Organizacinės ir techninės duomenų saugumo priemonės

 
Aurimas Šidlauskas
www.DELFI.lt
Fabio / Unsplash
Fabio / Unsplash

Nuo Bendrojo duomenų apsaugos reglamento įsigaliojimo pradžios, t. y. 2018 metų gegužės 25 dienos, Valstybinė duomenų inspekcija (VDAI) išnagrinėjo 168 pranešimus dėl asmens duomenų saugumo pažeidimų. Šie pažeidimai iš viso paveikė 239 tūkstančius abonentų arba fizinių asmenų. Remiantis VDAI statistika, dažniausia asmens duomenų saugumo pažeidimų priežastis yra žmogiškoji klaida.

Asmens duomenų saugumo pažeidimai turi sankirtą su skirtingais incidentais:

  1. Fizinės saugos incidentai.
  2. Kibernetiniai incidentai.
  3. Fizinės saugos incidentai.
  4. Informacinių ir ryšių technologijų (IRT) incidentai.
Valstybinės duomenų apsaugos inspekcijos skaidrės


Kuriant (diegiant) ar vertinant turimas organizacines ir technines saugumo priemones, organizacijos turi visapusiškai atsižvelgti į pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. Organizacijos, valdančios ir (ar) tvarkančios asmens duomenis (duomenų valdytojai ir duomenų tvarkytojai) privalo įvertinti aktualius pavojus asmens duomenų saugumui ir atitinkamai įgyvendinti tinkamas saugumo priemones.

Rudenį vykusioje „ESET Security Day 2019“ konferencijoje VDAI IT skyriaus vadovas dr. Jevgenij Tichonov pristatė dvidešimt organizacinių ir techninių duomenų saugumo priemonių. Organizacinės ir techninės duomenų saugumo priemonės taikomos organizacijose siekiant išvengti arba sumažinti riziką asmens duomenų saugumo pažeidimui.

Organizacinės duomenų saugumo priemonės:

  1. Asmens duomenų saugumo politika ir procedūros. Saugumo politika yra svarbus dokumentas, nustatantis pagrindinius informacijos apsaugos principus organizacijoje.
  2. Vaidmenys ir atsakomybės. Pagrindinė duomenų saugumo priemonė organizacijos personalui – aiškiai apibrėžta ir dokumentuota atsakomybė bei vaidmenys.
  3. Prieigos valdymo politika. Prieigos kontrolės politika turi būti grindžiama principu „būtina žinoti“.
  4. Išteklių ir turto valdymas. Tinkamas techninės, programinės ir tinklo įrangos valdymas yra būtinas asmens duomenų saugumui ir vientisumui.
  5. Pakeitimų valdymas. Pakeitimų valdymo tikslas – sinchronizuoti ir kontroliuoti visus IT sistemos atliekamus pakeitimus.
  6. Duomenų tvarkytojai. Organizacijos pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad bus įgyvendintos tinkamos techninės ir organizacinės priemonės, o duomenų tvarkymas atitiks Bendrąjį duomenų apsaugos reglamentą.
  7. Asmens duomenų apsaugos pažeidimai ir incidentai. Duomenų valdytojai turi būti tikri, kad jie laikosi savo įsipareigojimų, susijusių su pranešimu apie asmens duomenų saugumo pažeidimus.
  8. Veiklos tęstinumas. Veiklos ar paslaugų tęstinumo planas yra būtinas nustatant procesus ir technines priemones.
  9. Personalo konfidencialumas. Organizacija turi užtikrinti kad jos darbuotojai gebėtų konfidencialiai tvarkyti informaciją tiek techniniu, tiek asmeninio sąžiningumo požiūriu.
  10. Mokymai. Personalo mokymai apie duomenų apsaugos ir saugumo procedūras (pvz. slaptažodžių naudojimas ir prieiga prie konkrečių IT sistemų) yra ypatingai svarbūs.

Techninės duomenų saugumo priemonės:

  1. Prieigų kontrolė ir autentifikavimas. Prieigų kontrolė ir autentifikavimas yra esminiai saugos reikalavimai, siekiant apsisaugoti nuo neautorzuotos prieigos prie IT sistemos.
  2. Techninių žurnalų įrašai ir stebėsena. Techninių žurnalų įrašai ir stebėsena yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus, taip užtikrinant atskaitingumą.
  3. Tarnybinių stočių duomenų bazių apsauga. Informacinių sistemų pagrindas yra tarnybinės stotys ir duomenų bazės. Jų apsauga privalo būti sustiprinta.
  4. Darbo vietų apsauga. Yra svarbu priverstinai nustatyti specifinę saugos politiką ir apriboti naudotojų veiksmus, siekiant apsaugoti IT sistemas.
  5. Tinklo ir komunikacijos sauga. Tinklo ir komunikacijos sauga yra ypač svarbi, siekiant užtikrinti asmens duomenų saugą (tiek vidinių tiek išorinių tinklų).
  6. Atsarginės kopijos. Atsarginių kopijų sistema yra esminis veiksnys, užtikrinantis organizacijos darbo ir procesų atstatymą, įvykus duomenų praradimui ir sugadinimui.
  7. Mobilieji, nešiojamieji įrenginiai. Mobilieji, nešiojamieji įrenginiai gali išplėsti paslaugas, kurias teikia organizacija, tačiau padidina juose esančių duomenų nutekėjimo riziką.
  8. Programinės įrangos sauga. Visuose programinės įrangos kūrimo ir administravimo etapuose organizacija turi užtikrinti duomenų saugos laikymąsi, asmens duomenų apsaugą.
  9. Duomenų naikinimas šalinimas. Negrįžtamas asmens duomenų šalinimas, sunaikinimas be teorinės ir praktinės galimybės juos pakartotinai nuskaityti ar atstatyti.
  10. Fizinė sauga. Tiesioginė fizinės saugos prieigos kontrolė prie IT infrastruktūros yra visos taikomos saugos strategijos pagrindas.
Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.
www.DELFI.lt
Prisijungti prie diskusijos Rodyti diskusiją
Delfi
Dalintis
Nuomonės