
Многие организации по-прежнему рассматривают GDPR в первую очередь как юридическое требование или требование к соблюдению нормативных норм, однако на практике этот регламент превратился в одну из самых влиятельных систем кибербезопасности. На сегодняшний день он определяет то, как компании защищают персональные данные, управляют киберрисками и выстраивают операционную устойчивость во всех технологических областях.
Организации сталкиваются со все более изощренными способами кибератак, включая программы-вымогатели, фишинг, кражу учетных данных, инсайдерские угрозы и атаки на цепочки поставок. По мере того как регуляторы усиливают правоприменительную практику в таких секторах, как финансы, здравоохранение, розничная торговля, промышленность и энергетика, компании испытывают растущее давление в части демонстрации эффективного управления кибербезопасностью и практик защиты данных.
GDPR требует от организаций внедрения соответствующих технических и организационных мер для защиты персональных данных. На практике это включает такие меры, как шифрование, контроль доступа, мониторинг, обеспечение устойчивости систем, тестирование, безопасное хранение данных, планирование реагирования на инциденты и непрерывная оценка рисков. Эти меры больше не считаются необязательными передовыми ИТ-практиками — теперь они являются нормативными требованиями.
Эта статья объясняет ключевые требования безопасности GDPR:
- Что означает GDPR для специалистов по кибербезопасности
- Как статья 32 влияет на повседневные операции по безопасности
- Как бизнес может укрепить киберустойчивость и снизить регуляторные риски
Что такое GDPR и что он охватывает?
Общий регламент о защите данных (GDPR) — это нормативно-правовая база ЕС по защите персональных данных. Он применяется к любой организации, обрабатывающей персональные данные лиц, находящихся в ЕС или Великобритании, независимо от того, где находится сама организация. Этот регламент также внедрен в законодательство Великобритании как UK GDPR.
Персональные данные включают не только имя, фамилию и адрес электронной почты. Согласно статье 4 GDPR, такими данными могут быть IP-адреса, идентификаторы устройств, кадровые записи сотрудников, финансовая информация, медицинские данные, данные о местоположении, поведение пользователей и биометрическая информация, если они позволяют идентифицировать конкретное лицо.
Некоторые категории данных считаются особо чувствительными и требуют более строгой защиты (статья 9). К ним относятся сведения о здоровье, биометрические данные, используемые для идентификации, политические и религиозные взгляды, а также другие виды конфиденциальной персональной информации. GDPR регулирует порядок сбора, хранения, использования, передачи и удаления персональных данных. Он также предоставляет физическим лицам конкретные права на их данные, включая право на доступ, исправление и удаление данных (так называемое «право на удаление персональных данных»), а также дополнительные права, такие как переносимость данных и право на ограничение обработки.
Для команд ИТ и кибербезопасности GDPR имеет большое значение, поскольку он напрямую связывает защиту данных с операционной безопасностью. Организации должны быть в состоянии продемонстрировать, что персональные данные защищены от:
- Несанкционированного доступа
- Случайного раскрытия
- Кражи
- Утечки данных
- Уничтожения
- Потери доступности
Эти требования превратили кибербезопасность из сугубо технического вопроса в бизнес-риск уровня совета директоров, во многом из-за значительных потенциальных штрафов со стороны регуляторов и репутационного ущерба.
GDPR и другие нормативные акты ЕС в области кибербезопасности
GDPR не заменяет отраслевые нормативные требования в области кибербезопасности, а действует параллельно с ними в рамках более широкой регуляторной среды. Другие нормативные акты, такие как Директива NIS2 и Закон о цифровой операционной устойчивости (DORA), охватывают различные аспекты киберрисков, включая защиту критически важных услуг и обеспечение операционной устойчивости в отдельных секторах.
В совокупности эти нормативные акты действуют на разных уровнях: GDPR сосредоточен на защите персональных данных, тогда как другие регулируют устойчивость систем, безопасность инфраструктуры и отраслевые риски. Для многих организаций это означает необходимость согласования защиты данных с более широкими требованиями к кибербезопасности и нормативному регулированию, а не выделения соблюдения требований в отдельную изолированную функцию.