Turvaliselt hoitud isikuandmed

Isikuandmete kaitse üldmääruses (IKÜM) on sätestatud, et vastutavad töötlejad ja volitatud töötlejad peavad rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav isikuandmete turvalisuse tase.

Järgnevas teabes on esitatud peamised ettevaatusabinõud, mida isikuandmeid töötlevad organisatsioonid (st vastutavad töötlejad ja volitatud töötlejad) peaksid arvesse võtma. Selle eesmärk ei ole esitada täielikku loetelu meetmetest, mida saab rakendada isikuandmete kaitsmiseks igas kontekstis. Vastutavad töötlejad ja volitatud töötlejad peavad neid meetmeid kontekstiga kohandama (võttes arvesse tehnika taset, töötlemise konteksti ja üksikisikutele avalduvat ohtu).

Link
IKÜM artikkel 32

EUR-Lex

Link
Turvaline VKE

ENISA

Turvalisus: mis on kaalul?

Turvalisuse puudumise tagajärjed võivad olla tõsised: ettevõtjad näevad oma kuvandi halvenemist, kaotavad tarbijate usalduse, peavad maksma suuri rahasummasid turvaintsidendist taastamiseks (näiteks pärast andmetega seotud rikkumist) või lõpetama oma tegevuse. Turvalised isikuandmed on nii üksikisikute kui ka andmeid töötlevate organisatsioonide huvides.
Selleks, et hinnata iga töötlemistoiminguga kaasnevaid riske, on kõigepealt soovitatav teha kindlaks võimalik mõju asjaomaste isikute õigustele ja vabadustele. Kuigi organisatsioonid peavad kaitsma oma andmeid (isiklikke või mitte) enda huvides, keskendub järgmine teave üksikisikute andmete kaitsele.

Andmeturbel on kolm põhikomponenti: kaitsta andmete terviklust, kättesaadavust ja konfidentsiaalsust. Seepärast peaksid organisatsioonid hindama riske seoses järgmisega:

  1. loata või juhuslik juurdepääs andmetele – konfidentsiaalsuse rikkumine (nt identiteedivargus pärast ettevõtte kõigi töötajate palgatõendite avaldamist);
  2. andmete loata või juhuslik muutmine – tervikluse rikkumine (nt vale süüdistamine isiku väärteos või kuriteos juurdepääsulogide muutmise tõttu);
  3. andmete kadumine või andmetele juurdepääsu kaotamine – kättesaadavuse rikkumine (nt ravimi koostoime avastamata jätmine, kuna puudub juurdepääs patsiendi elektroonilisele registrile).

Samuti on soovitatav teha kindlaks riskiallikad (st kes või mis võiks olla iga turvaintsidendi lähtekoht), võttes arvesse sisemisi ja väliseid inimallikaid (nt IT-administraator, kasutaja, väline ründaja, konkurent) ning sisemisi või väliseid mitteinimlikke allikaid (nt veekahjustus, ohtlikud materjalid, mittesihtotstarbeline arvutiviirus).

Riskiallikate kindlakstegemine võimaldab teil tuvastada võimalikud ohud (st millised asjaolud võivad võimaldada turvaintsidendi tekkimist) tugivaradele (nt riistvara, tarkvara, sidekanalid, paber jne). Peamised ohud võivad olla tugivarade:
nappropriate manner (e.g. abuse of rights, handling error);

  • kasutamine sobimatul viisil (nt õiguste kuritarvitamine, vigade käsitlemine);
  • muutmine (nt tarkvara või riistvara kinnihoidmine – keylogger, pahavara paigaldamine);
  • kaotamine (nt sülearvuti vargus, USB-võtme kaotamine);
  • täheldamine (nt ekraani jälgimine rongis, seadmete asukoha määramine);
  • halvenemine (nt vandalism, looduslik halvenemine);
  • ülekoormus (nt täielik ladustamisseade, teenusetõkestusrünnak).
  • kättesaamatus (nt lunavara korral).

