadania Artykuł 58 - Uprawnienia Artykuł 59 - Sprawozdanie z działalności

ROZDZIAŁ VII - Współpraca i spójność Artykuł 60 - Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy Artykuł 61 - Wzajemna pomoc Artykuł 62 - Wspólne operacje organów nadzorczych Artykuł 63 - Mechanizm spójności Artykuł 64 - Opinia Europejskiej Rady Ochrony Danych Artykuł 65 - Rozstrzyganie sporów przez Europejską Radę Ochrony Danych Artykuł 66 - Tryb pilny Artykuł 67 - Wymiana informacji Artykuł 69 - Niezależność Artykuł 71 - Sprawozdania

ROZDZIAŁ VIII - Środki ochrony prawnej, odpowiedzialność i sankcje Artykuł 77 - Prawo do wniesienia skargi do organu nadzorczego Artykuł 78 - Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu Artykuł 79 - Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu Artykuł 82 - Prawo do odszkodowania i odpowiedzialność Artykuł 83 - Ogólne warunki nakładania administracyjnych kar pieniężnych Artykuł 84 - Sankcje

ROZDZIAŁ IX - Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem Artykuł 85 - Przetwarzanie a wolność wypowiedzi i informacji Artykuł 86 - Przetwarzanie a publiczny dostęp do dokumentów urzędowych Artykuł 87 - Przetwarzanie krajowego numeru identyfikacyjnego Artykuł 88 - Przetwarzanie w kontekście zatrudnienia Artykuł 89 - Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych Artykuł 90 - Obowiązek zachowania tajemnicy Artykuł 91 - Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe

ROZDZIAŁ X - Akty delegowane i akty wykonawcze Artykuł 92 - Wykonywanie przekazanych uprawnień Artykuł 93 - Procedura komitetowa

ROZDZIAŁ XI - Przepisy końcowe Artykuł 94 - Uchylenie dyrektywy 95/46/WE Artykuł 95 - Stosunek do dyrektywy 2002/58/WE Artykuł 96 - Stosunek do uprzednio zawartych umów Artykuł 97 - Sprawozdania Komisji Artykuł 98 - Przegląd innych aktów prawnych Unii dotyczących ochrony danych Artykuł 99 - Wejście w życie i stosowanie


© ESECURE 2018

Szacowanie ryzyka podstawą do wdrożenia zabezpieczeń

Artykuł 35 - Ocena skutków dla ochrony danych

Artykuł 25 ust. 1 - Uwzględnianie ochrony danych w fazie

projektowania

Artykuł 32 - Bezpieczeństwo przetwarzania

Artykuł 25 ust. 2 - Domyślna ochrona danych


© ESECURE 2018

Szacowanie ryzyka wg ISO/IEC 27005

Ko

nse

kwen

cje/

sku

tki b

izn

eso

we

(Im

pac

t)

Prawdopodobieństwo scenariusza incydentu (Likelihood)

WYSOKA Wartość zasobu (potencjalne straty)

Konsekwencje prawne (np. kary finansowe

RODO)

Krytyczność zasobu (np. SCADA/OT)

Wielkość zagrożenia

Wielkość podatności

WIELKOŚĆ RYZYKA

ŚREDNIA

NISKA

NISKA

ŚREDNIA

WYSOKA


© ESECURE 2018

Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności

• Nieuprawniony dostęp do danych osobowych (utrata poufności)

• Nieuprawniona modyfikacja danych osobowych (utrata integralności)

• Utrata, kradzież lub nieuprawnione usunięcie danych osobowych (utrata dostępności)

• Nadmiarowa ilość danych osobowych

• Nieprawidłowe powiązanie danych osobowych z osobami, których dotyczą

• Niewystarczający opis powodów przetwarzania danych osobowych (brak przejrzystości)

• Nierespektowanie praw osób, których dotyczą danych osobowych

• Przetwarzanie danych osobowych bez wiedzy lub zgody osób, których dotyczą (chyba że takie przetwarzanie jest przewidziane w stosownych przepisach lub przepisach)

