Технические и организационные меры безопасности Ferrero

1. ОБЩИЙ КОНТРОЛЬ
1.1. В компании Ferrero внедрена политика защиты личных данных, которая подтверждается документально должным образом и регулярно обновляется. 
1.2. Принятые в компании Ferrero процедуры по защите личных данных официально задокументированы, при необходимости они периодически пересматриваются и подтверждаются с помощью объективных документов (например, протоколов собраний, перечней, ИТ-журналов), которые свидетельствуют о постоянно соблюдаемых мерах безопасности и предосторожности в связи с действиями по обработке, выполняемыми с целью защиты личных данных.  
1.3. Компания Ferrero назначила как ответственное лицо за безопасность, так и специалиста по защите личных данных, в обязанности которых входят координирование и контроль правил и процедур безопасности, а также соответствия системы защиты личных данных. 

2. ПРАВА СУБЪЕКТОВ ДАННЫХ (СТАТЬЯ 15 И ДАЛЕЕ ОБЩЕГО РЕГЛАМЕНТА ПО ЗАЩИТЕ ДАННЫХ (GDPR)) 
2.1. Работники Ferrero проинформированы о правах субъектов данных и о требовании процедуры информировать заведующего данными о том, чтобы субъекты права могли воспользоваться своими правами. 
2.2. Компания Ferrero ведет общий регистр, в который вносятся данные требования, например, об использовании права доступа. 
2.3. Компания Ferrero назначила лицо / создало должность (специалиста по защите личных данных), которое обязано предоставлять заведующему данными письменные пояснения о требованиях субъектов данных. 
2.4. Компания Ferrero установила срок подачи требований заведующему данными. 
2.5. В компании Ferrero есть процедура, как письменно документировать все отказы на запросы субъектов данных, когда они хотят воспользоваться своими правами, чтобы удалить или ограничить обработку, либо переносимость данных, и как передавать такие документы заведующему данными. 

3. ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ (СТАТЬЯ 13 GDPR) (где можно применять) 
3.1. Работники Ferrero и прочие лица, которые несут ответственность за передачу политики конфиденциальности / уведомлений о защите личных данных субъектам данных и/или за получение согласия от субъектов данных, также от имени заведующего данными, обучены правилам защиты личных данных. 
3.2. Передавая субъектам данных политику конфиденциальности / уведомления о защите личных данных, работники Ferrero и прочие ответственные лица в состоянии четко проинформировать субъектов данных об их правах как письменно, так и устно. 
3.3. Компания Ferrero регистрирует источники, откуда она получает личные данные. 

4. УПОЛНОМОЧЕННЫЕ ЛИЦА (СТАТЬЯ 29 GDPR) 
4.1. Компания Ferrero официально назначила уполномоченных лиц индивидуально или в составе однородной категории. 
4.2. Все назначенные уполномоченные лица получили письменные указания о том, как обрабатывать и защищать личные данные. 
4.3. Уполномоченные лица проходят соответствующее обучение и имеют образование в сфере защиты личных данных. Обучение документируется соответствующим образом. 
4.4. Уполномоченные лица имеют соответствующие права доступа, которые обновляются. Переданные уполномоченным лицам указания обновляются. Это периодически утверждается. 

5. ОБУЧЕНИЕ 
5.1. Перед тем как приступить к обработке личных данных, новые работники проходят соответствующее обучение. 
5.2. Выполнять действия, связанные с доступом к личным данным, работникам разрешается только после того, как они будут оценены на предмет безупречности и благонадежности. 
5.3. Уполномоченные лица регулярно получают актуальную информацию по вопросам, связанным с безопасностью. 
5.4. Указания по безопасности компания Ferrero передает всем уполномоченным лицам. 
5.5. Компания Ferrero ведет документацию, подтверждающую и указывающую на прохождение обучения. 

6. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6.1. Компания Ferrero разработала совокупность критериев и политик, в которых излагаются позиция компании и ее поддержка обеспечению информационной безопасности, а также мероприятия по контролю безопасности в связи с использованием мобильных устройств и удаленным выполнением работ (например, работа на дому, удаленный доступ и виртуальные рабочие места). 
6.2. Чтобы избежать конфликта интересов и предотвратить любые неподобающие действия, компания Ferrero установила отдельные задачи и обязанности, касающиеся информационной безопасности, и поручила их отдельным лицам, чтобы не допустить конфликта интересов и неподобающих действий. 
6.3. Компания Ferrero с субподрядчиком(-ами), занимающимся(-ися) обработкой личных данных, заключила соответствующие договоры, возлагающие на него/них обязанность реализовывать подходящие технические и организационные меры безопасности в связи с защитой личных данных. 

