Бизнес работает Бизнес работает
ГОЛОВНИЙ АКТИВ ГОЛОВНИЙ АКТИВ
Бизнесмены на фронте Бизнесмены на фронте
Сommon Help Ukraine Сommon Help Ukraine
Война в Украине: все последние новости Война в Украине: все последние новости
Тип
Эксклюзив
Категория
IT и Телеком
Дата публикации

Как привести инфосистемы в соответствие с европолитикой защиты данных

25 мая 2018 года положения General Data Protection Regulation Европейского Союза становятся исполняемыми принудительно для компаний и организаций во всем мире. Как эффективно их внедрить?
Адаптуйте бізнес-стратегію до сучасних викликів разом з управлінцями «Біосфера», Ajax, Bolt, Prom.ua, Uklon та ще понад 60 топових компаній
13 грудня на GET Business Festival отримайте перевірені стратегії залучення інвестицій для бізнесу, просування продукту онлайн та цифровізації бізнесу.
Забронювати участь

В мае прошлого года в результате длительных дискуссий Европейский парламент принял регламент GDPR. А в мае 2018 он вступит в законную силу. И самым важным моментом для украинского бизнеса здесь является то, что действие документа не лимитировано рамками Евросоюза, а распространяется на все организации, имеющие дело с данными граждан ЕС, и украинские в том числе. Иными словами, основная цель GDPR заключается в гарантии защиты персональных данных (ПД) граждан ЕС без привязки к тому, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, — скурпулезно защищать конфиденциальность этих данных. 

Подробнее: Как новая политика ЕС по защите данных повлияет на украинский бизнес

Регламент уже действует

По сути, Регламент действует с 25 мая 2016 года и распространяется на все организации, которые обрабатывают или хранят персональные данные (ПД) граждан ЕС в независимости от места их учреждения и нахождения, другими словами по всему миру.

Два года было предоставлено для приведения в соответствие данному регламенту. С мая следующего года соответствующие национальные органы власти государств-членов ЕС будут иметь право требовать предоставление отчетов о соответствии. В случае обнаружения нарушений — предписывать соответствующие меры по их устранению. А в дополнение — определять размеры административных штрафов, накладываемых на нарушителей.

Какие риски?

Размеры штрафов будут соизмеримыми с масштабами и последствиями нарушений в каждом конкретном случае, также установлены две категории их максимального размера:

- 10 млн. EUR или 2% от всего глобального оборота предыдущего финансового года (в зависимости от того, что больше) — за нарушение некоторых обязательств;

- 20 млн. EUR или 4% от всего глобального оборота предыдущего финансового года (в зависимости от того, что больше) — за нарушение основных принципов;

С одной стороны, риски владельцев, контролеров, хранителей и обработчиков массивов данных, содержащих ПД граждан ЕС вроде бы ограничены указанными выше значениями и даже можно рассчитывать на то, что "соизмеримые" штрафы будут гораздо меньшими. С другой стороны, уплата штрафов не освобождает от необходимости выполнения предписаний органов надзора. Невыполнение же влечет за собой конкретно обозначенный в Регламенте дополнительный штраф в размере 20 млн. евро или 4% от всего глобального оборота предыдущего финансового года.

Логика очень проста: хочешь работать с ПД граждан ЕС — либо соответствуй, либо плати. Остается выбрать один из трех вариантов:

  • не работать с ПД граждан ЕС
  • соответствовать
  • регулярно платить штрафы.

Среди косвенных рисков: потеря деловой репутации, партнеров и клиентов, для которых соответствие GDPR будет нормой.

Наводим в доме порядок

GDPR требует прозрачности и всеобъемлющего охвата структурированных данных на предмет наличия среди них ПД и управления ими. Если раньше организации пытались организовать такое управление на уровне бизнес подразделений, часто на уровне проектных групп и не имели централизованного инструментария для управления и контроля, то сейчас его наличие является обязательным требованием. Это влечет необходимость централизованной стандартизации и выработки единых политик и процессов для всей организации.

Опыт нашей компании, которая на протяжении последних двух лет помогает европейским партнерам приводить информационные системы в соответствие с GDPR, показывает, что большинство организаций уделили достаточно внимания данному вопросу. Средний срок комплексного проекта по приведению данных к соответствию GDPR составляет около 6 месяцев.

