Security & Risk Management Update 2017

Størrelse: px

Starte visningen fra side:

Download "Security & Risk Management Update 2017"

Tobias Georg Kjær
6 år siden
Visninger:

1 Security & Risk Management Update 2017 Scandic Bygholm Park, Horsens, den 1. juni 2017 Premium partner: Partnere:

2 Organisationens ansvar og seneste danske vejledninger Rasmus Lund, Delacour, og Klaus Kongsted, Dubex Horsens, 1. juni 2017

3 Agenda Vejledningerne fra Datatilsynet eller? Øvrige relevante fortolkningsbidrag (betænkningen) Egentlige nyheder i forordningen - accountability DPO eller CPO? Nødvendige antagelser i forhold til sikkerhedsmæssige foranstaltninger Hvordan opfylder man kravet om Breach Notification?

forordningen, sammenlignet med Persondataloven? Hvordan griber vi dette an?

Disclaimer: GDPR og den dermed forbundne it sikkerhed, risikostyring og

4 Hvad skal vi have ud af dette indlæg? Mål for dette indlæg er at give svar på: Hvad nyt er der egentlig i forordningen, sammenlignet med Persondataloven? Hvordan griber vi dette an? Hvilke metoder og løsninger kan vi benytte os af? Disclaimer: GDPR og den dermed forbundne it sikkerhed, risikostyring og databeskyttelse er meget store og komplekse emneområder i konstant forandring. I løbet af den næste halve time når vi højst at skrabe en lille smule i overfladen. #dsru17

5 Persondataforordningen Organisationens ansvar og seneste nyheder

6 Seneste nyheder

7 Seneste nyheder Justitsministeriet betænkning Vejledninger på vej

8 Vejledninger Emne Dato Generel informationspjece Sep 2017 Databeskyttelsesrådgiver Sep 2017 Overførsler af personoplysninger til tredjelande Sep 2017 Dataansvarlige og databehandlere Okt 2017 Samtykke Okt 2017 Fortegnelse / dokumentation for behandling Nov 2017 Adfærdskodeks og certificeringsordninger Dec 2017 Behandlingssikkerhed Dec

9 Vejledninger Emne Dato Cloud computing Dec 2017 Data privacy by default and design Dec 2017 Datasubjektets rettigheder Jan 2018 Datasikkerhedsbrud Jan

10 Overblik over indhold og største nyheder

11 Overblik over indhold Pligter for DA og DB Lovlig behandling Nuværende regler fastholdes Visse regler strammes Datasubjektets rettigheder Ny regler indføres

12 Lovlig behandling Kumulative betingelser Pligter for DA og DB Lovlig behandling 1. Grundlæggende principper 2. Lovhjemmel til behandling 3. Lovhjemmel til overførsel til 3. lande Datasubjektets rettigheder 4. Anmeldelse / tilladelse (bortfalder i vidt omfang) DA skal kunne dokumentere overholdelsen!

13 Datasubjektets rettigheder Rettigheder (eksempler): Pligter for DA og DB Lovlig behandling Datasubjektets rettigheder 1. Orienteringspligt 2. Ret til dataportabilitet 3. Ret til at blive glemt!

14 Pligter for DA og DB DA s pligter (og delvist DB s pligter): Pligter for DA og DB Lovlig behandling Datasubjektets rettigheder 1. Data accountability 2. Privacy by default and design 3. Databehandleraftaler 4. Dokumentation for databehandling 5. Risikovurdering og konsekvensanalyse 6. Sikkerhedsforanstaltninger 7. Anmeldelse af datasikkerhedsbrud 8. Databeskyttelsesrådgiver (DPO) I

15 Data accountability

16 Data acountability Dataansvarlig skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen. Vi ved, hvilke data vi behandler og kan begrunde lovlighed Vi har en holdning og oplyser herom Vi gør, hvad vi siger og kan dokumentere det Data ansvarlighed

17 Compliance manual Lovlig behandling Breach notification Overførsel udenfor EU Sikkerhed Politik Datasubjekt rettigheder Risikoanalyser Medarbejdere DPO

18 Anmeldelse af datasikkerhedsbrud

19 Anmeldelse af sikkerhedsbrud DA har pligt til i visse tilfælde af egen drift at anmelde sikkerhedsbrud til Datatilsynet hhv. alle berørte datasubjekter. Offentliggørelse og shitstorms. Stor kommerciel skadevirkning

20 DPO eller ej

21 Skal DA/DB have en DPO eller ej? Data Protection Officer Chief Privacy Officer

22 Behandlingssikkerhed

23 Hvad siger de danske myndigheder? Fra Justitsministeriets stormøde: Q Hvad er den dataansvarlige ansvar? Den dataansvarliges ansvar er det samme, som man kender det i dag: >> Man skal have styr på sin behandling af personoplysninger << OBS på påvisningskrav: Man skal kunne påvise, at ens behandling er i overensstemmelse med forordningen Dette kan gøres ved at efterleve fortegnelseskravet i artikel 30 Der er ikke krav om, at der udarbejdes en dataflow analyse af ens behandling Adfærdskodeks eller certificering #dsru17

24 Behandlingssikkerhed artikel 30 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens karakter, omfang, kontekst og formål og risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder træffer den DA og DB passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, herunder bl.a. i det nødvendige omfang: 1. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der behandler personoplysninger Logning, f.eks. SIEM systemer (aktiv teknisk sikkerhed) Pseudonymisering og kryptering (passiv teknisk sikkerhed) 2. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse (se mere om beredskabsplan ved datasikkerhedsbrud) 3. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til at sikre behandlingssikkerhed #dsru17

Accountability - overholdelse Er ISO 27002 svaret? Artikel 23 (indbygget databeskyttelse), stk.

25 Accountability - overholdelse Er ISO svaret? Artikel 23 (indbygget databeskyttelse), stk. 2a: En godkendt certificeringsmekanisme i medfør af artikel 39 kan blive brugt som et element til at påvise overensstemmelse med kravene i stk. 1 og 2. Men: Ifølge Datatilsynet (stormøde 9. februar 2017) og analog praksis fra Tyskland, henviser formuleringen til brancheforeninger mv., der laver certificeringsprocesser af enkeltstående behandlinger eller produktprodukter Det er dog stadig vores opfattelse at ISO 2700x-compliance opfylder dokumentationsbehovet for passende tekniske og organisatoriske foranstaltninger #dsru17

26 Svenskerne har (også) lavet en juridisk redegørelse Särskilda certifieringsorgan ska enligt artikel 43 vara ackrediterade. Medlemsstaten ska säkerställa att certifieringsorganen är ackrediterade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/ Ackrediteringen ska ske i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av tillsynsmyndigheten. #dsru17

27 ISO hjælper med mange af kravene, bl.a. Scope (4) Politikker, roller og ansvar (5) Risikovurderinger (6.1, 8.2 og 8.3) Effektivitetsmålinger (6.2 og 9.1) Awareness, kommunikation og kompentencer (7) Drift af sikkerhedssystemet (8.1) Evaluering og audit (9) Forbedringer og korrigerende handlinger (10) #dsru17

28 ISO hjælper med krav til dokumentation, f.eks. Kortlægning af datastrømme i alle led (A.8.1.1) Klassificering af data (A.8.2.1) Håndtering og opbevaring af data (A.8.2.3) Identificering af sikkerhedsbrud (A.16.1) Udførelse af overvågning og andre kontroller for hele datastrømmen (A.12.4, A.13.2 m.fl.) Registrere bevis for compliance (A.18.2) Tilstrækkelig beredskab til rettidig rapportering samt om nødvendigt give vejledning til personer (A.16.1, A.7.2 m.fl.) #dsru17

Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere

29 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover Security capabilities Risk Management Vulnerability Management Fundamental Security Security Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Security Threat Intelligence Containment Forensic #dsru17

30 Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer Security Information and Event Management (SIEM) A.12.4, A.16 og A Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN Security Intelligence Information Vulnerabilities Geo-location Threats Directory Services Korrelerer på tværs Finder nålen i høstakken Physical Infrastructure IPS/IDS Identity Management Tusinder af sikkerhedsrelevante events Hundredevis af korrelerede events Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Few suspicious events for manual handling Databases Applications Millioner af rå events Inventory Users Configuration Netflow #dsru17

Analytikerservice (SAC) LogSafe Service 01111000 Dubex Datacenter A Dubex Datacenter B Log collector Kunde Datacenter DIRT SAC

31 Analytikerservice (SAC) LogSafe Service Dubex Datacenter A Dubex Datacenter B Log collector Kunde Datacenter DIRT SAC Kunde Dubex Analytikere Analysere Data (teknologi + Processer + Mennesker) Reducer data til brugbare hændelser Dubex Alarmering #dsru17

32 Incident Response Incident starter Objektiver time estimat aftales On-site arbejdet påbegyndes On-site arbejdet afsluttes Kunden kontakter hotline Incident Response konsulent er på vej Identification Containment Eradication Recovery Rapportering og anbefalinger #dsru17

EU-Persondataforordningen 23.-24. august + 12.-13. september 2017 i Aarhus 20.-21. september + 4.

33 Kommende arrangementer og kurser Check Point / Dubex / Delacour GDPR Update 20. juni 2017, Dubex, Gyngemose Parkvej 50, 2860 Søborg DPO-uddannelse - uddannelse i EU-Persondataforordningen august september 2017 i Aarhus september oktober 2017 i København oktober oktober 2017 i Aarhus november november 2017 i København #dsru17

34 Tak!

Relaterede dokumenter

Security & Risk Management Summit 2016

Security & Risk Management Summit 2016 & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Køreplan ift. EU-persondataforordningen - processer og kontroller Klaus Kongsted, Dubex A/S 3. November 2016 Agenda