Embed Size (px)
Citation preview
GDPR - IT vidik
Kaj mora revizor operativnih tveganj upoštevati pri pregledu uvedbe GDPR
Peter Grasselli
2
Trenutni predsednik Slovenskega odseka ISACA
Na strani izvajalca vodja skupine, ki je razvila in sodeluje pri uvedbi Informacijske varnostne politike REMIT za Evropsko Agencijo za sodelovanje energetskih regulatorjev (ACER).
Razvoj postopkov ocenjevanja stanja informacijske varnosti in sodelovanje pri izvedbi ocene; ocena je zajela prek 100 lokacij en večjih večje multinacionalk po celem svetu.
Ocenjevanje tveganj in informacijske varnosti Telekomunikacije (Telekom, Mobitel); Farmacevtska industrija; Infrastruktura/
Energetika (Energetika Ljubljana, Vodovod-Kanalizacija, Petrol, Plinovodi); Igralništvo (HIT);
Finančna industrija (NKBM, Abanka, KDD, Sparkasse, UniCredit, KD Banka, Vzajemna, DIS Banka, PKZ)
Član kolegija glavnega direktorja Vodovod-Kanalizacija Ljubljana, zadolžen za strateško in operativno načrtovanje uporabe IKT, nabavo in vzdrževanje novih rešitev in odgovoren za nemoteno delovanje informacijskega sistema podjetja (1990-2004) .
Prejšnje vloge: razvijalec, sistemski administrator, DBA
Kontakt: [email protected]
Izkušnje in projekti
Predstaviti dobre prakse ISACA in nekaj ključnih poudarkov njihove uporabe pri zagotavljanju skladnosti z uredbo o varstvu posameznikov pri obdelavi osebnih podatkov.
Uvod
Pristop k pregledu Nekaj poudarkov
Vgrajeno in privzeto varstvo podatkov
Privolitev
Preklic in izbris
Upravljanje zunanjih izvajalcev
GDPR orodja ISACA
Praktične izkušnje
Stran 3
Namen, cilji in potek predstavitve
Projekt Ocena razkoraka Načrt odprave razkoraka
Procesi Aplikacije Informacije/podatki Infrastruktura
Naročnik Projektni svet Ožja projektna skupina
Pravna služba/skladnost Poslovna in podporna področja IT/Arhiv DPO Notranja revizija
SOURCE: ISACA, COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, figure 12, USA, 2012 Stran 4
Uvedba GDPR
Stran 5
Zainteresirani za informacije o osebnih podatkih
A—Approver, O—Originator, I—Informed of information type, U—User of information type
Stakeholder
Privacy
Strategy
Privacy
Bu
dget
Privacy P
lan
Privacy
po
licies
Privacy
requ
iremen
ts
Privacy
Aw
areness
Material
Privacy
Services
Rep
orts
Privacy
Services
Catalo
gue
Privacy R
isk
Pro
file
Privacy
Pro
gram
Dash
bo
ard
Board U I U I A
Chief Executive Officer (CEO) U A U I U
Chief Financial Officer (CFO) A U U U
Chief Privacy Officer (CPO) O U O O A A A A U U
Chief information security officer (CISO)
Privacy Steering Committee (PSC) A O A U U I U I U U
Business Unit Head U O U U U
Head of Human Resources (HR) U U U
Chief information officer {CIO)/IT
manager
U O U U U U I U U
Privacy Manager (PM) U U U O U O O O O O
Investors I I
Insurers I I I I
Data Protection Authorities I/U I/U I/U I/U I/U I/U I/U I/U I/U I/U
Regulators I
Business Partners I I I I
Vendors/Suppers I
External Auditors I I I I I I I I I
Internal: Enterprise
Internal: IT
External
Stran 6
Vgrajeno in privzeto varstvo POSLOVNA ARHITEKTURA - 1
Name Data Birthdate Address
Mickey Mouse A very heroic mouse 1928 Disneyland
Minnie Mouse Mickey Mouse's girlfriend 1928 Disneyland
Donald Duck A short tempered duck 1928 Disneyland
Daisy Duck Donald's girlfriend 1928 Disneyland
Goofy A silly, clumsy dog 1928 Disneyland
