Saugūs asmens duomenys

BDAR nustatyta, kad duomenų valdytojai ir duomenų tvarkytojai turi įgyvendinti tinkamas technines ir organizacines priemones, kad užtikrintų rizikas atitinkantį asmens duomenų saugumo lygį.

Toliau pateikiamoje informacijoje nurodomos pagrindinės atsargumo priemonės, į kurias asmens duomenis tvarkančios organizacijos (t. y. duomenų valdytojai ir duomenų tvarkytojai), turėtų atsižvelgti. Ja nesiekiama pateikti išsamaus priemonių, kurias būtų galima įgyvendinti, siekiant apsaugoti asmens duomenis, visais atvejais, sąrašo. Duomenų valdytojai ir duomenų tvarkytojai turi pritaikyti šias priemones atsižvelgdami į naujausias technologijas, duomenų tvarkymo kontekstą ir riziką asmenims.

Nuoroda
BDAR 32 straipsnis

EUR-Lex

Nuoroda
Saugios MVĮ

ENISA

Saugumas: kas gresia?

Saugumo trūkumo pasekmės gali būti rimtos: gali blogėti įmonės įvaizdis, mažėja vartotojų pasitikėjimas, dideli finansiniai nuostoliai, po įvykusio saugumo incidento (pvz., po duomenų saugumo pažeidimo) arba net veiklos nutraukimas. Saugūs asmens duomenys yra tiek asmenų, tiek duomenis tvarkančių organizacijų interesas.

Siekiant įvertinti kiekvienos duomenų tvarkymo operacijos keliamą riziką, pirmiausia patartina nustatyti galimą poveikį atitinkamų asmenų teisėms ir laisvėms. Nors organizacijos turi saugoti savo duomenis (ne tik asmens duomenis) dėl savo interesų, toliau pateikiamoje informacijoje daugiausia dėmesio skiriama asmens duomenų apsaugai.

Duomenų saugumą sudaro trys pagrindiniai komponentai: duomenų vientisumo, prieinamumo ir konfidencialumo apsauga. Todėl organizacijos turėtų įvertinti riziką, susijusią su:

  1. neteisėta arba atsitiktinė prieiga prie duomenų – konfidencialumo pažeidimas (pvz., atskleidus visų įmonės darbuotojų darbo užmokesčio lapelius įvykusi tapatybės vagystė);
  2. neteisėtas arba atsitiktinis duomenų pakeitimas – vientisumo pažeidimas (pvz., klaidingas asmens kaltinimas padarius pažeidimą ar nusikaltimą dėl  žurnalinių įrašų pakeitimo);
  3. duomenų praradimas arba prieigos prie duomenų praradimas – prieinamumo pažeidimas (pvz., nesugebėjimas rasti paciento naudojamų vaistų jų sąveikai įvertinti dėl negalėjimo susipažinti su paciento elektronine kortele).

Taip pat patartina nustatyti rizikos šaltinius (t. y. kas arba kokia galėtų būti kiekvieno saugumo incidento priežastis?), atsižvelgiant į vidinius ir išorinius žmogiškuosius šaltinius (pvz., IT administratorius, naudotojas, kibernetinis nusikaltėlis, konkurentas) ir vidinius ar išorinius ne su žmonėmis susijusius šaltinius (pvz., vandens žalą, pavojingas medžiagas, netikslinius kompiuterinius virusus).

Šių rizikos šaltinių nustatymas leis jums identifikuoti galimas grėsmes (t. y. kokiomis aplinkybėmis galėtų įvykti saugumo incidentas?) pagalbinėms priemonėms (pvz., aparatinei įrangai, programinei įrangai, ryšių kanalams, popieriui ir t. t.), kurios gali būti:

  • netinkamas naudojimas (pvz., piktnaudžiavimas suteiktomis teisėmis, tvarkymo klaida);
  • modifikavimas (pvz., programinės arba aparatinės įrangos užvaldymas įdiegiant klaviatūros paspaudimų registravimą ar kitas kenkėjiškas programas);
  • praradimas (pvz., nešiojamojo kompiuterio vagystė, USB rakto pametimas);
  • stebėjimas (pvz., ekrano stebėjimas traukinyje, įrenginių geografinės padėties stebėjimas);
  • būklės blogėjimas (pvz., vandalizmas, natūralus nusidėvėjimas);
  • perkrovimas (pvz., saugojimo įrenginio perpildymas, paslaugos trikdymo ataka).
  • neprieinamumas (pvz., išpirkos reikalaujančios programinės įrangos įdiegimo atveju).

Taip pat patartina:

  • nustatyti esamas arba planuojamas priemones kiekvienai rizikai šalinti (pvz., prieigų kontrolę, atsargines kopijas, atsekamumą, patalpų saugumą, šifravimą);
  • įvertinti rizikos rimtumą ir tikimybę, remiantis pirmiau minėtais elementais (pavyzdys skalės, kuri gali būti naudojama įverčiui atlikti: nereikšmingas, vidutinis, reikšmingas, didžiausias);
  • įgyvendinti ir patikrinti planuojamas priemones, jei manoma, kad esamos ir planuojamos priemonės yra tinkamos, užtikrinti, kad jos būtų įgyvendinamos ir toliau vykdyti stebėseną;
  • atlikti periodinius saugumo auditus: po kiekvieno audito turėtų būti sudaromas veiksmų planas, kurio įgyvendinimas turėtų būti stebimas aukščiausiu organizacijos lygmeniu.

BDAR įvedama sąvoka „poveikio duomenų apsaugai vertinimas“, kuris yra privalomas, kai dėl asmens duomenų tvarkymo asmenims gali kilti didelis pavojus. PDAV turi būti numatytos priemonės nustatytai rizikai pašalinti, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga.
 

Pavyzdžiai

  • Norėdami turėti aiškesnį saugumo rizikų vaizdą, galite, pavyzdžiui, sukurti rizikų valdymo skaičiuoklę ir nuolat ją atnaujinti. Šioje skaičiuoklėje gali būti nurodyta serveriams, kompiuteriams ar patalpoms galinti kilti materialinė ir žmogiškojo faktoriaus lemiama rizika. Pakankamai numatyta rizika gali padėti sušvelninti incidento pasekmes.

Organizacinės priemonės

Naudotojų informuotumo didinimas

Labai svarbu, kad asmens duomenis tvarkantys darbuotojai ar naudotojai (atsakingi asmenys) žinotų apie riziką, susijusią su privatumu, būtų informuoti apie priemones, kurių imtasi rizikai suvaldyti, ir galimas pasekmes incidento atveju.

Pavyzdžiai

Vartotojų informuotumas gali būti didinamas šiais būdais:

  • informuotumo didinimo mokymai;
  • reguliariai atnaujinamos procedūros, susijusios su darbuotojų ir atsakingų asmenų funkcijomis;
  • vidinė komunikacija, elektroninio pašto priminimai ir t. t.

Kita atsargumo priemonė – dokumentuoti veiklos procedūras, jas atnaujinti ir užtikrinti, kad jos būtų lengvai prieinamos visiems susijusiems atsakingiems asmenims. Konkrečiai kalbant, bet kokia asmens duomenų tvarkymo veikla, nesvarbu, ar tai būtų administracinės procedūros, ar paprastas programos naudojimas, turėtų būti paaiškinta aiškia kalba ir pritaikyta kiekvienai atsakingų asmenų kategorijai, dokumentuose, kuriais jie gali remtis.

Vidaus politikos formavimas

Atsakingų asmenų informuotumas gali būti užtikrinamas privalomu taikyti dokumentu, kuris gali būti vidaus tvarkos taisyklių sudedamoji dalis. Vidaus politika visų pirma turėtų apimti duomenų apsaugos ir saugos taisyklių nustatymą.

Kitos organizacinės priemonės

  • Įgyvendinti informacijos klasifikavimo politiką, kuri apibrėžia skirtingus lygius ir reikalauja pažymėti dokumentus ir el. laiškus, kuriuose yra konfidencialių duomenų.
  • Aiškiai ir akivaizdžiai pažymėti kiekvieną popierinio ar elektroninio dokumento puslapį, kuriame yra specialių kategorijų asmens duomenų.
  • Rengti informacijos saugumo ir informuotumo didinimo mokymus. Periodiniai priminimai gali būti pateikiami el. paštu arba kitomis vidinės komunikacijos priemonėmis.
  • Numatyti konfidencialumo susitarimo pasirašymą arba į sutartis su darbuotojais ir kitais atsakingais asmenimis įtraukti konkrečią konfidencialumo sąlygą dėl asmens duomenų.

Techninės priemonės

Saugi įranga

Pasitikėjimas jūsų informacinių sistemų patikimumu yra pagrindinis klausimas, o tinkamų saugumo priemonių, kurias BDAR padarė privalomomis, įgyvendinimas yra vienas iš būdų tai užtikrinti.

Visų pirma patartina apsaugoti:

  • aparatinė įrangą (pvz., serverius, darbo vietas, nešiojamuosius kompiuterius, standžiuosius diskus);
  • programinę įrangą (pvz., operacines sistemas, verslo programinę įrangą);
  • ryšių kanalus (pvz., šviesolaidinė optika, Wi-Fi, internetą);
  • popierinius dokumentus (pvz., spausdintus dokumentus, jų kopijas);
  • patalpas.

Saugios darbo vietos

Apsaugant darbo vietas, patartina atsižvelgti į šiuos veiksmus:

  • numatyti automatinį sesijos nutraukimo mechanizmą, kai darbo vieta nenaudojama tam tikrą laikotarpį;
  • įdiegti ugniasienės programinę įrangą ir apriboti ryšių prievadų atidarymą leidžiant tik tuos, kurie yra būtini tinkamam darbo vietoje įdiegtų taikomųjų programų veikimui;
  • naudoti reguliariai atnaujinamą antivirusinę programinę įrangą ir turėti reguliarią programinės įrangos atnaujinimo politiką;
  • konfigūruojant programinę įrangą automatiškai atnaujinti saugumą, jei įmanoma;
  • skatinti naudotojų duomenų saugojimą per organizacijos tinklą pasiekiamose saugyklose, kuriose reguliariai daromos atsarginės kopijos, o ne darbo vietose. Jei duomenys saugomi vietoje, suteikti naudotojams sinchronizavimo ar atsarginių kopijų kūrimo galimybes ir apmokyti juos naudotis šiomis funkcijomis;
  • naudoti mobiliąsias laikmenas  (USB raktus, išorinius standžiuosius diskus ir kt.) tik esant būtinybei;
  • išjungti laikmenų automatinį paleidimą.
     

Ko negalima daryti

  • naudoti pasenusias operacines sistemas;
  • suteikti administratoriaus teises vartotojams, kurie neturi informacinių technologijų saugumo įgūdžių.

Žengiant toliau

  • uždrausti naudoti atsisiųstas programas, kurios nėra gaunamos iš saugių šaltinių;
  • apriboti taikomųjų programų, kurioms paleisti reikalingos administratoriaus lygmens teisės, naudojimą;
  • prieš paskiriant kitam asmeniui darbo vietą, saugiai ištrinti joje esančius duomenis;
  • jei darbo vieta yra pažeista, ieškoti šaltinio ir bet kokių įsibrovimo į organizacijos informacinę sistemą pėdsakų, siekiant nustatyti, ar buvo pažeisti kiti elementai;
  • atlikti organizacijos informacinėje sistemoje naudojamos programinės ir aparatinės įrangos saugumo stebėseną;
  • atnaujinti taikomąsias programas, po to kai buvo nustatytas ir ištaisytas kritinis pažeidžiamumas;
  • nedelsiant įdiegti kritinius operacinės sistemos naujinimus, numatant kassavaitinį automatinį patikrinimą;
  • išplatinti visiems naudotojams tinkantį veiksmų planą ir asmenų, su kuriais galima susisiekti sąrašą, saugumo incidento ar neįprasto įvykio atveju, turinčiu įtakos organizacijos informacinėms ir ryšių sistemoms.

