prezentace Daniel Joksch Security Client Representative v IBM

1. Nařízení (EU) 2016/679 –
Obecné Nařízení o ochraně údajů (GDPR)
DOPADNE I NA CLOUDOVÉ SLUŽBY?
IBM SECURITY SERVICES
Daniel Joksch

2. 2 IBM Security
IBM aktivity v oblasti GDPR
• IBM participovala na vyjednáváních GDPR v rámci EU a snažila se zmírnit jeho
požadavky
• Aktivní účast na vyjednávání dopadů nařízení na český trh
̶ Člen expertní skupiny na ochranu osobních údajů při Úřadu vlády
̶ Aktivní člen SPD a jeho pracovních skupin
̶ Semináře s ÚOOÚ pro společnosti napříč celým trhem
• Zakládající člen platformy GDPR Akademie
• Aktivní člen pracovních skupin AmCham a RUZ pro oblast ochrany dat na
Slovensku
2

3. Ochrana dat a GDPR

4. 4 IBM Security
Confidentiality (Důvěrnost):
Spolehlivost informace je dána třemi jejími atributy…
• míra omezení přístupu k
informacím pouze pro osoby,
nebo skupiny osob, které jsou
oprávněny k přístupu k
příslušným informacím
• Privacy (ochrana soukromí):
• ochrana před nežádanou
publicitou, veřejnou
kontrolou, sledováním
anebo neoprávněným
zveřejněním osobních
údajů
Availability (Dostupnost)
• míra dostupnosti informace pro uživatele a systém ve chvíli,
kdy je informace potřebná a požadovaná
Integrity (Celistvost)
• míra bezchybnosti a
informace
• Charakteristikami integrity
jsou:
• Úplnost informace
• Správnost informace
AVAILABILITY
INTEGRITY
CONFIDENTIALITY

5. 5 IBM Security
POŽADAVKY
NA SOULAD
IDENTIFIKOVANÁ
RIZIKA
NEDOSTATEČNÉ
POVĚDOMÍ
NEGATIVNÍ
ZKUŠENOSTI
S INCIDENTY
POŽADAVKY
NA INOVACE
Co v dnešní době žene bezpečnost vpřed?

6. 6 IBM Security
Požiadavky na ochranu informačných aktív v európskej legislatíve
• Directive (EU) 2016/1148 Of the European parliament and of the Council of 6 July 2016 concerning measures to
ensure a high common level of network and information security across the Union
̶ Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zaistenie vysokej
spoločnej úrovne bezpečnosti sietí a informácií v Únii (ďalej len „NIS“)
• Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural
persons with regard to the processing of personal data and on the free movement of such data
̶ Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri
spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“)
• Directive (EU) 2015/2366 Of the European parliament and of the Council of 25 November 2015 on payment services in
the internal market,
̶ Smernica Európskeho parlamentu a Rady (EÚ) 2015/2366 z 25. novembra 2015 o platobných službách na
vnútornom trhu Únii (ďalej len „PSD2“)
• Regulation (EU) 2014/916 of the European Parliament and of the Council of 23 July 2014 on electronic identification
and trust services for electronic transactions in the internal market
̶ Nariadenie Európskeho parlamentu a Rady (EÚ) 910/2014 z 23. júla 2014 o elektronickej identifikácii a
dôveryhodných službách pre elektronické transakcie na vnútornom trhu (ďalej len „eIDAS“)

7. 7 IBM Security
General Data Protection Regulation
• Povinnosti plynoucí z Nařízení
̶ analyzovat dopady na současné zpracování údajů
̶ stanovit postupy pro jejich realizaci
̶ docílit souladu v roce 2018
Platnost
Rozpočet
Implementace
Účinnost
25.5.2016
07-09 2017
11.2017-05.2018
25.5.2018

8. 8 IBM Security
Subjekt
údajů
Data controller
Správce
Příjemci
Data
processor
(Zpracovatel)
Vztahy mezi subjekty, správcem a zpracovatelem

9. 9 IBM Security
Nové zásady při ochraně údajů
• Právo na zapomenutí (t. j. úplný výmaz osobních
údajů)
• Mění se podmínky vyjádření souhlasu se
zpracováním osobních údajů, který musí být:
̶ dotknutou osobou jasně a jednoznačně potvrzený
̶ odvolatelný
• Právo přenášet údaje k jinému poskytovateli služeb v
standardním elektronickém formátu
• Právo dotknuté osoby dozvědět se o porušení práva
na ochranu osobních údajů
• Nové specifické politiky ochrany osobních údajů -
například ochrana osobních údajů dětí
• Omezení profilování
• Výrazné zvýšení horních hranic pokut (až 4 % z
celkového celosvětového ročního obratu společnosti
za předcházející účetní rok, maximálně až 20 milionů
EUR.)
• Povinnost některých správců vyjmenovat tzv. Data
Protection Officer-a
• Přímá odpovědnost správce (změna důkazního
břemena)
• Posuzování dopadu na ochranu údajů – Data
Protection Impact Assessment
• Ochrana osobních údajů již ve fázi návrhu (tzv.
„Privacy by Design“)
• Povinné ohlašování případů narušení bezpečnosti
(notifikační povinnost)
• Nové pravidla přeshraničního přenosu osobních
údajů, ulehčující spolupráci mezi orgány činnými v
trestním konání
• Společní správci
• Kodexy chování (Code of Conduct)

10. Nové zásady při ochraně údajů

11. 11 IBM Security
Pseudonymizace
• Pseudonymizace – zpracování o.ú. tak, že již nemohou být přiřazeny konkrétnímu s.ú.
bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány
odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že
nebudou přiřazeny identifikované či identifikovatelné fyzické osobě
• Pseudonymizace je prostředek pro zvýšení ochrany údajů, nikoliv pro vynětí zpracování
osobních údajů z působnosti nařízení.
• Správcům pomůže splnit povinnosti týkající se ochrany údajů.
• Nevylučuje však provedení dalších opatření k ochraně osobních údajů.

12. 12 IBM Security
Odpovědnost správce
• Správce …. sám nebo společně s jinými určuje účely a prostředky zpracování osobních
údajů.
• Odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo
jeho jménem
• Správce zavede vhodná technická a organizační opatření s přihlédnutím k:
̶ povaze, rozsahu, kontextu a účelu zpracování
̶ k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických
osob.
• Tato opatření musí být podle potřeby revidována a aktualizována.
• Správce zajistí a musí být schopen doložit, že zpracování je prováděno v souladu s
tímto nařízením.

13. 13 IBM Security
Povinnosti správce v oblasti bezpečnostní politiky a opatření
• Vedení - předepsané dokumentace
• Splnění - požadavků bezpečnosti,
• Vypracování - posouzení dopadu na soukromí,
• Provedení - konzultací s orgánem dozoru,
• Jmenování - pověřence ochrany údajů,
• Ověření - účinnosti všech opatření nezávislým auditorem
• Zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a
svobody fyzických osob.

14. 14 IBM Security
Ochrana údajů již od návrhu (Privacy by design)
• S ohledem na technické možnosti a na náklady provedení, přijme správce:
̶ při určování prostředků zpracování
̶ při samotném zpracovávání
• vhodná technická a organizační opatření a postupy tak, aby dané zpracování splňovalo požadavky
nařízení a zaručovalo ochranu práv subjektu údajů
• Privacy by design znamená zabudovat soukromí do specifikace, návrhu, činnosti a řízení daného
systému, a do obchodního procesu.
• Koncept PbD je založen na sedmi jednoduchých základních pravidlech:
1) Být raději pro-aktivní než re-aktivní
2) Použít ochranu soukromí jako default nastavení
3) Ochranu soukromí vložit již do návrhu
4) Vyvarovat se záměně – soukromí vers. Bezpečnost
5) Poskytovat management dat po celý jejich životní cyklus
6) Zajistit viditelnost s transparentnost údajů
7) Být zaměřen na uživatele;

15. 15 IBM Security
Ohlašování případů porušení zabezpečení osobních údajů
• Jakékoli porušení zabezpečení osobních údajů správce bez
zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se
o něm dozvěděl, ohlásí dozorovému úřadu příslušnému, ledaže je
nepravděpodobné, že by toto porušení mělo za následek riziko pro
práva a svobody fyzických osob.
• Zpracovatel je povinen informovat správce o porušení zabezpečení
osobních údajů okamžitě poté, co bylo porušení zjištěno, a na tuto
skutečnost jej upozornit
• Pokud je pravděpodobné, že určitý případ porušení zabezpečení
osobních údajů bude mít za následek vysoké riziko pro práva a
svobody fyzických osob, oznámí správce toto porušení bez
zbytečného odkladu subjektu údajů.

16. 16 IBM Security
Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment)
• Jestliže je zpracování údajů kvůli své povaze, rozsahu nebo účelu spojeno s pravděpodobnými
specifickými riziky z hlediska práv a svobod subjektů údajů, správce nebo zpracovatel jednající jeho
jménem posoudí dopad plánovaného zpracování na ochranu osobních údajů
• Kdy se musí (D)PIA provádět?
1. při návrhu legislativních opatření
2. při jakýchkoliv změnách zpracování osobních údajů
3. je-li pravděpodobné, že zpracování (zejména využitím nových technologií), bude představovat
vysoké riziko pro práva a svobody jedince
• Např.:
̶ Před zavedením nových IT systémů pro zpracování údajů
̶ Před významnými změnami v systémech pro zpracování údajů, např.
• při stanovení nového účelu zpracování údajů
• při novém způsobu či prostředcích zpracování údajů
• při jakýchkoliv změnách dosavadního modelu zpracování údajů
Orgán dozoru sestaví a zveřejní seznam druhů operací zpracování, které podléhají/nepodléhají
požadavku na posouzení

17. Jaký je dopad na Cloudové
služby?

18. 18 IBM Security
Právní vztah mezi správcem a zpracovatelem
• Poskytovatelé cloudových služeb se stávají zpracovateli osobních údajů
̶ Zpracovateli jsou jak poskytovatelé SaaS, tak IaaS
• Revize smluvního vztahu a zajištění transparentnosti:
̶ Práce s data
̶ Bezpečnosti zpracování
̶ Poskytovaní osobních údajů sub-zpracovatelům
• Nastavení procesů odezvy v případě bezpečnostního incidentu nad osobními údaji
• Hodnocení rizik spojených se zpracováním dat
• Analýza dopadu

19. 19 IBM Security
IBM Cloud a jeho služby
• IBM pracuje s daty na základě dokumentů, které jsou před poskytnutím služby poskytnuty zákazníkovi
• European Code of Conduct
̶ Zatím neexistuje GDPR privacy certifikace nebo kodex chování
• Komunikace se zákazníky v případě exekuce práv subjektů
• Možnost podpory datového managementu
• Vysoká úroveň bezpečnosti
• Každá z oblastí portfolia IBM má vlastního product managera, který řeší oblast compliance s GDPR

20. IBM Security GDPR Framework

21. 21 IBM Security
Logické členění požadavků GDPR
2

22. 22 IBM Security
Posouzení
Zhodnocení souladu
s GDPR
Identifikace
informačních aktiv
Identifikace osobních
údajů v datech a
procesech
Posouzení stavu
informační
bezpečnosti
Analýza rizík
Návrh
Plán připravenosti na
GDPR
Návrhy na SW redesign
Interní standardy
Systémová a
bezpečnostní
architektura
Datová architektura
Systém řízení
bezpečnosti
Transformace
Klasifikáce údajů
Změna postupů, a
procesů
Tréningy a školení
zaměstnanců v oblasti
ochrany osobních
údajů a informační
bezpečnosti
Vývoj a vylepšení
interních standardů s
použitím přístupu
"Privacy by design" a
„Privacy by Default“
Provoz
Vykonávat bežné
obchodní procesy v
souladu s GDPR
Sledovat úroveň
bezpečnosti a ochrany
osobních údajů
Spravovat přístupy pro
subjekty údajů
Zabezpečovat souhlasy se
zpracovaním osobních
údajů
Projekty implementáce
technických
protiopatření
Soulad
Monitoring
Vyhodnocování
Řízení rizik
Auditing
Compliance
reporting
Posouzení
vplyvu GDPR
a roadmapa
Definovaný plán
implementace
Návrhy na
zlepšení procesů
Provozní rámec
Probíhající
monitoring
a reporting
Fáze
Aktivita
Výstup
GDPR Framework: 5 fází připravenosti

23. 23 IBM Security
Z čeho se může řešení skládat?
2

24. 24 IBM Security
IBM GDPR řešení bezpečnosti
2
Bezpečnostní
monitoring
Prevence a
management data
breaches
Forenzní analýza
Management
zranitelností a
rizik
Autorizace a
autentizace
QRadar SIEM,
Resilient
Guardium, BigFix,
Maas360
QRadar Incident
Forensics
QRadar VM, QRadar
RM
Identity Governance
and Intelligence,
Access Manager
Udržení důvěrnosti,
dostupnosti a integrity
dat, ohlašovací
povinnost
Zabezpečení úniku dat,
minimalizace rizika
data breach
Ohlašovací povinnost
vůči subjektům údajů
Snížení rizika vzniku
incident v preventivní
fázi
Povinnost autentizace
subjektu, snížení rizika
díky autorizacím
Klíčové oblasti
bezpečnosti
Povinnosti
vyplývající z
GDPR
IBM řešení

25. 25 IBM Security
Co můžeme nabídnout?
• Konzultace a služby
̶ Readiness Assessmet
̶ Bezpečnostní audity
̶ Discovery a analýza dat
̶ Roadmapa a časový rozvrh implementace požadavků
̶ A další…
• Ucelené portfolio SW produktů, které pomohou řešit nové povinnosti
̶ Zajištění bezpečnosti – od bezpečnostního monitoring až po aktivní ochranu dat
̶ Analytické nástroje – řešení všech povinností týkajících se nakládání s daty
• Zkušenosti a expertní tým IBM
̶ Tým, který se kolem nařízení pohybuje dlouhou dobu
̶ Zkušenost s interní implementací
2

26. 26 IBM Security
GDPR security
requirements
10 Essential
Practices Security
Review
Identity
Governance &
Intelligence
Security
Architecture and
Program Design
Guardium Data
Protection
QRadar
Key Lifecycle
Manager
10 Essential
Practices Security
Review
Critical Data
Protection Program
Automated IT Risk
Management
Guardium
Vulnerability
Assessment
AppScan
IBM Managed
Security Services
Security
Intelligence and
Operations
Consulting
Cyber Security
Assessment and
Response
IBM Resilient
Incident Response
Platform
QRadar
Critical Data
Protection Program
Data and
Application
Security
Infrastructure and
Endpoint Security
Smart and
Embedded Device
Security
Active Threat
Assessment
Guardium GDPR
Accelerator
APT Survival Kit
IBM Trusteer
IBM BigFix
10 Essential
Practices Security
Review
IBM Identity
Governance and
Intelligence
Identity and
Access Strategy
and Assessment
IBM Security
Access Manager
IBM Security
Identity Manager
XForce IRIS
IBM SOC
Cyber Security
Assessment and
Response
Emergency
Response Services
Incident Response
Planning
Penetration
Testing
IBM Resilient
Incident Response
Platform
QRadar
10 Essential
Practices Security
Review
Security Strategy,
Risk and
Compliance
Services
Security
Management
Security Policy,
Compliance, and
Audit Management
Guardium
Vulnerability
Assessment
AppScan
Security by Design
Identity and
Access
Management
Critical Data
Protection
Vulnerabilities
Assessment&
Mitigation
Incident
Management and
Breach Response
Risk Identification
and Remediation
Security
Operations
GDPR Capability Map: IBM Security and Privacy Solutions
GDPR Readiness
Assessment
Speedweek
Workshop
Information
Security
Assessment (ISA)
Process and
Controls Analysis
Security
Framework and
Risk Assessments
GDPR Privacy
Consulting Services
IBM
Product
Offering
IBM
Services
Offering

27. Je nutné začít jednat
• 25.5.2018 přichází GDPR v účinnost
• Implementace potřebných opatření může zabrat měsíce
• Riziko vysokých sankcí