View
61
Download
5
Category
Preview:
Citation preview
1
EU:n uuden tietosuoja-asetuksen vaikutukset
yrityksiinWebinaari 21.9.2016
Copyright 2016 Trend Micro Inc.2
Trend Micro
27 years focused on security software, largest independent vendor
Consistent – A World Safe for Exchanging Digital Information
Headquartered in Japan, Tokyo Exchange Nikkei Index (4704)
8 consecutive years on Dow Jones Sustainability Indexes
Customers include 48 of top 50 global corporations
5300+ employees, 50 countries worldwide
500k commercial customers &155M endpoints protected
Small Business
Midsize Business
Enterprise
ConsumerConsumers
Copyright 2016 Trend Micro Inc.3
http://www.trendmicro.co.uk/euregulation/
Copyright 2016 Trend Micro Inc.4
Euroopan Unionin tietosuoja-asetus1 artikla
Kohde ja tavoitteet
1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.
2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.
3. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.
2 artikla
Aineellinen soveltamisala
1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus
muodostaa rekisterin osa.
http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN
Copyright 2016 Trend Micro Inc.5
KäsitteetHenkilötieto
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto). Henkilötietojen käsittely Kaikki henkilötietoihin kohdistuvat toimet (tiedon elinkaari; suunnittelusta → hävittämiseen).
Henkilötietojen erityiset tietoryhmät, ”arkaluonteiset henkilötiedot”
Tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja, tai seksuaaliseen käyttäytymiseen liittyviä tietoja. Erityisiä tietoryhmiä koskeva käsittely on erikseen säänneltyä.
Henkilötietojen käsittelijä
Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.
Rekisterinpitäjä
Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Rekisteröity
Henkilö, jonka henkilötietoja käsitellään.
http://www.gdpr.fi/sanasto/
Copyright 2016 Trend Micro Inc.6
Velvoitteet”...rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta.”
24 artikla
1. Tilivelvollisuus
2. Tietosuojavastaavan nimitys
3. Ilmoitusvelvollisuus tietoturvaloukkauksesta
4. Henkilötietojen käsittely, poisto, luovutus, siirto...
Copyright 2016 Trend Micro Inc.7
Käsittelyn turvallisuus32 artikla
Käsittelyn turvallisuus
1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit
rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen,
häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
Copyright 2016 Trend Micro Inc.8
Ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta 1/2
33 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle...
2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.
3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Copyright 2016 Trend Micro Inc.9
Ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta 2/2
33 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän
dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.
Copyright 2016 Trend Micro Inc.10
Milloin tietosuojavastaava pitää nimittää?Tietosuojavastaava on asetuksen määrittelemä rooli, jonka rekisterinpitäjän ja henkilötiedon käsittelijän on nimettävä määritellyissä tilanteissa:
a) jos tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin tuomioistuin),
b) ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai
c) ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.
Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan. Konserni voi nimittää yhden ainoan tietosuojavastaavan samoin kuin yksi tietosuojavastaava voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten.
http://www.elinakoivumaki.com/2016/06/vaatiiko-uusi-laki-yritykseenne-tietosuojavastaavan/
Copyright 2016 Trend Micro Inc.11
Hallinnolliset seuraamukset
• Valvontaviranomainen voi määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle sakon tietosuoja-asetuksen vaatimusten laiminlyönnistä.
• Sakon suuruus määräytyy rikkomuksen luonteen perusteella.
• Sakon enimmäismäärä on 20 milj. € tai 4% yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.
Copyright 2016 Trend Micro Inc.12
Miten kannattaa valmistautua?1. Tutustu uuteen asetukseen
2. Selvitä missä organisaatiosi palvelimet ja data sijaitsevat.
3. Ota uusi asetus huomioon koko järjestelmäarkkitehtuurissa.
4. Varmista kokonaisuuden tietoturvataso ja miten sitä seurataan.
5. Pohdi kuinka asiakastiedot voidaan toimittaa pyynnöstä rekisteröidylle.
6. Mieti, miten todennat, että alaikäisellä on vanhempien lupa verkkopalvelun käyttöön.
7. Selvitä, miten varmistua siitä, että rekisteröidyn tiedot on poistettu asiakkaan pyynnöstä järjestelmästä ja kuinka tämä vahvistetaan.
http://blog.planeetta.net/7-tapaa-miten-eun-tietosuoja-asetus-vaikuttaa-ohjelmistoyrityksiin
Copyright 2016 Trend Micro Inc.13
VM:n suosituksia muutosvaiheeseen• Valtiovarainministeriön asettama valtionhallinnon tieto- ja
kyberturvallisuuden johtoryhmä (VAHTI) on 2.6.2016 julkaissut raportin, jonka tarkoitus on helpottaa organisaatioiden valmistautumista sen edellyttämiin muutoksiin
• Raportti antaa käytännön suosituksia muutokseen valmistautumiseen, siinä esitellään uudistuksen ydinasioita: rekisteröityjen oikeuksia, rekisterinpitäjien ja käsittelijöiden velvollisuuksia sekä sen keskeiset termit
• Jokaisen henkilötietoja käsittelevän organisaation pitää täyttää toiminnassaan EU-tietosuoja-asetuksen vaatimukset 25.5.2018, jolloin siirtymäaika päättyy
• Myös muut kuin julkishallinnon organisaatiot voivat hyödyntää suosituksia kehittäessään henkilötietojen käsittelyä uusien vaatimusten mukaisiksi
http://vm.fi/artikkeli/-/asset_publisher/lakiuudistus-parantaa-tietosuojaa-eu-ssa-tuore-raportti-uudistuksesta-antaa-suosituksia-muutosvaiheeseen
Copyright 2016 Trend Micro Inc.14
Miten Trend Micro voi auttaa?Asetuksen perusteluteksti, resitaali nro 49 :
”On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, (...), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. ”
”Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.”
Switch
Proxy
Router
Private & Public Cloud
Smart Protection Network
FileReputationService
Email ReputationServices
WebReputation
Service
WRSFRS
ERS
Datacenter
Endpoints
Endpoint SecurityNetwork SecuritySystem Security
Firewall
Verkko- ja tietoturvallisuuden varmistusTrend Micro ratkaisuilla
Central managementOnpremise & CloudPhysical servers & VMsWorkstations & mobilesAutomated provisioningPolicy based security
Workstations & Mobile devices
Gartner Magic Quadrant forEndpoint Protection Platforms
Leader for14 straight years!
Trend Micro: Parasta suojaa nykyaikaisia uhkia vastaan
Copyright 2016 Trend Micro Inc.17
Pilven tietoturvan jaettu vastuu
• Palveluntarjoaja vastaa: Facilities
Physical Security
Physical Infrastructure
• Asiakas vastaa: Operating Systems
Application
Data
Network Firewall Configuration
Asiakas on edelleen vastuussa käyttöjärjestelmä- ja
sovellustason tietoturvasta sekä datasta.
Switch
Proxy
Router
Private & Public Cloud
Smart Protection Network
FileReputationService
Email ReputationServices
WebReputation
Service
WRSFRS
ERS
Datacenter
Endpoint Sensor
Firewall
Network Content InspectionAdvanced Threat Detection
Custom SandboxingBreach Detection System
Tietoturvaloukkauksien havainta, esto ja ilmoitusvelvollisuus
Endpoints
Endpoint Sensor
Copyright 2016 Trend Micro Inc.19
Riskien hallinta edellyttää kerroksellista suojaa
Servers
Protect server workloads wherever
they may be -- physical, virtual or cloud
Copyright 2016 Trend Micro Inc.20
Networks
Riskien hallinta edellyttää kerroksellista suojaa
Servers
Detect and block threats hitting the data center and
user environments, maximizing efficiency
Copyright 2016 Trend Micro Inc.21
Users
Networks
Riskien hallinta edellyttää kerroksellista suojaa
Protect user activities anywhere on any
device reducing initial point of infection Need for connected
threat defense and centralized visibility
increases
Servers
Copyright 2016 Trend Micro Inc.23
Strong Central Visibility
User-based visibility, investigation & management
Copyright 2016 Trend Micro Inc.24
Copyright 2015 Trend Micro Inc. 24
Prioritized view of alerts across the
environment
Security for SaaS-based applications
Advanced Threat Detection• Finds zero-day and
hidden threats• Sandbox file analysis
in the cloud
DLP• Discovery and
visibility into confidential data usage
• 240 customizable templatesDirect cloud-to-cloud integration
Trend Micro Cloud App Security
Copyright 2016 Trend Micro Inc.26
Defend against network & application attacks with Intrusion Detection & Prevention
• Prevent vulnerability exploits(Shellshock, Heartbleed)
• Reduce the need for emergency patching
• Accelerate compliance with key regulations like GDPR
Patch Available
Patch applied, Protected
Test Begin Deployment
Zero dayVulnerability Disclosed
Traditional Patch management time line
Deep Security patch available in <24 hours
Protected against attack
Vulnerability Assessment reporting
Copyright 2015 Trend Micro Inc. 27
Vulnerability Assessment Reporting
28
Kiitos, Kimmo!Centero jatkaa vielä hetken, jonka jälkeen kysymysten ja vastausten aika…
29
Hallinnollinen tietoturva• Tietoturvan johtaminen ja hallinnointi
• Organisaation tietoturvapolitiikka ja -ohjeistus
Fyysinen tietoturva • Toimitilojen ja laitteiden fyysinen suojaaminen
Laitteistoturvallisuus• Esimerkiksi tietokoneiden yleinen suojaaminen
• Centero / Trend Micro
Ohjelmistoturvallisuus• Ohjelmistojen tietoturvaan liittyvät asiat
• Centero / Trend Micro
Tietoaineiston turvallisuus• Sähköisten ja paperisten dokumenttien käsittely ja suojaaminen
• Centero / Trend Micro
Tietoliikenneturvallisuus• Esimerkiksi tiedonsiirtoon liittyvät tietoturvamekanismit
• Centero / Trend Micro
Henkilöstöturvallisuus• Rooleihin, vastuihin ja tietoturvaohjeistuksiin liittyvät asiat
• Organisaation tietoturvapolitiikka ja -ohjeistus
Käyttöturvallisuus• Esimerkiksi salasanoihin liittyvät asiat.
• Organisaation tietoturvapolitiikka ja -ohjeistus
Tietoturvan osa-alueet
30
• Keskiviikkona 19.10. jatkamme aiheen työstämistä. Silloin aiheena tekniseen tietoturvaan liittyvien osa-alueiden palastelu käytännön toimenpiteisiin.
• Tule mukaan tai ohjaa sopiva muu taho organisaatiostanne osallistumaan!
Webinaari #2 - Tekninen tietoturva
31
Kysymysten aika!Kiitos osallistumisestasi!
Recommended