Rozporządzenie Parlamentu Europejskiego i Rady UE o Ochronie Danych Osobowych (RODO) już obowiązuje. Termin jego ostatecznego wdrożenia upłynie w maju 2018 roku. Co robić, żeby odpowiednio wcześnie przygotować się na zmianę przepisów i uniknąć wysokich kar za nieprawidłowe przetwarzanie danych?

 

Rozwiązaniem jest odpowiedni dobór oprogramowania i sprzętu, które działając w połączeniu ze sobą zapewnią ustandaryzowane poziomy bezpieczeństwa, nie angażując przy tym użytkownika.

 

Aby bazy danych stanowiły bezpieczny zbiór informacji, należy wdrożyć procedury, które będą się opierać na trzech głównych filarach: prewencji, ocenie ryzyka w zakresie bezpieczeństwa i monitoringu w celu wykrywania potencjalnych naruszeń. Każdy z tych filarów jest istotny dla zachowania poufności przechowywanych informacji. Jedynie ich spójny zestaw może stanowić gwarancję bezpieczeństwa informacji – mówi Radosław Skowronek, PreSales and Implementation Team Manager, Xerox Polska.

 

Prewencja

Czyli wdrożenie środków organizacyjnych i technicznych, w sposób zapewniający bezpieczeństwo danych, przeciwdziałający potencjalnym wyciekom lub naruszeniom.

Szczególny nacisk kładziony przez Xerox na bezpieczeństwo sprawia, że prewencja jest działaniem wykorzystującym największą liczbę narzędzi. To m.in. podpis elektroniczny, możliwość szyfrowania danych i kontroli dostępu, gwarantowane w urządzeniach Xerox – twierdzi Skowronek.

 

Rozwiązania te wykorzystują zarówno podstawowe (fabryczne) funkcje urządzeń i aplikacji produkowanych przez Xerox, jak również moduły zewnętrznych, wyspecjalizowanych dostawców, które po zintegrowaniu ze sobą stanowią jednolite rozwiązanie. W ramach takiego spójnego rozwiązania użytkownicy urządzeń Xerox będą mogli zarządzać danymi i dokumentami. Umożliwi to wbudowany mechanizm kontroli ważności operacyjnej i formalno-prawnej dokumentów, zarządzania ich cyklem życia, a także zarządzania relacjami pomiędzy danymi  i dokumentami, do których dostęp uzyskają jedynie uprawnione osoby (ze wsparciem rozwiązań takich jak: Microsoft Active Directory, Lightweight Directory Access Protocol – LDAP).

Użytkownicy, w ramach otrzymanego dostępu, będą również dysponować uprawnieniami różnych poziomów dostępu (m.in. możliwość edycji, widok całego lub części dokumentu – również zanonimizowanego lub pseudonimizowanego, drukowanie w kolorze lub monochromatyczne). Co istotne, replikacja danych w obrębie jednej firmy odbywa się z wykorzystaniem protokołów LDAPS, SMTPS CZ IMAPS. To tylko część funkcjonalności dostępnych dzięki Xerox.

 

Ocena ryzyka w zakresie bezpieczeństwa

To nowość w kontekście ochrony danych,  według którego podmioty administrujące i przetwarzające dane zobowiązane są, już na etapie projektowania systemów, szacować ryzyko przetwarzania danych,
a także skutków tego procesu. Z tego powodu wprowadzono możliwość audytowania ról użytkowników w procesie przetwarzanie dokumentów i weryfikacji, kto wykonał konkretne operacje na danych. Standardem zapewnianym przez Xerox jest także regularna kontrola bezpieczeństwa środowiska druku, czyli m.in. weryfikacja dostępu do urządzeń, konfiguracji i wersji oprogramowania wykorzystywanego przez użytkowników.

 

Monitoring w celu wykrywania naruszeń

Na monitoring składa się analiza i wykrywanie naruszeń bezpieczeństwa,
w efekcie którego mogłoby dojść do zniszczenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych. W tym celu stosowane są zabezpieczenia opierające się na sformułowanych w RODO wymaganiach (w szczególności poufności, integralności, dostępności, rozłączności, autentyczności i niezawodności), które umożliwiają kontrolowanie tożsamości osób korzystających z dokumentów, ochronę przed nieuprawnionym dostępem
i zapewniają konkretne reakcje systemu.

 

Wszystkie te mechanizmy są monitorowane pod kątem zgodności środowiska druku i testowane na wypadek ataków typu DoS, DDoS, , DRDoS, SQL Injection, Code Injection i Buffer Overflow – podsumowuje Skowronek.