Чем ближе 25 мая, тем чаще люди слышат эту пугающую
аббревиатуру. Иногда ее запоминают люди, которые слов PCI DSS, BCP, DRP и прочие, знать не знали, а про DLP, SIEM и прочие термины узнавать и не планировали.
Вчера ко мне обратился человек, у которого своя маленькая
компания. Часть клиентов у них международные компании и как следствие GDPR дошел
и до них.
Если договор достаточно стандартный – «В случае чего вы нам
должны покрыть все расходы и предоставить любую информацию» и прочее в таком
духе, то вот вопросник по процессам информационной безопасности несколько
сложнее. Данное произведение на 10 листах для компании из нескольких человек,
это поток абсолютно непонятных терминов и аббревиатур. Множества процессов
естественно в такой компании нет и никогда небыло, документы по вопросу безопасности
отсутствуют, а ни о каких системах безопасности нет и речи (помимо решетки, сигнализации и огнетушителя).
Что же делать, если вам тоже «повезло» стать счастливым обладателем данных граждан ЕС и тем более если от вас требуют не только заполнить опросник, но и соответствовать требованиям.
Даже если экспертом в данном вопросе вы становится не
планируете, получите представление что это такое, зачем он нужен и каковы
его требования.
Далее посмотрите в Интернет что есть по данному стандарту из рекомендаций. Некоторые из них можно найти в предыдущуй статье.
Также мне очень понравилась вот эта статья.
Теперь вы вкратце понимаете какие требования вам нужно
выполнять.
Теперь разделите их по приоритетам.
Какие именно данные вы храните.
Места и сроки хранения персональных данных.
Кто имеет доступ к этим данным, передаются ли данные третьим лицам.
Можно ли уменьшить количество и сроки хранения этих данных.
Процессы безопасности в компании.
Системы безопасности в компании.
Не стоит переживать – если у вас нет SIEM – можно
смело написать, что таких систем нет. А вот то, что у вас нет банально списка
мест хранения, сроков хранения, что именно хранится, кто имеет доступ к информации данных граждан ЕС – это нужно устранить. Так же желательно
подготовить хотя бы базовые внутренние регуляторные документы, схожие с политикеой информационной безопасности, регламенты работы с данными, документирование процессов обеспечения безопасности этих данных, организации непрерывности бизнеса. И внедрить как выполняемые процессы.
Также, раз вы уже занялись этим вопросом посмотрите закон Украины о персональных данных, который также должен выполняться. Вот еще небольшая статья по данной теме.
Если вам тоже сложно разобраться в особенностях соответствия GDPR, буду рад вам помочь с построением процессов и написанием документации в соответствии с требованиями GDPR. Электронная почта.