„Pagal savo svarbą, praradimo pasekmes, elektroninėje erdvėje saugomus duomenis galima suskirstyti į tris grupes: pirmąjį, antrąjį ir trečiąjį saugumo lygio duomenis. Kuo aukštesnis saugumo lygis, tuo aukštesni saugumo reikalavimai", - pranešime spaudai cituojamas „TGS Baltic“ partneris Mindaugas Civilka.
Kuo skiriasi kiekvienas šių lygių ir kaip informaciją turi būti saugoma?
Pirmasis saugumo lygis apima viešai prieinamus asmens duomenis, pavyzdžiui, kontaktinė informacija tinklapyje, bei duomenis prieinamus tik per pačios įmonės perdavimo tinklus, pavyzdžiui, intraneto duomenys.
Jų apsaugai pakanka užtikrinti tinkamą prieigos valdymo administravimą, slaptažodžių keitimą, saugumą ir unikalumą, duomenų apsaugą nuo neteisėto prisijungimo, patalpų saugumą ir programinės įrangos apsaugą nuo kenksmingos programinės įrangos, t.y. antivirusinių programų įdiegimas, atnaujinimas ir panašiai.
Antrasis saugumo lygis - tai duomenys, prieinami per išorinius perdavimo tinklus, pavyzdžiui, kitos įmonės valdomame serveryje esantys duomenys, prieinami nuotoliniu būdu. Į šią kategoriją patektų visi nevieši įmonės informacinėse sistemose tvarkomi duomenys apie jos klientus, vartotojus.
„Šiems duomenims keliami rimti reikalavimai, pavyzdžiui, privalu fiksuoti detalius prieigos prie duomenų įrašus, kurie saugomi bent 1 metus, užtikrinama asmens duomenų, esančių išorinėse laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo perkeliant į duomenų bazes ir panašiai, registruojami asmens duomenų kopijavimo ir atkūrimo jų avarinio praradimo atveju veiksmai, užtikrinama, kad IT testavimas nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus", - sakė M. Civilka.
Trečiajam saugumo lygiui priskiriami specialieji asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, sveikatos duomenys arba duomenys apie asmens lytinį gyvenimą ir lytinę orientaciją.
„Šie duomenys paprastai tvarkomi įmonių žmogiškųjų išteklių ar personalo skyriuose, t.y. darbuotojų, kandidatų duomenys, juos taip pat saugo sveikatos priežiūros paslaugas teikiančios įmonės ar specialistai", - kalbėjo jis.
Pasak specialisto, tokiems duomenims keliami aukščiausi reikalavimai, pavyzdžiui, mobiliuosiuose įrenginiuose, jeigu jie naudojami ne įmonės tinkle, esantys duomenys turi būti šifruojami ar saugomi panašiomis priemonėmis, atsarginės asmens duomenų kopijos turi būti saugomos kitoje patalpoje ar vietoje negu aktyvi duomenų bazė, turi būti šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose (USB raktuose ir panašiai) esantys asmens duomenys, reikalaujama šifruoti elektroniniu paštu siunčiamus duomenis.
Duomenų apsaugos priemonės
Kaip turėtų būti saugomi jautrūs duomenys? Specialistas vardija, kad sprendimų yra ne vienas.
„Pagrindinė fizinė duomenų apsaugos priemonė yra patalpa. Serveris, kietasis diskas, USB raktas, kuriame saugomi duomenys turi būti patalpoje, kuri yra rakinama, apsaugota elektroninėmis apsaugos priemonėmis, stebima. Įėjimas į tokią patalpą suteikiamas tik įgaliotiems asmenims pasinaudojant išmaniosiomis kortelėmis", - kalbėjo M.Civilka.
Duomenų saugykloms, t.y., serveriui, kietajam diskui, turi būti užtikrinama apsauga nuo išorinių pavojų, pavyzdžiui nuo aukštos temperatūros ar vandens.
Svarbu užtikrinti, kad prieigą prie duomenų turėtų tik įgalioti asmenys, būtų laikomasi apsaugos procedūrų ir, esant incidentui, būtų greitai sureaguota bei pašalintos jo pasekmės.
„Prie tokių priemonių priskiriami darbuotojų apmokymai, įvairios procedūros, reguliuojančios slaptažodžių keitimą, prieigos ir operacijų žurnalų pildymą, prieigos teisių administravimą ir kt. Pavyzdžiui, prieigos teisės prie asmens duomenų turėtų būti suteikiamos kuo siauresniam asmenų ratui, kurie pagal vykdomas funkcijas privalo prieiti prie konkrečių duomenų: pavyzdžiui, buhalterė, skaičiuojanti darbo užmokestį, vadybininkas, teikiantis pasiūlymą, IT specialistas, prižiūrintis asmens naudojamą įrangą ar šalinantis gedimą", - pavyzdį pateikė M. Civilka.
Taip pat reikalingos ir techninės priemonės, tai - įvairūs IT sprendimai, programinė įranga, skirta saugoti duomenis, sistemas, kuriuose jie yra laikomi, tiek nuo išorinių (įsilaužėlių), tiek ir nuo vidinių pavojų (duomenų praradimas dėl gedimo).
Tarp svarbiausių jis įvardija ugniasienę (angl. Firewall), duomenų netekimo prevencijos priemones (angl. data loss prevention) bei anti-spyware sistemas, įvairias duomenų šifravimo (angl. encryption) bei užkodavimo (angl. encoding) programas. Taip pat svarbios ir mobiliųjų įrenginių valdymo sistemos (MDM).
Taisyklė 3-2-1
Viena svarbiausių duomenų bazių apsaugos priemonių – reguliarus atsarginių kopijų darymas ir archyvavimas.
„Patiems svarbiausiems duomenims apsaugoti patyrę IT ekspertai rekomenduoja vadovautis 3-2-1 taisykle: bent 3 duomenų kopijos 2 skirtinguose įrenginiuose (pavyzdžiui, pagrindiniame kompiuteryje ir išoriniame kietajame diske) bei 1 kopija, saugoma kitoje vietoje nei pagrindinis kompiuteris, pavyzdžiui, nuotoliniame duomenų saugojimo centre", - patarė M. Civilka.
Saugumo ekspertai sutaria, kad kiekvienoje įmonėje silpniausia grandis – žmogus. Jokios techninės priemonės neapsaugos nuo žmogiškojo faktoriaus.
„Dažnas atvejis, kai darbuotojas prisijungimo vardą ir slaptažodį užsirašo ant lapelio ir priklijuoja prie kompiuterio ekrano, pasiteisindamas, kad iš jo tiesiog per dažnai reikalaujama keisti slaptažodžius. Kartais informacija gali būti persiųsta suklastotam elektroninio pašto adresatui nežinant, kad jos paprašė ne kolega iš kito skyriaus, o apsimetėlis. Darbuotojai taip pat yra linkę kopijuoti net ir jautrius duomenis į asmeninį kompiuterį ar išmanius įrenginius, kad galėtų dirbti iš namų", - keletą pavyzdžių įvardijo jis.
Svarbu ir tai, kad galima netyčia atidaryti neaiškios kilmės e-laiškus: įprastas atvejis, kai kenkėjiška programa į kompanijų kompiuterius patenka per elektroninį paštą, atidarius „Word“, „Excel“ ar kitą dokumentą, todėl svarbu žmonėms gerai išaiškinti galimas rizikas.
