На основании части (2) статьи 14 Закона № 17-XVI от 15 февраля 2007 года о защите персональных данных (Официальный монитор Республики Молдова, 2007 г., № 107-111, ст. 468), с последующими изменениями и дополнениями, Правительство ПОСТАНОВЛЯЕТ:
    1. Утвердить Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (прилагаются)
    2. Держателям персональных данных принять соответствующие меры по внедрению Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в течение 12 месяцев после вступления в силу настоящего Постановления.

    Премьер-министр                                     Владимир ФИЛАТ
    Контрассигнует:
    министр информационных
    технологий и связи                                  Александру Олейник

    № 1123. Кишинэу, 14 декабря 2010 г.

    1. Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (в дальнейшем – Требования) имеют целью установление минимальных правил держателям персональных данных по внедрению организационных и технических мер, необходимых для обеспечения безопасности, конфиденциальности и целостности персональных данных при их обработке в рамках информационных системах персональных данных и/или регистрах в мануальной форме, в соответствии с положениями Закона № 17-XVI от 15 февраля 2007 года о защите персональных данных (Официальный монитор Республики Молдова, 2007 г., № 107-111, ст. 468) и Закона № 71-XVI от 22 марта 2007 года о регистрах (Официальный монитор Республики Молдова, 2007 г., № 70-73, ст. 314).
    2. Настоящие Требования создают необходимую базу для применения Конвенции о защите граждан в отношении автоматизированной обработки личных данных, заключенной в Страсбурге 28 января 1981 г., опубликованной в European Treaty Series, №108, ратифицированной Республикой Молдова Постановлением Парламента № 483-XIV от 2 июля 1999 г.
    3. В настоящих Требованиях используются следующие определения:
    аутентификация – проверка идентификатора, присвоенного субъекту доступа, подтверждение подлинности;
  контроль безопасности – действия, предпринятые держателями персональных данных или Национальным центром по защите персональных данных (в дальнейшем – Центр) для осуществления проверки и/или обеспечения надлежащего уровня безопасности персональных данных, обрабатываемых в информационных системах и/или регистрах в мануальной форме, в соответствии с настоящими Требованиями;
  временные файлы – набор данных или информаций на цифровом носителе, созданный на определенный промежуток времени до начала выполнения задач, для которых они предназначены;
    идентификация – присвоение идентификатора субъектам и объектам доступа и/или сравнение предоставленного идентификатора со списком присвоенных идентификаторов;
    целостность – достоверность, непротиворечивость и актуальность информации, содержащей персональные данные, защита ее от повреждения и несанкционированного изменения;
средства криптографической защиты информации, содержащей персональные данные – технические, программные и технически-прикладные средства, системы и комплексы систем, которые позволяют строить алгоритмы криптографического преобразования информации, содержащей персональные данные, предназначенные для обеспечения целостности и конфиденциальности информации в процессе обработки, хранения и передачи по коммуникационным каналам;
    уровень защиты – уровень безопасности, пропорциональный риску, которому подвергается обработка персональных данных, а также по отношению к правам и свободам граждан, установленный согласно Требованиям, разработанный и актуализированный в соответствии с уровнем технологического развития и стоимости внедрения этих мер (N-1 или N-2);
    политика безопасности персональных данных – документ, разработанный держателем персональных данных, который представляет точное описание мер безопасности и признаков защиты, выбранных для безопасности данных, учитывая потенциальные риски для обрабатываемых персональных данных и реальные риски, которым подвергаются эти данные;
    периметр безопасности – зона, которая представляет собой барьер доступа, обеспеченный средствами физического и технического контроля доступа;
   лицо, ответственное за политику безопасности персональных данных – лицо, отвечающее за соответствующее функционирование комплексной системы защиты информации, содержащей персональные данные, а также за разработку, внедрение и мониторинг соблюдения положений политики безопасности держателя персональных данных;
    защита информации от непреднамеренных действий – комплекс мер, направленных на предупреждение непреднамеренных действий, вызванных ошибками пользователя, дефектами применяемых технических средств, природными явлениями или другими причинами, которые не имеют прямой целью изменение информации, но которые приводят к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее потере, уничтожению или неисправности материального носителя информации, содержащей персональные данные;
    носитель персональных данных – магнитный, оптический, лазерный, бумажный или другой носитель информации, на котором создается, фиксируется, передается, принимается, хранится или иным образом используется документ, и который позволяет его воспроизведение;
    восстановление данных – процедуры по реконструкции персональных данных до состояния, в котором они находились до момента потери или уничтожения;
    информационные технологии (IT - англ.- informational technology) – общность процессов, методов и средств по обработке и передаче информации, содержащей персональные данные, и правила ее использования;
    пользователь – лицо, действующее под авторитетом держателя персональных данных с признанным правом доступа к информационным системам персональных данных;
    рабочая сессия – период, который длится с момента включения компьютера и приложения по использованию информационного ресурса или момента запуска информационного ресурса и до момента их остановки;
    информационная система персональных данных – совокупность взаимосвязанных ресурсов и информационных технологий, методов и персонала, предназначенных для хранения, обработки и предоставления информации, содержащей персональные данные;
    хранение – накопление персональных данных на любых носителях.
    4. Меры по защите персональных данных являются составной частью работ по созданию, развитию и эксплуатации информационной системы персональных данных и непрерывно выполняются всеми держателями персональных данных.
   5. Защита персональных данных в информационных системах персональных данных обеспечивается комплексом организационных и технических мер по предупреждению неправомерной обработки персональных данных.
    6. Меры по защите персональных данных, обрабатываемых в информационных системах персональных данных, применяются исходя из необходимости обеспечения конфиденциальности этих мер.
    7. Осуществление любых мер и работ с использованием информационных ресурсов держателя персональных данных запрещено в случаях, если не приняты и не выполнены соответствующие меры по защите персональных данных.
    8. Защите подлежат все информационные ресурсы держателей персональных данных, содержащие персональные данные, в том числе:
    1) магнитные, оптические, лазерные или другие носители электронной информации, информационные массивы и базы данных;
    2) информационные системы, сети, операционные системы, системы управления базами данных и другие приложения, системы телекоммуникаций, включая средства создания и копирования документов и другие технические средства обработки информации.
    9. Защита персональных данных в информационных системах персональных данных обеспечивается в целях:
    1) предотвращения утечки информации, содержащей персональные данные путем исключения несанкционированного доступа к ней;
    2) предотвращения уничтожения, изменения, копирования, несанкционированного блокирования персональных данных в телекоммуникационных сетях и информационных ресурсах;
    3) соблюдения нормативно-правовой базы по использованию информационных систем и программ для обработки персональных данных;
    4) обеспечения исчерпывающего, целостного и достоверного характера персональных данных в телекоммуникационных сетях и информационных ресурсах;
    5) сохранения возможностей по управлению процессом обработки и хранения персональных данных.
    10. Защита персональных данных, обрабатываемых в информационных системах, проводится методами:
    1) предотвращения неавторизированного подключения к телекоммуникационным сетям и перехвата с помощью технических средств персональных данных, передаваемых по этим сетям;     2) исключения несанкционированного доступа к обработанным персональным данным;
    3) предотвращения специальных технических и программных действий, которые обуславливают уничтожение, изменение персональных данных или сбой в работе технического и программного комплекса;
    4) предотвращения преднамеренных и/или непреднамеренных действий внутренних и/или внешних пользователей, а также других сотрудников держателя персональных данных, которые обуславливают уничтожение, изменение персональных данных или сбой в работе технического и программного комплекса.
    11. Предотвращение утечки информации, содержащей персональные данные, передаваемые через каналы связи, обеспечивается путем использования методов шифрования информации, включая организационные, технические и режимные меры.
    12. Предотвращение несанкционированного доступа к информации, которая содержит персональные данные и курсирует или хранится в технических средствах, обеспечивается методом использования специальных технических и программных средств, шифрованием этой информации, в том числе с помощью организационных и режимных мер.
    13. Предотвращение уничтожения, изменения персональных данных или сбоя программного обеспечения, предназначенного для обработки персональных данных, обеспечивается методом использования специальных технических и программных средств защиты, в том числе лицензионных программ, антивирусных программ, организации системы контроля программного обеспечения и периодического осуществления резервных копий.
    14. Порядок доступа к информации, содержащей персональные данные, обрабатываемой в информационных системах, устанавливается держателем персональных данных в соответствии с требованиями законодательства.
    15. Каждый держатель персональных данных, исходя из специфики деятельности, разрабатывает и организует выполнение положений документа, определяющего политику безопасности персональных данных, в том числе процедуры и меры по реализации этой политики с применением практических решений с пропорциональным уровнем детализации и сложности касательно идентификации и аутентификации пользователей; реагирования на инциденты безопасности; защиты IT и связи; обеспечения целостности информации, содержащей персональные данные и IТ; управления доступом; аудита и обеспечения учета, принимая во внимание:
    1) категорию обрабатываемых персональных данных и операций по их обработке (в соответствии с приложениями № 1 и 2 настоящих Требований);
    2) величину держателя персональных данных в зависимости от числа сотрудников, числа административных подразделений, географического расположения подразделений или филиалов и т.д., включая число лиц, которые имеют доступ к персональным данным;
    3) формы ведения регистра, в котором обрабатываются персональные данные (мануальная, электронная или смешанная);
    4) сложность информационных систем персональных данных и программ приложений, задействованных в процесс обработки данных;
    5) риски, которым подвергается держатель персональных данных или лица, чьи персональные данные обрабатываются, уровень технологического развития в этой области и стоимость мер по их внедрению.
    16. Политика безопасности персональных данных пересматривается, как минимум, один раз в год, как результат изменений или переоценки ее компонентов, и утверждается на самом высоком уровне иерархии ответственных лиц держателя персональных данных.
    Чтобы политика безопасности персональных данных была известна всем, этот документ доводится до сведения пользователей и других работников держателя персональных данных, в пределах их функциональных компетенций и предоставленного уровня доступа.
    17. Держатель персональных данных назначает лицо, ответственное за разработку, реализацию и мониторинг соблюдения политики безопасности персональных данных, находящееся в непосредственном подчинении руководителя учреждения, которое не имеет другую ответственность, не совместимую с задачами функции по внедрению данной политики.
    18. Лицо, ответственное за реализацию политики безопасности персональных данных, обеспечивается достаточными ресурсами (временем, человеческими ресурсами, оборудованием и бюджетом) и имеет свободный доступ к информации, необходимой для выполнения своих обязанностей, в объеме, не превышающем пределы этой политики.
    19. Лицо, ответственное за реализацию политики безопасности персональных данных, обеспечивает четкое определение различных ответственностей в области безопасности обработки персональных данных (предупреждение, надзор, обнаружение и обработка), а также оперирование ими, без воздействия вследствие личных интересов или других обстоятельств.
    20. Держатели персональных данных принимают следующие меры:
  1) четко определяют обязанности и процессы менеджмента безопасности персональных данных с соответствующей интеграцией в организационную структуру и общее функционирование;
    2) осуществляют технические и организационные меры, необходимые для организации процесса менеджмента обеспечения безопасности персональных данных;
    3) разрабатывают процедуры по классификации информации, содержащей персональные данные таким образом, чтобы можно было подготовить номенклатуру и локализовать все обрабатываемые персональные данные, независимо от носителя этих данных;
    4) инструктируют лиц, вовлеченных в процесс обработки персональных данных, для обеспечения выполнения функциональных обязанностей и взятия на себя ответственности за безопасность персональных данных, включая их конфиденциальность.
    21. Документация, относящаяся к политике безопасности персональных данных, должна быть централизованной, полной, регулярно обновляемой и содержать, как минимум, следующие элементы:
    1) идентичность лица, ответственного за политику безопасности;
    2) меры безопасности;
    3) механизм осуществления мер безопасности;
    4) номенклатуру обрабатываемых персональных данных, их локализации и операций, проводимых над ними;
    5) поименный список пользователей, которым доступ к персональным данным авторизирован;
    6) конфигурацию информационной системы персональных данных и сети;
    7) подробное описание критериев, в соответствии с которыми будут доступны персональные данные которые содержатся в регистре в мануальной форме;
    8) техническую документацию о проверках безопасности;
    9) график проверок безопасности;
    10) меры по выявлению случаев доступа и/или несанкционированной обработки персональных данных;
    11) отчеты об инцидентах безопасности.
    22. Для категории N-1
    Доступ в помещения/офисы/кабинеты или места, где расположены информационные системы персональных данных, ограничен и разрешен только лицам, имеющим необходимое разрешение, и только в рабочее время, согласно списку и соответствующим отличительным знакам (эмблемы, значки, идентификационные карты, микропроцессорные карты).
    Руководители держателей персональных данных разрабатывают и утверждают списки доступа, которые пересматриваются не реже одного раза в месяц, и отличительные знаки, разрешающие доступ.
    23. Дополнительно для категории N-2
    Доступ производится на основе идентификационных карточек, микропроцессорных карт или других подобных технологий.
    24. Для категории N-1
    Осуществляются управление и контроль физического доступа во всех точках доступа к информационным системам персональных данных, а также обеспечено реагирование на нарушение режима доступа.
    До предоставления физического доступа к информационным системам персональных данных проверяются полномочия доступа.
    Регистры мониторинга хранятся не менее одного года, по истечении которого регистр ликвидируется, а данные и документы, содержащиеся в ликвидируемом регистре, передаются в архив.
    25. Дополнительно для категории N-2
    Помещения, в которых установлены информационные системы персональных данных, оснащаются системами контроля доступа и видеонаблюдения с целью отслеживания доступа лиц в эти зоны.
    В процессе мониторинга используются средства наблюдения и сигнализации в режиме реального времени во всех случаях санкционированного и/или несанкционированного доступа.
    Используются автоматизированные средства, обеспечивающие выявление случаев несанкционированного доступа и инициирование действий по блокированию доступа.
    26. Для категории N-1
    Периметр безопасности устанавливается конкретно и четко.
    Периметр здания или помещения, в котором находятся средства обработки персональных данных, должен быть целостным с физической точки зрения.
    Наружные стены помещений должны быть устойчивыми, входы оборудованы замками, средствами контроля доступа, сигнализации и т.д.
    В случае расположения помещений на первом этаже и/или на последнем этаже здания, а также в случае наличия балконов, пожарных лестниц, на соответствующие окна помещения устанавливаются решетки.
    Компьютеры, серверы, другие терминалы доступа должны располагаться в местах с ограниченным для посторонних лиц доступом.
    Двери и окна запираются при отсутствии в помещениях сотрудников.
    Записные книжки и/или телефонные книги, в которых содержатся сведения о местоположении средств обработки персональных данных, не должны быть доступными для посторонних лиц.
    Расположение средств обработки персональных данных должно соответствовать необходимости обеспечения их безопасности от несанкционированного доступа, краж, пожаров, наводнений и других возможных рисков.
    Использование фото-, видео-, аудиотехники или других средств записи в периметре безопасности допускается только в случае наличия специального разрешения руководства держателя персональных данных.
    Носители информации и средства обработки персональных данных, вынесенные из помещений, находящихся в периметре безопасности, не должны оставляться без присмотра в общественных местах.
    27. Дополнительно для категории N-2
    Внедряются системы установления проникновения для наружных дверей и окон, расположенных в доступных местах.
    Резервное оборудование и носители информации, содержащие персональные данные, хранятся в местах, позволяющих избежать уничтожения или повреждения в результате стихийных бедствий в основных помещениях/офисах/кабинетах.
    28. Для категории N-1
    Должен контролироваться физический доступ посетителей в помещения, где установлены информационные системы персональных данных.
    Доступ посетителей регистрируется в регистрах, которые хранятся не менее одного года, по истечении которого регистр ликвидируется, а данные и документы, содержащиеся в ликвидируемом регистре, передаются в архив.
    29. Дополнительно для категории N-2
    Посетители информационных систем персональных данных должны сопровождаться лицами, назначенными для этой цели, с осуществлением одновременно контроля их действий.
    30. Для категории N-1
    Обеспечивается безопасность электрооборудования, используемого для поддержания функциональности информационных систем персональных данных, электрических кабелей, включая их защиту от повреждений и несанкционированного подключения.
    В случае возникновения исключительных, чрезвычайных или форс-мажорных обстоятельств должна быть обеспечена возможность отключения от электричества информационных систем персональных данных, включая возможность отключения любого компонента IT.
    Должны быть предусмотрены независимые источники электроснабжения краткосрочного действия, которые используются для надлежащего завершения рабочей сессии системы (компонента) в случае отключения от основного источника электрического питания.
    31. Дополнительно для категории N-2
    Предусматриваются и обеспечиваются источники электрической энергии на долгий период времени, которые используются в случае отключения в течение длительного времени при необходимости продолжения выполнения информационными системами персональных данных установленных функциональных задач.
    32. Для всех категории информационных систем
    Сетевые кабеля, посредством которых осуществляется обработка персональных данных, должны быть защищены от несанкционированного подключения или повреждения.
    Высоковольтные кабели должны быть отделены от кабелей связи для исключения помех.
    Держатели персональных данных осуществляют, не реже чем один раз в месяц, проверки по обнаружению случаев несанкционированного подключения к кабельным сетям.
    33. Для категории N-1
    Предусматриваются средства обеспечения пожарной безопасности в помещениях/офисах/кабинетах, где расположены информационные системы персональных данных и средства обработки персональных данных.
    34. Дополнительно для категории N-2
    Внедряются автоматические системы по обнаружению/сигнализации и тушению пожаров в помещениях/офисах/кабинетах, где расположены информационные системы персональных данных и средства обработки персональных данных.
    35. Для всех категорий информационных систем персональных данных
    Осуществляется контроль и учет установки и удаления программных, технических и программно-аппаратных средств, используемых в информационных системах персональных данных.
    Информация, которая содержит персональные данные и находится на носителях информации, физически уничтожается или перезаписывается и уничтожается надежными методами, исключая использование стандартных функций операций удаления.
    36. Для всех категорий информационных систем персональных данных
    В случае временного неиспользования бумажных и электронных (цифровых) носителей информации, содержащих персональные данные, они хранятся в запирающихся сейфах или шкафах.
    Персональные компьютеры, компьютерные терминалы и принтеры выключаются по окончании рабочих сессий.
    Обеспечивается безопасность пунктов приема/отправки корреспонденции, а также защита против неавторизованного доступа к факсимильным и копировальным устройствам.
    Необходимо осуществлять управление физическим доступом к средствам отображения информации, которая содержит персональные данные, препятствующее визуализации этой информации неавторизированными на это лицами.
    Средства обработки персональных данных, информация, которая содержит персональные данные или программное обеспечение, предназначенное для обработки персональных данных, выносятся из периметра безопасности только на основании соответствующего письменного разрешения руководства держателя персональных данных.
    Факт выноса средств обработки персональных данных из периметра безопасности/их вноса в периметр безопасности должен регистрироваться.
    37. Для категории N-1
    Осуществляется идентификация и аутентификация пользователей информационных систем персональных данных и процессов, исполняемых от имени этих пользователей.
    Все пользователи (включая персонал технической поддержки, администраторов сети, системных программистов и администраторов базы данных) будут иметь уникальный идентификатор (пользовательский ID), который не должен содержать признаков уровня доступа пользователя.
    Для подтверждения заявленной идентичности пользователя используются пароли, специальные физические устройства доступа с памятью (token) или микропроцессорные карты, биометрические методы аутентификации, основанные на индивидуальности и уникальности характеристик лица.
    В случае, если трудовой договор/служебные отношения пользователя были прекращены, приостановлены или изменены, а новые должностные обязанности не требуют доступа к персональным данным или пользователь злоупотребил полученными кодами доступа с целью совершения деяния, наносящего вред, отсутствовал на протяжении продолжительного периода времени, коды идентификации и аутентификации отзываются или приостанавливаются держателем персональных данных.
    38. Дополнительно для категории N-2
    Используется многофакторная (комплексная) аутентификация, включающая пароли и специальные физические устройства доступа с памятью или микропроцессорные карты, или пароли и биометрические методы аутентификации.
    39. Для всех категорий информационных систем персональных данных
    Обеспечивается возможность идентификации и аутентификации оборудования, используемого в операциях по обработке персональных данных.
    40. Для всех категорий информационных систем персональных данных
    Администрирование идентификаторов пользователей включает:
    1) однозначную идентификацию каждого пользователя;
    2) проверку подлинности каждого пользователя;
    3) получение авторизации от ответственного лица за выдачу идентификатора пользователя;
    4) гарантирование того, что ID пользователя выдан конкретно определенному лицу;
    5) дезактивацию учетной записи пользователя после заданного временного интервала неактивности (бездействия в течение не более 2 месяцев);
    6) осуществление архивных копий идентификаторов пользователя.
    41. Для всех категорий информационных систем персональных данных
    Держатель персональных данных определяет административные процедуры, регламентирующие процесс распространения и изъятия средств аутентификации пользователей, а также действия в случае их утраты/компрометации или выхода из строя.
    После установления системы изменяются сведения аутентификации пользователей, используемые стандартно.
    42. Для всех категорий информационных систем персональных данных
    Обеспечивается двусторонняя связь держателя персональных данных с пользователем в момент прохождения им процедур аутентификации, которая не компрометирует механизм аутентификации.
    43. Для всех категорий информационных систем персональных данных:
    Соблюдаются правила обеспечения безопасности при выборе и использовании паролей, включающие:
    1) сохранение конфиденциальности паролей;
    2) запрещение записи паролей на бумажных носителях, если только не обеспечено их безопасное хранение;
    3) изменение паролей каждый раз, когда имеются признаки возможной компрометации системы или пароля;
    4) выбор качественных паролей с минимальной длиной в 8 знаков, которые не связаны с персональной информацией о пользователе, не содержат последовательных идентичных символов и не состоят полностью из числовых или буквенных групп;
    5) изменение паролей через интервалы времени не более 3 месяцев;
    6) дезактивацию автоматизированного процесса регистрации (с использованием сохраненных паролей).
    44. Для всех категорий информационных систем персональных данных
    Используются индивидуальные идентификаторы для каждого пользователя и их индивидуальные пароли для обеспечения возможности установления ответственности.
    Обеспечивается пользователям возможность выбирать и изменять собственные пароли, а также активировать процедуру для учета ошибок ввода.
    Обеспечивается осуществление блокирования доступа после 3 ошибочных попыток аутентификации.
    Обеспечивается хранение истории предыдущих пользовательских паролей в форме hash (за предыдущий год) и предотвращение их повторного использования.
    В момент ввода пароли не отображаются на экране.
    Пароли хранятся в зашифрованной форме с использованием одностороннего криптографического алгоритма (функция hash).
    45. Для всех категорий информационных систем персональных данных
    Внедряются механизмы регистрации и учета лиц, имеющих доступ или участвующих в операциях по обработке персональных данных, которые, в случае необходимости, позволяют выявить случаи неавторизированного доступа или незаконной обработки персональных данных.
    46. Для всех категорий информационных систем персональных данных
    Осуществляется управление учетными записями пользователей, которые обрабатывают персональные данные, включая создание, активацию, изменение, пересмотр, отключение и удаление учетных записей.
    Используются автоматизированные средства поддержки в целях управления учетными записями.
    Действие учетных записей временных пользователей, которые обрабатывают персональные данные, автоматически прекращается по окончанию установленного периода времени (для каждого типа учетной записи в отдельности).
    Осуществляется автоматическое отключение учетных записей неактивных пользователей, которые обрабатывают персональные данные, после периода бездействия не более 3 месяцев.
    Используются автоматизированные средства регистрации и оповещения о создании, изменении, отключении, прекращении действия учетных записей.
    Доступ к информационным системам персональных данных авторизируется в соответствии с политикой управления доступом, установленной держателем персональных данных.
    Доступ к функциям безопасности информационных систем персональных данных и к их данным предоставляется только ответственным лицам, непосредственно указанным в политике безопасности держателя персональных данных.
    48. Для всех категорий информационных систем персональных данных
    Права доступа пользователей информационных систем персональных данных пересматриваются регулярно для обеспечения уверенности в том, что не были предоставлены неавторизованные права доступа (не более чем через каждые 6 месяцев) и после любых изменений статуса пользователя.
    49. Для всех категорий информационных систем персональных данных
    Осуществление информационных потоков в процессе их передачи внутри и за пределами информационных систем персональных данных авторизируется держателями персональных данных
    50. Для всех категорий информационных систем персональных данных
    Разделение обязанностей субъектов, которые обеспечивают функционирование информационных систем персональных данных, осуществляется посредством предоставления соответствующих прав/полномочий доступа, указанных в административном акте руководства держателя персональных данных.
    Пользователям информационных систем персональных данных предоставляются только те права/полномочия, которые им необходимы для выполнения определенных для них задач.
    51. Для всех категорий информационных систем персональных данных
    Перед предоставлением доступа в систему пользователи информируются о том, что использование информационных систем персональных данных контролируется и что их неавторизированное использование преследуется в соответствии с действующим законодательством.
    52. Для всех категорий информационных систем персональных данных
    Рабочая сессия в информационной системе, предназначенная для обработки персональных данных, блокируется (по запросу пользователя или автоматически не более чем через 15 минут неактивности пользователя), что делает невозможным дальнейший доступ до того момента, пока пользователь не разблокирует сеанс путем повторного прохождения процедур идентификации и аутентификации.
    53. Для всех категорий информационных систем персональных данных
    Осуществляется контроль над действиями пользователей для оценки правильности и соответствия операций и деятельности, осуществляемой в информационных системах персональных данных.
    54. Для всех категорий информационных систем персональных данных
    Исходящая из системы информация, содержащая персональные данные, маркируется с указанием предписаний по дальнейшей обработке или распространению, в том числе с указанием единого идентификационного номера держателя персональных данных.
    55. Для всех категорий информационных систем персональных данных:
    Все методы доступа на расстоянии к информационным системам персональных данных должны защищаться (с использованием VPN, криптирования, шифрования и др.), а также документироваться, подвергаться мониторингу и контролю.
    Каждый используемый способ доступа на расстоянии к информационным системам персональных данных авторизируется ответственными лицами держателя персональных данных и разрешается только тем пользователям, которым это необходимо для выполнения установленных задач.
    56. Для всех категорий информационных систем персональных данных
    Устанавливаются ограничения и разрабатываются правила по использованию беспроводных технологий, позволяющих получать доступ к информационным системам персональных данных.
    Беспроводный доступ к информационным системам персональных данных документируется, подвергается мониторингу и контролю.
    Беспроводный доступ к информационным системам персональных данных разрешен только при применении средств криптографической защиты информации.
    Использование беспроводных технологий авторизируется ответственными лицами держателя персональных данных.
    57. Для всех категорий информационных систем персональных данных
    Устанавливаются ограничения и разрабатываются руководства по использованию портативных и мобильных устройств, которые позволяют получать доступ к информационным системам персональных данных.
    Доступ к информационным системам персональных данных с использованием портативных и мобильных устройств документируется, подвергается мониторингу и контролю.
    Использование портативных и мобильных устройств авторизируется ответственными лицами держателя персональных данных.
    Обеспечивается разделение функциональных возможностей пользователя от функциональных возможностей управления информационными системами персональных данных.
    Обеспечивается изолирование функций безопасности от функций, не относящихся к безопасности информационных систем персональных данных.
    Обеспечивается предотвращение попыток неразрешенного и непреднамеренного распространения остаточной информации через общедоступные системные ресурсы.
    Обеспечивается защита информационных систем персональных данных или ограничение возможности реализации разных типов атак, включая DOS (denial of service) «отказ от обслуживании».
    Обеспечивается возможность ограничения с помощью механизма задания приоритетов использования информационных ресурсов, в которых обрабатываются персональные данные.
    Обеспечиваются постоянный мониторинг и контроль коммуникаций на внешнем периметре информационных систем персональных данных, включая самые важные внутренние контактные пункты во внутреннем периметре этих информационных систем.
    Размещение общедоступных ресурсов обеспечивается в специально предназначенных сегментах вычислительной сети с физическими сетевыми интерфейсами.
    Обеспечивается невозможность доступа пользователей снаружи во внутреннюю сеть, в которой обрабатываются персональные данные.
    Обеспечивается целостность передаваемых персональных данных с использованием средств криптографической защиты информации и средств цифровой подписи.
    65. Для всех категорий информационных систем персональных данных
    Обеспечивается конфиденциальность передаваемых персональных данных с использованием средств криптографической защиты информации.
    Держатели персональных данных организуют генерирование записей аудита безопасности в информационные системы персональных данных для событий, указанных в соответствующем списке, подвергаемых аудиту.
    1) Осуществляется регистрация попыток входа пользователя в систему/выхода из системы по следующим параметрам:
    а) дата и время попытки входа/выхода;
    b) идентификатор пользователя;
    c) результат попытки входа/выхода – успешная или безуспешная.
    2) Осуществляется регистрация попытки запуска/завершения рабочей сессии прикладных программ и приложений, предназначенных для обработки персональных данных, регистрация изменения прав доступа пользователя и статуса объектов доступа по следующим параметрам:
    a) дата и время попытки запуска;
    b) наименование/идентификатор приложения или процесса;
    c) идентификатор пользователя;
    d) результат попытки запуска – успешная или безуспешная.
    3) Осуществляется регистрация попыток получения доступа (выполнения операций) к приложениям и процессам, предназначенным для обработки персональных данных, по следующим параметрам:
    a) дата и время попытки получения доступа (выполнения операции);
    b) наименование (идентификатор) приложения или процесса;
    c) идентификатор пользователя;
    d) спецификация защищаемого ресурса (идентификатор, логическое имя, имя файла, номер и т.п.);
    e) вид запрашиваемой операции (чтение, запись, удаление и т.п.);
    f) результат попытки получения доступа (выполнения операции) – успешная или безуспешная.
    4) Осуществляется регистрация изменения прав доступа (полномочий) пользователя и статуса объектов доступа по следующим параметрам:
    a) дата и время изменения полномочий;
    b) идентификатор администратора, осуществившего изменения;
    c) идентификатор пользователя и его новые полномочия или спецификация объекта доступа и его новый статус.
    5) Осуществляется регистрация выхода из системы информации, содержащей персональные данные (электронного документа, данных и т.д.), регистрация изменения прав доступа субъектов и статус объектов доступа по следующим параметрам:
    a) дата и время выдачи;
    b) наименование информации и пути доступа к ней;
    c) спецификация оборудования (устройства) выдачи информации (логическое имя);
    d) идентификатор пользователя, запросившего информацию;
    e) объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, безуспешный).
    В случае сбоя аудита безопасности в информационных системах персональных данных или заполнении всего объема памяти, выделенного для хранения данных аудита, информируется лицо, ответственное за политику безопасности персональных данных, и предпринимаются действия по восстановлению работоспособности системы аудита.
    Проводится постоянный мониторинг и анализ записей аудита безопасности в информационных системах персональных данных с целью выявления необычной или подозрительной деятельности по использованию этих информационных систем с составлением отчета о случаях выявления этой деятельности, сохраненной в электронно-вычислительных средствах, и принятием мер, предопределенных политикой безопасности для таких случаев.
    Результаты аудита безопасности в информационных системах персональных данных, которые представляют собой операции по обработке персональных данных и средства для проведения аудита, защищаются от несанкционированного доступа путем установления надлежащих мер безопасности, в том числе обеспечения конфиденциальности и целостности этих результатов.
    Продолжительность хранения результатов аудита безопасности в информационных системах персональных данных обосновывается в политике безопасности персональных данных, но в любом случае этот срок должен быть не менее двух лет, чтобы их можно было использовать в качестве доказательств в случае инцидентов безопасности, возможного расследования или судебных процессов.
    В случае, когда срок расследования или судебные процессы продлеваются, результаты аудита хранятся в течение всего этого срока.
    Обеспечивается выявление, протоколирование и устранение недостатков программного обеспечения, предназначенного для обработки персональных данных, включая установку исправлений и пакетов обновлений для этих программ.
    Обеспечивается защита от проникновения вредоносных программ в программное обеспечение, предназначенное для обработки персональных данных, – мера, которая обеспечивает своевременное автоматическое обновление средств, обеспечивающих защиту от вредоносного программного обеспечения и сигнатур вирусов.
    74. Дополнительно для категории N-2
    Обеспечивается централизованное администрирование механизмов защиты программного обеспечения для обработки персональных данных от вредоносных программ.
    Используются технологии и средства констатации вторжений, которые позволяют мониторизировать происшествия в информационных системах персональных данных и констатировать атаки, в том числе те, которые обеспечивают выявление неавторизированных попыток использования информационных систем.
    Обеспечивается защита и возможность обнаружения несанкционированных попыток изменения программного обеспечения для обработки персональных данных и информации, содержащей персональные данные.
    Программное обеспечение, предназначенное для обработки персональных данных и информации, содержащей персональные данные, доступ к которым осуществляется с помощью системы общественного доступа, защищается с помощью метода цифровой подписи.
    Проводится тестирование правильного действия функций по обеспечению безопасности информационных систем персональных данных (автоматически при запуске и ежемесячно по запросу пользователя, уполномоченного для этой цели).
    Исходя из объема выполненной обработки, держателем персональных данных индивидуально определяется интервал времени, в котором выполняется резервное копирование информации, содержащей персональные данные и программное обеспечение для автоматизированной обработки персональных данных, но в любом случае этот период не может быть менее одного года, и которые хранятся в защищенных местах, вне зоны размещения этой информации и базового программного обеспечения.
    Резервные копии тестируются для проверки безопасности носителей информации и целостности информации, содержащей персональные данные.
    Процедуры по восстановлению резервных копий данных актуализируются и тестируются регулярно в целях обеспечения их эффективности.
    79. Дополнительно для категории N-2
    Резервные копии хранятся в опечатанных металлических коробках вне зоны размещения информации, содержащей персональные данные, и базового программного обеспечения, или, если возможно, в помещениях другого здания.
    Определяются и потенциальные проблемы по доступу в места хранения резервных копий в случае возникновения неисправности или аварии и идентифицируются конкретные меры по восстановлению путей доступа.
    Определяются базовые и резервные телекоммуникационные услуги, в том числе решаются вопросы по использованию резервных телекоммуникационных услуг в целях восстановления доступности основных услуг информационных систем персональных данных.
    Провайдеры базовых и резервных телекоммуникационных услуг должны быть разными, чтобы не подвергаться общим рискам.
    81. Держатели персональных данных проверяют регулярно, не менее одного раза в год, исполнение принятых технических и/или организационных мер для обнаруживания неполадок по использованию телекоммуникационных систем при обработке персональных данных и/или внесения усовершенствования, в случае необходимости.
    82. Проверки безопасности осуществляются каждый раз, когда держатель персональных данных реорганизует или изменяет инфраструктуру.
  83. В целях определения уровня защиты информационных систем персональных данных и предотвращения возможных случаев незаконного или случайного доступа к таким информационным системам, выявления слабых мест в механизмах их защиты Центр периодически проводит проверки безопасности, в том числе с осуществлением специальных технических мероприятий по имитации моделей доступа к информационным системам персональных данных.
    84. Результаты проверок, проведенных Центром, незамедлительно предоставляются держателю персональных данных, уровень защиты информационных систем персональных данных которого послужил объектом контроля, с предписанием, в случае необходимости, соответствующих мер, подлежащих принятию для обеспечения безопасности обработки персональных данных.
    Персонал, обеспечивающий эксплуатацию информационных систем персональных данных, проходит не реже одного раза в год инструктаж в отношении ответственности и обязательств в случае выполнения действий по управлению и реагированию на инциденты безопасности.
    Предусматривается механизм незамедлительного информирования руководства держателя персональных данных об инцидентах, связанных с нарушением безопасности информационных систем для персональных данных.
    Обработка инцидентов включает обнаружение, анализ, предотвращение развития, их устранение и восстановление безопасности.
    87. Дополнительно для категории N-2
    Используются автоматизированные средства для поддержания процесса обработки персональных данных и устранения инцидентов безопасности информационных систем персональных данных.
    Инциденты безопасности информационных систем персональных данных отслеживаются и документируются в постоянном режиме.
    89. Дополнительно для категории N-2
    Используются автоматизированные средства для отслеживания инцидентов безопасности информационных систем персональных данных, сбор и анализ информации об инцидентах.
    Ежегодно, до 31 января, держатели персональных данных представляют Центру обобщенный отчет об инцидентах безопасности информационных систем персональных данных.
На основании этих отчетов Центр предпринимает меры, предусмотренные Законом о защите персональных данных.
    Исключаются бесконтрольное присутствие людей или транспортных средств и случайная установка антенн в зоне ближе 15 метров от расположения основных технических средств информационной системы персональных данных (далее – контролируемый периметр) в целях обеспечения безопасности обработки персональных данных.
    Помещения, где расположены серверы, защищаются от утечки информации, содержащей персональные данные, в результате электромагнитной эмиссии посредством экранирования помещений или установки систем электромагнитных помех, которые проектируются, реализуются и исследуются предприятиями, специализированными в этой области.
    В случае экранирования помещений, в которых находятся технические средства обработки персональных данных, обеспечивается непрерывность электрической связи со всеми соответствующими частями экрана: стены, потолок, пол, окна и двери.
    Экранирующие конструкции должны иметь розетки с заземлением, установленные в контролируемом периметре.
    Должна быть обеспечена защита информации, содержащей персональные данные от утечки через энергосистемы, в том числе перекрещивания электрических сетей объекта с установкой фильтров безопасности, которые блокируют сигнал (создают помехи).
    Исключается или ограничивается неавторизированная установка других электрических приборов, радио и других видов в помещениях, где расположены технические средства обработки персональных данных, с целью обеспечения безопасности обработки персональных данных.
    Оборудование, габариты которого выступают за пределы контролируемого периметра, устанавливается на расстоянии не менее 3 метров от ресурсов IT, в которых обрабатываются персональные данные.
    92. Положения настоящих Требований, за исключением пунктов 11 - 13, 23, 25, 27, 30-32, 35, 37-44, 46, 49, 51-53, 55-68, 72-77, 80, 87-89 и 91, применяются надлежащим образом держателями персональных данных в случае ведения регистров в мануальной форме, в которых обрабатываются структурированные категории персональных данных, доступные по централизованным или децентрализованным критериям или распределенные по функциональным или географическим критериям.
    93. Одновременно с этим записи аудита безопасности регистров, которые ведутся в мануальной форме и в которых обрабатываются персональные данные, должны включать:
    1) полное имя пользователя;
    2) название просмотренной карточки (страница и запись в регистре);
    3) число зарегистрированных записей;
    4) тип доступа;
    5) дата доступа (год, месяц, день);
    6) время (часы, минуты) и протяженность доступа.

    1. Персональные данные, которые прямо или косвенно идентифицируют физическое лицо, в частности, посредством ссылки на идентификационный номер (личный код), одного или более специфических элементов, характерных его физической, физиологической, психологической, экономической, культурной или социальной идентичности, делятся на две категории: обычные и особые.
    2. Особая категория персональных данных представляет собой информацию, раскрывающую расовую или этническую принадлежность, политические, религиозные убеждения, состояние здоровья или интимную жизнь, касающиеся привлечения к уголовной ответственности физического лица.
    3. Обычная категория составляет информацию, которая раскрывает:
    1) фамилию и имя;
    2) пол;
    3) дату и место рождения;
    4) гражданство;
    5) IDNP;
    6) изображение;
    7) голос;
    8) семейное положение;
    9) воинскую обязанность;
    10) геолокационные данные/данные передвижения;
    11) кличку/псевдоним;
    12) персональные данные членов семьи;
    13) данные из водительского удостоверения;
    14) данные из свидетельства о регистрации;
    15) экономическое и финансовое положение;
    16) данные об имуществе;
    17) банковские данные;
    18) подпись;
    19) данные из актов гражданского состояния;
    20) номер пенсионного дела;
    21) код социального страхования (CPAS);
    22) код медицинского страхования (CPAM);
    23) номер телефона/факса;
    24) номер мобильного телефона;
    25) адрес (местожительства/проживания);
    26) адрес электронной почты;
    27) генетические данные;
    28) биометрические и антропометрические данные;
    29) дактилоскопические данные;
    30) профессию и/или место работы;
    31) профессиональную подготовку - дипломы - образование;
    32) привычки/предпочтения/поведение;
    33) физические характеристики.
    4. В случае обработки обычной категории персональных данных держатели персональных данных включают в политику безопасности персональных данных и внедряют требования безопасности, установленные для первого уровня безопасности информационных систем персональных данных – (N-1).
    5. В случае обработки особой категории персональных данных держатели персональных данных дополнительно к требованиям, установленным для первого уровня безопасности, включают в политику безопасности персональных данных и внедряют требования, установленные для второго уровня безопасности информационных систем персональных данных – (N-2).
    1. Представляют особые риски для прав и свобод личностей следующие категории операций по обработке персональных данных:
   1) адаптация, изменение, раскрытие путем передачи, распространения или любым другим способом персональных данных, связанных с расовой или этнической принадлежностью; политическими, религиозными убеждениями; принадлежностью к политической партии или религиозной организации; персональных данных о состоянии здоровья или интимной жизни, а также персональные данные, касающиеся привлечения лица к уголовной ответственности, мер безопасности, дисциплинарных взысканий или наказаний за правонарушения;
    2) операции по обработке генетических, биометрических данных и данных, которые позволяют осуществлять географическую локализацию лиц посредством электронных сетей связи;
    3) операции по обработке персональных данных при помощи электронных средств с целью оценки некоторых аспектов личности, таких как профессиональная компетентность, уровень доверия, поведение и т.д.;
    4) операции по обработке персональных данных при помощи электронных средств в системах учета с целью анализа платежеспособности, экономическо-финансового положения, деяний, которые могут повлечь дисциплинарную, административную или уголовную ответственность физических лиц;
    5) операции по обработке персональных данных несовершеннолетних лиц в коммерческих целях (деятельность по прямому маркетингу);
    6) операции по обработке персональных данных, указанные в пунктах 1) и 2) настоящего приложения, а также персональные данные несовершеннолетних, собранные через Интернет или электронные сообщения.
    2. В случае обработки персональных данных путем любой операции или набора операций, указанных в пункте 1 настоящего приложения, держатели персональных данных внедряют в политику безопасности персональных данных и выполняют требования, установленные для второго уровня безопасности информационных систем персональных данных – (N-2).