В мире цифровых технологий людям принадлежат персональные данные точно так же, как им принадлежат физические активы, такие как наличные деньги, ключи и одежда в повседневной жизни. Но так как персональные данные неосязаемы, им не придавали никакого значения в течение долгого времени. С увеличением кибер-преступлений в сфере персональных данных, а так же после разоблачительного дела Сноудена (http://itar-tass.com/mezhdunarodnaya-panorama/1030632), эта проблема стала более заметной. Фей Луи из агенства Nedap Security Management сообщает, что для того, чтобы улучшить прозрачность сбора и обработки данных, и дать возможность людям самим контролировать их персональные данные, Европейская комиссия предложила новое регулирование защиты данных (Общее Регулирование Защиты данных 2012/0011 (COD) (GDPR)) и вывела проблему на новый уровень.

GDPR наделяет людей (субъектов данных) правом управлять их персональными данными

Согласно статье GDPR 10a (2), GDPR наделяет людей (субъектов данных) правом управлять их персональными данными. Такие права включают в себя: условия четкой и понятной информации относительно обработки персональных данных, право на доступ, исправление и стирание своих данных, право получить данные, право подать жалобу компетентным органам и возбудить судебное разбирательство, а также право на возмещение ущерба в результате незаконных операций, связанных с обработкой персональных данных. Такие права должны осуществляться бесплатно. Контроллер данных должен отвечать на запросы от субъекта данных в пределах разумного отрезка времени.

GDPR определил важнейшие составляющие, которые помогут охранять наши права: Управление по защите данных (DPA), контроллер данных, главный по защите данных (DPO). DPA — это наблюдающий орган, состоящий из государств, являющихся частью данной организации, который следит за регулированием системы на всей территории Союза. Контроллер данных, DPO и обработка данных активны на уровне компании, выполняя различные задания в сфере защиты.

Как и в большинстве других отраслей, новое регулирование будет значительно влиять на средства физической защиты. Обычно эти средства собирают, записывают и обрабатывают большое количество персональных данных, часть из которых может быть очень важной и деликатной. Например, средства физической защиты часто записывают очень личные данные о владельце кредитной карты, такие как его имя, номер социального страхования, ИНН и так далее. Они также могут сохранить ПИН-код, цифровые отпечатки и видеозапись держателя кредитной карты. Если кто-то еще смог бы использовать идентификационные данные этого человека и информацию об аутентификации, он мог бы получить несанкционированный доступ к ограниченным личным данным.

На средства физической защиты значительно будет влиять GDPR

Системы безопасности также записывают действия владельцев кредитных карточек. Таким образом, изучая эти действия, можно легко проследить чью-либо модель поведения. В настоящий момент, владельцы кредитных карт часто не осознают важность всех деталей, связанных с персональными данными, зарегистрированными в системе безопасности — например, сколько времени они будут храниться, были ли они сохранены безопасно, куда были распределены данные и были ли они обработаны для дальнейшего использования.

Все вышеупомянутые сомнения могут заставить владельца кредитной карты чувствовать себя уязвимым в системе обеспечения безопасности. В настоящий момент, системы безопасности чаще всего рассматривают как защиту здания, в то время как защитой персональных данных владельцев кредитных карт часто пренебрегают. Системный администратор, например, имеет право просмотреть зарегистрированные действия от всех владельцев кредитных карточек при поступлении запроса для уголовного расследования. Но таким правом могут злоупотреблять, просматривая информацию с другими целями или просто забавы ради. Это очень типичный случай утечки информации. Так же как важна безопасность определенного сооружения, важна и информация о владельце кредитной карты. Одно не должно конфликтовать с другим; хорошо разработанная система безопасности должна быть в состоянии достигнуть взаимовыгодной ситуации для различных случаев.

Что мы можем сделать, чтобы помочь обеспечить систему безопасности?

Конечно, необходимо повышенное внимание к информационной безопасности, чтобы улучшить защиту данных при помощи средств физической защиты. Защита данных должна быть неотъемлемой частью PIAM (физическое управление идентификацией и доступом) и PSIM (управления физической безопасностью информации), и GDPR предоставил нам хороший ориентир. Таким образом, хорошо разработанной системе физической безопасности необходимо:

Так же как безопасность зданий важна и информация о владельце кредитной карты, которая должна быть защищена должным образом. Одно не должно конфликтовать с другим; хорошо разработанная система должна быть в состоянии достигнуть взаимовыгодной ситуации для различных ситуаций.

• Думать о защите данных и их безопасности еще на начальной стадии проектирования. Это означает, что следует применять различные технологии, чтобы обеспечить безопасность базы данных, идентификационных данных и управление доступом, сетевую безопасность, безопасную обработку данных и аутентификацию;

• Гарантировать права субъектов данных. Необходимо обеспечить полное функционирование, чтобы дать субъектам данных (например, владельцам кредитных карт) доступ, для того, чтобы они могли получить, отредактировать или стереть свои данные;

• Помогать контроллерам данных и DPOs в выполнении их задач.

В частности система должна быть в состоянии:

• Обеспечить платформу, чтобы управлять и реагировать на запросы от субъектов данных и органов наблюдения;

• Контроллерам данных и DPOs определить политику безопасности и обработку данных;

• Отследить и сообщить о нарушениях защиты данных, и выполнить определенные задачи под управлением контроллеров данных и DPOs.

Любой субъект, устанавливающий систему физической безопасности должен рассмотреть следующие аспекты относительно данных, в момент создания системы:

• Категории и время задержания персональных данных, сохраненных в системе, а так же причины сбора и обработки этих данных;

• Что определяет утечку данных в системе;

• Отношения между сохраненными данными и соответствующими законами и постановлениями;

• Отношения между сохраненными данными и провайдерами;

• Как доступ к управлению идентификационными данными сможет обеспечить защиту персональных данных в системе;

• Установление переменных прав доступа к данным в системе.

12 марта 2014 года, было проведено голосование ЕС, на котором с подавляющим большинством выиграли GDPR. Европейская комиссия начнет принимать GDPR в конце 2014 и, как ожидают, осуществит все пункты плана в 2016.