Представляем IBM Security Guardium Analyzer

Эффективное выявление рисков, связанных с безопасностью и соблюдением регламента GDPR, с помощью облачных средств обнаружения данных, классификации и поиска уязвимостей.

Что такое Общеевропейский регламент о защите персональных данных (GDPR)?

GDPR предназначен для унификации требований к конфиденциальности данных внутри Европейского союза (ЕС). Если вы продаете товары субъектам персональных данных ЕС, включая конечных пользователей, клиентов и сотрудников, или обрабатываете их информацию, то вам необходимо обеспечить соблюдение ключевых требований для дальнейшего ведения коммерческой деятельности. Узнайте, как обеспечить соблюдение основных требований с помощью решений IBM® Security.

На каком этапе подготовки к GDPR вы находитесь?

Подготовка

IBM Security Guardium® Analyzer обеспечивает эффективное выявление рисков, связанных с персональными данными, в соответствии с GDPR. Это решение применяет методы классификации данных нового поколения, а также средства поиска уязвимостей для выявления рисков, связанных с такими данными в облачных и локальных базах данных.

Промежуточный этап

Услуги IBM Data Privacy Consulting Services предназначены для разработки плана дальнейших действий, который поможет организации уменьшить риски при работе с конфиденциальной информацией. Оценка готовности к GDPR, проводимая компанией IBM, представляет собой пошаговую процедуру, включающую оценку текущего состояния, анализ разрывов и разработку плана необходимых действий.

Воплощение программы на практике

Платформа Resilient®Incident Response Platform позволяет обеспечить соблюдение требований GDPR, упростить реагирование на инциденты и повысить оперативность уведомления об утечке данных. Платформа включает в себя ряд компонентов, специально предназначенных для GDPR, в том числе руководство по подготовке к GDPR, режим имитации GDPR и усовершенствованный модуль обеспечения конфиденциальности, созданный с расчетом на GDPR.

IBM Security GDPR Framework

Пять этапов подготовки

IBM Security GDPR Framework обеспечивает комплексный подход (от оценки до обеспечения соответствия), помогающий организациям подготовиться к выполнению требований GDPR.

Требования к конфиденциальности

Оцените ситуацию с соблюдением конфиденциальности данных на текущий момент по всем положениям GDPR. Определите, где конкретно находится защищаемая информация в среде вашего предприятия.

Подготовка:

  • Проведите оценки по GDPR, оцените и задокументируйте политики, связанные с соблюдением GDPR
  • Оцените права субъектов персональных данных на согласие, доступ, исправление, удаление и передачу персональных данных

Задачи:

  • Поиск и классификация информационных активов, содержащих персональные данные, и затрагиваемых систем
  • Выявление рисков, связанных с доступом, и обеспечение встроенной конфиденциальности

 

Решения

Требования к безопасности

Оцените текущее состояние ваших мер по обеспечению безопасности, определите слабые места и разработайте средства управления безопасностью. Для правильного подбора этих средств найдите и систематизируйте уязвимости, а также все информационные активы, содержащие персональные данные, и затронутые системы.

Подготовка:

  • Оцените текущее состояние безопасности, определите слабые месте, протестируйте зрелость системы безопасности и разработайте план обеспечения соответствия требованиям
  • Выявите уязвимости, настройте встроенную поддержку безопасности

Задачи:

  • Поиск и классификация информационных активов, содержащих персональные данные, и затрагиваемых систем с целью разработки средств управления безопасностью

 

Решения

Требования к конфиденциальности

Разработайте план подготовки к GDPR и обеспечения соблюдения его требований. Используйте результаты, полученные на этапе оценки, для планирования дальнейших действий и сокращения рисков для организации.

Порядок действий:

  • Создание плана устранения нарушений и внедрения GDPR

Встроенная конфиденциальность:

  • Разработка политик, бизнес-процессов и вспомогательных технологий
  • Создание эталонной архитектуры GDPR
  • Оценка соблюдения нормативов контролерами или операторами

 

Решения

Требования к безопасности

По результатам выявления рисков для информационных активов с персональными данными разработайте приоритетный план по устранению нарушений и внедрению регламента. Включите в него эталонную архитектуру безопасности и технические/организационные мероприятия (ТОМ) по защите данных, начиная с настройки встроенной безопасности и безопасности по умолчанию.

Порядок действий:

  • Создание плана устранения нарушений безопасности и плана внедрения регламента

Встроенная безопасность:

  • Создание эталонной архитектуры безопасности
  • Разработка ТОМ в соответствии с обнаруженными рисками (шифрование, псевдонимизация, контроль доступа, мониторинг)

 

Решения

Требования к конфиденциальности

Включите в стратегию GDPR средства контроля (в числе которых политики, программы и технологии). Внесите изменения в работу предприятия для подготовки к GDPR.

Преобразование процессов:

  • Внедрение и исполнение политик, процессов и технологий
  • Автоматизация запросов на доступ для субъектов персональных данных

 

Решения

Требования к безопасности

Внедрите средства контроля для более строгой конфиденциальности: шифрование, токенизация и динамическое маскирование. Внедрите обязательные средства контроля безопасности: контроль доступа, отслеживание операций и выдача предупреждений. Устраните обнаруженные риски, связанные с доступом, и уязвимости в системе безопасности.

