Termeni și condiții

POLITICA

de asigurare a securităţii datelor cu caracter personal

în cadrul Asociației Naționale a Companiilor din Domeniul TIC (ATIC),

IDNO 1006600034927

 

PREAMBUL

Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale şi mecanice de date cu caracter personal au drept scop stabilirea regulilor de implementare de către Asociația Națională a Companiilor din Domeniul TIC (ATIC) a măsurilor tehnice şi organizatorice necesare pentru asigurarea securităţii, confidenţialităţii şi integrităţii datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale şi mecanice de date cu caracter personal şi/sau registrelor ţinute manual, în conformitate cu prevederile Legii nr.133 din 08.07.2011 privind protecţia datelor cu caracter personal; Legii nr.71-XVI din 22 martie 2007 cu privire la registre; Hotărârii Guvernului nr.1123 din 14.12.2010 Privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal”; Convenţiei pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, încheiată la Strasbourg la 28.01.1981, publicată în European Treaty Series, nr.108, ratificată de Republica Moldova prin Hotărârea Parlamentului nr. 483-XIV din 02.07.1999.

 

  1. DISPOZIŢII GENERALE

 

  1. În sensul prezentei Politici, se definesc următoarele noţiuni:

autentificare - verificarea identificatorului atribuit subiectului de acces, confirmarea autenticităţii;

fişiere temporare – ansamblu de date sau informaţii pe suport digital creat pentru o perioadă de timp limitat până la iniţierea îndeplinirii sarcinilor pentru care au fost desemnate;

identificare – atribuirea unui identificator subiecţilor şi obiectelor de acces şi/sau compararea identificatorului prezentat cu lista identificatoarelor atribuite;

integritate – certitudinea, necontradictorialitatea şi actualitatea informaţiei care conţine date cu caracter personal, protecţia ei de distrugere şi modificare neautorizată;

mijloace de protecţie criptografică a informaţiei care conţine date cu caracter personal – mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei care conţine date cu caracter personal, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;

politica de securitate a datelor cu caracter personal – document, elaborat de către Asociația Națională a Companiilor din Domeniul TIC (ATIC), care oferă o descriere generală a măsurilor de securitate şi trăsăturilor de protecţie selectate pentru securitatea datelor, ţinându-se cont de potenţialele pericole pentru datele cu caracter personal prelucrate şi riscurile reale la care sunt expuse acestea;

perimetru de securitate – zona care reprezintă în sine o barieră de trecere asigurată cu mijloace de control tehnic al accesului;

control de securitate – acţiuni întreprinse de către deţinătorii de date cu caracter personal sau Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (Centrul) în vederea verificării şi/sau asigurării nivelului adecvat de securitate a datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale şi/sau registrelor ţinute manual, în conformitate cu prezentele Cerinţe;

persoana responsabilă de politica de securitate a datelor cu caracter personal– persoana responsabilă de funcţionarea corespunzătoare a sistemului complex de protecţie a informaţiei care conţine date cu caracter personal, precum şi de elaborarea, implementarea şi monitorizarea respectării prevederilor politicii de securitate a deţinătorului de date cu caracter personal;

protecţia informaţiei contra acţiunilor neintenţionate – ansamblu de măsuri orientate spre prevenirea acţiunilor neintenţionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaţiei, dar care conduc la distorsiunea, distrugerea, copierea, blocarea accesului la informaţie, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informaţiei care conţine date cu caracter personal;

purtător de date cu caracter personal – suport magnetic, optic, laser, de hârtie sau alt suport al informaţiei, pe care se creează, se fixează, se transmite, se recepţionează, se păstrează sau, în alt mod, se utilizează documentul şi care permite reproducerea acestuia;

restaurarea datelor – procedurile cu privire la reconstituirea datelor cu caracter personal în starea în care se aflau până la momentul pierderii sau distrugerii acestora;

tehnologie informaţională (TI) – totalitatea metodelor, procedeelor şi mijloacelor de prelucrare şi transmitere a informaţiei care conţine date cu caracter personal şi regulile de aplicare a acesteia;

mijloace de protecţie criptografică a informaţiei care conţine date cu caracter personal – mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei care conţine date cu caracter personal, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;

utilizator – persoana care acţionează sub autoritatea deţinătorului de date cu caracter personal, cu drept recunoscut de acces la sistemele informaţionale de date cu caracter personal;

sesiune de lucru – perioada care durează din momentul pornirii calculatorului şi aplicaţiei de utilizare a resursei informaţionale sau din momentul pornirii resursei informaţionale şi până la momentul opririi acestora;

sistem informaţional de date cu caracter personal– totalitatea resurselor şi tehnologiilor informaţionale interdependente, de metode şi de personal, destinată păstrării, prelucrării şi furnizării de informaţie care conţine date cu caracter personal;

stocare – păstrarea pe orice fel de suport a datelor cu caracter personal;

 

CERINŢE GENERALE

  1. Măsurile de protecţie a datelor cu caracter personal reprezintă o parte componentă a lucrărilor de creare, dezvoltare şi exploatare a sistemelor informaţionale de date cu caracter personal şi vor fi efectuate neîntrerupt de către persoanele responsabile angajate al Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

  2. Protecţia datelor cu caracter personal este asigurată printr-un complex de măsuri tehnice şi organizatorice de preîntâmpinare a prelucrării ilicite a datelor cu caracter personal.

