Регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) стал одним из самых строгих законов, касающихся защиты персональных данных. Регулирующие органы получат право накладывать крупные штрафы за серьезное нарушение акта – вплоть до 20 млн евро. В связи с экстерриториальностью, акт GDPR создает риск крупных штрафов и для российских компаний. Под регулирование GDPR попадают любые интернет-компании. Сырьевые, крупные промышленные и финансовые компании должны соблюдать GDPR, поскольку имеют филиалы в странах ЕС. Отдельной строкой проходят транспортные компании: РЖД, «Аэрофлот», S7 Airlines и другие, реализующие онлайн-продажи билетов. Такие компании хранят и обрабатывают данные граждан ЕС. Кроме того, регламентированная GDPR обязанность раскрывать информацию о нарушении конфиденциальности может нанести репутации компании не меньший ущерб, чем штрафы.
Какие меры следует предпринять бизнесу
Для выполнения требований GDPR организации должны внедрить эффективные и строгие практики управления данными и политики безопасности. Первый шаг в этом направлении – понять, где и как компания собирает, использует и хранит персональные данные, какие системы используют эти данные и кто имеет к ним доступ.
Казалось бы, с точки зрения выполнения требований GDPR легче управлять структурированными данными приложений, но быстрое увеличение числа приложений на крупных предприятиях усложняет управление этими данными. Также крупные предприятия должны обеспечить соблюдение требований GDPR и для неструктурированных данных, хранящихся на серверах, в системах электронной почты и на клиентских устройствах. Это крайне сложная задача, поскольку почти 80% используемых в бизнесе данных приходится на неструктурированные.
Многие организации выбрали стратегию консолидации на одной унифицированной платформе управления данными. Она дает четкую картину всех приложений и неструктурированных данных компании, помогает обеспечить соответствие ключевым принципам GDPR, продемонстрировать соблюдение требований законодательства регулирующим органам.
Если платформа выполняет все процессы управления данными, то ИТ-отдел может создать контентный индекс всех данных компании. Такой индекс создаст прочный фундамент для политик управления информацией и предоставит общую картину данных и контроль над ними.
Интегрированный подход дает полное представление в масштабе организации о том, где находятся персональные данные, поэтому становится возможным оптимизировать контроль над доступом к данным, консолидировать усилия по обеспечению информационной безопасности и выделить среди них приоритетные. В то же время организация сможет предоставить информацию по соблюдению законодательства. Автоматизируется применение политик сохранения информации для всего ландшафта данных, а значит, резко сокращаются риски, связанные с клиентскими устройствами.
Анализ данных гарантирует, что конфиденциальные данные получат необходимый уровень защиты, а если произойдет нарушение конфиденциальности, то удастся быстрее оценить последствия инцидента. Если данные будут испорчены, необходимо их быстро восстановить внутри ИТ-инфраструктуры организации или в облаке и оперативно оповестить о нарушении конфиденциальности.
Использование существующих ИТ-процессов для консолидации данных
В каждой организации уже присутствуют ИТ-процессы, которые работают со всеми или почти со всеми данными, – это процессы создания резервных копий и архивов. Они могут быть разрозненными или централизованными, использовать различные технологические решения, но они есть в том или ином виде. Необходимо добиться их унификации, использовать единые современные инструменты для их реализации. И создаваемый единый репозиторий архивов и резервных копий будет выполнять задачи контроля, анализа и управления данными предприятия.
До вступления в силу GDPR осталось меньше года. Главное препятствие на пути обеспечения требований GDPR – медленное внедрение новых бизнес-процессов и технологий в компаниях. Хотя еще есть время для исправления ситуации, проблема осложняется тем, что сейчас компании пытаются успеть выполнить требования директивы, часть из которых нечетко сформулирована и нуждается в серьезной технологической экспертизе.
– Андрей Вышлов, глава представительства Commvault в России и СНГ