Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałArkadiusz Adamski Został zmieniony 6 lat temu
1
Ochrona danych osobowych a obsługa incydentu
Regulacje w projekcie ustawy o krajowym systemie cyberbezpieczeństwa a rozporządzenie ogólne o ochronie danych osobowych Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
2
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Plan wystąpienia Projekt ustawy o krajowym systemie cyberbezpieczeństwa Prawne i pozaprawne regulacje dotyczące incydentów w Polsce Ochrona danych osobowych podczas obsługi Rozwiązania zastosowane w ustawie Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
3
Projekt ustawy o krajowym systemie cyberbezpieczeństwa
Implementacja dyrektywy 2016/1148 (Dyrektywa NIS) Obecny etap legislacyjny – Komitet ds. Europejskich, Komitet Rady Ministrów ds. Cyfryzacji Nr w wykazie Rady Ministrów – UD31 Termin wdrożenia – 9 maja 2018 r. Pierwsza kompleksowa regulacja dotycząca cyberbezpieczeństwa w Polsce, dotycząca obsługi incydentów zarówno w sektorze publicznym jak i prywatnym Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
4
Obsługa incydentów w polskim prawie
Rozporządzenie KRI: § Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie [realizację] następujących działań: 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
5
Obsługa incydentów w polskim prawie
Ustawa o ABW i AW Art Do zadań ABW należy: 2a) rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub systemu sieci teleinformatycznych [infrastruktury krytycznej]. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
6
Obsługa incydentów w polskim prawie
Ustawa – Prawo telekomunikacyjne Art. 175a.1. Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie informować prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług (…). Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
7
Obsługa incydentów w polskim prawie
Narodowy Program Ochrony Infrastruktury Krytycznej „zapewnienie bezpieczeństwa teleinformatycznego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie nieautoryzowanego oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
8
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Pozaprawne regulacje PN-ISO/IEC 27035 ITIL i Resilia Rekomendacje z serii 800 wydawane przez NIST Rekomendacje ENISA … Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
9
Etapy obsługi incydentu wg ISO
Planowanie i przygotowanie Wykrycie i raportowanie Ocena i decyzja Reakcja (contain, eradicate, recover) Lessons learned Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
10
Etapy obsługi incydentu wg ITIL
Identyfikacja Rejestrowanie Kategoryzacja Nadawanie Wstępna diagnoza Eskalacja Śledztwo i diagnoza Rozwiązanie i przywrócenie usługi Zamknięcie incydentu Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
11
Etapy obsługi incydentów wg UKSC
Obsługa incydentu – czynności umożliwiające: wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
12
Incydenty w projekcie UKSC
incydent – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo; incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej; incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
13
Incydenty w projekcie UKSC
incydent krytyczny – incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi; incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o których mowa w art. 4 pkt 7-15; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
14
Czy dane osobowe będą przetwarzane?
Krótko: tak Charakter uboczny przetwarzania (celem głównym obsługa incydentu) Gros przetwarzanych danych nie będzie dotyczył danych osobowych Dane „zaszyte” w malware Wymieszane bazy danych z różnych źródeł Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
15
Dane osobowe podczas obsługi incydentu
…możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak (katalog otwarty): imię i nazwisko, numer identyfikacyjny (PESEL, NIP, …?) dane o lokalizacji, identyfikator internetowy (IP, , …?) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
16
Dane osobowe podczas obsługi incydentu
Podstawa prawna przetwarzania: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f w zw. z motywem 49 RODO) (49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji (…) jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
17
Dane osobowe podczas obsługi incydentu
Ale: motyw 47 RODO „Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
18
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
CSIRT Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
19
Uzasadniony interes a CSIRT
UŻYTKOWNIK CSIRT SAMOZWAŃCZY PENTESTER ANALIZA ZAGROŻEŃ Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
20
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Co ureguluje ustawa? Podstawa prawna do przetwarzania danych oparta na zadaniach Określenie okresu przechowywania danych Środki ochrony informacji Niezwłoczne usuwanie niepotrzebnych danych Wyłączenie niektórych obowiązków z RODO (równowaga pomiędzy bezpieczeństwem a prawami osób, których dane dotyczą) Wyłączenie dla zadań związanych z bezpieczeństwem narodowym Co z profilowaniem? Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
21
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dziękuję za uwagę Jakub Dysarz, starszy specjalista Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.