Представляем IBM Security Guardium Analyzer

Эффективное выявление рисков, связанных с безопасностью и соблюдением регламента GDPR, с помощью облачных средств обнаружения данных, классификации и поиска уязвимостей.

Что такое Общеевропейский регламент о защите персональных данных (GDPR)?

Регламент GDPR, вступающий в силу 25 мая 2018 года, призван унифицировать требования к конфиденциальности данных внутри Европейского Сообщества (ЕС). Если вы продаете товары субъектам персональных данных ЕС, включая конечных пользователей, клиентов и сотрудников, или обрабатываете их информацию, то вам необходимо знать о том, как обеспечить соблюдение ключевых требований.

На каком этапе подготовки к GDPR вы находитесь?

Подготовка

Предлагаемая IBM® оценка готовности к GDPR позволяет определить, какие аспекты бизнеса затрагивает вступление в силу регламента GDPR и насколько существующие процессы соответствуют его требованиям. Познакомьтесь с процедурой оценки готовности к GDPR, проводимой компанией IBM, которая включает в себя анализ недостатков и план необходимых действий.

Активные действия

Решение IBM Security Guardium® Analyzer содержит принципиально новую функцию классификации с готовыми шаблонами данных, ориентированными на требования GDPR, а также средства сканирования уязвимостей. Применив ее к своим данным, вы сможете предоставить информацию о рисках и приоритетах специалистам по аудиту и соблюдению нормативных требований.

Воплощение программы на практике

Платформа Resilient Incident Response Platform позволяет обеспечить соблюдение требований GDPR, упростить реагирование на инциденты и повысить оперативность уведомления об утечке данных. Платформа включает в себя ряд компонентов, специально предназначенных для GDPR, в том числе руководство по подготовке к GDPR, режим имитации GDPR и усовершенствованный модуль обеспечения конфиденциальности, созданный с расчетом на GDPR.

IBM Security GDPR Framework

Пять этапов подготовки

IBM Security GDPR Framework обеспечивает комплексный подход (от оценки до обеспечения соответствия), помогающий организациям подготовиться к выполнению требований GDPR.

Требования к конфиденциальности

Оцените свою картину соблюдения конфиденциальности данных на текущий момент по всем положениям GDPR. Определите, где конкретно находится защищаемая информация в среде вашего предприятия.

Подготовка:

  • Проведите оценки по GDPR, оцените и задокументируйте политики, связанные с соблюдением GDPR
  • Оцените права субъектов персональных данных на согласие, доступ, исправление, удаление и передачу персональных данных

Задачи:

  • Поиск и классификация информационных активов, содержащих персональные данные, и затрагиваемых систем
  • Выявление рисков, связанных с доступом, и обеспечение встроенной конфиденциальности

Решения

Требования к безопасности

Оцените текущее состояние ваших мер по обеспечению безопасности, определите слабые места и разработайте средства управления безопасностью. Для правильного подбора этих средств найдите и систематизируйте уязвимости, а также все информационные активы, содержащие персональные данные, и затронутые системы.

Подготовка:

  • Оцените текущее состояние безопасности, определите слабые месте, протестируйте зрелость системы безопасности и разработайте план обеспечения соответствия требованиям
  • Выявите уязвимости, настройте встроенную поддержку безопасности

Задачи:

  • Поиск и классификация информационных активов, содержащих персональные данные, и затрагиваемых систем с целью разработки средств управления безопасностью

 

Решения

Требования к конфиденциальности

Разработайте план подготовки к GDPR и обеспечения соблюдения его требований. Используйте результаты, полученные на этапе оценки, для планирования дальнейших действий и сокращения рисков для организации.

Порядок действий:

  • Создание плана устранения нарушений и внедрения GDPR

Встроенная конфиденциальность:

  • Разработка политик, бизнес-процессов и вспомогательных технологий
  • Создание эталонной архитектуры GDPR
  • Оценка соблюдения нормативов контролерами или операторами

 

Решения

Требования к безопасности

По результатам выявления рисков для информационных активов с персональными данными разработайте приоритетный план по устранению нарушений и внедрению регламента. Включите в него эталонную архитектуру безопасности и организационно-технические мероприятия (ТОМ) по защите данных, начиная с настройки встроенной безопасности и безопасности по умолчанию.

Порядок действий:

  • Создание плана устранения нарушений безопасности и плана внедрения регламента

Встроенная безопасность:

  • Создание эталонной архитектуры безопасности
  • Разработка ТОМ в соответствии с обнаруженными рисками (шифрование, псевдонимизация, контроль доступа, мониторинг)

 

Решения

Требования к конфиденциальности

Включите в стратегию GDPR средства контроля (в числе которых политики, программы и технологии). Внесите изменения в работу предприятия для подготовки к GDPR.

Преобразование процессов:

  • Внедрение и исполнение политик, процессов и технологий
  • Автоматизация запросов на доступ для субъектов персональных данных

 

Решения

Требования к безопасности

Внедрите средства контроля для более строгой конфиденциальности: шифрование, токенизация и динамическое маскирование. Внедрите обязательные средства контроля безопасности: контроль доступа, отслеживание операций и выдача предупреждений. Устраните обнаруженные риски, связанные с доступом, и уязвимости в системе безопасности.