Защита:

  • Внедрение средств контроля для более строгой конфиденциальности (например, шифрование, токенизация и динамическое маскирование)
  • Внедрение средств контроля безопасности, устранение рисков, связанных с доступом, и уязвимостей для безопасности

 

Решения

Требования к конфиденциальности

Управляйте методиками контроля GDPR с помощью специализированных показателей для GDPR. Изучите способы устранения рисков на предприятии.  

Управление программой GDPR:

  • Управление методиками контроля данных в соответствии с GDPR, например управление жизненным циклом информации
  • Управление корпоративными программами соблюдения требований GDPR, например в части использования данных, операций по получению разрешений, запросов от субъектов персональных данных

Организация служб:

  • Отслеживание доступа к персональным данным
  • Управление ролями и идентификационными данными
  • Разработка показателей соблюдения требований GDPR и составление схем отчетности

 

Решения

Требования к безопасности

Реализуйте программу обеспечения безопасности на ресурсах предприятия и в облаке, в которую входят: оценка рисков и их устранение, выявление инцидентов, их эскалация, обработка, расследование и устранение, распределение ролей и обязанностей персонала. Измеряйте эффективность программы, документируйте результаты и сообщайте их причастным лицам. Отслеживание аналитики и операций по обеспечению безопасности: мониторинг, обнаружение угроз, реагирование на угрозы и устранение.

Управление программой обеспечения безопасности:

  • Управление работами по программе обеспечения безопасности: оценка риска, распределение ролей и обязанностей, анализ эффективности программы

Организация служб:

  • Отслеживание аналитики и операций по обеспечению безопасности: мониторинг, обнаружение угроз, реагирование на угрозы и их устранение
  • Управление реакцией на инциденты, связанные с защитой данных, и их расследованием

 

Решения

Требования к конфиденциальности

Расширяйте и уточняйте процедуры обеспечения соответствия GDPR, определяя области повышенного внимания и прорабатывая их. Эффективно управляйте отношениями между контролерами и операторами и старайтесь проследить за выполнением соответствующих технических и организационных мероприятий.

Демонстрация:

  • Ведите контрольный журнал доступа к персональным данным, в котором должны быть указаны права на доступ к данным, их изменение, удаление и передачу
  • Руководите операторами данных и контролерами: предоставляйте операторам инструкции, отслеживайте операции обработки данных, ведите контрольный журнал с целью подготовки к запросам субъектов персональных данных на доступ к ним
  • Опишите программу обеспечения соответствия и управляйте ее применением: постоянный мониторинг, оценка, анализ и отчетность о мерах по обеспечению соблюдения GDPR

Реагирование:

  • Реакция на утечки и их устранение

 

Решения

Требования к безопасности

Демонстрация реализуемых технических и организационных мер по контролю безопасности, способных справиться с рисками. Сюда входит разработка контрольных отчетов и документирование показателей, измеряющих прогресс. Документация программы обеспечения безопасности, включая политики постоянного мониторинга, оценки, анализа и выдачи отчетов о средствах и действиях для управления безопасностью. Реакция на инциденты и утечки и их устранение, отчеты для регулирующих органов в течение 72 часов.

Демонстрация:

  • Демонстрация технических и организационных мер безопасности, способных справиться с рисками
  • Документирование программы обеспечения безопасности: постоянный мониторинг, оценка, анализ и выдача отчетов о средствах и действиях для управления безопасностью

Реагирование:

  • Реакция на утечки и их устранение

 

Решения

Больше материалов по GDPR

Преобразование бизнеса с помощью GDPR

Ценные идеи касательно GDPR от лидеров IBM Security

Готовность к GDPR — это не только обеспечение конфиденциальности и безопасности

Свяжитесь с нашими специалистами по GDPR

Синди E. Комперт, CIPT/M

Технический директор, безопасность и конфиденциальность данных, IBM Security

Сэм Самарах

Ведущий партнер по рискам, нормативным требованиям и стратегиям обеспечения безопасности в Северной Америке, IBM Security Services

Джейн Голдинг, CIPP/US

Глава европейского подразделения обеспечения конфиденциальности, IBM Security

Клиенты несут полную ответственность за соблюдение различных законодательных и нормативных требований, в том числе Общеевропейского регламента о защите персональных данных (GDPR) ЕС. Клиенты несут единоличную ответственность за получение консультации у компетентного юриста относительно определений и трактовки соответствующих законов и нормативных актов, от которых может зависеть деятельность клиента, и действия, которые клиенту необходимо предпринять для соблюдения законов и нормативных актов.  Описанные здесь продукты, услуги и иные возможности применимы не во всех случаях и могут быть доступны только ограниченному кругу лиц. Компания IBM не дает консультаций по юридическим, бухгалтерским и аудиторским вопросам, а также не заявляет и не гарантирует, что ее продукты или услуги обеспечат соблюдение каких-либо законодательных или нормативных требований в компании клиента. Узнайте о готовности компании IBM к внедрению GDPR, а также о наших возможностях и предложениях, связанных с помощью организациям в обеспечении соответствия требованиям GDPR.