Технічні вимоги GDPR. Реалізація на практиці.

GDPR – це регламент, який регулює захист персональних даних осіб. Він створений для контролю за збиранням, обробкою та використанням особистої інформації. Дотримання GDPR є вкрай важливим для успішної діяльності на території ЄС, що є одним з найважливіших ринків для ІТ компаній України.

Як бонус, належне дотримання GDPR значно спрощує адаптацію до подібних політик та законів за межами ЄС. California Consumer Privacy Act (ССРА) – один з яскравих прикладів GDPR-подібних регламентів, який вступив у силу з 1 січня 2020 року. Причиною створення ССРА стала необхідність більш ретельного нагляду за ІТ-компаніями Кремнієвої долини та захист від неправомірного збирання та використання приватної інформації. ССРА – діє лише на території Каліфорнії, проте виступає доказом позитивних світових тенденцій у галузі захисту персональних даних.

GDPR – це цілий комплекс критеріїв, який не обмежується юридичним аспектом. Інша сторона медалі – технічна реалізація.  Технічний аспект включає в себе  такі складові:

  • забезпечення належної інфраструктури
  • належне обладнання для захисту інформації
  • відповідна кваліфікація осіб, які взаємодіють з інформацією
  • високий рівень адаптації та протидії зовнішнім загрозам.

ІТ-компанії отримують велику кількість персональної інформації, яка може зберігатися у якості файлів на серверах, записах в електронних базах даних та інших формах. Розповсюдження персональної інформації користувачів та клієнтів може призвести не тільки до репутаційного скандалу (що вже неприємно), а також і до значних штрафів зі сторони контролюючих органів. Однак трапляється, що втрата інформації відбувається без втручання до цього самої компанії. Невже доведеться відповідати перед уповноваженим органом?! Насправді, GDPR не тільки визначає як поводитись з персональними даними – регламентом також встановлюється послідовність дій для мінімізації негативних наслідків витоку даних.

У розділі 2 GDPR цьому присвячені стаття 33 «Повідомлення наглядового органу щодо порушення безпеки персональних даних» (з англ. Notification of a personal data breach to the supervisory authority) та стаття 34 «Повідомлення суб’єкта щодо порушення безпеки персональних даних» (з англ. Communication of a personal data breach to the subject). Таким чином, це дає можливість пом’якшити відповідальність за витік інформації всупереч якісної інформаційної політики компанії.

Стаття 5 GDPR ч.1 п. F передбачає, що за допомогою технічних та організаційних заходів мають буди досягнуті такі цілі:

  • інформація має оброблятися безпечними шляхами
  • повинен бути захист від несанкціонованої або незаконної обробки
  • захист від втрати, видалення, пошкодження

Стаття 32 GDPR  надає критерії для безпечної обробки інформації:

  • Псевдоанонімізація – унеможливлення встановлення зв’язку інформації з конкретними особами без додаткових джерел.
  • Збереження у шифрованому вигляді – використання актуальних протоколів шифрування та шляхів передачі даних.
  • Недоступність для осіб, яким не надано відповідних прав – чіткий контроль за доступом до конфіденційної інформації, ведення журналів доступу та блокування несанкціонованих спроб отримати інформацію.
  • Цілісність – інформація має бути точною та зберігатись у повному розмірі, доступ відповідних осіб має бути легким та у повному обсязі.
  • Стабільність засобів обробки інформації – сервіси для обробки інформації мають працювати з мінімальною вірогідністю програмних збоїв або некоректної поведінки.
  • Стійкість до несправностей – значний робочий ресурс обладнання та можливість швидкого відновлення дієздатності систем (зазвичай рекомендується резервування носіїв інформації та дублювання важливих вузлів).
  • Регулярні ТО обладнання та тестування сервісів – поточні перевірки стану та ефективності систем обробки інформації.

У самому GDPR відсутні згадки конкретних технологій, протоколів та підходів до кібербезпеки. Кількість шкідливого ПЗ та виявлення нових вразливих точок постійно збільшується та еволюціонує. Саме тому головною метою документу  є визначення необхідного результату, а шляхи досягнення можливо отримати від провідних IT-гігантів. Такі компанії як Google, Cisco, Huawei та Microsoft розміщують на спеціалізованих ресурсах рекомендації та гайди для правильного підходу до вибору технологій та протоколів. Відштовхуватись необхідно від завдань, цінності інформації, об’єму, бажаної швидкості обробки та ін. Обрав технології , які будуть оптимальними у Вашому випадку, ви зможете почати вибір самого обладнання.