Samuti on soovitatav:

  • määrata kindlaks olemasolevad või kavandatavad meetmed iga riski käsitlemiseks (nt juurdepääsukontroll, varukoopiad, jälgitavus, ruumide turvalisus, krüpteerimine);
  • hinnata riskide tõsidust ja tõenäosust eespool nimetatud elementide põhjal (näide skaalast, mida saab hinnangus kasutada: tühine, mõõdukas, märkimisväärne, maksimaalne);
  • rakendada ja kontrollida kavandatud meetmeid, kui olemasolevaid ja kavandatud meetmeid peetakse asjakohaseks, tagada nende rakendamine ja järelevalve;
  • korrapäraste turvaauditite tegemine: iga auditi tulemuseks peaks olema tegevuskava, mille rakendamist tuleks jälgida organisatsiooni kõrgeimal tasandil.

Isikuandmete kaitse üldmääruses (IKÜM) võetakse kasutusele mõiste „andmekaitsealane mõjuhinnang“, mis on kohustuslik isikuandmete töötlemisel, mis võib põhjustada üksikisikutele suurt ohtu. Andmekaitsealane mõjuhinnang peab sisaldama tuvastatud riskide käsitlemiseks kavandatavaid meetmeid, sealhulgas kaitsemeetmeid, turvameetmeid ja isikuandmete kaitse tagamise mehhanisme.

Praktikas

  • Turvariskidest selgema ülevaate saamiseks võite näiteks luua riskijuhtimise tabeli ja seda regulaarselt ajakohastada. See tabel võib sisaldada serverite, arvutite või ruumidega seotud materiaalseid- ja inimriske. Piisavalt eeldatavad riskid võivad aidata leevendada tagajärgi intsidendi korral.

Korralduslikud meetmed

Kasutajate teadlikkuse tõstmine

Oluline on teavitada isikuandmeid töötlevaid töötajaid või kasutajaid (andmete käitlejaid) eraelu puutumatusega seotud ohtudest, teavitada neid riskide maandamiseks rakendatud meetmetest ja võimalikest tagajärgedest rikete korral.

Praktikas

Kasutajate teadlikkuse suurendamine võib toimuda järgmiselt:

  • teadlikkuse suurendamise kohtumised;
  • töötajate ja andmetöötlejate ülesannetega seotud protseduuride regulaarsed uuendused; 
  • sisekommunikatsioon, e-posti meeldetuletused jne.
     

Veel üks ettevaatusabinõu on dokumenteerida töökord, hoida seda ajakohasena ja teha see kõigile asjaomastele andmetöötlejatele kergesti kättesaadavaks. Iga isikuandmete töötlemise toimingut tuleks olenemata sellest, kas see on seotud haldustoimingutega või rakenduse lihtsa kasutamisega, selgitada selges keeles ja kohandada igale käitlejakategooriale dokumentides, millele nad võivad viidata.

 

Sisepoliitika kujundamine

Sisemiste andmetöötlejate teadlikkus võib olla dokumendi kujul, mis peaks olema siduv ja integreeritud sise-eeskirjadesse. Sisepoliitika peaks eelkõige sisaldama andmekaitse- ja ohutuseeskirjade kirjeldust.

Muud korralduslikud meetmed

  • Rakendage teabe klassifitseerimise poliitikat, milles määratletakse mitu taset ja nõutakse konfidentsiaalseid andmeid sisaldavate dokumentide ja e-kirjade märgistamist.
  • Tehke paber- või elektroonilise dokumendi igale lehele nähtav ja selgesõnaline märge, et see sisaldab tundlikke andmeid.
  • Korraldage infoturbe koolitusi ja teadlikkuse suurendamise kohtumisi. Perioodilisi meeldetuletusi saab esitada e-posti või muude sisemiste sidevahendite kaudu.
  • Looge konfidentsiaalsuslepingu allkirjastamise kohustus või lisage töötajate ja teiste andmetöötlejatega sõlmitavatesse lepingutesse isikuandmetega seotud konfidentsiaalsusklausel.

 

Tehnilised meetmed

Turvalised seadmed

Usaldus teie infosüsteemide usaldusväärsuse vastu on võtmeküsimus ja asjakohaste turvameetmete rakendamine, mille IKÜM on muutnud kohustuslikuks, on üks viis selle pakkumiseks.

Eelkõige on soovitatav tagada turvalisus:

  • riistvarale (nt serverid, tööjaamad, sülearvutid, kõvakettad);
  • tarkvarale (nt operatsioonisüsteem, äritarkvara);
  • sidekanalitele (nt kiudoptika, Wi-Fi, Internet);
  • paberdokumentidele (nt trükitud dokumendid, koopiad);
  • ruumidele.

Turvalised tööjaamad

Töökohtade kindlustamisel võiks kaaluda järgmisi meetmeid:

  • tagada automaatne seansi lukustusmehhanism, kui tööjaama ei kasutata teatava aja jooksul;
  • paigaldada tulemüüri tarkvara ja piirata sidekanalite avamist ainult rangelt vajalike tööjaama paigaldatud rakenduste nõuetekohaseks toimimiseks;
  • kasutada regulaarselt uuendatavat viirusetõrjetarkvara ja omada tarkvara korrapärast uuendamist;
  • tarkvara konfigureerimine automaatseks turvalisuse uuendamiseks alati, kui võimalik;
  • eelistada kasutajaandmete salvestamist regulaarselt varundatud salvestusruumis, mis on kättesaadav organisatsiooni võrgu kaudu, mitte tööjaamades. Kui andmeid säilitatakse kohapeal, pakkuda kasutajatele sünkroniseerimise või varundamise võimalusi ja koolitada neid nende kasutamise kohta;
  • piirata mobiilsete andmekandjate (USB-pulgad, välised kõvakettad jne) ühendamist oluliste seadmetega;
  • Välistel andmekandjatel automaatkäivituse mitte lubamine. 

Mida mitte teha

  • vananenud operatsioonisüsteemide kasutamine;
  • ärge andke administraatori õiguseid kasutajatele, kellel ei ole arvutiturbe oskuseid.

Täpsemalt

  • keelata alla laetud rakenduste kasutamine, mis ei pärine turvalistest allikatest;
  • piirata selliste rakenduste kasutamine, mis nõuavad administraatori tasandi õiguseid;
  • kustutada tööjaama andmed turvaliselt enne nende teistele isikutele ümbersuunamist;
  • kui tööjaam on ohus, otsige otsesest allikast ja ka teistest tööjaamadest organisatsiooni infosüsteemi sissemurdmise jälgi, et teha kindlaks, kas midagi on veel ohustatud;
  • teostada organisatsiooni infosüsteemis kasutatava tarkvara ja riistvara turvaseiret;
  • ajakohastada rakendusi, kui kriitilised nõrkused on kindlaks tehtud ja parandatud;
  • installida viivitamatult kriitilised operatsioonisüsteemi uuendused, kavandades iganädalane automaatne kontroll;
  • levitada kõigile kasutajatele nõuetekohast tegevussuunda ja isikute nimekirja, kellega ühendust võtta organisatsiooni info- ja sidesüsteeme mõjutava turvaintsidendi või ebatavalise sündmuse korral.

Praktikas

  • Teie kontoris on avatud ruumi kontseptsioon ja teil on palju töötajaid, aga ka palju külastajaid. Tänu automaatsele seansilukule ei pääse keegi väljaspool ettevõtet pausi ajal töötaja arvutisse ega näe, millega nad töötavad. Lisaks kaitsevad tulemüür ja ajakohane viirusetõrje teie töötajate veebilehitsemist ja piiravad serveritesse sissetungimise ohtu. Mida rohkem meetmeid rakendatakse, seda raskem on pahatahtliku kavatsusega isikutel või töötajal hooletusest kahju tekitada.

Kaitse ettevõtte ruume

Juurdepääsu ruumidele tuleb kontrollida, et vältida või aeglustada otsest volitamata juurdepääsu paberfailidele või arvutiseadmetele, eelkõige serveritele.

Mida teha

  • paigaldage sissetungimishäired ja kontrollige neid perioodiliselt;
  • paigaldage suitsuandurid ja tuletõrjeseadmed ning kontrollige neid igal aastal;
  • kaitske ruumidesse sisenemiseks kasutatavaid võtmeid ja häirekoode;
  • hoone alade eristamine vastavalt riskile (nt arvutiruumile spetsiaalse juurdepääsukontrolli võimaldamine);
  • pidage nimekirja üksikisikutest või üksikisikute kategooriatest, kellel on lubatud siseneda igasse piirkonda;
  • kehtestage eeskirjad ja abinõud külastajate juurdepääsu kontrollimiseks, vähemalt nii, et organisatsiooni isik saadab külastajaid väljaspool avalikke alasid;
  • kaitske arvutiseadmeid füüsiliselt konkreetsete vahenditega (spetsiaalne tulekustutussüsteem, kõrgus võimalike üleujutuste eest, üleliigne toiteallikas ja/või kliimaseade jne).

Mida mitte teha

Serveriruumi keskkonna (kliimaseade, UPS jne) hoolduse hooletusse jätmine või ruumi mahu alahindamine. Nende seadmete rike põhjustab sageli masinate seiskumise või ruumidesse juurdepääsu avamise (õhuringlus), mis de facto neutraliseerib turvameetmed. 

Täpsemalt 

Asjakohane võib ka olla arvestuse pidamine ruumide või kontorite juurdepääsude kohta, kus on isikuandmeid sisaldavaid materjale, millel võib olla asjaomastele isikutele tõsine negatiivne mõju. Teavitada andmekäitlejaid sellise süsteemi rakendamisest pärast töötajate esindajate teavitamist ja nendega konsulteerimist.

Samuti tagada, et piiranguga aladele on lubatud ainult nõuetekohaselt volitatud töötajad. Näiteks:

 

  • piiranguga aladel peavad kõik isikud kandma nähtavat identifitseerimisvahendit (luba);
  • külastajatel (tehniline tugipersonal jne) peaks olema piiratud juurdepääs. Nende saabumise ja lahkumise kuupäev ja kellaaeg tuleb registreerida;
  • vaadata regulaarselt läbi ja ajakohastada juurdepääsuõigusi, et turvata alasid ning vajaduse korral õiguseid piirata.

Praktikas

  • Teie ettevõte on spetsialiseerunud e-kaubandusele. Te hoiate klientide isikuandmeid, mida majutatakse serverites eraldi ruumides. Selleks, et tagada juurdepääs nendele andmetele, kaitseb sissepääsu nendesse ruumidesse sissepääsu kaardilugeja. Kuid tulekahju puhkeb lühise tõttu. Tänu suitsuandurile hoiatati tuletõrjet kiiresti ja suudeti piirata andmete kadumist.

Kasutajate autentimine

Tagamaks, et kasutajad pääsevad ligi ainult neile vajalikele andmetele, tuleks neile anda kordumatu tunnus ja nad peaksid end enne arvutiseadmete kasutamist autentima.
Isiku autentimise saavutamise mehhanismid liigitatakse vastavalt sellele, kas need hõlmavad:

  • mida me teame, nt salasõna;
  • mis meil on, näiteks kiipkaart;
  • isikule omane omadus, näiteks käsitsi kirjutatud allkirja jälgimise viis.

Mehhanismi valik sõltub kontekstist ja erinevatest teguritest. Kasutaja autentimist peetakse tugevaks, kui ta kasutab vähemalt kahe kategooria kombinatsiooni.

Praktikas

  • Konfidentsiaalset teavet sisaldavasse turvalisse ruumi pääsemiseks võite paigaldada sissepääsuloalugeja („mis meil on“) koos juurdepääsukoodiga („mida me teame“).

Lubade haldamine

Vastavalt vajadusele tuleks rakendada loaprofiilide erinevad tasemeid. Kasutajatel peaks olema juurdepääs andmetele üksnes teadmise vajaduse alusel.

Lubade autentimise ja haldamise hea tava:

  • määratlege iga kasutaja kordumatu identifikaator ja keelake mitme kasutaja jagatud kontod. Kui üldiste või jagatud identifikaatorite kasutamine on vältimatu, nõuda asutusesisest valideerimist ja võtta kasutusele vahendid nende jälgimiseks (logid);
  • kehtestada piisavalt ranged salasõna keerukust käsitlevad eeskirjad (nt vähemalt 8 tähemärki, suurtähed ja erimärgid);
  • Salvestage paroolid turvaliselt;
  • aegunud juurdepääsulubade eemaldamine;
  • korrapärane (nt iga kuue kuu tagant) ülevaade;

 

Mida mitte teha

  • luua või kasutada kontosid, mida jagavad mitmed inimesed;
  • anda administraatori õigused kasutajatele, kes neid ei vaja;
  • anda kasutajale rohkem õigusi kui vaja;
  • unustada kasutajale antud ajutiste lubade tühistamine (nt asendamiseks);
  • unustada kustutada organisatsioonist lahkunud või töökohta vahetanud inimeste kasutajakontod.

Täpsemalt

Kehtestada, dokumenteerida ja korrapäraselt läbi vaadata kõik juurdepääsu kontrolli põhimõtted, mis on seotud organisatsioonis rakendatavate töötlemisviisidega, mis peaksid hõlmama järgmist:

  • menetlused, mida tuleb süstemaatiliselt kohaldada isikuandmetele juurdepääsu omava isiku saabumisel, lahkumisel või määramise muutmisel;
  • tagajärjed üksikisikutele, kellel on seaduslik juurdepääs andmetele, kui turvameetmeid ei järgita;
  • meetmed töötlemisele juurdepääsu andmise ja kasutamise piiramiseks ja kontrollimiseks.

Praktikas

  • Kui uus töötaja liitub ettevõttega, peate looma uue spetsiaalse kasutajakonto tugeva parooliga. Töötajad ei tohiks oma volitusi üksteisega jagada, eriti kui neil ei ole sama akrediteeringut. Kui nad muudavad positsiooni, peaksite üle vaatama nende juurdepääsuõigused teatud failidele või süsteemidele.

Pseudonüümimise andmed

Pseudonüümimine on isikuandmete töötlemine nii, et isikuandmeid ei ole enam võimalik omistada konkreetsele füüsilisele isikule ilma täiendavat teavet kasutamata. Sellist lisateavet tuleb hoida eraldi ning selle suhtes tuleb kohaldada tehnilisi ja korralduslikke meetmeid.

Praktikas tähendab pseudonüümimine otseselt identifitseerivate andmete (nimi, eesnimi, isikukood, telefoninumber jne) asendamist andmekogumis kaudsete identifitseerimisandmetega (teise nimega, järjekorranumbriga jne). See võimaldab töödelda üksikisikute andmeid, ilma et neid oleks võimalik otseselt tuvastada. Tänu täiendavatele andmetele on siiski võimalik nende isikute identiteeti kindlaks teha. Seega on pseudonüümitud andmed endiselt isikuandmed ja nende suhtes kohaldatakse isikuandmete kaitse üldmäärust (IKÜM). Pseudonüümimine on samuti pöörduv, erinevalt anonüümimisest.

Pseudonüümimine on üks IKÜM-s soovitatud meetmetest, et piirata isikuandmete töötlemisega seotud riske.

Link
IKÜM artikkel 32

EUR-Lex

Andmete krüpteerimine

Krüptimine on protsess, mis seisneb teabe teisendamises koodiks, et vältida volitamata juurdepääsu. Seda teavet saab uuesti lugeda ainult õige võtme abil. Krüpteerimist kasutatakse andmete konfidentsiaalsuse tagamiseks. Krüpteeritud andmed on endiselt isikuandmed. Krüpteerimist võib pidada üheks pseudonüümimise tehnikaks.
Lisaks saab andmete tervikluse tagamiseks kasutada räsifunktsioone. Digiallkirjad mitte ainult ei taga terviklust, vaid võimaldavad ka kontrollida teabe päritolu ja autentsust.
 

 

Andmete anonüümseks muutmine

 

Isikuandmeid võib muuta anonüümseks nii, et isik ei ole tuvastatav või ei ole enam tuvastatav. Anonüümimine on protsess, mis seisneb meetodite kogumi kasutamises, et muuta isikuandmed anonüümseks selliselt, et isikut ei ole võimalik tuvastada mis tahes vahendi abil, mida tõenäoliselt võidakse kasutada.

