Kokiomis priemonėmis organizacijoje galima tinkamai apsaugoti asmens duomenis?

2018-12-04

Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė 20 minimalių organizacinių ir techninių reikalavimų bei priemonių, kurių paskirtis – padėti apsaugoti asmens duomenis kiekvienoje organizacijoje. Šiuos reikalavimus privalo įgyvendinti kiekviena asmens duomenis tvarkanti organizacija ar asmuo, o daugelis imtis ir papildomų, kad užtikrintų tinkamą savo tvarkomų asmens duomenų saugumo lygį.

Remiantis VDAI pateikta informacija, 10 minimalių reikalavimų dėl tinkamų organizacinių duomenų saugumo priemonių yra šie:

1. Asmens duomenų saugumo politika ir procedūros. Turi būti patvirtinta įmonėje ar organizacijos Asmens duomenų saugumo politika ir peržiūrima ne rečiau kaip kartą kartą per metus.
2. Vaidmenys ir atsakomybės. Turi būti aiškiai apibrėžtos darbuotojų pareigos bei atsakomybės.
3. Prieigos valdymo politika. Konkrečiam darbuotojui turi būti priskirtos konkrečios prieigos kontrolės teisės, užtikrinant, kad turima prieiga tik prie tų duomenų, kurie reikalingi pavestoms funkcijoms atlikti.
4. Išteklių ir turto valdymas. Organizacija turi turėti IT išteklių, naudojamų asmens duomenims tvarkyti, o registro tvarkymas turi būti priskirtas konkrečiam asmeniui.
5. Pakeitimų valdymas. Organizacija turi užtikrinti, kad visi IT sistemų pakeitimai būtų stebimi ir registruojami konkretaus asmens.
6. Duomenų tvarkytojai. Turi būti dokumentuotas bendradarbiavimas įmonės ar organizacijos su pasitelktais duomenų tvarkytojais.
7. Asmens duomenų saugumo pažeidimai ir incidentai. Turi būti nustatytas reagavimo į incidentus planas ir pranešimo apie pažeidimus kompetentingoms institucijoms.
8. Veiklos tęstinumas. Organizacija turi nustatyti pagrindines procedūras, kurių reikia laikytis incidento ar asmens duomenų saugumo pažeidimo atveju.
9. Personalo konfidencialumas. Organizacija turi užtikrinti, kad visi darbuotojai suprastų savo atsakomybes ir įsipareigojimus, susijusius su asmens duomenų tvarkymu.
10. Mokymai. Organizacija turi organizuoti reguliarius mokymus apie dėl atitinkamus duomenų apsaugos reikalavimus ir teisinius įsipareigojimus darbuotojams, susijusiems su asmens duomenų tvarkymu.

Atitinkamai VDAI pateikė ir 10 minimalių reikalavimų dėl tinkamų techninių duomenų saugumo priemonių, kurie apima:

1. Prieigų kontrolę ir autentifikavimą. Turi būti įdiegta ir įgyvendinta bei visiems IT sistemos naudotojams taikoma Prieigų kontrolės sistema, leidžianti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras.
2. Techninių žurnalų įrašus ir stebėseną. Techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui. Techniniuose žurnaluose turi būti matomi visi įmanomi prieigų prie asmens duomenų įrašų tipai (pvz., data, laikas, peržiūrėjimas, keitimas, panaikinimas).
3. Tarnybinių stočių, duomenų bazių apsaugai. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi būti sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi apdoroti tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų apdorojimo tikslus.
4. Darbo stočių apsaugai. Antivirusinės taikomosios programos ir jų informacijos apie virusus duomenų bazės turi būti atnaujinamos ne rečiau kaip kas savaitę, o naudotojams negalima turėti privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos.
5. Tinklo ir komunikacijos saugai. Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu, privaloma naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus (pvz., TLS, SSL).
6. Atsarginėms kopijoms. Atsarginės kopijos ir duomenų atstatymo procedūros privalo būti apibrėžtos, dokumentuotos ir aiškiai susaistytos su rolėmis ir pareigomis.
7. Mobiliesiems, nešiojamiems įrenginiams. Mobiliųjų ir nešiojamų įrenginių administravimo procedūros privalo būti nustatytos ir dokumentuotos, mobilieji, nešiojami įrenginiai, kuriais bus naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi turi būti užregistruoti ir autorizuoti.
8. Programinės įrangos saugai. Informacinėse sistemose naudojama programinė įranga (asmens duomenims apdoroti) turi atitikti programinės įrangos saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus.
9. Duomenų naikinimas, šalinimas. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys.
10. Fizinė sauga. Turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos.

VDAI pateiktas minimalių duomenų apsaugos priemonių sąrašas organizacijoms leidžia geriau pasiruošti asmens duomenų ir privatumo apsaugai, o kartu ir pasiruošti VDAI atliekamiems patikrinimams, kurios VDAI nuosekliai atlieka ne tik gindama pažeistas asmens duomenų subjektų teises, tačiau ir savo iniciatyva.

Parengta remiantis VDAI inf.

Naujienlaiškio prenumerataSusisiekti