Что аудиторы спрашивают о контроле персональных данных
Аудиторы GDPR и ISO 27001 задают стандартный вопрос: «Какие средства контроля у вас есть для анонимизации персональных данных?»
Они ожидают один чёткий ответ. Одно средство контроля. Применяемое одинаково каждый раз. С документацией и доказательствами.
Опасный ответ звучит примерно так: «Зависит от контекста. Расширение Chrome — для веб-браузинга. Макрос Word — для юридических документов. Python-скрипт — для пакетных файлов. Веб-приложение — для срочных запросов».
Такой ответ влечёт дополнительные вопросы: «Каковы пробелы в покрытии между этими инструментами? Где журнал аудита?»
Фрагментированный набор инструментов не может ответить на эти вопросы. В этом и состоит проблема соответствия.
Проблема единообразия покрытия
Разные инструменты защиты персональных данных используют разные методы обнаружения. Их результаты различаются — иногда значительно.
Инструменты только на основе регулярных выражений ищут фиксированные шаблоны. Формат SSN. Формат электронной почты. Формат номера кредитной карты. Сущности на основе NER они пропускают. Имена людей и форматы, отличные от американских, остаются необнаруженными.
Инструменты только на основе NER обнаруживают типы сущностей с помощью обученных моделей. Сущности на основе шаблонов они пропускают. IBAN и пользовательские идентификаторы остаются незамеченными, если их нет в обучающих данных.
У каждого инструмента разное покрытие сущностей. У каждого разные пороги достоверности. Один и тот же документ через Инструмент A и Инструмент C может дать разные результаты. VERIFIED.
Это создаёт прямой пробел в соответствии. Инструмент A используется для PDF. Инструмент B — для Excel. Инструмент A обнаруживает даты рождения. Инструмент B — нет. Дата рождения одного и того же человека анонимизируется в PDF, но остаётся открытой в файлах Excel.
Пробел определяется форматом файла — а не политикой. Не намерением.
Следователи органов защиты данных могут обнаружить этот пробел в ходе расследования нарушения. Несоответствие инструментов становится фактором уязвимости. VERIFIED — Статья 32 GDPR требует систематических технических мер.
Проблема журнала аудита
Соответствие требованиям предполагает доказательства единообразного применения средств контроля. Для анонимизации персональных данных таким доказательством является журнал аудита.
Четыре инструмента создают четыре разных формата журналов. Некоторые не создают журналов вовсе.
Макрос Word не оставляет записи аудита. Python-скрипт может записывать данные в локальный файл. Этот файл не связан с вашей системой соответствия. Расширение Chrome может записывать журналы на стороне браузера. Эти журналы недоступны для проверки соответствия.
Когда расследование органа защиты данных запрашивает доказательства аудита, работает один ответ: централизованный журнал, охватывающий всю обработку при анонимизации на всех платформах.
Другой ответ не работает. Журналы на локальном компьютере разработчика от макроса Word — недостаточны.
Единая платформа делает возможным единый журнал аудита. Фрагментированный набор инструментов делает это невозможным.
Подробнее о требованиях к журналам аудита — в статье «Объяснимое редактирование и журналы аудита HIPAA».
Проблема дрейфа конфигурации
Со временем разные инструменты приобретают разные конфигурации. Это происходит постепенно и незаметно.
Рассмотрим распространённый сценарий. Расширение Chrome обновляется с добавлением пользовательских типов сущностей. Python-скрипт не обновляется. Макрос Word был настроен сотрудником, который уже уволился. Никто не знает текущих настроек. Пресет веб-приложения изменяется, исключая имена подрядчиков. Это изменение никогда не доходит до других инструментов.
Обновление одного инструмента без обновления остальных приводит к дрейфу. Со временем дрейф создаёт пробелы.
Аудиторы ISO 27001 запрашивают документацию по конфигурации. «У нас четыре инструмента, четыре конфигурации, и мы не уверены, что они актуальны» — неудовлетворительный ответ. VERIFIED — Приложение A 8.11 ISO/IEC 27001:2022 (Маскирование данных) требует задокументированных, единообразных средств контроля; ISO/IEC 27001:2022.
Вывод ISO 27001 на практике
Компания по соблюдению нормативных требований из 15 человек использовала четыре инструмента. Веб-скрапер — для онлайн-данных. Настольный инструмент для Windows — для пакетных файлов. Макрос Word — для юридических документов. Расширение Chrome — для ИИ-инструментов.
Аудит ISO 27001 зафиксировал нарушение. Разные результаты обнаружения на разных платформах. Отсутствие централизованного журнала аудита. Пробел в Приложении A 8.11. Не было продемонстрировано единообразное применение средства контроля. VERIFIED-EXTERNAL — это соответствует задокументированным шаблонам несоответствия ISO 27001 Приложению A 8.11.
Нарушение потребовало плана корректирующих действий. Корректирующим действием стала консолидация платформ.
После консолидации компания использовала единый движок обнаружения на всех четырёх платформах. Одни и те же пресеты применялись в каждом контексте. Вся обработка регистрировалась в одном месте. Нарушение ISO 27001 было закрыто на следующем аудите.
Проект занял шесть недель. Он заменил 12-страничный ответ на корректирующие действия закрытым нарушением.
Подробнее о том, как единообразная анонимизация обеспечивает готовность к аудиту GDPR, — в статье «Единообразие анонимизации, пресеты и аудиты GDPR».
Тест на соответствие требованиям
Можете ли вы ответить на эти четыре вопроса без колебаний?
- Какие типы сущностей обнаруживаются на каждой платформе, используемой вашей командой?
- Каков порог обнаружения для каждого типа сущностей, единообразный для всех платформ?
- Где находится централизованный журнал аудита для всей анонимизации за последние 12 месяцев?
- Как вы гарантируете, что изменения конфигурации применяются ко всем платформам?
Если хоть один вопрос вызывает затруднение — фрагментация создаёт риск несоответствия.
Чёткий ответ на все четыре вопроса достижим. Для этого нужен единый движок на всех платформах. Без него каждый инструмент создаёт собственный пробел в покрытии. Собственное изолированное хранилище журнала аудита. Собственный дрейф конфигурации.
Аудиторы замечают эти пробелы. Следователи органов защиты данных могут ими воспользоваться. Консолидация до получения вывода аудита значительно проще, чем после.
Подробнее о влиянии фрагментации инструментов на кросс-платформенный контроль GDPR — в статье «Аудит GDPR и фрагментация инструментов персональных данных между платформами».