Соблюдение конфиденциальности: актуальные проблемы

Организации, пытающиеся соблюдать требования нормативов о конфиденциальности данных, сталкиваются с ситуациями, приводящими их в растерянность, а иногда даже с полной сменой среды обитания. В то время, как цифровые технологии (особенно сетевые сервисы, работающие онлайн) облегчают создание и передачу всё большего объема личной и чувствительной информации, отдельные лица и правительства стран озабочены (и их можно понять) тем, как такая информация используется – и как она защищена. Когда пользователь обращается, например, к помощи онлайн-сервиса, в этот процесс могут быть вовлечены многие другие стороны, и каждая из них со своей мотивацией по использованию этой информации в целях финансового выигрыша или получения другого преимущества в бизнесе; и у каждой стороны есть доступ к информации, включающей идентификационные данные клиентов, финансовую информацию, информацию о покупках, предпочтениях, привычках чтения и многое другое. Чтобы защитить конфиденциальность клиентов, многие страны и юрисдикции уже издали (или вопрос об издании уже находится на рассмотрении) законы и постановления, которые защищают, по меньшей мере, определенные классы информации.

Читать далее

Постановления и стандарты в разных странах, штатах и отраслях хозяйства содержат различные требования, которые к тому же со временем меняются. Данные, которые сегодня могут считаться не относящимися к разряду чувствительных, завтра могут стать чувствительными и регламентированными. В этой среде, полной неопределенности, организации придерживаются осторожного подхода; например, потеря адресов электронной почты, ранее не считавшихся чувствительными данными, недавно затронула сразу несколько организаций и вызвала ряд громких обнародований фактов утечки.

Правила и нормативы могут различаться своей направленностью - от довольно туманных до вполне специфических. В то время как в некоторых постановлениях упор делается на более общую картину и на корпоративные управленческие процессы, другие постановления отличаются детализацией в отношении требуемых видов защиты, которые организации должны у себя внедрить для предотвращения утечек данных (и необходимости последующего раскрытия таких фактов); детализация в постановлениях может касаться также того, как организации могут доказать, что они соблюдают постановления. Например, некоторые постановления требуют от организаций ежегодного принятия мер для поддержания статуса безопасности, в то время как другие постановления требуют от организаций выполнения определенных действий только в случае возникновения бреши в системе безопасности.

Многие из современных нормативов, касающихся конфиденциальности, нацелены на особые виды данных, например, на истории болезни или на такие специфические отрасли хозяйства, как европейские фирмы, работающие в области телекоммуникаций, и поставщики услуг в сети интернет (ISP). Некоторые требования к конфиденциальности вообще не являются правительственными указами, а скорее представляют собой усилия структур отдельных отраслей хозяйства наладить у себя саморегуляцию. Лучшим примером этого явления может служить «Стандарт безопасности данных в индустрии платежных карт» (PCI DSS), который настолько широко признан в настоящее время, что имеет потенциал стать моделью для других отраслей хозяйства, испытывающих аналогичные проблемы.

При условии, что совокупность постановлений, направленных на обеспечение безопасности, некоторым образом приводит в смятение и общая картина представляется нестабильной, организации, ориентированные на будущее, должны принимать упреждающие меры для сокращения своего риска несоблюдения стандартов безопасности; организации должны применять стратегический, а не фрагментарный подход, должны смотреть дальше и выходить за рамки современных требований к конфиденциальности, и в то же время не упускать из виду свои более широкие цели по обеспечению безопасности.

Скрыть раздел

Риски

  • Сложная, постоянно меняющаяся и противоречивая картина, складывающаяся с совокупностью нормативов о конфиденциальности, может подтолкнуть организации к неверным действиям или вообще к игнорированию этого вопроса.
  • Несоблюдение нормативов может привести к штрафам или ограничительным мерам в области бизнеса; а актуальные атаки могут стать причиной утечки данных, из-за чего организации встанут перед неприятной задачей обнародования факта утечки, и в результате потеряют клиентов и доверие партнеров.
  • Многие организации сталкиваются с многочисленными требованиями, которые охватывают различные типы данных, различные географические регионы, различные подразделения организации и различные домены менеджмента; и тогда становится трудно охватить всё и установить непротиворечивость и выполнять хотя бы обычные практики обеспечения безопасности.
  • Такие стратегии, как передача части производства сторонним организациям и использование облачной инфраструктуры, может осложнить соблюдение организацией постановлений о конфиденциальности, а в некоторых случаях может нарушить ее профессиональную деятельность.
  • Организации, выбор которых пал на применение дорогих и трудоёмких решений по защите данных могут достичь соблюдения постановлений за счет потери гибкости и адаптируемости бизнеса.
  • Поверхностное соблюдение нормативов, являющееся подходом, фокусирующимся только на требованиях внешних постановлений, может привести руководителей, принимающих решения, к потере из виду всей картины безопасности в целом – настоятельной необходимости защитить интеллектуальную собственность организации и ее отношения с клиентами.

Соблюдение конфиденциальности: решения компании Thales e-Security

Продукты и услуги, предлагаемые компанией Thales e-Security, могут помочь вам защищать данные клиентов, соблюдать нормативы по конфиденциальности, принятые в вашем регионе и в вашей отрасли хозяйства, и составлять планы на будущее – и в то же время сохранять эффективность и гибкость своего бизнеса и процессов ИТ. Организации, находящиеся в поиске наиболее эффективных средств для соблюдения нормативов по конфиденциальности, должны принять подход, в котором во главу угла ставятся данные, а не их материальная среда, т.е. подход, который фокусируется на информации (например, на вопросах, где она хранится, как пересылается, и как используется); кроме того, организации должны проанализировать отношения между данными организации и применимыми правилами и нормативами. У компании Thales имеется многолетний опыт работы в области защиты данных по многим направлениям (включая современный широкий ряд постановлений о конфиденциальности); компания Thales разработала продукты и решения, которые поддерживают наиболее эффективные на сегодняшний день способы действий по активной защите данных и соблюдению нормативов и правил.

Преимущества:

  • Применение целенаправленного подхода к защите данных и соблюдению нормативов и правил.
  • Принятие упреждающих мер во избежание неприятной необходимости поиска компромисса между безопасностью данных и соблюдением постановлений, с одной стороны, и эффективностью работы организации, ее производительностью и гибкостью, с другой.
  • Работа с экспертами по актуальным сегодня постановлениям о конфиденциальности данных – от постановлений в масштабе страны и государства до стандартов, принятых в конкретной отрасли хозяйства.
  • Вы сможете ускорить применение средств обеспечения безопасности – продукты, разработанные компанией Thales функционально совместимы с приложениями и устройствами, разработанными ведущими компаниями, продающими решения безопасности.