Ochrona danych osobowych a obsługa incydentu Regulacje w projekcie ustawy o krajowym systemie cyberbezpieczeństwa a rozporządzenie ogólne o ochronie danych osobowych Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Plan wystąpienia Projekt ustawy o krajowym systemie cyberbezpieczeństwa Prawne i pozaprawne regulacje dotyczące incydentów w Polsce Ochrona danych osobowych podczas obsługi Rozwiązania zastosowane w ustawie Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Projekt ustawy o krajowym systemie cyberbezpieczeństwa Implementacja dyrektywy 2016/1148 (Dyrektywa NIS) Obecny etap legislacyjny – Komitet ds. Europejskich, Komitet Rady Ministrów ds. Cyfryzacji Nr w wykazie Rady Ministrów – UD31 Termin wdrożenia – 9 maja 2018 r. Pierwsza kompleksowa regulacja dotycząca cyberbezpieczeństwa w Polsce, dotycząca obsługi incydentów zarówno w sektorze publicznym jak i prywatnym Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Obsługa incydentów w polskim prawie Rozporządzenie KRI: § 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie [realizację] następujących działań: 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Obsługa incydentów w polskim prawie Ustawa o ABW i AW Art. 5. 1. Do zadań ABW należy: 2a) rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub systemu sieci teleinformatycznych [infrastruktury krytycznej]. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Obsługa incydentów w polskim prawie Ustawa – Prawo telekomunikacyjne Art. 175a.1. Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie informować prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług (…). Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Obsługa incydentów w polskim prawie Narodowy Program Ochrony Infrastruktury Krytycznej „zapewnienie bezpieczeństwa teleinformatycznego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie nieautoryzowanego oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Pozaprawne regulacje PN-ISO/IEC 27035 ITIL i Resilia Rekomendacje z serii 800 wydawane przez NIST Rekomendacje ENISA … Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Etapy obsługi incydentu wg ISO Planowanie i przygotowanie Wykrycie i raportowanie Ocena i decyzja Reakcja (contain, eradicate, recover) Lessons learned Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Etapy obsługi incydentu wg ITIL Identyfikacja Rejestrowanie Kategoryzacja Nadawanie Wstępna diagnoza Eskalacja Śledztwo i diagnoza Rozwiązanie i przywrócenie usługi Zamknięcie incydentu Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Etapy obsługi incydentów wg UKSC Obsługa incydentu – czynności umożliwiające: wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Incydenty w projekcie UKSC incydent – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo; incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej; incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Incydenty w projekcie UKSC incydent krytyczny – incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi; incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o których mowa w art. 4 pkt 7-15; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Czy dane osobowe będą przetwarzane? Krótko: tak Charakter uboczny przetwarzania (celem głównym obsługa incydentu) Gros przetwarzanych danych nie będzie dotyczył danych osobowych Dane „zaszyte” w malware Wymieszane bazy danych z różnych źródeł Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Dane osobowe podczas obsługi incydentu …możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak (katalog otwarty): imię i nazwisko, numer identyfikacyjny (PESEL, NIP, …?) dane o lokalizacji, identyfikator internetowy (IP, e-mail, …?) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Dane osobowe podczas obsługi incydentu Podstawa prawna przetwarzania: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f w zw. z motywem 49 RODO) (49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji (…) jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Dane osobowe podczas obsługi incydentu Ale: motyw 47 RODO „Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa CSIRT Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Uzasadniony interes a CSIRT UŻYTKOWNIK CSIRT SAMOZWAŃCZY PENTESTER ANALIZA ZAGROŻEŃ Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Co ureguluje ustawa? Podstawa prawna do przetwarzania danych oparta na zadaniach Określenie okresu przechowywania danych Środki ochrony informacji Niezwłoczne usuwanie niepotrzebnych danych Wyłączenie niektórych obowiązków z RODO (równowaga pomiędzy bezpieczeństwem a prawami osób, których dane dotyczą) Wyłączenie dla zadań związanych z bezpieczeństwem narodowym Co z profilowaniem? Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Dziękuję za uwagę Jakub Dysarz, starszy specjalista Departament Cyberbezpieczeństwa jakub.dysarz@mc.gov.pl Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa