Вы находитесь на странице: 1из 16

IBM

Справочный документ

Рекомендуемые IBM
меры по обеспечению
готовности к GDPR
Как подготовиться к новым требованиям ЕС в сфере
защиты и конфиденциальности информации
2 Рекомендуемые IBM меры по обеспечению готовности к GDPR

Содержание Более 700 миллионов жителей ЕС и 26 миллионов активно


работающих компаний будут напрямую затронуты
2 Введение документом GDPR. Кроме того, ожидается, что многие
положения будут распространяться на данные лиц,
3 Какие негативные последствия может проживающих в странах ЕЭЗ, не входящих в состав ЕС -
повлечь за собой несоблюдение Норвегии, Исландии и Лихтенштейна - поскольку в этих
требований GDPR? странах будут действовать аналогичные стандарты после
включения многих правил GDPR в состав соглашения о
3 Что подразумевается под готовностью к GDPR? создании ЕЭЗ от 1992 г. (В настоящее время документ
находится на стадии принятия под контролем Европейской
4 Пять основных аспектов готовности к ассоциации свободной торговли ЕЭЗ.1)
GDPR
Дополнительную сложность создает то, что в GDPR
6 План действий IBM по подготовке к GDPR открытым текстом говорится о его применимости по
экстерриториальному принципу в обширном ряде случаев.
6 Рекомендуемые меры по обеспечению Это значит, что даже те организации, которые не работают
готовности к GDPR на рынке ЕС, будут обязаны соблюдать требования GDPR в
следующих случаях:
6 Срочные меры для подготовки к GDPR
• Организация предлагает платные или бесплатные
13 Дополнительные меры товары или услуги лицам, находящимся на территории ЕС

14 IBM Cloud для обеспечения готовности к GDPR • Организация отслеживает потребительское поведение
жителей ЕС
15 Мэйнфрейм
Кроме того, если ваша компания сотрудничает с
15 Ваши обязательства в рамках GDPR поставщиками или партнерами из ЕС, то они, скорее всего,
потребуют от вас соблюдать требования GDPR, чтобы
свести свой риск к минимуму. Проще говоря, соблюдение
Введение положений GDPR в скором времени станет обязательным
Если ваша организация работает в ЕС, то вы, скорее всего, условием для ведения бизнеса в Европе.
уже знаете о том, что начиная с мая 2018 года жизнь станет
намного сложнее. Это произойдет, когда в ЕС вступит в силу IBM рассматривает документ GDPR как возможность
документ “Общие положения о защите данных” (GDPR). получить конкурентное преимущество, поскольку его
Компания IBM может помочь в разработке стратегий, вступление в силу может сподвигнуть компании на
необходимых для соблюдения требований GDPR. Наши меры включение унифицированных подходов к управлению
по обеспечению готовности к GDPR описывают ключевые информацией в состав основополагающей стратегии.
точки поэтапной программы и когнитивные возможности, Унифицированные подходы к управлению являются
позволяющие ускорить ее реализацию. залогом успеха в эпоху цифровых технологий. Они могут
послужить основой для трансформации бизнеса,
Более строгие положения нового документа помогут привести предоставляя информацию о том, какие данные есть у
в соответствие защиту данных во всех 28 государствах-членах компании, где они хранятся, как их можно использовать
ЕС. Он незначительно ужесточает или ослабляет ряд для получения максимальной отдачи и минимизации риска,
требований, которые уже определены во многих и каким образом с ними следует обращаться, чтобы
государственных законах о защите данных, и описывает ряд сформировать доверительное отношение у граждан.
новых требований и обязательств.
IBM 3

компаниям уже не будет предоставляться никакая отсрочка.


Управление комиссара по информации (ICO) в
Процесс подготовки IBM к вступлению Великобритании подтвердило, что нарушающие положения
в силу GDPR организации будут немедленно привлечены к
Компания IBM разработала и реализует глобальную ответственности. В то же время, было заявлено, что регулятор
программу подготовки к вступлению в силу GDPR, будет применять конструктивный подход и действовать в
которая охватывает как внутренние процессы, так и соответствии со здравым смыслом, предполагая, что
коммерческие предложения. Компания IBM организации должны отчитываться только за принятые меры
располагает всем необходимым для того, чтобы по подготовке.2
предложить своим клиентам решения и услуги
технической поддержки для подготовки и помощи в GDPR наделяет регулирующие органы правом пресекать
реализации мер по обеспечению готовности к GDPR. текущую деятельность компании, подозреваемой в
В рамках своей программы подготовки к GDPR несоблюдении требований GDPR. В процессе расследования
компания акцентировала усилия на разработке может выясниться, что дела с соблюдением требований в
встроенных мер обеспечения конфиденциальности, вашей компании обстоят еще хуже, чем первоначально
чтобы использование персональных данных по предполагал регулятор - или даже вы сами.
умолчанию ограничивалось минимально
необходимым набором. Что подразумевается под
готовностью к GDPR?
Требования GDPR гораздо жестче тех, к которым привыкло
Какие негативные последствия большинство компаний в США. На протяжении долгого
времени многие организации смотрели на данные только как на
может повлечь за собой полезный ресурс. GDPR потребует от них начать рассматривать
несоблюдение требований GDPR? использование персональных данных в свете соблюдения
Финансовые санкции за несоблюдение требований GDPR четко основополагающих прав человека. Для этого требуется
прописаны: каждый случай несоблюдения может повлечь за обеспечивать конфиденциальность данных, безопасность
собой штраф в размере до 20 миллионов евро или 4 процентов данных и управление данными, поэтому любая внедряемая
от общего годового оборота (доходов) в зависимости от того, стратегия подготовки должна учитывать эти три фактора, иначе
какая из этих сумм больше. Кроме того, это приведет к резкому она не будет эффективной.
падению репутации вашей компании в глазах клиентов и
сотрудников. Основные концепции GDPR проходят красной нитью через
весь документ, поэтому стратегия подготовки к GDPR должна
В худшем случае ваша компания может уступить свою долю охватывать сотрудников, процессы и технологии. Многие
европейского рынка конкурентам, которые потратили больше организации смогут сохранить часть имеющихся процессов,
сил на подготовку. Ряд клиентов IBM уже заявляют о надстроив поверх них необходимые компоненты для
готовности к GDPR как о своем конкурентном преимуществе. заполнения имеющихся пробелов.
Заранее приняв необходимые меры для обеспечения
безопасности и конфиденциальности данных, теперь эти Правильно внедренная комплексная стратегия управления
организации могут потенциально улучшить свою репутацию. поможет соблюсти не только требования GDPR, но и другие
Это может стать весомым аргументом, позволяющим обязательства по отношению к данным, которые могут
привлечь новых клиентов. накладываться на вашу компанию.

Положения формально вступили в силу 25 мая 2016 года, но


до их реального применения действует переходный период.
Положения начнут действовать 25 мая 2018 года, после чего
4 Рекомендуемые IBM меры по обеспечению готовности к GDPR
4 IBM Pathways for GDPR readiness

1. Права субъектов персональных данных в ЕС


Пять основных аспектов
готовности к GDPR 2. Безопасность обработки
3. Законность и разрешенность
С нашей точки зрения, при рассмотрении обязательств
организации, накладываемых в рамках GDPR, следует учесть 4. Контролируемость соблюдения требований
пять основных аспектов: 5. Механизм по умолчанию

• Регулирующие органы могут выписывать административные штрафы в


Основные обязанности, размере до 20 миллионов евро или 4% от общего годового оборота в
зависимости от того, какая из этих цифр больше
обязательства и санкции • Регулирующие органы имеют ряд дополнительных полномочий, в том
числе права блокировать обработку, приостанавливать передачу
данных и получать доступ к данным и офисам компании

• Контролирующие организации • Субъекты персональных данных в ЕС


должны реализовать ряд технических 1 имеют расширенные права, в том числе
и организационных мер, позволяющих 5 Права субъектов
права на получение доступа к данным,
продемонстрировать соблюдение Механизм по их исправление, удаление и перенос в
персональных течение месяца с момента отправки
базовых принципов GDPR умолчанию данных в ЕС запроса
• По умолчанию следует обрабатывать
только те персональные данные, • Предоставление субъекту
которые необходимы в данном персональных данных названия и
конкретном случае, включая объем контактов контролирующей
собираемых данных, степень их организации, цели и юридического
обработки и длительность Административные обоснования обработки, категорий
хранения штрафы за обрабатываемых данных, их
несоблюдение 2 получателей и ожидаемого срока
4 требований Безопасность хранения
Контролируемость обработки
соблюдения
требований
• Обеспечение адекватного уровня
защиты в зависимости от риска, в
3 том числе информирование об
Законность и утечках в течение 72 часов
разрешенность • Реализация всеобъемлющих,
• Необходимо продемонстрировать интеллектуальных внутренних и
соответствие основополагающим внешних мер защиты и ограничений,
принципам обработки персональных позволяющих свести к минимуму
данных, описанным в GDPR риск для данных, таких как
• Проверка соблюдения требований мониторинг, минимизация данных,
может включать в себя анализ псевдонимизация и шифрование
воздействия на защиту данных,
кодекс корпоративной этики и
механизмы сертификации • Обработка считается законной только при наличии разрешения,
подтвержденной необходимости, юридического обоснования, для целей
защиты, в общественных, государственных или юридических интересах
• Своевременно информируйте субъекты персональных данных,
эффективно и прозрачно обрабатывайте их запросы, а также
рассмотрите возможность назначить ответственного за защиту
персональных данных

Рис. 1: С точки зрения IBM, при рассмотрении накладываемых GDPR обязательств следует учесть пять основных аспектов.
IBM 5

1. Права субъектов персональных 3. Законность и разрешенность


данных в ЕС Согласно GDPR, обработка персональных данных разрешена
Права, которые в определенных обстоятельствах получают только при наличии законного основания для обработки.
все субъекты персональных данных, включают в себя права Одним из законных оснований является получение
на получение информации, доступ, исправление, удаление, разрешения на обработку от субъекта персональных данных.
ограничение обработки, перенос и наложение запрета на Получать такие разрешения от субъектов персональных
использование. Кроме того, ваша организация обязана ясно данных перед обработкой их данных, скорее всего, станет
разъяснять клиентам их права в отношении персональных намного сложнее, чем раньше. Для того чтобы разрешение
данных и удовлетворять их запросы на реализацию своих считалось действительным, оно должно быть добровольным,
прав в течение 30 дней с момента их получения3. точно сформулированным, обоснованным и
непротиворечивым. В случаях, подобных здравоохранению,
Для соблюдения этих требований важно обеспечить качество когда с большой вероятностью обрабатываются особые
данных. Выявление избыточных, устаревших и тривиальных категории персональных данных, такое согласие также
данных и их своевременное удаление позволяет не только должно быть явно выраженным. Еще больше усложняет
подготовиться к GDPR, но и уменьшить затраты и риски. Все ситуацию то, что субъект персональных данных может в
остальные структурированные и неструктурированные любой момент отозвать свое согласие.
данные должны быть легко доступными и храниться в
пригодном к использованию формате - это следует из Вне зависимости от способа получения согласия у субъектов
обязательств соблюдать принципы GDPR, такие как персональных данных, при его реализации следует учитывать
минимизация объема данных и ограничение срока их наличие других законных причин для обработки
хранения. персональных данных (например, в соответствии с условиями
договора или по требованию органов государственной
2. Безопасность обработки власти). При получении разрешения следует соблюдать
Ваша организация должна обеспечивать такой уровень полную прозрачность. Для решения всех этих задач
защиты данных, который адекватен имеющимся рискам. Одно рекомендуется внедрить систему управления разрешениями и
из требований GDPR заключается в том, чтобы ответственный ряд вспомогательных мер, отражающих наработанный
за защиту сообщал об утечке персональных данных в мировой опыт, таких как отслеживание потоков операций и
регулирующие органы в течение 72 часов, а субъекту введение единственного источника достоверных данных.
персональных данных - сразу же после того, как стало
известно об утечке. Это значит, что имеет смысл внедрить Помимо разрешения, есть другие законные основания для
инструменты защиты данных, обеспечивающие быстрое обработки персональных данных, в том числе необходимость
реагирование, которые также позволяют минимизировать согласно договорным обязательствам и законное право. По
подрыв репутации. этой причине важно точно знать, какими данными вы
располагаете, какие цели преследуются при обработке этих
Также полезно реализовать ряд профилактических мер, данных и что с ними разрешено делать. Средства
позволяющих предотвратить утечку персональных данных, обнаружения и создания карты данных играют важную роль
которая может иметь болезненные последствия. Для для получения этой информации, которая в конечном счете
реализации этих мер можно использовать такие технические должна сформировать полную картину обрабатываемых
приемы, отдельно упомянутые в GDPR, как минимизация персональных данных. Кроме того, может быть полезно
объема данных, псевдонимизация и шифрование. обратиться за юридической помощью и назначить
Шифрование данных не является панацеей, но снимает с вас ответственного за защиту персональных данных, наличие
обязанность уведомлять об утечке субъекты персональных которого согласно GDPR будет обязательным для многих
данных, хотя уведомлять регулирующие органы вы будете организаций. Наконец, рекомендуется ознакомиться с
по-прежнему обязаны. текущими публикациями “Article 29 Working Party”, чтобы
получить последние разъяснения и рекомендации
непосредственно от регулирующих органов.4
6 Рекомендуемые IBM меры по обеспечению готовности к GDPR

