Jak v souladu s GDPR zajistit povinnost ohlášení incidentu do 72 hodin od zjištění?

8. 2. 2018. (redaktor: František Doupal, zdroj: GFI)
Společnost GFI Software upozorňuje, že mezi zpřísněnými požadavky vyplývajícími z GDPR je povinnost oznámit příslušným orgánům dozoru narušení bezpečnosti osobních údajů a vést záznamy o prováděném zpracovávání. To zvyšuje nároky na IT infrastrukturu podniků a organizací v oblasti bezpečnostního monitoringu a dokumentace incidentů.

Kromě z toho vyplývající nutnosti upozornit na narušení do 72 hodin od prvního zjištění, ukládá povinnost GDPR správcům
a zpracovatelům udržovat detailní dokumentaci (audit trail) o incidentu, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření. Pro organizace zaměstnávající méně než 250 osob sice existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria, ale mnoho organizací na ni nedosáhne.

„Prevence a minimalizace škod z narušení osobních údajů jsou sice nejvyšší prioritou, ale pokud jde o soulad s GDPR, zásadní je také dokumentace – zákazníci musejí být nejen schopni reagovat, ale také později přesně prokázat, kdy a jak reagovali,“ řekl Zdeněk Bínek z distribuční společnosti Zebra systems.„Ačkoliv se řada organizací domnívá, že jejich současná bezpečnostní infrastruktura požadavky GDPR pokrývá, ve skutečnosti neřeší některé nové povinnosti včetně právě ohlašování a dokumentace incidentů. To odpovídá i našim aktuálním zjištěním, kdy je na GDPR plně připravena méně než pětina českých a slovenských podniků.“

Na trhu je dostupná řada vhodných řešení. Operační systém Windows Server sice poskytuje záznamy o bezpečnostních událostech, ale bez dedikovaného nástroje, který by dokázalo snadno rozpoznat podezřelou aktivitu v reálném čase pro co nejrychlejší reakci, může být hledání v záznamech složité. S monitoringem bezpečnostních událostí a s nastavením upozornění k detekci hrozeb v cloudu může pomoci Microsoft Azure Security Center.

Nejefektivnější přehled o bezpečnosti – včetně zásad, mechanismů, činností a aplikací – dodávají specializovaná řešení, jako je například software pro správu událostí GFI EventsManager umožňující rychlejší reakci na incidenty. Nástroj poskytuje třívrstvou konsolidaci dat ze záznamů připravenou pro oznamování nadřízeným autoritám v souladu s GDPR, navíc chráněnou dvoufaktorovou autentizací. Tyto informace mohou být nápomocné již ve fázi posuzování vlivu implementovaných opatření na ochranu osobních údajů (DPIA).

Štítky: 
GDPR, GFI

Podobné články

Vyšlo prázdninové dvojčíslo Reseller Magazinu

10. 7. 2018. (redaktor: Jakub Špaček, zdroj: DCD Publishing)
Období dovolených už je tady a s ním i prázdninové vydání Reseller Magazinu. I na prosluněné dny jsme si pro vás přichystali parádní čtivo. Můžete se těšit zejména na působivé rozhovory, ale nahlédneme také do světa bezpečnosti a ohlédneme se také za nejzajímavějšími událostmi uplynulého měsíce. Čtěte více

GDPR v praxi - první část

4. 7. 2018. (redaktor: Jakub Špaček, zdroj: DCD Publishing)
Konec letošního května se nesl ve znamení GDPR, tedy nařízení o ochraně osobních údajů. Redakce Reseller Magazinu se proto rozhodla, že se na tuto problematiku podívá trochu odlišným způsobem. Na následujících řádcích se nebudeme zaobírat tím, jak správně implementovat jednotlivá opatření, aby vaší organizaci zajistila soulad s GDPR. Zaměříme se na to, jak se s touto otázkou vypořádaly orgány státní správy a velké organizace. Čtěte více

Verbatim: disky Store ‘n’ Go Secure Portable

6. 6. 2018. (redaktor: František Doupal, zdroj: Verbatim)
Šifrované disky Store ‘n’ Go Secure Portable společnosti Verbatim, dostupné v kapacitách 1 TB a 2 TB, zaujmou vestavěným hardwarovým šifrováním, vestavěnou fyzickou numerickou klávesnicí pro zadávání přístupového kódu a mimo jiné také například schopností spolupracovat s televizorem. K dispozici je rovněž SSD varianta s kapacitou 256 GB. Čtěte více

Firmy v Česku hromadně nestíhají termín GDPR

23. 5. 2018. (redaktor: František Doupal, zdroj: Bureau Veritas)
Drtivá většina firem v Česku nevyhoví GDPR, novým požadavkům na ochranu osobních údajů, které vstoupí v platnost 25. května 2018. Dle kvalifikovaného odhadu Jakuba Kejvala ze společnosti Bureau Veritas jde o 85 % povinných subjektů. Čtěte více