Эффективная программа защиты данных состоит из множества элементов управления, которые защищают данные от неправомерного доступа и потери, сохраняют их конфиденциальность, упрощают управление данными и сводят к минимуму проблемы с защитой данных. Шесть таких важных элементов управления обсуждаются ниже:
Реестр данных
Конфиденциальность данных начинается с понимания того, какие данные собираются, как они собираются и используются, а также где они хранятся. Именно здесь появляется реестр данных – каталог всех имеющихся у вас данных.
Первым шагом к созданию реестра данных является обнаружение данных. Это может прояснить:
- Какие персональные данные хранит и обрабатывает организация
- Находятся ли данные в небезопасных или защищенных местах
- Кто имеет доступ к данным и при каких условиях
- Как долго хранятся данные
- Когда данные уничтожаются
Как только вы поймете экосистему данных организации, вы можете подготовить реестр данных и заполнить его важными дескрипторами (то есть “метаданными” для описания имеющихся у вас данных), такими как:
- Цель сбора и обработки данных
- Системы и местоположения, в которых обрабатываются данные
- Срок хранения данных
- Меры по обеспечению безопасности данных
- Подробная информация о сотруднике по защите данных (DPO), который отвечает за обеспечение безопасности и конфиденциальности данных
- Сотрудник по защите данных
DPO курирует усилия компании по обеспечению конфиденциальности и защиты данных. Он или она также гарантирует, что бизнес соблюдает законы и нормативные акты, и представляет организацию перед органами власти и субъектами данных. Назначение DPO является обязательным в соответствии с некоторыми положениями о конфиденциальности, такими как GDPR, если организация осуществляет крупномасштабную обработку данных.
Механизмы безопасности
Компании должны принимать разумные меры для защиты персональных данных и соблюдения нормативных требований. Эти меры должны быть как организационными, так и техническими.
Политика конфиденциальности является одним из видов организационных мер. Другие примеры включают:
- Стандартизированные процедуры
- Оценки рисков
- Методы управления данными
- Аудит данных
- Обучение и повышение осведомленности
Технические средства контроля - это средства управления, которые работают автоматически и последовательно на основе некоторых заранее определенных правил. Они могут включать в себя:
- Средства контроля физической безопасности
- Ограничения на совместное использование и передачу данных
- Шифрование данных
- Меры по удалению данных
- Data security fabric (DSF)
Аутентификация и контроль доступа
Значительная часть обеспечения конфиденциальности данных заключается в контроле того, кто может получить доступ к данным и с какой целью. Для реализации этого контроля требуются надежные механизмы аутентификации и доступа, такие как:
- Надежные пароли
- Многофакторная аутентификация или аутентификация на основе биометрических данных
- Средства контроля для регулирования удаленного доступа
- Оценка уязвимостей и тесты на проникновение
Оценки уязвимостей и “ручные тесты” помогают компаниям выявлять риски для своих данных: отсутствующие элементы управления, непатентованное программное обеспечение, устаревшее антивирусное программное обеспечение и т.п. Основываясь на результатах тестов, команда безопасности может внедрить соответствующие меры безопасности для снижения выявленных рисков.
Должная проверка третьих сторон
Управление рисками третьих лиц (TPRM) является важным компонентом обеспечения конфиденциальности данных, особенно для компаний, которые работают с большим количеством поставщиков и других деловых партнеров. Некоторые важные средства контроля конфиденциальности данных в рамках TPRM включают:
- Оценка должной осмотрительности всех третьих сторон для обеспечения того, чтобы они внедрили надлежащие средства контроля для защиты данных потребителей
- Четко определенные обязанности по защите данных, включенные в контракт
- Мандаты, требующие от третьих сторон соблюдения применимых требований соответствия требованиям законодательства
- Регулярные оценки рисков и аудиты для подтверждения того, что средства контроля третьих сторон остаются эффективными
