Back to the top

Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka

Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka

Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka (angl. mobile and teleworking policy)organizacijos vidaus dokumentas, kurio nuostatomis siekiama apsaugoti duomenis esančius įrenginiuose. Mobiliaisiais ir nešiojamais įrenginiais dažniausia laikoma – mobilusis telefonas, nešiojamas kompiuteris, planšetinis kompiuteris, išmanusis telefonas, kiti elektroniniai prietaisai, kuriuose galimas duomenų laikymas[1]. Šie įrenginiai patenka į didesnę rizikos grupę ir jiems reikalinga papildoma apsauga. Taip yra, nes šie įrenginiai yra dažniausiai pametami, gali būti pavogti ar paveikiami iš vidaus, pavyzdžiui, virusų, trojanų ar kitų kenkėjiškų programų.

Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka siekiama sumažinti grėsmę susijusią su mobiliųjų telefonų ir kitų įrenginių naudojimu[2]. Pagrindinė grėsmė, kurios siekiama išvengti yra įrenginio praradimas, o iš to išplaukianti kita rizika – duomenų praradimas. Bendras šios tvarkos tikslas– apsaugoti asmens duomenų vientisumą ir konfidencialumą. Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka yra organizacijos informacinės saugos sistemos dalis.

„Mobiliųjų, nešiojamųjų įrenginių administravimo procedūros privalo būti nustatytos ir dokumentuotos, aiškiai aprašant tinkamą tokių įrenginių naudojimą”.

Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams (2020 m.) (3 versija, 2020-06-18)

Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarkos turinys yra įvairus ir priklauso nuo bendrovės  pobūdžio. Dažniausia Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka numatomos pavienės taisyklės, kurių naudotojas privalo laikytis. Šios yra populiariausios[3]:

  • Reikalavimai specialioms apsaugos priemonėms – telefono užtraktas, telefono užsiblokavimas tam tikrą kiekį kartų nesuvedus slaptažodžio, duomenų šifravimas, įrenginiuose įdiegti antivirusines programas, jeigu yra tokia galimybė;
  • Prieigos taisyklės – prieiga prie bendrovės informacinių sistemų nuotoliniu būdu galima tik autentifikavus naudotoją;
  • Tokių įrenginių bendrosios naudojimo taisyklės, pavyzdžiui, įrenginiai, kuriuose yra ypač svarbi informacija, neturėtų būti paliekami neprižiūrimi, taip pat turi būti laikomi krepšiuose su specialiais užraktais arba ypač svarbūs duomenys gali būti prieinami tik esant bendrovės patalpose;
  • Tokių įrenginių naudojimo viešoje vietoje taisyklės, pavyzdžiui, viešumoje naudojantis įrenginiais tai daryti rūpestingai, neatidarinėti dokumentų su konfidencialia informacija;
  • Mobiliųjų, nešiojamųjų įrenginių valdymo funkcijos ir atsakomybės.

Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) 2018-10-31 išleistose gairėse dėl „Tinkamų organizacinių ir techninių duomenų saugumo priemonių asmens duomenų valdytojams ir tvarkytojams“ nurodomi reikalavimai aiškiai aprašyti mobiliųjų ir nešiojamų įrenginių naudojimo taisykles, taip pat registruoti ir autentifikuoti įrenginius, nustatyti adekvatų prieigos kontrolės lygį. Praktikoje labiausiai detalizuojama dalis – įrenginių vidinių užtraktų nustatymas ir taisyklės kaip elgtis mobiliesiems įrenginiams esant viešumoje, kadangi duomenų nutekėjimo grėsmė šiuo atveju yra didžiausia[4].

Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) 2018-10-31 išleistose gairėse dėl „Tinkamų organizacinių ir techninių duomenų saugumo priemonių asmens duomenų valdytojams ir tvarkytojams“ nurodoma, jog mobiliųjų ir nešiojamųjų įrenginių administravimo taisyklės privalo būti dokumentuotos, kaip viena iš organizacinių duomenų saugumo priemonių. Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams (2020 m.) (3 versija, 2020-06-18) taip pat nurodo, kad „Mobiliųjų, nešiojamųjų įrenginių administravimo procedūros privalo būti nustatytos ir dokumentuotos, aiškiai aprašant tinkamą tokių įrenginių naudojimą.”

„Ypač dirbant nuotoliniu būdu Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka yra itin svarbus organizacijos veiklos organizavimo dokumentas.

Duomenų apsaugos pareigūnas Allaw

Netinkamai įgyvendinamos organizacinės ir (ar) techninės duomenų apsaugos priemonės (BDAR 32 str. 1 d. b punktas) gali lemti bendrovės atsakomybę pagal BDAR 83 str. 4 d. ir užtraukti administracinę baudą iki 10 000 000 Eur arba iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, arba valdžios institucijoms ar įstaigoms pagal LR asmens duomenų teisinės apsaugos įstatymo 33 str. administracinę baudą iki 0,5% valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę kaip 30 000 Eur.

Norint tinkamai pasirengti šį dokumentą, verta paprašyti, kad į artimiausius Jūsų įmonės BDAR mokymus būtų įtraukta tema, susijusi su asmens duomenų apsauga, dirbant nuotoliniu būdu.

[1] Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarkos (pavyzdys 4)

[2] Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarkos (pavyzdys 1)

[3] Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarkos (pavyzdys 1)

[4] Mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarkos (pavyzdys 2)

Susiję straipsniai:
Kategorijos: Asmens duomenų apsauga, Informacinės technologijos, Personalas, Taisyklės, instrukcijos, tvarkos
© UAB "Juridicon". Teisė verslui® yra registruotas prekės ženklas