Технически и организационни мерки и политики за съхранение на данни от страна на ОТДО Консулт

A. Общо описание на системата

Данните се обработват чрез продукти на Microsoft – Word, Excel. Данните се обработват на сървър на изпълнителя и се предават посредством криптографски протокол като HTTPS, SFTP или FTPS за сигурно прехвърляне

Б. Технически и организационни мерки

Предприетите мерки се описват подробно, отбележете вярното в съответното квадратче. Ако са налице допълнителни документации, те се прилагат.

Б.1. Поверителност

Б.1.1. Контрол на достъпа

Достъпът (в смисъл на достъп до помещенията) на неоторизирани лица до съоръженията, с които се обработват и използват лични данни, следва да се забрани.

 Предприети мерки за контрол на достъпа от страната на сървъра
1.0Записват ли се физически данните на Възложителя на използваните от Вас или по Ваша възложение сървъри?
☐ да     x не
 Ако 1.0 е не: В този случай не трябва да отговаряте на въпроси1.1 до 1.29. Моля преминете директно на въпрос 1.30! Също така отпадат въпроси 7.1 до 7.20.
1.1Посочете моля точния адрес на местоположението на сървърното помещение / изчислителния център (ИЦ).
Адрес на местоположението на сървъра:               Кликнете тук, за да въведете текст.
1.2Разпределени ли са личните данни на Възложителя между няколко сървъра на различни места / изчислителни центрове (например Backup Server/ използване на облачни (Cloud) услуги)?
☐ да     ☐ не
1.3Ако 1.2 е да: Моля въведете съответните данни и за останалите сървъри. Други местоположения на сървъри:                                   Кликнете тук, за да въведете текст.
1.4Валидни ли са следващите данни за мерките за контрол на достъпа за всички използвани местоположения на сървъри / ИЦ?
☐ да     ☐ не
1.5Ако 1.4 е не: Моля отговорете на въпроси 1.6 до 1.29 и 7.1 до 7.20 за допълнителните местоположения на ИЦ- / сървъри.
1.6Сървърът / ИЦ от Вас (Изпълнител) ли се експлоатира или от доставчик на услуги / подизпълнител?
☐ Изпълнител     ☐ Доставчик на услуги
1.7Доколкото сървърът се експлоатира от подизпълнител, посочете името и седалището на доставчика на услуги
Кликнете тук, за да въведете текст.
1.8На кой етаж се намира сървърът, на който се съхраняват личните данни на Възложителя?
☐ партер     ☐ сутерен     моля въведете номера на етажа горен етаж /над партера/
1.9Сървърното помещение без прозорци ли е?
☐ да     ☐ не
1.10Ако 1.9 е не: Как са защитени прозорците от взлом?
☐ с решетка     ☐ с аларма     ☐ заключващи се     ☐ изобщо не са          ☐ Друго: моля въведете
1.11Сървърното помещение защитено ли е с алармена система с известяване при проникване (АСИ)?
☐ да     ☐ не
1.12Ако 1.11 е да: Кой бива информиран, ако се задейства АСИ? Възможни са няколко отговора едновременно!
☐ Наета охрана     ☐ Администратор     ☐ Ръководител IT                      ☐ Друго: моля въведете
1.13Снабдено ли е сървърното помещение с електронна заключваща система?
☐ да     ☐ не
1.14Ако 1.13 е да: Каква техника за достъп се използва? Възможни са няколко отговора едновременно!
☐ Радиочестотна идентификация (RFID)     ☐ ПИН-код     ☐ Биометрия     ☐ Друго: моля въведете
1.15Ако 1.13 е да: Техниките за достъп персонално ли са издадени / персонифицирани ли са?
☐ да     ☐ не
1.16Ако 1.13 е да: Съхраняват / протоколират ли се достъпите до помещението в системата за достъп?
☐ да, както успешните / положителните, така и неуспешните опити за достъп
☐ да, но само успешните / положителните достъпи
☐ не, само се освобождава или не се освобождава ключалката
1.17Ако 1.16 е да: За какъв период от време приблизително се съхраняват данните за достъпа?
моля въведете броя на дните дни
1.18Има ли механична ключалка?
☐ да    ☐ не
1.19Ако 1.18 е да: Колко ключа има за сървърното помещение и къде се съхраняват те.
Брой ключове: Брой ключове      Място на съхранение: въведете мястото на съхранение
1.20Ако 1.18 е да: Протоколира ли се предаването на ключове?
☐ да     ☐ не
1.21Ако 1.18 е да: Как се протоколира и кой предава ключовете?