Pluto Mickey Mouse's pet dog 1928 Disneyland
Chip 'n Dale A chipmunk duo 1928 Disneyland
Pete Mickey Mouse's nemesis 1928 Disneyland
Max Goof Goofy's teenage son 1928 Disneyland
Lilo An unpronounceable Hawaiian girl 2002 Disneyland
Stitch A carefree, heroic dog like alien 2002 Disneyland
Nani Lilo's older sister 2002 Disneyland
Jumba Alien scientist who created Stitch 2002 Disneyland
Agent Pleakley Jumba's sidekick 2002 Disneyland
Captain Gantu Stitch's nemesis 2002 Disneyland
Aladdin The main protagonist of his first animated feature movie 1992 Disneyland
Princess Jasmine Aladdin's girlfriend 1992 Disneyland
Genie One of Aladdin's mates 1992 Disneyland
Rajah Jasmine's pet tiger 1992 Disneyland
Abu Aladdin's best friend 1992 Disneyland
Search* Disney* Scroll down Scroll up
Wildcard chars .*^)
Imagine bank Front office interface form
Google Analytics
Some of our customers have User-ID tracking in their solution, some don’t. In each case, they’re affected by GDPR, because solutions that don’t have User-ID tracking still track on Client-ID which is also considered profiling, cf. Recital 30 in GDPR:
Users need to be informed about tracking Explicit information about Google Analytics tracking will have to be presented at the first communication with the user, cf. GDPR Article 21:
This means that the user needs to be informed of tracking when the app opens the first time. This information also needs to inform the user about where data tracking can be switched off.
Users must have the possibility to Opt out An opt out feature is required for Google Analytics both with and without User-ID, cf. Article 21:
Users have the "right to be forgotten" If an end-user withdraws his or her consent, they will be allowed to have their tracked data erased, cf. Article 17:
As of right now, there isn’t a feature that makes it possible to delete specific end-user data in Google Analytics, but we’ve been in contact with Google who says this will be implemented by May 2018:
“In terms of data deletion, by May 2018 Google Analytics will offer support for customers that wish to delete specific end-user data based on User-ID or Client-ID.” - Oxana from Google Analytics Help Center
Stran 7
Vgrajeno in privzeto varstvo - 2
1. Zadostiti pričakovanjem zainteresiranih
Vodstvo
Stranke
Nadzorni organ
Stran 8
2. Pokritje od začetka do konca
Identifikacija osebnih podatkov in toka skozi organizacijo
Zaščita zasebnosti v okviru vseh poslovnih funkcij in procesov
3. Uporaba enotnega okvirja
Združitev IT, informacijske varnosti, odziva na incidente in zasebnosti podatkov
Celovit pristop
4. Ločitev vodenja od upravljanja
Identifikacija osebnih podatkov in toka skozi organizacijo
Zaščita zasebnosti v okviru vseh poslovnih funkcij in procesov
5. Celovit pristop
Identifikacija tveganj v procesih, organizacijski strukturi, obnašanju in poslovni kulturi, storitvah in aplikacijah, in kontekstu uporabe informacij
Opredelitev kontrol za vse faktorje vpliva na delovanje
Ustrezen nivo obravnavanja tveganj
1. Načela, politike in okvirji 2. Procesi 3. Organizacijska struktura 4. Poslovna kultura, etika in obnašanje 5. Informacije 6. Storitve, infrastruktura in aplikacije 7. Ljudje, znanja in kompetence
COBIT5 Načela
Stran 9
Privolitev
Pogoji uporabe v aplikaciji in ne ob izdelku Sledenje lahko izključimo na n-ti strani pogojev uporabe Izključitev je dvostopenjska, izvesti jo mora uporabnik OPOZORILO: Če blokirate vse piškotke, lahko to privede do omejenega delovanja naših ponudb
Podatki Centralizirani
Decentralizirani
Infrastrukturni sistemi
Obračun administrativnih stroškov
Splošno uveljavljen format posredovanja v elektronski obliki
Stran 10
Vpogled, preklic, izbris
Aplikacije Storitve (elektronska pošta, oblačne
storitve,…) Papirni V oblaku Datoteke Lokalne kopije
Operacijski sistem, platforme Varnostne kopije Arhivski sistemi Dnevniški zapisi (SIEM) Varnostni sistemi (Antivirus, IDS, DLP, …)
Upravljanje zunanjih izvajalcev
Zahteve glede varovanja vključene v pogodbe
Zunanji izvajalci imajo dostop le do podatkov, ki jih potrebujejo
Zunanji izvajalci obdelujejo podatke v skladu z namenom
Pogodbene obveznosti zunanjih izvajalcev
Navodila za ocenjevanje tveganj uporabe zunanjih izvajalcev
Spremljanje rezultatov ocenjevanja
Pregledovanje varnosti informacijskih sistemov Stran 11
Upravljanje zunanjih izvajalcev
Ocena učinka v zvezi z varstvom podatkov GDPR Data Protection Impact Assessments
GDPR Data Protection Impact Assessment Template
Uvedba in upravljanje ISACA Privacy Principles, Governance and Management Program Guide
Implementing a Privacy Protection Program: Using COBIT 5 Enablers With the ISACA Privacy Principles
Adopting GDPR Using COBIT® 5
Implementing a Privacy Protection Program: Using COBIT 5 Enablers With the ISACA Privacy Principles
Spremljanje in nadzor ITAF
IS Audit/Assurance Program for Data Privacy
COBIT 5 for Assurance
Audit/Assurance programs – COBIT 5 Process Audit/Assurance Programs
– Audit/Assurance Programs based on COBIT 5
– Audit/Assurance Programs based on COBIT 4.1
Stran 12
Orodja ISACA
http://www.isaca.org/Knowledge-Center/Research/Pages/GDPR-Resources-for-You-and-Your-Enterprise.aspx
Zavedanje in podpora (uvedbi) in izvajanju varovanja OP
Ali so zahteve glede varovanja OP vgrajene v obstoječe okvirje in programe upravljanja (ISO9001, SVVI, SVNP, ITSMF, zunanji izvajalci, …)
Organizacija/vloge zagotavljanja varovanja OP (DPO, …)
Opredelitev, življenjski cikel in varovanje OP (nahajališče, podlaga, lastništvo, lastnosti, kontrole)
Celovita ocena tveganj povezanih z OP
Načrt za odpravo zaznanih odstopanj in njegovo izvajanje
Načrt (vaje) ukrepanja v primeru incidentov (razkritja) z OP
Spremljanje in ocenjevanje (npr. vodstveni pregled)
Stran 13
Organizacijski okvir
Katalog (osebnih) podatkov
Seznam odobrene/nedovoljene opreme (za obdelavo OP)
Varnostne nastavitve opreme
Postopki odkrivanja in odpravljanja ranljivosti IT
Dostop na podlagi poslovnih potreb, nadzor nad uporabo računov z visokimi pooblastili (in ostalih)
Zbiranje, spremljanje in analiza revizijske sledi
Zaščita shranjenih podatkov (šifriranje)
Uporabljajte podprte verzije programske opreme in načela varnega razvoja aplikacij
Penetracijsko testiranje
Stran 14
Ključne kontrole IT
Verjetnost uspešne uvedbe poveča svetovalna/participativna vloga revizorja IT pri pregledu/uvedbi GDPR
Če ne veste, kje so OP jih ne morete varovati
Ne zanašajte se preveč na sisteme/tehnične kontrole, za njihovo učinkovitost je ključno kombiniranje tehničnih in organizacijskih ukrepov
Za zamudnike: iterativni in ne frontalni pristop
Zaključne misli
Razkorak Akcijski načrt Uvedba Pregled
