Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Ochrona danych osobowych a obsługa incydentu

OpublikowałArkadiusz Adamski Został zmieniony 5 lat temu

Podobne prezentacje

Prezentacja na temat: "Ochrona danych osobowych a obsługa incydentu"— Zapis prezentacji:

1 Ochrona danych osobowych a obsługa incydentu
Regulacje w projekcie ustawy o krajowym systemie cyberbezpieczeństwa a rozporządzenie ogólne o ochronie danych osobowych Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

2 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Plan wystąpienia Projekt ustawy o krajowym systemie cyberbezpieczeństwa Prawne i pozaprawne regulacje dotyczące incydentów w Polsce Ochrona danych osobowych podczas obsługi Rozwiązania zastosowane w ustawie Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

3 Projekt ustawy o krajowym systemie cyberbezpieczeństwa
Implementacja dyrektywy 2016/1148 (Dyrektywa NIS) Obecny etap legislacyjny – Komitet ds. Europejskich, Komitet Rady Ministrów ds. Cyfryzacji Nr w wykazie Rady Ministrów – UD31 Termin wdrożenia – 9 maja 2018 r. Pierwsza kompleksowa regulacja dotycząca cyberbezpieczeństwa w Polsce, dotycząca obsługi incydentów zarówno w sektorze publicznym jak i prywatnym Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

4 Obsługa incydentów w polskim prawie
Rozporządzenie KRI: § Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie [realizację] następujących działań: 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

5 Obsługa incydentów w polskim prawie
Ustawa o ABW i AW Art Do zadań ABW należy: 2a) rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub systemu sieci teleinformatycznych [infrastruktury krytycznej]. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

6 Obsługa incydentów w polskim prawie
Ustawa – Prawo telekomunikacyjne Art. 175a.1. Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie informować prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług (…). Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

7 Obsługa incydentów w polskim prawie
Narodowy Program Ochrony Infrastruktury Krytycznej „zapewnienie bezpieczeństwa teleinformatycznego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie nieautoryzowanego oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

8 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Pozaprawne regulacje PN-ISO/IEC 27035 ITIL i Resilia Rekomendacje z serii 800 wydawane przez NIST Rekomendacje ENISA Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

9 Etapy obsługi incydentu wg ISO
Planowanie i przygotowanie Wykrycie i raportowanie Ocena i decyzja Reakcja (contain, eradicate, recover) Lessons learned Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

10 Etapy obsługi incydentu wg ITIL
Identyfikacja Rejestrowanie Kategoryzacja Nadawanie Wstępna diagnoza Eskalacja Śledztwo i diagnoza Rozwiązanie i przywrócenie usługi Zamknięcie incydentu Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

11 Etapy obsługi incydentów wg UKSC
Obsługa incydentu – czynności umożliwiające: wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

12 Incydenty w projekcie UKSC
incydent – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo; incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej; incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

13 Incydenty w projekcie UKSC
incydent krytyczny – incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi; incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o których mowa w art. 4 pkt 7-15; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

14 Czy dane osobowe będą przetwarzane?
Krótko: tak Charakter uboczny przetwarzania (celem głównym obsługa incydentu) Gros przetwarzanych danych nie będzie dotyczył danych osobowych Dane „zaszyte” w malware Wymieszane bazy danych z różnych źródeł Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

15 Dane osobowe podczas obsługi incydentu
…możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak (katalog otwarty): imię i nazwisko, numer identyfikacyjny (PESEL, NIP, …?) dane o lokalizacji, identyfikator internetowy (IP, , …?) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

16 Dane osobowe podczas obsługi incydentu
Podstawa prawna przetwarzania: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f w zw. z motywem 49 RODO) (49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji (…) jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

17 Dane osobowe podczas obsługi incydentu
Ale: motyw 47 RODO „Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

18 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
CSIRT Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

19 Uzasadniony interes a CSIRT
UŻYTKOWNIK CSIRT SAMOZWAŃCZY PENTESTER ANALIZA ZAGROŻEŃ Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

20 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Co ureguluje ustawa? Podstawa prawna do przetwarzania danych oparta na zadaniach Określenie okresu przechowywania danych Środki ochrony informacji Niezwłoczne usuwanie niepotrzebnych danych Wyłączenie niektórych obowiązków z RODO (równowaga pomiędzy bezpieczeństwem a prawami osób, których dane dotyczą) Wyłączenie dla zadań związanych z bezpieczeństwem narodowym Co z profilowaniem? Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

21 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dziękuję za uwagę Jakub Dysarz, starszy specjalista Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa

Pobierz ppt "Ochrona danych osobowych a obsługa incydentu"

Podobne prezentacje

Dr hab. Fryderyk Zoll, prof. UJ i ALK

Dr hab. Fryderyk Zoll, prof. UJ i ALK
Wsparcie dla organizacji pozarządowych w ramach Priorytetu V Dobre rządzenie PO KL (Działanie 5.4 Rozwój potencjału trzeciego sektora) Ministerstwo Pracy.

Wsparcie dla organizacji pozarządowych w ramach Priorytetu V Dobre rządzenie PO KL (Działanie 5.4 Rozwój potencjału trzeciego sektora) Ministerstwo Pracy.
Najważniejsze problemy przy implementacji znowelizowanego pakietu dyrektyw łączności elektronicznej kwiecień 2010 r.

Najważniejsze problemy przy implementacji znowelizowanego pakietu dyrektyw łączności elektronicznej kwiecień 2010 r.
INFRASTRUKTURA KRYTYCZNA

INFRASTRUKTURA KRYTYCZNA
Katowice, dnia 2 października 2012 roku

Katowice, dnia 2 października 2012 roku
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Wytyczne Ministra Rozwoju Regionalnego w zakresie wyboru projektów w trybie konkursowym Szkolenie, 17-18 maja 2007 r. Departament Koordynacji i Zarządzania.

Wytyczne Ministra Rozwoju Regionalnego w zakresie wyboru projektów w trybie konkursowym Szkolenie, maja 2007 r. Departament Koordynacji i Zarządzania.
NARODOWA STRATEGIA SPÓJNOŚCI dla rozwoju Polski. 02Ministerstwo Rozwoju RegionalnegoWarszawa, 20.02.2008 Program Operacyjny Innowacyjna Gospodarka, 2007.

NARODOWA STRATEGIA SPÓJNOŚCI dla rozwoju Polski. 02Ministerstwo Rozwoju RegionalnegoWarszawa, Program Operacyjny Innowacyjna Gospodarka, 2007.
Program badań statystycznych statystyki publicznej (PBSSP) na rok 2008

Program badań statystycznych statystyki publicznej (PBSSP) na rok 2008
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ochrona danych osobowych

Ochrona danych osobowych
Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy

Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy
USTAWA z dnia 16 kwietnia 2004 r. o ochronie przyrody

USTAWA z dnia 16 kwietnia 2004 r. o ochronie przyrody
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT

Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Aktualne zagadnienia prawne.

Aktualne zagadnienia prawne.
Działalność jednostek samorządu terytorialnego w telekomunikacji – wymagania Megaustawy Piotr Combik.

Działalność jednostek samorządu terytorialnego w telekomunikacji – wymagania Megaustawy Piotr Combik.
„Ochrona osób, mienia, obiektów i obszarów”

„Ochrona osób, mienia, obiektów i obszarów”
REJESTR DZIAŁAŃ RATOWNICZYCH

REJESTR DZIAŁAŃ RATOWNICZYCH
Źródła prawa podatkowego

Źródła prawa podatkowego
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji www.kigeit.org.pl Stosowanie w praktyce art. 139 PT Materiał do dyskusji Warszawa, dnia 13 marca.

Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji Stosowanie w praktyce art. 139 PT Materiał do dyskusji Warszawa, dnia 13 marca.

Podobne prezentacje

Reklamy Google