IBM

Справочный документ

Рекомендуемые IBM
меры по обеспечению
готовности к GDPR
Как подготовиться к новым требованиям ЕС в сфере
защиты и конфиденциальности информации
2 Рекомендуемые IBM меры по обеспечению готовности к GDPR
Содержание
2 Введение
3 Какие негативные последствия может
повлечь за собой несоблюдение
требований GDPR?
3 Что подразумевается под готовностью к GDPR?
4 Пять основных аспектов готовности к
GDPR
6 План действий IBM по подготовке к GDPR
6 Рекомендуемые меры по обеспечению
готовности к GDPR
6 Срочные меры для подготовки к GDPR
13 Дополнительные меры
14 IBM Cloud для обеспечения готовности к GDPR
15 Мэйнфрейм
15 Ваши обязательства в рамках GDPR
Введение
Если ваша организация работает в ЕС, то вы, скорее всего,
уже знаете о том, что начиная с мая 2018 года жизнь станет
намного сложнее. Это произойдет, когда в ЕС вступит в силу
документ “Общие положения о защите данных” (GDPR).
Компания IBM может помочь в разработке стратегий,
необходимых для соблюдения требований GDPR. Наши меры
по обеспечению готовности к GDPR описывают ключевые
точки поэтапной программы и когнитивные возможности,
позволяющие ускорить ее реализацию.
Более строгие положения нового документа помогут привести
в соответствие защиту данных во всех 28 государствах-членах
ЕС. Он незначительно ужесточает или ослабляет ряд
требований, которые уже определены во многих
государственных законах о защите данных, и описывает ряд
новых требований и обязательств.
Более 700 миллионов жителей ЕС и 26 миллионов активно
работающих компаний будут напрямую затронуты
документом GDPR. Кроме того, ожидается, что многие
положения будут распространяться на данные лиц,
проживающих в странах ЕЭЗ, не входящих в состав ЕС -
Норвегии, Исландии и Лихтенштейна - поскольку в этих
странах будут действовать аналогичные стандарты после
включения многих правил GDPR в состав соглашения о
создании ЕЭЗ от 1992 г. (В настоящее время документ
находится на стадии принятия под контролем Европейской
ассоциации свободной торговли ЕЭЗ.1)
Дополнительную сложность создает то, что в GDPR
открытым текстом говорится о его применимости по
экстерриториальному принципу в обширном ряде случаев.
Это значит, что даже те организации, которые не работают
на рынке ЕС, будут обязаны соблюдать требования GDPR в
следующих случаях:
• Организация предлагает платные или бесплатные
товары или услуги лицам, находящимся на территории ЕС
• Организация отслеживает потребительское поведение
жителей ЕС
Кроме того, если ваша компания сотрудничает с
поставщиками или партнерами из ЕС, то они, скорее всего,
потребуют от вас соблюдать требования GDPR, чтобы
свести свой риск к минимуму. Проще говоря, соблюдение
положений GDPR в скором времени станет обязательным
условием для ведения бизнеса в Европе.
IBM рассматривает документ GDPR как возможность
получить конкурентное преимущество, поскольку его
вступление в силу может сподвигнуть компании на
включение унифицированных подходов к управлению
информацией в состав основополагающей стратегии.
Унифицированные подходы к управлению являются
залогом успеха в эпоху цифровых технологий. Они могут
послужить основой для трансформации бизнеса,
предоставляя информацию о том, какие данные есть у
компании, где они хранятся, как их можно использовать
для получения максимальной отдачи и минимизации риска,
и каким образом с ними следует обращаться, чтобы
сформировать доверительное отношение у граждан.

Процесс подготовки IBM к вступлению
в силу GDPR
Компания IBM разработала и реализует глобальную
программу подготовки к вступлению в силу GDPR,
которая охватывает как внутренние процессы, так и
коммерческие предложения. Компания IBM
располагает всем необходимым для того, чтобы
предложить своим клиентам решения и услуги
технической поддержки для подготовки и помощи в
реализации мер по обеспечению готовности к GDPR.
В рамках своей программы подготовки к GDPR
компания акцентировала усилия на разработке
встроенных мер обеспечения конфиденциальности,
чтобы использование персональных данных по
умолчанию ограничивалось минимально
необходимым набором.
Какие негативные последствия
может повлечь за собой
несоблюдение требований GDPR?
Финансовые санкции за несоблюдение требований GDPR четко
прописаны: каждый случай несоблюдения может повлечь за
собой штраф в размере до 20 миллионов евро или 4 процентов
от общего годового оборота (доходов) в зависимости от того,
какая из этих сумм больше. Кроме того, это приведет к резкому
падению репутации вашей компании в глазах клиентов и
сотрудников.
В худшем случае ваша компания может уступить свою долю
европейского рынка конкурентам, которые потратили больше
сил на подготовку. Ряд клиентов IBM уже заявляют о
готовности к GDPR как о своем конкурентном преимуществе.
Заранее приняв необходимые меры для обеспечения
безопасности и конфиденциальности данных, теперь эти
организации могут потенциально улучшить свою репутацию.
Это может стать весомым аргументом, позволяющим
привлечь новых клиентов.
Положения формально вступили в силу 25 мая 2016 года, но
до их реального применения действует переходный период.
Положения начнут действовать 25 мая 2018 года, после чего
IBM 3
компаниям уже не будет предоставляться никакая отсрочка.
Управление комиссара по информации (ICO) в
Великобритании подтвердило, что нарушающие положения
организации будут немедленно привлечены к
ответственности. В то же время, было заявлено, что регулятор
будет применять конструктивный подход и действовать в
соответствии со здравым смыслом, предполагая, что
организации должны отчитываться только за принятые меры
по подготовке.2
GDPR наделяет регулирующие органы правом пресекать
текущую деятельность компании, подозреваемой в
несоблюдении требований GDPR. В процессе расследования
может выясниться, что дела с соблюдением требований в
вашей компании обстоят еще хуже, чем первоначально
предполагал регулятор - или даже вы сами.
Что подразумевается под
готовностью к GDPR?
Требования GDPR гораздо жестче тех, к которым привыкло
большинство компаний в США. На протяжении долгого
времени многие организации смотрели на данные только как на
полезный ресурс. GDPR потребует от них начать рассматривать
использование персональных данных в свете соблюдения
основополагающих прав человека. Для этого требуется
обеспечивать конфиденциальность данных, безопасность
данных и управление данными, поэтому любая внедряемая
стратегия подготовки должна учитывать эти три фактора, иначе
она не будет эффективной.
Основные концепции GDPR проходят красной нитью через
весь документ, поэтому стратегия подготовки к GDPR должна
охватывать сотрудников, процессы и технологии. Многие
организации смогут сохранить часть имеющихся процессов,
надстроив поверх них необходимые компоненты для
заполнения имеющихся пробелов.
Правильно внедренная комплексная стратегия управления
поможет соблюсти не только требования GDPR, но и другие
обязательства по отношению к данным, которые могут
накладываться на вашу компанию.
4 Рекомендуемые IBM меры по обеспечению готовности к GDPR
4 IBM Pathways for GDPR readiness
Пять основных аспектов
готовности к GDPR
С нашей точки зрения, при рассмотрении обязательств
организации, накладываемых в рамках GDPR, следует учесть
пять основных аспектов:
Основные обязанности,
обязательства и санкции
• Контролирующие организации
должны реализовать ряд технических
и организационных мер, позволяющих
продемонстрировать соблюдение Механизм по
базовых принципов GDPR умолчанию
• По умолчанию следует обрабатывать
только те персональные данные,
которые необходимы в данном
конкретном случае, включая объем
собираемых данных, степень их
обработки и длительность
хранения
4 требований
Контролируемость
соблюдения
требований
• Необходимо продемонстрировать
соответствие основополагающим
принципам обработки персональных
данных, описанным в GDPR
• Проверка соблюдения требований
может включать в себя анализ
воздействия на защиту данных,
кодекс корпоративной этики и
механизмы сертификации
Рис. 1: С точки зрения IBM, при рассмотрении накладываемых GDPR обязательств следует учесть пять основных аспектов.
1. Права субъектов персональных данных в ЕС
2. Безопасность обработки
3. Законность и разрешенность
4. Контролируемость соблюдения требований
5. Механизм по умолчанию
• Регулирующие органы могут выписывать административные штрафы в
размере до 20 миллионов евро или 4% от общего годового оборота в
зависимости от того, какая из этих цифр больше
• Регулирующие органы имеют ряд дополнительных полномочий, в том
числе права блокировать обработку, приостанавливать передачу
данных и получать доступ к данным и офисам компании
• Субъекты персональных данных в ЕС
1 имеют расширенные права, в том числе
5 Права субъектов
права на получение доступа к данным,
их исправление, удаление и перенос в
персональных течение месяца с момента отправки
данных в ЕС запроса
• Предоставление субъекту
персональных данных названия и
контактов контролирующей
организации, цели и юридического
Административные обоснования обработки, категорий
штрафы за обрабатываемых данных, их
несоблюдение 2 получателей и ожидаемого срока
Безопасность хранения
обработки
• Обеспечение адекватного уровня
защиты в зависимости от риска, в
3 том числе информирование об
Законность и утечках в течение 72 часов
разрешенность • Реализация всеобъемлющих,
интеллектуальных внутренних и
внешних мер защиты и ограничений,
позволяющих свести к минимуму
риск для данных, таких как
мониторинг, минимизация данных,
псевдонимизация и шифрование
• Обработка считается законной только при наличии разрешения,
подтвержденной необходимости, юридического обоснования, для целей
защиты, в общественных, государственных или юридических интересах
• Своевременно информируйте субъекты персональных данных,
эффективно и прозрачно обрабатывайте их запросы, а также
рассмотрите возможность назначить ответственного за защиту
персональных данных

1. Права субъектов персональных
данных в ЕС
Права, которые в определенных обстоятельствах получают
все субъекты персональных данных, включают в себя права
на получение информации, доступ, исправление, удаление,
ограничение обработки, перенос и наложение запрета на
использование. Кроме того, ваша организация обязана ясно
разъяснять клиентам их права в отношении персональных
данных и удовлетворять их запросы на реализацию своих
прав в течение 30 дней с момента их получения3.
Для соблюдения этих требований важно обеспечить качество
данных. Выявление избыточных, устаревших и тривиальных
данных и их своевременное удаление позволяет не только
подготовиться к GDPR, но и уменьшить затраты и риски. Все
остальные структурированные и неструктурированные
данные должны быть легко доступными и храниться в
пригодном к использованию формате - это следует из
обязательств соблюдать принципы GDPR, такие как
минимизация объема данных и ограничение срока их
хранения.
2. Безопасность обработки
Ваша организация должна обеспечивать такой уровень
защиты данных, который адекватен имеющимся рискам. Одно
из требований GDPR заключается в том, чтобы ответственный
за защиту сообщал об утечке персональных данных в
регулирующие органы в течение 72 часов, а субъекту
персональных данных - сразу же после того, как стало
известно об утечке. Это значит, что имеет смысл внедрить
инструменты защиты данных, обеспечивающие быстрое
реагирование, которые также позволяют минимизировать
подрыв репутации.
Также полезно реализовать ряд профилактических мер,
позволяющих предотвратить утечку персональных данных,
которая может иметь болезненные последствия. Для
реализации этих мер можно использовать такие технические
приемы, отдельно упомянутые в GDPR, как минимизация
объема данных, псевдонимизация и шифрование.
Шифрование данных не является панацеей, но снимает с вас
обязанность уведомлять об утечке субъекты персональных
данных, хотя уведомлять регулирующие органы вы будете
по-прежнему обязаны.
IBM 5
3. Законность и разрешенность
Согласно GDPR, обработка персональных данных разрешена
только при наличии законного основания для обработки.
Одним из законных оснований является получение
разрешения на обработку от субъекта персональных данных.
Получать такие разрешения от субъектов персональных
данных перед обработкой их данных, скорее всего, станет
намного сложнее, чем раньше. Для того чтобы разрешение
считалось действительным, оно должно быть добровольным,
точно сформулированным, обоснованным и
непротиворечивым. В случаях, подобных здравоохранению,
когда с большой вероятностью обрабатываются особые
категории персональных данных, такое согласие также
должно быть явно выраженным. Еще больше усложняет
ситуацию то, что субъект персональных данных может в
любой момент отозвать свое согласие.
Вне зависимости от способа получения согласия у субъектов
персональных данных, при его реализации следует учитывать
наличие других законных причин для обработки
персональных данных (например, в соответствии с условиями
договора или по требованию органов государственной
власти). При получении разрешения следует соблюдать
полную прозрачность. Для решения всех этих задач
рекомендуется внедрить систему управления разрешениями и
ряд вспомогательных мер, отражающих наработанный
мировой опыт, таких как отслеживание потоков операций и
введение единственного источника достоверных данных.
Помимо разрешения, есть другие законные основания для
обработки персональных данных, в том числе необходимость
согласно договорным обязательствам и законное право. По
этой причине важно точно знать, какими данными вы
располагаете, какие цели преследуются при обработке этих
данных и что с ними разрешено делать. Средства
обнаружения и создания карты данных играют важную роль
для получения этой информации, которая в конечном счете
должна сформировать полную картину обрабатываемых
персональных данных. Кроме того, может быть полезно
обратиться за юридической помощью и назначить
ответственного за защиту персональных данных, наличие
которого согласно GDPR будет обязательным для многих
организаций. Наконец, рекомендуется ознакомиться с
текущими публикациями “Article 29 Working Party”, чтобы
получить последние разъяснения и рекомендации
непосредственно от регулирующих органов.4
6 Рекомендуемые IBM меры по обеспечению готовности к GDPR

