A 2018 május 25-én érvénybe léptetett GDPR szerinti megfelelés nagyjából fele-fele arányban jogi és információbiztonsági kérdés. Rövid összefoglalóm segít abban, hogy a nem IT végzettségű szakemberek is közelebb kerülhessenek a téma információbiztonsági oldalának és gyakorlati megvalósíthatóságának megértéséhez. Hogy a vállalatuk biztonsága, jó hírneve és nem utolsósorban a személyes és különleges személyes adatok tulajdonosainak jogos védelme érdekében el tudják fogadni, hogy a GDPR szabályzat alapján kockázatkezelést kell végezni, melynek védelmi intézkedéseit egyébként számon is fogják kérni a vállalatokon. Annál is fontosabbnak tarjuk mindezt mi, akik kockázatkezeléssel, információbiztonsági tanácsadással foglalkozunk és eszközt adunk vállalatoknak a GDPR megfeleléshez, mert a GDPR projektek az esetek döntő részében vagy a jogi vagy a compliance osztály hatáskörébe tartoznak és az információbiztonsággal foglalkozó szakterületek – gyakran az IT – már csak akkor kapja a felkérést a projektben való részvételre, ha már megszületett a jogi szabályozás. Szerintünk nem ez a járható út. A két területnek az első pillanattól kezdve együtt kellene gondolkodnia. A GDPR szabályzat több helyen is említi, hogy kockázatkezelést kell végezni, s megfogalmazza azt is, hogy mire kell ezzel kapcsolatban figyelni. Látszik, hogy a rendeletet nem információbiztonsági szakember írta, ugyanis először fogalmaz meg egy intézkedést, aztán pedig célkitűzést. Ezt fordítva érdemes csinálni, így a kiragadott célokkal kezdem:
Biztosítani kell a személyes és különleges személyes adatoknak a bizalmasságát, sértetlenségét és rendelkezésre állását, még pedig folyamatosan. Ez azt jelenti, hogy az informatikai rendszert úgy kell felépí- teni, olyan védelmi intézkedéseket kell életbe léptetni, hogyha az egyik rendszer kiesik, akkor a másik tudja biztosítani ezeknek az adatoknak a védelmét. Tehát, ha betörnek a szerverszobába, és elviszik a hónuk alatt azt a szervert amelyiken az összes ügyfelük adatát tároljuk, akkor azok az adatok olyan titkosítással legyenek eltárolva, amely feltörhetetlen, így amint kihúzzák a szervert az elektromos hálózatból, az adatok ne legyenek hozzáférhetők.
Ha bármelyik informatikai szolgáltatás kiesik, akkor azt az informatikai szolgáltatást helyre lehessen állítani azon IT szolgáltatások helyreállítási tervei (IT Service Plan) alapján, amelyek az adott szerver szoba által érintettek. Van, hogy az egész iroda elvész, ilyenkor még bonyolultabb a helyreállítás (Disaster Recovery Plan), hiszen figyelembe kell venni a helyreállítás szempontjából szűkösen rendelkezésre álló erőforrásokat is. Azokat az intézkedéseket, amelyeket egyszer már életbe léptettünk, folyamatosan fejlesztenünk kell, azaz mindig ma