DSGVO: Keine Angst vor TOMs - wko.at · 03.04.2019 3 Daten Firmen-kritische Daten Personen-bezogene...
Transcript of DSGVO: Keine Angst vor TOMs - wko.at · 03.04.2019 3 Daten Firmen-kritische Daten Personen-bezogene...
03.04.2019
1
DSGVO: Keine Angst vor TOMs
4. April 2019
Prof. Mag. Dr. Manfred WöhrlAllgemein beeideter und gerichtlich zertifizierter
Sachverständiger für Informationstechnikund zertifizierter Datenschutzbeauftragter
Universitätä Wien(Experimentalphysik)
Versuchsanstalt fürDatenverarbeitung
(HTL-Spengergasse)
R.I.C.S. EDV-GmbH(Research Institute for Computer Science)
BigData
Internet IoT
Security
Cloud
BCM
Digital Society(NGO)
Networking
Prof. Mag. Dr. Manfred Wöhrl AustrianStandards
ASI
EU-DSGVO
SV
1
2
03.04.2019
2
Ziel der DSGVO: Der Schutz der Betroffengegen Verletzungen deren persönlichen Rechte und Freiheiten
TOMs
Rechtliche Fragen
Wie setze ichdiese in derPraxis um ?
3
4
03.04.2019
3
Daten
Firmen-kritische
Daten
Personen-bezogene
Daten
SensibleDaten • Rassische und ethnische Herkunft
• Politische Meinungen• Religiöse Überzeugungen• Weltanschauliche Überzeugungen• Gewerkschaftszugehörigkeit• Genetischen Daten• Biometrischen Daten • Gesundheitsdaten• Daten zum Sexualleben• Sexuellen Orientierung
Artikel9
Minimalprinzip
Datenverarbeiter müssen ihre Produkte und Dienste durch Technik und entsprechende
Voreinstellungen datenschutzkonform ausgestalten damit personenbezogene Daten nur im
erforderlichen Umfang gesammelt und verarbeitet werden.
Zweck
Ermittlung und Verarbeitung unbedingt notwendiger persönlicher Daten
Berechtigung
Für den jeweiligen Zweck muß gemäß DSGVO eine Berechtigung für die Speicherung, Verarbeitung und Weitergabe bestehen.
Speicherdauer
Speicherung nur für unbedingt notwendige Mindestdauer
5
6
03.04.2019
4
VerfahrenZyklische Überprüfung
PDCA – Plan-Do-Check-Act
Rechtmäßigkeitder Verarbeitung
Dokumentation:Verarbeitungs-
Verzeichnis
DSFA notwendig?
TOMs:Technische &OrganisatorischeMaßnahmen
Date
nve
rarbe
itun
gexte
rn
Auftrags-verarbeitung
Drittstaaten-Übermittlung
Rechte derBetroffenenbeachtet ?
Abbildung auf Prozesse
TOMs
TOMs
Protokoll
Umsetzung des Verfahrens intern
Sicherheit der Verarbeitung
Betroffene
(B)
(V)
Verantwortliche(AV) Auftragsverarbeiter
Personen-bezogene
Daten
schriftlich
Art.28 Abs.9
TOMs
TOMs
Meldung
Check
7
8
03.04.2019
5
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes
personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das
Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm
beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
„Three can keep a secretif two of them are dead.“- Benjamin Franklin
„Absolute Informationssicherheitist und bleibt eine Illusion.“- Manfred Wöhrl
„There are only two types of companies – thosethat have been hacked and those that will be.“- Robert Müller, ehemaliger FBI-Direktor
Hacker
User
Systeme
Was ist zu tun?
9
10
03.04.2019
6
Sicherheit
Aufwand / Kosten BenutzbarkeitRentabilität
Verfügbarkeit
Die richtige Balance entscheidet über den Erfolg
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Artikel32
11
12
03.04.2019
7
▪ Risiken berücksichtigen
➢ angemessenens Schutzniveau für die Verarbeitung
➢ personenbezogenen Daten, die ➢ übermittelt ➢ gespeichert ➢ auf andere Weise verarbeitet werden
➢ Speziell beachten
➢ Vernichtung➢ Verlust➢ Veränderung➢ unbefugte Offenlegung➢ unbefugter Zugang. DSMS
DSMS: Datenschutzmanagementsystem
Artikel32
▪ Pseudonymisierung und Verschlüsselung ➢ personenbezogener Daten
▪ Sicherstellen auf Dauer für die Systeme & Dienste➢ Vertraulichkeit➢ Integrität➢ Verfügbarkeit➢ Belastbarkeit
▪ Rasche Wiederherstellung der Verfügbarkeit➢ nach einem physischen oder technischen Zwischenfall
▪ Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit regelmäßig➢ Überprüfen➢ Bewerten➢ Evaluieren der Wirksamkeit der technischen und organisatorischen
Maßnahmen
Artikel32
13
14
03.04.2019
8
Quelle :
➢ Reliability = Zuverlässigkeit
❖Betriebssicherheit
❖Ausfallsicherheit
❖Funktionssicherheit
In der IT-Security wird oft vernachlässigt:
Safety
→ Strategie !
Information• Ausbildung• Weiterbildung• Belehrung
• Gesetze• Compliance
Awareness
• Zugriffskontrolle• Zutrittskontrolle• Backup/Restore• Monitoring• Logging
• Firewall• IDS/IPS• VPN• Encryption
Organisation
Technik
Organisation
15
16
03.04.2019
9
KontrolleTOMs
Adaptierung
Maßnahmen-
umsetzung
WirksamkeitM
aß
na
hm
en
-
au
sw
ah
l
Ris
iko
-
an
aly
se
key performance indicators
key risk indicators
reaktiv
proaktiv
z.B. Logging
z.B. Auditing
“early warning indicator”
KRIs bieten die Möglichkeit für einproaktives strategisches Risikomanagement
KPI und KRI
Nachweis der
Wirksamkeitvon Maßnahmen(TOMs).
Pflicht zurRechenschaft
17
18
03.04.2019
10
„Setzen Sie bitte sofort ihr Passwort auf A3141, wir müssen einen Systemcheck durchführen! Ihr Systemadministrator.“
APR 2018 JUN 2018 JUL 2018
Durchgeführt Mitarbeiter Durchgeführt von 33% Schulung von 13%
Das Zauberwort:
19
20
03.04.2019
11
C: D:SystemPartition
DatenPartition
Crypted
Performance & Security
Container-Files/Encrypted
Files
C:
S:„Mount"
„Dismount"APP
21
22
03.04.2019
12
Container-Files/Encrypted
Files
C:
Sicheres Backup
kopieren
Container-Files/Encrypted
Files
C:
SecureCloud
Synchronisieren
Backup
23
24
03.04.2019
13
BitLockerFull disk encryption feature
Beinhaltet in Windows seit Vista
Die Entwicklung von TrueCrypt endete 5/2014
Warum migrieren?• Eventuelle bugs• Keine weiteren Updates
http://www.cvedetails.com/
Die organisatorische Basis:
25
26
03.04.2019
14
• Richtlinien vorgeben
• Verantwortung / Kompetenzen regeln
• Schulung / Einweisung der Mitarbeiter
• Klassifizierung von Information und Daten
• Maßnahmen entsprechend der Klassifizierung
• Aufrechthalten der Geschäftsfähigkeit
• Einhaltung gesetzlicher und selbst auferlegter Richtlinien / Verordnungen (Compliance)
• User-Policyz.B.:Umgang mit Daten und Rechnern
• Guidlinesz.B.„Umgang mit den Systemen und dem QM“
• Prozedurenz.B. Backup, Incident-Reporting
• Checklistenz.B.Konfigurations-Daten, Lizenzdaten
• Trainingz.B. Verhalten bei Virenbefall, PDA/Notebook-Verlust
Eine Policy ist nie komplett, sie ist eine phasenorientierte, zyklische Annäherung
an ein optimales Management .
27
28
03.04.2019
15
Definierter
InputProzess
Aufgabe 1
Aufgabe 2
Mitarbeiter 1
Rolle 1 Rolle 2
Mitarbeiter 1 Mitarbeiter 2
Definierter
Ouput
• Zeitabstimmung (Urlaubsregelung…)• Rollenwechsel• Zyklische Überprüfung• Risikominimierung gegen Ausfall
Vertreter-Regelung
Bedarfsorientiert
Zielorientiert
planen…→Welche personenbezogenen Daten brauchen Sie für die
unmittelbare nächste Aufgabe.• Geöffnete Dateien• Dokumente am Arbeitsplatz
pausieren…→Keine personenbezogene Daten auf dem Schreibtisch zurücklassen
• Passwortgeschützter Bildschirmschoner• Auto-Logoff
packen…→Am Ende eines Arbeitstages/in der Freizeit/im Urlaub keinesfalls
personenbezogene Daten frei verfügbar am Arbeitsplatz zurücklassen• Ablage in einem verschlossenen Fac• Herunterfahren des Arbeitsplatzrechner• Papierkörbe prüfen• Aktenvernichter mit Cross-Cut
29
30
03.04.2019
16
TIPP:Mittels E-Zustellung können Sie vertrauliche Nachrichten und Dokumente elektronisch,einfach und schnell wie per E-Mail, aber viel sicherer, versenden und empfangen.
https://www.wko.at/Content.Node/kampagnen/e-zustellung/start.html
• Sichere Übertragung per Public/Privat-Keytechnik oder Zertifikaten• Alternative: Webserver upload - download
• Keine Personenbezogene Daten frei lesbar versenden• Attachments: verschlüsseln
• Problem: Free-Mailer
DSGVO & Mobilität
Mobile-Device-Management (MDM)
Risiko:• Diebstahl (aus dem PKW?)
• Verlust (vergessen im Zugsabteil ?)
• Fremder Zugriff (Familienmitglieder ?)
• Service (Einsendung zum Hersteller)
• Übergabe an Mitarbeiter
• Entsorgung
• BYOD !!
…….
MDM:
• Datenverschlüsselung
• Fernortung
• Fernsperrung
• Fernlöschung
• Remote AdministrationContainer?
SMS
Internet
31
32
03.04.2019
17
TOMs: Wie konkret ?
Audit: konkret, je nach
Möglichkeit, Vertrag und NDA
Auftrag
AuftragsverarbeiterUnternehmen
(Verantwortlicher)
Betroffene
33
34
03.04.2019
18
Daten
Firmen-kritische
Daten
Personen-bezogene
Daten
SensibleDaten
Von den DSGVO-TOMszu allgemeinen TOMsfür ALLE Daten, die inIT-Prozessen verwendetWerden!
?
Gemäß OGH stellen Normen den Stand der Technik dar unter Berücksichtigung des Geltungsbereiches, v.a. auch zeitlich gesehen, sofern sie nicht durch eine gesetzliche Regelung allgemein verpflichtend sind.
DSGVOArt.32
35
36
03.04.2019
19
CEN is one of three European Standardization Organizations (together with CENELEC and ETSI) being responsible for developing and defining voluntary standards at European level.CEN: Comité Européen de NormalisationCENELEC: Comité Européen de Normalisation ÉlectrotechniqueETSI: European Telecommunications Standards Institute
International ElectrotechnicalCommission
International Organization forStandardization
• ISO 27000 Overview & Terminology• ISO 27001 Requirements• ISO 27002 Code of practice for information security controls• ISO 27003 Implementing information security management systems• ISO 27004 Security techniques -- Information security management –
Monitoring, measurement, analysis and evaluation• ISO 27005 Security techniques -- Information security risk management
DRAFT INTERNATIONAL STANDARD ISO/IEC DIS 27552
Normentwurf ISO/IEC „Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirementsand guidelines“
Voting: 20.3.2019
37
38
03.04.2019
20
ÖNORM A 2017 DSMS: in statu nascendiDatenschutz-Management-System
Die Basis ist überall ein Managementsystem
ISO-9000 ISO-14000 ISO-19500 ISO-22300 ISO-27000 ISO 31000 EU-DSGVO
Die letzte Großrevision der ISO 9001 im Jahr 2015 führte nicht nur zu deutlichen inhaltlichen Erweiterungen der Norm, sondern auch zu einer gänzlich neuen Struktur. So wurde die ISO
9001:2015 erstmalig nach der High Level Structure (HLS) gegliedert. Dabei handelt es
sich um eine spezifische Gliederung von Normabschnitten, nach der künftig auch die Normen zu anderen Managementsystemen aufgebaut sind.
ISO-19500 Compliance Management Systeme http://highlevelstructure.com/hls/
„Nicht die Normen per se sind vorerst wichtig, sondern das, was sie uns sagen wollen!“
Normen und Standards stellen eine Sammlung von Erfahrungen dar, die Experten in jahrelanger Arbeit zusammengetragen haben. Auf diesem Erfahrungsschatz sollte man aufbauen, die wesentlichen Punkte, die einen persönlich und im Unternehmen betreffen herausarbeiten und somit in Anlehnung an diese Normen und Standards vorgehen. Eine Zertifizierung im Bedarfsfall sollte nur mehr das i-Tüpfelchen auf dem I sein..
- Zitat: Manfred Wöhrl -
39
40
03.04.2019
21
➢ Security by Design
➢ Informationssicherheit → In allen Prozess vom Anfang an
➢ Standards verwenden, wenn möglich: „Good Practice“
➢ Hersteller/Integrator/Betreiber → Security für ALLE
➢ Sichere Kommunikationswege und Zusammenarbeit
➢ „Kritische Infrastrukturen“ nicht mit dem Internet verbinden
➢ Segementieren/Zoning – „Defence in Depth“
➢ Überwachung aller Systeme
➢ Mitarbeiterschulung/Ausbildung/Weiterbildung
➢ Bei Bedarf Spezialisten hinzuziehen
➢ Datenschutz IST Teil der Informationssicherheit
„Nach Umsetzen der TOMs ist meinUnternehmen jetztauch besser gegenAngriffe geschützt!“
„Jetzt durchschaue ich die Abläufe imUnternehmen vielklarer!“
41
42
03.04.2019
22
Bundessparte Information und Consulting
→ IT-Sicherheitshandbücher
https://media.wko.at/epaper/Leitfaden-Sicherheitsmassnahmen-DSGVO/#0
Initiative:
→ Seminar DSGVO: Datensicherheitsmaßnahmen in der Praxis
https://seminare.austrian-standards.at/detail/55949/
Prof. Mag. Dr. Manfred Wöhrl
R.I.C.S.EDV-GmbHSchönbrunner Schloßstr. 5/1
A-1120 Wien
Sie haben Fragen ?
Wir haben die Antwort !
Termine:JAN2019: it-safe Leitfaden zu TOMs(WKO-E-Book)FEB+JUN2019: 1-tägiges TOMs-Seminar(Austrian-Standards)
43
44