4. Контролируемость соблюдения План действий IBM по


требований
подготовке к GDPR
Организации недостаточно работать над соблюдением
требований GDPR. Ей также необходимо иметь возможность Компания IBM разработала план действий по подготовке к
продемонстрировать соответствие требованиям или GDPR, в котором выделено пять ключевых этапов подготовки:
документально подтвердить активную работу над их оценка, проектирование, трансформация, реализация,
соблюдением. Для этого необходимо реализовать такие меры, контроль (см. рисунок 2). План позволяет преобразовать
как оценка рисков, в том числе оценка воздействия на защиту накладываемые GDPR обязательства в практические действия
данных, определение структуры управления с распределением и результаты, которые позволят клиентам эффективно
ролей и обязанностей, внедрение системы учета, обеспечить безопасность и конфиденциальность, чтобы
формализующей защиту данных, и создание внутреннего снизить риски и предотвратить инциденты безопасности.
корпоративного кодекса поведения, процедур и политик.
Меры по обеспечению
В статье 30 документа GDPR описывается ведение записей об
операциях обработки, которые являются общепризнанной
готовности к GDPR
Многие организации знают о том, что они должны
формой создания карты данных для GDPR и улучшают
немедленно начать подготовку к GDPR, но не знают, с чего
контролирумость организации. Эти записи должны
лучше начать. У этого вопроса нет однозначно правильного
превентивно создаваться с помощью соответствующих
ответа: с чего следует начинать зависит от того, что компания
инструментов, по возможности без использования
уже сделала. Тем не менее, компания IBM проанализировала
статических, разрозненных электронных таблиц. Такие
ситуацию у своих клиентов и свои меры по подготовке и на
записи, как правило, содержат ограниченные сведения и
основании этого выработала ряд общих мер в рамках плана
быстро устаревают. Можно с достаточной долей уверенности
действий по подготовке к GDPR, являющиеся наиболее
предположить, что записи об обработке - это первое, что
приоритетными для большинства организаций. В дополнение к
потребует предъявить любой регулирующий орган при
этому предлагается ряд дополнительных мер, которые компании
проверке вашей организации.
могут реализовать позднее. На рисунке 3 показаны основные
меры в рамках плана действий IBM по подготовке к GDPR.
Эффективное управление взаимодействием между
организациями, ответственными за контроль и обработку,
играет ключевую роль для создания карты данных и Срочные меры по подготовке к
соблюдения требований GDPR в целом. Компания должна GDPR
обратить особое внимание на реализацию соответствующих
технических и организационных мер, процедур аудита и мер
Оценка: оценка готовности к GDPR
по управлению вендорами. Если это еще не было сделано, то в первую очередь
необходимо понять обязательства, накладываемые GDPR, и
5. Механизм по умолчанию состояние готовности, а также риски, связанные с отказом от
При разработке механизма соответствия требованиям GDPR немедленного принятия мер.
следует руководствоваться принципом конструктивно
Основным результатом оценки готовности к GDPR должен
обеспечиваемой конфиденциальности, который особо
стать сценарий действий, предназначенный для управления
упомянут как один из способов интеграции необходимых
найденными рисками и их минимизации. При этом
защитных мер в процесс обработки данных. Этот механизм
потребуется определить те меры, которые уже реализуются в
должен обеспечивать сбор персональных данных в том
компании и могут быть взяты за основу, а также пробелы в
объеме, который необходим для целей обработки, и их
системе контроля, которые может потребоваться устранить в
хранение лишь в течение необходимого времени. Документ
соответствии с GDPR. Разработав сценарий действий, можно
регулирует обращение с данными на протяжении всего
назначить ответственных за выполнение намеченных задач.
жизненного цикла, от сбора до удаления, и особое внимание
уделено тому, что доступ должен предоставляться только
отдельным пользователям и только для определенной цели.
IBM 7

Оценка, проектирование, трансформация, реализация, контроль

Этап Оценка Проектирование Трансформация Реализация Контроль

• Оценка • Разработка • Разработка и • Реализация всех • Мониторинг, оценка,


конфиденциальности стандартов внедрение процедур, связанных бизнес- аудит, регистрация и
и рисков в управления, обучения, процессов и процессов контроль соблюдения
соответствии с информирования и инструментов • Мониторинг стандартов GDPR
требованиями GDPR обработки • Проведение обучения безопасности и
с охватом систем принципам GDPR конфиденциальности
управления, • Разработка • Разработка и с помощью ТОМ
Действия сотрудников, внедрение стандартов • Управление
стандартов
процессов, данных и конфиденциальности, и политик, разрешениями и
средств защиты управления данными реализующих правами доступа
• Разработка сценария и управления принципы субъектов
подготовки к GDPR безопасностью конструктивной персональных данных
• Выявление и создание конфиденциальности
карты персональных и безопасности
данных • Детальное
обнаружение данных

Оценки и Определен Завершено Создана рабочая Мониторинг и


Результат сценарий план внедрения улучшение инфраструктура ведение
действий процессов отчетности

Оценка воздействия Планируемые к Реализация ТОМ: Начало работы с Мониторинг ТОМ:


