GDPR E CYBERSECURITY ORGANIZZAZIONE E CONTROLLI 10.10.2018 Dott DeRossi... · mediante misure...
-
Upload
truongduong -
Category
Documents
-
view
214 -
download
0
Transcript of GDPR E CYBERSECURITY ORGANIZZAZIONE E CONTROLLI 10.10.2018 Dott DeRossi... · mediante misure...
GDPR E CYBERSECURITYORGANIZZAZIONE E CONTROLLI
- Cybersecurity
- Misure minime (di sicurezza)
- GDPR e Cybersecurity
- Analisi dei rischi
- Norme ISO di riferimento
AGENDA
CYBERSECURITY
ECSM runs for the entire month of October, with each week focusing on a different topic.During each week, ENISA and its partners will be publishing reports, organising events andactivities centred on each of these (Cybersecurity) themes.
OTTOBRE È IL CYBERSECURITY MONTH
https://cybersecuritymonth.eu/
Sul sito https://cybersecuritymonth.eu/ sono disponibili tutti gli appuntamenti in temaCybersecurity organizzati nel territorio europeo.
OTTOBRE È IL CYBERSECURITY MONTH
Ogni giorno siamo continuamente bombardati da milioni di bit, alcuni dei quali nonpropriamente «buoni»…
C’È DAVVERO BISOGNO DI CYBERSECURITY?
http://map.norsecorp.com/#/
https://cybermap.kaspersky.com/it/
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
https://threatmap.fortiguard.com/
C’È DAVVERO BISOGNO DI CYBERSECURITY?
«Lo studio si basa su un campione cheal 30 giugno 2018 è costituito da 7.595attacchi noti di particolare gravità,ovvero che hanno avuto un impattosignificativo per le vittime in terminidi perdite economiche, di danni allareputazione, di diffusione di datisensibili (personali e non), o checomunque prefigurano scenariparticolarmente preoccupanti,avvenuti nel mondo (inclusa quindil’Italia) dal primo gennaio 2011, di cui1.127 registrati nel 2017 (+240%rispetto al 2011, +30% rispetto al 2014e + 7,33% rispetto al 2016) e, dato mairegistrato in precedenza dal 2011, ben730 nel primo semestre 2018»
Fonte: Clusit - Rapporto 2018 sulla Sicurezza ICT in Italia
C’È DAVVERO BISOGNO DI CYBERSECURITY?
Queste le medie mensili degli attacchi registrati nel periodo 2014 – primo semestre 2018, suddivise per anno:
Il picco maggiore di attacchi si èavuto nel febbraio 2018 con 139attacchi, il valore più alto negliultimi 4 anni e mezzo
Fonte: Clusit - Rapporto 2018 sulla Sicurezza ICT in Italia
MISURE MINIME (DI SICUREZZA)
La scelta del legislatore obbliga (finalmente) a una maggior responsabilizzazione dei titolari eall’obbligo della presa di coscienza che la Cybersecurity deve diventare parte integrante diqualsiasi tipologia di trattamento di dati personali.
Solo attraverso un approccio strutturato e organizzato è possibile individuare e gestire irischi che incombono sugli asset e sui processi che trattano dati personali.
La mancanza di un elenco di misure tecniche da adottare deve diventare uno stimolo aripensare la gestione dei trattamenti di dati personali in funzione di un approcciomultidisciplinare.
101/2018 E MISURE MINIME
Con l’introduzione del principio di «Accountability» e dell’approccio basato sul «rischio», il D.lgs101/2018 ha eliminato il concetto di «misura minima (di sicurezza)»
GDPR E CYBERSECURITY -MISURE TECNICHE E ORGANIZZATIVE
Il riferimento a «misure tecniche e organizzative» compare 20 volte all’interno del testoitaliano del GDPR
Art 78 - La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personalirichiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni delpresente regolamento.
