BDAR (asmens duomenų apsauga)
Mes užtikrinsime Jūsų įmonės atitiktį BDAR reikalavimams
Siekiant užtikrinti atitiktį BDAR reikalavimams, mes atliksime Jūsų IT sistemos analizę ir paruošime Jums tinkamiausią techninių priemonių pasiūlymą.
Analizuodami Jūsų įmonės IT saugumą, atliksime šiuos darbus:
- Atliksime paslaugų, produktų bei infrastruktūros duomenų saugumo reikalavimų įvertinimą, įstatymuose numatytų techninių ir organizacinių priemonių taikymo auditą
- Atliksime programinės ir techninės įrangos atitikimo privatumo užtikrinimo projektuojant reikalavimų analizę
- Atliksime jūsų bendrovės IT ūkio inventorizacija
- Parengsime kritinių bendrovės informacinių sistemų sąrašą pagal svarbą
- Patikrinsime IT saugumo reikalavimų atitikimą
- Atliksime jūsų bendrovės vidinio ir išorinio tinklo infrastruktūros įvertinimą
- Įvertinsime bendrovės incidentų stebėjimo, nustatymo ir stabdymo procesą
- Įvertinsime duomenų subjektų teisių užtikrinimą naudojamoje programinėje įrangoje
- Parengsime bendrovės vidines IT tvarkas
- Pateiksime rekomendacijas ir įdiegimo projektą
- Atliksime projekto vykdymo priežiūrą
Turite klausimų? Susisiekite su mumis
Gaukite nemokamą konsultaciją
IT infrastruktūros saugumo testavimas
Siekiant įvertinti IT infrastruktūros saugumo lygį, atliekame išorinį bei vidinį bendrovės įsibrovimo į IT sistemas testą
Padėsime Jums patikrinti asmens duomenų apsaugą Jūsų bendrovėje ir paruošti dokumentaciją:
- Atliksime asmens duomenų srautų analizę
- Parengsime duomenų tvarkymo veiklos įrašų registrą
- Parengsime asmens duomenų tvarkymo taisyklių ir kitų reikiamų vidines tvarkas
- Parengsime privatumo politikas
- Parengsime asmens duomenų tvarkymo ir teikimo susitarimus
- Parengsime pranešimus duomenų subjektams
- Įvertinsime poveikį duomenų apsaugai
- Parengsime išvadas ir rekomendacijas dėl atitikties BDAR reikalavimams
Padėsime Jums įgyvendinti 10 minimalių reikalavimų dėl tinkamų techninių duomenų saugumo priemonių
- Prieigų kontrolė ir autentifikavimas. Turi būti įdiegta ir įgyvendinta bei visiems IT sistemos naudotojams taikoma Prieigų kontrolės sistema. Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras. Dėmesio! Turi būti vengiama naudoti bendras naudotojų paskyras. Vietose, kur bendra naudotojų paskyra yra būtina, turi būti užtikrinta, kad visi bendros paskyros naudotojai turi tokias pat teises ir pareigas. Minimalus reikalavimas naudotojui prisijungti prie IT sistemos – naudotojo prisijungimo vardas ir slaptažodis. Prieigų kontrolės sistema turi turėti galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka tam tikro kompleksiškumo lygio. Organizacija turi užtikrinti, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo kontrolę, susijusią su jų kasdieniu darbu. Darbuotojai, susiję su asmens duomenų tvarkymu, turi būti mokomi dėl atitinkamų duomenų apsaugos reikalavimų ir teisinių įsipareigojimų rengiant reguliarius mokymus, informavimo renginius ar instruktažus. Siūlomas mokymų dažnumas: kartą per metus.
- Techninių žurnalų įrašai ir stebėsena. Techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui. Techniniuose žurnaluose turi būti matomi visi įmanomi prieigų prie asmens duomenų įrašų tipai (pvz., data, laikas, peržiūrėjimas, keitimas, panaikinimas). Siūlomas saugojimo terminas: ne mažiau kaip 6 mėnesiai. Techninių žurnalų įrašai turi turėti laiko žymas ir būti apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos. IT sistemose naudojami laiko apskaitos mechanizmai turi būti sinchronizuoti pagal bendrą laiko atskaitos šaltinį.
- Tarnybinių stočių, duomenų bazių apsauga. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi būti sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi apdoroti tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų apdorojimo tikslus.
- Darbo stočių apsauga. Naudotojams negalima turėti galimybės išjungti ar apeiti, išvengti saugos nustatymų. Antivirusinės taikomosios programos ir jų informacijos apie virusus duomenų bazės turi būti atnaujinamos ne rečiau kaip kas savaitę. Naudotojams negalima turėti privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos. IT sistemos turi turėti nustatytą sesijos laiką, t. y. naudotojui esant neaktyviam, neveiksniam sistemoje nustatytą laiką, jo sesija privalo būti nutraukta. Siūlomas neaktyvios sesijos laikas: ne daugiau kaip 15 min. Kritiniai operacinės sistemos saugos atnaujinimai privalo būti diegiami reguliariai ir nedelsiant.
- Tinklo ir komunikacijos sauga. Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu, privaloma naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus (pvz., TLS, SSL).
- Atsarginės kopijos. Atsarginės kopijos ir duomenų atstatymo procedūros privalo būti apibrėžtos, dokumentuotos ir aiškiai susaistytos su rolėmis ir pareigomis. Atsarginių kopijų laikmenoms privalo būti užtikrintas tinkamas fizinis aplinkos, patalpų saugos lygis, priklausantis nuo saugomų duomenų. Atsarginių kopijų darymo procesas turi būti stebimas, siekiant užtikrinti užbaigtumą, išsamumą. Pilnos atsarginės duomenų kopijos privalo būti daromos reguliariai. Siūlomas atsarginių kopijų darymo dažnumas: kasdien – pridedamoji kopija; kas savaitę – pilna kopija.
- Mobilieji, nešiojami įrenginiai. Mobiliųjų ir nešiojamų įrenginių administravimo procedūros privalo būti nustatytos ir dokumentuotos, aiškiai aprašant tinkamą tokių įrenginių naudojimąsi. Mobilieji, nešiojami įrenginiai, kuriais bus naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi turi būti užregistruoti ir autorizuoti. Mobilieji įrenginiai turi būti adekvataus prieigos kontrolės procedūrų lygio, kaip ir kita naudojama įranga asmens duomenims apdoroti.
- Programinės įrangos sauga. Informacinėse sistemose naudojama programinė įranga (asmens duomenims apdoroti) turi atitikti programinės įrangos saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus. Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose. Turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos. Programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus.
- Duomenų naikinimas, šalinimas. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Tais atvejais, kai to padaryti neįmanoma (pvz., CD, DVD laikmenos ir pan.), turi būti įvykdytas fizinis duomenų laikmenos sunaikinimas be galimybės atstatyti. Popierius ir nešiojamos duomenų laikmenos, kuriose buvo saugomi, kaupiami asmens duomenys, turi būti naikinami tam skirtais smulkintuvais.
- Fizinė sauga. Turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos.