Ασφάλεια προσωπικών δεδομένων

Σχετικά έγγραφα
ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Συνοπτικός Οδηγός. Ευρωπαϊκός Κανονισμός για την Προστασία Δεδομένων

GDPR General Data Protection Regulation

Οι XΡΥΣΟΙ ΚΑΝΟΝΕΣ για τις ΕΤΑΙΡΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΑΣΘΕΝΩΝ υπό την σκέπη του GDPR

GDPR Services & Tools

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΦΑΝΗ ΛΙΑΚΑΤΗ

Ιδιωτικό ιατρείο στα χρόνια του GDPR. Φελεκίδης Αναστάσιος. Ιατρός Οφθαλμίατρος, Ιατρικός Σύλλογος Ξάνθης

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

Security & Privacy. Overview

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

2. Τι είναι τα ευαίσθητα προσωπικά δεδομένα;

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Τι είναι ο GDPR (General Data Protection Regulation);

Cyber Risk Insurance. Κωνσταντέλος Τάσος Διευθυντής Ανάπτυξης Εργασιών. Front Line S.A. Insurance Brokers

General Data Protection Regulation (GDPR)

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

Προστασία Δεδομένων (Data Protection)

Πολιτική Ιδιωτικότητας και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Θέμα: Γενική Ενημέρωση σχετικά με την Επεξεργασία των Προσωπικών Δεδομένων (Data Privacy Notice)

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ιδιωτικότητα)

ATTICA BANK ΑΝΩΝΥΜΗ ΤΡΑΠΕΖΙΚΗ ΕΤΑΙΡΕΙΑ

Στοιχεία Υπεύθυνου Επεξεργασίας: Αρμόδια Υπηρεσία Επεξεργασίας: Στοιχεία Επικοινωνίας υπεύθυνου επεξεργασίας:

ATTICA BANK ΑΝΩΝΥΜΗ ΤΡΑΠΕΖΙΚΗ ΕΤΑΙΡΕΙΑ

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

Συχνές Ερωτήσεις [FAQs]

GDPR ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Αντικείμενο της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ATTICA BANK ΑΝΩΝΥΜΗ ΤΡΑΠΕΖΙΚΗ ΕΤΑΙΡΕΙΑ

Προσωπικά δεδομένα και ασθενείς. Ζιάμος Χρήστος. Ιατρός Νευρολόγος, Γενικό Νοσοκομείο Ξάνθης

P R I V A C Y A D V O C A T E. GDPR και ΥΓΕΙΑ: ΠΡΟΛΑΜΒΑΝΟΝΤΑΣ ΤΟΥΣ ΚΙΝΔΥΝΟΥΣ

Πολιτική Απορρήτου Ελληνικής Ουρολογικής Εταιρείας

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον τομέα της υγείας

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

ΑΔΑ: Β4Ω8Ν-1ΓΝ. Αθήνα, 25/04/2012 Αριθµ. Πρωτ.: 2134 ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΙΣΟΤΗΤΑΣ ΤΩΝ ΦΥΛΩΝ

Πρακτικός Οδηγός Ενσωμάτωσης του Κανονισμού σε επιχειρήσεις και οργανισμούς

Πληροφορική Ι. Μάθημα 10 ο Ασφάλεια. Τμήμα Χρηματοοικονομικής & Ελεγκτικής ΤΕΙ Ηπείρου Παράρτημα Πρέβεζας. Δρ. Γκόγκος Χρήστος

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

ΚΥΡΙΑ ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΔΙΚΗΓΟΡΙΚΟΥ ΓΡΑΦΕΙΟΥ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ 2016/679

ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΓΙΑ ΠΙΘΑΝΗ ΑΝΕΠΙΘΥΜΗΤΗ ΕΝΕΡΓΕΙΑ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Προετοιμασία για τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) ΝΟΕΜΒΡΙΟΣ 2017

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. GDPR σε Φορείς και Επιχειρήσεις. 9 Μαίου 2018 Χαρίτων Μαρινάκης Δικηγόρος Ρεθύμνης

ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Αεροπορικών Εταιρειών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016) που αφορά τα φαρμακεία

ΓΕΝΙΚΟΣ ΚΑΝΟΝΑΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR)

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

1. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και επεξεργαζόμαστε

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Σήμερα, 28 Ιανουαρίου είναι η Ευρωπαϊκή Ημέρα Προστασίας

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

ΠΡΑΚΤΙΚΟΣ ΟΔΗΓΟΣ Για τις εφαρμογές Μισθοδοσίας και Διαχείρισης Ανθρωπίνου Δυναμικού

ΕΝΤΥΠΟ ΕΝΗΜΕΡΩΣΗΣ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ (ΕΕ) 2016/679 ΚΑΙ ΤΗ ΣΧΕΤΙΚΗ ΕΛΛΗΝΙΚΗ ΝΟΜΟΘΕΣΙΑ

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Οδηγός προστασίας προσωπικών δεδομένων. SaaS ΕΚΤ Οδηγός προστασίας προσωπικών δεδομένων

9 - Ασφάλεια Ηλεκτρονικών Συναλλαγών ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ & ΑΥΤΟΔΙΟΙΚΗΣΗΣ

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

1. Κατηγορίες δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται η Εταιρεία και προέλευσή τους

Ενημέρωση πελατών για την επεξεργασία των προσωπικών τους δεδομένων σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 και τη συναφή ελληνική νομοθεσία

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΕΙΔΟΠΟΙΗΣΗ ΕΚΤΕΛΟΥΝΤΟΣ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

G D P R. General Data Protection Regulation. Άννα Μαστοράκου

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Ο Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) Υποχρεώσεις - Κατευθυντήριες Οδηγίες - Τεχνικά & Οργανωτικά Μέτρα

Πανεπιστήμιο Θεσσαλίας

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

Τα προσωπικά σας δεδομένα ενδέχεται να συλλέγονται από εσάς προσωπικά ή από τρίτους εκ μέρους σας.

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Γενικός Κανονισμός Προστασίας Δεδομένων GDPR

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016)

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Πολιτική Ιδιωτικότητας και Προστασίας Προσωπικών Δεδομένων

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Πολιτική και σχέδιο ασφάλειας αρχείου ασθενών Οδοντιατρικής Σχολής ΕΚΠΑ

- Ο Γενικός Κανονισμός για την Προστασία Δεδομένων τίθεται σε εφαρμογή το Μάιο του 2018 σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

ATTICA BANK ΑΝΩΝΥΜΗ ΤΡΑΠΕΖΙΚΗ ΕΤΑΙΡΕΙΑ

GDPR για επιχειρήσεις με λόγια απλά

Εισαγωγή. Υπεύθυνος Επεξεργασίας. Περιεχόμενα

Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα των σπουδαστών των Σχολών του Μουσικού και Δραματικού Συλλόγου Ωδείον Αθηνών 1871.

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ενημέρωση για την προστασία προσωπικών δεδομένων Δήλωσης Προστασίας Προσωπικών Δεδομένων και Χρήσεως Cookies

Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΑΡΠΕΔΩΝ ΙΚΕ

Transcript:

Ασφάλεια προσωπικών δεδομένων Πέτρος Νικοπολιτίδης, Επικ.Καθηγητής. Τμήμα Πληροφορικής Α.Π.Θ.

Προσωπικά δεδομένα Σύμφωνα με την Ευρωπαική Επιτροπή, προσωπικά δεδομένα αποτελούν οι «οποιεσδήποτε πληροφορίες που συνδέονται μοναδικά με ένα άτομο, σε προσωπικό, επαγγελματικό ή κοινωνικό επίπεδο» Το άτομο που αφορούν ονομάζεται υποκείμενο των δεδομένων Μπορεί να είναι πολλών ειδών

Προσωπικά δεδομένα Κάποια είδη δεδομένων είναι ευαίσθητα διαρροή τους μπορεί να προκαλέσει προβλήματα στο υποκείμενο στο οποίο αναφέρονται το υποκείμενο θέλει να έχει τον έλεγχο σε αυτά

Προσωπικά δεδομένα Επεξεργασία προσωπικών δεδομένων Κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή Νόμιμη επεξεργασία (Νόμος 2472/1997) Πρέπει να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους Πότε επιτρέπεται η επεξεργασία Επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του (με ορισμένες εξαιρέσεις) Απαγορεύεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων (με ορισμένες εξαιρέσεις μετά από άδεια της Αρχής)

Προσωπικά δεδομένα Αν διαρρεύσουν; Ο Gary T. Marx, καθηγητής Κοινωνιολογίας στο MIT, εντόπισε στην παραβίαση ορίων (border crossing) τη βασική αιτία που χαρακτηρίζει μια διαρροή δεδομένων ως παραβίαση της ιδιωτικότητας Αναφέρει τέσσερα είδη παραβίασης ορίων: Φυσικά όρια, από διαρροή δεδομένων που αποκαλύπτουν τη θέση ενός χρήστη Κοινωνικά όρια, από διαρροή δεδομένων που παραβιάζουν προσδοκίες τήρησης της εμπιστευτικότητας ανάμεσα σε μέλη μιας κοινωνικής ομάδας (π.χ. οικογένεια, επαγγελματική συντεχνία, συνάδελφοι) Χωρικά / χρονικά όρια, από διαρροή δεδομένων που παραβιάζουν τη προσδοκία του ατόμου ότι διαφορετικά επεισόδια και περίοδοι της ζωής του θα παραμείνουν διαχωρισμένα μεταξύ τους (π.χ. οι πράξεις της εφηβείας δεν προβάλλονται στην οικογενειακή ζωή του ατόμου) Εφήμερα όρια, από διαρροή δεδομένων που αποκαλύπτουν στιγμές κατά τις οποίες το άτομο ενήργησε απερίσκεπτα και οι οποίες ελπίζει ότι θα ξεχαστούν σύντομα

Προσωπικά δεδομένα Παραδείγματα παραβίασης από διαρροή Δεδομένα θέσης Καταγράφονται από ενσωματωμένο σύστημα εντοπισμού στο smartphone (πχ GPS, Galileo κτλ) Διαρροή τους μπορεί να προκαλέσει παραβίαση φυσικών ορίων Πχ ένας ασθενής έχει λάβει ιατρική οδηγία να παραμείνει σπίτι του. Ο ασθενής παραβαίνει την οδηγία και πηγαίνει σε χώρο διασκέδασης. Η διαρροή της πληροφορίας θέσης συνάγει οτι ο χρήστης δε παρέμεινε στο σπίτι του Ιατρικά δεδομένα Προέρχονται από ιατρικούς αισθητήρες που «φοράει» ο χρήστης Διαρροή τους μπορεί να προκαλέσει παραβίαση κοινωνικών ορίων Πχ. διαρροή για χρήστη με κάποιο πρόβλημα υγείας μπορεί να οδηγήσει σε απόρριψη της αίτησης πρόσληψης του από μελλοντικό εργοδότη

Τρόποι διαρροής Παθητικοί υποκλοπή πληροφοριών από ένα σύστημα, δεν επηρρεάζουν τη λειτουργία του δύσκολος ο εντοπισμός τους προσπάθεια πρόληψης

Τρόποι διαρροής Ενεργητικοί Επηρρεάζουν τη λειτουργία του συστήματος (π.χ. Μεταβολή data) Εύκολος ο εντοπισμός τους αλλά δύσκολη η αντιμετώπισή όλων των δυνατών επιθέσεων Ποιο ρεαλιστικός στόχος ο εντοπισμός τους και η ανάνηψη από το αποτέλεσμά τους

