GDPR: Действия при пробиви

#9 | Структура и задачи на вътрешния екип за реагиране при инциденти с лични данни

BusinessGlobal
BusinessGlobal / 08 June 2018 20:34 >
GDPR: Действия при пробиви
Източник: Shutterstock
Иван Савов, председател на Европейския институт за риск политика

И при най-добри мерки за сигурност има риск за възникване на пробиви в сигурността на личните данни. Някои може да се открият чрез софтуерни инструменти, за други може да се получи информация от служител, а за трети може да научим чак при злонамереното използване или публикуването на открадната информация.

Не е необичайно да има закъснение между възникването на инцидента и неговото откриване. Една от целите на проактивния подход на информационната сигурност е да се намали този период от време. Затова е много важно да се приложи процедурата за реагиране при инциденти, за да може да се предприемат ефективни действия за минимизиране на последствията, комуникация и последващи превантивни действия.

След като се открие един инцидент, първо трябва да се извърши оценка на въздействието, за да се реагира по подходящ начин. Тази оценка трябва да даде информация за:

• Размера и въздействието върху ИТ инфраструктурата;
• Засегнатите информационни активи;
• Вероятната продължителност на пробива;
• Засегнатите бизнес структури и степента на въздействието върху тях;
• Степента на реализираните рискове за правата на субектите на данни;
• Първоначален анализ на причините за пробива.

Информацията трябва да се документира, за да има ясно разбиране на последователността от събития, които по-късно да може да се анализират по-задълбочено. Трябва да се създаде и списък на информационните активи, включително лични данни, бизнес дейности, продукти, услуги, екипи и поддържащи процеси, които може да са били засегнати от инцидента, заедно с оценка на степента на въздействието.

След откриването на пробив се активира процедурата за реагиране при пробиви и се събира екип за реагиране при пробиви, който се състои обикновено от ръководител, координатор, сътрудник, ИТ мениджър, експерт бизнес, експерт инфраструктура, експерт непрекъсваемост, експерт здраве и безопасност, експерт комуникации. При по-малките организации екипите съответно са с по-малко членове, които съвместяват посочените направления.

След като бъде идентифицирана подходяща реакция за конкретния инцидент, екипът трябва да е в състояние да управлява процеса на реакция, да наблюдава и непрекъснато да актуализира информацията и изпълнението на стъпките и да гарантира ефективна комуникация на всички нива.

Комуникация във връзка с пробива
Основните средства за комуникация са лице в лице и по телефон. Имейли не трябва да се изпращат.
Следвайте тези основни указания при комуникация:

• Единствено този член на екипа, който отговаря за комуникациите, е упълномощен да говори за инцидента и го прави по предварително съгласуван сценарий.
• Бъдете спокойни и избягвайте продължителни разговори.
• При комуникация с органите на реда и на Комисията за защита на личните данни (КЗЛД) се уверете, че говорите с упълномощено лице. Не давайте подробности по телефона, уговорете лична среща, за да дискутирате детайлите за инцидента.
• Не давайте никаква информация по телефон и имейл, докато ограничението не се свали от ръководителя на екипа.
• Всички комуникации се документират, за да са налични по-късно, включително и за целите на правни действия.
Европейският регламент изисква инцидентите, засягащи лични данни, да се докладват на надзорния орган (в случая КЗЛД) без ненужно забавяне и когато е възможно, до 72 часа от узнаването на инцидента. За тази цел организацията трябва да разработи Процедура за уведомяване на регулатора при инциденти, в която се разписва процесът на уведомяване, сроковете и регистрирането на комуникацията. Самата комуникация се извършва със съдействието на длъжностното лице по защита на данните.

Освен това екипът за реагиране трябва да анализира и определи размера, времето и съдържанието на комуникацията със засегнатите и вероятно засегнатите субекти, за чиито лични данни има пробив. Регламентът изисква комуникацията да се осъществи без ненужно забавяне. Организацията трябва да има предварително разработена Процедура за комуникация със субектите при пробив.

По отношение на медиите комуникацията се скриптира предварително и само упълномощеният член от екипа води контакта с медиите. Ето някои основни насоки за подготовка на изявленията:

• Личната информация трябва да бъде защитена по всяко време.
• Придържайте се към фактите и не спекулирайте за инцидента или причината.
• Уверете се, че е направен преглед от правните ви експерти преди излъчването на изявлението.
• Опитайте се да отговорите на въпросите, преди те да бъдат зададени.
• Подчертайте, че управлявате ситуацията, предприели сте мерки и правите всичко възможно за неутрализиране на пробива и намаляване на последиците.

Основни стъпки на оперативния екип

• Ограничаване
Първата стъпка е да се спре/ограничи пробивът. В зависимост от мащаба на инцидента се предприемат конкретни действия – деактивиране на профили и акаунти, затваряне на достъп, портове, изключване на мрежи от външен достъп и други.

Особено, но не само, ако при инцидента се подозира престъпление, трябва да се действа съобразно правилата на киберкриминалистиката, като основните принципи са следните:

• 1: Не променяйте никакви данни;
• 2: Достъп до оригиналните данни само в изключителни случаи;
• 3: Винаги поддържайте одитна пътека;
• 4: Длъжностното лице по защита на данните отговаря за спазването на указанията.
• Елиминиране

Основният фокус при тази част от действията е идентифициране на местата на пробива и тяхното елиминиране, за да се предотврати вероятността от повторна проява на пробива.

• Възстановяване
По време на възстановяването системите се връщат в оперативно състояние, като при нужда се инсталират допълнителни контроли, които да елиминират идентифицираните уязвимости и да намалят риска.
• Уведомяване

Уведомяването за пробив е чувствителен въпрос, който трябва да бъде разгледан внимателно и да получи решение и пълно одобрение от ръководството. Екипът за реагиране решава, на база на указания от ръководството, правни и други експерти, съдържанието и формата на уведомяването. Самото уведомяване трябва да е съобразено със законовите и нормативните изисквания. Генерираните записи за действията и целият фактологичен материал се запазва и се предоставя при поискване на съответните органи при разследващи и съдебни действия.

Оттегляне на оперативния екип
Ръководителят на екипа за реагиране при пробив решава кога се преустановяват действията и екипът да се оттегли.
Важно е да се отбележи, че възстановяването продължава и след това. Самото оттегляне става при следните условия:
• Ситуацията е напълно решена или е относително стабилна;
• Действията за управление на пробива са в ход и напредват по график;
• Степента на риска е сведена до приемливо ниво;
• Изпълнени са всички правни и регулаторни отговорности.

След оттеглянето на екипа за реагиране ръководителят му провежда оперативка в рамките на 24 часа. Преглеждат се записите от действията и одит пътеката, за да се гарантира, че те отразяват действителните събития и представляват пълен и точен запис на инцидента и предприетите действия. Тази документация е необходима за срещата на висшето ръководство, на която се разглежда в детайл инцидентът и се взимат управленски решения по отношение на управлението на риска за личните данни в организацията. И

Темата на следващата статия от рубриката е за акредитацията и сертификацията по GDPR в Европа и света.

Текстът е публикуван в брой 23/2018 г. на списание "Икономист", който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя.
Exit

Този уебсайт ползва “бисквитки”, за да Ви предостави повече функционалност. Ползвайки го, вие се съгласявате с използването на бисквитки.

Политика за личните данни Съгласен съм Отказ