Республика Молдова |
| ПРАВИТЕЛЬСТВО |
ПОСТАНОВЛЕНИЕ Nr. 1123
от 14.12.2010 |
|
|
VIII. АУДИТ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Часть 1
Генерирование записей аудита
в информационных системах персональных данных
66. Для всех категорий информационных систем персональных данных
Держатели персональных данных организуют генерирование записей аудита безопасности в информационные системы персональных данных для событий, указанных в соответствующем списке, подвергаемых аудиту.
Часть 2
Перечень событий, регистрируемых системой аудита
безопасности в информационных системах персональных данных
67. Для всех категорий информационных систем персональных данных
1) Осуществляется регистрация попыток входа пользователя в систему/выхода из системы по следующим параметрам:
а) дата и время попытки входа/выхода;
b) идентификатор пользователя;
c) результат попытки входа/выхода – успешная или безуспешная.
2) Осуществляется регистрация попытки запуска/завершения рабочей сессии прикладных программ и приложений, предназначенных для обработки персональных данных, регистрация изменения прав доступа пользователя и статуса объектов доступа по следующим параметрам:
a) дата и время попытки запуска;
b) наименование/идентификатор приложения или процесса;
c) идентификатор пользователя;
d) результат попытки запуска – успешная или безуспешная.
3) Осуществляется регистрация попыток получения доступа (выполнения операций) к приложениям и процессам, предназначенным для обработки персональных данных, по следующим параметрам:
a) дата и время попытки получения доступа (выполнения операции);
b) наименование (идентификатор) приложения или процесса;
c) идентификатор пользователя;
d) спецификация защищаемого ресурса (идентификатор, логическое имя, имя файла, номер и т.п.);
e) вид запрашиваемой операции (чтение, запись, удаление и т.п.);
f) результат попытки получения доступа (выполнения операции) – успешная или безуспешная.
4) Осуществляется регистрация изменения прав доступа (полномочий) пользователя и статуса объектов доступа по следующим параметрам:
a) дата и время изменения полномочий;
b) идентификатор администратора, осуществившего изменения;
c) идентификатор пользователя и его новые полномочия или спецификация объекта доступа и его новый статус.
5) Осуществляется регистрация выхода из системы информации, содержащей персональные данные (электронного документа, данных и т.д.), регистрация изменения прав доступа субъектов и статус объектов доступа по следующим параметрам:
a) дата и время выдачи;
b) наименование информации и пути доступа к ней;
c) спецификация оборудования (устройства) выдачи информации (логическое имя);
d) идентификатор пользователя, запросившего информацию;
e) объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, безуспешный).
Часть 3
Обработка данных аудита безопасности в информационных
системах персональных данных
68. Для всех категорий информационных систем персональных данных
В случае сбоя аудита безопасности в информационных системах персональных данных или заполнении всего объема памяти, выделенного для хранения данных аудита, информируется лицо, ответственное за политику безопасности персональных данных, и предпринимаются действия по восстановлению работоспособности системы аудита.
Часть 4
Мониторинг, анализ и генерация отчетов о результатах аудита
безопасности в информационных системах персональных данных
69. Для всех категорий информационных систем персональных данных
Проводится постоянный мониторинг и анализ записей аудита безопасности в информационных системах персональных данных с целью выявления необычной или подозрительной деятельности по использованию этих информационных систем с составлением отчета о случаях выявления этой деятельности, сохраненной в электронно-вычислительных средствах, и принятием мер, предопределенных политикой безопасности для таких случаев.
Часть 5
Защита данных аудита безопасности в информационных
системах персональных данных
70. Для всех категорий информационных систем персональных данных
Результаты аудита безопасности в информационных системах персональных данных, которые представляют собой операции по обработке персональных данных и средства для проведения аудита, защищаются от несанкционированного доступа путем установления надлежащих мер безопасности, в том числе обеспечения конфиденциальности и целостности этих результатов.
Часть 6
Хранение данных аудита безопасности в информационных
системах персональных данных
71. Для всех категорий информационных систем персональных данных
Продолжительность хранения результатов аудита безопасности в информационных системах персональных данных обосновывается в политике безопасности персональных данных, но в любом случае этот срок должен быть не менее двух лет, чтобы их можно было использовать в качестве доказательств в случае инцидентов безопасности, возможного расследования или судебных процессов.
В случае, когда срок расследования или судебные процессы продлеваются, результаты аудита хранятся в течение всего этого срока.
IX. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ,
КОТОРАЯ СОДЕРЖИТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
И ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
Часть1
Устранение недостатков программного обеспечения,
предназначенного для обработки персональных данных
72. Для всех категорий информационных систем персональных данных
Обеспечивается выявление, протоколирование и устранение недостатков программного обеспечения, предназначенного для обработки персональных данных, включая установку исправлений и пакетов обновлений для этих программ.
Часть 2
Обеспечение защиты от вредоносных программ (вирусов)
73. Для категории N-1
Обеспечивается защита от проникновения вредоносных программ в программное обеспечение, предназначенное для обработки персональных данных, – мера, которая обеспечивает своевременное автоматическое обновление средств, обеспечивающих защиту от вредоносного программного обеспечения и сигнатур вирусов.
74. Дополнительно для категории N-2
Обеспечивается централизованное администрирование механизмов защиты программного обеспечения для обработки персональных данных от вредоносных программ.
Часть 3
Технологии и средства констатации вторжений
75. Для всех категорий информационных систем персональных данных
Используются технологии и средства констатации вторжений, которые позволяют мониторизировать происшествия в информационных системах персональных данных и констатировать атаки, в том числе те, которые обеспечивают выявление неавторизированных попыток использования информационных систем.
Часть 4
Обеспечение целостности программного обеспечения и информации
76. Для всех категорий информационных систем персональных данных
Обеспечивается защита и возможность обнаружения несанкционированных попыток изменения программного обеспечения для обработки персональных данных и информации, содержащей персональные данные.
Программное обеспечение, предназначенное для обработки персональных данных и информации, содержащей персональные данные, доступ к которым осуществляется с помощью системы общественного доступа, защищается с помощью метода цифровой подписи.
Часть 5
Тестирование функциональных возможностей по обеспечению
безопасности информационных систем персональных данных
77. Для всех категорий информационных систем персональных данных
Проводится тестирование правильного действия функций по обеспечению безопасности информационных систем персональных данных (автоматически при запуске и ежемесячно по запросу пользователя, уполномоченного для этой цели).
X. РЕЗЕРВНЫЕ КОПИИ И ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ,
КОТОРАЯ СОДЕРЖИТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И IT
Часть 1
Резервные копии информации, которая содержит
персональные данные
78. Для категории N-1
Исходя из объема выполненной обработки, держателем персональных данных индивидуально определяется интервал времени, в котором выполняется резервное копирование информации, содержащей персональные данные и программное обеспечение для автоматизированной обработки персональных данных, но в любом случае этот период не может быть менее одного года, и которые хранятся в защищенных местах, вне зоны размещения этой информации и базового программного обеспечения.
Резервные копии тестируются для проверки безопасности носителей информации и целостности информации, содержащей персональные данные.
Процедуры по восстановлению резервных копий данных актуализируются и тестируются регулярно в целях обеспечения их эффективности.
79. Дополнительно для категории N-2
Резервные копии хранятся в опечатанных металлических коробках вне зоны размещения информации, содержащей персональные данные, и базового программного обеспечения, или, если возможно, в помещениях другого здания.
Определяются и потенциальные проблемы по доступу в места хранения резервных копий в случае возникновения неисправности или аварии и идентифицируются конкретные меры по восстановлению путей доступа.
Часть 2
Резервные телекоммуникационные услуги
80. Для категории N-2
Определяются базовые и резервные телекоммуникационные услуги, в том числе решаются вопросы по использованию резервных телекоммуникационных услуг в целях восстановления доступности основных услуг информационных систем персональных данных.
Провайдеры базовых и резервных телекоммуникационных услуг должны быть разными, чтобы не подвергаться общим рискам.
XI. ПРОВЕРКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ
СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
81. Держатели персональных данных проверяют регулярно, не менее одного раза в год, исполнение принятых технических и/или организационных мер для обнаруживания неполадок по использованию телекоммуникационных систем при обработке персональных данных и/или внесения усовершенствования, в случае необходимости.
82. Проверки безопасности осуществляются каждый раз, когда держатель персональных данных реорганизует или изменяет инфраструктуру.
83. В целях определения уровня защиты информационных систем персональных данных и предотвращения возможных случаев незаконного или случайного доступа к таким информационным системам, выявления слабых мест в механизмах их защиты Центр периодически проводит проверки безопасности, в том числе с осуществлением специальных технических мероприятий по имитации моделей доступа к информационным системам персональных данных.
84. Результаты проверок, проведенных Центром, незамедлительно предоставляются держателю персональных данных, уровень защиты информационных систем персональных данных которого послужил объектом контроля, с предписанием, в случае необходимости, соответствующих мер, подлежащих принятию для обеспечения безопасности обработки персональных данных.
XII. АДМИНИСТРИРОВАНИЕ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Часть 1
Инструктаж по реагированию в случаях инцидентов безопасности
информационных систем персональных данных
85. Для всех категорий информационных систем персональных данных
Персонал, обеспечивающий эксплуатацию информационных систем персональных данных, проходит не реже одного раза в год инструктаж в отношении ответственности и обязательств в случае выполнения действий по управлению и реагированию на инциденты безопасности.
Часть 2
Обработка инцидентов безопасности информационных
систем персональных данных
86. Для категории N-1
Предусматривается механизм незамедлительного информирования руководства держателя персональных данных об инцидентах, связанных с нарушением безопасности информационных систем для персональных данных.
Обработка инцидентов включает обнаружение, анализ, предотвращение развития, их устранение и восстановление безопасности.
87. Дополнительно для категории N-2
Используются автоматизированные средства для поддержания процесса обработки персональных данных и устранения инцидентов безопасности информационных систем персональных данных.
Часть 3
Мониторинг инцидентов безопасности информационных
систем персональных данных
88. Для категории N-1
Инциденты безопасности информационных систем персональных данных отслеживаются и документируются в постоянном режиме.
89. Дополнительно для категории N-2
Используются автоматизированные средства для отслеживания инцидентов безопасности информационных систем персональных данных, сбор и анализ информации об инцидентах.
Часть 4
Представление отчетов об инцидентах безопасности
информационных систем персональных данных
90. Для всех категорий информационных систем персональных данных
Ежегодно, до 31 января, держатели персональных данных представляют Центру обобщенный отчет об инцидентах безопасности информационных систем персональных данных.
На основании этих отчетов Центр предпринимает меры, предусмотренные Законом о защите персональных данных.
XIII. ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРАЦИИ,
КОТОРАЯ СОДЕРЖИТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
91. Для категории N-2
Исключаются бесконтрольное присутствие людей или транспортных средств и случайная установка антенн в зоне ближе 15 метров от расположения основных технических средств информационной системы персональных данных (далее – контролируемый периметр) в целях обеспечения безопасности обработки персональных данных.
Помещения, где расположены серверы, защищаются от утечки информации, содержащей персональные данные, в результате электромагнитной эмиссии посредством экранирования помещений или установки систем электромагнитных помех, которые проектируются, реализуются и исследуются предприятиями, специализированными в этой области.
В случае экранирования помещений, в которых находятся технические средства обработки персональных данных, обеспечивается непрерывность электрической связи со всеми соответствующими частями экрана: стены, потолок, пол, окна и двери.
Экранирующие конструкции должны иметь розетки с заземлением, установленные в контролируемом периметре.
Должна быть обеспечена защита информации, содержащей персональные данные от утечки через энергосистемы, в том числе перекрещивания электрических сетей объекта с установкой фильтров безопасности, которые блокируют сигнал (создают помехи).
Исключается или ограничивается неавторизированная установка других электрических приборов, радио и других видов в помещениях, где расположены технические средства обработки персональных данных, с целью обеспечения безопасности обработки персональных данных.
Оборудование, габариты которого выступают за пределы контролируемого периметра, устанавливается на расстоянии не менее 3 метров от ресурсов IT, в которых обрабатываются персональные данные.
XIV. СПЕЦИФИКА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ В СЛУЧАЕ
ВЕДЕНИЯ МАНУАЛЬНОЙ ФОРМЫ РЕГИСТРА, В КОТОРОМ
ОБРАБАТЫВАЮТСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
92. Положения настоящих Требований, за исключением пунктов 11 - 13, 23, 25, 27, 30-32, 35, 37-44, 46, 49, 51-53, 55-68, 72-77, 80, 87-89 и 91, применяются надлежащим образом держателями персональных данных в случае ведения регистров в мануальной форме, в которых обрабатываются структурированные категории персональных данных, доступные по централизованным или децентрализованным критериям или распределенные по функциональным или географическим критериям.
93. Одновременно с этим записи аудита безопасности регистров, которые ведутся в мануальной форме и в которых обрабатываются персональные данные, должны включать:
1) полное имя пользователя;
2) название просмотренной карточки (страница и запись в регистре);
3) число зарегистрированных записей;
4) тип доступа;
5) дата доступа (год, месяц, день);
6) время (часы, минуты) и протяженность доступа.
Приложение №1
к Требованиям по обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных данных
КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Персональные данные, которые прямо или косвенно идентифицируют физическое лицо, в частности, посредством ссылки на идентификационный номер (личный код), одного или более специфических элементов, характерных его физической, физиологической, психологической, экономической, культурной или социальной идентичности, делятся на две категории: обычные и особые.
2. Особая категория персональных данных представляет собой информацию, раскрывающую расовую или этническую принадлежность, политические, религиозные убеждения, состояние здоровья или интимную жизнь, касающиеся привлечения к уголовной ответственности физического лица.
3. Обычная категория составляет информацию, которая раскрывает:
1) фамилию и имя;
2) пол;
3) дату и место рождения;
4) гражданство;
5) IDNP;
6) изображение;
7) голос;
8) семейное положение;
9) воинскую обязанность;
10) геолокационные данные/данные передвижения;
11) кличку/псевдоним;
12) персональные данные членов семьи;
13) данные из водительского удостоверения;
14) данные из свидетельства о регистрации;
15) экономическое и финансовое положение;
16) данные об имуществе;
17) банковские данные;
18) подпись;
19) данные из актов гражданского состояния;
20) номер пенсионного дела;
21) код социального страхования (CPAS);
22) код медицинского страхования (CPAM);
23) номер телефона/факса;
24) номер мобильного телефона;
25) адрес (местожительства/проживания);
26) адрес электронной почты;
27) генетические данные;
28) биометрические и антропометрические данные;
29) дактилоскопические данные;
30) профессию и/или место работы;
31) профессиональную подготовку - дипломы - образование;
32) привычки/предпочтения/поведение;
33) физические характеристики.
4. В случае обработки обычной категории персональных данных держатели персональных данных включают в политику безопасности персональных данных и внедряют требования безопасности, установленные для первого уровня безопасности информационных систем персональных данных – (N-1).
5. В случае обработки особой категории персональных данных держатели персональных данных дополнительно к требованиям, установленным для первого уровня безопасности, включают в политику безопасности персональных данных и внедряют требования, установленные для второго уровня безопасности информационных систем персональных данных – (N-2).
Приложение №2
к Требованиям по обеспечению
безопасности персональных данных
при их обработке в информационных
системах персональных данных
КАТЕГОРИИ ОПЕРАЦИЙ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КОТОРЫЕ МОГУТ ПРЕДСТАВЛЯТЬ ОСОБЫЕ РИСКИ
ДЛЯ ПРАВ И СВОБОД ЧЕЛОВЕКА
1. Представляют особые риски для прав и свобод личностей следующие категории операций по обработке персональных данных:
1) адаптация, изменение, раскрытие путем передачи, распространения или любым другим способом персональных данных, связанных с расовой или этнической принадлежностью; политическими, религиозными убеждениями; принадлежностью к политической партии или религиозной организации; персональных данных о состоянии здоровья или интимной жизни, а также персональные данные, касающиеся привлечения лица к уголовной ответственности, мер безопасности, дисциплинарных взысканий или наказаний за правонарушения;
2) операции по обработке генетических, биометрических данных и данных, которые позволяют осуществлять географическую локализацию лиц посредством электронных сетей связи;
3) операции по обработке персональных данных при помощи электронных средств с целью оценки некоторых аспектов личности, таких как профессиональная компетентность, уровень доверия, поведение и т.д.;
4) операции по обработке персональных данных при помощи электронных средств в системах учета с целью анализа платежеспособности, экономическо-финансового положения, деяний, которые могут повлечь дисциплинарную, административную или уголовную ответственность физических лиц;
5) операции по обработке персональных данных несовершеннолетних лиц в коммерческих целях (деятельность по прямому маркетингу);
6) операции по обработке персональных данных, указанные в пунктах 1) и 2) настоящего приложения, а также персональные данные несовершеннолетних, собранные через Интернет или электронные сообщения.
2. В случае обработки персональных данных путем любой операции или набора операций, указанных в пункте 1 настоящего приложения, держатели персональных данных внедряют в политику безопасности персональных данных и выполняют требования, установленные для второго уровня безопасности информационных систем персональных данных – (N-2). |
