Мы заметили, что в настоящее время вы посещаете сайт для Великобритании. Хотели бы вы вместо этого посетить наш основной сайт?

GDPR и кибербезопасность: как на практике работает защита данных

Женщина использует планшет с голографическим значком замка и щита, символизирующим защиту данных и кибербезопасность

Статья 32 GDPR: разъяснение требований к безопасности обработки данных

Статья 32 является ключевым требованием кибербезопасности в рамках GDPR. Она обязывает организации внедрять «соответствующие технические и организационные меры» для обеспечения уровня безопасности, соразмерного риску.

По своей сути статья 32 устанавливает риск-ориентированный подход к безопасности. Вместо предписания фиксированного набора мер контроля она требует от организаций оценивать степень конфиденциальности обрабатываемых данных, масштаб своей деятельности и потенциальное влияние нарушения на физических лиц. Меры безопасности должны разрабатываться и поддерживаться с учетом этих рисков.

Это означает, что GDPR не содержит фиксированного контрольного списка требований к нормативному соответствию. От глобального поставщика медицинских услуг, работающего с конфиденциальными медицинскими данными, ожидается более строгий уровень защиты, чем от небольшой организации, обрабатывающей базовую контактную информацию, что отражает как характер данных, так и возможные последствия инцидента.

Что означают «соответствующие технические и организационные меры»

На практике «соответствующие» меры включают сочетание технических средств защиты и организационных процессов, таких как шифрование, многофакторная аутентификация, управление доступом, резервное копирование и восстановление данных, управление уязвимостями, мониторинг безопасности, реагирование на инциденты, планирование устойчивости, а также обучение сотрудников по вопросам информационной безопасности, реализуемое с учетом конкретного профиля рисков организации.

Это отражает более широкий сдвиг в подходе GDPR — от разового соответствия требованиям к модели постоянной ответственности, при которой организации должны быть способны демонстрировать не только наличие мер безопасности, но и их активное поддержание и совершенствование с течением времени. Однако ключевое ожидание заключается не просто в наличии механизмов контроля, но и в способности подтвердить, что эти механизмы эффективны, соразмерны рискам и последовательно применяются.

Организации должны проводить оценку рисков, документировать свои решения и регулярно пересматривать меры контроля, чтобы обеспечивать их соответствие изменяющимся угрозам. Требования к кибербезопасности не являются статичными, а меры контроля, которые считались достаточными несколько лет назад, могут больше не соответствовать текущим ожиданиям регуляторов, поскольку органы по надзору за соблюдением требований все чаще подчеркивают необходимость постоянного совершенствования и подотчетности, а не разового выполнения требований.

Конфиденциальность, целостность и доступность

Обязательства по безопасности GDPR основаны на трех ключевых принципах: конфиденциальность, целостность и доступность. Вместе они определяют, как персональные данные должны защищаться на практике.

Конфиденциальность обеспечивает доступ к персональным данным только уполномоченным лицам. Как правило, организации обеспечивают это с помощью таких мер, как многофакторная аутентификация, контроль доступа в зависимости от должности, шифрование и сегментация сети, которые поддерживаются принципом минимальных привилегий и безопасной конфигурацией систем.

Целостность направлена на защиту данных от несанкционированного изменения или повреждения. Это включает ведение журналов аудита, процессы управления изменениями и мониторинг целостности файлов, а также меры контроля, предотвращающие случайное изменение данных.

Доступность обеспечивает доступность данных и систем при необходимости. Это требует отказоустойчивой инфраструктуры, стратегий резервного копирования, планирования аварийного восстановления и эффективных процессов восстановления после инцидентов.

Из этих принципов доступность часто недооценивается. В соответствии с GDPR атаки с использованием программ-вымогателей, которые делают персональные данные недоступными, могут рассматриваться как инциденты, подлежащие обязательному уведомлению о нарушении персональных данных, даже если данные не были украдены, поскольку сама по себе потеря доступности может квалифицироваться как нарушение в соответствии со статьей 4 (12).

Шифрование, псевдонимизация и защита данных

Шифрование прямо упоминается в статье 32, поскольку является одним из наиболее эффективных способов снижения риска несанкционированного доступа. Данные, передаваемые по сетям, должны быть защищены с использованием современных протоколов шифрования, а данные, хранящиеся на компьютерах, ноутбуках, съемных накопителях, серверах, в резервных копиях и облачных средах, также должны быть зашифрованы с использованием надежных решений (включая аппаратное шифрование), чтобы обеспечить реальную защиту.

Это особенно важно для удаленных и мобильных сотрудников, в случае которых потеря или кража устройств остается распространенным источником утечки данных. По мере того как организации все чаще работают в гибридных и облачных средах, соблюдение требований GDPR также обязывает обеспечивать безопасность удаленных конечных устройств, платформ для совместной работы, облачных хранилищ и сторонних SaaS-приложений, а также использовать аппаратное шифрование для снижения рисков, связанных с обработкой данных за пределами защищенных корпоративных сетей.

Устройства хранения данных с аппаратным шифрованием могут обеспечивать дополнительную защиту конфиденциальных данных, используемых за пределами корпоративного периметра, особенно для удаленных сотрудников, команд на местах и организаций, работающих с регулируемой информацией в распределенных средах, где физическая безопасность устройства остается значимым фактором риска.

Однако одного только шифрования недостаточно. Соответствие требованиям GDPR основано на многоуровневой модели безопасности. Организациям также необходимы надежное управление доступом, мониторинг, возможности реагирования на инциденты, обучение персонала и непрерывное тестирование, обеспечивающее эффективность мер защиты в условиях меняющихся угроз.

Псевдонимизация является еще одним важным методом. Она предполагает замену, удаление или преобразование идентифицирующей пользователя информации таким образом, чтобы персональные данные не могли быть связаны с конкретным лицом без использования дополнительной информации. Эта дополнительная информация хранится отдельно и защищается при помощи соответствующих технических и организационных мер.

Тестирование, мониторинг и непрерывная оценка

Статья 32 требует от организаций регулярно тестировать и оценивать свои меры безопасности, чтобы проверять, как данные собираются, защищаются и хранятся. На практике это включает сканирование уязвимостей, тестирование на проникновение, непрерывный мониторинг, аудиты безопасности, учения по реагированию на инциденты и тестирование восстановления из резервных копий — все это направлено на проверку эффективности мер защиты с течением времени.

Это важно, поскольку надлежащее реагирование на инциденты невозможно без их своевременного выявления. Эффективный мониторинг и контроль состояния систем имеют ключевое значение для раннего выявления подозрительной активности, ограничения последствий инцидентов и выполнения требований регуляторной отчетности, особенно когда требуется оперативное уведомление о нарушениях.

Многие организации в настоящее время согласовывают свои программы GDPR с признанными стандартами и методологиями, такими как ISO/IEC 27001, ISO/IEC 27701, Рамочная программа кибербезопасности NIST и Cyber Essentials. Эти системы помогают организациям выстраивать структурированные и воспроизводимые процессы управления безопасностью, однако они должны быть адаптированы к специфическому профилю рисков организации в контексте требований GDPR.

Как GDPR влияет на стратегии кибербезопасности

GDPR фундаментально изменил подход организаций к кибербезопасности, и одним из таких ключевых изменений стала подотчетность. Организации теперь должны не просто заявлять о соблюдении требований, а подтверждать это на практике. Это включает оценку рисков, ведение документации по безопасности, учет операций обработки данных, процедуры реагирования на инциденты и контроль поставщиков, при этом все процессы подтверждаются документально и отражают порядок принятия и пересмотра решений в области безопасности.

GDPR также подчеркивает важность риск-ориентированного подхода к безопасности. Инвестиции в безопасность должны соответствовать уровню подверженности организации угрозам и уязвимостям, а также учитывать степень риска и масштаб потенциального ущерба обрабатываемых данных, обеспечивая соразмерность мер контроля выявленным рискам.

Управление рисками третьих сторон стало не менее важным. Если поставщик или сервис-провайдер обрабатывает персональные данные от вашего имени, ответственность за обеспечение надлежащих гарантий все равно остается за вашей организацией. В результате комплексная проверка поставщиков и договорной контроль стали ключевыми элементами многих программ по соблюдению требований GDPR, наряду с постоянным мониторингом эффективности работы обработчиков данных и уровня их безопасности.

Полезна ли была эта информация?

Нужна помощь?

Связанные статьи