MihaelaNEACȘU PH
OE
NIX
Soluții IT IMPLEMENTARE
GDPR
Despre PHOENIX IT
Ø Tradiție de peste 12 ani în domeniul consultanței IT&C Ø Integrator de proiecte ce cuprind mai multe tehnologii hardware și software, inclusiv soluții de securitate Ø Datacenter Phoenix IT (respectă standard TIA 942, Tier 3) Ø Parteneriate cu lideri în tehnologie:
111111111111111111
Securitateaprelucrărilordedate
Art.24ResponsabilitateaoperatoruluiOperatorulpuneînaplicare
măsuritehniceşiorganizatoriceadecvate
pentru a garanta şi a fi în măsură să demonstreze căprelucrarea se efectuează în conformitate cu prezentulregulament.Respectivele măsuri se revizuiesc şi se actualizează dacăestenecesar.
AnalizaculturiiorganizaționaleîncontextulGDPRv Dateșicategoriidedatepersonaleprelucratev Contextulprelucrărilorv Fluxurioperaționaledeactivitățideprelucraredatev Legislațiaexistentă.Contracte.Împuterniciri.AnalizamăsurilordesecuritateexistenteîncontextGDPRActivitățiprocedurabilenecesarev Stabilireresponabilitățiorganizatoricepediverseariiv Actualizăriproceduriexistente,creareadeprocedurinoiv Cererideacces/ștergere/portabilitatev Notificăriv Planurideacțiune,evaluăriperiodice.Măsuritehnicenecesarepentrusecuritateadatelorv SecuritateinfrastructurăIT&C-actualizarev Securitatefizică-actualizarev Instruirepersonal.
ConformitatecuGDPR
PH
OE
NIX
Evaluareconformi-
tate
Etapelerealizăriiconformității–proiectdeconsultanță
IMPLEMEN
TARE
Implementări Clienți
Ø Platformă instruire angajați – Secretariatul General al Guvernului
Ø actualizări asupra procedurilor interne, normelor și metodologiilor de aplicat Ø testarea angajaților direct în platformă
Ø Consultanță IT Asset Management: Ø MedLife Ø Spitalul Județean de Urgență Bacău
Ø Securizare – Spitalul Județean de Urgență Bacău Ø Intervenție depanarea rețelei în urma virusării cu ransomeware WannaCry Ø securizare rețea – firewall FortiGate Ø securizarea stațiilor de lucru și serverelor – Bitdefender GravityZone Enterprise
Selecție
Implementări Clienți
Ø Securizare – Direcția Generală Asistență Socială și Protecția Copilului Sector 3 Ø securizarea 300 stații de lucru, serverelor și securizare email – Bitdefender GravityZone Enterprise Ø Securizare 1600 stații de lucru si 200 servere fizice și virtuale – Bitdefender GravityZone Enterprise – Registrul Auto Roman Ø Sistem integrat Registrul Agricol – Consiliul Județean Prahova, Consiliul Județean Bihor
Ø Securizare comunicații între UAT-uri din județ și CJ – VPN Ø Securizare rețele – firewall FortiGate Ø Securizare stații de lucru de la CJ și UAT-uri – Bitdefender/Symantec
Selecție
Implementări Clienți
Workshop Soluții IT Managementul riscurilor de Securitate și asigurarea conformității cu cerințele locale și internaționale, la nivelul întregii țări Studiu de caz: Registrul Național de Medicină Legală, 42 de județe
Selecție
ConformitateacuGDPR
Identificarea și implementarea măsurilor necesare pentru aprotejaprelucrărilededatepersonaleîmpotriva:
v prelucrăriineautorizatesauilegale;v pierderii,adistrugeriisauadeteriorăriiaccidentale.Identificareașiimplementareamăsuriloradecvatepentru:
v a asigura confidenţialitatea, integritatea, disponibilitatea şirezistenţacontinuealesistemelorşiserviciilordeprelucrare;
v a restabili disponibilitatea datelor cu caracter personal şiaccesul la acestea în timp util în cazul în care are loc unincidentdenaturăfizicăsautehnică;
v instruireapersonaluluioperatoruluidedate;v testarea, evaluarea şi aprecierea periodice ale eficacităţiimăsurilornecesarepentrusecuritateaprelucrării.
ActivitatipecareoinstituțietrebuiesalefacapentruaficonformăcuregulamentulGDPR,norme/standarde:
v Securizareaperimetruluifizicü cardurideacces,accespebazădeamprentăü monitorizarevideoaspațiilorundesepăstreazăsau
proceseazădatelev Securizareafizicăaechipamentelorhardware
• Stațiidelucru/laptopuri:ü cumoduldesecuritateTPMü cufuncționalitateaWindowsBitLocker–securitate
suplimentarăprinPINpentruprevenireaaccesăriidatelorîncazulfurtuluisaupierderiiaccidentaleaterminalului
ü Stick-uri(flash)dememoriecriptatepeUSB,cuparola
• Servere:ü carcasespeciale–montarecifrusaucheiesaulacătü cuprotecțiesuplimentarăfizică–dulapculacăt
RolulintegratoruluiSecuritatedinproiectare
(Securitybydesign)
Pentruaaduceînconcretlucrurilepecareoinstituțielepoatefacepentruafi
conformăcuregulamentulGDPR,norme/standarde:
RolulintegratoruluiSecuritatedinproiectare
(Securitybydesign)
PhoenixMywayOfficePowerEXCompletadministrabildeladistanță,independentdesistemuldeoperareșicusuportpentruovastăsuitădeelementedesecuritate,OfficePowerEXestesistemulpotrivitmediilorundesecuritateașieficiențasuntimperative.
DESTINAȚIE,UTILIZAREȘIBENEFICIIConfigurațiadebazăaresuportdeplinpentrutehnologiileIntel®vPro®șiiAMT®9.0.Sistemulestedestinatmediilorundeadministareașisecuritateacentralizatăsuntnecesare.
Descriere:SuportăprocesoareIntel®Core®i5șii7cutehnologiileIntel®vPro®șiiAMT®-pechipsetIntelQ170;SlotdesecuritateTPM1.2;Conformnormeloreuropeneprivindelectrosecuritatea,compatibilitateaelectromagneticășieficienţaenergetică;CarcasăSFFdesktop-towercunumeroaseopțiunidesecurizarefizicășisursecueficienţă80+şiA-PFC;CertificatEnergyStar6.1șiMicrosoftWHQLpentrusistemeledeoperareWindows.
Inconcret,lucrurilepecareoinstituțielepoatefacepentruaficonformăcu
regulamentulGDPR,norme/standarde:
RolulintegratoruluiSecuritatedinproiectare
(Securitybydesign)
PhoenixMywayeXpertServer222-SServerdual-procesor,formatrack2Ușisurseredundante.Destinatcompaniilorcunevoimarideputeredeprocesare.
DESTINAȚIE,UTILIZAREȘIBENEFICIISoluțiaeXpertServer222-S-2Uesteunadintrecelemaiflexibileșiscalabile.Estealegereaperfectăpentruaplicațiidetipbazededatesausoluțiidevirtualizare.CertificărileMicrosoft/VMwaredeținuterecomandăaceastăplatformăcapeunaidealăpentruscenariidiversedevirtualizare.Descriere:AcceptădouăprocesoareIntel®Xeon®Scalable;Max.3TBRAMDDR4ECCREG,arhitecturăSix-Channel;PCIeGen3.0,modulexpansiuneI/O,eUSB,M.2;8x3.5”bayhot-swapHWRAID0,1,10,5,6&backupbattery,opționalSSDNVMe;Format2Urackmount,sursă1300W1+1redundantă,certificareenergetică80PlusPlatinum;Dual10GbERJ45(opțional10/25GbE,Omni-Path58/100Gbps),tehnologievirtualizare;ManagementIPMI2.0,RemoteManagementinclus.
v Securizarearețeleiv Firewall–FortinetFortiGate
ü Filtrareatraficuluiü Blocareaaccesuluidininternlasite-uriledetectate
caavândconținutpericulosü Segregrearețeleipedepartamentecuprofileși
drepturideaccesarediferiteü Mecanismedeprevenireascurgeriidedatedupă
anumitecuvintecheiestabiliteü BlocareatraficuluidelaIP-uridetectateșimarcate
înblacklistcafiindpericuloaseü RealizaretuneluriVPNîntremaimultelocații–
clientulVPNestegratuit
v Securizareaemail-uluiv FortiMail–antivirusșiantispampentrucăsuțedeemail
peoriceserverdeemail;scanareînatașamente
Rolulintegratorului
Securitybydesign
v SecurizareaaplicațiilorWeb-FortiWeb
Rolulintegratorului
Securitybydesign
- protejarecontravulnerabilitatilelaniveldecoddinaplicatiileweb;- protejareimpotrivaatacurilorhackerilordetipSQLinjection,de
atacuriXSS(Cross-siteScripting)sialtele;- protejareapreventivaimpotrivadefaimariisite-urilorwebaleinstitutiei- conformarecustandardulPCIDSS(6.6)infolosireacardurilordecredit
siadatelordesanatate(incazulpacientilor,serviciilormedicale);
v Analizăatraficuluiderețeaconstantăînvedereapreveniriiaccesuluineautorizat
Rolulintegratorului
Securitybydesign
- LogurisialertedesecuritatedinFortiGate,FortiWeb,FortiSIEM- LogurisirapoarteagregatedinFortiAnalyzer
Rolulintegratorului
Securitybydesign
Phoenix Security Appliance – dublă validare tehnologică hardware și software – Intel și Fortinet Avantaje față de echipamentele/appliance-urile de securitate tradiționale: • Funcționalitățile însumate ale mai multor echipamente, comprimate într-
unul singur
• Flexibilitate și scalabilitate, conferite atât de configurabilitatea
eXpertServer, cât și mașinile virtuale Fortinet;
• Funcționalitățile nu sunt legate de un anumit echipament fizic, licențele
aplicațiilor virtuale Fortinet putând fi oricând migrate pe alte echipamente;
• Se pot oricând adăuga noi funcționalități pe același echipament, prin
adăugarea de aplicații virtuale Fortinet și, eventual, upgrade-ul
echipamentului eXpertServer;
• Backup și restaurare simplificate: restaurarea se poate face pe orice server
de mașini virtuale.
Rolulintegratorului
Securitybydesign
Phoenix Security Appliance – dublă validare tehnologică hardware și software – Intel și Fortinet
Ofertăspecialăpentruparticipanțiilaconferință:v 15%discountpentrusoluțiaintegratăPhoenixSecurityAppliancev Punereînfuncțiuneșiconfiguraredebazăincluseînprețulsoluției
Securitybydesign
IMPLEMENTARE
GDPR
ConformitatecuGDPR
Accesfizic
Accesinformatic
TraficrețeaAplicații
Stocaredate
Prevenireapierderiidatelor,latransmiteredininterior
Securitybydesign
IMPLEMENTARE
GDPR
ConformitatecuGDPR
Categoriesoluții Articolregulament
Soluție
Audituluserilor,monitorizareaaccesuluișicredențialelor
5,19,24,25,32,33
ActiveDirectory,Managementulidentității
BackupșiArhivare 24,32,34 NetBackup,EnterpriseVault(arhivarefisiere,emailsicautareinarhive)
Conformitateșiretențiadatelor
5,17,20,25,32
VeritasEnterpriseVault(arhivarecuaplicarepoliticideretenție)
Criptare 32 EndpointEncryption-SymantecGestionareaaccesuluiladate 25 ActiveDirectory,VPN,SecurityGroup
Policies
Monitorizareaevenimentelordinrețea,Gestionareaamenințărilor
5,24,25 SIEM-FortiSIEM
Gestionarearăspunsuluilaincidente
33 CyberSecurityServices
Monitorizarea,localizareașiclasificareadatelor
5,9,12,18,20,25,30
eDiscovery,DataInsight,ResiliencyPlatform-Veritas
Securitateașiprevenireapierderiidatelor
5,24,25,34 DataLossPrevention(DLP)-Symantec
Rolulintegratorului
Securitybydesign
v Inventarierea:• tuturortipurilordedatecucaracterpersonal/special• tuturorlocațiilorfizice,aplicațiilorșiechipamentelorhardwareunde
existădatecucaracterpersonal/special,atâtînscopdeprelucrare,câtșidestocaresauarhivare
• tuturortipurilordeformatedestocareadatelorcucaracterpersonal/special
• Tuturorfuncțiilorșirolurilordininstituțiecareintrăîncontactcudatelecucaracterpersonal/special
Infuncțiedeaceste4inventaresepotstabiliregulideprotecțieșiprevenireascurgerilordedatesaudeaccesneautorizatdelacazlacaz.SoluțiaSymantecDataLossPrevention(DLP)Descoperăundesuntstocatedatelestabilitecafiindconfidențiale–indiferentdacăacesteaseaflăpeunserversaupeechipamenteleutilizatorilorMonitorizeazămoduldemanipularealdatelor,înrețeașiînafararețeleiProtejeazăîmpotrivafurtuluidedate,inclusivdacaacesteasuntstocateincloudsaupedevice-urimobilealeangajaților
IMPLEMENTARE
GDPR
Rolulintegratorului
Securitybydesign
Implicareapacientuluiinactulmedical–Casebond–SoluțiedePatientRelationshipandCaseManagement
ü Preluareaconsimantuluiinformatalpacientuluiü “Onlinecheck-in”pentruconsultatiisiinternariü VizualizareaistoriculuiplatilorsiplatacuajutorulCaseBondü Programarepentruconsultatiisiinternariü Notificari(pentruprogramari,rezultatedelaborator,etc.)ü Rezultatedelaboratorsiimagisticaü Biletedetrimitereü Vizualizareaistoriculuimedicalü Monitorizareasatisfactieipacientuluiü Mesageriesecurizataü Extindereaposibilapeoriceprocescareimplicaointeractiunecupacientul
ü Accesdinbrowsersaudepemobil/smartphone/tabletă
Inviitor:autentificarepebazadeeID,cerintaobligatoriedin28Septembrie2018
IMPLEMENTARE
GDPR
Rolulintegratorului
Securitybydesign
QCare-SoluțiepentruTerapieIntensivăIMPLEMENTAREGDPR
VederedeAnsamblu
SoluțiaMobilă
Rapoarte
ModululdeÎngrijireRănicuposibilitatedeintegrarePACS
DiagramedateClinice
Touch-screen
Scoruri(OmegaRO,GCS,TISS10,SAPSII,SOFA,APACHEII,etc..)
“One-stop-shop”pentrusoluțiidecreștereasecuritățiișiprotecțieadatelorpersonale/speciale/confidențiale:-soluțiihardware-soluțiidevirtualizarecufuncționalitățidesecuritatelaniveldehypervisorșicontainerevirtualepentrusegregareșisecuritateinclusivîmpotrivatentativelordeaccesareneautorizatăaaplicațiilorcudatesensibiledinmașinilevirtuale,decătreadministratoruluiserveruluifizic-soluțiisoftwaredebackup,antivirus,protecțieșiprevenire-soluțiidebazededatecufuncționalitățidesecuritateșiauditareavansate:MicrosoftSQLServer,OracleDatabase-aplicațiedeinteracțiuneînmodsecurizatcupaciențiipediversecazuri-aplicațiedeinstruireladistanțăaangajațilorșitestare-consultanță,instruireșiauditare–recomandăriconcretedecreștereasecuritățiișiconformitățiicuregulamentulșistandardeledesecuritateainformației
Rolulintegratorului
Securitybydesign
IMPLEMENTARE
GDPR
“One-stop-shop”pentrusoluțiidecreștereasecuritățiișiprotecțieadatelorpersonale/speciale/confidențiale:-Soluțiilepotfioferiteînregimdeservicii,cuplatălunară,“asaservice”dinDatacenterulPhoenixIT,locatîntr-ozonănonseismicădinRomânia
Rolulintegratorului
Securitybydesign
v ServiciideinfrastructurăIaaSØ ServerevirtualesecurizateØ FirewallØ MonitorizarerețeaØ BackupØ DisasterRecovery-spațiidestocarescalabileșipredefiniteDatelecriticealeclientuluisuntprotejateînîntregimeîncazul:
-dezastrelornaturale-defecțiunilorunorechipamentealeclientului-atacurilorcuviruși-erorilorumane
v ServiciideSaaS(Software-as-a-Service)Ø aplicațieeLearningØ aplicațiedeManagementalrelațieicuPacienții
v Serviciidewebhostingv Serviciidecolocare
IMPLEMENTARE
GDPR
Mulțumim pentru atenție!
Implementări Clienți
Workshop Soluții IT Managementul riscurilor de Securitate și asigurarea conformității cu cerințele locale și internaționale, la nivelul întregii țări Studiu de caz: Registrul Național de Medicină Legală, 42 de județe
Selecție
Implementări Clienți
Detalii organizatie Beneficiar: - Institutul National de Medicina Legala Bucuresti - 40 de Servicii Judetene de Medicina Legala din toata tara Sistemul gestioneaza cazuri diverse, continand date avand caracter de informatie sensibila din perspectiva securitatii informatiei: - Alcoolemii - Emitere certificate medico-legale, ca urmare a situatiilor
de violenta - Teste de paternitate - Autopsii - Analize de laborator diverse
Numar utilizatori: 420 medici, asistenti, economisti, secretari
Selecție
Workshop Solutii IT
Implementări Clienți
Aplicatia de Management al Cazurilor Medico-Legale contine:
- Date avand caracter personal - Date cu regim medical - Documente emise oficial utilizate in diverse spete in
Justitie Provocarea in asigurarea securitatii datelor din sistem:
- Securizarea accesului in reteaua RNML si a traficului - Securizarea aplicatiei web de management al cazurilor - Securizarea conectarii utilizatorilor la aplicatie, fiind
necesara asigurarea identitatii fizice a persoanelor care introduc si lucreaza pe cazuri
Selecție
Workshop Solutii IT
Implementări Clienți
Solutia tehnica care asigura securitatea by design: Ø Firewall: 2 x FortiGate 1000D
Ø Securizare aplicatie web: 2 x FortiWeb 1000D
Ø Acces utilizatori securizat – autentificare cu 2 factori: - conexiune VPN - FortiClient - user si parola – Active Directory - Microsoft Windows Server - 2 x FortiAuthenticator 400C - Forti Token (fizic- nominal) – generare parola de acces la nivelul fiecarui utilizator
Ø Analiza loguri Securitate: FortiAnalyzer 1000D
Selecție
Workshop Solutii IT
Implementări Clienți
Selecție
Workshop Solutii IT
Provocări existente
Care este provocarea IT
cu care vă confruntați in cadrul instituției?
