solution

Соответствие Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR)

Выполнение требований

Общий регламент о защите данных (General Data Protection Regulation, GDPR) устанавливает требования о защите персональных данных граждан ЕС и имеет экстерриториальное действие. Несоблюдение положений GDPR может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Применимость:

·       Компании, работающие с данными европейских граждан (например, на веб-сайте или через электронную почту)

Список требований GDPR

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования GDPR

Защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных: п. 49

Агент контроля целостности

Обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем: ст. 32 п. 1 b)

Агент контроля целостности

Агент доступности

Возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ:ст. 32 п. 1 c)

Агент доступности

Комплектация Incident Response Platform [IRP]: Оповещение и эскалация, Управление жизненным циклом инцидентов, Конструктор сценариев реагирования

Регулярное тестирование и аудит эффективности применяемых технических и организационных мер:ст. 32 п. 1 d)

Комплектация Security Governance, Risk Management and Compliance [SGRC]: Внутренние и внешние аудиты ИБ

Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа: п. 82

Ядро корреляции

Агент сбора

Комплектация Incident Response Platform [IRP]: Конструктор отчетов

Комплектация Security Governance, Risk Management and Compliance [SGRC]: Внутренние и внешние аудиты ИБ

Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации: п. 76, 83, 84, 90

Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте: ст. 33

Комплектация Incident Response Platform [IRP]: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных: п. 132, ст. 39 п. 1b)

Повышение осведомленности (Awareness) в области ИБ

 

Общий регламент о защите данных (General Data Protection Regulation, GDPR) устанавливает требования о защите персональных данных граждан ЕС и имеет экстерриториальное действие. Несоблюдение положений GDPR может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Применимость:

·       Компании, работающие с данными европейских граждан (например, на веб-сайте или через электронную почту)

Список требований GDPR

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования GDPR

Защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных: п. 49

Агент контроля целостности

Обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем: ст. 32 п. 1 b)

Агент контроля целостности

Агент доступности

Возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ:ст. 32 п. 1 c)

Агент доступности

Комплектация Incident Response Platform [IRP]: Оповещение и эскалация, Управление жизненным циклом инцидентов, Конструктор сценариев реагирования

Регулярное тестирование и аудит эффективности применяемых технических и организационных мер:ст. 32 п. 1 d)

Комплектация Security Governance, Risk Management and Compliance [SGRC]: Внутренние и внешние аудиты ИБ

Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа: п. 82

Ядро корреляции

Агент сбора

Комплектация Incident Response Platform [IRP]: Конструктор отчетов

Комплектация Security Governance, Risk Management and Compliance [SGRC]: Внутренние и внешние аудиты ИБ

Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации: п. 76, 83, 84, 90

Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте: ст. 33

Комплектация Incident Response Platform [IRP]: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных: п. 132, ст. 39 п. 1b)

Повышение осведомленности (Awareness) в области ИБ

 

Проблематика

Начиная с 25 мая 2018 года в Евросоюзе вступил в действие Общий регламент о защите данных (General Data Protection Regulation, GDPR), который имеет экстерриториальное действие, т.е. его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза. Таким образом, любая российская компания, работающая с данными европейских граждан, например, на веб-сайте или через электронную почту, будет обязана соблюдать положения GDPR. Положения GDPR во многом пересекаются как с ратифицированной Россией Конвенцией о защите физических лиц при автоматизированной обработке персональных данных, так и с основными положениями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

Основными принципами данного Регламента являются:

·       Законность, справедливость и прозрачность обработки персональных данных

·       Конкретизация цели обработки персональных данных оператором

·       Минимизация объема используемых персональных данных до уровня минимально необходимого для достижения цели обработки

·       Точность и актуальность обрабатываемых персональных данных

·       Соблюдение установленных сроков хранения персональных данных

·       Обеспечение целостности и конфиденциальности обрабатываемых персональных данных

·       Соблюдение порядка взаимодействия с уполномоченными европейскими надзорными органами

·       Реализация принципа «встроенной защиты по умолчанию»

·       Оценка рисков при обработке персональных данных

Несоблюдение положений Общего регламента о защите данных может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Соблюдение положений GDPR с технической точки зрения заключается, в частности, в выполнении следующих мероприятий:

·       Обеспечение сетевой и информационной безопасности, защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных

·       Внедрение технических и организационных мер, соразмерных ассоциированным с обработкой персональных данных рискам, таких как:

o   шифрование персональных данных

o   обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем

o   возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ

o   регулярное тестирование и аудит эффективности применяемых технических и организационных мер

·       Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа

·       Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации

·       Проведение оценки негативного влияния нарушения состояния информационной безопасности данных на субъектов персональных данных

·       Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте (категории и количество затронутых инцидентом субъектов персональных данных, описание возможных последствий утечки, предпринятые компанией контрмеры)

·       Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных

Начиная с 25 мая 2018 года в Евросоюзе вступил в действие Общий регламент о защите данных (General Data Protection Regulation, GDPR), который имеет экстерриториальное действие, т.е. его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза. Таким образом, любая российская компания, работающая с данными европейских граждан, например, на веб-сайте или через электронную почту, будет обязана соблюдать положения GDPR. Положения GDPR во многом пересекаются как с ратифицированной Россией Конвенцией о защите физических лиц при автоматизированной обработке персональных данных, так и с основными положениями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

Основными принципами данного Регламента являются:

·       Законность, справедливость и прозрачность обработки персональных данных

·       Конкретизация цели обработки персональных данных оператором

·       Минимизация объема используемых персональных данных до уровня минимально необходимого для достижения цели обработки

·       Точность и актуальность обрабатываемых персональных данных

·       Соблюдение установленных сроков хранения персональных данных

·       Обеспечение целостности и конфиденциальности обрабатываемых персональных данных

·       Соблюдение порядка взаимодействия с уполномоченными европейскими надзорными органами

·       Реализация принципа «встроенной защиты по умолчанию»

·       Оценка рисков при обработке персональных данных

Несоблюдение положений Общего регламента о защите данных может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Соблюдение положений GDPR с технической точки зрения заключается, в частности, в выполнении следующих мероприятий:

·       Обеспечение сетевой и информационной безопасности, защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных

·       Внедрение технических и организационных мер, соразмерных ассоциированным с обработкой персональных данных рискам, таких как:

o   шифрование персональных данных

o   обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем

o   возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ

o   регулярное тестирование и аудит эффективности применяемых технических и организационных мер

·       Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа

·       Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации

·       Проведение оценки негативного влияния нарушения состояния информационной безопасности данных на субъектов персональных данных

·       Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте (категории и количество затронутых инцидентом субъектов персональных данных, описание возможных последствий утечки, предпринятые компанией контрмеры)

·       Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных

Применение

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, рисками, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ. Применение данных продуктов можем помочь организациям в выстраивании целостных процессов обеспечения безопасности при обработке персональных данных в соответствии с GDPR.

Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.

В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам Общего регламента о защите данных в части реагировании на инциденты (утечки) персональных данных и своевременного уведомления уполномоченного европейского надзорного органа в случае, если инцидент произошел. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.

Кроме того, продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре – обеспечит выполнение норм GDPR о применении практик риск-менеджмента при обработке персональных данных.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт Security Governance, Risk Management and Compliance  [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, включая персональные, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Также следует отметить, что продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, рисками, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ. Применение данных продуктов можем помочь организациям в выстраивании целостных процессов обеспечения безопасности при обработке персональных данных в соответствии с GDPR.

Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.

В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам Общего регламента о защите данных в части реагировании на инциденты (утечки) персональных данных и своевременного уведомления уполномоченного европейского надзорного органа в случае, если инцидент произошел. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.

Кроме того, продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре – обеспечит выполнение норм GDPR о применении практик риск-менеджмента при обработке персональных данных.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт Security Governance, Risk Management and Compliance  [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, включая персональные, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Также следует отметить, что продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Ссылки

•          Общий регламент о защите данных (General Data Protection Regulation, GDPR): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных