Saugumo aspektai technologijose bei GDPR atitikties projektų praktinė patirtis

GDPR (BDAR)

Martynas BieliūnasSQUALIO Lietuva ir SQUALIO Cloud Competencе vadovas

TEMOS

• Kaip atrodo „tipinis“ GDPR projektas IT specialistams;

• GDPR įvertinimo įrankiai ir priemonės – praktinės įžvalgos tiek

didelėms, tiek vidutinio dydžio organizacijoms;

• Kokios randamos problemos, rizikos bei jų vertinimas

SAUGUMO ĮVERTINI-

MAS

GDPRĮVERTINI

MAS

INFRASTRUKTŪROSAUDITAS

TEISINĖS RIZIKOS

SISTEMOS(Dokumentai & procesai)

GDPR

SQUALIO – lyderiaujanti kompanija Baltijos

šalyse informacijos sistemų ir programinės

įrangos bei atitikties įvertinimo srityse .

Visuoses projektuose užtikriname aukštą

technologijų, procesų ir teisinės dalies

atitikties lygį.

Atitiktis pasiekiama tik įvertinus IT, finansinės

dalies, realios veiklos procesų ir teisinio

reguliavimo visumą įmonėje.

GDPR nėra vienkartinis procesas o reguliari

sistemų, procesų ir teisinės dalies priežiūra.

ASMENS DUOMENYS DEBESYJE IR IT

Sutartys, sutikimai, 3-ios šalys, kt.

IT saugumo politikos

Asm. Duom. tvarkos

Teisė „būti užmirštam“

Sutikimai AD naudojimui

AD naudojimo auditas AD perdavimas

Autentifikacija

Šifravimas

Prieigos kontrolė

Operacijų sąrašas

Neleistinos prieigos prie sistemųužkardymas

Ugniasienės

Rezervinės kopijos

Debesųpaslaugos

Duomenųbazės

AD perdavimas 3-iosioms šalims

Hostingas, kolokacija, outsourcing‘asInfrastruktūrinio lygio apsaugos

TEISINĖ DALIS IR PRIEŽIŪRA

KLIENTŲ TEISĖS NUMATYTOS SISTEMOS ARCHITEKTŪROJE

IT SAUGUMO UŽTIKRINIMO PRIEMONĖS

IŠORINĖS SISTEMOS IR SUTARTYS

IT i

r D

EB

ESYS

TEIS

INĖ

DA

LIS

GDPR ATITIKTIES PROJEKTO ETAPAI

• Projekto etapų, „kas“, „kada“, „kaip“, „koks rezultatas“ apsibrėžimas

PLANAVIMAS

• Duomenų surinkimas per klausimynus, interviu ir inventorizacijos priemones

DUOMENŲ SURINKIMAS

• Surinktų duomenų analizė, vertinimas, patikslinimas

ANALIZĖ

• GDPR IT įvertinimo ir GDPR IT rizikų vertinimo ataskaita, planuojamas darbų planas nuo „kaip yra“ į „kaip turi būti“.

PRISTATYMAS

• Sistemų palaikymas, atnaujinimas ir pakankamo saugumo lygio užtikrinimas. Priežiūra, mokymai bei sąveika su DPO (Data Protection Officer)

PRIEŽIŪRA IR TOLESNIS VYSTYMAS

PRIEMONĖS

1. METODIKA

2.SKANAVIMO PRIEMONĖS (INFRASTRUKTŪRA / DUOMENYS)

3.SAUGUMO ĮVERTINIMO IR PATIKRINIMO BŪDAI IR ĮRANKIAI

4. INVENTORIZACIJA / DUOMENŲ ŽEMĖLAPIAI

5.RIZIKŲ ĮVERTINIMAS (VIDINĖS / IŠORINĖS SISTEMOS / NE ES TREČIOSIOS ŠALYS)

6.DOKUMENTACIJOS TVARKYMO PRIEMONĖS (PORTALAI IR KT.)

