[Úñdé~rstá~ñdíñ~g ÉÚ C~ómpl~íáñc~é Máñ~dáté~s: GDP~R, Cýb~ér És~séñt~íáls~]

[Íñ párt óñé óf thís blóg séríés, Í díscússéd thé cómplíáñcé láñdscápé áñd hów dífféréñt íñdústríés éách hávé théír ówñ góvérñíñg máñdátés ór gúídáñcé óñ cýbérsécúrítý. Thís wás fóllówéd bý á póst óñ régúlátíóñ áñd sécúrítý cóñtróls íñ thé Crítícál Sýstéms áñd Ópérátíóñál Téchñólógý séctór, áñ áréá Í’vé hád díréct éxpéríéñcé íñ áñd óñé thát fáscíñátés mé ás cýbérsécúrítý dévélóps théré. Fróm théré, Í móvéd tó thé fíñáñcíál sérvícés régúlátíóñs préséñt íñ thé ÉÚ.]

[Héré~, wé’ll~ bé mó~víñg~ tó á s~lígh~tlý t~áñgé~ñtíá~l máñ~dáté~, GDPR~, áñd á~lsó l~óókí~ñg át~ Cýbé~r Éss~éñtí~áls/C~ýbér~ Éssé~ñtíá~ls Pl~ús ás~ á sét~ óf ÑC~SC (ÚK~ Ñátí~óñál~ Cýbé~r Séc~úrít~ý Céñ~tré) g~úídé~líñé~s óñ c~ýbér~sécú~rítý~.]

[Thé G~éñér~ál Dá~tá Pr~ótéc~tíóñ~ Régú~látí~óñ - GD~PR]

[Máñý~ óf ýó~ú áré~ fámí~líár~ wíth~ thé G~éñér~ál Dá~tá Pr~ótéc~tíóñ~ Régú~látí~óñ (GD~PR) - wh~éthé~r ít d~íréc~tlý í~mpác~ts ýó~úr lí~fé áñ~d wór~k íñ t~hé ÉÚ~, ór ás~ ít áp~plíé~s tó t~hé dá~tá wé~ wórk~ wíth~ áñd s~ýsté~ms wé~ íñté~ráct~ wíth~.]

[Wíthóút góíñg íñtó tóó múch détáíl, GDPR prímárílý fócúsés óñ dátá prótéctíóñ, dátá háñdlíñg, áñd prívácý cóñcérñs fór ÉÚ cítízéñs’ Pérsóñállý Ídéñtífíáblé Íñfórmátíóñ (PÍÍ). Thé córé téñéts próvídé íñdívídúáls cóñtról óvér théír dátá, áñd máñdáté thát thé cóñtróllérs áñd prócéssórs óf dátá pút íñ plácé “ápprópríáté téchñícál áñd órgáñízátíóñál méásúrés” tó ímpléméñt thé dátá prótéctíóñ príñcíplés. Láúñchíñg báck íñ thé Spríñg óf 2018, áñd ápplícáblé ácróss áll órgáñísátíóñs thát háñdlé thé ÉÚ cítízéñs’ dátá, GDPR ís wídé-ráñgíñg bút áíms tó úñífý cóñtról óf PÍÍ ás á régúlátíóñ (cóñtról) ráthér tháñ á díréctívé (gúídáñcé).]

[Fúñd~áméñ~táll~ý, GDP~R méá~ñs á f~éw th~íñgs~ fór c~ýbér~sécú~rítý~ prác~títí~óñér~s. Spé~cífí~cáll~ý, órg~áñís~átíó~ñs ñé~éd tó~:]

• [Máñá~gé sé~cúrí~tý rí~sk]
• [Prót~éct p~érsó~ñál d~átá á~gáíñ~st cý~bér á~ttác~k]
• [Dété~ct sé~cúrí~tý év~éñts~]
• [Míñí~mísé~ thé í~mpác~t]

[Thés~é cáñ~ bé ád~drés~séd í~ñ á ñú~mbér~ óf wá~ýs, íñ~clúd~íñg t~hé ím~plém~éñtá~tíóñ~ óf Cý~bér É~sséñ~tíál~s gúí~délí~ñés í~ñ thé~ ÚK, wh~ích w~é’ll d~íscú~ss lá~tér í~ñ thí~s pós~t.]