☐ Книга на ключовете     Място на предаване: моля въведете мястото на предаване
1.22Колко лица имат достъп до сървърното помещение и какви функции притежават те?
Брой на лицата: моля въведете броя на лицата
Функция в предприятието: моля въведете в последователен ред функцията в предприятието
1.23Има ли видеонаблюдение на сървърното помещение?
☐ да     ☐ не
1.24Ако 1.23 е да: За какъв период от време се съхраняват видеоматериалите?
моля въведете стойност в дни дни
1.25По какъв начин е регулиран достъпът на външни лица до сървърното помещение? (например: в случай на услуги по поддръжката / електротехници / почистващ персонал).
☐ няма система от правила     ☐ достъп & престой само с придружител     ☐ Друго: моля въведете
1.26Протоколира ли се достъпът на външни лица до сървърното помещение?
☐ да     ☐ не
1.27От какъв материал е направена вратата за достъп до сървърното помещение?
☐ стомана / метал      ☐ друг материал
1.28Използва ли се сървърното помещение освен за същинските си функции и за други цели?
☐ да     ☐ не
1.29Ако 1.28 е да: Какво още се съхранява в сървърното помещение?
☐ телефонна централа     ☐ складиране на офис консумативи     ☐ складиране на досиета     ☐ архив
☐ складиране на IT оборудване     ☐ Друго: моля въведете
 Предприети мерки за контрол на достъпа от страната на клиента
1.30Моля посочете точния адрес на месторазположението на работните места (клиенти), от които има достъп до личните данни на Възложителя.
гр.София, бул. Свети наум 66А  
1.31Офис сградата изцяло ли е оградена (ограда, стени или подобни).
☐ да     х не
1.32На кой етаж се намират офисните помещения?
☐ партер     ☐ сутерен     ☐ в цялата сграда     Само на 6 горен етаж
1.33Има ли портиерска служба / непрекъснато заета приемна зона към сградата, респективно към Вашите офиси?
☐ да     х не
1.34Води ли се книга на посетителите?
☐ да     х не
1.35Сградата / офисните помещения осигурени ли са чрез алармена система с известяване при проникване?
Х да      не
1.36Ако 1.35 е да: Кой бива информиран, ако се задейства АСИ?
☐ наетата охрана     ☐ администраторът     ☐ ръководителят IT     ☐ Друго: Охранителна фирма СОТ
1.37Сградата / офис помещенията оборудвани ли са с електронна заключваща система?
☐ да, сградата и офис помещенията се заключват електронно
x да, но само сградата, не и входа към офисите / към етажа с офисите.
☐ да, но само входа към офисите / към етажа с офисите, не и общо сградата.
☐ не
1.38Ако е да 1.37: Каква техника на достъп се използва? Възможни са няколко отговора едновременно!
☐ Радиочестотна идентификация (RFID)      ПИН-код     ☐ Биометрия     Друго: домофон
1.39Ако 1.37 е да: Техниките за достъп персонално ли са издадени / персонифицирани ли са?
☐ да     x не
1.40Ако 1.37 е да: Съхраняват / протоколират ли се достъпите до помещението в системата за достъп?
☐ да, както успешните / положителните, така и неуспешните опити за достъп
☐ да, но само успешните / положителните достъпи
x не, само се освобождава или не се освобождава ключалката
1.41Ако 1.37 е да: За какъв период от време приблизително се съхраняват данните за достъпа?
365  дни
1.42Има ли механична ключалка за сградата / офис помещенията?
х да     ☐ не
1.43Протоколира ли се предаването на ключове и кой предава ключовете? ☐ не, предаването на ключове не се протоколира
x да, предаването на ключове се документира чрез формуляр / книга на ключовете.
Място на предаване на ключовете: назовете мястото на предаване: офис
1.44Има ли видеонаблюдение на офис сградата, респективно на подстъпите към нея?
☐ да, без видео записи     ☐ да, с видео записи     х не
1.45Ако 1.44 е „да, с видеозаписи“, за какъв период от време се съхраняват видео записите?
моля въведете броя на дните дни
1.46Има ли официална система от правила за достъп на външни лица (например посетители) до офис помещенията?
☐ не x да, външни лица се взимат на входа / от приемната от лице за контакт и могат да се движат в сградата само с придружител.

