ნაწილი IV. პერსონალურ მონაცემთა უსაფრთხოების დაცვა
შესავალი მონაცემთა უსაფრთხოების ნაწილში
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი განსაზღვრავს წესებს მონაცემთა უსაფრთხოების შესახებ.
პერსონალურ მონაცემთა უსაფრთხოების დაცვის მიზნით, საჭიროა ისეთი ტექნიკური და ორგანიზაციული ზომების მიღება, რომლებიც სათანადოდ უზრუნველყოფენ მონაცემთა დაცვის, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან. ტექნიკური და ორგანიზაციული ზომების შერჩევისა და გატარებისას, თვალყური უნდა ადევნოთ ტექნოლოგიების განვითარებას და მასთან დაკავშირებულ რისკებს.
გზამკვლევის აღნიშნულ ნაწილში არ არის განხილული მონაცემთა დაცვის ღონისძიებების სრული ჩამონათვალი. მონაცემთა დამუშავებისას და მონაცემთა დაცვის ღონისძიებების შერჩევისას, მხედველობაში უნდა მიიღოთ მონაცემთა დამუშავების კონტექსტი, მონაცემთა კატეგორიები და მონაცემთა უსაფრთხოების რისკები.
პერსონალურ მონაცემთა უსაფრთხოება და პოტენციური საფრთხეები
მონაცემთა უსაფრთხოების ზომების არასათანადოდ დაცვამ შესაძლოა, სერიოზული ნეგატიური შედეგები გამოიწვიოს, როგორიცაა, მაგალითად, რეპუტაციის შელახვა ან მომხმარებელთა მიერ ნდობის დაკარგვა. უსაფრთხოების ინციდენტმა, მაგალითად, მონაცემთა დაკარგვამ, შესაძლოა გამოიწვიოს ორგანიზაციის საქმიანობის შეჩერება და ფინანსური ზიანი. შესაბამისად, მონაცემთა უსაფრთხოების დაცვა წარმოადგენს როგორც მონაცემთა სუბიექტების, აგრეთვე ორგანიზაციების ინტერესის სფეროს.
იმის შესაფასებლად, თუ რამდენად დიდი რისკის შემცველია ყოველი მონაცემთა დამუშავების მოქმედება, პირველ რიგში, რეკომენდებულია დადგინდეს, რა გავლენას მოახდენს მონაცემთა სუბიექტების უფლებებზე და თავისუფლებებზე მონაცემთა დამუშავების აღნიშნული მოქმედება.
მონაცემთა სუბიექტების პერსონალური მონაცემების დასაცავად, უნდა გაითვალისწინოთ მონაცემთა უსაფრთხოების შედეგი სამი კომპონენტი: მონაცემთა კონფიდენციალურობა, მთლიანობა, და ხელმისაწვდომობა. შესაბამისად, უნდა შეაფასოთ შემდეგი რისკები:
- პერსონალურ მონაცემებზე არაავტორიზებული ან შემთხვევითი წვდომა - მონაცემთა კონფიდენციალურობის დარღვევა (მაგალითად, კომპანიის ფინანსურ ან სახელფასო ინფორმაციაზე არაავტორიზებული წვდომა და მისი არამართლზომიერი გამოყენება);
- მონაცემთა არაავტორიზებული ან შემთხვევითი შეცვლა - მონაცემთა მთლიანობის დარღვევა (მაგალითად, წვდომის შესახებ ინფორმაციის შეცვლის ნიადაგზე, ცრუ ბრალდების წაყენება და განმახორციელებელი პირის წვდომაში დადანაშაულება);
- მონაცემთა დაკარგვა ან მონაცემებზე წვდომის დაკარგვა - ხელმისაწვდომობის დაკარგვა მონაცემებზე (მაგალითად, ნარკოტიკის მოხმარების შესახებ ინფორმაციის მიუღებლობა, პაციენტის ელექტრონულ მონაცემებზე წვდომის დაკარგვის გამო).
აგრეთვე, რეკომენდირებულია რისკების წყაროების იდენტიფიცირება ― ვინ ან რა შეიძლება იყოს თითოეული უსაფრთხოების დარღვევის წარმოშობის მიზეზი, რომლის განსაზღვრის მიზნით, მნიშვნელოვანია როგორც შიდა, აგრეთვე გარე ადამიანური რესურსების გათვალისწინება (მაგალითად, ინფორმაციული ტექნოლოგიების ადმინისტრატორი, მომხმარებელი, გარე თავდამსხმელი, კონკურენტი), ასევე, შიდა ან გარე რესურსები (წყლის მიერ მიყენებული დაზიანება, სახიფათო ნივთიერებები, კომპიუტერული ვირუსები).
რისკების შეფასება მნიშვნელოვანია პოტენციური საფრთხეების იდენტიფიცირების მიზნით, მაგალითად, რა გარემოებებში იქნებოდა უსაფრთხოების ინციდენტის განხორციელება შესაძლებელი? (კომუნიკაციის არხებზე, ტექნოლოგიებზე, კომპიუტერულ სისტემებზე, ქაღალდზე არსებულ დოკუმენტებზე და სხვა).
უსაფრთხოების ინციდენტის შედეგად, პერსონალური მონაცემები შესაძლოა:
- იქნას გამოყენებული არასათანადოდ (უფლებების დარღვევით, დამუშავებისას შეცდომის გზით ან არასწორი დამუშავების გზით);
- იქნას შეცვლილი (მაგალითად, პროგრამული უზრუნველყოფის ან აპარატურის დაზიანების შედეგად, მავნე პროგრამის დაყენების გზით “software or hardware entrapment - keylogger, installation of malware”);
- დაიკარგოს (მაგალითად, პერსონალური კომპიუტერის მოპარვის ან მეხსიერების ბარათის დაკარგვის შედეგად);
- გახდეს დაკვირვების საგანი (მაგალითად, კომპიუტერის ეკრანზე დაკვირვება მატარებელში, გეოლოკაციის სერვისების გამოყენებით მოწყობილობებზე);
- მთლიანობის დარღვევა (მაგალითად, ვანდალიზმის, ბუნებრივი კატაკლიზმის შედეგად);
- გადაიტვირთოს (მაგალითად, მომსახურების გაწევის შეუძლებლობა თავდასხმიდან გამომდინარე გადატვირთულობის გამო “denial of service attack”).
- გახდეს მიუწვდომელი (მაგალითად, კიბერთავდასხმის შედეგად, რომლის დროსაც კომპიუტერში არსებული ფაილები დაიშიფრება და მიუწვდომელი გახდება მფლობელისათვის).
რეკომენდაციები:
- ყოველი რისკის საპასუხოდ არსებული ან დაგეგმილი უსაფრთხოების ზომების განსაზღვრა (მაგალითად, წვდომის კონტროლი, მიკვლევადობა, შენობა-ნაგებობათა უსაფრთხოება, დაშიფვრა);
- რისკების ალბათობის და მასშტაბების გაზომვა (რისკის გასაზომად შესაძლოა გამოყენებული იქნას საზომი ერთეულის სისტემა, მაგალითად, რისკი შეიძლება შეფასდეს როგორც უმნიშვნელო, საშუალო სიმძიმის, მნიშვნელოვანი, მაქსიმალური სიმძიმის);
- ახალი ზომების იმპლემენტაცია და მონიტორინგი;
- მონაცემთა უსაფრთხოების აუდიტის ჩატარება. პერიოდულად, უნდა ჩატარდეს აუდიტი და ყოველი აუდიტის შედეგად უნდა შემუშავდეს სამოქმედო გეგმა, რომლის განხორციელებაც უნდა შემოწმდეს ორგანიზაციის მმართველი რგოლის მიერ.
უსაფრთხოების რისკების უფრო ნათლად აღსაქმელად რეკომენდირებულია რისკის მართვის დოკუმენტის შემუშავება, რომელიც ექვემდებარება პერიოდულ განახლებას. დოკუმენტში შესაძლოა გათვალისწინებული იქნას სერვერებთან დაკავშირებული მატერიალური და ადამიანური რისკები, აგრეთვე კომპიუტერებთან და ორგანიზაციების შენობა ნაგებობების უსაფრთხოებასთან დაკავშირებული რისკები. რისკების წინასწარი, სათანადოდ განსაზღვრა დაგეხმარებათ უსაფრთხოების დარღვევის დადგომისას ნეგატიური შედეგების აღმოფხვრაში.
პერსონალურ მონაცემთა დაცვის ორგანიზაციული ზომები
პერსონალურ მონაცემთა დაცვის ოფიცერი
პერსონალი მონაცემთა დაცვის ოფიცერი ზედამხედველობს ორგანიზაციაში პერსონალურ მონაცემთა უსაფრთხოების დაცვის სტანდარტს.
პერსონალურ მონაცემთა დაცვის ოფიცერი უზრუნველყოფს:
- მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, მათ შორის, მარეგულირებელი სამართლებრივი ნორმების მიღების ან შეცვლის შესახებ, დამუშავებისთვის პასუხისმგებელი პირის, დამუშავებაზე უფლებამოსილი პირისა და მათი თანამშრომლების ინფორმირებას, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევას;
- მონაცემთა დამუშავებასთან დაკავშირებული შიდა რეგულაციებისა და მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტის შემუშავებაში მონაწილეობას, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოს კანონმდებლობისა და შიდა ორგანიზაციული დოკუმენტების შესრულების მონიტორინგს;
- მონაცემთა დამუშავებასთან დაკავშირებით შემოსული განცხადებებისა და საჩივრების ანალიზსა და შესაბამისი რეკომენდაციების გაცემას;
- პერსონალურ მონაცემთა დაცვის სამსახურისგან კონსულტაციების მიღებას, დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის წარმომადგენლობას პერსონალურ მონაცემთა დაცვის სამსახურთან ურთიერთობაში, მისი მოთხოვნით ინფორმაციისა და დოკუმენტების წარდგენას და მისი დავალებებისა და რეკომენდაციების შესრულების კოორდინაციასა და მონიტორინგს;
- მონაცემთა სუბიექტის მიმართვის შემთხვევაში მისთვის მონაცემთა დამუშავების პროცესებისა და მისი უფლებების შესახებ ინფორმაციის მიწოდებას;
- დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების სტანდარტების ამაღლების მიზნით სხვა ფუნქციების შესრულებას.
ამავდროულად, მონაცემთა დაცვის ოფიცრის საქმიანობა ინციდენტების თავიდან აცილებაში საკვანძო როლს თამაშობს, რამდენადაც მას აკისრია ორგანიზაციის მრჩევლისა და კანონთან შესაბამისობის ზედამხედველობის ფუნქციები. პერსონალურ მონაცემებთან დაკავშირებული ინციდენტის დადგომის შემთხვევაში, მონაცემთა დაცვის ოფიცერი უნდა იყოს ინციდენტზე რეაგირებისთვის პასუხისმგებელ პირთა ჯგუფის წევრი. მონაცემთა დაცვის ოფიცერი ჩართული უნდა იყოს ისეთ ამოცანებში, როგორიცაა: ინციდენტზე რეაგირების პროცედურებთან დაკავშირებული დოკუმენტაციისა და ინციდენტების შესახებ ინფორმაციის აღრიცხვის წარმოება, ასევე პერსონალურ მონაცემთა დაცვის სამსახურისთვის და მონაცემთა სუბიექტებისთვის შეტყობინებების მომზადება.
პერსონალურ მონაცემთა დაცვის ოფიცრის ფუნქცია შეიძლება, შეასრულოს დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის თანამშრომელმა ან სხვა პირმა მომსახურების ხელშეკრულების საფუძველზე. ამასთან, პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს, შეასრულოს სხვა ფუნქციაც, თუ აღნიშნული არ წარმოშობს ინტერესთა კონფლიქტს.
გასათვალისწინებელია, რომ პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში. ამასთან, იგი კონკრეტული ვითარების გათვალისწინებით ანგარიშვალდებული უნდა იყოს მაქსიმალურად მაღალი დონის მმართველობის სტრუქტურის წინაშე.
