Коментари И Интервюта

Проектирай подразбиращо се

CIO Media

Личните данни в информационната ера, в която живеем, отдавна не са единствено способ за идентификация на лицата, до които се отнасят. С течение на времето те се превърнаха във високостойностен актив и съответно източник на доходи. Тъкмо това налага и защитата им да премине на ново ниво.

В ИКТ сектора осигуряването на високо равнище на информационна сигурност е въпрос не само на конкурентоспособност, но и на жизнеспособност в свръхдинамичната среда, в която оперира. Съвсем скоро обаче нужното ниво на сигурност ще бъде израз не просто на необходимостта да останеш сред силните на пазара, но и на законово задължение, скрепено със сериозни санкции.

Какво ново

До 25 май 2018 г. ИКТ секторът трябва да се подготви за новата порция промени, които му поднася Регламент (ЕС) № 2016/679 („Регламента“). От една страна това е от изключителна важност заради стряскащо високите парични санкции, които се предвиждат за неспазване на изискванията му, максимумът на които е до 20 млн. евро или до 4% от общия годишен световен оборот за предходната финансова година. От друга страна, най-тежката последица от допускане на пробиви в информационната сигурност обаче си остава загубата на бизнес репутация и съответно – на клиенти.

Въпрос на принципи

Новите правила, въведени с Регламента и касаещи пряко ИКТ сектора, са основани най-общо на два принципа:

  • Принцип на защита на данните на етапа на проектирането (Data protection by design) този принцип изисква всяка нова ИТ услуга или бизнес процес, който налага обработване на лични данни, да вземе предвид защитата на тези данни от най-ранния възможен етап на изграждането си. От дружествата, опериращи в ИКТ сектора и предоставящи ИТ продукти и услуги на територията на Европейския съюз (ЕС), се очаква да могат да докажат, че осигуряват адекватно ниво на сигурност на личните данни и осъществяват мониторинг на съответствието с нормативните регулации. В изпълнение на този принцип, ИКТ секторът е задължен да следи за информационната сигурност по време на целия цикъл на разработване на всяка една система или процес от самото му начало.
  • Принцип на защита на данните по подразбиране (Data protection by default) – целта му е осигуряване на високо ниво на сигурност в настройките на всеки нов продукт или услуга, преди той да стигне до потребителя. От потребителите не трябва да се очаква да правят каквито и да е ръчни промени, за да си осигурят съответното ниво на защита. От друга страна, този принцип изисква личните данни да бъдат съхранявани от доставчиците на високотехнологични решения само за времето, необходимо за предоставянето на съответния продукт или услуга.

Горните два принципа са израз на еволюцията на концепцията за информационната сигурност. Спазването им след 25 май 2018 г. ще се превърне в основна предпоставка за посоката на развитие ИКТ сектора в ЕС, като го насърчава да бъде все по-иновативен и да разработва нови идеи, методи и технологии за сигурност и защита на данните. Така, за да останат конкурентни на европейския пазар ИКТ дружествата ще трябва постоянно да търсят по-ефективни средства за осигуряване на технологични и организационни решения с оглед защита на данните.

В търсене на решения

Реализирането на принципите за защита на личните данните на етапа на проектирането и по подразбиране означава въвеждане на проактивни и превантивни мерки за защита на данните от най-ранен възможен етап. Целта е не просто да се търсят решения за справяне с вече случили се пробиви в информационната сигурност, а максимално предотвратяване на възможността за настъпването им.

Всяко разработвано ИТ решение, имащо отношение към лични данни, трябва да осигурява тяхното високо ниво на сигурност от етапа на събирането им и до унищожаването им. С други думи – да покрива целия „жизнен цикъл“ на данните в даденото ИТ решение.

Според новите законови изисквания не е достатъчно техническите решения за защита на личните данни да бъдат „сглобени“ впоследствие, след проектирането на конкретния продукт или услуга. Те трябва да бъдат интегрална част от архитектурата на съответното ИТ решение от първия етап на създаването му, без това да е за сметка на функционалността му. Това поставя голямо предизвикателство пред бизнес процесите, технологиите, операциите и информационните архитектури. Те трябва да посрещнат изискванията за интегритет и висока креативност, за да бъдат в съответствие с регулациите и в същото време да останат привлекателни за потребителите.

Засега не са зададени конкретни параметри, в рамките на които ИКТ дружествата могат да предприемат определени стъпки на техническо ниво, за да осигурят съответствие с двата принципа. На практика новата нормативна уредба насърчава използването на техники като анонимизация, псевдонимизация и криптиране с цел защитата на личните данни.

Най-доброто тепърва предстои

Няма съмнение, че и двата принципа ще играят основна роля в развитието на ИКТ сектора следващите години. До момента редица процедурни и технически решения бяха добавяни към продукти и услуги впоследствие, за да се осигури съответствие с изискванията за защита на личните данни. С въвеждането на новите законови изисквания се очаква постепенно да се изостави идеята за развитие на похватите, базирани на последващ контрол, в полза на такива, основаващи се на оценка на потенциалните рискове за информационната сигурност и разработване на решения за предотвратяване на настъпването им.

Възможността за отличаване от конкуренцията обаче остава сред най-съществените аспекти от дейността на всяко ИКТ дружество. Базирайки се на потребността от доказването й, европейският законодател е предвидил и нови средства за тази цел. За да удостоверят, че спазват законовите изисквания за защита на личните данни, ИКТ дружествата ще могат да се възползват от механизъм по сертифициране. Полученият в резултат от подобен механизъм сертификат ще създава призната на европейско ниво възможност пред доставчиците на високотехнологични решения да утвърждават и разширяват потребителската си база.

Към момента Регламентът не предоставя задълбочени детайли от процедурата по сертифициране. Очаква се такива да бъдат разработени и внедрени до 25 май 2018 г. А дотогава дружествата от ИКТ сектора могат да направят още една крачка напред, като имплементират постепенно спазването на законовите изисквания в процеса на разработване на високотехнологичните си решения. По този начин, след влизане в сила на законовите им задължения, въведени с Регламента, те ще разполагат с продукти в пълно съответствие с новите регулации. 


X