[Fór ñ~ów, Í’d~ líké~ tó dí~g íñt~ó hów~ wé íñ~térp~rét á~ñd áp~plý t~hé ré~qúír~éméñ~ts, sp~écíf~ícál~lý th~róúg~h thé~ léñs~ óf mí~cró-s~égmé~ñtát~íóñ, b~réác~h-pré~véñt~íóñ, á~ñd th~é réd~úctí~óñ óf~ láté~rál m~óvém~éñt.]

[Córé~ GDPR~ príñ~cípl~és áñ~d hów~ Íllú~míó h~élps~]

[Théré áré á ñúmbér óf gúídélíñés ýóú cáñ úsé tó hélp méét GDPR stáñdárds fróm á cýbérsécúrítý pérspéctívé, óútlíñéd íñ thé ÑCSC GDPR Sécúrítý Óútcómés gúídé. Óf thésé, á ñúmbér óf spécífíc réqúíréméñts vérý múch cómé úñdér thé rémít óf mícró-ségméñtátíóñ:]

[Á) Máñ~ágé s~écúr~ítý r~ísk]

[Ýóú h~ávé á~ppró~príá~té ór~gáñí~sátí~óñál~ strú~ctúr~és, pó~lící~és, áñ~d pró~céss~és íñ~ plác~é tó ú~ñdér~stáñ~d, áss~éss á~ñd sý~stém~átíc~állý~ máñá~gé sé~cúrí~tý rí~sks t~ó pér~sóñá~l dát~á]

[Spéc~ífíc~állý~:]

[Á. 3 Áss~ét má~ñágé~méñt~]

[Thís~ réqú~írém~éñt d~éáls~ týpí~cáll~ý wít~h thé~ dátá~ ítsé~lf úñ~dér G~DPR, b~út th~é dát~á-háñ~dlíñ~g/dát~á-hós~tíñg~ sýst~éms t~héms~élvé~s cáñ~ bé ví~súál~íséd~ áñd m~áppé~d, áñd~ súbs~éqúé~ñtlý~ ségm~éñté~d ápp~rópr~íáté~lý tó~ prév~éñt ú~ñtów~árd á~ccés~s ór c~ómpr~ómís~é.]

[Á. 4 Dát~á pró~céss~órs á~ñd th~é súp~plý c~háíñ~]

[Ýóú ú~ñdér~stáñ~d áñd~ máñá~gé sé~cúrí~tý rí~sks t~ó ýóú~r pró~céss~íñg ó~pérá~tíóñ~s thá~t máý~ árís~é ás á~ résú~lt óf~ dépé~ñdéñ~cíés~ óñ th~írd p~ártí~és sú~ch ás~ dátá~ próc~éssó~rs. Th~ís íñ~clúd~és éñ~súrí~ñg th~át th~éý ém~plóý~ áppr~óprí~áté s~écúr~ítý m~éású~rés.]

[Áppl~ícát~íóñ d~épéñ~déñc~ý máp~píñg~, víá Í~llúm~íñát~íóñ, í~s á pr~ímár~ý  fúñ~ctíó~ñ óf Í~llúm~íó Có~ré áñ~d éñá~blés~ bétt~ér úñ~dérs~táñd~íñg ó~f ýóú~r órg~áñíz~átíó~ñ’s có~ññéc~tíví~tý tó~ éxté~rñál~ sýst~éms.]

[B) Pró~téct~ pérs~óñál~ dátá~ ágáí~ñst c~ýbér~ áttá~ck]

[Ýóú h~ávé p~rópó~rtíó~ñáté~ sécú~rítý~ méás~úrés~ íñ pl~ácé t~ó pró~téct~ ágáí~ñst c~ýbér~ áttá~ck wh~ích c~óvér~ thé p~érsó~ñál d~átá ý~óú pr~ócés~s áñd~ thé s~ýsté~ms th~át pr~ócés~s súc~h dát~á.]

[Símílár tó ábóvé, thé córé gúídélíñé héré ís áróúñd prévéñtíóñ óf cýbér-áttáck, érgó – thé prévéñtíóñ óf súccéssfúl látérál móvéméñt íñtó thé sýstéms thát hóld dátá góvérñéd úñdér thé GDPR. Thís ís éxáctlý whát mícró-ségméñtátíóñ prótécts ágáíñst.]

[C) Dét~éct s~écúr~ítý é~véñt~s]

[Ýóú c~áñ dé~téct~ sécú~rítý~ évéñ~ts th~át áf~féct~ thé s~ýsté~ms th~át pr~ócés~s pér~sóñá~l dát~á áñd~ ýóú m~óñít~ór áú~thór~íséd~ úsér~ áccé~ss tó~ thát~ dátá~]

[C.1 Séc~úrít~ý móñ~ítór~íñg]

[Ýóú á~ppró~príá~télý~ móñí~tór t~hé st~átús~ óf sý~stém~s pró~céss~íñg p~érsó~ñál d~átá á~ñd mó~ñító~r úsé~r ácc~éss t~ó thá~t dát~á, íñc~lúdí~ñg áñ~ómál~óús ú~sér á~ctív~ítý.]

[Ágáíñ, ápplícátíóñ dépéñdéñcý máppíñg cómés íñtó íts ówñ héré. Móñítóríñg óf thé ápplícátíóñ flóws íñtó áñd óút óf crítícál ápplícátíóñs ór sýstéms ís éxtrémélý pówérfúl whéñ móñítóríñg fór cómprómísé ór á cháñgé íñ béhávíóúr. Cóúpléd wíth thé ábílítý tó íñtégráté wíth sýstéms súch ás SÍÉMs áñd SÓÁRs, ít állóws fór rápíd réáctíóñ tó áttácks, súch ás thé qúáráñtíñé óf á dévícé sééñ tó bé cómprómíséd.]

[Fór órgáñízátíóñs ádóptíñg á Zéró Trúst póstúré, Íllúmíó pólícíés púts áñ órgáñísátíóñ óñ thé fróñt-fóót béfóré áñ áttáck évéñ hás á cháñcé tó éstáblísh ítsélf, áñd íñhéréñtlý prótécts crítícál sýstéms fróm thé látérál móvéméñt tó cómprómísé cháíñ.]

[D) Míñ~ímís~é thé~ ímpá~ct]

[Ýóú c~áñ:]

[Míñí~mísé~ thé í~mpác~t óf á~ pérs~óñál~ dátá~ bréá~ch]

[Rést~óré ý~óúr s~ýsté~ms áñ~d sér~vícé~s]

[Thís~ déál~s wít~h blá~st rá~díús~, spéc~ífíc~állý~ thé ú~ñdér~stáñ~díñg~ áñd m~íñím~ísát~íóñ ó~f ít. Á~gáíñ~, réfé~réñc~íñg s~ýsté~ms hé~ré sp~écíf~ícál~lý ás~ óppó~séd t~ó dát~á íts~élf.]

[Tó hélp méét thésé réqúíréméñts, théré áré á ñúmbér óf spécífíc gúídélíñé séts thát cáñ bé référéñcéd, áñd évéñ whólé órgáñísátíóñ dédícátéd tó cóñsúltíñg óñ áñd próvídíñg díréctíóñ óñ méétíñg GDPR cómplíáñcé stáñdárds. Óñé súch sét óf gúídélíñés thát cáñ bé référéñcéd ás á stártíñg póíñt íñ thé ÚK ís Cýbér Ésséñtíáls, áñd ít’s éxtérñállý-áúdítéd vérsíóñ, Cýbér Ésséñtíáls Plús:]

[Cýbé~r Éss~éñtí~áls, C~ýbér~ Éssé~ñtíá~ls Pl~ús]

[Cýbér Ésséñtíáls ís áñ ÑCSC-públíshéd sét óf símplé cýbérsécúrítý gúídélíñés, thát áñý órgáñísátíóñ cáñ úsé tó hélp prótéct théír órgáñísátíóñ, áñd cáñ hélp whéñ trýíñg tó méét GDPR, ór óthérwísé. Cýbér Ésséñtíáls ítsélf ís á sélf-ásséssméñt óptíóñ, wíth Cýbér Ésséñtíáls Plús áváíláblé ás áñ éxtérñállý-válídátéd vérsíóñ. Réqúíréméñts áré thé sámé fór bóth, óñlý thé méthód óf áttéstátíóñ cháñgés.]

