Что такое GDPR и как это вас касается?
gdpr
С развитием новых технологий во всем мире и с появлением онлайн пространства, когда наша жизнь постепенно перешла в Интернет, появилось и соответствующее законодательство для защиты конфиденциальности, поскольку люди обмениваются личными конфиденциальными данными в Интернете. Очевидно, что это правильный подход, но он требует глубоких изменений в ИТ-инфраструктуре каждой организации, которая хоть как-то связана с информацией для установления личности. Давайте примем этот вызов и выясним, с какими подводными камнями вы можете столкнуться, стараясь соблюдать требования GDPR.
- Что такое GDPR?
- Что это значит для вашей организации?
- Какие меры может предпринять ваша организация, чтобы соответствовать GDPR?
- Реагируйте эффективно
- Выводы
Что такое GDPR?
Для тех, кто еще не знает, общее положение о защите данных (GDPR) – это закон Европейского Союза, который касается компаний, связанных с резидентами ЕС и их PII.
Если подытожить данные рисунка: это положение регулирует права на конфиденциальность и накладывает больше ответственности за безопасность данных. Во многих странах действуют обязательные требования относительно нарушений. Поэтому, если вы находитесь в США – вы уже, скорее всего, с этим сталкивались. Требования к отчетности о нарушении данных действуют почти в каждом штате. Также предусмотрены существенные штрафы за несоблюдение безопасности – в худшем случае речь идет о сумме до 4 процентов вашего годового дохода.
Что это значит для вашей организации?
GDPR регламентирует обязательные права субъекта данных, то есть клиенты могут запросить копию своих данных или потребовать, чтобы их данные были забыты (право требовать удаления ваших данных), или воспользоваться правом переноса данных (то есть данные должны быть в готовом для переноса, машиночитаемом формате, например, PST-файл для Outlook или аналогичный вариант).
Что касается управления и отправки уведомлений, существуют требования к соблюдению соответствующих мер безопасности. Однако в этих требованиях не прописаны конкретные технологии, так как они очень быстро меняются. Есть требования к уведомлениям о нарушениях, требования для получения согласия, к ведению подробных записей для обработки. Чтобы доказать прозрачность ваших политик, вы должны описать цели обработки информации, определить, что именно вы собираетесь делать с этой информацией. Существует еще одно отдельное понятие – оценка воздействия на защиту данных (DPIA), которая, в основном, предполагает оценку риска. Такая оценка может требоваться от вас в случаях работы с высокими рисками. Если, например, деятельность связана с управлением записями о состоянии здоровья или данными с камер наблюдения.
И тогда, конечно, для реинжиниринга вашей организации потребуются новые знания информационных технологий и обучение. В некоторых случаях даже целесообразен наем отдельных сотрудников, которые будут заниматься вопросами защиты. В GDPR есть несколько рекомендаций относительно случаев, когда это стоит делать.
Вы можете задаться вопросом: а что, если GDPR не имеет ко мне никакого отношения, почему я должен беспокоиться? Ну, возможно, GDPR вас не касается именно сейчас, но вы действительно должны обратить на это внимание и начать думать о возможных переменах в будущем. Уже сейчас мы наблюдаем, что не только Европа, но и такие страны, как Япония, Канада, Аргентина и другие изучают подобное GDPR законодательство и планируют принять нечто похожее. Кроме того, такие компании, как Microsoft, задают стандарты относительно прав субъектов данных по всему земному шару. Компания поддерживает идею одного расширенного стандарта, который легче соблюдать, чем целый набор различных стандартов. С другой стороны, благодаря всем этим громким историям, сами пользователи становятся более разборчивыми в вопросах согласия и сбора данных.
Какие меры может предпринять ваша организация, чтобы соответствовать GDPR?
