Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Oct 03, 2022
Duomenų apsaugos pareigūnas Allaw® supažindina
Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pritaikytosios ir standartizuotosios duomenų apsaugos informacinės sistemos gyvavimo cikle (toliau - gairės). Šios gairės, tikimasi, padės duomenų valdytojams ir duomenų tvarkytojams įgyvendinant Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 25 str. įtvirtintus reikalavimus. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį ir supažindina su svarbiausiais VDAI gairių aspektais, kurie turėtų būti taikomi kiekvieno duomenų valdytojo ir duomenų tvarkytojo duomenų tvarkymo veikloje.
Kam gairės gali labiausiai padėti?
Kaip nurodoma pačiose gairėse, jos turėtų padėti duomenų valdytojams ir duomenų tvarkytojams, o visų pirma jos skirtos duomenų valdytojo ar duomenų tvarkytojo informacinių sistemų ar atskiros programinės, techninės įrangos kūrėjams:
Gairės visų pirma skirtos:
IT projektų vadovams,
IT architektams,
programuotojams,
testuotojams,
duomenų apsaugos pareigūnams
ir kitiems asmenims, kurie dalyvauja informacinių sistemų, kuriose tvarkomi asmens duomenys kūrime.
Informacinės sistemos gyvavimo ciklas apima visus sistemos būsenos pokyčius nuo jos steigimo pagrindo nustatymo iki veikimo pabaigos, t.y., informacinės sistemos inicijavimas, kūrimas, eksploatavimas, modernizavimas, likvidavimas.Gairėse pateikta gyvavimo ciklo koncepcija taip pat taikytina atskiram programinės ar techninės įrangos vystymui. Gairėse pateikia informacija į kokius aspektus kiekviename iš sistemos gyvavimo etapų reikalinga atkreipti dėmesį. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į svarbiausius aspektus ne tik į minėtuose etapuose, bet ir kasdienėje duomenų tvarkymo veikloje.
VDAI paskelbė gaires dėl pritaikytosios ir standartizuotosios asmens duomenų apsaugos
Darbuotojų mokymų svarba
Kaip ne kartą yra pažymėjusi VDAI, mokymai yra viena pagrindinių organizacinių asmens duomenų saugumo priemonių, padedanti užtikrinti bet kokios organizacijos atitiktį BDAR 24, 25, 28, 32 str. ir 39 str. 1 d. b) punkto reikalavimams. Juo rengti įpareigoja ir BDAR 37, 43 str. Jie ypatingai svarbūs ir sistemos inicijavimo procese, kai nustatomos asmens duomenų tvarkymo operacijos, asmens duomenų ir duomenų subjektų kategorijos, duomenų teikėjai ir duomenų gavėjai bei identifikuojamas poreikis įgyti papildomas žinias ar kompetencijas.
Vadovaujantis VDAI gairėmis, mokymai ir kompetencijos pagal profesines grupes turėtų apimti bent žemiau nurodytas temas.
Mokymai ir kompetencijos turėtų apimti bent šias temas:
su asmens duomenų tvarkymu susiję principai, asmens duomenų teisėto tvarkymo sąlygos, specialiųjų kategorijų asmens duomenų, asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas (BDAR 5–10 straipsniai);
duomenų subjekto teisės (BDAR 12–23 straipsniai);
duomenų valdytojai ir duomenų tvarkytojai, jų atsakomybės, asmens duomenų saugumo principai (BDAR 24–43);
informacijos saugumo valdymo sistemų pagrindai (pvz., ISO 27001, ISF Standard of Good Practice for Information Security);
programinės įrangos kūrimo standartai (pvz., ISO 27034, SDL);
saugumo testavimas (pvz., OWASP Testing Guide, OWASP ASVS, OWASP Top 10);
kibernetinių grėsmių rizikos vertinimas (pvz., STRIDE, DREAD);
vidinės organizacijos privatumo, saugos procedūros ir dokumentacija.
Į ką atkreipti dėmesį, nustatant duomenų saugumo priemones?
Kuriant informacines sistemas / programinę įrangą asmens duomenims tvarkyti ypatingai svarbu, kad jos atitiktų asmens duomenų tvarkymo principus (BDAR 5 str.), leistų įgyvendinti duomenų subjektų teises (BDAR 12-22 str.) bei užtikrintų atitinakamą duomenų saugumo lygį (BDAR 24, 25, 32–34 str.). Nustatant duomenų saugumo priemones organizacijoms pirmiausia reikalinga atlikti rizikos vertinimą (BDAR 24 ir 32 str.). Vadovaujantis naujausiomis VDAI gairėmis atliekant šį vertinimą verta:
Nustatyti priimtinos rizikos lygius duomenų apsaugai bent pagal šias kategorijas:
▪ neturi įvykti asmens duomenų saugumo pažeidimai duomenų subjektas privalo kontroliuoti savo asmens duomenis; ▪ negali būti nepagrįstai apribotos duomenų subjekto teisės ar laisvės; ▪ duomenų subjektas negali būti profiliuojamas arba diskriminuojamas; ▪ negali būti pavogta duomenų subjekto tapatybė; ▪ duomenų subjektas neturi patirti finansinių nuostolių; ▪ negali būti paveikta duomenų subjekto reputacija; ▪ pseudonimų suteikimo atvejais neturi būti įmanoma atsekti tikrosios tapatybės; neturi įvykti asmens duomenų saugumo pažeidimai
Nustatyti priimtinos rizikos lygius duomenų saugumui bent pagal šias kategorijas:
▪ asmens duomenys negali būti netyčia ar neteisėtai pakeisti, prarasti ar sunaikinti; ▪ asmens duomenys negali būti neteisėtai atskleisti; ▪ asmens duomenys turi būti apsaugoti atsižvelgiant į programinės įrangos konfidencialumą, vientisumą, prieinamumą ir atsparumą; ▪ asmens duomenys turi būti pseudonimizuoti ir (ar) užšifruoti; ▪ įvykus fiziniam ar techniniam incidentui, turi būti įmanoma laiku atkurti galimybę tvarkyti asmens duomenis; ▪ turi būti užtikrintas reguliarus duomenų tvarkymo saugumo priemonių veiksmingumo vertinimas.
Pagal rizikos vertinimo rezultatus numatyti tinkamas organizacines ir technines saugumo priemones
VDAI rekomenduoja
Pačių priemonių nustatymas turėtų remtis ankstesnėmis VDAI Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairėmis duomenų valdytojams ir duomenų tvarkytojams bei OWASP programinės įrangos saugos užtikrinimo standartu (angl. OWASP Application Security Verification Standard 4.0.1).
Taikomų priemonių reguliari peržiūra
Atsižvelgiant į tai, kad tiek informacinių sistemų / programinės įrangos, bei duomenų tvarkymo veikla apskritai paprastai yra dinamiška veikla (neretai keičiasi jos apimtis, dalyviai ir pan.) ypatingai svarbu užtikrinti reguliarų pasirinktų priemonių BDAR reikalavimams įgyvendinti peržiūrą ir atnaujinimą. VDAI atkreipia dėmesį, kad nuolat vertinant techninių ir organizacinių saugumo priemonių veiksmingumą turi būti įvertinti:
pažeidžiamumo analizė ir skverbimosi testai;
nuolatiniai automatiniai programinės įrangos, infrastruktūros ir tinklo būklės patikrinimai;
serverio ir kliento programinės įrangos bei trečiųjų šalių komponentų taisymas;
našumo patobulinimai, laiku atliekami įrangos atnaujinimai, pvz., operacinių sistemų, programinės įrangos bibliotekų, šifravimo algoritmų ir jų raktų atnaujinimai ir pan.;
sistemos įvykių ir vartotojų veiklos registravimas, periodiškos žurnalų peržiūros siekiant nustatyti saugumo pažeidimus;
reguliarūs mokymai, instruktažai ir pan.;
asmens duomenų apsaugos kultūros laikymasis (pvz., apklausos, testai ir pan.);
vidaus ir išorės auditai ar kitokios formos atitikimų taisyklėms (teisės aktams, elgesio kodeksams, vidaus taisyklėms, saugos politikai ir pan.) dokumentavimas;
periodiniai duomenų tvarkytojų ir trečiųjų šalių patikrinimai dėl susitarimų laikymosi.
VDAI gairės dėl pritaikytosios ir standartizuotosios asmens duomenų apsaugos: į ką atkreipia dėmesį?
Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pritaikytosios ir standartizuotosios duomenų apsaugos informacinės sistemos gyvavimo cikle (toliau - gairės). Šios gairės, tikimasi, padės duomenų valdytojams ir duomenų tvarkytojams įgyvendinant Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 25 str. įtvirtintus reikalavimus. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį ir supažindina su svarbiausiais VDAI gairių aspektais, kurie turėtų būti taikomi kiekvieno duomenų valdytojo ir duomenų tvarkytojo duomenų tvarkymo veikloje.
Kam gairės gali labiausiai padėti?
Kaip nurodoma pačiose gairėse, jos turėtų padėti duomenų valdytojams ir duomenų tvarkytojams, o visų pirma jos skirtos duomenų valdytojo ar duomenų tvarkytojo informacinių sistemų ar atskiros programinės, techninės įrangos kūrėjams:
Informacinės sistemos gyvavimo ciklas apima visus sistemos būsenos pokyčius nuo jos steigimo pagrindo nustatymo iki veikimo pabaigos, t.y., informacinės sistemos inicijavimas, kūrimas, eksploatavimas, modernizavimas, likvidavimas. Gairėse pateikta gyvavimo ciklo koncepcija taip pat taikytina atskiram programinės ar techninės įrangos vystymui. Gairėse pateikia informacija į kokius aspektus kiekviename iš sistemos gyvavimo etapų reikalinga atkreipti dėmesį. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į svarbiausius aspektus ne tik į minėtuose etapuose, bet ir kasdienėje duomenų tvarkymo veikloje.
Darbuotojų mokymų svarba
Kaip ne kartą yra pažymėjusi VDAI, mokymai yra viena pagrindinių organizacinių asmens duomenų saugumo priemonių, padedanti užtikrinti bet kokios organizacijos atitiktį BDAR 24, 25, 28, 32 str. ir 39 str. 1 d. b) punkto reikalavimams. Juo rengti įpareigoja ir BDAR 37, 43 str. Jie ypatingai svarbūs ir sistemos inicijavimo procese, kai nustatomos asmens duomenų tvarkymo operacijos, asmens duomenų ir duomenų subjektų kategorijos, duomenų teikėjai ir duomenų gavėjai bei identifikuojamas poreikis įgyti papildomas žinias ar kompetencijas.
Vadovaujantis VDAI gairėmis, mokymai ir kompetencijos pagal profesines grupes turėtų apimti bent žemiau nurodytas temas.
su asmens duomenų tvarkymu susiję principai, asmens duomenų teisėto tvarkymo sąlygos, specialiųjų kategorijų asmens duomenų, asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas (BDAR 5–10 straipsniai);
duomenų subjekto teisės (BDAR 12–23 straipsniai);
duomenų valdytojai ir duomenų tvarkytojai, jų atsakomybės, asmens duomenų saugumo principai (BDAR 24–43);
informacijos saugumo valdymo sistemų pagrindai (pvz., ISO 27001, ISF Standard of Good Practice for Information Security);
programinės įrangos kūrimo standartai (pvz., ISO 27034, SDL);
saugumo testavimas (pvz., OWASP Testing Guide, OWASP ASVS, OWASP Top 10);
kibernetinių grėsmių rizikos vertinimas (pvz., STRIDE, DREAD);
vidinės organizacijos privatumo, saugos procedūros ir dokumentacija.