Art 5.1 f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione,mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalladistruzione o dal danno accidentali «integrità e riservatezza»
Art 24.1 Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare deltrattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado didimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sonoriesaminate e aggiornate qualora necessario
GDPR E CYBERSECURITYANALISI DEI RISCHI
GDPR E CYBERSECURITY - DA DOVE COMINCIARE? L’ANALISI DEI RISCHI
Il GDPR introduce il concetto di approccio basato sul rischio, con un’accezione diversa,per esempio, dal DPS (dove il focus era l’asset, non l’owner <-> Accountability)
L’analisi dei rischi si «sposta» dagli asset ai risk owner, come il titolare, che diventaaccountable del trattamento dei dati
L’approccio «consigliato» per una successiva integrazione con le norme che vedremo, èl’approccio della norma ISO 31000.
Definizione di rischio (Iso 31000): l’effetto dell’incertezza sugli obiettivi
(l’effetto è la deviazione positiva o negativa rispetto a quanto atteso)
GDPR E CYBERSECURITYISO 31000
La norma ISO 31000, Risk management – Guidelines,
- fornisce i principi, il framework e il processo per la gestione del rischio
- si adatta ad ogni organizzazione indipendentemente dalla dimensione, attività o settore
GDPR E CYBERSECURITY - ISO 31000
Definizione del contesto
Identificazione dei rischi
Analisi dei rischi
Valutazione dei rischi
Trattamento dei rischi
Ris
k A
ssess
me
nt
Comunicazione e
informazioneMonitoraggio e
riesame
Perché utilizzare la ISO 31000 per orientare l’analisi dei rischio richiesta dal GDPR?
GDPR E CYBERSECURITY - ISO 31000
- È una norma internazionale
- Viene continuamente valutata e aggiornata
- È integrabile con TUTTE le norme ISO, per esempio:
Information Security Management
System
Privacy
Management System
Iso 27001: Information security Management
System
Iso 29100: Information technology -- Privacy
framework
Iso 27018: Information technology -- Code of
practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
Iso 29151: Information technology -- Code of
practice for personally identifiable information
protection
Iso 29134: Information technology -- Guidelines for
privacy impact assessment
GDPR E CYBERSECURITYTHE BIG PICTURE
GDPR E CYBERSECURITY - PREVIEW
Management System Framework
Risk Management Controls
ISO/IEC 27001: Information Security Management
ISO/IEC 29100: Privacy Framework
ISO/IEC 31000:
Risk Management
ISO/IEC 29100:
Privacy Impact Assessment
ISO/IEC 27002: Code of practice
for information security Controls
ISO/IEC 29100: Code of practice
for personally identifiable
information protection
GDPR E CYBERSECURITYISO STANDARD
GDPR E CYBERSECURITY
Information Security Management
System
Privacy
Management System
Iso 27001: Information security Management
System
Iso 29100: Information technology -- Privacy
framework
Iso 27018: Information technology -- Code of
practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
Iso 29151: Information technology -- Code of
practice for personally identifiable information
protection
Iso 29134: Information technology -- Guidelines for
privacy impact assessment
GDPR E CYBERSECURITY - ISO 27001
La norma Iso 27001 è lo standard de-facto per la sicurezza delle informazioni, permette di strutturare e realizzare un sistema di gestione orientato all’analisi, monitoraggio e controllo della sicurezza delle informazioni aziendali.
4 Contesto
dell’organizzazione
5 Leadership
6 Planning
6.1.2 Information Security Risk assessment
6.1.3 Information Security Risk treatment
7 Support
8 Operations
9 Internal Audit
10 Improvement
8.2 Information Security Risk assessment
8.3 Information Security Risk treatment
L’annex A della Iso 27001 contiene una serie di temi da affrontare durantel’implementazione di un sistema di gestione per la sicurezza delle informazioni.Questi temi sono «di processo», tecnici e organizzativi.
