Embed Size (px)
Citation preview
Misure di sicurezza e
protezione dei dati personali:GDPR e ISO27001 si
incontrano
Gloria Marcoccio e Matteo Indennimeo
General Data Protection Regulation (GDPR)
Diversificate misure per trasferimenti dati extra UE
Aumento degli Obblighi per Titolari e Responsabili
Aumentate azioni di controllo, Sanzioni
Bollino blu privacy
Armonizzazione leggi privacy europee, Ambito ampliato
Rafforzati i diritti degli Interessati
EU regulation 2016/679
GDPR: i principali Articoli relativi alla sicurezza
3
Article 5 Principles relating to processing of personal data (5.1.f)
Article 24 Responsibility of the controller (24.1, 24.2)
Article 25 Data protection by design and by default
Article 28 Processor
Article 29 Processing under the authority of the controller or processor
Article 30 Records of processing activities
Article 32 Security of processing
Article 33 Notification of a personal data breach to the supervisory authority
Article 34 Communication of a personal data breach to the data subject
Article 35 Data protection impact assessment
Article 36 Prior consultation
Main Relevant ISO standard
4
Privacy
Management System
ISO/IEC 29100: Privacy
Framework
ISO/IEC 29134: Privacy Impact
Assessment
Information Security
Management System
ISO/IEC 27001: Information
Security Management System
ISO/IEC 27005: Information
Security Risk Management
BS 10012:2017 (issued in March)
Data protection – Specification for a
personal information management
system
Le classi di requisiti IS027001
5
4 Context of the organization
5 Leadership
6 Planning
7 Support
8 Operation
9 Internal Audit
10 Improvement
6.1.2 Information security risk assessment6.1.3 Information security risk treatment
8.2 Information security risk assessment 8.3 Information security risk treatment
Impostazione di generale corrispondenza tra requisiti di sicurezza GDPR e le clausole ISO270001
in particolare con
ISO27001: uno sguardo ai controlli
6
A5 - Information security policies
A6- Organization of information security
A7 - Human resource security
A8 - Asset management A9 - Access control A10 - Cryptography
A11 - Physical and environmental security
A12 - Operations security A13 - Communications security
A14 - System acquisition, development and
maintenance
A16 - Information security incident management
A17 - Information security aspects of business continuity management
A18 - Compliance
A15 - Supplier relationships
GDPR &ISO27001: principali corrispondenze
7
Article 5 Principles relating to processing of personaldata (5.1.c, 5.1.f)
All the ISO27001 controls as applicable
A18 ComplianceArticle 24 Responsibility of the controller (24.1, 24.2) A5 Security Policy, A8 Asset Mngt, A12 Operations Security, A17
Business Continuity, 18 ComplianceArticle 25 Data protection by design and by default A12 Operations Secuirty, A18 ComplianceArticle 28 Processor A15 Supplier Relationships, A18 ComplianceArticle 29 Processing under the authority of thecontroller or processor
A6 Organization of information security, A7Human resource security,A18 Compliance
Article 30 Records of processing activities A8 Asset management, A18 ComplianceArticle 32 Security of processing A5 Security Policy, A6 Human resource security, A7Human resource
security, A8 Asset Mngt, A9 Access control, A10 Cryptography, A11Physical and environmental security, A12 Operations security, A13Communications security, A14 System acquisition, development andmaintenance, A15 Supplier Relationships, A17 Information securityaspect of business continuity management, A18 Compliance
Article 33 Notification of a personal data breach tothe supervisory authority
Article 34 Communication of a personal data breachto the data subject
A16 Information security incident management, A18 Compliance
Article 35 Data protection impact assessment
Article 36 Prior consultation
A18 Compliance
ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001
8
Guidelines for SMEs on the security