GDPR и планирование внедрению средства, обнаружение соблюдением демонстрация
технических и процессы и решения персональных данных, принципов GDPR соответствия
организационных мер для защиты данных их классификация и внутренним и внешним
(ТОМ) управление ими участникам

Рис. 2: План действий IBM по подготовке к GDPR

Уже долгое время IBM предоставляет хорошо методики управления риском изменения нормативной базы,
зарекомендовавшие себя консультационные услуги в области позволяющие оказывать помощь на протяжении всего цикла
обеспечения конфиденциальности данных, создания, реализации и поддержки программ управления
специализирующиеся на проблемах соблюдения GDPR. Специалисты Promontory имеют разносторонний опыт
конфиденциальности данных в различных странах и оценке бывших сотрудников регулирующих органов, внутренних
конфиденциальности и влияния риска. Первая архитектура менеджеров по регуляторным вопросам и консультантов по
конфиденциальности предприятия была разработана нашей обеспечению конфиденциальности на глобальном уровне, что
компанией в 2001 году. Эта сфера деятельности была позволяет им предоставлять уникальные возможности и
расширена после приобретения компании Promontory специальные знания клиентам, которым требуется оценить их
Financial Group в 2016 году. Promontory предлагает клиентам готовность к GDPR, решить задачи создания карты данных
экспертную оценку в области обеспечения или разработать стратегии соблюдения нормативных
конфиденциальности и основанные на богатом опыте требований.
8 Рекомендуемые IBM меры по обеспечению готовности к GDPR

Оценка Проектирование Трансформация Реализация Контроль


Оценки: • Модельная • Ускорение • Управление контролем • Обеспечение и
• IBM Risk and архитектура обнаружения и обработкой документирование
Readiness Assessment • Управление доступом персональных данных • Управление соответствия
Services • Унифицированный • Безопасность разрешениями
• IBM Privacy Services • Доступ субъектов
каталог обработки
• Управление рисками персональных данных
• Защита данных
Управление: • Управление
Обнаружение: • Автоматизация
• Управление эталонными данными
• Создание карты процессов и политик
данных программой GDPR • Управление
• Обнаружение и • Управление информацией
классификация программой • Минимизация и
персональных данных конфиденциальности псевдонимизация
и систем и безопасности данных
• Выявление рисков • Управление • Управление
доступа программой контроля инцидентами

Отчетность для регулятора и управление рисками Защита данных


• Понимание последствий использования персональных данных • Шифрование
• Оценка и минимизация рисков • Меры безопасности и мониторинг
• Аудит и ведение отчетности • Управление идентификацией и доступом
• Обучение и контроль за соблюдением требований • Создание отчетов об инцидентах и утечках данных

Рис. 3: Меры согласно плану по подготовке к GDPR

Оценка: управление рисками Оценка: обнаружение персональных


Функция динамического создания отчетов и сводная данных и создание карты данных
информация об управлении рисками изменения нормативной Работая с клиентом над его подготовкой к GDPR,
базы играют ключевую роль в программе подготовки к GDPR. специалисты IBM в первую очередь выясняют, есть ли у него
Они позволяют быстро реагировать на любые официальные полная карта данных. Если такой карты нет, то ее создание
запросы, кроме запросов на предоставление доступа субъекту становится первоочередной задачей. Карта данных играет
персональных данных. Для внедрения этих функций можно важную роль по множеству причин, в том числе с точки
воспользоваться решением IBM для создания отчетов и зрения соблюдения закона, соответствия нормативным
сводки рисков и мер реагирования. Кроме того, IBM Critical требованиям, обеспечения безопасности, ИТ-инфраструктуры
Data Protection Program позволяет выявить и минимизировать и управления персоналом.
риски для безопасности данных и классифицировать наиболее
важные с точки зрения GDPR активы своей компании, в том Она важна и с точки зрения GDPR, что связано с
числе персональные данные и другую защищенную необходимостью выполнять запросы на доступ субъектов
информацию. персональных данных. Вашей организации потребуется
выполнять эти запросы всего за один месяц, и понимание
характеристик имеющихся данных позволит уложиться в
срок. С помощью карты данных можно обнаружить и
задокументировать персональные данные в основных
системах хранения, способы сбора, хранения, совместного
использования и передачи данных, а также характер их
обработки. Карта данных является ключевым элементом
программы IBM Critical Data Protection Program, которая не
только помогает обнаружить и добавить на карту ресурсы
IBM 9

данных, но и оценивает риски и рекомендует средства для их и неструктурированных данных. В результате за четыре-
минимизации. шесть недель анализа создается четкий план, позволяющий
существенно продвинуть подготовку к GDPR.
Обнаружение персональных данных, которое можно
выполнить до или после оценки готовности к GDPR, В ходе оценки готовности к GDPR в организации будет
позволяет углубить свои знания о том, каким образом выполнен ряд процедур, которые можно внедрить в качестве
организация использует персональные данные (процессы и стандартных регулярных процессов для обнаружения
цели), какие персональные данные используются (типы и персональных данных в принадлежащем компании массиве
степень секретности) и где они хранятся (источники). данных. Кроме того, IBM поможет вам минимизировать
Согласно статье 30 документа GDPR, эти знания необходимо количество персональных данных в ваших хранилищах
задокументировать и сохранить в виде отчета об операциях данных за счет выявления ненужных данных, которые больше
обработки данных. Если такой отчет еще не ведется, его не требуется хранить. Минимизация данных, а именно
следует создать как можно скорее. ограничение объема хранимых данных и сроков хранения,
позволяет свести к минимуму риски несоблюдения GDPR и
Большинство организаций имеют достаточно хорошее обеспечить работу в соответствии с описанными в GDPR
представление о том, где находятся источники принципами соблюдения конфиденциальности данных,
структурированных данных, но не всегда знают, какие такими как минимизация данных и ограничение сроков
персональные данные хранятся в этих базах данных и хранения.
источниках данных о транзакциях. Это в еще большей
степени относится к источникам неструктурированных Приступить к обнаружению персональных данных, которые
данных. Часто забывают о таких источниках данных, как обрабатывает организация, можно всего через два месяца
старые общие каталоги, сетевые диски, SharePoint и архивы после внедрения решения. Использование дополнительных
содержимого, поэтому содержащиеся в них персональные акселераторов IBM для поиска и классификации
данные не учитываются надлежащим образом. персональных данных позволяет резко увеличить
разнообразие и объем персональных данных, которые можно
Даже в тех случаях, когда компании известно о наличии у нее обнаружить, даже если персональные данные не определены
персональных данных, которые требуется защитить, зачастую формально.
отсутствует информация об объеме этих данных и связанных
с ними субъектах персональных данных. В процессе Проектирование: управление доступом
подготовки к GDPR очень полезно очистить все старые Проведя полную инвентаризацию персональных данных,
данные, а для всех остальных данных, которые нужно следует решить, кому следует предоставить доступ к данным
сохранить, применить надежную программу обеспечения - это известно как управление доступом. Решение IBM
безопасности и управления информацией, чтобы в будущем является хорошей базой для того, чтобы понять имеющиеся
можно было легко понять, учесть и защитить эти данные. риски и настроить права доступа пользователей. Оно
связывает аудиторов соблюдения нормативных требований,
IBM предлагает своим клиентам решение QuickStart для
ИТ-специалистов и представителей бизнеса для
анализа готовности к GDPR, в котором применяются мощные
формирования ясной картины пользователей и их прав
инструменты обнаружения персональных данных и быстрой
доступа, управления доступом и обеспечения готовности к
каталогизации, охватывающие источники структурированных
аудиту доступа пользователей.
10 Рекомендуемые IBM меры по обеспечению готовности к GDPR

Процедура управления доступом начинается с обнаружения


неиспользуемых учетных записей и посторонних обладателей
доступа. Затем можно приступить к формированию основной Зачем
структуры управления доступом, которое включает в себя
пересмотр имеющихся прав доступа к данным,
аннулирование предоставленных прав и создание ролей и Где Кто
политик доступа с помощью специализированного решения.

После создания основной структуры права доступа к данным


предоставляются согласно GDPR - путем проверки модели
рисков для обеспечения постоянно действующей
безопасности. Управление жизненным циклом доступа к
данным обеспечивает мониторинг и контроль, а непрерывная
проверка корректности прав доступа позволяет выявлять
связанные риски и нарушения.

Проектирование: каталог
унифицированного управления
Полный и точный реестр, или каталог, данных (рис. 4) может
стать основой для создания стратегии унифицированного
управления информацией для GDPR. С его помощью можно
узнать, где расположены персональные данные, для чего они
были собраны и сохранены, и у кого есть доступ к ним. Его
наличие позволяет обеспечить не только готовность к GDPR,
но и соблюдение других правил и нормативных требований,
Рис. 4: Основные возможности каталога унифицированного управления
которые уже действуют в отношении вашей компании или
могут начать действовать в будущем. Кроме того, это может
стать первым шагом на пути принятия более обоснованных Инструменты IBM для ускорения обнаружения персональных
решений благодаря предоставлению ценных данных в данных позволяют ускорить и улучшить процесс создания
распоряжение бизнес-пользователей организации. карты структурированных и неструктурированных данных,
хранящихся на локальных и облачных ресурсах. Эти
Трансформация: обнаружение данных инструменты, работающие совместно с центральным
Этап обнаружения данных в процессе построения экосистемы каталогом унифицированного управления информацией и
на основе той базы, которая была обнаружена при оценке системой реагирования на риски, быстро анализируют и
готовности к GDPR, служит для консолидации всей ранее классифицируют содержимое источников данных и
полученной информации о персональных данных, в том числе позволяют создать подробный каталог хранилищ,
их источниках и физическом расположении. расположений, предназначений, владельцев, типов субъектов
персональных данных и другой информации.
По мнению IBM, для создания полного, актуального реестра
данных лучше всего использовать восходящий алгоритм (с
помощью инструментов инвентаризации данных) в сочетании
с созданием карты по нисходящему алгоритму (путем опроса
бизнес-пользователей и технических специалистов для
получения информации из первых рук о том, какие данные
здесь расположены и для чего они используются). Этот
процесс следует регулярно повторять, чтобы своевременно
отражать вносимые изменения.
IBM 11

IBM 11

Трансформация: безопасность обработки


Организации должны обеспечивать адекватную защиту выявления, сопоставления и минимизации угроз в различных
персональных данных с учетом риска для субъекта сферах обеспечения безопасности с применением технологий
персональных данных. Для соблюдения этого требования глубокого анализа, когнитивных вычислений и организации
GDPR подходят любые эффективные средства обеспечения взаимодействия. По аналогии с тем, как человеческое тело
безопасности. Решение IBM предоставляет “Иммунную борется с гриппом, иммунная система безопасности имеет
систему безопасности” (рис. 5), формирующую основу для три ключевые функции: предотвращение, обнаружение и
реагирование.

Услуги Анализ Экосистема


трансформации мер угроз безопасности
безопасности

Конечная Сеть
точка

Согласование
мер безопасности
и аналитика

Мобильное Сложная
устройство мошенническая
схема

Приложения Идентификация и
доступ

Данные

Рис. 5: Иммунная система безопасности IBM


12 Рекомендуемые IBM меры по обеспечению готовности к GDPR

Ознакомившись с обзором IBM “10 ключевых мер по для целей тестирования, позволяя избежать риска раскрытия
обеспечению безопасности”, можно лучше понять текущее фактического адреса.
состояние дел с обеспечением безопасности и получить
рекомендации по его улучшению. В частности, обзор позволит Маскировка может применяться в локальных и облачных
вам получить представление об актуальных угрозах, стратегиях приложениях с использованием предопределенных
и целях обеспечения безопасности, оценить эффективность классификаций и правил обеспечения конфиденциальности
своей безопасности, зафиксировать результаты и имеющиеся данных, позволяющих сократить время внедрения и упростить
пробелы, а также составить план действий для успешного создание отчетов. Кроме того, эта функция потенциально
внедрения. позволяет реже получать разрешения от субъектов данных.

