VDAR ir noteikts, ka pārziņiem un apstrādātājiem ir jāīsteno atbilstoši tehniskie un organizatoriskie pasākumi, lai nodrošinātu, ka personas dati tiktu apstrādāti droši.
Tālāk sniegtajā informācijā ir izklāstīti galvenie piesardzības pasākumi, kas būtu jāņem vērā organizācijām, kuras apstrādā personas datus (t. i., pārziņiem un apstrādātājiem). Tas nav pilnīgs pasākumu saraksts, kurus var īstenot, lai aizsargātu personas datus jebkurā situācijā. Pārziņiem un apstrādātājiem šie pasākumi ir jāpielāgo konkrētai situācijai (ņemot vērā tehnoloģiju attīstību, apstrādes kontekstu un privātpersonām radīto risku).
Drošība: kas ir likts uz spēles?
Drošības trūkuma sekas var būt nopietnas: uzņēmumi var zaudēt savu reputāciju un klientu uzticību, var šķirties no lielām naudas summām, lai atgūtos no drošības incidenta (piemēram, pēc datu aizsardzības pārkāpuma), vai tiem var nākties pat pārtraukt savu darbību. Personas datu drošība ir gan privātpersonu, gan arī to organizāciju interesēs, kuras apstrādā datus.
Lai novērtētu katras apstrādes darbības radītos riskus, vispirms ir ieteicams noteikt iespējamo ietekmi uz attiecīgo personu tiesībām un brīvībām. Lai gan organizācijām savās interesēs ir jāaizsargā savi dati (personas vai citi), turpmāk sniegtā informācija ir vērsta uz fizisko personu datu aizsardzību.
Datu drošībai ir trīs galvenie komponenti: integritāte, pieejamība un konfidencialitāte. Tāpēc organizācijām būtu jānovērtē riski attiecībā uz:
- neatļautu vai nejaušu piekļuvi datiem — konfidencialitātes pārkāpums (piemēram, identitātes zādzība pēc visu uzņēmuma darbinieku algas aprēķinu izpaušanas);
- neatļautām vai nejaušām datu izmaiņām — integritātes pārkāpums (piemēram, personas nepatiesa apsūdzēšana pārkāpumā vai noziegumā, veicot izmaiņas piekļuves žurnālā);
- datu nozaudēšanu vai piekļuves nozaudēšanu — pieejamības pārkāpums (piemēram, nevar atklāt zāļu mijiedarbību, jo nav iespējams piekļūt pacientu reģistram).
Ieteicams arī noteikt riska avotus (t. i., kurš vai kas varētu būt katra drošības incidenta cēlonis?), ņemot vērā iekšējos un ārējos cilvēku resursus (piemēram, IT speciālists, lietotājs, konkurents) un iekšējos vai ārējos avotus, kas nav cilvēkresursi (piemēram, ūdens radīti bojājumi, bīstami materiāli, datorvīrusi).
Risku avotu noteikšana palīdzēs jums apzināt iespējamos apdraudējumus (t. i., kas varētu radīt drošības incidentus?) attiecībā uz atbalsta resursiem (piemēram, aparatūru, programmatūru, saziņas kanāliem u. c.), kas var būt:
- izmantošana neatbilstošā veidā (piemēram, ļaunprātīga tiesību izmantošana, kļūdas apstrāde);
- modificēšana (piemēram, programmatūras vai aparatūras iesprūšana — “keylogger”, ļaunprātīgas programmatūras uzstādīšana);
- nozaudēšana (piemēram, klēpjdatora zādzība, USB atslēgas nozaudēšana);
- novērošana (piemēram, ekrāna novērošana vilcienā, ierīču ģeolokācija);
- bojājumi (piemēram, vandālisms, dabiska bojāšanās);
- pārslodze (piemēram, pilna glabāšanas iekārta, pakalpojuma atteikuma uzbrukums).
- nepieejamība (piemēram, izspiedējprogrammatūras gadījumā).
Ieteicams arī:
- noteikt esošos vai plānotos pasākumus katra riska novēršanai (piemēram, piekļuves kontrole, dublējumi, izsekojamība, telpu drošība, šifrēšana);
- aplēst risku nopietnību un iespējamību, pamatojoties uz iepriekš minētajiem elementiem (piemērs skalai, ko var izmantot aplēsei: nenozīmīgs, mērens, nozīmīgs, maksimums);
- īstenot un pārbaudīt plānotos pasākumus. Ja esošie un plānotie pasākumi tiek uzskatīti par piemērotiem, nodrošināt to īstenošanu un uzraudzību;
- veikt periodiskus drošības auditus: katras revīzijas rezultātā izstrādāt rīcības plānu, kura īstenošana jāuzrauga organizācijas augstākajā līmenī.
VDAR ir ieviests jēdziens “novērtējums par ietekmi uz datu aizsardzību (NIDA)”, kas ir obligāts attiecībā uz jebkuru personas datu apstrādi, kas varētu radīt augstu risku fiziskām personām. NIDA jāietver pasākumi, kas paredzēti, lai novērstu konstatētos riskus, tostarp aizsardzības pasākumi, drošības pasākumi un mehānismi, lai nodrošinātu personas datu aizsardzību.
Praksē
- Lai iegūtu skaidrāku priekšstatu par drošības riskiem, varat, piemēram, izveidot riska pārvaldības izklājlapu un regulāri to atjaunināt. Šajā izklājlapā var iekļaut materiālus un cilvēka riskus, kas saistīti ar serveriem, datoriem vai telpām. Pietiekami paredzami riski var palīdzēt mazināt sekas incidenta gadījumā.
Organizatoriskie pasākumi
Lietotāju informētības palielināšana
Ir svarīgi informēt darbiniekus vai lietotājus, kas apstrādā personas datus (datu apstrādātājus), par riskiem, kas saistīti ar privātumu, informēt viņus par pasākumiem, kas veikti, lai novērstu riskus, un par iespējamām sekām kļūmes gadījumā.
Praksē
Lietotāju informētības palielināšana var izpausties kā:
- izpratnes veicināšanas sesijas;
- regulāri atjaunināta informācija par procedūrām, kas attiecas uz darbinieku un datu apstrādātāju funkcijām;
- iekšējā saziņa, izmantojot e-pasta atgādinājumus utt.
Vēl viens piesardzības pasākums ir dokumentēt darba procedūras, atjaunināt tās un padarīt viegli pieejamas visiem attiecīgajiem datu apstrādātājiem. Konkrētāk- ikviena personas datu apstrādes darbība neatkarīgi no tā, vai tā attiecas uz administratīvām darbībām vai vienkāršu pieteikuma izmantošanu, būtu jāizskaidro viegli saprotamā valodā un jāpielāgo katrai apstrādātāju kategorijai dokumentos, uz kuriem tie var atsaukties.
Izveidot iekšējo politiku
Iekšējo datu apstrādātāju informētība var izpausties kā dokuments, kam jābūt saistošam un integrētam iekšējos noteikumos. Iekšējā politikā jo īpaši būtu jāiekļauj datu aizsardzības un drošības noteikumu apraksts.
Citi organizatoriski pasākumi
- Īstenot informācijas klasifikācijas politiku, kas nosaka vairākus līmeņus un prasa marķēt dokumentus un e-pastus, kas satur konfidenciālus datus.
- Katrā papīra vai elektroniskā dokumenta lapā, kas satur sensitīvus datus, sniegt skaidru paziņojumu.
- Rīkot informācijas drošības apmācības un izpratnes veicināšanas sesijas. Periodiskus atgādinājumus var rakstīt e-pastā vai izmantojot citu saziņas kanālu.
- Paredzēt konfidencialitātes līguma parakstīšanu vai iekļaut īpašu konfidencialitātes klauzulu attiecībā uz personas datiem līgumos ar darbiniekiem un citiem datu apstrādātājiem.
Tehniskie pasākumi
Drošs aprīkojums
Uzticēšanās jūsu informācijas sistēmai ir svarīgs jautājums, un viens no veidiem, kā to nodrošināt, ir atbilstošu drošības pasākumu īstenošana, ko VDAR ir noteikusi par obligātu.
Jo īpaši ir ieteicams nodrošināt:
- aparatūru (piemēram, serveri, darbstacijas, klēpjdatori, cietie diski);
- programmatūru (piemēram, operētājsistēma, uzņēmējdarbības programmatūra);
- sakaru kanālus (piemēram, optiskās šķiedras, Wi-Fi, internets);
- papīra dokumentus (piemēram, drukāti dokumenti, kopijas);
- telpas.
Drošas darbstacijas
Lai nodrošinātu darbstaciju drošību, varētu apsvērt šādas darbības:
- nodrošināt automātisku sesijas bloķēšanas mehānismu, ja darbstaciju noteiktā laika posmā neizmanto;
- uzstādīt ugunsmūra programmatūru un ierobežot sakaru portu atvēršanu līdz tām, kas noteikti nepieciešamas darbstacijā uzstādīto lietotņu pareizai darbībai;
- izmantot regulāri atjauninātu pretvīrusu programmatūru un izstrādāt programmatūras regulāras atjaunināšanas politiku;
- konfigurēt programmatūru, lai automātiski atjauninātu drošību, kad vien iespējams;
- veicināt lietotāju datu glabāšanu regulāri dublētā glabāšanas telpā, kas pieejama organizācijas tīklā, nevis darbstacijās. Ja dati tiek glabāti lokāli, nodrošināt lietotājiem sinhronizācijas vai dublēšanas spējas un apmācīt tos izmantot;
- ierobežot mobilo datu nesēju (USB atmiņa, ārējie cietie diski u. c.) savienojumu ar būtiskiem materiāliem;
- atslēgt autorun no noņemama datu nesēja.
Ko nedarīt
- izmantot novecojušas operētājsistēmas;
- piešķirt administratora tiesības lietotājiem, kuriem nav datordrošības prasmju.
Tālāk
- aizliegt tādu lejupielādētu lietojumprogrammu izmantošanu, kas nav iegūtas no drošiem avotiem;
- ierobežot tādu lietojumprogrammu izmantošanu, kurām nepieciešamas administratora līmeņa tiesības;
- droši dzēst datus par darbstaciju, pirms tos nodod citai personai;
- ja darbstacija ir apdraudēta, meklēt avotu un jebkādas liecības par ielaušanos organizācijas informācijas sistēmā, lai noteiktu, vai ir apdraudēti citi elementi;
- veikt organizācijas informācijas sistēmā izmantotās programmatūras un aparatūras drošības uzraudzību;
- atjaunināt lietojumprogrammas, ja ir konstatētas un novērstas kritiskas ievainojamības;
- nekavējoties instalēt operētājsistēmu atjauninājumus, plānojot iknedēļas automātisko pārbaudi;
- izplatīt visiem lietotājiem pareizu rīcību un to cilvēku sarakstu, ar kuriem sazināties drošības incidenta vai neparasta notikuma gadījumā, kas ietekmē organizācijas informācijas un sakaru sistēmas.
Praksē
- Jūsu birojā ir atvērtās telpas koncepcija, un jums ir daudz darbinieku, bet arī daudz apmeklētāju. Pateicoties automātiskai sesijas bloķēšanai, neviens ārpus uzņēmuma nevar piekļūt darbinieka datoram pārtraukumā vai redzēt, pie kā viņi strādā. Turklāt ugunsmūris un mūsdienīgs antivīruss aizsargā jūsu darbinieku interneta pārlūkošanu un ierobežo ielaušanās risku jūsu serveros. Jo vairāk pasākumu tiek ieviests, jo grūtāk ir nolaidīgam darbiniekam vai personai ar ļaunprātīgu nodomu nodarīt kaitējumu.
Aizsargāt uzņēmuma telpas
Piekļuve telpām jākontrolē, lai novērstu vai palēninātu tiešu, nesankcionētu piekļuvi papīra dokumentiem vai datortehnikai, jo īpaši serveriem.
Ko darīt
- uzstādīt signalizācijas sistēmas un regulāri tās pārbaudīt;
- uzstādīt dūmu detektorus un ugunsdzēšanas aprīkojumu un pārbaudīt tos katru gadu;
- aizsargāt atslēgas, ko izmanto, lai piekļūtu telpām, un trauksmes kodus;
- diferencēt ēkas zonas atkarībā no riska (piemēram, nodrošināt īpašu piekļuves kontroli datortelpai);
- uzturēt to personu vai personu kategoriju sarakstu, kurām atļauts iekļūt katrā teritorijā;
- izstrādāt noteikumus un līdzekļus apmeklētāju piekļūšanas kontrolei, vismaz nodrošinot, ka apmeklētājus ārpus publiskajām zonām pavada persona no organizācijas;
- fiziski aizsargāt datoraprīkojumu ar īpašiem līdzekļiem (īpašu ugunsdzēsības sistēmu, aizsardzību pret iespējamiem plūdiem, dublētu elektroapgādi un/vai gaisa kondicionēšanu utt.).
