GDPR w pigułce

hacker Gdpr

GDPR w pigułce

https://www.facebook.com/clico.krakow/?fref=ts
https://www.facebook.com/clico.krakow/?fref=ts
GOOGLE
GOOGLE
https://gdpr.clico.pl/gdpr-w-pigulce">
https://www.linkedin.com/company-beta/46170/

GDPR składa się z 99 artykułów, z których tylko 6 bezpośrednio odnosi się do bezpieczeństwa teleinformatycznego.

GDPR

W GDPR punktem wyjścia do planowania bezpieczeństwa jest artykuł 35 i analiza ryzyka – dla danych osobowych określana terminem oceny skutków dla ochrony danych (Data protection impact assessment).

Tradycyjne podejście do analizy ryzyka w systemach teleinformatycznych znane m.in. z ISO 27005 koncentruje się na trzech ryzykach: nieuprawniony dostęp do danych osobowych (utrata poufności), nieuprawniona modyfikacja danych osobowych (utrata integralności) oraz utrata, kradzież lub nieuprawnione usunięcie danych osobowych (utrata dostępności). Zarządzając bezpieczeństwem danych osobowych należy pamiętać, że oprócz ryzyk natury teleinformatycznej występuje wiele innych ryzyk, m.in.: nadmiarowa ilość danych osobowych, nieprawidłowe powiązanie danych osobowych z osobami, których dotyczą, niewystarczający opis powodów przetwarzania danych osobowych (brak przejrzystości), nierespektowanie praw osób, których dotyczą danych osobowych, przetwarzanie danych osobowych bez wiedzy lub zgody osób, których dotyczą (chyba że takie przetwarzanie jest przewidziane w stosownych przepisach lub przepisach), przekazanie danych osobowych stronom trzecim bez zgody osób, których dotyczą, a także nieuzasadnione przedłużenie czasu przechowywania danych osobowych.

Zabezpieczenia teleinformatyczne jak firewall, WAF, DLP, czy szyfrowanie danych adresują tylko ryzyka teleinformatyczne. Wymienione powyżej ryzyka należy uwzględnić w procesie przetwarzania danych osobowych (przede wszystkim w aplikacjach przetwarzających dane osobowe) oraz dokumentacji zbiorów i naruszeń bezpieczeństwa danych osobowych (Artykuł 30 – Rejestrowanie czynności przetwarzania, Artykuł 33 – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu).

GDPR

Z pomocą w analizie ryzyka danych osobowych przychodzi standard ISO/IEC 29134 – powyżej zostały przedstawione główne kroki metodyki analizy ryzyka wg ISO/IEC 29134. Ułatwienie uzyskania zgodności z GDPR w odniesieniu do dokumentacji i zgłaszania naruszeń bezpieczeństwa można uzyskać wykorzystując rozwiązanie IT GRC, np. polską perełkę technologiczną SecureVisio.

GDPR

Więcej informacji o SecureVisio: https://www.esecure.pl/funkcjonalnosc

Wymagania względem zabezpieczeń teleinformatycznych określa artykuł 32 ust. 1, Bezpieczeństwo przetwarzania (Security of processing).
GDPR

Wytyczne do wyboru zabezpieczeń teleinformatycznych w „GDPR – Krok po kroku

WordPress Appliance - Powered by TurnKey Linux