4. Контролируемость соблюдения План действий IBM по

требований
подготовке к GDPR
Организации недостаточно работать над соблюдением
требований GDPR. Ей также необходимо иметь возможность Компания IBM разработала план действий по подготовке к
продемонстрировать соответствие требованиям или GDPR, в котором выделено пять ключевых этапов подготовки:
документально подтвердить активную работу над их оценка, проектирование, трансформация, реализация,
соблюдением. Для этого необходимо реализовать такие меры, контроль (см. рисунок 2). План позволяет преобразовать
как оценка рисков, в том числе оценка воздействия на защиту накладываемые GDPR обязательства в практические действия
данных, определение структуры управления с распределением и результаты, которые позволят клиентам эффективно
ролей и обязанностей, внедрение системы учета, обеспечить безопасность и конфиденциальность, чтобы
формализующей защиту данных, и создание внутреннего снизить риски и предотвратить инциденты безопасности.
корпоративного кодекса поведения, процедур и политик.
Меры по обеспечению
В статье 30 документа GDPR описывается ведение записей об
операциях обработки, которые являются общепризнанной
готовности к GDPR
Многие организации знают о том, что они должны
формой создания карты данных для GDPR и улучшают
немедленно начать подготовку к GDPR, но не знают, с чего
контролирумость организации. Эти записи должны
лучше начать. У этого вопроса нет однозначно правильного
превентивно создаваться с помощью соответствующих
ответа: с чего следует начинать зависит от того, что компания
инструментов, по возможности без использования
уже сделала. Тем не менее, компания IBM проанализировала
статических, разрозненных электронных таблиц. Такие
ситуацию у своих клиентов и свои меры по подготовке и на
записи, как правило, содержат ограниченные сведения и
основании этого выработала ряд общих мер в рамках плана
быстро устаревают. Можно с достаточной долей уверенности
действий по подготовке к GDPR, являющиеся наиболее
предположить, что записи об обработке - это первое, что
приоритетными для большинства организаций. В дополнение к
потребует предъявить любой регулирующий орган при
этому предлагается ряд дополнительных мер, которые компании
проверке вашей организации.
могут реализовать позднее. На рисунке 3 показаны основные
меры в рамках плана действий IBM по подготовке к GDPR.
Эффективное управление взаимодействием между
организациями, ответственными за контроль и обработку,
играет ключевую роль для создания карты данных и Срочные меры по подготовке к
соблюдения требований GDPR в целом. Компания должна GDPR
обратить особое внимание на реализацию соответствующих
технических и организационных мер, процедур аудита и мер
Оценка: оценка готовности к GDPR
по управлению вендорами. Если это еще не было сделано, то в первую очередь
необходимо понять обязательства, накладываемые GDPR, и
5. Механизм по умолчанию состояние готовности, а также риски, связанные с отказом от
При разработке механизма соответствия требованиям GDPR немедленного принятия мер.
следует руководствоваться принципом конструктивно
Основным результатом оценки готовности к GDPR должен
обеспечиваемой конфиденциальности, который особо
стать сценарий действий, предназначенный для управления
упомянут как один из способов интеграции необходимых
найденными рисками и их минимизации. При этом
защитных мер в процесс обработки данных. Этот механизм
потребуется определить те меры, которые уже реализуются в
должен обеспечивать сбор персональных данных в том
компании и могут быть взяты за основу, а также пробелы в
объеме, который необходим для целей обработки, и их
системе контроля, которые может потребоваться устранить в
хранение лишь в течение необходимого времени. Документ
соответствии с GDPR. Разработав сценарий действий, можно
регулирует обращение с данными на протяжении всего
назначить ответственных за выполнение намеченных задач.
жизненного цикла, от сбора до удаления, и особое внимание
уделено тому, что доступ должен предоставляться только
отдельным пользователям и только для определенной цели.
 IBM 7

Оценка, проектирование, трансформация, реализация, контроль

Этап Оценка Проектирование Трансформация Реализация Контроль

• Оценка • Разработка • Разработка и • Реализация всех • Мониторинг, оценка,

конфиденциальности стандартов внедрение процедур, связанных бизнес- аудит, регистрация и
и рисков в управления, обучения, процессов и процессов контроль соблюдения
соответствии с информирования и инструментов • Мониторинг стандартов GDPR
требованиями GDPR обработки • Проведение обучения безопасности и
с охватом систем принципам GDPR конфиденциальности
управления, • Разработка • Разработка и с помощью ТОМ
Действия сотрудников, внедрение стандартов • Управление
стандартов
процессов, данных и конфиденциальности, и политик, разрешениями и
средств защиты управления данными реализующих правами доступа
• Разработка сценария и управления принципы субъектов
подготовки к GDPR безопасностью конструктивной персональных данных
• Выявление и создание конфиденциальности
карты персональных и безопасности
данных • Детальное
обнаружение данных

Оценки и Определен Завершено Создана рабочая Мониторинг и

Результат сценарий план внедрения улучшение инфраструктура ведение
действий процессов отчетности

Оценка воздействия Планируемые к Реализация ТОМ: Начало работы с Мониторинг ТОМ:

GDPR и планирование внедрению средства, обнаружение соблюдением демонстрация
технических и процессы и решения персональных данных, принципов GDPR соответствия
организационных мер для защиты данных их классификация и внутренним и внешним
(ТОМ) управление ими участникам

Рис. 2: План действий IBM по подготовке к GDPR

Уже долгое время IBM предоставляет хорошо
зарекомендовавшие себя консультационные услуги в области
обеспечения конфиденциальности данных,
специализирующиеся на проблемах соблюдения
конфиденциальности данных в различных странах и оценке
конфиденциальности и влияния риска. Первая архитектура
конфиденциальности предприятия была разработана нашей
компанией в 2001 году. Эта сфера деятельности была
расширена после приобретения компании Promontory
Financial Group в 2016 году. Promontory предлагает клиентам
экспертную оценку в области обеспечения
конфиденциальности и основанные на богатом опыте
методики управления риском изменения нормативной базы,
позволяющие оказывать помощь на протяжении всего цикла
создания, реализации и поддержки программ управления
GDPR. Специалисты Promontory имеют разносторонний опыт
бывших сотрудников регулирующих органов, внутренних
менеджеров по регуляторным вопросам и консультантов по
обеспечению конфиденциальности на глобальном уровне, что
позволяет им предоставлять уникальные возможности и
специальные знания клиентам, которым требуется оценить их
готовность к GDPR, решить задачи создания карты данных
или разработать стратегии соблюдения нормативных
требований.
8 Рекомендуемые IBM меры по обеспечению готовности к GDPR

Оценка Проектирование Трансформация Реализация Контроль

Оценки: • Модельная • Ускорение • Управление контролем • Обеспечение и
• IBM Risk and архитектура обнаружения и обработкой документирование
Readiness Assessment • Управление доступом персональных данных • Управление соответствия
Services • Унифицированный • Безопасность разрешениями
• IBM Privacy Services • Доступ субъектов
каталог обработки
• Управление рисками персональных данных
• Защита данных
Управление: • Управление
Обнаружение: • Автоматизация
• Управление эталонными данными
• Создание карты процессов и политик
данных программой GDPR • Управление
• Обнаружение и • Управление информацией
классификация программой • Минимизация и
персональных данных конфиденциальности псевдонимизация
и систем и безопасности данных
• Выявление рисков • Управление • Управление
доступа программой контроля инцидентами

Отчетность для регулятора и управление рисками Защита данных

• Понимание последствий использования персональных данных • Шифрование
• Оценка и минимизация рисков • Меры безопасности и мониторинг
• Аудит и ведение отчетности • Управление идентификацией и доступом
• Обучение и контроль за соблюдением требований • Создание отчетов об инцидентах и утечках данных

Рис. 3: Меры согласно плану по подготовке к GDPR

Оценка: управление рисками Оценка: обнаружение персональных

Функция динамического создания отчетов и сводная
информация об управлении рисками изменения нормативной
базы играют ключевую роль в программе подготовки к GDPR.
Они позволяют быстро реагировать на любые официальные
запросы, кроме запросов на предоставление доступа субъекту
персональных данных. Для внедрения этих функций можно
воспользоваться решением IBM для создания отчетов и
сводки рисков и мер реагирования. Кроме того, IBM Critical
Data Protection Program позволяет выявить и минимизировать
риски для безопасности данных и классифицировать наиболее
важные с точки зрения GDPR активы своей компании, в том
числе персональные данные и другую защищенную
информацию.
данных и создание карты данных
Работая с клиентом над его подготовкой к GDPR,
специалисты IBM в первую очередь выясняют, есть ли у него
полная карта данных. Если такой карты нет, то ее создание
становится первоочередной задачей. Карта данных играет
важную роль по множеству причин, в том числе с точки
зрения соблюдения закона, соответствия нормативным
требованиям, обеспечения безопасности, ИТ-инфраструктуры
и управления персоналом.
Она важна и с точки зрения GDPR, что связано с
необходимостью выполнять запросы на доступ субъектов
персональных данных. Вашей организации потребуется
выполнять эти запросы всего за один месяц, и понимание
характеристик имеющихся данных позволит уложиться в
срок. С помощью карты данных можно обнаружить и
задокументировать персональные данные в основных
системах хранения, способы сбора, хранения, совместного
использования и передачи данных, а также характер их
обработки. Карта данных является ключевым элементом
программы IBM Critical Data Protection Program, которая не
только помогает обнаружить и добавить на карту ресурсы

данных, но и оценивает риски и рекомендует средства для их
минимизации.
Обнаружение персональных данных, которое можно
выполнить до или после оценки готовности к GDPR,
позволяет углубить свои знания о том, каким образом
организация использует персональные данные (процессы и
цели), какие персональные данные используются (типы и
степень секретности) и где они хранятся (источники).
Согласно статье 30 документа GDPR, эти знания необходимо
задокументировать и сохранить в виде отчета об операциях
обработки данных. Если такой отчет еще не ведется, его
следует создать как можно скорее.
Большинство организаций имеют достаточно хорошее
представление о том, где находятся источники
структурированных данных, но не всегда знают, какие
персональные данные хранятся в этих базах данных и
источниках данных о транзакциях. Это в еще большей
степени относится к источникам неструктурированных
данных. Часто забывают о таких источниках данных, как
старые общие каталоги, сетевые диски, SharePoint и архивы
содержимого, поэтому содержащиеся в них персональные
данные не учитываются надлежащим образом.
Даже в тех случаях, когда компании известно о наличии у нее
персональных данных, которые требуется защитить, зачастую
отсутствует информация об объеме этих данных и связанных
с ними субъектах персональных данных. В процессе
подготовки к GDPR очень полезно очистить все старые
данные, а для всех остальных данных, которые нужно
сохранить, применить надежную программу обеспечения
безопасности и управления информацией, чтобы в будущем
можно было легко понять, учесть и защитить эти данные.
IBM предлагает своим клиентам решение QuickStart для
анализа готовности к GDPR, в котором применяются мощные
инструменты обнаружения персональных данных и быстрой
каталогизации, охватывающие источники структурированных
IBM 9
и неструктурированных данных. В результате за четыре-
шесть недель анализа создается четкий план, позволяющий
существенно продвинуть подготовку к GDPR.
В ходе оценки готовности к GDPR в организации будет
выполнен ряд процедур, которые можно внедрить в качестве
стандартных регулярных процессов для обнаружения
персональных данных в принадлежащем компании массиве
данных. Кроме того, IBM поможет вам минимизировать
количество персональных данных в ваших хранилищах
данных за счет выявления ненужных данных, которые больше
не требуется хранить. Минимизация данных, а именно
ограничение объема хранимых данных и сроков хранения,
позволяет свести к минимуму риски несоблюдения GDPR и
обеспечить работу в соответствии с описанными в GDPR
принципами соблюдения конфиденциальности данных,
такими как минимизация данных и ограничение сроков
хранения.
Приступить к обнаружению персональных данных, которые
обрабатывает организация, можно всего через два месяца
после внедрения решения. Использование дополнительных
акселераторов IBM для поиска и классификации
персональных данных позволяет резко увеличить
разнообразие и объем персональных данных, которые можно
обнаружить, даже если персональные данные не определены
формально.
Проектирование: управление доступом
Проведя полную инвентаризацию персональных данных,
следует решить, кому следует предоставить доступ к данным
- это известно как управление доступом. Решение IBM
является хорошей базой для того, чтобы понять имеющиеся
риски и настроить права доступа пользователей. Оно
связывает аудиторов соблюдения нормативных требований,
ИТ-специалистов и представителей бизнеса для
формирования ясной картины пользователей и их прав
доступа, управления доступом и обеспечения готовности к
аудиту доступа пользователей.
10 Рекомендуемые IBM меры по обеспечению готовности к GDPR

Процедура управления доступом начинается с обнаружения

неиспользуемых учетных записей и посторонних обладателей
доступа. Затем можно приступить к формированию основной Зачем
структуры управления доступом, которое включает в себя
пересмотр имеющихся прав доступа к данным,
аннулирование предоставленных прав и создание ролей и Где Кто
политик доступа с помощью специализированного решения.

После создания основной структуры права доступа к данным

предоставляются согласно GDPR - путем проверки модели
рисков для обеспечения постоянно действующей
безопасности. Управление жизненным циклом доступа к
данным обеспечивает мониторинг и контроль, а непрерывная
проверка корректности прав доступа позволяет выявлять
связанные риски и нарушения.

Проектирование: каталог
унифицированного управления
Полный и точный реестр, или каталог, данных (рис. 4) может
стать основой для создания стратегии унифицированного
управления информацией для GDPR. С его помощью можно
узнать, где расположены персональные данные, для чего они
были собраны и сохранены, и у кого есть доступ к ним. Его
наличие позволяет обеспечить не только готовность к GDPR,
но и соблюдение других правил и нормативных требований,
Рис. 4: Основные возможности каталога унифицированного управления
которые уже действуют в отношении вашей компании или
могут начать действовать в будущем. Кроме того, это может
стать первым шагом на пути принятия более обоснованных Инструменты IBM для ускорения обнаружения персональных
решений благодаря предоставлению ценных данных в данных позволяют ускорить и улучшить процесс создания
распоряжение бизнес-пользователей организации. карты структурированных и неструктурированных данных,
хранящихся на локальных и облачных ресурсах. Эти
Трансформация: обнаружение данных инструменты, работающие совместно с центральным
Этап обнаружения данных в процессе построения экосистемы каталогом унифицированного управления информацией и
на основе той базы, которая была обнаружена при оценке системой реагирования на риски, быстро анализируют и
готовности к GDPR, служит для консолидации всей ранее классифицируют содержимое источников данных и
полученной информации о персональных данных, в том числе позволяют создать подробный каталог хранилищ,
их источниках и физическом расположении. расположений, предназначений, владельцев, типов субъектов
персональных данных и другой информации.
По мнению IBM, для создания полного, актуального реестра
данных лучше всего использовать восходящий алгоритм (с
помощью инструментов инвентаризации данных) в сочетании
с созданием карты по нисходящему алгоритму (путем опроса
бизнес-пользователей и технических специалистов для
получения информации из первых рук о том, какие данные
здесь расположены и для чего они используются). Этот
процесс следует регулярно повторять, чтобы своевременно
отражать вносимые изменения.
 IBM 11

IBM 11

Трансформация: безопасность обработки

Организации должны обеспечивать адекватную защиту
персональных данных с учетом риска для субъекта
персональных данных. Для соблюдения этого требования
GDPR подходят любые эффективные средства обеспечения
безопасности. Решение IBM предоставляет “Иммунную
систему безопасности” (рис. 5), формирующую основу для
выявления, сопоставления и минимизации угроз в различных
сферах обеспечения безопасности с применением технологий
глубокого анализа, когнитивных вычислений и организации
взаимодействия. По аналогии с тем, как человеческое тело
борется с гриппом, иммунная система безопасности имеет
три ключевые функции: предотвращение, обнаружение и
реагирование.

Услуги Анализ Экосистема

трансформации мер угроз безопасности
безопасности

Конечная Сеть
точка

Согласование
мер безопасности
и аналитика

Мобильное Сложная
устройство мошенническая
схема

Приложения Идентификация и
доступ

Данные

Рис. 5: Иммунная система безопасности IBM

12 Рекомендуемые IBM меры по обеспечению готовности к GDPR
Ознакомившись с обзором IBM “10 ключевых мер по
обеспечению безопасности”, можно лучше понять текущее
состояние дел с обеспечением безопасности и получить
рекомендации по его улучшению. В частности, обзор позволит
вам получить представление об актуальных угрозах, стратегиях
и целях обеспечения безопасности, оценить эффективность
своей безопасности, зафиксировать результаты и имеющиеся
пробелы, а также составить план действий для успешного
внедрения.
Хотя организации могут самостоятельно выбирать технологии
для обеспечения безопасности, в GDPR упоминаются две
конкретные технологии: шифрование и псевдонимизация.
Псевдонимизация - это прием, позволяющий сделать
информацию обезличенной для тех, у кого нет дополнительных
сведений. Примерами псевдонимизации могут служить
маскировка и шифрование. На шифрование стоит обратить
внимание и потому, что, согласно статье 34 документа GDPR,
субъекту персональных данных можно не передавать сведения
об утечке персональных данных, если эти данные попали к
неавторизованному лицу в неразборчивом виде. Согласно
исследованию стоимости утечки данных, проведенному
организацией Ponemon в 2017 году, шифрование позволяет
сократить издержки от утечки данных на 11 процентов и более.
Реализация: маскировка, шифрование и
сокращение объема данных
Решения IBM помогают повысить готовность к GDPR,
предоставляя средства для шифрования данных. Они включают
в себя шифрование файлов и баз данных, токенизацию и
шифрование приложений, а также возможность шифровать
данные и менять ключ, пока приложение остается активным.
Совместно эти возможности позволяют защитить данные от
неавторизованного доступа и свести к минимуму риск
случайного доступа к данным. Кроме того, IBM может
предоставить вашей организации средства для соблюдения
принципа минимизации объема данных. Информация в
максимально возможной степени обезличивается, и
сохраняются лишь те элементы данных, которые необходимы
для операций обработки, например анализа или тестирования.
Благодаря различным технологиям маскировки, решения IBM
позволяют защитить данные, в том числе номера телефонов,
номера паспортов, адреса электронной почты и имена, в
тестовых системах без потери их контекстного значения. Иначе
говоря, замаскированный адрес электронной почты все равно
выглядит как адрес электронной почты и может применяться
для целей тестирования, позволяя избежать риска раскрытия
фактического адреса.
Маскировка может применяться в локальных и облачных
приложениях с использованием предопределенных
классификаций и правил обеспечения конфиденциальности
данных, позволяющих сократить время внедрения и упростить
создание отчетов. Кроме того, эта функция потенциально
позволяет реже получать разрешения от субъектов данных.
Реализация: управление инцидентами
На информирование об утечке отводится всего 72 часа,
поэтому автоматизация существенно повышает шансы успеть
это сделать в срок. IBM предлагает ряд инструментов и услуг,
позволяющих автоматизировать, наладить взаимодействие и
развернуть средства создания отчетов, управления и
профилактической подготовки к инцидентам для соблюдения
обязательств, наложенных согласно GDPR. В сочетании с
платформой и услугами реагирования на инциденты они
формируют весь комплекс элементов для расследования утечки
данных, в том числе для отправки отчетов в соответствующие
надзорные органы.
Инструмент GDPR Accelerator, включающий в себя оценку
воздействия на безопасность данных для GDPR, в сочетании с
предопределенным набором групп и правил политик
обеспечивает мониторинг, аудит, регистрацию и отправку
предупреждений при выполнении любых неавторизованных
действий с персональными данными привилегированными и
обычными пользователями и приложениями.
Те же правила можно использовать для создания журналов
контроля для выполнения запросов на доступ от субъектов
персональных данных, в том числе запросов на доступ к
персональным данным, их исправление, удаление или
передачу.
Отчеты с информацией о том, кто, откуда, когда и как получал
доступ к персональным данным, могут использоваться для
отправки уведомлений аудиторам и сотрудникам,
ответственным за контроль доступа к данным и защиту
данных, с помощью предусмотренного в Accelerator процесса
создания обзора соблюдения требований к безопасности
данных. Благодаря интеграции Accelerator с технологиями
шифрования данных IBM, обеспечивается дополнительная
защита данных.

Соблюдение требований:
документирование соответствия
требованиям
Еще одним аспектом безопасной обработки является
документирование соответствия требованиям. Решение
IBM помогает решить эту задачу, обеспечивая мониторинг
операций с файлами и данными для создания подробных
журналов контроля доступа к персональным данным.
Такой мониторинг доступа к данным и файлам позволяет узнать,
кто получал доступ к тем или иным элементам персональных
данных. Благодаря мониторингу результатов анализа,
выполняемого в режиме реального времени и в нужный момент,
эти функции могут предупреждать специалистов по безопасности
о выполнении подозрительных действий с персональными
данными. Кроме того, они могут динамически блокировать доступ
к данным, изолировать ИД пользователя или предупреждать
специалистов по безопасности, не запрещая доступ.
Дополнительные меры
Описанные выше меры включают в себя основные аспекты, с
которых большинству организаций следует начать подготовку к
GDPR, однако есть ряд других аспектов, на которые можно
обратить внимание после выполнения первоочередных шагов.
Платформа решений IBM для подготовки к GDPR позволяет
использовать некоторые или все указанные возможности для
дальнейшего продвижения по пути соблюдения требований GDPR.
Реализация: управление со стороны
контролирующей организации/ оператора
обработки и управление вендорами
Подконтрольность и управляемость операторов обработки
данных является одним из основных требований GDPR. В
качестве контролирующей организации вам требуется
управлять операторами и понимать, какие действия они
выполняют с защищенными данными. Для этого может
потребоваться создать эффективную структуру управления
вендорами и поставщиками, определить операторов, которые
выполняют обработку персональных данных в соответствии с
GDPR, разработать и реализовать технические и
организационные меры, а также использовать четко
прописанные меры контроля. В качестве оператора обработки
данных вам необходимо участвовать в аудите, обрабатывать
запросы на доступ от субъектов персональных данных и быть
готовым к выполнению любых разумных запросов от
контролирующей организации.
IBM 13
Реализация: управление разрешениями
Одним из основных обязательств согласно GDPR является
контроль за надлежащим использованием персональных
данных и их обработка на законных основаниях, например при
наличии разрешения на их использование с определенной
целью. К сожалению, в отношении конфиденциальности и
получения разрешений большинство современных приложений
используют подход «все или ничего». Основная сложность
заключается в увязывании политик конфиденциальности с
техническими инструментами управления и контроля. IBM
разработала решение для управления разрешениями и
обеспечения конфиденциальности данных, упрощающее
получение разрешений и позволяющее лучше контролировать,
как и когда используются данные.
Функция Data Subject Consent Management позволяет
информировать конечных пользователей о том, какие данные и
для каких целей нужны. Варианты разрешений, выбранные
пользователем для каждой цели, сохраняются в центральном
хранилище и доступны для использования во всех каналах
взаимодействия (веб-сайт, мобильные приложения и колл-
центры) и во всех приложениях организации. Поэтому не
нужно отдельно заботиться о том, как распространить
разрешение на все каналы.
Реализация: запросы на доступ от
субъектов данных
Согласно GDPR, организации должны предоставить субъектам
персональных данных простой и эффективный способ
реализации прав на получение доступа, исправление и
удаление данных. Эту возможность следует предоставлять не
позднее чем через месяц после получения запроса. Для
соблюдения этих требований необходима система управления
инцидентами для отслеживания запросов, средства проверки
идентификационных данных, включая многофакторную
аутентификацию, и журналы контроля для отслеживания
доступа и создания аудиторских отчетов. IBM предоставляет
среду для управления инцидентами и процессы, ускоряющие
обработку запросов от субъектов персональных данных.
Реализация: Master Data Management
Решение Master Data Management предоставляет
нормализованное представление того, в каких источниках
хранятся элементы персональных данных, какие данные
хранятся в организации и где они в точности расположены. Это
важнейшая возможность для поддержки запросов на доступ от
субъектов данных и уведомления об утечках.
14 Рекомендуемые IBM меры по обеспечению готовности к GDPR
Реализация: унифицированное
управление
Унифицированное управление предоставляет вспомогательные
процессы управления информацией, которые по сути
обеспечивают качественное обслуживание данных. Эту
функцию можно использовать вместе со средствами
управления информационными ресурсами для снижения риска
и повышения рентабельности совместно разрабатываемых и
неструктурированных материалов.
Ключевым элементом этого подхода является забота об
обрабатываемых персональных данных. Для
неструктурированных данных необходимо стремиться
обеспечить синдикацию, инструментальное оснащение и
применение политик для поддержки создания карты,
управления и обеспечения безопасности персональных данных
с целью повышения рентабельности и снижения риска. Для
структурированных данных можно разработать средства
управления политиками и метаданными, а также возможности
для изучения происхождения данных, чтобы получить
информацию, необходимую для соблюдения принципов GDPR.
Реализация: удаление данных
Удаление данных, которые больше не нужны компании,
позволяет поддерживать высокое качество данных и соблюдать
принцип GDPR, касающийся ограниченного срока хранения.
IBM Cloud для обеспечения
готовности к GDPR
Став первой организацией, соблюдающей кодекс защиты
данных в облачных средах для ЕС, IBM Cloud может
предложить все необходимое для обеспечения
конфиденциальности данных, безопасности и управления
информацией. IBM Cloud может помочь в реализации
программы подготовки к GDPR тремя способами:
1. Среда IBM Cloud создавалась с
расчетом на строго регулируемые
отрасли и отвечает самым жестким
требованиям.
Используя IBM Cloud, вы можете быть полностью уверены в
том, что будут соблюдаться все нормативные требования и
обязательства, необходимые для обеспечения готовности к
GDPR. Ни у одной другой компании нет столько услуг IaaS и
PaaS, обязующихся соблюдать требования кодекса ЕС для
облачных сред: у IBM их на данный момент 24. Обязательство
соблюдать требования кодекса, включающего элементы нового
документа GDPR, означают, что наша компания располагает
всем необходимым, чтобы помочь клиентам внедрить
надежную инфраструктуру и услуги, формирующие основу для
соблюдения нормативных требований во всех аспектах работы
компании. Среда IBM Cloud имеет сертификаты ISO 27001,
FedRAMP и FISMA и одобрена для использования с такими
промышленными стандартами, как HIPAA, PCI, FDA и KBV. В
дополнение к этому, среда IBM Cloud соответствует
требованиям более 14 сертификатов и промышленных
стандартов.
2. Среда IBM Cloud построена вокруг
данных, чтобы размещение ваших
данных было полностью подконтрольно,
понятно и прозрачно.
IBM Cloud позволяет упростить соблюдение обязанностей,
которые накладываются на вас документом GDPR как на
контролирующую организацию. Местонахождение данных
отвечает требованиям GDPR, предъявляемым к управлению
данными. IBM располагает самой крупной и масштабной
сетью облачных ЦОД в Европе, насчитывающей 16 полностью
пригодных к эксплуатации облачных ЦОД. Всего компания
IBM использует 55 облачных ЦОД, расположенных в 19
странах мира на шести континентах, что позволяет клиентам
хранить данные на ресурсах, считающихся локальными с точки
зрения требований к безопасности и нормативных требований.
Благодаря тому, что место хранения и обработки персональных
данных всегда известно и полностью подконтрольно,
снижается риск, связанный с передачей данных.
3. Среда IBM Cloud включает
комплексную платформу для обеспечения
безопасности данных, которая поможет
вам соблюсти оговоренные в GDPR
требования к безопасности и
конфиденциальности данных.
Гибкая и масштабируемая среда IBM Cloud со встроенными
услугами и решениями для обеспечения конфиденциальности
и безопасности данных может использоваться локально или в
виде решений формата SaaS. Наша комплексная платформа для
обеспечения безопасности данных позволяет обезопасить
конфиденциальные данные вне зависимости от их
расположения и предоставляет полный спектр функций
защиты данных. Мы берем на себя обязательства обеспечить
безопасность данных, их шифрование и защиту от утечки.
 IBM 15