Ko nedarīt
Servera telpas (gaisa kondicionēšana, UPS u. c.) nepietiekams izmērs vai nolaidīga uzturēšana. Šo sistēmu darbības traucējumi bieži noved pie iekārtu izslēgšanas vai piekļuves atvēršanas telpām (gaisa cirkulācija), kas de facto neitralizē drošības pasākumus.
Tālāk
Var būt lietderīgi veikt uzskaiti par piekļuvi telpām vai birojiem, kuros atrodas materiāli, kas satur personas datus, kuri varētu nopietni negatīvi ietekmēt attiecīgās personas. Informējiet datu apstrādātājus par šādas sistēmas ieviešanu pēc tam, kad esat informējuši personāla pārstāvjus un apspriedušies ar tiem.
Turklāt jānodrošina, ka ierobežotas piekļuves zonām var piekļūt tikai pilnvarots personāls. Piemēram:
- ierobežotajās zonās pieprasīt, lai visām personām ir identifikācijas kartes;
- apmeklētājiem (tehniskā atbalsta personālam u. c.) vajadzētu būt ierobežotai piekļuvei. Jāreģistrē viņu ierašanās un izbraukšanas datums un laiks;
- regulāri pārskatiet un atjauniniet piekļuves atļaujas, lai aizsargātu zonas un vajadzības gadījumā šis atļaujas noņemtu.
Praksē
- Jūsu uzņēmums ir specializējies e-komercijā. Jūs glabājat klientu personas datus, kas tiek izvietoti serveros atsevišķā telpā. Lai nodrošinātu piekļuvi šiem datiem, ieeja šajās telpās tiek aizsargāta ar identifikācijas karšu lasītāju. Tomēr īssavienojuma dēļ izceļas ugunsgrēks. Pateicoties dūmu detektoram, ugunsdzēsēji tika ātri brīdināti un spēja ierobežot datu zudumu.
Autentificēt lietotājus
Lai nodrošinātu, ka lietotāji piekļūst tikai tiem datiem, kas viņiem vajadzīgi, viņiem pirms datoriekārtu izmantošanas būtu jāpiešķir unikāls identifikators, un viņiem būtu jāveic autentifikācija.
Mehānismi personu autentificēšanai tiek iedalīti kategorijās atkarībā no tā, vai tie ietver:
- ko mēs zinām, piemēram, parole;
- kas mums ir, piemēram, viedkarte;
- personai raksturīga īpašība, piemēram, veids, kā tiek izsekots ar roku rakstīts paraksts.
Mehānisma izvēle ir atkarīga no konteksta un dažādiem faktoriem. Lietotāja autentifikācija tiek uzskatīta par spēcīgu, ja tā izmanto vismaz divu šo kategoriju kombināciju.
Praksē
- Lai piekļūtu drošai telpai, kurā ir konfidenciāla informācija, varat uzstādīt caurlaižu lasītāju (“kas mums ir”) kopā ar piekļuves kodu (“ko mēs zinām”).
Autorizācija
Pēc vajadzības jāievieš dažādu līmeņu autorizācijas profili. Lietotājiem jābūt piekļuvei tikai tiem datiem, kas viņiem ir jāzina.
Autentifikācijas un autorizācijas pārvaldības labā prakse:
- katram lietotājam jānosaka unikāls identifikators un jāaizliedz vairākiem lietotājiem kopīgi izmantot kontus. Gadījumā, ja vispārīgu vai koplietojamu identifikatoru izmantošana ir neizbēgama, ir nepieciešama iekšējā validācija un īstenošanas līdzekļi, lai tos izsekotu (žurnāli);
- likt izmantot sarežģītas un garas paroles (piemēram, vismaz 8 rakstzīmes, lielie burti un speciālās rakstzīmes).
- uzglabāt paroles droši;
- noņemt novecojušas piekļuves atļaujas;
- regulāri veikt pārskatīšanu (piemēram, reizi sešos mēnešos);
Ko nedarīt
- izveidot vai izmantot kontus, kas koplietoti ar vairākām personām;
- piešķirt administratora tiesības lietotājiem, kuriem tās nav vajadzīgas;
- piešķirt lietotājam vairāk privilēģiju, nekā nepieciešams;
- aizmirst atcelt lietotājam piešķirtās pagaidu atļaujas (piemēram, aizstāšanai);
- aizmirstiet dzēst to cilvēku lietotāju kontus, kuri ir pametuši organizāciju vai mainījuši darbu.
Tālāk
Izstrādāt, dokumentēt un regulāri pārskatīt jebkādu piekļuves kontroles politiku, ciktāl tā attiecas uz organizācijas īstenotajām procedūrām, tostarp:
- procedūras, kas sistemātiski jāpiemēro, ierodoties, aizejot vai mainot norīkojumu personai, kurai ir piekļuve personas datiem;
- sekas personām, kurām ir likumīga piekļuve datiem, ja netiek ievēroti drošības pasākumi;
- pasākumi, lai ierobežotu un kontrolētu piekļuves apstrādei piešķiršanu un izmantošanu.
Praksē
- Kad jauns darbinieks pievienojas uzņēmumam, jums ir jāizveido jauns lietotāja konts ar spēcīgu paroli. Darbiniekiem nevajadzētu savstarpēji dalīties ar saviem akreditācijas datiem, jo īpaši, ja viņiem nav vienādas akreditācijas. Gadījumā, ja viņi maina amatu, jāpārskata viņu piekļuves pilnvaras konkrētiem failiem vai sistēmām.
Pseidonimizēt datus
Pseidonimizācija ir personas datu apstrāde tādā veidā, ka vairs nav iespējams piešķirt personas datus konkrētai fiziskai personai, neizmantojot papildu informāciju. Šāda papildu informācija ir jāglabā atsevišķi, un tai piemēro tehniskus un organizatoriskus pasākumus.
Praksē pseidonimizācija ir tieši identificējošu datu (vārds, vārds, personas numurs, tālruņa numurs utt.) aizstāšana datu kopā ar netieši identificējošiem datiem (citiem vārdiem, kārtas numuriem utt.). Tas ļauj apstrādāt personu datus, nespējot tos identificēt tiešā veidā. Tomēr, pateicoties papildu datiem, ir iespējams izsekot šo personu identitāti. Tādējādi pseidonimizētie dati joprojām ir personas dati, un uz tiem attiecas VDAR. Pseidonimizācija ir arī atgriezeniska, atšķirībā no anonimizācijas.
Pseidonimizācija ir viens no VDAR ieteiktajiem pasākumiem, lai ierobežotu ar personas datu apstrādi saistītos riskus.
Lasīt vairāk
Šifrēt datus
Šifrēšana ir process, kurā informāciju pārveido par kodu, lai novērstu nesankcionētu piekļuvi. Šo informāciju var atkārtoti nolasīt, tikai izmantojot pareizo atslēgu. Šifrēšana tiek izmantota, lai garantētu datu konfidencialitāti. Šifrēti dati joprojām ir personas dati. Tādējādi šifrēšanu var uzskatīt par vienu no pseidonimizācijas paņēmieniem.
Turklāt jaucējfunkcijas var izmantot, lai nodrošinātu datu integritāti. Digitālie paraksti ne tikai nodrošina integritāti, bet arī ļauj pārbaudīt informācijas izcelsmi un tās autentiskumu.
Anonimizēt datus
Personas datus var padarīt anonīmus tādā veidā, ka persona nav vai vairs nav identificējama. Anonimizācija ir process, kas sastāv no metožu kopuma izmantošanas, lai padarītu personas datus anonīmus tā, ka nav iespējams identificēt personu ar jebkādiem līdzekļiem, kurus pamatoti varētu izmantot.
Anonimizācija var ļaut jums izmantot datus tā, lai tiktu ievērotas personu tiesības un brīvības. Anonimizācija patiešām paver iespēju atkārtoti izmantot datus, kas sākotnēji nav atļauts datu personiskā rakstura dēļ, un var ļaut organizācijām izmantot datus papildu mērķiem, neapdraudot personu privātumu. Anonimizācija arī ļauj saglabāt datus pēc datu glabāšanas termiņa beigām.
