GDPR: Označevanje in odkrivanje osebnih podatkov

 

Informatiki se v praksi z implementacijo GDPR prvič zares srečamo v tretji fazi, ko moramo identificirati osebne podatke v informacijskem sistemu, zanje bomo v naslednjih fazah organizirali za skladnost z GDPR zadostno zaščito. Prikažimo to fazo na praktičnem primeru s Forcepoint DLP, ker imamo izkušnje in rešitev pri roki in lahko zares gremo skozi te postopke. Organizacije, ki bi rade implementirale delno zaščito podatkov samo na prehodni točki za zaščito spletnega prometa, ali samo na elektronski pošti, lahko kombinirajo DLP Module v eno od Forcepoint rešitev – Web Security ali Email Security. Vsi spodnji postopki so vključeni v DLP Modul in uporabni tudi v delnih namestitvah.

Identifikacija podatkov : S pravimi DLP rešitvami lahko identificiramo vse poslovne podatke, osebni podatki so podmnožica vseh poslovnih podatkov. Identifikacija je določanje predpogojev in preiskovanja informacijskega sistema.

Data Fingerprinting : Predpogoji za določanje podatkov so klasični – seznami poslovnih izrazov ali osebnih imen, ter algoritmi za določanje formata številke kreditne kartice in strukturiranih vrednosti. Lahko pa sami vzorčimo osebne podatke iz znanih centralnih repozitorijev. Seznam osebnih imen pridobimo iz centralne podatkovne baze strank ali iz diskovnega arhiva poslovnih dokumentov. To je v Forcepoint DLP terminologiji Data Fingerprinting ali vzorčenje podatkov in je prvi od dveh delov identifikacije podatkov.

Data Discovery : Podatki običajno niso samo v centralni bazi ali disku, so raztreseni po informacijskem sistemu, po strežnikih in delovnih postajah zaposlenih, ki si naredijo lastne kopije, v arhivih in na prenosnih medijih. Zato praktično ne moremo vedeti, kje vse so podatki določene osebe. Odkrivanje podatkov je samodejno preiskovanje informacijskega sistema – nestrukturiranih podatkov v datotekah, ter strukturiranih podatkov v podatkovnih bazah – in izdelave inventarja podatkov. Inventar se lahko pripravlja redno ali po potrebi in je lahko posebej zaščiten – maskiran, anonimiziran ali dostopen samo pooblaščenim osebam. Kasneje ga uporabimo za pomoč pri opravilih, katera od nas zahteva GDPR. V DLP rešitvah kot je Forcepoint lahko odkrivanju dodamo tudi ukrepanje ob pomembnejših incidentih. Lahko ukažemo samodejno brisanje dokumentov na osebnih računalnikih nepooblaščenih ljudi, premikanje iz nepooblaščenih repozitorijev, maskiranje osebnih podatkov, alarmiranje, ali zaščito z integrirano DRM metodo.

Po identifikaciji podatkov: Rezultate lahko izvozimo ali dalj porabimo v Forcepoint DLP, ki je samostojna rešitev za obsežno zaščito podatkov v mirovanju, transportu in med ročno ali avtomatsko obdelavo. Identificirane podatke lahko spremljamo v lokalnem omrežju ter na protokolih elektronske pošte ali svetovnega spleta, blokiramo »uhajanje« na nedovoljene lokacije, spremljamo rabo in blokiramo obdelavo nepooblaščenim osebam v nepooblaščenih aplikacijah. Tudi tiskanje ali kopiranje in snemanje na prenosne medije lahko zaznamo in onemogočimo. Identifikacija omogoča, da lahko rešitev samodejno prepozna popolnoma specifičen podatek v slovenskem jeziku, ki ga poskuša nekdo po elektronski pošti poslati ven z podjetja. Forcepoint DLP vključuje poročanje, dashboard-e, izvoz rezultatov, integracijo z rešitvami drugih ponudnikov. Pomembni obveznosti podjetij, ki obdelujejo osebne podatke, sta odgovoriti na zahtevo po seznamu vseh o osebi hranjenih podatkov, ter pobrisati vse njene podatke, če oseba to zahteva. Kako vedeti, katere podatke sploh hranimo, in kje so, da jih lahko brišemo? Forcepoint DLP lahko pomaga. Z odkrivanjem podatkov lahko pridobimo aktualen inventar osebnih podatkov, v rezultatu vsakega odkrivanja je podrobno poročilo o incidentih tj. najdenih podatkih. Če jih preiščemo, lahko za določeno osebo izvemo katere podatke in kje vse znotraj informacijskega sistema jih hranimo. Tako lahko enostavno pripravimo poročilo o hranjenih podatkih ali si pomagamo izbrisati jih iz vseh lokacij.