Znaczenie norm ISO w znowelizowanej ustawie o ochronie...

Copyright © 2016 BSI. All rights reserved.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)Normy ISO 31000, ISO 27001, ISO 27018 i inne

Waldemar Gełzakowski

Copyright © 2015 BSI. All rights reserved.2

Tak było…

• …Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją".

• …W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

• …procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;


Artykuł 24Obowiązki administratora

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie

i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się

zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora

odpowiednich polityk ochrony danych.


Artykuł 25Uwzględnianie ochrony danych w fazie

projektowania oraz domyślna ochrona danych

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter,

zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia

i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –

wdraża odpowiednie środki techniczne i organizacyjne, takie

jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

2. ….

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie

zatwierdzonego mechanizmu certyfikacji określonego w art. 42.


Artykuł 32Bezpieczeństwo przetwarzania

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator

i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu

ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności

ryzyko wiążące się z przetwarzaniem, w szczególności wynikające

z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Copyright © 2015 BSI. All rights reserved.

Co to znaczy „odpowiednie środki”?Ryzyko?Polityki ochrony danych?Certyfikacja?


ISO/IEC 27001:2013 System zarządzania bezpieczeństwem informacji

1. Zarządzanie ryzykiem

2. 114 zabezpieczeń w grupach:

• Polityki bezpieczeństwa informacji

• Organizacja bezpieczeństwa informacji

• Bezpieczeństwo zasobów ludzkich

• Zarządzanie aktywami

• Kontrola dostępu

• Kryptografia

• Bezpieczeństwo fizyczne i środowiskowe

• Bezpieczna eksploatacja

• Bezpieczeństwo komunikacji

• Pozyskiwanie, rozwój i utrzymanie systemów

• Relacje z dostawcami

• Zarządzanie incydentami bezpieczeństwa informacji

• Aspekty bezpieczeństwa informacji w zarządzaniu

ciągłością działania

• Zgodność


Podobieństwa RODO i ISO z zakresu bezpieczeństwa informacji

• Bezpieczeństwo dane osobowe = dostępność, autentyczność, integralność i poufność

• Bezpieczeństwo informacji = dostępność, integralność i poufność


Normy ISO 27001 i ISO 27002


Normy dotyczące zarządzania ryzykiem

• PKN-ISO Guide 73:2012 Zarządzanie ryzykiem -Terminologia

• PN ISO/IEC 27005:2014 Zarządzanie ryzykiem w bezpieczeństwie informacji

• PN ISO 31000:2012 Zarządzanie ryzykiem


ISO/IEC 27018:2014: Kodeks postępowania dotyczący ochrony danych osobowych w Chmurach obliczeniowych

• Zmiany w zabezpieczeniach z ISO 27001 i ISO/IEC 27018 związane z przetwarzaniem danych osobowych w chmurze.

• Dodatkowe zabezpieczenia


Ciągłość przetwarzania danych osobowych wgISO 22301:2012

• Analiza BIA

• Analiza ryzyka

• Strategia ciągłości działania

• Plany ciągłości działania

• Ćwiczenia i testy


Ocena, monitorowanie i pomiary skuteczności zabezpieczeń

• Co należy mierzyć?

• Skąd czerpać inspirację?


Rodzina norm ISO/IEC 27000

1. ISO 27000 - słownictwo i terminologia (definicje dla

wszystkich standardów z tej serii)

2. ISO 27003 – Wytyczne dla wdrożenia.

3. ISO 27004 – Zarządzanie bezpieczeństwem informacji -

wskaźniki i pomiary.

4. ISO/IEC 27032 — Guideline for cybersecurity

5. ISO/IEC 27033-x — Network security

6. ISO/IEC 27034-x — Application security

7. ISO/IEC 27043 — Incident investigation

8. ISO 27799 — Information security management in health

using ISO/IEC 27002


Wdrożenie RODO

ISO 27001

• Bezpieczeństwo fizyczne

• Bezpieczeństwo IT

• Bezpieczeństwo osobowe

• …

ISO 31000

• Identyfikacja zagrożeń i prawdopodobieństwa

• Ocena ryzyka

• Postępowanie z ryzykiem

ISO 27018

• Przetwarzanie DO w Chmurze

• Zabezpieczenia

ISO …


Pytania?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie...

Documents

Transcript of Znaczenie norm ISO w znowelizowanej ustawie o ochronie...