GDPR E CYBERSECURITY - ISO 27001
A5 Information Security Policy
A6 Organization of IT Security A7 Human resource Security
A8 Asset Management A8 Access Control A10 Cryprography
A11 Physical and
envirmnmental SecurityA12 Operations Security A13 Communication
Security
A14 System Acquisition,
development and maintenanceA15 Supplier
Management
A16 Information Security
Incident Mgmt
A17 Information Security aspect of Business Continuity
ManagementA18 Compliance
GDPR E CYBERSECURITY - ISO 27001
A5 Information Security Policy
A6 Organization of IT Security A7 Human resource Security
A8 Asset Management A9 Access Control A10 Cryprography
A11 Physical and
envirmnmental SecurityA12 Operations Security A13 Communication
Security
A14 System Acquisition,
development and maintenanceA15 Supplier
Management
A16 Information Security
Incident Mgmt
A17 Information Security aspect of Business Continuity
ManagementA18 Compliance
Ognuno dei temi affrontati nell’Annex A trova corrispondenza all’interno di uno o piùarticoli del GDPR.
GDPR Iso 27001 - Annex A
Art 5 Principles relating to processing of personal data - Principi applicabili al trattamento di dati personali A18 - Compliance
Art 24 Responsibility of the controller - Responsabilità del titolare del trattamento A5-Security policyA8-Asset Management A12-Operations Management A17-BC ManagementA18-Compliance
Art 25 Data protection by design and by default - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
A12-Operations Management A18-Compliance
Art 28 Processor - Responsabile del trattamento A15-Supplier RelationsA18-Compliance
Art 29 Processing under the authority of the controller or processor - Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento
A6 Organization of IT SecurityA7 Human resource SecurityA18 Compliance
Art 30 Records of processing activities - Registri delle attività di trattamento A8-Asset Management A11-Physical and environmental SecurityA18-Compliance
Art 32 Security of processing - Sicurezza del trattamento A5-Security policyA7-Human resource SecurityA8-Asset Management A9-Access ControlA10-CryprographyA12-Operations Management A13-Communications SecurityA14-System acquisition, development and maintenanceA15-Supplier relationshipA17-BC ManagementA18-Compliance
Art 33 Notification of a personal data breach to the supervisory authority - Notifica di una violazione dei dati personali all'autorità di controllo
A6-Information security incidentmanagementA18-Compliance
Art 34 Communication of a personal data breach to the data subject - Comunicazione di una violazione dei dati personali all'interessato
A6-Information security incident managementA18-Compliance
Art 35 Data protection impact assessment - Valutazione d'impatto sulla protezione dei dati A18-Compliance
Art 36 Prior consultation - Consultazione preventiva A18-Compliance
GDPR E CYBERSECURITY - ISO 27001
GDPR E CYBERSECURITY - ENISA
Anche Enisa propone un «approccio ISO 27001» alla conformità delle «misure tecniche eorganizzative» richieste dal GDPR, riassumibile nella seguente tabella.
Inoltre sul sito https://www.enisa.europa.eu/publications sono disponibili numerosi manuali elinee guida di implementazione di controlli tecnici orientati alla Cybersecurity, alcuni dei qualipienamente integrati con il GDPR.
L'Agenzia europea per la sicurezza delle reti e
dell'informazione
(ENISA, European Network and Information Security
Agency)
La missione di ENISA è migliorare la sicurezza informatica e delle reti
di telecomunicazioni dell'Unione europea. L'agenzia deve contribuire
allo sviluppo della cultura della sicurezza delle informazioni e delle
reti a beneficio dei cittadini, dei consumatori, delle imprese e del
settore pubblico europei
GDPR E CYBERSECURITY - ENISA
ENISA SME GDPR RECOMMENDED SECURITY CONTROLS Mapping on ISO27001 controls and GDPR provisions
Organizational
Security Measures
Security management
Security policy and procedures for the
protection of personal data
ISO 27001:2013 - A.5 Security policy , art. 32 GDPR, as also complemented
by art. 24 GDPR
Roles and responsibilitiesISO 27001:2013 - A.6.1.1 Information security roles and responsibilities, 32
(4) GDPRs
Access control policyISO 27001:2013 - A.9.1.1 Access control policy, data minimization , art.
5.1(c) GDPR
Resource/asset management ISO 27001:2013 - A.8 Asset management , art. 24 and 32 GDPR
Change managementISO 27001:2013 - A. 12.1 Operational procedures and responsibilities, art.
