Jak v souladu s GDPR zajistit povinnost ohlášení incidentu do 72 hodin od zjištění?

8. 2. 2018. (redaktor: František Doupal, zdroj: GFI)
Společnost GFI Software upozorňuje, že mezi zpřísněnými požadavky vyplývajícími z GDPR je povinnost oznámit příslušným orgánům dozoru narušení bezpečnosti osobních údajů a vést záznamy o prováděném zpracovávání. To zvyšuje nároky na IT infrastrukturu podniků a organizací v oblasti bezpečnostního monitoringu a dokumentace incidentů.

Kromě z toho vyplývající nutnosti upozornit na narušení do 72 hodin od prvního zjištění, ukládá povinnost GDPR správcům
a zpracovatelům udržovat detailní dokumentaci (audit trail) o incidentu, časové lhůty pro výmaz různých kategorií údajů, a popisuje implementovaná technická a organizační bezpečnostní opatření. Pro organizace zaměstnávající méně než 250 osob sice existuje omezená výjimka, pro jejíž přidělení je třeba splňovat přidaná kritéria, ale mnoho organizací na ni nedosáhne.

„Prevence a minimalizace škod z narušení osobních údajů jsou sice nejvyšší prioritou, ale pokud jde o soulad s GDPR, zásadní je také dokumentace – zákazníci musejí být nejen schopni reagovat, ale také později přesně prokázat, kdy a jak reagovali,“ řekl Zdeněk Bínek z distribuční společnosti Zebra systems.„Ačkoliv se řada organizací domnívá, že jejich současná bezpečnostní infrastruktura požadavky GDPR pokrývá, ve skutečnosti neřeší některé nové povinnosti včetně právě ohlašování a dokumentace incidentů. To odpovídá i našim aktuálním zjištěním, kdy je na GDPR plně připravena méně než pětina českých a slovenských podniků.“

Na trhu je dostupná řada vhodných řešení. Operační systém Windows Server sice poskytuje záznamy o bezpečnostních událostech, ale bez dedikovaného nástroje, který by dokázalo snadno rozpoznat podezřelou aktivitu v reálném čase pro co nejrychlejší reakci, může být hledání v záznamech složité. S monitoringem bezpečnostních událostí a s nastavením upozornění k detekci hrozeb v cloudu může pomoci Microsoft Azure Security Center.

Nejefektivnější přehled o bezpečnosti – včetně zásad, mechanismů, činností a aplikací – dodávají specializovaná řešení, jako je například software pro správu událostí GFI EventsManager umožňující rychlejší reakci na incidenty. Nástroj poskytuje třívrstvou konsolidaci dat ze záznamů připravenou pro oznamování nadřízeným autoritám v souladu s GDPR, navíc chráněnou dvoufaktorovou autentizací. Tyto informace mohou být nápomocné již ve fázi posuzování vlivu implementovaných opatření na ochranu osobních údajů (DPIA).

Štítky: 
GDPR, GFI

Podobné články

Požadavky GDPR splňuje 59 % podniků

13. 2. 2019. (redaktor: František Doupal, zdroj: Cisco)
Obecné nařízení o ochraně osobních údajů (GDPR), jehož cílem je zvýšit ochranu soukromí a osobních údajů obyvatel EU, nabylo účinnosti v květnu 2018. Nový průzkum společnosti Cisco ukázal, že požadavky vyplývající z GDPR splňuje úplně či z větší části 59 % podniků. Dalších 29 % očekává zajištění souladu během roku a 9 % k tomu bude potřebovat více než jeden rok. Čtěte více
Ondřej Ševeček, odborník na IT bezpečnost Počítačové školy Gopas

Proč GDPR nesnížilo počet otravných reklamních mailů?

17. 12. 2018. (redaktor: František Doupal, zdroj: Gopas)
Nařízení o ochraně osobních údajů (GDPR) zpřísnilo podmínky nakládání s osobními údaji. Mnozí si od něj také slibovali, že po jeho uvedení v platnost se sníží počet otravných mailů, které zaplňují mailboxy. Ale opak je pravdou – maily chodí stále a většina služeb, které využíváme, v souvislosti s GDPR chtěla „něco“ schválit. Čtěte více

Vyšlo prázdninové dvojčíslo Reseller Magazinu

10. 7. 2018. (redaktor: Jakub Špaček, zdroj: DCD Publishing)
Období dovolených už je tady a s ním i prázdninové vydání Reseller Magazinu. I na prosluněné dny jsme si pro vás přichystali parádní čtivo. Můžete se těšit zejména na působivé rozhovory, ale nahlédneme také do světa bezpečnosti a ohlédneme se také za nejzajímavějšími událostmi uplynulého měsíce. Čtěte více

GDPR v praxi - první část

4. 7. 2018. (redaktor: Jakub Špaček, zdroj: DCD Publishing)
Konec letošního května se nesl ve znamení GDPR, tedy nařízení o ochraně osobních údajů. Redakce Reseller Magazinu se proto rozhodla, že se na tuto problematiku podívá trochu odlišným způsobem. Na následujících řádcích se nebudeme zaobírat tím, jak správně implementovat jednotlivá opatření, aby vaší organizaci zajistila soulad s GDPR. Zaměříme se na to, jak se s touto otázkou vypořádaly orgány státní správy a velké organizace. Čtěte více