Решения IBM Cloud XaaS соответствуют целому ряду

Мэйнфрейм
международных и отраслевых стандартов, в том числе ISO/IEC
Клиентам, использующим мэйнфреймы IBM, доступна
27018, которые устанавливают требования к поставщикам
полностью совместимая функция сквозного шифрования,
облачных услуг, связанные с уведомлением, прозрачностью и
отвечающая требованиям GDPR и требующая минимальных
ведением документации, для обеспечения конфиденциальности
издержек. Новая функция тотального шифрования позволяет
данных.
быстро зашифровывать большие массивы данных, работая
эффективно и прозрачно и не требуя вносить никаких
IBM Cloud предоставляет следующие возможности для
изменений в приложения. Обеспечивая шифрование данных в
ускорения подготовки к GDPR:
процессе их записи и защиту данных во время хранения и
передачи, платформы мэйнфреймов IBM позволяют выполнять
• Безопасная виртуализация предоставляет функции защиты
обнаружение и классификацию данных в минимальном объеме,
приложений, поддержки нормативных требований и
а также упрощают администрирование и соблюдение
шифрования.
нормативных требований.
• Шифрование данных в нескольких облачных средах
позволяет защитить данные от нецелевого использования
Точка зрения на обязательства
- в одном облаке, в многооблачной или гибридной среде.
Это решение обеспечивает шифрование файлов и больших
в рамках GDPR
Основная мысль этой публикации заключается в том, что
объемов данных, управление доступом и контроль над
обеспечение готовности к GDPR является крайне непростой
ключами.
задачей. Это сложный, трудный и дорогостоящий, но
• Защита с помощью ключей позволяет клиентам хранить
необходимый процесс. Помимо того что готовность к GDPR
персональные данные в зашифрованном виде, а также легко
позволяет избежать серьезных штрафов, она является
создавать ключи шифрования и управлять их жизненным
обязательным условием ведения бизнеса в ЕС.
циклом.
• Облачные модули аппаратной защиты основаны на
Кроме того, по нашему мнению, внедрение GDPR может стать
стандартах и позволяют клиентам соблюдать нормативные
первым шагом на пути создания единого цифрового рынка в
требования и управлять безопасностью данных.
Европе. Приняв необходимые меры уже сейчас, ваша
• Встроенные средства классификации данных позволяют
организация займет выигрышное положение, которое
создать прозрачную систему поиска, классификации и
позволит ей добиться успеха в новых условиях.
защиты наиболее важных данных, расположенных в облаке
или в ЦОД.
Соблюдение требований GDPR - это еще и прекрасный способ
• Обезличивание данных по запросу в масштабах всей
завоевать доверие клиентов и сотрудников, повысить
компании, в том числе на платформах больших данных,
прозрачность бизнеса, предоставить доступ к качественным
позволяет обеспечить безопасность конфиденциальных
данным всем бизнес-пользователям, повысить эффективность
(в том числе персональных) данных.
и найти новые, более привлекательные потенциальные
• Основные функции управления глобальными инцидентами
источники получения доходов.
кибербезопасности в IBM выполняет подразделение
Computer Security Incident Response Team (CSIRT). CSIRT
Воодушевившись теми перспективами, которые дает
работает под руководством головного офиса IBM по
подготовка к GDPR, приступите к решению задачи по
управлению информационной безопасностью и имеет в
выполнению предъявляемых требований путем реализации
своем штате специалистов по управлению глобальными
предложенных нами мер.
инцидентами и ретроспективному анализу. Национальный
институт стандартов и технологий (NIST), входящий в
Дополнительная информация
состав Министерства торговли США, выпустил
Для получения дополнительной информации о перспективах и
рекомендации по обработке инцидентов с компьютерной
возможностях, которые дает подготовка к GDPR, посетите наш
безопасностью, о которых были проинформированы
веб-сайт ibm.com/gdpr или свяжитесь с представителем IBM.
компании-разработчики, и они лежат в основе процессов
управления глобальными инцидентами IBM.
© Copyright IBM Corporation 2017
IBM Corporation
New Orchard Road Armonk,
NY 10504
Напечатано в США, сентябрь 2017 г.
IBM, логотип IBM и ibm.com – товарные знаки International Business
Machines Corp., зарегистрированные во многих странах. Названия других
продуктов и услуг могут быть товарными знаками IBM или других
компаний. Актуальный список товарных знаков IBM опубликован в
Интернете на странице “Информация об авторских правах и товарных
знаках” по адресу www.ibm.com/legal/copytrade.shtml.
Настоящий документ актуален по состоянию на момент публикации и может
быть изменен IBM в любое время. Не все предложения могут быть доступны
во всех странах, в которых IBM ведет свою деятельность.
ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ
“КАК ЕСТЬ”, БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ ИЛИ
ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ ЛЮБЫЕ ГАРАНТИИ
ТОВАРОПРИГОДНОСТИ, СООТВЕТСТВИЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ
И ЛЮБЫЕ ГАРАНТИИ ИЛИ УСЛОВИЯ НЕНАРУШЕНИЯ ПРАВ. В
отношении продуктов IBM действуют гарантии на основании положений
и условий соглашений, в соответствии с которыми эти продукты
предоставляются.
Примечание: Клиенты несут полную ответственность за соблюдение
различных законодательных и нормативных требований, в том числе
Генерального регламента о защите данных (GDPR) ЕС. Клиенты несут
единоличную ответственность за получение консультации у
компетентного юриста относительно определений и трактовки
соответствующих законов и нормативных актов, от которых может
зависеть деятельность клиента и действия, которые клиенту необходимо
предпринять для соблюдения законов и нормативных актов. Описанные
здесь продукты, услуги и иные возможности применимы не во всех
случаях и могут быть доступны только ограниченному кругу лиц.
Компания IBM не дает консультаций по юридическим, бухгалтерским и
аудиторским вопросам, а также не заявляет и не гарантирует, что ее
продукты или услуги обеспечат соблюдение каких-либо законодательных
или нормативных требований в компании клиента.
Заявление о добросовестной политике безопасности: В процесс
обеспечения безопасности ИТ-систем входит защита систем и
информации путем предотвращения, обнаружения и блокирования
несанкционированного доступа к ним изнутри и снаружи организации.
Несанкционированный доступ может привести к подмене, уничтожению,
краже или неправомерному использованию информации, повреждению
систем или их использованию в корыстных целях, в том числе для
осуществления атак на других пользователей. Ни одну ИТ-систему или
продукт нельзя считать абсолютно безопасными, равно как ни один
продукт, услуга или мера безопасности не может обеспечить абсолютную
эффективность в предотвращении несанкционированного доступа или
неправомерного использования. Системы, продукты и услуги IBM
предназначены для работы в комплексе законных мер по обеспечению
безопасности, в который для максимальной эффективности обязательно
будут входить другие процедуры и, возможно, будут задействоваться
другие системы, продукты и услуги.
IBM НЕ ГАРАНТИРУЕТ, ЧТО ЛЮБЫЕ СИСТЕМЫ, ПРОДУКТЫ И
УСЛУГИ ПОЛНОСТЬЮ ЗАЩИЩЕНЫ ОТ ЗЛОНАМЕРЕННЫХ ИЛИ
ПРОТИВОЗАКОННЫХ ДЕЙСТВИЙ ЛЮБОЙ ИЗ СТОРОН ИЛИ
ЗАЩИТЯТ ВАШЕ ПРЕДПРИЯТИЕ ОТ ПОДОБНЫХ
ЗЛОНАМЕРЕННЫХ ИЛИ ПРОТИВОЗАКОННЫХ ДЕЙСТВИЙ.
1 (http://www.efta.int/eea-lex/32016R0679)
2 The Privacy Advisor, “ICO’s Wood: GDPR grace period? No way.”
(https://iapp.org/news/a/icos-wood-gdpr-grace-period-no-way)
3 Статья 12 (https://gdpr-info.eu/art-12-gdpr/)
4 Working Party 29 DPO
(http://europrivacy.info/2017/04/11/final-dpo-guidelines/)
5 (ibm.com/security/data-breach/)
Подлежит утилизации
ASW12436-RURU-04