24 and 32 GDPR
Data processors ISO 27001:2013 - A.15 Supplier relationships , art. 28 and art 32 GDPR
Incidents handling /
Personal data breaches
Incidents handling / Personal databreachesISO 27001:2013 - A.16 Information security incident management, art. 4(12)
art. 33 and art. 34 GDPR
Business continuityISO 27001:2013 - A. 17 Information security aspects of business continuity
management, , art. 24 and 32 GDPR
Human resources
Confidentiality of personnel ISO 27001:2013 - A.7 Human resource security, art. 32 (4) GDPR
TrainingISO 27001:2013 - A.7.2.2 Information security awareness, education and
training, art. 32 (4) GDPR
Technical Security
Measures
Access control and
authenticationISO 27001:2013 - A.9 Access control, art. 32 GDPR
Logging and monitoring ISO 27001:2013 - A.12.4 Logging and monitoring, art. 32 GDPR
Security of data at rest
Server/Database security ISO 27001:2013 - A. 12 Operations security, art. 32 GDPR
Workstation securityISO 27001:2013 - A. 14.1 Security requirements of information systems, art.
32 GDPR
Network/Communication
securityISO 27001:2013 - A.13 Communications Security, art. 32 GDPR
Back-ups ISO 27001:2013 - A.12.3 Back-Up, art. 32 GDPR
Mobile/Portable devices Mobile/Portable devices ISO 27001:2013 - A. 6.2 Mobile devices and teleworking,, art. 32 GDPR
Application lifecycle
security
ISO 27001:2013 - A.12.6 Technical vulnerability management & A.14.2
Security in development and support processes, art. 25 and art. 32 GDPR
Data deletion/disposalISO 27001:2013 - A. 8.3.2 Disposal of media & A. 11.2.7 Secure disposal or
re-use of equipment, art.5.1(c) GDPR
Physical security ISO 27001:2013 - A.11 – Physical and environmental security, art. 32 GDPR
GDPR E CYBERSECURITY
Information Security Management
System
Privacy
Management System
Iso 27001: Information security Management
System
Iso 29100: Information technology -- Privacy
framework
Iso 27018: Information technology -- Code of
practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
Iso 29151: Information technology -- Code of
practice for personally identifiable information
protection
Iso 29134: Information technology -- Guidelines for
privacy impact assessment
[…] provides a high-level framework for the protection of personally identifiable information(PII) within information and communication technology (ICT) systems. It is general in natureand places organizational, technical, and procedural aspects in an overall privacyframework.
GDPR E CYBERSECURITY - ISO 29100
ISO 29100
Use of this International Standard will:
- aid in the design, implementation, operation, and maintenance of ICT systems that handle and protect PII;
- spur innovative solutions to enable the protection of PII within ICT systems; and
- improve organizations’ privacy programs through the use of best practices.
"privacy by design e privacy by default”
GDPR E CYBERSECURITY - ISO 29100
GDPR E CYBERSECURITY - ISO 29100
Provide Personal Identifiable informations (PII)
Assuring Required Privacy Security Controls
PII Provider
Privacy
Preferences
Bu
sin
ess
Use
Case
Le
ga
l
Re
qu
ire
me
nts
Privacy
Preferences
Collect
Store
Use
Transfer
Destroy
Privacy
Safeguarding
Controls
Data subject
User
Data Owner ….
PII Receiver
Internal Rules
Issue Privacy Policy
based on requirements
Application provider
Data controller
….
GDPR E CYBERSECURITY
Information Security Management
System
Privacy
Management System
Iso 27001: Information security Management
System
Iso 29100: Information technology -- Privacy
framework
Iso 27018: Information technology -- Code of
practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
Iso 29151: Information technology -- Code of
practice for personally identifiable information
protection
Iso 29134: Information technology -- Guidelines for
privacy impact assessment
GDPR E CYBERSECURITY - ISO 29134
Iso 29134 gives guidelines for:
• a process on privacy impact assessments, and
• a structure and content of a PIA report.
• It is applicable to all types and sizes of organizations, including public companies,private companies, government entities and not-for-profit organizations.
• This document is relevant to those involved in designing or implementing projects,including the parties operating data processing systems and services that processPII.
