В Киеве рассказали о стандарте GDPR

16 09 2018

GDPR - это европейский регламент защиты персональных данных, который вступил в силу в мае нынешнего года. И хотя в украинском законодательстве он пока не имплементирован, его действия распространяются на любые компании, которые продают товары и услуги гражданам ЕС, принимают оплату в евро, имеют локализованные версии веб-сайтов и т.д.


С основными положения GDPR гостей ознакомила Юлия Нечипоренко из компании Nota Group. Регламент дает определение собственно персональных данных и перечисляет роли участников процесса. Также регламент вводит целый ряд руководящих принципов и условий законной обработки данных. В регламенте прописаны права субъектов, в том числе на доступ к информации о себе и ее удаление.

О том, какие шаги необходимо сделать для внедрения GDPR на предприятии, рассказала Елена Колченогова, ведущий специалист в сфере IT компании Nota Group и глава комитета по защите данных Ассоциации Digital Ukraine. Регламент вводит понятия защиты по умолчанию (by default), которая сводится к тому, что чем меньше данных собирается, тем лучше, и по назначению (by design), то есть конфиденциальность должна быть заложена в ПО для обработки данных.

Регламент также предусматривает штрафные санкции, о которых рассказала Дарина Сидоренко, координатор группы ИТ и кибербезопасности компании Sayenko Kharenko. В зависимости от тяжести нарушения они варьируются от штрафа или выговора для физических лиц до €20 млн или 4% годового оборота для организаций, допустивших серьезные нарушения. Штрафы назначаются органами надзора государств-членов ЕС. Помимо риска штрафных санкций, украинские компании столкнулись с тем, что европейцы теперь будут очень осторожно выбирать партнеров или даже разрывать отношения в случае плохой репутации.

Для защиты неактивных данных рекомендуются такие меры, как шифрование резервных копий при их создании, блокирование съемных носителей, контроль потоков данных через ЛВС и через периметр. Рабочие данные могут быть защищены межсетевыми экранами для баз данных и веб-приложений, а также с помощью маскировки по рабочей роли. Для неактивных и рабочих данных GDPR предусматривает использование механизмов псевдонимизации (идентифицирующие данные заменяют кодом) и анонимизации (при которой восстановление идентификации невозможно). Что касается данных в движении, то для их защиты рекомендуется применять шифрование сессий, правильные сертификаты веб-сайтов, контроль доступа к архивам, канальное шифрование к резервному ЦОД.

Источник