Šioje svetainėje naudojami slapukai. Sutikdami naudoti slapukus galėsite patogiau naršyti mūsų svetainėje. Privatumo politika Nesutinku Sutinku
Publikacijos

Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai2018-12-04

Ramintawww

Vyresnioji teisininkė Raminta Stravinskaitė

Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento įsigaliojimo paskelbė tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires duomenų tvarkytojams ir valdytojams.

Gairės parengtos remiantis Europos Sąjungos tinklų ir informacijos saugos agentūros (ENISA) rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“. Jose pateikiama 20 organizacinių ir techninių duomenų saugumo priemonių, padėsiančių užtikrinti tvarkomų asmens duomenų saugumą.

Organizacinių saugumo priemonių įgyvendinimo sąrašo viršūnėje turėtų atsidurti:

  • asmens duomenų saugumo politika ir su tuo susijusios procedūros;
  • prieigos prie asmens duomenų valdymo politika;
  • veiklos tęstinumo procedūra, incidento ar asmens duomenų saugumo pažeidimo atveju;
  • atsarginių kopijų ir duomenų atstatymo tvarka;
  • mobiliųjų ir nešiojamų įrenginių naudojimo ir administravimo tvarka; bei
  • IT išteklių, naudojamų asmens duomenims tvarkyti, registras.

Techninių duomenų saugumo priemonių sąraše:

  • prieigos kontrolė ir autentifikavimas;
  • techninių žurnalų įrašai ir jų stebėsena;
  • tarnybinių stočių, duomenų bazių apsauga;
  • darbo stočių apsauga;
  • tinklo ir komunikacijos sauga;
  • atsarginių kopijų darymas;
  • programinės įrangos sauga;
  • duomenų naikinimas, šalinimas; bei
  • fizinė sauga.

Nepaisant to, neverta  pernelyg  džiūgauti, kad pagaliau atsirado teisinis aiškumas, kokius techninius ir organizacinius reikalavimus reikia įgyvendinti, kad nesulauktumėte milijoninių baudų, tvarkydami jums patikėtus asmens duomenis.

Kaip nurodo Valstybinė duomenų apsaugos inspekcija, šiose gairėse yra išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmens teisėms ir laisvėms, yra žema.

Kitaip tariant, ką daryti toms įmonėms, įstaigoms ir organizacijoms, kurių tvarkomų asmens duomenų saugumo rizika yra vidutinė, aukšta ir labai aukšta, lieka ir toliau neaišku.  Be to, tam tikri keliami minimalūs reikalavimai yra gana  abstraktūs, pvz., - fizinė sauga. Rekomendacijose yra nurodoma tik tiek, kad turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos, tačiau kokias priemones reikėtų įgyvendinti, Valstybinė duomenų apsaugos inspekcija nenumato.

Inspekcija rekomenduoja kiekvienu individualiu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones, tačiau nei rizikos vertinimo kriterijų, nei pavyzdinio sąrašo asmens duomenų saugumo priemonių nepateikia. Turbūt vienintelė išeitis - asmens duomenis tvarkyti vadovaujantis visomis ENISA rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“ ir tikėtis, kad šiuose dokumentuose išvardintų priemonių įgyvendinimas užtikrins tinkamą tvarkomų asmens duomenų apsaugą.

Pavyzdžiui, vien tik kalbant apie fizinę asmens duomenų apsaugą, standartas numato tokius reikalavimus kaip:

(i)            IT sistemos infrastruktūros fizinis perimetras turėtų būti neprieinamas leidimo neturintiems darbuotojams;

(ii)           nustatytos saugumo zonos ir patekimo į jas kontrolė, -  naudojamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas;

(iii)          aiškiai nustatyta organizacijos visų darbuotojų ar patalpų lankytojų identifikavimo tvarka naudojant atitinkamas priemones, pvz. tapatybę nustatančias korteles;

(iv)          visose saugumo zonose turėtų būti įdiegtos įsilaužimo aptikimo sistemos;

(v)           turėtų būti pastatyti fiziniai barjerai, jei įmanoma, užtikrinantys neteisėtą fizinį patekimą;

(vi)          serverinėje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nenutrūkstamas elektros energijos tiekimas (UPS);

(vii)         nenaudojamos saugumo zonos turėtų būti fiziškai užrakintos ir reguliariai tikrinamos;

(viii)        IT palaikymo paslaugas iš išorės teikiantiems asmenims turėtų būti nustatytas ribotas patekimas į saugumo zonas.

Taip pat ypatingą dėmesį skirčiau įvykių registravimui ir stebėsenai, kadangi tai yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus.

Valstybinė duomenų apsaugos inspekcija į tą taip pat atkreipia dėmesį ir nurodo, kad techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui ir pan. Papildomai nurodyčiau, kad turėtų būti registruojami sistemos administratorių ir sistemos operatorių veiksmai, įskaitant  papildomų teisių vartotojui suteikimą/ištrynimą/pakeitimą, o stebėsenos sistema turėtų tvarkyti operacijų įrašus (angl. log files) ir teikti ataskaitas apie sistemos  būklę bei pranešti apie potencialius perspėjimus.

 

Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė

Straipsnis publikuotas naujienų portale vz.lt


Teisininkai: Raminta Stravinskaitė



Kontaktai

Jogailos 4, 01116 Vilnius
Telefonas: +370 5 2690 700