GoldenLine
Zaloguj się

konto usunięte

Temat: Jak wykazać stosowane zabezpieczenie

Dzień dobry,
Kieruję do was pytanie, może pomożecie rozwiązać problem:

Zgodnie z art. 24 RODO, Administrator powinien móc wykazać, że stosuje odpowiednie środki techniczne do zabezpieczania przetwarzanych danych osobowych.
Jak w sytuacji incydentu (mam na myśli kradzież laptopa) można wykazać, że faktycznie ten laptop miał zaszyfrowaną powierzchnię dysku?

Co w sytuacji gdy organizacja nie stosuje laptopów jednego producenta, i nie może na nich instalować jednolitego oprogramowania do szyfrowania (bo nie każdy laptop jest kompatybilny z konkretnym rozwiązaniem do szyfrowania). Co za tym idzie, nie można nimi zarządzać z poziomu jednej konsoli centralnego zarządzania.

Kopie kluczy szyfrujących są przetrzymywane w dedykowanym miejscu, do którego dostęp mają tylko osoby upoważnione z działu administratorów.

Z drugiej strony, z poziomu konsoli, która zbiera pewien zakres informacji o danym laptopie, też nie da się wykazać 100%, że to ten konkretny laptop zaginął. Kontrola musiałaby sprawdzać fizyczny stan laptopów w całej organizacji.

Czy można w związku z tym osiągnąć "wykazalność" poprzez zastosowanie zabezpieczeń organizacyjnych, w postaci np. protokołu?

Z góry dzięki za wszelkie opinie w temacie.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Jak wykazać stosowane zabezpieczenie

Karolina K.:
Jak w sytuacji incydentu (mam na myśli kradzież laptopa) można wykazać, że faktycznie ten laptop miał zaszyfrowaną powierzchnię dysku?
Organizacyjnie. Ktoś to wykonał, ktoś wygenerował klucz, ktoś go komuś przekazał, ktoś go odebrał... Jest dokumentacja, daty, podpisy.
Link do wypowiedziLink

konto usunięte

Temat: Jak wykazać stosowane zabezpieczenie

Ok, dzięki za informacje.
Jak w takim razie, zapewnić sobie to, że laptop w międzyczasie nie został jednak odszyfrowany?
W przypadku korzystania z konsoli centralnego zarządzania, byłyby przechowane logi z takiej operacji.
Jak organizacja może się obronić przed tego typu zarzutami ze strony kontrolera, wprowadzając zabezpieczenie organizacyjne?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Jak wykazać stosowane zabezpieczenie

Karolina K.:
Ok, dzięki za informacje.
Jak w takim razie, zapewnić sobie to, że laptop w międzyczasie nie został jednak odszyfrowany?
Wprowadzając ograniczenia w dostępie do urządzenia z uprawnieniami administratora i rozliczalność takiego dostępu.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Jak jest po polsku "malicio...




Wyślij zaproszenie do
Anuluj