Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

Transkript

1 Hvilke initativer kræver implementering af EUpersondataforordningen - ansvar og værktøjer Klaus Kongsted, Dubex Horsens, 13. maj 2016

2 Agenda Hvordan håndteres Godkendte adfærdskodekser og certificering Accountability Anmeldelse af brud på persondatasikkerheden (Breach Notification) Konsekvensanalyse vedrørende databeskyttelse (PIA) Privacy By Design

3 Skal vi starte på bar bund? Nej! Vi kender ikke Godkendte adfærdskodekser endnu Vi kender ikke Certificeringsmekanismer endnu Men vi har en rimelig antagelse : Ligeledes findes der for PIA, Breach Notification, Privacy-by-Design etc. rammeværktøjer

4 Grundlæggende sikkerhedsproces Hvad er ISO 27001? Ledelsessystem for informationssikkerhed (ISMS) Grundlaget er ledelsens engagement og accept Fokus er på forretningen og på at beskytte de forretningskritiske aktiver Procesorienteret Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Kontrollerne er beskrevet i bl.a. ISO Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesrapportering Plan Act Do Check

5 Kontrollerne - ISO 27002:2013 (2014) 5. Informationssikkerhedspolitik og vedligeholdelse 6. Organisering og styring af informationssikkerhed internt og eksternt 7. Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen 8. Styring af aktiver (klassifikation og retningslinjer for brug af faciliteter) 9. Adgangsstyring (brugeradministration og passwords) 10.Kryptografi 11.Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr 12.Driftssikkerhed (teknologier, inkl. backup, logning mv.) 13.Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.) 14.Anskaffelse, udvikling og vedligeholdelse af informationssystemer 15.Informationssikkerhed i leverandørforhold og outsourcing 16.Styring af informationssikkerhedshændelser og forbedringer 17.Beredskabsstyring, nødplaner og kontinuitet 18.Overensstemmelse med eksterne krav, lovgivning mv

6 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

7 Anvendelige værktøjer Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Risk Compliance Penetration test Service Design Program Management SOC Support & Operations Service Management SAC & Threat Intelligence Centre DIRT

8 Logopsamling - modenhed Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

9 Normalisering Kategorisering Rapportering Korrelering Alarmer SIEM Indsamler logs fra alle systemer Korrelerer på tværs Finder nålen i høstakken Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure IPS/IDS Identity Management SIM ( Information Management) SEM ( Event Management) Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Databases Hundredevis af korrelerede events Tusinder af sikkerhedsrelevante events Applications Millioner af rå events

10 Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer SIEM kombineret til Intelligence Server and Desktop OS Firewalls/ VPN Intelligence Information Vulnerabilities Geo-location Threats Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Few suspicious events for manual handling Vulnerability Assessment Anti-Virus Databases Applications Analysis and Big Data Inventory Users Configuration Netflow

11 IDM/IAM Value Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

12 SOC/SAC SOC IRT Predict & Identify Prevent & Protect Detect Respond & Recover Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensics capabilities

13 SOC/SAC hvad er det? SOC ens opgave er at overvåge og efterforske sikkerheds-hændelser i virksomhedens it-systemer. verificere og klassificere hændelser alarmere, informere og rapportere omkring kritiske hændelser indsamle og sikre bevismateriale initiere og koordinere Incident Response Team SOC-faciliteter Opbevaring af data geografisk lokation Håndtering af følsomme og fortrolige data Fysisk sikkerhed

14 SOC/SAC hvad består det af? People Alert Analyst Incident Responder Subject Matter Expert SOC/SAC Manager Process Incident håndtering Normal Through Baselining Incident eskalering Internal Training People Formal Training Tools and product Training On-Job Training Technology Up-to-date knowledge Vulnerabilities Tekniske værktøjer SIEM/IDS/IPS/APT DNS Firewall / Bot Detektion Incident Detection Forensics Technology Threat Inteligense Log Collection Network Monitoring Lessons Learned Process Preparation Incident Response Identification

