1 Feltérképezés Azonosítani a kezelt személyes adatokat és hogy hol tárolódnak 2 Kezelés Szabályozni a személyes adatok felhasználását és az azokhoz való hozzáférést 3 Védelem Biztonsági kontrollok létrehozása a sérülékenységek és adatbetörések megakadályozására, felismerésére és elhárítására 4 Riportolás Az adatkérésekhez és jelentési kötelezettségez szükséges dokumentációk létrehozása és belső felderítés támogatása
Tapasztalatok alapján TOP 3 kezdeti kihívás Fizikai és logikai biztonság egyöntetűen magas szintű megvalósítása minden érintett rendszerben GDPR értintett adatkör gyakorlati felderítése valamint az adatkezelési eljárások egységes érvényre juttatása minden kapcsolódó rendszerben Az információvédelmi / adatkezelési eljárások meghatározása és gyakorlatba átültetése És az előző kihívásokra adott válaszok időben folyamatos fenntartása
Fizikai és logikai biztonság egyöntetűen magas szintű megvalósítása minden érintett rendszerben
Transzformátor és generátor állomás Beléptető kapu Jelenlegi Adatközpont Épülő adatközpont második ütem
Fizikai behajtásgátlók Kerítés Határ Szeizmikus szenzorok Biztonsági irányítási központ 24X7 biztonsági személyzet Többnapos áramszünet áthidalás Épület Kamerák Riasztók Többfaktoros hozzáférés védelem: Biometrikus, kártyás, mágneskapu stb. Szerver terem
Adat szétválasztás Ügyfelek adatainak többszintű logikai elkülönítése egymástól. Továbbított adatok védelme Iparági szabványú titkosító protokollokkal minden ügyfél adatközpont kommunikáció titkosított alapértelmezetten Adat redundancia és mentés A szolgáltatások folyamatos mentés alatt vannak és adatközponton belüli, valamint geo-rendundáns (EU-n belül!) másolatokat képzünk, legalább 3-at. Tárolt adatok titkosítása Minden tárolt adat alapértelmezetten titkosított. A titkosítő kulcs az ügyfél kezelésében vagy birtokában is lehet. Belső védelem Az adatközpontban nincsenek állandó adminisztrátori szerepkörök. Minden karbantartási feladathoz egyedileg kell jogosultságok kérni és külön csapat ellenőrizni a kérést és tevékenységet is. Adatmegsemmisítés Ha az ügyfél elhagyja a szolgáltatás adatai garantálton törlésre kerülnek. Adathordozó nem hagyja el az adatközpontot, helyen darálják őket.
Több mint 1000 kontroll, az Office 365-be betervezett megfelelőségi keretrendszere alapján a szolgáltatásunk világszinten megfelel a legkülönbözőbb adatvédelmi elvárásoknak. Spain CSA CCM ENISA IAF EU Model Clauses EU-U.S. Privacy Shield ISO/IEC 27001, 27018 SOC 1, 2 Spain ENS LOPD United Kingdom CSA CCM ENISA IAF EU Model Clauses ISO/IEC 27001, 27018 NIST 800-171 SOC 1, 2, 3 UK G-Cloud Singapore CSA CCM ISO/IEC 27001, 27018 MTCS SOC 1, 2 Japan CSA CCM CS Mark (Gold) FISC ISO/IEC 27001, 27018 Japan My Number Act SOC 1, 2 A Microsoft szolgáltatások folyamatosan külső fél által auditáltak. Microsoft rendszeres- ön és külső auditokon vesz részt. A külső auditokat független 3rd party cégek végzik. China China GB 18030 China MLPS China TRUCS United States CJIS CSA CCM DISA FDA CFR Title 21 Part 11 FEDRAMP FERPA FIPS 140-2 FISMA HIPPA/HITECH HITRUST IRS 1075 ISO/IEC 27001, 27018 MARS-E NIST 800-171 Section 508 VPATs SOC 1, 2 Argentina Argentina PDPA CSA CCM IRAP (CCSL) ISO/IEC 27001, 27018 SOC 1, 2 European Union CSA CCM ENISA IAF EU Model Clauses EU-U.S. Privacy Shield ISO/IEC 27001, 27018 SOC 1, 2, GDPR *2018-tól Australia CSA CCM IRAP (CCSL) ISO/IEC 27001, 27018 SOC 1, 2 New Zealand CSA CCM ISO/IEC 27001, 27018 NZCC Framework SOC 1, 2
Office 365 Felelősség On-Prem IaaS PaaS SaaS Adat-klasszifikáció & elszámoltathatóság Kliens és végponti védelem Identitás és hozzáférés kezelés Alkalmazás szintű kontrollok Hálózati kontrollok Fizikai védelem Host infrastruktúra Adatkezelő Adatfeldolgozó
GDPR értintett adatkör gyakorlati felderítése valamint az adatkezelési eljárások egységes érvényre juttatása minden kapcsolódó rendszerben
1 GDPR megközelítés 360 fokos nézetben O365 esetén Ingestion of data outside Office 365 In-Place DLP, retention and archiving In-Place ediscovery Identify and Protect Data (Azure Information Protection) Auditing 3
Microsoft Information Protection: Megoldások IT biztonsági eszközök Adatszivárgás elleni eszközök Adatkezelési házirendek Adatklasszifikációs eszközök Felderítést támogató eszközök
Az információvédelmi / adatkezelési eljárások meghatározása és gyakorlatba átültetése.
Három komponensű megközelítés Ügyfél magánszféra védelme a GDPR által
Három komponensű megoldás Ügyfél magánszféra védelme a GDPR által
The Microsoft GDPR Discovery and Assessment Toolkit
https://partner.microsoft.com/en-us/marketing/details/gdpr#/
Eszközcsomag Leírás Sablonok Kiértékelés áttekintése GDPR által érintett adatkör felderítése Személyes adatok megtalálása Helyi és felhős rendszerek felderítése Adatok osztályozása és címkézése Alap amire lehet építeni Eszközök és szolgáltatások implementálása az adatok kezelésére, védelmére, jelentés készítés Adatbiztonság és megfelelőségi kihívások azonosítása Jelenlegi állapot meghatározása módszertanok és biztosított eszközök segítségével
Leírás Iránymutatás és ajánlás az aktivitások előkészítéséhez Releváns példák a kezdéshez Linkek a folytatáshoz Aktivitások
Előre készített prezentációk, adatforrás leltár Sablon az első megbeszéléshez (PPT) Adatforrás leltár (Excel)
Előre készített Excel felmérési sablon
Automatizált kiértékelés
Három komponensű megoldás Ügyfél magánszféra védelme a GDPR által
Demo: Microsoft GDPR Compliance Manager
A biztonsági osztályokra meghatározott követelmények alapját a NIST SP 800-53-as kvázi szabványban lefektetett irányelvek és követelmények képezik!
KÖSZÖNJÜK A FIGYELMET! Hódy Árpád Sr. Solution Sales Professional Zombory Zoltán Office 365 Most Valuable Professional