Öryggi og aðgengi að traustþjónustu

Mikilvægt er að framkvæma viðeigandi ráðstafanir til að tryggja öryggi traustþjónustu. Í þessu felst að greina þarf öryggisáhættur og aðgerðir til þess að draga úr þeim og þurfa fullgildir traustþjónustuveitendur að grípa til viðeigandi öryggisráðstafana
Í 19. gr. eIDAS er fjallað nánar um þær öryggiskröfur sem gilda um traustþjónustuveitendur og þessar ráðstafanir. Samkvæmt ákvæðinu þurfa traustþjónustuveitendur m.a. að:
    • framkvæma reglulegt áhættumat á öryggi traustþjónustunnar
    • greina og flokka öryggisáhættu og að öryggisstigið sé í réttu hlutfalli við áhættustig og þann
      skaða sem orðið getur
    • tryggja að hafa viðeigandi tæknilegar öryggis- og skipulagsráðstafanir til að draga úr áhættu,
      þ.m.t öfluga stefnu og verklag og vel þjálfað starfsfólk
     • bregðast við öllum öryggisatvikum sem eiga sér stað hratt og örugglega til að koma í veg fyrir og
      lágmarka áhrif þeirra.
 
En hvað þýðir viðeigandi ráðstöfun?
Með því er átt við að ráðstöfunin sé í réttu hlutfalli við áhættuna sem hún á að vernda gegn. Með því er ekki átt við að hafa þurfi allra nýjustu öryggistæknina hverju sinni til að vernda traustþjónustuna en reglulega ætti að skoða og yfirfara öryggisráðstafanir í samræmi við tækniþróun. Það er engin ein rétt leið sem hentar öllum í upplýsingatækni og öryggi en gagnlegt getur verið að horfa til Net- og upplýsingaöryggisstofnunar Evrópusambandsins (ENISA) sem hefur birt nákvæmar leiðbeiningar um öryggiskröfur, áhættumat og hvernig má draga úr áhættu fyrir traustþjónustuaðila.
Allir traustþjónustuveitendur þurfa að grípa til viðeigandi öryggisráðstafana og enn frekari kröfur eru gerðar til fullgildra traustþjónustuveitenda sem þurfa að uppfylla nákvæmari lágmarkskröfur sem mælt er fyrir um í 24. gr. eIDAS. Í stuttu máli eru það eftirfarandi ráðstafanir:
    • Ráða yfir starfsfólki með nauðsynlega þekkingu, reynslu og hæfi
    • Tryggja að starfsfólk hafi fengið nægjanlega þjálfun í í öryggis- og gagnavernd
    • Tryggja að kerfin hafi viðeigandi aðgangsstýringar til þess að vernda gögn fyrir óviðkomandi
       aðgangi eða breytingum og tryggja að óheimilar breytingar séu greinanlegar
    • Innleiða innri verkferla og verklagsreglur sem styðja að öryggi traustþjónustunnar og
      vernda gegn fölsun og þjófnaði
    • Tryggja að persónuupplýsingar séu unnar í samræmi við löggjöf um gagnavernd

TIL BAKA