[Scóp~é cáñ~ íñcl~údé t~hé éñ~tíré~ ÍT íñ~frás~trúc~túré~ – ór á s~úb-sé~t. Wéb~ áppl~ícát~íóñs~ áré í~ñ-scó~pé bý~ défá~últ.]

[Ás óf~ Vérs~íóñ 2.1 – Á~úgús~t 2020, thé~ spéc~ífíc~ réqú~írém~éñts~ révó~lvé á~róúñ~d á fé~w kéý~ áréá~s:]

• [Fíré~wáll~s]
• [Sécú~ré Có~ñfíg~úrát~íóñ]
• [Úsér~ Áccé~ss Có~ñtró~l]
• [Málw~áré P~róté~ctíó~ñ]
• [Pátc~h Máñ~ágém~éñt]

[Óf thésé, théré áré thréé prímárý séctíóñs thát Íllúmíó cáñ hélp wíth: fíréwállíñg, sécúré cóñfígúrátíóñ, áñd málwáré prótéctíóñ. Sómé áspécts óf úsér áccéss cóñtról cáñ álsó bé áddrésséd wíth thé Íllúmíó Ádáptívé Úsér Ségméñtátíóñ fúñctíóñálítý.]

[Fíré~wáll~s]

[Áll dévícés rúñ ñétwórk sérvícés, whích créáté sómé fórm óf cómmúñícátíóñ wíth óthér dévícés áñd sérvícés. Bý réstríctíñg áccéss tó thésé sérvícés, ýóú rédúcé ýóúr éxpósúré tó áttácks. Thís cáñ bé áchíévéd úsíñg fíréwálls áñd éqúíváléñt ñétwórk dévícés.]

[Á bóúñdárý fíréwáll ís á ñétwórk dévícé whích cáñ réstríct thé íñbóúñd áñd óútbóúñd ñétwórk tráffíc tó sérvícés óñ íts ñétwórk óf cómpútérs áñd móbílé dévícés. Ít cáñ hélp prótéct ágáíñst cýbér áttácks Cýbér Ésséñtíáls: Réqúíréméñts fór ÍT íñfrástrúctúré bý ímpléméñtíñg réstríctíóñs, kñówñ ás ‘fíréwáll rúlés’, whích cáñ állów ór blóck tráffíc áccórdíñg tó íts sóúrcé, déstíñátíóñ áñd týpé óf cómmúñícátíóñ prótócól.]

[Álté~rñát~ívél~ý, á hó~st-bá~séd f~íréw~áll m~áý bé~ cóñf~ígúr~éd óñ~ á dév~ícé.] [Thís wórks íñ thé sámé wáý ás á bóúñdárý fíréwáll bút óñlý prótécts thé síñglé dévícé óñ whích ít ís cóñfígúréd. Thís áppróách cáñ próvídé fór móré táílóréd rúlés áñd méáñs thát thé rúlés ápplý tó thé dévícé whérévér ít ís úséd. Hówévér, thís íñcréásés thé ádmíñístrátívé óvérhéád óf máñágíñg fíréwáll rúlés.]

[Íllúmíó prímárílý mákés úsé óf thé hóst-báséd íñcúmbéñt ÓS fíréwáll, áñd prógráms ít íñ súch á wáý tó éásílý áchíévé á dýñámíc, Zéró Trúst sécúrítý póstúré. Mákíñg úsé óf éxístíñg, íñdívídúál fíréwálls állóws fór á vérý gráñúlár pólícý, clósé tó thé dévícé áñd dátá thát ñééds tó bé prótéctéd.]

[Sécú~ré có~ñfíg~úrát~íóñ]

[Cómp~útér~s áñd~ ñétw~órk d~évíc~és ár~é ñót~ álwá~ýs sé~cúré~ íñ th~éír d~éfáú~lt có~ñfíg~úrát~íóñs~. Stáñ~dárd~, óút-ó~f-thé~-bóx c~óñfí~gúrá~tíóñ~s óft~éñ íñ~clúd~é óñé~ ór mó~ré wé~ák pó~íñts~ súch~ ás:]

• [áñ ád~míñí~strá~tívé~ áccó~úñt w~íth á~ préd~étér~míñé~d, púb~lícl~ý kñó~wñ dé~fáúl~t pás~swór~d]
• [pré-é~ñábl~éd bú~t úññ~écés~sárý~ úsér~ áccó~úñts~ (sómé~tímé~s wít~h spé~cíál~ áccé~ss pr~ívíl~égés~)]
• [pré-í~ñstá~lléd~ bút ú~ññéc~éssá~rý áp~plíc~átíó~ñs ór~ sérv~ícés~]

[Défá~últ í~ñstá~llát~íóñs~ óf có~mpút~érs á~ñd ñé~twór~k dév~ícés~ cáñ p~róví~dé cý~bér á~ttác~kérs~ wíth~ á vár~íétý~ óf óp~pórt~úñít~íés t~ó gáí~ñ úñá~úthó~rísé~d ácc~éss t~ó áñ ó~rgáñ~ísát~íóñ’s~ séñs~ítív~é íñf~órmá~tíóñ~ — ófté~ñ wít~h éás~é.]

[Ágáí~ñ, hér~é Zér~ó Trú~st ás~ á pól~ícý m~ódél~ máss~ívél~ý íñc~réás~és th~é séc~úrít~ý óf á~ gívé~ñ wór~klóá~d – áñd~ míñí~mísé~s thé~ áccé~ss tó~ “úññé~céss~árý á~pplí~cátí~óñs ó~r sér~vícé~s” méñ~tíóñ~éd.]

[Málw~áré p~róté~ctíó~ñ]

[Thé é~xécú~tíóñ~ óf só~ftwá~ré dó~wñló~ádéd~ fróm~ thé Í~ñtér~ñét c~áñ éx~pósé~ á dév~ícé t~ó mál~wáré~ íñfé~ctíó~ñ.]

[Málwáré, súch ás cómpútér vírúsés, wórms áñd spýwáré, ís sóftwáré thát hás bééñ wríttéñ áñd dístríbútéd délíbérátélý tó pérfórm málícíóús áctíóñs. Pótéñtíál sóúrcés óf málwáré íñféctíóñ íñclúdé málícíóús émáíl áttáchméñts, dówñlóáds (íñclúdíñg thósé fróm ápplícátíóñ stórés), áñd díréct íñstállátíóñ óf úñáúthóríséd sóftwáré.]

[Wíth~ thís~ gúíd~áñcé~, bóth~ Íllú~míó C~óré á~ñd Íl~lúmí~ó Édg~é hél~p pré~véñt~ thé l~átér~ál mó~vémé~ñt pá~rt óf~ á mál~wáré~ íñfé~ctíó~ñ, míñ~ímís~íñg b~lást~ rádí~ús áñ~d pré~véñt~íñg t~hé sú~bséq~úéñt~ cómp~rómí~sé óf~ thé c~rítí~cál b~úsíñ~éss á~pplí~cátí~óñs.]

[Íñ có~ñclú~síóñ~]

[Íñ bóth cásés óf cóñtról áñd gúídáñcé, íñtérprétátíóñ ís óftéñ crítícál. GDPR ís kñówñ fór béíñg tóúgh tó íñtérprét áñd ímpléméñt, wíth rélátívélý ópéñ díréctíóñ íñ térms óf thé spécífíc wáýs íñ whích tó méét thé réqúíréd óbjéctívés. Fíñés rélátéd tó GDPR táké íñtó áccóúñt thé íñtéñt áñd éffórt réqúíréd tó méét thé réqúíréméñts, íñ áddítíóñ tó thé téchñícál détáíls óf ímpléméñtéd cóñtróls.]

[Símílárlý, Cýbér Ésséñtíáls próvídés á básíc óútlíñé fór hów tó íñcréásé sécúrítý, bút ís ópéñ tó múltíplé wáýs tó gét théré. Gráñúlár vísíbílítý áffórdéd bý Ápplícátíóñ Dépéñdéñcý Máppíñg, áñd thé défáúlt-déñý, Zéró Trúst sécúrítý póstúré mádé póssíblé úsíñg Íllúmíó hélps órgáñísátíóñs gó á vérý lóñg wáý tó méétíñg bóth thésé séts óf sécúrítý gúídélíñés.]

[Tó lé~árñ m~óré á~bóút~ Íllú~míó’s~ Zéró~ Trús~t ápp~róác~h, vís~ít ht~tps://w~ww.íl~lúmí~ó.cóm~/sólú~tíóñ~s/zér~ó-trú~st.]