Õige rakendamise korral võib anonüümimine võimaldada teil kasutada andmeid viisil, mis austab üksikisikute õigusi ja vabadusi. Anonüümimine avab võimaluse andmete taaskasutamiseks, mis ei ole algselt lubatud andmete isikliku olemuse tõttu, ja võib seega lubada organisatsioonidel kasutada andmeid täiendavatel eesmärkidel, ilma et see kahjustaks üksikisikute eraelu puutumatust. Anonüümimine võimaldab andmeid säilitada ka pärast säilitamisperioodi.

Kui anonüümimist rakendatakse nõuetekohaselt, siis IKÜM anonüümseks muudetud andmete suhtes enam ei kehti. Siiski on oluline meeles pidada, et isikuandmete anonüümimine praktikas ei ole alati võimalik või lihtne saavutada. Tuleb hinnata, kas anonüümimist saab kõnealuste andmete suhtes kohaldada ja edukalt säilitada, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid. Anonüümimise edukaks rakendamiseks kooskõlas IKÜM-ga on sageli vaja täiendavaid õiguslikke või tehnilisi eksperditeadmisi.
 

Kuidas kontrollida anonüümimise tõhusust?

Euroopa andmekaitseasutused määravad kindlaks kolm kriteeriumit, et tagada andmekogumi tegelik anonüümsus:

  1. Eristamine: andmekogumis ei tohiks olla võimalik isoleerida teavet üksikisiku kohta.
  2. Seostatavus: sama isiku kohta ei tohiks olla võimalik omavahel seostada eraldi andmeelemente.
  3. Järeldatavus: üksikisiku kohta ei tohiks olla võimalik peaaegu kindlalt järeldada teavet.

 

Praktikas

  • Eristamine: CVde andmebaasis, kus ainult isiku ees- ja perekonnanimed on asendatud numbriga (mis vastab ainult sellele isikule), on siiski võimalik eristada konkreetset isikut muude tunnuste alusel. Sellisel juhul loetakse isikuandmed pseudonüümituks, mitte anonüümseks.
  • Seostatavus: isikute aadresse sisaldavat kaardistamisandmebaasi ei saa pidada anonüümseks, kui mujal olemasolevad andmebaasid sisaldavad samu aadresse koos muude andmetega, mis võimaldavad üksikisikuid tuvastada.
  • Järeldatavus: kui väidetavalt anonüümne andmekogum sisaldab teavet küsimustikule vastanute maksukohustuse kohta ja kõik meessoost vastajad vanuses 20–25 aastat ei kuulu maksustamisele, siis võib järeldada, et konkreetne vastutaja on maksustatav või mitte, kui nende vanus ja sugu on teada.
Link
Arvamus 05/2014 anonüümimistehnikate kohta

WP29

Konkreetsed olukorrad

Kaugtöö turvameetmed

Kaugtöö puhul on vaja tagada töödeldavate andmete turvalisus, austades samal ajal üksikisikute eraelu puutumatust.

Mida teha:

  • Anna välja kaugtöö turvalisuse poliitika või vähemalt miinimumeeskirjad, mida tuleb järgida ning edasta see dokument töötajatele vastavalt oma sise-eeskirjadele;
  • Kui teil on vaja muuta oma infosüsteemi ärieeskirju, et võimaldada kaugtööd (nt muuta tollivormistuse eeskirju, administraatori kaugjuurdepääsu jne), kaaluge kaasnevaid riske ja vajaduse korral rakendage meetmeid turvalisuse taseme säilitamiseks;
  • Varustage kõik oma töötajate tööjaamad vähemalt tulemüüri, viirusetõrjetarkvara ja tööriistaga, mis blokeerib juurdepääsu pahatahtlikele saitidele. Kui töötajad saavad kasutada isiklikke seadmeid, anna juhiseid selle tagamiseks (vt „Julgeolekumeetmed BYOD“);
  • Seadistage VPN, et vältida teie teenuste otsest kokkupuudet internetiga, kui võimalik. Võimaluse korral rakendage kaheastmelist VPN-autentimist;
  • Esitage oma töötajatele kaugtööks sobivate side- ja koostöövahendite loetelu, mis tagab teabevahetuse ja jagatud andmete konfidentsiaalsuse. Valige tööriistad, mida suudate kontrollida ja veenduge, et need tagavad vähemalt tipptasemel autentimise, krüpteerimise ja transiidil olevaid andmeid ei taaskasutataks muudel eesmärkidel (tootearendus, reklaam jne). Osa tarbijatarkvarast võib edastada kasutajaandmeid kolmandatele isikutele, olles seetõttu eriti ebasobivad äriotstarbeliseks kasutamiseks.

