Escolar Documentos
Profissional Documentos
Cultura Documentos
Sobre o Palestrante
Fernando Fonseca, CISSP-ISSAP, CISM, ISO 27001 LA, CHFI, MCSE Security, Security+, ACE
© 2012 -2019 - Antebellum Capacitação Profissional
Instrutor desde 1993, certificado pela Microsoft, CA, Conectiva, EC-Council, PCI e EXIN
br.LinkedIn.com/in/ferfon
Frameworks para Proteção e Privacidade de Dados 2 ISACA BH Chapter
Lei Geral de Proteção de Dados (13.709 - LGPD)
Segurança da Informação
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
© 2012 -2019 - Antebellum Capacitação Profissional
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a
segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
• I - o modo pelo qual é realizado;
• II - o resultado e os riscos que razoavelmente dele se esperam;
• III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
• Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador
que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a
garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Segurança Privacidade
Privacidade
1-Preparação 2-Organização 3-Implementação 4-Governança 5-Avaliação Respeitada
Estabelecer estruturas
organizacionais e Estabelecer mecanismos de
mecanismos para as governança de P & PD.
necessidades de P&PD da
organização.
Fonte: J. Kyriazoglou
Frameworks para Proteção e Privacidade de Dados 9 ISACA BH Chapter
Fase 1 – Preparação
Fase 1 - Preparação
Objetivos, passos e ações
Objetivos
• Analise os requisitos e necessidades de P&PD
© 2012 -2019 - Antebellum Capacitação Profissional
Passos e ações
1. Realizar análise de privacidade
2. Coletar de privacidade
3. Analisar o impacto da privacidade Meta:
4. Auditar e avaliações iniciais de dados
Preparar a organização para a
5. Estabelecer organização de governança de dados privacidade.
6. Estabelecer fluxos de dados e inventário de dados pessoais
7. Estabelecer programa de P&PD
8. Desenvolver planos de implementação
Objetivos
Projetar e configurar o programa P&PD
© 2012 -2019 - Antebellum Capacitação Profissional
Objetivos
Elaborar e configurar estruturas de governança; por exemplo.
© 2012 -2019 - Antebellum Capacitação Profissional
Passos e ações
Meta:
1. Implementar práticas para gerenciar o uso de dados pessoais
2. Manter avisos de privacidade sobre dados pessoais Estabelecer mecanismos de
3. Executar um plano de solicitações, reclamações e retificação. governança de P&PD
4. Executar uma avaliação de risco de proteção de dados e privacidade
5. Emitir relatórios de P&PD
6. Manter documentação
7. Estabelecer e manter um plano de resposta de violação de dados
Objetivos
© 2012 -2019 - Antebellum Capacitação Profissional
Passos e ações
1. Realize a auditoria interna.
2. Contratar parte externa para avaliações
Meta:
3. Realizar avaliações e estabelecer benchmarks
4. Execute um DPIA Avaliar e melhorar todos os aspectos
5. Resolver riscos específicos de P&PD da organização
6. Relatório Análise de riscos e resultados
7. Monitore leis e regulamentos
(Requisitos)
27701 27002
Preservação de
evidências digitais
Diretrizes para
ABNT 27037 27003 implantação de
um SGSI
Segurança Cibernética
ISO 27000
ISO IEC 27032 27004
Gestão da segurança
da informação —
Medição
8 - Gestão de 9 - Controle de
Segurança da da Segurança da Recursos
Ativos Acesso
Informação Informação humanos
14 – Aquisição,
13 – Segurança 12 – Segurança 11 – Segurança
manutenção e 10 – Criptografia
em de Operações Física e do
desenvolvimento
Comunicações Ambiente
de Sistemas
17 – Aspectos de
16 - Gestão de Segurança da
15 –
incidents de Informação na 18 - Conformidade
Relacionamento
Segurança da Continuidade de
com Fornecedores
Informação Negócios
A 27701 estabelece um Sistema de Gestão de Privacidade da Informação (SGPI) como uma extensão
Depende das normas ISO 27001, 27002 e 29100 para sua implementação
Amplia os requisitos da ISO 27001, levando em consideração a proteção da privacidade dos titulares
de DP
Onde encontramos "segurança da informação" ISO 27001 devemos considerar “segurança da informação e
privacidade"
O controle, as diretrizes para implementação e outras informações estabelecidas na ABNT NBR ISO/IEC 27002:2013,
8.3.3, e as seguintes diretrizes adicionais se aplicam.
........
Convém que a organização submeta a mídia física contendo DP a um procedimento de autorização antes de deixar as
suas instalações e que assegure que o DP não seja acessível para qualquer outra pessoa que não o pessoal autorizado
Objetivo: Determinar e documentar que o tratamento é lícito, com bases legais, conforme as jurisdições aplicáveis, e
com propósitos legítimos e claramente estabelecidos.
Controle: Convém que a organização identifique e documente os propósitos específicos pelos quais os DP serão
tratados
Diretrizes para implementação: Convém que a organização assegure que os titulares de DP entendam o propósito
para os quais os seus DP serão tratados.
+ + =
Considerações Finais
Frameworks para Proteção e Privacidade de Dados 31 ISACA BH Chapter