gdpr e cybersecurity organizzazione e controlli 10.10.2018 dott derossi... · mediante misure...

GDPR E CYBERSECURITYORGANIZZAZIONE E CONTROLLI

- Cybersecurity

- Misure minime (di sicurezza)

- GDPR e Cybersecurity

- Analisi dei rischi

- Norme ISO di riferimento

AGENDA

CYBERSECURITY

ECSM runs for the entire month of October, with each week focusing on a different topic.During each week, ENISA and its partners will be publishing reports, organising events andactivities centred on each of these (Cybersecurity) themes.

OTTOBRE È IL CYBERSECURITY MONTH

https://cybersecuritymonth.eu/

Sul sito https://cybersecuritymonth.eu/ sono disponibili tutti gli appuntamenti in temaCybersecurity organizzati nel territorio europeo.

OTTOBRE È IL CYBERSECURITY MONTH

Ogni giorno siamo continuamente bombardati da milioni di bit, alcuni dei quali nonpropriamente «buoni»…

C’È DAVVERO BISOGNO DI CYBERSECURITY?

http://map.norsecorp.com/#/

https://cybermap.kaspersky.com/it/

https://threatmap.checkpoint.com/ThreatPortal/livemap.html

https://threatmap.fortiguard.com/


«Lo studio si basa su un campione cheal 30 giugno 2018 è costituito da 7.595attacchi noti di particolare gravità,ovvero che hanno avuto un impattosignificativo per le vittime in terminidi perdite economiche, di danni allareputazione, di diffusione di datisensibili (personali e non), o checomunque prefigurano scenariparticolarmente preoccupanti,avvenuti nel mondo (inclusa quindil’Italia) dal primo gennaio 2011, di cui1.127 registrati nel 2017 (+240%rispetto al 2011, +30% rispetto al 2014e + 7,33% rispetto al 2016) e, dato mairegistrato in precedenza dal 2011, ben730 nel primo semestre 2018»

Fonte: Clusit - Rapporto 2018 sulla Sicurezza ICT in Italia


Queste le medie mensili degli attacchi registrati nel periodo 2014 – primo semestre 2018, suddivise per anno:

Il picco maggiore di attacchi si èavuto nel febbraio 2018 con 139attacchi, il valore più alto negliultimi 4 anni e mezzo

Fonte: Clusit - Rapporto 2018 sulla Sicurezza ICT in Italia

MISURE MINIME (DI SICUREZZA)

La scelta del legislatore obbliga (finalmente) a una maggior responsabilizzazione dei titolari eall’obbligo della presa di coscienza che la Cybersecurity deve diventare parte integrante diqualsiasi tipologia di trattamento di dati personali.

Solo attraverso un approccio strutturato e organizzato è possibile individuare e gestire irischi che incombono sugli asset e sui processi che trattano dati personali.

La mancanza di un elenco di misure tecniche da adottare deve diventare uno stimolo aripensare la gestione dei trattamenti di dati personali in funzione di un approcciomultidisciplinare.

101/2018 E MISURE MINIME

Con l’introduzione del principio di «Accountability» e dell’approccio basato sul «rischio», il D.lgs101/2018 ha eliminato il concetto di «misura minima (di sicurezza)»

GDPR E CYBERSECURITY -MISURE TECNICHE E ORGANIZZATIVE

Il riferimento a «misure tecniche e organizzative» compare 20 volte all’interno del testoitaliano del GDPR

Art 78 - La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personalirichiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni delpresente regolamento.

Art 5.1 f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione,mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalladistruzione o dal danno accidentali «integrità e riservatezza»

Art 24.1 Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare deltrattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado didimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sonoriesaminate e aggiornate qualora necessario

GDPR E CYBERSECURITYANALISI DEI RISCHI

GDPR E CYBERSECURITY - DA DOVE COMINCIARE? L’ANALISI DEI RISCHI

Il GDPR introduce il concetto di approccio basato sul rischio, con un’accezione diversa,per esempio, dal DPS (dove il focus era l’asset, non l’owner <-> Accountability)

L’analisi dei rischi si «sposta» dagli asset ai risk owner, come il titolare, che diventaaccountable del trattamento dei dati

L’approccio «consigliato» per una successiva integrazione con le norme che vedremo, èl’approccio della norma ISO 31000.

Definizione di rischio (Iso 31000): l’effetto dell’incertezza sugli obiettivi

(l’effetto è la deviazione positiva o negativa rispetto a quanto atteso)

GDPR E CYBERSECURITYISO 31000

La norma ISO 31000, Risk management – Guidelines,

- fornisce i principi, il framework e il processo per la gestione del rischio

- si adatta ad ogni organizzazione indipendentemente dalla dimensione, attività o settore

GDPR E CYBERSECURITY - ISO 31000

Definizione del contesto

Identificazione dei rischi

Analisi dei rischi

Valutazione dei rischi

Trattamento dei rischi

Ris

k A

ssess

me

nt

Comunicazione e

informazioneMonitoraggio e

riesame

Perché utilizzare la ISO 31000 per orientare l’analisi dei rischio richiesta dal GDPR?


- È una norma internazionale

- Viene continuamente valutata e aggiornata

- È integrabile con TUTTE le norme ISO, per esempio:

Information Security Management

System

Privacy

Management System

Iso 27001: Information security Management

System

Iso 29100: Information technology -- Privacy

framework

Iso 27018: Information technology -- Code of

practice for protection of personally identifiable

information (PII) in public clouds acting as PII

processors


practice for personally identifiable information

protection

Iso 29134: Information technology -- Guidelines for

privacy impact assessment

GDPR E CYBERSECURITYTHE BIG PICTURE

GDPR E CYBERSECURITY - PREVIEW

Management System Framework

Risk Management Controls

ISO/IEC 27001: Information Security Management

ISO/IEC 29100: Privacy Framework

ISO/IEC 31000:

Risk Management

ISO/IEC 29100:

Privacy Impact Assessment

ISO/IEC 27002: Code of practice

for information security Controls


for personally identifiable

information protection

GDPR E CYBERSECURITYISO STANDARD

GDPR E CYBERSECURITY


System

Privacy

Management System


System


framework




processors



protection




La norma Iso 27001 è lo standard de-facto per la sicurezza delle informazioni, permette di strutturare e realizzare un sistema di gestione orientato all’analisi, monitoraggio e controllo della sicurezza delle informazioni aziendali.

4 Contesto

dell’organizzazione

5 Leadership

6 Planning

6.1.2 Information Security Risk assessment

6.1.3 Information Security Risk treatment

7 Support

8 Operations

9 Internal Audit

10 Improvement

8.2 Information Security Risk assessment

8.3 Information Security Risk treatment

L’annex A della Iso 27001 contiene una serie di temi da affrontare durantel’implementazione di un sistema di gestione per la sicurezza delle informazioni.Questi temi sono «di processo», tecnici e organizzativi.


A5 Information Security Policy

A6 Organization of IT Security A7 Human resource Security

A8 Asset Management A8 Access Control A10 Cryprography

A11 Physical and

envirmnmental SecurityA12 Operations Security A13 Communication

Security

A14 System Acquisition,

development and maintenanceA15 Supplier

Management

A16 Information Security

Incident Mgmt

A17 Information Security aspect of Business Continuity

ManagementA18 Compliance


A5 Information Security Policy

A6 Organization of IT Security A7 Human resource Security

A8 Asset Management A9 Access Control A10 Cryprography

A11 Physical and

envirmnmental SecurityA12 Operations Security A13 Communication

Security

A14 System Acquisition,

development and maintenanceA15 Supplier

Management

A16 Information Security

Incident Mgmt

A17 Information Security aspect of Business Continuity

ManagementA18 Compliance

Ognuno dei temi affrontati nell’Annex A trova corrispondenza all’interno di uno o piùarticoli del GDPR.

GDPR Iso 27001 - Annex A

Art 5 Principles relating to processing of personal data - Principi applicabili al trattamento di dati personali A18 - Compliance

Art 24 Responsibility of the controller - Responsabilità del titolare del trattamento A5-Security policyA8-Asset Management A12-Operations Management A17-BC ManagementA18-Compliance

Art 25 Data protection by design and by default - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

A12-Operations Management A18-Compliance

Art 28 Processor - Responsabile del trattamento A15-Supplier RelationsA18-Compliance

Art 29 Processing under the authority of the controller or processor - Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento

A6 Organization of IT SecurityA7 Human resource SecurityA18 Compliance

Art 30 Records of processing activities - Registri delle attività di trattamento A8-Asset Management A11-Physical and environmental SecurityA18-Compliance

Art 32 Security of processing - Sicurezza del trattamento A5-Security policyA7-Human resource SecurityA8-Asset Management A9-Access ControlA10-CryprographyA12-Operations Management A13-Communications SecurityA14-System acquisition, development and maintenanceA15-Supplier relationshipA17-BC ManagementA18-Compliance