Turvameetmed BYOD (Bring your own device ehk võta oma seade)

BYOD-i arenguga, eriti väikestes ja keskmise suurusega ettevõtetes (VKE), kaob piir töö- ja eraelu vahel. Isegi kui BYOD ei esinda iseenesest isikuandmete töötlemist, on siiski vaja tagada andmete turvalisus.

Akronüüm „BYOD“ tähistab fraasi „Võta oma seade“ ja viitab personaalarvutite kasutamisele professionaalses kontekstis. Selle näiteks on töötaja, kes kasutab ettevõtte võrku ühendamiseks isiklikke seadmeid, nagu arvuti, tahvelarvuti või nutitelefon.
Isiklike vahendite kasutamise võimalus sõltub eelkõige tööandja valikust ja riiklikest õigusaktidest. Isikuandmete kaitse üldmääruses (IKÜM) nõutakse, et töödeldavate isikuandmete turvalisuse tase peab olema sama, olenemata kasutatavatest seadmetest. Tööandjad vastutavad oma ettevõtte isikuandmete turvalisuse eest, sealhulgas siis, kui neid hoitakse terminalides, mille üle neil puudub füüsiline või õiguslik kontroll, kuid mille kasutamiseks on neile volitatud ligipääs ettevõtte IT-ressurssidele.

Riskid, mille vastu on oluline kaitsta enda organisatsiooni, ulatuvad ühekordsest rünnakust andmete kättesaadavuse, tervikluse ja konfidentsiaalsuse vastu kuni ettevõtte infosüsteemi üldise kompromissini (sekkumine, viirus jne).

Kontrollnimekirja näidis

Näide selle kohta, milline võiks olla kontrollnimekiri organisatsioonis kehtiva turvalisuse taseme parandamiseks:

  • Teavitage ja harige andmekäitlejaid regulaarselt eraelu puutumatusega seotud võimalikest ohtudest
  • Kehtestage sisepoliitika ja muutke see siduvaks
  • Rakendage lõimitud ja vaikimisi andmekaitse
  • Veenduge, et töödeldavad andmed on piisavad, asjakohased ja piirduvad sellega, mis on vajalik (andmete minimeerimine)
  • Rakendage konfidentsiaalsete andmete klassifitseerimise poliitika
  • Märkige delikaatseid andmeid sisaldavatele dokumentidele sellekohane teave
  • Korraldage infoturbe koolitusi ja teadlikkuse suurendamise sessioone koos perioodiliste meeldetuletustega.
  • Sõlmige oma töötajatega konfidentsiaalsusleping või lisage konkreetsed konfidentsiaalsusklauslid
  • Pakkuge automaatset seansilukku, ajakohast tulemüüri ja viirusetõrjet, varukoopia salvestusruumi kasutajatele
  • Piirake füüsilist ühendust (USB-pulgad, välised kõvakettad jne) oluliste seadmetega
  • Kaitske ettevõtte ruume (nt sissetungialarmid, suitsuandurid, kaitstud võtmed, eristatav ruum vastavalt riskile, load juurdepääsuks konkreetsetele aladele, spetsiaalne tuletõrjesüsteem)
  • Andke kasutajatele kordumatu identifikaator
  • Nõudke autentimist, et pääseda juurde arvutiseadmetele
  • Hallake lube (nt eraldatud profiilid vastavalt vajadustele, kordumatu identifikaator, tugevad paroolid)
  • Töötake välja kaugtöö ohutuse poliitika
  • Eemaldage vananenud juurdepääsuõigused
  • Vaadake korrapäraselt läbi load;
  • Andmete pseudonüümimine või anonüümimine, et piirata üksikisikute taasidentifitseerimist
  • Krüptige andmed volitamata juurdepääsu vältimiseks
  • Paigaldage VPN kaugtöö jaoks
  • Veenduge, et tööks kasutatavad isiklikud seadmed oleksid kaitstud (BYOD)