Sunteți pe pagina 1din 88

ANEXA Nr.

MSURI MINIME DE SECURITATE I RECOMANDRI DE MBUNTIRE A ACESTORA, PENTRU IMPACT RIDICAT


CATEGORIA: CONTROLUL ACCESULUI CLASA: TEHNIC

CA-1 POLITICILE I PROCEDURILE PENTRU CONTROLUL ACCESULUI Msura: Instituia elaboreaz, disemineaz i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial pentru controlul accesului care stabilete obiectivul, scopul, rolurile, responsabilitile, gradul de implicare al echipei manageriale, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Procedurile oficiale care s faciliteze implementarea politicii pentru controlul accesului i a msurilor asociate. ndrumri suplimentare: Aceast msur are drept scop elaborarea politicilor i procedurilor necesare punerii efective n aplicare a msurilor i mbuntirilor de securitate selectate din categoria controlul accesului. Politica i procedurile sunt n concordan cu legile naionale, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Politicile i procedurile deja existente pot conduce la dispariia necesitii de elaborare a unor politici i proceduri specifice. Politica pentru controlul accesului poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile pentru controlul accesului pot fi elaborate pentru programul de securitate n general sau pentru un anumit sistem informatic, atunci cnd este cazul. Strategia instituiei de gestionarea riscurilor de securitate este un factor determinant n dezvoltarea politicii pentru controlul accesului. CA-2 ADMINISTRAREA CONTURILOR Msura: Instituia administreaz conturile din cadrul sistemului informatic prin: a. Stabilirea tipurilor de cont (spre exemplu cont individual, de grup, de sistem, de aplicaie, de tip guest/anonymous temporar); b. Stabilirea condiiilor pentru apartenena la un grup de utilizatori; c. Stabilirea utilizatorilor autorizai ai sistemului informatic i a privilegiilor de acces ale acestora; d. Solicitarea aprobrilor corespunztoare pentru cererile de creare a conturilor; e. Crearea, activarea, modificarea, dezactivarea i tergerea conturilor; f. Autorizarea specific i monitorizarea utilizrii conturilor de tip quest/anonymous i a celor temporare; g. Notificarea administratorilor conturilor despre situaiile cnd: conturile temporare nu mai sunt necesare, utilizatorii sistemului informatic sunt reziliai sau transferai,

destinaia sistemului informatic se schimb, sau au intervenit modificri dictate de principiul nevoia de a cunoate/nevoia de a partaja; h. Dezactivarea: (i) conturilor temporare care nu mai sunt necesare; i (ii) conturilor de utilizatori reziliai sau transferai; i. Asigurarea accesului la sistemul informatic pe baza: (i) unei autorizaii de acces; (ii) destinaiei sistemului informatic; i (iii) altor atribute, n conformitate cu cerinele i specificul instituiei; i j. Revizuirea conturilor [Atribuire: cu o frecven stabilit de instituie ]. ndrumri suplimentare: Pentru stabilirea utilizatorilor autorizai ai sistemului informatic i specificarea privilegiilor de acces acordate acestora, se vor avea n vedere msurile consemnate n planul de securitate. Utilizatorii care necesit conturi cu privilegii administrative n sistemul informatic sunt supui unui control suplimentar din partea funcionarilor responsabili cu aprobarea acestor drepturi. mbuntiri ale msurii: (1) Instituia adopt mecanisme automate pentru gestionarea conturilor din sistemul informatic. (2) Sistemul informatic terge automat conturile temporare i pe cele de urgen dup [Atribuire: o perioad de timp stabilit de instituie pentru fiecare tip de cont]. (3) Sistemul informatic dezactiveaz automat conturile inactive dup [ Atribuire:o perioad de timp stabilit de ctre instituie ]. (4) Sistemul informatic auditeaz automat crearea, modificarea, dezactivarea i tergerea conturilor i notific, dup caz, persoanele responsabile cu administrarea conturilor. CA-3 IMPUNEREA POLITICII I PROCEDURILOR DE ACCES Msura: Sistemul informatic impune, pentru accesarea autorizat a sistemului, respectarea politicii i procedurilor de acces ale instituiei. ndrumri suplimentare: Politicile pentru controlul accesului (spre exemplu politicile bazate pe identitate, roluri sau atribute) i mecanismele de impunere a acestora (spre exemplu listele de control al accesului, matricele de control al accesului, criptarea) sunt implementate de instituie pentru a controla interaciunea, n cadrul sistemului informatic, dintre utilizatori (sau procese care ruleaz cu credeniale de utilizator) i obiecte (spre exemplu dispozitive, fiiere, nregistrri, procese, programe, domenii). n plus fa de impunerea politicii i procedurilor de acces autorizat la nivelul sistemului informatic, atunci cnd este necesar, sunt implementate i mecanisme de impunere a politicii i procedurilor de acces la nivelul aplicaiilor, pentru a spori securitatea informaiilor n cadrul instituiei. Pentru cazurile de urgen, sau alte evenimente importante, trebuie luat n considerare implementarea unor proceduri explicite i auditate care s permit trecerea peste mecanismele automate de filtrare a accesului. Pentru informaiile clasificate, sistemul de criptare utilizat depinde n mare msur de nivelul de clasificare al informaiilor i de certificatele de acces la informaii clasificate deinute de persoanele care au acces la informaii.

CA-4 IMPUNEREA INFORMAIONAL

POLITICII

PROCEDURILOR

AFERENTE

FLUXULUI

Msura: Sistemul informatic impune autorizaii aprobate pentru controlul fluxului informaional din cadrul sistemului i dintre sistemele interconectate, n concordan cu politica aplicabil. ndrumri suplimentare: Aceast msur stabilete modul de stocare/transmitere a informaiilor n interiorul sistemului i ntre sisteme informatice diferite (spre deosebire de msurile care stabilesc cine are dreptul de a accesa informaiile), fr a face o referire explicit la accesrile ulterioare ale informaiei. Printre exemplele de aciuni destinate controlrii fluxului informaional se numr: prevenirea transmiterii informaiei n clar folosind reeaua Internet, blocarea traficului extern care pretinde a fi din interiorul instituiei i neautorizarea cererilor de conectare la Internet care nu provin de la serverul proxy al instituiei. Politicile de control al fluxului informaional i mecanismele de impunere a acestora sunt adesea adoptate de ctre instituii pentru a realiza controlul fluxului informaional ntre sursele i destinaiile desemnate (spre exemplu reele, indivizi, dispozitive) din compunerea sistemelor informatice i ntre sistemele interconectate. Controlul fluxului se bazeaz pe caracteristicile informaiei i/sau traseul acesteia. Exemple specifice de control al fluxului informaional pot fi gsite n dispozitivele de protecie de frontiera (spre exemplu server proxy, gateway, tunel criptat, firewall, router) care utilizeaz seturi de reguli ce restricioneaz serviciile sistemului informatic, ofer o capacitate de filtrare dup informaiile din antetul pachetelor, sau capaciti de filtrare bazate pe coninut (spre exemplu folosind cutri dup cuvinte cheie sau caracteristici de document). CA-5 SEPARAREA ATRIBUIILOR Msura: Instituia: a. Separ atribuiile utilizatorilor dup cum consider necesar; b. Documenteaz separarea atribuiilor; i c. Implementeaz separarea atribuiilor prin intermediul autorizaiilor de acces la sistemul informatic. ndrumri suplimentare: Separarea atribuiilor se poate realiza astfel: (i) cerinele funcionale i serviciile de suport tehnic ale sistemului informatic sunt mprite ntre utilizatori/roluri diferite; (ii) funciile necesare pentru suportul sistemului informatic se asigur de persoane diferite (spre exemplu administrarea sistemului, programarea sistemelor, administrarea configuraiei, asigurarea calitii,testarea i securitatea reelei); (iii) personalul de securitate care administreaz controlul accesului nu administreaz i operaiunile de audit; i (iv) pentru roluri diferite se utilizeaz conturi de administrare diferite. CA-6 PRINCIPIUL CELUI MAI MIC PRIVILEGIU Msura: Instituia implementeaz conceptul de cel mai mic privilegiu, permind numai acele accesri autorizate ale utilizatorilor (i ale proceselor ce ruleaz cu creden iale de utilizator) care sunt necesare pentru ndeplinirea sarcinilor alocate, n conformitate cu specificul instituiei.

ndrumri suplimentare: Autorizrile de acces definite n aceast msur sunt implementate prin norma CA-3. Instituia utilizeaz conceptul de cel mai mic privilegiu pentru sisteme informatice i sarcini specifice (incluznd porturile, protocoalele i serviciile specifice) n conformitate cu evalurile de risc, att ct este necesar pentru a atenua n mod adecvat riscul cu privire la operaiunile i activele instituiei, utilizatorii proprii, alte instituii i utilizatori. mbuntiri ale msurii: (1) Instituia autorizeaz n mod explicit accesul la [ Atribuire: funciile de securitate (implementate n partea de hardware, software i firmware) i informaiile de securitate relevante definite de instituie ]. ndrumri suplimentare: Stabilirea conturilor de sistem, configurarea autorizaiilor de acces (permisiuni, privilegii), stabilirea evenimentelor care urmeaz s fie auditate, precum i setarea parametrilor de detectare a intruziunilor, sunt exemple de funcii de securitate. Personalul autorizat n mod explicit include, spre exemplu administratorii de securitate, administratorii de sistem i de reea, ofierii de securitate a sistemului, personalul de mentenan a sistemului, programatorii de sistem i ali utilizatori privilegiai. (2) Instituia impune ca utilizatorii sistemului informatic (sau rolurile) cu acces la [Atribuire: funciile de securitate definite de instituie i informaiile de securitate relevante] s utilizeze conturi sau roluri non-privilegiate atunci cnd acceseaz alte funcii de sistem i, dac este posibil, s auditeze orice utilizare a conturilor sau rolurilor privilegiate. ndrumri suplimentare: Aceast mbuntire a msurii are drept scop limitarea expunerii datorat operrii cu un cont sau rol privilegiat. Includerea noiunii de rol are drept scop reglementarea situaiilor n care este pus n aplicare o politic de control al accesului, cum ar fi controlul accesului bazat pe roluri. CA-7 NCERCRI NEREUITE DE AUTENTIFICARE Msura: Sistemul informatic: a. Impune o limit de [Atribuire: numr stabilit de instituie] ncercri invalide consecutive de autentificare ale unui utilizator n timp de [ Atribuire: perioad de timp stabilit de instituie]; b. n mod automat [Selecie: blocheaz contul/nodul pentru [Atribuire: o perioad de timp stabilit de instituie]; blocheaz contul/nodul pn la deblocarea acestuia de ctre un administrator; ntrzie urmtoarea ncercare de autentificare n conformitate cu [Atribuire: algoritm de ntrziere definit de instituie] ], atunci cnd este depit numrul maxim de ncercri de autentificare nereuite. Norma se aplic indiferent dac autentificarea se produce printr-o conexiune de reea sau local. ndrumri suplimentare: Din cauza riscului de apariie a unui atac de tip denial of service (DoS), blocrile automate ale conturilor, iniiate de sistemul informatic, sunt de obicei temporare i anulate n mod automat dup o perioad de timp prestabilit de ctre instituie. Dac este selectat un algoritm de ntrziere, instituia poate alege s utilizeze algoritmi diferii, pentru diferite componente ale sistemului informatic, bazai pe capacitile acestor componente. Rspunsurile la ncercrile nereuite de autentificare pot fi puse n

aplicare att la nivelul sistemului de operare ct i la nivelul aplicaiilor. Aceast msur se aplic tuturor accesrilor, altele dect cele definite explicit i documentate de ctre instituie n msura CA-11. CA-8 NOTIFICRI LA ACCESAREA SISTEMULUI Msura: Sistemul informatic: a. Afieaz un mesaj sau un banner de notificare, nainte de acordarea accesului la sistem, cu privire la regulile aprobate de utilizare a sistemului, care ofer informaii cu privire la aspectele confideniale i de securitate n conformitate cu legisla ia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare i precizeaz c: (i) utilizatorii acceseaz un sistem informatic al administraiei publice; (ii) utilizarea sistemului poate fi monitorizat, nregistrat i auditat; (iii) utilizarea neautorizat a sistemului este interzis i supus unor sanciuni penale i civile; i (iv) utilizarea sistemului implic consimmntul de monitorizare i de nregistrare; b. Afieaz pe ecran mesajul sau banner-ul de notificare pn cnd utilizatorii acioneaz n mod explicit n vederea autentificrii sau accesrii sistemului informatic; i c. Pentru sistemele informatice accesibile public: (i) afieaz informaiile legate de utilizarea sistemului, atunci cnd este cazul, nainte de acordarea accesului; (ii) afieaz referine, dac este cazul, cu privire la monitorizarea, nregistrarea, sau auditarea utilizrii sistemului, care sunt n concordan cu msurile de asigurare a intimitii pe timpul utilizrii unor astfel de sisteme care, n general, interzic aceste activiti; i (iii) include, n mesajul afiat pentru utilizatorii publici ai sistemului informatic, o descriere a modului autorizat de utilizare a sistemului. ndrumri suplimentare: Mesajele de notificare a utilizatorilor pot fi implementate sub forma unor bannere de avertizare afiate n momentul n care utilizatorii ncearc s se conecteze la sistemul informatic. Notificrile se realizeaz numai pentru sistemele informatice care ofer o interfa de autentificare i nu sunt obligatorii pentru cazurile n care autentificarea nu este necesar. CA- 9 GESTIONAREA SESIUNILOR CONCURENTE Msura: Sistemul informatic limiteaz numrul sesiunilor concurente, pentru fiecare cont din sistem, la un numr de [Atribuire: numr definit de instituie]. ndrumri suplimentare: Instituia poate stabili numrul maxim de sesiuni concurente pentru un cont al sistemului informatic n mod global, n funcie de cont i/sau n funcie de tipul contului. Aceast msur se aplic n situaia n care sesiunile concurente sunt iniiate de acelai cont de utilizator al sistemului informatic i nu se aplic n situaia n care un utilizator iniiaz sesiuni concurente folosind mai multe conturi existente n sistemul informatic. CA-10 BLOCAREA SESIUNII Msura: Sistemul informatic:

a. mpiedic accesul la sistem prin iniierea unei sesiuni de blocare dup [ Atribuire: perioad de timp definit de instituie ] de inactivitate sau la primirea unei solicitri de la utilizator; i b. Menine sesiunea blocat pn cnd utilizatorul restabilete accesul folosind procedurile de identificare i autentificare stabilite. ndrumri suplimentare: O sesiune de blocare este o aciune temporar luat atunci cnd un utilizator ntrerupe interaciunea cu sistemul informatic i se deplaseaz din imediata vecintate fizic a acestuia, ns nu dorete s nchid sesiunea prin operaiunea de logout din cauza caracterului temporar al absenei. Blocarea sesiunii este pus n aplicare la nivelul n care poate fi determinat activitatea de sesiune. Acest lucru se ntmpla de obicei la nivelul sistemului de operare, dar poate fi implementat i la nivel de aplicaie. Un sistem de blocare a sesiuni nu este un substitut pentru procesul de ieire prin log-out din sistemul informatic, spre exemplu n cazul n care instituia solicit utilizatorilor s efectueze operaiunea de log-out la sfritul zilei de lucru. CA-11 ACIUNI PERMISE N LIPSA IDENTIFICRII SAU AUTENTIFICRII Msura: Instituia: a. Stabilete aciunile specifice ale utilizatorilor care pot fi efectuate n sistemul informatic fr identificare sau autentificare; i b. Documenteaz aciunile utilizatorilor care nu necesit identificare i autentificare i ofer motivri justificative n acest sens n planul securitii sistemului informatic. ndrumri suplimentare: Aceast msur este destinat pentru acele cazuri specifice n care o instituie stabilete c nu este necesar niciun element de identificare i autentificare. Instituia poate permite un numr limitat de aciuni ale utilizatorilor fr identificare i autentificare (spre exemplu atunci cnd indivizii acceseaz site-uri web publice sau alte sisteme informatice naionale accesibile publicului, cum ar fi http://www.mapn.ro). Instituiile identific, de asemenea, orice aciuni care necesit n mod normal identificare sau autentificare, dar pot, n anumite circumstane (spre exemplu situaii de urgen), s permit ca mecanismele de autentificare sa fie ocolite. O astfel de excepie poate fi implementat, spre exemplu prin intermediul unui comutator fizic ce poate fi acionat cu un modul software care comand suprimarea funciei de autentificare i este protejat mpotriva utilizrii greite sau nemonitorizate. Aceast msur nu se aplic n situaiile n care identificarea i autentificarea au avut deja loc i nu sunt repetate, ci se aplic mai degrab la situaiile n care identificarea i/sau autentificarea nu au avut nc loc. mbuntiri ale msurii: (1) Instituia permite efectuarea unor aciuni fr identificare i autentificare numai n msura n care acest lucru este absolut necesar pentru a ndeplini obiectivele instituiei. CA-12 ACCESUL DE LA DISTAN Msura: Instituia: a. Documenteaz metodele permise de accesare a sistemului informatic de la distan;

b. Stabilete restricii de utilizare i ndrumri de implementare pentru fiecare metod permis de efectuare a accesului de la distan; c. Monitorizeaz accesul neautorizat de la distan la sistemul informatic; d. Autorizeaz accesul de la distan la sistemul informatic nainte de conectare; i e. Impune cerinele stabilite pentru conexiunile de la distan la sistemul informatic. ndrumri suplimentare: Aceast msur impune, n prealabil permiterii accesului de la distan la un sistem informatic, o autorizare explicit n acest sens, fr a specifica un format specific pentru aceast autorizare. Spre exemplu n timp ce instituia poate considera c este oportun s utilizeze un acord de interconectare a sistemelor pentru a autoriza un acces de la distan, astfel de acorduri nu sunt impuse de aceast msur. Accesul de la distan nseamn orice acces al unui utilizator (sau proces care ruleaz cu credenialele unui utilizator) la un sistem informatic al instituiei prin intermediul unei reele externe (spre exemplu Internet). Exemple de metode de acces de la distan includ accesarea prin intermediul liniilor telefonice (dial-up), conexiunilor de band larg (broadband) i conexiunilor prin unde radio (wireless). O reea virtual privat (VPN), atunci cnd este prevzut cu msuri de securitate adecvate, este considerat o reea intern (spre exemplu instituia stabilete o conexiune de reea ntre terminale controlate de aceasta ntr-o manier n care instituia nu depinde de reelele externe pentru a proteja confidenialitatea sau integritatea informaiilor transmise prin reea). Msurile de acces de la distan sunt aplicabile n cazul sistemelor informatice, altele dect serverele web publice sau sistemele special concepute pentru accesul publicului. Aplicarea restriciilor de acces asociate cu conexiunile de la distan se realizeaz prin intermediul msurii CA-3. mbuntiri ale msurii: (1) Instituia deine mecanisme automate pentru a facilita monitorizarea i controlul metodelor de acces de la distan. ndrumri suplimentare: Monitorizarea automat a sesiunilor de acces de la distan permite instituiilor s auditeze activitatea utilizatorilor pe o varietate de componente ale sistemului informatic (spre exemplu servere, staii de lucru, notebook/laptop) i pentru a asigura conformitatea cu politica de acces de la distan. (2) Instituia folosete mijloace criptografice pentru a proteja confidenialitatea i integritatea sesiunilor de acces de la distan. ndrumri suplimentare: Gradul de siguran care trebuie oferit de mecanismul de criptare este selectat pe baza nivelului de clasificare al informaiilor. (3) Sistemul informatic direcioneaz toate conexiunile de la distan printr-un numr limitat de puncte de acces gestionate de ctre instituie. (4) Instituia autorizeaz executarea de comenzi privilegiate i accesul la informaii de securitate relevante, prin intermediul accesului de la distan, numai pentru nevoile imperioase i consemneaz argumentele pentru un astfel de acces n planul de securitate pentru sistemul informatic. (5) Instituia verific periodic accesul neautorizat de la distan la sistemul informatic [Atribuire: cu o frecven stabilit de instituie ] i ia msurile necesare dac este descoperit o conexiune neautorizat. (6) Instituia se asigur c pentru sesiunile de la distan folosite pentru accesarea [Atribuire: lista cu funciile de securitate i informaiile de

securitate relevante stabilite de instituie ] sunt implementate [Atribuire: msuri de securitate suplimentare definite de instituie ] i sunt auditate. ndrumri suplimentare: Msurile de securitate suplimentare se situeaz de obicei mai sus i dincolo de standardele referitoare la criptarea la nivel de sesiune (spre exemplu Secure Shell [SSH], Virtual Private Networking [VPN] cu modul de blocare activat). (7) Instituia dezactiveaz [Atribuire: protocoalele de reea din cadrul sistemului informatic considerate de ctre instituie ca fiind nesigure ], cu excepia componentelor identificate n mod explicit ca fiind necesare pentru suportul cerinelor operaionale specifice. ndrumri suplimentare: Instituia poate face fie o determinare a securitii relative a protocolului de reea implementat fie se poate baza n luarea deciziei cu raportare la experiena altor entiti organizaionale. Bluetooth i peer-to-peer sunt exemple de protocoale de reea mai puin sigure. CA-13 ACCESUL PRIN (CONEXIUNI FR FIR) Msura: Instituia: a. Stabilete restricii de utilizare i ghidul de implementare a accesului prin intermediul undelor electromagnetice (wireless); b. Monitorizeaz accesul neautorizat la sistemul informatic prin intermediul undelor electromagnetice; c. Autorizeaz accesul prin conexiune fr fir la sistemul informatic nainte de conectare; i d. Impune cerinele pentru realizarea conexiunilor fr fir la sistemul informatic. ndrumri suplimentare: Tehnologiile de comunicaii fr fir includ, dar nu sunt limitate la, microunde, comunicaii prin satelit, unde radio (UHF / VHF), 802.11x i Bluetooth. Reelele fr fir utilizeaz protocoale de autentificare (spre exemplu EAP / TLS, PEAP), care asigur protecia credenialelor de acces i autentificarea reciproc. n anumite situaii, semnalele radio pot radia dincolo de limitele ariei fizice controlate de ctre instituie. mbuntiri ale msurii: (1) Sistemul informatic protejeaz accesul prin conexiune fr fir la sistem folosind autentificarea i criptarea. ndrumri suplimentare: Autentificarea se aplic utilizatorilor, dispozitivelor, sau ambelor, dup caz. (2) Instituia monitorizeaz conexiunile fr fir neautorizate la sistemul informatic, incluznd i scanarea n scopul detectrii punctelor de acces [Atribuire: cu o frecven stabilit de instituie ] i ia msurile necesare dac este descoperit o conexiune neautorizat. ndrumri suplimentare: Instituiile caut n mod proactiv conexiunile fr fir neautorizate, incluznd i scanarea n profunzime pentru detectarea punctelor de acces fr fir neautorizate. Scanarea nu este neaprat limitat numai la acele zone care conin sisteme informatice, aceast operaiune fiind efectuat i n afara INTERMEDIUL UNDELOR ELECTROMAGNETICE

acestor zone, dar numai att ct este necesar pentru a verifica dac exist puncte de acces fr fir neautorizate conectate la sistem. (3) Instituia nu permite utilizatorilor s configureze n mod independent capabilitile de reea fr fir. (4) Instituia limiteaz comunicaiile fr fir, pe ct posibil, la perimetrul controlat de aceasta. ndrumri suplimentare: Msurile care pot fi ntreprinse de ctre instituie pentru limitarea comunicaiilor fr fir la perimetrul controlat de aceasta includ: (i) reducerea puterii de emisie a echipamentelor de reea, astfel nct semnalul radio s nu poat depi perimetrul fizic al instituiei; (ii) adoptarea unor msuri de controlare a emisiilor reziduale, cum ar fi tehnologiile TEMPEST (iii) adoptarea unor tehnologii de comunicaii fr fir de tip punct la punct (unde radio direcionate). CA-14 GESTIONAREA ACCESULUI PENTRU DISPOZITIVELE MOBILE Msura: Instituia: a. Stabilete restricii de utilizare i ghiduri de implementare a acestora pentru dispozitivele mobile controlate de instituie; b. Autorizeaz conectarea dispozitivelor mobile innd cont de restriciile de utilizare impuse de instituie i de ghidurile de implementare ale sistemelor informatice din cadrul instituiei; c. Monitorizeaz conectarea neautorizat a dispozitivelor mobile la sistemele informatice din cadrul instituiei; d. Impune cerinele pentru conectarea dispozitivelor mobile la sistemele informatice ale instituiei; e. Dezactiveaz funcionalitile sistemului informatic care faciliteaz executarea automat de cod n dispozitivele mobile fr acceptul utilizatorilor; f. Ofer dispozitive mobile special configurate personalului care cltorete n locaii pe care instituia le consider ca avnd un anumit potenial de risc n legtur cu politicile i procedurile organizaionale; i g. Aplic [Atribuire: msuri de inspectare i prevenire definite de instituie ] asupra dispozitivelor mobile care se ntorc din locaii pe care instituia le consider ca avnd un anumit potenial de risc n legtur cu politicile i procedurile organizaionale. ndrumri suplimentare: Dispozitivele mobile includ medii de stocare portabile (spre exemplu memorii USB, discuri de stocare externe) i dispozitive portabile de calcul i de comunicaii care dispun de faciliti de stocare (spre exemplu calculatoare de tip notebook/laptop, agende personale digitale, telefoane mobile, camere digitale i dispozitive de nregistrare audio). Dispozitivele mobile controlate de instituie includ acele dispozitive pentru care instituia are autoritatea de a specifica i a implementa msuri speciale de securitate. Restriciile de utilizare i ghidurile de implementare referitoare la dispozitivele mobile includ, spre exemplu gestionarea configuraiei, identificarea i configurarea dispozitivului, implementarea programelor software de protecie obligatorii (spre exemplu antivirus, firewall), scanarea dispozitivelor pentru detectarea codului maliios, actualizarea programului antivirus, cutarea actualizrilor i pachetelor de

corecie critice, efectuarea verificrilor asupra integritii sistemului de operare principal i dezactivarea modulelor hardware care nu sunt folosite (wireless, infrarou). Exemple de funcionaliti ale sistemului informatic care faciliteaz execuia de cod maliios sunt AutoRun i AutoPlay. Politicile organizaionale pentru dispozitivele mobile utilizate de persoanele care pleac sau se ntorc din cltorii includ, spre exemplu determinarea locaiilor de interes, determinarea configurrilor necesare pentru aceste dispozitive, configurarea acestora nainte de iniierea cltoriei i aplicarea msurilor specifice dup finalizarea cltoriei. Dispozitivele mobile configurate special includ, spre exemplu calculatoare cu discuri de stocare sanitizate, aplicaii limitate i msuri de securizare suplimentare (spre exemplu activarea celor mai restrictive setri). Msurile aplicate dispozitivelor mobile la ntoarcerea din cltorie includ, spre exemplu examinarea dispozitivului pentru a identifica eventuale semne de deteriorare fizic sau de formatare/clonare a discului de stocare. mbuntiri ale msurii: (1) Instituia restricioneaz utilizarea mediilor de stocare re-scriptibile i detaabile n propriile sisteme informatice. (2) Instituia interzice utilizarea, n propriile sisteme informatice, a mediilor de stocare detaabile aflate n proprietatea persoanelor. (3) Instituia interzice utilizarea mediilor de stocare detaabile n propriile sisteme informatice, atunci cnd nu se cunosc date despre proprietarul acestora. ndrumri suplimentare: Identificarea proprietarului (spre exemplu persoan, instituie, proiect) unui mediu de stocare ajut la reducerea riscului de utilizare a acestor tehnologii, prin repartizarea responsabilitii ctre proprietar, n eventualitatea exploatrii unor vulnerabiliti cunoscute (spre exemplu inserarea de cod maliios). CA-15 UTILIZAREA SISTEMELOR INFORMATICE EXTERNE Msura: Instituia stabilete termeni i condiii n conformitate cu toate conveniile de ncredere ncheiate cu alte instituii care dein, utilizeaz i/sau ntrein sisteme informatice externe, permind persoanelor autorizate s: a. Acceseze sistemul informatic prin intermediul unor sisteme informatice externe; i b. Proceseze, stocheze i/sau s transmit informaii controlate de ctre instituie utiliznd sisteme informatice externe. ndrumri suplimentare: Sistemele informatice externe sunt sisteme informatice sau componente ale sistemelor informatice care provin din afara granielor stabilite de instituie i pentru care de obicei nu este autorizat s aplice msurile de securitate necesare i/sau s testeze eficiena acestora. Sisteme informatice externe includ, dar nu sunt limitate la acestea: (i) sisteme informatice personale (spre exemplu calculatoare, telefoane mobile, agende electronice); (ii) dispozitive de calcul i de comunicare private instalate n zone comerciale sau publice (spre exemplu hoteluri, aeroporturi, spaii de ntrunire); (iii) sisteme informatice deinute sau controlate de entiti neguvernamentale; i (iv) sisteme informatice naionale care nu sunt deinute, utilizate, sau direct supravegheate de ctre instituie. Pentru unele sisteme informatice externe, n particular acelea utilizate de ctre alte instituii centrale, inclusiv acele instituii subordonate acestora, relaiile de ncredere

care au fost stabilite ntre acestea i instituie pot fi de asemenea natur nct nu sunt necesare termeni i condiii explicite. n consecin, sistemele informatice ale acestor instituii nu vor fi considerate externe. Aceste situaii apar de obicei atunci cnd, spre exemplu exist unele convenii de ncredere sau partajare (fie implicite sau explicite) stabilite ntre instituiile centrale i/sau instituiile subordonate acestora, sau aceste convenii sunt specificate de legile, hotrrile sau reglementrile aplicabile n vigoare. Persoanele autorizate includ personalul instituiei, contractorii sau orice alte persoane cu acces autorizat la sistemul informatic al instituiei i asupra crora are dreptul de a impune reguli de acces i comportament cu privire la accesarea sistemului informatic. Restriciile impuse de ctre instituie persoanelor autorizate trebuie s fie uniforme, ns este posibil ca acestea s difere n funcie de conveniile de ncredere stabilite ntre entiti. Astfel, o instituie poate impune restricii de securitate mai stringente unui contractor dect unui instituii centrale sau locale. Aceste msuri nu se aplic n cazul utilizrii sistemelor informatice externe prin care se acceseaz interfeele publice ctre sistemele informatice i informaiile instituiei (spre exemplu persoanele care acceseaz informaii publice prin intermediul site-ului http://www.romania.gov.ro). Instituia stabilete termeni i condiii pentru utilizarea sistemelor informatice externe n concordan cu procedurile i politicile de securitate ale instituiei. Termenii i condiiile reglementeaz cel puin: (i) tipurile de aplicaii din cadrul sistemului informatic al instituiei care pot fi accesate prin intermediul unui sistem informatic extern; i (ii) nivelul maxim de clasificare al informaiilor care pot fi procesate, stocate i transmise prin intermediul unui sistem informatic extern. Aceast msur definete autorizaiile de acces impuse de CA-3, msurile de comportament impuse de PL-4 i regulile de stabilire a unei sesiuni impuse de CA-12. mbuntiri ale msurii: (1) Instituia permite persoanelor autorizate s utilizeze un sistem informatic extern n scopul accesrii sistemului informatic sau s proceseze, stocheze sau s transmit informaii controlate de instituie numai atunci cnd: (a) Poate verifica implementarea msurilor de securitate n sistemele informatice externe, aa cum sunt specificate n politicile de securitate ale instituiei; sau (b) A aprobat conectarea sistemului informatic sau ncheiat convenii cu entitatea organizaional care gzduiete sistemul informatic extern. (2) Instituia limiteaz utilizarea de ctre persoane autorizate a mediilor de stocare portabile controlate de instituie n sistemele informatice externe. ndrumri suplimentare: limitarea utilizrii mediilor de stocare portabile controlate de instituie n sistemele informatice externe poate include, spre exemplu interzicerea total a utilizrii unor astfel de dispozitive sau restricii asupra modului i condiiilor de folosire a acestor dispozitive. CA-16 INFORMAIA ACCESIBIL N MOD PUBLIC Msura: Instituia: a. Desemneaz persoanele autorizate s publice informaii prin intermediul unui sistem informatic ce urmeaz a fi accesat n mod public;

b. Instruiete persoane autorizate pentru a se asigura c informaiile accesibile publicului nu conin i informaii confideniale; c. Verific dac informaiile ce urmeaz a fi publicate n sistemul informatic nu conin date confideniale. d. Verific periodic dac sistemul informatic accesibil n mod public conine date confideniale. [Atribuire: frecven este stabilit de ctre institu ie ]; i e. Elimin informaia cu caracter confidenial din sistemul informatic accesibil n mod public, n cazul identificrii unei astfel de situaii. ndrumri suplimentare: Informaiile clasificate sunt acele informaii definite prin Legea nr. 182 din 2002. Aceast msur de securitate se refer la informaiile publicate pe un sistem informatic al instituiei, accesibil n mod public fr identificare i autorizare.

CATEGORIA: STABILIREA COMPETENELOR I INSTRUIREA PERSONALULUI

CLASA: OPERAIONAL

CI-1 POLITICA I PROCEDURILE DE PREGTIRE I CONTIENTIZARE A RISCURILOR DE SECURITATE Msura: Instituia elaboreaz, disemineaz i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. Politica de pregtire i contientizare a riscurilor de securitate, n care se definesc domeniul de aplicare, scopul, rolurile, responsabilitile, implicarea managerial, coordonarea ntre structurile instituiei i aspectele de conformitate; i b. Procedurile de implementare a politicii de pregtire i contientizare a riscurilor de securitate i a msurilor de securitate asociate acestora. ndrumri suplimentare: Aceast msur are drept scop generarea politicilor i procedurilor necesare pentru implementarea efectiv a msurilor de securitate selectate i mbuntirea acestora. Politica i procedurile sunt n concordan cu legile, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Politica de pregtire i contientizare a riscurilor de securitate poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitate a informaiilor. Contientizarea riscurilor de securitate i procedurile de instruire pot fi elaborate att n cadrul programului de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului la nivelul instituiei este un element esenial n dezvoltarea politicii de pregtire i contientizare a riscurilor de securitate. CI-2 CONTIENTIZAREA RISCURILOR DE SECURITATE

Msura: Instituia pune la dispoziia tuturor utilizatorilor sistemului informatic (incluznd persoanele din conducere i colaboratorii) un program de pregtire de baz pentru contientizarea riscurilor de securitate, ca parte integrant a programului iniial de pregtire al utilizatorilor noi, cnd se impune ca urmare a schimbrilor survenite n sistemul informatic sau de cte ori este nevoie[ Atribuire: cu o frecven stabilit de instituie]. ndrumri suplimentare: Instituia stabilete coninutul programului de pregtire cu privire la contientizarea riscurilor de securitate n funcie de nevoile specifice ale instituiei i sistemele informatice la care au acces utilizatorii. Coninutul vizeaz o nelegere de general a necesitii pentru asigurarea securitii informaiei, aciunile ce trebuie ntreprinse de utilizatori pentru meninerea strii de securitate i rspunsul acestora la apariia unor suspiciuni cu privire la producerea unor incidente de securitate. De asemenea, coninutul programului de pregtire vizeaz contientizarea nevoii de asigurare a securitii operaiunilor, n concordan cu politica general de securitate. Modul de contientizare a riscurilor de securitate poate include, spre exemplu postarea de afie, distribuirea de rechizite inscripionate cu memento-uri de securitate, generarea de mesaje email care s conin sfaturi/informri din partea conductorilor instituiei, afiarea de mesaje pe ecran n momentul autentificrii i organizarea de evenimente dedicate riscurilor de securitate.

CI-3

PREGTIREA DE SECURITATE

Msura: Instituia asigur un program de pregtire de securitate organizate pe mai multe niveluri: (i) nainte de acordarea accesului la sistemul informatic sau pentru executarea sarcinilor de serviciu; (ii) cnd se impune datorit schimbrilor aprute n sistemul informatic; i (iii) periodic. [Atribuire: cu o frecven stabilit de instituie ]. ndrumri suplimentare: Instituia stabilete coninutul programului de pregtire de securitate, n funcie de rolurile i responsabilitile atribuite i de cerinele specifice ale instituiei cu privire la sistemul informatic la care personalul are acces autorizat. n plus, instituia asigur un program adecvat de pregtire tehnic a administratorilor sistemului informatic, administratorilor de reea i de sistem, personalului responsabil cu executarea de activiti de validare i verificare, evaluatorilor de securitate i a altor persoane care au acces la aplicaiile de sistem n vederea ndeplinirii sarcinilor de serviciu. Pregtirea de securitate se adreseaz personalului de conducere, operatorilor sistemului, precum i personalului tehnic i conine msuri/ contramsuri de protecie fizic, tehnic i a personalului. Instituia asigur programele de pregtire necesare personalului pentru ndeplinirea responsabilitilor cu privire la securitatea operaiunilor, n cadrul programului general de securitate al instituiei. CI-4 REZULTATELE PREGTIRII DE SECURITATE

Msura: Instituia: a. Documenteaz i monitorizeaz activitile individuale de pregtire cu privire la securitatea sistemului informatic, incluznd pregtirea de baz pentru contientizarea riscurilor de securitate i pregtirea specific unor sisteme informatice; i b. Pstreaz rezultatele pregtirii de securitate ale personalului. [ Atribuire: perioad de timp definit de instituie]. ndrumri suplimentare: Cu toate c o instituie poate aprecia c programele de instruire individual obligatorii la nivel organizaional i dezvoltarea planurile de pregtire individual sunt necesare, aceast msur nu este obligatorie. Documentaia pregtirii de specialitate poate fi realizat de ctre supervizori, n funcie de nevoile instituiei.

CATEGORIA: AUDITUL I RSPUNDEREA AR-1 POLITICILE I PROCEDURILE DE AUDIT I RSPUNDERE

CLASA: TEHNIC

Msura: Instituia dezvolt, disemineaz i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de audit i rspundere prin care se stabilesc scopul, domeniul, rolurile, responsabilitile, angajamentul managementului, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Proceduri oficiale care s faciliteze implementarea politicii de audit i rspundere i a msurilor asociate auditului i responsabilitii. ndrumri suplimentare: Aceast msur are drept scop generarea politicilor i procedurilor necesare implementrii efective a msurilor de securitate selectate i ntririi acestora. Politicile i procedurile sunt n concordan cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de audit i rspundere poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de audit i rspundere pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului a instituiei este un factor determinant n dezvoltarea politicii de audit i rspundere. AR-2 EVENIMENTE AUDITABILE Msura: Instituia: a. Determin, pe baza evalurii de risc i a nevoilor instituiei, faptul c sistemul informatic trebuie s fie capabil s auditeze urmtoarele evenimente: [Atribuire: lista evenimentelor auditabile stabilit de instituie]. b. Coordoneaz funcia de audit de securitate mpreun cu alte entiti organizaionale pentru mbuntirea suportului mutual i adoptarea ghidului de selecie a evenimentelor ce pot fi auditate; c. Furnizeaz un raionament n baza cruia evenimentele auditate sunt adecvate pentru suportul investigaiilor asupra incidentelor de securitate deja produse; i d. Determin, pe baza informaiilor despre ameninrile prezente i a evalurii continue a riscurilor, faptul c urmtoarele evenimente necesit a fi auditate n sistemul informatic: [Atribuire: subsetul de evenimente auditabile stabilit de instituie, definite n AR-2, care vor fi auditate cu o anumit cu o frecven stabilit pentru fiecare eveniment identificat ]. ndrumri suplimentare: Scopul acestei msuri este acela de a ajuta instituia s identifice evenimentele importante i relevante pentru securitatea sistemului informatic care trebuie auditate; rezultnd astfel o cerin general a sistemului de a ndeplini nevoile de audit specifice i a celor n curs de desfurare. Pentru a echilibra nevoile de audit cu alte nevoi ale sistemului informatic, aceast msur necesit, de asemenea, identificarea acelui subset de evenimente care trebuie auditate la un moment dat. Spre exemplu instituia poate ajunge la concluzia c sistemul informatic trebuie s dispun de capacitatea de a nregistra fiecare ncercare reuit sau nereuit de accesare a fiierelor, dar s nu

activeze aceast capabilitate dect n cazul unor circumstane speciale datorit impactului extrem asupra performanelor sistemului. n plus, nregistrrile de audit pot fi generate pe diferite nivele de abstractizare, incluznd informaia de la nivel de circulaie a pachetelor de date care traverseaz reeaua. Selectarea nivelului optim de abstractizare pentru generarea nregistrrilor de audit este un aspect critic pentru capacitatea de auditare i poate facilita identificarea cauzelor primare care genereaz problemele. mbuntiri ale msurii: (1) Instituia revizuiete i actualizeaz lista evenimentelor auditabile [ Atribuire: cu o frecven stabilit de instituie ]. ndrumri suplimentare: Lista evenimentelor auditabile este definit n norma AR-2. (2) Instituia include i executarea aciunilor privilegiate n lista evenimentelor ce vor fi auditate de ctre sistemul informatic. AR-3 CONINUTUL NREGISTRRILOR DE AUDIT Msura: Sistemul informatic produce nregistrri de audit care conin cel puin informaii suficiente pentru stabilirea tipului de eveniment aprut, cnd a aprut (data i ora), unde a aprut, sursa evenimentului, urmarea (succes sau eec) i identitatea oricrui utilizator/obiect asociat evenimentului. ndrumri suplimentare: Exemple de nregistrri de audit necesare pentru satisfacerea cerinei acestei msuri includ: timbre de timp, adrese surs i destinaie, identificatoare de utilizator/proces, descrieri ale evenimentului, indicaii cu privire la succes sau eec, nume de fiiere implicate i regulile de control al accesului i control al fluxului. mbuntiri ale msurii: (1) n nregistrrile de audit, sistemul informatic include [ Atribuire: informaii adiionale, mai detaliate specificate de instituie ] pentru auditarea evenimentelor dup tip, locaie, sau subiect. ndrumri suplimentare: Un exemplu de informaie detaliat pe care o instituie o poate solicita n nregistrrile de audit este nregistrarea complet de tip text a comenzilor privilegiate sau identitile utilizatorilor ce fac parte dintr-un grup. (2) Instituia administreaz centralizat coninutul nregistrrilor de securitate generate de [Atribuire: componente ale sistemului informatic definite de instituie]. AR-4 CAPACITATEA DE STOCARE DEDICAT AUDITULUI Msura: Instituia aloc o capacitate de stocare pentru nregistrrile de audit i configureaz setrile de audit astfel nct s reduc probabilitatea ca aceast capacitate s fie insuficient sau depit. ndrumri suplimentare: Instituia va lua n considerare cerinele de procesare i tipul de audit care va fi implementat n momentul alocrii capacitii de stocare a nregistrrilor de audit. AR-5 RSPUNSUL LA ERORILE DE PROCESARE N SISTEMUL DE AUDIT

Msura: Sistemul informatic: a. Alerteaz oficialii desemnai din cadrul instituiei n eventualitatea apariiei unor erori de procesare n sistemul de audit; i b. Execut urmtoarele aciuni suplimentare: [ Atribuire: aciunile ce trebuiesc executate, definite de instituie (spre exemplu oprirea sistemului informatic, suprascrierea nregistrrilor de audit mai vechi, ntreruperea generrii de nregistrri de audit)]. ndrumri suplimentare: Erorile de procesare n sistemul de audit includ, spre exemplu erori de software/hardware, erori n mecanismele de captare ale sistemului de audit, atingerea sau depirea capacitii de stocare alocat nregistrrilor de audit. mbuntiri ale msurii: (1) Sistemul informatic furnizeaz un avertisment atunci cnd capacitatea de stocare a nregistrrilor de audit atinge [ Atribuire: procent stabilit de instituie] din capacitatea de stocare maxim alocat. (2) Sistemul informatic furnizeaz alerte n timp real atunci cnd apar urmtoarele evenimente de eroare n sistemul de audit: [ Atribuire: evenimentele de eroare n sistemul de audit, definite de instituie, care necesit furnizarea de alerte n timp real]. AR-6 REVIZUIREA, ANALIZA I RAPORTAREA N SISTEMUL DE AUDIT Msura: Instituia: a. Revizuiete i analizeaz nregistrrile sistemului de audit [ Atribuire : frecven definit de instituie] pentru detectarea activitilor inadecvate sau neuzuale i raporteaz rezultatele oficialilor desemnai din cadrul instituiei; i b. Ajusteaz nivelul revizuirii, analizrii i raportrii din sistemul informatic atunci cnd intervine o schimbare a riscurilor referitoare la operaiunile i bunurile instituiei, la alte persoane i instituii, sau riscurilor existente la nivel naional, pe baza informaiilor obinute prin aplicarea legilor. mbuntiri ale msurii: (1) Sistemul informatic integreaz revizuirea, analiza si procesul de raportare din sistemul de audit n scopul sprijinirii procesului de investigare i rspuns la activitile suspecte.

AR-7 FILTRAREA NREGISTRRILOR DE AUDIT I GENERAREA DE RAPOARTE Msura: Sistemul de audit pune la dispoziie o capacitate de filtrare a nregistrrilor de audit i de generare de rapoarte. ndrumri suplimentare: Capacitatea de filtrare a nregistrrilor de audit i de generare de rapoarte ofer suport pentru revizuire, analiz i raportare n timp real, descrise n AR-6, i pentru investigarea incidentelor de securitate ulterior producerii acestora. mbuntiri ale msurii:

(1) Sistemul informatic pune la dispoziie capacitatea de procesare automat a nregistrrilor de audit pentru evenimentele de interes, pe baza unor criterii selectabile. AR-8 ETICHETELE DE TIMP Msura: Sistemul informatic utilizeaz sisteme interne de ceas pentru generarea etichetelor de timp care sunt asociate nregistrrilor de audit. ndrumri suplimentare: Etichetele de timp generate de sistemul informatic includ att ora ct i data. mbuntiri ale msurii: (1) Sistemul informatic sincronizeaz ceasul intern [ Atribuire: cu o frecven stabilit de instituie] cu [Atribuire: surs de timp autorizat de instituie ]. AR-9 PROTECIA INFORMAIILOR DE AUDIT Msura: Sistemul informatic protejeaz informaia de audit i instrumentele de audit mpotriva accesului, modificrilor i tergerilor neautorizate. ndrumri suplimentare: Informaia de audit include toate informaiile (spre exemplu nregistrri de audit, setri de audit i rapoarte de audit) necesare auditrii cu succes a activitilor din sistemul informatic. AR-10 NON-REPUDIEREA Msura: Sistemul informatic se protejeaz mpotriva persoanelor care afirm n mod fals c nu au ntreprins o anumit aciune. ndrumri suplimentare: Exemple particulare de aciuni ntreprinse de persoane includ crearea de informaii, trimiterea de mesaje, aprobarea unor documente (spre exemplu semnnd un contract) i recepionarea de mesaje. Non-repudierea protejeaz mpotriva susinerii ulterioare de ctre un autor c nu a transmis un mesaj, nu a recepionat un mesaj sau nu a semnat un document. Serviciile de non-repudiere pot fi utilizate pentru a determina dac o informaie este provenit de la o persoan, sau dac o persoan a ntreprins aciuni specifice (de exemplu, trimiterea unui mesaj, semnarea unui contract, aprobarea unei cereri de achiziie) sau a recepionat o informaie specific. Serviciile de non-repudiere sunt obinute prin implementarea unor tehnici i mecanisme diverse (spre exemplu semnturi digitale, confirmri de primire digitale). AR-11 PSTRAREA NREGISTRRILOR DE AUDIT Msura: Instituia pstreaz nregistrrile de audit [ Atribuire: perioad de timp stabilit de instituie n conformitate cu politica de stocare a nregistrrilor de audit ] pentru a oferi sprijin n investigarea ulterioar a incidentelor de securitate i pentru a ndeplini cerinele de pstrare a informaiilor impuse de instituie i de cerinele legale. ndrumri suplimentare: Instituia reine nregistrrile de audit pn cnd se stabilete c acestea nu mai sunt necesare n scopuri administrative, legale, de auditare, sau altele. Acest fapt implic, spre exemplu asigurarea pstrrii i disponibilitii nregistrrilor pentru

sprijinirea diferitelor operaiuni de aplicare a legii i conform precizrilor din actele normative aplicabile n vigoare. Clasificrile standard ale nregistrrilor de audit, relative la asemenea tipuri de aciuni i procese standard de rspuns, sunt elaborate i diseminate. AR-12 GENERAREA NREGISTRRILOR DE AUDIT Msura: Sistemul informatic: a. Asigur capacitatea de generare a nregistrrilor de audit n conformitate cu lista evenimentelor auditabile, stabilit n AR-2, la nivelul [ Atribuire: componentele sistemului informatic definite de instituie]; b. Permite personalului desemnat de instituie s selecteze care evenimente vor fi auditate pentru fiecare component specific a sistemului; i c. Genereaz nregistrri de audit pentru lista evenimentelor auditate definite n AR-2 i cu coninutul definit n AR-3. ndrumri suplimentare: nregistrrile de audit pot fi generate de diverse componente ale sistemului informatic. Lista evenimentelor auditate reprezint un set de evenimente pentru care sunt generate nregistrri de audit. Acest set de evenimente este, n mod obinuit, un subset a listei cu toate evenimentele pentru care sistemul este capabil s genereze nregistrri de audit (evenimente auditabile). mbuntiri ale msurii: (1) Sistemul informatic compileaz nregistrrile de audit provenite de la [Atribuire: componentele sistemului informatic stabilite de instituie ] printr-o trasabilitate a procesului de audit la nivel de sistem care este corelat n timp [Atribuire: nivelul de toleran pentru relaia dintre etichetele de timp asociate nregistrrilor individuale din traseul de audit ]. ndrumri suplimentare: Traseul de audit este corelat n timp dac eticheta de timp dintr-o nregistrare de audit individual poate fi comparat, n mod fiabil, cu etichetele de timp din celelalte nregistrri pentru a realiza o ordonare cronologic a nregistrrilor n limita de toleran impus de instituie.

CATEGORIA:CERTIFICAREA, ACREDITAREA I EVALUAREA DE SECURITATE

CLASA: ADMINISTRATIV

CE-1 EVALUAREA SECURITII I POLITICILE I PROCEDURILE DE AUTORIZARE Msura: Instituia dezvolt, disemineaz, i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. Evaluarea oficial a securitii i a politicilor de autorizare care se refer la domeniul, scopul, rolurile, responsabilitile, angajamentul managementului, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Procedurile oficiale care s faciliteze implementarea procesului de evaluare de securitate, a politicilor de autorizare, a evalurilor de securitate asociate i a msurilor de autorizare. ndrumri suplimentare:Aceast msur este destinat pentru a realiza politica i procedurile necesare pentru implementarea efectiv a msurilor de securitate selectate i a mbuntirilor acestora n evaluarea de securitate i autorizare. Politica i procedurile sunt n concordan cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii elaborrii unor politici i proceduri specifice. Politicile de evaluare/autorizare a securitii pot fi incluse ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de evaluare/autorizare a securitii pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului a instituiei este un factor determinant n dezvoltarea politicii de pregtire i contientizare a riscurilor de securitate. CE-2 EVALURILE DE SECURITATE Msura: Instituia: a. Dezvolt un plan de evaluare a securitii care s descrie scopul evalurii, incluznd: - Msurile de securitate i mbuntirile acestora aflate n proces de evaluare; - Procedurile de evaluare care vor fi utilizate pentru determinarea eficacitii msurilor de securitate; i - Mediul de evaluare, echipa de evaluare i rolurile i responsabilitile din procesul de evaluare; b. Evalueaz msurile de securitate implementate n sistemul informatic [ Atribuire: cu o frecven stabilit de instituie] pentru a determina care dintre acestea sunt implementate corect, opereaz conform prevederilor i produc efectele dorite cu privire la ndeplinirea cerinelor de securitate pentru sistemul informatic; c. Realizeaz un raport al evalurii de securitate care s consemneze rezultatul evalurii; i d. nainteaz rezultatul evalurii de securitate, n form scris, persoanei desemnat oficial sau reprezentantului autorizat al acestuia.

ndrumri suplimentare: Instituia evalueaz msurile de securitate dintr-un sistem informatic ca activitate ce face parte din: (i) autorizarea sau re-autorizarea de securitate; (ii) monitorizarea continu; (iii) testarea/evaluarea sistemului informatic ca parte a procesului de dezvoltare a ciclului de via al sistemului. Raportul de evaluare consemneaz rezultatul evalurii ntr-o form suficient de detaliat, dup cum consider instituia c este necesar, pentru determinarea acurateii i suficienei raportului i dac msurile de securitate sunt aplicate corect, opereaz corespunztor i produc efectele dorite n ceea ce privete cerinele de securitate ale sistemului informatic. Instituia se poate folosi de rezultatele evalurii msurilor de securitate rezultate din oricare din urmtoarele surse, fr a se limita la acestea: (i) evaluri efectuate ca parte din procesul de autorizare i re-autorizare; (ii) monitorizarea continu; sau (iii) testarea i evaluarea unui sistem informatic ca parte din dezvoltarea ciclului de via a sistemului. Ulterior autorizrii iniiale a sistemului informatic, instituia evalueaz anual un subset de msuri de securitate n timpul monitorizrii continue. Instituia stabilete, n scopul evalurii, criteriile de selecie a msurilor de securitate i ulterior selecteaz un subset de msuri de securitate din cadrul sistemului informatic i din mediul acestuia de operare. Acele msuri de securitate care sunt cele mai volatile (msurile cele mai afectate de schimbrile aflate n derulare cu privire la sistemul informatic i mediul acestuia de operare) sau care sunt considerate de ctre instituie ca fiind critice pentru protecia operaiunilor i activelor instituiei, persoanelor i altor instituii sunt evaluate mai frecvent, n concordan cu o evaluare de risc a instituiei. Toate celelalte msuri sunt evaluate cel puin o dat n timpul ciclului de autorizare de trei ani al sistemului informatic. Instituia poate folosi rezultatele evalurilor efectuate n anul curent, din toate sursele menionate, pentru ndeplinirea cerinelor de evaluare anual. Activitile de audit efectuate de pesoane din exteriorul instituiei sunt n afara scopului acestei msuri. mbuntiri ale msurii: (1) Instituia angajeaz un evaluator independent sau o echipa de evaluare pentru a conduce activitatea de evaluare a msurilor de securitate n sistemul informatic. ndrumri suplimentare: Un evaluator independent sau o echipa de evaluare reprezint o persoan sau un grup capabil s conduc o evaluare imparial a unui sistem informatic. Imparialitatea presupune ca evaluatorii s fie n afara oricrui conflict de interese n ce ceea ce privete lanul de dezvoltare, operare i/sau management asociat sistemului informatic sau n ceea ce privete determinarea eficacitii msurilor de securitate. Serviciile independente de evaluare a securitii pot fi obinute din cadrul altor elemente ale instituiei sau pot fi contractate ctre o entitate public sau privat din afara instituiei. Serviciile de evaluare contractate sunt considerate independente dac proprietarul sistemului informatic evaluat nu este direct implicat n procesul de contractare sau nu poate influena imparialitatea evaluatorului sau a echipei de evaluare a msurilor de securitate din cadrul sistemului informatic. Persoana responsabil cu autorizarea stabilete nivelul necesar de independen al evaluatorului pe baza clasificrii de securitate a sistemului informatic i/sau riscului fundamental referitor la operaiunile i activele instituiei i indivizi. Persoana responsabil cu autorizarea stabilete dac rezultatele evalurii sunt solide i pot fi folosite pentru a lua o decizie credibil bazat pe evalurile de risc. n situaii speciale, spre exemplu cnd instituia care deine sistemul informatic este mic, sau cnd structura instituiei necesit ca evaluarea s fie efectuat de persoane care sunt implicaie n lanul de dezvoltare,

operare i/sau administrare a sistemului informatic, independena poate fi asigurat prin impunerea ca rezultatele evalurii s fie revizuite i analizate atent de ctre o echip independent de experi pentru a valida caracterul complet, acurateea, integritatea i soliditatea rezultatelor. (2) Instituia include ca parte din evalurile msurilor de securitate, [ Atribuire: cu o frecven stabilit de instituie ], [Selecia: monitorizarea n profunzime; testarea utilizatorilor; testele de infiltrare; exerciii de tip red team; [Atribuire: alte forme de testare a securitii stabilite de instituie ]]. ndrumri suplimentare:Testele de penetrare se realizeaz att prin prisma msurilor de securitate fizic ct i tehnic. O metod standard pentru testarea penetrrii const n: (i) analiz pretestare bazat pe cunoaterea n detaliu a sistemului int; (ii) identificarea potenialelor vulnerabiliti bazat pe analiza pretestare; (iii) testarea efectiv conceput s determine nivelul de exploatabilitate al vulnerabilitilor identificate. Regulile detaliate de desfurare a scenariului de penetrare sunt stabilite de comun acord de ctre toate prile implicate. Regulile de desfurare sunt corelate cu instrumentele, tehnicile i procedurile care sunt anticipate a fi utilizate n derularea atacurilor. Evaluarea de risc a instituiei determin decizia asupra nivelului de independen necesar pentru agenii sau echipele care conduc testarea. Exerciiile de tip red team sunt conduse ca o ncercare simulat a adversarului de a compromite misiunile i/sau procesele de activitate ale instituiei, astfel nct s poat fi furnizat o evaluare detaliat a capabilitilor de securitate ale sistemului informatic i ale instituiei. n timp ce testul de penetrare se poate efectua n laborator, exerciiile de tip red team se intenioneaz a fi mult mai complexe i trebuie s reflecte condiiile reale. Monitorizarea sistemului informatic, testarea utilizatorilor, testarea rezistenei la penetrare infiltrare, exerciiile de tip red team i celelalte forme de testare a securitii sunt desfurate n scopul mbuntirii capacitii de reacie a instituiei prin exersarea capabilitilor acesteia i prin indicarea nivelelor curente de performan, ca un mijloc de concentrare a aciunilor instituiei pentru sporirea strii de securitate a sistemului i a instituiei. Testarea este desfurat conform cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Metodele de testare sunt aprobate de oficialii instituiei, n coordonare cu persoanele din instituie care au n responsabilitate administrarea securitii. Vulnerabilitile neacoperite n timpul exerciiilor de tip red team sunt incluse n procesul de remediere a vulnerabilitilor. CE-3 CONEXIUNILE SISTEMULUI INFORMATIC Msura: Instituia: a. Autorizeaz conexiunile ntre sistemul informatic i alte sisteme informatice din afara spaiului n care deine dreptul de autorizare, prin utilizarea unor acorduri privind securitatea conexiunilor; b. Consemneaz, pentru fiecare conexiune, caracteristicile interfeei de conectare, cerinele de securitate i natura informaiilor tranzitate; i c. Monitorizeaz conexiunile sistemului informatic prin verificarea permanent a cerinelor de securitate.

ndrumri suplimentare: Aceast msur se aplic pentru conexiunile dedicate dintre sistemele informatice i nu se refer la conexiunile tranzitorii, controlate de utilizatori, cum sunt navigarea web i traficul de tip pot electronic. Instituia ia n calcul cu atenie riscul introdus prin conectarea sistemului informatic la un alt sistem cu cerine i msuri de securitate diferite, att din interiorul ct i din exteriorul instituiei. Oficialii responsabili cu autorizarea determin riscul asociat fiecrei conexiuni i msurile de securitate implementate. Dac sistemele interconectate au aceeai entitate de autorizare nu mai este necesar un acord privind securitatea conexiunilor. Dac sistemele interconectate au entiti de autorizare diferite, dar oficialii de autorizare fac parte din aceeai instituie, instituia decide dac este necesar un acord privind securitatea conexiunilor, sau alternativ, caracteristicile interfeei dintre sisteme sunt descrise n planul de securitate al sistemelor respective. n loc s elaboreze un acord privind securitatea conexiunilor, instituiile pot opta pentru ncorporarea acestuia ntr-un contract oficial, n special n cazul n care interconexiunea se realizeaz ntre o agenie naional i o instituie neguvernamental (sector privat). n fiecare caz, documentarea caracteristicilor interfeei este necesar, chiar dac formalitile i procesul de aprobare variaz considerabil. Consideraiile de risc trebuie s includ i cazul sistemelor informatice care partajeaz aceleai reele. CE-4 PLANUL DE ACIUNE I OBIECTIVELE Msura: Instituia: a. Stabilete obiectivele i planul de aciune pentru documentarea aciunilor planificate de remediere, n scopul corectrii deficienelor constatate pe timpul evalurii msurilor de securitate i pentru a reduce sau elimina vulnerabilitile cunoscute ale sistemului informatic; i b. Actualizeaz planul existent de aciune i obiectivele [ Atribuire: cu o frecven stabilit de instituie] pe baza constatrilor din timpul evalurilor msurilor de securitate, analizelor de impact ale securitii i activitilor permanente de monitorizare. ndrumri suplimentare: Planul de aciune i obiectivele constituie un document cheie din pachetul de securitate al instituiei. CE-5 AUTORIZAIA DE SECURITATE Msura: Instituia: a. Atribuie rolul de autorizare a sistemului informatic unei persoane cu funcie de conducere; b. Se asigur c autorizarea sistemului informatic pentru procesare, de ctre oficialul desemnat, se efectueaz nainte de nceperea operaiunilor; i c. Actualizeaz autorizaia de securitate [Atribuire: cu o frecven stabilit de instituie]. ndrumri suplimentare: Autorizaia de securitate este o decizie oficial de administrare, exprimat printr-un document de autorizare, acordat de un oficial al instituiei (oficialul de autorizare) n scopul autorizrii sistemului informatic pentru funcionare i acceptrii n mod explicit a riscurilor pentru operaiunile i bunurile instituiei, persoanele i alte instituii pe baza implementrii unui set agreat de msuri de securitate. De obicei oficialii

responsabili cu autorizarea au drepturi de supraveghere a bugetului alocat sistemului informatic, sau sunt responsabili pentru misiunile sau operaiunile suportate de sistem. Autorizaia de securitate este o responsabilitate impus n mod guvernamental i, n consecin, oficialii de autorizare trebuie s fie angajaii unei structuri guvernamentale. Pe timpul procesului de autorizare de securitate, oficialii de autorizare sunt rspunztori pentru riscurile asociate operaiunilor executate n sistemul informatic. Astfel, oficialii de autorizare ocup funcii de administrare de un nivel corespunztor pentru nelegerea i acceptarea unor asemenea riscuri de securitate asociate sistemului informatic. Pe timpul procesului de monitorizare permanent, informaia critic coninut de pachetul de autorizare (planul de securitate (inclusiv evaluarea de risc), raportul de evaluare a riscului, planul de aciune i obiectivele) este actualizat n mod continuu, furniznd oficialului de autorizare i proprietarului sistemului informatic o situaie actualizat a strii de securitate a sistemului informatic. Pentru reducerea costurilor administrative datorate procesului de re-autorizare, oficialul de autorizare utilizeaz, pe ct posibil, rezultatele procesului de monitorizare permanent pentru emiterea unei decizii cu privire la re-autorizare. Politica naional prevede ca sistemele informatice guvernamentale s fie re-autorizate la fiecare trei ani sau de fiecare dat cnd intervine o modificare semnificativ n sistem. Instituia stabilete ce anume constituie o modificare semnificativ a propriului sistem informatic. CE-6 MONITORIZAREA PERMANENT Msura: Instituia elaboreaz o strategie de monitorizare continu i implementeaz un program de monitorizare continu care include: a. Un proces de administrare a configuraiei sistemului informatic i a componentelor acestuia; b. O determinare a impactului asupra securitii determinat de schimbrile aprute n sistemul informatic i n mediul de operare al acestuia; c. Evaluri continue ale msurilor de securitate, n concordan cu strategia de monitorizare continu a instituiei; d. Raportarea strii de securitate a sistemului informatic oficialilor desemnai de instituie [Atribuire: cu o frecven stabilit de instituie ]. ndrumri suplimentare: Un program de monitorizare continu permite unei instituii s menin autorizaia de securitate a unui sistem informatic ntr-un mediu de operare dinamic cu riscuri, vulnerabiliti, tehnologii i misiuni/procese schimbtoare. Monitorizarea continu a msurilor de securitate, prin utilizarea instrumentelor automate ajuttoare, faciliteaz un management n timp real i promoveaz contientizarea stadiului de securitate n care se afl sistemul informatic. Implementarea planului de monitorizare continu conduce la actualizri permanente ale celor trei documente principale din pachetul de autorizare de securitate: planul de securitate, raportul de evaluare a riscurilor i planul cu activiti i obiective. Un program de monitorizare riguros i aplicat corespunztor reduce semnificativ nivelul de efort cerut pentru re-autorizarea sistemului informatic. Activitile de monitorizare continu sunt corelate cu nivelul de clasificare al informaiilor stocate, procesate sau tranzitate cu ajutorul sistemului informatic.

CATEGORIA:MANAGEMENTUL CONFIGURAIEI

CLASA: OPERAIONAL

MC-1 POLITICA I PROCEDURILE DE ADMINISTRARE A CONFIGURAIEI Msura: Instituia dezvolt, disemineaz i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de administrare a configuraiei care stabilete domeniul, scopul, rolurile, responsabilitile, angajamentul managementului, coordonarea ntre entitile instituiei i aspectele de conformitate; i b. Procedurile oficiale pentru a facilita implementarea politicii de administrare a configuraiei i a msurilor asociate de administrare a configuraiei. ndrumri suplimentare: Aceast msur este destinat pentru a realiza politica i procedurile necesare pentru implementarea efectiv a msurilor selectate de securitate i mbuntirilor acestora. Politica i procedurile sunt n concordan cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii elaborrii unor politici i proceduri specifice. Politica de administrare a configuraiei poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de administrare a configuraiei pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului a instituiei este un factor determinant n dezvoltarea politicii de administrare a configuraiei. MC-2 CONFIGURAIA DE BAZ Msura:Instituia dezvolt, documenteaz i menine o configuraie de baz a sistemului informatic. ndrumri suplimentare: Aceast msur stabilete o configuraie de baz a sistemului informatic i a componentelor acestuia incluznd aspectele legate de conectivitatea ale sistemului. Configuraia de baz furnizeaz informaii referitoare la componentele sistemului informatic (programele software utilizate n mod standard de ctre o staie de lucru, server, component de reea, sau dispozitiv mobil incluznd sistemele de operare instalate, versiunile i patch-urile curente), topologia reelei i diagrama logic a arhitecturii sistemului informatic. Meninerea unei configuraii de baz implic crearea unor configuraii de baz noi odat cu schimbrile aprute n timp la sistemul informatic. mbuntiri ale msurii: (1) Instituia revizuiete i actualizeaz configuraia de baz a sistemului informatic: (a) [Atribuire: cu o frecven stabilit de instituie ]; (b) Cnd este necesar datorit [Atribuire: circumstane stabilite de instituie ]; i (c) Ca parte integrant a proceselor de instalare i actualizare ale componentelor sistemului informatic.

(2) Instituia implementeaz mecanisme automate pentru a menine o configuraie de baz a sistemului informatic actualizat, complet, exact i disponibil. ndrumri suplimentare: Instrumentele software de inventariere sunt exemple de mecanisme automate care ajut la meninerea unei configuraii de baz pentru sistemul informatic. Instrumentele software de inventariere pot fi utilizate pentru fiecare sistem utilizat n cadrul instituiei (staii de lucru, servere, componente de reea, echipamente mobile) n scopul determinrii versiunilor sistemelor de operare, aplicaiilor i tipurilor de programe software instalate n sistemele de operare i actualizrile curente. Instrumentele software de inventariere pot, de asemenea, s scaneze sistemele informatice pentru detectarea programelor software neautorizate. (3) Instituia pstreaz versiunile precedente ale configuraiilor de baz n scopul facilitrii revenirii la configuraiile anterioare. (4) Instituia: (a) Dezvolt i menine [Atribuire: lista programelor software autorizate s fie utilizate n sistemul informatic]; i (b) Implementeaz o politic de autorizare a programelor software ce au permisiunea de a rula n sistemul informatic de tipul restricioneaz tot i permite prin excepie . (5) Instituia menine o configuraie de baz pentru mediile de dezvoltare i testare care este administrat separat fa de configuraia de baz operaional. MC-3 GESTIONAREA SCHIMBRII CONFIGURAIEI Msura: Instituia: a. Determin tipurile de schimbri ale sistemului informatic care vor fi controlate din punct de vedere al configuraiei; b. Aprob schimbrile controlate ale configuraiei sistemului informatic prin luarea n considerare n mod explicit a analizei de impact asupra securitii; c. Documenteaz schimbrile de configuraie aprobate ale sistemului informatic; d. Reine i revizuiete nregistrrile referitoare la schimbrile controlate ale configuraiei sistemului; e. Auditeaz activitile asociate cu schimbrile controlate ale configuraiei; i f. Coordoneaz i asigur o supraveghere a activitilor de schimbare controlat a configuraiei prin [Atribuire: element de control al schimbrii configuraiei (comitet, administraie)] care convoac [Selecie: una sau mai multe ]: [Atribuire: cu o frecven stabilit de instituie]; [Atribuire: condiii de schimbare a configuraiei stabilite de instituie]]. ndrumri suplimentare: Instituia determin tipurile de schimbri ale sistemului informatic care sunt controlate din punct de vedere al configuraiei sistemului. Controlul schimbrii configuraiei sistemului informatic implic propunerea, justificarea, implementarea, testarea/evaluarea, revizuirea i dispoziia sistematic a schimbrilor sistemului, incluznd

mbuntirile i modificrile. Controlul schimbrii configuraiei include schimbrile suferite de componentele sistemului informatic, schimbrile setrilor configuraiei pentru produsele IT (sisteme de operare, aplicaii, sisteme firewall, routere ), schimbrile n cazuri neprevzute i schimbrile destinate remedierii defeciunilor. Un proces organizaional tipic pentru administrarea schimbrii configuraiei sistemului informatic include, spre exemplu implicarea unui responsabil/departament de control al configuraiei care s aprobe schimbrile din sistem. Auditarea schimbrilor se refer la schimbrile de activitate, nainte i dup ce schimbrile sunt efectuate n sistemul informatic, i la activitile de audit necesare implementrii schimbrilor. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme automate pentru: (a) Documentarea schimbrilor propuse ale sistemului informatic; (b) Notificarea autoritilor desemnate responsabile cu aprobarea; (c) Scoate n eviden aprobrile care nu au fost recepionate dup [ Atribuire: perioad de timp stabilit de instituie]; (d) Restricioneaz schimbarea pn cnd sunt recepionate aprobrile; i (e) Documenteaz informatic. schimbrile efectuate ale configuraiei sistemului

(2) Instituia testeaz, valideaz i documenteaz schimbrile din sistemul informatic naintea implementrii schimbrilor din sistemul operaional. ndrumri suplimentare: Instituia se asigur c testarea nu interfereaz cu operaiunile din sistemul informatic. Persoana/grupul care conduce testele nelege politicile i procedurile de securitate ale instituiei i riscurile specifice de sntate, siguran i mediu asociate unei faciliti sau proces particular. Un sistem operaional poate necesita s fie oprit, sau replicat pe ct posibil, nainte ca testele s fie desfurate. Dac un sistem informatic necesit s fie oprit pentru testare, testele vor fi planificate, pe ct posibil, pe timpul ntreruperilor deja planificate. n situaia n care instituia nu poate organiza testarea unui sistem informatic operaional, aceasta implementeaz msuri suplimentare (spre exemplu furnizarea unui sistem replic al celui testat) n conformitate cu ghidul general de concepere al unui astfel de sistem. MC-4 ANALIZA IMPACTULUI ASUPRA SECURITII Msura: Instituia analizeaz schimbrile din sistemul informatic, pentru a determina potenialului impact asupra securitii, nainte de implementarea acestora. ndrumri suplimentare: Analizele de impact asupra securitii sunt conduse de personalul instituiei ce are responsabiliti cu privire la securitatea informaiilor, incluznd, spre exemplu administratorii de sistem, administratorii de securitate i inginerii de securitate ai sistemului informatic. Persoanele care efectueaz analiza de impact asupra riscului posed aptitudinile necesare i expertiza tehnic s analizeze schimbrile din sistemul informatic i din ramurile de securitate asociate. Analiza de impact asupra securitii poate include, spre exemplu revizuirea documentaiei sistemului informatic, cum ar fi planul de securitate, pentru a nelege cum sunt implementate n sistem anumite msuri de

securitate i cum pot fi acestea afectate de schimbri. Analiza de impact asupra securitii poate include de asemenea o evaluare a riscului pentru a nelege impactul schimbrilor i pentru a determina dac sunt necesare msuri de securitate suplimentare. Analiza de impact asupra securitii este desfurat n concordan cu nivelul de clasificare al sistemului informatic. mbuntiri ale msurii: (1) Instituia testeaz programele software noi ntr-un mediu de testare izolat nainte de instalarea acestora n mediul operaional, cutnd eventualului impact asupra securitii datorate defeciunilor, slbiciunilor, incompatibilitilor sau aciunilor de rea credin. MC-5 RESTRICIILE DE ACCES ASOCIATE SCHIMBRILOR Msura: Instituia definete, documenteaz, aprob i ntrete restriciile logice i fizice de acces asociate cu schimbrile din sistemul informatic. ndrumri suplimentare: Orice schimbri hardware, software i firmware ale sistemului informatic pot avea efecte semnificative asupra securitii generale a sistemului. n consecin, numai persoanele calificate i autorizate au permisiunea de a obine acces la componentele sistemului informatic n scopul iniierii schimbrilor, inclusiv mbuntirilor i modificrilor. n plus, meninerea unor nregistrri despre acces este esenial pentru sigurana faptului c controlul schimbrii configuraiei este implementat corespunztor i pentru sprijinirea investigaiilor ulterioare. Restriciile de acces asociate schimbrilor includ, de asemenea, i librriile software. Exemple de restricii de acces includ, spre exemplu msuri fizice i logice de acces, automatizarea fluxului operaional, librriile media, nivelele abstracte (spre exemplu schimbrile sunt efectuate ntr-o interfa dect cea a sistemului informatic), ferestrele de timp destinate schimbrii (schimbrile apar numai n momente specificate, fcnd uor de detecta orice ncercare neautorizat de efectuare a unor schimbri). mbuntiri ale msurii: (1) Instituia implementeaz mecanisme automate pentru a ntri restriciile i pentru a sprijini auditarea aciunilor de mbuntire. (2) Instituia conduce auditarea schimbrilor intervenite n configuraia sistemului informatic [Atribuire: cu o frecven stabilit de instituie ]. (3) Sistemul informatic previne instalarea [ Atribuire: programe software critice stabilite de instituie] pentru care nu exist un certificat recunoscut i aprobat de instituie. ndrumri suplimentare: Programele software critice i/sau modulele acestora includ, spre exemplu mbuntiri, pachete de actualizare i drivere pentru dispozitive. MC-6 SETRILE CONFIGURAIEI Msura: Instituia: a. Stabilete i documenteaz setrile obligatorii ale configuraiei pentru produsele IT folosite n cadrul sistemului informatic utiliznd [ Atribuire: liste de verificare a

configuraiilor de securitate definite de instituie ] care reflect scenariul cel mai restrictiv conform cerinelor operaionale; b. Implementeaz schimbrile de configuraie; c. Identific, documenteaz i aprob excepiile de la setrile de configurare obligatorii pentru componentele individuale din cadrul sistemului informatic, pe baza cerinelor operaionale explicite; i d. Monitorizeaz i controleaz schimbrile setrilor configuraiei n conformitate cu politicile i procedurile organizaionale. ndrumri suplimentare: Setrile configuraiei sunt parametrii de securitate configurabili ai produselor IT din componena sistemului informatic. Parametrii de securitate sunt acei parametri care au impact asupra strii sistemului incluznd parametrii referitori la ndeplinirea altor cerine de securitate. Parametrii de securitate includ, spre exemplu setri de regitri; setri de conturi, fiiere i directoare (permisiuni); i setri pentru servicii, porturi, protocoale i conexiuni la distan. Instituia stabilete setrile globale de securitate obligatorii din care deriv setrile pentru un sistem informatic. O list de verificare a setrilor de securitate (denumit uneori ghid de blocare, ghid de mbuntire, ghid de securitate, ghid tehnic de implementare a securitii, sau list de referin) reprezint o serie de instruciuni i proceduri pentru configurarea unei componente a sistemului informatic n scopul ndeplinirii cerinelor de securitate. Listele de verificare pot fi elaborate de dezvoltatori i productori de echipamente, consorii, academii, agenii naionale (i ale instituii guvernamentale) i alte entiti din sectorul public sau privat. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme automate pentru aplicarea i verificarea centralizat a setrilor de configurare. administrarea,

(2) Instituia implementeaz mecanisme automate pentru a reaciona la schimbrile neautorizate intervenite n [Atribuire: setrile de configurare stabilite de instituie]. ndrumri suplimentare: Rspunsul la schimbrile neautorizate intervenite n setrile configuraiei poate include, spre exemplu alertarea personalului desemnat, restaurarea setrilor obligatorii definite de instituie sau, n cazuri extreme, ntreruperea operrii sistemului informatic afectat. (3) Instituia ncorporeaz detecia schimbrilor neautorizate, relevante pentru securitate, n capacitatea de rspuns la incidente a instituiei pentru a asigura c acest tip de evenimente sunt monitorizate, corectate i disponibile pentru trasabilitate.

MC-7 FUNCIONALITATEA DE BAZ Msura: Instituia configureaz sistemul informatic pentru a furniza numai capabilitile eseniale i restricioneaz utilizarea urmtoarelor funcii, porturi, protocoale i/sau servicii: [Atribuire: lista funciilor, porturilor i/sau serviciilor restricionate, definite de instituie ]. ndrumri suplimentare:Sistemele informatice sunt capabile de furnizarea unei mari varieti de funcii i servicii. Unele funcii i servicii, furnizate implicit, pot s nu fie necesare pentru suportul operaiunilor eseniale ale instituiei (misiuni, funcii cheie). n

plus, uneori este mai convenabil s se asigure mai multe servicii prin intermediul unei singure componente a sistemului informatic, dar o astfel de soluie crete riscul de limitare a serviciilor oferite de oricare component. Atunci cnd este convenabil, instituiile limiteaz funcionalitatea componentelor la o singur funcionalitate per dispozitiv (spre exemplu server de email sau server web, dar nu ambele). Funciile i serviciile furnizate de sistemul informatic al instituiei, sau de ctre componentele individuale ale sistemului informatic, sunt revizuite atent pentru a determina care dintre acestea sunt pasibile de a fi eliminate (spre exemplu protocolul de telefonie prin reele de tip IP (VoIP), mesagerie n timp real (IM), funcia de auto-execuie, partajarea de fiiere). Instituiile iau n considerare dezactivarea porturilor i protocoalelor fizice i logice neutilizate (spre exemplu USB, FTP, IPv6, HTTP) din cadrul componentelor sistemului informatic, pentru a preveni conectarea neautorizat a dispozitivelor, transferul neautorizat de informaii, sau folosirea neautorizat a conexiunilor de tip tunel. Instituiile pot utiliza uneltele de scanare a reelei, sistemele de prevenie i detecie a intruziunilor i soluiile de protecie de frontier, cum ar fi produsele firewall i sistemele de identificare a intruziunilor gzduite local, pentru identificarea i prevenirea utilizrii funciilor, porturilor, protocoalelor i serviciilor interzise. mbuntiri ale msurii: (1) Instituia revizuiete sistemul informatic [ Atribuire: cu o frecven stabilit de instituie] pentru a identifica i elimina funciile, porturile, protocoalele i/sau serviciile care nu sunt necesare. (2) Instituia implementeaz mecanisme automate pentru a preveni execuia programelor, n concordan cu [Selecie (una sau mai multe): lista programelor software autorizate; lista programelor software neautorizate; regulile de autorizare a termenilor i condiiilor de utilizare a programelor software]. MC-8 INVENTARIEREA COMPONENTELOR SISTEMULUI INFORMATIC Msura: Instituia dezvolt, documenteaz i menine inventarul componentelor sistemului informatic care: a. Reflect fidel situaia real a sistemului informatic curent; b. Este n concordan cu domeniul de autorizare al sistemului informatic; c. Are un nivel de detaliere considerat necesar pentru investigare i raportare; d. Include [Atribuire: informaia considerat a fi necesar pentru ndeplinirea corespunztoare a inventarierii, definit de ctre instituie ]; i e. Este disponibil pentru revizuire i auditare de ctre persoanele desemnate din cadrul instituiei. ndrumri suplimentare: Informaia considerat a fi necesar, de ctre instituie, pentru ndeplinirea corespunztoare a inventarierii poate include, spre exemplu date hardware (productor, tip, model, serie, locaie fizic), informaii despre licena programelor software, proprietarul sistemului informatic sau a componentelor acestuia i, pentru componentele de reea, denumirea terminalelor i adresele de reea. mbuntiri ale msurii:

(1) Instituia actualizeaz inventarul componentelor sistemului informatic ca parte integrant din procesul de instalare/dezinstalare a componentelor i actualizare a sistemului informatic. (2) Instituia implementeaz mecanisme automate pentru meninerii inventarului componentelor sistemului informatic actualizat, complet i disponibil. ndrumri suplimentare: Instituia menine inventarul sistemului informatic ntr-o form pe ct posibil de extins. Mainile virtuale, spre exemplu pot fi dificil de monitorizat deoarece nu sunt vizibile din reea atunci cnd nu sunt utilizate. n aceste cazuri, obiectivul acestei msuri este de a menine un inventar ct mai actualizat, complet i exact posibil. (3) Instituia: (a) Implementeaz mecanisme automate [ Atribuire: frecven definite de instituie] pentru detectarea adugrii componentelor/dispozitivelor neautorizate la sistemul informatic; i (b) Dezactiveaz accesul la reea pentru asemenea componente sau anun oficialii desemnai ai instituiei. ndrumri suplimentare:Aceast mbuntire a msurii este aplicat n mod adiional msurii de monitorizare a conexiunilor la distan neautorizate descris la CA-12 i msurii de monitorizare a dispozitivelor mobile neautorizate descris la CA-14. Monitorizarea pentru detectarea componentelor/dispozitivelor neautorizate din cadrul reelelor sistemului informatic poate fi realizat n mod permanent sau prin scanarea periodic n acest scop a reelelor instituiei. Mecanismele automate pot fi implementate n sistemul informatic i/sau n alt sistem informatic sau dispozitiv separat. (4) Instituia include n informaia de inventariere a componentelor sistemului informatic o soluie de identificare dup [ Selecie (una sau mai multe): nume, poziie rol] a persoanelor responsabile cu administrarea acelor componente. (5) Instituia verific dac toate componentele din cadrul ariei de autorizare a sistemului informatic sunt fie inventariate ca parte integrant a sistemului informatic sau sunt recunoscute prin intermediul altui sistem ca i parte component din acel sistem.

MC-9 PLANUL DE ADMINISTRARE A CONFIGURAIEI Msura:Instituia dezvolt, documenteaz i implementeaz un plan de administrare a configuraiei pentru sistemul informatic, care: a. Stabilete rolurile, responsabilitile, procesele i procedurile de administrare a configuraiei; b. Definete elementele de configurare pentru sistemul informatic i, n timpul ciclului de dezvoltare a sistemului, elementele de configurare sunt plasate n cadrul administrrii configuraiei; i c. Stabilete considerentele pentru identificarea elementelor de configurare pe parcursul ciclului de dezvoltare al sistemului i un proces pentru administrarea configuraiei elementelor de configurare.

ndrumri suplimentare:Elementele de configurare sunt elementele sistemului informatic (hardware, software, firmware i documentaie) care vor fi administrate din punct de vedere al configuraiei. Planul de administrare a configuraiei satisface cerinele din politica de administrare a configuraiei stabilit de instituie i n acelai timp este adaptat sistemului informatic specific. Planul de administrare a configuraiei definete un proces detaliat i proceduri pentru a stabili modul cum este utilizat administrarea configuraiei n scopul sprijinirii ciclului de dezvoltare al sistemului la nivelul sistemului informatic. Planul descrie cum se realizeaz mutarea unei schimbri prin intermediul procesului de administrare a schimbrii, cum sunt actualizate schimbrile configuraiei i schimbrile configuraiei de baz, cum este administrat inventarul componentelor sistemului informatic, cum sunt controlate dezvoltarea, testarea i mediile de operare i, n final, cum sunt elaborate, diseminate i actualizate documentele. Aprobarea procesului de administrare a configuraiei include desemnarea prilor cheie care sunt responsabile pentru revizuirea i aprobarea schimbrilor propuse n sistemul informatic, i a personalului de securitate care va conduce o analiz a impactului anterior implementrii oricrei schimbri n sistemul informatic.

CATEGORIA: CONTINUAREA ACTIVITILOR N SITUAII DE URGEN

CLASA: OPERAIONAL

CU-1 POLITICA DE PLANIFICARE A SITUAIILOR DE URGEN I PROCEDURI Msura: Instituia elaboreaz, disemineaz i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de planificare a situaiilor de urgen care stabilete domeniul, scopul, rolurile, responsabilitile, devotamentul managerial, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Procedurile oficiale care s faciliteze implementarea politicii de planificare a situaiilor de urgen i msurilor asociate planificrii situaiilor de urgen. ndrumri suplimentare: Aceast msur are drept scop s genereze politica i procedurile necesare pentru implementarea efectiv a msurilor de securitate i a ntririlor acestora n domeniul planificrilor de urgen. Politica i procedurile sunt n concordan legislaia

naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de planificare a situaiilor de urgen poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitate a informaiilor. Procedurile de planificare a situaiilor de urgen pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului a instituiei este un factor determinant n dezvoltarea politicii de pregtire i contientizare a riscurilor de securitate. CU-2 PLANUL DE URGEN Msura: Instituia: a. Elaboreaz un plan de urgen pentru sistemul informatic care: - Identific misiunile i funciile critice ale sistemului informatic i cerinele asociate pentru situaiile de urgen; - Furnizeaz obiectivele de recuperare, prioritile de restaurare i metricile utilizate; - Stabilete rolurile i responsabilitile pe linia situaiilor de urgen, indivizii responsabili i informaia de contact aferent acestora; - Reglementeaz meninerea misiunilor i funciilor eseniale n condiiile eventualelor defeciuni, compromiteri sau erori aprute n sistemul informatic; i - Este revizuit i aprobat de ctre oficialii desemnai din cadrul instituiei; b. Distribuie copii ale planului de urgen ctre [ Atribuire: lista personalului cheie cu responsabiliti n situaii de urgen (identificai prin nume i/sau rol) i elementele organizaionale stabilite de instituie]; c. Coroboreaz activitile de planificare a situaiilor de urgen cu activitile de gestionare a incidentelor; d. Revizuiete planul de urgen pentru sistemul informatic [ Atribuire: cu o frecven stabilit de instituie]; e. Revizuiete planul de urgen pentru a reglementa schimbrile intervenite n instituie, sistemul informatic, sau mediul de operare i problemele ntmpinate n timpul implementrii, executrii, sau testrii planului de urgen; i f. Comunic schimbrile planului de urgen ctre [ Atribuire: lista personalului cheie cu responsabiliti n situaii de urgen (identificai prin nume i/sau rol) i elementele organizaionale stabilite de instituie ]. ndrumri suplimentare: Planificarea situaiilor de urgen pentru sistemul informatic este parte integrant dintr-un sistem organizaional global destinat asigurrii continuitii operaiunilor instituiei. Planificarea situaiilor de urgen reglementeaz att restaurarea sistemului informatic, ct i implementarea unor procese alternative atunci cnd sistemele sunt compromise. Obiectivele de recuperare ale sistemului informatic sunt conforme cu legile, ordinele, directivele, politicile, standardele i reglementrile aplicabile. n plus fa de disponibilitatea sistemului informatic, planurile de urgen reglementeaz i alte evenimente legate de securitate, cum ar fi atacurile maliioase capabile s compromit confidenialitatea i integritatea sistemului informatic. Exemple de aciuni care pot fi incluse

n planurile de urgen sunt, spre exemplu degradarea parial, oprirea sistemului informatic, trecerea la un mod de lucru manual, fluxuri informaionale alternante sau operarea ntr-un mod rezervat special numai pentru situaia n care sistemul informatic este atacat. mbuntiri ale msurii: (1) Instituia coordoneaz elaborarea planului de urgen cu elementele organizaionale responsabile pentru planurile asociate. ndrumri suplimentare: Exemple de planuri asociate sunt planul de continuitate a activitii instituiei, planul de recuperare n caz de dezastre, planul de continuitate a operaiunilor, planul de comunicaii n caz de criz, planul infrastructurilor critice, planul de rspuns la incidente cibernetice. (2) Instituia conduce planificarea capacitii sistemului informatic astfel nct s existe capacitatea necesar suportului pentru procesarea informaiei, telecomunicaii i mediul de operare pe timpul operaiunilor de urgen. (3) Instituia planific resuscitarea misiunilor i funciilor eseniale n [ Atribuire: perioad de timp stabilit de instituie] de la activarea planului de urgen. CU-3 PREGTIREA PENTRU SITUAII DE URGEN Msura: Instituia pregtete personalul pe baza rolurilor i responsabilitilor atribuite fiecrui individ pentru situaiile de urgen aprute n sistemul informatic i reia pregtirea [Atribuire: cu o frecven stabilit de instituie ]. (1) Instituia ncorporeaz evenimente simulate n pregtirea pentru situaii de urgen, pentru a facilita rspunsul efectiv al personalului n situaii de criz. CU-4 TESTAREA PLANULUI PENTRU SITUAII DE URGEN I EXERSRI Msura: Instituia: a. Testeaz i/sau exerseaz planul de urgen pentru sistemul informatic [ Atribuire: cu o frecven stabilit de instituie] utiliznd [Atribuire: teste i/sau exerciii stabilite de instituie] pentru a determina efectivitatea planului i pregtirea instituiei de a pune n aplicare planul; i b. Revizuiete rezultatele testrii/exersrii planului de urgen i iniiaz aciunile de corectare. ndrumri suplimentare: Exist multe metode pentru testarea/exersarea planurilor de urgen n scopul identificrii potenialelor vulnerabiliti (spre exemplu list de activiti, simulare: n paralel, ntrerupere total). Testarea i/sau exersarea planului de urgen include determinarea efectelor asupra indivizilor, operaiunilor i bunurilor instituiei (spre exemplu reducerea capacitii de executare a misiunii) aprute datorit desfurrii operaiunilor de urgen conform planului. mbuntiri ale msurii: (1) Instituia coordoneaz testarea i/sau exersarea planului de urgen mpreun cu elementele organizaionale responsabile pentru planurile asociate.

ndrumri suplimentare: Exemple de planuri asociate sunt planul de continuitate a activitii instituiei, planul de recuperare n caz de dezastre, planul de continuitate a operaiunilor, planul de comunicaii n caz de criz, planul infrastructurilor critice, planul de rspuns la incidente cibernetice. (2) Instituia testeaz/exerseaz planul de urgen ntr-o locaie alternativ pentru a familiariza personalul cu resursele i facilitile disponibile i pentru a evalua capacitile locaiei de a suporta testarea planului de urgen. (3) Instituia include, ca parte integrant din testarea planului de urgen, recuperarea total i reconstruirea sistemului informatic ntr-o stare cunoscut. CU-5 LOCAIA ALTERNATIV DE STOCARE Msura: Instituia stabilete o locaie alternativ de stocare incluznd acordurile necesare pentru a permite stocarea i restaurarea informaiei de siguran a sistemului informatic. mbuntiri ale msurii: (1) Instituia identific o locaie de stocare alternativ, care este separat de locaia de baz, astfel nct s nu fie susceptibil la acelai set de evenimente nedorite. ndrumri suplimentare: Evenimentele nedorite de ctre instituie sunt de obicei definite n evaluarea de risc a instituiei. (2) Instituia configureaz locaia alternativ de stocare pentru a facilita operaiunile de recuperare n conformitate cu timpul de recuperare i obiectivele stadiului de recuperare. (3) Instituia identific eventualele probleme de accesibilitate a locaiei alternative de stocare, n eventualitatea unui dezastru sau defeciune de arie larg, i evideniaz aciunile specifice de migrare. ndrumri suplimentare: Aciunile explicite de migrare includ, spre exemplu duplicarea informaiei de backup ntr-o locaie alternativ de stocare dac accesul la prima locaie alternativ de stocare este mpiedicat; sau, dac accesul electronic la locaia alternativ este ntrerupt, planificarea accesului fizic pentru extragerea datelor de siguran. CU-6 LOCAIA ALTERNATIV DE PROCESARE Msura: Instituia: a. Stabilete o locaie alternativ de stocare incluznd acordurile necesare relurii operaiunilor sistemului informatic pentru misiunile i funciile eseniale n [ Atribuire: perioad de timp stabilit de instituie corelat cu obiectivele de recuperare ] atunci cnd capabilitile primare de procesare nu sunt disponibile; i b. Se asigur c echipamentele i consumabilele necesare relurii operaiunilor sunt disponibile n locaia alternativ, sau exist contracte n derulare pentru asigurarea acestora n locaia respectiv n timp util pentru a respecta perioada de timp de reluare a operaiunilor stabilit de instituie. mbuntiri ale msurii:

(1) Instituia identific o locaie de procesare alternativ care este separat de locaia de procesare primar, astfel nct s nu fie susceptibil aceluiai tip de pericole. ndrumri suplimentare: Pericolele care pot afecta sistemul informatic sunt n mod normal definite n evaluarea de risc a instituiei. (2) Instituia identific posibilele probleme de accesibilitate n locaia alternativ de procesare, n eventualitatea apariiei unui dezastru pe o arie ntins, i evideniaz explicit aciunile ce trebuiesc ntreprinse pentru migrare; (3) Instituia elaboreaz acorduri alternative de procesare care conin provizii pentru serviciile prioritate n conformitate cu cerinele de disponibilitate ale instituiei. (4) Instituia configureaz locaia alternativ de operare pentru a putea fi utilizat ca locaie operaional pentru susinerea misiunilor eseniale. (5) Instituia se asigur c locaia alternativ de operare furnizeaz msuri de securitate echivalente cu cele ale locaiei primare. CU-7 SERVICIILE DE TELECOMUNICAII Msura: Instituia stabilete servicii de telecomunicaii alternative incluznd acordurile necesare relurii operaiunilor sistemului informatic pentru misiunile i funciile eseniale n [Atribuire: perioad de timp stabilit de instituie ] atunci cnd capabilitile de telecomunicaii principale nu mai sunt disponibile. mbuntiri ale msurii: (1) Instituia: (a) ncheie acorduri de furnizare de servicii de telecomunicaii care conin provizii pentru serviciile prioritare n concordan cu cerinele de disponibilitate ale instituiei; i (b) Solicit prioritate pentru serviciile de telecomunicaii utilizate pentru pregtirea urgenelor din domeniul securitii naionale, n cazul n care serviciile primare i/sau alternative sunt furnizate prin intermediul unei infrastructuri comune. (2) Instituia obine servicii de telecomunicaii alternative pentru reducerea probabilitii de a partaja un singur punct de ntrerupere cu serviciile de telecomunicaii primare. (3) Instituia obine furnizori alternativi de servicii de telecomunicaii care sunt diferii de furnizorii principali, astfel nct nu vor fi susceptibili la aceleai probleme. (4) Instituia solicit ca furnizorii alternativi de servicii de telecomunicaii s aib planuri pentru situaii de urgen. CU-8 STRATEGIA DE BACKUP A SISTEMULUI INFORMATIC Msura: Instituia:

a. Conduce realizarea copiilor de siguran pentru informaiile utilizatorilor stocate n cadrul sistemului informatic [Atribuire: cu o frecven stabilit de instituie n conformitate cu obiectivele i timpii stabilii pentru restaurare ]; b. Conduce realizarea copiilor de siguran pentru informaiile de nivel sistem stocate n cadrul sistemului informatic [ Atribuire: cu o frecven stabilit de instituie n conformitate cu obiectivele i timpii stabilii pentru restaurare ]; c. Conduce realizarea copiilor de siguran pentru documentaia sistemului, inclusiv documentaia de securitate [Atribuire: cu o frecven stabilit de instituie n conformitate cu obiectivele i timpii stabilii pentru restaurare ]; d. Protejeaz confidenialitatea i integritatea copiilor de siguran din locaia de stocare. ndrumri suplimentare: Informaia de nivel sistem include, spre exemplu date despre starea sistemului, sistemul de operare, programele software i licene. Semnturile digitale i cheile criptografice sunt exemple de mecanisme care pot fi implementate de instituie pentru a asigura integritatea copiilor de siguran. O evaluare a nivelului de risc, efectuat la nivelul sistemului informatic, ndrum spre folosirea criptrii pentru protejarea copiilor de siguran. mbuntiri ale msurii: (1) Instituia testeaz copiile de siguran [ Atribuire: cu o frecven stabilit de instituie] pentru a verifica soliditatea mediilor de stocare i integritatea informaiilor. (2) Instituia utilizeaz o mostr de informaie coninut n copiile de siguran pe timpul testrilor ce fac parte integrant din testarea planului de aciune n situaii de urgen. (3) Instituia stocheaz copii de siguran ale sistemelor de operare i altor componente software critice, ct i copii de siguran ale informaiei de inventar a sistemului informatic (incluznd componentele hardware, software i firmware) folosind o facilitate de stocare separat, sau un container certificat anti-foc care nu se afl n aceeai locaie cu sistemul operaional. CU-9 RECUPERAREA I RECONSTITUIREA SISTEMULUI INFORMATIC Msura: Instituia furnizeaz, n scopul recuperrii i reconstituirii sistemului informatic, o stare cunoscut dup o ntrerupere, compromitere sau defeciune. ndrumri suplimentare: n procesul de recuperare se execut activitile din planul de aciune n situaii de urgen pentru a restaura principalele misiuni i funcii ale instituiei. Reconstituirea are loc dup recuperare i include activitile necesare aducerii sistemului la starea original de funcionare de dinaintea punerii n aplicare a planului de urgen. Procedurile de recuperare i reconstituire sunt bazate pe prioritile instituiei, obiectivele de timp stabilite pentru recuperare i sistemul de metrici corespunztor. Reconstituirea necesit de asemenea o evaluare a capabilitii sistemului informatic dup recuperare, o potenial reautorizare a sistemului informatic i activitile necesare pregtirii sistemului pentru a preveni alte ntreruperi, compromiteri sau defeciuni. Capabilitile de recuperare i reconstituire implementate de instituie pot fi o combinaie de mecanisme automate i proceduri manuale. mbuntiri ale msurii:

(1) Sistemul informatic implementeaz o recuperare tranzacional pentru sistemele care sunt bazate pe tranzacii. ndrumri suplimentare: Sistemele de administrare a bazelor de date i sistemele de procesare a tranzaciilor sunt exemple de sisteme bazate pe tranzacii. Derularea napoi a tranzaciilor i jurnalizarea tranzaciilor sunt exemple de mecanisme care ofer suport pentru recuperarea tranzacional. (2) Instituia asigur msuri de securitate compensatorii pentru [ Atribuire: circumstanele definite de instituie care pot mpiedica recuperarea i restaurarea sistemului informatic ntr-o stare cunoscut ]. (3) Instituia asigur capabilitatea de re-imaginare a componentelor sistemului informatic n [Atribuire: perioade de timp de recuperare stabilite de instituie ] folosind imagini ale discurilor de stocare, care sunt protejate din punct de vedere al integritii i care reprezint o stare operaional i sigur pentru componentele sistemului.

CATEGORIA: IDENTIFICAREA I AUTENTIFICAREA

CLASA: TEHNIC

IA-1 POLITICA I PROCEDURILE DE IDENTIFICARE I AUTENTIFICARE Msura: Instituia dezvolt, disemineaz i revizuiete [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de identificare i autentificare care reglementeaz domeniul, scopul, rolurile, responsabilitile, devotamentul managerial, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Procedurile oficiale care s faciliteze implementarea politicii de identificare i autentificare i msurilor asociate identificrii i autentificrii. ndrumri suplimentare: Aceast msur are drept scop producerii politicii i procedurilor necesare pentru implementarea efectiv a msurilor de securitate selectate i ntririlor acestora n domeniul identificrii i autentificrii. Politica i procedurile sunt n concordan cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de identificare i autentificare poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitate a informaiilor. Procedurile de identificare i autentificare pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului a instituiei este un factor determinant n dezvoltarea politicii de pregtire i contientizare a riscurilor de securitate. IA-2 IDENTIFICAREA I AUTENTIFICAREA (UTILIZATORII ORGANIZAIONALI) Msura: Sistemul informatic identific i autentific n mod unic utilizatorii instituiei (sau procesele care ruleaz cu credenialele utilizatorilor instituiei). ndrumri suplimentare: Utilizatorii instituiei includ angajaii instituiei sau indivizii care sunt considerai de ctre instituie ca avnd statut echivalent cu cel de angajat (spre exemplu contractori, cercettori invitai). Utilizatorii sunt autentificai i identificai n mod unic pentru toate accesrile, cu excepia cazurilor documentate i detaliate explicit de ctre instituie n CA-11. Autentificarea utilizatorilor este efectuat prin utilizarea parolelor, dispozitivelor token, datelor biometrice, sau n cazul autentificrii multiple, o combinaie ntre acestea. Accesul la sistemul informatic al instituiei poate fi definit local sau prin reea. Accesul local se definete ca orice accesare a sistemului informatic de ctre un utilizator (sau proces care ruleaz cu credenialele unui utilizator) sub forma de acces direct, fr utilizarea reelei. Accesul prin reea se definete ca orice accesare a sistemului informatic de ctre un utilizator (sau proces care ruleaz cu credenialele unui utilizator) prin intermediul reelei. Accesul de la distan este un tip de acces prin reea care presupune folosirea unei reele externe (spre exemplu Internet). Reelele interne se compun din reelele locale, reelele de arie larg i reelele private virtuale controlate de ctre instituie. Pentru o reea privat virtual (VPN), aceasta este considerat o reea local dac instituia stabilete conexiunile virtuale ntre puncte terminale controlate de instituie ntr-o manier n care protecia confidenialitii i integritii datelor tranzitate nu depinde de nicio reea exterioar. Cerinele de identificare i autentificarea pentru ali utilizatori dect cei organizaionali sunt descrise n IA-8. n plus fa de autentificarea i identificarea

utilizatorilor la nivelul sistemului informatic (spre exemplu la logare), sunt implementate i mecanisme de autentificare la nivel de aplicaie, atunci cnd este necesar, pentru a asigura o securitate ridicat a informaiilor instituiei. mbuntiri ale msurii: (1) Sistemul informatic utilizeaz un sistem de autentificare multipl pentru accesul la sistemul informatic prin intermediul reelei. (2) Sistemul informatic utilizeaz un sistem de autentificare multipl pentru accesul la sistemul informatic prin intermediul conturilor neprivilegiate. (3) Sistemul informatic utilizeaz un sistem de autentificare multipl pentru accesul local la conturile privilegiate. (4) Sistemul informatic utilizeaz un sistem de autentificare multipl pentru accesul local la conturile neprivilegiate. (5) Sistemul informatic utilizeaz [Atribuire: mecanisme de autentificare, definite de instituie, rezistente la atacuri de tip replay ] pentru accesul prin reea la conturile ne-privilegiate. ndrumri suplimentare: Un proces de autentificare rezist la atacurile de tip replay, dac este imposibil obinerea accesului la sistem prin capturarea/nregistrarea unui mesaj de autentificare anterior. Tehnicile utilizate pentru ndeplinirea acestei cerine includ protocoale care utilizeaz numere arbitrare sau tehnici de tip ntrebare-rspuns. (6) Sistemul informatic utilizeaz [Atribuire: mecanisme de autentificare, definite de instituie, rezistente la atacuri de tip replay ] pentru accesul prin reea la conturile privilegiate. ndrumri suplimentare: Un proces de autentificare rezist la atacurile de tip replay, dac este imposibil obinerea accesului la sistem prin capturarea/nregistrarea unui mesaj de autentificare anterior. Tehnicile utilizate pentru ndeplinirea acestei cerine includ protocoale care utilizeaz numere arbitrare sau tehnici de tip ntrebare-rspuns. IA-3 IDENTIFICAREA I AUTENTIFICAREA DISPOZITIVELOR

Msura: Sistemul informatic identific i autentific n mod unic [ Atribuire: lista tipurilor i/sau dispozitivelor specific definite de instituie ] nainte de stabilirea conexiunii. ndrumri suplimentare: Dispozitivul care necesit identificare i autentificare unic poate fi definit dup tip, dup specific sau dup o combinaie de tip i specific dup cum este considerat necesar de ctre instituie. Sistemul informatic utilizeaz n mod obinuit, pentru identificarea i autentificarea dispozitivelor n reea, fie informaia partajat cunoscut (spre exemplu adresa fizic de reea (MAC) sau sistemul de adresare utilizat de protocoalele de transport i reea (portul i adresa IP)), sau o soluie de autentificare organizaional (EAP, TLS, Kerberos). Soliditatea impus pentru mecanismul de autentificare este determinat de nivelul de clasificare al sistemului informatic. IA-4 ADMINISTRAREA IDENTIFICATORILOR

