2017. április 19., szerda

Architekti támogatás a GDPR megfelelőséghez

Az új, EU adatvédelmi szabályozásnak történő megfelelés 2018 májusban válik kötelezővé, de a felkészülést jóval korábban el kell kezdeni ahhoz, hogy a megfelelőség biztosított lehessen. A 2017-es év sok szervezetnél a GDPR-re történő felkészülés jegyében telik majd, ugyanis az új előírások be nem tartása nagy összegű bírságokat vonhat maga után. Az enterprise architect szakemberek jelentős segítséget jelenthetnek a felkészülésben és a megfelelőség folyamatos fenntartásában.

A rendelet

Az EU általános adatvédelmi rendeletének (GDPR, General Data Protection Regulation) pontos címe: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). A rendelet teljes szövege elérhető itt

Az Európai Unió eddig irányelvi formában szabályozta az adatvédelmet. A 2018 májusától hatályos GDPR rendeleti szinten szabályozza a kérdést, azaz előírásai minden tagállamra egységesen érvényesek, hatálya pedig minden olyan adatra kiterjed, amellyel azonosítható egy EU-n belüli lakhellyel rendelkező természetes személy. A rendelet megszegéséért kiszabott bírság akár a cégcsoport éves árbevételének 4 százalékát is elérheti.

A rendelet egységes keretet biztosít az európai szintű adatvédelem számára, de több ponton lehetőséget ad a tagállamoknak az egyedi szabályozásra. Továbbra is figyelni kell majd a helyi sajátosságokra, és ennek megfelelően a nemzetközi cégeknek az egyes tagállamokban működő részlegeikre eltérő terhet jelent majd a GDPR bevezetése.
 
Az adatkezelőnek igazolnia kell, hogy kellő gondossággal kezeli és védi a személyes adatokat. Ha egy cégtől kikerülnek az ügyfelei, dolgozói vagy partnerei személyes adatai, a kártérítés alól az adatkezelő csak akkor mentesül, ha bizonyítani tudja azt, hogy semmilyen módon nem felelős az adatszivárgásért. A gyakorlatban ezáltal minden adatkezelési kérdés informatikai kérdést is jelent, hiszen az adatkezelőnek azt kell igazolnia, hogy megfelelő biztonsági rendszereket és folyamatokat használ. A rendelet számos új elvárást fogalmaz meg az olyan szervezetek számára, amelyek az Európai Unió területén, vagy azon kívüli területen, de az Unió polgárai számára adatkezelést végeznek. 
Jelentősebb újdonságok:
  • Személyes adat definíciójának kiterjesztése
  • Személyes adatok kezelésével kapcsolatos üzleti tevékenységek dokumentálásának szükségessége
  • Személyes adatok kockázatokkal arányos védelme
  • Személyes adatokat érintő incidensek kötelező, 72 órán belüli bejelentése
  • Szervezeti adatvédelmi felelős kinevezése
  • Adatok kérés esetén történő kötelező (visszamenőleges) törlése és olvasható formában történő visszaadása.
Természetesen egy olyan megoldás, mely megfelelő architekti tervezésen alapulva egyaránt foglalkozik az adatvédelem szervezeti, szabályozói és technológiai vonatkozásaival is, nem csak a rendelet betűjének felelhet meg (elkerülve ezzel a nagyon jelentős büntetést), de csökkentheti a külső támadások, vagy belső adatlopások és szivárgások valószínűsége is, elkerülve ez által a szervezetet érintő veszteségeket is.

Felkészülés

A GDPR megfelelőséggel kapcsolatos feladatok tehát itt vannak és jobb időben odafigyelni ezekre. Maga a szabályozás szigorú, széleskörű előírásokat tartalmaz az adatvédelem vonatkozásában. Az architektek kulcsszerepet játszhatnak a megfelelőség biztosításában. Ehhez a vállalati architektúra modelleket, architektúra dokumentumokat és architekti eszközöket hatékonyan fel kell tudni használni. Az adatvédelmet architektúra modellek felhasználásával lehet hatékonyan elemezni és fejleszteni.

A rendelet megfogalmazása szerint „személyes adat” az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Vagyis már a cookie használat, illetve a honlap látogatók IP címeinek tárolása is felelősséggel jár.

A GDPR alapelvei:
  • jogszerűség, tisztességes eljárás és átláthatóság
  • célhoz kötöttség
  • adattakarékosság
  • pontosság
  • korlátozott tárolhatóság
  • integritás és bizalmas jelleg
  • elszámoltathatóság

Az architektek szerepe

A GDPR megfelelőség biztosításában hogyan is tud segíteni a megfelelő architektúra, miért az architektúra a megfelelőség kulcsa?
 
A megfelelőséghez a személyes adatok használatáról széleskörű áttekintéssel kell rendelkeznie a szervezetnek: milyen céllal történt az adatgyűjtés, hogyan történt, kiknek van hozzáférésük, hol tárolódnak az adatok, milyen külső felek bevonása történt meg, milyen külső / belső veszélyek léteznek, stb.  Az architektúra az ilyen jellegű információk legfőbb forrása. Ezen kívül az úgynevezett security-by-design elengedhetetlen a biztonságos és a folyamatos megfelelőséget garantáló jövő érdekében.

Az architektúra modellek felhasználhatók a kockázatok csökkentésére és GDPR megfelelőség biztosítására. Rendszeresen elemezni kell a lehetséges veszélyeket és sebezhetőségeket. Fejleszteni kell az enyhítő intézkedéseket összhangban az adatok biztonsági minősítésével. Abban az esetben, ha a biztonsági rendszer megsérül, megfelelő architekti eszközzel megtörténhet a lehetséges hatások felmérése és a megfelelő ellenintézkedések megtétele. Az architektúra modellek hasznosak ezen kívül a megfelelés bizonyítására a szabályozó hatóságok irányába.

Az architektúra modelleket célszerű felhasználni az adatok osztályozására az érintett biztonsági és adatvédelmi attribútumok használatával. Architektúra modellt felhasználhatjuk arra is, hogy bemutassuk a személyes adatok áramlását, elhelyezkedését és feldolgozását az informatikai rendszerekben, üzleti folyamatokban és külső szereplőknél. Modellezhető a felhasználás célja, és ezzel fokozatosan felmérhető az adatok használata szervezeti egységenként, IT alkalmazásonként és munkakörönként.

Az architekti eszközökben a fentiekkel kapcsolatban készített modellekből készíthető például olyan „hőtérkép”, amely megmutatja, hol vannak a legkritikusabb sérülékenységek, mit kell tenni ezekkel kapcsolatban. Fejlett architektúra modellekkel és eszközökkel a vezetői döntések meghozatalához jelentős támogatás nyújtható. Készíthetők olyan riportok vagy akár vizuális „műszerfalak”, amelyek a kockázatok, a megfelelőség szemléltetésére alkalmasak és segítenek a problémák priorizálásában és a megfelelő tevékenységek meghatározásában. Akár a szükséges befektetések összeköthetők az alkalmazások életciklusával is és így egészen komplex ütemtervek készíthetők.

Előnyök

Összefoglalásul, az architekti módszerek és eszközök bevetésével nyerhető előnyök közül kiemeljük:
  • Proaktív közreműködéssel kezeli a biztonsági és adatvédelmi kockázatokat a security-by-design megközelítés révén
  • Hasznosítja a meglévő architektúra modelleket a kockázatelemzéshez
  • Segít abban, hogy ott történjen befektetés a biztonság érdekében, ahol az valóban számít
  • Biztosítja és demonstrálja is a megfelelőséget
  • Segít elkerülni a súlyos bírságot és a jó hírnév elvesztését.

Nincsenek megjegyzések:

Megjegyzés küldése