PRIMARIA COMUNE! CORBU
ne 2866 11705:2019
Aprob ae
Primar,
‘Tedpes Focsa Romeo ./SA4..
v
PLAN
de masuri organizatorice si tehnice
de protectie si securitate a DCP
Anul 2019
Cod:PMOT-GDPROI 7
‘Nr. Denumire Masuri organizatorice-tehnice / Responsabil | Informatii_ | Termen de
Crt. Mecanisme de securitate documentate | _realizare
I | Masurile organizatorice de asigurare a securitafii prelucrarii DCP impotriva prelucrdrii neautorigate
sau ilegale si impotriva pierderii, a distrugerii sau a deteriordrii accidentale a DCP
1 | Decizie privind [ 1. Dispozitie privind implementarea | Conducerea | Dispozifie.
implementarea | GDPR si Desemnarea | primiiriei | Nota internit
GDPR. Responsabilului cu protectia datelor de informare
Desemnarea _| cu caracter personal - Data Protection angajati
Responsabilului | Officer (DPO), Formular
cuprotectia | 2, ‘Trimitere Formular Responsabil Responsabil
datelor cu DCP ~ catre ANSPDCP. Dep.
caracter 3. Atributiile institugiei: ia. masuri
personal-Data | pentru a asigura faptul ci orice
Protection persoana fizic& care actioneazi sub
Officer (DPO). | autoritatea operatorului sau a
ersoanei imputernicite de operator si
care are acces la DCP nu le
prelucreazi decét la cererea
operatorului, cu exceptia eazului in
care aceasta obligatie fi revine in
temeiul dreptului Uniunii sau al
Evaluarea —probabilitatii de 4 Registrul
imeriorul materialize = a riscului riseurilor
organizatiei. identifica; S.Figa
Acestea pot duce | > Evaluarea impactului asupra urmarire
la pierderea unor | —_obiectivelor in eazul in care riscul riscuri
date, la s-ar materializa;, 6.Raport
expunerealor | > Evaluarea expunerii la rise, ca 0 gestionare
publica pri combinafie intre probabilitate si riscuri
transmisiuni impact;
accidentale, la | > Stabilirea toleranei la risc.
inedlearea unor | 4. Tratarea riscurilor _presupune
masuri ‘ntreprinderea —miisurilor. de
elementare de _| solujionare a riscurilor.
protectie in cazul | 5. Monitorizarea permanenté_a
transferurilor | riscurilor - acest tip de raspuns la rise
fizice. consti in acceptarea riscului cu
conditia menginerii sale sub 0
permanenta supraveghere.
6, Raportarea riscurilor - rezultatele
revizuirilor trebuie raportate pentru a
se asigura monitorizarea continua a
situatieiriscurilor.
& | Tdentificare, | 1. Gestionarea tuturor cazurilor de | Responsabil | Procedura de | Permanent
investigare si incidente care amenin{4 procesele si | cu protectia | gestionare a
raportare activitatile primariei sau sinitatea | datelorcu | incidentelor
ineidentede | angajatilor si clientilor, precum si | caracter de securitate
seeuritate. bunurile primariei: personal, aDCP,
‘acces neautorizat si transfer de date cu | Conducerea | I.Figa
grade diferite de confidentialitate; institujiei. | semnalare
modificarea, stergerea sau deteriorarea | Angajatii | incidente de
datetor; institutiei | securitate.
‘publicarea in mod accidental; 2 Registra
«perturbarea sistemelor informatice; evident
‘producerea, vinzarea, procurarea pentru incidemte de
utilizar si distribuyie ra drept a eaeNr.
Crt.
Denumire
“Misuri organizatorice-tehnice /
‘Mecanisme de securitate
‘Responsabil
Informatii
documentate
Termen de
realizare_|
falsificarea datelor cu intenjia de a fi
folosite ulterior ca date autentice;
*ingelitori sau fraude eomise prin
intermediul computerelor,
‘uilizarea neautorizat a programelor
‘protejate prin dreptul de autor;
‘erorile de configurare a sistemelor ce
pot duce la scurgeri de informatii;
‘pierderea sau furtulsistemelor sau a
Imedilor de stocare a datelor;
ssecurizarea slab;
+ infecti cu programe de tip malware;
satacurifiziee;
calamitati | naturale, incendi,
intreruperea _limentirii sediuhui cu
energie electrics, caderea refelelor de
telecomunicati, ete.
2. Investigareaincidentelor si
stabilirea dacd a avut loc o incaleare
cu adevarat.
