9 Мерки за сигурност, които ще помогнат за подготовката за GDPR

Общият регламент за защита на данните (GDPR) ще замени Директивата за защита на данните (95/46 / EО) през май 2018 г.. Организациите в Европа, които обработват лични данни от всякакъв вид, както и всички компании, работещи в Европейският съюз (ЕС)  са задължени да спазват това ново Европейско законодателство (GDPR).

Крайната цел на GDPR е да предостави набор от стандартизирани закони за защита на личните данни на гражданите на ЕС. Спазването на GDPR ще се основава до голяма степен на съществуването на ефективна защита на личните данни и мерки за кибер сигурност, които ще предотвратят загуба или компрометиране на лични данни.

Следващите теми обобщават ключовите аспекти на сигурността на данните, които трябва да бъдат взети предвид при изграждането на ефективен план за спазване на GDPR. Повечето от тези препоръчителни практики за сигурност вече са признати от ИТ и експерти по сигурността като най-добри практики за сигурно управление на информацията, тъй като много организации вече имат някои аспекти на сигурността в съответствие, за да помогнат за спазването на GDPR.

Защита на мрежата и електронната поща

Основните рискове от неоторизиран достъп до лични данни от мрежата включват фишинг атаки, неразрешен достъп чрез усъвършенствани устойчиви заплахи (APT), ransomware и други външни атаки към мрежата. Поддържайте защитната стена (firewall), антивирусната защита и операционните системи актуализирани. Поддържайте текуща инвентаризация на устройства (сървъри, работни станции, лаптопи и отдалечени устройства), свързани с мрежата.

Стационарни и мобилни устройства

Актуализирайте и обновявайте операционните системи и останалия софтуер, мигрирайте служителите си от остарели и несигурни браузъри, приложения и приставки за браузъри. Това е важно не само за компютрите, но и за мобилни устройства и устройства за интернет. Съхранявайте софтуера за защита от вируси и проникване на най-новите версии.

Ограничаване на прикачените файлове към имейли

Symantec препоръчва на организациите да конфигурират пощенските сървъри да блокират или премахват електронната поща, която съдържа прикачени файлове, които обикновено се използват за разпространение на вируси, като .VBS, .BAT, .EXE, .PIF и .SCR файлове. Уверете се, че пощенските сървъри са адекватно защитени от софтуера за защита и че всеко писмо е напълно сканирано. Обучете потребителите, за да разпознават подозрителни податели или прикачени файлове и да предприемат действия за предпазване.

Политики за ефективна парола

Служителите и други вътрешни лица представляват значителна заплаха от неразрешен достъп до лични данни, така че осигуряването на достъп на служителите е важна защита. Потребителските пароли трябва да имат поне 8-10 знака и комбинация от букви и цифри. Насърчавайте потребителите да не използват повторно същите пароли на няколко сайтове или приложения. Споделянето на пароли трябва да бъде строго забранено. Паролите трябва да се променят редовно - поне на всеки 90 дни.

Контрол на достъпа на администратора

За да спазите закона, в организацията ви не трябва да има нито един човек с пълен достъп до всички файлове и дори мрежовият ви администратор трябва да има ограничен достъп. Препоръчва се нормалният потребителски акаунт на мрежовия администратор и неговият / нейния акаунт с администраторски права да бъдат разделени и използвани само при необходимост. Това прави одита и контрола на действията на администратора много по-лесни.

Защитете данните по класификация

Разберете чувствителността на различните видове данни и ги класифицирайте, след това задайте съответните правила за достъп. Например данните за заплати и човешки ресурси са много чувствителни и трябва да имат строг ограничен достъп и да не се дублират или запазват на мобилни устройства. Други данни, например обезпечение за продажба или съдържание, споделено в мрежата, могат да бъдат определени като "обществени" и ще имат по-ниско ниво на сигурност. Когато нивата на сигурност се определят и наложат, обучете потребителите в организацията относно практиките за сигурност на данните.

Kриптиране

Криптирането може да се или да не се изисква от правилата, ако организацията обработва минимални обеми лични данни. Методите за шифроване могат да бъдат приложени в локалната или в облачната инфраструктура, включваща сървъри, мрежово криптиране, storage системи и физически носители. Ефективното решение за криптиране ще осигури криптиране на всички устройства, осигуряващи подходяща защита на ключа и криптиране на транзитните лични данни.

 Псевдонимизация

GDPR дефинира псевдонимизацията като "обработка на лични данни по такъв начин, че данните вече да не могат да се приписват на конкретен субект на данните без използване на допълнителна информация". Например три точки от данни: пощенски код, пол и дата на раждане, когато се съхраняват заедно, правят възможно уникалното идентифициране на дадено лице. Като се държат отделно подобни данни, GDPR позволява на обработващите лица да използват данните, като с това не нарушават правата на субектите на данни.

"Поверителност по дизайн"

GDPR изисква както защита на данните по проект, така и защита на данните по подразбиране. Това означава, че предпазните мерки за защита на данните следва да бъдат вградени в продуктите и услугите от най-ранния етап на развитие им. Поверителността и защитата на данните трябва да се превърнат в ключови съображения в ранните етапи на всеки проект, например:
 • Създаване на уеб формуляри или системи за поръчки и комуникации на клиентите, при които се събират данни за клиентите;
 • Изграждане на нови ИТ системи за съхранение или достъп до лични данни;
 • Разработване на законодателство, политика или стратегии, които имат отражение върху неприкосновеността на личния живот.

Отчетност на изпълнителната власт

Всички процеси и структури за сигурност на данните трябва да се поддържат на оптимално ниво чрез редовни одити, ефективно управление и планиране на действията при инциденти. За да се докаже съответствие с GDPR, в регламентите се посочва, че служител по защита на данните (DPO) трябва да бъде назначен и упълномощен да гарантира спазването на изискванията. Ролята на този служител включва издаване на одиторски изисквания, докладване на нарушения и действащо като контактно звено за регулаторите и органите за данни.


July 18, 2017 от James MacGregor

Линк към oригиналния пост http://www.fronteo.com/usa/9-security-measures-that-will-help-prepare-for-gdpr/