НБУ курс:

USD

41,93

-0,00

EUR

43,58

-0,00

Наличный курс:

USD

42,35

42,30

EUR

44,40

44,15

Как привести инфосистемы в соответствие с европолитикой защиты данных

25 мая 2018 года положения General Data Protection Regulation Европейского Союза становятся исполняемыми принудительно для компаний и организаций во всем мире. Как эффективно их внедрить?

В мае прошлого года в результате длительных дискуссий Европейский парламент принял регламент GDPR. А в мае 2018 он вступит в законную силу. И самым важным моментом для украинского бизнеса здесь является то, что действие документа не лимитировано рамками Евросоюза, а распространяется на все организации, имеющие дело с данными граждан ЕС, и украинские в том числе. Иными словами, основная цель GDPR заключается в гарантии защиты персональных данных (ПД) граждан ЕС без привязки к тому, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, — скурпулезно защищать конфиденциальность этих данных. 

Подробнее: Как новая политика ЕС по защите данных повлияет на украинский бизнес

Регламент уже действует

По сути, Регламент действует с 25 мая 2016 года и распространяется на все организации, которые обрабатывают или хранят персональные данные (ПД) граждан ЕС в независимости от места их учреждения и нахождения, другими словами по всему миру.

Два года было предоставлено для приведения в соответствие данному регламенту. С мая следующего года соответствующие национальные органы власти государств-членов ЕС будут иметь право требовать предоставление отчетов о соответствии. В случае обнаружения нарушений — предписывать соответствующие меры по их устранению. А в дополнение — определять размеры административных штрафов, накладываемых на нарушителей.

Какие риски?

Размеры штрафов будут соизмеримыми с масштабами и последствиями нарушений в каждом конкретном случае, также установлены две категории их максимального размера:

- 10 млн. EUR или 2% от всего глобального оборота предыдущего финансового года (в зависимости от того, что больше) — за нарушение некоторых обязательств;

- 20 млн. EUR или 4% от всего глобального оборота предыдущего финансового года (в зависимости от того, что больше) — за нарушение основных принципов;

С одной стороны, риски владельцев, контролеров, хранителей и обработчиков массивов данных, содержащих ПД граждан ЕС вроде бы ограничены указанными выше значениями и даже можно рассчитывать на то, что "соизмеримые" штрафы будут гораздо меньшими. С другой стороны, уплата штрафов не освобождает от необходимости выполнения предписаний органов надзора. Невыполнение же влечет за собой конкретно обозначенный в Регламенте дополнительный штраф в размере 20 млн. евро или 4% от всего глобального оборота предыдущего финансового года.

Логика очень проста: хочешь работать с ПД граждан ЕС — либо соответствуй, либо плати. Остается выбрать один из трех вариантов:

  • не работать с ПД граждан ЕС
  • соответствовать
  • регулярно платить штрафы.

Среди косвенных рисков: потеря деловой репутации, партнеров и клиентов, для которых соответствие GDPR будет нормой.

Наводим в доме порядок

GDPR требует прозрачности и всеобъемлющего охвата структурированных данных на предмет наличия среди них ПД и управления ими. Если раньше организации пытались организовать такое управление на уровне бизнес подразделений, часто на уровне проектных групп и не имели централизованного инструментария для управления и контроля, то сейчас его наличие является обязательным требованием. Это влечет необходимость централизованной стандартизации и выработки единых политик и процессов для всей организации.

Опыт нашей компании, которая на протяжении последних двух лет помогает европейским партнерам приводить информационные системы в соответствие с GDPR, показывает, что большинство организаций уделили достаточно внимания данному вопросу. Средний срок комплексного проекта по приведению данных к соответствию GDPR составляет около 6 месяцев.

Основные этапы подобных проектов следующие:

  1. Подробное и полное изучение структуры данных, которые подпадают под регулирование (профилирование и Data Management)
  2. Разработка и внедрение новых политик получения ПД, согласий на обработку от их субъектов, обработки, хранения, предоставления и удаления.
  3. Анонимизация данных.
  4. Внедрение процессов аудирования на всех этапах жизненного цикла данных.

