Соблюдение нормативных требований, защита данных и обеспечение безопасности в сети в 2012 г.
Основные моменты защиты данных
В Европе законы о данных пересматриваются в надежде усилить онлайн-безопасность. Законы, действующие с 1995 года, позволяют каждой стране ЕС применять законы по своему усмотрению, что приводит к несоответствию безопасности данных в ЕС. Ожидается, что предлагаемый единый закон для всего ЕС остановит расхождение и укрепит доверие клиентов к онлайн-безопасности.
Хотя закон о безопасности данных действует с 1995 года, эти законы не учитывают невероятно быстрые изменения, которые происходили и происходят в сфере Интернета. Они основаны на онлайн-активности до 1995 года, и с тех пор многое изменилось. Законы должны быть адаптированы к онлайн-услугам и вызовам сегодняшнего дня; им необходимо обеспечить защиту данных в областях, которых не существовало в 1995 году.
Если посмотреть на цели, для которых сегодня используется Интернет, от социальных сетей до облачных вычислений, личные и корпоративные данные находятся в опасности. Каждый имеет право на защиту своих личных данных, поэтому правила необходимо пересматривать, адаптировать и добавлять новые, где это необходимо, чтобы гарантировать, что каждый получает защиту данных, на которую он имеет право, особенно в сегодняшнюю эпоху Интернета, когда так много личных данных обрабатывается, передается и хранится в сети.
Некоторые моменты, затронутые в новом предложении
Ниже приведены некоторые вопросы, которые необходимо рассмотреть в новом предложении по защите данных.
- Пересмотреть, обновить и улучшить законы в существующей Директиве ЕС о защите данных от 1995 года и заменить старую директиву обновленной модернизированной версией.
- Укрепить права человека на неприкосновенность частной жизни и тем самым повысить уверенность клиентов в безопасности данных.
- Чтобы позволить людям лучше понимать, контролировать и управлять своими личными данными и обеспечивать более легкий доступ к ним. Им будет разрешено удалить свои данные, если нет веских причин не делать этого.
- Для обеспечения того, чтобы физическое лицо дало явное согласие на обработку его персональных данных.
- Чтобы обеспечить постоянную защиту личных данных, независимо от того, где они отправляются, обрабатываются или хранятся даже за пределами ЕС. Правила ЕС будут по-прежнему применяться, даже если данные не обрабатываются или не хранятся в ЕС, поэтому защита данных будет применяться везде, где данные находятся в мире.
- Для достижения высокого уровня защиты данных во всех областях.
- Для обеспечения соблюдения этих законов и правил; в случае несоблюдения законов могут быть наложены значительные штрафы.
- Укрепить доверие и конкурентоспособность на рынке ЕС посредством стандартного законодательства, которому должны следовать все.
- Для облегчения и обеспечения международной передачи персональных данных.
- Чтобы установить стандарт защиты данных, чтобы уменьшить сложность, юридическую неопределенность и административные расходы.
- Обеспечить наличие в компаниях или общественных организациях сотрудников по защите данных.
- Обязательное уведомление об утечке данных путем уведомления как органов по защите данных, так и всех лиц, подвергающихся риску, в течение 24 часов с момента нарушения.
Шаги в правильном направлении, компании могут начать адаптироваться к новым предлагаемым законам
- Все компании, в которых работает более 250 сотрудников, и организации государственного сектора должны будут нанимать назначенных сотрудников по защите данных, их роль будет заключаться исключительно в защите данных. Это повлечет за собой дополнительные расходы в организациях, где это еще не учтено; однако это является обязательством в соответствии с новым предлагаемым законом.
- Компании должны будут пересмотреть свои существующие политики управления данными и безопасности, чтобы убедиться, что у них есть строгая политика защиты управления данными, которая хорошо управляется и постоянно контролируется и пересматривается, поскольку они будут нести ответственность за утечку данных и должны будут признавать и сообщать о них, если они происходят.
- Признание утечки данных станет обязательным. Компания должна будет уведомить органы по защите данных, а также всех лиц, чьи данные подверглись риску. Это уведомление должно быть сделано в течение 24 часов с момента утечки данных.
- Компании должны будут соблюдать новое законодательство, иначе они могут быть оштрафованы. Должна быть создана система управления, обеспечивающая постоянное соблюдение компанией законодательства.
- Хорошее руководство по защите данных сотрудников и клиентов можно найти в стандартах ISO 27002. Стандарты ISO 27002 рекомендуют шаги, которые необходимо выполнить, чтобы инициировать, внедрить и управлять информационной безопасностью.
Некоторые рекомендации по управлению информационной безопасностью вашей организации
- Оцените свои зоны риска
Изучите все области в вашей организации, где любая форма личных данных может быть подвержена риску, будь то корпоративные данные, данные сотрудников или данные клиентов. Узнайте обо всех областях, где может произойти утечка данных, даже если вы считаете, что это маловероятно. - Политика безопасности
После того, как ваши области риска были оценены и осознаны, должны быть предприняты шаги по внедрению политики безопасности, специально соответствующей потребностям вашей компании с учетом ее конкретных рисков. - Управление политикой безопасности
После того, как политика безопасности установлена, ею необходимо постоянно управлять и поддерживать ее. Если он не соблюдается, его может и не быть. - Управление активами
Должен вестись и поддерживаться обновленный учет информационных активов. Это позволяет узнать, какие данные в форме информационных активов необходимо защитить. Если записи не обновляются, безопасность не будет столь эффективной. - Физическая и экологическая безопасность
Вы должны обеспечить наличие, поддержание и мониторинг мер физической безопасности, чтобы контролировать, кто имеет доступ к вашим объектам или компьютерам, на которых обрабатывается или хранится ваша информация. - Контроль доступа
У вас должен быть строгий контроль, ограничивающий, кто имеет доступ к вашим данным, будь то корпоративные данные, данные сотрудников или клиентов, через ваши сети, системы, приложения и т. д. Люди, имеющие доступ, должны быть ограничены и иметь возможность нести ответственность. - Управление технической безопасностью
Системы и сетевые операции должны контролироваться и управляться - Безопасность вокруг человеческих ресурсов
Разработайте политики, регулирующие личную информацию сотрудников, которые приходят в компанию, увольняются или переводятся внутри компании. - Разработка
Всегда стремитесь улучшить свою безопасность. Взгляните на встраивание безопасности в программное обеспечение или приложения - Управление инцидентами информационной безопасности
Разработайте политику на случай утечки информации. Таким образом, нарушение может быть устранено надлежащим образом и гладко. Убедитесь, что ваша реакция на нарушение соответствует законодательству. - Управление бизнесом и восстановление данных
Обеспечьте наличие политик защиты, обслуживания и восстановления для данных, которые имеют решающее значение для процессов вашей компании. - СОГЛАСИЕ
Самое главное, убедитесь, что ваша компания соответствует законодательству о защите данных. Убедитесь, что вы знаете законы и в курсе изменений. В конце концов, вы будете нести ответственность за любое нарушение безопасности, которое произойдет, и вам придется иметь дело с последствиями. Сделайте своим делом постоянное знание и актуальную информацию о законодательстве.
Вывод
Люди больше осведомлены о том, что их личные данные подвергаются риску и используются без их согласия, будь то передача между компаниями для увеличения их рыночной базы или их преднамеренное неправомерное использование. Мы живем в эпоху, когда от нас все чаще требуется предоставлять свои личные данные, однако мы крайне не уверены в безопасности наших данных в Интернете и осознаем отсутствие контроля над этими данными после их передачи.
Если бы законы могли обеспечить безопасность данных в Интернете, это укрепило бы доверие между клиентом и различными онлайн-сервисами, которое необходимо в постоянно растущей цифровой или онлайн-экономике сегодня.
Наличие одного и того же свода законов для всего ЕС должно быть выгодным как для отдельных лиц, так и для организаций в долгосрочной перспективе. Укрепление доверия к онлайн-безопасности и упрощение для компаний по всему ЕС соблюдения законодательства в любое время. Наличие единственного закона, которому нужно следовать, упрощает его соблюдение, поскольку не может быть оправдания тому, какие законы должны соблюдаться.
Предложение находится только на стадии рассмотрения, поэтому пройдет еще как минимум несколько лет, прежде чем новые законы вступят в силу, однако в интересах компании уже начать вносить необходимые изменения. Это значительно облегчит переход и позволит распределить любые понесенные расходы. Обеспечение постоянной защиты ваших корпоративных данных, а также данных ваших сотрудников и клиентов должно стать общепринятой практикой, а не только ответом на новый свод законов.