მომხმარებელთა ცნობიერების ამაღლება
აუცილებელია მონაცემთა დაცვის საკითხებზე თანამშრომლების და იმ პირთა ინფორმირება, ვინც პერსონალურ მონაცემებთან შემხებლობშია. შესაბამის პირებს ინფორმაცია უნდა მიეწოდოთ კონფიდენციალურობის თემატიკაზე, აგრეთვე, რისკების საპასუხოდ მიღებული ზომების შესახებ.
აღნიშნული მიზნით, შესაძლებელია ცნობიერების ასამაღლებელი სემინარების გამართვა; მონაცემთა დაცვის თაობაზე, მარტივი და გასაგები ენით; თანამშრომლების და მონაცემებზე წვდომის მქონე პირებისთვის, მათი ფუნქცია-მოვალეობების შესაბამისი ინფორმაციის მიწოდება; პერსონალურ მონაცემთა დაცვის საკითხებზე შიდა საკომუნიკაციო არხის დანერგვა.
შიდა პოლიტიკის დოკუმენტის წარმოება
შესაძლებელია, კომპანიამ შეიმუშავოს შიდა გამოყენების პოლიტიკის დოკუმენტი, რომელშიც გაწერილი იქნება პერსონალური მონაცემების დაცვის და მონაცემთა უსაფრთხოების უზრუნველსაყოფად შესაბამისი წესები.
სხვა ორგანიზაციული ზომები
- მონაცემთა კლასიფიკაციის მიზნით, შესაბამისი წესის შემუშავება, რომელიც ინფორმაციის რამდენიმე დონეს გამოყოფს და სავალდებულოს გახდის განსაკუთრებული კატეგორიის შემცველი მონაცემისა და დოკუმენტების „აღნიშვნას“.
- დოკუმენტების ყოველ გვერდზე (მათ შორის, ელექტრონულ დოკუმენტებშიც) განსაკუთრებული კატეგორიის მონაცემის შემცველობის შესახებ მითითება;
- ჩაატარეთ ტრენინგები ინფორმაციის უსაფრთხოების თემატიკაზე, ამავე თემაზე ცნობიერების ამაღლების მიზნით;
- კონტექსტიდან გამომდინარე, განიხილეთ კონფიდენციალურობის ხელშეკრულების დადების საკითხი პერსონალურ მონაცემებთან დაკავშირებით თანამშრომლებისათვის ან/და პერსონალური მონაცემების დამუშავების პროცესში ჩართულ/წინამდებარე საკითხებზე მომუშავე პირებისათვის.
პერსონალურ მონაცემთა დაცვის ტექნიკური ზომები
რეკომენდირებულია უსაფრთხოების გათვალისწინება შემდეგ საკითხებთან მიმართებით:
- აპარატურა (მაგალითად, სერვერები, სამუშაო მაგიდები, პერსონალური კომპიუტერი, მყარი დისკები);
- პროგრამული უზრუნველყოფა (მაგალითად, საოპერაციო სისტემა);
- კომუნიკაციის არხები (მაგალითად, ინტერნეტი);
- დოკუმენტები (ბეჭდური ფორმით არსებული დოკუმენტები და ასლები);
- ოფისის სივრცე.
მომხმარებელთა ავთენტიფიკაცია
იმისთვის, რომ მომხმარებლებმა (თანამშრომლებმა) მხოლოდ იმ ინფორმაციაზე განახორციელონ წვდომა, რაც მათ სჭირდებათ სამუშაოს შესასრულებლად, თანამშრომლებს უნდა მიენიჭოთ უნიკალური მაიდენტიფიცირებელი და გაიარონ ავთენტიფიკაცია კომპიუტერული მოწყობილობების გამოყენებამდე, შემდეგ მექანიზმებზე დაყრდნობით: ა) საშუალებები, რომლის შესახებ ინფორმირებულია ორგანიზაცია (მაგალითად, მომხმარებლის პაროლი); ბ) ფიზიკურად არსებული საშუალებები (მაგალითად, საშვი); გ) პიროვნების ინდივიდუალური მახასიათებელი (მაგალითად, ხელმოწერა).
აღნიშნული მექანიზმის არჩევა დამოკიდებულია კონტექსტზე. ავთენტიფიკაცია შესაძლოა, სათანადოდ მივიჩნიოთ, როდესაც იგი სულ მცირე განხილულ ორ მექანიზმს ეყრდნობა.
ავტორიზაციის მართვა
მომხმარებლების ავტორიზაციის დიზაინი უნდა ეფუძნებოდეს მომხმარებელთა საჭიროებებს. მომხმარებლებს უნდა ჰქონდეთ წვდომა მხოლოდ იმ ინფორმაციაზე, რაც მათ სჭირდებათ საქმიანობის სფეროში დაკისრებული ვალდებულებების შესასრულებლად.
ავტორიზაციის მართვის კარგი პრაქტიკაა:
- პაროლების შესაქმნელად სხვადასხვა კრიტერიუმების განსაზღვრა (მაგალითად, სავალდებულო იყოს, რომ პაროლი შედგებოდეს სულ მცირე 8 სიმბოლოსგან და გამოყენებული იქნას სპეციალური სიმბოლოები);
- პაროლების უსაფრთხოდ შენახვა;
- ვადაგასული ნებართვების გაუქმება;
- პერიოდულად ნებართვების გადახედვა (მაგალითად, ყოველ 6 თვეში ერთხელ).
დაუშვებელია:
- ერთი ანგარიშის გაზიარება რამდენიმე მომხმარებლის მიერ;
- მომხმარებელთათვის ადმინისტრირების უფლების მინიჭება, რომელთაც არ ესაჭიროებათ წვდომა წინამდებარე ინფორმაციაზე თავისი მოვალეობის შესასრულებლად;
- მომხმარებლისათვის საჭიროზე მეტი უფლებების მინიჭება;
- დროებითი საჭიროებისას, გაცემული წვდომის უფლების შეზღუდვის დავიწყება, როდესაც წვდომა საჭირო აღარ არის მოვალეობების შესასრულებლად;
- მომხმარებლის ძველი ანგარიშის შენახვა, როდესაც მომხმარებელმა დატოვა ორგანიზაცია ან შეიცვალა თანამდებობა.
რეკომენდაცია
- კომპანიის ახალი თანამშრომლისთვის უნდა შეიქმნას ახალი, სპეციალური ანგარიში, რომელიც დაცულია რთული პაროლით.
- აუცილებელია თანამშრომელთა გაფრთხილება, რომ არ გაუზიარონ ერთმანეთს პირადი პაროლები, განსაკუთრებით მაშინ, თუ მათ არ აქვთ დაშვება ერთსა და იმავე ინფორმაციაზე და არ დატოვონ სამუშაო სივრცე მოწყობილობის პაროლით დაცვის გარეშე.
- თანამდებობის შეცვლასთან ერთად, აუცილებელია გადაიხედოს ინფორმაციაზე წვდომის დაშვებები.
პერსონალურ მონაცემთა დაცვა დეპერსონალიზაციის და ფსევდონიმიზაციის გზით
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი განმარტავს მონაცემთა დეპერსონალიზაციის ცნებას, რომლის მიხედვითაც დეპერსონალიზაცია მონაცემთა იმგვარი დამუშავებაა, როდესაც შეუძლებელია მონაცემთა სუბიექტთან მათი დაკავშირება ან ასეთი კავშირის დადგენა არაპროპორციულად დიდ ძალისხმევას, ხარჯებს ან/და დროს საჭიროებს. ევროპულ რეგულაციაში მსგავსი შინაარსით გამოიყენება ტერმინი ანომიმიზაცია.
კანონის თანახმად, მონაცემთა ფსევდონიმიზაცია არის მონაცემთა იმგვარი დამუშავება, როდესაც დამატებითი ინფორმაციის გამოყენების გარეშე, შეუძლებელია მონაცემების კონკრეტულ მონაცემთა სუბიექტთან დაკავშირება, აღნიშნული დამატებითი ინფორმაცია შენახულია ცალკე და ტექნიკური და ორგანიზაციული ზომების მეშვეობით მონაცემების იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირება არ ხდება.
პერსონალურ მონაცემთა დაცვის უზრუნველსაყოფად ტექნიკური ზომების დანერგვა ცალკეულ შემთხვევებში
ფიზიკური სამუშაო სივრცეების უსაფრთხოება
რეკომენდირებულია შემდეგი ზომების გატარება სამუშაო მაგიდების უსაფრთხოების უზრუნველსაყოფად:
- ავტომატურად ჩაკეტვის მექანიზმის გამოყენება, რომელიც შეზღუდავს პაროლის არმქონე პირის მიერ კომპიუტერის გამოყენებას;
- დააყენეთ პროგრამული უზრუნველყოფის დაცვის სისტემა (“Firewall Software”);
- გამოიყენეთ რეგულარულად განახლებული ვირუსების საწინააღმდეგო პროგრამული უზრუნველყოფის სისტემა;
- პროგრამული უზრუნველყოფის ავტომატური განახლებები, რომლებიც უსაფრთხოების სისტემის განახლებას უზრუნველყოფს;
- მომხმარებელთა ინფორმაციის განთავსება შესანახ სივრცეში, რომელიც რეგულარულად განახლებადია და ხელმისაწვდომია ორგანიზაციის ქსელით და არა სამუშაო მოწყობილობების საშუალებით.
- ისეთი მოწყობილობების გამოყენების შეზღუდვა, როგორიცაა მეხსიერების ბარათები, გარე მყარი დისკი და სხვა. აღნიშნული მოწყობილობების გამოყენება რეკომენდირებულია მხოლოდ აუცილებელი საჭიროების შემთხვევაში.
დაუშვებელია:
- მოძველებული ოპერაციული სისტემების გამოყენება;
- ადმინისტრირების უფლებების ისეთი მომხმარებლებისთვის მინიჭება, რომელთაც არ აქვთ კომპიუტერული უსაფრთხოების შესახებ შესაბამისი ცოდნა.
მნიშვნელოვანია თანამშრომლების ინფორმირება უსაფრთხოების დარღვევის დადგომის შემთხვევაში სამოქმედო გეგმის თაობაზე, მაგალითად, ვის აცნობონ, რა ვადაში და რა ფორმით.
დისტანციურად მუშაობა
დისტანციურად მუშაობისას, გასათვალისწინებელია შემდეგი რეკომენდაციები:
- დისტანციურად მუშაობის უსაფრთხოების პოლიტიკის დოკუმენტის შექმნა, რომელიც მოაწესრიგებს უსაფრთხოების შესახებ შესაბამის წესებს. აღნიშნული დოკუმენტი უნდა გახდეს ორგანიზაციის შიდა დოკუმენტაციის ნაწილი და მის შესახებ ეცნობოთ თანამშრომლებს;
- თუ საინფორმაციო სისტემის მიმართულებით დისტანციურად მუშაობისათვის აუცილებელი ხდება დამკვიდრებული წესების ცვლილება (მაგალითად, წვდომის კონტროლი), გაითვალისწინეთ რისკები და შეიმუშავეთ უსაფრთხოების უზრუნველსაყოფად შესაბამისი ღონისძიებები;
- დაბლოკეთ ვებსაიტებზე წვდომა, რომელიც შესაძლოა, საფრთხეს წარმოადგენდეს თქვენი კომპანიის სისტემების უსაფრთხოდ ფუნქციონირებისათვის;
- თუ თანამშრომლები პირად მოწყობილობებს იყენებენ სამსახურეობრივი მიზნებით, შეიმუშავეთ პირადი მოწყობილობების უსაფრთხოდ გამოყენების წესი და მიაწოდეთ მათ;
- განიხილეთ ვირტუალური კერძო ქსელის ― “VPN”-ის გამოყენება, ორსაფეხურიანი ავთენტიფიკაციით;
- მონაცემთა უსაფრთხოდ გაცვლის მიზნით, აცნობეთ თანამშრომლებს, თუ რა საშუალებები, აპლიკაციები და კომუნიკაციის მეთოდები გამოიყენონ დისტანციური მუშაობისათვის.
მონაცემთა უსაფრთხოება პერსონალურ მონაცემთა საერთაშორისო გადაცემისას
მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ ამ სახელმწიფოში არსებობს მონაცემთა დამუშავების საქართველოს კანონით პერსონალურ მონაცემთა დაცვის შესახებ გათვალისწინებული მოთხოვნები და შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვისა და მონაცემთა სუბიექტის უფლებების დაცვის სათანადო გარანტიები.