Б.1.2. Контрол на потребителите, достъпа, носителите на информация и запаметяващи устройства

Трябва да се предотврати неоторизираното четене, копиране, променяне или заличаване на лични данни върху носители на информация или в системи за обработване на данни и да се гарантира, че оправомощените за използване на системата за обработване на данни имат достъп само до данните, съответстващи на правомощията им за достъп.

данни.

2.1Има ли персонална парола (PW) / потребителско име / защита за достъп до системите, с които се обработват личните данни на Възложителя?
Х да     ☐ не
2.2Как се дават правата на достъп?
☐ по заявка (писмено или по електронна поща) до IT
x заявката трябва да се одобри от висшестоящия
☐ Друг начин на оправомощаване: моля въведете
2.3Има ли за администрирането на системите самостоятелен ADMIN-Account, който е различен от същинския му User-Account на Admin?
☐ да     Х не, Admin винаги използва системите като регистриран ADMIN
2.4Има ли в предприятието задължителни параметри на паролата?
☐ да     x не
2.5Какви са предписанията за паролата (PW):
Дължина на PW:
Х 8 символа или повече     ☐ По-малко от 8 символа     ☐ По-малко от 6 символа Какви видове символи трябва да се използват?
☐     Специални символи     x     Цифри     Х Главни / малки букви Срок на валидност на PW: ☐ 90 дни или по-малко     ☐ 180 дни или по-малко    x повече от 180 дни
2.6След колко цикъла най-рано даден потребител може отново да зададе същата парола (история на паролите)?
няма предписание     ☐ 1 – 2 цикъла     ☐ 3 – 5 цикъла     Х повече от 5 цикъла
2.7IT системата принуждава ли потребителя да спази посочените по-горе предписания за PW?
Х да     ☐ не
2.8Има ли настроена автоматична защитена с PW блокировка на екрана?
x да, индивидуални     ☐ не
2.9Ако 2.8 е да: След колко минути на неактивност се активира заключването на екрана?
10 минути
2.10Има ли задължителни предписания за ръчно заключване при напускане на работното място?
☐ да, компютърът трябва ръчно да се заключи     Х не
2.11Контролирате ли актуалността на правата за достъп?
Х да, периодично     ☐ не, само при конкретен повод
2.12Какви мерки предприемате при загуба / забравяне / неоторизиран достъп на/до PW?
Х Admin поставя нова PW, която потребителят трябва да промени след първа регистрация     ☐ никакви
2.13Има ли ограничение за опитите за регистрация с едно име на потребител / PW?
Х да     ☐ не
2.14Ако 2.13 е да: За колко време достъпът е блокиран, ако е достигнат максималният брой неуспешни опити за регистрация?
☐ Достъпът остава блокиран до ръчната отмяна от IT
☐ Достъпът остава блокиран за известен период от 60 минути
2.15Има ли диференцираща концепция на оправомощаване, която регулира достъпа на Вашите сътрудници до данните на Възложителя?
x да, акаунти, екип    ☐ не
2.16Как се дават на Вашите сътрудници правата на достъп до данните на Възложителя? Възможни са няколко отговора едновременно!
по заявка (писмено или по електронна поща) до IT
x заявката трябва да се одобри от висшестоящия
2.17Как се гарантира, че правата на достъп се актуализират / отнемат при промяна на отдела / функцията и / или при напускане на сътрудник? Възможни са няколко отговора едновременно!
☐ Персоналните промени се съобщават на IT отдела от отдел Персонал.
☐ Компетентните ръководители следва да съобщават на IT промените в персонала на своите отдели.
x Правата на достъп се актуализират, респективно отнемат в съответствие с вида на промените / смените.
☐ Друго: моля въведете
2.18Протоколират ли се даването / промените на права на достъп?
☐ да     Х не
2.19Съществуват ли отделни продуктивни и тестови системи в случай на нужда от техническа поддръжка на системите?
☐ да     Х не
2.20Как се отвеждат във Вашето предприятие ненужни повече носители на информация (USB стикове, твърди дискове, CD-ROMs, DVDs / дискети), върху които са записани лични данни на Възложителя?
☐ Физическо разрушаване от собствения IT.
Х Физическо разрушаване от външен доставчик на услуги.
☐ Друго: моля въведете
2.21Как се отвеждат във Вашето предприятие ненужни повече документи с лични данни на Възложителя (например разпечатки / досиета / кореспонденция)?
☐ Стара хартия / битови отпадъци
x За целта има на разположение шредери, използването на които е задължително.
☐ Поставени са затворени контейнери за носители на информация, които се отвеждат от доставчик на услуги по отвеждане на отпадъци за съответстващо на защитата на лични данни унищожаване.
☐ Друго: моля въведете
2.22Ако при точка 2.21 се използва външен доставчик на услуги: Сключили ли сте с него договор за обработка на личните данни на Възложителя?
☐ да     ☐ не
2.23Имат ли право Вашите сътрудници да използват собствени медии за съхраняване на данни (например USB стикове)?
☐ по принцип да
☐ да, но само след разрешение и проверка от IT.
х не, всички необходими медии за съхраняване на данни се предоставят от предприятието.