Основные этапы подобных проектов следующие:

  1. Подробное и полное изучение структуры данных, которые подпадают под регулирование (профилирование и Data Management)
  2. Разработка и внедрение новых политик получения ПД, согласий на обработку от их субъектов, обработки, хранения, предоставления и удаления.
  3. Анонимизация данных.
  4. Внедрение процессов аудирования на всех этапах жизненного цикла данных.

Анонимизация, как ключ к успеху

Требования GDPR не распространяются на анонимизированные данные. (This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes). Анонимизированными считаются данные, которыми в тот или иной способ были подменены оригинальные, и по которым невозможно в каждом конкретном случае однозначно идентифицировать конкретное физическое лицо (индивидуума).

Практика показывает, что в среднем 90% всех данных находятся в непродуктивных средах и лишь 10% — в более защищенных, продуктивных. Учитывая данное обстоятельство, организации оказываются перед выбором, как эффективнее управлять данными и защищать их.

Первый вариант: обеспечить соответствие требованиям во всех средах. Данный вариант достаточно ресурсоемкий и не совсем надежный. Основная причина: количество систем в непродуктивных средах велико, а наличие и состояние в них критичных данных — непредсказуемо.

Второй вариант: профилировать данные в продуктивных средах, анонимизировать их там же и выдавать только анонимизированные наборы в непродуктивные среды. Данный вариант оказался самым оптимальным, так как гарантирует высокое качество профилирования на меньших объемах и вывод непродуктивных сред из-под требований GDPR. 

Что на пути?

Неизбежные вопросы, которые встают на пути к соответствию GDPR — где найти и как эффективно использовать дополнительные ресурсы для профилирования и анонимизации данных в защищенных продуктивных средах? Для анонимизации логично создавать копии оригинальных данных. В последующем из этих анонимизированных копий выдавать копии в непродуктивные среды. Но на деле не все так просто. Первое, с чем сталкивается организация — дефицит ресурсов СХД. Второе — необходимость интеграции различных инструментов для разных типов баз данных. Третье — необходимость сохранения репрезентативности данных после их анонимизации, иначе разработчики, тестировщики, аналитики и другие пользователи данных просто не смогут с ними работать и выполнять стоящие перед ними задачи.

Как с этим бороться?

Решение всех указанных выше вопросов возможно путем маскирования виртуальных данных в защищенных средах с помощью инновационной платформы управления данными Delphix Dynamic Data Platform, которая объединяет в себе технологии виртуализации и маскирования данных. Данная платформа позволяет создавать легковесные виртуальные копии, поэтому она не требует дополнительных значительных ресурсов СХД. Кроме этого, она предоставляет возможность автоматизации процессов профилирования данных и эффективной выдачи только маскированных наборов в непродуктивные среды. Платформа способна виртуализировать и маскировать практически все типы баз данных, присутствующих на рынке. При этом в процессе маскирования сохраняется полная репрезентативность анонимизированных наборов.  

Как это работает?

Архитектура платформы разрабатывается для каждого заказчика индивидуально. В общих чертах ее можно описать следующим образом:

Обычно сервис платформы Delphix разворачивается в защищенной среде и выполняет следующие задачи:

  • виртуализацию данных
  • профилирование
  • маскирование
  • сертификацию

Виртуализация — создание цифровых шлюзов к оригинальными данным и виртуальных копий. Требуемый для этого совокупный объем дискового пространства на СХД обычно в 2-3 раза меньше совокупного объема оригинальных данных.

Профилирование — автоматическое выявление данных, которые необходимо анонимизировать. Платформа содержит встроенные наборы профилей, также есть возможность их редактировать и создавать собственные.

Маскирование: применение определенных наборов алгоритмов и правил, которые подменяют оригинальные данные. В результате создаются маскированные виртуальные мастер-копии. Они, в свою очередь, являются источниками для виртуальных баз данных, с которыми работают пользователи в непродуктивных средах. Так как маскированные копии содержат только анонимизированные данные, работать с ними можно без оглядки на требования Регламента. Технологии платформы Delphix функционируют таким образом, что после изменения данных в оригинальных базах, при обновлении мастер-копий, все наборы алгоритмов и правил применяются на них автоматически. Поэтому, по завершении процесса обновления, мастер-копии всегда будут маскированы. Соответственно, и обновленные из них копии в непродуктивных средах также всегда будут маскированными.

Сертификация — генерирование отчета о том, в каких базах и какие данные были маскированы.