GDPR Τα ευαίσθητα δεδομένα πρέπει να προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα Έως τώρα χειριζόταν με νομοθεσία στις χώρες μέλη της ΕΕ Η ΕΕ υλοποίησε την General Data Protection Regulation (GDPR, Regulation (EU) 2016/679) για εναρμόνιση των κανονισμών ασφαλείας προσωπικών δεδομένων σε όλη την ΕΕ ισχυροποίηση και ενοποίηση των μηχανισμών ασφαλείας για τους πολίτες της ευκολότερη συμμόρφωση non-ee οργανισμών και εταιρειών

GDPR H GDPR θα τεθεί σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη στις 25.05.2018 χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας Ποιούς αφορά; Στην επικράτεια της ΕΕ Κάθε data controller (δημόσιος οργανισμός & επιχείρηση που συλλέγει προσωπικά δεδομένα πολιτών της ΕΕ), processor (οργανισμό επεξεργασίας τους, πχ cloud providers) πολίτη που συλλέγονται δεδομένα του Δημόσιους οργανισμούς & επιχειρήσεις εκτός ΕΕ, εάν συλλέγουν ή/και επεξεργάζονται προσωπικά δεδομένα πολιτών της

GDPR Ο data controller οφείλει να μπορεί να υποστηρίξει τις απαιτήσεις ασφαλείας ακόμη και αν η επεξεργασία των δεδομένων που διατηρεί γίνεται από συνεργαζόμενο data processor Οι data controllers οφείλουν να υλοποιούν μέτρα ασφαλείας σύμφωνα με την αρχή data protection by design Αυτό απαιτεί την ενσωμάτωση μηχανισμών προστασίας ήδη από τη διαδικασία ανάπτυξης των προιόντων και υπηρεσιών ΙΤ

GDPR Ο data controller οφείλει να ενημερώνει άμεσα τον εθνικό φορέα επίβλεψης σε περίπτωση παραβίασης προσωπικών δεδομένων Εντός 72 ωρών Και επίσης το υποκείμενο τους, εαν η διαρροή συνεπάγεται πρόβλημα Δεν απαιτείται ενημέρωση αν διαρρεύσουν anonymized ή encrypted data

GDPR Συμμόρφωση Η GDPR προβλέπει κυρώσεις (sanctions) σε περιπτώσεις παραβιάσεων και παράλειψης συμμόρφωσης, π.χ γραπτή παρατήρηση στη πρώτη διαπίστωση μη ηθελημένης μησυμμόρφωσης πρόστιμο έως 10 ΜΕ η εως του 2% του παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας σε περιπτώσεις μη-συμμόρφωσης πρόστιμο έως 20 ΜΕ η εως του 4% του παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας σε περιπτώσεις παραβιάσεων ως αποτέλεσμα μη-συμμόρφωσης

Απαιτήσεις ασφαλείας Τι απαιτείται για να είναι ένα σύστημα ασφαλές; Eμπιστευτικότητα (Confidentiality) Εμπιστευτικότητα δεδομένων (Data Confidentiality) Εξασφαλίζει οτι η ευαίσθητη πληροφορία δε θα γίνει γνωστή σε μη εξουσιοδοτημένους χρήστες Ιδιωτικότητα (Privacy) Εξασφαλίζει οτι ο χρήστης καθορίζει ποιες προσωπικές του πληροφορίες θα συλλέγονται και από ποιές οντότητες Ακεραιότητα (Integrity) Ακεραιότητα Δεδομένων (Data Integrity) Εξασφαλίζει ακεραιότητα δεδομένων και προγραμμάτων Ακεραιότητα Συστήματος (System Integrity) Εξαφαλίζει οτι το σύστημα εκτελεί τις λειτουργίες του χωρίς παρέμβαση από μη εξουδιοδοτημένη οντότητα

Απαιτήσεις ασφαλείας Τι απαιτείται για να είναι ένα σύστημα ασφαλές; Αυθεντικότητα (authenticity) Πιστοποίηση ταυτότητας χρήστη/μηνύματος Εξασφαλίζει οτι ένας χρήστης είναι όντως αυτός που υποστηρίζει, οτι ένα μήνυμα έρχεται όντως από τον αναγραφόμενο αποστολέα Καταλογισιμότητα (accountability) Εξασφαλίζει οτι ένας χρήστης δε μπορεί να αρνηθεί ενέργεια την οποία έκανε

Μηχανισμοί ασφαλείας Κρυπτογραφία Συμμετρική

Μηχανισμοί ασφαλείας Κρυπτογραφία Ασύμμετρη

Μηχανισμοί ασφαλείας Κρυπτογραφία Η GDPR απαιτεί encryption & decryption να γίνονται τοπικά και όχι από κάποιο remote service Επειδή τόσο το κλειδί όσο και τα plain δεδομένα πρέπει να παραμένουν στην κατοχή του ιδιοκτήτη Μπορεί κάποιος τρίτος (πχ cloud service) να κατέχει τα encrypted δεδομένα όχι όμως και το κλειδί αποκρυπτογράφησης

Μηχανισμοί ασφαλείας Data pseudonymisation Αντικατάσταση πεδίων που οδηγούν σε αναγνώριση Είτε με τη παραγωγή των δεδομένων Πχ TMSI σε cellular systems Είτε και μετέπειτα Πχ mix zones σε location-based services

Μηχανισμοί ασφαλείας Έλεγχος πρόσβασης Σε επίπεδο δικτύου

Μηχανισμοί ασφαλείας Έλεγχος πρόσβασης - σε επίπεδο εφαρμογής Διαχείριση λογαριασμών χρηστών Διαδικασίες για την προσθήκη, μεταβολή ιδιοτήτων και διαγραφή λογαριασμού Μηχανισμοί ελέγχου πρόσβασης Αποτροπή πρόσβασης σε πόρους/εφαρμογές/αρχεία από μη εξουσιοδοτημέ- νους χρήστες. εγγυημένα ορθή ταυτοποίηση και αυθεντικοποίηση των χρηστών συγκεκριμένη εκχώρηση δικαιωμάτων/εξουσιοδοτήσεων σε κάθε χρήστη Διαχείριση συνθηματικών (διατηρούνται σε μη αναγνώσιμη μορφή) κανόνες αποδοχής για το ελάχιστο μήκος και τους επιτρεπτούς χαρακτήρες κανόνες ιστορικότητας του συνθηματικού συχνότητα αλλαγής του Μη επιτυχημένες προσπάθειες πρόσβασης από εξουσιοδοτημένο χρήστη Αδρανοποιημένος υπολογιστής διαδικασίες αυτόματης αποσύνδεσης ή ενεργοποίησης προφύλαξης οθόνης

Μηχανισμοί ασφαλείας Διαμόρφωση υπολογιστών Προστασία από κακόβουλο λογισμικό - αντιβιοτικά προγράμματα (antivirus), - προγράμματα τειχών ασφαλείας (firewall) - ενημερώσεις ασφαλείας Ρυθμίσεις υπολογιστών - δεν πρέπει η συνολική διαμόρφωση να επηρεάζεται από απλούς χρήστες Υπολογιστές διακομιστές - δεν πρέπει ένας υπολογιστής - διακομιστής να χρησιμοποιείται ως σταθμός εργασίας από κάποιον χρήστη Σύνδεση αποσπώμενων μερών - δεν πρέπει να διατίθεται δυνατότητα εξαγωγής δεδομένων με τη χρήση αποσπώμενων μέσων (εκτός αν προβλέπεται από την πολιτική ασφαλείας) Υπολογιστές με πρόσβαση στο Διαδίκτυο - δεν πρέπει να αποθηκεύονται δεδομένα προσωπικού χαρακτήρα σε υπολογιστές που έχουν σύνδεση με το διαδίκτυο

Μηχανισμοί ασφαλείας Ασφάλεια λογισμικού Σχεδιασμός εφαρμογών - δυνατότητα διαγραφής δεδομένων μετά το χρονικό διάστημα πραγματοποίησης της επεξεργασίας - μηχανισμοί προστασίας των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας Ασφαλής ανάπτυξη εφαρμογών - τεχνικές εντοπισμού σημείων ευπάθειας Προστασία αρχείων λειτουργικών συστημάτων - έλεγχος και προστασία από μη εξουσιοδοτημένη πρόσβαση ή τροποποίηση στα (i) λειτουργικά αρχεία των συστημάτων (system files), (ii) δεδομένα ελέγχου συστημάτων (system test data), και (iii) πηγαίο κώδικας (source code) των προγραμμάτων

Μηχανισμοί ασφαλείας Παρατηρητής αναφοράς Είναι ο μηχανισμός ασφαλείας που χρησιμοποιείται για τον έλεγχο πρόσβασης του συνόλου υποκείμενων οντοτήτων (χρήστες, διεργασίες, νήματα) στα διαθέσιμα αντικείμενα. Aποφασίζει ή αποκλείει την πρόσβαση στηριζόμενος σε μία βάση με - άδειες πρόσβασης υποκειμένων (clearance) στα αντικείμενα - επίπεδα διαβάθμισης (classification) των αντικειμένων Ιδιότητες Παρατηρητή: - - - Πλήρης παρεμβολή σε κάθε απόπειρα πρόσβασης Προστασία από μη εξουσιοδοτημένη τροποποίηση Μαθηματικά επαληθεύσιμη ορθότητα

Μηχανισμοί ασφαλείας Η πολιτική ασφάλειας είναι μία δήλωση περιορισμών πρόσβασης στα αντικείμενα ή /και στη μεταφορά πληροφορίας, που επιβάλλεται από τον παρατηρητή αναφοράς. Ευρέως διαδεδομένο μοντέλο ασφάλειας: Bell-LaPadula (αποτροπή διαρροής ευαίσθητων δεδομένων) Εκχωρείται ένα επίπεδο ασφαλείας (level) σε κάθε υποκείμενο και αντικείμενο. Ο παρατηρητής αναφοράς επιβάλλει (μέσω πίνακα ελέγχου πρόσβασης) τις ιδιότητες: - επιτρεπτή ανάγνωση, αν το level του υποκειμένου είναι >= από το level του αντικειμένου - επιτρεπτή εγγραφή, αν το level του υποκειμένου είναι <= από το level του αντικειμένου Άλλες πολιτικές/μοντέλα: - Clark-Wilson (ακεραιότητα δεδομένων) - Lipner - Chinese-Wall (προστασία από συνθήκες σύγκρουσης συμφερόντων)

Μηχανισμοί ασφαλείας Αντίδραση & ανάνηψη μετά από επίθεση IDS

Μηχανισμοί ασφαλείας Συχνός έλεγχος επιπέδου ασφαλείας NVA

Απαιτήσεις σε ανθρώπινο κεφάλαιο H GDPR απαιτεί την ύπαρξη data protection officer σε κάθε οργανισμό που κατέχει προσωπικά δεδομένα Εξειδικευμένο προσωπικό, με skills σε γνώση νομοθεσίας και πρακτικών προστασίας προσωπικών δεδομένων διαχείριση διεργασιών ΙΤ, αφάλειας δεδομένων, αντιμετώπισης κυβερνοεπιθέσεων Αναμένεται να είναι σημαντικό ανθρώπινο κεφάλαιο του οργανισμού αποθαρρύνεται να παίζουν τον παραπάνω ρόλο περισσότερα του ενός άτομα στον «ελεύθερο» χρόνο τους στον οργανισμό καθιστά πολύ πιο εύκολο το να γίνουν λάθη και παραλείψεις

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια