/
/
/

Tehnični in organizacijski ukrepi

[Technical and organisational measures (TOMs)]

Verzija: 3.0
Datum: 16.6. 2025

1 Zaupnost

1.1 Nadzor fizičnega dostopa

V nadaljevanju so opisani ukrepi, s katerimi se nepooblaščenim osebam prepreči dostop do sistemov za obdelavo osebnih podatkov:

  • Opredelitev oseb, pooblaščenih za dostop, s pomočjo organizacijske specifikacije.
  • Dokumentiranje dodelitve in odvzema pravic za dostop.
  • Redno preverjanje pravic za dostop.
  • Nadzor dostopa s kartico za dostop.
  • Nadzor dostopa s personaliziranim žetonom in sistem ločevanja.
  • Dokumentiranje prisotnosti v strežniških prostorih.
  • Pravila dostopa za zunanje osebe.
  • Zaprt prostor, v katerega imajo dostop samo pooblaščene osebe.
  • Video nadzor vhoda v poslovne prostore in notranjosti stavbe.
1.2 Nadzor dostopa do sistemov

V nadaljevanju so opisani naslednji ukrepi za preprečevanje vdora nepooblaščenih oseb v sisteme za obdelavo podatkov:

  • Dostop do sistemov je mogoč po avtentifikaciji z individualnim uporabniškim imenom in geslom.
  • Uporaba kompleksnih gesel z najmanj dvanajstimi znaki, ki izpolnjujejo vsaj tri od naslednjih meril: velika črka, mala črka, številka, posebni znak.
  • Nova gesla se preverijo glede na trenutni „Microsoft Banned Password List“ seznam, da se preprečijo napadi s slovarjem in izpostavljenimi gesli.
  • Prisilna sprememba gesla po določenem časovnem obdobju ni več v veljavi, kot trenutno priporočata ameriški NIST in nemški BSI, inštituta za informacijsko varnost.
  • Prepoved razkritja gesla.
  • Evidentiranje dodeljenih dostopnih pravic.
  • Omejitev administrativnega dostopa na minimum.
  • Zaščita sistemov za obdelavo podatkov pred nepooblaščenim dostopom s pomočjo ustreznih požarnih zidov.
  • Samodejno zaklepanje sistemov po določenem času neuporabe
1.3 Nadzor dostopa do podatkov

Nepooblaščene dejavnosti v sistemih za obdelavo podatkov, ki presegajo obseg dodeljenih pravic, so prepovedane s pomočjo pravic dostopa in koncepta pooblastil, ki je zasnovan na podlagi potreb, ter s pomočjo njihovega pregleda:

  • Omejitev pravic dostopa do področij aktivnosti/dejavnosti.
  • Ločitev dovoljenj za pravice (organizacijsko) od dodeljevanja pravic (tehnično).
  • Evidentiranje sprememb pravic.
  • Pregledi poskusov nepooblaščenega dostopa (IDS/IPS).
1.4 Nadzor ločevanja
  • Določitev različnih uporabniških profilov (stopnje administratorja/uporabnika).
  • Posebne pravice dostopa, ki ustrezajo zahtevam za dostop do podatkov.
  • Ločitev produkcijskega in testnega okolja s tehničnimi ukrepi (virtualni strežniki, ločeni sistemi, segmentacija IP-naslovov).

2 Integriteta

2.1 Nadzor prenosa
  • Šifriranje prenosa podatkov, zlasti pri prenosu prek javnih omrežij (npr. SSL, TLS).
  • Zaščita podatkov v skladu z zakonodajo o varstvu podatkov in/ali uničenje podatkov, naprav za shranjevanje podatkov in tiskanih kopij v skladu s konceptom nivoja zaščite.
  • Šifriranje naprav za shranjevanje podatkov.
  • Možnost daljinskega brisanja za mobilne naprave.
2.2 Nadzor vnosa
  • Dostopne pravice se redno preverjajo in posodabljajo.
  • Z beleženjem obdelave podatkov je mogoče naknadno preveriti in ugotoviti, ali in kdo je vnesel, spremenil ali izbrisal osebne podatke (npr. dnevniki sprememb podatkov v centralnih ERP-sistemih).
  • Beleženje in shranjevanje ustreznih dejanj, izvedenih v sistemih, glede na potrebe (npr. dnevniške datoteke).
  • Edinstvena identifikacija in označevanje hrambe podatkov na vrnjenih multifunkcijskih tiskalnikih in IPP sistemih/napravah.

3 Razpoložljivost in zmogljivost: Nadzor razpoložljivosti in zmogljivosti za obnovitev

  • Uporaba dveh certificiranih IT centrov, ki sta med seboj oddaljena, s čimer se prepreči prekinitev storitev z zrcaljenjem (tj. z ohranjanjem redundantnih podatkov).
  • Tehnični varnostni ukrepi v obliki sistemov zgodnjega opozarjanja za zaščito pred motnjami, ki jih povzročajo požar/vročina, voda ali pregrevanje.
  • Ukrepi za zaščito pred izpadom električne energije in preobremenitvijo toka, npr. sistemi neprekinjenega napajanja (UPS).
  • Redno izvajanje varnostnih kopij podatkov in dodatna uporaba postopkov zrcaljenja.
  • Večplastna arhitektura protivirusne zaščite/požarnega zidu.
  • Uveljavljen proces centralnega nabavljanja strojne in programske opreme.
  • Zmožnost pravočasne obnovitve (člen 32(1)(c) GDPR) prek globalnega koncepta varnostnega kopiranja, povezanega s sistemom.
  • Upravljanje IT v skladu s Cobitom.
  • Redne posodobitve vseh sistemov v uporabi, kjer je to primerno.
  • Protokoli za nujne ukrepe in obnovitev podatkov.

4 Nadzor nalog/odredb

  • Imenovanje odgovorne osebe za varstvo podatkov.
  • Imenovanje kontaktne osebe za varstvo podatkov.
  • Sporazumi o nivoju storitev z zunanjimi ponudniki storitev in njihovo sodelovanje v skladu z GDPR.
  • Usposabljanje zaposlenih za delo z osebnimi podatki.
  • Obvezno spoštovanje tajnosti/zaupnosti podatkov s strani zaposlenih.
  • Tehnična zaščita z ukrepi za nadzor dostopa, ločevanja in vnosa podatkov.

5 Nadzor organizacije (preverjanje, vrednotenje in ocenjevanje)

  • Vzpostavljeni so neprekinjeni postopki za preverjanje in po potrebi prilagajanje ukrepov za varstvo podatkov.
  • Pisno določena ureditev za kopije podatkov.
  • Vzpostavljeni postopki za obravnavanje primerov varstva podatkov.
  • Obdelava s strani zaposlenih poteka le po dokumentiranih navodilih vodstva ali nadrejenih.
  • Obvezna navodila podjetja o obravnavanju osebnih podatkov in uporabi IT-sistemov.
  • Ustrezna usposabljanja zaposlenih.
  • Upravljanje odzivanja na incidente.