Scribd Logo
Upload

Welcome to Scribd!

  • Plan de Masuri

    Uploaded by

    fedith
    8 views19 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    8 views19 pages

    Plan de Masuri

    Uploaded by

    fedith

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 19
    PRIMARIA COMUNE! CORBU ne 2866 11705:2019 Aprob ae Primar, ‘Tedpes Focsa Romeo ./SA4.. v PLAN de masuri organizatorice si tehnice de protectie si securitate a DCP Anul 2019 Cod:PMOT-GDPROI 7 ‘Nr. Denumire Masuri organizatorice-tehnice / Responsabil | Informatii_ | Termen de Crt. Mecanisme de securitate documentate | _realizare I | Masurile organizatorice de asigurare a securitafii prelucrarii DCP impotriva prelucrdrii neautorigate sau ilegale si impotriva pierderii, a distrugerii sau a deteriordrii accidentale a DCP 1 | Decizie privind [ 1. Dispozitie privind implementarea | Conducerea | Dispozifie. implementarea | GDPR si Desemnarea | primiiriei | Nota internit GDPR. Responsabilului cu protectia datelor de informare Desemnarea _| cu caracter personal - Data Protection angajati Responsabilului | Officer (DPO), Formular cuprotectia | 2, ‘Trimitere Formular Responsabil Responsabil datelor cu DCP ~ catre ANSPDCP. Dep. caracter 3. Atributiile institugiei: ia. masuri personal-Data | pentru a asigura faptul ci orice Protection persoana fizic& care actioneazi sub Officer (DPO). | autoritatea operatorului sau a ersoanei imputernicite de operator si care are acces la DCP nu le prelucreazi decét la cererea operatorului, cu exceptia eazului in care aceasta obligatie fi revine in temeiul dreptului Uniunii sau al Evaluarea —probabilitatii de 4 Registrul imeriorul materialize = a riscului riseurilor organizatiei. identifica; S.Figa Acestea pot duce | > Evaluarea impactului asupra urmarire la pierderea unor | —_obiectivelor in eazul in care riscul riscuri date, la s-ar materializa;, 6.Raport expunerealor | > Evaluarea expunerii la rise, ca 0 gestionare publica pri combinafie intre probabilitate si riscuri transmisiuni impact; accidentale, la | > Stabilirea toleranei la risc. inedlearea unor | 4. Tratarea riscurilor _presupune masuri ‘ntreprinderea —miisurilor. de elementare de _| solujionare a riscurilor. protectie in cazul | 5. Monitorizarea permanenté_a transferurilor | riscurilor - acest tip de raspuns la rise fizice. consti in acceptarea riscului cu conditia menginerii sale sub 0 permanenta supraveghere. 6, Raportarea riscurilor - rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continua a situatieiriscurilor. & | Tdentificare, | 1. Gestionarea tuturor cazurilor de | Responsabil | Procedura de | Permanent investigare si incidente care amenin{4 procesele si | cu protectia | gestionare a raportare activitatile primariei sau sinitatea | datelorcu | incidentelor ineidentede | angajatilor si clientilor, precum si | caracter de securitate seeuritate. bunurile primariei: personal, aDCP, ‘acces neautorizat si transfer de date cu | Conducerea | I.Figa grade diferite de confidentialitate; institujiei. | semnalare modificarea, stergerea sau deteriorarea | Angajatii | incidente de datetor; institutiei | securitate. ‘publicarea in mod accidental; 2 Registra «perturbarea sistemelor informatice; evident ‘producerea, vinzarea, procurarea pentru incidemte de utilizar si distribuyie ra drept a eae Nr. Crt. Denumire “Misuri organizatorice-tehnice / ‘Mecanisme de securitate ‘Responsabil Informatii documentate Termen de realizare_| falsificarea datelor cu intenjia de a fi folosite ulterior ca date autentice; *ingelitori sau fraude eomise prin intermediul computerelor, ‘uilizarea neautorizat a programelor ‘protejate prin dreptul de autor; ‘erorile de configurare a sistemelor ce pot duce la scurgeri de informatii; ‘pierderea sau furtulsistemelor sau a Imedilor de stocare a datelor; ssecurizarea slab; + infecti cu programe de tip malware; satacurifiziee; calamitati | naturale, incendi, intreruperea _limentirii sediuhui cu energie electrics, caderea refelelor de telecomunicati, ete. 2. Investigareaincidentelor si stabilirea dacd a avut loc o incaleare cu adevarat. 3. Inregistrarile tebuie sa fie utilizate numai pentru verificarea legalititii prelucrarii, monitorizarea proprie, asigurarea integritatii si securitatii datelor si pentru proceduri penale, 4, Blaborarea procedurii de gestionare a incidentelor de securitate DCP, aducerea la cunostinfa angajatilor si pitilor vizate, securitatii DCP 1.Constatarea unei inciileéri + Institutia trebuie s& alba un grad rezonabil de certitudine c& a avut loc un incident de securitate care a condus la compromiterea DCP. ~ Institutia. poate petrece o anumita perioada de timp pentru a investiga incidentul sia stabili dac& a avut loc 0 inedleare cu adevirat - in aceasti perioadé nu se poste considera c& institutia a tuat la "cunostings" c& a avut loc o incalcare a securiti,ii DCP 2. Notificarea - odatii ce s-a constatat c a avut loc o incaleare a DCP (exist "rise ridicat pentru drepturile si libertayile persoanelor fizice” - articolul 33° din Regulamentul GDPR), despre aceasta este necesar si fie informate: a) ANSPDCP b) Persoanele vizate afectate 3. Elaborare Procedura de notificare a ‘ncalcarii securitatii DCP gi aducerea la cunostinta angajatilor si partilor vizate. Responsabil cu protectia datelor ou caracter personal Conducerea Procedura de notificare a securititii pcp Figa semnalare incidente Registrul de evident ineidente Cand este cazul 10 Elaborarea, actualizarea Pentre asigurarea ei DCP sunt | prelucrate intrun mod care asigura Responsabil cu protectia Politici, Proceduri, Cand este cazul Nr. | Denumire Misuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de Crt. ‘Mecanisme de securitate documentate | realizare politicilor, securitatea adecvati a acestora, | datelorcu _| Informafii proceduritor si | inclu protectia _impotriva | caracter documentate informatiilor | prelucrarii neautorizate sau ilegale si personal. | conform documentate | impotriva pierderii, a distrugerii sau a | Conducerea | Listei deteriorarii accidentale, prin Iuarea de | institutiei. | normative misuritehnice sau organizatorice interne, corespunzitoare, trebuie elaborate si/sau actualizate politici, proceduri, registre, — informéri, _informatii documentate, etc. 11 [Continuitatea [ 1. Capacitatea de a —asigura | Responsabil | Plan de Cand este activititilor in| confidentialitatea, integritatea, | cu protectia | continuitate a | cazul caz de dezastre | disponibilitatea si rezistenta continue | datelor eu | activitatii ale sistemelor si serviciilor de | caracter prelucrare a DCP, personal, 2. Capacitatea de a restabili | Conducerea disponibilitatea datelor cu caracter | insttutiei, personal si accesul la acestea in timp | util in cazul in care are loc un incident de natu fizica sau tehnic’. 2, Elaborarea Planului de continuitate a activitati 12 | Evaluarea Testarea, evaluarea si aprecierea | Responsabil | Evaluarea | Cand este eficacitiii periodice ale eficacititii masurilor | cu protectia | efica eazul misurilor organizatorice si tehnice pentru a | datelorcu | masurilor organizatorice | garanta securitatea prelucrdrit DCP. | caracter organizatoric si tebnice personal. | esi tehnice Conducerea institutiei Il | Masuri tehnice de asigurare a securitifi prelucririi DCP tmpotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarit accidentale a DCP. Masurile tehnice au legaturd cu capacittile tehnologice pe care le presupune prelucrarea DCP-Preambul GDPR (66 71, 78,81, 88) si Art. 524,25,28,32 si 89-care previd obliga specifice pentru operatori si procesatori,privind | proteejia DCP 1 | Separarea Sarcinile si domeniile de Politica Permanent sarcinilor responsabilitate aflate in conflict privind trebuie si fie separate pentru a reduce protectia posibilitatea modificdrii neautorizste | cu protectia | datelor cu sineintentionate sau utilizarea gresits. | DCP caracter a resurselor institute personal cH 2 | Dispozitive ‘Asigurarea securitagii Iucralui la Conducerea | Politica de | Permanent mobile gilucrul | distant si a utilizarii dispozitivelor | institut utilizare Ia distant mobile. Responsabil | dispozitive Elaborare normative interne privind | cu protectia | mobile Iucrul la distanfa pentru a proteja DCP informatia accesaté, prelucrata si stocata in locatii de Iucru aflate la distant’. 3 | Securitatea Acordurile contractuale cu angajafii gi | Conducerea | ROF,RI, | Permanent | resurselor contractantiitrebuie sa precizeze institugiei. | Fige post, umane responsabilitiile lor si ale institutiei_ | Compartime | Cod de pentru securitatea informatiei ntResurse | conduits, Conducerea institutiei trebuie s& cear& | Umane Politica angajatilor s& aplice regulile de Responsabil_| privind Nr. | Denumire Misuri organizatorice-tehnice/ | Responsabil | Informatii | Termen de crt. ‘Mecanisme de securitate documentate | realizare securitate a informatiet in eu protectia | protectia conformitate cu politicile si pcp datelor cu procedure stabilite de institutie. caracter personal este relevant, contractantii trebuie si Politica primeasca educatie de constientizare privind si instruire corespunzitoare, precum drepturile si informari regulate in ceea ce persoanelor priveste actualizarea politicitor si vizate procedurilor organizationale, relevante pentru funetia lor. Trebuie sa existe un proces disciplinar formal si comunicat care si prevada masuri impotriva angajatilor care produc o incileare a regulilor de securitate a informatie’. Responsabilitatile si sarcinile referitoare la securitatea informatiei care rman in vigoare dupa terminarea sau schimbarea contractului de muncd trebuie sa fie comunicate angajatului gi contractantului 4 | Managementul | Tdentificarea resurselor Conducerea | Politica Permanent resurselor organizationale si definirea instituyiei. | privind responsabilitatilor de protectie Compartime | controlul corespunzitoare: nt accesului, -Informatiile DCP si mijloacele de __| Contabilitate, | Registrul procesare a informatiilor trebuie sf fie | Responsabil | resurselor identificate gi trebuie intocmit si cu protectia | informational menfinut actualizat un inventar al | DCP. e acestor resurse, -Resursele inregistrate in inventar trebuie s& aiba proprietar -Toti angajatii si utilizatorii de tert parte trebuie sa restituic toate resursele organizationale aflate in posesia for, la terminarea contractului de munea, a contractului sau a acordului -Regulile de utilizare in mod acceptabil a informatiei si a mijloacelor de prelucrare a informatie’ trebuie sa fie identificate, documentate i implementate. 5 | Clasificarea | -Informatiile trebuie sa fie clasificate | Conducerea | Procedura | Permanent informatiei functie de cerintele legale, valoare, Clasificarea nivel eritic si sensibilitatea Ia Responsabil | informatiei. dezvaluire sau modificare cuprotectia_ | Nomenclator neautorizata. pep. ul Informatiilor Clasificate Accesul la informatii clasificate 6 | Controtul Timitarea accesului la informatii sila | Responsabil_| Politica Permanent Nr. | Denumire Misuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de Crt. “Mecanisme de securitate documentate | realizare ‘accesului mijloace de prelucrare a acestora: | cu protectia | privind 1.Acces la retea si servicii deretea~ | DCP controlul utlizatorilor trebuie si li se furnizeze | Responsabil | accesului doar accesul la retea siserviciide = | IT refea pentru care au fost autorizat mod specific sé le utilizeze. 2.Acces autorizat al utilizatorului si prevenirea accesului neautorizat la sisteme gi servicii, implementarea: ~ unui proces formal de inregistrare gi anulare a inregistrarii wtlizatorului pentru a permite atribuirea de drepturi de acces; ~ unui proces formal de furnizare a aecesului utilizatorului pentru atribuirea gi revocarea drepturilor de acces pentru toate tipurile de utilizatori si pentru toate sistemele si serviciile. - atribuirea si utilizarea drepturilor de acces privilegiat trebuie restrictionate si controlate. = proprictarii resurselor trebuie si revizuiasca drepturile de acces ale utilizatorilor la intervale regulate. - drepturile de acces la informatie si la mijloacele de procesare a informatici ale tuturor angajatilor gi ale utilizatorilor de terta parte trebuie retrase dupi terminarea contractului de munca a contractului sau acordului, sau adaptate in functi schimbare. 3. Responsabilizarea utilizatorilor in vederea protejirii informatiei lor de autentificare — utilizatorilor trebuie s& se solicite s& urmeze normativele iterne in ceea ce priveste utilizarea informatiei secrete de autentificare. 4, Prevenirea accesului neautorizat la sisteme si apli = accesul la informatie gi la funetiile sistemului de aplicatii trebuie sa fie restrictionat in conformitate cu prevederile politicii de control al aecesul. - sistemele de management al parolelor trebuie sa fie interactive gi sf asigure parole de calitate - folosirea credentialelor (nume de utilizator, parola, token etc.) de acces la sistemele informatice. ~ accesul la codul sursa al programelor trebuie si fie restrictionat. '5.Elaborarea politicii de control al de Denumire | Milsuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de ‘Mecanisme de seeuritate documentate | realizare pe baza obiectivelor sia cerintelor de securitate a informatie drape Criptografie | Asigurarea utilizart corespunzitoare | Responsabil | Procedura | Permanent sicficienté a criptografiei in vederea | cu protectia | privind protejari confidentialitatii, datelor eu | aplicarea autentiitai s/sau integritatii caracter GDPR in informatie: personal. | activitatile - utilizarea mijloacelor de control | Responsabil | institutiei referitoare la criptografie pentru Ir protectia informatiei; | ~ utilizarea, protectia gi durata de Viati a cheilor criptografice, de-a Jungul intregului lor ciclu de viags Securitatea | Zone de securitate Conducerea | Politica Permanent fied sia Prevenitea accesului fizic neautorizat, | institutiei. | privind mediului de | prevenirea distrugerilor informatiilor | Responsabil | securitatea Iueru sia mijloacelor de prelucrare a cu protectia | fizica informa datelor eu. = definirea siutilizarea perimetrelor | caracter de securitate pentru a proteja zonele | personal. care contin fie informatii senzitive critice sau eritice, fie mijloace de prelucrare a informatiilor. = zonele de securitate trebuie protejate prin mijloace de control al intrérii adecvate pentru a se asigura ca accesul este permis doar personalului autorizat, - aplicarea masurilor de securitate fizicd pentru ine&peri, birouri si echipamente. - aplicarea masurilor de protectie fizica impotriva dezastrelor naturale, atacurilor malitioase sau accidentelor. = punctele de acces, precum punctele de livrare/inedrcare sau alte puncte, pe unde persoanele care nu sunt autorizate, pot intra in interior trebuie controlate si, daca este posibil,izolate de mijloacele de prelucrare a informatiei pentra a se evita accesul neautorizat. Asigurarea accesului clidire/birou/camere/dulapuri doar pentru persoanele care au dreptul si fie acolo. Se va acorda atentie: + calitatiiusilor gi incuietorilor; + protectie sediului cu alarme sau camere video: + controlului accesului in sedi si supravegherii vizitatorilor; ‘pot aparea probleme la mutarea fntr-un sediu nou sau la incredintarea neprotejati a 10 Nr. Crt. Denumire ‘Misuri organizatoriee-tehnice / Mecanisme de securitate ‘Responsabil Informatii documentate Termen de realizare informatiilor citre curieri sau alli intermediari, care le prelucreaza fara masurile necesare de securitae. Securitatea echipamentelor Prevenirea pierderii, avarierii, furtului sau compromiterea echipamentelor gi ‘ntreruperea activitatilor din cadrul institutiei: -cchipamentele trebuie si fie amplasate si protejate astfel incat s& se reducd riscurile fata de ameningitile si pericolele de mediu gi fafi de posibilitatea de acces neautorizat. = echipamentele trebuie si fie protejate impotriva penelor de curent sau a altor intreruperi cauzate de probleme ale utiitatilor suport ~ cablurile de alimentare cu energie electricd si telecomunicafii purtitoare de date sau servicii de suport pentru informatie trebuie protejate fapé de interceptari, interferente si avarii - echipamentele trebuie si fie corect intretinute pentru a se asigura disponibilitatea continua gi integritatea acestora. - echipamentele, produsele software ile nu trebuie scoase in afara spatiului de lucru faré 0 autorizare prealabilé, - asigurarea securitatii echipamentelor sia resurselor situate in afara locat ~eliminarea sau reutilizarea echipamentelor trebuie si se efectueze in conditii de securitate. - utilizatori trebuie si se asigure ca echipamentele nesupravegheate au o rotectie corespunzitoare. = respectarea privind asigurarea Ddiroului curat pentru hértii si medii de stocare amovibile gi asigurarea ecranului curat pentru mijloacele de prelucrare a informatie. Se va acorda atentie tinerii in siguranté a echipamentelor IT, in special a dispozitivelor mobile (laptopuri, tablete si telefoane mobile); securitatii dispozitivelor personale folosite in activitatea profesionala, Responsabil cu protectia DCP Responsabil Ir Permanent Securitatea operatiunilor - Separarea mediilor de dezvoltare, Responsabil cu protectia pcp Responsabil ir privind controlul accesului, Procedura Permanent u Nr. | Denumire “Misuri organizatorice-tehnice / Informatii | Termen de Crt. ‘Mecanisme de securitate documentate | realizare ‘testare gi funefionare pentru a reduce privind back- riscurile de acces neautorizat sau de up, Politica schimbare a mediului de functionar de - Elaborarea procedurilor de lucra confident aducerea la cunostinta angajatilor. ate, Politica Protectie impotriva malwai de utilizare ~ Asigurarea ca informatiile si dispozitivelo mijloacele de prelucrare a informatie! r mobile, sunt protejate impotriva malware-ului Politica de ~ soft rit intentionat - un tip de utilizare software proiectatintentionat pentru Internet gi E- deteriorarea unui computer sau infiltrarea mail nel, sau/si deteriorarea ori infltrarea in fntregirefele de computere, far consimtimantul proprietarului respectiv. - implementarea mijloacelor de control pentru detectie, prevenire gi Fecuperare, impreund cu constientizarea corespunzatoare a utilizatorulu. Copii de siguranti — copii de igurana ale informatiei, software- ului si imagini ale sistemului trebuie realizate si testate in mod regulat. Inregistrarea evenimentelor si generarea dovezilor: - jumalele de evenimente care inregistreaza activitatile utilizatorului, exceptiile, defectele si evenimentele de securitate a informatici, trebuie create, pastrate gi revizuite in mod regulat = mijloacele de inregistrare si informatiile din jumale trebuie protejate impotriva modificdrilor si accesului neautorizat. -activitafile administratorului de sistem si ale operatorului de sistem trebuie inregistrate, iar jumalele trebuie protejate si revizuite in mod regulat. - ceasurile tuturor sistemelor relevante de prelucrare a informatiei din cadrul institutiei sau dintr-un domeniu de securitate trebuie si fie sincronizate in raport cu o singura sursa de referinga temporala. Managementul vulnerabilititilor tehnice — obtinerea in timp util a informatiilor despre vulnerabilititile sistemelor informationale utilizate, evaluarea expunerii institutie’ la vulnerabilitati gi luarea masurilor adecvate pentru tratarea riscului asociat, Restriepii la instalarea de software - 12 Nr. Crt. ‘Denumire Misuri organizatorice-tehnice/ Mecanisme de securitate Responsabil Informatii documentate ‘Termen de realizare Tnstalarea de software pe sisteme operationale trebuie ficut in mod controlat — trebuie stabilite gi implementate reguli referitoare la instalarea software de cite utilizatori. Auditul sistemelor informafionale — verificarea asupra sistemelor ‘operationale trebuie s& fie planificata cou grija gi trebuie convenite astfel finedt s& se reducd riscul intrerupes proceselor si activitatilor. 10 ‘Securitatea comunicatiilor Asigurarea protectiel informatiei in refele si in mijloacele de prelucrare a informatiilor de suport: = rejelele trebuie administrate si controlate in mod adecvat pentru protectia informatie’ in sisteme si aplicati. - securitatea serviciilor de retea trebuie inlusa in acorduri de servieii de retea, indiferent daca aceste servicii sunt oferite intern sau sunt externalizate. - grupurile de servicii de informatii, de utilizatori gi de sisteme informationale trebuie sa fie separate in refele, Transferul informat - menfinerea securitaii informatiei transferate in cadrul institutiei sau catre o entitate extern’. - acordurile intre institutie $i parti sf abordeze transferul - informatia implicata in mesageria electronica trebuie protejata in mod corespunzator. Identificarea, documentarea si revizuirea in mod regulat a acordurilor de confidentialitate sau nedezvaluite care si reflecte nevoile stitutiei pentru protectia informatie. implementare proceduri $i mijloace de control formalizate. Responsabil ‘cu protectia Dep Responsabil IT Politica privind protectia datelor cu caracter personal, Politica de confident ate, Politica de utilizare a dispozitivelo r mobile, Internet si E- mail Permanent | rT ‘Achizitia, dezvoltarea si mentenanta sistemelor ~ Asigurarea securitatii sistemelor informational noi sau pentru imbunatatirea celor existente pe {ntregul lor ciclu de via + Securizarea serviciilor aplicatiilor in refelele publice ~ protejarea de activitati frauduloase, dispute asupra contractelor, precum si de dezvaluirea simodificarea frauduloas& - Implementarea securititi informatie’ in cadral intregului ciclu de viata de dezvoltare a sistemelor Responsabil cu protectia DcP Responsabil IT Procedura privind conformitate acu ceringele legale Permanent 1B Nr. ‘Denumire ‘Masuri organizatorice-tehnice/ | Responsabil | Informatii | Termen de Crt. Mecanisme de securitate documentate | realizare ‘informationale. = Testarea functionalitatii de securitate trebuie efectuati in timpul dezvoltarii, - Protejarea datelor de testare. 12 Securitatea ~ Abordarea securitatii in acordurile Responsabil | Procedura de | Permanent informatiei in cu furnizor cu protectia | contractare si relatiile cu - Acordurile cu furnizorii trebuie si pcp evaluare furnizorii includa cerinte pentru abordarea Responsabil | persoane riscurilor de securitate a informat IT ‘imputernicite | asociate cu lantul de aprovizionare cu servicii si produse de tehnologia informatiei si comunicatiilor. = Supravegherea si ir serviciilor furnizorilor. Gestionarea schimbarilor serviciilor furnizorilor 13 | Managementul | Stabilire responsabilititi si Responsabil | Politica Permanent incidentelor de | proceduri pentru a asigura un cu protectia | privind securitate raspuns rapid, eficient si sistematic la | DCP management ineidentele de securitate a informatiei. | Responsabil | ul Raportarea evenimentelor de Ir incidentelor securitate a informatiei observata sau de securitate, suspectatii cat mai curdnd posibil, Procedura precum si a slabiciunilor de securitate privind a informatiei de citre angajati si gestionarea contractanfi care utilizeazi sistemele incidentelor si serviciile informationale. de securitate Evenimentele de securitate trebuie evaluate si trebuie sa se decida daci pot fi clasificate drept incidente de securitate a informatiei. Incidentelor de securitate trebuie s& li se rspunda in conformitate cu normativele interne. Invatarea din incidentele de securitate a informatiei trebuie utilizatd pentru a reduce plauzibilitatea sau impactul asupra incidentelor viitoare, Trebuie asigurata colectarea probelor. 13.1 | Masurile ‘Unele Masuri de prevenire a Responsabil Permanent imediate luate de | incidentelor de securitate cu protectia cei vizati, pentru | ¢Securizarea terminalelor (statii de | DCP management detectarea si lucru, telefoane, tablete etc.) prin | Responsabil | ul oprirea utilizarea unor solutii/tehnologii de | IT incidentelor atacurilor, tip _ antivirus/antimalware, DLP, de securitate, remedierea sandbox si de criptare a datelor, Procedura bregelor, inclusiv pentru terminalele care sunt privind notificarea proprietatea utilizatorilor (BYOD); gestionarea utilizatorilor si | #Securizarea infrastructurii de retea incidentelor restrictionarea prin segmentare adecvata (VLAN) si de securitate, accesului, prin utilizarea unor solufiitehnologii Procedura curatarea de protectie perimetrala precum cele privind sistemelor si de tip NGFW (Next Generation solutionarea ‘impiedicarea Firewall); cererilor réspandirit +Asigurarea unei vizibilititi adecvate persoanclor 4 ‘Denumire daunelor. In coneluzie, este esentiala implementarea mfsurilor tehnice adecvate. monitorizare precum cele de tip SIEM (Security Information and Event Management), ‘Implementarea unor masuri adecvate de securitate fizied, mai cu seam in spatiile unde sunt procesate sau depozitate cantititi mari de date; *Acordarea accesului diferenfiat al utilizatorilor 1a resurse gi la date in baza atributiilor acestora (principiul nevoia de a cunoaste); sImplementarea “unei_proceduri adeevate de backup (copii de siguranta) care si includ’ gi verificarea periodicd a integritatii datelor sia procesului de restaurare; sImplementarea unei politic de securitate care si fie asumati si respectati de totiutilizatoriis ‘*Utilizarea unor proceduri de raspuns la incidentele de securitate si de gestionare a vulnerabilitiilor; *Dispunerea de personal adeevat pentru securizarea infrastructurii IT si pentru a rispunde Ja incidentele de securitate; ‘sInstruirea _periodicd a personalului cou privire la riscurile, ameninfarile si vulherabilititile de —securitate, precum si cu privire Ia masurile de contracarare a acestora; *Realizarea de auditurifevaluairi periodice de —securitate a infrastructurii IT, a personalului si a procedutilor. Referitor la Arhitectura sistemelor informatice: a. solutii de tip network intrusion! network protection, care si protejeze ‘corespunzitor toate sistemele ce contin datele institutiei ce sunt accesibile din internet sau alte refele publice; b. soluti de limitare a atacurilor de tip “brute-force”, prin blocarea accesului de la surse pentru care s-au inregistrat tentative esuate repetate de autentificare in sistem sau aplicatie (ex. mai mult de 5 (cinci) autentificdri ‘esuate in ultimele 5 (cinci) minute); Alte recomandari = descarcarea pe calculatoare doar a programelor sigure: - evitarea deschiderii de atagamente Nr. Misuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de Crt ‘Mecanisme de securitate documentate | realizare sistemice a in cadrul infrastructurii IT prin vizate riscurilor gi utilizarea unor solutiifehnologii de 15 Nr Crt, Denumire Misuri organizatorice-tehnice / Mecanisme de securitate ‘Responsabil Informay documentate Termen de realizare ‘suspecte primite pe e-mail, - criptarea datelor, parolarea conturilor, incetarea de a mai folosi acecasi parola pentru toate conturile; - evitarea divulgarii de informatii confidentiale la telefon sau prin e- mail, dacd nu se poate verifica identitatea persoanei care cere aceste date (exist persoane care pot incerca | sa obfina informatii in acest fel, activitatea find cunoscuti ca inginerie social. = folosirea —mecanismelor de certificare digital 4 Continuitatea activititii ‘Asigurarea continuitatil activititilor institutiei in caz de dezastre: - Implementare si intretinere procese, proceduri si masuri de control pentru asigurarea nivelului cerut de continuitate a activitatilor in timpul situatiilor potrivnice. - Verificarea la intervale regulate a mijloacelor de control pentru continuitatea activ Disponibilitatea mij prelucrare Mijloacele de prelucrare a informatiilor trebuie implementae cu o redundant suficienta pentru a satisface cerintele de disponibilitate. Responsabil cu protectia DCP Responsabil rT Plan de continuitate a activitatii Permanent 15 Conformitatea cu cerintele legale si contractuale ~ Elaborarea si implementarea procedurilor pentru a asigura conformitatea cu prevederile legislative de reglementare si contractuale cu privire la drepturile de proprietate intelectualA si la utilizarea produselor software proprietare, - fnregistrarile trebuie protejate impotriva pierderii, distrugerii, falsificarii, accesului neautorizat transmiterii neautorizate a acestora in conformitate cu cerintele legislative, de reglementare, contractuale gi interne ale institutiei Protectia DCP si confidentialitatea informatiilor personale ~ trebuie si fie asigurate aga cum este specificat in legislafie si reglementari, acolo unde este cazul, Mijloacele de control criptografice trebuie folosite in conformitate cu toate acordurile, legile gi reglementarile aplicabile ~ Asigurarea c& securitatea informatiei este implementata_in Responsabil cu protectia pcp Responsabil IT Procedara privind conformitate acu cerine legale Permanent 16 Nr. | Denumire Masuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de Crt. Mecanisme de securitate documentate | realizare conformitate cu legislafia in vigoare ji normativele interne. 16 | Supraveghere | LRespectarea prevederilor din Responsabil | Procedura | Permanent video 1, Regulamentul (UE) 2016/679. | cu protectia_| privind 2. Legea nr. 190/2018 privind Dep supraveghere masuri de punere in aplicare a Responsabil | a video Regulamentului (UE) 2016/679, | montare si Acest act normativ reglementeazé | administrare doar supravegherea video facutaide video angajator la locul de munca. | 3. Legea nr. 33/2003 privind paza obieetivelor, bunurilor, valorilor si protectia persoanelor, eu ‘modificatile si completarile ulterioare = Instalarea camerelor de spatiile publice sau I, Atat in cazul spatilor publice, cat sial celor private este obligatoriu ca prezenfa camerelor video sa fie semnalati. in spatiile publice nu pot fi instalate camere de supraveghere decat de firmele licentiate de Politia Romani, Este interzisi montarea camerelor in spafii unde ar putea atenta la intimitatea unei persoane, precum cabine de proba, vestiare, toalete si altele similare. Supravegherea video a angajatilor Ia locul de munca: conform Legit nr: 190/2018, aceasta nu poate fi realizata de angajaior decat daca reuseste s& demonstreze ca este singura soluie pentru buna functionare a afacerii sale, Angajatorul trebuie si demonstreze c& alte metode mai putin intruzive prin care si-ar fi putut atinge scopul au esuat gi cd singurul demers ramas este supravegherea video. El trebuie si informeze in mod explicit angajatii despre camerele instalate, sa se consulte (dacd este cazul) cu sindicatul salariatilor si s8-si argumenteze decizia, Un angajator are dreptul de a stoca date cu caracter personal atat timp cat are nevoie pentru a le prelucra, ins aceastl perioada nu poate depisi 30 de zile, Exista, desigur, si cazuri in care legea poate reglementa un timp mai mare alocat stocitii i prelucrairi datelor sau cazuri in care un angajator {gi poate argumenta in mod temeinic 17 Nr. Denumire ‘Misuri organizatorice-tehnice/ | Responsabil | Informatii | Termen de Crt. ‘Mecanisme de securitate documentate | _realizare nevoia unei perioade mai indelungate. T7_| Sanetiuai pentru | Motiv pentru care se da amend: hneimplementarea | Nerespectares oricaruia dintre cele gase principi referitoare la preluerarea datelor eu earacter personal - Alimeat § Art. 85 organizatoarice i | Nerespectarealepalitti prelucratii pe baza uneia dint conditiledescrise la Anticolul 6 (persoana! tehnice Vizald.a consimyit la pretuerarea sau prlucrarea este necesar pentru executarea unui contract, pent a+ 4 Indeplin obligate legale,obligatie de a protejainteresele vitae, din motive de interes public sau pentru interesele legitime ale operatorului sau alc tertilor) ~ Alineat $ Art. 85 [Nu se poate demonstra e& persoana vizata sia dat consimfaméntul la prelucrarea detelor sale eu ‘aracter personal sau nu se poate demonstra valabilitatea consimémintulu, -Alineat § Art. 85 Prelucrareacategorilor speciale de date cu caracter personal (de exemplu, date privind sindtatee) ‘tune’ eénd nu au fost ndepliniteconditille prevazate Ia articoul 9, (De exernplu, consimamantul ital persoanet vate). Alimeat S Art. 85 [Nu sa verifcat dact consimtiméntul este dat sau autorizat de reprezentatul legal al unui copil eae are cel putin 16 ani in ceea ce privest servicile societti informationale -Alineat 4 Art. 85 Cod Penal: ‘Art 249 ~ Frauda informatics Introducerea, modificarea sau stergerea de date informatie, restriconarea aecesulu la eceste date ori ‘mpiedicerea in orice mod a funcjonérit unui sistem informati, in scopul de a objine un benefits material pentru sine sau pentru atu, daca s-a eauzat 0 pagula a unei persoane, se pedepseste eu Inchisoarea de la 2 la7 ani “Art 362 ~ Alterarea integrti Fapta de a modifica, serge sau deteriora date informatice ori dea restrictiona accesul la aceste date, ‘ara drept, se pedepseste eu inchisoarea de la unw la Seni ‘Art 364~Transferul neautorizat de date informatice ‘Teansferul neautorizat de date dintr-un sisem informatie sau dint-un mijloc de stocare a datelor informatie se pedepsestecu inchisoarea de la un la Sani. TS | Objinere ‘AML 82 din GDPR: »Orice persoand care a sufeit un prejudicio mateval seu moral ea urmare @ une Aespigubiri incaledri a GDPR are dreptul s obving despagubiri dela operator sau de la persoana imputemicita de ‘operator pentru prejudictul suerit." Co se ngelege prin ,prejudicii de naturk mate discriminare; fur sau fraud a denis piendere financiara; compromiterea reputajie pierderea confidentialitaitdatelor cu caracter personal protejate prin secret profesional inversarea neautorizatia pseudonimiziri sau le orice alt dezavanta semnificativ de naturd ‘economici sau social; privare de drepturi gi libertats ‘Impiedicarea exercitrii controlulul asupra datelor lor eu earacter personal;

    You might also like