GDPR Оценка соответствия нормам GDPR
Регламент General Data Protection Regulation (GDPR) должны соблюдать все организации, обрабатывающие персональные данные субъектов, находящихся на территории ЕС, в т.ч. граждан РФ.
Под требования GDPR попадают:
- Дочерние общества крупных российских холдингов – торговые предприятия компаний-экспортеров, находящиеся на территории ЕС.
- Компании банковского и телекоммуникационного сектора.
- Компании, предоставляющие услуги потребителям из ЕС: интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг.
Возможный ущерб:
- штраф до €20,000,000 или
- 4% от годовой прибыли компании
- а также запрет на обработку ПД, закрытие компании, запрет директору занимать руководящие должности в течение 3 и более лет
Управление активами — основа для соответствия GDPR и обеспечения кибербезопасности
Проект GDPR предоставляет комплексный анализ инфраструктуры, обеспечивает обнаружение неуправляемых и уязвимых устройств в ИТ-инфраструктуре и дает рекомендации для повышения кибербезопасности и сохранности персональных данных.
Обеспечьте соответствие нормам GDPR и снижайте риски кибербезопасности:
Определите способы доступа и использования персональных данных | Примите меры безопасности для предотвращения и обнаружения утечки данных |
Защитите критически важные сегменты инфраструктуры | Обеспечьте целостность, доступность и конфиденциальность данных |
Проведите оценку рисков систем и ПО на предмет потенциальных угроз для конфиденциальности данных субъектов | Реагируйте на уязвимости. Определите области риска и обеспечьте соответствие требованиям и безопасность |
Как проводится оценка в процессе аудита:
Конфиденциальность и безопасность объединены и требуют организационных изменений. В ходе проекта оцениваются организационный и технический уровни:
Традиционная среда |
Среда с учётом конфиденциальности |
Бизнес / Коммерческая стратегия | Стратегия конфиденциальности |
Общее понимание безопасности | Общеорганизационная культура безопасности и конфиденциальности |
Узкоспециализированные отношения с бизнес-партнёрами/поставщиками | Предварительно подготовленные (обрабатываемые) соглашения |
Фокус на бизнес-приложениях как активах | Фокус на данных как активе компании |
Индивидуально определённый доступ на основе групп безопасности | Доступ на основе бизнес-ролей с обоснованными доказательствами доступа с проверками / аудитами |
Практика обеспечения безопасности для защиты ИТ-активов | Защита данных для обеспечения конфиденциальности |
Результаты:
- Комплексная оценка и рекомендации по процессам управления критическими данными, с учетом внедренных практик на организационном и техническом уровнях
- Оценка и рекомендации для повышения кибербезопасности по критическим направлениям на основе международного свода рекомендаций CIS Controls
- План ближайших шагов по устранению наиболее критичных уязвимостей
- Дорожная карта по внедрению передовых решений для построения гибкой ИТ инфраструктуры, быстро реагирующей на возникающие угрозы
- Построение модели зрелости, соотносящейся со статьями регламента GDPR – оценка обеспечения конфиденциальности, безопасности и минимизации риска раскрытия ПД
- Рекомендации для улучшения управления и защиты ПД и соответствия требованиям GDPR
Узнать подробнее
CIS Controls – рекомендации, опубликованные Центром стратегических и международных исследований (CSIS) для усовершенствования кибербезопасности, представляющие собой описание приоритетных шагов по снижению рисков. Надежная автоматизация важнейших средств обеспечения безопасности позволяет уменьшить число «измеряемых» рисков более чем на 90%.
Оценка зрелости ИБ позволит разработать самые важные процессы обеспечения безопасности в 20 направлениях, в том числе – предотвращающие несанкционированный доступ злоумышленников к системам и сетям компании либо минимизирующие ущерб, вызванный таким доступом.