Это довольно сложный процесс, потому что в GDPR содержится 99 статей. Некоторые из них носят технический характер, другие – нет, многие связаны с политиками. Если вы полностью работаете на локальных серверах – вся ответственность будет на вас, если же вы частично используете облако, у вас есть право использовать модель совместной ответственности, когда некоторые из требований выполняет Microsoft как поставщик облачных сервисов, а другие – сами клиенты. Ваш путь к соблюдению GDPR может включать следующие шаги:
1. Оценка и управление рисками
Провести оценку рисков для ваших данных на облаке намного проще благодаря диспетчеру соответствия. Compliance Manager – универсальный инструмент для управления всей вашей ситуацией с соответствием. С помощью этого инструмента Microsoft делится всей информацией о том, как и что делается для защиты ваших данных, а также оповещает о вашей ответственности и дает рекомендации о том, как применять собственные средства контроля для защиты данных. Compliance Manager – это эффективный способ отслеживания и управления вашей конфиденциальностью и соответствием на основе оценки риска.
2. Выявление персональных данных
После того, как вы оцените свои риски соответствия, следующим шагом будет подумать о том, как выявить личную информацию в облаке Microsoft и за ее пределами. Сегодня, обдумывая общий ландшафт данных, все сталкиваются с экспоненциальным ростом электронных данных во всей организации. Возрастает сложность этих данных и увеличивается место, отведенное на их хранение. У вас есть данные, которые хранятся на устройствах, в приложениях, в службах, на локальных серверах, в облаке – и они распространяются по всем этим различным средам. Кроме того, типы данных, которые вы храните, больше не относятся только к документам и электронной почте. У вас есть голосовая почта, текстовые сообщения, посты, mp3-файлы и прочие форматы. Вы должны проверить их безопасное хранение в каждой среде вашей организации.
Вы можете начать с базового понимания объема – просмотреть данные и рационализировать их использование, конкретизировать цели сбора данных и их использования, кто их использует и прочие моменты.
Оценка объема поможет вам определить, какой будет политика данных в вашей организации. Как только вы определитесь с политикой – вы сможете легко воплотить ее принципы через какой-то набор инженерных инструментов и намного лучше управлять ею в своей организации.
Следует учесть, что в каждой организации есть много ненужных личных данных или старых данных, которые вы давно не использовали. Благодаря GDPR вы можете пересмотреть, что именно нужно оставить, а от чего – избавиться. Так вы уменьшите зону ответственности по всем своим целям согласно GDPR. Очень хорошим побочным эффектом такой чистки данных будет существенная экономия затрат, так как хранение и управление данными всегда очень дорогостоящий процесс.
Как только вы уменьшите объемы и область хранения, можно приступить к определению соответствующих политик. В вашей организации всегда существует стандартная корпоративная политика хранения, которая будет действовать x количество лет, x количество месяцев, в любом случае. При соблюдении GDPR вам нужно оценить свои данные и цели их использования, а затем установить более детальные политики хранения в зависимости от типов данных, которыми вы располагаете.
Еще один ключевой момент – отклонения или исключения. Если существует определенный набор данных, которые вы хотите определить как исключение, это должно быть четко описано в политике. Во время аудита для юридических целей или управления бизнесом, у вас будут установлены исключения относительно того, как вы управляете и распоряжаетесь этими данными.
Затем вы можете определить, какие наборы данных вы должны включить для всех ваших прав DRS. Например, это право данным быть забытыми, право на экспорт или просмотр.
Следуя этим шагам, вы можете создать свою структуру обработки и управления данными.
3. Защита и управление вашими данными
Microsoft предлагает вам инструменты для защиты данных на уровне персональной идентификации, документов и всей сети. Защита данных посредством идентификации – это понимание того, кто имеет доступ к данным. На этом уровне вы рассматриваете возможность внедрения средств управления, чтобы гарантировать, что управление доступом реализовано во всей организации должным образом. Есть такие понятия, как многофакторная аутентификация или условный доступ, привилегированное управление идентификацией и аппаратная защита учетных данных в вашей среде.
Для защиты информации на уровне данных существует готовое решение, которое называется Azure Information Protection (AIP). Сервис позволяет проставлять на документах согласованные метки, которые связаны с политиками, как в плане защиты, так и управления. Эти политики могут касаться шифрования, создания водяных знаков, сохранения записей документов или их удаления.
Более того, использование меток не ограничиваются только лишь средой Microsoft 365. Вы можете использовать те же метки, что и в Microsoft Security and Compliance Center, запуская агент сканера AIP на локальном файловом сервере и точно также классифицировать документы. Метки постоянны. По мере переноса документов из локальной среды в онлайн, облачные системы распознают, что у таких документов есть конфиденциальная метка с политикой шифрования, политикой ограниченного доступа, политикой хранения. Каждая из этих политик автоматически применяется к каждому документу. Вы даже можете воспользоваться автоматической классификацией документов от Security and Compliance Center для поиска данных или шаблонов. К примеру, найти документы, содержащие номера социального страхования. Если программа находит эти документы, они отмечаются SSN и к документам применяются соответствующие политики.
Защита на уровне доступа и на уровне документов -– это хорошо, но не стоит забывать и о защите от угроз. Вы должны убедиться, что никто не может получить доступ к данным из внешней среды. Если даже каким-то образом кто-то получит доступ к вашей среде, у вас должна быть система, которая охватывает личные данные, устройство и всю среду, способная предпринять соответствующие меры безопасности, когда устройство, пользователь или документ считаются зараженными. На рисунке ниже показаны инструменты, которые используются для обеспечения защиты ваших данных в Microsoft 365.
Реагируйте эффективно
Последний пазл общей картины связан с эффективным реагированием. Сюда включено и то, насколько эффективно и своевременно вы управляете запросами субъекта данных (в которых ваша организация может буквально утопать), гарантируя, что данные, которыми вы обменивались по запросу другого человека – уместны. В Microsoft 365 есть решения, которые помогут вам управлять запросами на данные, расположенные в среде Microsoft 365 со стороны субъектов данных. Аналогичное программное обеспечение есть в Azure и Dynamics. Оно позволяет обрабатывать запросы на идентификаторы или записи клиентов (возможно, сохраненные в Dynamics). В среде Office 365 вы можете выполнять поиск в Exchange Online, SharePoint Online, OneDrive для бизнеса (включая Teams и Groups) и в общих папках. Существует более 80 поддерживаемых типов конфиденциальных данных, но также был опубликован специфический тип данных для GDPR. Он ищет конкретные идентификаторы персональных данных в ЕС, просматривая 28 различных стран ЕС и объединяет их в один шаблон, который вы можете применить ко всем своим данным в этих средах.
Если вы хотите забыть пользователя или экспортировать его данные, то для выполнения таких запросов вы должны быть администратором этой подписки. Это можно сделать через Service Trust Portal. Нажав на табличку конфиденциальности и прокрутив вниз, вы увидите ссылки для экспорта журнала данных, для стирания (забывания) данных пользователя. Либо перейдите в Security and Compliance Center – и прямо здесь вы найдете все эти опции.
В зависимости от времени и количества данных, собранных о пользователе, может потребоваться от одного до 30 дней, чтобы эти данные вам вернулись.
Полученные вами данные могут быть огромных размеров, поэтому желательно выполнить определенные настройки для просмотра наиболее важных элементов. Например, если вы выберете фильтр Inclusive and the pivots, вы увидите приблизительные дубликаты файла с данными по вашей теме, что сэкономит массу времени.
В обзоре Annotate view вы можете прочитать содержимое и отредактировать любой его фрагмент, которым вы не хотите делиться с субъектом данных перед экспортом.
Выводы
Положения GDPR действительно ориентированы на соблюдение прав личной приватности. Этот процесс усложняется тем, что вам нужно выяснить, какие именно конфиденциальные данные у вас есть, где они хранятся и как их защитить. У вас должны быть инструменты для управления этими данными, чтобы гарантировать, что эти данные не передаются ненадлежащим образом, что они не удаляются непреднамеренно или что он эффективно предоставляются по запросу субъекта данных. И все это организовано так, чтобы экономить ваше время и деньги. Помните, что в этих вопросах вы можете рассчитывать на помощь от IT Partner. Мы можем предложить вам руководство и помощь, и не только позаботиться о соответствии вашей ИТ-инфраструктуры GDPR, но и сделать ее лучше и безопаснее в целом.