Forordningens sikkerhedskrav

Relaterede dokumenter
Risikostyring ifølge ISO27005 v. Klaus Kongsted

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Sådan får du styr på de digitale risici

ISO Ledelsesværktøj til digital risikostyring

Security & Risk Management Summit 2016

Køreplan ift. EU-persondataforordningen - processer og kontroller

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Security & Risk Management Update 2017

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

Hvorfor bruge Managed Security Services & Security Analytics Center?

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Vejledning i informationssikkerhedspolitik. Februar 2015

Når compliance bliver kultur

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Informationssikkerhedspolitik for Horsens Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Region Hovedstadens Ramme for Informationssikkerhed

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

RISIKOVURDERING I PRAKSIS

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Security & Risk Management Summit

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

KOMBIT sikkerhedspolitik

Databeskyttelsesdagen

Informationssikkerhedspolitik

Persondataforordningen. Konsekvenser for virksomheder

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Leverandørstyring: Stil krav du kan måle på

Persondataforordningen Agenda

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

serien og nyheder i ISO og ISO 27002

Faxe Kommune. informationssikkerhedspolitik

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Security & Risk Management Summit

Informationssikkerhedspolitik. Frederiksberg Kommune

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

General Data Protection Regulation

Kursus: Ledelse af it- sikkerhed

Informationssikkerhed på ledelsens agenda

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

1. Introduktion til SoA Indhold og krav til SoA 4

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Informationssikkerhedspolitik for Region Midtjylland

Vejledning i it-risikostyring og -vurdering. Februar 2015

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Jyske Bank Politik for It sikkerhed

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Vejledning i informationssikkerhedsstyring. Februar 2015

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Transkript:

Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016

Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering Accountability ( Ansvarlighed )

Hvad siger forordningen? Præambel (78) i EU-persondataforordningen: Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at denne forordnings krav opfyldes. Artikel 24 i EU-persondataforordningen: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning Artikel 32, stk. 2 i EU-persondataforordningen: Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør,

Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver i relation til persondatabehandling Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssig sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

Risikovurdering i praksis Risikoen baseres på konsekvenser, vægtet med deres sandsynlighed Vurderingen af konsekvenserne baseres f.eks. på de finansielle omkostninger, mistet omdømme, bødekrav m.m. Vurderingen af sandsynligheden for at noget sker, baseres på trusler og sårbarheder, holdt op i mod foranstaltningerne (kontrollerne) Hacker Konkurrent Terrorist Utilfreds medarbejder Software fejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme

Trusler Der findes mange trusler Se fx appendiks C i ISO 27005:2011 standarden Kan mere generelt gruppers som trusler om Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Sammenhold truslerne med de sårbarheder det enkelte persondata-aktiv har Det viser hvilke trusler der er relevante for det aktiv I praksis ses trusler og sårbarheder ofte under ét som brud

Sårbarheder Der findes mange sårbarheder Se fx appendiks D i ISO 27005:2011 standarden Overordnet kan et aktiv være sårbar over for: Ondsindede handlinger (forsæt) Fejl og ubevidste handlinger (uforsætligt) Uheld/ulykker Naturkatastrofer/Force Majeure En række af sårbarhederne er dækket af nuværende kontroller Disse bør også identificeres og knyttes til de anvendte kontroller Som en del af den samlede dokumentation Brud er trusler, der kan udnytte sårbarheder

Konsekvens Overordnet skal man beskytte sine persondata mod: Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Brudene har alle har en konsekvens, som vurderes af aktivets ejer, typisk fra forretningen, men kunne eksempelvis også være HR Brug f.eks. en skala fra 1 (lav) til 5 (høj) til at vurdere konsekvensen af de tre typer af brud

Sandsynlighed Brud har en sandsynlighed, som vurderes fx af den teknisk ansvarlige for sikring af aktivet Fx i en dialog med en erfaren sikkerhedskonsulent Kan også håndteres vha. risikostyringsværktøjer Sandsynligheden afhænger bl.a. af de sikringsforanstaltninger, der allerede er på plads Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere sandsynligheden for de forskellige typer af brud Det kan give mening at samle/gruppere brudene Overvej at samle dem til sandsynlighederne for brud på: Fortroligheden Integriteten Tilgængeligheden

Organisationens risikoappetit Højere Lavere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres uden at der gennemføres ændringer Her skal risiko normalt håndteres, så restrisiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.

Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved, at den nedbringes, f.eks. ved hjælp af nye/ekstra sikringsforanstaltninger undgås, f.eks. ved at man holder op med noget eller ændrer det overføres til andre, f.eks. ved forsikring accepteres alligevel, evt. bare for en periode Dette beskrives i en risikohåndteringsplan (RTP), som godkendes af ledelsen Kan også bruges til at dokumentere hvor de forskellige kontroller anvendes Det kan være en iterativ proces at nå til en godkendt plan Kan også være en simpel proces ja/nej

Hvad er godkendte adfærdskodekser og certificering Vi kender ikke Godkendte adfærdskodekser endnu Vi kender ikke Certificeringsmekanismer endnu Men vi har en rimelig antagelse :

Grundlæggende sikkerhedsforanstaltninger Er ISO 27002 svaret?

Grundlæggende sikkerhedsproces Hvad er ISO 27001? Ledelsessystem for informationssikkerhed (ISMS) Grundlaget er ledelsens engagement og accept Fokus er på forretningen og på at beskytte de forretningskritiske aktiver Procesorienteret Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Kontrollerne er beskrevet i bl.a. ISO 27002 Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesrapportering Plan Act Do Check

Kontrollerne - ISO 27002:2013 (2014) 5. Informationssikkerhedspolitik og vedligeholdelse 6. Organisering og styring af informationssikkerhed internt og eksternt 7. Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen 8. Styring af aktiver (klassifikation og retningslinjer for brug af faciliteter) 9. Adgangsstyring (brugeradministration og passwords) 10.Kryptografi 11.Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr 12.Driftssikkerhed (teknologier, inkl. backup, logning mv.) 13.Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.) 14.Anskaffelse, udvikling og vedligeholdelse af informationssystemer 15.Informationssikkerhed i leverandørforhold og outsourcing 16.Styring af informationssikkerhedshændelser og forbedringer 17.Beredskabsstyring, nødplaner og kontinuitet 18.Overensstemmelse med eksterne krav, lovgivning mv

Tekniske og organisatoriske foranstaltninger Pointen er, at alle er blevet hacket Sikkerhed generelt drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

Anvendelige værktøjer passende foranstaltninger Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Risk Compliance Penetration test Service Design Program Management SOC Support & Operations Service Management SAC & Threat Intelligence Centre DIRT

Tak! Klaus Kongsted, kka@dubex.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback