HGO1123/2010 ID intern unic: 337094

Fia actului juridic

Republica Moldova GUVERNUL HOTRRE Nr. 1123 din 14.12.2010 privind aprobarea Cerinelor fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal Publicat : 24.12.2010 n Monitorul Oficial Nr. 254-256 art Nr : 1282

n temeiul alin. (2) art. 14 din Legea nr.17-XVI din 15 februarie 2007 cu privire la protecia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2007, nr.107-111, art.468), cu modificrile i completrile ulterioare, Guvernul HOTRTE: 1. Se aprob Cerinele fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal (se anexeaz). 2. Deintorii de date cu caracter personal vor ntreprinde msurile necesare privind implementarea Cerinelor fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal, n termen de 12 luni de la intrarea n vigoare a prezentei Hotrri. PRIM-MINISTRU Contrasemneaz: Ministrul tehnologiilor informaionale i comunicaiilor nr. 1123. Chiinu, 14 decembrie 2010. Aprobate prin Hotrrea Guvernului nr.1123 din 14 decembrie 2010 CERINELE fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal I. DISPOZIII GENERALE 1. Cerinele fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal (n continuare Cerine) au drept scop stabilirea Vladimir FILAT

Alexandru Oleinic

regulilor minime de implementare de ctre deintorii de date cu caracter personal a msurilor tehnice i organizatorice necesare pentru asigurarea securitii, confidenialitii i integritii datelor cu caracter personal prelucrate n cadrul sistemelor informaionale de date cu caracter personal i/sau registrelor inute manual, n conformitate cu prevederile Legii nr.17-XVI din 15 februarie 2007 cu privire la protecia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2007, nr.107-111, art.468) i ale Legii nr. 71-XVI din 22martie 2007 cu privire la registre (Monitorul Oficial al Republicii Moldova, 2007, nr.70-73, art.314). 2. Prezentele Cerine creeaz cadrul necesar aplicrii Conveniei pentru protecia persoanelor referitor la prelucrarea automatizat a datelor cu caracter personal, ncheiate la Strasbourg la 28 ianuarie 1981, publicate n European Treaty Series, nr. 108, ratificate de Republica Moldova prin Hotrrea Parlamentului nr. 483-XIV din 2 iulie 1999. 3. n sensul prezentelor Cerine, se definesc urmtoarele noiuni: autentificare verificarea identificatorului atribuit subiectului de acces, confirmarea autenticitii; control de securitate aciuni ntreprinse de ctre deintorii de date cu caracter personal sau Centrul Naional pentru Protecia Datelor cu Caracter Personal (n continuare Centrul) n vederea verificrii i/sau asigurrii nivelului adecvat de securitate a datelor cu caracter personal prelucrate n cadrul sistemelor informaionale i/sau registrelor inute manual, n conformitate cu prezentele Cerine; fiiere temporare ansamblu de date sau informaii pe suport digital creat pentru o perioad de timp limitat pn la iniierea ndeplinirii sarcinilor pentru care au fost desemnate; identificare atribuirea unui identificator subiecilor i obiectelor de acces i/sau compararea identificatorului prezentat cu lista identificatoarelor atribuite; integritate certitudinea, necontradictorialitatea i actualitatea informaiei care conine date cu caracter personal, protecia ei de distrugere i modificare neautorizat; mijloace de protecie criptografic a informaiei care conine date cu caracter personal mijloace tehnice, de program i tehnico-aplicative, sisteme i complexe de sisteme ce realizeaz algoritmi de conversie criptografic a informaiei care conine date cu caracter personal, destinate s asigure integritatea i confidenialitatea informaiei n procesul de prelucrare, depozitare i transmitere a acesteia prin canalele de comunicaii; nivel de protecie nivel de securitate proporional riscului pe care l comport prelucrarea fa de datele cu caracter personal respective, precum i fa de drepturile i libertile persoanelor, stabilit conform Cerinelor, elaborat i actualizat corespunztor nivelului dezvoltrii tehnologice i costurilor implementrii acestor msuri (N - 1 sau N - 2); politica de securitate a datelor cu caracter personal document, elaborat de ctre deintorul de date cu caracter personal, care ofer o descriere precis a msurilor de securitate i trsturilor de protecie selectate pentru securitatea datelor, inndu-se cont de potenialele pericole pentru datele cu caracter personal prelucrate i riscurile reale la care snt expuse acestea; perimetru de securitate zona care reprezint n sine o barier de trecere asigurat cu mijloace de control fizic i/sau tehnic al accesului; persoana responsabil de politica de securitate a datelor cu caracter personal persoana responsabil de funcionarea corespunztoare a sistemului complex de protecie a informaiei care conine date cu caracter personal, precum i de elaborarea, implementarea i monitorizarea respectrii prevederilor politicii de securitate a deintorului de date cu caracter personal; protecia informaiei contra aciunilor neintenionate ansamblu de msuri orientate spre prevenirea aciunilor neintenionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaiei, dar care conduc la distorsiunea, distrugerea, copierea, blocarea accesului la informaie, precum i la pierderea, distrugerea acesteia sau la defectarea suportului material al informaiei care conine date cu caracter personal; purttor de date cu caracter personal suport magnetic, optic, laser, de hrtie sau alt suport al informaiei, pe care se creeaz, se fixeaz, se transmite, se recepioneaz, se pstreaz sau, n alt mod, se utilizeaz documentul i care permite reproducerea acestuia; restaurarea datelor procedurile cu privire la reconstituirea datelor cu caracter personal n starea n care se aflau pn la momentul pierderii sau distrugerii acestora; tehnologie informaional ((TI) eng. informational technology) totalitatea metodelor, procedeelor i

mijloacelor de prelucrare i transmitere a informaiei care conine date cu caracter personal i regulile de aplicare a acesteia; utilizator persoana care acioneaz sub autoritatea deintorului de date cu caracter personal, cu drept recunoscut de acces la sistemele informaionale de date cu caracter personal; sesiune de lucru perioada care dureaz din momentul pornirii calculatorului i aplicaiei de utilizare a resursei informaionale sau din momentul pornirii resursei informaionale i pn la momentul opririi acestora; sistem informaional de date cu caracter personal totalitatea resurselor i tehnologiilor informaionale interdependente, de metode i de personal, destinat pstrrii, prelucrrii i furnizrii de informaie care conine date cu caracter personal; stocare pstrarea pe orice fel de suport a datelor cu caracter personal. II. CERINE GENERALE 4. Msurile de protecie a datelor cu caracter personal reprezint o parte component a lucrrilor de creare, dezvoltare i exploatare a sistemului informaional de date cu caracter personal i vor fi efectuate nentrerupt de ctre toi deintorii de date cu caracter personal. 5. Protecia datelor cu caracter personal n sistemele informaionale de date cu caracter personal este asigurat printr-un complex de msuri tehnice i organizatorice de prentmpinare a prelucrrii ilicite a datelor cu caracter personal. 6. Msurile de protecie a datelor cu caracter personal prelucrate n sistemele informaionale de date cu caracter personal se nfptuiesc inndu-se cont de necesitatea asigurrii confidenialitii acestor msuri. 7. nfptuirea oricror msuri i lucrri cu folosirea resurselor informaionale ale deintorului de date cu caracter personal este interzis n cazurile n care nu snt adoptate i implementate msuri corespunztoare de protecie a datelor cu caracter personal. 8. Snt supuse proteciei toate resursele informaionale ale deintorilor de date cu caracter personal, care conin date cu caracter personal, inclusiv: 1) suporturile magnetice, optice, laser sau alte suporturi ale informaiei electronice, masive informaionale i baze de date; 2) sistemele informaionale, reelele, sistemele operaionale, sistemele de gestionare a bazelor de date i alte aplicaii, sistemele de telecomunicaii, inclusiv mijloacele de confecionare i multiplicare a documentelor i alte mijloace tehnice de prelucrare a informaiei. 9. Protecia datelor cu caracter personal n sistemele informaionale de date cu caracter personal este asigurat n scopul: 1) prentmpinrii scurgerii informaiei care conine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; 2) prentmpinrii distrugerii, modificrii, copierii, blocrii neautorizate a datelor cu caracter personal n reelele telecomunicaionale i resursele informaionale; 3) respectrii cadrului normativ de folosire a sistemelor informaionale i a programelor de prelucrare a datelor cu caracter personal; 4) asigurrii caracterului complet, integru, veridic al datelor cu caracter personal n reelele telecomunicaionale i resurselor informaionale; 5) pstrrii posibilitilor de gestionare a procesului de prelucrare i pstrare a datelor cu caracter personal. 10. Protecia datelor cu caracter personal prelucrate n sistemele informaionale se efectueaz prin urmtoarele metode: 1) prentmpinarea conexiunilor neautorizate la reelele telecomunicaionale i interceptrii cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reele; 2) excluderea accesului neautorizat la datele cu caracter personal prelucrate; 3) prentmpinarea aciunilor speciale tehnice i de program, care condiioneaz distrugerea, modificarea datelor cu caracter personal sau defeciuni n lucrul complexului tehnic i de program; 4) prentmpinarea aciunilor intenionate i/sau neintenionate a utilizatorilor interni i/sau externi, precum i a altor angajai ai deintorului de date cu caracter personal, care condiioneaz distrugerea, modificarea datelor cu caracter personal sau defeciuni n lucrul complexului tehnic i de program. 11. Prentmpinarea scurgerii de informaii care conin date cu caracter personal, transmise prin canalele

de legtur, este asigurat prin folosirea metodelor de cifrare a acestei informaii, inclusiv cu utilizarea msurilor organizaionale, tehnice i de regim. 12. Prentmpinarea accesului neautorizat la informaiile care conin date cu caracter personal i circul sau se pstreaz n mijloace tehnice este asigurat prin metoda folosirii mijloacelor speciale tehnice i de program, cifrrii acestor informaii, inclusiv prin msurile organizaionale i de regim. 13. Prentmpinarea distrugerii, modificrii datelor cu caracter personal sau defeciunilor n funcionarea soft-ului destinat prelucrrii datelor cu caracter personal este asigurat prin metoda folosirii mijloacelor de protecie speciale tehnice i de program, inclusiv a programelor liceniate, programelor antivirus, organizrii sistemului de control al securitii soft-ului i efectuarea periodic a copiilor de siguran. 14. Ordinea de acces la informaia care conine date cu caracter personal, prelucrat n cadrul sistemelor informaionale, se stabilete de ctre deintorul de date cu caracter personal, n conformitate cu prevederile legislaiei. III. POLITICA DE SECURITATE A DATELOR CU CARACTER PERSONAL 15. Fiecare deintor de date cu caracter personal, reieind din specificul activitii, elaboreaz i organizeaz implementarea prevederilor documentului care stabilete politica de securitate a datelor cu caracter personal, inclusiv procedurile i msurile legate de realizarea acestei politici, cu aplicarea soluiilor practice cu un nivel de detalizare i complexitate proporional, n partea ce ine de identificarea i autentificarea utilizatorilor; de reacionare la incidentele de securitate; de protecie a TI i comunicaiilor; de asigurare a integritii informaiei care conine date cu caracter personal i TI; de administrare a accesului; de audit i asigurare a evidenei, lund n considerare: 1) categoria datelor cu caracter personal prelucrate i a operaiunilor de prelucrare efectuate asupra lor (conform anexelor nr.1 i nr.2 la prezentele Cerine); 2) dimensiunea deintorului de date cu caracter personal, n funcie de numrul angajailor, numrul subdiviziunilor administrative, amplasarea geografic a subdiviziunilor sau filialelor etc., inclusiv numrul persoanelor care pot accesa datele cu caracter personal; 3) formele de inere a registrelor n care snt prelucrate date cu caracter personal (manual, electronic sau mixt); 4) complexitatea sistemelor informaionale de date cu caracter personal i programelor de aplicaii implicate n procesul de prelucrare a datelor; 5) riscurile la care este expus deintorul de date cu caracter personal sau persoanele ale cror date cu caracter personal snt prelucrate, starea de dezvoltare tehnologic n acest domeniu i costul msurilor de implementare. 16. Politica de securitate a datelor cu caracter personal se revizuiete cel puin o dat n an ca rezultat al modificrilor sau reevalurii componentelor acesteia i aprobat la cel mai nalt nivel al ierarhiei persoanelor responsabile ale deintorului de date cu caracter personal. Pentru ca politica de securitate a datelor cu caracter personal s fie cunoscut tuturor, acest document este adus la cunotin utilizatorilor i altor angajai ai deintorului de date cu caracter personal, n limitele competenelor funcionale i nivelului de acces acordat. 17. Deintorul de date cu caracter personal numete o persoan responsabil de elaborarea, implementarea i monitorizarea respectrii prevederilor politicii de securitate a datelor cu caracter personal, subordonat nemijlocit conductorului instituiei, care nu va avea alte responsabiliti incompatibile cu sarcinile funciei de implementare a politicii. 18. Persoana responsabil de politica de securitate a datelor cu caracter personal va dispune de resurse suficiente (timp, resurse umane, echipament i buget) i va avea acces liber la informaia necesar pentru ndeplinirea funciilor sale n msura n care aceasta nu opereaz n afara cadrului acestei politici. 19. Persoana responsabil de politica de securitate a datelor cu caracter personal asigur definirea clar a diferitelor responsabiliti cu privire la securitatea prelucrrii datelor cu caracter personal (prevenire, supraveghere, detectare i prelucrare), precum i operarea cu ele, n afara presiunilor ca rezultat al intereselor personale sau alte mprejurri. 20. Deintorii de date cu caracter personal ntreprind urmtoarele aciuni: 1) definesc clar responsabilitile i procesele de management al securitii datelor cu caracter personal, cu integrarea lor corespunztoare n structura organizaional i de funcionare general;

2) asigur msuri tehnice i organizaionale necesare organizrii procesului de management al securitii datelor cu caracter personal; 3) elaboreaz procedurile de clasificare a informaiei care conine date cu caracter personal astfel nct s fie posibil de ntocmit un nomenclator i toate datele cu caracter personal care snt prelucrate s fie localizate, indiferent de tipul purttorului de date; 4) instruiesc persoanele implicate n procesul de prelucrare a datelor cu caracter personal n vederea ndeplinirii de ctre acestea a atribuiilor funcionale i asumrii responsabilitilor de securitate a datelor cu caracter personal, inclusiv asupra confidenialitii acestora. 21. Documentaia referitoare la politica de securitate a datelor cu caracter personal este centralizat, complet, actualizat cu regularitate i conine cel puin urmtoarele elemente: 1) identitatea persoanei responsabile de politica de securitate; 2) msurile de securitate; 3) mecanismul de punere n aplicare a msurilor de securitate; 4) nomenclatorul datelor cu caracter personal prelucrate, a localizrii acestora i a operaiunilor efectuate asupra lor; 5) lista nominal a utilizatorilor, autorizai s acceseze datele cu caracter personal; 6) configurarea sistemului informaional de date cu caracter personal i a reelei; 7) descrierea detaliat a criteriilor, n conformitate cu care snt accesibile datele cu caracter personal prelucrate n registrul inut manual; 8) documentaia tehnic cu privire la controalele de securitate; 9) orarul controalelor de securitate; 10) msurile de detectare a cazurilor de acces i/sau de prelucrare neautorizat a datelor cu caracter personal; 11) rapoarte despre incidentele de securitate. IV. SECURITATEA MEDIULUI FIZIC I A TEHNOLOGIILOR INFORMAIONALE FOLOSITE N PROCESUL PRELUCRRII DATELOR CU CARACTER PERSONAL Seciunea 1 Autorizarea accesului fizic 22. Pentru categoria N-1 Accesul n sediile/oficiile/birourile ori spaiile unde snt amplasate sistemele informaionale de date cu caracter personal este restricionat, fiind permis doar persoanelor care au autorizaia necesar i doar n timpul orelor de program, conform listei i nsemnelor corespunztoare (insigne, ecusoane, cartele de identificare, cartele cu microprocesoare). Conductorii deintorilor de date cu caracter personal elaboreaz i aprob listele de acces, care se revizuiesc nu mai rar dect o dat n lun i nsemnele care autorizeaz accesul. 23. Suplimentar pentru categoria N-2 Accesul se efectueaz n baza cartelelor de identificare, cartelelor cu microprocesoare sau altor tehnologii. Seciunea 2 Administrarea i monitorizarea accesului fizic 24. Pentru categoria N-1 Se efectueaz administrarea i monitorizarea accesului fizic n toate punctele de acces la sistemele informaionale de date cu caracter personal, inclusiv se reacioneaz la nclcarea regimului de acces. nainte de acordarea accesului fizic la sistemele informaionale de date cu caracter personal se verific competenele de acces. Registrele de monitorizare se pstreaz minimum un an, la expirarea cruia acestea se lichideaz, iar datele i documentele ce se conin n registrul supus lichidrii se transmit n arhiv. 25. Suplimentar pentru categoria N-2 ncperile unde snt instalate sistemele informaionale de date cu caracter personal se echipeaz cu sisteme de control al accesului i supraveghere video n scopul urmririi accesului persoanelor n aceste spaii.

n procesul monitorizrii se utilizeaz mijloace de supraveghere i alarm n regim real de timp a tuturor cazurilor de acces autorizat i/sau neautorizat. Snt utilizate mijloace automatizate care asigur identificarea cazurilor de acces neautorizat i iniierea aciunilor de blocare a accesului. Seciunea 3 Securitatea sediilor/oficiilor/birourilor i mijloacelor de prelucrare a datelor cu caracter personal 26. Pentru categoria N-1 Perimetrul de securitate se determin concret i clar. Perimetrul cldirii sau ncperii n care snt amplasate mijloacele de prelucrare a datelor cu caracter personal trebuie s fie integru din punct de vedere fizic. Pereii exteriori ai ncperilor trebuie s fie rezisteni, intrrile echipate cu lacte, mijloace de control al accesului, semnalizare etc. n cazul amplasrii ncperilor la parter i/sau la ultimul etaj al cldirii, precum i n cazul existenei balcoanelor, scrilor antiincendiare, la ferestrele ncperilor respective se instaleaz gratii. Computerele, serverele, alte terminale de acces trebuie amplasate n locuri cu acces limitat pentru persoane strine. Uile i ferestrele se ncuie n cazul n care n ncpere lipsesc angajaii. Agendele i/sau crile de telefoane n care se conin indicii despre locul amplasrii mijloacelor de prelucrare a datelor cu caracter personal nu vor fi accesibile persoanelor strine. Amplasarea mijloacelor de prelucrare a datelor cu caracter personal trebuie s rspund necesitii asigurrii securitii acestora contra accesului nesancionat, furturilor, incendiilor, inundaiilor i altor posibile riscuri. Folosirea tehnicii foto, video, audio sau altor mijloace de nregistrare n perimetrul de securitate este admis doar n cazul prezenei unei permisiuni speciale a conducerii deintorului de date cu caracter personal. Purttorii de informaii i mijloacele de prelucrare a datelor cu caracter personal scoase din ncperile aflate n perimetrul de securitate nu trebuie lsate fr supraveghere n locuri publice. 27. Suplimentar pentru categoria N-2 Se implementeaz sisteme de constatare a intruziunilor pentru uile exterioare i ferestrele amplasate n locuri accesibile. Utilajul de rezerv i purttorii de informaii care conin date cu caracter personal se pstreaz n locuri care permit evitarea distrugerilor sau deteriorrilor ca rezultat al calamitilor n sediul/oficiul/biroul de baz. Seciunea 4 Controlul vizitatorilor 28. Pentru categoria N-1 Trebuie asigurat controlul accesului fizic al vizitatorilor n ncperile unde snt amplasate sistemele informaionale de date cu caracter personal. Accesul vizitatorilor se nregistreaz n registre, care se pstreaz minimum un an. La expirarea termenului de un an, registrele snt lichidate, iar datele i documentele ce se conin n registrul supus lichidrii se transmit n arhiv. 29. Suplimentar pentru categoria N-2 Vizitatorii sistemelor informaionale de date cu caracter personal trebuie s fie nsoii de persoane mputernicite n asemenea scop, cu exercitarea n paralel a controlului asupra aciunilor acestora. Seciunea 5 Securitatea electroenergetic 30. Pentru categoria N-1 Se asigur securitatea echipamentului electric utilizat pentru meninerea funcionalitii sistemelor informaionale de date cu caracter personal, a cablurilor electrice, inclusiv protecia acestora contra deteriorrilor i conectrilor nesancionate. n cazul apariiei situaiilor excepionale, de avarie sau de for major, trebuie asigurat posibilitatea deconectrii electricitii la sistemele informaionale de date cu caracter personal, inclusiv posibilitatea

deconectrii oricrui component TI. Trebuie prevzute surse autonome de alimentare cu energie electric de scurt durat, care snt folosite pentru terminarea corect a sesiunii de lucru a sistemului (componentului) n cazul deconectrii de la sursa principal de alimentare cu energie electric. 31. Suplimentar pentru categoria N-2 Snt prevzute i asigurate surse de alimentare cu energie electric de lung durat, care snt folosite n cazul deconectrii pentru perioade ndelungate i necesitii continurii ndeplinirii de ctre sistemele informaionale de date cu caracter personal a sarcinilor funcionale stabilite. Seciunea 6 Securitatea cablurilor de reea 32. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Cablurile de reea, prin care se efectueaz operaiuni de prelucrare a datelor cu caracter personal, trebuie protejate contra conectrilor nesancionate sau deteriorrilor. Cablurile de tensiune trebuie separate de cele comunicaionale pentru a exclude bruiajul. Deintorii de date cu caracter personal efectueaz controale, nu mai rar dect o dat n lun, n scopul verificrii cazurilor de conectare neautorizat la cablurile de reea. Seciunea 7 Asigurarea securitii antiincendiare a sistemelor informaionale de date cu caracter personal 33. Pentru categoria N-1 Se prevd mijloace de asigurare a securitii antiincendiare a sediilor/oficiilor/birourilor unde snt amplasate sistemele informaionale de date cu caracter personal i mijloacele de prelucrare a datelor cu caracter personal. 34. Suplimentar pentru categoria N-2 Se implementeaz sisteme automatizate de depistare/semnalizare i stingere a incendiilor n sediile/oficiile/birourile unde snt amplasate sistemele informaionale de date cu caracter personal i mijloacele de prelucrare a datelor cu caracter personal. Seciunea 8 Controlul instalrii i scoaterii componentelor TI 35. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se exercit controlul i evidena instalrii i scoaterii mijloacelor de program, mijloacelor tehnice i celor tehnice de program, utilizate n cadrul sistemelor informaionale de date cu caracter personal. Informaiile, care conin date cu caracter personal i care se conin pe purttorii de informaii, se distrug fizic sau se transcriu i se nimicesc prin metode sigure, evitndu-se folosirea funciilor standarde de nimicire. Seciunea 9 Msurile generale de administrare a securitii informaionale 36. Pentru toate categoriile sistemelor informaionale de date cu caracter personal n cazul neutilizrii temporare a purttorilor de informaie pe suport de hrtie sau electronici (digitali) care conin date cu caracter personal, acetia se pstreaz n safeuri sau dulapuri metalice care se ncuie. Computerele, terminalele de acces i imprimantele snt deconectate la terminarea sesiunilor de lucru. Este asigurat securitatea punctelor de primire/expediere a corespondenei, precum i securitatea contra accesului neautorizat la aparatele fax i de copiere. Trebuie administrat accesul fizic la mijloacele de reprezentare a informaiei care conine date cu caracter personal, n scopul mpiedicrii vizualizrii acesteia de ctre persoane neautorizate. Mijloacele de prelucrare a datelor cu caracter personal, informaia care conine date cu caracter personal sau soft-urile destinate prelucrrii datelor cu caracter personal snt scoase din perimetrul de securitate doar n temeiul unei permisiuni scrise a conducerii deintorului de date cu caracter personal. Scoaterea i introducerea mijloacelor de prelucrare a datelor cu caracter personal din/n perimetrul de securitate se nregistreaz. V. IDENTIFICAREA I AUTENTIFICAREA UTILIZATORULUI SISTEMULUI INFORMAIONAL DE DATE CU CARACTER PERSONAL

Seciunea 1 Identificarea i autentificarea utilizatorului 37. Pentru categoria N-1 Este efectuat identificarea i autentificarea utilizatorilor sistemelor informaionale de date cu caracter personal i a proceselor executate n numele acestor utilizatori. Toi utilizatorii (inclusiv personalul care asigur susinerea tehnic, administratorii de reea, programatorii i administratorii bazelor de date) vor avea un identificator personal (ID-ul utilizatorului), care nu trebuie s conin semnalmentele nivelului de accesibilitate al utilizatorului. Pentru confirmarea ID-ului utilizatorului snt utilizate parole, mijloace fizice speciale de acces cu memorie (token) sau cartele cu microprocesoare, mijloace biometrice de autentificare, bazate pe caracteristici unice i individuale ale persoanei. n cazul n care contractul de munc/raporturile de serviciu ale utilizatorului au fost ncetate, suspendate sau modificate i noile sarcini nu necesit accesul la date cu caracter personal ori drepturile de acces ale utilizatorului au fost modificate, ori utilizatorul a abuzat de codurile primite n scopul comiterii unei fapte prejudiciabile, a absentat o perioad ndelungat, codurile de identificare i autentificare se revoc sau se suspend de ctre deintorul de date cu caracter personal. 38. Suplimentar pentru categoria N-2 Se utilizeaz autentificarea multifactorial (complex), care include parole i mijloace fizice speciale de acces cu memorie ori cartele cu microprocesoare sau parole i mijloace biometrice de autentificare. Seciunea 2 Identificarea i autentificarea echipamentului 39. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Este asigurat posibilitatea identificrii i autentificrii echipamentului folosit n operaiunile de prelucrare a datelor cu caracter personal. Seciunea 3 Administrarea identificatorilor utilizatorilor 40. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Administrarea identificatorilor utilizatorilor include: 1) identificarea univoc a fiecrui utilizator; 2) verificarea autenticitii fiecrui utilizator; 3) obinerea autorizaiei de la persoana responsabil pentru eliberarea ID-ului utilizatorului; 4) garantarea faptului c ID-ul utilizatorului este eliberat unei persoane determinate concret; 5) dezactivarea contului de utilizator dup o perioad inactiv, stabilit n timp (inaciune n perioada de maximum 2 luni); 6) executarea copiilor de arhiv a ID-urilor utilizatorilor. Seciunea 4 Administrarea mijloacelor de autentificare 41. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Deintorii de date cu caracter personal determin procedurile administrative, care reglementeaz procesul distribuirii i ridicrii mijloacelor de autentificare a utilizatorilor, inclusiv aciunile n cazul pierderii/compromiterii sau defeciunii acestora. Dup instalarea sistemului, se schimb informaiile de autentificare a utilizatorilor utilizate standard. Seciunea 5 Asigurarea conexiunii bilaterale n cazul introducerii informaiei de autentificare a utilizatorilor 42. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur conexiunea bilateral a deintorului de date cu caracter personal cu utilizatorul n momentul trecerii de ctre acesta a procedurilor de autentificare, care nu compromite mecanismul de autentificare. Seciunea 6 Utilizarea parolelor n procesul asigurrii securitii informaionale 43. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se respect regulile de asigurare a securitii informaionale n cazul alegerii i folosirii parolelor care includ:

1) pstrarea confidenialitii parolelor; 2) interzicerea nscrierii parolelor pe suport de hrtie, n cazul n care nu se asigur securitatea pstrrii acestuia; 3) modificarea parolelor de fiecare dat cnd snt prezente indiciile eventualei compromiteri a sistemului sau parolei; 4) alegerea parolelor calitative cu o mrime de minimum 8 simboluri, care nu snt legate de informaia cu caracter personal a utilizatorului, nu conin simboluri identice consecutive i nu snt compuse integral din grupuri de cifre sau litere; 5) modificarea parolelor peste intervale de maximum 3 luni; 6) dezactivarea procesului automatizat de nregistrare (cu folosirea parolelor salvate). Seciunea 7 Administrarea parolelor utilizatorilor 44. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se folosesc identificatoare individuale pentru fiecare utilizator i parole individuale ale acestora pentru asigurarea posibilitii de stabilire a responsabilitii. Este asigurat posibilitatea utilizatorilor de a alege i schimba parolele individuale, inclusiv de activare a procedurii de eviden a introducerilor greite ale acestora. Se asigur blocarea accesului dup trei tentative greite de autentificare. Este asigurat pstrarea istoriilor anterioare ale parolelor n form de hash a utilizatorilor (pentru o perioada de un an) i prevenirea folosirii repetate a acestora. La momentul introducerii, parolele nu se reflect n clar pe monitor. Parolele se pstreaz n form cifrat, utilizndu-se algoritmul criptografic unilateral (funcia hash). VI. ADMINISTRAREA ACCESULUI UTILIZATORILOR Seciunea 1 Administrarea accesului 45. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se implementeaz mecanisme de nregistrare i eviden a persoanelor care au acces sau particip la operaiunile de prelucrare a datelor cu caracter personal i care, n caz de necesitate, permit identificarea cazurilor neautorizate de acces sau de prelucrare ilegal a datelor cu caracter personal. Seciunea 2 Administrarea conturilor de acces (account-urilor) 46. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Este efectuat administrarea conturilor de acces a utilizatorilor care prelucreaz date cu caracter personal, inclusiv crearea, activarea, modificarea, revizuirea, dezactivarea i tergerea acestora. Snt folosite mijloace automatizate de suport n scopul administrrii conturilor de acces. Aciunea conturilor de acces a utilizatorilor temporari, care prelucreaz date cu caracter personal, nceteaz automat la expirarea unei perioade stabilite n timp (pentru fiecare tip de cont de acces n parte). Snt dezactivate automat, dup o perioad de maximum trei luni, conturile de acces ale utilizatorilor neactivi, care prelucreaz date cu caracter personal. Se folosesc mijloace automatizate de nregistrare i informare despre crearea, modificarea, dezactivarea i ncetarea aciunii conturilor de acces. Seciunea 3 Acordarea accesului 47. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Este autorizat accesul la sistemele informaionale de date cu caracter personal n conformitate cu politica de administrare a accesului stabilit de deintorul de date cu caracter personal. Accesul la funciile de securitate ale sistemelor informaionale de date cu caracter personal i la datele acestora este acordat doar persoanelor responsabile indicate expres n politica de securitate a deintorului de date cu caracter personal. Seciunea 4 Revizuirea drepturilor de acces ale utilizatorilor 48. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Drepturile de acces ale utilizatorilor la sistemele informaionale de date cu caracter personal snt

revizuite cu regularitate pentru asigurarea faptului c nu au fost acordate drepturi de acces neautorizate (maximum peste fiecare ase luni) i dup oricare schimbare de statut al utilizatorului. Seciunea 5 Administrarea fluxurilor informaionale 49. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se autorizeaz de ctre deintorii de date cu caracter personal realizarea fluxurilor informaionale n procesul transmiterii acestora n interiorul i n afara sistemelor informaionale de date cu caracter personal. Seciunea 6 Repartizarea obligaiilor i nvestirea cu minimul de drepturi i competene 50. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Repartizarea obligaiilor subiecilor care asigur funcionarea sistemelor informaionale de date cu caracter personal este efectuat prin intermediul nvestirii cu drepturi/competene corespunztoare de acces, printr-un act administrativ al conducerii deintorului de date cu caracter personal. Utilizatorii sistemelor informaionale de date cu caracter personal se nvestesc doar cu acele drepturi/competene, care snt necesare pentru realizarea de ctre ei a obiectivelor stabilite acestora. Seciunea 7 Informaii de avertizare 51. Pentru toate categoriile sistemelor informaionale de date cu caracter personal nainte de acordarea accesului n sistem, utilizatorii snt informai despre faptul c folosirea sistemelor informaionale de date cu caracter personal este controlat i c folosirea neautorizat a acestora se urmrete n conformitate cu legislaia. Seciunea 8 Blocarea sesiunii de lucru 52. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Sesiunea de lucru n sistemul informaional, destinat prelucrrii datelor cu caracter personal, se blocheaz (la solicitarea utilizatorului sau automat, dup maximum 15 minute de perioad inactiv a utilizatorului), fapt care face imposibil accesul de mai departe pn n momentul cnd utilizatorul nu deblocheaz sesiunea de lucru prin metoda trecerii repetate a procedurilor de identificare i autentificare. Seciunea 9 Controlul administrrii accesului 53. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se efectueaz controlul aciunilor utilizatorului n vederea evalurii corectitudinii i conformrii operaiunilor i aciunilor efectuate prin intermediul sistemelor informaionale de date cu caracter personal. Seciunea 10 Marcarea documentelor 54. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Informaia ieit din sistem, care conine date cu caracter personal, se marcheaz, indicndu-se prescripii pentru prelucrarea ulterioar i rspndirea acesteia, inclusiv indicndu-se numrul de identificare unic al deintorului de date cu caracter personal. Seciunea 11 Accesul de la distan 55. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Toate metodele de acces de la distan la sistemele informaionale de date cu caracter personal trebuie securizate (utilizndu-se VPN, criptarea, cifrarea etc.), precum i snt documentate, supuse monitorizrii i controlului. Fiecare metod de acces de la distan la sistemele informaionale de date cu caracter personal se autorizeaz de persoanele responsabile ale deintorilor de date cu caracter personal i permis doar utilizatorilor, crora aceasta le este necesar pentru ndeplinirea obiectivelor stabilite. Seciunea 12 Limitarea folosirii tehnologiilor fr fir 56. Pentru toate categoriile sistemelor informaionale de date cu caracter personal se stabilesc limitri i se elaboreaz reguli de folosire a tehnologiilor fr fir care permit accesul la sistemele

informaionale de date cu caracter personal. Accesul fr fir la sistemele informaionale de date cu caracter personal este documentat, supus monitorizrii i controlului. Accesul fr fir la sistemele informaionale de date cu caracter personal este permis doar n cazul utilizrii mijloacelor criptografice de protecie a informaiei. Folosirea tehnologiilor fr fir se autorizeaz de persoanele responsabile ale deintorului de date cu caracter personal. Seciunea 13 Administrarea accesului echipamentului portativ i mobil 57. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se stabilesc limitri i se elaboreaz reguli de folosire a echipamentului portativ i mobil care permit accesul la sistemele informaionale de date cu caracter personal. Accesul la sistemele informaionale de date cu caracter personal cu folosirea echipamentului portativ i mobil se documenteaz, este monitorizat i controlat. Folosirea echipamentului portativ i mobil este autorizat de persoanele responsabile ale deintorului de date cu caracter personal. VII. PROTECIA SISTEMELOR INFORMAIONALE I COMUNICAIILOR N CARE SNT PRELUCRATE DATE CU CARACTER PERSONAL Seciunea 1 Divizarea programelor aplicative 58. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur separarea posibilitilor funcionale ale utilizatorului de posibilitile funcionale de gestionare a sistemelor informaionale de date cu caracter personal. Seciunea 2 Izolarea funciilor de securitate 59. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur izolarea funciilor de securitate de funciile care nu se atribuie la securitatea sistemelor informaionale de date cu caracter personal. Seciunea 3 Informaia restant 60. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Trebuie prentmpinate tentativele dezvluirii neautorizate sau neintenionate a informaiei restante care conine date cu caracter personal, prin intermediul resurselor informaionale general accesibile. Seciunea 4 Protecia contra refuzului n serviciu 61. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur protecia sistemelor informaionale de date cu caracter personal sau limitate posibilitile de realizare a atacurilor de diferite tipuri, inclusiv DOS (denial of service) - refuz n serviciu. Seciunea 5 Prioritile resurselor 62. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Este asigurat posibilitatea limitrii, cu ajutorul mecanismelor de stabilire a prioritilor, a folosirii resurselor informaionale n care snt prelucrate date cu caracter personal. Seciunea 6 Protecia perimetrului sistemelor informaionale n care snt prelucrate date cu caracter personal 63. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se efectueaz monitorizarea permanent i controlul comunicaiilor la perimetrul exterior al sistemelor informaionale de date cu caracter personal, inclusiv la cele mai importante puncte de contact n interiorul perimetrului acestor sisteme informaionale. Amplasarea resurselor general accesibile se asigur n spaiile special destinate a reelei de calcul cu interfeele fizice de reea.

Este asigurat imposibilitatea accesului din exterior a utilizatorilor la reeaua intern n care se prelucreaz date cu caracter personal. Seciunea 7 Asigurarea integritii datelor cu caracter personal transmise 64. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur integritatea datelor cu caracter personal transmise, utilizndu-se mijloacele de protecie criptografic i semntura digital. Seciunea 8 Asigurarea confidenialitii datelor cu caracter personal transmise 65. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur confidenialitatea datelor cu caracter personal transmise, utilizndu-se mijloace de protecie criptografic a informaiei. VIII. AUDITUL SECURITII N SISTEMELE INFORMAIONALE DE DATE CU CARACTER PERSONAL Seciunea 1 Generarea nregistrrilor de audit n sistemele informaionale de date cu caracter personal 66. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Deintorii de date cu caracter personal organizeaz generarea nregistrrilor de audit a securitii n sistemele informaionale de date cu caracter personal pentru evenimentele, indicate n lista corespunztoare, supuse auditului. Seciunea 2 Lista evenimentelor nregistrate de sistemul de audit a securitii n sistemele informaionale de date cu caracter personal 67. Pentru toate categoriile sistemelor informaionale de date cu caracter personal 1) Se efectueaz nregistrarea tentativelor de intrare/ieire a utilizatorului n sistem, conform urmtorilor parametri: a) data i timpul tentativei intrrii/ieirii; b) ID-ul utilizatorului; c) rezultatul tentativei de intrare/ieire pozitiv sau negativ. 2) Este efectuat nregistrarea tentativelor de pornire/terminare a sesiunii de lucru a programelor aplicative i proceselor, destinate prelucrrii datelor cu caracter personal, nregistrarea modificrilor drepturilor de acces ale utilizatorilor i statutul obiectelor de acces conform urmtorilor parametri: a) data i timpul tentativei de pornire; b) denumirea/identificatorul programului aplicativ sau procesului; c) ID-ul utilizatorului; d) rezultatul tentativei de pornire pozitiv sau negativ. 3) Se efectueaz nregistrarea tentativelor de obinere a accesului (de executare a operaiunilor) pentru aplicaii i procese destinate prelucrrii datelor cu caracter personal, conform urmtorilor parametri: a) data i timpul tentativei de obinere a accesului (executare a operaiunii); b) denumirea (identificatorul) aplicaiei sau procesului; c) ID-ul utilizatorului; d) specificaiile resursei protejate (identificator, nume logic, nume fiier, numr etc.); e) tipul operaiunii solicitate (citire, nregistrare, tergere etc.); f) rezultatul tentativei de obinere a accesului (executare a operaiunii) pozitiv sau negativ. 4) Este efectuat nregistrarea modificrilor drepturilor de acces (competenelor) utilizatorului i statutului obiectelor de acces, conform urmtorilor parametri: a) data i timpul modificrii competenelor; b) ID-ul administratorului care a efectuat modificrile; c) ID-ul utilizatorului i competenele acestuia sau specificarea obiectelor de acces i statutul nou al acestora.

5) Se efectueaz nregistrarea ieirii din sistem a informaiei care conine date cu caracter personal (documente electronice, date etc.), nregistrarea modificrilor drepturilor de acces ale subiecilor i statutul obiectelor de acces, conform urmtorilor parametri: a) data i timpul eliberrii; b) denumirea informaiei i cile de acces la aceasta; c) specificarea echipamentului (dispozitivului) care a eliberat informaia (numele logic); d) ID-ul utilizatorului, care a solicitat informaia; e) volumul documentului eliberat (numrul paginilor, a filelor, copiilor) i rezultatul eliberrii pozitiv sau negativ. Seciunea 3 Prelucrarea rezultatelor auditului securitii n sistemele informaionale de date cu caracter personal 68. Pentru toate categoriile sistemelor informaionale de date cu caracter personal n caz de deranjament al auditului securitii n sistemele informaionale de date cu caracter personal sau completrii ntregului volum de memorie repartizat pentru pstrarea rezultatelor auditului, este informat persoana responsabil de politica de securitate a datelor cu caracter personal i ntreprinse msuri n vederea restabilirii capacitii de lucru a sistemului de audit. Seciunea 4 Monitorizarea, analiza i generarea rapoartelor de audit a securitii n sistemele informaionale de date cu caracter personal 69. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se efectueaz monitorizarea permanent i analiza nregistrrilor de audit a securitii n sistemele informaionale de date cu caracter personal, n scopul depistrii activitilor neobinuite sau suspecte de utilizare a acestor sisteme informaionale, cu ntocmirea raportului referitor la cazurile depistrii acestor activiti, stocate n mijloacele electronice de calcul i ntreprinderea aciunilor prestabilite n politica de securitate pentru astfel de cazuri. Seciunea 5 Protejarea datelor de audit a securitii n sistemele informaionale de date cu caracter personal 70. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Rezultatele auditului securitii n sistemele informaionale de date cu caracter personal, care reprezint operaiuni de prelucrare a datelor cu caracter personal i mijloacele de efectuare a auditului, se protejeaz contra accesului neautorizat prin instituirea msurilor de securitate adecvate, inclusiv prin asigurarea confidenialitii i integritii acestora. Seciunea 6 Pstrarea datelor de audit a securitii n sistemele informaionale de date cu caracter personal 71. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Durata stocrii rezultatelor auditului securitii n sistemele informaionale de date cu caracter personal se justific n politica de securitate a datelor cu caracter personal, dar n orice caz acest termen nu este mai mic de 2 ani, pentru a fi posibil folosirea acestora n calitate de probe n cazul incidentelor de securitate, unor eventuale investigaii sau procese judiciare. n cazul n care investigrile sau procesele judiciare se prelungesc, rezultatele auditului se pstreaz pe toat durata acestora. IX. ASIGURAREA INTEGRITII INFORMAIEI CARE CONINE DATE CU CARACTER PERSONAL I A TEHNOLOGIILOR INFORMAIONALE Seciunea 1 nlturarea deficienelor de soft destinat prelucrrii datelor cu caracter personal 72. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur identificarea, protocolarea i nlturarea deficienelor de soft-uri destinate prelucrrii datelor

cu caracter personal, inclusiv instalarea corectrilor i pachetelor de rennoire a acestor soft-uri. Seciunea 2 Asigurarea proteciei contra programelor duntoare (viruilor) 73. Pentru categoria N-1 Se asigur protecia contra infiltrrii programelor duntoare n soft-urile destinate prelucrrii datelor cu caracter personal, msur care asigur posibilitatea rennoirii automate i la timp a mijloacelor de asigurare a proteciei contra programelor duntoare i signaturilor de virus. 74. Suplimentar pentru categoria N-2 Se asigur administrarea centralizat a mecanismelor de protecie contra programelor duntoare n softurile destinate prelucrrii datelor cu caracter personal. Seciunea 3 Tehnologiile i mijloacele de constatare a intruziunilor 75. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se utilizeaz tehnologii i mijloace de constatare a intruziunilor, care permit monitorizarea evenimentelor n sistemele informaionale de date cu caracter personal i constatarea atacurilor, inclusiv care asigur identificarea tentativelor folosirii neautorizate a sistemelor informaionale. Seciunea 4 Asigurarea integritii soft-urilor i informaiei 76. Pentru toate categoriile sistemelor informaionale de date cu caracter personal. Se asigur protecia i posibilitatea depistrii modificrii neautorizate a soft-urilor destinate prelucrrii datelor cu caracter personal i informaiei care conine date cu caracter personal. Soft-urile destinate prelucrrii datelor cu caracter personal i informaia care conine date cu caracter personal, accesul la care se efectueaz prin intermediul sistemelor de acces public, snt securizate prin metoda folosirii semnturii digitale. Seciunea 5 Testarea posibilitilor funcionale de asigurare a securitii sistemelor informaionale de date cu caracter personal 77. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Se asigur testarea funcionrii corecte a funciilor de securitate a sistemelor informaionale de date cu caracter personal (automat la pornirea sistemului i lunar la solicitarea utilizatorului autorizat n acest scop). X. COPIILE DE REZERV I RESTABILIREA INFORMAIEI CARE CONINE DATE CU CARACTER PERSONAL I IT Seciunea 1 Copiile de rezerv ale informaiei care conine date cu caracter personal 78. Pentru categoria N-1 Reieind din volumul prelucrrilor efectuate, individual, se stabilete de ctre deintorul de date cu caracter personal intervalul de timp n care se execut copiile de siguran a informaiilor care conin date cu caracter personal i soft-urilor folosite pentru prelucrrile automatizate a datelor cu caracter personal, dar n orice caz acest termen este mai mic de un an, care se pstreaz n locuri protejate, n afara zonei de amplasare a acestei informaii i soft-urile de baz. Copiile de siguran se testeaz n scopul verificrii siguranei purttorilor de informaii i integritii informaiei care conine date cu caracter personal. Procedurile de restabilire a copiilor de siguran se actualizeaz i se testeaz cu regularitate, n scopul asigurrii eficacitii acestora. 79. Suplimentar pentru categoria N-2 Copiile de siguran se pstreaz n cutii metalice cu sigiliu aplicat i stocate n afara zonei de amplasare a informaiei care conine date cu caracter personal de soft-urile de baz sau, dac este posibil, n ncperi din alt cldire. Se identific potenialele probleme de acces n locurile de pstrare a copiilor de siguran n cazul defectului sau avariei i se determin aciunile concrete pentru restabilirea cilor de acces.

Seciunea 2 Serviciile telecomunicaionale de rezerv 80. Pentru categoria N-2 Se identific serviciile telecomunicaionale de baz i de rezerv, inclusiv se soluioneaz ntrebrile privind folosirea serviciilor telecomunicaionale de rezerv n scopul restabilirii accesibilitii serviciilor de baz ale sistemelor informaionale de date cu caracter personal. Furnizorii serviciilor telecomunicaionale de baz i de rezerv urmeaz a fi diferii pentru a nu fi supui pericolelor comune. XI. CONTROALELE DE SECURITATE A SISTEMELOR INFORMAIONALE DE DATE CU CARACTER PERSONAL 81. Deintorii de date cu caracter personal verific cu regularitate, cel puin o dat pe an, ndeplinirea msurilor tehnice i/sau organizaionale luate pentru detectarea unor disfuncionaliti n ceea ce privete folosirea n procesul prelucrrii datelor cu caracter personal a sistemelor de telecomunicaii i/sau efectuarea mbuntirilor, n caz de necesitate. 82. Controalele de securitate snt actualizate de fiecare dat cnd deintorul de date cu caracter personal este reorganizat sau i schimb infrastructura. 83. n scopul verificrii nivelului de protecie a sistemelor informaionale de date cu caracter personal, precum i n scopul prentmpinrii unor eventuale cazuri de acces ilicit sau ntmpltor asupra acestor sisteme informaionale, depistrii locurilor slabe n mecanismele de protejare a acestora, Centrul ntreprinde periodic controale de securitate, inclusiv cu efectuarea unor msuri tehnice speciale pentru simularea unui model de accesare a sistemelor informaionale de date cu caracter personal. 84. Rezultatele controalelor efectuate de Centru snt puse imediat la dispoziia deintorului de date cu caracter personal, nivelul de protecie a sistemelor informaionale de date cu caracter personal a cruia a servit obiect al controlului, cu prescrierea, n caz de necesitate, a aciunilor necesare de a fi ntreprinse n vederea asigurrii securitii prelucrrii datelor cu caracter personal. XII. GESTIONAREA INCIDENTELOR DE SECURITATE A SISTEMELOR INFORMAIONALE DE DATE CU CARACTER PERSONAL Seciunea 1 Instructajul de reacionare la incidentele de securitate a sistemelor informaionale de date cu caracter personal 85. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Personalul care asigur exploatarea sistemelor informaionale de date cu caracter personal trece, minimum o dat n an, instruirea referitor la responsabilitile i obligaiile n cazul executrii aciunilor de gestionare i reacionare la incidentele de securitate. Seciunea 2 Prelucrarea incidentelor de securitate a sistemelor informaionale de date cu caracter personal 86. Pentru categoria N-1 Este asigurat mecanismul de informare nentrziat a conducerii deintorului de date cu caracter personal despre incidentele care ncalc securitatea sistemelor informaionale de date cu caracter personal. Prelucrarea incidentelor include depistarea, analiza, prentmpinarea dezvoltrii, nlturarea lor i restabilirea securitii. 87. Suplimentar pentru categoria N-2 Trebuie utilizate mijloace automatizate pentru susinerea procesului de prelucrare a incidentelor de securitate a sistemelor informaionale de date cu caracter personal. Seciunea 3 Monitorizarea incidentelor de securitate a sistemelor informaionale de date cu caracter personal 88. Pentru categoria N-1 Incidentele de securitate a sistemelor informaionale de date cu caracter personal se urmresc i se documenteaz n regim permanent. 89. Suplimentar pentru categoria N-2

Snt utilizate mijloace automatizate pentru urmrirea incidentelor de securitate a sistemelor informaionale de date cu caracter personal, colectarea i analiza informaiei despre aceste incidente. Seciunea 4 Prezentarea rapoartelor despre incidentele de securitate a sistemelor informaionale de date cu caracter personal 90. Pentru toate categoriile sistemelor informaionale de date cu caracter personal Anual, ctre 31 ianuarie, deintorii de date cu caracter personal prezint Centrului raportul generalizat despre incidentele de securitate a sistemelor informaionale de date cu caracter personal. n baza acestui raport, Centrul ntreprinde msurile ce se impun de Legea cu privire la protecia datelor cu caracter personal. XIII. PROTECIA TEHNIC A INFORMAIEI CARE CONINE DATE CU CARACTER PERSONAL 91. Pentru categoria N-2 Este exclus prezena necontrolat a persoanelor sau a mijloacelor de transport, precum i instalarea ntmpltoare a antenelor, ntr-o zon de minimum 15 metri de la locul amplasrii mijloacelor tehnice principale ale sistemului informaional de date cu caracter personal (n continuare perimetru controlat), n scopul asigurrii securitii prelucrrii datelor cu caracter personal. ncperile pentru servere se protejeaz contra scurgerii informaiei care conine date cu caracter personal din cauza emisiilor electromagnetice prin ecranarea ncperilor sau instalarea sistemelor de bruiaj electromagnetic, care se proiecteaz, realizeaz i cerceteaz de ntreprinderi specializate n domeniu. n cazul ecranrii ncperilor n care se afl mijloacele tehnice de prelucrare a datelor cu caracter personal, este asigurat continuitatea conexiunii electrice a materialului tuturor prilor ecranului: perei, tavan, podea, ferestre i ui. Construciile de ecranare trebuie s posede prize de pmnt care se amplaseaz n perimetrul controlat. Trebuie asigurat protecia informaiei care conine date cu caracter personal contra scurgerii prin intermediul reelei electrice, inclusiv ncruciarea reelelor electrice ale obiectului cu instalarea filtrelor de protecie care s blocheze (bruieze) semnalul. Se exclude sau se limiteaz instalarea neautorizat a altor dispozitive electrice, radio sau de alt gen n ncperile unde snt amplasate mijloacele tehnice de prelucrare a datelor cu caracter personal, n scopul asigurrii securitii prelucrrii datelor cu caracter personal. Utilajul, liniile cruia au ieire n afara perimetrului controlat, este instalat la o distan de cel puin 3 metri de la mijloacele TI n care snt prelucrate date cu caracter personal. XIV. SPECIFICUL CERINELOR DE SECURITATE N CAZUL FORMEI MANUALE DE INERE A REGISTRELOR N CARE SNT PRELUCRATE DATE CU CARACTER PERSONAL 92. Prevederile prezentelor Cerine, cu excepia pct.11-13, 23, 25, 27, 30-32, 35, 37-44, 46, 49, 51-53, 55-68, 72-77, 80, 87-89 i 91, se aplic corespunztor de ctre deintorii de date cu caracter personal n cazul formei manuale de inere a registrelor n care snt prelucrate seriile structurate de date cu caracter personal, accesibile conform criteriilor centralizate sau descentralizate, ori repartizate conform criteriilor funcionale sau geografice. 93. Totodat, nregistrrile de audit a securitii registrelor inute manual n care snt prelucrate date cu caracter personal, trebuie s conin: 1) numele i prenumele utilizatorului; 2) numele fiei accesate (pagina i inscripia din registru); 3) numrul nregistrrilor efectuate; 4) tipul de acces; 5) data accesului (an, lun, zi); 6) timpul (ora, minuta) i durata accesului. Anexa nr.1 la Cerinele fa de asigurarea securitii datelor cu caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu caracter personal

CATEGORIILE DE DATE CU CARACTER PERSONAL 1. Datele cu caracter personal, care direct sau indirect identific o persoan fizic, n special prin referire la un numr de identificare (cod personal), la unul sau mai multe elemente specifice proprii identitii sale fizice, fiziologice, psihice, economice, culturale sau sociale, se mpart n dou categorii: obinuite i speciale. 2. Categoria special a datelor cu caracter personal o constituie informaia care dezvluie originea rasial sau etnic, convingerile politice, religioase, privind starea de sntate sau viaa intim, precum i cele privind condamnrile penale ale unei persoane fizice. 3. Categoria obinuit o constituie informaia care dezvluie: 1) numele i prenumele; 2) sexul; 3) data i locul naterii; 4) cetenia; 5) IDNP; 6) imaginea; 7) vocea; 8) situaia familial; 9) situaia militar; 10) datele de geolocalizare/datele de trafic; 11) porecla/pseudonimul; 12) datele personale ale membrilor de familie; 13) datele din permisul de conducere; 14) datele din certificatul de nmatriculare; 15) situaia economic i financiar; 16) datele privind bunurile deinute; 17) datele bancare; 18) semntura; 19) datele din actele de stare civil; 20) numrul dosarului de pensie; 21) codul personal de asigurrii sociale (CPAS); 22) codul asigurrii medicale (CPAM); 23) numrul de telefon/fax; 24) numrul de telefon mobil; 25) adresa (domiciliului/reedinei); 26) adresa e-mail; 27) datele genetice; 28) datele biometrice i antropometrice; 29) datele dactiloscopice; 30) profesia i/sau locul de munc; 31) formarea profesional diplome studii; 32) obinuinele/preferinele/comportamentul; 33) caracteristicile fizice. 4. n cazul prelucrrii categoriei obinuite de date cu caracter personal, deintorii de date cu caracter personal includ n politica de securitate a datelor cu caracter personal i implementeaz cerinele stabilite pentru nivelul unu de securitate a sistemelor informaionale de date cu caracter personal (N-1). 5. n cazul prelucrrilor categoriei speciale de date cu caracter personal, deintorii de date cu caracter personal, suplimentar cerinelor stabilite pentru nivelul unu de securitate, includ n politica de securitate a datelor cu caracter personal i implementeaz cerinele stabilite pentru nivelul doi de securitate a sistemelor informaionale de date cu caracter personal (N-2). Anexa nr.2 la Cerinele fa de asigurarea securitii datelor cu caracter personal la prelucrarea

acestora n cadrul sistemelor informaionale de date cu caracter personal CATEGORIILE OPERAIUNILOR DE PRELUCRARE A DATELOR CU CARACTER PERSONAL, SUSCEPTIBILE DE A PREZENTA RISCURI SPECIALE PENTRU DREPTURILE I LIBERTILE PERSOANELOR 1. Prezint riscuri speciale pentru drepturile i libertile persoanelor urmtoarele categorii ale operaiunilor de prelucrare a datelor cu caracter personal. 1) adaptarea, modificarea, dezvluirea prin transmitere, difuzare sau n orice alt mod, a datelor cu caracter personal legate de originea rasial sau etnic, de convingerile politice, religioase, de apartenena la un partid politic sau o organizaie religioas, a datelor cu caracter personal privind starea de sntate sau viaa intim, precum i a datelor cu caracter personal referitoare la condamnrile penale, msurile de constrngere, sanciunile disciplinare sau contravenionale; 2) operaiunile de prelucrare a datelor genetice, biometrice i a datelor care permit localizarea geografic a persoanelor prin intermediul reelelor de comunicaii electronice; 3) operaiunile de prelucrare a datelor cu caracter personal prin mijloace electronice, avnd ca scop evaluarea unor aspecte de personalitate, precum competena profesional, credibilitatea, comportamentul etc.; 4) operaiunile de prelucrare a datelor cu caracter personal prin mijloace electronice n cadrul unor sisteme de eviden, avnd ca scop analizarea solvabilitii, a situaiei economico-financiare, a faptelor susceptibile de a atrage rspunderea disciplinar, contravenional sau penal a persoanelor fizice; 5) operaiunile de prelucrare a datelor cu caracter personal ale minorilor n scopuri comerciale (activitilor de marketing direct); 6) operaiunile de prelucrare a datelor cu caracter personal menionate la subpunctele 1) i 2) din prezenta anex, precum i datele cu caracter personal ale minorilor, colectate prin intermediul Internetului sau mesageriei electronice. 2. n cazul prelucrrilor de date cu caracter personal prin orice operaiune sau set de operaiuni indicate la pct.1 al prezentei anexe, deintorii de date cu caracter personal includ n politica de securitate a datelor cu caracter personal i implementeaz cerinele stabilite pentru nivelul doi de securitate a sistemelor informaionale de date cu caracter personal (N-2).