Msura: Instituia administreaz datele de identificare ale utilizatorilor i dispozitivelor n sistemul informatic prin: a. Primirea autorizaiei de la un oficial desemnat al instituiei pentru a atribui un identificator de utilizator sau dispozitiv; b. Selectarea unui identificator care s identifice n mod unic un utilizator sau dispozitiv; c. Atribuirea identificatorului de utilizator i/sau de dispozitiv persoanei/dispozitivului vizat; d. Prevenirea reutilizrii identificatorilor de utilizator sau dispozitiv pentru [ Atribuire: perioad de timp stabilit de instituie ]; e. Dezactivarea identificatorului de utilizator dup [ Atribuire: perioad de inactivitate stabilit de instituie]. ndrumri suplimentare: Identificatorii de dispozitiv comuni includ adresa fizic (MAC) sau adresa de reea (IP), sau dispozitive fizice de autentificare (spre exemplu token). Administrarea identificatorilor de utilizator nu se aplic conturilor partajate din sistemul informatic (spre exemplu conturi de tip guest sau anonim). Este des ntlnit cazul n care identificatorul de utilizator este reprezentat de numele contului asociat n sistemul informatic. n asemenea cazuri, administrarea identificatorilor este n mare parte efectuat prin gestionarea conturilor de utilizator. IA-5 GESTIONAREA AUTENTIFICATORILOR Msura: Instituia gestioneaz autentificatorii sistemului informatic pentru utilizatori i dispozitive prin:
a. Verificarea

identitii persoanei i/sau dispozitivului care autentificatorul, ca parte a distribuiei iniiale a autentificatorului;

recep ioneaz

b. Stabilirea coninutului iniial pentru autentificatorii defini i de instituie; c. Asigurarea c autentificatorii ofer un mecanism de siguran suficient pentru

condiiile de utilizare stabilite;


d. Stabilirea i punerea n aplicare a procedurilor administrative pentru distribuirea

iniial a autentificatorilor, pentru autentificatorii pierdu i/compromi i sau deteriora i, i pentru cei revocai;
e. Schimbarea coninutului implicit al autentificatorilor la instalarea sistemului

informatic;
f. Stabilirea restriciilor minime i maxime referitoare la durata de via i condiiile

pentru reutilizarea autentificatorilor (dac este cazul);


g. Modificarea/remprosptarea autentificatorilor [ Atribuire: perioada de timp stabilit

de instituie n funcie de tipul autentificatorilor ]; h. Protejarea coninutului modificrii; i autentificatorilor mpotriva divulgrii neautorizate i

i. Solicitarea unor msuri specifice din partea utilizatorilor pentru protejarea autentificatorilor.

ndrumri suplimentare: Autentificatorii utilizatorilor includ, spre exemplu parole, token-uri, date biometrice, certificate PKI, i cartele de autentificare. Coninutul iniial al autentificatorului este coninutul real (spre exemplu parola iniial), spre deosebire de cerinele cu privire la coninutul autentificatorului (spre exemplu lungimea minim a parolei). Multe componente ale sistemului informatic sunt livrate mpreun cu creden iale de autentificare implicite, stabilite din fabric, pentru a permite instalarea i configurarea iniial. Datele de autentificare implicite sunt adesea bine cunoscute, u or de descoperit, prezint un risc de securitate semnificativ i, prin urmare, sunt modificate dup instalare. Cerine de protejare a autentificatorilor utilizatorilor pot fi puse n aplicare prin norma PL-4 sau SP-6, pentru autentificatori aflai n posesia utilizatorilor, i prin msurile CA-3, CA-6, i PS-22 pentru autentificatorii stocai n cadrul sistemului informatic (spre exemplu parolele stocate ntr-un format trunchiat sau criptat, fiiere care conin parole criptate sau trunchiate accesibile doar cu privilegii de administrator). Msurile de protejare a autentificatorilor includ, spre exemplu pstrarea n mod individual a autentificatorilor, fr mprumutarea sau partajarea acestora, i raportarea imediat a autentificatorilor pierdu i sau compromii. Gestionarea autentificatorilor include i revocarea autentificatorilor pentru acces temporar, cum sunt cei folosii pentru mentenan a de la distan , atunci cnd nu mai sunt necesari. Autentificatorii de dispozitiv includ, spre exemplu certificate i parole. mbuntiri ale msurii: (1) Sistemul informatic, n scopul autentificrii pe baz de parol:
(a) Impune o complexitate minim a parolei de [ Atribuire: cerine definite de

instituie cu privire la numrul de caractere, amestecul de majuscule, litere mici, numere i caractere speciale, inclusiv cerinele minime pentru fiecare tip];
(b) Impune cel puin un [Atribuire: numrul minim de caractere diferite fa de

parolele anterioare, stabilit de instituie ] atunci cnd sunt create noi parole; (c) Cripteaz parolele stocate i tranzitate; (d) Impune restricii minime i maxime cu privire la durata de via a parolelor;i (e) Interzice reutilizarea parolei pentru [ Atribuire: numr definit de instituie ] generaii. ndrumri suplimentare: Aceast mbuntire este destinat n primul rnd pentru mediile n care parolele sunt utilizate ca singur factor pentru autentificarea utilizatorilor, sau ntr-un mod similar, mpreun cu una sau mai multe autentificri suplimentare. n general, nu se aplic n situaiile n care parolele sunt utilizate pentru a debloca autentificarea hardware. (2) Sistemul informatic, n scopul autentificrii pe baz de PKI:
(a) Valideaz certificatele prin construirea unei ci de certificare cu informaia

de stare ca o ancor de ncredere;


(b) Impune accesul autorizat la cheia privat corespunztoare; i (c) Mapeaz identitatea autentificat la contul de utilizator.

ndrumri suplimentare: Informaia de stare pentru cile de certificare include, spre exemplu listele cu certificate revocate sau rspunsurile legate de starea certificatelor online.

(3)

Instituia solicit ca n procesul de nregistrare, pentru obinerea unui autentificator specific, beneficiarul s se prezinte n faa unui reprezentant al instituiei desemnat oficial ca autoritate de nregistrare.

IA-6 RSPUNSUL DE AUTENTIFICARE Msura: Sistemul informatic ascunde rspunsul la informaia de autentificare n timpul procesului de autentificare pentru a proteja informaia de o eventual exploatare de ctre persoane neautorizate. ndrumri suplimentare: Rspunsul din partea sistemului informatic nu furnizeaz informaii care ar permite unui utilizator neautorizat de a compromite mecanismele de autentificare. Afiarea de asteriscuri atunci cnd un utilizator introduce o parol este un exemplu de ascundere a rspunsului la informaia de autentificare.

IA-7 AUTENTIFICAREA PRIN MODUL CRIPTOGRAFIC Msura: Sistemul informatic utilizeaz mecanisme de autentificare la un modul criptografic, care sunt n conformitate cu legislaia na ional, ordinele, directivele, politicile, reglementrile, standardele i ndrumrile pentru o astfel de autentificare.

IA-8 IDENTIFICAREA I AUTENTIFICAREA (UTILIZATORI DIN AFARA INSTITUIEI ) Msura: Sistemul informatic identific i autentific n mod unic utilizatorii din afara instituiei (sau procese care acioneaz n numele unor utilizatori din afara instituiei). ndrumri suplimentare: Utilizatorii din afara instituiei includ toi utilizatorii sistemului informatic, alii dect utilizatorii din cadrul instituiei meniona i n mod explicit n IA-2. Utilizatorii sunt identificai i autentificai, n mod unic, pentru toate accesrile, altele dect cele identificate i documentate n mod explicit de ctre instituie, n conformitate cu AC11. n consecin, o evaluare a riscului este folosit n determinarea cerin elor de autentificare ale instituiei. Cerinele de identificare i autentificare pentru accesul utilizatorilor organizaionali la sistemul informatic sunt descrise n IA-2.

CATEGORIA: RSPUNSUL LA INCIDENTE

CLASA: OPERAIONAL

RI-1 POLITICA I PROCEDURILE DE RSPUNS LA INCIDENTE Msura: Instituia dezvolt, disemineaz, i revizuie te/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic de rspuns la incidente oficial i documentat care stabile te scopul, sfera de aplicare, rolurile, responsabilitile, angajamentului managerial i coordonarea ntre entitile organizatorice; i b. Procedurile oficiale pentru a facilita punerea n aplicare a politicii de rspuns la incidente i a msurilor asociate rspunsului la incidente. ndrumri suplimentare: Aceast msur este destinat producerii de politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate selectate n legtur cu rspunsul la incidente. Politica i procedurile sunt n conformitate cu legile naionale, ordinele, directivele, politicile, reglementrile i standardele de orientare . Politica i procedurile sunt n concordan cu legile, ordinele, directivele, politicile, reglementrile, standardele i ghidurile departamentale aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politicile de rspuns la incidente pot fi incluse ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de evaluare a securitii i autorizare pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului a instituiei este un factor determinant n dezvoltarea politicii de pregtire i contientizare a riscurilor de securitate. RI-2 PREGTIREA DE RSPUNS LA INCIDENTE Msura: Instituia: a. Antreneaz personalul conform rolurilor i responsabilit ilor acestora n caz de incidente cu privire la sistemul informatic; i b. Ofer cursuri de perfecionare [Atribuire: cu o frecven stabilit de instituie ]. ndrumri suplimentare: Pregtirea de rspuns la incidente include antrenarea utilizatorilor pentru identificarea i raportarea activitilor suspecte, att din surse externe ct i interne. mbuntiri ale msurii:
(1) Instituia include evenimente simulate, n antrenamentul de rspuns la

incidente, pentru a facilita rspunsul eficient al personalului n situaii de criz.


(2) Instituia are mecanisme automate pentru a oferi un mediu de pregtire mai

profund i realist. RI-3 TESTAREA I EXERSAREA RSPUNSULUI LA INCIDENTE

Msura: Instituia testeaz i/sau exerseaz capacitatea de rspuns la incidente pentru sistemul informatic [Atribuire: cu o frecven stabilit de instituie ] utiliznd [Atribuire: teste i/sau exerciii stabilite de instituie ] pentru a determina eficiena de rspuns la incidente i a consemna rezultatele. mbuntiri ale msurii:
(1) Instituia implementeaz mecanisme automate pentru a testa/exersa mai bine

i mai eficient capacitatea de rspuns la incidente. ndrumri suplimentare: Mecanismele automate ofer suport pentru o mai bun i mai eficient testare sau exersare a rspunsului la incidente, oferind o acoperire mai complet a problemelor legate de rspunsul la incidente, selectnd scenarii mai realiste de testare / exersare i medii eficiente, subliniind capacitatea de reacie. RI-4 GESTIONAREA INCIDENTELOR Msura: Instituia: a. Implementeaz capacitate de gestionare a incidentelor legate de securitate, care include pregtirea, detecia si analiza, izolarea, eradicare i recuperarea; b. Coordoneaz activitile de manipulare a incidentul cu activitile de planificare a situaiilor de urgen; i c. ncorporeaz leciile nvate din activitile de rezolvare a incidentelor n procedurile de rspuns la incidente, n programele de instruire, testare/exersare, i pune n aplicare modificrile rezultate. ndrumri suplimentare: Informaiile legate de incidentele pot fi obinute dintr-o varietate de surse, inclusiv, monitorizarea de audit, monitorizare re elei, monitorizare a accesului fizic, i raportri ale utilizatorilor sau administratorilor. mbuntiri ale msurii:
(1) Instituia implementeaz mecanisme automate pentru a sprijini procesul de

gestionare a incidentelor. ndrumri suplimentare: Un sistem on-line de management al incidentelor este un exemplu de mecanism automat.

RI-5 MONITORIZAREA INCIDENTELOR Msura: Instituia documenteaz i pstreaz nregistrrile legate de incidentele de securitate. ndrumri suplimentare: Documentarea incidentelor de securitate din sistemul informatic include, spre exemplu meninerea unor nregistrri despre fiecare incident, strile incidentului, precum i alte informaii pertinente necesare pentru investiga ii ulterioare. Informaiile despre incident pot fi obinute dintr-o varietate de surse, inclusiv, spre exemplu rapoarte despre incidente, echipe de rspuns la incidente, monitorizare de audit, monitorizare a reelei, monitorizare a accesului fizic, i raportri ale utilizatorilor sau administratorilor. mbuntiri ale msurii:

(1) Instituia are mecanisme automate pentru a ajuta la urmrirea incidentelor de

securitate, colectarea i analizarea informaiilor legate de acestea. RI-6 RAPORTAREA INCIDENTELOR Msura: Instituia: a. Necesit personal pentru a raporta incidentele de securitate suspectate [Atribuire: organizarea definite de perioada de timp]; i b. Raporteaz incidente de securitate ctre autoritile desemnate. ndrumri suplimentare: Intenia acestui control este de a aborda att cerinele specifice de raportare a incidentelor n cadrul unei instituii, precum i cerinele formale de raportare pentru ageniile naionale i instituiile subordonate lor. Tipurile de incidente de securitate raportate, coninutul i oportunitatea rapoartelor, precum i lista autoritilor desemnate de raportare sunt n concordan cu legile na ionale, ordinele, directivele, politicile, reglementrile i standardele de orientare. mbuntiri ale msurii:
(1)Instituia are mecanisme automate pentru a asista la raportarea incidentelor

de securitate. RI-7 ASISTENA PENTRU RSPUNS LA INCIDENTE Msura: Instituia asigur resurse de rspuns la incidente, ca parte integrant a capacitii organizaionale de rspuns la incidente, care ofer consultan i asisten pentru utilizatorii sistemului informatic pentru gestionarea i raportarea incidentelor de securitate. ndrumri suplimentare: Posibilele implementri ntr-o instituie ale resurselor de asisten la incidente includ un birou de ajutor sau un grup de asisten i de acces la serviciile de investigaii informatice, atunci cnd este necesar. mbuntiri ale msurii:
(1) Instituia implementeaz mecanisme automate pentru a crete disponibilitatea

informaiilor legate de incidente de rspuns i de sprijin. ndrumri suplimentare: Mecanismele automate pot oferi un impuls pentru capacitatea utilizatorilor de a obine asisten pentru a rspunde la incidente. Spre exemplu persoanele fizice ar putea avea acces la un site web pentru interogarea capacitii de asisten, sau invers, sistemul de asisten poate trimite n mod proactiv informaii (de distribuie general sau direcionate) ctre utilizatori. RI-8 PLANUL DE RSPUNS LA INCIDENTE Msura: Instituia:
a. Dezvolt un plan de rspuns la incidente care:

Furnizeaz instituiei o cale de urmat pentru punerea n aplicare a capacitii sale de rspuns la incidente; Descrie structura i organizarea capacitii de rspuns la incidente; Ofer o abordare la nivel nalt pentru modul n care capacitatea de rspuns la incidente se ncadreaz n organizarea general; Respect cerinele unice ale instituiei, care se refer la misiune, dimensiune, structur i funcii;
Definete incidentele raportabile;

Prevede valori de msurare a capacitii de rspuns la incidente n cadrul instituiei. Definete resursele i sprijinul administrativ necesare pentru a menine n mod eficient capacitatea de rspuns la incidente, i Este analizat i aprobat de ctre funcionarii desemnai n cadrul instituiei;

b. Distribuie copii ale planului de rspuns la incidente la [ Atribuire: lista personalului

cu responsabiliti pe linia rspunsului la incidente i elementele de organizare definite de instituie];


c. Revizuiete planul de rspuns la incidente [ Atribuire: cu o frecven stabilit de

instituie]; d. Revizuiete planul de rspuns la incidente pentru a reglementa schimbrile intervenite la nivelul sistemului/instituiei sau problemele ntlnite n punerea n aplicare, execuiei, sau testrii planului; i e. Comunic modificrile planului de rspuns la incidente [ Atribuire: lista personalului cu responsabiliti pe linia rspunsului la incidente i elementele de organizare definite de instituie]. ndrumri suplimentare: Este important ca instituia sa aib o abordare oficial, concentrat i coordonat pentru rspunsul la incidente. Misiunile, strategiile i obiectivele pentru rspunsul la incidente, ajut la determinarea structurii capacitii sale de rspuns la incidente.