Ja anonimizācija tiek pienācīgi īstenota, VDAR vairs neattiecas uz anonimizētiem datiem. Tomēr ir svarīgi paturēt prātā, ka personas datu anonimizācija praksē ne vienmēr ir iespējama vai viegli sasniedzama. Ir jāizvērtē, vai attiecīgajiem datiem anonimizācija var tikt piemērota un veiksmīgi saglabāta, ņemot vērā personas datu apstrādes īpašos apstākļus. Lai sekmīgi īstenotu anonimizāciju saskaņā ar VDAR, bieži vien būtu vajadzīgas papildu juridiskās vai tehniskās zināšanas.
Kā pārbaudīt anonimizācijas efektivitāti?
Eiropas datu aizsardzības iestādes nosaka trīs kritērijus, lai nodrošinātu, ka datu kopa ir patiesi anonīma:
- Atpazīšana: datu kopā nedrīkst būt iespējams atpazīt informāciju par konkrētu personu.
- Savienojamība: nevajadzētu būt iespējai sasaistīt atsevišķus datu elementus par vienu un to pašu personu.
- Secinājumu izdarīšana: nevajadzētu būt iespējai izdarīt precīzus secinājums par personu.
Praksē
- Atpazīšana: CV datubāzē, kurā tikai personas vārdi un uzvārdi ir aizstāti ar numuru (kas atbilst tikai šai personai), joprojām ir iespējams atpazīt konkrētu personu, pamatojoties uz citām pazīmēm. Šajā gadījumā personas datus uzskata par pseidonimizētiem, nevis par anonimizētiem.
- Savienojamība: kartēšanas datubāzi, kurā ir personu adreses, nevar uzskatīt par anonīmu, ja citās datubāzēs ir šīs pašas adreses ar citiem datiem, kas ļauj identificēt personas.
- Secinājumu izdarīšana: ja šķietami anonīma datu kopa satur informāciju par aptaujas anketas respondentu nodokļu saistībām un visi respondenti - vīrieši vecumā no 20 līdz 25 gadiem- nav nodokļu maksātāji, var secināt, ka konkrētais respondents ir vai nav nodokļu maksātājs, ja ir zināms vecums un dzimums.
Lasīt vairāk
Īpašie gadījumi
Attālinātā darba drošības pasākumi
Attālināta darba kontekstā ir nepieciešams nodrošināt apstrādāto datu drošību, vienlaikus ievērojot personu privātumu.
Ko darīt:
- Izstrādāt attālinātā darba drošības politiku vai vismaz minimālo noteikumu kopumu, kas jāievēro, un iepazīstināt ar to darbiniekus;
- Ja jums ir jāmaina savas informācijas sistēmas uzņēmējdarbības noteikumi, lai nodrošinātu attālināto darbu (piemēram, mainīt pielaides noteikumus, attālinātu administratora piekļuvi utt.), apsvērt ar to saistītos riskus un, ja nepieciešams, veikt pasākumus, lai saglabātu drošības līmeni;
- Aprīkojiet visas darbinieku darbstacijas ar vismaz ugunsmūri, pretvīrusu programmatūru un rīku, lai bloķētu piekļuvi ļaunprātīgām vietnēm. Ja darbinieki var izmantot savu aprīkojumu, sniedziet norādījumus, kā to nodrošināt (sk. “Drošības pasākumi BYOD”);
- Iestatiet VPN, lai izvairītos no jūsu pakalpojumu tiešas iedarbības uz internetu, kad vien tas ir iespējams. Ja iespējams, izmantojiet divu faktoru VPN autentifikāciju;
- Nodrošiniet saviem darbiniekiem tādu saziņas un sadarbības rīku sarakstu, kas ir piemēroti attālinātam darbam un nodrošina apmaiņu un koplietojamo datu konfidencialitāti. Izvēlieties rīkus, kurus kontrolējat, un pārliecinieties, ka tie piedāvā vismaz mūsdienīgu autentifikāciju un saziņas šifrēšanu un ka datu pārraides laikā tie netiek atkārtoti izmantoti citiem mērķiem (produktu uzlabošanai, reklāmai utt.). Dažas plaša patēriņa programmatūras var pārsūtīt lietotāja datus trešajām personām, tāpēc tās ir īpaši nepiemērotas izmantošanai uzņēmējdarbībā.
