Security & Risk Management Summit 2016

Relaterede dokumenter
Køreplan ift. EU-persondataforordningen - processer og kontroller

Forordningens sikkerhedskrav

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Security & Risk Management Update 2017

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Hvorfor bruge Managed Security Services & Security Analytics Center?

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Sådan får du styr på de digitale risici

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

OPDAG ANGREB OG REAGÉR HURTIGT

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Behandling af personoplysninger

Persondataforordningen. Konsekvenser for virksomheder

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Security & Risk Management Summit

Security & Risk Management Update 2017

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databeskyttelsesdagen

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Sletteregler. v/rami Chr. Sørensen

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Digital verden post GDPR

Bilag 1 Databehandler aftale (v.1.2)

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

1 Indhold. Side 2 af 15

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Persondata og sikkerhedsbrud

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Retningslinje om behandlingssikkerhed

Backup, sletning og genskabelse af personoplysninger

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Databehandleraftale (Skabelon fra Datatilsynet)

Aftale vedrørende fælles dataansvar

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

DATABESKYTTELSESPOLITIK

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

Overordnet organisering af personoplysninger

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

TDC ERHVERV MAILFILTER

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Databeskyttelsespolitik

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

KMD s tilgang til cybertrussler. Public

Overordnet organisering af personoplysninger

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Data protection impact assessment

DATABEHANDLERAFTALE. Saldi.dk ApS

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Retningslinjer om brud på persondatasikkerheden

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Brud på datasikkerheden

Retningslinjer om brud på persondata

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

GML-HR A/S CVR-nr.:

Databehandleraftale. SMPLR ApS. 24. maj 2018 Version 1.0. Brandts Passage 15, Odense C

Persondataforordningen. Hvad kan vi bruge KITOS til?

Enterprise Security and Risk Management

Persondatapolitik Vordingborg Gymnasium & HF

DATABEHANDLERAFTALE. Mellem undertegnede. Kunden (herefter benævnt Dataansvarlig)

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

VIDENPILOTERNE. Databehandleraftale. Databehandler: Dataansvarlig: Mellem. Videnpiloterne ApS Dalgas Plads 6, Herning.

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Sikkerhed i skyen Afslutning

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

DATABEHANDLERAFTALE MELLEM

Persondatapolitik for Tørring Gymnasium 2018

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondataforordningen den 20. februar 2018

Databeskyttelsespolitik for DSI Midgård

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Informationsproces når persondata er blevet kompromitteret

Årshjul for persondata. v/henrik Pors

Databehandleraftale. Imellem: Dataansvarlig Terapi & Supervision Allehelgensgade Roskilde CVR: Kontaktperson:

Managing Risk, Enabling Growth i din virksomhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Transkript:

& Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:

Køreplan ift. EU-persondataforordningen - processer og kontroller Klaus Kongsted, Dubex A/S 3. November 2016

Agenda Hvilke artikler kræver tekniske foranstaltninger? Er der rammeværktøjer at tage udgangspunkt i? Hvad er relationen til den generelle it-sikkerhedsproces? Brugbare værktøjer

Hvilke artikler kræver tekniske foranstaltninger?

Krav til sikkerhedsforanstaltninger Artikel 5, stk. 1, litra f) (Principper for behandling af personoplysninger): behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed") Artikel 24, stk. 1 (Den dataansvarliges ansvar): Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres

Krav til sikkerhedsforanstaltninger - 2 Artikel 25, stk. 2 (Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger): Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer Artikel 32, stk. 1 (Behandlingssikkerhed): Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Krav til sikkerhedsforanstaltninger - 3 Artikel 33, stk. 3 (Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden): Den i stk. 1 omhandlede anmeldelse skal mindst: a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Artikel 39, stk. 1, litra b (Databeskyttelsesrådgiverens opgaver ): b) herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

Rammeværktøjer Er ISO 27002 svaret?