Хотя организации могут самостоятельно выбирать технологии Реализация: управление инцидентами


для обеспечения безопасности, в GDPR упоминаются две На информирование об утечке отводится всего 72 часа,
конкретные технологии: шифрование и псевдонимизация. поэтому автоматизация существенно повышает шансы успеть
Псевдонимизация - это прием, позволяющий сделать это сделать в срок. IBM предлагает ряд инструментов и услуг,
информацию обезличенной для тех, у кого нет дополнительных позволяющих автоматизировать, наладить взаимодействие и
сведений. Примерами псевдонимизации могут служить развернуть средства создания отчетов, управления и
маскировка и шифрование. На шифрование стоит обратить профилактической подготовки к инцидентам для соблюдения
внимание и потому, что, согласно статье 34 документа GDPR, обязательств, наложенных согласно GDPR. В сочетании с
субъекту персональных данных можно не передавать сведения платформой и услугами реагирования на инциденты они
об утечке персональных данных, если эти данные попали к формируют весь комплекс элементов для расследования утечки
неавторизованному лицу в неразборчивом виде. Согласно данных, в том числе для отправки отчетов в соответствующие
исследованию стоимости утечки данных, проведенному надзорные органы.
организацией Ponemon в 2017 году, шифрование позволяет
сократить издержки от утечки данных на 11 процентов и более. Инструмент GDPR Accelerator, включающий в себя оценку
воздействия на безопасность данных для GDPR, в сочетании с
Реализация: маскировка, шифрование и предопределенным набором групп и правил политик
сокращение объема данных обеспечивает мониторинг, аудит, регистрацию и отправку
Решения IBM помогают повысить готовность к GDPR, предупреждений при выполнении любых неавторизованных
предоставляя средства для шифрования данных. Они включают действий с персональными данными привилегированными и
в себя шифрование файлов и баз данных, токенизацию и обычными пользователями и приложениями.
шифрование приложений, а также возможность шифровать
данные и менять ключ, пока приложение остается активным. Те же правила можно использовать для создания журналов
Совместно эти возможности позволяют защитить данные от контроля для выполнения запросов на доступ от субъектов
неавторизованного доступа и свести к минимуму риск персональных данных, в том числе запросов на доступ к
случайного доступа к данным. Кроме того, IBM может персональным данным, их исправление, удаление или
предоставить вашей организации средства для соблюдения передачу.
принципа минимизации объема данных. Информация в
максимально возможной степени обезличивается, и Отчеты с информацией о том, кто, откуда, когда и как получал
сохраняются лишь те элементы данных, которые необходимы доступ к персональным данным, могут использоваться для
для операций обработки, например анализа или тестирования. отправки уведомлений аудиторам и сотрудникам,
ответственным за контроль доступа к данным и защиту
Благодаря различным технологиям маскировки, решения IBM данных, с помощью предусмотренного в Accelerator процесса
позволяют защитить данные, в том числе номера телефонов, создания обзора соблюдения требований к безопасности
номера паспортов, адреса электронной почты и имена, в данных. Благодаря интеграции Accelerator с технологиями
тестовых системах без потери их контекстного значения. Иначе шифрования данных IBM, обеспечивается дополнительная
говоря, замаскированный адрес электронной почты все равно защита данных.
выглядит как адрес электронной почты и может применяться
IBM 13

Соблюдение требований: Реализация: управление разрешениями


документирование соответствия Одним из основных обязательств согласно GDPR является
требованиям контроль за надлежащим использованием персональных
Еще одним аспектом безопасной обработки является данных и их обработка на законных основаниях, например при
документирование соответствия требованиям. Решение наличии разрешения на их использование с определенной
IBM помогает решить эту задачу, обеспечивая мониторинг целью. К сожалению, в отношении конфиденциальности и
операций с файлами и данными для создания подробных получения разрешений большинство современных приложений
журналов контроля доступа к персональным данным. используют подход «все или ничего». Основная сложность
заключается в увязывании политик конфиденциальности с
Такой мониторинг доступа к данным и файлам позволяет узнать, техническими инструментами управления и контроля. IBM
кто получал доступ к тем или иным элементам персональных разработала решение для управления разрешениями и
данных. Благодаря мониторингу результатов анализа, обеспечения конфиденциальности данных, упрощающее
выполняемого в режиме реального времени и в нужный момент, получение разрешений и позволяющее лучше контролировать,
эти функции могут предупреждать специалистов по безопасности как и когда используются данные.
о выполнении подозрительных действий с персональными
данными. Кроме того, они могут динамически блокировать доступ Функция Data Subject Consent Management позволяет
к данным, изолировать ИД пользователя или предупреждать информировать конечных пользователей о том, какие данные и
специалистов по безопасности, не запрещая доступ. для каких целей нужны. Варианты разрешений, выбранные
пользователем для каждой цели, сохраняются в центральном
Дополнительные меры хранилище и доступны для использования во всех каналах
Описанные выше меры включают в себя основные аспекты, с взаимодействия (веб-сайт, мобильные приложения и колл-
которых большинству организаций следует начать подготовку к центры) и во всех приложениях организации. Поэтому не
GDPR, однако есть ряд других аспектов, на которые можно нужно отдельно заботиться о том, как распространить
обратить внимание после выполнения первоочередных шагов. разрешение на все каналы.
Платформа решений IBM для подготовки к GDPR позволяет
использовать некоторые или все указанные возможности для Реализация: запросы на доступ от
дальнейшего продвижения по пути соблюдения требований GDPR. субъектов данных
Согласно GDPR, организации должны предоставить субъектам
Реализация: управление со стороны персональных данных простой и эффективный способ
контролирующей организации/ оператора реализации прав на получение доступа, исправление и
обработки и управление вендорами удаление данных. Эту возможность следует предоставлять не
Подконтрольность и управляемость операторов обработки позднее чем через месяц после получения запроса. Для
данных является одним из основных требований GDPR. В соблюдения этих требований необходима система управления
качестве контролирующей организации вам требуется инцидентами для отслеживания запросов, средства проверки
управлять операторами и понимать, какие действия они идентификационных данных, включая многофакторную
выполняют с защищенными данными. Для этого может аутентификацию, и журналы контроля для отслеживания
потребоваться создать эффективную структуру управления доступа и создания аудиторских отчетов. IBM предоставляет
вендорами и поставщиками, определить операторов, которые среду для управления инцидентами и процессы, ускоряющие
выполняют обработку персональных данных в соответствии с обработку запросов от субъектов персональных данных.
GDPR, разработать и реализовать технические и
организационные меры, а также использовать четко Реализация: Master Data Management
прописанные меры контроля. В качестве оператора обработки Решение Master Data Management предоставляет
данных вам необходимо участвовать в аудите, обрабатывать нормализованное представление того, в каких источниках
запросы на доступ от субъектов персональных данных и быть хранятся элементы персональных данных, какие данные
готовым к выполнению любых разумных запросов от хранятся в организации и где они в точности расположены. Это
контролирующей организации. важнейшая возможность для поддержки запросов на доступ от
субъектов данных и уведомления об утечках.
14 Рекомендуемые IBM меры по обеспечению готовности к GDPR

соблюдать требования кодекса, включающего элементы нового


Реализация: унифицированное
документа GDPR, означают, что наша компания располагает
управление
всем необходимым, чтобы помочь клиентам внедрить
Унифицированное управление предоставляет вспомогательные
надежную инфраструктуру и услуги, формирующие основу для
процессы управления информацией, которые по сути
соблюдения нормативных требований во всех аспектах работы
обеспечивают качественное обслуживание данных. Эту
компании. Среда IBM Cloud имеет сертификаты ISO 27001,
функцию можно использовать вместе со средствами
FedRAMP и FISMA и одобрена для использования с такими
управления информационными ресурсами для снижения риска
промышленными стандартами, как HIPAA, PCI, FDA и KBV. В
и повышения рентабельности совместно разрабатываемых и
дополнение к этому, среда IBM Cloud соответствует
неструктурированных материалов.
требованиям более 14 сертификатов и промышленных
стандартов.
Ключевым элементом этого подхода является забота об
обрабатываемых персональных данных. Для
неструктурированных данных необходимо стремиться
2. Среда IBM Cloud построена вокруг
обеспечить синдикацию, инструментальное оснащение и данных, чтобы размещение ваших
применение политик для поддержки создания карты, данных было полностью подконтрольно,
управления и обеспечения безопасности персональных данных понятно и прозрачно.
с целью повышения рентабельности и снижения риска. Для IBM Cloud позволяет упростить соблюдение обязанностей,
структурированных данных можно разработать средства которые накладываются на вас документом GDPR как на
управления политиками и метаданными, а также возможности контролирующую организацию. Местонахождение данных
для изучения происхождения данных, чтобы получить отвечает требованиям GDPR, предъявляемым к управлению
информацию, необходимую для соблюдения принципов GDPR. данными. IBM располагает самой крупной и масштабной
сетью облачных ЦОД в Европе, насчитывающей 16 полностью
Реализация: удаление данных пригодных к эксплуатации облачных ЦОД. Всего компания
Удаление данных, которые больше не нужны компании, IBM использует 55 облачных ЦОД, расположенных в 19
позволяет поддерживать высокое качество данных и соблюдать странах мира на шести континентах, что позволяет клиентам
принцип GDPR, касающийся ограниченного срока хранения. хранить данные на ресурсах, считающихся локальными с точки
зрения требований к безопасности и нормативных требований.
IBM Cloud для обеспечения Благодаря тому, что место хранения и обработки персональных
готовности к GDPR данных всегда известно и полностью подконтрольно,
Став первой организацией, соблюдающей кодекс защиты снижается риск, связанный с передачей данных.
данных в облачных средах для ЕС, IBM Cloud может
предложить все необходимое для обеспечения 3. Среда IBM Cloud включает
конфиденциальности данных, безопасности и управления комплексную платформу для обеспечения
информацией. IBM Cloud может помочь в реализации безопасности данных, которая поможет
программы подготовки к GDPR тремя способами: вам соблюсти оговоренные в GDPR
требования к безопасности и
1. Среда IBM Cloud создавалась с конфиденциальности данных.
расчетом на строго регулируемые Гибкая и масштабируемая среда IBM Cloud со встроенными
отрасли и отвечает самым жестким услугами и решениями для обеспечения конфиденциальности
требованиям. и безопасности данных может использоваться локально или в
Используя IBM Cloud, вы можете быть полностью уверены в виде решений формата SaaS. Наша комплексная платформа для
том, что будут соблюдаться все нормативные требования и обеспечения безопасности данных позволяет обезопасить
обязательства, необходимые для обеспечения готовности к конфиденциальные данные вне зависимости от их
GDPR. Ни у одной другой компании нет столько услуг IaaS и расположения и предоставляет полный спектр функций
PaaS, обязующихся соблюдать требования кодекса ЕС для защиты данных. Мы берем на себя обязательства обеспечить
облачных сред: у IBM их на данный момент 24. Обязательство безопасность данных, их шифрование и защиту от утечки.
IBM 15

Решения IBM Cloud XaaS соответствуют целому ряду


Мэйнфрейм
международных и отраслевых стандартов, в том числе ISO/IEC
Клиентам, использующим мэйнфреймы IBM, доступна
27018, которые устанавливают требования к поставщикам
полностью совместимая функция сквозного шифрования,
облачных услуг, связанные с уведомлением, прозрачностью и
отвечающая требованиям GDPR и требующая минимальных
ведением документации, для обеспечения конфиденциальности
издержек. Новая функция тотального шифрования позволяет
данных.
быстро зашифровывать большие массивы данных, работая
эффективно и прозрачно и не требуя вносить никаких
IBM Cloud предоставляет следующие возможности для
изменений в приложения. Обеспечивая шифрование данных в
ускорения подготовки к GDPR:
процессе их записи и защиту данных во время хранения и
передачи, платформы мэйнфреймов IBM позволяют выполнять
• Безопасная виртуализация предоставляет функции защиты
обнаружение и классификацию данных в минимальном объеме,
приложений, поддержки нормативных требований и
а также упрощают администрирование и соблюдение
шифрования.
нормативных требований.
• Шифрование данных в нескольких облачных средах
позволяет защитить данные от нецелевого использования
Точка зрения на обязательства
- в одном облаке, в многооблачной или гибридной среде.
Это решение обеспечивает шифрование файлов и больших
в рамках GDPR
Основная мысль этой публикации заключается в том, что
объемов данных, управление доступом и контроль над
обеспечение готовности к GDPR является крайне непростой
ключами.
задачей. Это сложный, трудный и дорогостоящий, но
• Защита с помощью ключей позволяет клиентам хранить
необходимый процесс. Помимо того что готовность к GDPR
персональные данные в зашифрованном виде, а также легко
позволяет избежать серьезных штрафов, она является
создавать ключи шифрования и управлять их жизненным
обязательным условием ведения бизнеса в ЕС.
циклом.
• Облачные модули аппаратной защиты основаны на
Кроме того, по нашему мнению, внедрение GDPR может стать
стандартах и позволяют клиентам соблюдать нормативные
первым шагом на пути создания единого цифрового рынка в
требования и управлять безопасностью данных.
Европе. Приняв необходимые меры уже сейчас, ваша
• Встроенные средства классификации данных позволяют
организация займет выигрышное положение, которое
создать прозрачную систему поиска, классификации и
позволит ей добиться успеха в новых условиях.
защиты наиболее важных данных, расположенных в облаке
или в ЦОД.
Соблюдение требований GDPR - это еще и прекрасный способ
• Обезличивание данных по запросу в масштабах всей
завоевать доверие клиентов и сотрудников, повысить
компании, в том числе на платформах больших данных,
прозрачность бизнеса, предоставить доступ к качественным
позволяет обеспечить безопасность конфиденциальных
данным всем бизнес-пользователям, повысить эффективность
(в том числе персональных) данных.
и найти новые, более привлекательные потенциальные
• Основные функции управления глобальными инцидентами
источники получения доходов.
кибербезопасности в IBM выполняет подразделение
Computer Security Incident Response Team (CSIRT). CSIRT
Воодушевившись теми перспективами, которые дает
работает под руководством головного офиса IBM по
подготовка к GDPR, приступите к решению задачи по
управлению информационной безопасностью и имеет в
выполнению предъявляемых требований путем реализации
своем штате специалистов по управлению глобальными
предложенных нами мер.
инцидентами и ретроспективному анализу. Национальный
институт стандартов и технологий (NIST), входящий в
Дополнительная информация
состав Министерства торговли США, выпустил
Для получения дополнительной информации о перспективах и
рекомендации по обработке инцидентов с компьютерной
возможностях, которые дает подготовка к GDPR, посетите наш
безопасностью, о которых были проинформированы
веб-сайт ibm.com/gdpr или свяжитесь с представителем IBM.
компании-разработчики, и они лежат в основе процессов
управления глобальными инцидентами IBM.
© Copyright IBM Corporation 2017 Примечание: Клиенты несут полную ответственность за соблюдение
различных законодательных и нормативных требований, в том числе
IBM Corporation Генерального регламента о защите данных (GDPR) ЕС. Клиенты несут
New Orchard Road Armonk, единоличную ответственность за получение консультации у
NY 10504 компетентного юриста относительно определений и трактовки
соответствующих законов и нормативных актов, от которых может
Напечатано в США, сентябрь 2017 г. зависеть деятельность клиента и действия, которые клиенту необходимо
IBM, логотип IBM и ibm.com – товарные знаки International Business предпринять для соблюдения законов и нормативных актов. Описанные
Machines Corp., зарегистрированные во многих странах. Названия других здесь продукты, услуги и иные возможности применимы не во всех
продуктов и услуг могут быть товарными знаками IBM или других случаях и могут быть доступны только ограниченному кругу лиц.
компаний. Актуальный список товарных знаков IBM опубликован в Компания IBM не дает консультаций по юридическим, бухгалтерским и
Интернете на странице “Информация об авторских правах и товарных аудиторским вопросам, а также не заявляет и не гарантирует, что ее
знаках” по адресу www.ibm.com/legal/copytrade.shtml. продукты или услуги обеспечат соблюдение каких-либо законодательных
или нормативных требований в компании клиента.
Настоящий документ актуален по состоянию на момент публикации и может
быть изменен IBM в любое время. Не все предложения могут быть доступны Заявление о добросовестной политике безопасности: В процесс
во всех странах, в которых IBM ведет свою деятельность. обеспечения безопасности ИТ-систем входит защита систем и
информации путем предотвращения, обнаружения и блокирования
ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ несанкционированного доступа к ним изнутри и снаружи организации.
“КАК ЕСТЬ”, БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ ИЛИ Несанкционированный доступ может привести к подмене, уничтожению,
ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ ЛЮБЫЕ ГАРАНТИИ краже или неправомерному использованию информации, повреждению
ТОВАРОПРИГОДНОСТИ, СООТВЕТСТВИЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ систем или их использованию в корыстных целях, в том числе для
И ЛЮБЫЕ ГАРАНТИИ ИЛИ УСЛОВИЯ НЕНАРУШЕНИЯ ПРАВ. В осуществления атак на других пользователей. Ни одну ИТ-систему или
отношении продуктов IBM действуют гарантии на основании положений продукт нельзя считать абсолютно безопасными, равно как ни один
и условий соглашений, в соответствии с которыми эти продукты продукт, услуга или мера безопасности не может обеспечить абсолютную
предоставляются. эффективность в предотвращении несанкционированного доступа или
неправомерного использования. Системы, продукты и услуги IBM
предназначены для работы в комплексе законных мер по обеспечению
безопасности, в который для максимальной эффективности обязательно
будут входить другие процедуры и, возможно, будут задействоваться
другие системы, продукты и услуги.

IBM НЕ ГАРАНТИРУЕТ, ЧТО ЛЮБЫЕ СИСТЕМЫ, ПРОДУКТЫ И


УСЛУГИ ПОЛНОСТЬЮ ЗАЩИЩЕНЫ ОТ ЗЛОНАМЕРЕННЫХ ИЛИ
ПРОТИВОЗАКОННЫХ ДЕЙСТВИЙ ЛЮБОЙ ИЗ СТОРОН ИЛИ
ЗАЩИТЯТ ВАШЕ ПРЕДПРИЯТИЕ ОТ ПОДОБНЫХ
ЗЛОНАМЕРЕННЫХ ИЛИ ПРОТИВОЗАКОННЫХ ДЕЙСТВИЙ.

1 (http://www.efta.int/eea-lex/32016R0679)
2 The Privacy Advisor, “ICO’s Wood: GDPR grace period? No way.”
(https://iapp.org/news/a/icos-wood-gdpr-grace-period-no-way)

3 Статья 12 (https://gdpr-info.eu/art-12-gdpr/)

4 Working Party 29 DPO


(http://europrivacy.info/2017/04/11/final-dpo-guidelines/)

5 (ibm.com/security/data-breach/)

Подлежит утилизации

ASW12436-RURU-04

Оценить