Политика за управление на инциденти с лични данни и нарушения на сигурността във финансовия сектор

Политиката за управление на инциденти с лични данни и нарушения на сигурността във финансовия сектор определя изисквания за идентифициране, докладване, триаж, класифициране, оценяване, ограничаване, уведомяване, документиране, приключване и подобрение след инциденти с лични данни и нарушения на сигурността на личните данни в обхватите на СУНЛИ във финансовия сектор. Тя се прилага, когато организацията действа като администратор на лични данни, съвместен администратор, обработващ лични данни или подизпълнител по обработване в контекста на финансовия сектор, и обхваща също системи, приложения, услуги, процеси, доставчици, обработващи лични данни, подизпълнители по обработване и трети страни, които обработват, съхраняват, предават, поддържат, имат достъп до или по друг начин засягат лични данни в рамките на обхвата. Политиката е изрично проектирана като заместващ вариант за финансовия сектор на PII15 и изисква организациите да изберат или PII15, или PII15-FS за същия обхват, за да се избегнат дублирани задължения, регистри и работа по доказателства за одит. Целта на политиката е да гарантира, че инцидентите с лични данни и нарушенията на сигурността се обработват последователно, своевременно, законосъобразно, сигурно и с доказателства, подходящи за готовност за одит. REG10 — Регистър на инцидентите с лични данни и нарушенията на сигурността се установява като основен доказателствен обект, а поддържащите регистри свързват записа за инцидента с по-широкия доказателствен модел на СУНЛИ. REG01 се използва за обхват, заинтересовани страни, секторен, клиентски, договорен и докладващ контекст. REG02 свързва засегнатите дейности по обработване, категории лични данни, категории субекти на данни, цели, системи и услуги. REG03 обхваща актуализации на Декларацията за приложимост и приложимостта на контролите, включително замяната на PII15 с PII15-FS. REG04 поддържа връзката с риска за поверителността, DPIA, остатъчния риск и третирането, а REG08, REG09, REG11 и REG12 обхващат интерфейси с трети страни, международни предавания, обучение и доказателства за одит или коригиращо действие. Оперативно политиката изисква всеки докладван или открит предполагаем инцидент с лични данни във финансовия сектор да бъде записан в REG10 в рамките на един работен ден от получаването или по-рано, когато могат да бъдат задействани срокове за уведомяване, клиентски срокове или срокове за докладване. Инцидентите трябва да бъдат класифицирани в рамките на 24 часа от приемането като събитие, несвързано с лични данни, предполагаем инцидент с лични данни, потвърден инцидент с лични данни, потвърдено нарушение на сигурността на личните данни, инцидент с лични данни във финансовия сектор, съществен инцидент във финансовия сектор, значителна киберзаплаха или запис с висяща класификация. Оценката на нарушението трябва да отчита засегнатите лични данни, субекти на данни, системи, услуги, дейности по обработване, обработващи лични данни, подизпълнители по обработване, предавания, рискове, клиенти, контрагенти и коригиращи действия. Политиката изисква също запазване на доказателства, ограничаване в определени срокове, валидиране на възстановяването и документирани решения за приключване, които включват класификация, решение за уведомяване, статус на ограничаването, статус на възстановяването, остатъчен риск, коригиращи действия и пълнота на доказателствата. Политиката разграничава задълженията на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване. Администраторите трябва да записват решенията за уведомяване при нарушение, да изготвят доказателства за уведомяване на надзорния орган, когато това се изисква, и да преглеждат комуникацията със субектите на данни, когато е установен висок риск. Обработващите лични данни и подизпълнителите по обработване трябва да оценяват нарежданията на клиента, договорните задължения за уведомяване, веригите за уведомяване нагоре по веригата и изискванията за маршрутизиране на доказателства, като записите се поддържат в REG08 и REG10. Отговорностите на съвместните администратори трябва да бъдат координирани и документирани преди приложимите срокове за външно уведомяване. При инциденти с лични данни с високо въздействие във финансовия сектор и значителни киберзаплахи Координаторът по реагиране при инциденти трябва да оцени критериите за задействане на регулаторно докладване във финансовия сектор и да съхрани доказателства за решението в REG10. Управлението, измерването и подобрението са вградени в жизнения цикъл на политиката. Ръководителят по поверителността / Мениджърът на СУНЛИ трябва да преглежда отворените инциденти в REG10 най-малко ежеседмично до приключване, а висшето ръководство трябва да получава ескалация за потвърдени инциденти с високо въздействие във финансовия сектор, съществени инциденти или значителни киберзаплахи в рамките на 24 часа след класификацията. Показателите включват месечен брой предполагаеми и потвърдени инциденти, нарушения на сигурността, съществени инциденти във финансовия сектор и значителни киберзаплахи, както и своевременност на уведомяването при нарушение, своевременност на докладването във финансовия сектор, ограничаване, възстановяване, валидиране на възстановяването и резултатност на реакцията на трети страни. Политиката допълнително изисква годишен преглед, преглед след инцидент при съществени събития, преглед от вътрешен одит, управление на изключенията, прилагане чрез несъответствия REG12 и коригиращо обучение чрез REG11, когато възникнат пропуски в осведомеността или комуникацията.