- Тип
- Эксклюзив
- Категория
- IT и Телеком
- Дата публикации
Как привести инфосистемы в соответствие с европолитикой защиты данных
В мае прошлого года в результате длительных дискуссий Европейский парламент принял регламент GDPR. А в мае 2018 он вступит в законную силу. И самым важным моментом для украинского бизнеса здесь является то, что действие документа не лимитировано рамками Евросоюза, а распространяется на все организации, имеющие дело с данными граждан ЕС, и украинские в том числе. Иными словами, основная цель GDPR заключается в гарантии защиты персональных данных (ПД) граждан ЕС без привязки к тому, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, — скурпулезно защищать конфиденциальность этих данных.
Регламент уже действует
По сути, Регламент действует с 25 мая 2016 года и распространяется на все организации, которые обрабатывают или хранят персональные данные (ПД) граждан ЕС в независимости от места их учреждения и нахождения, другими словами по всему миру.
Два года было предоставлено для приведения в соответствие данному регламенту. С мая следующего года соответствующие национальные органы власти государств-членов ЕС будут иметь право требовать предоставление отчетов о соответствии. В случае обнаружения нарушений — предписывать соответствующие меры по их устранению. А в дополнение — определять размеры административных штрафов, накладываемых на нарушителей.
Какие риски?
Размеры штрафов будут соизмеримыми с масштабами и последствиями нарушений в каждом конкретном случае, также установлены две категории их максимального размера:
- 10 млн. EUR или 2% от всего глобального оборота предыдущего финансового года (в зависимости от того, что больше) — за нарушение некоторых обязательств;
- 20 млн. EUR или 4% от всего глобального оборота предыдущего финансового года (в зависимости от того, что больше) — за нарушение основных принципов;
С одной стороны, риски владельцев, контролеров, хранителей и обработчиков массивов данных, содержащих ПД граждан ЕС вроде бы ограничены указанными выше значениями и даже можно рассчитывать на то, что "соизмеримые" штрафы будут гораздо меньшими. С другой стороны, уплата штрафов не освобождает от необходимости выполнения предписаний органов надзора. Невыполнение же влечет за собой конкретно обозначенный в Регламенте дополнительный штраф в размере 20 млн. евро или 4% от всего глобального оборота предыдущего финансового года.
Логика очень проста: хочешь работать с ПД граждан ЕС — либо соответствуй, либо плати. Остается выбрать один из трех вариантов:
- не работать с ПД граждан ЕС
- соответствовать
- регулярно платить штрафы.
Среди косвенных рисков: потеря деловой репутации, партнеров и клиентов, для которых соответствие GDPR будет нормой.
Наводим в доме порядок
GDPR требует прозрачности и всеобъемлющего охвата структурированных данных на предмет наличия среди них ПД и управления ими. Если раньше организации пытались организовать такое управление на уровне бизнес подразделений, часто на уровне проектных групп и не имели централизованного инструментария для управления и контроля, то сейчас его наличие является обязательным требованием. Это влечет необходимость централизованной стандартизации и выработки единых политик и процессов для всей организации.
Опыт нашей компании, которая на протяжении последних двух лет помогает европейским партнерам приводить информационные системы в соответствие с GDPR, показывает, что большинство организаций уделили достаточно внимания данному вопросу. Средний срок комплексного проекта по приведению данных к соответствию GDPR составляет около 6 месяцев.
Основные этапы подобных проектов следующие:
- Подробное и полное изучение структуры данных, которые подпадают под регулирование (профилирование и Data Management)
- Разработка и внедрение новых политик получения ПД, согласий на обработку от их субъектов, обработки, хранения, предоставления и удаления.
- Анонимизация данных.
- Внедрение процессов аудирования на всех этапах жизненного цикла данных.
