Wytyczne CNPD – art. 32 rodo

Portugalski organ nadzorczy wydał wytyczne, jakie przykładowe środki techniczne i organizacyjne mogą spełnić wymogi art. 32 rodo.

Artykuł 32 (powiązany: art. 5 ust. 1 lit. f, art. 24)

Bezpieczeństwo przetwarzania

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. (…)

Środki organizacyjne

  1. Przyjęcie procedury obsługi incydentów i ciągłości działania
  2. Klasyfikowania informacji stosownie do poziomu poufności i przyjęcie odmiennych środków dla poszczególnych klas
  3. Polityka bezpieczeństwa dokumentów
  4. Procedura monitorowania ruchu w sieci
  5. Zdefiniowanie bezpiecznych zasad zarządzania hasłami
  6. Polityka zarządzania cyklem życia użytkownika – dostęp tylko do niezbędnych danych
  7. Systemy alarmowe informujące o próbie dostępu
  8. Przyjąć procedurę privacy by design i privacy by default, uwzględnić pseudonimizację i anonimizację
  9. Przeprowadzanie audytów IT i testów penetracyjnych, prowadzić szkolenia zgodne z wykrytymi lukami
  10. Cykliczne sprawdzanie skuteczności przyjętych środków
  11. Bezzwłoczne usuwanie wykrytych luk
  12. Procedura zgłaszania naruszeń odo
  13. Rozwijanie wśród pracowników kultury prywatności i ochrony danych
  14. Zobowiązanie pracowników do zachowania poufności
  15. Przegląd i aktualizacja

Środki techniczne

1. Uwierzytelnianie

  1. Używanie silnych haseł, co najmniej 12 znaków, unikalne, zawierające liczby i symbole, duże i małe litery, często zmieniane
  2. Uwierzytelnianie wieloskładnikowe, zwłaszcza przy zdalnym dostępnie

2. Infrastruktura i systemy

  1. Aktualizacja systemów i aplikacji
  2. Aktualizacja firmware (oprogramowanie wbudowane) urządzeń sieciowych
  3. Izolacja i segmentacja systemów i sieci danych, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania
  4. Wzmocnienie bezpieczeństwa stacji roboczych i serwerów:
    • Blokada dostępu do stron, które mogą stwarzać zagrożenie
    • Blokowanie podejrzanych przekierowań z wyszukiwarki
    • Blokada zainfekowanych plików i aplikacji
    • Okresowa kontrola stanu i wykorzystania zasobów systemu
    • Monitorowanie wykorzystania zainstalowanego oprogramowania
    • Przechowywać logi
    • Weryfikować dostępy IP do serwerów, które są widoczne publicznie
    • Zmienić port skonfigurowany domyślnie dla protokołu zdalnego dostępu (RDP)

3. Narzędzia do obsługi poczty elektronicznej

  1. Jasno określić polityki i wprowadzić kontrole żeby:
    • Zapewnić aby adresy odbiorców były wstawione w polu BCC (Blind Carbon Copy) tzn. UDW (Ukryte Do Wiadomości), w przypadku jeśli jest wielu odbiorców
    • Zapobiec błędów podczas ręcznego wpisywania adresów
    • Upewnić się, że przesyłane pliki zawierają tylko niezbędne dane
  2. Rozważyć utworzenie listy dystrybucyjnych i grup kontaktów, aby zapobiec ujawniania adresów odbiorców podczas masowego wysyłania wiadomości
  3. Rozważyć wdrożenia reguł mających na celu odłożenie/opóźnienie dostarczenia wiadomości e-mail zawierających dane osobowe, przechowywanie ich w „Skrzynce nadawczej” przez określony czas, umożliwia sprawdzenia zgodności po kliknięciu „Wyślij”
  4. Szyfrowanie wiadomości lub załączników hasłem do którego dostęp ma tylko odbiorca
  5. Przed wysłaniem potwierdzić z odbiorcą adres
  6. Szkolenie pracowników z obsługi poczty elektronicznej, zachęcać do podwójnego sprawdzania
  7. Wzmocnienie systemu alarmowego narzędzia wykorzystywanego przez jednostkę, w celu widoczności czy użytkownicy tworzą reguły wysyłania wiadomości na konta zewnętrzne
  8. Wzmocnić system o narzędzia antyphisingowe i antyspamowe, które blokują linki lub załączniki ze złośliwym kodem
  9. Kontrolować wiadomości w celu sklasyfikowania pod kątem wrażliwości informacji

4. Ochrona przed złośliwym oprogramowaniem

  1. Stosować szyfrowanie co do danych uwierzytelniających dostęp, danych wrażliwych i danych finansowych
  2. Stworzenie aktualnego bezpiecznego i przetestowanego systemu kopii zapasowych oddzielonego od głównych baz bez dostępu z zewnątrz
  3. Stosowanie narzędzi antywirusowych w celu skanowania, wykrywania i blokowania zagrożeń typu ransomware

5. Używanie sprzętu na zewnątrz

  1. Przechowywać dane w systemach wewnętrznych i dostępnych zdalnie przez VPN
  2. Zezwalać na zdalny dostęp tylko przez VPN
  3. Blokowanie kont po kilku nieudanych próbach logowania
  4. Aktywować uwierzytelnianie wieloskładnikowe
  5. Zastosować szyfrowanie danych w systemie operacyjnym
  6. Aktywować funkcję zdalnego wymazywania i znajdź moje urządzenie
  7. Wykonywanie automatycznych kopii zapasowych folderów roboczych w momencie podłączenia sprzętu do sieci podmiotu
  8. Wprowadzić procedurę korzystanie ze sprzętu na zewnątrz

6. Przechowywanie dokumentów papierowych zawierających dane osobowe

  1. Używać papieru i druku który jest trwały
  2. Przechowywać dokumentację w miejscu o kontrolowanej wilgotności i temperaturze odpornym na ogień i zalanie
  3. Kontrolować dostęp, zapisywać kto i o jakiej godzinie uzyskał dostęp do konkretnego dokumentu
  4. Niszczyć dokumenty za pomocą specjalnego sprzętu

7. Transport dokumentów zawierających dane osobowe

Stosować bezpieczne szyfrowanie