Технічний аудит GDPR в IT компанії.
Технічний аудит
Аудит – незалежна, комплексна або спрямована на окремі аспекти діяльності компанії перевірка, яка проводиться внутрішньою або сторонньою уповноваженою особою. Державні перевірки належного дотримання податкового законодавства вже довгий час асоціюються зі словом аудит. Однак фінансово-правова складова діяльності підприємства не єдиний аспект, який підпадає під зовнішній контроль. Безвідповідальне відношення до захисту персональних даних може також призводить до значних штрафів та санкцій з боку компетентних органів. GDPR compliance – шлях забезпечити належний захист інформації та уникнути порушень, а відповідно і небажаних наслідків.
GDPR compliance охоплює більшість базових аспектів діяльності компанії:
- Нормативна основа діяльності.
- Безпека корпоративної інформації.
- Підзвітність та відповідальність.
- Права клієнтів та обов’язки підприємства.
- Технічне та програмне забезпечення.
- Рівень навичок команди підприємства.
- Визначення відповідальних за інформаційну безпеку осіб.
- Політика інформаційної безпеки.
- Політика внутрішнього та зовнішнього документообігу.
Технічний GDPR аудит охоплює не всі складові підприємства. На відміну від комплексного аудиту GDPR, здійснюється перевірка структури та діяльності компанії, відповідність впроваджених заходів нормам GDPR, достатність технічних та програмних засобів для збереження інформації, практичні навички команди та відповідального за інформаційну безпеку на підприємстві, якість технічної документації та алгоритмів для команди. Здебільшого технічний аудит стосується практичного втілення юридичної складової діяльності компанії.
Особливість технічного аудиту в ІТ компаніях обумовлена більшим накопиченням важливої та конфіденційної інформації. ІТ компанії зазвичай не обмежуються діяльністю на території однієї країни. Таким чином органи з контролю за інформаційною безпекою різних держав наділені достатніми повноваженнями для накладання санкцій за порушення норм. GDPR не єдиний регламент, направлений на захист персональних даних, однак його належне дотримання значно спрощує адаптацію до сторонніх подібних актів.
Аудит GDPR проводиться з різною метою:
- Первинне встановлення відповідності GDPR.
- Поточна перевірка інформаційної безпеки.
- Виявлення внутрішніх та зовнішніх слабкостей захисту.
- Встановлення вірогідності нападу на інформаційні ресурси компанії та потенційні цілі.
- Виявлення порушень GDPR.
- Подальше посилення конфіденційності.
Проводиться як з ініціативи самої компанії (власними ресурсами компанії, сторонніми незалежними аудиторами), так і уповноваженими представниками органів, що здійснюють контроль. Під час перевірки приділяється додаткова увага типу даних, шляхам здобуття, передачі та обробки інформації, засобам та ефективності протидії загрозам, навичкам команди та відповідального за інформаційну безпеку на підприємстві, проводиться детальна оцінка слабкостей захисту, можливих джерел нападу та потенційні цілі зловмисників.
Принципи GDPR
Стаття 5 GDPR встановлює головні принципи обробки особистої інформації. Тільки за умови відповідності наведеному положенню можливо подальше впровадження регламенту. Таким чином це, також, і своєрідна «відправна точка» для початку проведення аудиту.
Основні положення взаємодії з конфіденційною інформацією:
- Законність – відповідати нормативним актам.
- Відповідати встановленій меті.
- Чемність – надання правдивих та повних відомостей обробником.
- Не використовувати дані поза призначенням.
- Прозорість – відкритість всіх операції з інформацією.
- Обсяг зібраної інформації обумовлено ціллю.
- Точність – достатня для належного досягнення цілей актуальність та правдивість інформації.
- Збереження інформації не довше, ніж потрібно.
- Обробка та зберігання у безпечний спосіб.
З впровадженням GDPR багато компаній зіштовхнулись з додатковими складнощами, пов’язаними з пристосуванням положень регламенту до вже налагодженого та ефективного механізму підприємства. Безсумнівно, на ранніх стадіях значно легше пристосувати корпоративні політики, навчити команду та пристосувати алгоритми ведення діяльності до положень GDPR. Це особливо актуально для ІТ компаній, які здатні реактивними темпами розповсюджувати свої сервіси та додатки, попри державні кордони. Подібний осяг робить компанії в ІТ одними з найбільш динамічних та швидких у розвитку. Тому інша сторона медалі – контролюючі органи та необхідність відповідати світовим стандартам. Державний контроль за інформаційною безпекою відрізняється від країни до країни, проте основа та принципи є універсальними, а сам GDPR знаходить своє відбиття у схожих регламентах за межами ЄС.
Збираючи особисту інформацію громадян іншої країни, компанія підпадає під юрисдикцію органів з інформаційної безпеки відповідної держави. Наприклад у 2019 році CNIL Франції оштрафувала Google на 50 млн євро через недостатнє інформування користувачів під час отримання дозволу на обробку та використання особистої інформації. Тому збереження конфіденційних даних важливо не тільки з моральної, а у перспективі та з фінансової точки зору. На жаль, молоді ІТ-стартапи часто зіштовхуються з недостатністю ресурсів для належного впровадження GDPR та продовжують свою діяльність нехтуючи або недостатньо відповідально відносячись до збереження даних. Не всі подібні компанії отримують штрафи, але певній частині не щастить з увагою зі сторони контролюючого органу або, що гірше, на конфіденційну інформацію клієнтів здійснюється вдале посягання. В до і без того нестабільного бізнесу додаються штрафи та санкції.
Безпека та конфіденційність в контексті технічного аудиту
Мета аудиту – переконатись у безпеці та здатності забезпечити конфіденційність особистим даним. Під час перевірки аудитор звертає увагу на чисельні аспекти пов’язані з рухом інформації на підприємстві, починаючи від моменту отримання інформації до повного її видалення. Перш ніж розпочати проводитися оцінка самої інформації. Зміст та цінність даних визначає необхідний рівень захисту, комплекс заходів та жорсткість політик для підтримання задовільних умов. Тому маленькому магазинчику зоотоварів не потрібно зводити стіни та рів навколо бази імен домашніх тварин чи відеозаписів у середині крамниці. ІТ компанії – інша справа. В залежності від специфіки сервісів та послуг ІТ компанії отримують різну кількість інформації, однак від того вона не менш важлива. Соціальні мережі є досить простим прикладом взаємодії з особистими даними. Тільки користувачі наділені правом редагувати, відкривати або обмежувати доступ до інформації на своїй сторінці, таким чином ІТ компанія буде нести відповідальність тільки за втрату інформації, доступ до якої обмежено. Вимоги ж до інформаційної безпеки формуються на основі всієї інформації, яку обробляє підприємство.
Подібні відносини компанії та клієнта передбачають наявність прав та обов’язків у сторін. Учасниками є особи, які надають власні відомості, з одного боку, та суб’єкти, які використовують дані у своїй діяльності, з іншого. Обробник зобов’язується зберегти інформацію у належному стані, не допускати небажаного поширення, використовувати тільки у попередньо визначений спосіб та після досягнення мети або за бажанням користувача повністю її видалити. Особа, яка надала інформацію наділена правом повного контролю над своєю інформацією. Компанії необхідно створити технічні та організаційні засоби для забезпечення прав своїх користувачів.
Послідовність технічного аудиту
В межах технічного аудиту здійснюється перевірка:
- Обладнання.
- Шифрування.
- Умови зберігання та обробки інформації.
- Програмні засобів захисту.
- Політики інформаційної безпеки підприємства.
- Ступінь досвідченості та обізнаності команди в галузі інформаційної безпеки.
- Алгоритми протидії зовнішнім та внутрішнім загрозам.
- Політики у сфері аутсорс ресурсів.
- Період та мету зберігання.
- Засоби виявлення нестачі або непередбаченої зміни конфіденційної інформації.
- Резервування даних.
Технічний аудит охоплює практичну складову взаємодії з особистою інформацією. Через відсутність чіткого регламенту та офіційних рекомендацій, перевірка відбувається на основі принципів визначених GDPR. Принцип достатності керуються для оцінки заходів захисту та відповідності характеру інформації. Оскільки кожний випадок окремий та потребує індивідуального розгляду аудитор повинен мати значний досвід у технічній сфері, особливо у будові корпоративних та глобальних мереж, слідкувати за сучасними тенденціями в галузі інформаційної безпеки та розуміти механізмі їх втілення, мати уявлення в галузі технічних та програмних засобів захисту. Після детального аналізу комп’ютерних систем та мереж підприємства наступає стадія перевірки людських ресурсів. Особлива увага приділяється політикам інформаційної безпеки та скріптам для команди. Нема сенсу перевіряти навички та знання команди, коли вони базуються на неефективній та хиткій основі. Останній крок стосується безпосередньо команди. Базова вимога до всіх членів команди, а особливо до осіб, які безпосередньо взаємодіють з конфіденційною інформацією, – це обізнаність у галузі інформаційній безпеці. Особову увагу приділяють правилам поводження з даними та попередженню зовнішніх та внутрішніх посягань на корпоративні дані. Більш великі компанії можуть собі дозволити окрему посаду відповідального за інформаційну безпеку. Головним обов’язок такої особи є поточний контроль за станом безпеки на підприємстві, попередження, аналіз та перевірка можливих посягань. Також у повноваженнях відповідального за інформаційну безпеку: створення комісії для проведення внутрішнього аудиту та поточна модернізація систем підприємства відповідно до сучасних стандартів.