8 августа 2017

Преодолейте парализованность в работе с персональными данными

В мае 2018 года в Европе в силу вступает новый стандарт по защите цифровой информации, или GDPR. Стандарт призван обеспечить безопасность данных и предотвратить случаи взлома, и для соответствия требованиям компаниям придётся приложить немало усилий. Более того, стандарту должны соответствовать не только компании, находящиеся в Европе, но и любые организации, обрабатывающие данные граждан ЕС, а значит, это может коснуться и компаний, работающих на аутсорс для Европы, таких, как Noveo. Вице-президент EMEA Джастин Кокер (Justin Coker) рассказал о том, как перестать прокрастинировать и начать соответствовать GDPR.

Новый стандарт GDPR должен убедить организации использовать стандарты кибербезопасности, но на самом деле пока особых подвижек нет.

GDPR вступает в силу 25 мая 2018, и наказание за несоответствие стандарту обещает быть внушительным, за некоторые нарушения — вплоть до 20 миллионов евро или 4% годового оборота. Осталось уже меньше года до того дня, когда процесс перехода на Общую Регулировку по Защите Данных Евросоюза (European Union General Data Protection Regulation, или GDPR) будет окончен и правила вступят в силу — о дедлайне постоянно напоминает множество разговоров, семинаров и статей.

Это должно заставить компании начать строить планы для обеспечения соответствия и предпринимать шаги для защиты пользовательских данных с помощью более совершенных систем цифровой безопасности. В числе прочего эти шаги включают в себя автоматизацию мониторинга, тестирования и измерения уровня безопасности.

Несмотря на огромное количество информации, советов и дискуссий вокруг EU GDPR (а возможно, именно из-за этого), многие организации оказываются парализованы — именно тогда, когда планы уже должны выполняться. И если ваша компания ожидает, что период перехода на GDPR продлят, вас ждёт неприятный и дорогостоящий сюрприз.

Все индикаторы указывают на то, что изменения вступят в силу именно 25 мая 2018, как было согласовано членами Евросоюза. В любом случае, ещё не поздно запустить двигатель, чтобы гарантировать успех вашей организации. Вот 10 ключевых идей, которые помогут вам побороть парализованность и начать эффективно внедрять стратегию соответствия EU GDPR.

1. Перестаньте сомневаться и начинайте планировать… сегодня

Чтобы убедить пользователей, что их личные данные в безопасности, EU GDPR делает значительно более суровыми финансовые последствия допущения утечки данных, вплоть до 20 миллионов евро или 4% годового оборота. Соответствие стандарту — это не просто IT-задача. Это серьёзный организационный вопрос, который требует от топ-менеджеров активного участия, если не руководства всем процессом.

Построение модели эффективного управления начинается со встречи всех ключевых лиц — не только ИТ-отдела и отделов безопасности и соответствия. Нужно заставить всех руководителей осознать риски и начать совместную работу с разработки плана действий, который позволит завершить работу задолго до 25 мая 2018.

2. Назначьте квалифицированного ответственного за защиту данных

Однозначно, за обеспечение соответствия должен отвечать один человек. На самом деле вас могут обязать назначить ответственного за защиту данных (ОЗД), в зависимости от вашей формы работы (EU GDPR Article 37). Пока нет каких-то строгих указаний, говорится только, что от ответственного требуется “экспертное знания законов и практик, связанных с защитой информации”.

Убедитесь, что вы хорошо понимаете требования к ОЗД, чтобы понять, можете ли вы назначить кого-то внутри организации или же нужно нанять нового специалиста. Есть довольно много ресурсов от таких компаний, как Международная Ассоциация Профессионалов по Частной Информации (International Association of Privacy Professionals или IAPP), в них можно найти полезную информацию для найма ОЗД.

3. Начните вести записи о соответствии

Компании обязаны предпринять технические и организационные меры, чтобы показать, что они внедрили меры по защите данных в ядро всех операций с данными. Это включает в себя безопасность сетей, надёжность и режимы защиты данных, а также процедуры уведомления о случаях взлома.

Будет разумно начать принимать меры для соответствия задолго до мая 2018. Сторонние эксперты, такие, как SANS Institute, рекомендуют начать соответствовать требованиям как можно скорее и вести постоянные записи о соответствии, чтобы убедиться, что ничего не упущено.

4. Документируйте ваши усилия

Как мы уже упоминали, следует вести дневник действий, которые вы предпринимали для соответствия стандарту. Масштаб и требования EU GDPR обширны – особенно если ваш бизнес охватывает различные страны и зоны.

Статьи законодательства обязуют вас поддерживать документацию, которая подтверждает, что вы используете технологию, постоянно отслеживающую данные и уязвимости. Имея документацию заблаговременно, вы сможете продемонстрировать длительность соответствия, а также шаги, которые вы предпринимали для этого. Это пригодится в случае проверки или необходимости оправдать свои действия.

5. Используйте системный подход

Поддержка соответствия политике безопасности — непрерывный процесс, требующий постоянного наблюдения и действий. Не думайте, что это вещь, которую можно сделать один раз, вычеркнуть из списка и забыть. Крайне важно разработать системный подход к управлению безопасностью и её аудитам.

Сложность современных сетей и инфраструктуры ИТ делают эту задачу ещё более сложной. Управление IP, сетевыми устройствами, фаерволами и другими способами обеспечения безопасности для соответствия политике может стать непростой задачей даже в лучшие времена.

Разработка системного подхода позволит вам быть уверенными в том, что вы легко можете выполнять ключевые задачи, например, поменять правила фаервола, политики доступа, динамической маршрутизации и т.д. для точного анализа соответствия на уровне устройств.

6. Автоматизируйте, автоматизируйте, автоматизируйте

EU GDPR требует недюжинных объёмов документации. Автоматизация позволит вам отлаживать процесс соответствия правилам — от мониторинга взломов до ускорения отсылки обязательных уведомлений. Нужно знать, когда вы можете положиться на технологии, чтобы автоматизировать свои процессы.

Например, автоматизация проверки соответствия с помощью регулярных аудитов делает управление намного более быстрым и эффективным. Многие задачи, включая сбор, нормализацию и анализ данных от систем безопасности, также могут быть автоматизированы, что поможет адекватно оценивать риски изменения сетей прежде, чем эти изменения вступят в силу и наведут бардак в данных.

7. Разберитесь с управлением изменениями

Крупные корпоративные сети постоянно изменяются, ведь IT-команды добавляют новых пользователей, открывают и закрывают пути доступа, изменяют такие вещи, как фаервол, и наконец, переходят на новые, гибридные сети, объединяющие виртуальное и облачное пространства.

Такое положение вещей делает поддержку соответствия довольно сложным делом. Внедрение управления изменениями ваших сетей — физических, виртуальных и облачных — позволит вам быть уверенными в том, что эти изменения не навредят соответствию стандартам, в частности EU GDPR.

Управление изменениями “вручную” может сработать для небольших компаний, но для больших и сложных корпоративных сетей необходимо разработать и внедрить системный подход, при котором часть задач будет автоматизирована. Это необходимо для того, чтобы обеспечить систематичное и понятное управление жизненным циклом правил и непрерывный процесс управления изменениями без создания новых рисков с точки зрения безопасности или соответствия стандартам.

8. Помните о ключевых проблемах

EU GDPR — это следующий шаг в развитии Директивы по Защите Данных 1995 года, но следует помнить и о других политических факторах внутри Евросоюза и за его пределами. В 2016, сразу после GDPR, Франция приняла Билль о Цифровых Правах в Республике, а в Голландии ещё с января 2016 работает система уведомлений о взломах. Представитель Датского Управления по Защите Данных (Data Protection Authority или DPA) сообщил, что за первые 100 дней было получено более 1 000 уведомлений.

В Германии политика защиты данных и частной информации существует уже давно и регулируется Актом о Защите Данных, также известным как Bundesdatenschutzgesetz или BDSG, помимо этого недавно был разработан Федеральный Акт о Защите Данных или “новый BDSG”, который заменит текущий акт в мае 2018. Хотя этот акт и был призван обеспечить соответствие Германии требованиям GDPR, он получился довольно сложным и выходит за рамки GDPR, что создаёт некую неопределённость. Знание вариантов и процедур в рамках членов ЕС вам очень пригодится.

9. EU GDPR в мире после Brexit

Великобритания сыграла важную роль в формулировании GDPR, и правительство страны заявило, что внедрит GDPR в законодательство Британии вне зависимости от итогов Brexit.

Более того, под GDPR попадает любой компьютер, обрабатывающий (персональные) данные граждан ЕС, вне зависимости от его местонахождения. Аналитик Дункан Браун из IDC, консультировавший компании из Великобритании, США и других стран, говорит: “Обработка данных граждан ЕС также попадает под GDPR, а значит, технологические компании, работающие с Евросоюзом, например, облачные сервисы и центры обработки и хранения данных, будут вынуждены соответствовать правилам ЕС”.

Пока переговоры по Brexit продолжаются, IDC рекомендует Британским компаниям адаптироваться к требованиям GDPR — либо потому, что они, скорее всего, будут обрабатывать данные граждан Европейского Союза, либо потому, что правительство Британии разработает собственный закон, близкий по духу к GDPR.

10. Будьте на шаг впереди

Советов по EU GDPR довольно много. Однако важно обратить внимание на то, от кого они исходят и какую роль играет советчик во внедрении GDPR. Существует множество отличных ресурсов, которые помогут вам пройти путь от планирования до полного соответствия стандарту.

Например, Национальный Центр Цифровой Безопасности выпустил документ 10 шагов в цифровой безопасности, где описываются основные шаги, которые необходимо предпринять для построения собственной системы безопасности. Поскольку GDPR может и не иметь прямых соответствий с законами США, Национальный Институт Стандартов и Технологий описывает множество систем безопасности, которые также должны соответствовать нормам GDPR.

Если какие-то из них уже существуют в вашей организации, значит, вы уже на пути к соответствию стандарту. Если же нет, возможно, вам потребуется совет извне. Также будет разумным обратиться за технической помощью и правилами этики к представителям власти, таким, как регламентирующие органы членов Евросоюза или организации, действующие на всей территории ЕС, включая Рабочую группу статьи 29, получившую известность как Европейский совет по защите данных.

Оригинал: http://www.information-age.com/implementing-gdpr-10-ways-smash-operational-paralysis-123466752/

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Читайте в нашем блоге

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: