Back to the top

Veiklos tęstinumo procedūra (planas)

Veiklos tęstinumo procedūra (planas)

Veiklos tęstinumo procedūra (planas) (angl. business continuity plan) – organizacijos vidaus dokumentas, nustatantis kokių veiksmų reikia imtis, ištikus tam tikram incidentui ar asmens duomenų saugos pažeidimui. Techninis incidentas čia suprantamas kaip IT sistemų gedimas, kuris gali būti nulemtas vidinių (IT sistemos klaidos, netinkamas sistemų naudojimas ir pan.) arba išorinių (stichinės nelaimės, ugnis ir pan.) priežasčių. Covid-19 parodė, kaip svarbu yra tokį dokumentą turėti organizacijoje.

Esminis veiklos tęstinumo procedūros (plano) tikslas yra užtikrinti reikiamą asmens duomenų tvarkymo IT sistemomis tęstinumą ir prieinamumą. Veiklos tęstinumo procedūra siekiama preliminariai nustatyti tipinį reagavimą į nenumatytą situaciją ir taip išvengti neigiamų padarinių[1]. Šiuo dokumentu įgyvendinamas Bendrojo duomenų apsaugos reglamento (toliau – BDAR) 32 str. 1 d. c) punktas, kuris įpareigoja duomenų valdytoją ir tvarkytoją „laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju“. Veiklos tęstinumo procedūra yra organizacijos informacinės saugos sistemos dalis, papildanti organizacijos saugumo politiką[2]. Veiklos tęstinumo plano brandos vertinimas tampa vis aktualesnis [4].

Ar norite pasitikrinti, ar viską esate atlikę, kad užtikrintumėte savo verslo veiklos tęstinumą?

Veiklos tęstinumo procedūra (planas), kaip dokumentas apima[3]:

  • grėsmių, kurios gali sukelti informacinių sistemų sutrikimus, aprašymas;
  • grėsmių vertinimas – vertinama kiekvienos galimos grėsmės tikimybė, stiprumas ir galimas poveikis;
  • grėsmių prevencija – kokius veiksmus periodiškai reikia atlikti, siekiant išvengti nenumatytų incidentų;
  • asmenys, kurie atsakingi už tam tikrą veiksmų vykdymą incidento atveju – pasiskirstymas rolėmis. Dažnai nustatomos tam tikros asmenų grupės, kurios kuruoja skirtingas sritis (pvz. viso incidento valdymas ir ryšių palaikymas, informacinių sistemų atstatymo grupė);
  • veiksmų planas įvykus incidentui – pirmiausia kiekvienam iš asmenų ir (ar) grupių incidento metu nustatomos jų funkcijos, o be to gali būti nurodomi konkretūs žingsniai;
  • tęstinumo procedūros išbandymas – nustatomas simuliacijos atlikimas, kuomet inscenizuojamas informacinių sistemų incidentas ir atliekamos dokumente nustatytos procedūros;

BDAR ar LR asmens duomenų teisinės apsaugos įstatymas tiesioginiai nenumato pareigos turėti veiklos tęstinumo procedūras (planą) nustatantį teisės aktą, tačiau 2018-10-31 išleistose Valstybinės duomenų apsaugos inspekcijos gairėse dėl „Tinkamų organizacinių ir techninių duomenų saugumo priemonių asmens duomenų valdytojams ir tvarkytojams“ tokia procedūra (planas) yra priskiriama prie organizacinių duomenų saugumo priemonių K Šiuo dokumentu sudaromos sąlygos įgyvendinti BDAR numatytą pareigą duomenų tvarkytojams ir valdytojams techninio incidento atveju laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis (BDAR 32 str. 1 d. c) punktas).

Nesilaikydami šių reikalavimų duomenų tvarkytojai ar valdytojai pažeidžia BDAR 32 str. numatytą pareigą įgyvendinti tinkamas organizacines ir technines priemones duomenų saugumui užtikrinti. Dėl to šios pareigos nevykdančiai bendrovei gali kilti atsakomybė pagal BDAR 83 str. 4 d. ir užtraukti administracinę baudą iki 10 000 000 Eur arba iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, arba valdžios institucijoms ar įstaigoms pagal LR asmens duomenų teisinės apsaugos įstatymo 33 str. administracinę baudą iki 0,5% valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę kaip 30 000 Eur.

Kitose verslo srityse veiklos tęstinumo planas yra privalomas ir tai imperatyviai nustato įstatymas. Pavyzdžiui, LR sutelktinio finansavimo įstatymas numato, jog sutelktinio finansavimo operatoriai privalo turėti pasitvirtinę veiklos tęstinumo planą, kitokiu atveju veiklos vykdymas būtų negalimas. Kitas pavyzdys – mokėjimo įstaiga negaus licencijos, jeigu nebus parengusi veiklos tęstinumo procesų aprašymo. Daugiau informacijos apie teisės aktus, reikalaujančius veiklos tęstinumo įrodymų rašoma ALLAW publikacijoje „Veiklos tęstinumo plano brandos vertinimas tampa vis aktualesnis„.

[1] Veiklos tęstinumo aprašas (pavyzdys 3)

[2] Valstybinė duomenų apsaugos inspekcija. TINKAMŲ ORGANIZACINIŲ IR TECHNINIŲ DUOMENŲ SAUGUMO PRIEMONIŲ ĮGYVENDINIMO GAIRĖS ASMENS DUOMENŲ VALDYTOJAMS IR TVARKYTOJAMS. 2018-10-31. https://www.ada.lt/go.php/lit/20-minimaliu-reikalavimu-kurie-pades-apsaugoti-asmens-duomenis-kiekvienoje-organizacijoje-, 15 punktas.

[3] Veiklos tęstinumo aprašas (pavyzdys 1)

[4] Veiklos tęstinumo plano brandos vertinimas tampa vis aktualesnis

Susiję straipsniai:
Kategorijos: Asmens duomenų apsauga, Informacinės technologijos, Personalas, Taisyklės, instrukcijos, tvarkos
© UAB "Juridicon". Teisė verslui® yra registruotas prekės ženklas