Kas tai? Eksperto įžvalgos

Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai

Reklama publikuota: 2018-12-03
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
svg svg
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento įsigaliojimo paskelbė tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires duomenų tvarkytojams ir valdytojams.

Gairės parengtos remiantis Europos Sąjungos tinklų ir informacijos saugos agentūros (ENISA) rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“. Jose pateikiama 20 organizacinių ir techninių duomenų saugumo priemonių, padėsiančių užtikrinti tvarkomų asmens duomenų saugumą.

Organizacinių saugumo priemonių įgyvendinimo sąrašo viršūnėje turėtų atsidurti:

  1. asmens duomenų saugumo politika ir su tuo susijusios procedūros;
  2. prieigos prie asmens duomenų valdymo politika;
  3. veiklos tęstinumo procedūra, incidento ar asmens duomenų saugumo pažeidimo atveju;
  4. atsarginių kopijų ir duomenų atstatymo tvarka;
  5. mobiliųjų ir nešiojamų įrenginių naudojimo ir administravimo tvarka; bei
  6. IT išteklių, naudojamų asmens duomenims tvarkyti, registras.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Techninių duomenų saugumo priemonių sąraše:

  1. prieigos kontrolė ir autentifikavimas;
  2. techninių žurnalų įrašai ir jų stebėsena;
  3. tarnybinių stočių, duomenų bazių apsauga;
  4. darbo stočių apsauga;
  5. tinklo ir komunikacijos sauga;
  6. atsarginių kopijų darymas;
  7. programinės įrangos sauga;
  8. duomenų naikinimas, šalinimas; bei
  9. fizinė sauga.

Nepaisant to, neverta  pernelyg  džiūgauti, kad pagaliau atsirado teisinis aiškumas, kokius techninius ir organizacinius reikalavimus reikia įgyvendinti, kad nesulauktumėte milijoninių baudų, tvarkydami jums patikėtus asmens duomenis.

Kaip nurodo Valstybinė duomenų apsaugos inspekcija, šiose gairėse yra išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmens teisėms ir laisvėms, yra žema.

Kitaip tariant, ką daryti toms įmonėms, įstaigoms ir organizacijoms, kurių tvarkomų asmens duomenų saugumo rizika yra vidutinė, aukšta ir labai aukšta, lieka ir toliau neaišku.  Be to, tam tikri keliami minimalūs reikalavimai yra gana  abstraktūs, pvz., - fizinė sauga. Rekomendacijose yra nurodoma tik tiek, kad turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos, tačiau kokias priemones reikėtų įgyvendinti, Valstybinė duomenų apsaugos inspekcija nenumato.

Inspekcija rekomenduoja kiekvienu individuliu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones, tačiau nei rizikos vertinimo kriterijų, nei pavyzdinio sąrašo asmens duomenų saugumo priemonių nepateikia. Turbūt vienintelė išeitis - asmens duomenis tvarkyti vadovaujantis visomis ENISA rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“ ir tikėtis, kad šiuose dokumentuose išvardintų priemonių įgyvendinimas užtikrins tinkamą tvarkomų asmens duomenų apsaugą.

Pavyzdžiui, vien tik kalbant apie fizinę asmens duomenų apsaugą, standartas numato tokius reikalavimus kaip:

  1. IT sistemos infrastruktūros fizinis perimetras turėtų būti neprieinamas leidimo neturintiems darbuotojams;
  2. nustatytos saugumo zonos ir patekimo į jas kontrolė, -  naudojamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas;
  3. aiškiai nustatyta organizacijos visų darbuotojų ar patalpų lankytojų identifikavimo tvarka naudojant atitinkamas priemones, pvz. tapatybę nustatančias korteles;
  4. visose saugumo zonose turėtų būti įdiegtos įsilaužimo aptikimo sistemos;
  5. turėtų būti pastatyti fiziniai barjerai, jei įmanoma, užtikrinantys neteisėtą fizinį patekimą;
  6. serverinėje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nenutrūkstamas elektros energijos tiekimas (UPS);
  7. nenaudojamos saugumo zonos turėtų būti fiziškai užrakintos ir reguliariai tikrinamos;
  8. IT palaikymo paslaugas iš išorės teikiantiems asmenims turėtų būti nustatytas ribotas patekimas į saugumo zonas.

Taip pat ypatingą dėmesį skirčiau įvykių registravimui ir stebėsenai, kadangi tai yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus.

Valstybinė duomenų apsaugos inspekcija į tą taip pat atkreipia dėmesį ir nurodo, kad techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui ir pan. Papildomai nurodyčiau, kad turėtų būti registruojami sistemos administratorių ir sistemos operatorių veiksmai, įskaitant  papildomų teisių vartotojui suteikimą/ištrynimą/pakeitimą, o stebėsenos sistema turėtų tvarkyti operacijų įrašus (angl. log files) ir teikti ataskaitas apie sistemos  būklę bei pranešti apie potencialius perspėjimus.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Tema „Vadyba“
Nuo šiol bus taikoma skaidresnė dienpinigių mokėjimo tvarka

Valstybinės darbo inspekcijos (VDI) duomenimis, 2021 metais darbo ginčų komisijos gavo beveik 5.400 prašymų...

Vadyba
12:13
VŽ klausomiausi podkastai kovą

Pateikiame daugiausia „Verslo žinių“ prenumeratorių dėmesio sulaukusių podkastų TOP 10.

Verslo aplinka
2022.04.01
Prognozuojama, kad darbuotojų kaita šiemet augs pusantro karto: kaip reikia keistis vadovams Premium 4

Daugelis, prasidėjus karui, manė, kad darbuotojų migracija bus kur kas mažesnė ar sustos. Visgi, anot...

Vadyba
2022.04.01
„Compensa“ valdybai vadovauja T. Milašius

Tomas Milašius perima vadovavimą Baltijos šalyse paslaugas teikiančiai gyvybės draudimo bendrovei „Compensa...

Vadyba
2022.04.01
„Sodra“: ligos išmoką už dvi pirmas nedarbingumo dienas gaus visi darbuotojai 2

Darbuotojui susirgus, nuo balandžio 1 d. kiekvienas darbdavys mokės jam ligos išmoką už dvi pirmąsias...

Vadyba
2022.04.01
Psichologas J. Burokas: ukrainiečiai kur kas tvirtesni už mus Premium

„Pasitraukusieji nuo karo išgyveno įvairiausių patirčių ir, mano galva, nėra tokie trapūs, kaip mums kartais...

Laisvalaikis
2022.04.01
Specialistų trūksta, alga ne per didžiausia: stringa Kibernetinio saugumo centro vadovo paieška Premium 1

Krašto apsaugos ministerijai (KAM) kol kas sunkiai sekasi surasti naująjį Nacionalinio kibernetinio saugumo...

Inovacijos
2022.04.01
Euro zonoje nedarbas vasarį siekė 6,8%, Lietuvoje – 7%

Vasarį euro zonoje darbo neturėjo 6,8% darbo ieškančių asmenų – 0,1 proc. punkto mažiau nei sausio mėnesį.

Vadyba
2022.03.31
Tarp TOP 20 įtakingiausiųjų – nauji vardai

Šių metų potencialios įtakos indekso TOP 20 kone pusė pernai čia nebuvusių vardų. Tarp naujai patekusių yra...

Rinkodara
2022.03.31
Viliasi, kad naujas bandymas perkrauti valstybės tarnybą nemeluos Premium 5

Ingridos Šimonytės Vyriausybė puoselėja planus padėti viešojo administravimo sistemos pertvarkos pagrindus,...

Verslo aplinka
2022.03.31
„Tūkstantmečio mokyklų“ programoje dalyvaus 54 iš 60 savivaldybių 1

„Tūkstantmečio mokyklų“ programoje dalyvaus 54 iš 60 savivaldybių, sako Jurgita Šiugždinienė, Švietimo,...

Vadyba
2022.03.30
Tadas Dovbyšas: stipri organizacijos kultūra – geriausia instrukcija visiems gyvenimo atvejams Verslo tribūna

Nepaisant rimtus išbandymus atnešusio pandeminio laikotarpio, draudimo bendrovė ERGO stiprino tiek komandos...

PowerUP
2022.03.30
Iš „Inter Rao Lietuva“ stebėtojų tarybos pasitraukė J. Garbaravičius ir R. Davidovičius 2

Verslininkas Jonas Garbaravičius pasitraukė iš Rusijos energetikos milžinės „Inter RAO“ netiesiogiai...

Pramonė
2022.03.29
Geidžiamiausių darbdavių vasario atlygio medianos Premium

Naujausi „Sodros“ duomenys rodo, kokias algų medianas šių metų antrąjį mėnesį darbuotojams mokėjo...

Vadyba
2022.03.29
V. Vasiliauskas: geras, kompetentingas biurokratas yra vertybė Premium 16

Vyriausybė tikisi pradėti viešojo administravimo reformos įgyvendinimą. Pasak premjerės patarėjo Vito...

Verslo aplinka
2022.03.29
Atidaromas didžiausias dienos SPA centras Vilniaus mieste Verslo tribūna 1

Vilniaus senamiestyje, verslo ir laisvalaikio komplekse „Bokšto skveras“, vilniečiams ir miesto svečiams...

Verslo aplinka
2022.03.29
Startuolio savo noru nepaliko nė vienas darbuotojas: ką galima būtų pritaikyti ir kitoms organizacijoms Premium 3

Lietuviškas transporto užsakymų valdymo startuolis „GoRamp“ per pastaruosius kelerius metus užaugino komandą...

Vadyba
2022.03.28
Kokias algų medianas vasarį mokėjo didžiausi šalies darbdaviai Premium

„Sodros“ duomenys rodo, kad šių metų vasarį ant aukščiausiojo atlyginimų medianų laiptelio ir toliau laikosi...

Vadyba
2022.03.28
Ukrainiečių įdarbinimas: procesas palengvintas, tačiau dar yra likę daug nežinomųjų Premium

Kalbinti verslų atstovai, nors ir giria pagreitėjusį procesą, kartu pripažįsta, kad dar yra daug tobulintinų...

Vadyba
2022.03.28
Rusiją palaikantys darbuotojai – kaip elgtis vadovui? 2

Šiuo metu vadovams iškyla daug nestandartinių klausimų. Vienas iš jų – kaip elgtis su Rusijos karinius...

Vadyba
2022.03.26

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku