Соответствие Общеевропейскому регламенту о персональных данных (General Data Protection Regulation, GDPR)

solution

Проблематика

Начиная с 25 мая 2018 года в Евросоюзе вступил в действие Общий регламент о защите данных (General Data Protection Regulation, GDPR), который имеет экстерриториальное действие, т.е. его нормы о Читать полностью

Начиная с 25 мая 2018 года в Евросоюзе вступил в действие Общий регламент о защите данных (General Data Protection Regulation, GDPR), который имеет экстерриториальное действие, т.е. его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза. Таким образом, любая российская компания, работающая с данными европейских граждан, например, на веб-сайте или через электронную почту, будет обязана соблюдать положения GDPR. Положения GDPR во многом пересекаются как с ратифицированной Россией Конвенцией о защите физических лиц при автоматизированной обработке персональных данных, так и с основными положениями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

Основными принципами данного Регламента являются:

·       Законность, справедливость и прозрачность обработки персональных данных

·       Конкретизация цели обработки персональных данных оператором

·       Минимизация объема используемых персональных данных до уровня минимально необходимого для достижения цели обработки

·       Точность и актуальность обрабатываемых персональных данных

·       Соблюдение установленных сроков хранения персональных данных

·       Обеспечение целостности и конфиденциальности обрабатываемых персональных данных

·       Соблюдение порядка взаимодействия с уполномоченными европейскими надзорными органами

·       Реализация принципа «встроенной защиты по умолчанию»

·       Оценка рисков при обработке персональных данных

Несоблюдение положений Общего регламента о защите данных может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Соблюдение положений GDPR с технической точки зрения заключается, в частности,в выполнении следующих мероприятий:

·       Обеспечение сетевой и информационной безопасности, защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных

·       Внедрение технических и организационных мер, соразмерных ассоциированным с обработкой персональных данных рискам, таких как:

o   шифрование персональных данных

o   обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем

o   возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ

o   регулярное тестирование и аудит эффективности применяемых технических и организационных мер

·       Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа

·       Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации

·       Проведение оценки негативного влияния нарушения состояния информационной безопасности данных на субъектов персональных данных

·       Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте (категории и количество затронутых инцидентом субъектов персональных данных, описание возможных последствий утечки, предпринятые компанией контрмеры)

·       Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных

Решение

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, рисками, уязвимостя Читать полностью

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, рисками, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ. Применение данных продуктов можем помочь организациям в выстраивании целостных процессов обеспечения безопасности при обработке персональных данных в соответствии с GDPR.

Например, продукт «Security Vision» в комплектации «Security Operation Center [SOC]» предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.

В дополнение к функционалу комплектации «Security Operation Center [SOC]», следует обратить внимание на комплектацию «Incident Response Platform [IRP]» – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам Общего регламента о защите данных в части реагировании на инциденты (утечки) персональных данных и своевременного уведомления уполномоченного европейского надзорного органа в случае, если инцидент произошел. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.

Кроме того, продукт Security Vision «Cyber Risk System [CRS]» – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре – обеспечит выполнение норм GDPR о применении практик риск-менеджмента при обработке персональных данных.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance  [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, включая персональные, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Также следует отметить, что продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Выполнение требований

Общий регламент о защите данных (General Data Protection Regulation, GDPR) устанавливает требования о защите персональных данных граждан ЕС и имеет экстерриториальное действие. Несоблюдение пол Читать полностью

Общий регламент о защите данных (General Data Protection Regulation, GDPR) устанавливает требования о защите персональных данных граждан ЕС и имеет экстерриториальное действие. Несоблюдение положений GDPR может повлечь наложение на компанию штрафа в размере от 10 до 20 миллионов евро или от 2 до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Применимость:

·       Компании, работающие с данными европейских граждан (например, на веб-сайте или через электронную почту)

Список требований GDPR

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования GDPR

Защита доступности, аутентичности, целостности и конфиденциальности сохраненных или переданных персональных данных: п. 49

Агент контроля целостности

обеспечение конфиденциальности, целостности, доступности и надежности обрабатывающих данные сервисов и систем: ст. 32 п. 1 b)

Агент контроля целостности

Агент доступности

возможность своевременно восстановить доступность персональных данных в случае инцидента ИБ:ст. 32 п. 1 c)

Агент доступности

Комплектация «Incident Response Platform [IRP]»: Оповещение и эскалация, Управление жизненным циклом инцидентов, Конструктор сценариев реагирования

Регулярное тестирование и аудит эффективности применяемых технических и организационных мер:ст. 32 п. 1 d)

Комплектация «Security Governance, Risk Management and Compliance [SGRC]»:Внутренние и внешние аудиты ИБ

Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа: п. 82

Ядро корреляции

Агент сбора

Комплектация «Incident Response Platform [IRP]»: Конструктор отчетов

Комплектация «Security Governance, Risk Management and Compliance [SGRC]»:Внутренние и внешние аудиты ИБ

Оценка рисков, сопутствующих обработке персональных данных, и принятие мер по их минимизации: п. 76, 83, 84, 90

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте: ст. 33

Комплектация «Incident Response Platform [IRP]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Повышение осведомленности и проведение занятий в области информационной безопасности и защиты персональных данных: п. 132, ст. 39 п. 1b)

Повышение осведомленности (Awareness) в области ИБ

 

Ссылки

Общий регламент о защите данных (General Data Protection Regulation, GDPR): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

Продукты

SOC

Security Operation Center

8 модулей

IRP

Incident Response Platform

11 модулей

CRS

Cyber Risk System

7 модулей

SGRC

Security Governance, Risk Management and Compliance

11 модулей
Заказатьзвонок

Согласие на обработку персональных данных