Pavyzdžiai

  • Jūsų biuras yra atvira erdvė kurioje dirba daug darbuotojų, bet taip pat ir lankosi daug lankytojų. Dėl automatinio sesijos nutraukimo, niekas, esantis už įmonės ribų, negali pasiekti darbuotojo kompiuterio per pertrauką ar pamatyti, ką jis dirba. Be to, ugniasienė ir naujausia antivirusinė programa apsaugo jūsų darbuotojų naršymą internete ir riboja įsibrovimo į jūsų serverius riziką. Kuo daugiau priemonių imamasi, tuo sunkiau asmenims, turintiems piktavališkų ketinimų ar aplaidiems darbuotojams, padaryti žalą.

Įmonės patalpų apsauga

Patekimas į patalpas turi būti kontroliuojamas, kad būtų užkirstas arba apsunkintas kelias tiesioginei neteisėtai prieigai prie popierinių dokumentų rinkinių arba prie kompiuterinės įrangos, ypač prie serverių.

Ką daryti

  • įdiegti įsibrovimo pavojaus signalus ir periodiškai juos patikrinti;
  • įrengti dūmų detektorius ir gaisro gesinimo įrangą ir kasmet juos tikrinti;
  • apsaugoti prieigos prie patalpų raktus ir signalizacijos kodus;
  • atskirti pastato zonas pagal riziką (pvz., numatyti specialią prieigos prie kompiuterių kambario apribojimą);
  • nustatyti asmenų, kuriems leidžiama patekti į kiekvieną zoną, sąrašą;
  • nustatyti lankytojų patekimo kontrolės taisykles ir priemones, bent jau lankytojus už viešųjų erdvių ribų įleidžiant tik lydimus organizacijos atsakingo asmens;
  • fiziškai apsaugoti kompiuterinę įrangą specialiomis priemonėmis (sumontuoti gaisro gesinimo sistemą, pakelti esant užtvindymo galimybei, įrengti atsarginį maitinimo šaltinį ir (arba) oro kondicionavimą ir kt.).

Ko negalima daryti

Netinkamai ar aplaidžiai prižiūrėti serverių kambario aplinką (oro kondicionavimo, UPS ir kt. trūkumas). Šių įrenginių gedimas dažnai lemia įrangos išjungimą arba prieigų prie patalpų atidarymą (oro cirkuliaciją), o tai de facto neutralizuoja saugumo priemones.

Žengiant toliau

Gali būti tikslinga saugoti įrašus apie patekimą į patalpas ar biurus, kuriuose yra dokumentai su asmens duomenimis, kurie galėtų turėti didelį neigiamą poveikį atitinkamiems asmenims. Informuoti atsakingus asmenis apie tokios sistemos įrengimą, informavus ir pasikonsultavus su darbuotojų atstovais.

Be to, užtikrinti, kad ribojamose zonose būtų leidžiama dirbti tik tinkamus įgaliojimus turintiems darbuotojams. Pavyzdžiui:

 

  • reikalauti, kad ribojamose zonose visi asmenys turėtų matomą identifikavimo priemonę (kortelę, darbuotojo pažymėjimą ir kt.);
  • riboti lankytojų (techninio pagalbinio personalo ir t. t.) prieigą. Turi būti registruojama jų atvykimo ir išvykimo data ir laikas;
  • reguliariai peržiūrėti ir atnaujinti prieigos leidimus į ribojamas zonas ir pašalinti juos, jei reikia.

Pavyzdžiai

  • Jūsų įmonė specializuojasi elektroninėje komercijoje. Jūs saugote klientų asmens duomenis, serveriuose esančiuose atskirose patalpose. Siekiant apriboti prieigą prie šių duomenų, įėjimas į šias patalpas yra apsaugotas praėjimo kontrolės sistema. Tačiau dėl trumpojo jungimo įsiplieskia gaisras. Dūmų detektoriaus dėka priešgaisrinė tarnyba buvo greitai įspėta ir duomenų praradimas buvo užkardytas.

Autentifikuoti naudotojus

Siekiant užtikrinti, kad naudotojai turėtų prieigą tik prie reikiamų duomenų, jiems turėtų būti suteiktas unikalus identifikatorius ir prieš naudojantis kompiuterine įranga jie turėtų pasitvirtinti tapatybę.

Asmens tapatybės nustatymo būdai skirstomi į kategorijas pagal tai, ar jie apima:

  • ką žinome, pvz., slaptažodį;
  • ką turime, pvz., lustinę kortelę;
  • asmeniui būdingą savybę, pvz., rašytinio parašo atsekamumas.

Būdo pasirinkimas priklauso nuo konteksto ir skirtingų veiksnių. Naudotojo autentifikavimas laikomas stipriu, kai jis naudoja bent dviejų iš šių kategorijų derinį.

Pavyzdžiai

  • Norėdami patekti į apsaugotą patalpą, kurioje yra konfidenciali informacija, galite įdiegti kortelių skaitytuvą („ką mes turime“) kartu su prieigos kodu („ką žinome“).

Tvarkyti leidimus

Atsižvelgiant į poreikius, reikėtų įgyvendinti skirtingus leidimų lygius. Prieiga prie duomenų naudotojams turėtų būti suteikiama atsižvelgiant į poreikį žinoti.

Leidimų patvirtinimo ir valdymo geroji patirtis:

  • nustatyt unikalų kiekvieno naudotojo identifikatorių ir uždrausti paskyras, kuriomis dalijasi keli naudotojai. Jei neišvengiami bendri arba bendrai naudojami identifikatoriai, reikia vidinio patvirtinimo ir jų sekimo priemonių (žurnalinių įrašų);
  • nustatyti, kad būtų taikomos pakankamai griežtos slaptažodžių sudėtingumo taisyklės (pvz., bent 8 ženklai, didžiosios raidės ir specialūs ženklai);
  • saugiai saugoti slaptažodžius;
  • panaikinti pasenusius prieigos leidimus;
  • reguliariai (pvz., kas šešis mėnesius) atlikti prieigų peržiūrą;

Ko negalima daryti

  • sukurti arba naudoti paskyras, kuriomis dalinasi keli žmonės;
  • suteikti administratoriaus teises naudotojams, kuriems jų nereikia;
  • suteikti naudotojui daugiau privilegijų nei reikia;
  • nepanaikinti naudotojui suteiktų laikinų leidimų (pvz., pakeitimui);
  • neištrinti žmonių, kurie paliko organizaciją arba pakeitė darbą, naudotojų paskyrų.

Žengiant toliau

Nustatyti, dokumentuoti ir reguliariai peržiūrėti bet kokią prieigų kontrolės politiką, susijusią su organizacijos taikomomis apsaugos priemonėmis, kuri turėtų apimti:

  • procedūras, kurios turi būti sistemingai taikomos asmeniui, turinčiam prieigą prie asmens duomenų, atvykstant, išvykstant ar keičiant paskyrimą;
  • pasekmes asmenims, turintiems teisėtą prieigą prie duomenų, jei nesilaikoma saugumo priemonių;
  • priemonių, kuriomis ribojama ir kontroliuojama prieiga prie duomenų tvarkymo, parinkimas ir naudojimas.