Защита:

  • Внедрение средств для более строгого соблюдения конфиденциальности (таких как шифрование, токенизация и динамическое маскирование)
  • Внедрение средств контроля безопасности, устранение рисков, связанных с доступом, и уязвимостей для безопасности

 

Решения

Требования к конфиденциальности

Управляйте методиками контроля GDPR с помощью специализированных показателей для GDPR. Изучайте способы устранения рисков на предприятии. Начните создавать отчеты для различных уровней и для руководства.

Управление программой GDPR:

  • Управление методиками контроля данных в соответствии с GDPR, например управление жизненным циклом информации
  • Управление корпоративными программами соблюдения требований GDPR, например в части использования данных, операций по получению разрешений, запросов от субъектов персональных данных

Организация служб:

  • Отслеживание доступа к персональным данным
  • Управление ролями и идентификационными данными
  • Разработка показателей соблюдения требований GDPR и составление схем отчетности

 

Решения

Требования к безопасности

Реализуйте программу обеспечения безопасности на ресурсах предприятия и в облаке, в которую входят: оценка рисков и их устранение, выявление инцидентов, их эскалация, обработка, расследование и устранение, распределение ролей и обязанностей персонала. Измеряйте эффективность программы, документируйте результаты и сообщайте их причастным лицам. Отслеживание аналитики и операций по обеспечению безопасности: мониторинг, обнаружение угроз, реагирование на угрозы и устранение.

Управление программой обеспечения безопасности:

  • Управление работами по программе обеспечения безопасности: оценка риска, распределение ролей и обязанностей, анализ эффективности программы

Организация служб:

  • Отслеживание аналитики и операций по обеспечению безопасности: мониторинг, обнаружение угроз, реагирование на угрозы и их устранение
  • Управление реакцией на инциденты, связанные с защитой данных, и их расследованием

 

Решения

Требования к конфиденциальности

Расширяйте и уточняйте процедуры обеспечения соответствия GDPR, определяя области повышенного внимания и прорабатывая их. Эффективно управляйте отношениями между контролерами и операторами и следите за применением соответствующих организационно-технических мер.

Демонстрация:

  • Ведите контрольный журнал доступа к персональным данным, в котором должны быть указаны права на доступ к данным, их изменение, удаление и передачу
  • Руководите операторами данных и контролерами: предоставляйте операторам инструкции, отслеживайте операции обработки данных, ведите контрольный журнал с целью подготовки к запросам субъектов персональных данных на доступ к ним
  • Опишите программу обеспечения соответствия и управляйте ее применением: постоянный мониторинг, оценка, анализ и отчетность о мерах по обеспечению соблюдения GDPR

Реагирование:

  • Реакция на утечки и их устранение

 

Решения

Требования к безопасности

Демонстрация реализуемых технических и организационных мер по контролю безопасности, способных справиться с рисками. Сюда входит разработка контрольных отчетов и документирование показателей, измеряющих прогресс. Документация программы обеспечения безопасности, включая политики постоянного мониторинга, оценки, анализа и выдачи отчетов о средствах и действиях для управления безопасностью. Реакция на инциденты и утечки и их устранение, отчеты для регулирующих органов в течение 72 часов.

Демонстрация:

  • Демонстрация технических и организационных мер безопасности, способных справиться с рисками
  • Документирование программы обеспечения безопасности: постоянный мониторинг, оценка, анализ и выдача отчетов о средствах и действиях для управления безопасностью

Реагирование:

  • Реакция на утечки и их устранение

 

Решения

Что GDPR означает для вас?

Если ваша организация собирает или обрабатывает информацию о гражданах ЕС, то на нее будет распространяться действие GDPR независимо от того, располагается ли она на территории ЕС. Это значит, что вам уже сейчас придется разбираться с требованиями закона GDPR о защите персональных данных и начинать их выполнять.

Готовность к GDPR — это не только обеспечение конфиденциальности и безопасности

Узнайте, как IBM может помочь обеспечить соответствие.

Мнения специалистов по конфиденциальности

Ознакомьтесь с мнениями ведущих специалистов IBM по обеспечению конфиденциальности о GDPR.

Используйте преобразующую силу GDPR

Узнайте, как перейти от подготовки к преобразованию.

Свяжитесь с нашими специалистами по GDPR

Синди E. Комперт, CIPT/M

Технический директор, безопасность и конфиденциальность данных, IBM Security

Сэм Самарах

Ведущий партнер по рискам, нормативным требованиям и стратегиям обеспечения безопасности в Северной Америке, IBM Security Services

Джейн Голдинг, CIPP/US

Глава европейского подразделения обеспечения конфиденциальности, IBM Security

Клиенты несут полную ответственность за соблюдение различных законодательных и нормативных требований, в том числе Общеевропейского регламента о защите персональных данных (GDPR) ЕС. Клиенты несут единоличную ответственность за получение консультации у компетентного юриста относительно определений и трактовки соответствующих законов и нормативных актов, от которых может зависеть деятельность клиента, и действия, которые клиенту необходимо предпринять для соблюдения законов и нормативных актов.  Описанные здесь продукты, услуги и иные возможности применимы не во всех случаях и могут быть доступны только ограниченному кругу лиц. Компания IBM не дает консультаций по юридическим, бухгалтерским и аудиторским вопросам, а также не заявляет и не гарантирует, что ее продукты или услуги обеспечат соблюдение каких-либо законодательных или нормативных требований в компании клиента. Узнать о готовности компании IBM к GDPR, а также о наших возможностях и предложениях по оказанию помощи другим организациям в подготовке к GDPR, можно здесь.