Регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) стал одним из самых строгих законов, касающихся защиты персональных данных. Директива вступит в силу 25 мая 2018 года и кардинально изменит способы сбора и использования персональных данных, поэтому европейские (и не только) компании должны полностью пересмотреть свои механизмы обработки клиентской информации. Старый подход «лучше заплатить штраф, чем выполнять требования закона» здесь не работает, поскольку регулирующие органы получат право накладывать крупные штрафы за серьезное нарушение акта — вплоть до 20 млн евро (примерно 1,5 млрд руб.) или 4% годового дохода компании.
Основные положения GDPR включают право на забвение, непрерывную защиту персональных данных, гарантии конфиденциальности, целостности и доступности данных, оповещения о несанкционированном доступе к данным в течение 72 часов, принцип минимизации данных, передачи и переноса данных. При этом понятие «персональные данные» определено широко и включает в себя все данные, относящиеся как к установленной личности, так и к тем пользователям, чью личность можно установить.
Как повлияет GDPR на российский бизнес
В связи с экстерриториальностью, акт GDPR создает риск крупных штрафов и для российских компаний. Даже если граждане ЕС не являются клиентами или партнерами бизнеса, автоматический сбор данных (например, cookies) уже считается мониторингом персональной активности. По сути, под регулирование GDPR попадают любые интернет-компании. Сырьевые, крупные промышленные и финансовые компании должны соблюдать GDPR, поскольку имеют филиалы в странах ЕС. Отдельной строкой проходят транспортные компании: РЖД, «Аэрофлот», S7 Airlines и другие, реализующие онлайн-продажи билетов. Такие компании хранят и обрабатывают данные граждан ЕС. Кроме того, регламентированная GDPR обязанность раскрывать информацию о нарушении конфиденциальности может нанести репутации компании не меньший ущерб, чем штрафы.
Какие меры следует предпринять бизнесу
Для выполнения требований GDPR организации должны внедрить самые эффективные и строгие практики управления данными и политики безопасности. Важный первый шаг в этом направлении – понять, где и как компания собирает, использует и хранит персональные данные (на серверах организации или в облаке), какие системы используют эти данные и кто имеет к ним доступ. Некоторые CIO считают, что приложениями управлять относительно несложно, а основную проблему представляют неструктурированные данные, которые легко распространяются по внутренним системам и рабочим ноутбукам и поэтому часто «утекают» в чужие облака и клиентские устройства.
Казалось бы, с точки зрения выполнения требований GDPR легче управлять структурированными данными приложений, однако быстрое увеличение числа приложений на крупных предприятиях резко усложняет управление этими данными. К тому же крупные предприятия должны обеспечить соблюдение требований GDPR и для неструктурированных данных, хранящихся на серверах, в системах электронной почты и на клиентских устройствах. Это крайне сложная задача, поскольку почти 80% всех используемых в бизнесе данных приходится на неструктурированные. Возможно ли обеспечить соответствие требованиям GDPR в типичной современной компании, где для управления данными применяются различные, никак не интегрированные между собой продукты? Это трудная задача, но вполне осуществимая.
Единая платформа управления данными – эффективное решение проблемы
Многие организации выбрали стратегию консолидации на одной унифицированной платформе управления данными. Такая платформа дает четкую картину всех приложений и неструктурированных данных компании, помогает обеспечить соответствие ключевым принципам GDPR, а при необходимости – продемонстрировать соблюдение требований законодательства регулирующим органам.
Если платформа выполняет все процессы управления данными, то ИТ-отдел может создать контентный индекс всех данных компании, тогда как при использовании нескольких отдельных продуктов это зачастую сделать невозможно. Такой индекс создаст прочный фундамент для политик управления информацией и предоставит CIO общую картину данных и контроль над ними, которые нужны для выполнения самых строгих требований по защите персональных данных.
Интегрированный подход дает полное представление в масштабе организации о том, где находятся персональные данные, поэтому становится возможным оптимизировать контроль над доступом к данным, консолидировать усилия по обеспечению информационной безопасности и выделить среди них приоритетные. В то же время организация сможет предоставить информацию по соблюдению законодательства. Кроме того, автоматизируется применение политик сохранения информации для всего ландшафта данных, а значит, резко сокращаются риски, связанные с клиентскими устройствами.
Анализ данных гарантирует, что конфиденциальные данные получат необходимый уровень защиты, а если произойдет нарушение конфиденциальности, то удастся намного быстрее оценить последствия этого инцидента. Если данные будут испорчены, необходимо их быстрое восстановление внутри ИТ-инфраструктуры организации или в облаке, а также оперативное оповещение о нарушении конфиденциальности.
Использование существующих ИТ-процессов для консолидации данных
Может показаться, что для консолидации всех данных организации на одной унифицированной платформе потребуется большое количество изменений в существующем ИТ-ландшафте, создание новых процессов и подсистем и дополнительные инвестиции. Но это не совсем так. Дело в том, что в каждой организации уже присутствуют ИТ-процессы, которые работают со всеми или почти со всеми данными, – это процессы создания резервных копий и архивов. Они могут быть разрозненными или централизованными, использовать различные технологические решения, но они есть в том или ином виде. Для решения задач, описанных выше, достаточно посмотреть на эти процессы шире, добиться их унификации, использовать единые современные инструменты для их реализации. И создаваемый единый репозиторий архивов и резервных копий вполне будет выполнять задачи контроля, анализа и управления данными предприятия.
До вступления в силу GDPR осталось меньше года, и организациям необходимо за оставшееся время обеспечить соответствие требованиям этого закона. Главное препятствие на пути обеспечения требований GDPR – медленное внедрение новых бизнес-процессов и технологий в компаниях. Хотя еще есть время для исправления ситуации, проблема осложняется тем, что сейчас компании пытаются успеть выполнить требования директивы, часть из которых нечетко сформулирована и нуждается в серьезной технологической экспертизе.
До первого прецедентного случая трудно прогнозировать применение GDPR по отношению к российским компаниям. Ясно одно: защита и менеджмент данных в этом году снова станут ключевым вопросом для ИТ-директоров крупнейших российских компаний.
– Андрей Вышлов, глава представительства Commvault в России