Pasitikrinti, kad taikomos duomenų saugumo priemonės atitinka rizikos lygį
Įsitikinti, kad darbuotojai yra praėję BDAR mokymus
Pasitikrinti, ar BDAR mokymų programa atitinka reikalavimus
Mokymai turi būti reguliarūs ir vykdomi bei darbuotojų žinios atnaujinamos ne rečiau kaip kartą per metus.
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000
Kuriant informacines sistemas / programinę įrangą asmens duomenims tvarkyti ypatingai svarbu, kad jos atitiktų asmens duomenų tvarkymo principus (BDAR 5 str.), leistų įgyvendinti duomenų subjektų teises (BDAR 12-22 str.) bei užtikrintų atitinakamą duomenų saugumo lygį (BDAR 24, 25, 32–34 str.). Nustatant duomenų saugumo priemones organizacijoms pirmiausia reikalinga atlikti rizikos vertinimą (BDAR 24 ir 32 str.). Vadovaujantis naujausiomis VDAI gairėmis atliekant šį vertinimą verta:
Nustatyti priimtinos rizikos lygius duomenų apsaugai bent pagal šias kategorijas:
▪ neturi įvykti asmens duomenų saugumo pažeidimai duomenų subjektas privalo kontroliuoti savo asmens duomenis;
▪ negali būti nepagrįstai apribotos duomenų subjekto teisės ar laisvės;
▪ duomenų subjektas negali būti profiliuojamas arba diskriminuojamas;
▪ negali būti pavogta duomenų subjekto tapatybė;
▪ duomenų subjektas neturi patirti finansinių nuostolių;
▪ negali būti paveikta duomenų subjekto reputacija;
▪ pseudonimų suteikimo atvejais neturi būti įmanoma atsekti tikrosios tapatybės; neturi įvykti asmens duomenų saugumo pažeidimai
Nustatyti priimtinos rizikos lygius duomenų saugumui bent pagal šias kategorijas:
▪ asmens duomenys negali būti netyčia ar neteisėtai pakeisti, prarasti ar sunaikinti;
▪ asmens duomenys negali būti neteisėtai atskleisti;
▪ asmens duomenys turi būti apsaugoti atsižvelgiant į programinės įrangos konfidencialumą, vientisumą, prieinamumą ir atsparumą;
▪ asmens duomenys turi būti pseudonimizuoti ir (ar) užšifruoti;
▪ įvykus fiziniam ar techniniam incidentui, turi būti įmanoma laiku atkurti galimybę tvarkyti asmens duomenis;
▪ turi būti užtikrintas reguliarus duomenų tvarkymo saugumo priemonių veiksmingumo vertinimas.
Pagal rizikos vertinimo rezultatus numatyti tinkamas organizacines ir technines saugumo priemones
Pačių priemonių nustatymas turėtų remtis ankstesnėmis VDAI Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairėmis duomenų valdytojams ir duomenų tvarkytojams bei OWASP programinės įrangos saugos užtikrinimo standartu (angl. OWASP Application Security Verification Standard 4.0.1).
Taikomų priemonių reguliari peržiūra
Atsižvelgiant į tai, kad tiek informacinių sistemų / programinės įrangos, bei duomenų tvarkymo veikla apskritai paprastai yra dinamiška veikla (neretai keičiasi jos apimtis, dalyviai ir pan.) ypatingai svarbu užtikrinti reguliarų pasirinktų priemonių BDAR reikalavimams įgyvendinti peržiūrą ir atnaujinimą. VDAI atkreipia dėmesį, kad nuolat vertinant techninių ir organizacinių saugumo priemonių veiksmingumą turi būti įvertinti:
Nuorodos
Kur eiti toliau
Panašūs straipsniai
There is no content with the specified labels
BDAR e-vedlys
BDAR e-mokymų erdvė
BDAR auditas (klausimynas)