Добре дошли на сайта на ZZZ

Обадете ни се 0878 311 510

Open Hours
пон - съб: 8.00 - 18.00

През май 2018 г. ще влезе в сила регламентът за защита на данните General Data Privacy Regulation (GDPR), който ще наложи значителни промени в начина, по който организациите обработват и съхраняват данни.

Цялостният регламент съдържа 200 страници и 99 члена и има за цел да повиши защитата на личните данни, като подложи организациите на по-строги и нови изисквания, каквито са уведомяването за нарушения и увеличаването на глобите за организации, които се успеят да се съобразят с изискванията.

GDPR ще се прилага за всички организации, които контролират или обработват данни в рамките на ЕС, както и за тези, които контролират или обработват данни, свързани с жители на ЕС. Това означава, че въпреки че GDPR е регламент на ЕС, организациите в САЩ, които обработват данни на жители на ЕС, също ще трябва да се съобразят с него, съобщиха от Cybersecurityintelligence.com.

Организациите ще трябва да поддържат план за откриване на нарушения на данните, редовно да оценяват ефективността на практиките си за сигурност и да документират доказателства за съответствие.
GDPR обаче не предоставя конкретно техническо ръководство, което означава, че самите организациите ще бъдат отговорни за създаването и поддържането на най-добрите практики, необходими им за спазването на очертаните изисквания за сигурност на данните. Имайки предвид това, ви предлагаме девет стъпки за подготовка за спазване на изискванията за сигурност, които ще бъдат наложени от GDPR.

Внедрете SIEM инструмент с възможности за управление на лог файловете.

Чл. 30 от GDPR гласи, че всеки администратор трябва да следи и записва всички обработващи дейности, за които отговаря. За целта организациите обикновено използват SIEM (Security Information and Event Management) инструмент, който централизира лог файловете от приложения, системи и мрежи, позволявайки на компаниите да следят всички дейности на потребителите и системите, както и да идентифицират всяко подозрително или злонамерено поведение. 
Потребителите могат да получат представа какво е станало, да разследват подозрително поведение, включително да анализират каква атака е използвана и да разглеждат свързаните с атаката събития, IP адресите на източника й и др. 
Организациите с облачно съхранявани данни трябва да гарантират, че техният SIEM инструмент може да записва не само локалната дейност, но и публичната и частната инфраструктура на облака, тъй като личните данни, които се съхраняват там, също попадат в обхвата на GDPR.

Инвентаризирайте всички критични активи, които съхраняват или обработват чувствителни данни.

GDPR обхваща всички IT системи, мрежи и устройства, затова организациите трябва да поддържат постоянна инвентаризация на мястото, където се съхраняват лични данни в цялата инфраструктура. Това може да бъде трудна задача, особено в публична облачна среда и в случаите, когато служителите използват BYOD. 
Организациите със служители, които обработват или съхраняват данни на неразрешени устройства, ще продължават да носят отговорност и да подлежат на регулаторни глоби в случай на атака, така че е от особена важност всички компоненти на IT системата на организацията да бъдат идентифицирани и наблюдавани. 
Съществуват различни инструменти за откриване на активи, чрез които организациите непрекъснато могат да следят къде се съхраняват чувствителните данни.

Сканирайте за уязвимости.

Нови уязвимости се появяват почти ежедневно, независимо дали са в софтуер, системна конфигурация, или процеси. По тази причина организациите трябва редовно да извършват сканиране за уязвимости. 
Освен това е важно да се определи нивото на заплаха на всяка уязвимост, като се вземат предвид различни фактори: 
Попада ли засегнатата система в обхвата на GDPR? 
Колко критична е заплахата, колко лични записи могат да бъдат компрометирани? 
Има ли вече извършени реални опити за експлоатиране на уязвимия актив? 
Уязвимостта експлоатирана ли е вече от хакерите в реални хакерски атаки и ако това е така - как?

Провеждайте оценки на риска и прилагайте подходящи за бизнеса модели срещу заплахи.

Организациите трябва да идентифицират и оценяват всички рискове за сигурността, а не само уязвимостите. Чл. 35 от GDPR налага извършването на оценки на въздействието върху защитата на данните (DPIA), а чл. 32 изисква от дружествата да "имплементират подходящи технически и организационни мерки, за да осигурят ниво на сигурност, съответстващо на риска". 
Този указ умишлено звучи общо, за да могат организациите да се възползват от този фреймуърк за информационна сигурност, който ще им осигури най-доброто разбиране за рисковете, пред които са изправени техните собствени системи. NIST и ISO / IEC 27001 са някои от ефективните опции.

Тествайте редовно системите си, за да сте сигурни, че защитните механизми функционират както трябва.

Чл. 32 се отнася до сигурността на обработката на лични данни, като изисква от организациите да създадат процедура за редовен анализ на ефективността на техните проверки за сигурност. Това също въобще не е лесно, а и става все по-трудно с разрастването на организациите се. 
Съществуват три възможни стратегии за потвърждаване на ефективността на мерките ви за сигурност: 
Ръчно извършвана проверка на сигурността – одит на сигурността, пенетрейшън тестове. 
Автоматизирани технологии - консолидиране и интегриране на продуктите за сигурност, така че да трябва да се управляват и докладват по-малко продукти. 
Повторение – проверката дали системите ви са защитени не е еднократно действие, а трябва да бъде постоянен, повтарящ се процес.

Вземете мерки за откриване на заплахите, за да осигурите надеждно и своевременно известяване, когато настъпи нарушение.

GDPR изисква от организациите да докладват на съответния регулаторен орган нарушението в рамките на 72 часа, след като са узнали с него. При високорискови инциденти засегнатите субекти на данни трябва да бъдат уведомени без неоправдано забавяне (чл. 31). 
За да могат да открият, разберат за нарушенията и да реагират бързо, организациите трябва да разполагат с контролни механизми за откриване на заплахи, за да бъдат предупредени незабавно при инциденти.

Наблюдавайте мрежата и поведението на потребителите, за да можете своевременно да идентифицирате и разследвате инциденти със сигурността.

Необходимо е организациите да разбират не само външните заплахи, но и потенциалните вътрешни заплахи. 
Вътрешните заплахи често произтичат от неразрешен достъп до данни. 
За да определите дали вътрешните инциденти са заплахи или не, трябва да обмислите контекста, в който са достъпени корпоративните данни. Например, високият Skype трафик в мрежата на търговския екип вероятно е нормална част от операциите му, но пиков Skype трафик в сървъра на базата данни, който съдържа списък с клиенти, вероятно е индикатор за проблем със сигурността. 
Наблюдението на моделите на поведение на потребителите също помага да се определи дали даден аномален инцидент трябва да се счита за заплаха. Съществуват инструменти, които извършват такова наблюдение, например, NetFlow.

Документиран и практически план за реакция при инциденти.

За да изпълнят правилото на GDPR за 72-часово уведомяване при нарушение, организациите се нуждаят от контрол и процеси по откриването на заплахи, които да ги предупредят за инциденти. Освен това се нуждаят и от план за реакция при нарушения на сигурността на данните, който да им позволи бързо и точно да определят обхвата на въздействието. 
Планът за реакция първо трябва да се съсредоточава върху разследването на всички свързани събития, за да се установи времевата рамка, да се определи източникът на атаката и мерките, които са необходими за ограничаване на щетите от инцидента.

Изгответе план за комуникация, за да уведомите съответните страни.

Накрая, след като извършат всички тези действия, организациите трябва да преценят дали са компрометирани лични данни, за да се определи дали трябва да се съобщи за пробива, съгласно изискванията на GDPR. 
Ако е така, организацията трябва да изпрати съобщение на регулаторния орган в рамките на 72 часа, което трябва да включва следните елементи: 
Какво е естеството на нарушението. 
Посочете имената и данните за контакт на вашия служител, отговорен за защитата на данните. 
Какви са вероятните последици от нарушението. 
Опишете мерките, които са предприети или са предложени да бъдат предприети от администратора на данни, за да се справите с нарушението и да се смекчат неблагоприятните последици. 
Ако са били засегнати лични данни, организациите ще трябва да информират засегнатите граждани на ЕС за инцидента. 
Подготовката за GDPR може да изглежда изключително сложна задача, но организациите, които следват горните стъпки, могат да се справят с предизвикателството и значително да подобрят сигурността си, особено по отношение на откриването на заплахи и на способността си за реагиране.