tehnični in organizacijski ukrepi

tehnični in organizacijski ukrepi

Tehnični in organizacijski ukrepi

Verzija:2.0
Datum: 22.12. 2022


 

1    Zaupnost

1.1    Nadzor fizičnega dostopa

Opisani so ukrepi s katerim se nepooblaščenim osebam prepreči/zavrne dostop do sistemov za obdelavo podatkov, ki se uporabljajo za obdelavo osebnih podatkov: 
  • opredelitev pooblaščenih oseb z dostopom na osnovi lastnosti/pravil organizacije,
  • dokumentiranje o dodelitvi in/ali umiku dostopnih pravic,
  • redna revizija dostopnih pravic,
  • nadzor dostopa z osebno kartico,
  • nadzor dostopa z osebnim žetonom,
  • dokumentiranje prisotnosti v strežniških sobah,
  • pravila za dostop zunanjih oseb,
  • video nadzor zunanjega in notranjega območja stavbe.


1.2    Nadzor dostopa do sistema

Opisani so ukrepi s katerimi se preprečuje dostop nepooblaščenih oseb v sisteme za obdelavo podatkov:
  • dostop do sistemov je mogoč le z avtentikacijo z osebnim (lastnim) uporabniškim imenom in geslom,
  • uporaba zapletenih gesel z najmanj osmimi znaki, ki izpolnjujejo najmanj tri od štirih meril (velika črka, mala črka, številka, poseben znak) in obvezna sprememba gesla vsakih 90 dni,
  • prepoved razkrivanja osebnih gesel,
  • beleženje/sledenje dodeljenim pravicam dostopa (angleško: logging),
  • omejitev administrativnega dostopa na najmanjši možni obseg,
  • zaščita sistemov za obdelavo podatkov pred nepooblaščenim dostopom z ustreznimi požarnimi zidovi, 
  • samodejno zaklepanje sistemov po določenem obdobju neuporabe.


1.3    Nadzor dostopa do podatkov 

Nepooblaščene dejavnosti v sistemih za obdelavo podatkov zunaj obsega dodeljenih pravic so prepovedane s pravicami do dostopa in koncepta avtorizacije z zasnovo na podlagi potreb in z njihovim pregledom:
  • omejitev pravic dostopa glede na področja dejavnosti,
  • ločitev dodeljenih pravic (organizacijske) od pravic do dodeljevanja pravic (tehnične).


1.4    Nadzor ločevanja (separation) 

  • beleženje sprememb pravic, 
  • preverjanje poskusov nepooblaščenega dostopa (IDS/IPS), 
  • določitev različnih uporabniških profilov (na ravni skrbnika/uporabnika),
  • posebne pravice dostopa, ki ustrezajo zahtevam za dostop do podatkov,
  • ločevanje proizvodnih in testnih okolij s tehničnimi ukrepi (virtualni strežniki, ločeni sistemi, segmentiranje naslovov IP).


2    Integriteta

2.1    Nadzor prenosa 

  • šifriranje podatkov, zlasti pri prenosu prek javnih omrežij (npr. SSL, TLS),
  • izbris in/ali uničenje podatkov, podatkovnih nosilcev in tiskanih kopij/izpisov v skladu s konceptom stopnje zaščite, ki je skladen z varstvom podatkov,
  • šifriranje naprav za shranjevanje podatkov / podatkovnih nosilcev,
  • oddaljeno brisanje z mobilnih naprav. 


2.2    Nadzor vnosa 

  • dostopne pravice se redno preverjajo in posodabljajo,
  • beleženje obdelave podatkov omogoča poznejši pregled in ugotavljanje, ali in kdo je osebne podatke vnesel, spremenil ali odstranil (npr. dnevniki sprememb podatkov v centralnih sistemih ERP),
  • beleženje in hranjenje ustreznih dejanj, izvedenih v sistemih na podlagi potreb (npr. dnevniške datoteke), 
  • izrecna/enolična identifikacija in označevanje podatkovnih nosilcev na vrnjenih tiskalnikih in/ali multifunkcijskih tiskalnikih.


3    Razpoložljivost in zmogljivost obremenitve

3.1    Nadzor nad razpoložljivostjo in zmožnostjo ponovne vzpostavitve 

  • uporaba dveh certificiranih IT centrov na različnih geografskih lokacijah, kar preprečuje prekinitev storitev z zrcaljenjem (tj. z ohranjanjem redundantnih podatkov),
  • tehnični varnostni ukrepi v obliki sistemov zgodnjega opozarjanja za zaščito pred motnjami zaradi požara/vročine, vode ali pregrevanja in dodatno neprekinjeno napajanje,
  • ukrepi za zaščito pred izgubo električne energije in tokovno preobremenitvijo, npr. sistemi neprekinjenega napajanja (UPS)
  • načrtovano izvajanje varnostnih kopij podatkov in dodatna uporaba postopkov zrcaljenja,
  • večplastna arhitektura protivirusnega programa/zaščitnega zidu,
  • vzpostavljen postopek za centralno naročanje strojne in programske opreme,
  • sposobnost pravočasne obnovitve/vzpostavitve (člen 32(1)(c) GDPR) prek koncepta globalnega varnostnega kopiranja, 
  • upravljanje IT v skladu s standardom Cobit
  • redne posodobitve vseh sistemov v uporabi, kjer je to primerno,
  • vzpostavljeni protokoli za nujne ukrepe in obnovitev podatkov.


4    Nadzor/ukrepi na nivoju zaposlenih 

  • imenovanje pooblaščene osebe za varstvo podatkov (DPO - Data Protection Officer) na nivoju Konica Minolta Europe skupine,
    • Dr. Frederike Rehker, dataprotection@konicaminolta.eu,
  • imenovanje kontaktne osebe za varstvo podatkov (DPCM - Data Protection Coordination Manager) na lokalnem nivoju,
    • Matjaž Babnik, gdpr@konicaminolta.si,
  • sporazumi o ravni storitev z zunanjimi ponudniki storitve in njihovo sodelovanje v skladu z GDPR,
  • navodila zaposlenim pri obdelavi osebnih podatkov in ukrepi,
    • interno izobraževanje o varstvu osebnih podatkov po GDPR,
    • certificirano izobraževanje na nivoju skupine Konica Minolta Europe o varstvu osebnih podatkov po GDPR,
    • podpis izjave "Dolžnost varovanja podatkov po GDPR",
  • obvezna skladnost zaposlenih v zvezi s tajnostjo podatkov v skladu z zakonodajo Republike Slovenije s področja varstva podatkov in GDPR, 
  • tehnično varovanje z ukrepi za nadzor dostopa, ločevanja in vnosa.


5    Nadzor/ukrepi na nivoju  organizacije

  • vzpostavljeni so stalni postopki za preverjanje in po potrebi prilagajanje ukrepov za varstvo podatkov,
  • pisno določena uredba za kopije podatkov,
  • vzpostavljeni postopki za obravnavo primerov varstva podatkov,
  • zaposleni obdelujejo podatke le po dokumentiranem navodilu vodstva ali nadrejenega,
  • obvezne smernice podjetja o ravnanju z osebnimi podatki in uporabi IT sistemov,
  • ustrezno usposabljanje zaposlenih,
  • upravljanje in odzivanje na incidente.