Сигурни лични данни

В ОРЗД се посочва, че администраторите  и обработващите лични данни трябва да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност.

Следната информация определя основните предпазни мерки, които следва да бъдат взети предвид от организациите, обработващи лични данни (т.е. администратори и обработващи данни). Тя няма за цел да предостави пълен списък на мерките, които могат да бъдат приложени за защита на личните данни във всички случаи. Администраторите и обработващите лични данни трябва да адаптират тези мерки съгласно ситуацията (като се вземат предвид достиженията на техническия прогрес, контекстът на обработването и рискът за физическите лица).

Връзка
Член 32 от ОРЗД

EUR-Lex

Връзка
Сигурни МСП

ЕАКС

Сигурност: какъв е залогът?

Последиците от липсата на сигурност могат да бъдат сериозни: компаниите могат да видят, че имиджът им е влошен, че губят доверието на своите потребители и трябва да плащат големи суми пари, за да се възстановят от инцидент, свързан със сигурността (например след нарушение на сигурността на данните), или да прекратят дейността си. Сигурността на личните данни е в интерес както на физическите лица, така и на организациите, които обработват данните.

За да се оценят рисковете, породени от всяка операция по обработване, на първо място, е препоръчително да се определи потенциалното въздействие върху правата и свободите на засегнатите физически лица. Докато организациите трябва да защитават своите данни (лични или не) за свой собствен интерес, следната информация се фокусира върху защитата на данните на физическите лица.

Сигурността на данните има три основни компонента: защита на целостта, наличността и поверителността на данните. Поради това организациите трябва да оценят рисковете за:
 

  1. неразрешен или случаен достъп до данни — нарушаване на поверителността (напр. кражба на самоличност след разкриване на фишовете за заплати на всички служители на дружеството);
  2. неразрешена или случайна промяна на данните — нарушаване на целостта (напр. лъжливо обвиняване на лице в нарушение или престъпление в резултат на промяна на регистрационните файлове за достъп);
  3. загуба на данни или загуба на достъп до данни — нарушение на наличността (напр. невъзможност за преценка на въздействие на лекарство поради липса на достъп до електронното досие на пациента).
     

Препоръчително е също така да се идентифицират източниците на риск (т.е. кой или какво може да бъде в основата на всеки инцидент, свързан със сигурността?), като се вземат предвид вътрешните и външните човешки източници (напр. ИТ администратор, потребител, външен нападател, конкурент) и вътрешни или външни източници, различни от човека (напр. увреждане на водата, опасни материали, нецелеви компютърен вирус).

Това идентифициране на източниците на риск ще ви позволи да определите  потенциалните заплахи (т.е. какви обстоятелства биха могли да позволят възникването на инцидент, свързан със сигурността?) за поддържащите активи (напр. хардуер, софтуер, комуникационни канали, хартия и др.), които могат да бъдат:

  • използвани по неподходящ начин (напр. злоупотреба с права, грешки при обработката);
  • модифицирани (напр. софтуерно или хардуерно захващане — софтуер/хардуер, използващ  натиска по клавиатурата, инсталиране на зловреден софтуер);
  • изгубени (напр. кражба на лаптоп, загуба на USB ключ);
  • наблюдавани (напр. наблюдение на екран във влак, геолокация на устройства);
  • влошени (напр. вандализъм, естествено влошаване);
  • претоварени (напр. препълено място за съхранение, атака, свързана с отказ на услуга).
  • неналични (напр. в случай на шифроваща вредителска програма).
     

Препоръчително е също така:

  • да се определят  съществуващите или планираните мерки за справяне с всеки риск (напр. контрол на достъпа, резервни копия, проследимост, сигурност на помещенията, криптиране);
  • да се оцени  сериозността и вероятността на рисковете въз основа на горепосочените елементи (пример за скала, която може да се използва за оценката: пренебрежимо малък, умерен, значителен, максимален);
  • да прилагат и проверяват планираните мерки, ако съществуващите и планираните мерки се считат за подходящи, гарантирайте тяхното изпълнение и наблюдение;
  • да се извършват периодични одити на сигурността: всеки одит следва да доведе до план за действие, чието изпълнение трябва да бъде наблюдавано на най-високото ниво в организацията.

