GDPR (BDAR) · GDPR ATITIKTIES PROJEKTO ETAPAI •Projekto etapų, „kas“, „kada“,...
Transcript of GDPR (BDAR) · GDPR ATITIKTIES PROJEKTO ETAPAI •Projekto etapų, „kas“, „kada“,...
Saugumo aspektai technologijose bei GDPR atitikties projektų praktinė patirtis
GDPR (BDAR)
Martynas BieliūnasSQUALIO Lietuva ir SQUALIO Cloud Competencе vadovas
TEMOS
• Kaip atrodo „tipinis“ GDPR projektas IT specialistams;
• GDPR įvertinimo įrankiai ir priemonės – praktinės įžvalgos tiek
didelėms, tiek vidutinio dydžio organizacijoms;
• Kokios randamos problemos, rizikos bei jų vertinimas
SAUGUMO ĮVERTINI-
MAS
GDPRĮVERTINI
MAS
INFRASTRUKTŪROSAUDITAS
TEISINĖS RIZIKOS
SISTEMOS(Dokumentai & procesai)
GDPR
SQUALIO – lyderiaujanti kompanija Baltijos
šalyse informacijos sistemų ir programinės
įrangos bei atitikties įvertinimo srityse .
Visuoses projektuose užtikriname aukštą
technologijų, procesų ir teisinės dalies
atitikties lygį.
Atitiktis pasiekiama tik įvertinus IT, finansinės
dalies, realios veiklos procesų ir teisinio
reguliavimo visumą įmonėje.
GDPR nėra vienkartinis procesas o reguliari
sistemų, procesų ir teisinės dalies priežiūra.
ASMENS DUOMENYS DEBESYJE IR IT
Sutartys, sutikimai, 3-ios šalys, kt.
IT saugumo politikos
Asm. Duom. tvarkos
Teisė „būti užmirštam“
Sutikimai AD naudojimui
AD naudojimo auditas AD perdavimas
Autentifikacija
Šifravimas
Prieigos kontrolė
Operacijų sąrašas
Neleistinos prieigos prie sistemųužkardymas
Ugniasienės
Rezervinės kopijos
Debesųpaslaugos
Duomenųbazės
AD perdavimas 3-iosioms šalims
Hostingas, kolokacija, outsourcing‘asInfrastruktūrinio lygio apsaugos
TEISINĖ DALIS IR PRIEŽIŪRA
KLIENTŲ TEISĖS NUMATYTOS SISTEMOS ARCHITEKTŪROJE
IT SAUGUMO UŽTIKRINIMO PRIEMONĖS
IŠORINĖS SISTEMOS IR SUTARTYS
IT i
r D
EB
ESYS
TEIS
INĖ
DA
LIS
GDPR ATITIKTIES PROJEKTO ETAPAI
• Projekto etapų, „kas“, „kada“, „kaip“, „koks rezultatas“ apsibrėžimas
PLANAVIMAS
• Duomenų surinkimas per klausimynus, interviu ir inventorizacijos priemones
DUOMENŲ SURINKIMAS
• Surinktų duomenų analizė, vertinimas, patikslinimas
ANALIZĖ
• GDPR IT įvertinimo ir GDPR IT rizikų vertinimo ataskaita, planuojamas darbų planas nuo „kaip yra“ į „kaip turi būti“.
PRISTATYMAS
• Sistemų palaikymas, atnaujinimas ir pakankamo saugumo lygio užtikrinimas. Priežiūra, mokymai bei sąveika su DPO (Data Protection Officer)
PRIEŽIŪRA IR TOLESNIS VYSTYMAS
PRIEMONĖS
1. METODIKA
2.SKANAVIMO PRIEMONĖS (INFRASTRUKTŪRA / DUOMENYS)
3.SAUGUMO ĮVERTINIMO IR PATIKRINIMO BŪDAI IR ĮRANKIAI
4. INVENTORIZACIJA / DUOMENŲ ŽEMĖLAPIAI
5.RIZIKŲ ĮVERTINIMAS (VIDINĖS / IŠORINĖS SISTEMOS / NE ES TREČIOSIOS ŠALYS)
6.DOKUMENTACIJOS TVARKYMO PRIEMONĖS (PORTALAI IR KT.)
WWW.GERARDAS.LT
Asmens duomenų apsauga nėra aktuali vien ES. Pataruoju metu per dieną pasaulyje 750 valstybinių institucijų
padaro apie 201 pakeitimą įstatymuose, tvarkose, po įstatyminiuose aktuose (pagal MS informaciją).
Kai kurie teisinių aktų pavyzdžiai:
• General Data Protection Regulation (GDPR, 2016/679) , also project of ePrivacy regulation;
• US: United States Privacy Act, Safe Harbor Act; Health Insurance Portability and Accountability Act (HIPAA),
Children’s Online Privacy Protection Act of 1998 (COPPA), Fair and Accurate Credit Transactions Act of 2003 (FACTA)
• Russia : Федеральные законы Pоссийской федерации : 149-ФЗ об информации, информационных технологиях
и о защите информаци ; 152-ФЗ О персональных данных, 2006 г. (federal laws on IT, information protection and
personal data)
• Belarus - Об информации , информатизации и защите информации ; поправки к административному кодексу
• Australia: Privacy Amendment (Notifiable Data Breaches) Bill 2016
• Singapore: Personal Data Protection act
Dirbate globaliai – atsižvelkite ne tik į GDPR, o ir į kitų šalių teisinę bazę .
SKIRTINGA TEISINĖ BAZĖ, TAS PATS TIKSLAS
1. Encryption at rest;
2. Encryption in transit;
3. Classification;
4. Data loss prevention;
5. Data breach notification;
6. Password policy;
7. Access control;
8. Data flow control;
9. Data backup policy;
10.Upgrades and patches;
11.Operations logging / tracking /
auditing;
12.Firewall / DMZ protection;
13.Antivirus / ransomware protection .
TECHNOLOGIJOS(„Tipinės problemos“ randamos GDPR atitikties projektuose)
GDPR „BŪSENA“PROCESAI
IT
TEISINĖ DALIS
Procesai yra, bet nei IT
sprendimai ir teisiniai
dokumentai neparuoštiProcesai yra, IT sprendimai
veikia, bet teisinių dokumentų
nėra
Nei procesų, nei
teisinių
dokumentų
nėra. Nors IT
sprendimai
veikia.
Procesai neįdiegti, nors IT sistemos
veikia ir teisiniai dokumentai
paruošti
Teisiniai dokumentai yra, bet IT sprendimai neįdiegti
ir procesų nėra.
Procesai yra,
teisiniai dokumentai
paruošti, bet IT
sprendimai
neįdiegti
Procesai yra, teisiniai
dokumentai paruošti, IT
sprendimai veikia
Rizikų prioritetųnustatymas
Rizikų analizėfinansiniu požiūriu
Projektų planas / investicijųbiudžetas
AD „žemėlapio“ sudarymas
Grėsmiųįvertinimas
„Exposure / Breach points“ nustatymas
Sistemų saugos rekomendacijos
RIZIKŲ IDENTIFIKACIJA – FINANSINĖPERSPEKTYVA
GDPR atitikties audito rekomendacijos gali būti labai plačios – nuo paprasto sistemų konfigūracijos pakeitimų ar jų atnaujinimo ir papildymo iki visiškai naujų infrastruktūros komponentų įdiegimo. Gali prireikti ir pilno sistemųperdarymo. Ilgalaikis duomenų saugojimas taip pat gali įtakoti fininasin į GDPR atitikties aspektą .
Finansinė rizikų analizė taip pat priklauso nuo organizacijos analizės ir jų rizikų suvokimo, taip pat įvertinimo kurios rizikos yra aktualiausios ir pavojingiausios, o kurios yra priimtinos iš finansini ų nuostolių perspektyvos. Pavyzdžiui, priimtina rizika gali būti naujos vidinės sistemos kūrimas, o nepriimtina – būtinų baziniųinfrastruktūros saugumo komponentų nebuvimas.