Tehniliste ja korralduslike meetmete kirjeldus

EESMÄRK 

  • Käesolevas dokumendis kirjeldatakse tehnilisi ja korralduslikke meetmeid, mille volitatud töötleja on esitanud ning mida ta kohustub isikuandmete töötlemisel järgima. 
  • Esitatud meetmete loetelu ei ole ammendav ning volitatud töötleja kohustub tagama, et tehnilised ja korralduslikud meetmed on alati kooskõlas isikuandmete kaitset käsitlevate kohaldatavate õigusaktidega, nt riigisiseste õigusaktidega või ELi isikuandmete määrusega.
     

JUURDEPÄÄSUKONTROLL (NÕUTAVAD ON FÜÜSILISED TURVAMEETMED) 

Millised tehnilised ja korralduslikud meetmed on kehtestatud, et kontrollida füüsilist juurdepääsu volitatud töötleja ruumidele ning tuvastada volitatud isikud? 

  • Füüsiline ligipääs ettevõtte ruumidesse on tagatud personaalsete uksekaartidega (elektrooniline kaardisüsteem), volitamata isikutel ligipääs puudub. 
  • Hoone ja ettevõtte ruumid omavad keskset haldussüsteemi (tuletõrje, signalisatsioon jms) ja kehtivat turvafirma lepingut, kes reageerib võimalike sissetungide puhul.
  • Ettevõtte serveriruum omab 4-tasemelist turvasüsteemi (24/7 videovalve, kontrollitud ligipääs, elektrooniline kaardisüsteem jt turvamehhanismid).
     

KASUTUSÕIGUSTE KONTROLL (TULEB TAKISTADA VOLITAMATA ISIKUTE JUURDEPÄÄSU ANDMETÖÖTLUSSÜSTEEMIDELE) 

Millised meetmed on kehtestatud seoses kasutajate tuvastamise ja autentimisega tehniliselt (salasõnaga kaitsmine) ja korralduslikult (kasutaja põhikirje, user master record)? 

  • Keskne autentimis- ja autoriseerimislahendus (Active Directory).
  • Keskne paroolipoliitika (pikkus, keerukus, rotatsioon jne.) ja parooliga autentimine lõppseadmete ja infosüsteemide kasutamisel.
  • Salasõnaga kaitstud ekraanisäästja.
  • Pilveteenustel on kasutusel mitmikautentimine (ingl. Multi-factor authentication - MFA).
  • Andmeketaste krüpteerimine lõppseadmetel.
     

JUURDEPÄÄSUKONTROLL (ANDMETÖÖTLUSSÜSTEEMIDES TULEB TAKISTADA TEGEVUST, MIS ÜLETAB ANTUD VOLITUSI) 

Kas volituste andmise põhimõtted ja juurdepääsuõigused on nõuetega kohandatud? Kuidas on tagatud jälgimine ja logimine? 

  • Turvagruppide (rolli)põhine juurdepääsukontroll andmetele ja süsteemidele.
  • Keskne turvagruppide haldus.
  • Regulaarne turvagruppide ja juurdepääsuõiguste ajakohasuse kontroll.
  • Sisemistele süsteemidele ligipääs üle turvalise VPN ühenduse.
  • Autentimistegevuste ja andmetoimingute logimine.
     

AVALIKUSTAMISE KONTROLL (ISIKUANDMETE EDASTAMISE KÕIK ASPEKTID: ELEKTROONILINE EDASTAMINE, ANDMETE TRANSPORT, EDASTAMISE KONTROLL) 

Millised turvameetmed on kehtestatud transpordiks, ülekandmiseks, edastamiseks ja andmekandjatele salvestamiseks (käsitsi või elektrooniliselt), samuti järgnevaks kontrolliks? 

  • Dokumentide allkirjastamine digiallkirjaga.
  • Sisemised süsteemidevahelised ühendused loodud üle turvalise VPN ühenduse.
  • Konfidentsiaalsete dokumentide edastamine krüpteeritud turvakonteineris (*.ddoc).
  • Andmeketaste krüpteerimine lõppseadmetel.
  • Andmete jagamisel lingi või e-mailiteenuse kaudu on ühendus krüpteeritud.
  • Autentimistegevuste ja andmetoimingute logimine.
     

SISENDI KONTROLL (JÄLGITAVUS, ANDMETE HALDAMISE JA SÄILITAMISE DOKUMENTEERIMINE) 

Millised meetmed on kehtestatud järgnevaks kontrolliks, kas ja kelle poolt on andmed sisestatud või kõrvaldatud (kustutatud) või neid muudetud? 

  • Autentimistegevuste ja failitoimingute logimine (lisamine, muutmine, kustutamine, edastamine, allalaadimine, üleslaadimine).
     

JUHISTE KONTROLL (TAGATAKSE, ET LEPINGUANDMETE TÖÖTLEMINE VASTAB JUHISTELE) 

Millised meetmed on kehtestatud, et eristada vastutava töötleja ja volitatud töötleja pädevust? 

  • Lepingute koostamisel kaasatakse vajadusel andmekaitse ekspert.
  • Lepinguandmed kajastatakse Isikuandmete Töötlustoimingute Registris (IATR).
  • Kõik töölepingud sisaldavad konfidentsiaalsuse hoidmise ja isikuandmete töötlemise põhimõtete punkte.
  • Regulaarselt kontrollitakse IATR vastavust ja ajakohasust, vajadusel viiakse sisse korrigeerivaid tegevusi.
     

KÄTTESAADAVUSE KONTROLL (KAS ANDMED ON KAITSTUD JUHUSLIKU HÄVIMISE VÕI KAOTSIMINEKU EEST?) 

Millised meetmed on kehtestatud andmekaitseks (füüsiliselt/loogiliselt)? 

  • Kaasaegne tulemüür (Next Generation Firewall).
  • Võrguründe avastus- ja tõkestussüsteem (IDS ja IPS).
  • Keskne viirusekaitse ja turvatarkvara koos pideva seirega.
  • Kõikidele turvanõuetele vastav füüsiline serveriruum (Tier II tase).
  • Andmete varundus, varundusplaan, varunduse toimivuse regulaarne testimine, varunduse seire.
  • Serverite ja andmemassiivides on kasutusel RAID süsteemid (RAID 6, RAID 10).
  • UPS seadmed serveriruumi seadmetel.
  • Dubleeritud andmesideühendus serveriruumis.
  • Automaatne tulekustutussüsteem serveriruumis.
     
Kliendigrupp: 

Isikuandmete töötlemine