of personal data processing - December
2016
Le piccole e medie imprese (SME): 99% delle imprese UE
Al centro delle iniziative promosse dalla Commissione Europea:
‘Digital Single Market Strategy for Europe’
di cui il GDPR è parte
ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001
9Tutele e misure di sicurezza: GDPR vs Controlli ISO27001
Definire il contesto del trattamento dati
Identificare le minacce per la sicurezza dei dati
Calcolare i rischi (impatti per gli individui)
Selezionare le misure adeguate
Implementare e manutenere le misure
ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001
10
ENISA SME GDPR RECOMMENDED SECURITY CONTROLS#
controls Mapping on ISO27001 controls and GDPR provisions
Organizationalsecurity
measures
Security management
Security policy and procedures for the protection of personal data
6 ISO 27001:2013 - A.5 Security policy , art. 32 GDPR, as also complemented by art. 24 GDPR
Roles and responsibilities 5 ISO 27001:2013 - A.6.1.1 Information security roles and responsibilities, 32 (4) GDPRs
Access control policy 4 ISO 27001:2013 - A.9.1.1 Access control policy, data minimization , art. 5.1(c) GDPR
Resource/asset management 4 ISO 27001:2013 - A.8 Asset management , art. 24 and 32 GDPR
Change management 3 ISO 27001:2013 - A. 12.1 Operational procedures and responsibilities, art. 24 and 32 GDPR
Data processors 5 ISO 27001:2013 - A.15 Supplier relationships , art. 28 and art 32 GDPR
Incidents handling / Personal data breaches
Incidents handling / Personal data breaches
4 ISO 27001:2013 - A.16 Information security incident management, art. 4(12) art. 33 and art. 34 GDPR
Business continuity 4 ISO 27001:2013 - A. 17 Information security aspects of business continuity management, , art. 24 and 32 GDPR
Human resourcesConfidentiality of personnel 3 ISO 27001:2013 - A.7 Human resource security, art. 32 (4) GDPR
Training 3 ISO 27001:2013 - A.7.2.2 Information security awareness, education and training, art. 32 (4) GDPR
Technical security
measures
Access control and authentication
8ISO 27001:2013 - A.9 Access control, art. 32 GDPR
Logging and monitoring 5 ISO 27001:2013 - A.12.4 Logging and monitoring, art. 32 GDPR
Security of data at restServer/Database security 6 ISO 27001:2013 - A. 12 Operations security, art. 32 GDPR
Workstation security 9 ISO 27001:2013 - A. 14.1 Security requirements of information systems, art. 32 GDPR
Network/Communicationsecurity 6
ISO 27001:2013 - A.13 Communications Security, art. 32 GDPR
Back-ups 9 ISO 27001:2013 - A.12.3 Back-Up, art. 32 GDPR
Mobile/Portable devices Mobile/Portable devices 9 ISO 27001:2013 - A. 6.2 Mobile devices and teleworking,, art. 32 GDPR
Application lifecyclesecurity
9ISO 27001:2013 - A.12.6 Technical vulnerability management & A.14.2 Security in development and support processes, art. 25 and art. 32 GDPR
Data deletion/disposal 6 ISO 27001:2013 - A. 8.3.2 Disposal of media & A. 11.2.7 Secure disposal or re-use of equipment, art.5.1(c) GDPR
Physical security 8 ISO 27001:2013 - A.11 – Physical and environmental security, art. 32 GDPR
In termini di standard… Le Minime Misure di Sicurezza per la Pubblica Amministrazione
11Tutele e misure di sicurezza: GDPR vs Controlli ISO27001
Obiettivo
indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottare al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i lorosistemi informativi
AGID – Agenzia per l’Italia Digitale
Attuazione delle misure minime a cura del responsabile dei sistemi informativi o in sua assenza, del dirigente allo scopo designato.
Modulo di implementazione delle MMS-PALe modalità con cui ciascuna misura è implementata debbono essere sinteticamente riportate nel modulo di implementazione di cui all’allegato 2 della Circolare, firmato digitalmente con marcatura temporale,conservato e, in casodi incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.
Tempi di attuazioneEntro il 31 dicembre 2017 le amministrazioni dovranno attuare gli adempimenti di cui agli articoli precedenti.
Panoramica delle Minime Misure di Sicurezza per la Pubblica Amministrazione
12
Amministrazioni destinatarie: le pubbliche amministrazioni di cui all’art. 1, comma 2, del decretolegislativo 30 marzo 2001, n. 165.
tutte le amministrazioni dello Stato,
ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative,
le aziende ed amministrazioni dello Stato ad ordinamento autonomo,
le Regioni, le Province, i Comuni, le Comunita' montane. e loro consorzi e associazioni,
le istituzioni universitarie, gli Istituti autonomi case popolari,
le Camere di commercio, industria, artigianato e agricoltura e loro associazioni,
tutti gli enti pubblici non economici nazionali, regionali e locali,
le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale.
Fonte essenziale delle Misure Minime per le PASANS 20 CIS Critical Security Controls for Effective Cyber Defense - versione 6.0 di ottobre 2015
Nel settore dei Servizi di Pagamento Elettronici….
• 23/2/2017 - European Banking Authority (EBA) pubblica la versione finale delle EBA/RTS/2017/02 "Draftregulatory technical standards (RTS) on strong customer authentication and common and securecommunication under Directive 2016/2366 (PSD2)“
PSD2: DIRETTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno
EBA: In base alla PSD2 è incaricata di definire le specifiche tecniche delle misure di sicurezza richieste
EBA RTS: saranno definitivamente emesse dalla Commissione Europea come Regolamento e come tali direttamente applicabili in tutti i Paesi Membri
13Le misure di sicurezza strong customer authentication nei servizi di pagamenti elettronici (EBA RTS - GDPR)
Ultimissime pubblicazioni EBA in tema di sicurezzaEBA/CP/2017/04 - 05 May 2017 - Consultation Paper
Draft Guidelines on the security measures for operational and security risks of payment services under PSD2
EBA/CP/2017/06 - 17/05/2017 - Consultation Paper
Draft recommendations on outsourcing to cloud service providers under Article 16 of Regulation (EU) No 1093/20101
14Le misure di sicurezza strong customer authentication nei servizi di pagamenti elettronici (EBA RTS - GDPR)
Matteo Indennimeo - BD MANAGER SDDC – Aditinet Consulting SpA
Dalla normativa alla pratica – Zero Trust Network
IT Architecture was designed to run Hyper-connected compute based workloads, but NOT to secure them…
16
App
Services
DB
DMZ
Lateral Movement
Comingled and Inconsistent Policy
Context – Isolation: where to apply security?
17
• Lack application context
• Isolation from the attack surface
Network Control Points Endpoint Control Points
• Great context
• No Isolation from the attack surface
The “Goldilocks Zone” of security – Context & Isolation
25
Too Hot Too Cold
An Architecture to Enable a Zero Trust Netowork Security Model
All resources are accessed in a secure manner regardless
of location.
Location
Encryption
Access control is on a “need-to-know” basis and is strictly
enforced.
Access
LeastPrivilege
Inspect and log all traffic.
Inspect
Visibility
The network is designed from the
inside out.
Applications
MicroSegmentation
Verify and NEVER Trust
19
Ubiquitous Enforcement, Universal Control & Visibility
Distributed Network Encryption
• Protect the confidentiality and integrity of the data flowing through the network.
21
App
OS
Security
Secure
Vaulting
Secure
Attestation
Secure Context
Remediation
Isolation / Least Privilege
Detect / Respond
Virtual Enclave• A secure point of
presence between the guest and the network
22
Breaking the Cyber Kill Chain
Intrusion Propagation Extraction Exfiltration
Attack Vector / Malware
Delivery Mechanism
Entry Point Compromise
Escalate Privileges
Install C2* Infrastructure
Lateral Movement
Break Into Data Stores
Network Eavesdropping
App Level Extraction
Parcel & Obfuscate
Exfiltration
Cleanup
25
Secure and Encrypted
Access
Least Privilege
MicroSegmentation
VisibilityLogging
DistributedNetwork
EncryptionVirtualEnclave
GRAZIE