  3. Măsurile de protecţie a datelor cu caracter personal prelucrate în sistemele informaţionale şi mecanice de date cu caracter personal ale Asociației Naționale a Companiilor din Domeniul TIC (ATIC) se înfăptuiesc ţinându-se cont de necesitatea asigurării confidenţialităţii acestor măsuri.

  4. Sunt supuse protecţiei, toate resursele informaţionale ale Asociației Naționale a Companiilor din Domeniul TIC (ATIC), care conţin date cu caracter personal, inclusiv:

    1. Suporturile magnetice, optice, laser sau alte suporturi ale informaţiei electronice, masive informaţionale şi baze de date;

    2. Sistemele informaţionale, reţelele, sistemele operaţionale, sistemele de gestionare a bazelor de date şi alte aplicaţii, sistemele de telecomunicaţii, inclusiv mijloacele de confecţionare şi multiplicare a documentelor şi alte mijloace tehnice de prelucrare a informaţiei.

  1. Protecţia datelor cu caracter personal în sistemele informaţionale de date cu caracter personal este asigurată în scopul:

    1. Preîntâmpinării scurgerii informaţiei care conţine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta;

    2. Preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în reţelele de telecomunicaţie şi resursele informaţionale;

    3. Respectării cadrului normativ de folosire a sistemelor informaţionale şi a programelor de prelucrare a datelor cu caracter personal;

    4. Asigurării caracterului complet, integru, veridic al datelor cu caracter personal în reţelele de telecomunicaţie şi resurselor informaţionale;

    5. Păstrării posibilităţilor de gestionare a procesului de prelucrare şi păstrare a datelor cu caracter personal.

  1. Protecţia datelor cu caracter personal prelucrate în sistemele informaţionale se efectuează prin următoarele metode:

    1. Preîntâmpinarea conexiunilor neautorizate la rețelele informaționale şi interceptării cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reţele;

    2. Excluderea accesului neautorizat la datele cu caracter personal prelucrate;

    3. Preîntâmpinarea acţiunilor speciale tehnice şi de program, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program;

    4. Preîntâmpinarea acţiunilor intenţionate şi/sau neintenţionate a utilizatorilor interni şi/sau externi, precum şi a altor angajaţi ai deţinătorului de date cu caracter personal, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program.

    5. Preîntâmpinarea scurgerii de informaţii care conţin date cu caracter personal, transmise prin canalele de legătură, este asigurată prin folosirea metodelor de cifrare a acestei informaţii, inclusiv cu utilizarea măsurilor organizaţionale, tehnice şi de regim.

    6. Preîntâmpinarea distrugerii, modificării datelor cu caracter personal sau defecţiunilor în funcţionarea soft-ului destinat prelucrării datelor cu caracter personal este asigurată prin metoda folosirii mijloacelor de protecţie speciale tehnice şi de program, inclusiv a programelor licenţiate, programelor anti virus, organizării sistemului de control al securităţii soft-ului şi efectuarea periodică a copiilor de siguranţă.

  1. Ordinea de acces la informaţia care conţine date cu caracter personal, prelucrată în cadrul sistemelor informaţionale, se stabileşte de Asociația Națională a Companiilor din Domeniul TIC (ATIC) conform Regulamentului sistemului informaţional utilizat.

 

POLITICA DE SECURITATE A DATELOR CU CARACTER PERSONAL

  1. Asociația Națională a Companiilor din Domeniul TIC (ATIC) nominalizează responsabil de întocmirea, menţinerea, modificarea şi actualizarea politicii de securitate - Directorul Executiv.

  2. Măsurile de securitate emise sunt stabilite conform regulamentelor de securitate ale fiecărui sistem care prelucrează date cu caracter personal. În acest sens, la Asociația Națională a Companiilor din Domeniul TIC (ATIC) sunt create următoarele sisteme/registre de prelucrare a datelor cu caracter personal:

  1. Registru de evidență a angajaților;

  2. Registru de evidență a contractanților;

  3. Supravegherea video.

  1. Se numesc responsabili de administrarea sistemelor următoarele persoane:

  1. Directorul Executiv:

          • Registru de evidență a angajaților.

          • Registru de evidență a contractanților.

  2. Manager tehnic

  • Supravegherea video.

  1. Mecanismul de punere în aplicare a măsurilor de securitate pentru toate categoriile sistemelor informaţionale de date cu caracter personal este prevăzut de prezenta Politică de Securitate.

  2. În cadrul activității Asociației Naționale a Companiilor din Domeniul TIC (ATIC) colectează și prelucrează cu acordul subiectului de date cu caracter personal, următoarele date cu caracter personal:

  1.  

  1. Numele, prenumele și după caz patronimicul;

  2. sexul;

  3. data şi locul naşterii;

  4. cetăţenia;

  5. IDNP;

  6. datele personale ale membrilor de familie;

  7. datele din permisul de conducere;

  8. datele bancare;

  9. semnătura;

  10. situaţia familială;

  11. situaţia militară;

  12. datele din actele de stare civilă;

  13. codul personal de asigurării sociale (CPAS);

  14. codul asigurării medicale (CPAM);

  15. numărul de telefon/fax;

  16. numărul de telefon mobil;

  17. adresa (domiciliului/reşedinţei);

  18. adresa e-mail;

  19. profesia şi/sau locul de muncă;

  20. formarea profesională – diplome – studii;

  21. instituția de învățământ unde studiază elevul/activează profesorul;

  22. clasa din care face parte elevul.

  1. Asociația Națională a Companiilor din Domeniul TIC (ATIC) nu transmite date cu caracter personal ale subiecților în afara țării, cu excepția cazurilor prevăzute de lege sau expres acceptate de către aceștia.

  2. Asociația Națională a Companiilor din Domeniul TIC (ATIC) asigură angajaților săi dreptul de acces, de stocare, de prelucrarea informației ce conține date cu caracter personal.

  3. Asociația Națională a Companiilor din Domeniul TIC (ATIC) acordă accesul angajaților săi la prelucrarea datelor cu caracter personal, numai după ce au semnat o Declarație de Confidențialitate prin care s-au obligat să nu divulge informația ce conține date cu caracter personal obținută în timpul exercitării atribuțiilor de serviciu. Modelul Declarației de Confidențialitate este anexat la prezenta Politică.

  4. Documentaţia tehnică cu privire la controalele de securitate este ţinută sub formă de registre de către persoana responsabilă, numită prin ordinul/decizia Directorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC) pentru fiecare sistem informaţional în parte.

  5. Orarul controalelor de securitate este stabilit de către persoana numită responsabilă, în conformitate cu regulamentul de securitate al fiecărui Sistem care prelucrează date cu caracter personal.

  6. Rapoartele despre incidentele de securitate sunt înregistrate în registrele respective de către persoanele responsabile. Fiecare incident urmează a fi adus la cunoştinţa Directorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC) în mod de urgenţă, pentru a putea fi identificată procedura de soluţionare a incidentului.

 

SECURITATEA MEDIULUI FIZIC ŞI A TEHNOLOGIILOR INFORMAŢIONALE FOLOSITE ÎN PROCESUL PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Autorizarea accesului fizic

  1. Accesul în sediile/oficiile/birourile ori spaţiile unde sunt amplasate sistemele informaţionale de date cu caracter personal este restricţionat, fiind permis doar persoanelor care au autorizaţia necesară şi doar în timpul programului de muncă.

  2. Accesul se efectuează în baza permiselor de muncă eliberate tuturor angajaților.

  3. Accesul în camera de servere este permisă doar salariaților Asociației Naționale a Companiilor din Domeniul TIC (ATIC) care au autorizare specială din partea Directorului Executiv. Persoanele terțe au acces în această încăpere doar sub stricta supraveghere a salariatului menționat mai sus. Toate operaţiunile de acces la servere sau alte mijloace tehnice sau software se face de către Managerul tehnic al Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

 

Administrarea şi monitorizarea accesului fizic

  1. Se interzice accesul fizic în toate punctele de acces la sistemele informaţionale de date cu caracter personal, cu excepția personalului autorizat la prelucrarea informației ce conține date cu caracter personal.

  2. Înainte de acordarea accesului fizic la sistemele informaţionale de date cu caracter personal se verifică competenţele de acces. Persoanele noi angajate sunt instruite în domeniul prelucrării datelor cu caracter personal şi semnează declaraţia de confidenţialitate emisă în acest sens.

  3. În procesul monitorizării se utilizează mijloace de supraveghere şi alarmă în regim real de timp a tuturor cazurilor de acces autorizat şi/sau neautorizat în sediul/subdiviziunea Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

  4. Sunt utilizate mijloace automatizate care asigură identificarea cazurilor de acces neautorizat şi iniţierea acţiunilor de blocare a accesului.

  5. Toate fişele personale ale fiecărui angajat, inclusiv carnetele de muncă se păstrează în safeu metalic, ocrotit împotriva incendiilor.

 

Securitatea sediilor/oficiilor/birourilor şi mijloacelor de prelucrare a datelor cu caracter personal

  1. Perimetrul sediilor şi încăperii în care sunt amplasate mijloacele de prelucrare a datelor cu caracter personal sunt păstrate integre din punct de vedere fizic, toţi pereţii sunt întregi, uşile se încuie, iar ferestrele se închid.

  2. Computerele, serverele şi alte terminale de acces, în limita posibilităţii sunt amplasate în locuri cu acces limitat pentru persoane străine. Accesul în încăperile respective sunt limitate prin scanarea cardului de acces.

  3. Uşile şi ferestrele se încuie în cazul în care în încăpere lipsesc angajaţii.

  4. Amplasarea mijloacelor de prelucrare a datelor cu caracter personal corespunde necesităţii asigurării securităţii acestora contra accesului nesancţionat, furturilor, incendiilor, inundaţiilor şi altor posibile riscuri.

  5. Folosirea tehnicii foto, video, audio sau altor mijloace de înregistrare în perimetrul de securitate este admisă doar în cazul prezenţei unei permisiuni speciale a conducerii deţinătorului de date cu caracter personal.

  6. Se vor implementa sisteme de constatare a intruziunilor pentru uşile exterioare şi ferestrele amplasate în locuri accesibile.

  7. Utilajul de rezervă şi purtătorii de informaţii care conţin date cu caracter personal se păstrează în locuri care permit evitarea distrugerilor sau deteriorărilor ca rezultat al calamităţilor.

 

Controlul vizitatorilor

  1. Trebuie asigurat controlul accesului fizic al vizitatorilor în încăperile unde sunt amplasate sistemele informaţionale de date cu caracter personal.

  2. Vizitatorii sistemelor informaţionale de date cu caracter personal şi alte persoane care accesează încăperile Asociației Naționale a Companiilor din Domeniul TIC (ATIC) sunt supravegheaţi în încăperile unde aceştia au acces. În birourile cu acces interzis aceştia pot intra doar sub supravegherea personalului autorizat. În cazul depistării persoanelor cu acces interzis în birourile cu acces limitat, aceşti vor fi rugaţi să părăsească încăperea în mod cât mai urgent. Incidentul va fi adus la cunoştinţa Directorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

 

Securitatea electroenergetică

  1. Se asigură securitatea echipamentului electric utilizat pentru menţinerea funcţionalităţii sistemelor informaţionale de date cu caracter personal, a cablurilor electrice, inclusiv protecţia acestora contra deteriorărilor şi conectărilor nesancţionate. În cazul apariţiei situaţiilor excepţionale, de avarie sau de forţă majoră, este asigurată posibilitatea deconectării electricităţii la sistemele informaţionale de date cu caracter personal, inclusiv posibilitatea deconectării oricărui component TI.

  2. Asociația Națională a Companiilor din Domeniul TIC (ATIC) va depune efortul pentru a procura surse autonome de alimentare cu energie electrică de scurtă şi lungă durată, care sunt folosite pentru terminarea corectă a sesiunii de lucru a sistemului (componentului) în cazul deconectării de la sursa principală de alimentare cu energie electrică.

 

Securitatea cablurilor de reţea

  1. Cablurile de reţea, prin care se efectuează operaţiuni de prelucrare a datelor cu caracter personal, sunt protejate contra conectărilor nesancţionate sau deteriorărilor. Cablurile de tensiune sunt separate de cele comunicaţionale pentru a exclude bruiajul. Managerul tehnic efectuează controale, nu mai rar decât o dată în lună, în scopul verificării cazurilor de conectare neautorizată la cablurile de reţea.

 

Asigurarea securităţii anti incendiare a sistemelor informaţionale de date cu caracter personal

  1. Asociația Națională a Companiilor din Domeniul TIC (ATIC) dispune de mijloace de asigurare a securităţii anti incendiare a sediilor/oficiilor/birourilor unde sunt amplasate sistemele informaţionale de date cu caracter personal şi mijloacele de prelucrare a datelor cu caracter personal.

 

Controlul instalării şi scoaterii componentelor IT

  1. Se exercită controlul şi evidenţa instalării şi scoaterii mijloacelor de program, mijloacelor tehnice şi celor tehnice de program, utilizate în cadrul sistemelor informaţionale de date cu caracter personal.

 

Măsurile generale de administrare a securităţii informaţionale

  1. În cazul neutilizării temporare a purtătorilor de informaţie pe suport de hârtie sau electronici (digitali) care conţin date cu caracter personal, aceştia se păstrează în safeu metalic care se încuie. Computerele, terminalele de acces şi imprimantele sunt deconectate la terminarea sesiunilor de lucru. Este asigurată securitatea punctelor de primire/expediere a corespondenţei, precum şi securitatea contra accesului neautorizat la aparatele fax şi de copiere. Accesul fizic la mijloacele de reprezentare a informaţiei care conţine date cu caracter personal, în scopul împiedicării vizualizării acesteia de către persoane neautorizate este interzis şi controlat. Mijloacele de prelucrare a datelor cu caracter personal, informaţia care conţine date cu caracter personal sau soft-urile destinate prelucrării datelor cu caracter personal sunt scoase din perimetrul de securitate doar în temeiul unei permisiuni scrise a Directorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

 

IDENTIFICAREA ŞI AUTENTIFICAREA UTILIZATORULUI SISTEMULUI INFORMAŢIONAL DE DATE CU CARACTER PERSONAL

Identificarea şi autentificarea utilizatorului

  1. Este efectuată identificarea şi autentificarea utilizatorilor sistemelor informaţionale de date cu caracter personal şi a proceselor executate în numele acestor utilizatori.
    Toţi utilizatorii (inclusiv personalul care asigură susţinerea tehnică, administratorii de reţea, programatorii şi administratorii bazelor de date) au un identificator personal (ID-ul utilizatorului), care nu trebuie să conţină semnalmentele nivelului de accesibilitate al utilizatorului. Pentru confirmarea ID-ului utilizatorului sunt utilizate parole. În cazul în care a fost depusă cererea de demisie, în cazul când contractul de muncă/raporturile de serviciu ale utilizatorului au fost încetate, suspendate sau modificate şi noile sarcini nu necesită accesul la date cu caracter personal ori drepturile de acces ale utilizatorului au fost modificate, ori utilizatorul a abuzat de codurile primite în scopul comiterii unei fapte prejudiciabile, a absentat o perioadă îndelungată, codurile de identificare şi autentificare se revocă în mod automat în decursul a două săptămâni de la ultimul acces, sau în mod individual imediat la momentul introducerii modificării în raportul de muncă.

  2. Se utilizează autentificarea multifactorială, care include parole complexe, cu includerea simbolurilor, literelor, cifrelor în combinaţie complexă. În mod obligatoriu fiecare parolă conţine una sau mai multe litere scrise cu majusculă. Parola nu va conţine iniţialele sau date care pot caracteriza o anumită persoană (data de naştere, adresă, nume etc).

 

Identificarea şi autentificarea echipamentului

  1. Este asigurată posibilitatea identificării şi autentificării echipamentului folosit în operaţiunile de prelucrare a datelor cu caracter personal.

 

Administrarea identificatorilor utilizatorilor

  1. Administrarea identificatorilor utilizatorilor include:

1) identificarea univocă a fiecărui utilizator;

2) verificarea autenticităţii fiecărui utilizator;

3) obţinerea autorizaţiei de la persoana responsabilă pentru eliberarea ID-ului utilizatorului doar în cazul semnării declaraţiei de confidenţialitate şi trecerii procedurii de instruire;

4) garantarea faptului că ID-ul utilizatorului este eliberat unei persoane determinate concret;

5) executarea copiilor de arhivă a ID-urilor utilizatorilor.

 

Asigurarea conexiunii bilaterale în cazul introducerii informaţiei de autentificare a utilizatorilor

  1. Se asigură conexiunea bilaterală a Asociației Naționale a Companiilor din Domeniul TIC (ATIC) cu utilizatorul în momentul trecerii de către acesta a procedurilor de autentificare, care nu compromite mecanismul de autentificare.

 

Utilizarea parolelor în procesul asigurării securităţii informaţionale

  1. Se respectă regulile de asigurare a securităţii informaţionale în cazul alegerii şi folosirii parolelor care includ:

1) păstrarea confidenţialităţii parolelor;

2) modificarea parolelor de fiecare dată când sunt prezente indiciile eventualei compromiteri a sistemului sau parolei;

3) alegerea parolelor calitative cu o mărime de minimum 8 simboluri, care nu sunt legate de informaţia cu caracter personal a utilizatorului, nu conţin simboluri identice consecutive şi nu sunt compuse integral din grupuri de cifre sau litere;

4) modificarea parolelor odată în lună;

5) dezactivarea procesului automatizat de înregistrare (cu folosirea parolelor salvate).

6) introducerea greşită a parolei de trei ori presupune blocarea imediată a contului.

 

Administrarea parolelor utilizatorilor

  1. Se folosesc identificatoare individuale pentru fiecare utilizator şi parole individuale ale acestora pentru asigurarea posibilităţii de stabilire a responsabilităţii. Este asigurată posibilitatea utilizatorilor de a alege şi schimba parolele individuale, inclusiv de activare a procedurii de evidenţă a introducerilor greşite ale acestora. Se asigură blocarea accesului după trei tentative greşite de autentificare. Este asigurată păstrarea istoriilor anterioare ale parolelor în formă de hash a utilizatorilor (pentru o perioada de un an) şi prevenirea folosirii repetate a acestora. La momentul introducerii, parolele nu se reflectă pe monitor. Parolele se păstrează în formă cifrată, utilizându-se algoritmul criptografic unilateral (funcţia hash).

 

ADMINISTRAREA ACCESULUI UTILIZATORILOR

Administrarea accesului

  1. Se implementează mecanisme de înregistrare şi evidenţă a persoanelor care au acces sau participă la operaţiunile de prelucrare a datelor cu caracter personal şi care, în caz de necesitate, permit identificarea cazurilor neautorizate de acces sau de prelucrare ilegală a datelor cu caracter personal.

 

Administrarea conturilor de acces (account)

  1. Este efectuată administrarea conturilor de acces a utilizatorilor care prelucrează date cu caracter personal, inclusiv crearea, activarea, modificarea, revizuirea, dezactivarea şi ştergerea acestora. Sunt folosite mijloace automatizate de suport în scopul administrării conturilor de acces. Se folosesc mijloace automatizate de înregistrare şi informare despre crearea, modificarea, dezactivarea şi încetarea acţiunii conturilor de acces.

 

Acordarea accesului

  1. Este autorizat accesul la sistemele informaţionale de date cu caracter personal în conformitate cu prezenta Politică de securitate de către persoanele numite la pct. 11.

 

Revizuirea drepturilor de acces ale utilizatorilor

  1. Drepturile de acces ale utilizatorilor la sistemele informaţionale de date cu caracter personal sunt revizuite cu regularitate pentru asigurarea faptului că nu au fost acordate drepturi de acces neautorizate (maximum peste fiecare şase luni) şi după oricare schimbare de statut al utilizatorului.

 

Repartizarea obligaţiilor şi învestirea cu minimul de drepturi şi competenţe

  1. Repartizarea obligaţiilor subiecţilor care asigură funcţionarea sistemelor informaţionale de date cu caracter personal este efectuată prin intermediul învestirii cu drepturi/competenţe corespunzătoare de acces, prin ordinul/decizia Derectorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC) întocmit în acest sens. Utilizatorii sistemelor informaţionale de date cu caracter personal se învestesc doar cu acele drepturi/competenţe, care sunt necesare pentru realizarea de către ei a obiectivelor stabilite acestora.

 

Informaţii de avertizare

  1. Înainte de acordarea accesului în sistem, utilizatorii sunt informaţi despre faptul că folosirea sistemelor informaţionale de date cu caracter personal este controlată şi că folosirea neautorizată a acestora se urmăreşte în conformitate cu legislaţia.

 

Blocarea sesiunii de lucru

  1. Sesiunea de lucru în sistemul informaţional, destinat prelucrării datelor cu caracter personal, se blochează automat, după maxim ___________ minute de perioadă inactivă a utilizatorului fapt care face imposibil accesul de mai departe până în momentul când utilizatorul nu deblochează sesiunea de lucru prin metoda trecerii repetate a procedurilor de identificare şi autentificare.

 

Controlul administrării accesului

  1. Se efectuează controlul acţiunilor utilizatorului în vederea evaluării corectitudinii şi conformării operaţiunilor şi acţiunilor efectuate prin intermediul sistemelor informaţionale de date cu caracter personal.

 

Marcarea documentelor

  1. Informaţia ieşită din sistem, care conţine date cu caracter personal, se marchează, indicându-se prescripţii pentru prelucrarea ulterioară şi răspândirea acesteia, inclusiv indicându-se numărul de identificare unic al deţinătorului de date cu caracter personal.

 

Accesul de la distanţă

  1. Toate metodele de acces de la distanţă la sistemele informaţionale de date cu caracter personal sunt securizate (utilizându-se VPN, criptarea, cifrarea etc.), precum şi sunt documentate, supuse monitorizării şi controlului. Fiecare metodă de acces de la distanţă la sistemele informaţionale de date cu caracter personal se autorizează de Asociația Națională a Companiilor din Domeniul TIC (ATIC) şi este permisă doar utilizatorilor, cărora aceasta le este necesar pentru îndeplinirea obiectivelor stabilite.

 

Limitarea folosirii tehnologiilor fără fir

  1. Accesul fără fir la sistemele informaţionale de date cu caracter personal este documentat, supus monitorizării şi controlului. Accesul fără fir la sistemele informaţionale de date cu caracter personal este permis doar cu acordul Directorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC) prin coordonarea cu personalul.

 

Administrarea accesului echipamentului portativ şi mobil

  1. Accesul la sistemele informaţionale de date cu caracter personal cu folosirea echipamentului portativ şi mobil se documentează, este monitorizat şi controlat. Folosirea echipamentului portativ şi mobil este autorizată de Directorul Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

 

PROTECŢIA SISTEMELOR INFORMAŢIONALE ŞI COMUNICAŢIILOR ÎN CARE SÎNT PRELUCRATE DATE CU CARACTER PERSONAL

Divizarea programelor aplicative

  1. Se asigură separarea posibilităţilor funcţionale ale utilizatorului de posibilităţile funcţionale de gestionare a sistemelor informaţionale de date cu caracter personal.

 

Informaţia restantă

  1. Sunt preîntâmpinate tentativele dezvăluirii neautorizate sau neintenţionate a informaţiei restante care conţine date cu caracter personal, prin intermediul resurselor informaţionale general accesibile.

 

Priorităţile resurselor

  1. Este asigurată posibilitatea limitării, cu ajutorul mecanismelor de stabilire a priorităţilor, a folosirii resurselor informaţionale în care sunt prelucrate date cu caracter personal.

 

Protecţia perimetrului sistemelor informaţionale în care sunt prelucrate date cu caracter personal

  1. Se efectuează monitorizarea permanentă şi controlul comunicaţiilor la perimetrul exterior al sistemelor informaţionale de date cu caracter personal, inclusiv la cele mai importante puncte de contact în interiorul perimetrului acestor sisteme informaţionale.

Amplasarea resurselor general accesibile se asigură în spaţiile special destinate a reţelei de calcul cu interfeţele fizice de reţea.

Este asigurată imposibilitatea accesului din exterior a utilizatorilor la reţeaua internă în care se prelucrează date cu caracter personal.

 

Asigurarea integrităţii și confidențialității datelor cu caracter personal transmise

  1. Se asigură integritatea și confidențialitatea datelor cu caracter personal transmise, utilizându-se mijloacele de protecţie criptografică.

 

AUDITUL SECURITĂŢII ÎN SISTEMELE INFORMAŢIONALE DE DATE CU CARACTER PERSONAL

  1. Managerul tehnic întocmește următoarele proceduri obligatorii de audit al sistemului:

1) Se efectuează înregistrarea tentativelor de intrare/ieşire a utilizatorului în sistem, conform următorilor parametri:

a) data şi timpul tentativei intrării/ieşirii;

b) ID-ul utilizatorului;

c) rezultatul tentativei de intrare/ieşire – pozitivă sau negativă.

2) Este efectuată înregistrarea tentativelor de pornire/terminare a sesiunii de lucru a programelor aplicative şi proceselor, destinate prelucrării datelor cu caracter personal, înregistrarea modificărilor drepturilor de acces ale utilizatorilor şi statutul obiectelor de acces conform următorilor parametri:

a) data şi timpul tentativei de pornire;

b) denumirea/identificatorul programului aplicativ sau procesului;

c) ID-ul utilizatorului;

d) rezultatul tentativei de pornire – pozitivă sau negativă.

3) Se efectuează înregistrarea tentativelor de obţinere a accesului (de executare a operaţiunilor) pentru aplicaţii şi procese destinate prelucrării datelor cu caracter personal, conform următorilor parametri:

a) data şi timpul tentativei de obţinere a accesului (executare a operaţiunii);

b) denumirea (identificatorul) aplicaţiei sau procesului;

c) ID-ul utilizatorului;

d) specificaţiile resursei protejate (identificator, nume logic, nume fişier, număr etc.);

e) tipul operaţiunii solicitate (citire, înregistrare, ştergere etc.);

f) rezultatul tentativei de obţinere a accesului (executare a operaţiunii) – pozitivă sau negativă.

4) Se efectuează înregistrarea modificărilor drepturilor de acces (competenţelor) utilizatorului şi statutului obiectelor de acces, conform următorilor parametri:

a) data şi timpul modificării competenţelor;

b) ID-ul administratorului care a efectuat modificările;

c) ID-ul utilizatorului şi competenţele acestuia sau specificarea obiectelor de acces şi statutul nou al acestora.

  1. În caz de deranjament al auditului securităţii în sistemele informaţionale de date cu caracter personal sau completării întregului volum de memorie repartizat pentru păstrarea rezultatelor auditului, este informat Directorul Executiv și/sau persoana responsabilă de politica de securitate a datelor cu caracter personal şi întreprinse măsuri în vederea restabilirii capacităţii de lucru a sistemului de audit.

  2. Se efectuează monitorizarea permanentă şi analiza înregistrărilor de audit a securităţii în sistemele informaţionale de date cu caracter personal, în scopul depistării activităţilor neobişnuite sau suspecte de utilizare a acestor sisteme informaţionale, cu întocmirea raportului referitor la cazurile depistării acestor activităţi, stocate în mijloacele electronice de calcul.

  3. Rezultatele auditului securităţii în sistemele informaţionale de date cu caracter personal, care reprezintă operaţiuni de prelucrare a datelor cu caracter personal şi mijloacele de efectuare a auditului, se protejează contra accesului neautorizat prin instituirea măsurilor de securitate adecvate, inclusiv prin asigurarea confidenţialităţii şi integrităţii acestora.

  4. Durata stocării rezultatelor auditului securităţii în sistemele informaţionale de date cu caracter personal se justifică în politica de securitate a datelor cu caracter personal, dar în orice caz acest termen nu este mai mic de 1 an, pentru a fi posibil folosirea acestora în calitate de probe în cazul incidentelor de securitate, unor eventuale investigaţii sau procese judiciare. În cazul în care procesul judiciar va dura mai mult de un an, datele menționate mai sus se vor păstra pe toată durata procesului judiciar.

 

ASIGURAREA INTEGRITĂŢII INFORMAŢIEI CARE CONŢINE DATE CU CARACTER PERSONAL ŞI A TEHNOLOGIILOR INFORMAŢIONALE

 

Înlăturarea deficienţelor de soft destinat prelucrării datelor cu caracter personal

  1. Se asigură identificarea, protocolare şi înlăturarea deficienţelor de soft-uri destinate prelucrării datelor cu caracter personal, inclusiv instalarea corectărilor şi pachetelor de reînnoire a acestor soft-uri.

 

Asigurarea protecţiei contra programelor dăunătoare (viruşilor)

  1. Se asigură protecţia contra infiltrării programelor dăunătoare în soft-urile destinate prelucrării datelor cu caracter personal, măsură care asigură posibilitatea reînnoirii automate şi la timp a mijloacelor de asigurare a protecţiei contra programelor dăunătoare şi signaturilor de virus.

  2. Se asigură administrarea centralizată a mecanismelor de protecţie contra programelor dăunătoare în soft-urile destinate prelucrării datelor cu caracter personal.

 

Tehnologiile şi mijloacele de constatare a intruziunilor

  1. Se vor utilizează tehnologii şi mijloace de constatare a intruziunilor, care permit monitorizarea evenimentelor în sistemele informaţionale de date cu caracter personal şi constatarea atacurilor, inclusiv care asigură identificarea tentativelor folosirii neautorizate a sistemelor informaţionale.

 

Asigurarea integrităţii soft-urilor şi informaţiei

  1. Se asigură protecţia şi posibilitatea depistării modificării neautorizate a soft-urilor destinate prelucrării datelor cu caracter personal şi informaţiei care conţine date cu caracter personal.

 

Testarea posibilităţilor funcţionale de asigurare a securităţii sistemelor informaţionale de date cu caracter personal

  1. Se asigură testarea funcţionării corecte a funcţiilor de securitate a sistemelor informaţionale de date cu caracter personal (automat la pornirea sistemului şi lunar la solicitarea utilizatorului autorizat în acest scop).

 

 

COPIILE DE REZERVĂ ŞI RESTABILIREA INFORMAŢIEI CARE CONŢINE DATE CU CARACTER PERSONAL ŞI IT

 

Copiile de rezervă ale informaţiei care conţine date cu caracter personal

  1. Copiile de siguranţă a informaţiilor care conţin date cu caracter personal şi soft-urilor folosite pentru prelucrările automatizate a datelor cu caracter personal, sunt efectuate odată la șase luni.

Copiile de siguranţă se testează în scopul verificării siguranţei purtătorilor de informaţii şi integrităţii informaţiei care conţine date cu caracter personal.

Procedurile de restabilire a copiilor de siguranţă se actualizează şi se testează cu regularitate, în scopul asigurării eficacităţii acestora.

 

GESTIONAREA INCIDENTELOR DE SECURITATE A SISTEMELOR INFORMAŢIONALE DE DATE CU CARACTER PERSONAL

 

Instructajul de reacţionare la incidentele de securitate a sistemelor informaţionale de date cu caracter personal

  1. Managerul tehnic care asigură exploatarea sistemelor informaţionale de date cu caracter personal va trece, de regulă o dată în an, instruirea referitor la responsabilităţile şi obligaţiile în cazul executării acţiunilor de gestionare şi reacţionare la incidentele de securitate.

  2. În cazul depistării unui incident de securitate, este asigurat mecanismul de informare neîntârziată a Directorului Executiv al Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

  3. În cazul producerii incidentelor de securitate în cadrul Asociației Naționale a Companiilor din Domeniul TIC (ATIC), persoana resposabilă va întreprinde măsurile necesare pentru depistarea sursei de producere a incidentului, va efectua analiza acestuia și va înlătura cauzele incidentului de securitate cu informarea, în termen de 72 ore din momentul producerii incidentului de securitate, a Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova.

  4. Pînă la 31 ianuarie a fiecărui an, operatorul de date cu caracter personal informează în scris Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova despre incidentele de securitate constatate.

  5. Prelucrarea incidentelor include în mod obligatoriu depistarea, analiza, preîntâmpinarea dezvoltării, înlăturarea lor şi restabilirea securităţii iniţiale, precum şi crearea unor mecanisme de evitare a ulterioarelor incidente asemănătoare.

  6. Incidentele de securitate a sistemelor informaţionale de date cu caracter personal se urmăresc şi se documentează în regim permanent.

 

Anexe:

  1. Modelul Declarației de Confidențialitate;

  2. Regulamentul cu privire la asigurarea securității datelor cu caracter personal din Registru de evidență a angajaților în cadrul Asociației Naționale a Companiilor din Domeniul TIC (ATIC).

  3. Regulamentul cu privire la asigurarea securității datelor cu caracter personal din Registru de evidență a contractanților.

  4. Regulament privind supravegherea VIDEO.

  5. Regulament privind prelucrarea informațiilor ce conțin date cu caracter personal în sistemul de evidență contabilă în cadrul Asociației Naționale a Companiilor din Domeniul TIC (ATIC)