Б.2 Устойчивост.

 Не е релевантно = Не се отнася за конкретната услуга поради естеството на обработване на данни.

6.1Налице ли е достатъчна мащабируемост на капацитетите?
х  да     ☐ не
6.2Извършва ли се разпределение на натоварването (Load-Balancing)?
х да     ☐ не

Б.2.1 Възстановяване на устойчивостта

Трябва да се гарантира, че при аварии IT-системите могат да бъдат възстановени.

7.1Има ли във Вашето предприятие документирана концепция за аварийни случаи (например спешни мерки при дефекти на твърдите дискове / пожар / тотална загуба и др.)?
☐ да     x не
7.2Има ли във Вашето предприятие документирана концепция за архивиране (Backup)?
x да     ☐ не
7.3Тества ли се периодично функционалността на Backup-възстановяването?
x да     ☐ не
7.4Ако 7.2 е да: В състояние ли сте да представите на Възложителя при поискване Backup-концепцията?
x да     ☐ не
7.5В какъв ритъм се прави във Вашето предприятие Backup на системите, на които се съхраняват личните данни на Възложителя?
☐ архивиране в реално време     ☐ ежедневно     ☐ един до три пъти седмично
☐ Друго: на 1 месец
7.6На какви архивиращи медии се съхраняват Backups?
x втори редундантен сървър     ☐ архивиращи лентови носители     ☐ твърди дискове
☐ Друго: моля въведете
7.7Къде се съхраняват / изготвят Backups?
x вторият редундантен сървър се намира на друго място     ☐ сейф, огнеупорен, гарантиращ сигурност на документите ☐ обикновен сейф     ☐ банков трезор     ☐ заключен шкаф за документи / бюро
☐ в сървърното помещение      ☐ в частно домакинство
7.8Към 7.7: В случай на транспорт на Backups: Как се извършва той?
☐ Взимат се от сътрудник на IT / управителите / секретарката
☐ Взимат се от трети лица (например банкови сътрудници / охранителната фирма)
☐ Друго: моля въведете
7.9Криптирани ли са данните на осигурителните копия / Backups?
☐ да     x не
7.10Мястото на съхранение намира ли се в отделен от гледна точка на първичния сървър пожарен сектор / част от сградата?
x да     ☐ не

Б.3 Контрол на транспорта

Трябва да се гарантира, че при пренасяне на лични данни, както и при транспорт на носителите на информация са защитени поверителността и интегритетът на данните.

10.1Данните по електронен път ли се пренасят?
х да     ☐ не
10.2Ако 10.1 е да, как се извършва пренасянето?
☐ криптиране на транспортните протоколи
x използване на VPN-връзки
☐ друго:
10.3Данните на хартиен носител ли се пренасят?
☐ да     х не
10.4Ако 10.3 е да, как се извършва пренасянето?
☐ запечатан плик
☐ пакет с проследяване на пратката
☐ друго: моля въведете

Б.4  Периодични контроли

Трябва да се обезпечи, ефективността на мерките за гарантиране на сигурността на обработката периодично да се проверява, анализира и оценява.

Описание на мерките:

12.1Съществуват ли насоки и стандарти за периодична проверка на сигурността на обработка?
☐ да     x не
12.2Осъществяват ли се периодични проверки на сигурността /одити?
☐ да     x не
12.3Ако 12.3 е да, може ли да се предостави на Възложителя последният доклад от проверка?
☐ да     x не

Б.5. Съответстващо на указанията обработване

Б.5.1 Осигуряване на съответстващо на указанията обработване от собствените сътрудници

Трябва да се гарантира, че лицата, които имат достъп до лични данни, обработват личните данни само в съответствие с указанията на отговорните лица.

13.1Вашето предприятие назначило ли е в писмена форма квалифицирано длъжностно лице за защита на данните (ДЛЗД)?
☐ да, вътрешно ДЛЗД (сътрудник на Изпълнителя)
х да, външно ДЛЗД
☐ не
13.2Ако 13.1 е да: Посочете моля името и данните за контакт на Вашето ДЛЗД.
Име: „Омниа” ЕООД – юридическа кантора моля въведете името Телефонен номер: 0888 5815111 E-Mail-адрес: zarev@omnia-bg.com
13.3Ако 13.1 е да: Какви удостоверими квалификации притежава назначеното ДЛЗД?
☐ никакви ☐ удостоверимо участие в курс за длъжностни лица за защита на данните (например при ТЮФ, търговско-промишлена камара или подобни) x става дума за юрист
☐ става дума за информатик
☐ други квалификации: моля въведете
13.3Към т. 13.1 и 13.3: Моля представете на Възложителя за контрол документа за назначаване и удостоверението за квалификация като копие / сканирано копие.
☐ Копие на документа за назначение беше предоставен на Възложителя
☐ Копие на удостоверението за квалификация беше предоставен на Възложителя
13.4Вашите сътрудници, които обработват личните данни на Възложителя, обучават ли се по удостоверим начин по въпросите на законодателството за защита на личните данни?
x да, присъствени обучения     x да, eLearning     ☐ брошури / дипляни     ☐ не
13.5Вашите сътрудници задължават ли се писмено за опазване на тайна във връзка с данните?
x да     ☐ не
13.6Вашите сътрудници задължават ли се (доколкото е необходимо) писмено за опазване на тайна във връзка с информации от сферата на социалното право?
x да     ☐ не
13.7Вашето предприятие проверявано или сертифицирано ли е поне веднъж от надзорен орган по защита на данните?
☐ да     x не
13.8Ако 13.7 е да: В състояние ли сте да представите на Възложителя документациите за проверка/сертифициране.
☐да     ☐ не

Б.5.2 Контрол на възложени поръчки

Трябва да се гарантира, че лични данни, чието обработване е възложено, могат да се обработват единствено в съответствие с указанията на Възложителя.

14.1Използвате ли за изпълнение на задълженията Ви от договора с Възложителя и други подизпълнители?
x да     ☐ не
14.2Използваните от Вас подизпълнители представени ли са на Възложителя и одобрени ли са от него?
x да     ☐ не, до момента все още не
14.3Ако 14.2 е не: Установете моля незабавно контакт с Възложителя, за да изясните дейността и идентичността на неодобрените до момента подизпълнители.
14.4Ако 14.1 е да: По какъв начин осигурявате, Вашите подизпълнители да прилагат разпоредбите на този договор с Възложителя и засягащите ги указания и мерки за сигурност. Възможни са няколко отговора едновременно!!!
☐ В тази връзка липсва процес
☐ Техническите и организационни мерки за сигурност на подизпълнителите бяха вече проверени. Проверката е документирана. Документацията ще бъде предоставена на Възложителя.
☐ Техническите и организационни мерки за сигурност на подизпълнителите ще бъдат много скоро проверени. Проверката ще се документира. След това документацията ще бъде предоставена на Възложителя.
x С подизпълнителите се сключват договори за обработването на данни по възложена поръчка. При поискване от Възложителя те могат да бъдат предоставени.
☐ Контрол на възложените поръчки все още не е осъществяван.

В. Изтриване

В.1. Регулярно изтриване

С изтичане на срока на съхранение, респективно срока на изтриване, личните данни трябва да се изтрият в съответствие със защитата на данните, т.е. да бъдат напълно маскирани, респективно анонимизирани чрез отстраняване на идентифициращите връзки.

18.1Документирани ли са сроковете за изтриване за всяка категория данни?
☐ да     x не
18.2Как се извършва изтриването на данни?
☐ Сигурно изтриване чрез презаписване
☐ Унищожаване на носителите на информация
☐ Анонимизиране чрез пълно отстраняване на идентифициращите връзки
☐ Автоматизирани рутинни практики за изтриване
x Ръчни практики за изтриване
☐ Друго: моля въведете

В.2. Изпълнение на индивидуални искания за изтриване

Субектът на данни има право да изиска изтриването на засягащите го лични данни (индивидуално искане за изтриване).

19.1Могат ли данните на даден субект да бъдат изтрити при поискване?
x да     ☐ не

Г. Способност за даване на информация

Субектът на данни има право да поиска информация за съхранените за него данни (искане на информация). В този случай следва да се предостави копие на личните данни, които са предмет на обработване.

20.1Може ли при поискване на даден субект на данни да се предостави копие на съхранените за него данни?
x да     ☐ не