Практически решения за
информационна сигурност в контекста на GDPR 12/10/2018
Програма • Общи положения на Регламента (ОРЗД / GDPR) • Готови ли сте? • Как изглежда „цялостно технологично решение“ • Решения от Trend Micro • Време за въпроси
2
Общи положения на регламента • „Общ регламент за защита на личните данни (Регламент (ЕС) 2016/679) “ е паневропейски регламент, който влезе в сила на 25.05.2018 и важи за всички юридически лица, обработващи данни на граждани на ЕС; • Не е необходимо одобрение от националните парламенти или правителства; • Въвежда драстични санкции при неспазване на изискванията – до 20,000,000 Евро или до 4% от световния оборот (по-голямото от двете); • Разширява съществуващото законодателство в областта на защитата на лични данни; • Разширява обхвата на понятието „лични данни“ 3
Регламентът определя „всяка една информация, която може самостоятелно или в комбинация с друга да доведе до идентифициране на едно лице“ следва да бъде приета за „лична“
Какво са лични данни?
Физическо лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатори като: • име, • идентификационен номер, • данни за местонахождение, • онлайн идентификатор или • по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице; Примери за лични данни: Име и телефон, име и имейл адрес, данни за местонахождение, регистрация в уебсайт / кукита, ЕГН и др.
Информираност – субекта има право да знае за какво се използват, на кого се предоставят, къде се съхраняват, как се защитават личните му данни
Права на субектите на лични данни
Достъп до собствените лични данни Коригиране в случай, че данните не са актуални или грешни Право „да бъдеш забравен“ Ограничаване на обработката в рамките на декларираните цели Преносимост на личните данни Право на защита в случай на нарушаване на някое от останалите права
Принципи на обработка на личните данни Чл. 5 – 9, позовавания 38 - 56 1. 2. 3. 4. 5. 6.
… обработват се законосъобразно, добросъвестно и прозрачн … събирани за конкретни, легитимни цели … подходящи и ограничени до необходимите … точни, и при необходимост поддържани в актуален вид … съхранявани за период, не по-дълъг от необходимия … обработвани по начин, гарантиращ подходящо ниво на сигурност
Администраторите и Обработващите са отговорни за спазването на тези принципи
Технологи чни мерки
„Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени“ (позоваване 83) • Чл. 5: Отчетност • Чл. 25: Защита на данните по дизайн и подразбиране • Чл. 32: Сигурност на обработването • Чл. 33: Уведомяване на надзорния орган • Чл. 35: Оценка на въздействието
Готови ли сте? • Имате ли отговор на всеки от въпросите: • • • •
Какви лични данни обработвам и къде се намират те? По какъв начин управлявам риска от загуба на лични данни? Мога ли да разпозная загуба на данните и да рапортувам в рамките на 72 часа? Защитавате ли данните си с решения, адекватни на „достиженията на техническия прогрес“?
• Най-честите причини за липсата на готовност • • • • • • 8
„… не обработвам чак такива лични данни …“ „… адвокатите ни се занимават с това…“ „… нашата фирма е малка, не ни засяга…“ „… 25/5 мина и нищо не се случи…“ „… нямаме бюджет … „ „… фирмата която ни прави софтуера казва че сме готови…“
Как изглежда цялостно техническо решение? • Защитено съхранение • Защитен, контролиран достъп • Защитени устройства • Защитени приложения • Защита на данните от изтичане • Защита от загуба • Проследимост и отчетност 9
Решения на Trend Micro
10
Защита на личните данни Случайна загуба Злоупотреба от потребители с права Accidental & unlawful disclosure Интегриран Data Loss Protection (DLP) – помага да идентифицира и защити личните данни
Endpoint Encryption – защитава данните при загуба на устройството
Защита на устройствата на служителите Кражби посредством фишинг и социално инженерство Зловреден код, разпространяван посредством имейл, или уеб уязвимости Зловреден код, разпространяван заради уязвимости на операционната система или приложенията Email Security – блокира злонамерен код и връзки в имейл съобщенията Endpoint Security – защитава потребителските устройства от известни и неизвестни заплахи (вкл. Ransomware)
Web Security – защитава потребителите в Интернет Network Security – блокира мрежови уязвимости и блокира потенциално проникване
Защита на корпоративната инфраструктура Заразяване на сървъри и приложения през уязвимости или неправилна конфигурация Неоторизиран достъп до сървъри, съхраняващи лична информация Разпространение на заплахите в корпоративната среда Hybrid Cloud Security – Network Security (чрез IPS) – защитава защитава сървърите и фирмената приложенията в собствените центрове за инфраструктура от познати и непознати данни и облачната Cloud App Security –уязвимости инфраструктура защитава SaaS работни среди като Office 365, Google Apps, Box,
Анатомия на външната атака PI
Разпознаване на атака с Deep Discovery
Защо да изберем Trend Micro
Smart
Optimized
Connected
State of the art
Protects legacy IT
Real-time threat intelligenc
Cross-generational
Integrated with cloud
Identify security breaches
Layered security
Low operational impact
Isolate & block attacks
Защо Корус? • 15 години опит в областта на информационната сигурност • Най-големите компании вече са наши клиенти • Цялостно решение за SMB & Midmarket компаниите • Корус доставя и поддържа решения, не продава лицензи
17
Въпроси? За повече информация и контакт: Корус ООД Владимир Александров Тел: 0888/6898884 vladimir@chorus.bg http:///www.chorus.bg