Соответствие Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR)
Выполнение требований
Общий регламент о защите данных (General Data Protection Regulation, GDPR) устанавливает требования о защите персональных данных граждан ЕС и имеет экстерриториальное действие. Несоблюдение положений GDPR может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.
Применимость:
· Компании, работающие с данными европейских граждан (например, на веб-сайте или через электронную почту)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Общий регламент о защите данных (General Data Protection Regulation, GDPR) устанавливает требования о защите персональных данных граждан ЕС и имеет экстерриториальное действие. Несоблюдение положений GDPR может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.
Применимость:
· Компании, работающие с данными европейских граждан (например, на веб-сайте или через электронную почту)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Проблематика
Начиная с 25 мая 2018 года в Евросоюзе вступил в действие Общий регламент о защите данных (General Data Protection Regulation, GDPR), который имеет экстерриториальное действие, т.е. его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза. Таким образом, любая российская компания, работающая с данными европейских граждан, например, на веб-сайте или через электронную почту, будет обязана соблюдать положения GDPR. Положения GDPR во многом пересекаются как с ратифицированной Россией Конвенцией о защите физических лиц при автоматизированной обработке персональных данных, так и с основными положениями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.
Основными принципами данного Регламента являются:
· Законность, справедливость и прозрачность обработки персональных данных
· Конкретизация цели обработки персональных данных оператором
· Минимизация объема используемых персональных данных до уровня минимально необходимого для достижения цели обработки
· Точность и актуальность обрабатываемых персональных данных
· Соблюдение установленных сроков хранения персональных данных
· Обеспечение целостности и конфиденциальности обрабатываемых персональных данных
· Соблюдение порядка взаимодействия с уполномоченными европейскими надзорными органами
· Реализация принципа «встроенной защиты по умолчанию»
· Оценка рисков при обработке персональных данных
Несоблюдение положений Общего регламента о защите данных может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.
Соблюдение положений GDPR с технической точки зрения заключается, в частности, в выполнении следующих мероприятий:
· Обеспечение сетевой и информационной безопасности, защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных
· Внедрение технических и организационных мер, соразмерных ассоциированным с обработкой персональных данных рискам, таких как:
o шифрование персональных данных
o обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем
o возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ
o регулярное тестирование и аудит эффективности применяемых технических и организационных мер
· Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа
· Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации
· Проведение оценки негативного влияния нарушения состояния информационной безопасности данных на субъектов персональных данных
· Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте (категории и количество затронутых инцидентом субъектов персональных данных, описание возможных последствий утечки, предпринятые компанией контрмеры)
· Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных
Начиная с 25 мая 2018 года в Евросоюзе вступил в действие Общий регламент о защите данных (General Data Protection Regulation, GDPR), который имеет экстерриториальное действие, т.е. его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза. Таким образом, любая российская компания, работающая с данными европейских граждан, например, на веб-сайте или через электронную почту, будет обязана соблюдать положения GDPR. Положения GDPR во многом пересекаются как с ратифицированной Россией Конвенцией о защите физических лиц при автоматизированной обработке персональных данных, так и с основными положениями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.
Основными принципами данного Регламента являются:
· Законность, справедливость и прозрачность обработки персональных данных
· Конкретизация цели обработки персональных данных оператором
· Минимизация объема используемых персональных данных до уровня минимально необходимого для достижения цели обработки
· Точность и актуальность обрабатываемых персональных данных
· Соблюдение установленных сроков хранения персональных данных
· Обеспечение целостности и конфиденциальности обрабатываемых персональных данных
· Соблюдение порядка взаимодействия с уполномоченными европейскими надзорными органами
· Реализация принципа «встроенной защиты по умолчанию»
· Оценка рисков при обработке персональных данных
Несоблюдение положений Общего регламента о защите данных может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.
Соблюдение положений GDPR с технической точки зрения заключается, в частности, в выполнении следующих мероприятий:
· Обеспечение сетевой и информационной безопасности, защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных
· Внедрение технических и организационных мер, соразмерных ассоциированным с обработкой персональных данных рискам, таких как:
o шифрование персональных данных
o обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем
o возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ
o регулярное тестирование и аудит эффективности применяемых технических и организационных мер
· Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа
· Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации
· Проведение оценки негативного влияния нарушения состояния информационной безопасности данных на субъектов персональных данных
· Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте (категории и количество затронутых инцидентом субъектов персональных данных, описание возможных последствий утечки, предпринятые компанией контрмеры)
· Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных
Применение
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, рисками, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ. Применение данных продуктов можем помочь организациям в выстраивании целостных процессов обеспечения безопасности при обработке персональных данных в соответствии с GDPR.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам Общего регламента о защите данных в части реагировании на инциденты (утечки) персональных данных и своевременного уведомления уполномоченного европейского надзорного органа в случае, если инцидент произошел. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.
Кроме того, продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре – обеспечит выполнение норм GDPR о применении практик риск-менеджмента при обработке персональных данных.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт Security Governance, Risk Management and Compliance [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, включая персональные, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Также следует отметить, что продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, рисками, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ. Применение данных продуктов можем помочь организациям в выстраивании целостных процессов обеспечения безопасности при обработке персональных данных в соответствии с GDPR.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам Общего регламента о защите данных в части реагировании на инциденты (утечки) персональных данных и своевременного уведомления уполномоченного европейского надзорного органа в случае, если инцидент произошел. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.
Кроме того, продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре – обеспечит выполнение норм GDPR о применении практик риск-менеджмента при обработке персональных данных.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт Security Governance, Risk Management and Compliance [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, включая персональные, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Также следует отметить, что продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
Ссылки
• Общий регламент о защите данных (General Data Protection Regulation, GDPR): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679