Нажаль, купити сучасне та дороге обладнання – це не завжди рішення усіх проблем. Технічний аспект охоплює не тільки “залізо”, а і певну роботу з людьми. Загальні Вимоги до інформаційної безпеки є єдиними для всіх типів даних, якщо стисло: “Інформація має бути тільки у тих осіб, на яких вона розрахована” .Звучить легко, однак чи легко цього досягти?

Умовно, у технічного аспекту впровадження GDPR можливо виділити 5 етапів:

Крок 1: Чим керуватися.

Всесвітня організація зі стандартизації (ISO) створила значний масив стандартів, які безпосередньо чи частково стосуються інформаційної безпеки. «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги.» або ISO/IEC 27001 – один з ключових стандартів кібербезпеки. Цей стандарт детально описує створення, впровадження, підтримання функціонування систем інформаційної безпеки на підприємстві. Також не забувайте безпосередньо про GDPR і рекомендації провідних ІТ компаній.

Крок 2: Визначення потреб.

Встановлення потреби Вашої компанії до інформаційної безпеки –  основа, на якій будується та розвивається весь комплекс зі збереження інформації. Специфіка Вашої інформації визначає вірогідність зовнішніх та внутрішніх  загроз. В першу чергу необхідно встановити зацікавлених осіб (користувачі додатку, конкуренти, керівництво, партнери…) та вимоги до безпеки, які з цього випливають. Наступний крок – розподілити права доступу до інформації та документально їх закріпити. Дистанційні ресурси, такі як  фрілансери чи аутсорс команди, здатні ефективно виконувати покладені завдання, однак є додатковим фактором ризику та потребує ретельного контролю.

Крок 3: Планування.

План впровадження або покращення системи інформаційної безпеки має бути  детальним, перспективним та реалістичним. Технічне обладнання відрізняється виробниками, технічними характеристиками та вартістю. Ваше завдання : обрати оптимальні для компанії рішення, визначити ризики та розробити алгоритми для їх попередження та подолання, встановити шляхи інформування Вашої команди та координації її дій. Не менш важливим є встановлення відповідальної за контроль над інформаційною безпекою особи.

Крок 4: Компетенція та комунікація.

Відповідальна особа повинна бути компетентною у питаннях інформаційної безпеки, проте не лише вона повинна мати розуміння в цій галузі. Проводити GDPR тренінги необхідно не тільки на моменті впровадження, а і протягом усього існування компанії.  Ваша команда має ознайомитись з політикою інформаційної безпеки та розуміти наслідки за порушення. Усі співробітники повинні мати уявлення стосовно можливих інцидентів втрати інформації, на які фактори звертати увагу під час перевірки обладнання, власних робочих станцій, та програмного забезпечення. Дотримання алгоритмів доступу до корпоративної інформації – ще одна необхідність.

Крок 5: Впровадження та оцінка результатів

Впровадження – складний та довгий процес, який необхідно зробити легким для адаптації та швидким для мінімізації негативного впливу на продуктивність. На практиці буває, навіть, складніше ніж на словах. Може залежати від об’єму робіт, кількості запланованих заходів, розташування офісів та, навіть, поганого настрою керівництва чи несприятливого на продаж мобільного додатку атмосферного тиску. Тому виконати поставлені завдання якісно та в необхідні строки можливо лише за умови дотримання плану та оперативного реагування на його зміни.  Етап не завершується встановленням нового обладнання та проведенням циклу тренінгів з інформаційної безпеки. Безпека – це не результат, а процес. Ефективність може бути оцінена тільки за умови реальної спроби викрасти або пошкодити інформацію. Чекати на напад хакера – погана ідея, саме тому існують відповідні послуги з етичного хакінгу, які допоможуть визначити сильні та слабкі сторони вашого захисту.

Що далі?

Компанія має постійно покращувати інформаційну безпеку та слідкувати за змінами і тенденціями у цій галузі. Планування модернізації, масштабування систем з поправкою на додаткове навантаження, впровадження нових положень та корегування існуючих політик компанії завжди є актуальним.  Інформаційна безпека – невід’ємна частина Вашої компанії, тому покращення захисту має відбуватися разом з іншими її складовими.

Первинна консультація по ІТ праву у твоєму кейсі. Не зволікай ;)Твоє запитання ІТ юристам


Отримуй сповіщення про нові статті :)