Общее положение о защите данных (GDPR или — в номенклатуре ЕС — Общее положение о защите данных) — одна из самых актуальных тем последних месяцев. GDPR распространяется на все компании, которые собирают и обрабатывают данные физических лиц. На практике положения нового регламента будут распространяться практически на каждого оператора рынка, от банков, операторов связи, через производственные компании и интернет-магазины, даже до самозанятых лиц. Везде, где появляются личные данные, необходимо предоставлять им адекватную правовую защиту в соответствии с руководящими принципами GDPR.
Содержание
RODO. Хранение данных GDPR. Обращение документов GDPR. Резервное копирование и архивирование данных GDPR. Защита от утечки данных ВВП . Сетевая безопасность
Регламент ГДП вступает в силу с 25 мая 2018 года. Личная информация — это вся информация о конкретном человеке, которая его идентифицирует. Вы даже можете использовать адрес электронной почты для этого определения, если он состоит из имени владельца. Персональные данные — это, безусловно, данные о сотрудниках в системе управления персоналом и расчета заработной платы, данные о кандидатах на работу, содержащиеся в резюме, а также данные о подрядчиках и заказчиках, если они являются физическими лицами.
Как регулирование GDPR повлияет на документооборот в компаниях
Петр Бака, Региональный менеджер, Brother Polska
Для малых и средних предприятий защита собственных или управляемых данных становится все более важной проблемой. Это, конечно, связано с изменениями, которые коренным образом изменят подход организации к защите данных, то есть Регламент GDPR. Однако стоит помнить, что готовые решения, обеспечивающие защиту от случайной утечки информации или ее получения людьми, не имеющими к ней доступа, существуют уже давно. Принтеры и сканеры для бизнес-сектора все больше подходят для удовлетворения разнообразных потребностей пользователей и предлагают все больше и больше функций. Это в значительной степени вопрос реализации решения, которое повышает уровень защиты документов.
Некоторые учреждения в течение некоторого времени применяют ограничения на доступность функций устройства, таким образом контролируя документооборот. Ответственный за безопасность данных, например администратор, может решить, кто использует какие функции на определенном устройстве, назначив соответствующие разрешения. Доступ к документам в цифровой версии также затруднен. Устройства Brother не имеют сетевых дисков, и некоторые функции, такие как сканирование на USB-накопители или USB-накопители, могут быть отключены.
Нет ни одного готового решения, которое можно было бы реализовать сразу. В любой среде метод безопасности должен быть адаптирован к существующим потребностям и угрозам в этом отношении. Чтобы обеспечить эффективность используемого решения, необходимо защитить три ключевых элемента. Речь идет о защите устройства, процессе печати, сканировании и адекватной сетевой безопасности. Устройства печати и сканирования Brother предлагают ряд встроенных функций безопасности, например SSL (Secure Socket Layer), которые используются в электронной коммерции для защиты данных платежных карт. Кроме того, документы могут быть защищены путем аутентификации операций с помощью четырехзначного кода или бесконтактных карт или путем предоставления дифференцированного доступа к функциям устройства отдельным пользователям. Это решение идеально подходит для HR, финансов, здравоохранения, розничной торговли, юридического и образовательного секторов. Он также может использоваться в любой другой области, где конфиденциальность данных имеет решающее значение.
GDPR предусматривает драконовские штрафы для компаний, которые нарушают положения Регламента. Новые правила, однако, не указывают конкретные технические решения и, тем более, продукты отдельных производителей, реализация которых будет являться условием выполнения этих рекомендаций. Компании должны обеспечить требуемый уровень безопасности персональных данных, понимаемый как гарантия того, что доступ к этим данным, а также к оборудованию, с которого они могут быть доступны, будет доступен только уполномоченным лицам. В результате все решения разрабатываются индивидуально, в соответствии с отраслью, спецификой и масштабами деятельности компании, а также способом хранения и обработки персональных данных в организации. На какие ИТ-технологии и инструменты стоит обратить внимание, чтобы адаптировать ваши организации к рекомендациям, изложенным в грядущем регламенте о защите личных данных? Вот наш (очень выборочный) обзор предлагаемых решений.
RODO. Хранение данных
Наиболее важным критерием для оценки готовности GDPR , по-видимому, является анализ мер безопасности, используемых в области хранения и обработки персональных данных. Также необходимо определить и применить политики доступа к этим данным. Основой безопасности является шифрование баз данных, документов, электронной почты и других файлов, содержащих личные данные. Эта политика может быть реализована на многих уровнях — путем шифрования баз данных, целых томов на NAS или дискового массива на диски портативных компьютеров сотрудников. Функция шифрования данных с помощью надежного алгоритма AES-256 в NAS гарантирует конфиденциальность данных в случае кражи жестких дисков или всего устройства.
Компьютеры сотрудников могут быть зашифрованы с помощью программ с использованием функций Windows, BitLocker или таких приложений, как TrueCrypt или DESlock +. Последний позволяет шифровать целые диски, съемные носители, выбранные файлы и каталоги, а также электронные письма и вложения к ним в Microsoft Outlook. Консоль администратора DESlock + обеспечивает централизованное управление компьютерами сотрудников, включая политики безопасности и ключи шифрования.
Политики GDPR на файловых серверах должны быть реализованы на многих уровнях — от шифрования томов до предоставления разрешений на доступ к файлам. На снимке экрана показано 16-дисковое сетевое хранилище QNAP TS-1685 с мощным процессором Xeon D.
С другой стороны, следует предположить, что на рабочих станциях и ноутбуках сотрудников не должно храниться конфиденциальных данных. Место хранения и обработки персональных данных должно быть хорошо защищено серверами. Для этого обычные компьютеры должны быть заменены виртуальными рабочими столами (VDI). Технология VDI предоставляет пользователю доступ к виртуальной машине, размещенной на хосте виртуализации, которая обеспечивает полноценную рабочую среду — доступ к электронной почте, офисным приложениям, ERP и другим бизнес-системам, в которых могут обрабатываться личные данные. В контексте GDPR, преимущество этого подхода, среди прочего нет данных на персональном (локальном) устройстве пользователя и упрощается построение политик доступа к системе. Все данные сотрудника хранятся на серверах, которые легко подвергаются процессам управления, резервного копирования и архивирования, а сотрудник может войти в свою учетную запись с любого терминала.
Надлежащая защита данных требует определения и применения политик доступа. В базовом сценарии это означает, что вы назначаете разрешения для общих папок для пользователя или группы пользователей. Windows Server предоставляет сложные механизмы контроля доступа на уровне безопасности файловой системы и общего доступа к сетевым папкам. Политики аудита позволяют отслеживать создание и изменение объектов в защищенной папке для выявления потенциальных нарушений доступа. Подобные механизмы контроля доступа к данным также используются на серверах NAS.
Компании (не) готовые к ВВПР
Опрос, проведенный Kantar Public для Генерального инспектора по защите персональных данных менее чем за полгода до начала применения GDPR, показывает, что только 38% предприятий предприняли приготовления, чтобы адаптировать свою деятельность в области обработки персональных данных к рекомендациям, содержащимся в этих правилах, и еще 13% Компании заявляют, что позаботятся об этом в первом квартале 2018 года. Другие откладывают этот важный вопрос на потом.
Среди предпринятых действий преобладают обучение и аудиты (12%), работа, связанная с внедрением новых процедур (8%) и созданием и изменениями в документации (4%). Изменения в ИТ-системах и покупке нового программного обеспечения были отмечены только 3% респондентов.
Также важно регистрировать активность сотрудников при доступе к сети, приложениям и данным. Некоторые серверы NAS хранят журналы событий, содержащие информацию о пользовательских логинах и соединениях HTTP, FTP, Telnet, SSH, AFP, NFS, SMB и iSCSI.
Администратор также должен обратить внимание на другие механизмы хранения, которые должны улучшить доступность данных, но могут помешать применяемой политике защиты личных данных. Речь идет о функции «Предыдущие версии Windows», в которой хранятся предыдущие версии файлов из истории или точек восстановления, и офлайновом механизме буферизации файлов из общего сетевого ресурса на локальном компьютере пользователя.
- 1
- 2
- 3
- strona Следующая страница
