Сочинение на тему Соответствие GDPR: влияние на Infosec в 2018 году и далее
- Опубликовано: 23.07.2020
- Предмет: преступление
- Темы: Безопасность
Общее положение о защите данных (GDPR) заменит Директиву о защите данных 95/46 / ec весной 2018 года, что означает, что командам по информационной безопасности необходимо начать подготовку сейчас, чтобы гарантировать, что их организации будут соответствовать требованиям, когда новые правила вступят в силу, или рискуют получить штрафы и жесткие штрафы. GDPR распространяется на все государства Европейского Союза (ЕС), а также на любые компании, которые продают товары или услуги резидентам ЕС. Другими словами, GDPR будет иметь далеко идущие последствия для глобальных организаций.
Что такое GDPR для глобальных групп информационной безопасности и как они должны готовиться к предстоящим изменениям? Чтобы получить представление о предполагаемом влиянии GDPR на предприятия, расположенные в ЕС, а также на тех, кто продает товары или услуги жителям ЕС, мы обратились к группе лидеров информационной безопасности и попросили их взвесить этот вопрос. : Предстоящее Общее регулирование защиты данных ЕС (GDPR) станет одним из самых строгих и далеко идущих правил защиты данных, которые когда-либо принимались … Введение жестких требований к защите данных и суровых штрафов за несоблюдение для любого бизнеса во всем мире, который собирает или обрабатывает Данные резидента ЕС. Целью GDPR является гармонизация законов о конфиденциальности данных в Европе, защита и расширение прав и возможностей всех граждан ЕС в отношении конфиденциальности данных, а также изменение подхода организаций к конфиденциальности данных.
GDPR станет крупнейшим пересмотром правил конфиденциальности данных, которые ЕС и большая часть мира испытали за последние 30 лет. Его требования к конфиденциальности будут обширными и тщательными, включая защиту личной информации граждан ЕС и жителей, таких как данные, касающиеся их здоровья, генетики, биометрии, расы, сексуальной ориентации и политических убеждений.
После вступления в силу GDPR 25 мая 2018 года любая организация, обрабатывающая данные резидентов ЕС, должна быть готова соблюдать более строгие правила конфиденциальности или быть готова платить до 4% от своего глобального годового дохода в виде штрафов или 10 000 000 евро. Это несомненный фактор, который несут компании, не соблюдающие нормативные требования, но для компаний, соответствующих нормативам, важна повышенная степень доверия и лояльности клиентов, которые могут последовать, когда компании продемонстрируют успехи в защите личных данных граждан и резидентов ЕС. К сожалению, многие организации могут не спешить адаптироваться к новым изменениям, таким как GDPR, и необходимо ускорить свои усилия, чтобы обеспечить соблюдение GDPR до наступления крайнего срока. Шокирующие 52% компаний считают, что они не будут готовы к соблюдению ВВП и в конечном итоге будут платить штрафы! Во избежание этого важно расставить приоритеты в ресурсах, процессах и людях, чтобы гарантировать, что вы не только готовитесь к GDPR, но и разрабатываете постоянную программу, которая в конечном итоге превратится в рутинные деловые операции.
Получение исполнительного руководства и сотрудничества с заинтересованными сторонами является первым шагом в соблюдении GDPR. Критическое значение имеет вступительный взнос на уровне совета директоров, а также назначение исполнительного лидера; желательно генеральный директор. GDPR – это, в первую очередь, не проблема безопасности и не ИТ. Это бизнес-проблема, которая зависит от межведомственного сотрудничества всех заинтересованных сторон для достижения успеха. Назначение сильного централизованного лидера GDPR с основной командой GDPR между бизнес-единицами является первым шагом на пути к соблюдению GDPR; тем не менее, основная команда проекта GDPR должна быть подотчетна совету директоров и исполнительному руководству, а руководство должно идти сверху вниз.
Есть много вопросов о роли сотрудника по защите данных (DPO). GDPR требует назначения DPO компаниями в ограниченных случаях, а именно, когда основные виды деятельности компании состоят из следующего: операции по обработке данных, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; Обработка большого количества специальных категорий данных, например конфиденциальных данных, таких как здоровье, религия, раса, сексуальная ориентация и т. Д., А также персональных данных, касающихся уголовных обвинительных приговоров и преступлений.
Органы государственной власти всегда должны назначать DPO в рамках GDPR. В целом, DPO потребуется, если ваша компания обрабатывает и манипулирует личными данными (например, банки, здравоохранение, кредитные компании), но если у компании есть только HR-данные, они не обязаны иметь DPO. В настоящее время Международная ассоциация конфиденциальности По оценкам специалистов (IAPP), в Европе требуется 28 000 DPO, чтобы достичь полного соответствия к крайнему сроку 25 мая 2018 года. Потребность в заполнении позиции, безусловно, возрастет, поскольку мы приближаемся к дате исполнения GDPR. Когда GDPR вступает в силу, DPO становится обязательной ролью согласно Статье 37 для всех компаний, которые соответствуют этим критериям. DPO отвечают за обучение компании и ее сотрудников важным требованиям соответствия, обучение персонала, занимающегося обработкой данных, и проведение регулярных аудитов безопасности. DPO также служат связующим звеном между компанией и любыми надзорными органами (SA), которые контролируют деятельность, связанную со сбором или обработкой данных.
Важно отметить, что DPO не обязательно должны быть членами организации. GDPR не включает конкретный список полномочий DPO, но статья 37 требует, чтобы сотрудник по защите данных обладал «экспертными знаниями в области законодательства и практики защиты данных». В Регламенте также указывается, что опыт DPO должен соответствовать операциям по обработке данных организации и уровню защиты данных, необходимому для персональных данных, обрабатываемых контроллерами данных и обработчиками данных. Если вы выбираете внешний DPO, убедитесь, что они знают и понимают не только данные, но и бизнес, для которого они работают. DPO могут быть сотрудником контроллера или процессора, и соответствующие организации могут использовать одного и того же человека для коллективного контроля защиты данных. при условии, что все действия по защите данных могут управляться одним и тем же лицом, а DPO легко доступен для связанных организаций при необходимости. Требуется, чтобы информация DPO была обнародована и предоставлена всем регулирующим надзорным органам. Рекомендуется, чтобы организации начали оценку потенциальных кандидатов DPO уже сейчас, чтобы они могли определить, соответствуют ли они требованиям, являясь ценным дополнением к команде заинтересованных сторон GDPR. < / р>
Начните с поиска кандидатов в вашей организации, так как они лучше всего разбираются в вашем бизнесе. GDPR довольно туманный при назначении решений или технологий для достижения соответствия; однако это намеренно. GDPR предназначен для размещения новых и появляющихся технологий, таких как облачные системы, IoT, машинное обучение и социальные сети. Многие из этих технологий были недоступны, когда были приняты предыдущие положения о защите данных, такие как Директива ЕС о защите данных 1995 года, поэтому ГДПР был спроектирован так, чтобы организации могли гибко выполнять свои технологические мандаты. Недостатком является то, что во многих компаниях не хватает руководства относительно того, какие технологии могут помочь им ускорить или обеспечить соблюдение GDPR. Рекомендуется начать с оценки наглядности того, какие данные существуют в вашей среде и какие типы персональных данных – особенно данные, регулируемые GDPR. – вы собираете, обрабатываете и храните, чтобы у вас было глубокое понимание вашей подверженности риску и расставить приоритеты для дальнейших усилий по соблюдению.
Какие бы технологии вы ни выбрали, необходимо понять, как они позволяют вам обрабатывать личные данные и устанавливать контроль над этими данными, включая согласие (согласие), право быть забытым, прозрачность и переносимость данных, поскольку пользователи имеют право получать документацию о том, как их личные данные используются и хранятся. В то время как организации разрабатывают свою программу по соблюдению GDPR и определяют влияние, которое новое регулирование окажет на людей, процессы и технологии, некоторые могут посчитать более рентабельным аутсорсинг для программы управляемой безопасности (MSP), которая управляет процессом для них. Ввиду нехватки талантов в области ИТ-безопасности это может стать более приемлемым вариантом для организаций, которым не хватает внутренних ресурсов и численности персонала, но которые должны соответствовать GDPR.
Группа реагирования на инциденты в области компьютерной безопасности (CSIRT, пояснено «see-sirt») – это подразделение, которое получает отчеты о взрывах безопасности, проводит проверки отчетов и отвечает
АВТОРЕФЕРАТ Отчет о назначении отдельных лиц и групп связан с программой и политиками управления и развития ИТ-безопасности. Организация, которую я выбрал, воображаемая организация A2Z. Основной
Безопасность удаленной системы – это способ наметить, реализовать и обеспечить безопасность на удаленном компьютере. Это подмножество системной безопасности, которое включает гарантию для удаленной сети ПК.