Pētījums: 54% iedzīvotāju trūkst zināšanas par datu drošību (6)
08:34Digitālā aģente: jo labāk cilvēki sapratīs e-pakalpojumu priekšrocības, jo vairāk tos izmantos
22:40Divi ceļi, kā uzņēmumi var pieslēgties e-adresei
21:2152% Latvijas iedzīvotāju ir gatavi lietot e-adresi
16:06Pirmais Baltijā mobilais kases aparāts norēķiniem ar skaidru naudu un maksājumu kartēm
Dažādās valstīs datu konfidencialitātes prasības atšķiras. Tomēr neatkarīgi no atrašanās vietas uzņēmumiem ir tiesisks pienākums aizsargāt tādus datus kā personu identificējoša informācija (Personally Identifiable Information — PII), personu veselības informācija (Private Health Information — PHI), personu un uzņēmumu nodokļu dati, finanšu informācija un telekomunikācijas informācija.
“Datu konfidencialitāte nav vienīgi datu drošība,” saka Baltimax produktu vadītājs Deividas Švėgžda. “Informācijas drošību var veicināt, izmantojot noteiktu programmatūru un aparatūru, taču, lai nodrošinātu datu konfidencialitāti, jāveic papildu darbības — jāorganizē process un jāievieš noteikti pārvaldības līdzekļi.”
Ka apgalvo Deividas Švėgžda, informācijas drošības un konfidencialitātes problēmas parasti var novērst ar autentifikācijas un pārvaldības līdzekļu palīdzību. Tas nozīmē, ka uzņēmuma datiem drīkst piekļūt tikai pilnvarotas personas. Turklāt ir jāsaprot, ka papildu līdzekļi, piemēram, šifrēšana, nodrošina informācijas drošību, taču negarantē konfidencialitāti. Tāpēc, lai efektīvi novērstu problēmas saistībā ar datu konfidencialitāti, ir jānosaka šifrēšanas atslēgas glabāšanas vieta un veids un jānorāda izredzētās personas, kuras piekļūs tai.
“Ņemot vērā, ka mākonī tiek pārvietots arvien vairāk datu, uzņēmumi nosaka politiku un procedūras, lai nodrošinātu informācijas drošību un konfidencialitāti,” saka Deividas Švėgžda. Atbildes uz vienpadsmit pamata jautājumiem palīdzēs noskaidrot, vai uzņēmuma nodrošinātā datu konfidencialitāte ir pietiekama.
1. Datu atrašanās vieta: vai IT administratoram ir iespēja noteikt datu glabāšanas reģionus?
2. Vietējie administratori: vai IT administratorus var nošķirt un savstarpēji neatkarīgi piešķirt tiem iepriekš noteiktās piekļuves tiesības?
3. Piegādātāju uzrādīšana: vai piegādātājiem ir liegta piekļuve glabātajiem datiem vai metadatiem?
4. Savrupu lietotāju konfidencialitāte: vai galalietotāji var pārvaldīt konfidencialitātes iestatījumus un liegt administratoriem pārraudzīt datus, metadatus vai auditācijas pierakstus?
5. Datu nošķiršana: vai klēpjdatoros un viedierīcēs esošie dati ir iedalīti konteineros?
6. Darbinieki: vai politikā ir noteikti datu dublēšanai un apkopošanai piemērojami izņēmuma iestatījumi, kas ierobežo administratoru iespēju pārraudzīt auditācijas pierakstus?
7. Biroja darbinieku dati: vai politikā, izmantojot Active Directory, ir noteikti dažādu klašu (ierēdņi, juristi utt.) grupu iestatījumi, kas ierobežo datu redzamību?
8. Datu auditēšana: vai datos var veikt pilno auditu, lai pārraudzītu PHI un PII atbilstību?
9. Uzskaite un pārraudzība: vai pārraudzība ir īstenojama proaktīvi un pamatota uz datu klasifikācijām?
10. Atbilstība: vai ir piešķirtas konsultantu lomas atbilstības un juridiskos jautājumos?
11. Izmeklējumi un elektronisko datu noteikšana: vai ir pieejama piekļuve visiem datiem un auditācijas pierakstiem, kas noteikti unikālajās konfidencialitātes prasībās, kuras ir jāievēro, lai nodrošinātu atbilstību un īstenotu izmeklēšanu un aizturēšanu?
Ja uz vairākiem jautājumiem atbildējāt “Nē” vai “Nezinu”, ir pienācis laiks pievērsties datu konfidencialitātes uzlabošanai.