GDPR и международный опыт защищённой · сотрудников,...
Transcript of GDPR и международный опыт защищённой · сотрудников,...
Customer
Аркадий Прокудин, SAP
Июнь 19, 2018
GDPR и международный опыт защищённой обработки персональных данных
2CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Будущее наступило вчера
3CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Автомотизация и Роботизация
4CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
The Global Risk Report 2018
5CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Развитие технологий и регулирование защиты данных
1990
EU Data
Protection
Directive
1995 1998
UK Data
Protection Act
25 May
2018
1998 2004
GDPR
Applies
2007
First camera
phone
2000
Increasing
connectivity2002
Sarbanes-
Oxley Act
(SOX)
Payment Card
Industry / Data
Security Standard
(PCI/DSS)
2004
1994
WWWhttp:
1992
( )
Self-driving car
Drones
2012
AI, Machine Learning, ...
2006
Russia
Federal law №152
Personal Data
2017
Russia Federal Law №187
Critical infrastructure information security
1981
Convention for the Protection
of Individuals with regard to
Automatic
Processing of Personal Data
Strasbourg, 28.I.1981
2000
Indian IT Act
Identity
Vaults
Crowdsourced
security
IoT security
2016
GDPR present
Indian
IT Rules
2011
6CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Безопасность персональных данных в странах БРИКс
IT Act (2000, 2008), Information technologies Act. for Data Protection,
IT rules (2011)
Personal information security specification (PISS) (2017)
National General Administration of Quality Supervision, Inspection and Quarantine of
People’s Republic of China
Standardization Administration of the People’s Republic of China
Федеральный закон №152 (2006), О Защите персональных данных
Приказ ФСТЭК №21 (2013), Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных
Draft of Personal Data Protection Law - PDPL (2015)
7CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Утверждена Постановлением Правительства РК № 827 от 12.12.2017
Задачи программы:
10. Обеспечение информационной безопасности в сфере ИКТ.
Сроки реализации 2018–2022 годы
……. Президент страны обозначил актуальность борьбы с киберпреступностью, религиозным экстремизмом и терроризмом. В Послании
Главы государства сделано поручение Правительству и Комитету национальной безопасности разработать концепцию «Киберщит
Казахстана», целью которой является обеспечение информационной безопасности общества и государства в сфере информатизации и
связи, а также защиты неприкосновенности частной жизни граждан при использовании ими информационно-коммуникационной
инфраструктуры…..
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РЕСПУБЛИКИ КАЗАХСТАН
#407 от 30 июня 2017
Концепции кибербезопасности («Киберщит Казахстана»)
Государственная программа «Цифровой Казахстан»
8CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
О GDPR
Полная версия Закона доступна по ссылке https://gdpr-info.eu/
Закон вступает в силу 25 мая 2018 года
GDPR распространяется на организации, находящиеся на территории EC и его за пределами, чья дея-
тельность по обработке персональных данных связана с предложением товаров и услуг (даже на
безвозмездной основе) субъектам данных в ЕС или с мониторингом их поведения на территории ЕС
Максимальный штраф: до 4% годового мирового оборота организации или € 20 миллионов*
(в частности, за нарушение требований к международной передаче данных или основных принципов
обработки, таких, как условия для получения согласия)
Другие нарушения: штраф до 2% годового мирового оборота или € 10 миллионов* .
Документ включает список обстоятельств, принимаемых во внимание при определении размера
штрафа (таких как характер, тяжесть, продолжительность нарушения, наличие умысла и т.п.)
* Из расчета
большей величины
В случае утечки ПД, Контролер обязан уведомить об этом соответствующий компетентный орган:
• в течение 72 часов
• незамедлительно, если утечка данных ведет к высокой степени риска для прав и свобод физических лиц
25
Max
Min
9CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
На кого распространяется GDPR?
ПРИМЕРЫ КАТЕГОРИЙ СУБЪЕКТОВ, ПОПАДАЮЩИХ ПОД ДЕЙСТВИЕ GDPR
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим
персональные данные резидентов и граждан в ЕС, независимо от местонахождения компании
Филиалы, представительства
российских/СНГ организаций
на территории ЕС
Организация, базирующаяся в России/СНГ, которая
осуществляет продажу товаров и услуг, в том числе жителям
ЕС.
Если услуги или товары:
• адаптированы на местные языки жителей ЕС
• оплачиваются в местных валютах ЕС
• предоставляются на национальных доменах верхнего
уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»)
Даже если организация не производит никаких операций
непосредственно на территории ЕС.
Организации, созданные за пределами ЕС, если они (в
качестве контролера или процессора) осуществляют
мониторинг поведение жителей ЕС.
Мониторинг может включать:
• использование методов обработки данных для
профилирования отдельных лиц, их поведения или
их отношения к чему-либо (например, для анализа
или прогнозирования личных предпочтений)
• отслеживание резидента ЕС в интернете
10CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
На кого распространяется GDPR?
Позиция SAP, что компания должна следовать закону, если:
- контракт заключен с юридическим лицом, но в контактной информации
указаны контактные данные физического лица – гражданина ЕС.
- гражданин ЕС находится физически не на территории ЕС. Например,
работает в российской компании (экспат), при этом мониторинг его действий
не ведется и не он не является покупателем товаров и услуг.
Открытые вопросы
Согласно оригиналу закона:
the offering of goods or services, irrespective of whether a payment of the
data subject is required, to such data subjects in the Union; or
the monitoring of their behaviour as far as their behaviour takes place within
the Union.
11CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Кто участвует в процессе GDPR?
Администрирование Операции Уполномоченный по защите данных
Генеральный директор и
совет директоров
▪ Руководитель по нормоконтролю
▪ Руководитель по управлению
рисками
▪ Руководитель юридического
отдела
▪ Руководитель внутреннего аудита
▪ Руководитель
информационной службы
▪ Руководитель службы
информационной защиты
▪ Владельцы бизнес-
процессов
▪ Прочие специалисты по
защите данных
(руководитель по работе с
данными и т. д.)
15CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
К персональным данным относится информация, которая позволяет напрямую идентифицировать субъекта ПД
• Имя,
• Адрес,
• Номер телефона,
• Адрес эл. почты, и т.д.
Информация, которая косвенно позволяет идентифицировать субъекта ПД
• Национальная принадлежность,
• IP адрес
• MAC адрес,
• Номерной знак,
• Номер участника, и т.д.
О Регламенте. EU General Data Protection Regulation Определение персональных данных
16CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Информация, содержащая характеристики/атрибуты, помогающая идентифицировать объекта ПД среди других
• Дата рождения, пол, профессия, компания
• Бизнес единица, менеджер, команда
• История браузера
• Геолокация
Пол женский
Юрист
ХYZ компания
О Регламенте. EU General Data Protection RegulationОпределение персональных данных
День рождения - 1 июля
Имя: Carla Customer
Адрес проживания: Rainbowstreet 1,
39761 Cloud city
Контактные данные
+49 610 9607207
Portal Account: CarCus
Покупки
▪ Бензин АИ 95
▪ Кофе
▪ Круассан
Банковские реквизиты
Allcreditbank
IBAN: DE12500903170648489890
Информация о работе
Marketing specialist
(12.2015 – настоящее время)
Информация о работе
Working student
(04.2011 – 03.2014)
17
Персональные данные: пример
19CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Подготовка к GDPR: Интересные факты
Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены:
Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных
подробно изучили требования документа
компаний уверены, что их данные
находятся в полной безопасностиреспондентов спокойно относятся к сумме штрафа
за отсутствие требуемых мер по защите данных
признают, что эта сумма может
составить до 4% их годового оборота
считают, что к ПД не относится
дата рождениясчитают, что к ПД не относятся маркетинговые
базы данных адресов электронной почты
считают, что к ПД не относится
физический адрес клиента
считают, что к ПД не относится
почтовый адрес клиента
85%
79%
33%
66%
42%64%
21%32%
Trend Micro провела опрос руководства различных компаний, согласно его результатам:
Ссылка
20CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Контролер
Процессор
Надзорные органы
Субъект ПД
Получатель ПД
(Recipient)
Физ. или юр. лицо, орган гос. власти
или иной орган, которому раскрываются
ПД
О Регламенте. EU General Data Protection Regulation Определение терминов
физическое лицо
физ. или юр. лицо, орган гос. власти или иной
орган, который самостоятельно определяет
цели и средства обработки персональных
данных.
Физ. или юр. лицо, орган гос.
власти или иной орган,
который непосредственно
обрабатывает ПД от имени
Контролера
Отв. за защиту ПД (DPO)Эксперт а области GDPR, в его обязанности
(ст. 37 Регламента) входит обучение
сотрудников, тренинги, аудиты выполнения
требований, контактное лицо для
регулирующих органов, поддержка записей о
активностях в отношении обработки ПД,
взаимодействие с физ. лицами относительно
их ПД.
21CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
До наступления ответственности, 25 мая 2018 года, отсутствуют прецеденты по искам, связанным с несоблюдением норм GDPR.
В силу неоднозначности трактовки некоторых положений GDPR, решения по искам, до появления установившихся практик и опыта судебных разбирательств, будет сильно зависеть от судей/аудиторов.
Компания SAP рекомендует в этой связи:
1) Составить дорожную карту комплексной реакции на нормы GDPR, что покажет осведомленность, наличие плана, желание строго соответствовать нормам GDPR
2) Приступить в исполнению наиболее приоритетных задач дорожной карты, что покажет наличие реальных действий/проекта в рамках реализации дорожной карты.
Аудит
Как SAP помогает соблюдать требования
GDPR?
23CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Какие персональные данные граждан ЕС используются?
Как в настоящий момент организован процесс обработки персональных данных?
В каких системах и процессах используются персональные данные граждан ЕС?
Каким образом происходит передача данных между системами?
Кто имеет доступ к персональным данным?
На какие вопросы должна ответить компания прежде всего?
24CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Общая карта решений SAP для соответствия GDPR*
Enterprise Threat Detection, Code Vulnerability
Analysis & Fortify
Data Services/Information Steward/Celonis/Power Designer/MDG
Связывание и профилирование данных в SAP и не SAP ландшафтах
Управление точностью и
согласованностью личных данных
Information Lifecycle Mgt
Access Control, GigyaProcess Control
Open Text
UI Masking/Logging, TDMS
e.g. Art. 4 (1), Art. 9, Art. 20 e.g. Art. 17, Art. 89
e.g. Art. 33; Art. 34
e.g. Art. 4 (5), Art. 32 e.g. Art. 4, 5, 6, 7, 8, 9, 10, 11, 12, 24; Art. 26; Art 27; Art. 28; Art. 30, Art 33, Art 34, Art. 35, Art. 39, Art. 42… +more
Поддержка SAP/non-SAP ландшафтов
Поддержка SAP ландшафтов
Управление процедурами удаления и архивирования в соответствие с законом, OpenText также рассматривает активные неструктурированные и бумажные данные
ETD на HANA: расширенная аналитика угроз / мониторинг нарушений в режиме реального времени.
CVA & Fortify: обеспечение непрерывности бизнес, предотвращение нарушений доступа к данным путем идентификации уязвимостей безопасности в пользовательском коде
Управление законным и блокировка незаконного доступа к персональным данным для активных бизнес-систем (в т.ч. непродуктивных), контрактных процессоров, регистрации сотрудников
Соблюдение GDPR: цифровое управление проверяющим органам для контроля и автоматизированного мониторинга для ландшафтов SAP и не SAP
* Карта решений для конкретной компании может быть отлична, включать только несколько компонентов.
Конфиденциальность данныхВлияниеОценка
Активные данные
Блокировка, удержание(завершение цели)
Удаление (хранение в соответствии с законом)
Сбор данных
25CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Общая карта решений SAP для соответствия GDPR*
Enterprise Threat Detection, Code Vulnerability
Analysis & Fortify
Data Services/Information Steward/Celonis/Power Designer/MDG
Связывание и профилирование данных в SAP и не SAP ландшафтах
Управление точностью и
согласованностью личных данных
Information Lifecycle Mgt
Access Control, GigyaProcess Control
Open Text
UI Masking/Logging, TDMS
e.g. Art. 4 (1), Art. 9, Art. 20 e.g. Art. 17, Art. 89
e.g. Art. 33; Art. 34
e.g. Art. 4 (5), Art. 32 e.g. Art. 4, 5, 6, 7, 8, 9, 10, 11, 12, 24; Art. 26; Art 27; Art. 28; Art. 30, Art 33, Art 34, Art. 35, Art. 39, Art. 42… +more
Поддержка SAP/non-SAP ландшафтов
Поддержка SAP ландшафтов
Управление процедурами удаления и архивирования в соответствие с законом, OpenText также рассматривает активные неструктурированные и бумажные данные
ETD на HANA: расширенная аналитика угроз / мониторинг нарушений в режиме реального времени.
CVA & Fortify: обеспечение непрерывности бизнес, предотвращение нарушений доступа к данным путем идентификации уязвимостей безопасности в пользовательском коде
Управление законным и блокировка незаконного доступа к персональным данным для активных бизнес-систем (в т.ч. непродуктивных), контрактных процессоров, регистрации сотрудников
Соблюдение GDPR: цифровое управление проверяющим органам для контроля и автоматизированного мониторинга для ландшафтов SAP и не SAP
* Карта решений для конкретной компании может быть отлична, включать только несколько компонентов.
Конфиденциальность данныхВлияниеОценка
Активные данные
Блокировка, удержание(завершение цели)
Удаление (хранение в соответствии с законом)
Сбор данных
26CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Общая карта решений SAP для соответствия GDPR*
Enterprise Threat Detection, Code Vulnerability
Analysis & Fortify
Data Services/Information Steward/Celonis/Power Designer/MDG
Связывание и профилирование данных в SAP и не SAP ландшафтах
Управление точностью и
согласованностью личных данных
Information Lifecycle Mgt
Access Control, GigyaProcess Control
Open Text
UI Masking/Logging, TDMS
e.g. Art. 4 (1), Art. 9, Art. 20 e.g. Art. 17, Art. 89
e.g. Art. 33; Art. 34
e.g. Art. 4 (5), Art. 32 e.g. Art. 4, 5, 6, 7, 8, 9, 10, 11, 12, 24; Art. 26; Art 27; Art. 28; Art. 30, Art 33, Art 34, Art. 35, Art. 39, Art. 42… +more
Поддержка SAP/non-SAP ландшафтов
Поддержка SAP ландшафтов
Управление процедурами удаления и архивирования в соответствие с законом, OpenText также рассматривает активные неструктурированные и бумажные данные
ETD на HANA: расширенная аналитика угроз / мониторинг нарушений в режиме реального времени.
CVA & Fortify: обеспечение непрерывности бизнес, предотвращение нарушений доступа к данным путем идентификации уязвимостей безопасности в пользовательском коде
Управление законным и блокировка незаконного доступа к персональным данным для активных бизнес-систем (в т.ч. непродуктивных), контрактных процессоров, регистрации сотрудников
Соблюдение GDPR: цифровое управление проверяющим органам для контроля и автоматизированного мониторинга для ландшафтов SAP и не SAP
* Карта решений для конкретной компании может быть отлична, включать только несколько компонентов.
Конфиденциальность данныхВлияниеОценка
Активные данные
Блокировка, удержание(завершение цели)
Удаление (хранение в соответствии с законом)
Сбор данных
27CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Общая карта решений SAP для соответствия GDPR*
Enterprise Threat Detection, Code Vulnerability
Analysis & Fortify
Data Services/Information Steward/Celonis/Power Designer/MDG
Связывание и профилирование данных в SAP и не SAP ландшафтах
Управление точностью и
согласованностью личных данных
Information Lifecycle Mgt
Access Control, GigyaProcess Control
Open Text
UI Masking/Logging, TDMS
e.g. Art. 4 (1), Art. 9, Art. 20 e.g. Art. 17, Art. 89
e.g. Art. 33; Art. 34
e.g. Art. 4 (5), Art. 32 e.g. Art. 4, 5, 6, 7, 8, 9, 10, 11, 12, 24; Art. 26; Art 27; Art. 28; Art. 30, Art 33, Art 34, Art. 35, Art. 39, Art. 42… +more
Поддержка SAP/non-SAP ландшафтов
Поддержка SAP ландшафтов
Управление процедурами удаления и архивирования в соответствие с законом, OpenText также рассматривает активные неструктурированные и бумажные данные
ETD на HANA: расширенная аналитика угроз / мониторинг нарушений в режиме реального времени.
CVA & Fortify: обеспечение непрерывности бизнес, предотвращение нарушений доступа к данным путем идентификации уязвимостей безопасности в пользовательском коде
Управление законным и блокировка незаконного доступа к персональным данным для активных бизнес-систем (в т.ч. непродуктивных), контрактных процессоров, регистрации сотрудников
Соблюдение GDPR: цифровое управление проверяющим органам для контроля и автоматизированного мониторинга для ландшафтов SAP и не SAP
* Карта решений для конкретной компании может быть отлична, включать только несколько компонентов.
