|
| |
Saugumo priemonės ir pažeidimų valdymas |
SAUGUMO PRIEMONĖS
 |
Valstybės įmonėje Registrų centre, siekiant užtikrinti tvarkomų asmens duomenų saugumą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas ir duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų pobūdį ir jų tvarkymo keliamą riziką, įgyvendinamos šios organizacinės ir techninės duomenų saugumo priemonės:
|
 |
Organizacinės duomenų saugumo priemonės, apimančios duomenų saugumo politiką ir procedūras, vaidmenis ir atsakomybę, prieigų valdymą, išteklių ir turto valdymą, informacinių išteklių pokyčių valdymą, reikalavimus paslaugų teikėjams (duomenų tvarkytojams), duomenų saugumo pažeidimų ir incidentų valdymą, veiklos tęstinumą, personalo konfidencialumą, mokymus. Visi Registrų centro darbuotojų registruose ir informacinėse sistemose atliekami veiksmai yra fiksuojami; prieigos teisės prie Registrų centro tvarkomų registrų ir informacinių sistemų suteikiamos tik tiems darbuotojams, kuriems jos yra būtinos atlikti darbo funkcijas, visi Registrų centro darbuotojai yra pasirašę konfidencialumo pasižadėjimus. Didelis dėmesys skiriamas Registrų centro darbuotojų sąmoningumui duomenų saugos srityje didinti: organizuojami mokymai, rengiamos rekomendacijos duomenų apsaugos užtikrinimo klausimais, su darbuotojais dalijamasi aktualia informacija, jiems nuolat teikiamos konsultacijos. |
| |
| |
|
Techninės duomenų saugumo priemonės, apimančios prieigos kontrolę ir autentifikavimą, techninių žurnalų įrašus ir stebėseną, tarnybinių stočių ir duomenų bazių apsaugą, darbo stočių apsaugą, tinklo ir komunikacijos saugą, atsargines kopijas, mobiliuosius ir nešiojamus įrenginius, programinės įrangos saugą, duomenų naikinimą ir šalinimą, fizinę saugą. |
| |
Konkrečios Registrų centre įgyvendinamos duomenų saugumo priemonės nustatytos duomenų valdytojų, kurių vardu Registrų centras tvarko asmens duomenis valstybės registruose ir informacinėse sistemose, patvirtintose saugos politikose, taip pat Registrų centro patvirtintuose Valstybės įmonės Registrų centro tvarkomų informacinių išteklių saugos nuostatuose ir kituose vidaus teisės aktuose.
Pagrindiniai teisės aktai, kuriais vadovaujantis Registrų centre taikomos ir diegiamos atitinkamos organizacinės ir techninės duomenų saugumo priemonės:
Registrų centre yra paskirti už asmens duomenų apsaugą atsakingi asmenys:
|
Įgyvendinant Bendrojo duomenų apsaugos reglamento nuostatas, Registrų centre yra paskirti duomenų apsaugos pareigūnai, kurie prižiūri atitiktį Bendrojo duomenų apsaugos reglamento nuostatoms, teikia išvadas, konsultuoja asmens duomenų tvarkymo/apsaugos klausimais ir atlieka kitas Bendrajame duomenų apsaugos reglamente nurodytas užduotis. |
| |
|
Įgyvendinant registrų ir informacinių sistemų saugos politiką reglamentuojančių teisės aktų reikalavimus, Registrų centre yra paskirti saugos įgaliotiniai, kurie koordinuoja saugos politikos įgyvendinimą, organizuoja ir atlieka rizikos ir atitikties vertinimus, koordinuoja kibernetinių incidentų ir elektroninės informacijos saugos incidentų tyrimą bei atlieka kitas teisės aktuose nustatytas funkcijas. |
| |
|
Registrų centre įsteigtas Kibernetinės saugos skyrius, kurio darbuotojai atlieka funkcijas, susijusias su registrų ir informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus ir kitas su saugos užtikrinimu susijusias funkcijas. |
| |
|
Registrų centre 7x24 režimu veikia pagalbos tarnyba, kuri užtikrina efektyvų kibernetinių incidentų ir elektroninės informacijos saugos incidentų valdymą. |
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
|
Registrų centre yra patvirtintas vidaus teisės aktas „Asmens duomenų saugumo pažeidimų valdymo valstybės įmonėje Registrų centre tvarkos aprašas“ ir procesas „Valdyti asmens duomenų saugumo pažeidimą“, reglamentuojantys asmens duomenų saugumo pažeidimų valdymą Registrų centre. |
| |
|
Įvykus bet kokiam asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu, Registrų centro darbuotojai, kuriems tapo žinoma apie asmens duomenų saugumo pažeidimą, privalo nedelsiant informuoti Registrų centro duomenų apsaugos pareigūną. |
| |
|
Visi asmens duomenų saugumo pažeidimai yra registruojami ir dokumentuojami Asmens duomenų saugumo pažeidimų registracijos žurnale, kurį pildo duomenų apsaugos pareigūnas. |
|
Padalinio vadovas, kurio kuruojamoje srityje įvyko asmens duomenų saugumo pažeidimas, nedelsiant paskiria asmenį, atsakingą už pažeidimo tyrimą. Esant poreikiui gali būti sudaryta darbo grupė tirti asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus. |
| |
|
Duomenų apsaugos pareigūnas, gavęs informaciją apie asmens duomenų saugumo pažeidimą, atlieka pažeidimo vertinimą ir, kai vertinimo metu nustatomas galimas pavojus duomenų subjektų teisėms ir laisvėms, teikia pranešimą Valstybinei duomenų apsaugos inspekcijai (per 72 valandas nuo sužinojimo apie pažeidimą), taip pat duomenų subjektams, jei dėl pažeidimo kyla didelis pavojus jų teisėms ir laisvėms. Registrų centro darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui visą jo paprašytą su asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus. |
| |
| |
|
Įvykus bet kokiam asmens duomenų saugumo pažeidimui, Registrų centras imasi veiksmų siekiant kuo greičiau ištaisyti asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta ir kad pažeidimai nepasikartotų ateityje. Registrų centras nuolat tobulina vidinius procesus, atsižvelgdamas į nustatytas asmens duomenų saugumo pažeidimų priežastis. |
| |
| |
|
|