С ОРЗД се въвежда понятието „оценка на въздействието върху защитата на данните“, която е задължителна за всяко обработване на лични данни, което може да доведе до висок риск за физическите лица. ОВЗД трябва да съдържа мерките, предвидени за справяне с установените рискове, включително гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни.

На практика

  • За да имате по-ясна представа за рисковете за сигурността, можете например да създадете електронна таблица за управление на риска и редовно да я актуализирате. Тази таблица може да включва материални и човешки рискове, свързани със сървъри, компютри или помещения. Добре предвидените рисковете  могат да помогнат за смекчаване на последиците в случай на инцидент.

Организационни мерки

Повишаване на осведомеността на потребителите

От съществено значение е служителите или ползвателите, които обработват лични данни (лицата, работещи с данни), да бъдат информирани за рисковете, свързани с неприкосновеността на личния живот, за мерките, предприети за справяне с рисковете и потенциалните последици в случай на неуспех.

На практика

Повишаването на осведомеността на потребителите може да бъде под формата на:

  • сесии за повишаване на осведомеността;
  • редовни актуализации на процедурите, свързани с функциите на служителите и лицата, работещи с данни;
  • вътрешна комуникация, чрез напомняния по електронна поща и т.н.

Друга предпазна мярка е да се документират оперативните процедури, да се актуализират и да се осигури лесен достъп до тях за всички засегнати лица, работещи с данни. По-конкретно, всяка дейност по обработване на лични данни, независимо дали става въпрос за административни операции или просто използване на приложение, следва да бъде обяснена на ясен език и адаптирана за всяка категория лица, работещи с лични данни в документи, на които те могат да се позовават.

 

Създаване на вътрешна политика

Осведомеността на вътрешните лицата, работещи с данни, може да бъде под формата на документ, който следва да бъде обвързващ и интегриран във вътрешните разпоредби. Вътрешната политика следва да включва, по-специално, описание на правилата за защита на данните и за безопасност.

Други организационни мерки

  • Въведете политика за класифициране на информацията, която определя няколко нива и изисква маркиране на документи и електронни съобщения, съдържащи поверителни данни.
  • Направете видимо и изрично изявление на всяка страница на хартиен или електронен документ, който съдържа чувствителни данни.
  • Проведете обучения по информационна сигурност и сесии за повишаване на осведомеността. Периодични напомняния могат да бъдат предоставяни чрез електронна поща или други инструменти за вътрешна комуникация.
  • Осигурете възможност за подписване на споразумение за поверителност или да се включи специална клауза за поверителност по отношение на личните данни в договори със служители и други лица, работещи с данни.

 

Технически мерки

Сигурно оборудване

Доверието в надеждността на Вашите информационни системи е ключов въпрос, а прилагането на подходящи мерки за сигурност, което ОРЗД направи задължително, е един от начините за осигуряване на това.

По-специално, препоръчително е да се осигури:

  • хардуер (напр. сървъри, работни станции, лаптопи, твърди дискове);
  • софтуер (напр. операционна система, бизнес софтуер);
  • комуникационни канали (напр. оптични влакна, Wi-Fi, интернет);
  • документи на хартиен носител (напр. печатни документи, копия);
  • помещения.

Сигурни работни станции

При обезопасяването на работните места могат да се предприемат следните действия:

  • осигуряване на автоматичен механизъм за блокиране на сесията, когато работната станция не се използва за определен период от време;
  • инсталиране на софтуер за защитна стена и ограничаване на отварянето на комуникационните портове до тези, които са строго необходими за правилното функциониране на приложенията, инсталирани на работната станция;
  • да използват редовно актуализиран антивирусен софтуер и да имат политика за редовно осъвеременяване  на софтуера;
  • конфигуриране на софтуера за автоматично актуализиране на сигурността, когато е възможно;
  • насърчаване на съхраняването на данни на потребителите в редовно архивирано пространство за съхранение, достъпно чрез мрежата на организацията, а не на работните станции. Ако данните се съхраняват локално, предоставяне на потребителите на възможности за синхронизация или архивиране и обучаване за тяхното използване;
  • ограничаване на връзката на мобилните медии (USB памети, външни твърди дискове и т.н.) към най-важните елементи;
  • деактивиране на автоматичното стартиране от сменяеми носители.
     

Какво да не правим

  • да използваме остарели операционни системи;
  • да даваме администраторски права на потребители, които нямат умения, свързани с  компютърна сигурност.
     

Като последващи стъпки

  • да се забрани използването на изтеглени приложения, които не идват от сигурни източници;
  • да се ограничи използването на приложения, за които се изискват права на администраторско ниво;
  • да се изтрият по сигурен начин данните на работна станция, преди да се прехвърлят на друго лице;
  • в случай, че дадена работна станция е компрометирана, да се потърси източника и всякаква следа от проникване в информационната система на организацията, за да се установи дали други елементи са били компрометирани;
  • да се извършва наблюдение на сигурността на софтуера и хардуера, използвани в информационната система на организацията;
  • да се актуализират  приложения, когато са установени и фиксирани критични уязвимости;
  • да се инсталират важни актуализации на операционната система без забавяне чрез насрочване на седмична автоматична проверка;
  • да се разпространява до всички потребители правилния начин на действие и списъка на лицата, с които да се свържат в случай на инцидент, свързан със сигурността, или необичайно събитие, засягащо информационните и комуникационните системи на организацията.

На практика

  • Вашият офис има концепция за отворено пространство и имате много служители, но и много посетители. Благодарение на автоматичното заключване на сесия никой извън компанията не може да получи достъп до компютъра на служител в почивка или да види върху какво работи. В допълнение, защитна стена и актуална антивирусна защита защитават търсенето в интернет на Вашите служители и ограничават рисковете от проникване в сървърите Ви. Колкото повече се предприемат мерки, толкова по-трудно става за хората, които са злонамерени или за небрежния служител да причинят щети.

Защита на помещенията на компанията

Достъпът до помещенията трябва да бъде контролиран, за да се предотврати или забави прекият, неоторизиран достъп до файлове на хартиен носител или до компютърно оборудване, по-специално сървъри.

Какво да правя

  • инсталирайте аларми за проникване и ги проверявайте периодично;
  • инсталирайте детектори за дим и противопожарно оборудване и ги инспектирайте ежегодно;
  • защитете ключовете, използвани за достъп до помещенията, и алармените кодове;
  • разграничете строителните площи в зависимост от риска (напр. осигуряване на специален контрол на достъпа до компютърната зала);
  • поддържайте списък на лицата или категориите лица, на които е разрешено да влизат във всяка зона;
  • установете правила и средства за контрол на достъпа на посетителите, най-малко чрез придружаване на посетители извън обществените зони от лице от организацията;
  • осигурете физическа защита на компютърното оборудване със специфични средства (специална противопожарна система, повишване на височината срещу възможни наводнения, излишно захранване и/или климатизация и т.н.).

Какво да не правя

Да не подценявате или пренебрегвате поддръжката на сървърната среда (климатика, UPS и т.н.). Повреда в тези инсталации често води до изключване на машините или отваряне на достъпа до помещенията (въздушна циркулация), което де факто неутрализира мерките за сигурност.

Като последващи стъпки

Може да е целесъобразно да се води регистър на достъпа до помещения или офиси, в които се съхраняват материали, съдържащи лични данни, които биха могли да имат сериозно отрицателно въздействие върху засегнатите лица. Информирайте лицата, работещи с данни, за въвеждането на такава система, след като информирате и консултирате представителите на персонала.

Също така, да се гарантира, че в зоните с ограничен достъп се допускат само надлежно упълномощени служители. Например:

 

  • в зоните с ограничен достъп се изисква всички лица да носят видимо средство за идентификация (знак);
  • посетителите (служители за техническа помощ и т.н.) следва да имат ограничен достъп. Датата и часът на тяхното пристигане и заминаване трябва да бъдат записани;
  • редовно преглеждайте и актуализирайте разрешенията за достъп, за да защитите зоните и да ги премахнете, ако е необходимо.

На практика

  • Вашата компания е специализирана в електронната търговия. Вие съхранявате лични данни на клиенти, хоствани на сървъри в отделни помещения. За да се осигури достъп до тези данни, входът към тези помещения е защитен от четец на пропуски. Обаче, поради късо съединение избухва пожар. Благодарение на детектора за дим пожарната е била предупредена бързо и е в състояние да ограничи загубата на данни.

Удостоверяване на автентичността на потребителите

За да се гарантира, че потребителите имат достъп само до данните, от които се нуждаят, те следва да получат уникален идентификатор и да удостоверяват автентичността си, преди да използват компютърните съоръжения.

Механизмите за постигане на автентичност на лицето се категоризират според това дали включват:

  • какво знаем, напр. парола;
  • какво имаме, например смарт карта;
  • характеристика, специфична за лицето, например начина, по който се проследява саморъчният подпис.

Изборът на механизма зависи от контекста и различните фактори. Автентичността на потребителя се счита за силна, когато използва комбинация от поне две от тези категории.

На практика

  • За да получите достъп до защитена стая, съдържаща поверителна информация, можете да инсталирате четец на бадж („това, което имаме„) заедно с код за достъп („това, което знаем“).

Управление на разрешенията

В зависимост от нуждите следва да се прилагат определени  нива на разрешения за достъп до профилите. Потребителите следва да имат достъп до данни само въз основа на необходимостта да знаят.

Добра практика за удостоверяване на автентичността и управление на разрешенията:

  • определете уникален идентификатор за всеки потребител и забранете  профилите, споделяни от няколко потребители. В случай че използването на общи или споделени идентификатори е неизбежно, изисквайте вътрешно валидиране и прилагайте средства за проследяването им (входящи файлове);
  • налагайте използването на достатъчно строги правила за сложност на паролата (напр. най-малко 8 знака, главни букви и специални знаци);
  • съхранявайте паролите сигурно;
  • премахвайте остарелите разрешения за достъп;
  • извършвайте редовен преглед (напр. на всеки шест месеца);

 

Какво да не правя

  • да създавате или използвате акаунти, споделени от няколко души;
  • да предоставяте администраторски права на потребители, които не се нуждаят от тях;
  • да предоставяте повече права на потребителя, отколкото е необходимо;
  • да забравите да премахнете временните разрешения, предоставени на потребител (напр. за замяна);
  • да забравите да изтриете потребителските профили на хора, които са напуснали организацията или са сменили работните си места.

Като последващи стъпки

Да установите, документирате и редовно преразглеждате всяка политика за контрол на достъпа, тъй като тя се отнася до процедурите, прилагани от организацията и следва да включва:

  • процедурите, които трябва да се прилагат систематично при пристигане, заминаване или промяна на назначението на лице, което има достъп до лични данни;
  • последиците за лицата със законен достъп до данните в случай на неспазване на мерките за сигурност;
  • мерките за ограничаване и контрол на разпределението и използването на достъпа до обработването.

На практика

  • Когато нов служител се присъедини към компанията, трябва да създадете нов специализиран потребителски профил със силна парола. Служителите не следва да споделят своите пълномощия един с друг, особено ако нямат еднаква акредитация. В случай, че те променят позицията си, трябва да прегледате техните разрешения за достъп до определени файлове или системи.

Псевдонимизирани данни

Псевдонимизацията е обработването на лични данни по такъв начин, че вече не е възможно личните данни да бъдат приписани на конкретно физическо лице, без да се използва допълнителна информация.Тази допълнителна информация трябва да се съхранява отделно и да подлежи на технически и организационни мерки.

На практика псевдонимизацията се състои в замяна на пряко идентифициращи данни (име, собствено име, личен номер, телефонен номер и т.н.) в  непряко идентифициращи данни (псевдоним, пореден номер и т.н.). Това дава възможност да се обработват данните на физическите лица, без лицето да е в състояние да ги идентифицира по пряк начин. Въпреки това е възможно да се проследи самоличността на тези лица благодарение на допълнителните данни. Като такива, псевдонимизираните данни все още са лични данни и са предмет на ОРЗД. Псевдонимизацията също е обратима, за разлика от анонимизацията.

Псевдонимизацията е една от мерките, препоръчани от ОРЗД, за ограничаване на рисковете, свързани с обработването на лични данни.

