1 Tá proiseálaithe sonraí faoi réir na riachtanas céanna slándála agus atá rialaitheoirí sonraí.  Mar sin clúdaíonn tagairtí do 'rialaitheoirí sonraí' sa nóta treorach seo próiseáilithe sonraí freisin, mura léiríonn an comhthéacs a mhalairt.  

4. Rialú Rochtana
Tá dualgas ar rialaitheoir sonraí teorainn a chur le rochtain ar shonraí pearsanta "ar bhonn riachtanais". Ba cheart teorainn nó smacht rochtana níos mó a bheith i bhfeidhm ar shonraí níos mó íogair. Ní mór rialaitheoir sonraí a bheith ar an eolas maidir leis na húsáideoirí difriúla a bhfuil rochtain acu ar na córais/taifid agus a gcuid riachtanais. I measc na n-úsáideoirí tá:
- foireann ag leibhéil éagsúla;
- conarthóirí tríú páirtithe / próiseálaithe sonraí
- custaiméirí
- comhpháirtithe gnó

Ní mór riachtanais éagsúla na n-úsáideoirí seo a mheas agus a bpribhléidí rochtana ar shonraí pearsanta a bheith go hiomlán de réir na riachtanas seo.   Ba cheart an cineál rochtana ceadaithe d'úsáideoir ar leith a leagan síos agus athbhreithniú a dhéanamh air ar bhonn rialta. Níor cheart do chomhaltaí foirne ar leith ach rochtain a bheith acu ar shonraí a bhíonn ag teastáil uathu chun a gcuid dualgais a chomhlíonadh.  Tá nósanna imeachta faoi leith ar a dtugtar beartas "gluaiseoirí, fágóirí agus fanóirí" riachtanach i ngach eagraíocht le rochtain ar shonraí pearsanta chun rochtain roimhe seo a mhéadú nó a shrianadh i gcás go n-athraíonn ról úsáideora, úsáid teistiméireachtaí roinnte a chosc (iliomad daoine ag baint úsáide as ainmúsáideoir agus pasfhocal amháin) agus úsáid pasfhocail mhainneachtana a aimsiú.  Ní mór tacú leis seo trí athbhreithnithe rialta ar rochtain iarbhír chun a chinntiú go bhfuil rochtain údaraithe ar shonraí pearsanta dianriachtanach agus gach dualgas a chomhlíonadh.

Ba cheart aird ar leith a thabhairt ar imlonnú cuntais riarthóra TF le rochtain neamhshrianta ar shonraí pearsanta.  Ba cheart polasaithe a bheith i bhfeidhm maidir le seiceáil agus maoirseacht comhaltaí foirne a dtugadh na cuntais seo dóibh.  Ba cheart go mbeadh ainm úsáideora agus cuntais riarthóra ar leith ag comhalta foirne le freagrachtaí dá leithéid.

Ba cheart diansmacht a bheith i bhfeidhm ar an gcumas chun sonraí pearsanta a íoslódáil ó chórais na heagraíochta. Is féidir íoslódáíl den sórt sin a chosc trí mhodhanna teicniúla (tiomántáin mhíchumasaithe etc).  Tá cinneadh tógtha ag a lán eagraíochtaí rochtain ar phoirt USB a chosc tar éis na bunrioscaí a scrúdú bainteach le poirt mar sin a fhágáil oscailte trí mhainneachtain, do gach úsáideoir.

4.1  Fíordheimhniú Rochtana
Ba cheart d'úsáideoirí sainaithneoir uathúil (m.sh pasfhocal, pasnath, cárta cliste nó comhartha eile)² a bheith ag úsáideoirí chun rochtain ar shonraí pearsanta a cheadú.

Pasfhocail / Pasnathanna
Teaghrán carachtar is ea pasfhocal. Ba cheart go mbeadh ar a laghad dhá charachtar déag i bpasfhocal agus ceann nó dhó de gach ceann díobh seo a leanas a bheith iontu:
-  litreacha ( uaschás agus íoschás);
- siombail (mar shampla &, *, @,  €, $ etc);
- uimhreacha ( 0 -9 );
- poncaíocht (?, ", !)l

2Níl an liosta seo uileghabhálach.  Mar shampla, is féidir bithmhéadar (e.g. méarlorg, guth nó scanadh reitine) a úsáid mar aitheantóir uathúil.  Os rud é go mbíonn fadhbanna mórchúiseacha slándála sonraí agus príobháideachais ag baint le bithmhéadracht, áfach (féach treoir i leith bithmhéadrachta), ní cóir úsáid a bhaint astu ach amháin nuair nach mbíonn aon dul as. 

Ba cheart go mbeadh pasfhocail réasunta éasca don úsáideoir ach an-deacair do gach duine eile a thomhas.  D'fhéadfaí samplaí mar iad seo a leanas a chur san áireamh:

· M1_s0n, "The_Av1at0r"! (bunaithe ar 'My son, $the aviator"! le huimhreacha in ionad gutaí áirithe)
· Te@m5Rb@dp@55word5 (bunaithe ar 'Teams are bad passwords' le huimhreacha agus siombail in ionad litreacha áirithe)

Ná bain úsáid as na samplaí thuas mar pasfhocail iarbhír le do thoil!

Tá pasnathanna cosúil le pasfhocail ach is abairt iad nó sraith focal. Bá cheart go mbeadh fiche carachtar nó níos mó ann agus ba cheart go mbeadh siombail, uimhreacha agus comharthaí poncaíochta ann, mar shampla

· "Is Aoibhinn liom an ceoldráma, The sound of Music2!"
· Ilike2swim@thelocalswimingpool.

Ba cheart go ndéanfadh rialaitheoirí sonraí deimhin de go gcuirtear úsáideoiri ar an eolas go bhfuil a bpasfhocal / pasnath ainmnithe dóibh féin amháin, agus gan é a insint d'aon duine eile. Ba cheart do rialaitheoirí coimpléascacht sonraí agus fad pasfhocail a chur i bhfeidhm.  Níor cheart úsáid a bhaint as mainneachtana soláthraithe ag díoltóirí le haghaidh pasfhocail chórais agus paraiméadair slándála eile.   Ní mór do rialaitheoirí sonraí a chinntiú go dtuigeann eagraíochtaí comhpháirtíochta na srianta ar an rochtain seo ar an gcóras nó ar na sonraí.

Cárta cliste /comharthaí
Is gléasanna iad seo a sholáthraíonn fíordheimhniú trí chód a ghineadh a iontráltar nó ina bhfuil slis a fhíordheimhníonn leis an gcóras atá á rochtain.  Gineann an comhartha uimhir PIN atá bailí le haghaidh tréimhse ghearr ama. Baintear úsáid as seo i gcónasc le ainm úsáideora agus pasfhocal chun an t-úsáideoir a fhíordheimhniú.

5. Spárálaithe scáileán uathoibríocha
Tugann an chuid is mó de na córais am do spárálaithe scáileán gníomhú tar éis tréimhse neamhghníomhaíochta ar an ríomhaire, ag iarraidh pasfhocail chun rochtain a athbhunú.   Tá an glasghníomhachtú uathoibríoch seo úsáideach mar teastaíonn gníomh dearfach ón úsáideoir nuair a úsáidtear a mhalairt, sé sin glas a chur ar stáisiún oibre de láimh gach am nuair a fhágtar an ríomhaire gan freastal air.  Is cuma cén modh a úsáideann eagraíocht, ba cheart an glas a chur ar ríomhairí nuair nach mbítear ag freastal orthu.  Baineann sé sin ní hamháin le ríomhairí in áiteanna poiblí ach le gach ríomhaire.  Ní haon mhaith é córas rialaithe rochtana a bheith i bhfeidhm más féidir le aon chomhalta foirne rochtain a fháil ar ríomhairí a fhágtar gan freastal orthu.

6. Criptiúchán
Is córas é incriptiúchán chun eolas stóráilte ar ghléas a ionchódú agus agus féadfaidh sé sraith úsáideach  shlándála bhreise a chur i bhfeidhm.  Meastar gur beart slándála den riachtanas é i gcás go bhfuil sonraí pearsanta stóráilte ar ghléas iniompartha nó craolta thar líonra poiblí.  Cosúil le gach pasfhocal, tá an modh seo gan mhaith mura gcoimeádtar an eochair chun na sonraí a dhíchriptiú go slán sábháilte.  Ba cheart go gcomhlíonfadh an eochair caighdeáin choimpléascacha atá ag teastáil do phasfhocail faoi mhír 4.1 thuas.  ³

3 De bharr ráta tapa forbairt theicneolaíochta,  ní féidir a bheith forordaitheach faoi chaighdeán criptiúcháin a chinnteodh nach bhfuil rochtain ar shonraí ag daoine neamhúdaraithe.  Faoi láthair d'fhéadfadh criptiúchán 256 giotán ar dhiosca iomláin a bheith inghlactha mar chaighdeán.  Aithnímid go bhfuil an margadh ag tabhairt roghanna eile ar aghaidh chun sonraí a inchriptiú go daingean sa tslí nach mbeadh incriptiúchán diosca iomláin ag teastáil agus sa chás go gcuireann an t-úsáideoir i bhfeidhm  i gceart é féadfaidh siad seo an toradh slándála céanna a bhaint amach.

7. Bogearraí frithvíreas
Ní hamháin go mbíonn bogearraí frithvíreas ag teastáil chun infhabhtú a chosc ón idirlíon (ríomhphost nó gréasán foinsithe) ach chun víreas a chosc a fhéadfadh a theacht isteach freisin ó ghléasanna iniompartha, mar shliseanna cuimhne (ba cheart teorainn dhian a chur lena n-úsáid).  Níl aon phacáiste frithvíreas in ann gach fabhtú a chosc, mar is amhlaidh a nuashonraítear iad ag freagairt ar infhabhtuithe.  Tá sé riachtanach go nuashonraítear a leithéid de bhogearraí go rialta agus go dtacaíonn polasaithe le forairdeall maidir le bagairtí mar sin.  D'fhéadfadh polasaí gan iatáin ríomhphoist ó fhoinsí neamhionchas a oscailt a bheith úsáideach chun infhabhtuithe a chosc.

8. Ballaí Dóiteáin
Tá balla dóiteáin riachtanach sa chás go bhfuil aon nascacht sheachtrach, cibé le líonraí eile nó leis an idirlíon.  Tá sé tábhachtach go gcumraítear ballaí doiteáin i gceart mar is seift thábhachtach é chun stop a chur le iarrachtaí rochtana neamhúdaraithe.  Tá méadú ag teacht ar thábhacht ballaí doiteáin de réir mar a bhaineann eagraíochtaí agus daoine úsáid as nascanna idirlín "i gcónaí ar siúl", ionas go mbíonn seans níos mó ann go dtarlóidh ionsaí.

9. Paisteáil bogearraí
Is iad paistí na nuashonrúcháin is déanaí ó do chruthaitheoir bogearraí córas oibriúcháin nó bogearraí feidhmchláir.  De ghnáth bíonn réiteach acu do chúraimí slándála agus is féidir leo a bheith mar uirlis thábhachtach chun bradaíl nó mailís a chosc.  Ba cheart go mbeadh nósanna imeachta bainistíochta paiste cuimsitheacha, seasta agus rialta i bhfeidhm ag eagraíochtaí.   Sula nglactar leis na paistí is déanaí, is dea-chleachtas é na paistí seo a shuiteáil i dtimpeallacht tastála chun a chinntiú nach gcruthaíonn na paistí fadhbanna eile ar do chuid córais.  Ba cheart freisin taifead den dáta agus den phaiste a suiteáladh ar an gcóras a choinneáil.

10. Cianrochtain
Sa chás go dtugtar cead do chomhalta foirne / conraitheoir líonra rochtain a fháil ó chianláthair ( mar shampla ó bhaile nó ó ionad lasmuigh den láthair) is féidir go gcruthódh a leithéid de rochtain laige sa chóras, lena n-áirítear rochtain ó líonra gan sreanga (féach ar alt 11 thíos).  Dá bharr sin ba cheart a leithéid de rochtain a mheasúnú i gceart agus modhanna slándála a athmheasúnú sula gceadaítear cianrochtain.  Más féidir, ba cheart an rochtain a bheith teoranta do sheoltaí IP ar leith.   Ba cheart go gcuirfí slándáil san áireamh ar dtús agus rochtain á thabhairt d'eagraíochtaí comhpháirtithe.  Is gnéithe tábhachtacha de bhainistíocht an riosca seo iad modhanna slándála teicniúla, measúnuithe slándála, comhaontais chonraitheacha i gcomhréir le riachtanais Alt 2C de na hAchtanna Cosanta Sonraí agus caighdeáin aontaithe maidir le acmhainní roinnte.   Tá an fhreagracht ar an rialaitheoir sonraí a chinntiú nach ndéantar comhghéilleadh ar shlándáil an chórais is cuma cén modh ina ndéanann an t-úsáideoir rochtain ar an gcóras.

11. Líonraí gan sreanga
Féadfaidh rochtain ar fhreastalaí trí nasc gan sreanga a úsáid, líonra a nochtadh d'ionsaí.  Féadfaidh na timpeallachtaí fisiciúla ina n-oibrítear a leithéid de chórais a bheith i gceist nuair atáthar ag iarraidh a fháil amach cibé an bhfuil laigí sa chóras slándála nó nach bhfuil.  Cosúil le cianrochtain, ba cheart measúnú a dhéanamh ar líonraí gan sreanga ar bhonn slándála seachas ar éascaíocht úsáide dealraitheach amháin.  Ní mór do rialaitheoirí sonraí a chinntiú go bhfuil slándáil a dhóthain i bhfeidhm ar an líonra trí, mar shampla, criptiú iomchuí nó gléasanna údaraithe a bheith sonraithe.

Tá leochaileacht ar leith ag baint le úsáid líonraí WiFi neamhslándálaithe tríú páirtí (mar shampla cinn a bhíonn ar fáil ag aerphoirt, óstáin etc).  D'fhéadfadh gléas ar a leithéid de líonra a bheith i gcontúirt ionsaí ó mheaisíní eile ar an líonra.  Ba cheart balla dóiteáin maith a shuiteáil ar an ngléas iniompartha chun a leithéid d'ionsaí a chosc.  Ní ceart an gléas a nascadh leis an líonra ach amháin nuair is gá.  Ba cheart slánsheisiún gréasáin a bheith i bhfeidhm chun sonraí a chosaint nuair a bhíonn WiFi neamhshlándálaithe á úsáid chun sonraí pearsanta nó íogair a sheoladh.

12. Gléasanna iniompartha
Tá goilliúnacht i gceist le ríomhairí glúine, eochracha USB, teileafóin chliste agus saghasanna eile gléasra iniompartha maidir le goid agus caillteanas trí thimpiste.   Sa chás go gceapann rialaitheoir sonraí go bhfuil sé riachtanach sonraí pearsanta a stóráil ar ghléas iniompartha, ba cheart na gléasanna seo a chriptiú.  Ba cheart criptiú iomlán a úsáid ar mhaithe le laghdú a dhéanamh ar stóráil comhad lasmuigh de mhír criptithe an diosca.   I gcás teileafóin chliste, ba cheart pasfhocal láidir a bheith ag teastáil chun tosú agus tar éis roinnt nóiméid neamhghníomhaíochta freisin.  Nuair a chailltear a leithéid de ghléas ba cheart dul i mbun gnímh láithreach chun a chinntiú go bhfuil an chianáis scriosta cuimhne tar éis dul i bhfeidhm.  Ba cheart go mbeadh foireann a bhíonn i mbun gléasra dá leithéid cleachtaithe ar na nósanna imeachta cuí.

13. Logaí agus conairí iniúchóra
Tá córais rialaithe rochtana agus polasaithe slándála thíos leis mura bhfuil an córas in ann lochtanna a aithint.  Mar sin, ba cheart go mbeadh an córas in ann ainm an úsáideora a fuair rochtain ar chomhad agus am an rochtana a shainaithint.  Ba cheart na hathruithe a rinneadh a logáil, chomh maith leis an údar / eagarthóir a lua.  Is féidir le logaí agus conairí iniúchta cabhrú le riarachán éifeachtach córas slándála agus cosc a chur ar bhaill foirne a mhí-úsáideann an córas.   Ba cheart foireann a chur ar an eolas go bhfuil logáil i bhfeidhm agus go ndéantar athbhreithniú ar logaí úsáideoirí go rialta.   Ba cheart do phróiseas monatóireachta díriú ní hamháin ar líonraí, córais oibriúcháin, córais bhraite ionróra agus ballaí dóiteáin, ach ba cheart go gcuirfear ciansheirbhísí rochtana, feidhmchláir ghréasáin agus bunachair shonraí san áireamh. 

Gníomhaíonn córas braite ionróra (IDS) mar chóras aláraim inmheánach a dhéanann monatóireacht agus a thuairiscíonn ar ghníomhartha mailíseacha ar líonra nó córas.  Tá sé mar aidhm freisin ag a leithéid de chórais ionsuithe a thosaíonn laistigh den chóras a aithint.  Ba cheart d'aon eagraíocht a phróiseálann líon mór sonraí pearsanta córas braite ionróra a iomlonnú agus a chur i ngníomh.  Sa chás go ngintear foláirimh/imeachtaí ag aon chóras dá leithéid ní mór córas suntasach a bheith i bhfeidhm chun scrúdú a dhéanamh orthu in am tráthúil.  Déantar é sin chun cabhrú le gníomhaíocht neamhghnách a shainaithint agus beart ceartaithe a dhéanamh láithreach dá réir má tá aon sárú slándála leanúnach i gceist.
 
14. Córais chúltaca
Tá córas cúltaca riachtanach chun sonraí atá caillte nó scriosta a athshlánú. Fad is gur cheart córas éigin a bheith i bhfeidhm, beidh minicíocht agus nádúr an chúltaca ag brath, i measc fachtóirí eile, ar an eagraíocht agus an cineál sonraí a bhíonn á bpróiseálú.  Tá na caighdeáin shlándála do shonraí cúltaca mar an gcéanna le sonraí beo.  Cliceáil anseo le haghaidh níos mó eolais ar shonraí cúltaca.

15. Pleananna freagairt teagmhais
Fiú leis na córais is fearr deartha, tarlaíonn botúin.  Mar chuid de bheartas slándála sonraí ba cheart d'eagraíocht a bheith ar an eolas faoi céard ba cheart a dhéanamh i gcás sárú sonraí ionas go mbeadh sí in ann déileáil leis.  Ceisteanna a d'fhéadfá cur ort féin:

• Céard a dhéanfadh an eagraíocht dá dtarlódh sárú sonraí?
• An bhfuil beartas i bhfeidhm a shonraíonn cad is sárú sonraí ann? (Ní bhaineann sé le heochracha USB/dioscaí/ ríomhairí glúine amháin.  D'fhéadfadh aon chaillteanas smachta ar shonraí pearsanta atá faoi chúram na heagraíochta, lena n-áirítear rochtain neamhchuí ar shonraí pearsanta ar an gcóras nó sonraí pearsanta a chur chuig daoine míchearta).
• Conas a bheadh a fhios agat gur bhain sárú sonraí le d'eagraíocht?  An dtuigeann foireann na heagraíochta (ag gach leibhéal) impleachtaí sonraí pearsanta a chailliúint?
• An bhfuil sé sonraithe ag d'eagraíocht cén duine ar chóir do bhall é a chur ar an eolas nuair a bhíonn sonraí pearsanta caillte.
• An bhfuil sé soiléir sa pholasaí cé atá freagrach as déileáil leis an teagmhas.
• An gcomhlíonann do pholasaí riachtanais faofa Choimisinéir Cosanta Sonraí Cód Cleachtais Sárú Slándála Sonraí Pearsanta?
  

16. Diúscairt trealaimh
Nuair atá trealamh iomarcach nó as feidhm cuireann a lán rialaitheoirí sonraí an trealamh ar díol do lucht foirne nó tugann siad é do charthanachtaí.  Is é freagracht an rialtóra sonraí a chinntiú go bhfuil na sonraí go léir, stóráilte go dtí seo ar na gléasanna, bainte sula ndiúscraítear iad.  Ní leor tiomántáin chrua na ngléas a fhormáidiú mar is féidir sonraí a athshlánú fós.   Tá bogearraí ar fáil a fhorscríobhfaidh ábhair sa tiomántán crua le sraith 1 agus 0 chun a chinntiú nach féidir sonraí roimhe seo a athshlánú.  Ag brath ar an gcineál sonraí atá stóráilte, tá sé molta gur cheart tiomántáin chrua a fhorscríobh trí go cúig uaire.

Sa chás nach ndéantar na gléasanna a athchúrsáil/athúsáid is féidir na tiomántáin chrua a mhilleadh go fisiciúil nó a dhíghabhsáil⁴ .

Tá sé tábhachtach iniúchadh a dhéanamh ar na saghasanna éagsúla trealaimh ar a gcoimeádtar sonraí pearsanta.  Seachas gnáthshamplaí mar fhreastalaithe, ríomhairí agus ríomhairí glúine tá roinnt gléasanna eile ann a fhéadfadh sonraí pearsanta a stóráil.  D'fhéadfaí teileafóin chliste, fótachóipeálaithe digiteacha, innill facs etc. a chur san áireamh.  Ní mór aon sonraí stóráilte ar na gléasanna seo a scriosadh sula ndiúscraítear iad.