Rammeværktøjer Uddrag af relevante ISO 27002-kontroller: 5.1.2 Gennemgang af politikker for informationssikkerhed 9.2.2 Brugeradgang + A.9.4.1 Adgangsbegrænsning IAM-systemer, autentificering 12.1.1 Dokumenterede driftsprocedurer 14.2.8 Systemsikkerhedstest 16.1.3 Rapportering af informationssikkerhedssvagheder Audit, pentest, SIEM, ISMS (Information security management systems) 17.1.1 Planlægning af informationssikkerhedskontinuitet 17.1.2 Implementering af informationssikkerhedskontinuitet APT-beskyttelse, firewalls/av, High Availabiliy, beredskabsplaner, incident response 18.1.4 Compliance med privatlivets fred og beskyttelse af personoplysninger Data Loss Prevention mm. 18.2 Gennemgang af informationssikkerhed Audit, pentest, SIEM

Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

Anvendelige værktøjer Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Risk Compliance Penetration test Service Design Program Management SOC Support & Operations Service Management SAC & Threat Intelligence Centre DIRT

Logopsamling - modenhed Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

Normalisering Kategorisering Rapportering Korrelering Alarmer SIEM A.12.4, A.16 og A.18.2.2 Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN SIM ( Information Management) Korrelerer på tværs Finder nålen i høstakken Directory Services Physical Infrastructure IPS/IDS Identity Management SEM ( Event Management) Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Databases Hundredevis af korrelerede events Tusinder af sikkerhedsrelevante events Applications Millioner af rå events

Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer SIEM kombineret til Intelligence Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Few suspicious events for manual handling Vulnerability Assessment Anti-Virus Databases Applications Analysis and Big Data Inventory Users Configuration Netflow

IDM/IAM - modenhed Value ISO 27002: A.8.2, A.9.2 og A.18.2.2 Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

Awareness ISO 27002: A.7.2.2, samt A.6.1.1, A.7.1.2 Vores brugere udgør en risiko "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro Ansatte spiller en rolle i 9 ud af 10 sikkerhedshændelser. 2015 DATA BREACH INVESTIGATIONS REPORT - VERIZON 79 procent af folk, der arbejder med informationssikkerhed i Danmark, oplever, at brugerne i deres organisationer er den største udfordring for sikkerheden! DK CERT Hvordan løses dette problem?

Awareness Vores brugere skal forstå HVORFOR?

Awareness hvordan skal det gribes an? Afklar virksomhedens behov for awareness

Awareness hvordan skal det gribes an? Identificer de største trusler Sørg for at HELE organisationen er involveret Husk de interne processer Glem ikke den fysiske sikkerhed

Analytics Center (SAC) ISO 27002: A.16, samt A.12.4 og A.15.1.2 SAC IRT Predict & Identify Prevent & Protect Detect Respond & Recover Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensics capabilities

SAC hvad er det? SAC ens opgave er at overvåge og efterforske sikkerheds-hændelser i virksomhedens it-systemer. verificere og klassificere hændelser alarmere, informere og rapportere omkring kritiske hændelser indsamle og sikre bevismateriale initiere og koordinere Incident Response Team SAC-faciliteter Opbevaring af data geografisk lokation Håndtering af følsomme og fortrolige data Fysisk sikkerhed

SAC hvad består det af? Personer Beredskabsanalytiker Hændelsesansvarlig Ekspert inden for emnet SAC-ledelse Proces Hændelseshåndtering Normalt gennem udgangspunktet Optrapning af hændelse Teknologi Opdateret viden Sårbarheder Styring og udvikling af tekniske redskaber SIEM/IDS/IPS/APT DNS Firewall / Bot Detection Opdagelse af hændelsen Teknisk Teknologi Trusselefter retning Logindsa mling Netværkso vervågning Intern træning Person er Formel træning Redskabs-og produkttræning Træning på jobbet Hvad lærte vi Proces Forberedels e Incident Respond Identifikatio n Inspiration:SANS SOC Whitepaper

Incident Response ISO 27002: A.16.1.1 Incident Response Team s opgaver Danne sig et overblik over omfanget af hændelsen Planlægge, prioritere og udføre mitigering af hændelsen Genskabe normaltilstand Finde og dokumentere Root cause Løbende kommunikere omkring om fremdrift og omfang til: SAC Manager Ledelsen Myndigheder og pressen

Hvad skal du gøre, når du kommer hjem? I morgen Få overblik over (person)data hvad har I, hvor behandles det? Næste uge Find ud af hvad I mangler i forhold til compliance få lavet en gap-analyse Næste måned Formulér, implementér og dokumentér processer. Tag udgangspunkt i ISO 27000

Tak! Læs mere om Dubex på www.dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback