HGO1123/2010
ID intern unic:  337094
Версия на русском
Fişa actului juridic

Republica Moldova
GUVERNUL
HOTĂRÎRE Nr. 1123
din  14.12.2010
privind aprobarea Cerinţelor faţă de asigurarea securităţii
 datelor cu caracter personal la prelucrarea acestora în cadrul
sistemelor informaţionale de date cu caracter personal
Publicat : 24.12.2010 în Monitorul Oficial Nr. 254-256     art Nr : 1282
    În temeiul alin. (2) art. 14 din Legea nr.17-XVI din 15 februarie 2007 cu privire la protecţia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2007, nr.107-111, art.468), cu modificările şi completările ulterioare, Guvernul HOTĂRĂŞTE:
    1. Se aprobă Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal (se anexează).
    2. Deţinătorii de date cu caracter personal vor întreprinde măsurile necesare privind implementarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, în termen de 12 luni de la intrarea în vigoare a prezentei Hotărîri.

    PRIM-MINISTRU                                                  Vladimir FILAT

    Contrasemnează:
    Ministrul tehnologiilor
    informaţionale şi comunicaţiilor                              Alexandru Oleinic

    nr. 1123. Chişinău, 14 decembrie 2010.

Aprobate
prin Hotărîrea Guvernului
nr.1123 din 14 decembrie 2010

CERINŢELE
faţă de asigurarea securităţii datelor cu caracter personal la
 prelucrarea acestora în cadrul sistemelor informaţionale de
 date cu caracter personal

I. DISPOZIŢII GENERALE
    1. Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal (în continuare – Cerinţe) au drept scop stabilirea regulilor minime de implementare de către deţinătorii de date cu caracter personal a măsurilor tehnice şi organizatorice necesare pentru asigurarea securităţii, confidenţialităţii şi integrităţii datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale de date cu caracter personal şi/sau registrelor ţinute manual, în conformitate cu prevederile Legii nr.17-XVI din 15 februarie 2007 cu privire la protecţia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2007, nr.107-111, art.468) şi ale Legii nr. 71-XVI din 22 martie 2007 cu privire la registre (Monitorul Oficial al Republicii Moldova, 2007, nr.70-73, art.314).
    2. Prezentele Cerinţe creează cadrul necesar aplicării Convenţiei pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, încheiate la Strasbourg la 28 ianuarie 1981, publicate în European Treaty Series, nr. 108, ratificate de Republica Moldova prin Hotărîrea Parlamentului nr. 483-XIV din 2 iulie 1999.
    3. În sensul prezentelor Cerinţe, se definesc următoarele noţiuni:
    autentificare – verificarea identificatorului atribuit subiectului de acces, confirmarea autenticităţii;
    control de securitate – acţiuni întreprinse de către deţinătorii de date cu caracter personal sau Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – Centrul) în vederea verificării şi/sau asigurării nivelului adecvat de securitate a datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale şi/sau registrelor ţinute manual, în conformitate cu prezentele Cerinţe;
    fişiere temporare – ansamblu de date sau informaţii pe suport digital creat pentru o perioadă de timp limitat pînă la iniţierea îndeplinirii sarcinilor pentru care au fost desemnate;
    identificare – atribuirea unui identificator subiecţilor şi obiectelor de acces şi/sau compararea identificatorului prezentat cu lista identificatoarelor atribuite;
    integritate – certitudinea, necontradictorialitatea şi actualitatea informaţiei care conţine date cu caracter personal, protecţia ei de distrugere şi modificare neautorizată;
    mijloace de protecţie criptografică a informaţiei care conţine date cu caracter personal – mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei care conţine date cu caracter personal, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;
    nivel de protecţie – nivel de securitate proporţional riscului pe care îl comportă prelucrarea faţă de datele cu caracter personal respective, precum şi faţă de drepturile şi libertăţile persoanelor, stabilit conform Cerinţelor, elaborat şi actualizat corespunzător nivelului dezvoltării tehnologice şi costurilor implementării acestor măsuri (N - 1 sau N - 2);
    politica de securitate a datelor cu caracter personal – document, elaborat de către deţinătorul de date cu caracter personal, care oferă o descriere precisă a măsurilor de securitate şi trăsăturilor de protecţie selectate pentru securitatea datelor, ţinîndu-se cont de potenţialele pericole pentru datele cu caracter personal prelucrate şi riscurile reale la care sînt expuse acestea;
    perimetru de securitate – zona care reprezintă în sine o barieră de trecere asigurată cu mijloace de control fizic şi/sau tehnic al accesului;
    persoana responsabilă de politica de securitate a datelor cu caracter personal – persoana responsabilă de funcţionarea corespunzătoare a sistemului complex de protecţie a informaţiei care conţine date cu caracter personal, precum şi de elaborarea, implementarea şi monitorizarea respectării prevederilor politicii de securitate a deţinătorului de date cu caracter personal;
    protecţia informaţiei contra acţiunilor neintenţionate – ansamblu de măsuri orientate spre prevenirea acţiunilor neintenţionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaţiei, dar care conduc la distorsiunea, distrugerea, copierea, blocarea accesului la informaţie, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informaţiei care conţine date cu caracter personal;
    purtător de date cu caracter personal – suport magnetic, optic, laser, de hîrtie sau alt suport al informaţiei, pe care se creează, se fixează, se transmite, se recepţionează, se păstrează sau, în alt mod, se utilizează documentul şi care permite reproducerea acestuia;
    restaurarea datelor – procedurile cu privire la reconstituirea datelor cu caracter personal în starea în care se aflau pînă la momentul pierderii sau distrugerii acestora;
    tehnologie informaţională ((TI) eng. informational technology) – totalitatea metodelor, procedeelor şi mijloacelor de prelucrare şi transmitere a informaţiei care conţine date cu caracter personal şi regulile de aplicare a acesteia;
    utilizator – persoana care acţionează sub autoritatea deţinătorului de date cu caracter personal, cu drept recunoscut de acces la sistemele informaţionale de date cu caracter personal;
    sesiune de lucru – perioada care durează din momentul pornirii calculatorului şi aplicaţiei de utilizare a resursei informaţionale sau din momentul pornirii resursei informaţionale şi pînă la momentul opririi acestora;
    sistem informaţional de date cu caracter personal – totalitatea resurselor şi tehnologiilor informaţionale interdependente, de metode şi de personal, destinată păstrării, prelucrării şi furnizării de informaţie care conţine date cu caracter personal;
    stocare – păstrarea pe orice fel de suport a datelor cu caracter personal.
II. CERINŢE GENERALE
    4. Măsurile de protecţie a datelor cu caracter personal reprezintă o parte componentă a lucrărilor de creare, dezvoltare şi exploatare a sistemului informaţional de date cu caracter personal şi vor fi efectuate neîntrerupt de către toţi deţinătorii de date cu caracter personal.
    5. Protecţia datelor cu caracter personal în sistemele informaţionale de date cu caracter personal este asigurată printr-un complex de măsuri tehnice şi organizatorice de preîntîmpinare a prelucrării ilicite a datelor cu caracter personal.
    6. Măsurile de protecţie a datelor cu caracter personal prelucrate în sistemele informaţionale de date cu caracter personal se înfăptuiesc ţinîndu-se cont de necesitatea asigurării confidenţialităţii acestor măsuri.
    7. Înfăptuirea oricăror măsuri şi lucrări cu folosirea resurselor informaţionale ale deţinătorului de date cu caracter personal este interzisă în cazurile în care nu sînt adoptate şi implementate măsuri corespunzătoare de protecţie a datelor cu caracter personal.
    8. Sînt supuse protecţiei toate resursele informaţionale ale deţinătorilor de date cu caracter personal, care conţin date cu caracter personal, inclusiv:
    1) suporturile magnetice, optice, laser sau alte suporturi ale informaţiei electronice, masive informaţionale şi baze de date;
    2) sistemele informaţionale, reţelele, sistemele operaţionale, sistemele de gestionare a bazelor de date şi alte aplicaţii, sistemele de telecomunicaţii, inclusiv mijloacele de confecţionare şi multiplicare a documentelor şi alte mijloace tehnice de prelucrare a informaţiei.
    9. Protecţia datelor cu caracter personal în sistemele informaţionale de date cu caracter personal este asigurată în scopul:
    1) preîntîmpinării scurgerii informaţiei care conţine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta;
    2) preîntîmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în reţelele telecomunicaţionale şi resursele informaţionale;
    3) respectării cadrului normativ de folosire a sistemelor informaţionale şi a programelor de prelucrare a datelor cu caracter personal;
    4) asigurării caracterului complet, integru, veridic al datelor cu caracter personal în reţelele telecomunicaţionale şi resurselor informaţionale;
    5) păstrării posibilităţilor de gestionare a procesului de prelucrare şi păstrare a datelor cu caracter personal.
    10. Protecţia datelor cu caracter personal prelucrate în sistemele informaţionale se efectuează prin următoarele metode:
    1) preîntîmpinarea conexiunilor neautorizate la reţelele telecomunicaţionale şi interceptării cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reţele;
    2) excluderea accesului neautorizat la datele cu caracter personal prelucrate;
    3) preîntîmpinarea acţiunilor speciale tehnice şi de program, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program;
    4) preîntîmpinarea acţiunilor intenţionate şi/sau neintenţionate a utilizatorilor interni şi/sau externi, precum şi a altor angajaţi ai deţinătorului de date cu caracter personal, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program.
    11. Preîntîmpinarea scurgerii de informaţii care conţin date cu caracter personal, transmise prin canalele de legătură, este asigurată prin folosirea metodelor de cifrare a acestei informaţii, inclusiv cu utilizarea măsurilor organizaţionale, tehnice şi de regim.
    12. Preîntîmpinarea accesului neautorizat la informaţiile care conţin date cu caracter personal şi circulă sau se păstrează în mijloace tehnice este asigurată prin metoda folosirii mijloacelor speciale tehnice şi de program, cifrării acestor informaţii, inclusiv prin măsurile organizaţionale şi de regim.
    13. Preîntîmpinarea distrugerii, modificării datelor cu caracter personal sau defecţiunilor în funcţionarea soft-ului destinat prelucrării datelor cu caracter personal este asigurată prin metoda folosirii mijloacelor de protecţie speciale tehnice şi de program, inclusiv a programelor licenţiate, programelor antivirus, organizării sistemului de control al securităţii soft-ului şi efectuarea periodică a copiilor de siguranţă.
    14. Ordinea de acces la informaţia care conţine date cu caracter personal, prelucrată în cadrul sistemelor informaţionale, se stabileşte de către deţinătorul de date cu caracter personal, în conformitate cu prevederile legislaţiei.
III. POLITICA DE SECURITATE A DATELOR
CU CARACTER PERSONAL
    15. Fiecare deţinător de date cu caracter personal, reieşind din specificul activităţii, elaborează şi organizează implementarea prevederilor documentului care stabileşte politica de securitate a datelor cu caracter personal, inclusiv procedurile şi măsurile legate de realizarea acestei politici, cu aplicarea soluţiilor practice cu un nivel de detalizare şi complexitate proporţional, în partea ce ţine de identificarea şi autentificarea utilizatorilor; de reacţionare la incidentele de securitate; de protecţie a TI şi comunicaţiilor; de asigurare a integrităţii informaţiei care conţine date cu caracter personal şi TI; de administrare a accesului; de audit şi asigurare a evidenţei, luînd în considerare:
    1) categoria datelor cu caracter personal prelucrate şi a operaţiunilor de prelucrare efectuate asupra lor (conform anexelor nr.1 şi nr.2 la prezentele Cerinţe);
    2) dimensiunea deţinătorului de date cu caracter personal, în funcţie de numărul angajaţilor, numărul subdiviziunilor administrative, amplasarea geografică a subdiviziunilor sau filialelor etc., inclusiv numărul persoanelor care pot accesa datele cu caracter personal;
    3) formele de ţinere a registrelor în care sînt prelucrate date cu caracter personal (manuală, electronică sau mixtă);
    4) complexitatea sistemelor informaţionale de date cu caracter personal şi programelor de aplicaţii implicate în procesul de prelucrare a datelor;
    5) riscurile la care este expus deţinătorul de date cu caracter personal sau persoanele ale căror date cu caracter personal sînt prelucrate, starea de dezvoltare tehnologică în acest domeniu şi costul măsurilor de implementare.
    16. Politica de securitate a datelor cu caracter personal se revizuieşte cel puţin o dată în an ca rezultat al modificărilor sau reevaluării componentelor acesteia şi aprobată la cel mai înalt nivel al ierarhiei persoanelor responsabile ale deţinătorului de date cu caracter personal.
    Pentru ca politica de securitate a datelor cu caracter personal să fie cunoscută tuturor, acest document este adus la cunoştinţă utilizatorilor şi altor angajaţi ai deţinătorului de date cu caracter personal, în limitele competenţelor funcţionale şi nivelului de acces acordat.
    17. Deţinătorul de date cu caracter personal numeşte o persoană responsabilă de elaborarea, implementarea şi monitorizarea respectării prevederilor politicii de securitate a datelor cu caracter personal, subordonată nemijlocit conducătorului instituţiei, care nu va avea alte responsabilităţi incompatibile cu sarcinile funcţiei de implementare a politicii.
    18. Persoana responsabilă de politica de securitate a datelor cu caracter personal va dispune de resurse suficiente (timp, resurse umane, echipament şi buget) şi va avea acces liber la informaţia necesară pentru îndeplinirea funcţiilor sale în măsura în care aceasta nu operează în afara cadrului acestei politici.
    19. Persoana responsabilă de politica de securitate a datelor cu caracter personal asigură definirea clară a diferitelor responsabilităţi cu privire la securitatea prelucrării datelor cu caracter personal (prevenire, supraveghere, detectare şi prelucrare), precum şi operarea cu ele, în afara presiunilor ca rezultat al intereselor personale sau alte împrejurări.
    20. Deţinătorii de date cu caracter personal întreprind următoarele acţiuni:
    1) definesc clar responsabilităţile şi procesele de management al securităţii datelor cu caracter personal, cu integrarea lor corespunzătoare în structura organizaţională şi de funcţionare generală;
    2) asigură măsuri tehnice şi organizaţionale necesare organizării procesului de management al securităţii datelor cu caracter personal;
    3) elaborează procedurile de clasificare a informaţiei care conţine date cu caracter personal astfel încît să fie posibil de întocmit un nomenclator şi toate datele cu caracter personal care sînt prelucrate să fie localizate, indiferent de tipul purtătorului de date;
    4) instruiesc persoanele implicate în procesul de prelucrare a datelor cu caracter personal în vederea îndeplinirii de către acestea a atribuţiilor funcţionale şi asumării responsabilităţilor de securitate a datelor cu caracter personal, inclusiv asupra confidenţialităţii acestora.
    21. Documentaţia referitoare la politica de securitate a datelor cu caracter personal este centralizată, completă, actualizată cu regularitate şi conţine cel puţin următoarele elemente:
    1) identitatea persoanei responsabile de politica de securitate;
    2) măsurile de securitate;
    3) mecanismul de punere în aplicare a măsurilor de securitate;
    4) nomenclatorul datelor cu caracter personal prelucrate, a localizării acestora şi a operaţiunilor efectuate asupra lor;
    5) lista nominală a utilizatorilor, autorizaţi să acceseze datele cu caracter personal;
    6) configurarea sistemului informaţional de date cu caracter personal şi a reţelei;
    7) descrierea detaliată a criteriilor, în conformitate cu care sînt accesibile datele cu caracter personal prelucrate în registrul ţinut manual;
    8) documentaţia tehnică cu privire la controalele de securitate;
    9) orarul controalelor de securitate;
    10) măsurile de detectare a cazurilor de acces şi/sau de prelucrare neautorizată a datelor cu caracter personal;
    11) rapoarte despre incidentele de securitate.
IV. SECURITATEA MEDIULUI FIZIC
ŞI A TEHNOLOGIILOR INFORMAŢIONALE FOLOSITE
ÎN PROCESUL PRELUCRĂRII DATELOR
CU CARACTER
PERSONAL

Secţiunea 1
Autorizarea accesului fizic
    22. Pentru categoria N-1
    Accesul în sediile/oficiile/birourile ori spaţiile unde sînt amplasate sistemele informaţionale de date cu caracter personal este restricţionat, fiind permis doar persoanelor care au autorizaţia necesară şi doar în timpul orelor de program, conform listei şi însemnelor corespunzătoare (insigne, ecusoane, cartele de identificare, cartele cu microprocesoare).
Conducătorii deţinătorilor de date cu caracter personal elaborează şi aprobă listele de acces, care se revizuiesc nu mai rar decît o dată în lună şi însemnele care autorizează accesul.
    23. Suplimentar pentru categoria N-2
    Accesul se efectuează în baza cartelelor de identificare, cartelelor cu microprocesoare sau altor tehnologii.
Secţiunea 2
Administrarea şi monitorizarea accesului fizic
    24. Pentru categoria N-1
    Se efectuează administrarea şi monitorizarea accesului fizic în toate punctele de acces la sistemele informaţionale de date cu caracter personal, inclusiv se reacţionează la încălcarea regimului de acces.
    Înainte de acordarea accesului fizic la sistemele informaţionale de date cu caracter personal se verifică competenţele de acces.
    Registrele de monitorizare se păstrează minimum un an, la expirarea căruia acestea se lichidează, iar datele şi documentele ce se conţin în registrul supus lichidării se transmit în arhivă.
    25. Suplimentar pentru categoria N-2
    Încăperile unde sînt instalate sistemele informaţionale de date cu caracter personal se echipează cu sisteme de control al accesului şi supraveghere video în scopul urmăririi accesului persoanelor în aceste spaţii.
    În procesul monitorizării se utilizează mijloace de supraveghere şi alarmă în regim real de timp a tuturor cazurilor de acces autorizat şi/sau neautorizat.
    Sînt utilizate mijloace automatizate care asigură identificarea cazurilor de acces neautorizat şi iniţierea acţiunilor de blocare a accesului.
Secţiunea 3
Securitatea sediilor/oficiilor/birourilor şi mijloacelor
de prelucrare a datelor cu caracter personal

    26. Pentru categoria N-1
    Perimetrul de securitate se determină concret şi clar. Perimetrul clădirii sau încăperii în care sînt amplasate mijloacele de prelucrare a datelor cu caracter personal trebuie să fie integru din punct de vedere fizic.
    Pereţii exteriori ai încăperilor trebuie să fie rezistenţi, intrările echipate cu lacăte, mijloace de control al accesului, semnalizare etc.
    În cazul amplasării încăperilor la parter şi/sau la ultimul etaj al clădirii, precum şi în cazul existenţei balcoanelor, scărilor antiincendiare, la ferestrele încăperilor respective se instalează gratii.
    Computerele, serverele, alte terminale de acces trebuie amplasate în locuri cu acces limitat pentru persoane străine.
    Uşile şi ferestrele se încuie în cazul în care în încăpere lipsesc angajaţii.
    Agendele şi/sau cărţile de telefoane în care se conţin indicii despre locul amplasării mijloacelor de prelucrare a datelor cu caracter personal nu vor fi accesibile persoanelor străine.
    Amplasarea mijloacelor de prelucrare a datelor cu caracter personal trebuie să răspundă necesităţii asigurării securităţii acestora contra accesului nesancţionat, furturilor, incendiilor, inundaţiilor şi altor posibile riscuri.
    Folosirea tehnicii foto, video, audio sau altor mijloace de înregistrare în perimetrul de securitate este admisă doar în cazul prezenţei unei permisiuni speciale a conducerii deţinătorului de date cu caracter personal.
    Purtătorii de informaţii şi mijloacele de prelucrare a datelor cu caracter personal scoase din încăperile aflate în perimetrul de securitate nu trebuie lăsate fără supraveghere în locuri publice.
    27. Suplimentar pentru categoria N-2
    Se implementează sisteme de constatare a intruziunilor pentru uşile exterioare şi ferestrele amplasate în locuri accesibile.
    Utilajul de rezervă şi purtătorii de informaţii care conţin date cu caracter personal se păstrează în locuri care permit evitarea distrugerilor sau deteriorărilor ca rezultat al calamităţilor în sediul/oficiul/biroul de bază.
Secţiunea 4
Controlul vizitatorilor
    28. Pentru categoria N-1
    Trebuie asigurat controlul accesului fizic al vizitatorilor în încăperile unde sînt amplasate sistemele informaţionale de date cu caracter personal.
    Accesul vizitatorilor se înregistrează în registre, care se păstrează minimum un an. La expirarea termenului de un an, registrele sînt lichidate, iar datele şi documentele ce se conţin în registrul supus lichidării se transmit în arhivă.
    29. Suplimentar pentru categoria N-2
    Vizitatorii sistemelor informaţionale de date cu caracter personal trebuie să fie însoţiţi de persoane împuternicite în asemenea scop, cu exercitarea în paralel a controlului asupra acţiunilor acestora.
Secţiunea 5
Securitatea electroenergetică
    30. Pentru categoria N-1
    Se asigură securitatea echipamentului electric utilizat pentru menţinerea funcţionalităţii sistemelor informaţionale de date cu caracter personal, a cablurilor electrice, inclusiv protecţia acestora contra deteriorărilor şi conectărilor nesancţionate.
    În cazul apariţiei situaţiilor excepţionale, de avarie sau de forţă majoră, trebuie asigurată posibilitatea deconectării electricităţii la sistemele informaţionale de date cu caracter personal, inclusiv posibilitatea deconectării oricărui component TI.
    Trebuie prevăzute surse autonome de alimentare cu energie electrică de scurtă durată, care sînt folosite pentru terminarea corectă a sesiunii de lucru a sistemului (componentului) în cazul deconectării de la sursa principală de alimentare cu energie electrică.
    31. Suplimentar pentru categoria N-2
    Sînt prevăzute şi asigurate surse de alimentare cu energie electrică de lungă durată, care sînt folosite în cazul deconectării pentru perioade îndelungate şi necesităţii continuării îndeplinirii de către sistemele informaţionale de date cu caracter personal a sarcinilor funcţionale stabilite.
Secţiunea 6
Securitatea cablurilor de reţea
    32. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Cablurile de reţea, prin care se efectuează operaţiuni de prelucrare a datelor cu caracter personal, trebuie protejate contra conectărilor nesancţionate sau deteriorărilor.
    Cablurile de tensiune trebuie separate de cele comunicaţionale pentru a exclude bruiajul.
    Deţinătorii de date cu caracter personal efectuează controale, nu mai rar decît o dată în lună, în scopul verificării cazurilor de conectare neautorizată la cablurile de reţea.
Secţiunea 7
Asigurarea securităţii antiincendiare a sistemelor
informaţionale de date cu caracter personal

    33. Pentru categoria N-1
    Se prevăd mijloace de asigurare a securităţii antiincendiare a sediilor/oficiilor/birourilor unde sînt amplasate sistemele informaţionale de date cu caracter personal şi mijloacele de prelucrare a datelor cu caracter personal.
    34. Suplimentar pentru categoria N-2
    Se implementează sisteme automatizate de depistare/semnalizare şi stingere a incendiilor în sediile/oficiile/birourile unde sînt amplasate sistemele informaţionale de date cu caracter personal şi mijloacele de prelucrare a datelor cu caracter personal.
Secţiunea 8
Controlul instalării şi scoaterii componentelor TI
    35. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se exercită controlul şi evidenţa instalării şi scoaterii mijloacelor de program, mijloacelor tehnice şi celor tehnice de program, utilizate în cadrul sistemelor informaţionale de date cu caracter personal.
Informaţiile, care conţin date cu caracter personal şi care se conţin pe purtătorii de informaţii, se distrug fizic sau se transcriu şi se nimicesc prin metode sigure, evitîndu-se folosirea funcţiilor standarde de nimicire.
Secţiunea 9
Măsurile generale de administrare a securităţii informaţionale
    36. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    În cazul neutilizării temporare a purtătorilor de informaţie pe suport de hîrtie sau electronici (digitali) care conţin date cu caracter personal, aceştia se păstrează în safeuri sau dulapuri metalice care se încuie.
    Computerele, terminalele de acces şi imprimantele sînt deconectate la terminarea sesiunilor de lucru.
    Este asigurată securitatea punctelor de primire/expediere a corespondenţei, precum şi securitatea contra accesului neautorizat la aparatele fax şi de copiere.
    Trebuie administrat accesul fizic la mijloacele de reprezentare a informaţiei care conţine date cu caracter personal, în scopul împiedicării vizualizării acesteia de către persoane neautorizate.
    Mijloacele de prelucrare a datelor cu caracter personal, informaţia care conţine date cu caracter personal sau soft-urile destinate prelucrării datelor cu caracter personal sînt scoase din perimetrul de securitate doar în temeiul unei permisiuni scrise a conducerii deţinătorului de date cu caracter personal.
    Scoaterea şi introducerea mijloacelor de prelucrare a datelor cu caracter personal din/în perimetrul de securitate se înregistrează.
V. IDENTIFICAREA ŞI AUTENTIFICAREA UTILIZATORULUI
SISTEMULUI INFORMAŢIONAL
DE DATE CU CARACTER
PERSONAL

Secţiunea 1
Identificarea şi autentificarea utilizatorului
    37. Pentru categoria N-1
    Este efectuată identificarea şi autentificarea utilizatorilor sistemelor informaţionale de date cu caracter personal şi a proceselor executate în numele acestor utilizatori.
    Toţi utilizatorii (inclusiv personalul care asigură susţinerea tehnică, administratorii de reţea, programatorii şi administratorii bazelor de date) vor avea un identificator personal (ID-ul utilizatorului), care nu trebuie să conţină semnalmentele nivelului de accesibilitate al utilizatorului.
    Pentru confirmarea ID-ului utilizatorului sînt utilizate parole, mijloace fizice speciale de acces cu memorie (token) sau cartele cu microprocesoare, mijloace biometrice de autentificare, bazate pe caracteristici unice şi individuale ale persoanei.
    În cazul în care contractul de muncă/raporturile de serviciu ale utilizatorului au fost încetate, suspendate sau modificate şi noile sarcini nu necesită accesul la date cu caracter personal ori drepturile de acces ale utilizatorului au fost modificate, ori utilizatorul a abuzat de codurile primite în scopul comiterii unei fapte prejudiciabile, a absentat o perioadă îndelungată, codurile de identificare şi autentificare se revocă sau se suspendă de către deţinătorul de date cu caracter personal.
    38. Suplimentar pentru categoria N-2
    Se utilizează autentificarea multifactorială (complexă), care include parole şi mijloace fizice speciale de acces cu memorie ori cartele cu microprocesoare sau parole şi mijloace biometrice de autentificare.
Secţiunea 2
Identificarea şi autentificarea echipamentului
    39. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Este asigurată posibilitatea identificării şi autentificării echipamentului folosit în operaţiunile de prelucrare a datelor cu caracter personal.
Secţiunea 3
Administrarea identificatorilor utilizatorilor
    40. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Administrarea identificatorilor utilizatorilor include:
    1) identificarea univocă a fiecărui utilizator;
    2) verificarea autenticităţii fiecărui utilizator;
    3) obţinerea autorizaţiei de la persoana responsabilă pentru eliberarea ID-ului utilizatorului;
    4) garantarea faptului că ID-ul utilizatorului este eliberat unei persoane determinate concret;
    5) dezactivarea contului de utilizator după o perioadă inactivă, stabilită în timp (inacţiune în perioada de maximum 2 luni);
    6) executarea copiilor de arhivă a ID-urilor utilizatorilor.
Secţiunea 4
Administrarea mijloacelor de autentificare
    41. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Deţinătorii de date cu caracter personal determină procedurile administrative, care reglementează procesul distribuirii şi ridicării mijloacelor de autentificare a utilizatorilor, inclusiv acţiunile în cazul pierderii/compromiterii sau defecţiunii acestora.
    După instalarea sistemului, se schimbă informaţiile de autentificare a utilizatorilor utilizate standard.
Secţiunea 5
Asigurarea conexiunii bilaterale în cazul introducerii
informaţiei de autentificare a utilizatorilor

    42. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură conexiunea bilaterală a deţinătorului de date cu caracter personal cu utilizatorul în momentul trecerii de către acesta a procedurilor de autentificare, care nu compromite mecanismul de autentificare.
Secţiunea 6
Utilizarea parolelor în procesul asigurării securităţii informaţionale
    43. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se respectă regulile de asigurare a securităţii informaţionale în cazul alegerii şi folosirii parolelor care includ:
    1) păstrarea confidenţialităţii parolelor;
    2) interzicerea înscrierii parolelor pe suport de hîrtie, în cazul în care nu se asigură securitatea păstrării acestuia;
    3) modificarea parolelor de fiecare dată cînd sînt prezente indiciile eventualei compromiteri a sistemului sau parolei;
    4) alegerea parolelor calitative cu o mărime de minimum 8 simboluri, care nu sînt legate de informaţia cu caracter personal a utilizatorului, nu conţin simboluri identice consecutive şi nu sînt compuse integral din grupuri de cifre sau litere;
    5) modificarea parolelor peste intervale de maximum 3 luni;
    6) dezactivarea procesului automatizat de înregistrare (cu folosirea parolelor salvate).
Secţiunea 7
Administrarea parolelor utilizatorilor
    44. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se folosesc identificatoare individuale pentru fiecare utilizator şi parole individuale ale acestora pentru asigurarea posibilităţii de stabilire a responsabilităţii.
    Este asigurată posibilitatea utilizatorilor de a alege şi schimba parolele individuale, inclusiv de activare a procedurii de evidenţă a introducerilor greşite ale acestora.
    Se asigură blocarea accesului după trei tentative greşite de autentificare.
    Este asigurată păstrarea istoriilor anterioare ale parolelor în formă de hash a utilizatorilor (pentru o perioada de un an) şi prevenirea folosirii repetate a acestora.
    La momentul introducerii, parolele nu se reflectă în clar pe monitor.
    Parolele se păstrează în formă cifrată, utilizîndu-se algoritmul criptografic unilateral (funcţia hash).
VI. ADMINISTRAREA ACCESULUI UTILIZATORILOR
Secţiunea 1
Administrarea accesului
    45. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se implementează mecanisme de înregistrare şi evidenţă a persoanelor care au acces sau participă la operaţiunile de prelucrare a datelor cu caracter personal şi care, în caz de necesitate, permit identificarea cazurilor neautorizate de acces sau de prelucrare ilegală a datelor cu caracter personal.
Secţiunea 2
Administrarea conturilor de acces (account-urilor)
    46. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Este efectuată administrarea conturilor de acces a utilizatorilor care prelucrează date cu caracter personal, inclusiv crearea, activarea, modificarea, revizuirea, dezactivarea şi ştergerea acestora.
    Sînt folosite mijloace automatizate de suport în scopul administrării conturilor de acces.
    Acţiunea conturilor de acces a utilizatorilor temporari, care prelucrează date cu caracter personal, încetează automat la expirarea unei perioade stabilite în timp (pentru fiecare tip de cont de acces în parte).
    Sînt dezactivate automat, după o perioadă de maximum trei luni, conturile de acces ale utilizatorilor neactivi, care prelucrează date cu caracter personal.
    Se folosesc mijloace automatizate de înregistrare şi informare despre crearea, modificarea, dezactivarea şi încetarea acţiunii conturilor de acces.
Secţiunea 3
Acordarea accesului
    47. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Este autorizat accesul la sistemele informaţionale de date cu caracter personal în conformitate cu politica de administrare a accesului stabilită de deţinătorul de date cu caracter personal.
    Accesul la funcţiile de securitate ale sistemelor informaţionale de date cu caracter personal şi la datele acestora este acordat doar persoanelor responsabile indicate expres în politica de securitate a deţinătorului de date cu caracter personal.
Secţiunea 4
Revizuirea drepturilor de acces ale utilizatorilor
    48. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Drepturile de acces ale utilizatorilor la sistemele informaţionale de date cu caracter personal sînt revizuite cu regularitate pentru asigurarea faptului că nu au fost acordate drepturi de acces neautorizate (maximum peste fiecare şase luni) şi după oricare schimbare de statut al utilizatorului.
Secţiunea 5
Administrarea fluxurilor informaţionale
    49. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se autorizează de către deţinătorii de date cu caracter personal realizarea fluxurilor informaţionale în procesul transmiterii acestora în interiorul şi în afara sistemelor informaţionale de date cu caracter personal.
Secţiunea 6
Repartizarea obligaţiilor şi învestirea cu minimul
de drepturi şi competenţe

    50. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Repartizarea obligaţiilor subiecţilor care asigură funcţionarea sistemelor informaţionale de date cu caracter personal este efectuată prin intermediul învestirii cu drepturi/competenţe corespunzătoare de acces, printr-un act administrativ al conducerii deţinătorului de date cu caracter personal.
    Utilizatorii sistemelor informaţionale de date cu caracter personal se învestesc doar cu acele drepturi/competenţe, care sînt necesare pentru realizarea de către ei a obiectivelor stabilite acestora.
Secţiunea 7
Informaţii de avertizare
    51. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Înainte de acordarea accesului în sistem, utilizatorii sînt informaţi despre faptul că folosirea sistemelor informaţionale de date cu caracter personal este controlată şi că folosirea neautorizată a acestora se urmăreşte în conformitate cu legislaţia.
Secţiunea 8
Blocarea sesiunii de lucru
    52. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Sesiunea de lucru în sistemul informaţional, destinat prelucrării datelor cu caracter personal, se blochează (la solicitarea utilizatorului sau automat, după maximum 15 minute de perioadă inactivă a utilizatorului), fapt care face imposibil accesul de mai departe pînă în momentul cînd utilizatorul nu deblochează sesiunea de lucru prin metoda trecerii repetate a procedurilor de identificare şi autentificare.
Secţiunea 9
Controlul administrării accesului
    53. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se efectuează controlul acţiunilor utilizatorului în vederea evaluării corectitudinii şi conformării operaţiunilor şi acţiunilor efectuate prin intermediul sistemelor informaţionale de date cu caracter personal.
Secţiunea 10
Marcarea documentelor
    54. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Informaţia ieşită din sistem, care conţine date cu caracter personal, se marchează, indicîndu-se prescripţii pentru prelucrarea ulterioară şi răspîndirea acesteia, inclusiv indicîndu-se numărul de identificare unic al deţinătorului de date cu caracter personal.
Secţiunea 11
Accesul de la distanţă
    55. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Toate metodele de acces de la distanţă la sistemele informaţionale de date cu caracter personal trebuie securizate (utilizîndu-se VPN, criptarea, cifrarea etc.), precum şi sînt documentate, supuse monitorizării şi controlului.
    Fiecare metodă de acces de la distanţă la sistemele informaţionale de date cu caracter personal se autorizează de persoanele responsabile ale deţinătorilor de date cu caracter personal şi permisă doar utilizatorilor, cărora aceasta le este necesar pentru îndeplinirea obiectivelor stabilite.
Secţiunea 12
Limitarea folosirii tehnologiilor fără fir
    56. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal se stabilesc limitări şi se elaborează reguli de folosire a tehnologiilor fără fir care permit accesul la sistemele informaţionale de date cu caracter personal.
    Accesul fără fir la sistemele informaţionale de date cu caracter personal este documentat, supus monitorizării şi controlului.
    Accesul fără fir la sistemele informaţionale de date cu caracter personal este permis doar în cazul utilizării mijloacelor criptografice de protecţie a informaţiei.
    Folosirea tehnologiilor fără fir se autorizează de persoanele responsabile ale deţinătorului de date cu caracter personal.
Secţiunea 13
Administrarea accesului echipamentului portativ şi mobil
    57. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se stabilesc limitări şi se elaborează reguli de folosire a echipamentului portativ şi mobil care permit accesul la sistemele informaţionale de date cu caracter personal.
    Accesul la sistemele informaţionale de date cu caracter personal cu folosirea echipamentului portativ şi mobil se documentează, este monitorizat şi controlat.
    Folosirea echipamentului portativ şi mobil este autorizată de persoanele responsabile ale deţinătorului de date cu caracter personal.
VII. PROTECŢIA SISTEMELOR INFORMAŢIONALE ŞI
COMUNICAŢIILOR ÎN CARE SÎNT PRELUCRATE DATE
CU CARACTER PERSONAL

Secţiunea 1
Divizarea programelor aplicative
    58. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură separarea posibilităţilor funcţionale ale utilizatorului de posibilităţile funcţionale de gestionare a sistemelor informaţionale de date cu caracter personal.
Secţiunea 2
Izolarea funcţiilor de securitate
    59. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură izolarea funcţiilor de securitate de funcţiile care nu se atribuie la securitatea sistemelor informaţionale de date cu caracter personal.
Secţiunea 3
Informaţia restantă
    60. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Trebuie preîntîmpinate tentativele dezvăluirii neautorizate sau neintenţionate a informaţiei restante care conţine date cu caracter personal, prin intermediul resurselor informaţionale general accesibile.
Secţiunea 4
Protecţia contra refuzului în serviciu
    61. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură protecţia sistemelor informaţionale de date cu caracter personal sau limitate posibilităţile de realizare a atacurilor de diferite tipuri, inclusiv DOS (denial of service) - „refuz în serviciu”.
Secţiunea 5
Priorităţile resurselor
    62. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Este asigurată posibilitatea limitării, cu ajutorul mecanismelor de stabilire a priorităţilor, a folosirii resurselor informaţionale în care sînt prelucrate date cu caracter personal.
Secţiunea 6
Protecţia perimetrului sistemelor informaţionale în
care sînt prelucrate date cu caracter personal

    63. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se efectuează monitorizarea permanentă şi controlul comunicaţiilor la perimetrul exterior al sistemelor informaţionale de date cu caracter personal, inclusiv la cele mai importante puncte de contact în interiorul perimetrului acestor sisteme informaţionale.
    Amplasarea resurselor general accesibile se asigură în spaţiile special destinate a reţelei de calcul cu interfeţele fizice de reţea.
    Este asigurată imposibilitatea accesului din exterior a utilizatorilor la reţeaua internă în care se prelucrează date cu caracter personal.
Secţiunea 7
Asigurarea integrităţii datelor cu caracter
personal transmise
    64. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură integritatea datelor cu caracter personal transmise, utilizîndu-se mijloacele de protecţie criptografică şi semnătura digitală.
Secţiunea 8
Asigurarea confidenţialităţii datelor cu caracter
personal transmise
    65. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură confidenţialitatea datelor cu caracter personal transmise, utilizîndu-se mijloace de protecţie criptografică a informaţiei.
VIII. AUDITUL SECURITĂŢII ÎN SISTEMELE INFORMAŢIONALE
DE DATE CU CARACTER PERSONAL

Secţiunea 1
Generarea înregistrărilor de audit în sistemele
informaţionale de date cu caracter personal

    66. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Deţinătorii de date cu caracter personal organizează generarea înregistrărilor de audit a securităţii în sistemele informaţionale de date cu caracter personal pentru evenimentele, indicate în lista corespunzătoare, supuse auditului.
Secţiunea 2
Lista evenimentelor înregistrate de sistemul de audit a securităţii
 în sistemele informaţionale de date cu caracter personal

    67. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    1) Se efectuează înregistrarea tentativelor de intrare/ieşire a utilizatorului în sistem, conform următorilor parametri:
    a) data şi timpul tentativei intrării/ieşirii;
    b) ID-ul utilizatorului;
    c) rezultatul tentativei de intrare/ieşire – pozitivă sau negativă.
    2) Este efectuată înregistrarea tentativelor de pornire/terminare a sesiunii de lucru a programelor aplicative şi proceselor, destinate prelucrării datelor cu caracter personal, înregistrarea modificărilor drepturilor de acces ale utilizatorilor şi statutul obiectelor de acces conform următorilor parametri:
    a) data şi timpul tentativei de pornire;
    b) denumirea/identificatorul programului aplicativ sau procesului;
    c) ID-ul utilizatorului;
    d) rezultatul tentativei de pornire – pozitivă sau negativă.
    3) Se efectuează înregistrarea tentativelor de obţinere a accesului (de executare a operaţiunilor) pentru aplicaţii şi procese destinate prelucrării datelor cu caracter personal, conform următorilor parametri:
    a) data şi timpul tentativei de obţinere a accesului (executare a operaţiunii);
    b) denumirea (identificatorul) aplicaţiei sau procesului;
    c) ID-ul utilizatorului;
    d) specificaţiile resursei protejate (identificator, nume logic, nume fişier, număr etc.);
    e) tipul operaţiunii solicitate (citire, înregistrare, ştergere etc.);
    f) rezultatul tentativei de obţinere a accesului (executare a operaţiunii) – pozitivă sau negativă.
    4) Este efectuată înregistrarea modificărilor drepturilor de acces (competenţelor) utilizatorului şi statutului obiectelor de acces, conform următorilor parametri:
    a) data şi timpul modificării competenţelor;
    b) ID-ul administratorului care a efectuat modificările;
    c) ID-ul utilizatorului şi competenţele acestuia sau specificarea obiectelor de acces şi statutul nou al acestora.
    5) Se efectuează înregistrarea ieşirii din sistem a informaţiei care conţine date cu caracter personal (documente electronice, date etc.), înregistrarea modificărilor drepturilor de acces ale subiecţilor şi statutul obiectelor de acces, conform următorilor parametri:
    a) data şi timpul eliberării;
    b) denumirea informaţiei şi căile de acces la aceasta;
    c) specificarea echipamentului (dispozitivului) care a eliberat informaţia (numele logic);
    d) ID-ul utilizatorului, care a solicitat informaţia;
    e) volumul documentului eliberat (numărul paginilor, a filelor, copiilor) şi rezultatul eliberării – pozitiv sau negativ.
Secţiunea 3
Prelucrarea rezultatelor auditului securităţii în sistemele
informaţionale de date cu caracter personal

    68. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    În caz de deranjament al auditului securităţii în sistemele informaţionale de date cu caracter personal sau completării întregului volum de memorie repartizat pentru păstrarea rezultatelor auditului, este informată persoana responsabilă de politica de securitate a datelor cu caracter personal şi întreprinse măsuri în vederea restabilirii capacităţii de lucru a sistemului de audit.
Secţiunea 4
Monitorizarea, analiza şi generarea rapoartelor de audit
a securităţii în sistemele informaţionale
de date cu caracter
personal

    69. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se efectuează monitorizarea permanentă şi analiza înregistrărilor de audit a securităţii în sistemele informaţionale de date cu caracter personal, în scopul depistării activităţilor neobişnuite sau suspecte de utilizare a acestor sisteme informaţionale, cu întocmirea raportului referitor la cazurile depistării acestor activităţi, stocate în mijloacele electronice de calcul şi întreprinderea acţiunilor prestabilite în politica de securitate pentru astfel de cazuri.
Secţiunea 5
Protejarea datelor de audit a securităţii în sistemele
informaţionale de date cu caracter personal

    70. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Rezultatele auditului securităţii în sistemele informaţionale de date cu caracter personal, care reprezintă operaţiuni de prelucrare a datelor cu caracter personal şi mijloacele de efectuare a auditului, se protejează contra accesului neautorizat prin instituirea măsurilor de securitate adecvate, inclusiv prin asigurarea confidenţialităţii şi integrităţii acestora.
Secţiunea 6
Păstrarea datelor de audit a securităţii în sistemele
informaţionale de date cu caracter personal

    71. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Durata stocării rezultatelor auditului securităţii în sistemele informaţionale de date cu caracter personal se justifică în politica de securitate a datelor cu caracter personal, dar în orice caz acest termen nu este mai mic de 2 ani, pentru a fi posibil folosirea acestora în calitate de probe în cazul incidentelor de securitate, unor eventuale investigaţii sau procese judiciare.
    În cazul în care investigările sau procesele judiciare se prelungesc, rezultatele auditului se păstrează pe toată durata acestora.
IX. ASIGURAREA INTEGRITĂŢII INFORMAŢIEI CARE
CONŢINE DATE CU CARACTER PERSONAL
ŞI A
TEHNOLOGIILOR INFORMAŢIONALE

Secţiunea 1
Înlăturarea deficienţelor de soft destinat prelucrării
datelor cu caracter personal

    72. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură identificarea, protocolarea şi înlăturarea deficienţelor de soft-uri destinate prelucrării datelor cu caracter personal, inclusiv instalarea corectărilor şi pachetelor de reînnoire a acestor soft-uri.
Secţiunea 2
Asigurarea protecţiei contra programelor
dăunătoare (viruşilor)
    73. Pentru categoria N-1
    Se asigură protecţia contra infiltrării programelor dăunătoare în soft-urile destinate prelucrării datelor cu caracter personal, măsură care asigură posibilitatea reînnoirii automate şi la timp a mijloacelor de asigurare a protecţiei contra programelor dăunătoare şi signaturilor de virus.
    74. Suplimentar pentru categoria N-2
    Se asigură administrarea centralizată a mecanismelor de protecţie contra programelor dăunătoare în soft-urile destinate prelucrării datelor cu caracter personal.
Secţiunea 3
Tehnologiile şi mijloacele de constatare a intruziunilor
    75. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se utilizează tehnologii şi mijloace de constatare a intruziunilor, care permit monitorizarea evenimentelor în sistemele informaţionale de date cu caracter personal şi constatarea atacurilor, inclusiv care asigură identificarea tentativelor folosirii neautorizate a sistemelor informaţionale.
Secţiunea 4
Asigurarea integrităţii soft-urilor şi informaţiei
    76. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal.
    Se asigură protecţia şi posibilitatea depistării modificării neautorizate a soft-urilor destinate prelucrării datelor cu caracter personal şi informaţiei care conţine date cu caracter personal.
    Soft-urile destinate prelucrării datelor cu caracter personal şi informaţia care conţine date cu caracter personal, accesul la care se efectuează prin intermediul sistemelor de acces public, sînt securizate prin metoda folosirii semnăturii digitale.
Secţiunea 5
Testarea posibilităţilor funcţionale de asigurare a securităţii
sistemelor informaţionale de date cu caracter personal

    77. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Se asigură testarea funcţionării corecte a funcţiilor de securitate a sistemelor informaţionale de date cu caracter personal (automat la pornirea sistemului şi lunar la solicitarea utilizatorului autorizat în acest scop).
X. COPIILE DE REZERVĂ ŞI RESTABILIREA INFORMAŢIEI
CARE CONŢINE DATE CU CARACTER PERSONAL ŞI IT

Secţiunea 1
Copiile de rezervă ale informaţiei care conţine date
cu caracter personal

    78. Pentru categoria N-1
    Reieşind din volumul prelucrărilor efectuate, individual, se stabileşte de către deţinătorul de date cu caracter personal intervalul de timp în care se execută copiile de siguranţă a informaţiilor care conţin date cu caracter personal şi soft-urilor folosite pentru prelucrările automatizate a datelor cu caracter personal, dar în orice caz acest termen este mai mic de un an, care se păstrează în locuri protejate, în afara zonei de amplasare a acestei informaţii şi soft-urile de bază.
    Copiile de siguranţă se testează în scopul verificării siguranţei purtătorilor de informaţii şi integrităţii informaţiei care conţine date cu caracter personal.
    Procedurile de restabilire a copiilor de siguranţă se actualizează şi se testează cu regularitate, în scopul asigurării eficacităţii acestora.
    79. Suplimentar pentru categoria N-2
    Copiile de siguranţă se păstrează în cutii metalice cu sigiliu aplicat şi stocate în afara zonei de amplasare a informaţiei care conţine date cu caracter personal de soft-urile de bază sau, dacă este posibil, în încăperi din altă clădire.
    Se identifică potenţialele probleme de acces în locurile de păstrare a copiilor de siguranţă în cazul defectului sau avariei şi se determină acţiunile concrete pentru restabilirea căilor de acces.
Secţiunea 2
Serviciile telecomunicaţionale de rezervă
    80. Pentru categoria N-2
    Se identifică serviciile telecomunicaţionale de bază şi de rezervă, inclusiv se soluţionează întrebările privind folosirea serviciilor telecomunicaţionale de rezervă în scopul restabilirii accesibilităţii serviciilor de bază ale sistemelor informaţionale de date cu caracter personal.
    Furnizorii serviciilor telecomunicaţionale de bază şi de rezervă urmează a fi diferiţi pentru a nu fi supuşi pericolelor comune.
XI. CONTROALELE DE SECURITATE A SISTEMELOR
INFORMAŢIONALE DE DATE
CU CARACTER PERSONAL
    81. Deţinătorii de date cu caracter personal verifică cu regularitate, cel puţin o dată pe an, îndeplinirea măsurilor tehnice şi/sau organizaţionale luate pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea în procesul prelucrării datelor cu caracter personal a sistemelor de telecomunicaţii şi/sau efectuarea îmbunătăţirilor, în caz de necesitate.
    82. Controalele de securitate sînt actualizate de fiecare dată cînd deţinătorul de date cu caracter personal este reorganizat sau îşi schimbă infrastructura.
    83. În scopul verificării nivelului de protecţie a sistemelor informaţionale de date cu caracter personal, precum şi în scopul preîntîmpinării unor eventuale cazuri de acces ilicit sau întîmplător asupra acestor sisteme informaţionale, depistării locurilor slabe în mecanismele de protejare a acestora, Centrul întreprinde periodic controale de securitate, inclusiv cu efectuarea unor măsuri tehnice speciale pentru simularea unui model de accesare a sistemelor informaţionale de date cu caracter personal.
    84. Rezultatele controalelor efectuate de Centru sînt puse imediat la dispoziţia deţinătorului de date cu caracter personal, nivelul de protecţie a sistemelor informaţionale de date cu caracter personal a căruia a servit obiect al controlului, cu prescrierea, în caz de necesitate, a acţiunilor necesare de a fi întreprinse în vederea asigurării securităţii prelucrării datelor cu caracter personal.
XII. GESTIONAREA INCIDENTELOR DE SECURITATE
A SISTEMELOR INFORMAŢIONALE
DE DATE CU
CARACTER PERSONAL

Secţiunea 1
Instructajul de reacţionare la incidentele de securitate a
sistemelor informaţionale de date cu caracter personal

    85. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Personalul care asigură exploatarea sistemelor informaţionale de date cu caracter personal trece, minimum o dată în an, instruirea referitor la responsabilităţile şi obligaţiile în cazul executării acţiunilor de gestionare şi reacţionare la incidentele de securitate.
Secţiunea 2
Prelucrarea incidentelor de securitate a sistemelor
informaţionale
de date cu caracter personal
    86. Pentru categoria N-1
    Este asigurat mecanismul de informare neîntîrziată a conducerii deţinătorului de date cu caracter personal despre incidentele care încalcă securitatea sistemelor informaţionale de date cu caracter personal.
    Prelucrarea incidentelor include depistarea, analiza, preîntîmpinarea dezvoltării, înlăturarea lor şi restabilirea securităţii.
    87. Suplimentar pentru categoria N-2
    Trebuie utilizate mijloace automatizate pentru susţinerea procesului de prelucrare a incidentelor de securitate a sistemelor informaţionale de date cu caracter personal.
Secţiunea 3
Monitorizarea incidentelor de securitate a sistemelor
 informaţionale de date cu caracter personal

    88. Pentru categoria N-1
    Incidentele de securitate a sistemelor informaţionale de date cu caracter personal se urmăresc şi se documentează în regim permanent.
    89. Suplimentar pentru categoria N-2
    Sînt utilizate mijloace automatizate pentru urmărirea incidentelor de securitate a sistemelor informaţionale de date cu caracter personal, colectarea şi analiza informaţiei despre aceste incidente.
Secţiunea 4
Prezentarea rapoartelor despre incidentele de securitate
a sistemelor informaţionale de date cu caracter personal

    90. Pentru toate categoriile sistemelor informaţionale de date cu caracter personal
    Anual, către 31 ianuarie, deţinătorii de date cu caracter personal prezintă Centrului raportul generalizat despre incidentele de securitate a sistemelor informaţionale de date cu caracter personal. În baza acestui raport, Centrul întreprinde măsurile ce se impun de Legea cu privire la protecţia datelor cu caracter personal.
XIII. PROTECŢIA TEHNICĂ A INFORMAŢIEI CARE
CONŢINE DATE CU CARACTER PERSONAL

    91. Pentru categoria N-2
    Este exclusă prezenţa necontrolată a persoanelor sau a mijloacelor de transport, precum şi instalarea întîmplătoare a antenelor, într-o zonă de minimum 15 metri de la locul amplasării mijloacelor tehnice principale ale sistemului informaţional de date cu caracter personal (în continuare – perimetru controlat), în scopul asigurării securităţii prelucrării datelor cu caracter personal.
    Încăperile pentru servere se protejează contra scurgerii informaţiei care conţine date cu caracter personal din cauza emisiilor electromagnetice prin ecranarea încăperilor sau instalarea sistemelor de bruiaj electromagnetic, care se proiectează, realizează şi cercetează de întreprinderi specializate în domeniu.
    În cazul ecranării încăperilor în care se află mijloacele tehnice de prelucrare a datelor cu caracter personal, este asigurată continuitatea conexiunii electrice a materialului tuturor părţilor ecranului: pereţi, tavan, podea, ferestre şi uşi.
    Construcţiile de ecranare trebuie să posede prize de pămînt care se amplasează în perimetrul controlat.
    Trebuie asigurată protecţia informaţiei care conţine date cu caracter personal contra scurgerii prin intermediul reţelei electrice, inclusiv încrucişarea reţelelor electrice ale obiectului cu instalarea filtrelor de protecţie care să blocheze (bruieze) semnalul.
    Se exclude sau se limitează instalarea neautorizată a altor dispozitive electrice, radio sau de alt gen în încăperile unde sînt amplasate mijloacele tehnice de prelucrare a datelor cu caracter personal, în scopul asigurării securităţii prelucrării datelor cu caracter personal.
    Utilajul, liniile căruia au ieşire în afara perimetrului controlat, este instalat la o distanţă de cel puţin 3 metri de la mijloacele TI în care sînt prelucrate date cu caracter personal.
XIV. SPECIFICUL CERINŢELOR DE SECURITATE ÎN
CAZUL FORMEI MANUALE DE ŢINERE
A REGISTRELOR ÎN
CARE SÎNT PRELUCRATE DATE CU CARACTER PERSONAL

    92. Prevederile prezentelor Cerinţe, cu excepţia pct.11-13, 23, 25, 27, 30-32, 35, 37-44, 46, 49, 51-53, 55-68, 72-77, 80, 87-89 şi 91, se aplică corespunzător de către deţinătorii de date cu caracter personal în cazul formei manuale de ţinere a registrelor în care sînt prelucrate seriile structurate de date cu caracter personal, accesibile conform criteriilor centralizate sau descentralizate, ori repartizate conform criteriilor funcţionale sau geografice.
    93. Totodată, înregistrările de audit a securităţii registrelor ţinute manual în care sînt prelucrate date cu caracter personal, trebuie să conţină:
    1) numele şi prenumele utilizatorului;
    2) numele fişei accesate (pagina şi inscripţia din registru);
    3) numărul înregistrărilor efectuate;
    4) tipul de acces;
    5) data accesului (an, lună, zi);
    6) timpul (ora, minuta) şi durata accesului.

                 Anexa nr.1
la Cerinţele faţă de asigurarea securităţii
datelor cu caracter personal la prelucrarea
acestora în cadrul sistemelor informaţionale
de date cu caracter personal

CATEGORIILE DE DATE CU CARACTER PERSONAL
    1. Datele cu caracter personal, care direct sau indirect identifică o persoană fizică, în special prin referire la un număr de identificare (cod personal), la unul sau mai multe elemente specifice proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale, se împart în două categorii: obişnuite şi speciale.
    2. Categoria specială a datelor cu caracter personal o constituie informaţia care dezvăluie originea rasială sau etnică, convingerile politice, religioase, privind starea de sănătate sau viaţa intimă, precum şi cele privind condamnările penale ale unei persoane fizice.
    3. Categoria obişnuită o constituie informaţia care dezvăluie:
    1) numele şi prenumele;
    2) sexul;
    3) data şi locul naşterii;
    4) cetăţenia;
    5) IDNP;
    6) imaginea;
    7) vocea;
    8) situaţia familială;
    9) situaţia militară;
    10) datele de geolocalizare/datele de trafic;
    11) porecla/pseudonimul;
    12) datele personale ale membrilor de familie;
    13) datele din permisul de conducere;
    14) datele din certificatul de înmatriculare;
    15) situaţia economică şi financiară;
    16) datele privind bunurile deţinute;
    17) datele bancare;
    18) semnătura;
    19) datele din actele de stare civilă;
    20) numărul dosarului de pensie;
    21) codul personal de asigurării sociale (CPAS);
    22) codul asigurării medicale (CPAM);
    23) numărul de telefon/fax;
    24) numărul de telefon mobil;
    25) adresa (domiciliului/reşedinţei);
    26) adresa e-mail;
    27) datele genetice;
    28) datele biometrice şi antropometrice;
    29) datele dactiloscopice;
    30) profesia şi/sau locul de muncă;
    31) formarea profesională – diplome – studii;
    32) obişnuinţele/preferinţele/comportamentul;
    33) caracteristicile fizice.
    4. În cazul prelucrării categoriei obişnuite de date cu caracter personal, deţinătorii de date cu caracter personal includ în politica de securitate a datelor cu caracter personal şi implementează cerinţele stabilite pentru nivelul unu de securitate a sistemelor informaţionale de date cu caracter personal – (N-1).
    5. În cazul prelucrărilor categoriei speciale de date cu caracter personal, deţinătorii de date cu caracter personal, suplimentar cerinţelor stabilite pentru nivelul unu de securitate, includ în politica de securitate a datelor cu caracter personal şi implementează cerinţele stabilite pentru nivelul doi de securitate a sistemelor informaţionale de date cu caracter personal – (N-2).

Anexa nr.2
la Cerinţele faţă de asigurarea securităţii
datelor cu caracter personal la prelucrarea
acestora în cadrul sistemelor informaţionale
de date cu caracter personal

CATEGORIILE OPERAŢIUNILOR DE PRELUCRARE
A DATELOR CU CARACTER PERSONAL, SUSCEPTIBILE DE
A PREZENTA RISCURI SPECIALE PENTRU DREPTURILE
ŞI LIBERTĂŢILE PERSOANELOR

    1. Prezintă riscuri speciale pentru drepturile şi libertăţile persoanelor următoarele categorii ale operaţiunilor de prelucrare a datelor cu caracter personal.
    1) adaptarea, modificarea, dezvăluirea prin transmitere, difuzare sau în orice alt mod, a datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, de apartenenţa la un partid politic sau o organizaţie religioasă, a datelor cu caracter personal privind starea de sănătate sau viaţa intimă, precum şi a datelor cu caracter personal referitoare la condamnările penale, măsurile de constrîngere, sancţiunile disciplinare sau contravenţionale;
    2) operaţiunile de prelucrare a datelor genetice, biometrice şi a datelor care permit localizarea geografică a persoanelor prin intermediul reţelelor de comunicaţii electronice;
    3) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace electronice, avînd ca scop evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul etc.;
    4) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă, avînd ca scop analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice;
    5) operaţiunile de prelucrare a datelor cu caracter personal ale minorilor în scopuri comerciale (activităţilor de marketing direct);
    6) operaţiunile de prelucrare a datelor cu caracter personal menţionate la subpunctele 1) şi 2) din prezenta anexă, precum şi datele cu caracter personal ale minorilor, colectate prin intermediul Internetului sau mesageriei electronice.
    2. În cazul prelucrărilor de date cu caracter personal prin orice operaţiune sau set de operaţiuni indicate la pct.1 al prezentei anexe, deţinătorii de date cu caracter personal includ în politica de securitate a datelor cu caracter personal şi implementează cerinţele stabilite pentru nivelul doi de securitate a sistemelor informaţionale de date cu caracter personal – (N-2).