
Багато організацій досі розглядають Загальний регламент про захист даних (GDPR) передусім як юридичну вимогу або комплаєнс-норму, проте на практиці Регламент перетворився на одну з найвпливовіших систем кібербезпеки. Зараз він визначає те, як підприємства захищають персональні дані, керують кіберризиками та забезпечують операційну стійкість у власних технологічних середовищах.
Сьогодні організації стикаються з дедалі складнішими кіберзагрозами, зокрема, з програмами-вимагачами, фішингом, крадіжкою облікових даних, інсайдерськими загрозами та атаками на ланцюги постачання. В умовах посилення контролю з боку регуляторних органів у таких сферах, як фінанси, охорона здоров’я, роздрібна торгівля, виробництво та енергетика, на підприємства чиниться дедалі більший тиск щодо демонстрації ефективного управління кібербезпекою та дотримання практик захисту даних.
GDPR вимагає від організацій впровадження відповідних технічних та організаційних заходів для захисту персональних даних. На практиці це включає такі заходи, як шифрування, контроль доступу, моніторинг, стійкість, тестування, захищене зберігання, планування реагування на інциденти та постійна оцінка ризиків. Це більш не вважається опціональними передовими практиками в сфері ІТ; це є вимогами регуляторних органів.
У цій статті ми пояснюємо основні вимоги GDPR щодо безпеки:
- Що GDPR означає для фахівців з кібербезпеки
- Як стаття 32 впливає на щоденну безпекову діяльність
- Як підприємства можуть підвищити кіберстійкість та знизити регуляторний ризик
Що таке GDPR і на що поширюється його дія?
Загальний регламент про захист даних (GDPR) – це законодавча база ЄС щодо захисту персональних даних. Він поширюється на будь-яку організацію, яка здійснює обробку персональних даних фізичних осіб на території ЄС або Великої Британії незалежно від місця знаходження самої організації, і був впроваджений у законодавство Великої Британії як «Британський GDPR».
Персональні дані – це набагато більше, аніж імена та адреси електронної пошти. Відповідно до статті 4 Регламенту, такі відомості, як IP-адреси, ідентифікатори пристроїв, кадрові записи співробітників, фінансова інформація, дані про стан здоров’я, дані про місцезнаходження, поведінка під час перегляду веб-сторінок та біометрична інформація, можуть вважатися персональними даними, якщо їх можна пов’язати із конкретною особою.
Деякі категорії даних вважаються особливо чутливими та потребують посиленого захисту (стаття 9). До них належать інформація про стан здоров’я, біометричні дані, що використовуються для ідентифікації, політичні та релігійні погляди, а також інші види чутливої особистої інформації. GDPR регулює порядок збору, зберігання, використання, передачі та видалення персональних даних. Він також надає особам конкретні права щодо їхньої інформації, включаючи право на доступ, виправлення та видалення своїх даних (часто зване «правом на забуття»), а також додаткові права, такі як портативність даних та право на обмеження обробки.
Для ІТ-команд та команд з кібербезпеки GDPR є важливим, оскільки він безпосередньо прив'язує захист даних до операційної безпеки. Організації повинні бути спроможні продемонструвати, що персональні дані захищені від:
- Несанкціонованого доступу
- Випадкового оприлюднення
- Крадіжки
- Пошкодження
- Знищення
- Втрати доступності
Це перетворило кібербезпеку з суто технічної проблеми на бізнес-ризик, що розглядається на рівні керівництва, частково через загрозу значних штрафів з боку регуляторних органів та репутаційних збитків.
GDPR та інші регламенти ЄС у сфері кібербезпеки
GDPR не замінює галузеві норми з кібербезпеки, а доповнює їх у рамках ширшого регуляторного поля. Інші нормативно-правові бази, такі як Директива NIS2 та Закон про цифрову операційну стійкість (DORA), охоплюють різні аспекти кіберризиків, зокрема, захист критично важливих сервісів та операційну стійкість у конкретних галузях.
Сукупно ці норми діють на різних рівнях: GDPR націлений на захист персональних даних, тоді як інші спрямовані на забезпечення стійкості систем, захищеність інфраструктури та управління галузевими ризиками. Для багатьох організацій це означає необхідність узгодження заходів із захисту даних із ширшими вимогами у сфері кібербезпеки та нормативно-правовими вимогами, а не розглядати комплаєнс як відокремлену діяльність.