Конфиденциальность данныхВлияниеОценка
Активные данные
Блокировка, удержание(завершение цели)
Удаление (хранение в соответствии с законом)
Сбор данных
28CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Перечень решений SAP для соответствия GDPR (1/2)
ОписаниеСтатья
регламентаПродукты
For SAP/non
SAP
landscape
Быстрореализ
уемая
инициатива
Среднесрочная
инициатива
Управление процессом обработки и хранения
персональных данных и документацией, касающейся
GDPR
Art. 9 SAP GRC Process Control/
организационные меры all
Информация, в каких системах и таблицах
используются персональные данные в SAP и не SAP
ландшафте, интеграция и очистка данных
Art. 4 (1), Art. 9,
Art. 20
Data Services, Information
Steward, SAP Process mining all
Блокирование и удаления персональных данных Art. 17, Art. 89 SAP Information lifecycle
management
SAP
Управление просмотром «чувствительных»
персональных данных
Art. 4 (5), Art. 32 UI logging, UI masking SAP
Управление ролями и полномочиями Art. 32 SAP Access Control all
Централизованный контроль доступа к ИС Art. 32 SAP Single Sign On all
Мониторинг ландшафта SAP на предмет уязвимости Art. 33, Art. 34 SAP ETD on HANA all
Управление продуктивными данными в
непродуктивных системах
Art. 4, 6 (4) Test Data Migration Server SAP
Управление учетными данными, пользовательскими
соглашениями, информацией о пользователях
сайтов
Art. 32 Gigya all
*Средний срок проекта - 3-6 месяцев
** Средний срок проекта – от 9 месяцев
29CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Перечень решений SAP для соответствия GDPR (2/2)
Описание Статья регламента Продукты
For SAP/non SAP
landscape
Быстрореализ
уемая
инициатива*
Среднесрочная
инициатива**
Управление полным жизненным циклом
неструктурированной информации, содержащей
персональные данные пользователя
Art. 17, Art. 89 SAP Open Text all
Обеспечение непрерывности бизнеса
предотвращение нарушений доступа к данным,
путем идентификации уязвимостей безопасности
в пользовательском коде
Art. 33, Art. 34 Code Vulnerability
Analysis & Fortify
SAP
Ведение персональных данных пользователей на
корпоративном уровне
Art. 4 (1), Art. 9, Art. 20 SAP MDG интеграция с
любыми
локальными
системами
Анализ бизнес-процессов, связанных с законным
использованием персональных данных и их
движением
Art. 9, Art. 20 SAP Process
Mining by Celonis
all
Документация по использованию персональных
данных в бизнес процессах
Art. 9, Art. 20 SAP Power
Designer
all
*Средний срок проекта - 3-6 месяцев
** Средний срок проекта – от 9 месяцев
Позиции прайс листа
31CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Позиции прайс листа*
Решение Номер в прайс листе Название позиции
SAP Process Control 7017576 SAP Process Control
SAP Access Control 7018256 SAP Access Control*
SAP ETD 7018260 SAP Enterprise Threat Detection
Information Steward+Data Services 7019160 SAP Data Services, enterprise edition
SAP TDMS 7011533 SAP Test Data Migration Server
SAP ILM 7018995 SAP Information Lifecycle Management
SAP Process Mining 7018992 SAP Process Mining by Celonis
UI logging
7019005 logging of SAP GUI for Windows
7019006 logging of Web Client UI
7019007 logging of SAP NetWeaver BW Access
7019008 logging of Web Dynpro ABAP
7019009 logging of RFC/BAPI and Web Service
7019091 logging of SAP Gateway
UI Masking
7019089 field masking for SAPUI5 and SAP Fiori
7019090 field masking for Web Dynpro for ABAP
7018924 field masking for WebClient UI
7019503 field masking for SAP GUI
SAP MDG
7018849 SAP Master Data Governance for SAP S/4HANA, customers option
7018851 SAP Master Data Governance for SAP S/4HANA, custom option
7018848 SAP Master Data Governance for SAP S/4HANA, suppliers option
SAP Open Text 7018804 SAP Extended Enterprise Content Management by OpenText
Code Vulnerability Analysis &
Fortify7019502 SAP NetWeaver Application Server, add-on for code vulnerability analysis
SAP Power Designer 7017652 SAP PowerDesigner EnterpriseArchitect
SAP GigyaВ текущем прайс листе
отсутствует, должен появитьсяHybris Consent, Identity, Profile
Прайс лист актуален на Q1 2018 * Для использования для не SAP систем требуется лицензирование доп.позиций.
32CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Специалисты по решениям GDPR
Портфель решений Решения LoB sales
GRC solutions SAP Process Control
SAP Access Control
SAP ETD
UI logging
UI Masking
Code Vulnerability Analysis & Fortify
Аркадий Прокудин
DDM solutions Information Steward, Data Services
SAP ILM
SAP Process Mining
SAP MDG
SAP Open Text
SAP Power Designer
Андрей Конорев
Hybris SAP Gigya Бари Муртазин
SAP TDMS SAP TDMS SAP consulting
Для получения дополнительной информации для клиентов нефтегазовой отрасли следует обращаться:
BSA, Oil and Gas – Баклунова Екатерина
Сервис MaxAttention
34CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Сервис MaxAttention по соответствию GDPRSAP Security Engagement service package – GDPR Discovery Workshop
EU-GDPR вступит в силу 25 May 2018. Существенные
штрафы при его несоблюдении. Обзор требований EU-GDPR
с привязкой к решениям SAP. Идентификация технических
гэпов в текущем ландшафте SAP и не SAP систем.
Определение технической стратегии и дорожной карты
основанной на потребностях, ландшафтах и процессах в
компании
2-3-дневный очный воркшоп с 2 экспертами от SAP. Обзор
требований GDPR. Общие принципы соответствия
Регламенту. Обзор инструментов, решений и сервисов SAP
для соответствия Регламенту. Определение потребности и
следующих шагов. На выходе: Рекомендации и
техническая дорожная карта для соответствия GDPR.
• Обзор текущей ситуации и статуса готовности к закону.
• Рекомендации по выбранным аспектам безопасности
обработки и хранения персональных данных.
• Создание релевантной для компании технической
дорожной карты.
10 дней + Security Optimization Services (SOS) по желанию.
Бизнес необходимость Подход и объем сервиса
Ценность Трудозатраты
35CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
AgendaDay 1 – March 14th 2018
# Time Subject Topic Owner
Introduction and Situation
1 10:00-10:30 Introduction / Objectives / Agenda All
2 10:30-11:00Introduction by Lukoil: Situation, Landscape,
Security and GDPR Policy and StatusAll
3 11:00-12:00 Overview: Security Optimization Service (SOS) Reports SAP
GDPR Introduction
4 12:00-13:00 Introduction into EU General Data Protection Regulation (GDPR) SAP
13:00-14:00 Lunch
5 14:00-15:00Data Privacy within SAP Business Suite:
Procedure model for the inductive approachSAP
6 15:00-16:00Data Privacy within SAP Business Suite:
Technical implementation and GDPR relevant SAP products and featuresSAP
Technical Security
7 16:00-16:30 Logging: Security Audit Log, Read Access Logging and UI Logging SAP
8 16:30-17:00 Buffer for open discussions / Wrap up of Day 1 All
36CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
AgendaDay 2 – March 15th 2018
# Time Subject Involved Parties
1 10:00-10:30 Remarks, Questions or topics from day before All
Technical Security
2 10:30-11:00 Configuration settings controls: EWA, SOS, Configuration Validation SAP
3 11:00-12:00 Web Layer / Frontend Security (SSL, SSO, Web Dispatcher) SAP
12:00-13:00 Lunch
4 13:00-14:30 RFC Security (Gateway, UCON, SNC) SAP
5 14:30-15:30 Internal Prep SAP Only
6 15:30-17:00Wrap up Session
Sign-off on Security Roadmap draftAll
INTERNAL
Подвал
39CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Краткое описание возможности решений
Решение Краткое описание
SAP Process Control В соответствие с ст. 9 в GDPR, необходимо вести записи идущих активностей, технических и организационных мер и
контролей. Нужно вести учет документации относительно орг. мер. Текущее состояние многих компаний – раздельные
репозитории документов.
Компании необходимо привлечь ответственного за защиту данных (DPO) для определения того, какие дополнительные меры
необходимо учитывать в отношении GDPR. Разрозненные организации могут создать неэффективный и дорогостоящий подход
к управлению рисками и программой в целом, что может негативно отразиться на выполнении программы GDPR.
Решение SAP Process Control поможет организовать процесс соответствия требованиям GDPR, определить роли, обязанности
и участие в активностях GDPR в рамках всей организации. Функционал решения может значительно ускорить сбор
информации от бизнес-персонала и превратить эти данные в измеримые результаты. Репозиторий Process Control может
использоваться как «единственный источник правды» для данных о GDPR, управлении рисками и данными для соответствия
GDPR.
SAP Information Steward Одна из задач компании для соответствия GDPR - понять, где и для каких целей используются персональные данные
физических лиц (в каких системах, таблицах, связи между системами).
GDPR требует от компании полного понимания целей обработки персональных данных. SAP Information Steward покажет какие
данные используются в таблицах SAP и не SAP систем (например, сканирует все таблицы, в которых содержится номер
телефона). Это является отправной точкой в определении, какие персональные данные находятся в ваших таблицах. Однако
не показывает цели нахождения данных в таблицах.
SAP Data Services осуществляет проверку качества данных, интеграцию данных, профилирование, обработку текстовой
информации.
Information Lifecycle
Management
Когда компания имеет информацию по тому, какие персональные данные физ.лиц она использует, где они хранятся и для каких
целей, следующая задача - прописать соответствие таблиц с объектами SAP Information Lifecyle Management. Когда такое
соответствие будет прописано, прописывают соответствие объектов и целей и определяют сроки действия целей. Функционал
SAP ILM позволяет проверять сроки, блокировать и архивировать данные из систем в соответствие с правилами и политиками
хранения персональных данных Компании и требованиями Регламента. Это решение позволит соответствовать GDPR в
отношении права субъекта ПД «на забвение». В случае, если цели обработки исполнены, персональные данные могут быть
удалены автоматически.
40CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Краткое описание возможности решений
Решение Краткое описание
UI logging, UI masking GDPR указывает, что определенные категории персональных данных следует считать «чувствительными» и они должны быть
дополнительно защищены.
РешениеSAP UI logging позволяет увидеть, кто и когда просматривал «чувствительные данные». Позволяет настроить плавила
оповещения о подозрительных активностях пользователя (например, один пользователь за день просматривает персональные
данные пользователя до 10 раз, хотя это не относится к его рабочим задачам).
Решение SAP UI masking позволяют маскировать отдельные поля пользовательского интерфейса на основе предварительно
заданных правил, позволяя только определенным группам пользователей видеть конкретную информацию, которую в
противном случае может просматривать большая группа пользователей. Например, администратор HR должен видеть
определенную информацию о сотруднике, такую как имя и адрес, но рядом с этой информацией находится информация о
заработной плате, которую они не должны видеть, в таком случае это может быть маскировано соответствующим образом.
Эта концепция может быть применена к чувствительным персональным данным, определенным в статье 9 регламента GDPR.
SAP Access control Управление доступом и блокировка несанкционированного доступа в бизнес системы. Статья 4 (5), 32.
SAP Access Control позволяет существенно расширить стандартный функционал в области управления: управление учётными
записями и полномочиями пользователей, управление изменениями ролей и полномочий, управление предоставлением
расширенных полномочий (на базе FireFighter), управление разделением полномочий (конфликты SoD), формирование
отчётности в области Авторизации, включая отчёты по лицензированию пользователей.
Например, SAP AC позволяет автоматически проверять полномочия на конфликты либо превышенные полномочия (например,
за счет наращивания полномочий при смене пользователем должностей), чтобы минимизировать несанкционированный доступ
к данным.
SAP AC также позволяет давать пользователям расширенные полномочия на определенный период, при этом логируя все
действия пользователя, уведомляя ответственных о том, что данный сотрудник имеет расширенные права.
SAP MDG Единая система управления основными данными, в том числе персональными данными физических лиц. Обеспечение
корректности и полноты персональных данных, обеспечение доступа к данным только для авторизованных пользователей.
SAP Open Text SAP Extended Enterprise Content Management by OpenText помогает компаниям управлять полным жизненным циклом
неструктурированной информации, содержащей персональные данные пользователя. Например, управление
неструктурированной информацией, содержащей персональные данные, такие как заказы на продажу, счета-фактуры и
кадровые документы (HR).
41CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Краткое описание возможности решений
Решение Краткое описание
SAP Gigya Gigya – облачное решение, основной функционал которого:
1) Идентификация. Управление учетными данными пользователей сайтов.
Работает для пользователя как SSO (в рамках одной компании. Пример: одна компания имеет несколько сайтов, пользователю не
нужно заводить множество паролей для каждого сайта).
2) Согласия. На сайтах мы часто ставим галочки, что мы согласны с определенными условиями, например, согласие на обработку
персональных данных. Решение хранит информацию о согласиях (для каждой компании согласие будет свое).
3) Профиль. Возможность логиниться через соц. сети. Поддержка около 35 соц сетей (ФБ, VK, LinkedIn, Instagram и другие). Здесь
же собирается информация из профиля социальных сетей (основная инф-я, лайки и т.п.). Пользователь должен дать на это
предварительное согласие.
Test Data migration
Server
Данные из продуктивных SAP систем используются в непродуктивном ландшафте, где контроль доступа к ним менее строгий. Это
не соответствует требованиям GDPR, т. к. использование персональных данных в непродуктивных системах не имеет цели, а
значит не соответствует законодательству, кроме как их использование в сценариях тестирования для целей GDPR.
Использование решений для шифрования (скремблинга) и анонимизации данных, относящихся к субъектам данных ЕС,
одновременно обеспечивая качество и целостность данных.
SAP TDMS позволяет шифровать и анонимизировать данные с минимальными усилиями и воздействием на тестирование
основных процессов.
Если анонимизация данных не может быть использована, необходимо рассмотреть возможность внедрения более строгого
контроля доступа к тестовым системам (например, с помощью SAP Access Control), чтобы свести к минимуму вероятность
нарушения.
SAP Process Mining by
Celonis
Решение SAP Process Mining by Celonis позволяет проанализировать бизнес-процессы, связанные с законным использованием
персональных данных и их движением. Решение позволяет осуществлять анализ процессов, связанных с требованиями к
информации в рамках GDPR и позволяет компании понять: обрабатываются ли персональные данные в соответствие с
моделями, утвержденными на предприятии, существуют ли недокументированные варианты подпроцессов.
42CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Краткое описание возможности решений
Решение Краткое описание
SAP ETD on HANA Расширенная аналитика по угрозам, мониторинг нарушений в системах SAP и не SAP в реальном времени (Art. 33; Art. 34).
Отслеживание и информирование о подозрительных активностях. Обнаружение и анализ угроз в реальном времени, используя
возможности платформы SAP HANA для сбора и анализа большого количества данных журналов из SAP не SAP и сопоставления
для получения полной информации об активностях в системах.
Реагирование на угрозы в режиме реального времени и предотвращение критического ущерба. Обнаружение угроз, относящиеся
к известным атакам SAP систем, используя шаблоны обнаружения атак. Позволяет выполнить проверки криминалистических
угроз, провести расследование атак, обнаружить ранее неизвестные атаки или варианты атак и настроить интеграцию не-SAP-
систем и компонентов инфраструктуры через открытый API.
SAP Single Sign On Предотвращение несанкционированного доступа к бизнес-системам компании имеет решающее значение для обеспечения
безопасности и контроля доступа к ПД. SAP SSO обеспечивают безопасный, удобный пользователю единый логин для всех
бизнес-приложений, как on prem, так и в облаке, SAP и не SAP. SAP single Sign on поддерживает меры безопасности, которые
отвечают корпоративным и регулятивным требованиям.
SAP SSO позволяет аутентифицировать пользователя в домене Windows путем ввода доменного имени/пароля или другим
способом, автоматически получить kerberos ticket для доступа к различным ресурсам (включая системы SAP). Провести
первичную аутентификацию пользователя в системе SAP автоматически с использованием kerberos ticket, получить SAP Logon
ticket для доступа к другим системам SAP (задействованным в том же сценарии), провести вторичную аутентификацию
пользователя в системе/системах SAP автоматически с использованием SAP Logon ticket.
Использование SSO решает, например, такие проблемы как использование слабых паролей, ненадежное хранение паролей.
Одновременно с этим повышает удобство пользователя и снижает нагрузку на службу поддержки.
SAP Power Designer Документация архитектуры данных, включая персональные данные. Документация по использованию персональных данных.
Идентификация и управление изменениями, включая воздействие на персональные данные. SAP Power designer позволяет
разобраться: в каких бизнес процессах используются персональные данные, какие приложения поддерживают эти процессы.
SAP Code Vulnerability
Analysis & Fortify
Обеспечение непрерывности бизнеса предотвращение нарушений доступа к данным, путем идентификации уязвимостей
безопасности в пользовательском коде. Выполнение проверок кода, отчеты и просмотр результатов проверки (включая
документацию), запрос и утверждение исключений.