Jak v souladu s GDPR zajistit povinnost ohlášení incidentu do 72 hodin od zjištění?

8. 2. 2018. (redaktor: František Doupal, zdroj: GFI)
Společnost GFI Software upozorňuje, že mezi zpřísněnými požadavky vyplývajícími z GDPR je povinnost oznámit příslušným orgánům dozoru narušení bezpečnosti osobních údajů a vést záznamy o prováděném zpracovávání. To zvyšuje nároky na IT infrastrukturu podniků a organizací v oblasti bezpečnostního monitoringu a dokumentace incidentů.

Kromě z toho vyplývající nutnosti upozornit na narušení do 72 hodin od prvního zjištění, ukládá povinnost GDPR správcům
a zpracovatelům udržovat detailní dokumentaci (audit trail) o incidentu, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření. Pro organizace zaměstnávající méně než 250 osob sice existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria, ale mnoho organizací na ni nedosáhne.

„Prevence a minimalizace škod z narušení osobních údajů jsou sice nejvyšší prioritou, ale pokud jde o soulad s GDPR, zásadní je také dokumentace – zákazníci musejí být nejen schopni reagovat, ale také později přesně prokázat, kdy a jak reagovali,“ řekl Zdeněk Bínek z distribuční společnosti Zebra systems.„Ačkoliv se řada organizací domnívá, že jejich současná bezpečnostní infrastruktura požadavky GDPR pokrývá, ve skutečnosti neřeší některé nové povinnosti včetně právě ohlašování a dokumentace incidentů. To odpovídá i našim aktuálním zjištěním, kdy je na GDPR plně připravena méně než pětina českých a slovenských podniků.“

Na trhu je dostupná řada vhodných řešení. Operační systém Windows Server sice poskytuje záznamy o bezpečnostních událostech, ale bez dedikovaného nástroje, který by dokázalo snadno rozpoznat podezřelou aktivitu v reálném čase pro co nejrychlejší reakci, může být hledání v záznamech složité. S monitoringem bezpečnostních událostí a s nastavením upozornění k detekci hrozeb v cloudu může pomoci Microsoft Azure Security Center.

Nejefektivnější přehled o bezpečnosti – včetně zásad, mechanismů, činností a aplikací – dodávají specializovaná řešení, jako je například software pro správu událostí GFI EventsManager umožňující rychlejší reakci na incidenty. Nástroj poskytuje třívrstvou konsolidaci dat ze záznamů připravenou pro oznamování nadřízeným autoritám v souladu s GDPR, navíc chráněnou dvoufaktorovou autentizací. Tyto informace mohou být nápomocné již ve fázi posuzování vlivu implementovaných opatření na ochranu osobních údajů (DPIA).

Štítky: 
GDPR, GFI

Podobné články

Do lepšího zabezpečení kvůli GDPR investovala jen polovina firem

17. 5. 2018. (redaktor: František Doupal, zdroj: Trend Micro)
Podle průzkumu společnosti Trend Micro zaměřeného na připravenost organizací naplnit požadavky nařízení Evropské unie o ochraně osobních údajů (GDPR) mají jen necelé dvě třetiny (63 %) společností definované postupy pro informování zákazníků o bezpečnostních incidentech souvisejících s jejich osobními údaji. Do zvýšení IT bezpečnosti jako prostředku pro naplnění požadavků GDPR investovala pouze polovina (51 %) dotázaných organizací. Čtěte více

Jak připravit e-shop na GDPR?

2. 5. 2018. (redaktor: František Doupal, zdroj: APEK)
Již za měsíc nabyde účinnosti jedno z nejvíce diskutovaných nařízení Evropské komise posledních měsíců – GDPR. Jsou české e-shopy na tuto novinku připraveny? A na co hlavně je třeba se před účinností nařízení zaměřit? Čtěte více

Jak zajistit bezpečnost firemních dat v souladu s GDPR

27. 4. 2018. (redaktor: František Doupal, zdroj: SLASH)
Bezpečnost dat a vůbec ta kybernetická se v dnešní době stala noční můrou nejen pro firmy a organizace všech velikostí. Ve spojitosti s nařízením General Data Protection Regulation (GDPR) a ochranou osobních dat i otázkou velmi aktuální. GDPR a ochrana dat jde ruku v ruce se zabezpečením i firemních informací obecně před jejich možným napadnutím. Čtěte více

V ČR a SR se ročně prodá přes 1,5 milionu flash disků, většina nezabezpečených

26. 4. 2018. (redaktor: František Doupal, zdroj: Kingston)
Společnost Kingston zveřejnila s ohledem na blížící se nástup platnosti nařízení GDPR detaily o prodejích flash disků v České republice a na Slovensku za rok 2017. Z údajů přitom vyplývá, že jen zlomek prodaných úložišť všech značek je chráněn proti úniku dat. Čtěte více