Kas tai? Eksperto įžvalgos

Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai

Publikuota: 2018-12-03
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento įsigaliojimo paskelbė tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires duomenų tvarkytojams ir valdytojams.

Gairės parengtos remiantis Europos Sąjungos tinklų ir informacijos saugos agentūros (ENISA) rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“. Jose pateikiama 20 organizacinių ir techninių duomenų saugumo priemonių, padėsiančių užtikrinti tvarkomų asmens duomenų saugumą.

Organizacinių saugumo priemonių įgyvendinimo sąrašo viršūnėje turėtų atsidurti:

  • asmens duomenų saugumo politika ir su tuo susijusios procedūros;
  • prieigos prie asmens duomenų valdymo politika;
  • veiklos tęstinumo procedūra, incidento ar asmens duomenų saugumo pažeidimo atveju;
  • atsarginių kopijų ir duomenų atstatymo tvarka;
  • mobiliųjų ir nešiojamų įrenginių naudojimo ir administravimo tvarka; bei
  • IT išteklių, naudojamų asmens duomenims tvarkyti, registras.
  • Techninių duomenų saugumo priemonių sąraše:

  • prieigos kontrolė ir autentifikavimas;
  • techninių žurnalų įrašai ir jų stebėsena;
  • tarnybinių stočių, duomenų bazių apsauga;
  • darbo stočių apsauga;
  • tinklo ir komunikacijos sauga;
  • atsarginių kopijų darymas;
  • programinės įrangos sauga;
  • duomenų naikinimas, šalinimas; bei
  • fizinė sauga.
  • Nepaisant to, neverta  pernelyg  džiūgauti, kad pagaliau atsirado teisinis aiškumas, kokius techninius ir organizacinius reikalavimus reikia įgyvendinti, kad nesulauktumėte milijoninių baudų, tvarkydami jums patikėtus asmens duomenis.

    Kaip nurodo Valstybinė duomenų apsaugos inspekcija, šiose gairėse yra išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmens teisėms ir laisvėms, yra žema.

    Kitaip tariant, ką daryti toms įmonėms, įstaigoms ir organizacijoms, kurių tvarkomų asmens duomenų saugumo rizika yra vidutinė, aukšta ir labai aukšta, lieka ir toliau neaišku.  Be to, tam tikri keliami minimalūs reikalavimai yra gana  abstraktūs, pvz., - fizinė sauga. Rekomendacijose yra nurodoma tik tiek, kad turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos, tačiau kokias priemones reikėtų įgyvendinti, Valstybinė duomenų apsaugos inspekcija nenumato.

    Inspekcija rekomenduoja kiekvienu individuliu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones, tačiau nei rizikos vertinimo kriterijų, nei pavyzdinio sąrašo asmens duomenų saugumo priemonių nepateikia. Turbūt vienintelė išeitis - asmens duomenis tvarkyti vadovaujantis visomis ENISA rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“ ir tikėtis, kad šiuose dokumentuose išvardintų priemonių įgyvendinimas užtikrins tinkamą tvarkomų asmens duomenų apsaugą.

    Pavyzdžiui, vien tik kalbant apie fizinę asmens duomenų apsaugą, standartas numato tokius reikalavimus kaip:

  • IT sistemos infrastruktūros fizinis perimetras turėtų būti neprieinamas leidimo neturintiems darbuotojams;
  • nustatytos saugumo zonos ir patekimo į jas kontrolė, -  naudojamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas;
  • aiškiai nustatyta organizacijos visų darbuotojų ar patalpų lankytojų identifikavimo tvarka naudojant atitinkamas priemones, pvz. tapatybę nustatančias korteles;
  • visose saugumo zonose turėtų būti įdiegtos įsilaužimo aptikimo sistemos;
  • turėtų būti pastatyti fiziniai barjerai, jei įmanoma, užtikrinantys neteisėtą fizinį patekimą;
  • serverinėje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nenutrūkstamas elektros energijos tiekimas (UPS);
  • nenaudojamos saugumo zonos turėtų būti fiziškai užrakintos ir reguliariai tikrinamos;
  • IT palaikymo paslaugas iš išorės teikiantiems asmenims turėtų būti nustatytas ribotas patekimas į saugumo zonas.
  • Taip pat ypatingą dėmesį skirčiau įvykių registravimui ir stebėsenai, kadangi tai yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus.

    Valstybinė duomenų apsaugos inspekcija į tą taip pat atkreipia dėmesį ir nurodo, kad techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui ir pan. Papildomai nurodyčiau, kad turėtų būti registruojami sistemos administratorių ir sistemos operatorių veiksmai, įskaitant  papildomų teisių vartotojui suteikimą/ištrynimą/pakeitimą, o stebėsenos sistema turėtų tvarkyti operacijų įrašus (angl. log files) ir teikti ataskaitas apie sistemos  būklę bei pranešti apie potencialius perspėjimus.

    Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

    Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













    Svarbiausios dienos naujienos trumpai:



     
    Rašyti komentarą 0
    Testamentų misija – dūlėti stalčiuose, šeimos fondų – užtikrinti verslo tęstinumą

    Ką daryti, kad verslas, užaugintas per visą jo įkūrėjo gyvenimą, dešimtmečius ir šimtmečius veiktų pagal...

    Verslo aplinka
    2019.12.31
    Lietuvos paštui ieškomi nepriklausomi valdybos nariai 1

    Susisiekimo ministerija praneša su atsirinktos personalo atrankos agentūros pagalba pradedanti kandidatūrų į...

    Geidžiamiausių darbdavių mokamos algų medianos lapkričio mėnesį 1

    Naujausi „Sodros“ duomenys rodo, kokias algų medianas lapkritį mokėjo geidžiamiausi šalies darbdaviai.

    Vadyba
    2019.12.31
    Kaip žaidžiant „Lego“ tapti geresniu lyderiu Premium

    Malonu pranešti, kad praėjusią savaitę žengiau keletą reikšmingų žingsnių klimato krizės sprendimo link. Ne...

    Vadyba
    2019.12.30
    Darbo santykių reglamentavimas: svarbiausi pasikeitimai 2019 metais ir kas laukia 2020-aisiais Verslo tribūna

    Ir praėjusiais 2019 metais, ir prasidedančiais 2020-aisiais gausu darbo teisinių santykių reglamentavimo...

    Vadyba
    2019.12.30
    Kokias algų medianas lapkritį mokėjo didžiausi šalies darbdaviai

    Naujausi „Sodros“ skelbiami duomenys rodo, kokias algų medianas lapkričio mėnesį mokėjo daugiausia darbuotojų...

    Vadyba
    2019.12.30
    15 nevykusio vadovo bruožų (II dalis)

    Darbo santykius vertinantys psichologai surikiavo penkiolika nepakenčiamo vadovo bruožų, kurie patvirtina...

    Vadyba
    2019.12.29
    15 nevykusio vadovo bruožų (I dalis)

    Visi esame girdėję istorijų apie prastus, nevaldomo charakterio, pernelyg daug sau leidžiančius ar visai į...

    Vadyba
    2019.12.28
    Sėkmingas verslas nuo bankroto patirties nepriklauso

    Bankrotas vieniems palieka nuoskaudų, kitiems – pamokų, kaip nereikia daryti, treti apskritai nei nori...

    Gazelė
    2019.12.27
    Didžiausios algų medianos šį lapkritį

    „Sodra“ pateikė duomenis, kuriose Lietuvos įmonėse lapkričio mėnesį buvo didžiausios atlyginimų medianos.

    Vadyba
    2019.12.27
    Verslo pradžiai ir šeimos santaupas atiduoda, ir įkeičia butus Premium

    Jokio verslo nepradėsi be pradinio kapitalo, nesvarbu, kad ir kaip tikėtum jo idėja. Verslininkai dalijasi...

    Gazelė
    2019.12.27
    Futurologų žvilgnis į ateitį: ką reikia žinoti verslui 1

    Besibaigiant metams, žurnalas „CEO Today“ pažangių verslininkų, mokslininkų ir futurologų pasiteiravo, kokios...

    Vadyba
    2019.12.26
    Vadovybės pokyčiai prekybos įmonėse 2019 m. Premium

    Didžiųjų prekybos bendrovių vadovų gretose šiais metais buvo ne vienas reikšmingas pasikeitimas. 

    Prekyba
    2019.12.26
    10 skaitomiausių VŽ straipsnių apie verslo valdymą ir gerąsias personalo praktikas

    „Vadybos“ rubrikoje visus metus nagrinėjome gerąsias valdysenos bei personalo valdymo praktikas, apie...

    Vadyba
    2019.12.26
    Ekspertams neužtenka sumokėti – reikia dar ir klausyti

    Konsultantų ar skirtingų sričių profesionalų patarimai gali būti itin vertingi, ypač tada, kai gaunami...

    Gazelė
    2019.12.25
    Darbuotojų metinis vertinimas: kokios vadovų frazės erzina labiausiai 2

    Baigiantis metams, biuruose sklinda mandarinų aromatas, o prie kavos aparatų kalbamasi apie šventinius...

    Vadyba
    2019.12.25
    Svarbiausi įmonių vadovų pasikeitimai šiemet

    „Verslo žinios“ visus metus stebėjo šalies verslo įvykius ir fiksavo įvairius pasikeitimus bendrovėse.

    Vadyba
    2019.12.24
    Projektas Australijoje: savo laisvadienius dovanoja sergantiems kolegoms

    Australijoje įkurta viena didžiausių pasaulyje kelionių agentūrų grupių „Flight Centre Travel Group“ startavo...

    Vadyba
    2019.12.24
    Kaip išvengti 3 dažniausių darbo pokalbių klaidų 1

    Darbo pokalbis net ir labiausiai užtikrintiems kandidatams sukelia nerimą, o kartais ir stresą. Specialistai...

    Vadyba
    2019.12.22
    Vadyba: svarbiausi teisiniai pokyčiai 2019 m. Premium

    „Verslo žinios“ kartu su UAB „Lexnet“ teisininkais apžvelgia esminius šių metų teisinius pokyčius ir primena,...

    Vadyba
    2019.12.22

    Verslo žinių pasiūlymai

    Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
    Sutinku Plačiau