15 Incident Response Incident Response Team s opgaver Danne sig et overblik over omfanget af hændelsen Planlægge, prioritere og udføre mitigering af hændelsen Genskabe normaltilstand Finde og dokumentere Root cause Løbende kommunikere omkring om fremdrift og omfang til: DPO/dataansvarlig SOC Manager Ledelsen Myndigheder og pressen

16 PIA-proces og PIA-analyse ( Konsekvensanalyse vedrørende databeskyttelse ) Brug den allerede foreliggende projektmodel. Hvis der ikke findes én, så brug KISS-princippet EN PIA-proces skal sikre, at privacy-konsekvenser kortlægges på det optimale tidspunkt i itprojekter. En PIA-analyse skal sikre, at de rette afklarende spørgsmål til it-projektet bliver stillet.

17 Er der behov for en PIA?

18 Hvem og hvad Hvis man har besluttet sig for at lave en PIA-proces, skal følgende udføres: PIA-projektbeskrivelse tilknyttet it-projektet Sikre at alle relevante aktører giver input Analyse af hvilke risici der kan opstå for datasubjekterne Hvilke privacy-korrigerende tiltag, der skal tilbydes i systemet Få dokumenteret arbejdet Få kontrolleret og revideret indsatsen. Hvem gør hvad: Dataansvarlig er ansvarlig DPO / persondataansvarlig giver råd og inddrages i alle faser Projektleder it-sikkerhedschef It-sikkerhedsansvarlig (jurist) (teknisk ansvarlig)

19 Beredskabsplaner og Breach Notification

20 Beredskabsplaner Genskabelse af data: Er der etableret procedurer for genskabelse af data ved tab af data (nedbrud, hacking, fejl, misbrug, uheld)? Er procedurerne implementeret og testet? Er adgang til backup beskyttet tilsvarende mod uautoriseret adgang? Er der risiko for at backup genindlæser data, som en borger har begæret slettet? Er kravet om hvor længe det er relevant at opbevare oplysninger opfyldt i forhold til omfang af generationer af backupkopier?

21 Breach Notification I korte træk: Hiv beredskabsplanen op af skuffen Udpeg en enkelt person som ansvarlig, og giv denne fuld mandat mht. ressourcer, beslutninger mv. Direkte ledelsesadgang Fornøden teknisk indsigt Kommunikative evner Evne til at holde hovedet koldt Udpeg evt. en stedfortræder. Identificér nøglepersoner og grupper, der skal involveres eller bidrage Glem ikke, at der også er en daglig forretning, der skal drives! Få et overblik over, hvad der er sket Kommunikér til relevante internt, samarbejdspartnere, myndigheder, kunder, befolkning og presse

22 Er der ikke noget, der er nemmere?

23 Eksempler på procedurer NIST Computer Incident Handling Guide HIPAA Breach Notification Rule (sundhedssektoren) US DoJ INCIDENT RESPONSE PROCEDURES FOR DATA BREACHES SANS Breach Notification in Incident Handling

24 Privacy by Design

25 The 7 Foundational Principles Proactive not reactive; Preventative not remedial Privacy as the default setting Privacy embedded into design Full functionality positive-sum, not zero-sum End-to-end security full lifecycle protection Visibility and transparency keep it open Respect for user privacy keep it user-centric

26 Definitioner og begreber Samtykke, ejerskab og kontrol Nødvendighed og dataminimering Anonymisering Pseudonymisering Re-identifikation Privatlivsfremmende produkter og tjenester Sletning i praksis v backup og compliance-krav Transparens og indgriben

27 Teknikker og værktøjer Autentificering Adgangskontrol (IDM) Kryptering Sikker opbevaring Sikker kommunikation Søgning i krypteret data Auditering Anonymiseringsstrategier Transparens

28 Tak!