Misure di sicurezza e protezione dei dati personali: GDPR e ISO27001 si incontrano. Gloria Marcoccio e Matteo Indennimeo

Documenti analoghi
La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

Le nuove norme della famiglia 27000

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Cloud e Sicurezza secondo le norme ISO/IEC

Marco Salvato, KPMG. AIEA Verona

Elsag Datamat. Soluzioni di Cyber Security

Cybersecurity per la PA: approccio multicompliance Sogei

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

Tanta fatica solo per un bollino ne vale davvero la pena?

La condensazione della nuvola

Le nuove norme della famiglia 27000

La nuova ISO/IEC 27001:2013 ed il quadro normativo italiano. Ing. Salvatore D Emilio Roma 27/05/2014

ITIL e PMBOK Service management and project management a confronto

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

Le future norme ISO dovrebbero rispondere alle ultime tendenze ed essere compatibili con altri sistemi di gestione.

Le certificazioni ISC² : CISSP CSSLP SSCP

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

LA NUOVA ISO 9001:2015

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

CYBERSECURITY IN ACTION Come cambia la risposta delle aziende al Cyber Threat e quali sono le strategie per una Secure Mobility

Rif. Draft International Standard (DIS)

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

La Governance come strumento di valorizzazione dell'it verso il business

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC )

Mariangela Fagnani Security & Privacy Services Leader, IBM Italia

ICT Security Governance. 16 Marzo Bruno Sicchieri ICT Security Technical Governance

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su )

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione

Convegno Annuale AISIS Innovazione digitale a supporto dei Pdta

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano Feliciano Intini

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

SC D2 Information Technology and Telecommunication. General session e SC meeting 2012

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

Certificazione dei Business Continuity Planner: specialisti e professionisti della Business Continuity e del Disaster Recovery Planning

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Il valore della sicurezza integrata

The approach to the application security in the cloud space

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Analisi dei rischi e gestione della sicurezza ICT

Giugno PSD2 Monitoraggio normativo Modifiche della Commissione Europea al RTS su SCA e CSC

LA SICUREZZA NEI SISTEMI DI CONSERVAZIONE DIGITALE

IT Service Management, le best practice per la gestione dei servizi

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS :2002 in logica di Loss Prevention

Qualification Program in IT Service Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

COBIT e ISO/IEC 27000

Third Party Assurance Reporting

HP e il Progetto SPC. Daniele Sacerdoti Consulting&Integration Public Sector. 12 Maggio Technology for better business outcomes

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

CLOUD COMPUTING FOR E HEALTH DATA PROTECTION ISSUES & OPPORTUNITIES

<Insert Picture Here> Security Summit 2010 Roma Il Cloud Computing: nuovo paradigma e nuovi rischi?

Corso Base ITIL V3 2008

Sicurezza e Internet 02

Privacy e Sicurezza delle Informazioni

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

<Insert Picture Here> Security Summit 2010

Adozione del Cloud: Le Domande Inevitabili

I Professionisti della digitalizzazione documentale e della privacy

Soluzioni di protezione del dato basate su cifratura, coerenti con le raccomandazioni del GDPR

IBM Cloud Computing - esperienze e servizi seconda parte

IS Governance. Francesco Clabot Consulenza di processo.

ISO 9001:2015. Ing. Massimo Tuccoli. Genova, 27 Febbraio 2015

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Severino Meregalli Head MIS Unit SDA Bocconi. SDA Bocconi - Severino Meregalli 1

Siamo quello che ti serve

Data Breach: Le misure richieste dalla normativa italiana e l ottica cloud. CSA Italy Gloria Marcoccio

LA BUSINESS UNIT SECURITY

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC E LE CORRELAZIONI CON IL FRAMEWORK ITIL

La sicurezza tecnica dei pagamenti innovativi: Le raccomandazioni delle autorità finanziarie europee

Tecnologie sicure per la comunicazione globale: una promessa da mantenere per l industria ICT

Il difficile equilibrio tra performance e compliance : riflessioni sull evoluzione nel governo dei sistemi informativi (ICT)

Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia

HACKING THE ISO La Sicurezza della Gestione della Sicurezza

Auditing, Compliance e Risk Management : IBM Approach

Le norme della Qualità

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Copyright IKS srl

Sicuramente

ADVISORY. People & Change. Presentazione Servizi Presentazione dei servizi per la valorizzazione delle risorse umane. kpmg.com/it

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

measures to ensure a high common level of network and information security across the Union 3

La struttura della ISO Antonio Astone 26 giugno 2007

Paolo Gandolfo Efficienza IT e controllo costi

Elementi di Sicurezza e Privatezza

Video Analytics e sicurezza. Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA BS Sistemi Informativi S.p.A.

Cyber Security Sistemi Energia - Progetti e Sperimentazioni. Giovanna Dondossola Roberta Terruggia

DIGITAL SECURITY PER LA PA

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo

Service Manager Operations. Emerson Process Management

Security policy e Risk Management: la tecnologia BindView

Transcript:

Misure di sicurezza e protezione dei dati personali: GDPR e ISO27001 si incontrano Gloria Marcoccio e Matteo Indennimeo

General Data Protection Regulation (GDPR) Armonizzazione leggi privacy europee, Ambito ampliato Diversificate misure per trasferimenti dati extra UE Aumento degli Obblighi per Titolari e Responsabili EU regulation 2016/679 Aumentate azioni di controllo, Sanzioni Bollino blu privacy Rafforzati i diritti degli Interessati

GDPR: i principali Articoli relativi alla sicurezza Article 5 Principles relating to processing of personal data (5.1.f) Article 24 Responsibility of the controller (24.1, 24.2) Article 25 Data protection by design and by default Article 28 Processor Article 29 Processing under the authority of the controller or processor Article 30 Records of processing activities Article 32 Security of processing Article 33 Notification of a personal data breach to the supervisory authority Article 34 Communication of a personal data breach to the data subject Article 35 Data protection impact assessment Article 36 Prior consultation 3

Main Relevant ISO standard Information Security Management System Privacy Management System ISO/IEC 27001: Information Security Management System ISO/IEC 29100: Privacy Framework ISO/IEC 27005: Information Security Risk Management ISO/IEC 29134: Privacy Impact Assessment BS 10012:2017 (issued in March) Data protection Specification for a personal information management system 4

Impostazione di generale corrispondenza tra requisiti di sicurezza GDPR e le clausole ISO270001 Le classi di requisiti IS027001 10 Improvement 9 Internal Audit 8 Operation 6 Planning 7 Support in particolare con 8.2 Information security risk assessment 8.3 Information security risk treatment 4 Context of the organization 5 Leadership 6.1.2 Information security risk assessment 6.1.3 Information security risk treatment 5

ISO27001: uno sguardo ai controlli A5 - Information security policies A6- Organization of information security A7 - Human resource security A8 - Asset management A9 - Access control A10 - Cryptography A11 - Physical and environmental security A12 - Operations security A13 - Communications security A14 - System acquisition, development and maintenance A15 - Supplier relationships A16 - Information security incident management A17 - Information security aspects of business continuity management A18 - Compliance 6

GDPR &ISO27001: principali corrispondenze Article 5 Principles relating to processing of personal data (5.1.c, 5.1.f) All the ISO27001 controls as applicable A18 Compliance Article 24 Responsibility of the controller (24.1, 24.2) A5 Security Policy, A8 Asset Mngt, A12 Operations Security, A17 Business Continuity, 18 Compliance Article 25 Data protection by design and by default A12 Operations Secuirty, A18 Compliance Article 28 Processor A15 Supplier Relationships, A18 Compliance Article 29 Processing under the authority of the controller or processor A6 Organization of information security, A7Human resource security, A18 Compliance Article 30 Records of processing activities Article 32 Security of processing Article 33 Notification of a personal data breach to the supervisory authority Article 34 Communication of a personal data breach to the data subject Article 35 Data protection impact assessment Article 36 Prior consultation A8 Asset management, A18 Compliance A5 Security Policy, A6 Human resource security, A7Human resource security, A8 Asset Mngt, A9 Access control, A10 Cryptography, A11 Physical and environmental security, A12 Operations security, A13 Communications security, A14 System acquisition, development and maintenance, A15 Supplier Relationships, A17 Information security aspect of business continuity management, A18 Compliance A16 Information security incident management, A18 Compliance A18 Compliance 7

ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001 Guidelines for SMEs on the security of personal data processing - December 2016 Le piccole e medie imprese (SME): 99% delle imprese UE Al centro delle iniziative promosse dalla Commissione Europea: Digital Single Market Strategy for Europe di cui il GDPR è parte 8

ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001 Definire il contesto del trattamento dati Implementare e manutenere le misure Identificare le minacce per la sicurezza dei dati Selezionare le misure adeguate Calcolare i rischi (impatti per gli individui) Tutele e misure di sicurezza: GDPR vs Controlli ISO27001 9

ENISA: la guida per la sicurezza dei trattamenti dati personali basata su controlli ISO27001 ENISA SME GDPR RECOMMENDED SECURITY CONTROLS Security policy and procedures for the protection of personal data # controls Mapping on ISO27001 controls and GDPR provisions 6 ISO 27001:2013 - A.5 Security policy, art. 32 GDPR, as also complemented by art. 24 GDPR Roles and responsibilities 5 ISO 27001:2013 - A.6.1.1 Information security roles and responsibilities, 32 (4) GDPRs Organizational security measures Security management Incidents handling / Personal data breaches Human resources Access control policy 4 ISO 27001:2013 - A.9.1.1 Access control policy, data minimization, art. 5.1(c) GDPR Resource/asset management 4 ISO 27001:2013 - A.8 Asset management, art. 24 and 32 GDPR Change management 3 ISO 27001:2013 - A. 12.1 Operational procedures and responsibilities, art. 24 and 32 GDPR Data processors 5 ISO 27001:2013 - A.15 Supplier relationships, art. 28 and art 32 GDPR Incidents handling / Personal data breaches 4 ISO 27001:2013 - A.16 Information security incident management, art. 4(12) art. 33 and art. 34 GDPR Business continuity 4 ISO 27001:2013 - A. 17 Information security aspects of business continuity management,, art. 24 and 32 GDPR Confidentiality of personnel 3 ISO 27001:2013 - A.7 Human resource security, art. 32 (4) GDPR Training 3 ISO 27001:2013 - A.7.2.2 Information security awareness, education and training, art. 32 (4) GDPR Technical security measures Access control and authentication Logging and monitoring Security of data at rest 8 ISO 27001:2013 - A.9 Access control, art. 32 GDPR 5 ISO 27001:2013 - A.12.4 Logging and monitoring, art. 32 GDPR Server/Database security 6 ISO 27001:2013 - A. 12 Operations security, art. 32 GDPR Workstation security 9 ISO 27001:2013 - A. 14.1 Security requirements of information systems, art. 32 GDPR Network/Communication ISO 27001:2013 - A.13 Communications Security, art. 32 GDPR security 6 Back-ups 9 ISO 27001:2013 - A.12.3 Back-Up, art. 32 GDPR Mobile/Portable devices Mobile/Portable devices 9 ISO 27001:2013 - A. 6.2 Mobile devices and teleworking,, art. 32 GDPR Application lifecycle security 9 ISO 27001:2013 - A.12.6 Technical vulnerability management & A.14.2 Security in development and support processes, art. 25 and art. 32 GDPR Data deletion/disposal 6 ISO 27001:2013 - A. 8.3.2 Disposal of media & A. 11.2.7 Secure disposal or re-use of equipment, art.5.1(c) GDPR Physical security 8 ISO 27001:2013 - A.11 Physical and environmental security, art. 32 GDPR 10

In termini di standard Le Minime Misure di Sicurezza per la Pubblica Amministrazione Obiettivo indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottare al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi AGID Agenzia per l Italia Digitale Attuazione delle misure minime a cura del responsabile dei sistemi informativi o in sua assenza, del dirigente allo scopo designato. Modulo di implementazione delle MMS-PA Le modalità con cui ciascuna misura è implementata debbono essere sinteticamente riportate nel modulo di implementazione di cui all allegato 2 della Circolare, firmato digitalmente con marcatura temporale,conservato e, in caso di incidente informatico, trasmesso al CERT- PA insieme con la segnalazione dell incidente stesso. Tempi di attuazione Entro il 31 dicembre 2017 le amministrazioni dovranno attuare gli adempimenti di cui agli articoli precedenti. Tutele e misure di sicurezza: GDPR vs Controlli ISO27001 11

Panoramica delle Minime Misure di Sicurezza per la Pubblica Amministrazione Amministrazioni destinatarie: le pubbliche amministrazioni di cui all art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165. tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunita' montane. e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale. Fonte essenziale delle Misure Minime per le PA SANS 20 CIS Critical Security Controls for Effective Cyber Defense - versione 6.0 di ottobre 2015 12

Nel settore dei Servizi di Pagamento Elettronici. 23/2/2017 - European Banking Authority (EBA) pubblica la versione finale delle EBA/RTS/2017/02 "Draft regulatory technical standards (RTS) on strong customer authentication and common and secure communication under Directive 2016/2366 (PSD2) PSD2: DIRETTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno EBA: In base alla PSD2 è incaricata di definire le specifiche tecniche delle misure di sicurezza richieste EBA RTS: saranno definitivamente emesse dalla Commissione Europea come Regolamento e come tali direttamente applicabili in tutti i Paesi Membri Le misure di sicurezza strong customer authentication nei servizi di pagamenti elettronici (EBA RTS - GDPR) 13

Ultimissime pubblicazioni EBA in tema di sicurezza EBA/CP/2017/04-05 May 2017 - Consultation Paper Draft Guidelines on the security measures for operational and security risks of payment services under PSD2 EBA/CP/2017/06-17/05/2017 - Consultation Paper Draft recommendations on outsourcing to cloud service providers under Article 16 of Regulation (EU) No 1093/20101 Le misure di sicurezza strong customer authentication nei servizi di pagamenti elettronici (EBA RTS - GDPR) 14

Dalla normativa alla pratica Zero Trust Network Matteo Indennimeo - BD MANAGER SDDC Aditinet Consulting SpA

16 IT Architecture was designed to run Hyper-connected compute based workloads, but NOT to secure them Lateral Movement Comingled and Inconsistent Policy DMZ App DB Services

Context Isolation: where to apply security? Network Control Points Endpoint Control Points Lack application context Isolation from the attack surface Great context No Isolation from the attack surface 17

The Goldilocks Zone of security Context & Isolation Too Hot Too Cold 25

An Architecture to Enable a Zero Trust Netowork Security Model Location Access Inspect Applications All resources are accessed in a secure manner regardless of location. Access control is on a need-to-know basis and is strictly enforced. Inspect and log all traffic. The network is designed from the inside out. Encryption Least Privilege Visibility Micro Segmentation Verify and NEVER Trust 19

Ubiquitous Enforcement, Universal Control & Visibility

Distributed Network Encryption Protect the confidentiality and integrity of the data flowing through the network. 21

Virtual Enclave A secure point of presence between the guest and the network Isolation / Least Privilege Detect / Respond Secure Vaulting App Secure Attestation OS Secure Context Security Remediation 22

Breaking the Cyber Kill Chain Intrusion Propagation Extraction Exfiltration Attack Vector / Malware Delivery Mechanism Entry Point Compromise Escalate Privileges Install C2* Infrastructure Lateral Movement Break Into Data Stores Network Eavesdropping App Level Extraction Parcel & Obfuscate Exfiltration Cleanup Secure and Encrypted Access Least Privilege Micro Segmentation Virtual Enclave Visibility Logging Distributed Network Encryption 25

GRAZIE

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back