ISO 29134 "privacy impact assessment”
GDPR E CYBERSECURITY - ISO 29134
- Un metodo strutturato per ladefinizione del privacy Impactassessment
- Un processo sistematico per il riesameperiodico
- Un modello di rapporto per lavalutazione
- Un esempio per la stima degli impatti
- Un elenco di quasi 50 minacce su cuivalutare gli impatti e le probabilità
La norma ISO 29134, basata sulla ISO 31000, descrive:
GDPR E CYBERSECURITY - ISO 29134
Workflow diagram of the PII processing
GDPR E CYBERSECURITY
Information Security Management
System
Privacy
Management System
Iso 27001: Information security Management
System
Iso 29100: Information technology -- Privacy
framework
Iso 27018: Information technology -- Code of
practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
Iso 29151: Information technology -- Code of
practice for personally identifiable information
protection
Iso 29134: Information technology -- Guidelines for
privacy impact assessment
GDPR E CYBERSECURITY - ISO 29151
ISO/IEC 29151:2017 establishes control objectives, controls and guidelinesfor implementing controls, to meet the requirements identified by a riskand impact assessment related to the protection of personally identifiableinformation (PII).
ISO 29134“control objectives, controls and guidelines to meet requirement identified by a risk impact assessment”
In particular, this Recommendation | International Standard specifiesguidelines based on ISO/IEC 27002, taking into consideration therequirements for processing PII that may be applicable within the context ofan organization's information security risk environment(s).
This Recommendation | International Standard is applicable to all typesand sizes of organizations acting as PII controllers (as defined in ISO/IEC29100), including public and private companies, government entities andnot-for-profit organizations that process PII.
GDPR E CYBERSECURITY - ISO 29151
Policyies for
the protection of PII
Use, Retention and
dislosure limitation
Secure erasurof
temporary filesPII disclosure
notification
Privacy notice
Redress and
participationPII principal Access
Dissemination of
privacy program
information
Recording of PII
disclosures
Disclosure of sub
contracted PII
processing
Compliant
management
Privacy Risk
Assessment
Privacy monitoring an
d auditing
Privacy requirement
for contractors and
service providers
PII protection awaren
ess and training
PII protection
reportind
Continuous
improvement
Cross border data
transfer restrincion in
certain jurisdictions
Lo standard è basato sulle linee guida della
ISO/IEC 27002 e recepisce oltre 110
controlli della ISO/IEC 27001,
aggiungendone altri specifici.
GDPR E CYBERSECURITY - OVERVIEW
Management System Framework
Risk Management Controls
ISO/IEC 27001: Information Security Management
ISO/IEC 29100: Privacy Framework
ISO/IEC 31000:
Risk Management
ISO/IEC 29100:
Privacy Impact Assessment
ISO/IEC 27002: Code of practice
for information security Controls
ISO/IEC 29100: Code of practice
for personally identifiable
information protection
GDPR E CYBERSECURITY – ISO 27018
Information Security Management
System
Privacy
Management System
Iso 27001: Information security Management
System
Iso 29100: Information technology -- Privacy
framework
Iso 27018: Information technology -- Code of
practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
Iso 29151: Information technology -- Code of
practice for personally identifiable information
protection
Iso 29134: Information technology -- Guidelines for
privacy impact assessment
GDPR E CYBERSECURITY – ISO 27018
Iso 27018 establishes commonly accepted control objectives, controls and
guidelines for implementing measures to protect Personally Identifiable
Information (PII) in accordance with the privacy principles in ISO/IEC 29100 for
the public cloud computing environment.
In particular, Iso 27018 specifies guidelines based on ISO/IEC 27002, taking
into consideration the regulatory requirements for the protection of PII which
might be applicable within the context of the information security risk
environment(s) of a provider of public cloud services.
GDPR E CYBERSECURITY – ISO 27018
Estende i controlli della ISO 27002, in conformità con la ISO 29100, per
integrare un sistema di gestione della sicurezza delle informazioni (ISO 27001)
orientato alla fornitura di servizi cloud.
GDPR E CYBERSECURITY
Alcuni controlli tecnico/organizzativi
DOMANDE?