Конфиденциальность и защита данных не является продуктом. Это процесс

1. Новые стандарты защиты данных и конфиденциальности
2. Ключевыми моментами, которые каждая организация должна будет понять и встретить, являются:
3. Оценка воздействия на конфиденциальность
4. Часто говорят, что конфиденциальность - это процесс, а не продукт, и вскоре конфиденциальность станет...

Относительно крупная компания недавно приняла два (подряд) большие кражи и потеря данных , Первый состоялся в 2013 году, второй в 2014 году. Оба события были обнаружены только недавно - в 2016 году. Последствия серьезны: украдены данные более миллиарда пользователей. Интересно, что это существенно не повлияло на стоимость акций компании.

Однако наиболее интересным является тот факт, что Yahoo (потому что он говорил об этой компании) вел переговоры о поглощении другой компанией (Verizon). Как такие инциденты, связанные с безопасностью и конфиденциальностью, повлияют на окончательную стоимость контракта или, возможно, произойдут ли они вообще? Помимо прямых потерь, такие события вызывают очень отрицательный общественный резонанс, а также могут привести к значительной потере доверия и репутации.

Этот яркий пример подчеркивает - впервые в истории - как инциденты безопасности и конфиденциальности могут иметь прямое значение для бизнеса. Если мы говорим о проблемах бизнеса, безопасность, конфиденциальность и защита данных становятся ключевыми факторами, влияющими, например, на переговоры (приобретения) и другие процессы в сфере бизнеса и развития компании. Риски, связанные с безопасностью, конфиденциальностью и защитой данных, становятся очень широкими. Крайне важно, чтобы руководители, правления и наблюдательные советы («С-уровень») начали понимать значение и важность этих вопросов, особенно с учетом предстоящих изменений в нормативно-правовой базе.

В 2017 году бизнесу и компаниям придется столкнуться с дополнительным источником риска и неопределенности, который станет источником конфиденциальности и защиты данных. Это произойдет благодаря принятым в Европе правилам, которые, однако, окажут влияние на весь мир. Регуляторные органы наконец поняли важность конфиденциальности и защиты данных, а также их отношения с бизнесом и доверие потребителей, то есть граждан. Общество все больше осознает риски и опасности, которые нас ожидают - из-за безрассудных архитектур и проектов устройств Интернета вещей (и других продуктов) - и их многочисленных недостатков. Потребитель не ожидает, что его тостер, подключенный к Интернету, станет частью ботнета, который будет продолжать проводить кибератаки. Потребитель также не ожидает, что тостер может стать шпионским элементом его владельца.

Жесткая нехватка стандартов, передовой практики в области обеспечения безопасности и конфиденциальности в промышленности, а также отсутствие адекватных государственных нормативов уже привели к ощутимым, измеримым убыткам для компаний (как с точки зрения финансов, так и репутации). К счастью, вы можете увидеть многообещающие изменения на горизонте.

Новые стандарты защиты данных и конфиденциальности

В мае 2018 года новый закон вступит в силу в Европейском союзе, что является важной вехой в нормативно-правовой базе. Это будет важным событием для конфиденциальности и защиты данных. Этот регламент, называемый Общим регламентом защиты данных (в Польше Регламент о защите данных), также будет дополнительно усилен дополнительным регламентом (регламентом) ePrivacy. Эти законы значительно повысят стандарты кибербезопасности, конфиденциальности и защиты данных. Каждая компания, работающая в Европе или имеющая там пользователей, будет вынуждена соблюдать требования этих правил, которые фактически имеют глобальный охват.

Они являются строгими и будут выполняться, и компании решат не выделять ресурсы и ресурсы для адаптации - они подвергаются штрафам до 20 миллионов евро (или 4% от мировых доходов). Несмотря на то, что это постановление вступит в силу в 2018 году, целесообразно начать подготовку как можно раньше. Этот процесс является относительно сложным и требует ресурсов - не только людей (инженеров по вопросам конфиденциальности, аналитиков), но также времени и правильного понимания рисков, связанных с конфиденциальностью и защитой данных.

Ключевыми моментами, которые каждая организация должна будет понять и встретить, являются:

● Управление согласием на обработку данных - это станет очень важным элементом. Любая организация, которая хранит или обрабатывает личные данные, должна иметь возможность показать, что ими управляют с ведома или согласия пользователей. Вам следует ответить на вопрос: знают ли ваши пользователи, что вы храните и управляете их данными?

● Конфиденциальность путем дизайна - будет одним из наиболее важных и ключевых моментов новой нормативно-правовой базы. Упрощение заключается в том, что конфиденциальность и защита данных должны быть включены в планирование каждой новой системы - с самого начала, предпочтительно - на этапе проектирования. Контроль конфиденциальности и процесс анализа рисков станут важными элементами продуктов и жизненных циклов проектов. Ключевой вопрос: будет ли этот процесс реализован в компании?

● Оценка воздействия на конфиденциальность станет стандартным процессом поддержания и обеспечения адекватного уровня конфиденциальности и защиты данных. Нормативно-правовая база потребует от организации осуществления этого процесса в проектах, в которых используются частные данные, для оценки риска. Еще один важный вопрос: может ли компания продемонстрировать факт проведения оценки воздействия на конфиденциальность?

Таким образом, конфиденциальность и защита данных будут измеримыми и управляемыми. Это роль Оценки воздействия на конфиденциальность (иногда ее называют оценкой воздействия на конфиденциальность, оценкой воздействия на конфиденциальность): измерение конфиденциальности и защиты данных, проектирование, разработка, обновление, обслуживание приложений, систем и продуктов - с учетом конфиденциальности. Конфиденциальность будет включена в цикл разработки программного обеспечения (и, в более широком смысле, продуктов).

Оценка воздействия на конфиденциальность

Оценка влияния на конфиденциальность - это процесс рассмотрения и анализа предположений, требований и дизайна продукта для определения уровня конфиденциальности и защиты данных. Это оценка, которая идентифицирует и оценивает риски для конфиденциальности и защиты данных - и предлагает предложения, рекомендации и стратегии смягчения для достижения высокого уровня. Такой подход к оценке рисков помогает организациям создавать более качественные продукты, требует от организаций обеспечения того, чтобы конфиденциальность и защита данных были включены с самого начала.

Специалисты и группы, проводящие оценку воздействия на конфиденциальность, должны быть экспертами в области безопасности и конфиденциальности с отличным знанием темы - часто требуется нестандартное мышление, особенно когда речь идет о проектах на ранних этапах планирования.

Процесс оценки воздействия на конфиденциальность приобретает все большее значение во всем мире. Это не только о Европе; в Соединенных Штатах эта рекомендация выпущена NIST (американским органом по стандартизации) для систем, в которых могут обрабатываться персональные данные. Другим важным событием, свидетельствующим о том, что этот процесс завоевывает широкое глобальное внимание и значение, является тот факт, что процесс оценки воздействия на конфиденциальность находится на пути стандартизации в международном органе ИСО. Стандарты ISO четко признаны и используются во многих отраслях компаниями и организациями; Соблюдение ISO широко признано в качестве ключевого аспекта непрерывности бизнеса, часто для выявления и минимизации рисков.

Ожидается, что процесс оценки воздействия на конфиденциальность, стандартизированный ISO, будет завершен в мае 2017 года. Это означает, что этот процесс вскоре будет иметь реальное значение для бизнеса во всем мире.

Оценка воздействия на конфиденциальность - это универсальный и эффективный инструмент, он оставляет относительно высокую гибкость и может быть адаптирован к различным проектам в зависимости от требований бизнеса. В Европейском Союзе новые нормативы GDPR (в Польше - GDP) потребуют реализации варианта Оценки конфиденциальности, называемой Оценкой воздействия для защиты данных, для большинства проектов, которые связаны со значительными рисками (например, с использованием новых технологий или обработки личных данных). ). Оценка воздействия на защиту данных не так обширна, как Оценка воздействия на конфиденциальность, но она также измеряет и идентифицирует риски конфиденциальности и защиты данных.

Одним из важных аспектов оценки воздействия на конфиденциальность является тот факт, что она может выявлять элементы высокого риска на ранней стадии. В этом случае эта часть плана проекта может быть пересмотрена. Организации могут, конечно, принять к сведению риски и начать реализацию проекта и продукта с высоким уровнем риска. Однако в случае инцидента, связанного с безопасностью и конфиденциальностью - например, утечка данных - организации придется продемонстрировать и продемонстрировать, что оценка воздействия на конфиденциальность (или защита данных) была проведена. Речь идет о том, чтобы показать, что риск был принят во внимание и были предприняты все разумные усилия для его минимизации - путем принятия соответствующих мер. Организации, которые не смогут показать, что Оценка воздействия на конфиденциальность была проведена, столкнутся с риском серьезных финансовых штрафов.

В этом смысле процесс оценки воздействия на конфиденциальность следует понимать как метод, снижающий риск. Это также предлагает другое интересное возможное развитие событий, вытекающих из новых правил. Оценка воздействия на конфиденциальность станет очень важной во время
переговоры о приобретении бизнеса. Потенциальный покупатель, осведомленный о возможных финансовых штрафах (��тоит ли покупать компанию, которая в скором времени должна будет добавить 20 миллионов евро?), Возможно, пожелает узнать, как новое приобретение управляет риском. Как он может это сделать? Он захочет увидеть оценку воздействия на конфиденциальность. Этот документ будет проанализирован компетентными людьми (экспертами в процессах защиты конфиденциальности данных). Эти группы могут также захотеть провести свои собственные Оценки - или, по крайней мере, валидность уже существующих Оценок, если они могут оказать влияние на риск.

Часто говорят, что конфиденциальность - это процесс, а не продукт, и вскоре конфиденциальность станет восприниматься таким образом.

Со стороны лидеров, управляющих организациями, было бы разумным предположением, что конфиденциальность и защита данных должны восприниматься всерьез. Конфиденциальность с 2017 года станет вопросом бизнеса. Мы все получим это.

Доктор Лукаш Олейник исследует, консультирует и помогает в вопросах кибербезопасности и конфиденциальности, защиты данных, анонимизации и новых технологий. Автор работ по безопасности и конфиденциальности новых технологий, в том числе веб-браузеры, интернет вещей, датчики. Его работа оказывает практическое влияние на работу широко используемых технологий. Более подробную информацию о его деятельности можно найти на сайт prywatnik.pl , В твиттере как @Prywatnik ,

Похожие

Комментарии