Pavyzdžiai

  • Kai naujas darbuotojas prisijungia prie įmonės, turite sukurti naują specialią vartotojo paskyrą su stipriu slaptažodžiu. Darbuotojai neturėtų dalytis savo prisijungimo duomenimis vieni su kitais, ypač jei jie neturi tos pačios akreditacijos. Jei jie pakeis poziciją organizacijoje, turėtumėte peržiūrėti jų prieigos prie tam tikrų failų ar sistemų, leidimus.

Pseudonimizuoti duomenys

Pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenų nebebūtų galima priskirti konkrečiam fiziniam asmeniui, nenaudojant papildomos informacijos. Tokia papildoma informacija turi būti saugoma atskirai ir jai turi būti taikomos techninės ir organizacinės priemonės.

Praktiškai pseudonimų suteikimas reiškia, kad duomenų rinkinyje tiesioginiai identifikuojantys duomenys (vardas, pavardė, asmens kodas, telefono numeris ir t. t.) pakeičiami netiesiogiai identifikuojančiais duomenimis (slapyvardžiu, eilės numeriu ir t. t.). Tai leidžia tvarkyti asmenų duomenis be galimybės tiesiogiai juos identifikuoti. Tačiau siejant su papildomais duomenimis, galima atsekti šių asmenų tapatybę. Todėl pseudonimizuoti duomenys vis dar laikomi asmens duomenimis ir jiems taikomas BDAR. Pseudonimizavimas taip pat yra grįžtamas, kitaip nei anonimizavimas.

Pseudonimų suteikimas yra viena iš BDAR rekomenduojamų priemonių siekiant apriboti riziką, susijusią su asmens duomenų tvarkymu.

Nuoroda
BDAR 32 straipsnis

EUR-Lex

Duomenų šifravimas

Šifravimas yra procesas, kurį sudaro informacijos kodavimas, siekiant užkirsti kelią neteisėtai prieigai. Šią informaciją galima perskaityti tik naudojant teisingą raktą. Šifravimas naudojamas duomenų konfidencialumui užtikrinti. Užšifruoti duomenys vis dar yra asmens duomenys. Todėl šifravimas gali būti laikomas vienu iš pseudonimų suteikimo metodų.
Be to, maišos funkcijos gali būti naudojamos duomenų vientisumui užtikrinti. Skaitmeniniai parašai ne tik užtikrina vientisumą, bet ir leidžia patikrinti informacijos kilmę ir jos autentiškumą.

 

Anoniminiai duomenys

Asmens duomenys gali būti paversti anoniminiais tokiu būdu, kad asmens tapatybės nebūtų arba nebebūtų galima nustatyti. Anonimizavimas yra procesas, kurį sudaro metodų rinkinys, kuriuo asmens duomenys padaromi anoniminiais taip, kad būtų neįmanoma nustatyti asmens tapatybės jokiomis priemonėmis, kurios pagrįstai gali būti naudojamos.

Tinkamai anonimizavus, galite naudoti duomenis taip, kad būtų užtikrinamos asmenų teisės ir laisvės. Iš tiesų anonimizavimass atveria galimybę pakartotinai naudoti duomenis, kurių pradžių nebuvo galima naudoti dėl asmeninio duomenų pobūdžio, todėl organizacijos gali naudoti duomenis papildomais tikslais, nepažeisdamos asmenų privatumo. Anonimizavimas taip pat suteikia galimybę duomenis saugoti ilgiau nei numatytas saugojimo laikotarpis.

Kai anonimizavimas įgyvendinamas tinkamai, BDAR nebetaikomas. Tačiau svarbu nepamiršti, kad asmens duomenų anonimizavimas praktikoje ne visada įmanomas arba lengvai pasiekiamas rezultatas. Atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes, reikia įvertinti, ar aptariamų duomenų anonimizavimas gali būti taikomas ir sėkmingai įvykdytas. Norint sėkmingai atlikti anonimizavimą pagal BDAR, dažnu atveju reikėtų papildomų teisinių ar techninių žinių.

Kaip patikrinti anonimizavimo veiksmingumą?

Siekdamos užtikrinti, kad duomenų rinkinys būtų tikrai anonimiškas, Europos duomenų apsaugos institucijos nustatė tris kriterijus:

  1. Išskyrimas: duomenų rinkinyje neturėtų būti įmanoma atskirti informacijos apie asmenį.
  2. Susiejimas: neturėtų būti įmanoma susieti atskirų to paties asmens duomenų vienetų.
  3. Išvedimas: neturėtų būti įmanoma beveik tiksliai nustatyti informacijos apie konkretų asmenį.

Pavyzdžiai

  • Išskyrimas: gyvenimo aprašymų duomenų bazėje, kurioje asmens vardas ir pavardė buvo pakeisti skaičiumi (kuris atitinka tik tą asmenį), vis dar galima išskirti konkretų asmenį remiantis kitomis savybėmis. Tokiu atveju asmens duomenys laikomi pseudoniminiais, o ne anoniminiais.
  • Susiejimas: kartografavimo duomenų bazė, kurioje yra asmenų adresai, negali būti laikoma anonimine, jei kitose duomenų bazėse yra tie patys adresai su kitais duomenimis, pagal kuriuos galima nustatyti asmenų tapatybę.
  • Išvedimas: jei tariamai anoniminiame duomenų rinkinyje yra informacijos apie respondentų mokestinę prievolę klausimyne, o visi 20–25 metų amžiaus respondentai vyrai yra neapmokestinami, galima daryti išvadą, kad konkretus respondentas yra apmokestinamas arba neapmokestinamas, kai yra žinomas jų amžius ir lytis.
Nuoroda
Nuomonė Nr. 05/2014 dėl nuasmeninimo metodų

WP29

Specifinės situacijos

Nuotolinio darbo saugumo priemonės

Dirbant nuotoliu būtina užtikrinti tvarkomų duomenų saugumą, kartu gerbiant asmenų privatumą.

Ką daryti:

  • Parengti nuotolinio darbo saugumo politiką arba bent minimalias taisykles, kurių reikia laikytis, ir supažindinti su šiuo dokumentu darbuotojus pagal savo vidaus taisykles;
  • Jei reikia pakeisti savo informacinės sistemos veiklos taisykles, kad būtų galima dirbti nuotoliniu būdu (pvz., pakeisti prieigos taisykles, suteikti nuotolinę administratoriaus prieigą ir t. t.), apsvarstyti su tuo susijusią riziką ir, jei reikia, imtis priemonių saugumo lygio palaikymui;
  • Aprūpinti visas savo darbuotojų darbo vietas bent ugniasiene, antivirusine programine įranga ir priemone, skirta blokuoti prieigą prie kenkėjiškų svetainių. Jei darbuotojai gali naudotis savo įranga, pateikti gaires, kaip ją apsaugoti (žr. „ASĮ saugumo priemonės“);
  • Įdiegti VPN, kad kiek įmanoma išvengti tiesioginio poveikio jūsų sistemoms. Jei įmanoma, įgalinti dviejų faktorių VPN autentifikavimą;
  • Pateikti savo darbuotojams komunikacijos ir bendradarbiavimo priemonių, tinkamų darbui nuotoliniu būdu, sąrašą, kuris užtikrintų keitimosi ir dalijimosi duomenimis konfidencialumą. Pasirinkti įrankius, kuriuos galite kontroliuoti, ir užtikrinti, kad jie suteiks moderniausią ryšių autentifikavimą ir šifravimą ir kad tranzitu perduodami duomenys nebūtų pakartotinai naudojami kitiems tikslams (produkto tobulinimui, reklamai ir t. t.). Kai kuri vartotojų programinė įranga gali perduoti naudotojų duomenis trečiosioms šalims, todėl ji ypač netinkama naudoti įmonėms.

Apsaugos priemonės ASĮ (atsineškite savo įrenginį)

Vystantis ASĮ, ypač MVĮ, riba tarp profesinio ir asmeninio gyvenimo nyksta. Net jei ASĮ pats savaime nėra asmens duomenų tvarkymas, vis tiek būtina užtikrinti duomenų saugumą.
Santrumpa „ASĮ“ reiškia „Atneškite savo įrenginį“ ir reiškia asmeninės kompiuterinės įrangos naudojimą profesinėje srityje. To pavyzdys būtų darbuotojas, kuris naudoja asmeninę įrangą, pvz., kompiuterį, planšetinį kompiuterį ar išmanųjį telefoną, kad prisijungtų prie įmonės tinklo.

Galimybė naudotis asmeninėmis priemonėmis visų pirma priklauso nuo darbdavio pasirinkimo ir nacionalinės teisės aktų. BDAR reikalaujama, kad tvarkomų asmens duomenų saugumo lygis būtų vienodas, neatsižvelgiant į naudojamą įrangą. Darbdaviai yra atsakingi už savo įmonės asmens duomenų saugumą, įskaitant atvejus, kai jie saugomi pasitelkiant įrangą, kurios jie fiziškai ar teisiškai nekontroliuoja, tačiau kurios naudojimas leido naudotis įmonės IT ištekliais.

Rizikos, nuo kurių būtina apsaugoti jūsų organizaciją, apima tiek vienkartinę ataką duomenų prieinamumui, vientisumui ir konfidencialumui, tiek bendrą įmonės informacinės sistemos pažeidimą (įsilaužimas, virusas ir kt.).

Kontrolinio sąrašo pavyzdys

Pavyzdys, kaip galėtų atrodyti kontrolinis sąrašas siekiant pagerinti jūsų organizacijos saugumo lygį:

  • Reguliariai informuoti ir šviesti atsakingus asmenis apie su privatumu susijusią riziką
  • Sukurti vidaus politiką ir padaryti ją privalomą
  • Įgyvendinti pritaikytąją ir standartizuotąją duomenų apsaugą
  • Užtikrinti, kad tvarkomi duomenys būtų tinkami, aktualūs ir neviršytų to, kas būtina (duomenų kiekio mažinimas)
  • Įgyvendinti konfidencialių duomenų informacijos klasifikavimo politiką
  • Pateikti specialią nuorodą dokumentuose, kuriuose yra specialių kategorijų asmens duomenų
  • Rengti informacijos saugumo ir informuotumo didinimo mokymus, taip pat periodiškai siųsti priminimus.
  • Pasirašyti konfidencialumo sutartį su savo darbuotojais arba įtraukti konkrečias konfidencialumo sąlygas
  • Įdiegti automatinį sesijos nutraukimą, naujausią ugniasienę ir antivirusinę, atsarginę saugyklą vartotojams
  • Apriboti fizinius prisijungimus (USB raktus, išorinius kietuosius diskus ir t.t.) tik esant būtinybei
  • Apsaugoti įmonės patalpas (pvz., įsilaužimo signalizacija, dūmų detektoriai, apsaugoti raktai, patalpų atskyrimas pagal rizikas, leidimai patekti į konkrečias zonas, speciali gaisrų gesinimo sistema)
  • Suteikti naudotojams unikalų identifikatorių
  • Reikalauti autentifikavimo, kad būtų galima naudotis kompiuterinėmis priemonėmis
  • Tvarkyti leidimus (pvz., atskirti profilius pagal poreikius, unikalų identifikatorių, naudoti sudėtingus slaptažodžius)
  • Parengti nuotolinio darbo saugos politiką
  • Pašalinti pasenusius prieigos leidimus
  • Atlikti reguliarią leidimų peržiūrą;
  • Pseudonimizuoti arba anonimizuoti duomenis siekiant apriboti pakartotinį asmens tapatybės nustatymą
  • Užšifruoti duomenis, kad būtų išvengta neteisėtos prieigos
  • Įdiegti VPN nuotoliniam darbui
  • Įsitikinti, kad darbe naudojami asmeniniai prietaisai (ASĮ) yra saugūs