Анонимизация, как ключ к успеху
Требования GDPR не распространяются на анонимизированные данные. (This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes). Анонимизированными считаются данные, которыми в тот или иной способ были подменены оригинальные, и по которым невозможно в каждом конкретном случае однозначно идентифицировать конкретное физическое лицо (индивидуума).
Практика показывает, что в среднем 90% всех данных находятся в непродуктивных средах и лишь 10% — в более защищенных, продуктивных. Учитывая данное обстоятельство, организации оказываются перед выбором, как эффективнее управлять данными и защищать их.
Первый вариант: обеспечить соответствие требованиям во всех средах. Данный вариант достаточно ресурсоемкий и не совсем надежный. Основная причина: количество систем в непродуктивных средах велико, а наличие и состояние в них критичных данных — непредсказуемо.
Второй вариант: профилировать данные в продуктивных средах, анонимизировать их там же и выдавать только анонимизированные наборы в непродуктивные среды. Данный вариант оказался самым оптимальным, так как гарантирует высокое качество профилирования на меньших объемах и вывод непродуктивных сред из-под требований GDPR.
Что на пути?
Неизбежные вопросы, которые встают на пути к соответствию GDPR — где найти и как эффективно использовать дополнительные ресурсы для профилирования и анонимизации данных в защищенных продуктивных средах? Для анонимизации логично создавать копии оригинальных данных. В последующем из этих анонимизированных копий выдавать копии в непродуктивные среды. Но на деле не все так просто. Первое, с чем сталкивается организация — дефицит ресурсов СХД. Второе — необходимость интеграции различных инструментов для разных типов баз данных. Третье — необходимость сохранения репрезентативности данных после их анонимизации, иначе разработчики, тестировщики, аналитики и другие пользователи данных просто не смогут с ними работать и выполнять стоящие перед ними задачи.
Как с этим бороться?
Решение всех указанных выше вопросов возможно путем маскирования виртуальных данных в защищенных средах с помощью инновационной платформы управления данными Delphix Dynamic Data Platform, которая объединяет в себе технологии виртуализации и маскирования данных. Данная платформа позволяет создавать легковесные виртуальные копии, поэтому она не требует дополнительных значительных ресурсов СХД. Кроме этого, она предоставляет возможность автоматизации процессов профилирования данных и эффективной выдачи только маскированных наборов в непродуктивные среды. Платформа способна виртуализировать и маскировать практически все типы баз данных, присутствующих на рынке. При этом в процессе маскирования сохраняется полная репрезентативность анонимизированных наборов.
Как это работает?
Архитектура платформы разрабатывается для каждого заказчика индивидуально. В общих чертах ее можно описать следующим образом:
Обычно сервис платформы Delphix разворачивается в защищенной среде и выполняет следующие задачи:
- виртуализацию данных
- профилирование
- маскирование
- сертификацию
Виртуализация — создание цифровых шлюзов к оригинальными данным и виртуальных копий. Требуемый для этого совокупный объем дискового пространства на СХД обычно в 2-3 раза меньше совокупного объема оригинальных данных.
Профилирование — автоматическое выявление данных, которые необходимо анонимизировать. Платформа содержит встроенные наборы профилей, также есть возможность их редактировать и создавать собственные.
Маскирование: применение определенных наборов алгоритмов и правил, которые подменяют оригинальные данные. В результате создаются маскированные виртуальные мастер-копии. Они, в свою очередь, являются источниками для виртуальных баз данных, с которыми работают пользователи в непродуктивных средах. Так как маскированные копии содержат только анонимизированные данные, работать с ними можно без оглядки на требования Регламента. Технологии платформы Delphix функционируют таким образом, что после изменения данных в оригинальных базах, при обновлении мастер-копий, все наборы алгоритмов и правил применяются на них автоматически. Поэтому, по завершении процесса обновления, мастер-копии всегда будут маскированы. Соответственно, и обновленные из них копии в непродуктивных средах также всегда будут маскированными.
Сертификация — генерирование отчета о том, в каких базах и какие данные были маскированы.