Køreplan ift. EU-persondataforordningen - processer og kontroller

Transkript

1 Køreplan ift. EU-persondataforordningen - processer og kontroller Klaus Kongsted, Dubex A/S 1. december 2016

2 Agenda Hvilke artikler kræver tekniske foranstaltninger? Er der rammeværktøjer at tage udgangspunkt i? Hvad er relationen til den generelle it-sikkerhedsproces? Brugbare værktøjer

3 Hvilke artikler kræver tekniske foranstaltninger?

4 Krav til sikkerhedsforanstaltninger Artikel 5, stk. 1, litra f) (Principper for behandling af personoplysninger): behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed") Artikel 24, stk. 1 (Den dataansvarliges ansvar): Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres

5 Krav til sikkerhedsforanstaltninger - 2 Artikel 25, stk. 2 (Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger): Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer Artikel 32, stk. 1 (Behandlingssikkerhed): Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

6 Krav til sikkerhedsforanstaltninger - 3 Artikel 33, stk. 3 (Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden): Den i stk. 1 omhandlede anmeldelse skal mindst: a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Artikel 39, stk. 1, litra b (Databeskyttelsesrådgiverens opgaver ): b) herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

7 Rammeværktøjer Er ISO svaret?

8 Rammeværktøjer Uddrag af relevante ISO kontroller: Gennemgang af politikker for informationssikkerhed Brugeradgang + A Adgangsbegrænsning IAM-systemer, autentificering Dokumenterede driftsprocedurer Systemsikkerhedstest Rapportering af informationssikkerhedssvagheder Audit, pentest, SIEM, ISMS (Information security management systems) Planlægning af informationssikkerhedskontinuitet Implementering af informationssikkerhedskontinuitet APT-beskyttelse, firewalls/av, High Availabiliy, beredskabsplaner, incident response Compliance med privatlivets fred og beskyttelse af personoplysninger Data Loss Prevention mm Gennemgang af informationssikkerhed Audit, pentest, SIEM

9 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

10 Anvendelige værktøjer Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Service Design Risk Program Management Compliance SOC Support & Operations Penetration test Service Management SAC & Threat Intelligence Centre DIRT

11 Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud 69% af alle hændelser blev opdaget af eksterne 31% af alle hændelser blev opdaget internt 205 dage tager det i gennemsnit at opdage en kompromittering så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket

12 Logopsamling - modenhed Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

13 SIEM A.12.4, A.16 og A Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN SIM ( Information Management) Korrelerer på tværs Finder nålen i høstakken Muliggør relevant rapportering Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Anti-Virus Normalisering Kategorisering Rapportering Korrelering Alarmer SEM ( Event Management) Hundredevis af korrelerede events Tusinder af sikkerhedsrelevante events Databases Applications Millioner af rå events

14 SIEM kombineret til Intelligence Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer Few suspicious events for manual handling Vulnerability Assessment Anti-Virus Databases Applications Analysis and Big Data Inventory Users Configuration Netflow

15 IDM/IAM - modenhed Value ISO 27002: A.8.2, A.9.2 og A Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

16 Identity and Access Management (IAM/IDM) Identity and Access Management is the process for managing the lifecycle of digital identities and access for people, systems and services. This includes: User Management management of large, changing user populations along with delegated- and self-service administration. Access Management allows applications to authenticate users and allow access to resources based upon policy. Provisioning and De-Provisioning automates account propagation across applications and systems. Audit and Reporting review access privileges, validate changes, and manage accountability. Rights and access Who - "Who has access to my systems?" What - "What access do my users have?" When - "When and how long should my users have access?" Why - "Why has my user access to this system?" How - "How can I give my new user access to this system?"

17 Awareness ISO 27002: A.7.2.2, samt A.6.1.1, A Vores brugere udgør en risiko "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro Ansattespiller en rolle i 9 ud af 10 sikkerhedshændelser DATA BREACH INVESTIGATIONS REPORT - VERIZON 79 procent af folk, der arbejder med informationssikkerhed i Danmark, oplever, at brugerne i deres organisationer er den største udfordring for sikkerheden! DK CERT Hvordan løses dette problem?

18 Awareness Vores brugere skal forstå HVORFOR?

19 Awareness - hvilke elementer bør inddrages? CBT = Computer Based Training

20 Awareness hvordan skal det gribes an? Afklar virksomhedens behov for awareness

21 Awareness hvordan skal det gribes an? Identificer de største trusler Sørg for at HELE organisationen er involveret Husk de interne processer Glem ikke den fysiske sikkerhed

22 Analytics Center (SAC) ISO 27002: A.16, samt A.12.4 og A SAC IRT Predict & Identify Prevent & Protect Detect Respond & Recover Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensics capabilities

23 SAC hvad er det? SAC ens opgave er at overvåge og efterforske sikkerheds-hændelser i virksomhedens it-systemer. verificere og klassificere hændelser alarmere, informere og rapportere omkring kritiske hændelser indsamle og sikre bevismateriale initiere og koordinere Incident Response Team SAC-faciliteter Opbevaring af data geografisk lokation Håndtering af følsomme og fortrolige data Fysisk sikkerhed

24 SAC hvad består det af? Personer Beredskabsanalytiker Hændelsesansvarlig Ekspert inden for emnet SAC-ledelse Proces Hændelseshåndtering Normalt gennem udgangspunktet Optrapning af hændelse Intern træning Personer Formel træning Redskabs-og produkttræning Træning på jobbet Teknologi Opdateret viden Sårbarheder Styring og udvikling af tekniske redskaber SIEM/IDS/IPS/APT DNS Firewall / Bot Detection Opdagelse af hændelsen Teknisk Teknologi Trusselefter retning Logindsa mling Netværkso vervågning Hvad lærte vi Proces Forberedels e Incident Respond Identifikatio n Inspiration:SANS SOC Whitepaper

25 Incident Response ISO 27002: A Incident Response Team s opgaver Danne sig et overblik over omfanget af hændelsen Planlægge, prioritere og udføre mitigering af hændelsen Genskabe normaltilstand Finde og dokumentere Root cause Løbende kommunikere omkring om fremdrift og omfang til: SAC Manager Ledelsen Myndigheder og pressen

26 Glem ikke den menneskelige faktor!

27 Hvad skal du gøre, når du kommer hjem? I morgen Få overblik over (person)data hvad har I, hvor behandles det? Næste uge Find ud af hvad I mangler i forhold til compliance få lavet en gap-analyse Næste måned Formulér, implementér og dokumentér processer. Tag udgangspunkt i ISO 27000

28 Tak! Læs mere om Dubex på