იმ სახელმწიფოებისა და საერთაშორისო ორგანიზაციების ნუსხა, რომლებშიც უზრუნველყოფილია მონაცემთა დაცვის სათანადო გარანტიები, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.
დამატებით იხილეთ:
პერსონალურ მონაცემთა უსაფრთხოების შესახებ გასათვალისწინებელი პუნქტების ჩამონათვალი
(სამაგალითო ნიმუში)
უსაფრთხოების ტექნიკურ-ორგანიზაციული ზომები |
სტატუსი |
პასუხისმგებელი პირი/გატარებული ღონისძიება |
კომენტარი |
მონაცემთა დამუშავების პროცესში ჩართული თანამშრომლების მუდმივი ინფორმირება და ცოდნის გაღრმავება მონაცემთა უსაფრთხოების თანამდევი რისკების თემატიკაზე
|
|
|
|
მონაცემთა უსაფრთხოების შიდა პოლიტიკის დოკუმენტის წარმოება და მისთვის იურიდიული ძალის მინიჭება
|
|
|
|
მონაცემთა უსაფრთხოების გათვალისწინება ახალი პროექტების დიზაინის ეტაპზევე |
|
|
|
მონაცემთა მინიმიზაციის პრინციპი - მონაცემთა დამუშავება საჭიროებასთან ადეკვატურობის დაცვით; მხოლოდ იმ მონაცემთა დამუშავება, რაც აუცილებელია დამუშავების მიზნის მისაღწევად
|
|
|
|
განსაკუთრებული კატეგორიის მონაცემთათვის მონაცემთა კლასიფიკაციის პოლიტიკის დოკუმენტის შემუშავება
|
|
|
|
იმ დოკუმენტებზე, რომლებიც შეიცავენ განსაკუთრებული კატეგორიის მონაცემებს შესაბამისი მინიშნებების დართვა
|
|
|
|
მონაცემთა უსაფრთხოების თემატიკაზე ტრენინგების წარმოება; თანამშრომლების პერიოდულად ინფორმირება
|
|
|
|
კონფიდენციალურობის ხელშეკრულების შემუშავება
|
|
|
|
სისტემის უმოქმედობისას, გარკვეული დროის გასვლის შემდეგ, წვდომის შეზღუდვა ავტომატურ რეჟიმში; ანტივირუსული სისტემის განახლება და მონაცემთა ავტომატური შენახვის უზრუნველყოფა
|
|
|
|
მეხსიერების ბარათების, გარე მყარი დისკების და სხვა მსგავსი მოწყობილობების გამოყენების შეზღუდვა, მათი გამოყენება მხოლოდ აუცილებელი საჭიროების შემთხვევაში
|
|
|
|
ორგანიზაციის შენობა- ნაგებობების დაცვა (განგაშის სისტემა, კვამლის ამომცნობი სისტემა, ოთახების დაცვა, საშვის მოთხოვნა კონკრეტულ სივრცეში მოსახვედრად, ცეცხლმაქრი სისტემების არსებობა)
|
|
|
|
მომხმარებელთათვის უნიკალური იდენტიფიკატორების მინიჭება
|
|
|
|
კომპიუტერულ მოწყობილობებზე ავთენტიკაციის სავალდებულოობა
|
|
|
|
დისტანციური მუშაობის უსაფრთხოების პოლიტიკის დოკუმენტის შემუშავება
|
|
|
|
ვადაგასული საშვების მქონე პირებისათვის წვდომის შესაძლებლობის შეზღუდვა
|
|
|
|
წვდომის უფლებამოსილებების პერიოდული გადახედვა
|
|
|
|
განსაკუთრებული კატეგორიის მონაცემთა ფსევდონიმიზაცია ან დეპერსონალიზაცია |
|
|
|
მონაცემთა დეპერსონალიზაცია
|
|
|
|
ვირტუალური კერძო ქსელი დისტანციურად მუშაობისათვის
|
|
|
|
მოწყობილობების უსაფრთხოების უზრუნველყოფა დისტანციური მუშაობისას
|
|
|
|