7. БЕЗОПАСНОСТЬ ЧЕЛОВЕЧЕСКИХ РЕСУРСОВ
7.1. Перед принятием на работу работников, подрядчиков и временных работников, их поиском и отбором обсуждаются меры информационной безопасности (например, предоставляя соответствующее описание вакансии или проводя первоначальные проверки потенциальных работников), и они включаются в трудовой договор или договор о предоставлении услуг (например, в раздел рабочих правил и условий или в другие подписанные договоры, в которых установлены связанные с безопасностью задачи и обязанности, оговаривая обязанности соответствия и пр.). 

7.2. В компании Ferrero официально внедрены процедуры дисциплинарной ответственности, которые используются, если происходят инциденты в связи с информационной безопасностью, произошедшие по вине работников, подрядчиков и временных работников. 
7.3. Когда работник уходит с работы в компании Ferrero, или если в его задачах и обязанностях наблюдаются изменения, регулируются все связанные с безопасностью аспекты, например, устанавливая обязанность вернуть обратно всю связанную с предприятием информацию и оборудование компании, текущие права доступа / доверенности, а также вовлеченным лицам напоминается об их постоянных обязательствах в отношении конфиденциальности, интеллектуальной собственности, остающихся в силе положений договора и пр., в том числе в отношении ожидаемого от них поведения с соблюдением этических норм. 
7.4. Уполномоченные лица получают указания о том, как перед повторным использованием носителей данных удалить или уничтожить имеющуюся на них информацию. 

8. УПРАВЛЕНИЕ АКТИВАМИ
8.1. В компании Ferrero ведется учет информационных активов, и в нем указываются лица, которые предпринимают действия с этими активами, чтобы можно было обеспечить наглядную ответственность за безопасность данных активов. Компания Ferrero определила политику «допустимого использования» активов. 
8.2. Управление, контроль, транспортировка и уничтожение носителей информации происходят таким образом, чтобы не ставить под угрозу содержание хранимой информации. 
8.3. В компании Ferrero имеется достаточное количество должным образом размещенных безопасных контейнеров, которые доступны лицам, которые несут ответственность за личные данные (даже если только кратковременно) в любом формате (бумажном, электронном или ином). 
8.4. В компании Ferrero внедрены меры контроля, чтобы не допустить ситуации, когда без присмотра оставляются документы с личными данными особой категории, в ходе передачи документов уполномоченным лицам, и когда они изымаются с этой целью из защищенных архивов. 
8.5. Уполномоченные лица имеют свободный доступ и могут пользоваться уничтожителями бумажных документов.
8.6. Компания Ferrero внедрила соответствующую политику использования, хранения и уничтожения бумажных документов. 
8.7. Бумажные документы, которые содержат личные данные особой категории, перед повторным использованием удаляются или уничтожаются, что более желательно. 

9. КОНТРОЛЬ ДОСТУПА
9.1. Организационные требования компании Ferrero, касающиеся контроля доступа к информационным активам, четко задокументированы в политике / процедуре контроля доступа, и доступ к сети и соединениям Ferrero ограничен. 
9.2. Пользователи информируются о своей ответственности в связи с эффективным поддержанием системы контроля доступа, например, при выборе безопасного пароля и его конфиденциальном хранении. 
9.3. Согласно политике / процедуре контроля доступа Ferrero, доступ к информации ограничен, например, путем использования безопасной системы регистрации, управления паролями, контроля привилегированных пользователей и ограниченного доступа к исходным кодам. 
9.4. Компания Ferrero контролирует доступ в зоны повышенного риска. Перед тем как войти в зоны повышенного риска, лица получают разрешение на доступ в них. 
9.5. Зоны повышенного риска оборудованы электронными инструментами для контроля доступа, либо контролируются иным образом. 
9.6. Компания Ferrero регулярно проверяет журналы доступа в зоны повышенного риска, например, в серверные помещения, с целью обнаружения несанкционированного доступа. 

10. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ, БЕЗОПАСНОСТЬ СРЕДЫ
10.1. В компании Ferrero четко установлены физические периметры и барьеры, включающие в себя физические меры доступа и внутренние процедуры, чтобы защитить свои здания, офисы, помещения, места загрузки и выгрузки и пр. от несанкционированного доступа (защита от пожаров, наводнений, землетрясений, бомб и пр.). 
10.2. Компания Ferrero может подтвердить, что оборудование и/или информация не используются за пределами помещений компании без предварительного разрешения, а также, что обеспечивается их должная защита как внутри помещений, так и за их пределами. 
10.3. Имеющаяся на носителях данных информация перед уничтожением или повторным использованием данных носителей уничтожается. 
10.4. Любое оставленное без присмотра устройство имеет защиту, и для такого оборудования предусмотрено особое помещение и имеется четкая политика контроля. 

11. БЕЗОПАСНОСТЬ РАБОТЫ
11.1. В компании внедрены и реализуются меры контроля вредоносных программ. 
11.2. Согласно политике дублирования компании Ferrero, создаются и хранятся резервные копии. 
11.3. Резервные копии проверяются. Результаты документируются и регистрируются. 

12. АУТЕНТИФИКАЦИЯ И КОНТРОЛЬ
12.1. Системы учета времени синхронизуются, чтобы обеспечить согласованность времени данных контроля. 
12.2. Компания Ferrero соблюдает «принцип наименьших привилегий», выдавая пользователям уполномоченный доступ в зависимости от их рабочих заданий. 

13. УПРАВЛЕНИЕ ТЕХНИЧЕСКИМИ УЯЗВИМОСТЯМИ
13.1. Компания Ferrero может подтвердить, что она разработала процесс управления уязвимостями, чтобы идентифицировать недостатки в системе безопасности, используя надежные внешние источники для получения информации об уязвимостях и присваивая уязвимостям безопасности соответствующую классификацию риска. 
13.2. Происходит оценка компонентов системы и обновлений программного обеспечения, которые связаны с исправлением известных уязвимостей, для определения применимости; если обновления применяются, они перед инсталляцией тестируются и своевременно внедряются. 
13.3. Внедрены правила, касающиеся предпринимаемой пользователями инсталляции программного обеспечения, чтобы не допустить образование новых уязвимостей. 
13.4. Компания Ferrero создала и внедрила процесс тестирования проникновения как на уровне прикладных программ, так и на уровне инфраструктуры. 

14. БЕЗОПАСНОСТЬ КОММУНИКАЦИИ
14.1. Компания Ferrero внедрила меры защиты, чтобы контролировать внутренние и внешние границы коммуникационной инфраструктуры. 
14.2. В компании Ferrero внедрена политика, процедуры и договоры (например, соглашения о неразглашении информации, договоры об обработке личных данных) в связи с передачей / получением информации от третьих лиц, в том числе, используя электронную передачу сообщений. 
14.3. В компании Ferrero для коммуникации между информационными системами и коммуникации в сети предприятия созданы безопасные каналы (например, шифрованные протоколы для подключения к сети компании и/или удаленных VPN-соединений). 

15. ПРИОБРЕТЕНИЕ, РАЗРАБОТКА И СОДЕРЖАНИЕ СИСТЕМЫ
15.1. Компания Ferrero анализирует и устанавливает требования к контролю безопасности, в том числе к сетевым прикладным программам и сделкам. 
15.2. Правила, регулирующие разработку систем безопасности программного обеспечения, установлены с учетом внутренней политики Ferrero. 
15.3. Перед тем как перенести изменения в производство, происходит их управление, внедрение, пересмотр и утверждение (в идеальном случае путем использования предусмотренного для этого инструмента) в выделенной среде. 
15.4. На изменения в конфигурации параметров прикладных программ необходимо получить разрешение до их внедрения, и после этого они должны быть утверждены. 
15.5. Пакеты программного обеспечения не меняются, происходит соблюдение инженерно-технических принципов безопасности системы. 
15.6. Среды, в которых происходит разработка, тестирование и производство, отделены друг от друга, чтобы избежать несанкционированного доступа или изменения производственных систем и хранилищ кодов. 
15.7. Все данные тестов тщательно отбираются, генерируются и контролируются. 

16. ОТНОШЕНИЯ С ПОСТАВЩИКАМИ
16.1. Для защиты организационной информации, которая доступна поставщикам внешних ИТ-услуг и другим внешним поставщикам (независимо от того, являются ли они субобработчиками) в рамках всей цепочки поставки, компания Ferrero реализовала политику, процедуры, меры по улучшению понимания и пр. Это отображено в договорах, подписанных с данными учреждениями.  

17. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
17.1. Компания Ferrero установила обязанности и процедуры, чтобы согласованно и эффективно управлять (сообщать, оценивать, реагировать на них и учиться на их примере) мерами, инцидентами и уязвимостями информационной безопасности, в том числе нарушениями в сфере защиты личных данных, своевременно сообщая о них заведующему данными, а также, чтобы при необходимости можно было собрать соответствующие доказательства для расследования. 

18. АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОТНОШЕНИИ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ
18.1 В компании Ferrero предусмотрена непрерывность информационной безопасности, которая при внедрении, тестировании и пересмотре была оценена как неотъемлемая составная часть в системе непрерывности предпринимательской деятельности. 
18.2. Компания Ferrero обладает достаточными ресурсами для выполнения требований доступности. 

19. СООТВЕТСТВИЕ
19.1. Компания Ferrero установила и задокументировала обязанности по обеспечению информационной безопасности для учреждений (в том числе надзорных органов) и других третьих лиц, в том числе, что касается интеллектуальной собственности, записей предприятия и других записей, конфиденциальности и шифрования.

Последнее обновление: в июне 2018 года.