Portugalski organ nadzorczy wydał wytyczne, jakie przykładowe środki techniczne i organizacyjne mogą spełnić wymogi art. 32 rodo.
Artykuł 32 (powiązany: art. 5 ust. 1 lit. f, art. 24)
Bezpieczeństwo przetwarzania
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. (…)
Środki organizacyjne
- Przyjęcie procedury obsługi incydentów i ciągłości działania
- Klasyfikowania informacji stosownie do poziomu poufności i przyjęcie odmiennych środków dla poszczególnych klas
- Polityka bezpieczeństwa dokumentów
- Procedura monitorowania ruchu w sieci
- Zdefiniowanie bezpiecznych zasad zarządzania hasłami
- Polityka zarządzania cyklem życia użytkownika – dostęp tylko do niezbędnych danych
- Systemy alarmowe informujące o próbie dostępu
- Przyjąć procedurę privacy by design i privacy by default, uwzględnić pseudonimizację i anonimizację
- Przeprowadzanie audytów IT i testów penetracyjnych, prowadzić szkolenia zgodne z wykrytymi lukami
- Cykliczne sprawdzanie skuteczności przyjętych środków
- Bezzwłoczne usuwanie wykrytych luk
- Procedura zgłaszania naruszeń odo
- Rozwijanie wśród pracowników kultury prywatności i ochrony danych
- Zobowiązanie pracowników do zachowania poufności
- Przegląd i aktualizacja
Środki techniczne
1. Uwierzytelnianie
- Używanie silnych haseł, co najmniej 12 znaków, unikalne, zawierające liczby i symbole, duże i małe litery, często zmieniane
- Uwierzytelnianie wieloskładnikowe, zwłaszcza przy zdalnym dostępnie
2. Infrastruktura i systemy
- Aktualizacja systemów i aplikacji
- Aktualizacja firmware (oprogramowanie wbudowane) urządzeń sieciowych
- Izolacja i segmentacja systemów i sieci danych, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania
- Wzmocnienie bezpieczeństwa stacji roboczych i serwerów:
- Blokada dostępu do stron, które mogą stwarzać zagrożenie
- Blokowanie podejrzanych przekierowań z wyszukiwarki
- Blokada zainfekowanych plików i aplikacji
- Okresowa kontrola stanu i wykorzystania zasobów systemu
- Monitorowanie wykorzystania zainstalowanego oprogramowania
- Przechowywać logi
- Weryfikować dostępy IP do serwerów, które są widoczne publicznie
- Zmienić port skonfigurowany domyślnie dla protokołu zdalnego dostępu (RDP)
3. Narzędzia do obsługi poczty elektronicznej
- Jasno określić polityki i wprowadzić kontrole żeby:
- Zapewnić aby adresy odbiorców były wstawione w polu BCC (Blind Carbon Copy) tzn. UDW (Ukryte Do Wiadomości), w przypadku jeśli jest wielu odbiorców
- Zapobiec błędów podczas ręcznego wpisywania adresów
- Upewnić się, że przesyłane pliki zawierają tylko niezbędne dane
- Rozważyć utworzenie listy dystrybucyjnych i grup kontaktów, aby zapobiec ujawniania adresów odbiorców podczas masowego wysyłania wiadomości
- Rozważyć wdrożenia reguł mających na celu odłożenie/opóźnienie dostarczenia wiadomości e-mail zawierających dane osobowe, przechowywanie ich w „Skrzynce nadawczej” przez określony czas, umożliwia sprawdzenia zgodności po kliknięciu „Wyślij”
- Szyfrowanie wiadomości lub załączników hasłem do którego dostęp ma tylko odbiorca
- Przed wysłaniem potwierdzić z odbiorcą adres
- Szkolenie pracowników z obsługi poczty elektronicznej, zachęcać do podwójnego sprawdzania
- Wzmocnienie systemu alarmowego narzędzia wykorzystywanego przez jednostkę, w celu widoczności czy użytkownicy tworzą reguły wysyłania wiadomości na konta zewnętrzne
- Wzmocnić system o narzędzia antyphisingowe i antyspamowe, które blokują linki lub załączniki ze złośliwym kodem
- Kontrolować wiadomości w celu sklasyfikowania pod kątem wrażliwości informacji
4. Ochrona przed złośliwym oprogramowaniem
- Stosować szyfrowanie co do danych uwierzytelniających dostęp, danych wrażliwych i danych finansowych
- Stworzenie aktualnego bezpiecznego i przetestowanego systemu kopii zapasowych oddzielonego od głównych baz bez dostępu z zewnątrz
- Stosowanie narzędzi antywirusowych w celu skanowania, wykrywania i blokowania zagrożeń typu ransomware
5. Używanie sprzętu na zewnątrz
- Przechowywać dane w systemach wewnętrznych i dostępnych zdalnie przez VPN
- Zezwalać na zdalny dostęp tylko przez VPN
- Blokowanie kont po kilku nieudanych próbach logowania
- Aktywować uwierzytelnianie wieloskładnikowe
- Zastosować szyfrowanie danych w systemie operacyjnym
- Aktywować funkcję zdalnego wymazywania i znajdź moje urządzenie
- Wykonywanie automatycznych kopii zapasowych folderów roboczych w momencie podłączenia sprzętu do sieci podmiotu
- Wprowadzić procedurę korzystanie ze sprzętu na zewnątrz
6. Przechowywanie dokumentów papierowych zawierających dane osobowe
- Używać papieru i druku który jest trwały
- Przechowywać dokumentację w miejscu o kontrolowanej wilgotności i temperaturze odpornym na ogień i zalanie
- Kontrolować dostęp, zapisywać kto i o jakiej godzinie uzyskał dostęp do konkretnego dokumentu
- Niszczyć dokumenty za pomocą specjalnego sprzętu
7. Transport dokumentów zawierających dane osobowe
Stosować bezpieczne szyfrowanie