& Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:
Køreplan ift. EU-persondataforordningen - processer og kontroller Klaus Kongsted, Dubex A/S 3. November 2016
Agenda Hvilke artikler kræver tekniske foranstaltninger? Er der rammeværktøjer at tage udgangspunkt i? Hvad er relationen til den generelle it-sikkerhedsproces? Brugbare værktøjer
Hvilke artikler kræver tekniske foranstaltninger?
Krav til sikkerhedsforanstaltninger Artikel 5, stk. 1, litra f) (Principper for behandling af personoplysninger): behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed") Artikel 24, stk. 1 (Den dataansvarliges ansvar): Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres
Krav til sikkerhedsforanstaltninger - 2 Artikel 25, stk. 2 (Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger): Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer Artikel 32, stk. 1 (Behandlingssikkerhed): Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Krav til sikkerhedsforanstaltninger - 3 Artikel 33, stk. 3 (Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden): Den i stk. 1 omhandlede anmeldelse skal mindst: a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Artikel 39, stk. 1, litra b (Databeskyttelsesrådgiverens opgaver ): b) herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
Rammeværktøjer Er ISO 27002 svaret?
Rammeværktøjer Uddrag af relevante ISO 27002-kontroller: 5.1.2 Gennemgang af politikker for informationssikkerhed 9.2.2 Brugeradgang + A.9.4.1 Adgangsbegrænsning IAM-systemer, autentificering 12.1.1 Dokumenterede driftsprocedurer 14.2.8 Systemsikkerhedstest 16.1.3 Rapportering af informationssikkerhedssvagheder Audit, pentest, SIEM, ISMS (Information security management systems) 17.1.1 Planlægning af informationssikkerhedskontinuitet 17.1.2 Implementering af informationssikkerhedskontinuitet APT-beskyttelse, firewalls/av, High Availabiliy, beredskabsplaner, incident response 18.1.4 Compliance med privatlivets fred og beskyttelse af personoplysninger Data Loss Prevention mm. 18.2 Gennemgang af informationssikkerhed Audit, pentest, SIEM
Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic
Anvendelige værktøjer Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Risk Compliance Penetration test Service Design Program Management SOC Support & Operations Service Management SAC & Threat Intelligence Centre DIRT
Logopsamling - modenhed Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed
Normalisering Kategorisering Rapportering Korrelering Alarmer SIEM A.12.4, A.16 og A.18.2.2 Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN SIM ( Information Management) Korrelerer på tværs Finder nålen i høstakken Directory Services Physical Infrastructure IPS/IDS Identity Management SEM ( Event Management) Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Databases Hundredevis af korrelerede events Tusinder af sikkerhedsrelevante events Applications Millioner af rå events
Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer SIEM kombineret til Intelligence Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Few suspicious events for manual handling Vulnerability Assessment Anti-Virus Databases Applications Analysis and Big Data Inventory Users Configuration Netflow
IDM/IAM - modenhed Value ISO 27002: A.8.2, A.9.2 og A.18.2.2 Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity
Awareness ISO 27002: A.7.2.2, samt A.6.1.1, A.7.1.2 Vores brugere udgør en risiko "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro Ansatte spiller en rolle i 9 ud af 10 sikkerhedshændelser. 2015 DATA BREACH INVESTIGATIONS REPORT - VERIZON 79 procent af folk, der arbejder med informationssikkerhed i Danmark, oplever, at brugerne i deres organisationer er den største udfordring for sikkerheden! DK CERT Hvordan løses dette problem?
Awareness Vores brugere skal forstå HVORFOR?
Awareness hvordan skal det gribes an? Afklar virksomhedens behov for awareness
Awareness hvordan skal det gribes an? Identificer de største trusler Sørg for at HELE organisationen er involveret Husk de interne processer Glem ikke den fysiske sikkerhed
Analytics Center (SAC) ISO 27002: A.16, samt A.12.4 og A.15.1.2 SAC IRT Predict & Identify Prevent & Protect Detect Respond & Recover Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensics capabilities
SAC hvad er det? SAC ens opgave er at overvåge og efterforske sikkerheds-hændelser i virksomhedens it-systemer. verificere og klassificere hændelser alarmere, informere og rapportere omkring kritiske hændelser indsamle og sikre bevismateriale initiere og koordinere Incident Response Team SAC-faciliteter Opbevaring af data geografisk lokation Håndtering af følsomme og fortrolige data Fysisk sikkerhed
SAC hvad består det af? Personer Beredskabsanalytiker Hændelsesansvarlig Ekspert inden for emnet SAC-ledelse Proces Hændelseshåndtering Normalt gennem udgangspunktet Optrapning af hændelse Teknologi Opdateret viden Sårbarheder Styring og udvikling af tekniske redskaber SIEM/IDS/IPS/APT DNS Firewall / Bot Detection Opdagelse af hændelsen Teknisk Teknologi Trusselefter retning Logindsa mling Netværkso vervågning Intern træning Person er Formel træning Redskabs-og produkttræning Træning på jobbet Hvad lærte vi Proces Forberedels e Incident Respond Identifikatio n Inspiration:SANS SOC Whitepaper
Incident Response ISO 27002: A.16.1.1 Incident Response Team s opgaver Danne sig et overblik over omfanget af hændelsen Planlægge, prioritere og udføre mitigering af hændelsen Genskabe normaltilstand Finde og dokumentere Root cause Løbende kommunikere omkring om fremdrift og omfang til: SAC Manager Ledelsen Myndigheder og pressen
Hvad skal du gøre, når du kommer hjem? I morgen Få overblik over (person)data hvad har I, hvor behandles det? Næste uge Find ud af hvad I mangler i forhold til compliance få lavet en gap-analyse Næste måned Formulér, implementér og dokumentér processer. Tag udgangspunkt i ISO 27000
Tak! Læs mere om Dubex på www.dubex.dk