Анонимизация, как ключ к успеху

Требования GDPR не распространяются на анонимизированные данные. (This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes). Анонимизированными считаются данные, которыми в тот или иной способ были подменены оригинальные, и по которым невозможно в каждом конкретном случае однозначно идентифицировать конкретное физическое лицо (индивидуума).

Практика показывает, что в среднем 90% всех данных находятся в непродуктивных средах и лишь 10% — в более защищенных, продуктивных. Учитывая данное обстоятельство, организации оказываются перед выбором, как эффективнее управлять данными и защищать их.

Первый вариант: обеспечить соответствие требованиям во всех средах. Данный вариант достаточно ресурсоемкий и не совсем надежный. Основная причина: количество систем в непродуктивных средах велико, а наличие и состояние в них критичных данных — непредсказуемо.

Второй вариант: профилировать данные в продуктивных средах, анонимизировать их там же и выдавать только анонимизированные наборы в непродуктивные среды. Данный вариант оказался самым оптимальным, так как гарантирует высокое качество профилирования на меньших объемах и вывод непродуктивных сред из-под требований GDPR. 

Что на пути?

Неизбежные вопросы, которые встают на пути к соответствию GDPR — где найти и как эффективно использовать дополнительные ресурсы для профилирования и анонимизации данных в защищенных продуктивных средах? Для анонимизации логично создавать копии оригинальных данных. В последующем из этих анонимизированных копий выдавать копии в непродуктивные среды. Но на деле не все так просто. Первое, с чем сталкивается организация — дефицит ресурсов СХД. Второе — необходимость интеграции различных инструментов для разных типов баз данных. Третье — необходимость сохранения репрезентативности данных после их анонимизации, иначе разработчики, тестировщики, аналитики и другие пользователи данных просто не смогут с ними работать и выполнять стоящие перед ними задачи.

Как с этим бороться?

Решение всех указанных выше вопросов возможно путем маскирования виртуальных данных в защищенных средах с помощью инновационной платформы управления данными Delphix Dynamic Data Platform, которая объединяет в себе технологии виртуализации и маскирования данных. Данная платформа позволяет создавать легковесные виртуальные копии, поэтому она не требует дополнительных значительных ресурсов СХД. Кроме этого, она предоставляет возможность автоматизации процессов профилирования данных и эффективной выдачи только маскированных наборов в непродуктивные среды. Платформа способна виртуализировать и маскировать практически все типы баз данных, присутствующих на рынке. При этом в процессе маскирования сохраняется полная репрезентативность анонимизированных наборов.  

Как это работает?

Архитектура платформы разрабатывается для каждого заказчика индивидуально. В общих чертах ее можно описать следующим образом:

Обычно сервис платформы Delphix разворачивается в защищенной среде и выполняет следующие задачи:

  • виртуализацию данных
  • профилирование
  • маскирование
  • сертификацию

Виртуализация — создание цифровых шлюзов к оригинальными данным и виртуальных копий. Требуемый для этого совокупный объем дискового пространства на СХД обычно в 2-3 раза меньше совокупного объема оригинальных данных.

Профилирование — автоматическое выявление данных, которые необходимо анонимизировать. Платформа содержит встроенные наборы профилей, также есть возможность их редактировать и создавать собственные.

Маскирование: применение определенных наборов алгоритмов и правил, которые подменяют оригинальные данные. В результате создаются маскированные виртуальные мастер-копии. Они, в свою очередь, являются источниками для виртуальных баз данных, с которыми работают пользователи в непродуктивных средах. Так как маскированные копии содержат только анонимизированные данные, работать с ними можно без оглядки на требования Регламента. Технологии платформы Delphix функционируют таким образом, что после изменения данных в оригинальных базах, при обновлении мастер-копий, все наборы алгоритмов и правил применяются на них автоматически. Поэтому, по завершении процесса обновления, мастер-копии всегда будут маскированы. Соответственно, и обновленные из них копии в непродуктивных средах также всегда будут маскированными.

Сертификация — генерирование отчета о том, в каких базах и какие данные были маскированы.