Μενού Κλείσιμο

Μεθοδολογία Συμμόρφωσης με τον ΓΚΠΔ.

Δήλωση αποποίηση ευθύνης

Θα πρέπει να διευκρινίσουμε  ότι η μεθοδολογία που προτείνεται και συνιστά το gdpr compliance tool αποτελεί μία ενδεικτική προσέγγιση στο πρόβλημα της συμμόρφωσης με τον γενικό κανονισμό προστασίας δεδομένων 679/2016 ΕΕ (ΓΚΠΔ – GDPR) και σε καμία περίπτωση δεν αποτελεί ολιστική λύση στη συμμόρφωση με τον κανονισμό. Ως εκ τούτου, σε καμία περίπτωση οποιαδήποτε πληροφορία η πρόταση που απορρέει, παράγεται η συνάγεται από την εν λόγω μεθοδολογία δεν θα πρέπει να εκληφθεί ως μέσο επίτευξης συγκεκριμένων στόχων της συμμόρφωσης με τον κανονισμό. Επίσης η λίστα των εγγράφων που προτείνεται  για την συμμόρφωση με τον γενικό κανονισμό προστασίας δεδομένων είναι ενδεικτική.

Κάθε υπεύθυνος προστασίας δεδομένων θα πρέπει να προβεί στην ατομική, δική του αξιολόγηση του οργανισμού ή της εταιρείας που συμμορφώνει και ανάλογα με τη φύση  και τις δραστηριότητες της  εταιρείας ή του οργανισμού θα πρέπει να προτείνει  τη σχεδίαση και υλοποίηση  των κατάλληλων εγγράφων  και ενδεχομένως λογισμικών.

Προτρέπουμε η σύνταξη των κειμένων που παραδίδονται στην επιχείρηση ή τον οργανισμό στο πλαίσιο της συμμόρφωσης να ελέγχεται λεπτομερώς από νομικούς επιστήμονες σε ότι αφορά την ορθότητά τους.

GDPR Compliance tool©

Το εργαλείο / λογισμικό GDPR compliance tool© αναπτύχθηκε από τον Δρ. Δερμιτζάκη Ελευθέριο, o οποίος έχει μεγάλη εργασιακή και εκπαιδευτική εμπειρία σε θέματα ασφάλειας της πληροφορίας  και πληροφοριακών συστημάτων.

Εικόνα 1: GDPR compliance tool©,  έλεγχος πληροφοριακού συστήματος

Η τεχνογνωσία που ενσωματώνει το GDPR compliance tool©,  χρησιμοποιεί διεθνή πρότυπα τα οποία σε συνδυασμό, αποτελούν μία πολύ δυνατή και πλήρως παραμετρική πλατφόρμα  για την αξιολόγηση ενός πληροφοριακού συστήματος σε θέματα ασφάλειας, εύρεσης τεχνικών  ευπαθειών  και διαχείρισης κινδύνου.

Εικόνα 2:GDPR compliance tool©,  Gap & Risk Analysis

Το GDPR compliance tool© κάνει χρήση του προτύπου ISO 27001, το οποίο είναι ένα διεθνές πρότυπο για την ασφάλεια των πληροφοριών και των Πληροφοριακών Συστημάτων. Το πρότυπο αυτό, δίνει τη δυνατότητα με ένα αντικειμενικό τρόπο, να αναγνωρίσουμε τις τεχνικές ευπάθειες καθώς και την επάρκεια ή μη του πληροφοριακού μας συστήματος σε θέματα ασφάλειας. Κάνοντας χρήση του συγκεκριμένου προτύπου η εταιρεία ή ο οργανισμός αποκτά και τεκμηριώνει  τη γνώση που χρειάζεται να έχει, σε ότι αφορά την ασφάλεια του πληροφοριακού του συστήματος.

Εικόνα 3: GDPR compliance tool©,  διαχείριση κινδύνου

Για τη διαχείριση κινδύνου,  το GDPR compliance tool© κάνει χρήση του πλαισίου διαχείρισης κινδύνων NIST SP 800-53, που αποτελεί ένα πρότυπο  πλαίσιο διαχείρισης κινδύνου και  αναπτύσσεται  από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST). Για τις ανάγκες τις συμμόρφωσης με το GDPR, η μεθοδολογία μας, δανείζεται το πλαίσιο διαχείρισης κινδύνου του NIST SP 800-53 σε ότι αφορά την βαθμονόμηση του κινδύνου, και τα επίπεδα ελέγχου που θέτει.

Εικόνα 4:GDPR compliance tool©,  Ταξινόμηση ευπαθειών του πληροφοριακού συστήματος.

Ο συνδυασμός των δύο αυτών προτύπων του ISO 27001 και του NIST 800-53,  δημιουργεί στην ουσία ένα υβριδικό πρωτότυπο στην ασφάλεια των Πληροφοριών και των Πληροφοριακών Συστημάτων.

Από τη μία πλευρά το ISO 27001 ελέγχει την επιχείρηση ή τον  οργανισμό σε 113 σημεία ελέγχου, αναγνωρίζοντας με αυτό τον τρόπο τεχνικές ευπάθειες του πληροφοριακού συστήματος, έλλειψεις πολιτικών ασφάλειας, επάρκεια ή μη σε υποδομές και τα λοιπά.  Από την άλλη σε συνδυασμό με το ISO, κάνει τη διαχείριση και αξιολόγηση του κινδύνου στα προαναφερθέντα  τα σημεία ελέγχου.

Εικόνα 5:GDPR compliance tool©,   Καταγραφή ροών δεδομένων μιας επιχείρησης / οργανισμού

Παράλληλα το GDPR compliance tool© είναι πλήρως παραμετροποιήσιμο ανάλογα με το είδος της επιχείρησης του οργανισμού. Πρακτικά αυτό σημαίνει ότι αλλάζοντας τους συντελεστές βαρύτητας κάθε κατηγορίας, έχουμε τη δυνατότητα να αναζητήσουμε και να ανακαλύψουμε άλλα χαρακτηριστικά στα σημεία ελέγχου του ISO 27001. Η παραμετροποίηση, κάνοντας χρήση συντελεστών βαρύτητας για κάθε επίπεδο ελέγχου, προσδίδει ποιοτικά χαρακτηριστικά στα σημεία ελέγχου του ISO 27001.

Εικόνα 6:GDPR compliance tool©,  Διάγραμμα Gantt. Χρονοπρογραμματισμός του έργου της συμμόρφωσης με το ΓΚΔΠ.

Tο GDPR compliance tool© ενσωματώνει εκτός από την τεχνολογία Gap & Risk analysis, τη δυνατότητα ανάλυσης αντίκτυπου (Impact analysis) η οποία  είναι απαραίτητη να γίνει είτε για θέματα επεξεργασίας προσωπικών δεδομένων σε σχέση με τη διασφάλιση των δικαιωμάτων των φυσικών προσώπων είτε  για να μελετήσουμε  τον αντίκτυπο που έχουν ευπάθειες του πληροφοριακού μας συστήματος στην ασφάλεια των προσωπικών δεδομένων που χειριζόμαστε.  Να σημειωθεί ότι και η Impact analysis του GDPR compliance tool©,  είναι πλήρως παραμετροποιήσιμη  σε ότι αφορά  τα τρία βασικά χαρακτηριστικά: εμπιστευτικότητα, ακεραιότητα και  διαθεσιμότητα  που συνιστούν τον πυρήνα της ασφάλειας ενός πληροφοριακού συστήματος.

Τέλος, το GDPR compliance tool© ενσωματώνει επιπλέον τις παρακάτω τεχνολογίες:

  1. Διάγραμμα Gantt για την παρακολούθηση των σημείων ελέγχου του ISO 27001, το χρονοπρογραμματισμό, την παρακολούθηση, και την επίβλεψη του έργου.
  2. Μητρώα ΙΤ Υποδομών
  3. Μηχανισμό ταξινόμησης των ευπαθειών σε σχέση με τον αντίκτυπο.
  4. Σύστημα καταγραφής των ροών των δεδομένων της επιχείρησης ή του οργανισμού, προσαρμοσμένο στο γενικό κανονισμό προστασίας προσωπικών δεδομένων.
  5. Αναφορές από την Gap, Risk και Impact analysis.

Αναλυτικά, το gdpr compliance tool περιλαμβάνει τα παρακάτω πρότυπα (templates).

GDPR Compliance Tool Template (c) – GAP and RISK Analysis.xlsx

Η ανάλυση ευπαθειών ενός πληροφοριακού συστήματος και οι ενδεχόμενες ανεπάρκειες στη διαχείριση των προσωπικών δεδομένων αποτελούν ουσιώδες κομμάτι για τον γενικό κανονισμό προστασίας δεδομένων. Μέσα από αυτήν την ανάλυση ο dpo θα ανιχνεύσει και στη συνέχεια θα μπορεί να τεκμηριώσει τεχνικές ευπάθειες, κακές πρακτικές στη διαχείριση της πληροφορίας καθώς και ενδεχόμενους κινδύνους οι οποίοι θα πρέπει να αντιμετωπιστούν. Η ανάλυση αυτή αποτελεί ταυτόχρονα και τεκμηρίωση των ευπαθειών αλλά και των λύσεων που πιθανώς δόθηκαν.

  • GDPR Compliance Tool Template (c) – Data Flow Legal Basis.xlsx

 Όπως ρητά αναφέρεται μέσα στον γενικό κανονισμό προστασίας προσωπικών δεδομένων κάθε επιχείρηση ή οργανισμός θα πρέπει να τεκμηριώσει τη νόμιμη βάση πάνω στην οποία επεξεργάζεται τα προσωπικά δεδομένα. Το συγκεκριμένο φύλλο εργασίας μοντελοποιεί αυτή τη διαδικασία έτσι ώστε ο dpo να έχει μία εποπτική εικόνα των προσωπικών δεδομένων που λαμβάνει επιχείρηση ή ο οργανισμός καθώς και τη νόμιμη βάση που χρησιμοποιεί.

  • GDPR Compliance Tool Template (c) – Data Flow Registry and Impact Analysis.xlsx

Από τα ποιο σημαντικά βήματα στη συμμόρφωση είναι η καταγραφή των ροών δεδομένων που λαμβάνει ο οργανισμός. Συγκεκριμένα, η αναγνώριση του είδους των δεδομένων και πληροφοριών που λαμβάνονται από τα υποκείμενα των δεδομένων αποτελεί το πρώτο και ουσιαστικό τμήμα της συμμόρφωσης με το ΓΚΠΔ. Το αρχείο Data Flow Registry and Impact Analysis υλοποιεί ακριβώς αυτή τη διαδικασία, ελέγχοντας παράλληλα αν οι ροές που συλλέγονται επεξεργάζονται με σύννομο τρόπο. Τέλος για κάθε ροή, όταν είναι απαραίτητο, γίνεται μελέτη και εκτίμηση αντίκτυπου.

  • GDPR Compliance Tool Template (c) – IT Regisrty.xlsx

Αν και δεν αποτελεί απαίτηση από τον γενικό κανονισμό προστασίας δεδομένων η καταγραφή του υλικού και του λογισμικού ενός πληροφοριακού συστήματος, παρόλα αυτά τα συγκεκριμένα φύλλα εργασίας αποτελούν συνοδευτικά τμήματα της τεκμηρίωσης το πληροφοριακού συστήματος. Ποιο συγκεκριμένα, η καταγραφή όλης αυτής της πληροφορίας βοηθάει τον dpo να αποκτήσει μία σαφή εικόνα, έχοντας πλέον προσθέσει και τοπολογικά δεδομένα στην καταγραφή του πληροφοριακού συστήματος.

  • GDPR Compliance Tool Template (c) – GDPR Gantt.xlsx

Το αρχείο GDPR Gantt δίνει τη δυνατότητα στον dpo να κάνει σωστό χρονοπρογραμματισμό του έργου της συμμόρφωσης με τον γενικό κανονισμό προστασίας δεδομένων. Ενδεχομένως να πρέπει να επιμερίσει και να αναθέσει αρμοδιότητες καθώς και να παρακολουθεί την πορεία του έργου της συμμόρφωσης.