Ст. 32: Безопасность обработки

Подробное описание

Статья 32 GDPR обязывает контроллеров и процессоров внедрить технические и организационные меры безопасности, соответствующие уровню риска для прав и свобод субъектов данных. Это включает псевдонимизацию и шифрование персональных данных, обеспечение постоянной конфиденциальности, целостности, доступности и отказоустойчивости систем обработки, способность быстрого восстановления после физического или технического инцидента, а также регулярное тестирование и оценку эффективности мер. Контроль тесно связан со статьями 25 (Privacy by Design), 33 (уведомление об утечке регулятору) и 34 (уведомление субъектов данных). Несоблюдение статьи 32 влечёт штрафы до €10M или 2% глобального оборота — British Airways получила €20M за утечку данных 400 тыс. клиентов из-за недостаточной защиты веб-приложения, Marriott — €18.4M за компрометацию 339M записей гостей.

Практические шаги внедрения

1. 1

   Провести оценку рисков (Data Protection Impact Assessment, DPIA) для всех процессов обработки персональных данных, классифицировать активы по уровню конфиденциальности и определить требуемые меры защиты

2. 2

   Внедрить шифрование данных в покое (AES-256) и при передаче (TLS 1.2+, HTTPS Strict Transport Security), включая псевдонимизацию чувствительных полей (ФИО, паспорта, медицинские данные)

3. 3

   Настроить ролевую модель доступа (RBAC) с принципом минимальных привилегий, многофакторную аутентификацию (MFA) для администраторов, централизованное логирование доступа к персональным данным (SIEM)

4. 4

   Развернуть систему резервного копирования с шифрованием бэкапов, RPO не более 24 часов, RTO не более 4 часов, регулярно тестировать восстановление данных из резервных копий

5. 5

   Провести пентест и сканирование уязвимостей (OWASP Top 10, CVE) минимум ежегодно, а также после значительных изменений в инфраструктуре, задокументировать результаты и планы устранения

6. 6

   Реализовать мониторинг аномальной активности (неудачные попытки входа, массовая выгрузка данных, доступ из нетипичных локаций), интегрировать IDS/IPS и антивирусную защиту на всех узлах

7. 7

   Разработать план реагирования на инциденты информационной безопасности с чётким распределением ролей, процедурами уведомления регулятора (72 часа) и субъектов данных, провести учебные тренировки персонала

Типичные нарушения

• Отсутствие шифрования персональных данных в базе данных и при передаче по сети — H&M получила штраф €35.3M за чрезмерный сбор данных сотрудников и отсутствие надлежащих мер защиты

• Хранение паролей в открытом виде или слабых хешах (MD5, SHA1 без соли), отсутствие требований к сложности паролей и ротации учётных записей администраторов

• Недостаточное логирование доступа к персональным данным — невозможно провести аудит цепочки доступа после инцидента, отсутствие корреляции событий безопасности

• Отсутствие регулярных резервных копий или невозможность восстановления данных в приемлемые сроки (RTO превышает бизнес-критичные требования)

• Игнорирование уязвимостей, выявленных при пентестах или автоматическом сканировании — отложенное патчирование критических CVE на месяцы, отсутствие процесса управления уязвимостями

Почему это важно

Проверяемые категории

Связанные контроли