• Securitate rețea • Securitate echipamente de lucru
• Securitate servere • Monitorizare echipamente
• Monitorizare rețea • Capacitate de stocare
• Arhivarea datelor • Regăsirea datelor
• Prevenirea pierderilor de date • Necunoașterea în amănunt a parcului IT existent
• Lipsa unui punct de recuperare în caz de dezastru/ acces nedisponibil din cauze naturale sau incendiu
• Altele
Workshop Solutii IT
Conformitate GDPR
Vă mulțumesc!
Workshop Solutii IT
Conștientizare
Informare
Instruire
Proiectare
Testare
Monitorizare
Analiză
Consiliere
Planificare
Implementare
111111111111111111
Securitateaprelucrărilordedate,
pescurt:
Art.5Datele cu caracter personal sunt prelucrate într-un mod careasigură securitatea adecvată a acestora, inclusiv protecţiaîmpotriva prelucrării neautorizate sau ilegale şi împotrivapierderii,adistrugeriisauadeteriorăriiaccidentale,prinluareade măsuri tehnice sau organizatorice corespunzătoare("integritateşiconfidenţialitate").
Art.24ResponsabilitateaoperatoruluiOperatorul pune în aplicaremăsuri tehnice şi organizatoriceadecvatepentruagarantaşia fi înmăsurăsădemonstrezecăprelucrarea se efectuează în conformitate cu prezentulregulament.Respectivelemăsuriserevizuiescşiseactualizeazădacăestenecesar.
Secţiunea2SecuritateadatelorcucaracterpersonalMăsuritehniceşiorganizatoriceadecvate:
v pseudonimizareaşicriptareadatelorcucaracterpersonal;v capacitatea de a asigura confidenţialitatea, integritatea,disponibilitatea şi rezistenţa continue ale sistemelor şiserviciilordeprelucrare;
v capacitatea de a restabili disponibilitatea datelor cu caracterpersonalşiaccesullaacesteaîntimputilîncazulîncarearelocunincidentdenaturăfizicăsautehnică;
v unprocespentrutestarea,evaluareaşiapreciereaperiodicăaeficacităţiimăsurilortehniceşiorganizatoricepentruagarantasecuritateaprelucrării.
Securitateaprelucrărilordedate,
pescurt:
Art. 33: Notificarea autorităţii de supraveghere în cazulîncălcăriisecurităţiidatelorcucaracterpersonal
Cândarelocoîncălcareasecurităţiidatelorcucaracterpersonal,operatorul notifică acest lucru autorităţii de supravegherecompetenteîntermendecelmult72deoredeladatalacarealuatcunoştinţădeaceasta.
Notificareaconținecelpuțin:v categoriileşinumărul înregistrărilordedateșialpersoanelor
vizateîncauză;v numele şi datele de contact ale responsabilului cu protecţia
datelorsauunaltpunctdecontactaloperatorului;v consecinţele probabile ale încălcării securităţii datelor cu
caracterpersonal;v măsurileluatesaupropusespreafiluatedeoperatorpentru
a remedia incidentul, inclusiv, după caz, măsurile pentruatenuareaeventualelorsaleefectenegative.
Securitateaprelucrărilordedate,
pescurt:
Art. 34: Informarea persoanei vizate cu privire la încălcareasecurităţiidatelorcucaracterpersonalv În cazul în care încălcarea securităţii datelor cu caracter
personal este susceptibilă să genereze un risc ridicat pentrudrepturile şi libertăţile persoanelor fizice, operatorulinformează persoana vizată fără întârzieri nejustificate cuprivirelaaceastăîncălcare.
v Informareaconțineodescriere într-un limbajclar şi simpluacaracterului încălcării securităţii datelor cu caracterpersonal,precum şi cel puţin informaţiile şi măsurile menţionate laarticolul 33alineatul (3) literele (b), (c) şi (d), respectiv: datedecontact,consecințeșimăsurideremediere.
Securitateaprelucrărilordedate,
pescurt:
Dateprivindsănătatea,dategenetice,datebiometrice
Potrivit art. 9, următoarele informații fac parte din categoriilespecialededatecucaracterpersonal:
v date privind sănătatea - date legate de sănătatea fizică saumentalăauneipersoanefizice,inclusivprestareadeserviciideasistenţămedicală,caredezvăluieinformaţiidesprestareadesănătateaacesteia;
v date genetice - date referitoare la caracteristicile genetice
moştenite saudobândite ale unei persoane fizice, careoferăinformaţii unice privind fiziologia sau sănătatea persoaneirespective;
v date biometrice - date referitoare la caracteristicile fizice,fiziologicesaucomportamentalealeuneipersoanefizicecarepermit sau confirmă identificarea unică a respectiveipersoane.
Dateprivindsănătatea,dategenetice,datebiometrice
Prelucrareadatebiometrice,geneticesaureferitoarelasănătateesteinterzisă,cuexcepțiileurmătoare:
v cândpersoanavizatăşi-adatconsimţământulexplicit;
v pentru protejarea intereselor vitale ale persoanei vizate(aflatăînincapacitatefizicăpentrua-șidaconsimțământul);
v în scopuri legate de medicina preventivă sau a muncii, deevaluarea capacităţii de muncă a angajatului, de stabilireaunuidiagnosticmedical,de furnizareadeasistenţămedicalăsausocială sauaunui tratamentmedicalsaudegestionareasistemelorşiserviciilordesănătatesaudeasistenţăsocială(decătreunprofesionist supusobligaţieidepăstrarea secretuluiprofesional);
v cândprelucrareaestenecesarădinmotivedeinterespublicîndomeniulsănătăţiipublice.
Dateprivindsănătatea,dategenetice,datebiometrice
Alte aspecte specifice legate de prelucrarea datelor privindsănătatea,adatelorgeneticesauadatelorbiometrice:
v Desemnareaunuiresponsabilcuprotecţiadatelor(DPO);
v Notificarea ANSPDCP cu privire la prelucrarea datelor cucaracterpersonalprivindsănătatea,datebiometricesaudategenetice (potrivit cuDECIZIA nr. 200/2015 privind stabilireacazurilor de prelucrare a datelor cu caracter personal pentrucarenuestenecesarănotificarea);
v Categoriile specialededate cu caracterpersonalnecesităunnivelmairidicatdeprotecţie;
v Statele membre pot menţine sau introduce condiţiisuplimentare,inclusivrestricţii,înceeacepriveşteprelucrareadatelor genetice, a datelor biometrice sau a datelor privindsănătatea.
Condiţiigeneralepentruimpunerea
amenziloradministrative
(extras)
Pânăla10000000EURsaupânăla2%dincifradeafaceritotalăanuală,pentruîncălcareadispozițiilorreferitoarela:
v Condiţiileaplicabilelaconsimţământulcopiilor;v Prelucrareadecategoriispecialededatecucaracterpersonal;v Întocmireaevidenţeicuactivităţilordeprelucrare;v Securitateadatelorcucaracterpersonal;v Evaluarea impactului asupraprotecţiei datelor şi consultarea
prealabilă.
Până la20000000EURsaupână4%dincifradeafaceri totalăanuală,pentruîncălcareadispozițiilorreferitoarela:
v Principiile legatedeprelucrareadatelor cu caracter personal("legalitate,echitateşitransparenţă");
v Condiţiiprivindconsimţământul;v Drepturile persoanei vizate (transparență, informare, dreptul
deacces,opoziție,portabilitateetc.);v Transferurilededatecucaracterpersonalînstrăinătate.
GDPRpoatepresupunealocareadenoiresurseșiinvestițiibănești.Dar,aduceșiavantaje,cumarfi:v simplificarea și armonizarea la nivel juridic și administrativ a
protecțieidatelorînUniuneaEuropeană.Faciliteazăliberacirculațieadatelorpersonaleînspațiuleuropean;
v responsabilizarea operatorilor cu privire la prelucrările proprii dedateșiinformații;
v stimularea inovației pentru tehnologiile care asigură stocarea șiprotecțiadatelor.
Statistic, se dezvoltă unmiliondenoi feluri demalware în fiecare zi.Astăzi, timpul mediu în care un malware stă nedetectat într-oorganizațieestede201zile(conf.PonemonInstitute).GDPR își propune să pregătească operatorii pentru un viitor în careinformațiadevinecriticăpentrusupraviețuireanoastră.Într-osocietatemarcatădeatacuriciberneticeșiteroriste,cucâtentitățilecolecteazăși distribuie mai multe date despre oameni, cu atât expunereapotențialăcreșteexponențial.
Diverseconsiderații
“There'snosuchthingasanimpenetrablesystem,butoftenevenahalf-decentdefense will deter many cybercriminals — they'll move on and look for aneasiertarget”.“Criminals are getting better, faster and nobody on the defensive is gettingbetterfastenough”.“Mosthackstakeminutestodo—andweekstodiscover”.“ThestudyfoundthatUScompaniestookanaverageof206daystodetectadatabreach”.“With the availability of personal details available on socialmedia, phishingemailsarebettercamouflagedthanever”.“Evenifyourtechnologyistightly-controlled,peopleremaineasytofool”“Onceaphishingemail is sent, it takesonlyabout1minuteand40 secondsbeforethefirstusertakesthebait”
Securitateaprelucrărilordedate,
pescurt:
Catevaconsideratii…(Ref.Cybersecurityreportpublicatpesite-ulhttps://
www.cnbc.com)
RAPORTcuprivirelaalerteledesecuritateciberneticăprocesatedeCERT-
ROînanul2016
În2016,CERT-ROacolectatșiprocesat110.194.890dealertedesecuritate cibernetică, în creștere cu 61,55% fațădeanul 2015(68.206.856),dintrecare:v 38%(2,9milioane)dintreadreseleIPpublicedinRomâniaau
înregistratcelpuținoalertă;v 81%(89milioane)dintrealertesereferălasistemesauservicii
vulnerabile;v 13%(14milioane)dintrealertesereferălasistemeinfectate
cumalwaredetipbotnet;v 639dedomeniiweb„.RO”aufostutilizatedesite-uriweb
compromise.
Scurgeride
Informatii...
v Securizarea terminalelor (stații de lucru, telefoane, tableteetc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware,sandboxșidecriptareadatelor;
v Securizareainfrastructuriiderețeaprinutilizareaunorsoluții/tehnologiideprotecțieperimetrală(ex.firewall);
v Monitorizarea continuă a fluxurilor de date în cadrulinfrastructurii IT prin utilizarea unor soluții/tehnologiispecifice;
v Implementarea unor măsuri adecvate de securitate fizică înspațiileunde suntprocesate saudepozitate cantitățimaridedate;
v Limitareaaccesuluiutilizatorilor la resurse și la date în bazaatribuțiiloracestora(principiul“nevoiadeacunoaște”);
Măsurideprevenireaincidentelorde
securitate:
v Implementarea unei proceduri adecvate debackup (copii desiguranță)caresă includășiverificareaperiodicăa integritățiidatelorșiaprocesuluiderestaurare;
v Implementareauneipoliticidesecuritatecaresăfieasumatășirespectatădetoțiutilizatorii;
v Utilizarea unor proceduri de răspuns la incidentele desecuritateșidegestionareavulnerabilităților;
v Dispunerea de personal adecvat pentru securizareainfrastructurii IT și pentru a răspunde la incidentele desecuritate;
v Instruirea periodică a personalului cu privire la riscurile,amenințările și vulnerabilitățile de securitate; fișa postuluiactualizată;
v Realizarea de audituri/evaluări periodice de securitate ainfrastructuriiIT,apersonaluluișiaprocedurilor.
Măsurideprevenireaincidentelorde
securitate:
Top Related