Misure di sicurezza e protezione dei dati personali: GDPR e ISO27001 si incontrano Gloria Marcoccio e Matteo Indennimeo
General Data Protection Regulation (GDPR) Armonizzazione leggi privacy europee, Ambito ampliato Diversificate misure per trasferimenti dati extra UE Aumento degli Obblighi per Titolari e Responsabili EU regulation 2016/679 Aumentate azioni di controllo, Sanzioni Bollino blu privacy Rafforzati i diritti degli Interessati
GDPR: i principali Articoli relativi alla sicurezza Article 5 Principles relating to processing of personal data (5.1.f) Article 24 Responsibility of the controller (24.1, 24.2) Article 25 Data protection by design and by default Article 28 Processor Article 29 Processing under the authority of the controller or processor Article 30 Records of processing activities Article 32 Security of processing Article 33 Notification of a personal data breach to the supervisory authority Article 34 Communication of a personal data breach to the data subject Article 35 Data protection impact assessment Article 36 Prior consultation 3
Main Relevant ISO standard Information Security Management System Privacy Management System ISO/IEC 27001: Information Security Management System ISO/IEC 29100: Privacy Framework ISO/IEC 27005: Information Security Risk Management ISO/IEC 29134: Privacy Impact Assessment BS 10012:2017 (issued in March) Data protection Specification for a personal information management system 4
Impostazione di generale corrispondenza tra requisiti di sicurezza GDPR e le clausole ISO270001 Le classi di requisiti IS027001 10 Improvement 9 Internal Audit 8 Operation 6 Planning 7 Support in particolare con 8.2 Information security risk assessment 8.3 Information security risk treatment 4 Context of the organization 5 Leadership 6.1.2 Information security risk assessment 6.1.3 Information security risk treatment 5
ISO27001: uno sguardo ai controlli A5 - Information security policies A6- Organization of information security A7 - Human resource security A8 - Asset management A9 - Access control A10 - Cryptography A11 - Physical and environmental security A12 - Operations security A13 - Communications security A14 - System acquisition, development and maintenance A15 - Supplier relationships A16 - Information security incident management A17 - Information security aspects of business continuity management A18 - Compliance 6
GDPR &ISO27001: principali corrispondenze Article 5 Principles relating to processing of personal data (5.1.c, 5.1.f) All the ISO27001 controls as applicable A18 Compliance Article 24 Responsibility of the controller (24.1, 24.2) A5 Security Policy, A8 Asset Mngt, A12 Operations Security, A17 Business Continuity, 18 Compliance Article 25 Data protection by design and by default A12 Operations Secuirty, A18 Compliance Article 28 Processor A15 Supplier Relationships, A18 Compliance Article 29 Processing under the authority of the controller or processor A6 Organization of information security, A7Human resource security, A18 Compliance Article 30 Records of processing activities Article 32 Security of processing Article 33 Notification of a personal data breach to the supervisory authority Article 34 Communication of a personal data breach to the data subject Article 35 Data protection impact assessment Article 36 Prior consultation A8 Asset management, A18 Compliance A5 Security Policy, A6 Human resource security, A7Human resource security, A8 Asset Mngt, A9 Access control, A10 Cryptography, A11 Physical and environmental security, A12 Operations security, A13 Communications security, A14 System acquisition, development and maintenance, A15 Supplier Relationships, A17 Information security aspect of business continuity management, A18 Compliance A16 Information security incident management, A18 Compliance A18 Compliance 7
ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001 Guidelines for SMEs on the security of personal data processing - December 2016 Le piccole e medie imprese (SME): 99% delle imprese UE Al centro delle iniziative promosse dalla Commissione Europea: Digital Single Market Strategy for Europe di cui il GDPR è parte 8
ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001 Definire il contesto del trattamento dati Implementare e manutenere le misure Identificare le minacce per la sicurezza dei dati Selezionare le misure adeguate Calcolare i rischi (impatti per gli individui) Tutele e misure di sicurezza: GDPR vs Controlli ISO27001 9
ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001 ENISA SME GDPR RECOMMENDED SECURITY CONTROLS Security policy and procedures for the protection of personal data # controls Mapping on ISO27001 controls and GDPR provisions 6 ISO 27001:2013 - A.5 Security policy, art. 32 GDPR, as also complemented by art. 24 GDPR Roles and responsibilities 5 ISO 27001:2013 - A.6.1.1 Information security roles and responsibilities, 32 (4) GDPRs Organizational security measures Security management Incidents handling / Personal data breaches Human resources Access control policy 4 ISO 27001:2013 - A.9.1.1 Access control policy, data minimization, art. 5.1(c) GDPR Resource/asset management 4 ISO 27001:2013 - A.8 Asset management, art. 24 and 32 GDPR Change management 3 ISO 27001:2013 - A. 12.1 Operational procedures and responsibilities, art. 24 and 32 GDPR Data processors 5 ISO 27001:2013 - A.15 Supplier relationships, art. 28 and art 32 GDPR Incidents handling / Personal data breaches 4 ISO 27001:2013 - A.16 Information security incident management, art. 4(12) art. 33 and art. 34 GDPR Business continuity 4 ISO 27001:2013 - A. 17 Information security aspects of business continuity management,, art. 24 and 32 GDPR