четверг, 26 апреля 2018 г.

Как не потерять свой бизнес из-за GDPR

Чем ближе 25 мая, тем чаще люди слышат эту пугающую аббревиатуру. Иногда ее запоминают люди, которые слов PCI DSS, BCP, DRP и прочие, знать не знали, а про DLP, SIEM и прочие термины узнавать и не планировали.  

Вчера ко мне обратился человек, у которого своя маленькая компания. Часть клиентов у них международные компании и как следствие GDPR дошел и до них.
Если договор достаточно стандартный – «В случае чего вы нам должны покрыть все расходы и предоставить любую информацию» и прочее в таком духе, то вот вопросник по процессам информационной безопасности несколько сложнее. Данное произведение на 10 листах для компании из нескольких человек, это поток абсолютно непонятных терминов и аббревиатур. Множества процессов естественно в такой компании нет и никогда небыло, документы по вопросу безопасности отсутствуют, а ни о каких системах безопасности нет и речи (помимо решетки, сигнализации и огнетушителя).

Что же делать, если вам тоже «повезло» стать счастливым обладателем данных граждан ЕС и тем более если от вас требуют не только заполнить опросник, но и соответствовать требованиям.

Первое – посмотрите стандарт: тут или тут
Даже если экспертом в данном вопросе вы становится не планируете, получите представление что это такое, зачем он нужен и каковы его требования.

Далее посмотрите в Интернет что есть по данному стандарту из рекомендаций. Некоторые из них можно найти в предыдущуй статье.
Также мне очень понравилась вот эта статья.
Теперь вы вкратце понимаете какие требования вам нужно выполнять.

Теперь разделите их по приоритетам.
Какие именно данные вы храните.
Места и сроки хранения персональных данных. 
Кто имеет доступ к этим данным, передаются ли данные третьим лицам. 
Можно ли уменьшить количество и сроки хранения этих данных. 
Процессы безопасности в компании.
Системы безопасности в компании.
Документация. 

Не стоит переживать – если у вас нет SIEM – можно смело написать, что таких систем нет. А вот то, что у вас нет банально списка мест хранения, сроков хранения, что именно хранится, кто имеет доступ к информации данных граждан ЕС – это нужно устранить. Так же желательно подготовить хотя бы базовые внутренние регуляторные документы, схожие с  политикеой информационной безопасности, регламенты работы с данными, документирование процессов обеспечения безопасности этих данных, организации непрерывности бизнеса. И внедрить как выполняемые процессы.

Также, раз вы уже занялись этим вопросом посмотрите закон Украины о персональных данных, который также должен выполняться. Вот еще небольшая статья по данной теме.

Если вам тоже сложно разобраться в особенностях соответствия GDPR, буду рад вам помочь с построением процессов и написанием документации в соответствии с требованиями GDPR. Электронная почта.

Комментариев нет: