Duomenų saugumo (BDAR) priemonių pakankamumo vertinimas

Duomenų valdytojai ir duomenų tvarkytojai, atlikdami asmens duomenų tvarkymo operacijas, turi įgyvendinti Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus ir taikyti tinkamas organizacines ir technines asmens duomenų apsaugos priemones.

Siekiant įsivertinti minimalių techninių ir organizacinių asmens duomenų saugumo priemonių pakankamumą, rekomenduojama atlikti jų vertinimą pagal Valstybinės duomenų apsaugos inspekcijos (VDAI) gaires.

Remiantis BDAR 24 ir 32 straipsniais organizacijos yra įpareigotos visais atvejais atlikti rizikos vertinimą.

Organizacijos, siekdamos užtikrinti atitiktį BDAR reikalavimams, turi pasirinkti duomenų saugumo priemones, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. Todėl organizacijoms rekomenduojame papildomai atlikti atitikties Lietuvos Respublikos teisės aktų, reglamentuojančių informacijos saugą ir kibernetinį saugumą, reikalavimams vertinimo paslaugas ir atitikties Lietuvos standartų ISO/IEC 27001 ir ISO/IEC 27002 reikalavimams vertinimo paslaugas, kurios padės nustatyti tinkamą informacijos saugos ir kibernetinio saugumo lygį.

Duomenų valdytojai ir duomenų tvarkytojai privalo įgyvendinti tinkamas technines ir organizacines duomenų saugumo priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Pažeidus BDAR nuostatas gali būti skiriamos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.

• Surenkame įrodymus ir informaciją
• Vertiname organizacines ir technines priemones
• Atliekame rizikos vertinimą
• Atliekame atitikties vertinimą
• Parengiame rekomendacijas neatitiktims rizikoms šalinti ir rizikoms valdyti

• Įvertinta atitiktis. Įvertinta atitiktis Valstybinė duomenų apsaugos inspekcijos gairėms. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos neatitiktys Valstybinė duomenų apsaugos inspekcijos gairėse pateiktiems reikalavimams ir rekomendacijos nustatytoms neatitiktims pašalinti
• Įvertinta atitiktis. Įvertinta atitiktis LR teisės aktuose nustatytiems informacijos saugos ir kibernetinio saugumo reikalavimams. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos neatitiktys LR teisės aktų reikalavimams ir rekomendacijos nustatytoms neatitiktims pašalinti
• Įvertinta atitiktis. Įvertinta atitiktis ISO 27001 ir ISO 27002 reikalavimams. Parengta atitikties ISO 27001 ir ISO 27002 įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos ISO 27001 ir ISO 27002 neatitiktys reikalavimams ir rekomendacijos nustatytoms neatitiktims pašalinti
• Atliktas rizikos vertinimas. Parengtas asmens duomenų sąrašas ir atliktas poveikio vertinimas. Parengtas rizikų registras ir rizikos vertinimo ataskaita su rizikos valdymo planu

• Įvertintas organizacinių ir techninių priemonių pakankamumas ir atitiktis BDAR reikalavimams
• Nustatytos ir įvertintos rizikos bei parengtas ir įvertintas priemonių planas
• Užtikrinta atitiktis BDAR, VDAI bei standartų ISO 27001 ir ISO 27002 reikalavimams

• Valstybinėje mokesčių inspekcijoje įgyvendintas atitikties vertinimo projektas
• Informatikos ir ryšių departamente atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
• Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
• Registrų Centre įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas