歐盟的一般資料保護規範(GDPR)於2016年4月通過,並於2018年5月生效。歐洲議會建立了GDPR,作為保護歐盟公民個人身份信息(PII)的機制。根據GDPR的定義,PII不僅包含姓名,地址和生日等詳細信息,而且範圍更廣,包括網路身份資訊,如IP地址,MAC地址,cookie等。
GDPR為歐盟公民提供與其PII相關的特定權利,並概述了組織必須如何處理這些數據。GDPR迫使組織改變他們收集,存儲,管理,傳輸,共享和保護PII的方式。
誰適用GDPR?
儘管歐盟建立了GDPR,但它將法律責任擴展到歐盟境外,因此世界上任何維持歐盟公民PII的組織都必須遵守。
第1步:了解存儲客戶資料的位置
首先,您應該檢查您的網路以確定存儲客戶資料的每個位置。GDPR涵蓋所有IT系統和設備,包括移動設備以及公共,私有和混合雲環境。
一旦建立存儲每個客戶資料的位置就可以監控進出這些資料的所有流量。
第2步:利用網路流量分析來監控每個對話
在GDPR下,資料控制者必須保留其職責範圍內的處理活動記錄。
一旦知道客戶資料的存儲位置,就要監控每個對話,以了解誰訪問了哪些數據資料。結合使用安全分析來查找異常行為並發出警報。然後,如果遇到問題,您將可以調閱歷史取證資訊進行調查。這將允許事件反應團隊成員快速確定原因,修復問題,識別可能已訪問的訊息,並使業務恢復正常。
第3步:監控資料洩漏
現在您已知道敏感資料存在於何處以及誰擁有合法訪問權限,您可以採用最小權限方法來確保只有那些人訪問它,以及查找哪些資料被緩慢的模式被偷偷竊取。
但是,如果安全和網路團隊在資料孤島中工作,這可能會很困難。在許多組織中,網路團隊可以獨占存取對安全團隊非常有價值的通訊訊息。
通過部署其中兩個團隊都可以訪問相同資料系統,可以更快地檢測和緩解諸如低速和慢速資料竊取之類的威脅。
第4步:建立快速調查系統
可能導致組織最大困難的GDPR方面的違規通知要求。如果資料處理器發生違規,他們有義務在沒有不當延遲的情況下通知資料控制器。資料控制人員有法律義務在發現資料洩露後72小時內通知監管機構。72小時內調查和了解發生的事情是一個非常緊迫的時間。對於擔心GDPR符合規範的任何組織而言,網路流量分析平台是絕對必須的。您必須能夠收集有關網路上每個對話的詳細訊息,並能夠快速提交報告並確定根本原因。
步驟5:記錄事件反應過程以幫助導引相關數據
事件反應處置是人員,流程和技術的組合:
- 人們將始終發揮核心作用,每個組織都必須分配資源,具體負責反應安全事件。
- 過程是應該發生什麼以及何時發生的定義。該流程定義了誰參與,誰必須得到通知,如何升級訊息,哪些部門必須參與以及團隊可以使用哪些技術工具。
- 技術提供了識別所發生事件並迅速恢復正常所需的歷史取證數據。
同樣,不要將安全和網路團隊視為單獨的。事件反應必須是努力合作,並且兩個團隊都需要可存取公共資料。
透過制定明確的事件反應計劃並定期練習,您的組織將更好地準備快速反應並控制攻擊或入侵。
Plixer提供免費版的網路流量分析平台Scrutinizer。如果您對部署Scrutinizer以幫助維護GDPR符合法規感興趣,可以在此處下載免費版。http://147.182.254.140/trial/