Kas tai? Eksperto įžvalgos

Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai

Publikuota: 2018-12-03
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento įsigaliojimo paskelbė tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires duomenų tvarkytojams ir valdytojams.

Gairės parengtos remiantis Europos Sąjungos tinklų ir informacijos saugos agentūros (ENISA) rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“. Jose pateikiama 20 organizacinių ir techninių duomenų saugumo priemonių, padėsiančių užtikrinti tvarkomų asmens duomenų saugumą.

Organizacinių saugumo priemonių įgyvendinimo sąrašo viršūnėje turėtų atsidurti:

  • asmens duomenų saugumo politika ir su tuo susijusios procedūros;
  • prieigos prie asmens duomenų valdymo politika;
  • veiklos tęstinumo procedūra, incidento ar asmens duomenų saugumo pažeidimo atveju;
  • atsarginių kopijų ir duomenų atstatymo tvarka;
  • mobiliųjų ir nešiojamų įrenginių naudojimo ir administravimo tvarka; bei
  • IT išteklių, naudojamų asmens duomenims tvarkyti, registras.
  • Techninių duomenų saugumo priemonių sąraše:

  • prieigos kontrolė ir autentifikavimas;
  • techninių žurnalų įrašai ir jų stebėsena;
  • tarnybinių stočių, duomenų bazių apsauga;
  • darbo stočių apsauga;
  • tinklo ir komunikacijos sauga;
  • atsarginių kopijų darymas;
  • programinės įrangos sauga;
  • duomenų naikinimas, šalinimas; bei
  • fizinė sauga.
  • Nepaisant to, neverta  pernelyg  džiūgauti, kad pagaliau atsirado teisinis aiškumas, kokius techninius ir organizacinius reikalavimus reikia įgyvendinti, kad nesulauktumėte milijoninių baudų, tvarkydami jums patikėtus asmens duomenis.

    Kaip nurodo Valstybinė duomenų apsaugos inspekcija, šiose gairėse yra išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmens teisėms ir laisvėms, yra žema.

    Kitaip tariant, ką daryti toms įmonėms, įstaigoms ir organizacijoms, kurių tvarkomų asmens duomenų saugumo rizika yra vidutinė, aukšta ir labai aukšta, lieka ir toliau neaišku.  Be to, tam tikri keliami minimalūs reikalavimai yra gana  abstraktūs, pvz., - fizinė sauga. Rekomendacijose yra nurodoma tik tiek, kad turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos, tačiau kokias priemones reikėtų įgyvendinti, Valstybinė duomenų apsaugos inspekcija nenumato.

    Inspekcija rekomenduoja kiekvienu individuliu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones, tačiau nei rizikos vertinimo kriterijų, nei pavyzdinio sąrašo asmens duomenų saugumo priemonių nepateikia. Turbūt vienintelė išeitis - asmens duomenis tvarkyti vadovaujantis visomis ENISA rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“ ir tikėtis, kad šiuose dokumentuose išvardintų priemonių įgyvendinimas užtikrins tinkamą tvarkomų asmens duomenų apsaugą.

    Pavyzdžiui, vien tik kalbant apie fizinę asmens duomenų apsaugą, standartas numato tokius reikalavimus kaip:

  • IT sistemos infrastruktūros fizinis perimetras turėtų būti neprieinamas leidimo neturintiems darbuotojams;
  • nustatytos saugumo zonos ir patekimo į jas kontrolė, -  naudojamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas;
  • aiškiai nustatyta organizacijos visų darbuotojų ar patalpų lankytojų identifikavimo tvarka naudojant atitinkamas priemones, pvz. tapatybę nustatančias korteles;
  • visose saugumo zonose turėtų būti įdiegtos įsilaužimo aptikimo sistemos;
  • turėtų būti pastatyti fiziniai barjerai, jei įmanoma, užtikrinantys neteisėtą fizinį patekimą;
  • serverinėje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nenutrūkstamas elektros energijos tiekimas (UPS);
  • nenaudojamos saugumo zonos turėtų būti fiziškai užrakintos ir reguliariai tikrinamos;
  • IT palaikymo paslaugas iš išorės teikiantiems asmenims turėtų būti nustatytas ribotas patekimas į saugumo zonas.
  • Taip pat ypatingą dėmesį skirčiau įvykių registravimui ir stebėsenai, kadangi tai yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus.

    Valstybinė duomenų apsaugos inspekcija į tą taip pat atkreipia dėmesį ir nurodo, kad techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui ir pan. Papildomai nurodyčiau, kad turėtų būti registruojami sistemos administratorių ir sistemos operatorių veiksmai, įskaitant  papildomų teisių vartotojui suteikimą/ištrynimą/pakeitimą, o stebėsenos sistema turėtų tvarkyti operacijų įrašus (angl. log files) ir teikti ataskaitas apie sistemos  būklę bei pranešti apie potencialius perspėjimus.

    Rašyti komentarą

    Rašyti komentarą

    Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

    Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















    Svarbiausios dienos naujienos trumpai:



     
    Gėlininkių istorijos: kodėl metė gerus darbus ir ėmėsi verslo

    Gėlės moteris kartais pavilioja taip, kad dėl jų atsisako gerai apmokamo darbo ir karjeros. Nors verslininkių...

    Vadyba
    2018.12.03
    Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai Rėmėjo turinys 1

    Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento...

    Vadyba
    2018.12.03
    Algų augimo čempionas – Kaunas 1

    Trečiąjį ketvirtį metinis algų augimas didžiausias buvo Kaune, tačiau šio miesto apskrityje vyraujantis...

    Vadyba
    2018.12.03
    Verslo procesų valdymas: atsakymai į šiandienos iššūkius Rėmėjo turinys

    Vilma Nasteckienė, ISM Vadovų magistrantūros valdymo Verslo procesų modulio vadovė, holistinės „LEAN“ vadybos...

    Vadyba
    2018.12.03
    Iš pirkimų gali išmesti ir be pagrindo: patikimumo kriterijai neatitinka direktyvos Premium

    Verslas, kuris neatitinka patikimo mokesčių mokėtojo kriterijų, negalės dalyvauti viešuosiuose pirkimuose,...

    Finansai
    2018.12.03
    Kaip ūkio ministras komandą būrė Premium 3

    Jauniausias Lietuvos ministras Virginijus Sinkevičius teigia, kad jam pasisekė – jis galėjo viceministrų...

    Vadyba
    2018.12.03
    Moteris, kuri nugalėjo Madrido „Real“

    „Istorinė pergalė ir svajonė, kurios visą laiką siekėme“, – taip pergalę rezultatu 3:0 prieš didįjį Madrido...

    Laisvalaikis
    2018.12.02
    Tyrimas: 1 iš 3 vadovų stresas išjungia smegenis

    Stresui neatsparūs vadovai sunkiau valdo įtemptas situacijas, priima ryžtingas sprendimus bei koordinuoja...

    Vadyba
    2018.12.01
    Vyriausybė kviečiasi mokytojų profsąjungas 29

    Vyriausybė pirmadienį rengia posėdį, kur svarstys biudžeto projektą ir su profsąjungomis aptars jų...

    Vadyba
    2018.11.30
    Kai atlyginimus kelti darosi sunku, darbuotojus vilioja kitaip: „Maximos“, H&M, „Lidl“ sprendimai Premium 11

    Prekybos sektoriuje atlyginimai vieni mažesnių, todėl pritraukti ir išlaikyti darbuotojus nėra lengva.

    J. Petrauskienės ir profsąjungų derybose – pertrauka 12

    Švietimo ir mokslo ministerijoje (ŠMM) ketvirtadienį baigėsi pirmasis derybų etapas tarp profesinių sąjungų...

    Vadyba
    2018.11.29
    TOP20 didžiausių darbdavių algos: užmokestį kelia prekybos tinklai 9

    Tarp didžiųjų darbdavių atlyginimus augina ne tik valstybinės įstaigos. Apie keliamas algas praneša ir...

    Vadyba
    2018.11.29
    Jūrinės krovos įmonė į darbuotojų ateitį investuoja kaupdama INVL pensijų fonduose Rėmėjo turinys

    Klaipėdoje įsikūrusi jūrinės krovos bendrovė „Malkų įlankos terminalas“, siekdama pasirūpinti savo darbuotojų...

    Vadyba
    2018.11.29
    Kaip išvengti nesklandumų rengiant susitikimus organizacijoje Rėmėjo turinys

    Kartu su naujų biurų bei verslo centrų bumu į Lietuvą ateina ir naujovė, smarkiai palengvinanti vidinį darbo...

    Vadyba
    2018.11.29
    Nauji Konkurencijos tarybos įgaliojimai gali būti skausmingi įmonėms Rėmėjo turinys 9

    Praėjusią savaitę Vyriausybė Seime užregistravo Konkurencijos įstatymo pataisas. Įstatymo pakeitimais...

    Vadyba
    2018.11.28
    Futurologo receptas vadovams: kaip pasiruošti miglotai ateičiai Premium

    Vadovai bandydami susigaudyti dabartiniuose pasaulio pokyčiuose patiria daug streso. Tačiau Alfas Rehnas,...

    Vadyba
    2018.11.28
    Profsąjungos vadovas A. Navickas švietimo ministrę kaltina derybų imitavimu 6

    Dėl etatinio darbo apmokėjimo modelio streikuojanti švietimo profsąjunga ministrę Jurgitą Petrauskienę...

    Vadyba
    2018.11.28
    Galimybė „LinkedIn“: kalbėti ne darbdavio, o darbuotojų lūpomis Premium

    „LinkedIn“ atsiranda daugiau galimybių dalytis naujienomis ir straipsniais, dalykiniais darbuotojų įrašais...

    Rinkodara
    2018.11.28
    „Visma Group“ vadovas: darbuotojai į darbą ateina dėl 4 priežasčių Premium

    Šiandienos vadovas turi sugebėti nuolat keistis, išmokti dirbti neapibrėžtumo sąlygomis, tačiau ir neprarasti...

    Vadyba
    2018.11.28
    Startuolio „PulseTip“ apklausų sprendimas – tarp 40-ies geriausių pasaulyje Premium 1

    Darbuotojų apklausų startuolis „PulseTip“, kuris šių metų konkurse „Naujasis knygnešys 2018“ iškovojo...

    Technologijos
    2018.11.27

    Verslo žinių pasiūlymai

    Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
    Sutinku Plačiau