Arthrex - środki techniczne i organizacyjne (TOMs - Technical and Organizational Measures)

 

1.  Kontrola dostępu do obiektów

Termin „kontrola dostępu” odnosi się do fizycznego dostępu osób fizycznych do budynków i obiektów, w których działają i są używane systemy informatyczne wykorzystywane do przetwarzania danych. Mogą to być, na przykład, centra danych, w których działają serwery internetowe, serwery aplikacji, bazy danych, komputery mainframe i systemy pamięci masowej oraz pomieszczenia biurowe, w których pracownicy korzystają z komputerów stacjonarnych

Środki techniczne

Środki organizacyjne

•  Odpowiednie środki techniczne, (np. systemy wykrywania włamań, systemy zabezpieczeń przed wejściem pojedynczych osób oraz systemy blokujące) zapewniają ochronęstref bezpieczeństwa i punktów wejścia do tych stref. •  Wymóg ochrony budynku lub pomieszczenia jest określany w oparciu o znajdujące się w nim systemy przetwarzania danych.
•  Zdefiniowana jest grupa osób z przyznanym ogólnym upoważnieniem do wstępu, a upoważnienia do wstępu do obszarów istotnych dla bezpieczeństwa są ograniczone do przypadków bezwzględnej konieczności („zasada minimalnego upoważnienia”); odmawia się wstępu każdemu, kto nie posiada wymaganego upoważnienia.
•  Ustanowiono proces wnioskowania, zatwierdzania, wydawania, zarządzania i akceptowania zwrotu środków wstępu lub wycofywania praw wstępu (w tym zarządzania kluczami, identyfikatorami wizualnymi, transponderami, kartami chipowymi itp.) wszystkie klucze sąrejestrowane.
•  Ustanowiono proces regulujący przyjmowanie osób spoza firmy, takich jak goście i dostawcy; goście zewnętrzni są rejestrowani; jeśli istnieje potrzeba zwiększonej ochrony, osobom spoza firmy należy towarzyszyć i nadzorować je podczas wykonywania przez nie swoich prac i obowiązków.

2.  Kontrola dostępu do sprzętu

Środki mające na celu uniemożliwienie osobom nieupoważnionym dostępu do sprzętu używanego do przetwarzania danych osobowych lub korzystania z niego:

Środki techniczne

Środki organizacyjne

•  Dostęp do systemów przetwarzania danych, w których dane są przetwarzane, jest możliwy wyłącznie po identyfikacji i pomyślnym uwierzytelnieniu upoważnionej osoby (np. za pomocą nazwy użytkownika i hasła lub karty chipowej / kodu PIN), przy użyciu środków bezpieczeństwa odpowiadających aktualnemu stanowi techniki
•  Silne uwierzytelnianie jest zawsze oparte na wielu (co najmniej 2) czynnikach, takich jak coś posiadanego, coś znanego lub w oparciu o jednorazowy czynnik, który jest specyficzny dla użytkownika (zwykle procesy biometryczne); przykłady obejmują:


  • kartę chipową z certyfikatami i kodem PIN

  • hasła jednorazowe (generator OTP, SMS TAN, chip TAN) i hasło użytkownika

  • pytania zabezpieczające

  • Wszystkie pomyślne, jak i odrzucone próby dostępu są rejestrowane (identyfikator użytkownika, komputer, użyty adres IP) i archiwizowane w formularzu zgodności z audytem przez 1 rok; w celu wykrycia niewłaściwego użycia; przeprowadzane są regularne oceny poprzez drogą randomizacji.
  •  Dane uwierzytelniające (takie jak identyfikator użytkownika i hasło) nigdy nie mogą być przesyłane przez sieć bez należytego zabezpieczenia.
  •  Dostęp jest blokowany po wielokrotnych nieprawidłowych próbach uwierzytelnienia; ustanowiono odpowiedni proces do resetowania lub odblokowywania zablokowanych identyfikatorów dostępu; identyfikatory użytkownika, które nie są używane przez długi czas
  • (maksymalnie 180 dni) są automatycznie blokowane lub ustawiane jako nieaktywne.

