Kas tai? Eksperto įžvalgos

Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai

Publikuota: 2018-12-03
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento įsigaliojimo paskelbė tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires duomenų tvarkytojams ir valdytojams.

Gairės parengtos remiantis Europos Sąjungos tinklų ir informacijos saugos agentūros (ENISA) rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“. Jose pateikiama 20 organizacinių ir techninių duomenų saugumo priemonių, padėsiančių užtikrinti tvarkomų asmens duomenų saugumą.

Organizacinių saugumo priemonių įgyvendinimo sąrašo viršūnėje turėtų atsidurti:

  • asmens duomenų saugumo politika ir su tuo susijusios procedūros;
  • prieigos prie asmens duomenų valdymo politika;
  • veiklos tęstinumo procedūra, incidento ar asmens duomenų saugumo pažeidimo atveju;
  • atsarginių kopijų ir duomenų atstatymo tvarka;
  • mobiliųjų ir nešiojamų įrenginių naudojimo ir administravimo tvarka; bei
  • IT išteklių, naudojamų asmens duomenims tvarkyti, registras.
  • Techninių duomenų saugumo priemonių sąraše:

  • prieigos kontrolė ir autentifikavimas;
  • techninių žurnalų įrašai ir jų stebėsena;
  • tarnybinių stočių, duomenų bazių apsauga;
  • darbo stočių apsauga;
  • tinklo ir komunikacijos sauga;
  • atsarginių kopijų darymas;
  • programinės įrangos sauga;
  • duomenų naikinimas, šalinimas; bei
  • fizinė sauga.
  • Nepaisant to, neverta  pernelyg  džiūgauti, kad pagaliau atsirado teisinis aiškumas, kokius techninius ir organizacinius reikalavimus reikia įgyvendinti, kad nesulauktumėte milijoninių baudų, tvarkydami jums patikėtus asmens duomenis.

    Kaip nurodo Valstybinė duomenų apsaugos inspekcija, šiose gairėse yra išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmens teisėms ir laisvėms, yra žema.

    Kitaip tariant, ką daryti toms įmonėms, įstaigoms ir organizacijoms, kurių tvarkomų asmens duomenų saugumo rizika yra vidutinė, aukšta ir labai aukšta, lieka ir toliau neaišku.  Be to, tam tikri keliami minimalūs reikalavimai yra gana  abstraktūs, pvz., - fizinė sauga. Rekomendacijose yra nurodoma tik tiek, kad turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos, tačiau kokias priemones reikėtų įgyvendinti, Valstybinė duomenų apsaugos inspekcija nenumato.

    Inspekcija rekomenduoja kiekvienu individuliu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones, tačiau nei rizikos vertinimo kriterijų, nei pavyzdinio sąrašo asmens duomenų saugumo priemonių nepateikia. Turbūt vienintelė išeitis - asmens duomenis tvarkyti vadovaujantis visomis ENISA rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“ ir tikėtis, kad šiuose dokumentuose išvardintų priemonių įgyvendinimas užtikrins tinkamą tvarkomų asmens duomenų apsaugą.

    Pavyzdžiui, vien tik kalbant apie fizinę asmens duomenų apsaugą, standartas numato tokius reikalavimus kaip:

  • IT sistemos infrastruktūros fizinis perimetras turėtų būti neprieinamas leidimo neturintiems darbuotojams;
  • nustatytos saugumo zonos ir patekimo į jas kontrolė, -  naudojamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas;
  • aiškiai nustatyta organizacijos visų darbuotojų ar patalpų lankytojų identifikavimo tvarka naudojant atitinkamas priemones, pvz. tapatybę nustatančias korteles;
  • visose saugumo zonose turėtų būti įdiegtos įsilaužimo aptikimo sistemos;
  • turėtų būti pastatyti fiziniai barjerai, jei įmanoma, užtikrinantys neteisėtą fizinį patekimą;
  • serverinėje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nenutrūkstamas elektros energijos tiekimas (UPS);
  • nenaudojamos saugumo zonos turėtų būti fiziškai užrakintos ir reguliariai tikrinamos;
  • IT palaikymo paslaugas iš išorės teikiantiems asmenims turėtų būti nustatytas ribotas patekimas į saugumo zonas.
  • Taip pat ypatingą dėmesį skirčiau įvykių registravimui ir stebėsenai, kadangi tai yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus.

    Valstybinė duomenų apsaugos inspekcija į tą taip pat atkreipia dėmesį ir nurodo, kad techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui ir pan. Papildomai nurodyčiau, kad turėtų būti registruojami sistemos administratorių ir sistemos operatorių veiksmai, įskaitant  papildomų teisių vartotojui suteikimą/ištrynimą/pakeitimą, o stebėsenos sistema turėtų tvarkyti operacijų įrašus (angl. log files) ir teikti ataskaitas apie sistemos  būklę bei pranešti apie potencialius perspėjimus.

    Rašyti komentarą

    Rašyti komentarą

    Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

    Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















    Svarbiausios dienos naujienos trumpai:



     
    TOP20 didžiausių Lietuvos darbdavių atlyginimai lapkritį 3

    Naujausi „Sodros“ duomenys leidžia pažiūrėti, kokie atlyginimai lapkritį vyravo tarp daugiausia darbuotojų...

    Vadyba
    2018.12.31
    Pranešėjai apie įstatymų pažeidimus turės apsaugos garantijas 1

    Nuo 2019 m. sausio 1 d. Lietuvoje įsigalioja naujas teisės aktas – Pranešėjų apsaugos įstatymas. Jis numatys...

    Verslo aplinka
    2018.12.29
    Geidžiamiausių darbdavių atlyginimai lapkritį 26

    Nauji „Sodros“ duomenys leidžia pažiūrėti, kokie atlyginimai vyravo tarp bendrovių, kurios šiemet pateko į...

    Vadyba
    2018.12.29
    10 svarbiausių vadovų pasikeitimų šalies įmonėse 12

    Vadovų kaita šįmet buvo aktuali ne tik verslui, bet ir valstybės valdomoms įmonėms.

    Vadyba
    2018.12.29
    Parlamentarų padėjėjų algos „į rankas“ augs daugiau kaip šimtu eurų 4

    Seimo valdybai gruodžio viduryje priėmus sprendimą didinti parlamentarų padėjėjų-sekretorių pareiginių algų...

    Vadyba
    2018.12.28
    Įmonės vertybės: nuo „katės maiše“ iki metų darbuotojo Rėmėjo turinys

    Metų pabaiga signalizuoja ne vien apie visų laukiamas šventes, bet ir įmonių metinius vakarėlius. O tokiuose...

    Inovatyvus verslas
    2018.12.28
    Patvirtinta nauja ESO valdyba 3

    AB Energijos skirstymo operatorius (ESO) nepasibaigus praėjusios valdybos narių kadencijai išsirinko naują...

    Vadyba
    2018.12.27
    Seniai regėta atleidimų gausa – viešojo sektoriaus pokyčių rezultatas Premium 6

    Tokių didelių grupinių atleidimų skaičių kaip šiemet nebuvo regėti nuo 2010-ųjų. Tarptautinėms rinkoms...

    Vadyba
    2018.12.27
    „Panoramai“ dešimt metų – penkios išmoktos pamokos Rėmėjo turinys 4

    Dešimt metų prekybos versle – daug. Per tokį laikotarpį gali pasikeisti klientų poreikiai, prekybos kanalai,...

    Didžiausia algų mediana Lietuvoje lapkritį – virš 10.000 Eur

    Nauji „Sodros“ duomenys parodo, kuriose įmonėse vyravo didžiausios atlyginimų medianos lapkritį.

    Vadyba
    2018.12.27
    „Uberizaciją“ pritaikė verslo konsultantų paslaugoms Premium

    Kai Robas Biedermanas ir Patas Petitti 2013 m. pradėjo studijas Harvardo verslo mokykloje, visiems studentams...

    Vadyba
    2018.12.27
    Darbo santykių lankstumas - Lietuvos proveržis ir lyderiaujančių valstybių pamokos 17

    Praėjusiais metais įsigalioję Darbo kodekso pakeitimai pateisino lūkesčius – darbo santykių reguliavimas...

    Verslo aplinka
    2018.12.26
    Darbuotojai nori tik dviejų dalykų 11

    Darbdaviai nenuilsdami mėgina išsiaiškinti, ko iš tiesų nori darbuotojai. Pasirodo, kad atsakymas yra labai...

    Vadyba
    2018.12.25
    Vyriausybės vicekancleris: mokytojų algos turi augti labiau nei vidutinis atlyginimas 1

    Vyriausybės vicekancleris Deividas Matulionis sako, kad mokytojų atlyginimai turi augti labiau nei vidutinis...

    Vadyba
    2018.12.21
    A. Navicko vadovaujama profsąjunga sustabdo streiką 6

    Andriaus Navicko vadovaujama profsąjunga nuo penktadienio oficialiai sustabdo daugiau nei mėnesį trukusį...

    Vadyba
    2018.12.21
    Darbas per šventes: teisės ir apmokėjimas 4

    Jei darbuotojas turi teisę rinktis dirbti šventinę dieną, būtina turėti jo raštišką sutikimą, o už darbą...

    Finansai
    2018.12.20
    Lietuvos oro uostų valdybą papildė nauja narė 4

    Valstybės valdomos įmonės Lietuvos oro uostai (LOU) 5 narių valdybą papildė nauja narė Justina Bučinskaitė.

    Vadyba
    2018.12.19
    Ministras: po streiko mokiniams teks vytis programą, tai reiškia kompensacijas mokytojams 2

    Laikinai Švietimo ir mokslo ministerijai vadovaujantis susisiekimo ministras Rokas Masiulis sako, kad...

    Verslo aplinka
    2018.12.19
    Grupiniai atleidimai: kaip atsisveikinti gražiuoju ir be teismų Premium

    Grupės darbuotojų atleidimas – nemaloni, bet kartais versle neišvengiama procedūra. Kita vertus, tinkamai...

    Vadyba
    2018.12.19
    Vyriausybėje apdovanoti nusipelnę lyderiai antrepreneriai Rėmėjo turinys 2

    Penktadienį LR Vyriausybėje vykusioje Kalėdinėje mokinių bendrovių, startuolių mugėje, kurioje 196 mokiniai...

    Vadyba
    2018.12.19

    Verslo žinių pasiūlymai

    Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
    Sutinku Plačiau