Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов
Шрифт:
Интервал:
Соответствие требованиям GDPR для мобильных и IoT-устройств
Поскольку мобильные и IoT-устройства играют все более важную роль в нашей повседневной жизни, организациям важно понимать, какими должны быть последствия соблюдения требований Общего регламента по защите данных (GDPR) для этих технологий. Согласно GDPR, любая организация, обрабатывающая персональные данные, должна принимать технические и организационные меры для обеспечения безопасности этих данных, включая защиту от несанкционированной или незаконной обработки, а также случайной утраты, уничтожения или повреждения.
Когда речь идет о мобильных и IoT-устройствах, это означает принятие мер по защите самих устройств и всех хранящихся на них данных. Например, организациям следует обеспечить наличие на мобильных устройствах надежных паролей и использовать шифрование для защиты хранящихся на них данных. Они также должны иметь политику удаленного стирания данных в случае потери или кражи устройства.
Помимо защиты самих устройств организации должны обеспечить защиту с помощью шифрования любых данных, передаваемых через интернет или беспроводные сети. К ним относятся данные, передаваемые с мобильных устройств на серверы организации или сторонним поставщикам услуг.
Когда речь идет об устройствах IoT, организации должны знать о данных, которые собирают и хранят эти устройства, и принимать меры по их защите. Например, организации должны собирать только минимально необходимый объем данных и иметь политику их безопасного хранения и утилизации, когда они больше не нужны.
В целом организации должны принимать меры, необходимые для обеспечения безопасности мобильных и IoT-устройств, а также защиты любых обрабатываемых ими данных, в соответствии с GDPR. Это предусматривает внедрение технических и организационных мер, а также обучения сотрудников надлежащему использованию этих устройств.
Соблюдение требований GDPR в ходе работы со сторонними поставщиками услуг
Когда речь идет о соответствии требованиям GDPR, организации несут ответственность за обеспечение не только собственного соответствия требованиям, но и соответствия всех сторонних поставщиков услуг, с которыми они работают. К ним относятся поставщики, подрядчики и другие организации, которые обрабатывают или хранят персональные данные от имени организации.
Чтобы обеспечить соответствие GDPR в ходе работы со сторонними поставщиками услуг, организациям следует предпринять следующие шаги.
1. Тщательно проверить потенциальных поставщиков услуг. Это подразумевает изучение их политик, предпринимаемых ими мер безопасности, а также послужного списка в отношении соблюдения законов о защите данных.
2. Включить в договоры с поставщиками услуг положения, соответствующие GDPR. Они должны требовать от поставщика услуг применения технических и организационных мер для защиты персональных данных, а также уведомления организации в случае утечки данных.
3. Регулярно контролировать и проверять поставщиков услуг на предмет соблюдения ими условий договоров и требований GDPR.
4. Иметь план расторжения контрактов с поставщиками услуг, которые не в состоянии соблюдать GDPR.
Приняв эти меры, организации могут гарантировать, что их не привлекут к ответственности за несоблюдение требований поставщиками услуг. Важно также отметить, что GDPR предусматривает ответственность за нарушения, допущенные как самой организацией, так и ее сторонними поставщиками услуг. Это означает, что, если ваш поставщик услуг нарушает GDPR, ваша организация также может быть привлечена к ответственности.
Соответствие требованиям GDPR и планирование непрерывности бизнеса
Планирование непрерывности бизнеса — важный аспект соблюдения требований GDPR, поскольку оно гарантирует, что организация сможет продолжать оказывать услуги и защищать персональные данные физических лиц в случае сбоя, например стихийного бедствия, кибератаки или другой чрезвычайной ситуации. Согласно GDPR, организации обязаны применять технические и организационные меры для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем и служб обработки данных. Сюда входят меры по своевременному восстановлению доступа к персональным данным в случае физического или технического сбоя.
Для соблюдения требований GDPR организации должны иметь комплексный план обеспечения непрерывности бизнеса, который учитывает потенциальные угрозы и уязвимости, описывает шаги, которые необходимо предпринять в случае сбоя, и определяет персонал, ответственный за различные аспекты плана. План должен предусматривать регулярное тестирование и проверку, обеспечивающие его эффективность и актуальность. Кроме того, организации должны разработать процессы, позволяющие как можно скорее уведомить органы власти и лиц, пострадавших от утечки персональных данных.
Международные аспекты соблюдения GDPR
Общий регламент по защите данных — это всеобъемлющий закон о защите данных, который применяется к организациям, работающим на территории Европейского союза. Действует GDPR и в отношении организаций, находящихся за пределами ЕС, если они обрабатывают персональные данные жителей ЕС. Таким образом, независимо от своего физического местонахождения организации, работающие по всему миру, должны учитывать GDPR при обработке персональных данных жителей ЕС.
Один из ключевых моментов обеспечения соответствия GDPR на международном уровне — понимание того, какие правовые требования существуют в каждой стране, где работает организация. Это подразумевает обеспечение соблюдения законов и правил о защите данных, а также выполнение любых дополнительных требований.
Еще один момент — передача персональных данных между странами. GDPR содержит строгие правила, касающиеся передачи персональных данных за пределы ЕС, известные как механизм передачи. Организации должны убедиться, что любая передача персональных данных в третью страну или международную организацию осуществляется в соответствии с GDPR. Это предусматривает использование стандартных договорных положений, обязательных корпоративных правил или утвержденных кодексов поведения.
Организации должны назначить представителя в ЕС, если они базируются за пределами Евросоюза и обрабатывают персональные данные жителей ЕС в больших масштабах. Представитель выступает в качестве контактного лица для субъектов данных и надзорного органа в случае возникновения вопросов по защите данных.
Наконец, организации должны назначить ответственного за защиту данных (DPO), если они являются государственным органом, осуществляют крупномасштабную обработку специальных категорий данных или проводят крупномасштабный мониторинг субъектов данных. DPO отвечает за обеспечение соответствия организации требованиям GDPR.
Другие ключевые нормативные акты и стандарты в области компьютерной безопасности
Соответствие требованиям SOX. Стандарты и процедуры
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!