3. Inregistrarile tebuie sa fie utilizate
numai pentru verificarea legalititii
prelucrarii, monitorizarea proprie,
asigurarea integritatii si securitatii
datelor si pentru proceduri penale,
4, Blaborarea procedurii de gestionare
a incidentelor de securitate DCP,
aducerea la cunostinfa angajatilor si
pitilor vizate,
securitatii DCP
1.Constatarea unei inciileéri
+ Institutia trebuie s& alba un grad
rezonabil de certitudine c& a avut loc
un incident de securitate care a
condus la compromiterea DCP.
~ Institutia. poate petrece o anumita
perioada de timp pentru a investiga
incidentul sia stabili dac& a avut loc 0
inedleare cu adevirat - in aceasti
perioadé nu se poste considera c&
institutia a tuat la "cunostings" c& a
avut loc o incalcare a securiti,ii DCP
2. Notificarea - odatii ce s-a constatat
c a avut loc o incaleare a DCP
(exist "rise ridicat pentru drepturile
si libertayile persoanelor fizice” -
articolul 33° din Regulamentul
GDPR), despre aceasta este necesar
si fie informate:
a) ANSPDCP
b) Persoanele vizate afectate
3. Elaborare Procedura de notificare a
‘ncalcarii securitatii DCP gi aducerea
la cunostinta angajatilor si partilor
vizate.
Responsabil
cu protectia
datelor ou
caracter
personal
Conducerea
Procedura de
notificare a
securititii
pcp
Figa
semnalare
incidente
Registrul de
evident
ineidente
Cand este
cazul
10
Elaborarea,
actualizarea
Pentre asigurarea ei DCP sunt
| prelucrate intrun mod care asigura
Responsabil
cu protectia
Politici,
Proceduri,
Cand este
cazulNr. | Denumire Misuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de
Crt. ‘Mecanisme de securitate documentate | realizare
politicilor, securitatea adecvati a acestora, | datelorcu _| Informafii
proceduritor si | inclu protectia _impotriva | caracter documentate
informatiilor | prelucrarii neautorizate sau ilegale si personal. | conform
documentate | impotriva pierderii, a distrugerii sau a | Conducerea | Listei
deteriorarii accidentale, prin Iuarea de | institutiei. | normative
misuritehnice sau organizatorice interne,
corespunzitoare, trebuie elaborate
si/sau actualizate politici, proceduri,
registre, — informéri, _informatii
documentate, etc.
11 [Continuitatea [ 1. Capacitatea de a —asigura | Responsabil | Plan de Cand este
activititilor in| confidentialitatea, integritatea, | cu protectia | continuitate a | cazul
caz de dezastre | disponibilitatea si rezistenta continue | datelor eu | activitatii
ale sistemelor si serviciilor de | caracter
prelucrare a DCP, personal,
2. Capacitatea de a restabili | Conducerea
disponibilitatea datelor cu caracter | insttutiei,
personal si accesul la acestea in timp |
util in cazul in care are loc un incident
de natu fizica sau tehnic’.
2, Elaborarea Planului de continuitate
a activitati
12 | Evaluarea Testarea, evaluarea si aprecierea | Responsabil | Evaluarea | Cand este
eficacitiii periodice ale eficacititii masurilor | cu protectia | efica eazul
misurilor organizatorice si tehnice pentru a | datelorcu | masurilor
organizatorice | garanta securitatea prelucrdrit DCP. | caracter organizatoric
si tebnice personal. | esi tehnice
Conducerea
institutiei
Il | Masuri tehnice de asigurare a securitifi prelucririi DCP tmpotriva prelucrarii neautorizate sau
ilegale si impotriva pierderii, a distrugerii sau a deteriorarit accidentale a DCP.
Masurile tehnice au legaturd cu capacittile tehnologice pe care le presupune prelucrarea DCP-Preambul GDPR (66
71, 78,81, 88) si Art. 524,25,28,32 si 89-care previd obliga specifice pentru operatori si procesatori,privind
| proteejia DCP
1 | Separarea Sarcinile si domeniile de Politica Permanent
sarcinilor responsabilitate aflate in conflict privind
trebuie si fie separate pentru a reduce protectia
posibilitatea modificdrii neautorizste | cu protectia | datelor cu
sineintentionate sau utilizarea gresits. | DCP caracter
a resurselor institute personal cH
2 | Dispozitive ‘Asigurarea securitagii Iucralui la Conducerea | Politica de | Permanent
mobile gilucrul | distant si a utilizarii dispozitivelor | institut utilizare
Ia distant mobile. Responsabil | dispozitive
Elaborare normative interne privind | cu protectia | mobile
Iucrul la distanfa pentru a proteja DCP
informatia accesaté, prelucrata si
stocata in locatii de Iucru aflate la
distant’.
3 | Securitatea Acordurile contractuale cu angajafii gi | Conducerea | ROF,RI, | Permanent
| resurselor contractantiitrebuie sa precizeze institugiei. | Fige post,
umane responsabilitiile lor si ale institutiei_ | Compartime | Cod de
pentru securitatea informatiei ntResurse | conduits,
Conducerea institutiei trebuie s& cear& | Umane Politica
angajatilor s& aplice regulile de Responsabil_| privindNr. | Denumire Misuri organizatorice-tehnice/ | Responsabil | Informatii | Termen de
crt. ‘Mecanisme de securitate documentate | realizare
securitate a informatiet in eu protectia | protectia
conformitate cu politicile si pcp datelor cu
procedure stabilite de institutie. caracter
personal
este relevant, contractantii trebuie si Politica
primeasca educatie de constientizare privind
si instruire corespunzitoare, precum drepturile
si informari regulate in ceea ce persoanelor
priveste actualizarea politicitor si vizate
procedurilor organizationale,
relevante pentru funetia lor.
Trebuie sa existe un proces
disciplinar formal si comunicat care
si prevada masuri impotriva
angajatilor care produc o incileare a
regulilor de securitate a informatie’.
Responsabilitatile si sarcinile
referitoare la securitatea informatiei
care rman in vigoare dupa
terminarea sau schimbarea
contractului de muncd trebuie sa fie
comunicate angajatului gi
contractantului
4 | Managementul | Tdentificarea resurselor Conducerea | Politica Permanent
resurselor organizationale si definirea instituyiei. | privind
responsabilitatilor de protectie Compartime | controlul
corespunzitoare: nt accesului,
-Informatiile DCP si mijloacele de __| Contabilitate, | Registrul
procesare a informatiilor trebuie sf fie | Responsabil | resurselor
identificate gi trebuie intocmit si cu protectia | informational
menfinut actualizat un inventar al | DCP. e
acestor resurse,
-Resursele inregistrate in inventar
trebuie s& aiba proprietar
-Toti angajatii si utilizatorii de tert
parte trebuie sa restituic toate
resursele organizationale aflate in
posesia for, la terminarea contractului
de munea, a contractului sau a
acordului
-Regulile de utilizare in mod
acceptabil a informatiei si a
mijloacelor de prelucrare a
informatie’ trebuie sa fie identificate,
documentate i implementate.
5 | Clasificarea | -Informatiile trebuie sa fie clasificate | Conducerea | Procedura | Permanent
informatiei functie de cerintele legale, valoare, Clasificarea
nivel eritic si sensibilitatea Ia Responsabil | informatiei.
dezvaluire sau modificare cuprotectia_ | Nomenclator
neautorizata. pep. ul
Informatiilor
Clasificate
Accesul la
informatii
clasificate
6 | Controtul Timitarea accesului la informatii sila | Responsabil_| Politica PermanentNr. | Denumire Misuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de
Crt. “Mecanisme de securitate documentate | realizare
‘accesului mijloace de prelucrare a acestora: | cu protectia | privind
1.Acces la retea si servicii deretea~ | DCP controlul
utlizatorilor trebuie si li se furnizeze | Responsabil | accesului
doar accesul la retea siserviciide = | IT
refea pentru care au fost autorizat
mod specific sé le utilizeze.
2.Acces autorizat al utilizatorului si
prevenirea accesului neautorizat la
sisteme gi servicii, implementarea:
~ unui proces formal de inregistrare gi
anulare a inregistrarii wtlizatorului
pentru a permite atribuirea de drepturi
de acces;
~ unui proces formal de furnizare a
aecesului utilizatorului pentru
atribuirea gi revocarea drepturilor de
acces pentru toate tipurile de
utilizatori si pentru toate sistemele si
serviciile.
- atribuirea si utilizarea drepturilor de
acces privilegiat trebuie restrictionate
si controlate.
= proprictarii resurselor trebuie si
revizuiasca drepturile de acces ale
utilizatorilor la intervale regulate.
- drepturile de acces la informatie si
la mijloacele de procesare a
informatici ale tuturor angajatilor gi
ale utilizatorilor de terta parte trebuie
retrase dupi terminarea contractului
de munca a contractului sau
acordului, sau adaptate in functi
schimbare.
3. Responsabilizarea utilizatorilor in
vederea protejirii informatiei lor de
autentificare — utilizatorilor trebuie s&
se solicite s& urmeze normativele
iterne in ceea ce priveste utilizarea
informatiei secrete de autentificare.
4, Prevenirea accesului neautorizat la
sisteme si apli
= accesul la informatie gi la funetiile
sistemului de aplicatii trebuie sa fie
restrictionat in conformitate cu
prevederile politicii de control al
aecesul.
- sistemele de management al
parolelor trebuie sa fie interactive gi
sf asigure parole de calitate -
folosirea credentialelor (nume de
utilizator, parola, token etc.) de acces
la sistemele informatice.
~ accesul la codul sursa al
programelor trebuie si fie
restrictionat.
'5.Elaborarea politicii de control al
deDenumire | Milsuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de
‘Mecanisme de seeuritate documentate | realizare
pe baza obiectivelor
sia cerintelor de securitate
a informatie drape
Criptografie | Asigurarea utilizart corespunzitoare | Responsabil | Procedura | Permanent
sicficienté a criptografiei in vederea | cu protectia | privind
protejari confidentialitatii, datelor eu | aplicarea
autentiitai s/sau integritatii caracter GDPR in
informatie: personal. | activitatile
- utilizarea mijloacelor de control | Responsabil | institutiei
referitoare la criptografie pentru Ir
protectia informatiei; |
~ utilizarea, protectia gi durata de
Viati a cheilor criptografice, de-a
Jungul intregului lor ciclu de viags
Securitatea | Zone de securitate Conducerea | Politica Permanent
fied sia Prevenitea accesului fizic neautorizat, | institutiei. | privind
mediului de | prevenirea distrugerilor informatiilor | Responsabil | securitatea
Iueru sia mijloacelor de prelucrare a cu protectia | fizica
informa datelor eu.
= definirea siutilizarea perimetrelor | caracter
de securitate pentru a proteja zonele | personal.
care contin fie informatii senzitive
critice sau eritice, fie mijloace de
prelucrare a informatiilor.
= zonele de securitate trebuie protejate
prin mijloace de control al intrérii
adecvate pentru a se asigura ca
accesul este permis doar personalului
autorizat,
- aplicarea masurilor de securitate
fizicd pentru ine&peri, birouri si
echipamente.
- aplicarea masurilor de protectie
fizica impotriva dezastrelor naturale,
atacurilor malitioase sau accidentelor.
= punctele de acces, precum punctele
de livrare/inedrcare sau alte puncte,
pe unde persoanele care nu sunt
autorizate, pot intra in interior trebuie
controlate si, daca este posibil,izolate
de mijloacele de prelucrare a
informatiei pentra a se evita accesul
neautorizat.
Asigurarea accesului
clidire/birou/camere/dulapuri doar
pentru persoanele care au dreptul si
fie acolo.
Se va acorda atentie:
+ calitatiiusilor gi incuietorilor;
+ protectie sediului cu alarme sau
camere video:
+ controlului accesului in sedi si
supravegherii vizitatorilor;
‘pot aparea probleme la mutarea
fntr-un sediu nou sau la
incredintarea neprotejati a
10Nr.
Crt.
Denumire
‘Misuri organizatoriee-tehnice /
Mecanisme de securitate
‘Responsabil
Informatii
documentate
Termen de
realizare
informatiilor citre curieri sau alli
intermediari, care le prelucreaza
fara masurile necesare de securitae.
Securitatea echipamentelor
Prevenirea pierderii, avarierii, furtului
sau compromiterea echipamentelor gi
‘ntreruperea activitatilor din cadrul
institutiei:
-cchipamentele trebuie si fie
amplasate si protejate astfel incat s&
se reducd riscurile fata de
ameningitile si pericolele de mediu gi
fafi de posibilitatea de acces
neautorizat.
= echipamentele trebuie si fie
protejate impotriva penelor de curent
sau a altor intreruperi cauzate de
probleme ale utiitatilor suport
~ cablurile de alimentare cu energie
electricd si telecomunicafii purtitoare
de date sau servicii de suport pentru
informatie trebuie protejate fapé de
interceptari, interferente si avarii
- echipamentele trebuie si fie corect
intretinute pentru a se asigura
disponibilitatea continua gi
integritatea acestora.
- echipamentele, produsele software
ile nu trebuie scoase in
afara spatiului de lucru faré 0
autorizare prealabilé,
- asigurarea securitatii echipamentelor
sia resurselor situate in afara locat
~eliminarea sau reutilizarea
echipamentelor trebuie si se
efectueze in conditii de securitate.
- utilizatori trebuie si se asigure ca
echipamentele nesupravegheate au o
rotectie corespunzitoare.
= respectarea privind asigurarea
Ddiroului curat pentru hértii si medii de
stocare amovibile gi asigurarea
ecranului curat pentru mijloacele de
prelucrare a informatie.
Se va acorda atentie tinerii in
siguranté a echipamentelor IT, in
special a dispozitivelor mobile
(laptopuri, tablete si telefoane
mobile); securitatii dispozitivelor
personale folosite in activitatea
profesionala,
Responsabil
cu protectia
DCP
Responsabil
Ir
Permanent
Securitatea
operatiunilor
- Separarea mediilor de dezvoltare,
Responsabil
cu protectia
pcp
Responsabil
ir
privind
controlul
accesului,
Procedura
Permanent
uNr. | Denumire “Misuri organizatorice-tehnice / Informatii | Termen de
Crt. ‘Mecanisme de securitate documentate | realizare
‘testare gi funefionare pentru a reduce privind back-
riscurile de acces neautorizat sau de up, Politica
schimbare a mediului de functionar de
- Elaborarea procedurilor de lucra confident
aducerea la cunostinta angajatilor. ate, Politica
Protectie impotriva malwai de utilizare
~ Asigurarea ca informatiile si dispozitivelo
mijloacele de prelucrare a informatie! r mobile,
sunt protejate impotriva malware-ului Politica de
~ soft rit intentionat - un tip de utilizare
software proiectatintentionat pentru Internet gi E-
deteriorarea unui computer sau infiltrarea mail
nel, sau/si deteriorarea ori infltrarea in
fntregirefele de computere, far
consimtimantul proprietarului respectiv.
- implementarea mijloacelor de
control pentru detectie, prevenire gi
Fecuperare, impreund cu
constientizarea corespunzatoare a
utilizatorulu.
Copii de siguranti — copii de
igurana ale informatiei, software-
ului si imagini ale sistemului trebuie
realizate si testate in mod regulat.
Inregistrarea evenimentelor si
generarea dovezilor:
- jumalele de evenimente care
inregistreaza activitatile utilizatorului,
exceptiile, defectele si evenimentele
de securitate a informatici, trebuie
create, pastrate gi revizuite in mod
regulat
= mijloacele de inregistrare si
informatiile din jumale trebuie
protejate impotriva modificdrilor si
accesului neautorizat.
-activitafile administratorului de
sistem si ale operatorului de sistem
trebuie inregistrate, iar jumalele
trebuie protejate si revizuite in mod
regulat.
- ceasurile tuturor sistemelor
relevante de prelucrare a informatiei
din cadrul institutiei sau dintr-un
domeniu de securitate trebuie si fie
sincronizate in raport cu o singura
sursa de referinga temporala.
Managementul vulnerabilititilor
tehnice — obtinerea in timp util a
informatiilor despre vulnerabilititile
sistemelor informationale utilizate,
evaluarea expunerii institutie’ la
vulnerabilitati gi luarea masurilor
adecvate pentru tratarea riscului
asociat,
Restriepii la instalarea de software -
12Nr.
Crt.
‘Denumire
Misuri organizatorice-tehnice/
Mecanisme de securitate
Responsabil
Informatii
documentate
‘Termen de
realizare
Tnstalarea de software pe sisteme
operationale trebuie ficut in mod
controlat — trebuie stabilite gi
implementate reguli referitoare la
instalarea software de cite utilizatori.
Auditul sistemelor informafionale —
verificarea asupra sistemelor
‘operationale trebuie s& fie planificata
cou grija gi trebuie convenite astfel
finedt s& se reducd riscul intrerupes
proceselor si activitatilor.
10
‘Securitatea
comunicatiilor
Asigurarea protectiel informatiei in
refele si in mijloacele de prelucrare a
informatiilor de suport:
= rejelele trebuie administrate si
controlate in mod adecvat pentru
protectia informatie’ in sisteme si
aplicati.
- securitatea serviciilor de retea
trebuie inlusa in acorduri de servieii
de retea, indiferent daca aceste
servicii sunt oferite intern sau sunt
externalizate.
- grupurile de servicii de informatii,
de utilizatori gi de sisteme
informationale trebuie sa fie separate
in refele,
Transferul informat
- menfinerea securitaii informatiei
transferate in cadrul institutiei sau
catre o entitate extern’.
- acordurile intre institutie $i parti
sf abordeze transferul
- informatia implicata in mesageria
electronica trebuie protejata in mod
corespunzator.
Identificarea, documentarea si
revizuirea in mod regulat a
acordurilor de confidentialitate sau
nedezvaluite care si reflecte nevoile
stitutiei pentru protectia informatie.
implementare proceduri $i mijloace
de control formalizate.
Responsabil
‘cu protectia
Dep
Responsabil
IT
Politica
privind
protectia
datelor cu
caracter
personal,
Politica de
confident
ate, Politica
de utilizare a
dispozitivelo
r mobile,
Internet si E-
mail
Permanent |
rT
‘Achizitia,
dezvoltarea si
mentenanta
sistemelor
~ Asigurarea securitatii sistemelor
informational noi sau pentru
imbunatatirea celor existente pe
{ntregul lor ciclu de via
+ Securizarea serviciilor aplicatiilor in
refelele publice ~ protejarea de
activitati frauduloase, dispute asupra
contractelor, precum si de dezvaluirea
simodificarea frauduloas&
- Implementarea securititi
informatie’ in cadral intregului ciclu
de viata de dezvoltare a sistemelor
Responsabil
cu protectia
DcP
Responsabil
IT
Procedura
privind
conformitate
acu ceringele
legale
Permanent
1BNr. ‘Denumire ‘Masuri organizatorice-tehnice/ | Responsabil | Informatii | Termen de
Crt. Mecanisme de securitate documentate | realizare
‘informationale.
= Testarea functionalitatii de
securitate trebuie efectuati in timpul
dezvoltarii,
- Protejarea datelor de testare.
12 Securitatea ~ Abordarea securitatii in acordurile Responsabil | Procedura de | Permanent
informatiei in cu furnizor cu protectia | contractare si
relatiile cu - Acordurile cu furnizorii trebuie si pcp evaluare
furnizorii includa cerinte pentru abordarea Responsabil | persoane
riscurilor de securitate a informat IT ‘imputernicite
| asociate cu lantul de aprovizionare cu
servicii si produse de tehnologia
informatiei si comunicatiilor.
= Supravegherea si ir
serviciilor furnizorilor.
Gestionarea schimbarilor serviciilor
furnizorilor
13 | Managementul | Stabilire responsabilititi si Responsabil | Politica Permanent
incidentelor de | proceduri pentru a asigura un cu protectia | privind
securitate raspuns rapid, eficient si sistematic la | DCP management
ineidentele de securitate a informatiei. | Responsabil | ul
Raportarea evenimentelor de Ir incidentelor
securitate a informatiei observata sau de securitate,
suspectatii cat mai curdnd posibil, Procedura
precum si a slabiciunilor de securitate privind
a informatiei de citre angajati si gestionarea
contractanfi care utilizeazi sistemele incidentelor
si serviciile informationale. de securitate
Evenimentele de securitate trebuie
evaluate si trebuie sa se decida daci
pot fi clasificate drept incidente de
securitate a informatiei.
Incidentelor de securitate trebuie s& li
se rspunda in conformitate cu
normativele interne.
Invatarea din incidentele de securitate
a informatiei trebuie utilizatd pentru a
reduce plauzibilitatea sau impactul
asupra incidentelor viitoare,
Trebuie asigurata colectarea probelor.
13.1 | Masurile ‘Unele Masuri de prevenire a Responsabil Permanent
imediate luate de | incidentelor de securitate cu protectia
cei vizati, pentru | ¢Securizarea terminalelor (statii de | DCP management
detectarea si lucru, telefoane, tablete etc.) prin | Responsabil | ul
oprirea utilizarea unor solutii/tehnologii de | IT incidentelor
atacurilor, tip _ antivirus/antimalware, DLP, de securitate,
remedierea sandbox si de criptare a datelor, Procedura
bregelor, inclusiv pentru terminalele care sunt privind
notificarea proprietatea utilizatorilor (BYOD); gestionarea
utilizatorilor si | #Securizarea infrastructurii de retea incidentelor
restrictionarea prin segmentare adecvata (VLAN) si de securitate,
accesului, prin utilizarea unor solufiitehnologii Procedura
curatarea de protectie perimetrala precum cele privind
sistemelor si de tip NGFW (Next Generation solutionarea
‘impiedicarea Firewall); cererilor
réspandirit +Asigurarea unei vizibilititi adecvate persoanclor
4‘Denumire
daunelor. In
coneluzie, este
esentiala
implementarea
mfsurilor
tehnice adecvate.
monitorizare precum cele de tip
SIEM (Security Information and
Event Management),
‘Implementarea unor masuri adecvate
de securitate fizied, mai cu seam in
spatiile unde sunt procesate sau
depozitate cantititi mari de date;
*Acordarea accesului diferenfiat al
utilizatorilor 1a resurse gi la date in
baza atributiilor acestora (principiul
nevoia de a cunoaste);
sImplementarea “unei_proceduri
adeevate de backup (copii de
siguranta) care si includ’ gi
verificarea periodicd a integritatii
datelor sia procesului de restaurare;
sImplementarea unei politic de
securitate care si fie asumati si
respectati de totiutilizatoriis
‘*Utilizarea unor proceduri de raspuns
la incidentele de securitate si de
gestionare a vulnerabilitiilor;
*Dispunerea de personal adeevat
pentru securizarea infrastructurii IT
si pentru a rispunde Ja incidentele
de securitate;
‘sInstruirea _periodicd a personalului
cou privire la riscurile, ameninfarile si
vulherabilititile de —securitate,
precum si cu privire Ia masurile de
contracarare a acestora;
*Realizarea de auditurifevaluairi
periodice de —securitate a
infrastructurii IT, a personalului si a
procedutilor.
Referitor la Arhitectura sistemelor
informatice:
a. solutii de tip network intrusion!
network protection, care si protejeze
‘corespunzitor toate sistemele ce
contin datele institutiei ce sunt
accesibile din internet sau alte refele
publice;
b. soluti de limitare a atacurilor de
tip “brute-force”, prin blocarea
accesului de la surse pentru care s-au
inregistrat tentative esuate repetate de
autentificare in sistem sau aplicatie
(ex. mai mult de 5 (cinci) autentificdri
‘esuate in ultimele 5 (cinci) minute);
Alte recomandari
= descarcarea pe calculatoare doar a
programelor sigure:
- evitarea deschiderii de atagamente
Nr. Misuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de
Crt ‘Mecanisme de securitate documentate | realizare
sistemice a in cadrul infrastructurii IT prin vizate
riscurilor gi utilizarea unor solutiifehnologii de
15Nr
Crt,
Denumire
Misuri organizatorice-tehnice /
Mecanisme de securitate
‘Responsabil
Informay
documentate
Termen de
realizare
‘suspecte primite pe e-mail,
- criptarea datelor, parolarea
conturilor, incetarea de a mai folosi
acecasi parola pentru toate conturile;
- evitarea divulgarii de informatii
confidentiale la telefon sau prin e-
mail, dacd nu se poate verifica
identitatea persoanei care cere aceste
date (exist persoane care pot incerca
| sa obfina informatii in acest fel,
activitatea find cunoscuti ca
inginerie social.
= folosirea —mecanismelor de
certificare digital
4
Continuitatea
activititii
‘Asigurarea continuitatil
activititilor institutiei in caz de
dezastre:
- Implementare si intretinere procese,
proceduri si masuri de control pentru
asigurarea nivelului cerut de
continuitate a activitatilor in timpul
situatiilor potrivnice.
- Verificarea la intervale regulate a
mijloacelor de control pentru
continuitatea activ
Disponibilitatea mij
prelucrare
Mijloacele de prelucrare a
informatiilor trebuie implementae cu
o redundant suficienta pentru a
satisface cerintele de disponibilitate.
Responsabil
cu protectia
DCP
Responsabil
rT
Plan de
continuitate a
activitatii
Permanent
15
Conformitatea
cu cerintele
legale si
contractuale
~ Elaborarea si implementarea
procedurilor pentru a asigura
conformitatea cu prevederile
legislative de reglementare si
contractuale cu privire la drepturile de
proprietate intelectualA si la utilizarea
produselor software proprietare,
- fnregistrarile trebuie protejate
impotriva pierderii, distrugerii,
falsificarii, accesului neautorizat
transmiterii neautorizate a acestora in
conformitate cu cerintele legislative,
de reglementare, contractuale gi
interne ale institutiei
Protectia DCP si confidentialitatea
informatiilor personale ~ trebuie si
fie asigurate aga cum este specificat in
legislafie si reglementari, acolo unde
este cazul,
Mijloacele de control criptografice
trebuie folosite in conformitate cu
toate acordurile, legile gi
reglementarile aplicabile
~ Asigurarea c& securitatea informatiei
este implementata_in
Responsabil
cu protectia
pcp
Responsabil
IT
Procedara
privind
conformitate
acu cerine
legale
Permanent
16Nr. | Denumire Masuri organizatorice-tehnice/ | Responsabil | Informafii | Termen de
Crt. Mecanisme de securitate documentate | realizare
conformitate cu legislafia in vigoare
ji normativele interne.
16 | Supraveghere | LRespectarea prevederilor din Responsabil | Procedura | Permanent
video 1, Regulamentul (UE) 2016/679. | cu protectia_| privind
2. Legea nr. 190/2018 privind Dep supraveghere
masuri de punere in aplicare a Responsabil | a video
Regulamentului (UE) 2016/679, | montare si
Acest act normativ reglementeazé | administrare
doar supravegherea video facutaide video
angajator la locul de munca. |
3. Legea nr. 33/2003 privind paza
obieetivelor, bunurilor, valorilor si
protectia persoanelor, eu
‘modificatile si completarile ulterioare
= Instalarea camerelor de
spatiile publice sau
I, Atat in cazul spatilor publice, cat
sial celor private este obligatoriu ca
prezenfa camerelor video sa fie
semnalati.
in spatiile publice nu pot fi instalate
camere de supraveghere decat de
firmele licentiate de Politia
Romani,
Este interzisi montarea camerelor in
spafii unde ar putea atenta la
intimitatea unei persoane, precum
cabine de proba, vestiare, toalete si
altele similare.
Supravegherea video a angajatilor
Ia locul de munca: conform Legit nr:
190/2018, aceasta nu poate fi realizata
de angajaior decat daca reuseste s&
demonstreze ca este singura soluie
pentru buna functionare a afacerii
sale,
Angajatorul trebuie si demonstreze c&
alte metode mai putin intruzive prin
care si-ar fi putut atinge scopul au
esuat gi cd singurul demers ramas este
supravegherea video. El trebuie si
informeze in mod explicit angajatii
despre camerele instalate, sa se
consulte (dacd este cazul) cu
sindicatul salariatilor si s8-si
argumenteze decizia,
Un angajator are dreptul de a stoca
date cu caracter personal atat timp cat
are nevoie pentru a le prelucra, ins
aceastl perioada nu poate depisi 30
de zile, Exista, desigur, si cazuri in
care legea poate reglementa un timp
mai mare alocat stocitii i prelucrairi
datelor sau cazuri in care un angajator
{gi poate argumenta in mod temeinic
17Nr. Denumire ‘Misuri organizatorice-tehnice/ | Responsabil | Informatii | Termen de
Crt. ‘Mecanisme de securitate documentate | _realizare
nevoia unei perioade mai indelungate.
T7_| Sanetiuai pentru | Motiv pentru care se da amend:
hneimplementarea | Nerespectares oricaruia dintre cele gase principi referitoare la preluerarea datelor eu earacter personal -
Alimeat § Art. 85
organizatoarice i | Nerespectarealepalitti prelucratii pe baza uneia dint conditiledescrise la Anticolul 6 (persoana!
tehnice Vizald.a consimyit la pretuerarea sau prlucrarea este necesar pentru executarea unui contract, pent a+
4 Indeplin obligate legale,obligatie de a protejainteresele vitae, din motive de interes public sau
pentru interesele legitime ale operatorului sau alc tertilor) ~ Alineat $ Art. 85
[Nu se poate demonstra e& persoana vizata sia dat consimfaméntul la prelucrarea detelor sale eu
‘aracter personal sau nu se poate demonstra valabilitatea consimémintulu, -Alineat § Art. 85
Prelucrareacategorilor speciale de date cu caracter personal (de exemplu, date privind sindtatee)
‘tune’ eénd nu au fost ndepliniteconditille prevazate Ia articoul 9, (De exernplu, consimamantul
ital persoanet vate). Alimeat S Art. 85
[Nu sa verifcat dact consimtiméntul este dat sau autorizat de reprezentatul legal al unui copil eae are
cel putin 16 ani in ceea ce privest servicile societti informationale -Alineat 4 Art. 85
Cod Penal:
‘Art 249 ~ Frauda informatics
Introducerea, modificarea sau stergerea de date informatie, restriconarea aecesulu la eceste date ori
‘mpiedicerea in orice mod a funcjonérit unui sistem informati, in scopul de a objine un benefits
material pentru sine sau pentru atu, daca s-a eauzat 0 pagula a unei persoane, se pedepseste eu
Inchisoarea de la 2 la7 ani
“Art 362 ~ Alterarea integrti
Fapta de a modifica, serge sau deteriora date informatice ori dea restrictiona accesul la aceste date,
‘ara drept, se pedepseste eu inchisoarea de la unw la Seni
‘Art 364~Transferul neautorizat de date informatice
‘Teansferul neautorizat de date dintr-un sisem informatie sau dint-un mijloc de stocare a datelor
informatie se pedepsestecu inchisoarea de la un la Sani.
TS | Objinere ‘AML 82 din GDPR: »Orice persoand care a sufeit un prejudicio mateval seu moral ea urmare @ une
Aespigubiri incaledri a GDPR are dreptul s obving despagubiri dela operator sau de la persoana imputemicita de
‘operator pentru prejudictul suerit."
Co se ngelege prin ,prejudicii de naturk mate
discriminare;
fur sau fraud a denis
piendere financiara;
compromiterea reputajie
pierderea confidentialitaitdatelor cu caracter personal protejate prin secret profesional
inversarea neautorizatia pseudonimiziri sau le orice alt dezavanta semnificativ de naturd
‘economici sau social;
privare de drepturi gi libertats
‘Impiedicarea exercitrii controlulul asupra datelor lor eu earacter personal;