Общият регламент за защита на данните (Регламент (ЕС) 2016/679) е регламент, с който Европейският парламент, Съветът на Европейския съюз и Европейската комисия възнамеряват да укрепят и обединяват защитата на данните за всички лица в рамките на Европейския съюз (ЕС).

GDPR дава нови изисквания за технически мерки за защита на личните данни. Според тях всяка организация трябва да бъде съвместима с GDPR и Nebosystems предоставя действия / услуги, които са:

  • Анализ на текущото състояние на сигурността на ИТ инфраструктурата. Някои експерти го наричат GAP анализ. GAP анализът предоставя оценка на текущото ниво на съответствие на организацията с регламента и помага за идентифицирането и приоритизирането на ключовите области на работа, които всяка организация трябва да разгледа преди май 2018 г. Ако много корпоративни услуги са изложени на Интернет, тестовете за проникване са полезни практика.
  • Оценка на риска. Според GDPR рисковете трябва да бъдат идентифицирани и измерени. Използваме ISO модел за идентификация и изчисление на риска. Необходимо е да се създаде документ оценяващ риска на всички идентифицирани Информационни системи. По време на Анализа става идентификация на всички използвани Информационни Системи. Например MAIL Server като система трябва да се оцени. ERP системата, всяка услуга за облаци и др. Идеята е всеки използван софтуер / системи да бъде отделен и измерен отделно.
  • Следваща стъпка е изборът на подходящи практики, софтуерни / хардуерни технологии, инструменти и решения за намаляване на идентифицирания риск като: криптиране; псевдонимизация; анонимизация; Одитен софтуер, DLP решения, SIEM решения, решения за унифицирано управление на сигурността и т.н. След внедряване на избраните решение и практики, оценка на риска се извършва отново. Извършва се одит на сигурността на ИС.
  • Следва подготвянето на документацията. Това включва изготвянето на полити / процедури / декларации / съгласия. Ключов документ е „Политиката по информационна сигурност“. В този документ трябва да бъдат определени всички взети технически мерки за осигуряване сигурността на личните данни.
  • Постоянен 24-часов мониторинг и откриване на заплахи. Направени са графици за проверка на сигурността на всяка една Информационна Система, ИТ инфраструктурата, сървърите и др. Прави се периодично обновяване на процеса включващ: оценка на остатъчен риск, обновяване на документи и непрекъснато усъвършенстване на средствата за следене, откриване и нотификация на заплахи. Дружеството трябва да уведоми съответния надзорен орган в срок от 72 часа, след като е узнало за наличен теч на лични данни. Това известие трябва да съдържа информация за естеството на нарушението на данните, да описва вероятните последици от нарушението и предприети или предложени мерки за справяне с нарушението. Цели се ограничаване на възможните неблагоприятни последици. Тези нарушения на личните данни трябва да бъдат документирани и трябва да бъдат предприети коригиращи действия.