I. Преамбула

 

При обработки персональных данных учитываются   - Всеобщая декларация прав человека, Конвенция о защите прав человека и основных свобод, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных, Директива 95 / 46 / ЕС Европейского парламента и Совета по защите частных лиц в отношении обработки персональных данных и свободного перемещения таких данных и национальных данных - Конституции Республики Молдова, Закона о защите личных данных, Закона о доступе к информации , Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства №. 1123 от 14 декабря 2010 года, Положение о Регистре регистраторов персональных данных, утвержденное Постановлением Правительства №. 296 от 15 мая 2012 года и другие соответствующие законодательные / нормативные акты.

 

II. введение

SRL «Мегатрадеком» зарегистрировала офис в Кишиневе, Трушень, ул. Калея Иешилор 28/2, Кишинев, Республика Молдова.

Политика одобрена администратором SRL «Megatradecom», действующим по статусу SRL «Мегатрадеком».

Настоящая Политика также утверждена, в том числе для соответствия ООО «Мегатрадеком» положениям Постановления Правительства Республики Молдова №123 от 14 декабря 2010 года «Об утверждении Требования к обеспечению безопасности персональных данных при их обработке в информационных системах личный »и Закон Республики Молдова № 133 от 08.07.2011 г.« Об охране персональных данных ».

 

III. ОБЩИЕ ПРИНЦИПЫ

 

В этой политике безопасности определены / используются следующие термины:

личные данные - любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных). Поддающееся идентификации лицо является лицом, которое может быть идентифицировано, прямо или косвенно, ссылкой на идентификационный номер или на один или несколько элементов, характерных для его или ее физических, физиологических, психологических, экономических, культурных или социальных идентичностей;
специальные категории персональных данных - данные, раскрывающие расовое или этническое происхождение человека, ее политические, религиозные или философские убеждения, данные о социальной принадлежности, здоровье или половой жизни, а также уголовные обвинительные приговоры, процедурные принудительные меры или противоправных санкций;

оператор - физическое или юридическое лицо, регулируемое государственным или частным правом, включая государственный орган, любое другое учреждение или организацию, которые индивидуально или совместно с другими устанавливают цели и средства обработки персональных данных, явно предусмотренных действующее законодательство;
оператор - физическое или юридическое лицо, регулируемое государственным или частным законодательством, в том числе государственным органом и его территориальными подразделениями, обрабатывая личные данные от имени и по поручению оператора на основании инструкций, полученных от оператора;

аутентификация - проверка идентификатора, присвоенного субъекту доступа, подтверждение аутентификации;

контроль безопасности - действия, предпринятые ООО «Мегатрадеком» в целях обеспечения адекватного уровня безопасности персональных данных, обрабатываемых в информационных системах и / или сохраняемых регистрах;

временные файлы - набор данных или цифровой информации, созданных в течение ограниченного периода времени до начала задач, для которых они были назначены;

идентификация - назначение идентификатора субъектам и доступ к объектам и / или сравнение идентифицированного идентификатора со списком назначенных идентификаторов;

целостность - достоверность, непротиворечивая и актуальная информация, содержащая личные данные, ее защита от разрушения и несанкционированного изменения;

средства криптографической защиты информации, содержащей персональные данные - технические, программно-технические средства, системы и сложные системы, которые выполняют алгоритмы криптографического преобразования информации, содержащей персональные данные, предназначенные для обеспечения целостности и конфиденциальности информации в процессе обработки, хранения и передачи по каналам связи;

Уровень защиты - соразмерно уровня риска безопасности, создаваемый при обработке персональных данных на вопрос и права и свободы, разработанные и обновляемых до уровня технологического развития и затрат на их осуществление;

Политика безопасности персональных данных - это документ, составленный контроллер данных - ООО «Megatradecom», которая обеспечивает точное описание функций безопасности и защит, выбранные для защиты данных, принимая во внимание данные потенциальных опасностей обрабатываются личные и реальные риски, которым они подвергаются;

периметр безопасности - который сам по себе барьер пересечения прикрепляться с помощью физического и / или технического доступа;

Лицо, ответственное за политику безопасности персональных данных - лицо, ответственное за надлежащее функционирование комплексной системы защиты информации, содержащей персональные данные, а также разработки, осуществления и контроля за соблюдением данных держателя политики безопасности персонал;

защита информации от последствий непреднамеренного - комплекс мер, направленные на предотвращение действия непреднамеренного, вызванные ошибками пользователей, дефекты означают технические приложения, природные явления или другие причины не направленных непосредственно информации о модификации, но приводит к искажению, уничтожению, копирование, блокирование доступа к информации, а также потери, разрушение или повреждение материальной поддержки информации, содержащей персональные данные;

personal- носитель данных магнитной, оптической, лазерной, бумаги или другой информации поддержки, которая создается, фиксируется, передается, принимается, хранить, или иным образом использовать данный документ и позволяет его воспроизведение;

datelor- процедура восстановления при восстановлении / предустановленные персональные данные в состоянии они находились до момента утраты или уничтожения;

информационные технологии - все методы, процедуры и средства обработки и передачи информации, содержащей персональные данные и его правила, реализующие;

user- лицо, действующее под руководством личного владельца данных с признанным доступом к информационным системам персональных данных;

рабочая сессия - период начинается с моментом, когда вы начинаете ваш компьютер и использовать приложение или информационный ресурс и информационный ресурс при запуске во время перерыва;

информационная система персональных данных - все взаимосвязанные информационные ресурсы и технологии, методы и персонал, для сохранения, обработки и предоставления информации, содержащей персональные данные;

обработка персональных данных - любая операция или набор операций, которая выполняется на персональные данные с помощью автоматизированных средств или неавтоматизированный, таких как сбор, запись, организация, хранение, сохранение, восстановление, адаптация или изменения, поиск, консультация, использование раскрытие посредством передачи, распространения или каким-либо другим образом, ассоциации или комбинации, блокирование, стирание или разрушение;

хранение - хранение какой-либо поддержки персональных данных;

подачи данных системы personal- любого структурированного набора личных данных доступны в соответствии с определенными критериями, будь то централизованными, децентрализованным или распределенным по функциональным или географическим критериям;

согласие субъекта данных personal- любое проявление свободной воли, прямо и безоговорочно в письменном или электронном виде, в соответствии с требованиями электронного документа, с помощью которых субъект персональных данных соглашается быть обработаны данные о нем;
обезличивание данных - изменение личных данных, так что сведения о личных или материальных обстоятельств не допустит присвоения им лицу, обозначенному или идентифицируемого физического или дать награду только если расследование требует непропорционально затрат времени, ресурсов и рабочей силы.

 

Внутривенно Цель политики безопасности

Основными задачами политики являются доступность, целостность и конфиденциальность всей информации, в том числе персональных данных, обработанных ООО «Megatradecom» как в ручной обработке, а также информационные системы и процессы, технологии. Безопасность является важным компонентом оптимальной производительности ИТ-процессов на базе ООО «рамку Megatradecom». Основой адекватной ИТ-безопасности является соблюдение этой Политики. Это включает в себя требования и правила для защиты всей информации, в том числе персональных данных, систем и ИТ-процессов от воздействий природных, человеческих ошибок и технических и против умышленных действий, которые могут причинить ущерб имуществу или нематериальное, или могут привести к нарушению законодательство. Учитывая, что безопасность ИТ не может быть гарантирована исключительно техническими системами, эта политика также затрагивает организационные, правовые и другие вопросы.

Компания «Мегатрадеком» будет защищать персональные данные участников процесса / посетителей, а также своих сотрудников.

         Положения настоящей Политики являются минимальным стандартом для ООО «Мегатрадеком», включая всех сотрудников ООО «Мегатрадеком». Начиная с этого правила, все работники ООО «Мегатрадеком» строго следуют положениям Политики и правил внутреннего рынка Megatradecom SRL по защите персональных данных и ИТ-систем.

 

V. Положения об иерархии и ответственности лица, ответственного за политику безопасности

 

Оператор персональных данных, определяющий специфику деятельности, посредством этой Политики безопасности, переносит процедуры и меры, необходимые для обеспечения адекватного уровня защиты для обработки персональных данных в управляемых системах учета.

Политика безопасности персональных данных будет пересматриваться не реже одного раза в году в результате изменений или ПЕРЕОЦЕНОК навыков лица наделяются правителями назначить лицо / с, который будет переходить непосредственно к корректировке положений настоящего Закона.

Политика безопасности обязательно будет доведена до сведения всех сотрудников, ответственных за обработку персональных данных, до предоставления доступа к обработке персональных данных, включая работу с изменениями, с необходимостью обеспечения адекватного уровня защиты личные данные.

Ответственный за реализацию и контроль за соблюдением политики безопасности персональных данных будет обозначаться человеку описание работы и / или внутреннего порядка, будет иметь достаточные ресурсы (время, человеческие ресурсы, оборудование и бюджет) и будет иметь свободный доступ к информации, необходимой для выполнения ее функций, поскольку она не действует за пределами этой политики.

Места ответственного лица, независимо от выполняемых обязанностей в мониторинге осуществления / соблюдения политики безопасности будет подчинена непосредственно возглавить ООО «Megatradecom» или лицо, имеющее временный.

Лицо, ответственное за политику безопасности персональных данных дает четкое определение различных обязанностей по безопасности обработки персональных данных (профилактика, наблюдение, обнаружение и обработка) и управление им внешнего давление в результате личных интересов или другие обстоятельства.

Лицо, отвечающее за политику безопасности персональных данных, четко определит обязанности и процессы управления безопасностью персональных данных с их надлежащей интеграцией в организационную и общую структуру, предоставит технические и организационные меры, необходимые для организации процесса управления безопасности персональных данных, разработает процедуры классификации информации, содержащей персональные данные, с тем чтобы можно было составить номенклатуру и все обрабатываемые персональные данные, независимо от типа носителя данных, будет обучать лица, участвующие в обработке персональных данных, для выполнения своих функциональных обязанностей и принятия обязанностей по обеспечению безопасности персональных данных, включая их конфиденциальность.

 

VI. Средства, основанные на принципах защиты персональных данных

Защита персональных данных в ООО «Megatradecom» (как оператор персональных данных) обеспечиваются комплексом технических и организационных мер, предупреждающих против незаконной обработки персональных данных.

Защита специальными средствами / процедурами подчиняется всем персональным диспетчерам данных контроллера персональных данных, содержащих личные данные, которые хранятся:

- магнитные, оптические, лазерные или другие носители электронной информации, массивные данные и базы данных;

- информационные системы, сети, операционные системы, системы управления базами данных и другие приложения, телекоммуникационные системы, включая средства создания и умножения документов и других технических средств обработки информации.

 

VII. Предусмотрены меры защиты персональных данных, чтобы:

 

§ предотвращать утечку информации, содержащей персональные данные, методом исключения несанкционированного доступа к ней;

§ предотвращать уничтожение, модификацию, копирование, несанкционированную блокировку персональных данных в сетях электросвязи и информационных ресурсах;

§ недопущение раскрытия третьей стороной информации с ограниченной доступностью;

§ Улучшение информационных ресурсов как на бумаге, так и в электронном виде.

 

VIII. Защита персональных данных, обрабатываемых в информационных системах, осуществляется следующими способами:

 

§ предотвращение несанкционированных подключений к телекоммуникационным сетям и перехват с помощью технических средств персональных данных, передаваемых через эти сети,

§ исключение несанкционированного доступа к обработанным персональным данным;

§ Предотвращение специальных технических и программных действий, которые обусловливают уничтожение, изменение персональных данных или сбоев в работе технического и программного комплекса,

§ предотвращение намерений и / или непреднамеренных пользователей внутренних и / или внешних, и другие члены оператора / лиц, уполномоченных оператором, который определяет разрушение, изменение или повреждение личных данных в технической и комплексной программы работы,

§ предотвращение утечки информации, содержащей персональные данные, передаваемые по каналам связи, обеспечивается с использованием методов шифрования этой информации, а также использования VPN-каналов,

§ предотвращение уничтожения, изменения личных данных или сбоев в функционировании программного обеспечения для обработки персональных данных обеспечивается с помощью метода с использованием средств защиты и специальных технических программ, включая программы лицензионных антивирусных программ, организации контроля безопасности системы программного обеспечения и периодического резервного копирования,

§ для предотвращения утечки информации, содержащей персональные данные, обеспечивается внутренним аудитом информационных систем, который осуществляется на постоянной основе.

§ точная настройка порядка доступа к информации, содержащей персональные данные, обрабатываемой в системах информации и фактических данных, установленных как для внутренних, так и для внешних пользователей.

 

 

IX. Организационные и технические процедуры, которые должны соблюдаться в «Megatradecom» SRL при обработке персональных данных

 

1. Общие меры по управлению информационной безопасностью

 

a) В случае временного неиспользования бумажных или электронных (цифровых) носителей, содержащих персональные данные, они должны храниться в замках или замках металлических шкафов.

b) Компьютеры, терминалы доступа и принтеры отключены в конце рабочих сессий.

c) Обеспечена безопасность почтовых ящиков, а также защита от несанкционированного доступа к факсимильным аппаратам и копировальным аппаратам.

d) Обеспечивается безопасность и физический доступ к средствам представления информации, содержащей персональные данные, с тем чтобы не допустить их просмотра.

e) Средства для обработки персональных данных, информации, содержащей персональные данные или программное обеспечение для обработки персональных данных, удаляются из периметра безопасности только на основании письменного разрешения руководства.

f) Все программы, используемые в ИТ-системе, соответствуют условиям лицензирования.

g) Запрещается устанавливать бесплатные или бесплатные программы без разрешения ИТ-администратора.

 

2. Безопасность физической среды и информационных технологий, используемых при обработке персональных данных

 

а) доступ в помещение / офисы / офисы и помещение, где они расположены информационные системы персональных данных, ограничен, что позволяет только людям, которые имеют необходимые полномочия, как перечисленные или соответствующие знаки (значки, значки, идентификационные карты).

b) Обеспечивается администрирование и мониторинг физического доступа во всех точках доступа к персональным информационным системам, включая реакцию на нарушение режима доступа.

c) Защитный периметр ООО «Мегатрадеком» - это периметр офисов, где персональные данные обрабатываются / хранятся.

г) по периметру здания или помещений, где они расположены путем обработки персональных данных в терминах физической целостности, наружные стены комнат устойчивы, замки и входы оснащены сигнализацией.

e) Расположение средств обработки персональных данных соответствует необходимости обеспечения их безопасности от несанкционированного доступа, краж, пожаров, наводнений и других возможных рисков.

f) Двери и окна должны быть заперты, если члены отсутствуют в комнате.

g) Компьютеры, серверы, другие терминалы доступа расположены в местах с ограниченным доступом для иностранцев.

ч) доступ к периметру безопасности здания ООО «Megatradecom», где обработка / хранение личных данных с оборудованием Фото / видео несанкционированного запрещено принимать во внимание необходимости обеспечения конфиденциальности и безопасности обработки персональных данных, предоставленных статья 29 и ст. 30 Закона о защите персональных данных, а также в пункте 26 Требования.

i) Использование фото, видео, аудио или других средств записи по периметру неопределенности допускается только при наличии специального разрешения на управление.

 

3. Идентифицировать и аутентифицировать пользователей

 

а) Идентификация и аутентификация пользователей персональных информационных систем и процессов, выполняемых от имени таких пользователей.

b) Все пользователи (включая сотрудников технической поддержки, сетевых администраторов, программистов и администраторов баз данных) имеют персональный идентификатор (идентификатор пользователя), который не содержит предупреждений о уровне доступа пользователя.

c) Пароли, физический токен или микропроцессорные карты, для подтверждения идентификатора пользователя используются средства биометрической аутентификации, основанные на уникальных и индивидуальных характеристиках человека.

d) Если договор трудоустройства / отношения пользователя были прекращены, приостановлены или изменены и новые задачи не требуют доступа к личным данным или доступ пользователей прав, были изменены или пользователь неправильно принятые коды с целью совершения унижающего достоинство действия, отсутствует в течение длительного времени, коды идентификации и аутентификации отменяются или приостанавливаются ИТ-администратором

 

4. Идентификация и аутентификация оборудования

 

Можно идентифицировать и аутентифицировать оборудование, используемое в операциях обработки персональных данных, при сохранении этой информации в течение длительного периода времени.

 

5. Управление идентификаторами пользователей

 

Управление идентификаторами пользователей включает в себя:

- однозначная идентификация каждого пользователя,

- проверка подлинности каждого пользователя.

 

6. Использование паролей в процессе обеспечения информационной безопасности

 

Правила обеспечения информационной безопасности соблюдаются при выборе и использовании паролей, которые включают:

- сохранение конфиденциальности паролей,

- запрет регистрации паролей на бумаге, если безопасность его хранения не гарантируется,

- Изменение паролей каждый раз, когда есть подсказки для возможного компрометации вашей системы или пароля,

- выбор качественных паролей с минимум 8 символами, которые не связаны с личной информацией пользователя, не содержат последовательных идентичных символов и не состоят из групп цифр или букв,

- изменение паролей в течение трехмесячных интервалов,

- Деактивация процесса автоматической записи (с использованием сохраненных паролей).

 

7. Контроль управления доступом

 

Выполняется систематический контроль действий пользователя для оценки правильности и соответствия операций и действий, выполняемых с помощью персональных информационных систем.

 

8. Удаленный доступ

 

a) Все методы удаленного доступа к персональным информационным системам защищены (с использованием VPN, шифрования, шифрования и т. д.), а также документированы, подлежат мониторингу и контролю.

b) Каждый способ удаленного доступа к персональным информационным системам уполномочен ответственными лицами «Megatradecom» SRL и разрешен только для пользователей, которым необходимо достичь установленных целей.

 

9. Ограничение использования беспроводных технологий

 

a) Беспроводной доступ к персональным информационным системам ограничен максимальным документированным документом, подлежащим мониторингу и контролю.

b) Беспроводной доступ к системам персональной информации разрешен только при использовании криптографической информации.

c) Использование беспроводных технологий разрешено ответственными лицами компании «Megatradecom» SRL.

 

10. Безопасность электропитания

 

a) Электрооборудование, используемое для поддержания функциональности персональных информационных систем, электропроводки, защищено от повреждений и несвязанных соединений, устанавливая их в специальных нишах.

б) В случае исключительных ситуаций с аварийными ситуациями или форс-мажорных обстоятельств обеспечивается возможность отключения электричества от персональных информационных систем, в том числе возможность отключения любого ИТ-компонента.

c) Автоматизированные системы обнаружения пожара и обнаружения пожара осуществляются в офисах, где расположены информационные системы персональных данных и средства обработки персональных данных.

 

11. Управление установкой и удалением компонентов T.I.

 

a) Осуществляется контроль и регистрация установки и удаления средств программы, технических средств и технических программ, используемых в информационных системах персональных данных.

b) Информация, содержащая персональные данные и содержащие носители информации, физически уничтожается или транскрибируется и уничтожается безопасными методами, избегая использования стандартных функций уничтожения.

 

12. Раскрытие персональных данных

 

а) Раскрытие электронного формата личных данных, содержащихся в системах записи, сетях связи или другой цифровой поддержке хранения и хранения, предоставляется для шифрования этой информации или для изучения возможности использования двустороннего соединения с защищенным каналом VPN. Беспроводной доступ к системам записи персональных данных разрешен только авторизованным пользователям. Каждый случай запроса раскрытия путем передачи персональных данных электронными средствами будет рассматриваться отдельно, с учетом технических возможностей, предоставляемых получателем и оператором, а также в соответствии с организационными и техническими мерами, осуществляемыми сторонами. Если сети связи создают риск для конфиденциальности и безопасности персональных данных, будут использоваться традиционные методы передачи (почтовые расходы с рекомендованным одобрением, инвентаризация и т. Д.).

b) Раскрытие путем передачи персональных данных через несовместимые сети связи (например: отправка информации через личные электронные письма, такие как @ gmail.com, @ mail.ru, @ yahoo.com и т. д. .) запрещены.

c) раскрытие персональных данных между ООО «Мегатрадеком» и другими лицами, которые расположены географически на левом берегу Днестра, которое отказывается соблюдать законодательство Республики Молдова, запрещено на основании того, что на данный момент нет возможности осуществлять эффективный контроль на этой части территории, включая часть, касающуюся соответствия обработки персональных данных положениям Закона о защите персональных данных.

d) Процедура раскрытия личных данных, хранящихся на бумажной и / или цифровой основе, за пределами Республики Молдова, регулируется институциональным / двусторонним соглашением с учетом необходимости обеспечения адекватного уровня защиты личных данных.

 

e) Трансграничная передача персональных данных осуществляется в строгом соответствии с положениями ст. 32 Закона об охране персональных данных, особенно в тех случаях, когда международный договор, по которому осуществляется передача, не содержит каких-либо гарантий в отношении защиты прав субъекта персональных данных.

f) Объем и категории персональных данных, собираемых для целей ведения учета ООО «Мегатрадеком», ограничены тем, что строго необходимо для достижения заявленных целей.

г) доступ к информационным системам, управляемых в рамках ООО «Megatradecom» Генеральный прокурор (в случае необходимости территориального прокурора / специализированный), Министерство внутренних дел, Национальный антикоррупционный центр и т.д., будет разрешен только, если запрос соответствует ст , 15 и ст. 212 Уголовно-процессуальный кодекс.

Он объясняет, что в соответствии со статьей 157 Уголовно-процессуального кодекса, документов в любой форме (письменные, аудио, видео, электроника и т.д.), происходящих из физических или юридических должностных лиц, если они подвергаются или истинные обстоятельства, имеющие значение по этому делу (включая информацию, хранящуюся при проверке систем информации и фактических данных), может запрашиваться органом уголовного преследования в ходе уголовного преследования или судебного разбирательства по делу. В этом случае, однако, положения статьи 214 Уголовно-процессуального кодекса, которые предусматривают, что в ходе уголовного судопроизводства никакая официальная информация с ограниченной доступностью не может управляться, использоваться и распространяться без необходимости. Люди, которые organulde преследования или суда для связи или присутствуют informaţieoficială с ограниченным доступом (в том числе операторов персональных данных), имеет право быть удовлетворено тем, что эти данные собираются для соответствующих уголовного и иным образом отказаться для связи или для передачи данных. Лица, которым орган уголовного преследования или суд просит их сообщить или предоставить официальную информацию с ограниченной доступностью, имеют право на получение от лица, запрашивающего информацию, письменного объяснения, подтверждающего необходимость предоставления указанных данных.

Является ли иметь в виду, что в соответствии со статьей 8 Закона о доступе к информации, персональные данные являются частью официальной информации с ограниченным доступом, доступ к которым осуществляется в соответствии с законодательством о защите данных лично.

В случае, если адвокат или лицо, уполномоченное ознакомиться с личным записям клиента, они должны быть проинформированы в письменной форме об их обязательствах в соответствии с положениями ст. Уголовно-процессуальный кодекс, ст. 29 и 30 Закона о защите личных данных, включая ответственность по ст. 741 Кодекс поведения.

 

13. Права субъектов персональных данных

 

a) Если личные данные собираются непосредственно с предмета этих данных, в соответствии с положениями статьи 12 Закона о защите личных данных лицо требует предоставления следующей информации, если он уже не имеет эта информация:

- личность оператора или, если применимо, лица, уполномоченного оператором (имя, юридический адрес, IDNO, регистрационный номер в Регистре операторов персональных данных);

- в отношении конкретной цели обработки собранных персональных данных;

- в отношении получателей или категорий получателей персональных данных;

- наличие прав на информацию и доступ к собранным данным; изменять данные (в частности, для исправления, обновления, блокировать или удалять персональные данные, обработка которых является нарушением закона из-за неполной или неточной их) и оппозиции, и условий, при которых эти права могут быть осуществлены; если ответы на вопросы, с которыми собираются данные, являются обязательными или добровольными, включая возможные последствия отказа отвечать на вопросы, по которым собирается информация.

 

б) субъект персональных данных гарантируется право доступа и возможность ознакомиться с документами, с целью проверки правильности их создания, оспаривая против невключения или включения неверных данных и против других ошибочных данных сам по себе. В связи с этим, лица, ответственные за обработку персональных данных, обеспечат ей доступ только персональные данные, которые она ссылается неявно правит консультацию персональных данных, направленных на других предметах, содержащихся в личных делах (другие) , если у заявителей нет законных интересов, которые не наносят ущерба интересам или основным правам и свободам предмета личных данных.

c) Право на информацию предоставляется оператором персональных данных (или организаций, которые обеспечивают обслуживание системы и / или аутсорсинговые услуги для оператора) всем лицам, подлежащим обработке.

d) В случае реализации субъекта персональных данных, право на вмешательство, неточные данные будут обновляться по коррекции или удалениям, как обслуживали только основные правовые источники (удостоверения личности, гражданское состояние, основные государственные информационные ресурсы и т.д. ), модификация должна выполняться во всех системах управляемой информации и записей.

 

14. Хранение, хранение и уничтожение обработанных персональных данных

 

a) Доступ к помещениям / периметру, на которых расположены информационные системы и личные данные, ограничен, разрешается только лицам, уполномоченным в соответствии с политикой институциональной безопасности / утвержденными ведомственными нормами.

б) сохранение и поддержание электронного формата персональных данных, структурированных систем подачи, компьютеры подключены к сети Интернет, не оборудованы специальными средствами технической защиты и программы и не установили лицензионное программное обеспечение, антивирусные системы средства защиты программного обеспечения, периодические резервные копии и аудит - запрещены.

c) Запрещается введение в периметр организационной безопасности и использование персональных компьютеров или носителей информации для служебных целей. Кроме того, доступ к компьютерному оборудованию защищен / ограничен, создавая профили пользователей, а права администратора доверяются только лицу, ответственному за реализацию политики безопасности, указанной в «Megatradecom» SRL.

d) хранение персональных данных на магнитном, оптическом, лазерном, бумажном или другом носителе информации, на котором документ создается, фиксируется, передается, принимается, сохраняется или иным образом используется позволяет его воспроизводить, обеспечивается путем помещения его в замки или шкафчики. Запрещается удалять личные носители данных с периметра оператора без разрешения.

 

15. Аудит управляемых информационных систем

 

a) Регистрация попыток ввода / вывода пользователя выполняется в системе в соответствии со следующими параметрами:

- дата и время попытки входа / выхода;

- Идентификатор пользователя

- результат попытки входа / выхода - положительный или отрицательный.

b) См. регистрацию попыток получить доступ (выполнение операций) для приложений и процессов для обработки персональных данных в соответствии со следующими параметрами:

- дата и время попыток доступа (выполненных),

- имя приложения или процесса (идентификатор), o идентификатор пользователя,

- Спецификация защищенного ресурса (идентификатор, логическое имя, имя файла, номер и т. Д.)

- тип запрашиваемой операции (чтение, запись, удаление и т. д.)

- результат попытки получить доступ (выполнение операции) - положительный или отрицательный.

c) Регистрация изменений прав доступа пользователя (компетенций) и статуса объектов доступа производится в соответствии со следующими параметрами:

- дата и время изменения компетенций,

- Идентификатор администратора, внесший изменения,

- Идентификатор пользователя и его компетенция или спецификация объектов доступа и их новый статус.

d) Запись выхода из системы информации, содержащей персональные данные (электронные документы, данные и т. д.), регистрация изменений прав доступа субъектов и статуса объектов доступа должна производиться в соответствии со следующими параметрами:

- дата и время выпуска,

- название информации и способы ее доступа,

- спецификация оборудования (устройства), выдавшего информацию (логическое имя),

- Идентификатор пользователя, который запросил информацию.

 

16. Обеспечить защиту от вредоносных программ (вирусов)

 

Защита от проникновения вредоносного программного обеспечения в программное обеспечение для обработки персональных данных обеспечивается за счет наличия антивирусных лицензионных программ.

 

17. Проверка функциональных возможностей обеспечения безопасности персональных информационных систем

 

Обеспечивается проверка правильности функционирования функций безопасности персональных информационных систем (автоматическое при запуске системы и ежемесячно по запросу уполномоченного на это пользователя).

 

18. Управление инцидентами безопасности

 

(a) Персонал, управляющий персональными информационными системами, должен, по крайней мере один раз в год, проводить подготовку по вопросам ответственности и обязательств в случае действий по управлению инцидентами в области безопасности и реагирования.

б) Персонал ООО «Мегатрадеком» незамедлительно информирует руководство об инцидентах, нарушающих безопасность информационных систем персональных данных.

c) Обработка инцидентов включает обнаружение, анализ, предотвращение, разработку, удаление и восстановление безопасности.

d) К 31 января каждого года контролер персональных данных должен письменно информировать Национальный центр защиты персональных данных об обнаруженных инцидентах безопасности.

е) «В случае инцидентов безопасности в ОО&