Връзка
Член 32 от ОРЗД

EUR-Lex

Криптиране на данни

Криптирането е процес, който се състои в преобразуване на информацията в код, за да се предотврати неоторизиран достъп. Тази информация може да бъде прочетена отново само с помощта на правилния ключ. Криптирането се използва, за да се гарантира поверителността на данните. Криптираните данни все още са лични данни. Поради това криптирането може да се счита за една от техниките за псевдонимизация.

В допълнение, хеш функции, могат да се използват, за да се гарантира целостта на данните. Цифровите подписи не само гарантират целостта, но и позволяват да се провери произходът на информацията и нейната автентичност.

 

Анонимизиране на данните

 

Личните данни могат да бъдат анонимизирани по такъв начин, че лицето да не може да бъде идентифицирано или вече да не може да бъде идентифицирано. Анонимизирането е процес, който се състои в използването на набор от техники за анонимизиране на личните данни по такъв начин, че да стане невъзможно идентифицирането на лицето по какъвто и да е начин, който е разумно вероятно да бъде използван.

Анонимизацията, когато се прилага правилно, може да Ви позволи да използвате данните по начин, който зачита правата и свободите на физическите лица. Всъщност анонимизацията разкрива потенциала за повторно използване на данни, който първоначално не е разрешен поради личния характер на данните, и по този начин може да позволи на организациите да използват данните за допълнителни цели, без да се намесват в неприкосновеността на личния живот на физическите лица. Анонимизирането също така дава възможност данните да се съхраняват извън срока на съхранение.

Когато анонимизацията се прилага правилно, ОРЗД вече не се прилага за анонимизираните данни. Важно е обаче да се има предвид, че анонимизирането на личните данни на практика невинаги е възможно или лесно да се постигне. Следва да се прецени дали анонимизирането може да се приложи към спорните данни и да се запази успешно, като се имат предвид конкретните обстоятелства, свързани с обработването на личните данни. За успешното прилагане на анонимизирането в съответствие с ОРЗД често е необходим допълнителен правен или технически експертен опит.

Как да се провери ефективността на анонимизацията?

Европейските органи за защита на данните определят три критерия, за да гарантира, че наборът от данни е наистина анонимен:

  1. Обособяване: не следва да е възможно в набора от данни да се изолира информация за дадено лице.
  2. Възможност за свързване: не следва да е възможно да се свързват отделни части от данни по отношение на едно и също лице.
  3. Извеждане на данни: не трябва да е възможно да се изведе, с голяма точност, информация за дадено лице.

На практика

  • Обособяване: в база данни с автобиографии, където само първото и фамилното име на дадено лице са заменени с число (което съответства само на това лице), все пак е възможно да се посочи конкретно лице въз основа на други характеристики. В този случай личните данни се считат за псевдонимизирани, а не за анонимизирани.
  • Възможност за свързване: база данни за картографиране, съдържаща адресите на физически лица, не може да се счита за анонимна, ако на друго място съществуват други бази данни, които  съдържат същите тези адреси с други данни, позволяващи идентифицирането на лицата.
  • Извеждане на данни: ако се предполага, че анонимен набор от данни съдържа информация за данъчното задължение на респондентите на въпросник и всички отговорили мъже на възраст между 20 и 25 години не подлежат на данъчно облагане и когато тяхната възраст и пол са известни, тогава може да се заключи, дали конкретеното лице подлежи или не на облагане.
Връзка
Становище 05/2014 относно техниките за анонимизиране

Работна група по член 29

Специфични ситуации

Мерки за сигурност за дистанционната работа

При дистанционната работа е необходимо да се гарантира сигурността на обработваните данни, като същевременно се зачита неприкосновеността на личния живот на физическите лица.

Какво да направите:

  • Да приемете политика за сигурност на работата от разстояние или поне набор от минимални правила, които трябва да се спазват, и да съобщите този документ на служителите в съответствие с вътрешните си правила;
  • Ако трябва да промените бизнес правилата на Вашата информационна система, за да се даде възможност за дистанционна работа (напр. да промените правилата за регламентирания достъп, достъпа на администратори от разстояние и т.н.), да разгледате свързаните с това рискове и, ако е необходимо, да предприемете стъпки за поддържане на нивото на сигурност;
  • Оборудвайте всички работни станции на Вашите служители поне със защитна стена, антивирусен софтуер и инструмент за блокиране на достъпа до злонамерени сайтове. Ако служителите могат да използват собственото си оборудване, дайте насоки за обезпечаването му (вж. „Мерки за сигурност за собствените електронни устройства“);
  • Настройте VPN услуга, за да избегнете прякото излагане на Вашите услуги към интернет, когато това е възможно. Дайте възможност за използването  на двуфакторна VPN автентикация, ако е възможно;
  • Осигурете на служителите си списък с инструменти за комуникация и сътрудничество, подходящи за дистанционна работа, които гарантират поверителността на обмена и споделените данни. Изберете инструменти, които контролирате и гарантирате, че те осигуряват най-съвременна автентификация и криптиране на комуникациите и че транзитните данни не се използват повторно за други цели (подобряване на продукта, реклама и т.н.). Някои потребителски софтуери могат да предават потребителски данни на трети страни и следователно са особено неподходящи за корпоративна употреба.

Мерки за сигурност за собствените устойства (донесете собственото си устройство)

С развитието на собствените електронни устройства, особено в МСП, границата между професионалния и личния живот изчезва. Дори ако устройството не представлява само по себе си обработване на лични данни, все пак е необходимо да се гарантира сигурността на данните.

Съкращението СУ „означава „собствени устройства“ и се отнася до използването на персонално компютърно оборудване в професионален контекст. Пример за това би бил служител, който използва лично оборудване като компютър, таблет или смартфон, за да се свърже с мрежата на компанията.

Възможността за използване на лични инструменти е преди всичко въпрос на избор на работодателя и национално законодателство. ОРЗД изисква нивото на сигурност на обработваните лични данни да бъде еднакво, независимо от използваното оборудване. Работодателите носят отговорност за сигурността на личните данни на своето дружество, включително, когато те се съхраняват на терминали, върху които нямат физически или юридически контрол, но чието използване е разрешено за достъп до ИТ ресурсите на компанията.

Рисковете, срещу които е от съществено значение да защитите Вашата организация, варират от еднократна атака срещу наличността, целостта и поверителността на данните до общ срив в информационната система на компанията (влизане, вирус и т.н.).

Примерен списък

Пример за това как може да изглежда  списък за подобряване на нивото на сигурност във Вашата организация:

  • Редовно информиране и образоване на лицата, работещи с данни, относно рисковете, свързани с неприкосновеността на личния живот
  • Създаване на вътрешна политика, на която да се даде задължителна сила
  • Прилагане на защитата на данните още при проектирането и по подразбиране
  • Извършване на проверка, че обработваните данни са адекватни, подходящи и ограничени до необходимото (свеждане на данните до минимум)
  • Прилагане на политика за класификация на информацията за поверителни данни
  • Поставяне на конкретно указание върху документи, съдържащи чувствителни данни
  • Провеждане на обучения по информационна сигурност и сесии за повишаване на осведомеността, заедно с периодични напомняния.
  • Подписване на споразумение за конфиденциалност с Вашите служители или включване на  конкретни клаузи за поверителност
  • Осигуряване на автоматично блокиране на сесията, актуална защитна стена и антивирусна програма, резервно съхранение за потребителите
  • Ограничаване на физическата връзка (USB памети, външни твърди дискове и т.н.) към най-важното
  • Защита на помещенията на дружеството (напр. аларми за проникване, детектори за дим, защитени ключове, обособено помещение в зависимост от риска, разрешения за достъп до определени зони, специална противопожарна система)
  • Даване на уникален идентификатор на потребителите
  • Изискване за удостоверяване на автентичността за достъп до компютърни съоръжения
  • Управление на разрешенията (напр. отделни профили според нуждите, уникален идентификатор, силни пароли)
  • Издаване на политика за безопасност на работата от разстояние
  • Премахване на остарели разрешения за достъп
  • Извършване на редовен преглед на разрешенията
  • Псевдонимизиране или анонимизиране на данни, за да се ограничи повторното идентифициране на лица
  • Криптиране на данни за предотвратяване на неоторизиран достъп
  • Инсталиране на VPN за дистанционна работа
  • Проверка на сигурността на личните устройства, използвани за работа (самостоятелни устройства)