Køreplan ift. EU-persondataforordningen - processer og kontroller

Relaterede dokumenter
Security & Risk Management Summit 2016

Forordningens sikkerhedskrav

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Security & Risk Management Update 2017

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Hvorfor bruge Managed Security Services & Security Analytics Center?

Sådan får du styr på de digitale risici

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Persondataforordningen. Konsekvenser for virksomheder

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Security & Risk Management Summit

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databeskyttelsesdagen

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Backup, sletning og genskabelse af personoplysninger

Persondata og sikkerhedsbrud

Online kursus: Certified Information Security Manager (CISM)

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

KMD s tilgang til cybertrussler. Public

Databehandleraftale (Skabelon fra Datatilsynet)

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

Enterprise Security and Risk Management

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Vær i kontrol! Compliantkan du være ved et tilfælde!

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Velkommen VI BYGGER DANMARK MED IT

Introduktion til persondataforordning

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Brud på datasikkerheden

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondataforordningen den 20. februar 2018

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Transkript:

Køreplan ift. EU-persondataforordningen - processer og kontroller Klaus Kongsted, Dubex A/S 1. december 2016

Agenda Hvilke artikler kræver tekniske foranstaltninger? Er der rammeværktøjer at tage udgangspunkt i? Hvad er relationen til den generelle it-sikkerhedsproces? Brugbare værktøjer

Hvilke artikler kræver tekniske foranstaltninger?

Krav til sikkerhedsforanstaltninger Artikel 5, stk. 1, litra f) (Principper for behandling af personoplysninger): behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed") Artikel 24, stk. 1 (Den dataansvarliges ansvar): Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres

Krav til sikkerhedsforanstaltninger - 2 Artikel 25, stk. 2 (Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger): Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer Artikel 32, stk. 1 (Behandlingssikkerhed): Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Krav til sikkerhedsforanstaltninger - 3 Artikel 33, stk. 3 (Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden): Den i stk. 1 omhandlede anmeldelse skal mindst: a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Artikel 39, stk. 1, litra b (Databeskyttelsesrådgiverens opgaver ): b) herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

Rammeværktøjer Er ISO 27002 svaret?

Rammeværktøjer Uddrag af relevante ISO 27002-kontroller: 5.1.2 Gennemgang af politikker for informationssikkerhed 9.2.2 Brugeradgang + A.9.4.1 Adgangsbegrænsning IAM-systemer, autentificering 12.1.1 Dokumenterede driftsprocedurer 14.2.8 Systemsikkerhedstest 16.1.3 Rapportering af informationssikkerhedssvagheder Audit, pentest, SIEM, ISMS (Information security management systems) 17.1.1 Planlægning af informationssikkerhedskontinuitet 17.1.2 Implementering af informationssikkerhedskontinuitet APT-beskyttelse, firewalls/av, High Availabiliy, beredskabsplaner, incident response 18.1.4 Compliance med privatlivets fred og beskyttelse af personoplysninger Data Loss Prevention mm. 18.2 Gennemgang af informationssikkerhed Audit, pentest, SIEM

Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

Anvendelige værktøjer Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Service Design Risk Program Management Compliance SOC Support & Operations Penetration test Service Management SAC & Threat Intelligence Centre DIRT

Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud 69% af alle hændelser blev opdaget af eksterne 31% af alle hændelser blev opdaget internt 205 dage tager det i gennemsnit at opdage en kompromittering så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket

Logopsamling - modenhed Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

SIEM A.12.4, A.16 og A.18.2.2 Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN SIM ( Information Management) Korrelerer på tværs Finder nålen i høstakken Muliggør relevant rapportering Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Anti-Virus Normalisering Kategorisering Rapportering Korrelering Alarmer SEM ( Event Management) Hundredevis af korrelerede events Tusinder af sikkerhedsrelevante events Databases Applications Millioner af rå events

SIEM kombineret til Intelligence Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer Few suspicious events for manual handling Vulnerability Assessment Anti-Virus Databases Applications Analysis and Big Data Inventory Users Configuration Netflow

IDM/IAM - modenhed Value ISO 27002: A.8.2, A.9.2 og A.18.2.2 Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

Identity and Access Management (IAM/IDM) Identity and Access Management is the process for managing the lifecycle of digital identities and access for people, systems and services. This includes: User Management management of large, changing user populations along with delegated- and self-service administration. Access Management allows applications to authenticate users and allow access to resources based upon policy. Provisioning and De-Provisioning automates account propagation across applications and systems. Audit and Reporting review access privileges, validate changes, and manage accountability. Rights and access Who - "Who has access to my systems?" What - "What access do my users have?" When - "When and how long should my users have access?" Why - "Why has my user access to this system?" How - "How can I give my new user access to this system?"

Awareness ISO 27002: A.7.2.2, samt A.6.1.1, A.7.1.2 Vores brugere udgør en risiko "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro Ansattespiller en rolle i 9 ud af 10 sikkerhedshændelser. 2015 DATA BREACH INVESTIGATIONS REPORT - VERIZON 79 procent af folk, der arbejder med informationssikkerhed i Danmark, oplever, at brugerne i deres organisationer er den største udfordring for sikkerheden! DK CERT Hvordan løses dette problem?

Awareness Vores brugere skal forstå HVORFOR?

Awareness - hvilke elementer bør inddrages? CBT = Computer Based Training

Awareness hvordan skal det gribes an? Afklar virksomhedens behov for awareness

Awareness hvordan skal det gribes an? Identificer de største trusler Sørg for at HELE organisationen er involveret Husk de interne processer Glem ikke den fysiske sikkerhed

Analytics Center (SAC) ISO 27002: A.16, samt A.12.4 og A.15.1.2 SAC IRT Predict & Identify Prevent & Protect Detect Respond & Recover Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensics capabilities

SAC hvad er det? SAC ens opgave er at overvåge og efterforske sikkerheds-hændelser i virksomhedens it-systemer. verificere og klassificere hændelser alarmere, informere og rapportere omkring kritiske hændelser indsamle og sikre bevismateriale initiere og koordinere Incident Response Team SAC-faciliteter Opbevaring af data geografisk lokation Håndtering af følsomme og fortrolige data Fysisk sikkerhed

SAC hvad består det af? Personer Beredskabsanalytiker Hændelsesansvarlig Ekspert inden for emnet SAC-ledelse Proces Hændelseshåndtering Normalt gennem udgangspunktet Optrapning af hændelse Intern træning Personer Formel træning Redskabs-og produkttræning Træning på jobbet Teknologi Opdateret viden Sårbarheder Styring og udvikling af tekniske redskaber SIEM/IDS/IPS/APT DNS Firewall / Bot Detection Opdagelse af hændelsen Teknisk Teknologi Trusselefter retning Logindsa mling Netværkso vervågning Hvad lærte vi Proces Forberedels e Incident Respond Identifikatio n Inspiration:SANS SOC Whitepaper

Incident Response ISO 27002: A.16.1.1 Incident Response Team s opgaver Danne sig et overblik over omfanget af hændelsen Planlægge, prioritere og udføre mitigering af hændelsen Genskabe normaltilstand Finde og dokumentere Root cause Løbende kommunikere omkring om fremdrift og omfang til: SAC Manager Ledelsen Myndigheder og pressen

Glem ikke den menneskelige faktor!

Hvad skal du gøre, når du kommer hjem? I morgen Få overblik over (person)data hvad har I, hvor behandles det? Næste uge Find ud af hvad I mangler i forhold til compliance få lavet en gap-analyse Næste måned Formulér, implementér og dokumentér processer. Tag udgangspunkt i ISO 27000

Tak! Læs mere om Dubex på www.dubex.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback