Data Security Plus »

Spełnienie wymogów ochrony danych europejskiego rozporządzenia RODO za pomocą programu DataSecurity Plus

Organizacje gromadzą i przetwarzają ogromne ilości danych osobowych/wrażliwych danych osobowych w ramach swojej codziennej działalności. Aby zmniejszyć ryzyko naruszenia zabezpieczeń danych i zapewnić osobom, których dane dotyczą, większą kontrolę nad ich danymi osobowymi, ogólne rozporządzenie o ochronie danych (RODO) nakazuje:

  • wdrożenie wysokich standardów prywatności danych podczas ich przechowywania, przetwarzania i wykorzystywania;
  • spełnianie wniosków osoby, której dane dotyczą, związanych z wykorzystaniem jej danych osobowych;
  • wdrożenie zdecydowanych środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych wrażliwych danych osobowych.

Program ManageEngine DataSecurity Plus pomaga spełnić szereg z tych wymagań, wykrywając obecność i lokalizację wrażliwych danych, analizując związane z nimi ryzyko i zapobiegając wyciekowi lub kradzieży krytycznych danych biznesowych, a nie tylko wrażliwych danych osobowych.

Szybciej osiągnij zgodność z rozporządzeniem RODO, korzystając z programu DataSecurity Plus

Przyjrzyjmy się niektórym typowym artykułom dotyczącym RODO i dowiedzmy się, w jaki sposób program DataSecurity Plus może pomóc w łatwym spełnieniu tych wymagań:

Postanowienia artykułu RODO: Wymagane działania: Korzyści z programu DataSecurity Plus:

Artykuł 5(1)(c)

Dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne.

 Usunięcie zbędnych, przestarzałych i trywialnych danych, tj. niepotrzebnych plików z magazynów danych. Znajduje i usuwa niepotrzebne dane, w tym nieaktualne, zduplikowane i oddzielone pliki, a także pomaga zagwarantować, że przechowywane są tylko wymagane, istotne dane.

Artykuł 5(1)(f)

Dane osobowe powinny być chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem.

 Wprowadzenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia integralności, bezpieczeństwa oraz poufności danych osobowych i wrażliwych.
Aby pomóc w utrzymaniu integralności danych:
  1. Przeprowadza inspekcje działań na plikach i folderach, w tym tworzenia, zmiany nazwy, usuwania, kopiowania i innych, w czasie rzeczywistym.
  2. Wyzwala natychmiastowe powiadomienia e-mail dla administratorów o monitorowaniu podejrzanych działań na plikach, takich jak przydzielenie nadmiernych uprawnień, zmiany nazw itp.
  3. Śledzi nieudane próby uzyskania dostępu do krytycznych danych.
  4. Utrzymuje skuteczną ścieżkę inspekcji wszystkich dostępów do plików, aby pomóc w dochodzeniach kryminalistycznych.
Aby pomóc w utrzymaniu bezpieczeństwa danych:
  1. Natychmiast wykrywa i powstrzymuje potencjalne ataki wymuszające okup, aby zapobiec katastrofalnej utracie danych.
  2. Wykrywa i zapobiega wyciekom plików o znaczeniu krytycznym dla firmy za pośrednictwem urządzeń USB lub jako załączników w wiadomościach e-mail.

Artykuł 15(1)

Osoba, której dane dotyczą, ma prawo zażądać, jakie informacje na jej temat są przetwarzane.

 Lokalizowanie i udostępnianie wszystkich informacji o osobie, której dane dotyczą, przechowywanych przez organizację. Wyszukuje dane osobowe (PII) określonego użytkownika za pomocą wyrażeń regularnych lub dopasowując unikatowe słowo kluczowe, np. identyfikator klienta, nazwę itp. w środowiskach serwerów plików Windows i klastrów trybu failover.

Artykuł 15(3)

Administrator dostarcza kopię danych osobowych podlegających przetwarzaniu.

 Udostępnienie elektronicznej kopii wszystkich danych istotnych dla osoby, której dane dotyczą, przechowywanych przez organizację. Określa miejsce przechowywania danych osobowych/wrażliwych danych osobowych w celu ułatwienia dalszego przetwarzania.

Artykuł 16

Osoba, której dane dotyczą, może zażądać od administratora sprostowania dotyczących jej danych osobowych, które są niedokładne.

 Lokalizowanie i korygowanie wszystkich niedokładnych informacji o osobie, której dane dotyczą. Wykorzystuje funkcję odnajdowania danych w celu znalezienia wystąpień danych osobowych/wrażliwych danych osobowych osoby, której dane dotyczą, z wykorzystaniem unikatowego zestawu słów kluczowych, np. krajowego numeru identyfikacyjnego, danych karty kredytowej, numeru licencji itp.

Artykuł 17(1)

Zgodnie z wytycznymi wymienionymi w ustawodawstwie, osoba, której dane dotyczą, ma prawo do złożenia wniosku do administratora danych o usunięcie wszystkich dany, które jej dotyczą.

 Znalezienie i usunięcie wszystkich przypadków danych osobowych/wrażliwych danych osobowych osoby, której dane dotyczą. Lokalizuje wszystkie pliki zawierające wystąpienia informacji o osobie, której dane dotyczą, dopasowując słowa kluczowe.

Artykuł 24(2)

W celu ochrony praw osób, których dane dotyczą, należy wdrożyć odpowiednie zasady ochrony danych.

 Wdrożenie niezbędnych środków technicznych i organizacyjnych w celu zapewnienia wysokich standardów prywatności danych.
  1. Wykorzystuje wstępnie zdefiniowane zasady, aby zapobiec nieuzasadnionemu przesyłaniu danych do urządzeń USB, monitorować integralność plików i nie tylko.
  2. Wykorzystuje zautomatyzowane mechanizmy reagowania na zagrożenia do izolowania zainfekowanych systemów, rozłączania niezatwierdzonych sesji użytkowników i nie tylko.

Artykuł 25(2)

Należy stosować praktykę ograniczania danych do minimum i dopilnować, aby dane osobowe nie były udostępniane nieokreślonej liczbie osób fizycznych.

 Lokalizowanie i wycofywanie nadmiernych uprawnień nadanych użytkownikom.
  1. Znajdowanie użytkowników z pełną kontrolą dostępu do udziałów systemu Windows.
  2. Lokalizowanie wszystkich plików i folderów, które zostały udostępnione wszystkim.

Artykuł 30(1)

Należy prowadzić rejestr wszystkich działań przetwarzania wraz ze szczegółowymi informacjami na temat przetwarzanych danych wrażliwych oraz środków technicznych stosowanych w celu ochrony danych.

 Określenie, które dane są wrażliwe, kto może uzyskać do nich dostęp i skonfigurowanie inspekcji, aby dysponować rzetelnym rejestrem tego, co dzieje się z danymi. Utrzymywanie dokładnych informacji na temat środków podjętych w celu zapewnienia bezpieczeństwa danych.
  1. Lokalizuje wystąpienia danych osobowych/wrażliwych danych osobowych przechowywanych na serwerach plików Windows i klastrach trybu failover za pomocą dedykowanych zasad wykrywania danych RODO.
  2. Skanuje w poszukiwaniu krajowych numerów identyfikacyjnych, danych kart kredytowych, numerów licencji i nie tylko.
  3. Sprawdza, kto ma jakie uprawnienia do plików zawierających poufne dane osobowe.
  4. Przeprowadza inspekcje działań użytkowników na plikach ze szczegółowymi informacjami o tym, kto, kiedy i skąd uzyskał dostęp.

Artykuł 32(2)

Należy wdrożyć środki techniczne i organizacyjne w celu przeciwdziałania ryzyku przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia bądź dostępu do przesyłanych lub przechowywanych danych osobowych.

 Wdrożenie środków zapobiegawczych i wykrywania w celu ochrony przetwarzanych danych przed incydentem bezpieczeństwa.
Aby wyeliminować ryzyko potencjalnego wycieku danych:
  1. Monitoruje wykorzystanie wymiennych urządzeń pamięci masowej, takich jak nośniki USB, w organizacji.
  2. Blokuje przenoszenie plików zawierających dane osobowe na urządzenia USB lub za pośrednictwem poczty e-mail jako załączniki.
  3. Zapewnia kontekstowe ostrzeżenia za pomocą monitów systemowych o ryzyku przenoszenia krytycznych danych biznesowych na wymienne urządzenia pamięci masowej lub za pośrednictwem poczty elektronicznej jako załączników.
  4. Skraca czas reakcji na zdarzenia dzięki natychmiastowym alertom i zautomatyzowanemu mechanizmowi reagowania na zagrożenia.
Aby wyeliminować ryzyko nieautoryzowanego dostępu lub ujawnienia:
  1. Wysyła alerty i tworzy raporty dotyczące nieuzasadnionego dostępu lub nagłego wzrostu liczby prób dostępu do plików i modyfikacji, w tym zmian uprawnień, usuwania i innych.
  2. Wykrywa pliki z lukami w zabezpieczeniach, takie jak:
    • pliki należące do nieaktywnych użytkowników;
    • krytyczne pliki, które umożliwiają użytkownikom pełną kontrolę dostępu;
    • nadmiernie narażone pliki lub pliki dostępne dla wszystkich.
  3. Śledzi nagły wzrost liczby nieudanych prób uzyskania dostępu do plików/folderów.
  4. Okresowo sprawdza prawa dostępu i uprawnienia do plików.
Aby przeciwdziałać ryzyku przypadkowego lub bezprawnego zniszczenia danych:
  1. Prowadzi pełny rejestr wszystkich usuniętych plików i folderów, wraz ze szczegółowymi informacjami o tym, kto, kiedy i gdzie je usunął.
  2. Wykrywa i poddaje kwarantannie potencjalne ataki wymuszające okup.

Artykuł 33(3)

W przypadku naruszenia ochrony danych osobowych zgłoszenie powinno zawierać informacje o środkach podjętych w celu zaradzenia i złagodzenia ewentualnych negatywnych skutków naruszenia ochrony danych osobowych.

 Analizowanie i badanie potencjalnych przyczyn i konsekwencji naruszenia danych. Pomaga analizować pierwotną przyczynę i zakres naruszenia danych za pomocą obszernych rekordów dotyczących wszystkich działań związanych z plikami i folderami na serwerach plików Windows, w klastrach trybu failover i środowiskach grup roboczych. Zapewnia szczegółowe informacje o tym, kto, kiedy i gdzie uzyskał dostęp.

Artykuł 35(7)(d)

Ocena skutków dla ochrony danych powinna obejmować środki przewidziane w celu przeciwdziałania zagrożeniom, w tym zabezpieczenia i środki bezpieczeństwa służące do zapewnienia ochrony danych osobowych.

 Identyfikacja i ocena zagrożeń dla wrażliwych danych osobowych. Ocena ryzyka i wdrożenie środków mających na celu jego ograniczenie.
  1. Obliczanie oceny ryzyka dla plików zawierających dane osobowe/wrażliwe dane osobowe poprzez analizę ich uprawnień, liczby i rodzaju naruszonych reguł, szczegółów inspekcji i nie tylko.
  2. Identyfikowanie plików, które są podatne na ataki ze względu na nieprawidłowe uprawnienia.

Zastrzeżenie: Pełna zgodność z rozporządzeniem RODO wymaga wielu różnych rozwiązań, procesów, ludzi i technologii. Niniejsza strona służy wyłącznie celom informacyjnym i nie powinna być traktowana jako porada prawna w zakresie zgodności z przepisami RODO. ManageEngine nie udziela żadnych gwarancji, wyraźnych, dorozumianych ani ustawowych, w związku z informacjami w tym materiale.

Zapewnij bezpieczeństwo danych i zgodność z   przepisami

Program DataSecurity Plus pomaga spełnić wymagania wielu przepisów dotyczących zgodności, chroniąc magazynowane, przetwarzane i przesyłane dane.

Szukasz ujednoliconego rozwiązania SIEM, które ma również zintegrowane funkcje DLP? Wypróbuj Log360 już dziś!

30-dniowa bezpłatna wersja próbna