Duomenų maskavimo ir pseudonimizavimo politika – SVV

P16S Duomenų maskavimo ir pseudonimizavimo politika apibrėžia tvirtus, vykdytinus reikalavimus, skirtus apsaugoti jautrius, asmens ir konfidencialius duomenis mažose ir vidutinėse įmonėse (SVV). Pagrindinis tikslas – užtikrinti, kad tikri duomenys niekada nebūtų atskleisti neprodukciniuose, analitikos ar trečiųjų šalių paslaugų teikėjų scenarijuose, nebent tai yra absoliučiai būtina. Įpareigodama taikyti duomenų maskavimo ir pseudonimizavimo metodus visais atvejais, kai tikrų identifikatorių nereikia, ši politika mažina atskleidimo, netinkamo naudojimo ar atsitiktinio duomenų saugumo pažeidimo riziką. Tai SVV politika, ką rodo dokumento kodas (P16S) ir aiškus Generalinio direktoriaus (GD) paskyrimas politikos savininku ir vykdytoju. Politika kruopščiai pritaikyta organizacijoms be Saugumo operacijų centro (SOC) ar Vyriausiojo informacijos saugumo pareigūno (CISO). Vietoje to nustatomi aiškūs vaidmenys Generaliniam direktoriui, IT pagalbos paslaugų teikėjams (vidiniams ar išoriniams), padalinių vadovams ir visam personalui. GD atsako už politikos nuosavybę, atitikties priežiūrą visuose padaliniuose ir trečiosiose šalyse, išimčių ir transformavimo žurnalų peržiūrą bei, prireikus, reagavimo į incidentus koordinavimą. IT pagalba atsakinga už patvirtintų įrankių parinkimą, transformacijų dokumentavimą, žurnalų palaikymą ir užtikrinimą, kad maskavimas būtų nuosekliai taikomas prieš bet kokį duomenų perdavimą ar analizę už gamybos aplinkos ribų. Apimdama tiek struktūrizuotus duomenis, tiek nestruktūruotus duomenis, politika taikoma bet kokiems duomenims, klasifikuojamiems kaip asmens, konfidencialūs ar jautrūs, nepriklausomai nuo saugojimo vietos: vietinės, debesijos ar darbuotojų įrenginių. Aprėptis apima visus duomenų maskavimo, tokenizavimo ar pseudonimizavimo įrankius ir metodus – atvirojo kodo, komercinius ar nuosavybinius. Tipiniai scenarijai: testavimo ar kūrimo duomenų rinkinių parengimas, duomenų eksportas analitikai, tiekėjų prieiga prie operacinių sistemų ir duomenų apsauga bei minimizavimas rizikos mažinimui. Griežta valdysena užtikrinama per atsekamus, audituojamus procesus. Gali būti naudojami tik IT patvirtinti transformavimo metodai; visa veikla turi būti registruojama audito žurnale ir peržiūrima kas ketvirtį. Politika formalizuoja maskavimą (su fiktyviais, atsitiktiniais ar užmaskuotais duomenimis), kai reikalingos tik testinės reikšmės, ir pseudonimizavimą (su saugiai laikomais ir registruojamais susiejimo raktais), kai būtinas duomenų susiejimas neatskleidžiant tapatybių. Kai reikalingas suderinamumas, privalomi formato išsaugojimo metodai, o tokenizavimas vykdomas su centralizuotu registravimu audito žurnale ir griežtomis tokenų grįžtamumo kontrolėmis. Periodiniai rizikos vertinimai, kuriuos atlieka GD, ir struktūruotas išimčių valdymo procesas su verslo pagrindimu, rizikos peržiūra ir galiojimo pabaiga suteikia lankstumo neaukojant saugumo. Politika griežtai draudžia naudoti tikrus duomenis žemesnio saugumo aplinkose, rankinį ar nenuoseklų maskavimą, neetišką pakartotinį identifikavimą ar nesankcionuotą prieigą prie susiejimo raktų. Atitikties, stebėsenos ir peržiūros reikalavimai yra kertiniai. Politika numato ketvirtines ir metines peržiūras, išsamius audito ir ataskaitų teikimo kanalus bei aiškias sankcijas už pažeidimus, suderindama veiklą su ISO/IEC 27001:2022, 27002:2022, GDPR, NIS2, DORA, COBIT 2019 ir NIST standartais. Toks požiūris užtikrina ne tik atitiktį reglamentavimo reikalavimams ir paramą sertifikavimui, bet ir praktišką, vykdytiną duomenų apsaugą SVV kontekste.