Art 33 Notification of a personal data breach to the supervisory authority - Notifica di una violazione dei dati personali all'autorità di controllo

A6-Information security incidentmanagementA18-Compliance

Art 34 Communication of a personal data breach to the data subject - Comunicazione di una violazione dei dati personali all'interessato

A6-Information security incident managementA18-Compliance

Art 35 Data protection impact assessment - Valutazione d'impatto sulla protezione dei dati A18-Compliance

Art 36 Prior consultation - Consultazione preventiva A18-Compliance


GDPR E CYBERSECURITY - ENISA

Anche Enisa propone un «approccio ISO 27001» alla conformità delle «misure tecniche eorganizzative» richieste dal GDPR, riassumibile nella seguente tabella.

Inoltre sul sito https://www.enisa.europa.eu/publications sono disponibili numerosi manuali elinee guida di implementazione di controlli tecnici orientati alla Cybersecurity, alcuni dei qualipienamente integrati con il GDPR.

L'Agenzia europea per la sicurezza delle reti e

dell'informazione

(ENISA, European Network and Information Security

Agency)

La missione di ENISA è migliorare la sicurezza informatica e delle reti

di telecomunicazioni dell'Unione europea. L'agenzia deve contribuire

allo sviluppo della cultura della sicurezza delle informazioni e delle

reti a beneficio dei cittadini, dei consumatori, delle imprese e del

settore pubblico europei

https://www.enisa.europa.eu/publications

GDPR E CYBERSECURITY - ENISA

ENISA SME GDPR RECOMMENDED SECURITY CONTROLS Mapping on ISO27001 controls and GDPR provisions

Organizational

Security Measures

Security management

Security policy and procedures for the

protection of personal data

ISO 27001:2013 - A.5 Security policy , art. 32 GDPR, as also complemented

by art. 24 GDPR

Roles and responsibilitiesISO 27001:2013 - A.6.1.1 Information security roles and responsibilities, 32

(4) GDPRs

Access control policyISO 27001:2013 - A.9.1.1 Access control policy, data minimization , art.

5.1(c) GDPR

Resource/asset management ISO 27001:2013 - A.8 Asset management , art. 24 and 32 GDPR

Change managementISO 27001:2013 - A. 12.1 Operational procedures and responsibilities, art.

24 and 32 GDPR

Data processors ISO 27001:2013 - A.15 Supplier relationships , art. 28 and art 32 GDPR

Incidents handling /

Personal data breaches

Incidents handling / Personal databreachesISO 27001:2013 - A.16 Information security incident management, art. 4(12)

art. 33 and art. 34 GDPR

Business continuityISO 27001:2013 - A. 17 Information security aspects of business continuity

management, , art. 24 and 32 GDPR

Human resources

Confidentiality of personnel ISO 27001:2013 - A.7 Human resource security, art. 32 (4) GDPR

TrainingISO 27001:2013 - A.7.2.2 Information security awareness, education and

training, art. 32 (4) GDPR

Technical Security

Measures

Access control and

authenticationISO 27001:2013 - A.9 Access control, art. 32 GDPR

Logging and monitoring ISO 27001:2013 - A.12.4 Logging and monitoring, art. 32 GDPR

Security of data at rest

Server/Database security ISO 27001:2013 - A. 12 Operations security, art. 32 GDPR

Workstation securityISO 27001:2013 - A. 14.1 Security requirements of information systems, art.

32 GDPR

Network/Communication

securityISO 27001:2013 - A.13 Communications Security, art. 32 GDPR

Back-ups ISO 27001:2013 - A.12.3 Back-Up, art. 32 GDPR

Mobile/Portable devices Mobile/Portable devices ISO 27001:2013 - A. 6.2 Mobile devices and teleworking,, art. 32 GDPR

Application lifecycle

security

ISO 27001:2013 - A.12.6 Technical vulnerability management & A.14.2

Security in development and support processes, art. 25 and art. 32 GDPR

Data deletion/disposalISO 27001:2013 - A. 8.3.2 Disposal of media & A. 11.2.7 Secure disposal or

re-use of equipment, art.5.1(c) GDPR

Physical security ISO 27001:2013 - A.11 – Physical and environmental security, art. 32 GDPR



System

Privacy

Management System


System


framework




processors



protection



[…] provides a high-level framework for the protection of personally identifiable information(PII) within information and communication technology (ICT) systems. It is general in natureand places organizational, technical, and procedural aspects in an overall privacyframework.


ISO 29100

Use of this International Standard will:

- aid in the design, implementation, operation, and maintenance of ICT systems that handle and protect PII;

- spur innovative solutions to enable the protection of PII within ICT systems; and

- improve organizations’ privacy programs through the use of best practices.

"privacy by design e privacy by default”


Provide Personal Identifiable informations (PII)

Assuring Required Privacy Security Controls

PII Provider

Privacy

Preferences

Bu

sin

ess

Use

Case

Le

ga

l

Re

qu

ire

me

nts

Privacy

Preferences

Collect

Store

Use

Transfer

Destroy

Privacy

Safeguarding

Controls

Data subject

User

Data Owner ….

PII Receiver

Internal Rules

Issue Privacy Policy

based on requirements

Application provider

Data controller

….



System

Privacy

Management System


System


framework




processors



protection




Iso 29134 gives guidelines for:

• a process on privacy impact assessments, and

• a structure and content of a PIA report.

• It is applicable to all types and sizes of organizations, including public companies,private companies, government entities and not-for-profit organizations.

• This document is relevant to those involved in designing or implementing projects,including the parties operating data processing systems and services that processPII.

ISO 29134 "privacy impact assessment”


- Un metodo strutturato per ladefinizione del privacy Impactassessment

- Un processo sistematico per il riesameperiodico

- Un modello di rapporto per lavalutazione

- Un esempio per la stima degli impatti

- Un elenco di quasi 50 minacce su cuivalutare gli impatti e le probabilità

La norma ISO 29134, basata sulla ISO 31000, descrive:


Workflow diagram of the PII processing



System

Privacy

Management System


System


framework




processors



protection




ISO/IEC 29151:2017 establishes control objectives, controls and guidelinesfor implementing controls, to meet the requirements identified by a riskand impact assessment related to the protection of personally identifiableinformation (PII).

ISO 29134“control objectives, controls and guidelines to meet requirement identified by a risk impact assessment”

In particular, this Recommendation | International Standard specifiesguidelines based on ISO/IEC 27002, taking into consideration therequirements for processing PII that may be applicable within the context ofan organization's information security risk environment(s).

This Recommendation | International Standard is applicable to all typesand sizes of organizations acting as PII controllers (as defined in ISO/IEC29100), including public and private companies, government entities andnot-for-profit organizations that process PII.


Policyies for

the protection of PII

Use, Retention and

dislosure limitation

Secure erasurof

temporary filesPII disclosure

notification

Privacy notice

Redress and

participationPII principal Access

Dissemination of

privacy program

information

Recording of PII

disclosures

Disclosure of sub

contracted PII

processing

Compliant

management

Privacy Risk

Assessment

Privacy monitoring an

d auditing

Privacy requirement

for contractors and

service providers

PII protection awaren

ess and training

PII protection

reportind

Continuous

improvement

Cross border data

transfer restrincion in

certain jurisdictions

Lo standard è basato sulle linee guida della

ISO/IEC 27002 e recepisce oltre 110

controlli della ISO/IEC 27001,

aggiungendone altri specifici.

GDPR E CYBERSECURITY - OVERVIEW

Management System Framework

Risk Management Controls

ISO/IEC 27001: Information Security Management

ISO/IEC 29100: Privacy Framework

ISO/IEC 31000:

Risk Management

ISO/IEC 29100:

Privacy Impact Assessment


for information security Controls


for personally identifiable

information protection

GDPR E CYBERSECURITY – ISO 27018


System

Privacy

Management System


System


framework




processors



protection




Iso 27018 establishes commonly accepted control objectives, controls and

guidelines for implementing measures to protect Personally Identifiable

Information (PII) in accordance with the privacy principles in ISO/IEC 29100 for

the public cloud computing environment.

In particular, Iso 27018 specifies guidelines based on ISO/IEC 27002, taking

into consideration the regulatory requirements for the protection of PII which

might be applicable within the context of the information security risk

environment(s) of a provider of public cloud services.


Estende i controlli della ISO 27002, in conformità con la ISO 29100, per

integrare un sistema di gestione della sicurezza delle informazioni (ISO 27001)

orientato alla fornitura di servizi cloud.


Alcuni controlli tecnico/organizzativi

DOMANDE?

gdpr e cybersecurity organizzazione e controlli 10.10.2018 dott derossi... · mediante misure...

Documents