Drošības pasākumi BYOD (pašu ierīču izmantošana)
Attīstoties BYOD, jo īpaši MVU, izzūd robeža starp profesionālo un personīgo dzīvi. Pat ja BYOD pats par sevi nav uzskatāms par personas datu apstrādi, joprojām ir jānodrošina datu drošība.
Akronīms “BYOD” nozīmē “Bring Your Device” un attiecas uz personīgo datoru iekārtu izmantošanu profesionālā kontekstā. Piemēram, darbinieks, kas izmanto personīgo aprīkojumu, piemēram, datoru, planšetdatoru vai viedtālruni, lai izveidotu savienojumu ar uzņēmuma tīklu.
Iespēja izmantot personīgos rīkus galvenokārt ir darba devēja izvēles un valsts tiesību aktu jautājums. VDAR pieprasa, lai apstrādāto personas datu drošības līmenis būtu vienāds neatkarīgi no izmantotā aprīkojuma. Darba devēji ir atbildīgi par sava uzņēmuma personas datu drošību pat tad, ja tie tiek glabāti termināļos, pār kuriem viņiem nav fiziskas vai juridiskas kontroles, bet kurus viņi ir atļāvuši izmantot, lai piekļūtu uzņēmuma IT resursiem.
Riski, pret kuriem ir svarīgi aizsargāt savu organizāciju, ir dažādi - no vienreizēja uzbrukuma datu pieejamībai, integritātei un konfidencialitātei līdz uzņēmuma informācijas sistēmas vispārējai kompromitēšanai (ielaušanās, vīrusi u. c.).
Kontrolsaraksta piemērs
Piemērs tam, kā varētu izskatīties kontrolsaraksts, lai uzlabotu jūsu organizācijā ieviesto drošības līmeni:
- Regulāri informēt un izglītot datu apstrādātājus par riskiem, kas saistīti ar privātumu
- Izstrādāt iekšējo politiku un piešķirt tai saistošu spēku
- Īstenot integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma
- Pārliecināties, ka apstrādātie dati ir adekvāti, atbilstoši un aprobežojas ar to, kas ir nepieciešams (datu minimizēšana)
- Īstenot informācijas klasifikācijas politiku attiecībā uz konfidenciāliem datiem
- Noteikt dokumentus, kas satur sensitīvus datus
- Veikt informācijas drošības apmācības un izpratnes veicināšanas sesijas, kā arī periodiski atgādināt
- Parakstīt konfidencialitātes līgumu ar saviem darbiniekiem vai iekļaut īpašus konfidencialitātes noteikumus
- Nodrošināt automātisku sesiju bloķēšanu, atjauninātu ugunsmūri un antivīrusu, dublējumkopijas lietotājiem.
- Ierobežot fizisko savienojumu (USB atmiņa, ārējie cietie diski utt.) tikai līdz būtiskajam
- Aizsargāt uzņēmuma telpas (piemēram, ielaušanās signalizācija, dūmu detektori, aizsargātas atslēgas, nošķirta telpa atkarībā no riska, atļaujas piekļūt konkrētām zonām, īpaša ugunsdzēsības sistēma)
- Piešķirt lietotājiem unikālu identifikatoru
- Noteikt, ka ir nepieciešama autentifikācija, lai piekļūtu datora iekārtām
- Pārvaldīt atļaujas (piemēram, atsevišķi profili atbilstoši vajadzībām, unikāls identifikators, spēcīgas paroles)
- Izstrādāt attālinātā darba drošības politiku
- Noņemt novecojošas piekļuves atļaujas
- Regulāri pārskatīt atļaujas
- Pseidonimizēt vai anonimizēt datus, lai ierobežotu personu atkārtotu identifikāciju
- Šifrēt datus, lai novērstu nesankcionētu piekļuvi
- Instalēt VPN attālinātajam darbam
- Pārliecināties, ka personiskās ierīces, ko izmanto darbam, ir drošas (BYOD)