• Przekazanie danych osobowych stronom trzecim bez zgody osób, których dotyczą

• Nieuzasadnione przedłużenie czasu przechowywania danych osobowych


© ESECURE 2018

Ocena skutków dla prywatności wg ISO/IEC 29134

1. Identyfikacja przepływów danych osobowych w organizacji

2. Analiza zagrożeń wynikających z przetwarzania danych osobowych

Dane wejściowe: Wykaz procesów

biznesowych i systemów IT przetwarzających dane

osobowe

3. Ustalenie wymagań względem bezpieczeństwa danych osobowych

Wymagania standardów np. ISO/IEC 29100, wymagania polityki

bezpieczeństwa organizacji, wymagania prawa np. GDPR,

wymagania wynikające z umów i kontraktów, itd.

4. Oszacowanie ryzyka danych osobowych

5. Przygotowanie do obsługi ryzyk danych osobowych

6. Działania końcowe

4.1. Identyfikacja ryzyk danych osobowych4.2. Analiza ryzyka danych osobowych(analiza zagrożeń i potencjalnych konsekwencji, estymacja skutków i prawdopodobieństwa materializacji zagrożeń) 4.3. Ocena (priorytetyzacja) ryzyka danych osobowych(opracowanie mapy ryzyka danych osobowych)

5.1. Wybór opcji obsługi ryzyk (redukcja, zachowanie, eliminacja, transfer)5.2. Wybór zabezpieczeń5.3. Plan obsługi ryzyk (akceptacja właścicieli ryzyk, plan wdrożenia zabezpieczeń)

6.1. Przygotowanie raportu z prac6.2. Publikacja raportu6.3. Implementacja planu obsługi ryzyk6.4. Przegląd i audyt prac6.5. Rozważenie zmiany wielkości ryzyk, gdy nastąpiły zmiany w procesach biznesowych

zaczynamy od inwentaryzacji i dokumentacji


© ESECURE 2018

Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

„Naruszenie ochrony danych osobowych” - naruszenie bezpieczeństwa prowadzące do przypadkowego lub

niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego

dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości,

nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (...)

Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a. opisywać charakter naruszenia ochrony danych osobowych (…)

b. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (…)

c. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu

ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego

ewentualnych negatywnych skutków.

(...)

Obowiązek zgłaszania naruszeń bezpieczeństwa


© ESECURE 2018

Zarządzanie incydentami wg ISO/IEC 27035

Etapy zarządzania incydentami Główne czynności wykonywane przez osoby odpowiedzialne

1. Planuj i przygotuj się Opracowanie planów, procedur, itp. oraz wdrożenie narzędzi

wspomagających zarządzanie incydentami

2. Wykrywanie i raportowanie Wykrywanie incydentów

Manualne raportowanie incydentów

3. Ocena i decyzje Ocena uszkodzeń po incydencie (triage)

Klasyfikacja (oraz usunięcie fałszywych alarmów)

4. Reakcja na incydent Powiadamianie i eskalacja (jeżeli jest wymagane)

Zablokowanie rozszerzenia incydentu (containment)

Zebranie śladów incydentu, dokumentacja (chain of custody)

Usunięcie źródła incydentu (eradication)

Odtwarzanie po incydencie (recovery)

Analiza śladów incydentu (forensic analysis)

5. Wyciąganie wniosków Analiza przyczyn incydentu (root cause analysis)

Rekomendacja poprawy bezpieczeństwa

Komunikowanie i dzielenie się wiedzą


© ESECURE 2018

Artykuł 30 - Rejestrowanie czynności przetwarzania

1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności

przetwarzania danych osobowych (...)

b. cele przetwarzania;

c. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

(...)

g. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których

mowa w art. 32 ust. 1.

2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego

prowadzą rejestr wszystkich kategorii czynności przetwarzania (...)

3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.

4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub

podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu

zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko (...)

Obowiązek utrzymania dokumentacji danych osobowych


© ESECURE 2018

Obowiązek wykazania zgodności z wymaganiami RODO

Artykuł 35 - Ocena skutków dla ochrony danych

Artykuł 33(5) - Rejestrowanie naruszeń ochrony danych osobowych

Artykuł 24 - Obowiązki administratora (...) administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać

(...) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia

(…) dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu

© ESECURE 2018

Narzędzia informatyczne wspomagające IOD w zarządzaniu

ochroną danych osobowych

1. Utrzymanie dokumentacji danych osobowych

2. Szacowanie ryzyka i rekomendacje wdrożenia zabezpieczeń

3. Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności

4. Raport naruszenia bezpieczeństwa dla organu nadzorczego

5. Rozliczanie i wykazanie zgodności z wymaganiami RODO


© ESECURE 2018

Czym jest SecureVisio?

Baza wiedzy eksperckiejModelowanie zagrożeń, audytowanie

bezpieczeństwa, symulacja pojedynczych punktów awarii

Elektroniczna dokumentacja wizualna CMDB, w tym narzędzia do mapowania systemów IT do

procesów biznesowych/ przemysłowych

oraz danych wrażliwych

Narzędzia wspomagające RODO

Zarządzanie incydentami(workflow, playbook)

Szacowanie ryzyka / Ocena skutków

SIEMNetwork Anomaly

DetectionSkanery podatności

generowanie dynamicznych reguł korelacji

SIEM

logi flowyskanowanie

zgodnie z harmonogramem

incydenty wykryte z

analizy flowów

wykrytepodatności

rozumienie zasobówi zabezpieczeń

API

auto-rozpoznawanie systemów IT

incydenty i podatności istotne dla danych

osobowych

ocena skutków i priorytetyzacja biznesowa wykrytych incydentów

i podatności bezpieczeństwa

błędy w projekcie zabezpieczeń i "pojedyncze punkty awarii"

krytyczne dla organizacji

ocena skutków naruszenia danych osobowych i generowanie raportów zgodnie z RODO

incydenty wykryte z

analizy logów

rozumienie procesów biznesowych i danych

wrażliwych

powiadamianie o incydentach i innych ważnych zdarzeniach

Analiza Threat Intelligence

feedy

Konsola i raportyrekomendowanezabezpieczenia

prezentacja stanu bezpieczeństwa

organizacji

rozumienieprocesów

biznesowych

adekwatne IoC

© ESECURE 2018

AUTOMATYCZNE ROZPOZNANIE

SYSTEMÓW

BAZA WIEDZY EKSPERCKIEJ

Dokumentacja sieci, systemów IT, zabezpieczeń oraz danych osobowych


© ESECURE 2018

Utrzymanie dokumentacji danych osobowych


© ESECURE 2018

Szacowanie ryzyka w obszarze cyberzagrożeń i konsekwencji naruszenia bezpieczeństwa


© ESECURE 2018

Szacowanie ryzyka w obszarze cyberzagrożeń i rekomendacja wdrożenia zabezpieczeń


© ESECURE 2018

Szacowanie ryzyka w obszarze prywatności

© ESECURE 2018

INCYDENT SYSTEMU

KRYTYCZNEGO

BAZA WIEDZY EKSPERCKIEJ

Narzędzia powiadamiania o incydentach systemów IT przetwarzających dane osobowe


© ESECURE 2018

Rozliczanie i wykazanie zgodności z wymaganiami RODO

• Rejestr czynności przetwarzania

• Rejestr naruszeń bezpieczeństwa danych osobowych

• Raport z oceny skutków dla ochrony danych

• Upoważnienia

• Udostępnienia

• Uprawnienia

• Wnioski

• Szkolenia


© ESECURE 2018

Podsumowanie • SecureVisio pomaga organizacjom przejść "krok po kroku" do

osiągnięcia zgodności z RODO

• Narzędzia informatyczne wspomagają IOD w zarządzaniu ochroną danych osobowych w najbardziej złożonych i czasochłonnych czynnościach:

1. Szacowanie ryzyka podstawą do wdrożenia zabezpieczeń

2. Zarządzanie ryzykiem w obszarach cyberbezpieczeństwa i prywatności

3. Obowiązek utrzymania dokumentacji danych osobowych

4. Obowiązek zgłaszania naruszeń bezpieczeństwa organowi nadzorczemu

5. Obowiązek wykazania zgodności z wymaganiami RODO

narzędzia informatyczne wspomagające iod w zarządzaniu ... · narzędzia informatyczne...

Documents