• Grupa osób upoważnionych do dostępu do systemów IT musi być ograniczona do bezwzględnego minimum niezbędnego do wykonania określonych zadań lub odpowiedniego dla funkcji danej osoby / danych osób w ramach bieżącej organizacji działania.
•  Hasła muszą być tworzone w oparciu o właściwe minimalne zasady (np. minimalna długość i złożoność hasła); hasła muszą być zmieniane w regularnych przedziałach czasowych; hasła początkowe muszą być natychmiast zmieniane; wdrażanie wymagań dotyczących długości, złożoności i ważności haseł jest zapewnione przez ustawienia techniczne

3.  Kontrola dostępu do danych (ograniczony dostęp)

    3.1. Ograniczone prawa dostępu

Środki zapewniające, że dostęp do systemów i danych jest ograniczony do upoważnionego personelu działającego w ramach swoich uprawnień:

Środki techniczne

Środki organizacyjne

•  Osoba upoważniona do dostępu do danych musi również zidentyfikować się i uwierzytelnić w systemie przetwarzania danych na podstawie niepowtarzalnych, weryfikowalnych czynników, takich jak identyfikator i hasło.
•  Wszystkie ekrany komputerów i urządzeń są ustawione na automatyczny, chroniony hasłem tryb wygaszacza ekranu.
•  W zakresie, w jakim dane wielu stron są przechowywane w tej samej bazie danych lub przetwarzane w tym samym systemie przetwarzania danych, zapewnione są logiczne ograniczenia dostępu, które mają na celu wyłącznie przetwarzanie danych dla danej strony (obsługa wielu podmiotów - multi-tenancy).
•  Dodatkowe środki zgodne z treściami przedstawionych powyżej punktów
•  Koncepcja autoryzacji (uprawnienia użytkownika i administracji) zapewnia, że dostęp do danych w systemie jest możliwy tylko w zakresie wymaganym dla użytkownika do wykonania odpowiedniego zadania zgodnie z wewnętrznym podziałem zadań użytkownika i rozdzieleniem funkcji; zdefiniowane są zasady i procedury tworzenia, zmiany i usuwania profili autoryzacji i ról użytkowników zgodnie z zasadami ochrony danych; obowiązki są regulowane.
•  Prawa dostępu są ograniczone na kilku poziomach w oparciu o zasadę ograniczonego dostępu zgodnie z pisemną polityką praw dostępu.
•  Niezależnie od ograniczeń technicznych, pracownicy są poinstruowani, aby nie uzyskiwać dostępu do żadnych danych, które nie są wymagane do wykonywania ich zadań.
•  Hasła muszą być tworzone w oparciu o właściwe minimalne zasady (np. minimalna długość i złożoność hasła); hasła muszą być zmieniane w regularnych przedziałach czasowych; hasła początkowe muszą być natychmiast zmieniane; wdrażanie wymagań dotyczących długości, złożoności i ważności haseł jest zapewnione przez ustawienia techniczne.
•  Dane i pliki są regniszczone lub usuwane zgodnie z polityką zachowywania i usuwania danych oraz w taki sposób, aby ich odtworzenie było niemożliwe lub niemożliwe bez niewspółmiernie dużego wysiłku; niszczenie i usuwanie danych/plików jest protokołowane; takie protokoły nie zawierają danych osobowych, a jedynie odniesienia do dokumentów lub plików
•  Dodatkowe środki zgodne z treściami przedstawionych epowyżej punktów

    3.2. Kontrola nośników danych

    Środki zapobiegające nieautoryzowanemu dostępowi do nośników danych:

Środki techniczne

Środki organizacyjne

•  Dane są szyfrowane lub chronione hasłem podczas transportu, wrażliwe dane są również szyfrowane lub chronione hasłem podczas użytkowania.
•  Dodatkowe środki zgodne z treściami przedstawionych powyżejpunktów
•  Istnieją rejestry wszystkich nośników danych
•  Poza godzinami pracy nośniki danych są przechowywane w zamkniętych szafkach
• Nośniki danych są transportowane w bezpieczny sposób.
• Nośniki danych i dokumenty są usuwane zgodnie z normą DIN 66399 wewnętrznie lub przez certyfikowanego usługodawcę.
• Dodatkowe środki zgodne z treściami przedstawionych epowyżej punktów

    3.3. Kontrola zmian

    Środki zapobiegające nieautoryzowanemu dostępowi do nośników danych:

Środki techniczne

Środki organizacyjne

•  Dostęp do danych jest rejestrowany; regularnie przeglądane są przykładowe pliki dziennika
• Dodatkowe środki zgodne z treściami przedstawionych powyżejpunktów

Rejestrowane są następujące informacje:
•  zmiany haseł / praw dostępu / ról •  dostęp do zapisu z następującymi danymi szczegółowymi: użytkownik, dane, plik i oprogramowanie

• w przypadku danych wrażliwych, również dostęp do odczytu

•  Istnieje pisemna strategia dotycząca zakresu i charakteru rejestrowania oraz przechowywania i przeglądu dzienników • Dodatkowe środki zgodne z treściami przedstawionych powyżejpunktów

    3.4. Kontrola eksportu

    Środki zapobiegające nieautoryzowanemu eksportowi danych z systemów informatycznych:

Środki techniczne

Środki organizacyjne

•  Sieć wewnętrzna jest zabezpieczona poprzez wdrożenie bramek bezpieczeństwa w punktach transferu danych w sieci (np. zapora sieciowa (firewall),
ochrona antywirusowa i wykrywanie włamań do sieci (IDS - Intrusion Detection System))
•  Dane są przesyłane wyłącznie pocztą elektroniczną lub szyfrowane (VPN, SSL).
•  Poczta elektroniczna (emaile) opiera się o bezpieczne protokoły.
•  Dodatkowe środki zgodne z treściami przedstawionych powyżejpunktów
• Korzystanie z chmur lub innych narzędzi do przetwarzania danych wymaga zawarcia umowy przetwarzania i przeprowadzenia audytu podmiotu przetwarzającego.
•  Dodatkowe środki zgodne z treściami przedstawionych powyżej punktów

4.  Kontrola transmisji i transportu

Aby zapewnić, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu, lub podczas zapisywania na nośnikach danych. Podobnie, aby umożliwić ustalenie i sprawdzenie, które organy mają przekazywać dane osobowe za pomocą urządzeń do transmisji danych.

    4.1. Kontrola transmisji

    Środki zapewniające rejestrowanie odbiorców wszystkich eksportowanych danych:

Środki techniczne

Środki organizacyjne

•  Środki zgodne z treściami przedstawionych powyżejpunktów • Wszystkie prawa dostępu i transmisje danych są dokumentowane w rejestrach czynności przetwarzania.
•  Dodatkowe środki zgodne z treściami przedstawionych powyżejpunktów

    4.2. Kontrola transportu

    Środki zapewniające ochronę danych podczas transmisji i transportu:

Środki techniczne

Środki organizacyjne

•  Jeśli dane osobowe są przesyłane do systemów zewnętrznych, szyfrowanie jest absolutnie konieczne
•  Środki zgodne z treściami przedstawionych powyżejpunktów
• Środki zgodne z treściami przedstawionych powyżejpunktów

5.  Protokoły przetwarzania

Środki mające na celu zapewnienie, że wszelkie zapisy lub zmiany danych osobowych są protokołowane:

Środki techniczne

Środki organizacyjne

•  Środki zgodne z treściami przedstawionych powyżejpunktów • Środki zgodne z treściami przedstawionych powyżejpunktów

6.  Kontrola zgodności podmiotu przetwarzającego

Środki zapewniające, że podmioty przetwarzające lub dodatkowe podmioty przetwarzające przetwarzają dane wyłącznie zgodnie z instrukcjami administratora:

Środki techniczne

Środki organizacyjne

• Fizyczna lub logiczna separacja danych
• Dodatkowe środki zgodne z powyższymipunktami
•  Szkolenie pracowników, pracownicy są zobowiązani do podpisywania formalnych zobowiązań
•  Pisemna dokumentacja instrukcji
•  Wybór podmiotów zależnych (podpodmiotów) i sporządzanie (pod)umów z należytą starannością; początkowe i regularne audyty środków technicznych i organizacyjnych
•  Zewnętrzni usługodawcy muszą podlegać stałemu nadzorowi podczas pracy nad systemami informatycznymi.
•  Dodatkowe środki zgodne z powyższymipunktami

7.  Kontrola awarii

     7.1. Kontrola dostępności

     Środki zapewniające zabezpieczenie danych przed zniszczeniem lub utratą:

Środki techniczne

Środki organizacyjne

•  Wszystkie serwerownie są wyposażone w klimatyzację, czujniki dymu i gaśnice; temperatura i wilgotność są regularnie sprawdzane
•  Wszystkie serwery są wyposażone w zasilacze awaryjne (UPS - uninterruptible power supply) i są chronione przed przeładowaniem elektrycznym; wszystkie serwery są skonfigurowane tak, aby automatycznie wyłączały się w przypadku przedłużającej się przerwy w dostawie prądu.
•  Dodatkowe środki zgodne z powyższymipunktami
•  Ochrona kopii zapasowych i odzyskiwania, użytkownicy, pliki dziennika i skanowanie serwerów pod kątem wirusów są codziennie sprawdzane.
•  Regularnie sprawdzane są:

zasilacze awaryjne (UPS), blokady serwerowni

•  Wdrożono plan odzyskiwania danych po awarii i plan ciągłości działania, aby kontynuować działalność w przypadku przewidywalnego niekorzystnego zdarzenia (awaria elektryczności, pożar, zalanie wodą, itp.).
• Dodatkowe środki zgodne z powyższymipunktami

    7.2. Odzyskiwanie (przywracanie) systemu

    Środki zapewniające szybkie przywrócenie systemów po wystąpieniu zdarzenia niepożądanego:

Środki techniczne

Środki organizacyjne

•  Wszystkie dane są regularnie zapisywane na kopiach zapasowych
•  Istotne kopie zapasowe są przechowywane poza zakładem podmiotu przetwarzania danych
•  Dodatkowe środki zgodne z powyższymipunktami
•  Istnieje zapisana strategia tworzenia kopii zapasowych określająca zakres, częstotliwość i metody tworzenia kopii zapasowych, liczbę generacji, nośniki danych, transfer i przechowywanie, a także wewnętrzne obowiązki w odniesieniu do procedur tworzenia kopii zapasowych.
•  Kopie zapasowe są regularnie przeglądane.
•  Dodatkowe środki zgodne z powyższymipunktami

    7.3. Niezawodność

     Środki zapewniające prawidłowe działanie wszystkich systemów i wykrywanie błędów:

Środki techniczne

Środki organizacyjne

•  Systemy przeprowadzają automatyczne kontrole wiarygodności i integralności (np. procedury sum kontrolnych) celem wykrywania błędów
•  Systemy protokołują błędy i przeciążenia aplikacji (np. problemy ze składowaniem danych lub przerwane procesy)
•  Dodatkowe środki zgodne z powyższymipunktami
•  Przed instalacją całe oprogramowanie jest sprawdzane i zatwierdzane przez dział IT.
•  Istnieje regularny proces ręcznego przeglądu systemów, atrybutów danych i informacji o procesach, a także innych istotnych konfiguracji w celu wykrycia błędów.
•  Istnieje przyjęty regulamin, który wymaga zgłaszania wszystkich błędów systemów informatycznych lub komunikacyjnych oraz ich dokumentowania (z wyjątkiem błędów wykrywanych i poprawianych automatycznie przez systemy)
•  Zostały przyjęte zasady, zgodnie z którymi błędy mogą być poprawiane wyłącznie przez personel IT, a główne zmiany są testowane w piaskownicy (środowisku testowym) przed ich wdrożeniem.
•  Dodatkowe środki zgodne z powyższymipunktami

    7.4. Spójnośćdanych

    Środki zapewniające, że dane nie zostaną uszkodzone w wyniku nieprawidłowego działania systemu:

Środki techniczne

Środki organizacyjne

•  Kontrole spójności danych są włączone do pakietu działań i uruchamiane domyślnie w oparciu o strategię tworzenia kopii zapasowych i zestaw narzędzi
•  Testy penetracyjne i audyty bezpieczeństwa
•  Środki zgodne z treściami przedstawionych powyżejpunktów
•  Wdrożone strategie i procedury bezpieczeństwa
•  Szkolenie dla pracowników obejmujące zasady wprowadzania i przechowywania danych
•  Środki zgodne z treściami przedstawionych powyżejpunktów

8.  Kontrola separacji

Środki zapewniające wyraźne rozdzielanie danych gromadzonych do różnych celów:

Środki techniczne

Środki organizacyjne

•  Fizyczna lub logiczna separacja danych
•  Pliki firmowe są oddzielone na podstawie dedykowanej lokalizacji przechowywania, zarówno w archiwum firmowym, jak i w chmurze.
•  Lokalizacje przechowywania są widoczne i/lub dostępne tylko dla osób posiadających uprawnienia dostępu do odpowiednich danych.
•  Dodatkowe środki zgodne z powyższymipunktami
•  Wdrożone strategie i procedury bezpieczeństwa
•  Dodatkowe środki zgodne z powyższymipunktami

9. Ogólna organizacja

  1. Powołany został inspektor ds. ochrony danych z wymaganym przez prawo zakresem działania. Jedna lub więcej osób w kierownictwie lub bezpośrednio podlegających kierownictwu przyjęło odpowiedzialność za ochronę danych i zgodność z zasadami bezpieczeństwa danych. Jedna lub więcej osób w dziale IT przyjęło odpowiedzialność za wdrażanie wszystkich środków technicznych i organizacyjnych, w tym za bieżące utrzymywanie przyjętych strategii i zasad. Istnieją przejrzyste przepisy dotyczące zakresów obowiązków w dziale IT.
  2. Istnieje pisemna, udokumentowana ocena ryzyka i określenie odpowiednich środków w odniesieniu do ochrony danych (w tym, zasada prywatności w fazie projektowania [Privacy by Design]) i bezpieczeństwa danych dla wszystkich systemów i procesów.
  3. Oprócz powyższych wymagań, istnieją pisemne udokumentowane strategie i przepisy, które gwarantują, że wszelkie przypadki przetwarzania danych są zgodne z zasadami legalności, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, dokładności, ograniczenia przechowywania oraz spójności i poufności przetwarzania. Podmiot przetwarzający przestrzega wszystkich ustawowych wymogów dotyczących odpowiedzialności i/lub dokumentacji.
  4. Wszyscy pracownicy zostali poinstruowani i przeszkoleni w zakresie podstawowych wymogów ochrony i bezpieczeństwa danych oraz zobowiązali się do ich przestrzegania.
  5. Istnieją pisemne udokumentowane procedury zapewniające, że (a) osoby, których dane dotyczą, mogą wykonywać swoje ustawowe prawa w odniesieniu do swoich danych; oraz (b) incydenty lub naruszenia są niezwłocznie zgłaszane.
  6. Dział IT we współpracy z działem ochrony danych, regularnie (co najmniej raz w roku) przeprowadza pełną analizę ryzyka i bezpieczeństwa wszystkich środków technicznych i organizacyjnych oraz przedkłada kierownictwu pisemny raport. W razie potrzeby kierownictwo może zlecić dodatkowe audyty. W przypadku wykrycia niezgodności dokumentowane są również środki mające na celu ich usunięcie.