Duomenų apsaugos reglamentas

2012 m. Europos Komisijos pradėta Asmens duomenų apsaugos reforma – tai būtinybė turėti visose Europos Sąjungos valstybėse narėse vienodus ir atnaujintus asmens duomenų apsaugą reglamentuojančius teisės aktus,  užtikrinti vieną iš pagrindinių žmogaus teisių – teisę į asmens duomenų apsaugą, sudaryti sąlygas skaitmeninės ekonomikos plėtrai ir sustiprinti kovą su nusikalstamumu ir terorizmu. 2016 m. balandžio 27 d. buvo patvirtintas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), toliau tekste – BDAR arba angliškai GDPR arba  Reglamentas (ES) 2016/679) . Reglamentas (ES) 2016/679 yra tiesioginio taikymo Europos Sąjungoje teisės aktas. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, šis reglamentas bus pradėtas taikyti nuo 2018 m. gegužės 25 d. Pasirengimui ir atitikties įvertinimui liko [countdown date=”25 may 2018″ format=”dHMS” hour=”02″ minutes=”00″ color=”#cc0000″ bgcolor=”#ffffff” width=”400″ height=”30″ radius=”2″ link=false ]BDAR skatins įmones prisiimti atsakomybę už tai, kad naudodamos savo veikloje asmens duomenis (toliau – duomenys) jos negalėtų pakenkti fiziniams asmenims (duomenų subjektams arba toliau tekste – DS), gerbtų žmonių teises, nustatytų naujus reikalavimus saugumo priemonėms ir griežčiau kontroliuotų atskaitomybės bei skaidrumo principus.

Kibernetinis saugumas

Nustatant įmonėje informacijos saugumo sistemos spragas bei rizikas informacijos konfidencialumui, pasiekiamumui ir vientisumui, užtikrinama sėkminga įmonės veikla. Įmonės veiklai persikeliant į skaitmeninę erdvę, kibernetinis saugumas dažnai tampa vienas iš pagrindinių įmonės saugumo užtikrinimo prioritetų. Kitos saugios įmonės veiklos užtikrinimo sritys dažnai  užmirštamos, todėl pavyzdžiui fizinės saugos spragos ar personalo neinformuotumas apie taikomas saugos priemones sumažina taikomų kibernetinio saugumo priemonių efektyvumą. Administracijai vertinant investuojamų išteklių ekonominį efektą dažnai belieka stebėtis, kodėl skiriamos lėšos  kibernetinio saugumo užtikrinimui neduoda tinkamų rezultatų.

Kryptingas, individualizuotas konkrečiai įmonei bei pastovus tarptautinių saugumo valdymo standartų, pavyzdžiui ISO 27032, NIST ir pan. diegimas,  administracijos supratingumas suteikia daugiau šansų apsisaugoti nuo vidinių ir išorinių saugumo grėsmių įmonės veiklai.

Kvalifikuoto informacijos ar kibernetinio saugumo specialisto samdymas atsiperka iš esmės sumažindamas nepatenkintų darbuotojų ar hakerių neteisėtų veiksmų, techninių incidentų kilimo riziką, neatitiktį Bendrajam duomenų apsaugos reglamentui.

Informacijos saugumo valdymas

Informacijos saugumo užtikrinimas įmonėje dažniausiai vykdomas organizuojant  Informacijos saugumo valdymo sistemos diegimo projektą. Projektas įmonėse gali būti vykdomas vidinių ar išorinių specialistų pagalba. Informacijos saugumo užtikrinimo procesai įmonėje tampa efektyvūs tik tada,  kai administracija pritaria projektui ir skiriant reikiamus resursus. Tačiau kvalifikuotų informacijos saugumo valdymo specialistų trūkumas ir  tarptautinių saugumo valdymo standartų ISO 27000, NIST ir pan. neišmanymas, trukdo tinkamai diegti projektą arba vėliau prižiūrėti ir tobulinti procesus.

Informacijos saugumo valdymas privalo būti integruojamas į visas įmonės veiklas, priešingu atveju  informacijos saugumu valdymas neduos laukiamo efekto, progresui stebėti parinkti rodikliai ir jų vertinimas neatspindės projekto sėkmingumo. Pavyzdžiui įdiegus kompiuterių tinklo ir serverių technines apsaugos priemones, informacijos saugumo techninių priemonių efektyvumo rodikliai nerodys realios situacijos, kurią sąlygos  fizinės saugos ar organizacinių saugumo priemonių trūkumas.

Efektyviausias informacijos saugumo projekto įgyvendinimo įmonėje užtikrinimo būdas – taikyti informacijos saugumo valdymo ISO/IEC 27000 grupės standartų šablonus ir juos individualiai pritaikyti prie įmonės vadybos sistemos, darbo kultūros bei atliekamų operacijų.