Confidentiality of personnel 3 ISO 27001:2013 - A.7 Human resource security, art. 32 (4) GDPR Training 3 ISO 27001:2013 - A.7.2.2 Information security awareness, education and training, art. 32 (4) GDPR Technical security measures Access control and authentication Logging and monitoring Security of data at rest 8 ISO 27001:2013 - A.9 Access control, art. 32 GDPR 5 ISO 27001:2013 - A.12.4 Logging and monitoring, art. 32 GDPR Server/Database security 6 ISO 27001:2013 - A. 12 Operations security, art. 32 GDPR Workstation security 9 ISO 27001:2013 - A. 14.1 Security requirements of information systems, art. 32 GDPR Network/Communication ISO 27001:2013 - A.13 Communications Security, art. 32 GDPR security 6 Back-ups 9 ISO 27001:2013 - A.12.3 Back-Up, art. 32 GDPR Mobile/Portable devices Mobile/Portable devices 9 ISO 27001:2013 - A. 6.2 Mobile devices and teleworking,, art. 32 GDPR Application lifecycle security 9 ISO 27001:2013 - A.12.6 Technical vulnerability management & A.14.2 Security in development and support processes, art. 25 and art. 32 GDPR Data deletion/disposal 6 ISO 27001:2013 - A. 8.3.2 Disposal of media & A. 11.2.7 Secure disposal or re-use of equipment, art.5.1(c) GDPR Physical security 8 ISO 27001:2013 - A.11 Physical and environmental security, art. 32 GDPR 10
In termini di standard Le Minime Misure di Sicurezza per la Pubblica Amministrazione Obiettivo indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottare al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi AGID Agenzia per l Italia Digitale Attuazione delle misure minime a cura del responsabile dei sistemi informativi o in sua assenza, del dirigente allo scopo designato. Modulo di implementazione delle MMS-PA Le modalità con cui ciascuna misura è implementata debbono essere sinteticamente riportate nel modulo di implementazione di cui all allegato 2 della Circolare, firmato digitalmente con marcatura temporale,conservato e, in caso di incidente informatico, trasmesso al CERT- PA insieme con la segnalazione dell incidente stesso. Tempi di attuazione Entro il 31 dicembre 2017 le amministrazioni dovranno attuare gli adempimenti di cui agli articoli precedenti. Tutele e misure di sicurezza: GDPR vs Controlli ISO27001 11
Panoramica delle Minime Misure di Sicurezza per la Pubblica Amministrazione Amministrazioni destinatarie: le pubbliche amministrazioni di cui all art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165. tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunita' montane. e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale. Fonte essenziale delle Misure Minime per le PA SANS 20 CIS Critical Security Controls for Effective Cyber Defense - versione 6.0 di ottobre 2015 12
Nel settore dei Servizi di Pagamento Elettronici. 23/2/2017 - European Banking Authority (EBA) pubblica la versione finale delle EBA/RTS/2017/02 "Draft regulatory technical standards (RTS) on strong customer authentication and common and secure communication under Directive 2016/2366 (PSD2) PSD2: DIRETTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno EBA: In base alla PSD2 è incaricata di definire le specifiche tecniche delle misure di sicurezza richieste EBA RTS: saranno definitivamente emesse dalla Commissione Europea come Regolamento e come tali direttamente applicabili in tutti i Paesi Membri Le misure di sicurezza strong customer authentication nei servizi di pagamenti elettronici (EBA RTS - GDPR) 13
Ultimissime pubblicazioni EBA in tema di sicurezza EBA/CP/2017/04-05 May 2017 - Consultation Paper Draft Guidelines on the security measures for operational and security risks of payment services under PSD2 EBA/CP/2017/06-17/05/2017 - Consultation Paper Draft recommendations on outsourcing to cloud service providers under Article 16 of Regulation (EU) No 1093/20101 Le misure di sicurezza strong customer authentication nei servizi di pagamenti elettronici (EBA RTS - GDPR) 14
Dalla normativa alla pratica Zero Trust Network Matteo Indennimeo - BD MANAGER SDDC Aditinet Consulting SpA
16 IT Architecture was designed to run Hyper-connected compute based workloads, but NOT to secure them Lateral Movement Comingled and Inconsistent Policy DMZ App DB Services
Context Isolation: where to apply security? Network Control Points Endpoint Control Points Lack application context Isolation from the attack surface Great context No Isolation from the attack surface 17
The Goldilocks Zone of security Context & Isolation Too Hot Too Cold 25
An Architecture to Enable a Zero Trust Netowork Security Model Location Access Inspect Applications All resources are accessed in a secure manner regardless of location. Access control is on a need-to-know basis and is strictly enforced. Inspect and log all traffic. The network is designed from the inside out. Encryption Least Privilege Visibility Micro Segmentation Verify and NEVER Trust 19
Ubiquitous Enforcement, Universal Control & Visibility
Distributed Network Encryption Protect the confidentiality and integrity of the data flowing through the network. 21
Virtual Enclave A secure point of presence between the guest and the network Isolation / Least Privilege Detect / Respond Secure Vaulting App Secure Attestation OS Secure Context Security Remediation 22
Breaking the Cyber Kill Chain Intrusion Propagation Extraction Exfiltration Attack Vector / Malware Delivery Mechanism Entry Point Compromise Escalate Privileges Install C2* Infrastructure Lateral Movement Break Into Data Stores Network Eavesdropping App Level Extraction Parcel & Obfuscate Exfiltration Cleanup Secure and Encrypted Access Least Privilege Micro Segmentation Virtual Enclave Visibility Logging Distributed Network Encryption 25
GRAZIE