Ми помітили, що ви зараз відвідуєте сайт у Великій Британії. Бажаєте відвідати наш основний сайт?

GDPR та кібербезпека: Як працює захист даних на практиці

Жінка з планшетом із голографічним захисним замком і екраном, що символізують захист даних та кібербезпеку

Стаття 32 GDPR: Захист обробки даних

Стаття 32 містить основні вимоги щодо кібербезпеки в рамках GDPR. Вона зобов’язує організації вживати «відповідних технічних та організаційних заходів» для забезпечення рівня захисту, що відповідає рівню ризику.

По суті, стаття 32 визначає підхід до безпеки на основі оцінки ризиків. Вона не встановлює фіксованого переліку заходів контролю, а вимагає від організацій оцінювати ступінь конфіденційності даних, які вони обробляють, масштаб своєї діяльності та потенційні наслідки порушення для фізичних осіб. Заходи захисту повинні розроблятися та підтримуватися з урахуванням цих ризиків.

Це означає, що GDPR не надає фіксованого комплаєнс-переліку. Від глобального постачальника медичних послуг, який обробляє конфіденційні записи про пацієнтів, очікується, що він буде застосовувати більш жорсткий контроль, аніж невелика організація, яка обробляє базову контактну інформацію – це відображає як характер даних, так і потенційні наслідки порушення.

Що означає «відповідні технічні та організаційні заходи»

На практиці «відповідні» заходи включають в себе поєднання технічних засобів контролю та організаційних процесів, таких як шифрування, багатофакторна автентифікація, управління доступом, резервне копіювання та відновлення, управління вразливостями, моніторинг безпеки, реагування на інциденти, планування відновлюваності та підвищення обізнаності персоналу, що реалізуються з урахуванням конкретного профілю ризиків організації.

Це відображає ширший перехід у GDPR від разового дотримання вимог до постійної підзвітності, коли організації повинні бути здатні продемонструвати не лише наявність заходів безпеки, а й те, що вони активно підтримуються та вдосконалюються. Однак головна вимога полягає не лише у наявності засобів контролю, а й у здатності довести, що ці засоби є ефективними, пропорційними та застосовуються систематично.

Від організацій очікується проведення оцінки ризиків, документування своїх рішень та регулярний перегляд засобів контролю з метою забезпечення відповідності новим загрозам. Вимоги до кібербезпеки не є статичними, і заходи контролю, які вважалися достатніми кілька років тому, сьогодні можуть вже не відповідати вимогам регуляторних органів, оскільки вони все більше наголошують на необхідності постійного вдосконалення та підзвітності, а не на разовому виконанні вимог.

Конфіденційність, цілісність та доступність

Зобов’язання щодо безпеки за GDPR базуються на трьох основних принципах: конфіденційність, цілісність та доступність. У комплексі вони визначають порядок захисту персональних даних на практиці.

Конфіденційність – доступ до персональних даних лише уповноважених осіб. Зазвичай організації досягають цього за допомогою таких заходів, як багатофакторна автентифікація, контроль доступу на основі ролей, шифрування та сегментація мережі, що підкріплюються практиками мінімальних привілеїв доступу та безпечної конфігурації.

Цілісність – захист даних від несанкціонованого змінення або пошкодження. Це часто передбачає ведення журналів аудиту, зміну процесів управління та моніторинг цілісності файлів, а також заходи контролю, що запобігають випадковому зміненню даних.

Доступність передбачає, що дані та системи залишаються доступними в разі потреби. Для цього необхідна відмовостійка інфраструктура, стратегії резервного копіювання, планування та ефективні процеси відновлення після аварій.

З цих елементів доступність часто недооцінюють. Відповідно до GDPR, атаки програм-вимагачів, які унеможливлюють доступ до персональних даних, можуть все одно кваліфікуватися як порушення, про які необхідно повідомляти, навіть якщо дані не були викрадені, оскільки сама лише втрата доступності може вважатися порушенням відповідно до статті 4 (12).

Шифрування, псевдонімізація та захист даних

У статті 32 окремо згадується шифрування, оскільки це є одним з найбільш ефективних способів мінімізації ризику несанкціонованого доступу. Дані, що передаються через мережі, повинні захищатися за допомогою сучасних протоколів шифрування, а дані, що зберігаються на комп’ютерах, ноутбуках, знімних носіях, серверах, резервних копіях та в хмарних середовищах, також повинні шифруватися за допомогою надійних рішень (апаратних засобів шифрування) для забезпечення ефективного захисту.

Це є особливо актуальним для працівників, які працюють віддалено або мобільно, оскільки втрата чи крадіжка пристроїв залишається поширеною причиною витоку даних. Оскільки організації дедалі частіше працюють у гібридних та хмарних середовищах, дотримання вимог GDPR також передбачає забезпечення захисту віддалених кінцевих точок, платформ для спільної роботи, хмарних сховищ та сторонніх SaaS-додатків, а також використання апаратного шифрування для мінімізації ризиків, пов’язаних з обробкою даних поза межами захищених корпоративних мереж.

Пристрої зберігання даних із апаратним шифруванням можуть забезпечити додатковий захист конфіденційних даних, що використовуються за межами корпоративної мережі, зокрема, для співробітників, які працюють дистанційно, виїзних команд та організацій, що оперують регульованою інформацією в розподілених середовищах, де фізична безпека пристроїв залишається значним фактором ризику.

Однак одного лише шифрування недостатньо. Дотримання вимог GDPR потребує багаторівневої системи безпеки. Крім того, організаціям необхідні надійні засоби управління доступом, моніторингу, реагування на інциденти, навчання персоналу та постійні процеси тестування, що гарантують ефективність заходів контролю проти нових загроз.

Ще одним важливим методом є псевдонімізація. Вона передбачає заміну, видалення або перетворення ідентифікуючої інформації таким чином, щоби без додаткових відомостей неможливо було прив'язати персональні дані до конкретної особи. Ці додаткові відомості зберігаються окремо та захищаються відповідними технічними й організаційними заходами.

Тестування, моніторинг та постійна оцінка

Стаття 32 вимагає від організацій регулярно перевіряти та оцінювати власні заходи безпеки з метою перевірки того, як здійснюється збір, захист та зберігання даних. На практиці це передбачає сканування вразливостей, тестування на проникнення, постійний моніторинг, аудити безпеки, навчання з реагування на інциденти та тестування відновлення резервних копій; все це призначено для перевірки того, чи залишаються заходи контролю ефективними з плином часу.

Це важливо, оскільки організації не можуть повідомляти про інциденти або стримувати їх, якщо не можуть їх виявити. Ефективний моніторинг та прозорість є необхідними для раннього виявлення підозрілої діяльності, обмеження збоїв у роботі та виконання зобов’язань щодо звітності перед регуляторними органами, особливо у випадках, коли вимагається оперативне повідомлення про порушення.

Сьогодні багато організацій узгоджують свої GDPR-програми із визнаними стандартами, такими як ISO/IEC 27001, ISO/IEC 27701, NIST Cybersecurity Framework або Cyber Essentials. Ці стандарти допомагають організаціям вибудовувати структуровані та відтворювані процеси управління безпекою, хоча їх все одно необхідно адаптувати до конкретного профілю ризиків організації в контексті GDPR.

Як GDPR впливає на стратегії кібербезпеки

GDPR кардинально змінив підхід організацій до кібербезпеки, і однією з найбільших змін стала підзвітність. Тепер організації повинні демонструвати відповідність вимогам, а не просто заявляти про це. Це передбачає ведення оцінок ризиків, документації з безпеки, записів про обробку даних, процедур реагування на інциденти та процесів нагляду за постачальниками, підкріплених чіткими доказами того, як приймаються та переглядаються рішення щодо безпеки.

GDPR також підкреслює важливість безпеки, що базується на ризиках. Інвестиції в безпеку повинні відображати ступінь вразливості організації до загроз, її слабких місць та чутливості даних, які вона обробляє, забезпечуючи пропорційність заходів контролю виявленим ризикам.

Управління ризиками, пов'язаними з третіми сторонами, стало не менш важливим. Якщо постачальник або надавач послуг обробляє персональні дані від вашого імені, ваша організація залишається відповідальною за забезпечення наявності відповідних заходів безпеки. Як результат, комплексна перевірка постачальників та нагляд за виконанням договорів тепер є центральними складовими багатьох комплаєнс-програм за GDPR разом із постійним моніторингом ефективності роботи обробників даних та стану безпеки.

Чи була ця інформація корисною?

Потрібна допомога?

Пов’язані публікації