WWW.GERARDAS.LT

Asmens duomenų apsauga nėra aktuali vien ES. Pataruoju metu per dieną pasaulyje 750 valstybinių institucijų

padaro apie 201 pakeitimą įstatymuose, tvarkose, po įstatyminiuose aktuose (pagal MS informaciją).

Kai kurie teisinių aktų pavyzdžiai:

• General Data Protection Regulation (GDPR, 2016/679) , also project of ePrivacy regulation;

• US: United States Privacy Act, Safe Harbor Act; Health Insurance Portability and Accountability Act (HIPAA),

Children’s Online Privacy Protection Act of 1998 (COPPA), Fair and Accurate Credit Transactions Act of 2003 (FACTA)

• Russia : Федеральные законы Pоссийской федерации : 149-ФЗ об информации, информационных технологиях

и о защите информаци ; 152-ФЗ О персональных данных, 2006 г. (federal laws on IT, information protection and

personal data)

• Belarus - Об информации , информатизации и защите информации ; поправки к административному кодексу

• Australia: Privacy Amendment (Notifiable Data Breaches) Bill 2016

• Singapore: Personal Data Protection act

Dirbate globaliai – atsižvelkite ne tik į GDPR, o ir į kitų šalių teisinę bazę .

SKIRTINGA TEISINĖ BAZĖ, TAS PATS TIKSLAS

1. Encryption at rest;

2. Encryption in transit;

3. Classification;

4. Data loss prevention;

5. Data breach notification;

6. Password policy;

7. Access control;

8. Data flow control;

9. Data backup policy;

10.Upgrades and patches;

11.Operations logging / tracking /

auditing;

12.Firewall / DMZ protection;

13.Antivirus / ransomware protection .

TECHNOLOGIJOS(„Tipinės problemos“ randamos GDPR atitikties projektuose)

GDPR „BŪSENA“PROCESAI

IT

TEISINĖ DALIS

Procesai yra, bet nei IT

sprendimai ir teisiniai

dokumentai neparuoštiProcesai yra, IT sprendimai

veikia, bet teisinių dokumentų

nėra

Nei procesų, nei

teisinių

dokumentų

nėra. Nors IT

sprendimai

veikia.

Procesai neįdiegti, nors IT sistemos

veikia ir teisiniai dokumentai

paruošti

Teisiniai dokumentai yra, bet IT sprendimai neįdiegti

ir procesų nėra.

Procesai yra,

teisiniai dokumentai

paruošti, bet IT

sprendimai

neįdiegti

Procesai yra, teisiniai

dokumentai paruošti, IT

sprendimai veikia

Rizikų prioritetųnustatymas

Rizikų analizėfinansiniu požiūriu

Projektų planas / investicijųbiudžetas

AD „žemėlapio“ sudarymas

Grėsmiųįvertinimas

„Exposure / Breach points“ nustatymas

Sistemų saugos rekomendacijos

RIZIKŲ IDENTIFIKACIJA – FINANSINĖPERSPEKTYVA

GDPR atitikties audito rekomendacijos gali būti labai plačios – nuo paprasto sistemų konfigūracijos pakeitimų ar jų atnaujinimo ir papildymo iki visiškai naujų infrastruktūros komponentų įdiegimo. Gali prireikti ir pilno sistemųperdarymo. Ilgalaikis duomenų saugojimas taip pat gali įtakoti fininasin į GDPR atitikties aspektą .

Finansinė rizikų analizė taip pat priklauso nuo organizacijos analizės ir jų rizikų suvokimo, taip pat įvertinimo kurios rizikos yra aktualiausios ir pavojingiausios, o kurios yra priimtinos iš finansini ų nuostolių perspektyvos. Pavyzdžiui, priimtina rizika gali būti naujos vidinės sistemos kūrimas, o nepriimtina – būtinų baziniųinfrastruktūros saugumo komponentų nebuvimas.