Asmens duomenų teisinės apsaugos įstatymo reikalavimai

1. Tomas Poškevičius Informacijos ir technologijų skyriaus vyr. specialistas Asmens duomenų teisinės apsaugos įstatymo reikalavimai

2. Ketvirtasis skirsnis 24 straipsnis 1punktas: • Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.).

3. Kuo remiamės ? • Bendrieji reikalavimai organizacinėms ir techninėms duomenų apsaugos priemonėms patvirtintos Inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (Žin., 2008, Nr. 135-5298) • LST ISO/IEC 17799:2006 • LST ISO/IEC 27001:2006 • ir kitais Lietuvos ir tarptautiniais ,,Informacijos technologija. Saugumo technika“ grupės saugos standartais • Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 2008 m. liepos 16 d. nutarimu Nr. 743 „Dėl Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose pakeitimo”; • Interneto tarnybinių stočių apsaugos rekomendacijomis, patvirtintomis Lietuvos Respublikos teisingumo ministro, pavaduojančio vidaus reikalų ministrą, 2004 m. gegužės 21 d. įsakymu Nr. 1V-176. • Valstybės institucijų ir įstaigų informacinių sistemų elektroninės saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir valstybės institucijų ir įstaigų informacinių sistemų elektroninės saugos reikalavimų patvirtinimo • Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir valstybės institucijų ir įstaigų informacinių sistemų elektroninės saugos reikalavimų patvirtinimo“;

4. Bendrieji reikalavimai organizacinėms ir techninėms duomenų apsaugos priemonėms • 3 asmens duomenų saugumo lygiai • Kriterijai: • Ypatingi/ne ypatingi asmens duomenys • Vieši/ne vieši asmens duomenys • Pasiekiamumas per duomenų perdavimo tinklus • Rizikos analizė duomenims, kurių tvarkymas susijęs su aukšta rizika

5. Saugumo lygiai • Jei duomenys gali būti paskirti prie kelių saugumo lygių, taikomas aukštesnis; • Žemesnio saugumo lygio reikalavimai taikomi ir aukštesniam; • Ypatingiems asmens duomenims su aukšta rizika taikomos papildomos apsaugos priemonės.

6. Pagrindinės priemonės pagal saugumo lygį

7. Rašytinės formos dokumentas (-ai) ; • asmens duomenų saugojimo aktyviojoje ir (ar) pasyviojoje duomenų bazėje (-se) terminas (-ai) ir veiksmai, kurie atliekami pasibaigus šiam terminui; • prieigos teisių ir įgaliojimų tvarkyti asmens duomenis suteikimo, naikinimo ir keitimo tvarka; • numatyta duomenų atsarginių kopijų darymo ir saugojimo tvarka; • saugumo pažeidimų valdymas ir reagavimo į šiuos pažeidimus veiksmai; • duomenų atkūrimo jų avarinio praradimo atvejais tvarka; • asmens duomenų gavėjai ir asmens duomenų teikimo tvarka; • asmens duomenų tvarkymo keliamos rizikos vertinimo atlikimo tvarka; • asmenų, kuriems suteikta teisė tvarkyti asmens duomenis, informavimas ir apmokymų organizavimo tvarka; • reglamentuotos kitos užtikrinamos organizacinės ir techninės duomenų saugumo priemonės;

8. Faktinis Duomenų gavimas Duomenų tvarkymas Duomenų teikimas

9. Duomenų gavimas, teikimas • Duomenų teikimo, gavimo sutartis • techninės apsaugos priemonės • kokie duomenys gaunami/siunčiami • teisinė atsakomybė

10. Duomenų tvarkymas • Prieiga prie duomenų • Kompiuterinės darbo vietos sauga • Kopijų, archyvų darymas • Saugojimas • Naikinimas

11. Prieiga prie duomenų • Ar kuriamos vartotojų grupės su skirtingomis prieigos teisėmis įmonės vidiniame tinkle • Ar fiksuojami sėkmingi/nesėkmingi registravimaisi į kompiuterį (log in) • Ar programa prašo suvesti prisijungimo slaptažodi (ir vartotojo vardą) • Ar fiksuojami sėkmingi/nesėkmingi registravimaisi darbui su programa(log in) • Ar kuriamos vartotojų grupės su skirtingomis prieigos teisėmis • Ar programos bylose (failuose) duomenys laikomi šifruoti. • Ar programoje fiksuojami duomenų įvedimo/pašalinimo, redagavimo, peržiūros veiksmai

12. Kompiuterinės darbo vietos sauga • Ar kompiuteris apsaugotas prisijungimo slaptažodžiu • Kokio sudėtingumo slaptažodis • Kaip saugo slaptažodį • Ar turi lokalaus administratoriaus teises • Ar įdiegta antivirusinė/ugniasienė/anti-šnipinėjimo (anti-spyware) programa • Ar kompiuterio ekrano užsklanda (Screen saver) apsaugota slaptažodžiu

13. Kopijų, archyvų darymas • Ar daromos duomenų kopijos • Kaip dažnai daromos duomenų kopijos • Ar patikrinamas duomenų atstatymas iš duomenų kopijos • Kaip saugojamos duomenų kopijos • Kaip ilgai saugomos duomenų kopijos • Kaip naikinamos nereikalingos duomenų kopijos

14. Duomenų saugojimas, naikinimas • Kaip ilgai saugomi asmens duomenys, su kuriais yra dirbama • Kokiu būdu saugoma informacija • Kaip naikinami nereikalingi duomenys

15. Esamos problemos ir dažniausi trūkumai • Bendrųjų reikalavimų organizacinėms ir techninėms duomenų apsaugos priemonėms saugumo lygiai: nutolusių padalinių jungimasis prie pagrindinės įmonės tarnybinės stoties per VPN, Ipsec ir t.t.