Какви основни процеси включва активната защита на личните данни?

  1. Защита на информацията в покой в Организацията.
  2. Защита на информацията в движение.
  3. Защита на информацията за мобилни служители и работещите от вкъщи.
  4. Сигурен обмен на информация между различни локации.
  5. Блокиране/ограничаване на достъпа до определена информация.
  6. Предоставяне на достъп до данни при поискване.
  7. Сигурно съхраняване и защита на лични данни.
  8. Сигурно унищожаване на ненужна информация.

Препоръчителни стъпки за изпълнение изискванията на GDPR – регламент (ЕС) 2016/679 на Европейския парламент и на Съвета

  1. Диагностичен одит на Системата за сигурността и защита на личните данни.
  2. Инвентаризация на личните данни.
  3. Организация, защита и съхранение на личните данни.
  4. Дефиниране на роли и правила за защита и достъп до личните данни.
  5. Анализ и оценка на риска за управляваните лични данни.
  6. Планиране и провеждане на организационни мерки:
    a) Оценяване на степента на важност на личните данни (риск анализ);
    b) Политики, процедури и разпределяне на отговорности и обучение;
    c) Преразглеждане на Договорните взаимоотношения с доставчици и клиенти във връзка с GDPR;
    d) Сигурност в основата на бъдещи разработки;
    e) Одит и съответствие с GDPR;
    f) Назначаване на служител по защита на данните (DPO);
    g) Други експертни дейности по сигурността, изисквани от спецификата на процесите и Организацията

 

Основни специализирани услуги
по осигуряване на съответствие с изискванията на
GDPR – регламент (ЕС) 2016/679 на Европейския парламент и на Съвета

  1. Одити по сигурността, свързани с диагностика на процесите по защита на личните данни
    1.1. Диагностичен/вътрешен одит на управлението и защитата на личните данни, като част от която и да е Система за управление (качество; околна среда; здраве и безопасност при работа; услуги; безопасност на храните; HACCP и др.)
    1.2. Диагностичен/вътрешен одит на системата за управление и защита на сигурността на информацията (ISO/IEC 27001).
    1.3. Диагностичен/вътрешен одит на специализирана Система за управление и защита на личните данни (GDPR).
    1.4. Диагностичен одит на системата за физическа сигурност на критична инфраструктура, в която се обработват и/или съхраняват лични данни.
    1.5. Диагностичен одит на Data Centers.
    1.6. Диагностичен одит на LAN/WAN.
  2. Изготвяне на GAP анализ за покриване изискванията на GDPR
  3. Управление на риска за личните данни
    3.1. Анализ и оценка на риска на 7 групи информационни активи, участващи в обработката, съхранението, трансферирането и защитата на лични данни.
    3.2. Разработване План за намаляване на риска на 7 групи информационни активи, участващи в обработката, съхранението, трансферирането и защитата на лични данни.
    3.3. Намаляване на риска за информационните активи, участващи в обработката, съхранението, трансферирането и защитата на лични данни, чрез контроли за сигурност.
    3.4. Анализ и оценка на ефективността на предприетите действия по намаляване на риска.
  4. Разработване и интегриране на системи за управление по изпълнение на изискванията на GDPR
    4.1. Разработване и внедряване на СУСИ – Системата за управление на сигурността на информацията (ISO/IEC 27001), включваща изпълнение на изискванията на GDPR.
    4.2. Разработване и внедряване на СУЗЛД – Системата за управление и защита на личните данни, съгласно изискванията на GDPR.
    4.3. Интегриране на съществуващите системи за управление (качество; околна среда; здраве и безопасност при работа; услуги; безопасност на храните; HACCP и др.) със СУСИ и/или СУЗЛД.
  5. Противодействие на социалния инженеринг
    5.1. Анализ на заплахите и уязвимостите.
    5.2. Психологически и професионален подбор и реподпор на персонала.
    5.3. Диагностициране/разследване на престъпни и враждебни намерения и дейности чрез полиграф (детектор на лъжата).
    5.4. Консултации по осъзнаване от персонала на рисковете и отговорностите, свързани със сигурността и защитата на личните данни.
  6. Специализирани обучения по защита на личните данни
    6.1. GDPR – Основни изисквания по защита на личните данни (2 – 4 часа)
    Забележка: При група над 10 човека обучението се организира в инфраструктура на Клиента
    6.2. Обучение на оператори (обработващи) личните данни (DO – Data Operator) (2-3 дни)
    Забележка: При група над 10 човека обучението се организира в инфраструктура на Клиента
    6.3. Обучение на Служител по сигурността (защитата) на лични данни (DPO – Data Protection Officer) (3 дни)
    Забележка: При група над 10 човека обучението се организира в инфраструктура на Клиента
    6.4. Обучение на вътрешни одитори по сигурността на информацията и защитата на лични данни (3-5 дни)
    Забележка: При група над 10 човека обучението се организира в инфраструктура на Клиента
    6.5. Обучение на технически експерти (ICT) информационна сигурност и защита на лични данни.
    6.6. Задължително обучение; Социален инженеринг и противодействие. (2-3 дни).
    6.7. Действие в ситуации със съмнение за уязвимост или при реална заплаха за личните данни
    6.8. Друго необходимо специализирано обучение (в зависмост от спецификата на дейността и профила на Организацията).
  7. Всестранно технологично осигуряване на защитата на личните данни, базирано на оценката на риска
  8. Непрекъснат, планов и/или извънреден мониторинг на сигурността на информацията (годишен/месечен абонамент)
    8.1. Директен мониторинг на място.
    8.2. Дистанционен мониторинг на автоматизираните информационни системи и мрежи.
    8.3. Penetration Tests.
    8.4. Tесване и усъвършенстване Плана за управление на риска за личните данни.
    8.5. Разработване на верифициращи сценарии, тесване и усъвършенстване на Плана за непрекъснатост на работата.
    8.6. Разработване на верифициращи сценарии, тесване и усъвършенстване на Плана за възстановяване при бедствия.
    8.7. Разработване на верифициращи сценарии, тесване и усъвършенстване на Плановете за управление при кризи и извънредни ситуации.
  9. Осигуряване на външни експерти имконсултанти
    9.1. Осигуряване на външен Служител по защита на личните данни (DPO), който да консултира непрекъснато Организацията.
    9.2. Осигуряване на външен Служител по сигурността на автоматизираните информационни системи и мрежите (AISN – Security Officer).
  10. Всестранно технологично осигуряване на защитата на личните данни, базирано на оценката на риска
    10.1. Специализиран хардуер
    10.2. Специаализиран софтуер
    10.3. Друго специализирано оборудване
  11. Осигуряване на процеси по споделяне (прехвърляне) на отговорността
    11.1. Консултации, свързани със застраховки
    11.2. Консултации, свързани с физическа охрана
    11.3. Консултация, свързана с защита на критична инфраструктура
    11.4. Други специфични процеси
  12. Всички останали дейности осигуряващи (или гарантиращи) надеждната и непрекъсната защита на личните данни.