Post on 02-Mar-2019
Copyright © 2016 BSI. All rights reserved.
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)Normy ISO 31000, ISO 27001, ISO 27018 i inne
Waldemar Gełzakowski
Copyright © 2015 BSI. All rights reserved.2
Tak było…
• …Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją".
• …W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.
• …procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
Copyright © 2015 BSI. All rights reserved.3
Artykuł 24Obowiązki administratora
1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie
i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się
zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora
odpowiednich polityk ochrony danych.
Copyright © 2015 BSI. All rights reserved.4
Artykuł 25Uwzględnianie ochrony danych w fazie
projektowania oraz domyślna ochrona danych
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter,
zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia
i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –
wdraża odpowiednie środki techniczne i organizacyjne, takie
jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
2. ….
3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie
zatwierdzonego mechanizmu certyfikacji określonego w art. 42.
Copyright © 2015 BSI. All rights reserved.5
Artykuł 32Bezpieczeństwo przetwarzania
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator
i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu
ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności
ryzyko wiążące się z przetwarzaniem, w szczególności wynikające
z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Copyright © 2015 BSI. All rights reserved.
Co to znaczy „odpowiednie środki”?Ryzyko?Polityki ochrony danych?Certyfikacja?
Copyright © 2015 BSI. All rights reserved.7
ISO/IEC 27001:2013 System zarządzania bezpieczeństwem informacji
1. Zarządzanie ryzykiem
2. 114 zabezpieczeń w grupach:
• Polityki bezpieczeństwa informacji
• Organizacja bezpieczeństwa informacji
• Bezpieczeństwo zasobów ludzkich
• Zarządzanie aktywami
• Kontrola dostępu
• Kryptografia
• Bezpieczeństwo fizyczne i środowiskowe
• Bezpieczna eksploatacja
• Bezpieczeństwo komunikacji
• Pozyskiwanie, rozwój i utrzymanie systemów
• Relacje z dostawcami
• Zarządzanie incydentami bezpieczeństwa informacji
• Aspekty bezpieczeństwa informacji w zarządzaniu
ciągłością działania
• Zgodność
Copyright © 2015 BSI. All rights reserved.8
Podobieństwa RODO i ISO z zakresu bezpieczeństwa informacji
• Bezpieczeństwo dane osobowe = dostępność, autentyczność, integralność i poufność
• Bezpieczeństwo informacji = dostępność, integralność i poufność
Copyright © 2015 BSI. All rights reserved.10
Normy dotyczące zarządzania ryzykiem
• PKN-ISO Guide 73:2012 Zarządzanie ryzykiem -Terminologia
• PN ISO/IEC 27005:2014 Zarządzanie ryzykiem w bezpieczeństwie informacji
• PN ISO 31000:2012 Zarządzanie ryzykiem
Copyright © 2015 BSI. All rights reserved.11
ISO/IEC 27018:2014: Kodeks postępowania dotyczący ochrony danych osobowych w Chmurach obliczeniowych
• Zmiany w zabezpieczeniach z ISO 27001 i ISO/IEC 27018 związane z przetwarzaniem danych osobowych w chmurze.
• Dodatkowe zabezpieczenia
Copyright © 2015 BSI. All rights reserved.12
Ciągłość przetwarzania danych osobowych wgISO 22301:2012
• Analiza BIA
• Analiza ryzyka
• Strategia ciągłości działania
• Plany ciągłości działania
• Ćwiczenia i testy
Copyright © 2015 BSI. All rights reserved.13
Ocena, monitorowanie i pomiary skuteczności zabezpieczeń
• Co należy mierzyć?
• Skąd czerpać inspirację?
Copyright © 2015 BSI. All rights reserved.14
Rodzina norm ISO/IEC 27000
1. ISO 27000 - słownictwo i terminologia (definicje dla
wszystkich standardów z tej serii)
2. ISO 27003 – Wytyczne dla wdrożenia.
3. ISO 27004 – Zarządzanie bezpieczeństwem informacji -
wskaźniki i pomiary.
4. ISO/IEC 27032 — Guideline for cybersecurity
5. ISO/IEC 27033-x — Network security
6. ISO/IEC 27034-x — Application security
7. ISO/IEC 27043 — Incident investigation
8. ISO 27799 — Information security management in health
using ISO/IEC 27002
Copyright © 2015 BSI. All rights reserved.15
Wdrożenie RODO
ISO 27001
• Bezpieczeństwo fizyczne
• Bezpieczeństwo IT
• Bezpieczeństwo osobowe
• …
ISO 31000
• Identyfikacja zagrożeń i prawdopodobieństwa
• Ocena ryzyka
• Postępowanie z ryzykiem
ISO 27018
• Przetwarzanie DO w Chmurze
• Zabezpieczenia
ISO …