022 80 20 81
Запросить консультацию
RO

Политика конфиденциальности

Политика использования файлов cookie

1. Зачем мы используем файлы cookie
Файлы cookie используются на нашем сайте по разным причинам, которые будут описаны ниже. Файлы cookie, используемые на сайте https://justconsult.md, не содержат информации, которая может идентифицировать конкретное лицо, и не могут нанести вред вашему компьютеру. Команда JustConsult через политику использования файлов cookie стремится поддерживать сайт информативным, персонализированным и максимально дружественным для пользователей. Файлы cookie являются отличным инструментом для достижения этих целей.
Используя сайт https://justconsult.md, вы соглашаетесь на использование файлов cookie и других технологий, которые могут быть указаны в данной политике. Мы предполагаем, что многие пользователи хотят настроить свои посещения наших веб-страниц. Для этой цели ниже будут объяснены некоторые правила для более эффективного использования технологии cookie. Если вы не согласны с использованием технологии файлов cookie, пожалуйста, не используйте этот сайт.
2. Что такое файлы cookie?
Файл cookie — это небольшой документ, содержащий определенную информацию, которую наш сайт может отправить в ваш браузер. Этот файл будет сохранен на вашем компьютере, и при повторном открытии сайта https://justconsult.md он может быть доступен нашему серверу. Используя информацию о посещениях и запросах людей, просматривающих страницы https://justconsult.md, мы сможем настроить сайт так, чтобы он соответствовал основным потребностям посетителей. Очень важно отметить, что файлы cookie не могут собирать личные данные или важную информацию, находящуюся на вашем компьютере!
3. Использование других файлов cookie
В целях веб-аналитики наш сайт может генерировать статистику, предоставляемую сайтом Google.com. Поэтому при просмотре файлов cookie на вашем персональном компьютере вы можете обнаружить файлы cookie именно с сайта google.com. Для обеспечения вашей безопасности, пожалуйста, внимательно ознакомьтесь с политикой безопасности файлов cookie корпорации Google.
4. Медиа- и видеофайлы
Для создания более привлекательного образа веб-страниц, содержащихся на сайте https://justconsult.md, часто используются фотографии или видеофайлы, которые могут быть взяты с таких сайтов, как http://youtube.com или http://facebook.com. В таких случаях на вашем компьютере также могут появиться файлы cookie этих операторов. JustConsult не несет ответственности за политику использования файлов cookie этих операторов, поэтому мы рекомендуем ознакомиться с ней на их сайтах.
5. Как я могу контролировать файлы cookie?
JustConsult не использует файлы cookie для сбора персональных данных о посетителях страниц сайта. Если вы решите отключить использование файлов cookie, отклонить или заблокировать их, некоторые страницы или информация на сайте https://justconsult.md могут работать неправильно или не открыться вовсе.

Более подробную информацию об использовании файлов cookie, их блокировке, отклонении или запрете использования рекомендуем прочитать на специализированных веб-страницах.
Политика безопасности по защите персональных данных при их обработке в рамках информационных систем, управляемых S.R.L. „JustConsult”

I. Преамбула
При обработке персональных данных в рамках организации применяются принципы, предусмотренные международными актами, такими как Всеобщая декларация прав человека, Конвенция о защите прав человека и основных свобод, Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных, Директива 95/46/CE Европейского парламента и Совета о защите физических лиц при обработке персональных данных и свободном обращении таких данных, а также национальными актами, включая Конституцию Республики Молдова, Закон о защите персональных данных, Закон о доступе к информации, Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением правительства №1123 от 14 декабря 2010 года, и другие законодательные/нормативные акты.

II. Введение
S.R.L. „JustConsult” зарегистрирована по адресу: Республика Молдова, мун. Кишинёв, ул. Исмаил 81/1, офис 212. Политика утверждена директором S.R.L. „JustConsult”, который действует в соответствии с законодательством. Настоящая Политика также утверждена для приведения информационных и механических систем S.R.L. „JustConsult” в соответствие с Постановлением правительства Республики Молдова №1123 от 14 декабря 2010 года и Законом Республики Молдова №133 от 08.07.2011 «О защите персональных данных».

III. Основные понятия
В настоящей Политике безопасности используются следующие понятия:
  • Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
  • Специальные категории персональных данных – данные, которые раскрывают расовое или этническое происхождение, политические, религиозные или философские убеждения, принадлежность к социальной группе, данные о состоянии здоровья или сексуальной жизни, а также данные о судимости и принятых мерах правового воздействия.
  • Оператор – физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных.
  • Уполномоченное лицо оператора – физическое или юридическое лицо, которое обрабатывает данные от имени оператора.
  • Аутентификация – проверка идентификатора субъекта доступа, подтверждение подлинности.
  • Контроль безопасности – действия, предпринятые для обеспечения надлежащего уровня безопасности данных.
  • Временные файлы – набор данных, созданный на ограниченный срок.
  • Идентификация – назначение идентификатора субъектам и объектам доступа.
  • Целостность – точность и актуальность информации.
  • Криптографическая защита – средства защиты, обеспечивающие конфиденциальность и целостность информации.
  • Уровень защиты – уровень безопасности, пропорциональный риску обработки данных.
  • Политика безопасности – документ, описывающий меры по защите данных.
  • Периметр безопасности – зона, контролируемая физическими или техническими средствами.
  • Ответственное лицо за политику безопасности – лицо, отвечающее за функционирование системы защиты данных.
  • Защита информации от непреднамеренных действий – меры, направленные на предотвращение ошибок и сбоев.
  • Носитель персональных данных – носитель информации, содержащий персональные данные.
  • Восстановление данных – процесс восстановления утраченных данных.
  • Информационные технологии – совокупность методов и средств обработки и передачи информации.
  • Пользователь – лицо, имеющее право доступа к системам персональных данных.
  • Сеанс работы – период с момента включения компьютера до его выключения.
  • Система обработки персональных данных – совокупность средств и технологий для хранения, обработки и передачи данных.
  • Обработка персональных данных – любые операции с персональными данными, такие как сбор, запись, хранение, передача и удаление.
  • Хранение – сохранение данных на любом носителе.
  • Система учёта персональных данных – структурированная серия данных, доступных по определённым критериям.
  • Согласие субъекта данных – добровольное выражение согласия на обработку данных.
  • Обезличивание данных – изменение данных таким образом, чтобы они не могли быть соотнесены с конкретным лицом.
IV. Цели Политики Безопасности
Основные цели Политики – обеспечение доступности, целостности и конфиденциальности всей информации, включая персональные данные, обрабатываемые ООО «JustConsult», как в процессе ручной обработки, так и в рамках систем и процессов информационных технологий. Безопасность является важнейшим элементом для оптимального выполнения IT-процессов в ООО «JustConsult». Соблюдение данной Политики является основой для адекватной IT-безопасности, охватывая требования и правила защиты всей информации, включая персональные данные, IT-систем и процессов от природных факторов, человеческих и технических ошибок, а также от преднамеренных действий, которые могут нанести материальный или нематериальный ущерб, либо привести к нарушению законодательства.

ООО «JustConsult» защищает персональные данные как участников процесса, так и своих сотрудников. Положения данной Политики представляют собой минимальный стандарт для ООО «JustConsult», обязательный для всех его сотрудников. Все сотрудники ООО «JustConsult» обязаны строго соблюдать положения Политики и внутренние правила компании, касающиеся защиты персональных данных и IT-систем.

V. Положения об иерархии и ответственности лица, отвечающего за Политику безопасности
Оператор персональных данных, исходя из специфики своей деятельности, применяет процедуры и необходимые меры для обеспечения адекватного уровня защиты при обработке персональных данных в рамках управляемых систем учета. Политика безопасности персональных данных пересматривается не реже одного раза в год в результате изменений или переоценки компетенций организации, и руководители обязаны назначить лицо/лица, которые будут непосредственно заниматься корректировкой положений данного акта. Политика безопасности обязательно доводится до сведения всех сотрудников, ответственных за обработку персональных данных, под подпись до предоставления доступа к обработке данных, включая внесение изменений в случае необходимости обеспечения надлежащего уровня защиты данных.

Ответственным за внедрение и мониторинг соблюдения положений политики безопасности персональных данных назначается лицо, которое в соответствии с должностной инструкцией и/или внутренним приказом будет располагать достаточными ресурсами (время, людские ресурсы, оборудование и бюджет) и иметь свободный доступ к необходимой информации для выполнения своих функций в пределах рамок данной политики. Назначенное ответственное лицо, независимо от выполняемых функций, в рамках мониторинга внедрения и соблюдения положений политики безопасности подчиняется непосредственно руководителю ООО «JustConsult» или лицу, выполняющему обязанности руководителя. Лицо, ответственное за политику безопасности персональных данных, обеспечивает четкое определение различных обязанностей по безопасности обработки данных (предотвращение, надзор, обнаружение и обработка), а также работу с ними без влияния личных интересов или иных обстоятельств.

Лицо, ответственное за политику безопасности персональных данных, четко определяет обязанности и процессы управления безопасностью персональных данных с их соответствующей интеграцией в общую организационную и функциональную структуру компании, обеспечивает технические и организационные меры, необходимые для организации процесса управления безопасностью данных, разрабатывает процедуры классификации информации, содержащей персональные данные, чтобы было возможно составить номенклатуру и локализовать все обрабатываемые персональные данные независимо от типа носителя данных. Лицо также обучает сотрудников, вовлеченных в процесс обработки персональных данных, для выполнения ими своих должностных обязанностей и принятия на себя ответственности за безопасность данных, включая их конфиденциальность.

VI. Средства, подлежащие принципам защиты персональных данных
Защита персональных данных в ООО «JustConsult» (в качестве оператора персональных данных) обеспечивается комплексом технических и организационных мер, направленных на предотвращение незаконной обработки персональных данных. Под защиту попадают все информационные ресурсы оператора персональных данных, содержащие персональные данные, которые хранятся на магнитных, оптических, лазерных или других носителях электронной информации, массивов информации и баз данных; информационные системы, сети, операционные системы, системы управления базами данных и другие приложения, системы телекоммуникаций, включая средства создания и дублирования документов и другие технические средства обработки информации.

VII. Меры по защите персональных данных обеспечиваются с целью:
  • предотвращения утечки информации, содержащей персональные данные, путем исключения несанкционированного доступа к ней;
  • предотвращения уничтожения, изменения, копирования и несанкционированной блокировки персональных данных в телекоммуникационных сетях и информационных ресурсах;
  • недопущения раскрытия третьим лицам информации с ограниченным доступом;
  • повышения эффективности информационных ресурсов как на бумажных носителях, так и в электронном формате.

VIII. Защита персональных данных, обрабатываемых в информационных системах, осуществляется следующими методами:
  • предотвращение несанкционированных подключений к телекоммуникационным сетям и перехвата с помощью технических средств персональных данных, передаваемых по этим сетям;
  • исключение несанкционированного доступа к обрабатываемым персональным данным;
  • предотвращение специальных технических и программных действий, которые могут привести к уничтожению или изменению персональных данных, либо сбоям в работе технического и программного комплекса;
  • предотвращение преднамеренных и/или непреднамеренных действий внутренних и/или внешних пользователей, а также других членов оператора/лиц, уполномоченных оператором, которые могут привести к уничтожению или изменению персональных данных либо сбоям в работе технического и программного комплекса;
  • предотвращение утечки информации, содержащей персональные данные, передаваемой по каналам связи, обеспечивается с помощью методов шифрования данной информации типа VPN, а также использования протоколов SSH через порт 22 и ограниченного доступа к информационным системам по IP;
  • предотвращение уничтожения, изменения персональных данных или сбоев в работе программного обеспечения, предназначенного для обработки персональных данных, обеспечивается с помощью специальных технических и программных средств защиты, включая лицензионные программы, антивирусные программы, организацию системы контроля за безопасностью программного обеспечения и периодическое выполнение резервных копий;
  • предотвращение утечки информации, содержащей персональные данные, обеспечивается внутренним аудитом информационных систем, который осуществляется постоянно;
  • точное установление порядка доступа к информации, содержащей персональные данные, обрабатываемым в рамках информационных и учетных систем как для внутренних, так и для внешних пользователей.
IX. Организационные и технические процедуры, которые должны соблюдаться в ООО «JustConsult» при обработке персональных данных

1. Общие меры по управлению информационной безопасностью
  • В случае временной неиспользования носителей информации на бумажных или электронных (цифровых) носителях, содержащих персональные данные, они хранятся в сейфах или запирающихся шкафах.
  • Компьютеры, терминалы доступа и принтеры отключаются по завершении рабочих сессий.
  • Обеспечивается безопасность пунктов приема/отправки корреспонденции, а также безопасность от несанкционированного доступа к факсимильным и копировальным аппаратам.
  • Обеспечивается безопасность и физический доступ к средствам представления информации, содержащей персональные данные, с целью предотвращения их визуализации несанкционированными лицами.
  • Средства обработки персональных данных, информация, содержащая персональные данные, или программное обеспечение, предназначенное для обработки персональных данных, могут быть выведены за пределы охраняемого периметра только на основании письменного разрешения руководства.
  • Все программы, используемые в информационной системе, соответствуют лицензионным условиям.
  • Установка программ типа Shareware или freeware без одобрения администратора информационной системы запрещена.
2. Безопасность физической среды и информационных технологий, используемых в процессе обработки персональных данных
  • Доступ в помещения/офисы/кабинеты или пространства, где расположены информационные системы с персональными данными, ограничен и разрешен только лицам, имеющим соответствующие разрешения, согласно спискам или соответствующим знакам (значкам, бейджам, идентификационным картам).
  • Обеспечивается управление и мониторинг физического доступа во всех точках доступа к информационным системам с персональными данными, включая реагирование на нарушения режима доступа.
  • Охраняемый периметр ООО «JustConsult» включает в себя офисы, где обрабатываются/хранятся персональные данные.
  • Периметр здания или помещений, где расположены средства обработки персональных данных, должен быть физически целостным; внешние стены помещений должны быть прочными, входы оборудованы замками и сигнализацией.
  • Расположение средств обработки персональных данных должно соответствовать необходимым требованиям по обеспечению их безопасности от несанкционированного доступа, краж, пожаров, наводнений и других возможных рисков.
  • Двери и окна закрываются, если в помещении отсутствуют сотрудники компании.
  • Компьютеры, серверы и другие терминалы доступа размещаются в местах с ограниченным доступом для посторонних лиц.
  • Доступ в охраняемый периметр здания, где обрабатываются/хранятся персональные данные (серверная комната, архив), с несанкционированным фото/видео оборудованием запрещен, учитывая необходимость обеспечения режима конфиденциальности и безопасности обработки персональных данных, предусмотренного статьями 29 и 30 Закона о защите персональных данных, а также пунктом 26 Требований.
  • Использование фото-, видео-, аудиотехники или других средств записи в охраняемом периметре допускается только при наличии специального разрешения руководства.
3. Идентификация и аутентификация пользователей
  • Осуществляется идентификация и аутентификация пользователей информационных систем с персональными данными и процессов, выполняемых от имени этих пользователей.
  • Все пользователи (включая персонал, обеспечивающий техническую поддержку, администраторов сети, программистов и администраторов баз данных) имеют уникальный личный идентификатор (ID пользователя), который не содержит признаков уровня доступа пользователя.
  • Для подтверждения ID пользователя используются пароли.
  • В случае если трудовой контракт/служебные отношения пользователя были прекращены, приостановлены или изменены, и новые обязанности не требуют доступа к персональным данным, или права доступа пользователя были изменены, или пользователь злоупотреблял полученными кодами с целью совершения правонарушения, или отсутствовал длительное время, коды идентификации и аутентификации аннулируются или приостанавливаются ИТ-администратором.
4. Идентификация и аутентификация оборудования
Обеспечивается возможность идентификации и аутентификации оборудования, используемого в операциях обработки персональных данных, с сохранением этой информации на длительный срок.

5. Управление идентификаторами пользователей включает:
  • уникальную идентификацию каждого пользователя;
  • проверку подлинности каждого пользователя.
6. Использование паролей в процессе обеспечения информационной безопасности
Соблюдаются правила обеспечения информационной безопасности при выборе и использовании паролей, которые включают:
  • сохранение конфиденциальности паролей;
  • запрет на запись паролей на бумажные носители, если не обеспечивается безопасность их хранения;
  • изменение паролей каждый раз, когда имеются признаки возможного компрометирования системы или пароля;
  • выбор качественных паролей длиной не менее 8 символов, которые не связаны с личной информацией пользователя, не содержат одинаковых последовательных символов и не состоят полностью из групп цифр или букв;
  • изменение паролей через каждые 3 месяца;
  • деактивация автоматизированного процесса регистрации (с использованием сохраненных паролей).
7. Контроль управления доступом
Осуществляется систематический контроль действий пользователей с целью оценки правильности и соответствия операций и действий, выполняемых с помощью информационных систем с персональными данными.
8. Доступ на расстоянии
  • Все методы удаленного доступа к информационным системам с персональными данными защищены (используются протокол SSH через порт 22, шифрование и т.д.), а также документированы, подлежат мониторингу и контролю.
  • Каждый метод удаленного доступа к информационным системам с персональными данными разрешен ответственными лицами S.R.L. «JustConsult» и разрешен только пользователям, которым он необходим для выполнения установленных задач.
9. Ограничение использования беспроводных технологий
  • Беспроводной доступ к информационным системам с персональными данными ограничен максимально, документирован, подлежит мониторингу и контролю.
  • Беспроводной доступ к информационным системам с персональными данными разрешен только при использовании криптографических средств защиты информации.
  • Использование беспроводных технологий разрешается ответственными лицами S.R.L. „JustConsult”.
10. Электробезопасность
  • Электрическое оборудование, используемое для поддержания функциональности информационных систем с персональными данными, а также электрические кабели защищены от повреждений и несанкционированных подключений, путем установки в специальные ниши.
  • В случае возникновения чрезвычайных ситуаций, аварий или форс-мажорных обстоятельств обеспечивается возможность отключения электроэнергии в информационных системах с персональными данными, включая возможность отключения любого компонента ИТ.
  • В офисах, где находятся информационные системы с персональными данными и средства обработки данных, внедрены автоматизированные системы обнаружения и сигнализации о пожаре.
11. Контроль установки и извлечения компонентов ИТ
  • Осуществляется контроль и учет установки и извлечения программных средств, технических средств и технических программ, используемых в информационных системах с персональными данными.
  • Информация, содержащая персональные данные и находящаяся на носителях информации, физически уничтожается или переписывается и уничтожается безопасными методами, избегая использования стандартных функций уничтожения.
12. Раскрытие персональных данных
  • Раскрытие электронного формата персональных данных, содержащихся в учетных системах, через коммуникационные сети или на других цифровых носителях, должно обеспечиваться шифрованием этой информации или рассмотрением возможности использования двустороннего соединения через протоколы SSH (порт 22). Беспроводной доступ к системам учета персональных данных разрешен только авторизованным пользователям. Каждый случай запроса раскрытия через передачу персональных данных по электронной почте будет рассматриваться отдельно, исходя из технических возможностей, предоставляемых получателем и оператором, а также в соответствии с организационными и техническими мерами, реализованными сторонами. Если коммуникационные сети представляют риски для конфиденциальности и безопасности персональных данных, будут использоваться традиционные методы передачи (почтовая отправка с уведомлением, личная передача и т.д.).
  • Запрещается раскрытие персональных данных через коммуникационные сети, которые не соответствуют требованиям (например: отправка информации через личные электронные почты типа @gmail.com, @mail.ru, @yahoo.com и т.д.).
  • Запрещаются операции по раскрытию персональных данных между С.Р.Л. «JustConsult» и другими субъектами, расположенными географически на левом берегу Днестра, которые отказываются подчиняться законодательству Республики Молдова, исходя из того, что в настоящее время не существует возможности осуществления эффективного контроля над этой территорией, включая соблюдение требований законодательства о защите персональных данных.
  • Процедура раскрытия через передачу персональных данных, хранящихся на бумажных и/или цифровых носителях, за пределами Республики Молдова должна быть урегулирована институциональным нормативным актом/двусторонним соглашением с учетом необходимости обеспечения надлежащего уровня защиты персональных данных.
  • Трансграничная передача персональных данных осуществляется строго в соответствии с положениями статьи 32 Закона о защите персональных данных, особенно в случаях, когда международный договор, на основании которого осуществляется передача, не содержит гарантий защиты прав субъекта персональных данных.
  • Объем и категории персональных данных, собираемых для учета клиентов и сотрудников S.R.L. «JustConsult», ограничены строгой необходимостью для достижения заявленных целей.
  • Доступ к информационным системам, управляемым в рамках С.Р.Л. «JustConsult», со стороны Генеральной прокуратуры (при необходимости территориальных/специализированных прокуратур), Министерства внутренних дел, Национального антикоррупционного центра и т.д. будет разрешен только в случае, если запрос будет соответствовать положениям статей 15 и 212 Уголовно-процессуального кодекса.
Объясняется, что в соответствии с положениями ст. 157 Уголовно-процессуального кодекса, документы в любой форме (письменной, аудио, видео, электронной и т.д.), исходящие от официальных физических или юридических лиц, если в них изложены или подтверждены обстоятельства, имеющие значение для дела (включая информацию, хранящуюся в аудите информационных и учетных систем), могут быть запрошены по ходатайству органа уголовного преследования в рамках уголовного преследования или в процессе судебного разбирательства. В этом случае, однако, должны соблюдаться положения ст. 214 Уголовно-процессуального кодекса, которая гласит, что в ходе уголовного процесса не может собираться, использоваться и распространяться без необходимости официальная информация с ограниченным доступом. Лица, которым орган уголовного преследования или суд запрашивает предоставить или передать официальную информацию с ограниченным доступом (включая операторов персональных данных), имеют право убедиться в том, что эти данные собираются для соответствующего уголовного процесса, а в противном случае — отказать в передаче или предоставлении данных. Лица, у которых орган уголовного преследования или суд запрашивает предоставить официальную информацию с ограниченным доступом, имеют право получить заранее письменное объяснение от лица, запрашивающего информацию, подтверждающее необходимость предоставления данных.

Следует учитывать, что в соответствии с положениями ст. 8 Закона о доступе к информации, персональные данные относятся к категории официальной информации с ограниченным доступом, доступ к которой осуществляется в соответствии с законодательством о защите персональных данных.

В случае, если адвокат или уполномоченное лицо запрашивает доступ к личному делу клиента, они должны быть письменно уведомлены о своих обязанностях в соответствии с положениями ст. 15 Уголовно-процессуального кодекса, ст. 29 и 30 Закона о защите персональных данных, включая ответственность, предусмотренную ст. 741 Кодекса об административных правонарушениях.

13. Права субъектов персональных данных
В случае, если персональные данные собираются непосредственно у субъекта данных, в соответствии с положениями ст. 12 Закона о защите персональных данных, необходимо предоставить лицу следующую информацию, за исключением случаев, когда он уже владеет этой информацией:
  • о личности оператора или, в соответствующих случаях, лица, уполномоченного оператором (наименование, юридический адрес, IDNO, номер регистрации в Реестре операторов персональных данных);
  • о конкретной цели обработки собранных персональных данных;
  • о получателях или категориях получателей персональных данных;
  • о существовании права на информацию и доступ к собранным данным; право на вмешательство в данные (в частности, право на исправление, обновление, блокировку или удаление персональных данных, обработка которых противоречит закону из-за их неполноты или неточности) и право на возражение, а также условия, при которых эти права могут быть реализованы;
  • обязательны ли ответы на вопросы, с помощью которых собираются данные, или они являются добровольными, включая возможные последствия отказа от ответов на вопросы, с помощью которых собирается информация.
Субъектам персональных данных предоставляется право доступа и возможность ознакомиться с документами, составленными для проверки правильности их заполнения, оспорить отсутствие или неправильное включение данных, а также другие ошибки, допущенные при внесении данных о себе. В этом отношении лица, ответственные за обработку персональных данных, обеспечат доступ к персональным данным, касающимся только запрашивающего лица, исключая возможность ознакомления с персональными данными, относящимися к другим субъектам, за исключением случаев, когда запрашивающий реализует законный интерес, который не ущемляет интересы или основные права и свободы субъекта данных.

Право на информацию обеспечивается оператором персональных данных (или организациями, которые обеспечивают поддержку системы или оказывают аутсорсинговые услуги оператора) для всех лиц, чьи данные обрабатываются.

В случае реализации субъектом персональных данных права на вмешательство, неточные данные будут обновлены путем исправления или удаления, основываясь только на законных источниках (удостоверения личности, акты гражданского состояния, государственные информационные ресурсы и т.д.), изменения должны быть внесены во все управляемые информационные и учетные системы.

14. Хранение, сохранение и уничтожение обработанных персональных данных
  • Доступ в помещения, где размещены информационные системы и учетные данные с персональной информацией, ограничен и разрешен только лицам, имеющим необходимую авторизацию в соответствии с политикой безопасности учреждения или утвержденными внутренними регламентами.
  • Хранение и сохранение электронного формата персональных данных, структурированных в учетных системах, на компьютерах, подключенных к интернету, которые не оснащены специальными техническими средствами защиты и программным обеспечением, а также не имеющих лицензионные программы, антивирусное программное обеспечение, системы контроля безопасности программного обеспечения, обеспечения регулярного резервного копирования и проведения аудита – запрещено.
  • Внесение в периметр институциональной безопасности и использование личных компьютеров или носителей информации в служебных целях запрещено. Более того, доступ к компьютерам, находящимся в наличии, защищен/ограничен созданием пользовательских профилей, а права администратора предоставляются только лицу, ответственному за реализацию политики безопасности, назначенному в рамках S.R.L. «JustConsult».
  • Хранение персональных данных на магнитных, оптических, лазерных, бумажных или иных носителях информации, на которых создается, фиксируется, передается, принимается, сохраняется или иным образом используется документ, и которые позволяют его воспроизведение, обеспечивается их размещением в сейфах или металлических шкафах с замками. Вынос без разрешения носителей персональных данных за пределы периметра безопасности оператора запрещен.
15. Права субъектов персональных данных
Записываются попытки входа/выхода пользователя в систему по следующим параметрам:
  • дата и время попытки входа/выхода;
  • идентификатор пользователя;
  • результат попытки входа/выхода — положительный или отрицательный.
Записываются попытки получения доступа (выполнения операций) для приложений и процессов, предназначенных для обработки персональных данных, по следующим параметрам:
  • дата и время попытки получения доступа (выполнения операции),
  • наименование (идентификатор) приложения или процесса, идентификатор пользователя,
  • спецификации защищённого ресурса (идентификатор, логическое имя, имя файла, номер и т. д.),
  • тип запрашиваемой операции (чтение, запись, удаление и т. д.),
  • результат попытки получения доступа (выполнения операции) — положительный или отрицательный.
Записываются изменения прав доступа (полномочий) пользователя и статуса объектов доступа по следующим параметрам:
  • дата и время изменения полномочий,
  • идентификатор администратора, который выполнил изменения,
  • идентификатор пользователя и его полномочия или спецификация объектов доступа и их новый статус.
Записывается вывод из системы информации, содержащей персональные данные (электронные документы, данные и т. д.), изменения прав доступа субъектов и статуса объектов доступа по следующим параметрам:
  • дата и время вывода,
  • наименование информации и пути доступа к ней,
  • спецификация оборудования (устройства), которое выполнило вывод информации (логическое имя),
  • идентификатор пользователя, запросившего информацию.
16. Обеспечение защиты от вредоносных программ (вирусов)
Обеспечивается защита от проникновения вредоносных программ в программное обеспечение, предназначенное для обработки персональных данных, с помощью лицензионного антивирусного ПО.

17. Тестирование функциональных возможностей для обеспечения безопасности информационных систем персональных данных
Обеспечивается тестирование корректной работы функций безопасности информационных систем персональных данных (автоматически при запуске системы и ежемесячно по запросу уполномоченного пользователя).

18. Управление инцидентами безопасности
  • Персонал, отвечающий за эксплуатацию информационных систем персональных данных, проходит обучение минимум один раз в год по вопросам обязанностей при выполнении действий по управлению и реагированию на инциденты безопасности.
  • Сотрудники S.R.L. «JustConsult» незамедлительно информируют руководство о нарушениях безопасности информационных систем персональных данных.
  • Обработка инцидентов включает выявление, анализ, предотвращение развития, устранение их и восстановление безопасности.
  • До 31 января каждого года оператор персональных данных информирует Национальный центр защиты персональных данных о выявленных инцидентах безопасности в письменной форме.
  • В случае возникновения инцидентов безопасности в рамках информационной системы (указывается её название), ответственное лицо предпримет необходимые меры для выявления источника инцидента, проведет его анализ и устранит причины инцидента, уведомив Национальный центр защиты персональных данных Республики Молдова в течение 72 часов с момента возникновения инцидента.
  • Во время проверок, проводимых Национальным центром защиты персональных данных Республики Молдова, будет предоставлена необходимая поддержка и обеспечен доступ к необходимой информации, касающейся объекта проверки.
19. Маркировка документов
Вся информация, которая подлежит разглашению и содержит персональные данные, должна быть помечена включением регистрационного номера из Реестра учета операторов персональных данных.
Пример маркировки:
Внимание! Документ содержит персональные данные, обрабатываемые в рамках учетной системы, зарегистрированной в Реестре учета операторов персональных данных www.registru.datepersonale.md. Дальнейшая обработка этих данных может быть осуществлена только при соблюдении условий, предусмотренных Законом № 133 от 08.07.2011 о защите персональных данных.
20. Ответственность за обеспечение безопасности персональных данных и информации с ограниченным доступом
Оператор персональных данных, уполномоченное оператором лицо, третьи лица, подписавшие приложение № 1, несут гражданскую (Гражданский кодекс), административную (ст. 741 Кодекса о правонарушениях) и уголовную (ст. 177, 178, 180 Уголовного кодекса) ответственность за несоблюдение положений Политики безопасности.
© 2024 JustConsult. All rights reserved. Designed by Targetolog.md.
© 2024 JustConsult. All rights reserved.
Designed by Targetolog.md.