CATEGORIA: MENTENANA

CLASA: OPERAIONAL

ME-1 POLITICILE I PROCEDURILE DE MENTENAN A SISTEMULUI Msura: Instituia dezvolt, disemineaz i revizuiete / actualizeaz frecven stabilit de instituie]: [ Atribuire: cu o

a. O politic oficial de mentenan a sistemului informatic, document care stabilete scopul, sfera de aplicare, rolurile, responsabilitile, angajamentul managerial, coordonarea ntre entitile organizatorice i aspectele de conformitate; i b. Procedurile oficiale pentru a facilita punerea n aplicare a politicii de mentenan a sistemului informatic i a msurilor aferente mentenanei sistemului. ndrumri suplimentare: Aceast msur este destinat s produc politicile i procedurile care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate i a mbuntirilor acestora legate de ntreinere a sistemului. Politica i procedurile sunt n conformitate cu legile naionale, directivele, politicile, reglementrile, standardele, i ghidurile aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de mentenan a sistemul informatic poate fi inclus ca parte integrant a politicii generale de securitate a informaiilor pentru instituie. Procedurile de mentenan a sistemului pot fi dezvoltate pentru programul de securitate, n general, i pentru un anumit sistem informatic, atunci cnd este necesar. Strategia de management al riscurilor stabilit de ctre instituie este un factor cheie n dezvoltarea politicii de mentenan a sistemului. ME-2 MENTENANA CONTROLAT Msura: Instituia: a. Programeaz, realizeaz, documenteaz i revizuie te nregistrrile (eviden ele) privind ntreinerea i reparaiile componentelor sistemului informatic, n conformitate cu specificaiile productorului sau vnztorului i/sau cerinele organizatorice; b. Controleaz toate activitile de mentenan , indiferent dac sunt efectuate local sau de la distan i dac echipamentul este deservit local sau trimis n alt locaie; c. Impune ca un oficial desemnat n mod explicit s aprobe trimiterea sistemului informatic, sau componentelor acestuia, ntr-o alt locaie pentru reparaii sau ntreinere; d. Sanitizeaz echipamentele pentru a elimina toate informaiile coninute de mediile de stocare nainte de trimiterea acestora la reparat; i e. Verific toate msurile de securitate potenial afectate n urma reparaiilor i/sau mentenanei. ndrumri suplimentare: Norma este destinat s reglementeze aspectele de securitate ale programului de mentenan a sistemului informatic. mbuntiri ale msurii: (1) Instituia menine nregistrri privind mentenana sistemului informatic care includ: (a) Data i ora realizrii mentenanei; (b) Numele persoanei care efectueaz mentenana; (c) Numele nsoitorului, dac este necesar; (d) O descriere a activitilor de mentenan efectuate; i

(e) O list de echipamente ndeprtate sau nlocuite (inclusiv seriile de identificare, dac este cazul). (2) Instituia implementeaz mecanisme automate pentru a stabili orarul de mentenan i reparaii dup cum este necesar, producnd actualizri, evidene exacte, complete i disponibile ale tuturor aciunilor de mentenan i reparare. ME-3 INSTRUMENTE DE MENTENAN Msura: Instituia aprob, controleaz i monitorizeaz utilizarea instrumentelor de mentenan a sistemul informatic. ndrumri suplimentare: Aceast msur este destinat reglementrii problemelor de securitate care reies din utilizarea, n sistemul informatic, a unor componente hardware i software folosite pentru aciunile de diagnosticare si reparare. Aceast msur nu face referire la componentele hardware i software prezente n mod implicit n componena sistemului informatic. mbuntiri ale msurii: (1) Instituia inspecteaz toate instrumentele de mentenan aduse de ctre personalul de ntreinere. ndrumri suplimentare: instrumentele de mentenan includ, spre exemplu echipamente de diagnosticare i de testare utilizate pentru a efectua ntreinerea sistemului informatic. (2) Instituia verific toate mediile de stocare care conin programele de diagnosticare i de ncercare pentru a detecta eventualele programe maliioase nainte ca acestea s fie folosite n sistemul informatic. ME-4 MENTENANA N AFARA LOCAIEI Msura: Instituia: a. Autorizeaz, monitorizeaz i controleaz activitile de mentenan i de diagnosticare efectuate n afara locaiei de baz; b. Permite utilizarea de instrumente de mentenan i de diagnosticare provenite din exterior numai n conformitate cu politica de organizare i documentare n planul de securitate pentru sistemul informatic; c. Implementeaz tehnici de autentificare n organizarea mentenan ei i diagnosticrii n afara locaiei de baz; d. Arhiveaz nregistrrile activitilor de mentenan i de diagnosticare nelocale; i e. Termina toate sesiunile i conexiunile de reea atunci cnd mentenan a este finalizat. ndrumri suplimentare: Activitile de mentenan i de diagnosticare ne-locale sunt acele activiti desfurate de ctre persoane fizice prin intermediul unei reele; fie o reea extern (spre exemplu Internet), sau o reea interna. mbuntiri ale msurii:

(1) Instituia auditeaz sesiunile ne-locale de mentenan i de diagnosticare, iar personalul desemnat revizuiete nregistrrile din timpul sesiunilor de mentenan. (2) Instituia consemneaz, n planul de securitate pentru sistemul informatic, instalarea i utilizarea unor conexiuni la distan pentru realizarea activit ilor de mentenan i diagnosticare. (3) Instituia: (a) Impune ca sistemele ne-locale mentenan i serviciile de diagnosticare s fie efectuate de la un sistem informatic care are implementat un nivel de securitate cel puin la fel de mare ca cel implementat n sistemul supus mentenanei; sau (b) Elimin componenta sistemului informatic care urmeaz s fie trimis la diagnosticat/reparat i o sanitizeaz (cu privire la informaiile confideniale ale instituiei) i, dup finalizarea activitii, inspecteaz i re-sanitizeaz componenta (n ceea ce privete software-ul mali ios / nociv i implanturile mascate), nainte de a o reconecta la sistemului informatic. ME-5 PERSONALUL DE MENTENAN Msura: Instituia: a. Stabilete un proces de autorizare a personalului de mentenan i menine o list actualizat a instituiilor de ntreinere autorizate; i b. Se asigur c personalul care efectueaz mentenan a sistemului informatic a solicitat autorizaii de acces, sau desemneaz persoanele din cadrul instituiei, care dein autorizaiile de acces i competene tehnice considerate ca fiind necesare, pentru a supraveghea procesul de mentenan atunci cnd personalul de ntreinere nu are autorizaiile necesare de acces. ndrumri suplimentare: Persoanele fizice care nu au fost autentificate n sistemul informatic, cum ar fi personalul vnztor i consultani, pot solicita n mod legitim acces privilegiat la sistem, spre exemplu atunci cnd este necesar s desfoare activiti de mentenan sau de diagnostic cu un preaviz. Bazat pe o evaluare prealabil a riscurilor, instituia poate elibera acreditrile temporare pentru aceste persoane. Acreditarea temporar poate fi pentru o singur dat de utilizare sau pentru o perioad de timp foarte limitat. ME-6 MENTENANA N TIMP UTIL Msura: Instituia obine sprijin pentru mentenan i/sau piese de schimb pentru [Atribuire: lista componentelor critice pentru sistemul informatic definit de instituie ] n [Atribuire: perioada de timp definit de instituie ] de la apariia defeciunii. ndrumri suplimentare: Instituia specific acele componente ale sistemului informatic care, atunci cnd nu funcioneaz, pot crea un risc crescut pentru instituie, persoane, sau naiune, deoarece funcionalitatea de securitate asigurat de ctre aceast component nu este furnizat. Componentele critice de securitate includ, spre exemplu firewall,

gateway-uri, sisteme de detectare a intruziunilor, depozite de audit, servere de autentificare i sisteme de prevenire a intruziunilor.

CATEGORIA: PROTECIA MEDIILOR DE STOCARE A INFORMAIILOR

CLASA: OPERAIONAL

PM-1 POLITICA I PROCEDURILE DE PROTECIE A MEDIILOR DE STOCARE Msura: Instituia dezvolt, disemineaz i revizuiete/actualizeaz frecven stabilit de instituie]: [ Atribuire: cu o

a. O politic oficial de protecie a mediilor de stocare care stabilete scopul, sfera de aplicare, rolurile, responsabilitile, angajamentul managerial, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Proceduri oficiale pentru a facilita punerea n aplicare a politicii de protecie a mediilor de stocare. ndrumri suplimentare: Aceast msur este destinat s produc politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate i mbuntirilor acestora legate de protecia mediilor de stocare. Politica i procedurile sunt n conformitate cu legile naionale, directivele, politicile, reglementrile, standardele, i ghidurile aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de protecie a mediilor de stocare poate fi inclus ca parte integrant a politicii generale de securitate a informaiilor pentru instituie. Procedurile de protecie a mediilor de stocare pot fi dezvoltate pentru programul de securitate, n general, i pentru un sistem de informare special, atunci cnd este necesar. Strategia de gestionare a riscurilor este un factor cheie n dezvoltarea politicii de protecie a mediilor de stocare. PM-2 ACCESUL LA MEDIILE DE STOCARE Msura: Instituia restricioneaz accesul la [ Atribuire: medii de stocare digitate i nondigital definite de instituie] la [Atribuire: lista definit a persoanelor fizice autorizate ] folosind [Atribuire: msurile de securitate definite]. ndrumri suplimentare: Mediile de stocare ale sistemului informatic includ att mediile digitale (spre exemplu dischete, benzi magnetice, discuri externe / amovibile, memorystick, CD, DVD) i medii non-digitale (spre exemplu hrtie, microfilm). Aceast msur se aplic, de asemenea, i dispozitivelor de calcul mobile cu capacitate de stocare a informaiilor (spre exemplu notebook / laptop, asisteni personali digitali, telefoane celulare, camere digitale i dispozitive de nregistrare audio). O evaluare de risc a instituiei ndrum cu privire la selectarea mediilor de stocare i informaiilor asociate care necesit acces restricionat. Instituia consemneaz n politici i proceduri mediile de stocare care necesit acces restricionat, persoanele fizice autorizate pentru a accesa mediile de stocare, precum i msurile specifice adoptate pentru a restriciona accesul. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme automate pentru a restriciona accesul la anumite medii de stocare i pentru a audita tentativele de accesare neautorizat a acestora.

ndrumri suplimentare: Aceast mbuntire este n primul rnd aplicabil pentru zonele unde se afl un volum mare de medii de stocare i nu este aplicabil fiecrei locaii unde se afl unele medii de stocare (spre exemplu n birouri individuale). PM-3 MARCAREA MEDIILOR DE STOCARE Msura: Instituia: a. Marcheaz mediile de stocare ale sistemului informatic, n conformitate cu politicile i procedurile organizaionale, indicnd restriciile de distribuire, restriciile de manipulare i marcajele de securitate aplicabile (dac exist); i b. Scutete de marcare [Atribuire: lista cu tipurile de medii de stocare definit de instituie] att timp ct elementele scutite rmn n interiorul [ Atribuire: zonele definite de instituie]. ndrumri suplimentare: Termenul marcaj este utilizat atunci cnd se refer la aplicarea sau utilizarea de atribute care pot fi citite de om. Termenul etichetare este folosit atunci cnd se refer la aplicarea sau utilizarea de atribute de securitate cu privire la structurile de date interne n cadrul sistemului informatic. Marcarea mediilor de stocare amovibile este n concordan cu legile naionale, , directivele, politicile, reglementrile i standardele aplicabile n vigoare. PM-4 PSTRAREA MEDIILOR DE STOCARE Msura: Instituia: a. Controleaz din punct de vedere fizic [ Atribuire: tipurilor de medii de stocare digitale i non-digitale definite de instituie ] n cadrul [Atribuire: zonele controlate definite de instituie] folosind [Atribuire: msurile de securitate definite de instituie ]; b. Protejeaz mediile de stocare pn cnd informaiile coninute de acestea sunt distruse sau curate folosind echipamentele i tehnici aprobate. ndrumri suplimentare: Ca parte a unei strategii de aprare n profunzime, Instituia poate lua n considerare criptarea informaiilor stocate pe diferite medii de stocare. Selecia mecanismelor criptografice utilizate se bazeaz pe meninerea confidenialitii i integritii informaiilor. PM-5 TRANSPORTUL MEDIILOR DE STOCARE Msura: Instituia: a. Protejeaz i controleaz [Atribuire: tipurile de medii de stocare digitale i nondigitale definite de instituie] pe timpul transportului n afara zonelor controlate, cu ajutorul [Atribuire: msurile de securitate definite de instituie ]; b. Menine responsabilitatea pentru mediile de stocare pe timpul transportului n afara zonelor controlate; i c. Restrnge activitile asociate cu transportul mediilor de stocare ctre personalul autorizat. ndrumri suplimentare: Containerele ncuiate i criptografia sunt exemple de msuri de securitate disponibile pentru a proteja mediile de stocare pe timpul transportului.

Mecanisme criptografice pot oferi confidenialitatea i / sau protecia integritii n funcie de mecanismele utilizate. mbuntiri ale msurii: (1) Instituia documenteaz activitile legate de transportul mediilor de stocare a informaiilor. ndrumri suplimentare: Instituiile stabilesc cerinele de documentaie pentru activitile legate de transportul mediilor de stocare, n conformitate cu evaluarea de risc a instituiei. (2) Instituia desemneaz un custode pe tot parcursul transportului mediilor de stocare. ndrumri suplimentare: responsabilitile de custode pot fi transferate de la un individ la altul, atta timp ct n orice moment este identificat un custode. PM-6 SANITIZAREA MEDIILOR DE STOCARE Msura: Instituia: a. Sanitizeaz mediile de stocare, att digitale ct i non-digitale, nainte de scoaterea din folosin, eliberarea de sub controlul instituiei sau oferirea spre reutilizare; i b. Implementeaz mecanisme de sanitizare care ofer un grad de siguran n conformitate cu sensibilitatea informaiilor. ndrumri suplimentare: Aceast msur se aplic tuturor mediilor de stocare ce urmeaz s fie scoase din uz sau reutilizate, indiferent dac sunt sau nu considerate amovibile. Sanitizarea este procesul utilizat pentru a elimina informaiile stocate pe mediile de stocare, astfel nct s existe o siguran rezonabil c informaiile nu pot fi recuperate sau reconstruite. Tehnicile de sanitizare, inclusiv de compensare, epurare i distrugere a mediilor de stocare, previn divulgarea informaiilor ctre persoanele neautorizate atunci cnd astfel de medii de stocare sunt reutilizate sau eliminate. mbuntiri ale msurii: (1) Instituia urmrete, consemneaz, i verific sanitizarea mediilor de stocare i aciunile de scoatere din uz. (2) Instituia testeaz echipamentele i procedurile de sanitizare pentru a verifica performana acestora [Atribuire: cu o frecven stabilit de instituie ]. (3) Instituia sanitizeaz dispozitivele portabile de stocare nainte de conectarea acestora la sistemul informatic n urmtoarele situaii: [ Atribuire: lista cu situaiile care necesit sanitizarea dispozitivelor portabile de stocare, definit de instituie]. ndrumri suplimentare: Dispozitivele de stocare portabile (spre exemplu memorii USB, memorii flash, dispozitive externe de stocare) pot fi o surs de inserii de cod maliios n sistemele informatice ale instituiei. Multe dintre aceste dispozitive sunt obinute din surse necunoscute si pot conine diferite tipuri de cod malware, care poate fi uor transferat n sistemul informatic prin porturile USB sau alte porturi de intrare.

FAMILIA: PROTECTIA FIZIC

CLASA: OPERAIONAL

PF-1 POLITICA I PROCEDURILE DE PROTECIE FIZIC I DE MEDIU Msura: Instituia dezvolt, disemineaz frecven stabilit de instituie]: i revizuiete/actualizeaz [ Atribuire:cu o

a. O politic oficial de protecie fizic i de mediu care stabilete scopul, sfera de aplicare, rolurile, responsabilitile, coordonarea ntre entitile organizaionale i aspectele de conformitate; i b. Proceduri oficiale pentru a facilita punerea n aplicare a politicii de protecie fizic i de mediu a sistemului informatic. ndrumri suplimentare: Aceast msur este destinat s produc politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate i mbuntirilor selectate legate de protecia fizic i a mediului. Politica i procedurile sunt n conformitate cu legile naionale, , directivele, politicile, reglementrile i standardele aplicabile n vigoare. Politica de protecie fizic i de mediu pot fi inclus ca parte integrant a politicii generale de securitate a informaiilor pentru instituie. Procedurile de protecie fizic i a mediului pot fi dezvoltate pentru programul de securitate, n general, i pentru un sistem informatic special, atunci cnd este necesar. Strategia instituiei de gestionare a riscurilor este un factor cheie n dezvoltarea politicii de protecie fizic i de mediu. PF-2 AUTORIZAIILE DE ACCES FIZIC Msura: Instituia: a. Dezvolt i pstreaz o list actualizat / la zi a personalului autorizat, cu acces la perimetrul fizic al sistemului informatic (cu excepia acelor zone desemnate oficial ca fiind accesibile publicului); b. Emite credeniale de autorizare; c. Revizuiete i aprob lista de acces i credenialele de autorizare [ Atribuire: cu o frecven stabilit de instituie ], eliminnd din lista de acces personalul care nu mai necesit acces. ndrumri suplimentare: Credenial atestarea unei autorizri de acces la serviciile publice on-line sau la infrastructurile cibernetice asociate, date unui utilizator. Exemple de credeniale de autentificare ale utilizatorilor, n scopul accesului controlat la date, informaii sau alte resurse ale unui sistem informatic: username i parole de utilizator, e-tokenuri, certificate digitale Credenialele de autorizare a accesului fizic includ , ecusoane, carduri de identificare, cartele inteligente PF-3 MSURI DE ACCES FIZIC Msura: Instituia:

a. Impune autorizaii de acces fizic pentru toate punctele de acces (inclusiv punctele desemnate de intrare / ieire) ctre locaiile unde este localizat sistemul informatic; b. Verific autorizaiile individuale de acces nainte de acordarea accesului; c. Controleaz intrarea n locaia sistemului informatic utiliznd dispozitivele de acces fizic i/sau grzi; d. Controleaz accesul n zonele oficial desemnate ca accesibile publicului, n conformitate cu evaluarea de risc a instituiei; e. Asigur dispozitive de acces cu diferite combinaii, taste; f. Inventariaz dispozitivele de acces fizic [ Atribuire: cu o frecven stabilit de instituie]; i g. Modific combinaiile i tastele [Atribuire: cu o frecven stabilit de instituie ] atunci cnd cheile sunt pierdute, combinaiile sunt compromise sau persoanele fizice sunt transferate sau concediate. mbuntiri ale msurii: (1) Instituia impune autorizaii de acces fizic la sistemul informatic ndrumri suplimentare: Aceast mbuntire se aplic pentru camerele serverelor, zonele mediilor de stocare, centrele de comunicaii sau orice alte zone care conin concentraii mari de componente ale sistemului informatic. PF-4 CONTROLUL ACCESULUI PENTRU MEDIILE DE TRANSMISIE Msura: Instituia controleaz accesul fizic la sistemul de transmisie a informaiilor i liniilor de transport n cadrul instituiei. ndrumri suplimentare: Protecia fizic aplicat liniilor de distribu ie i transmisie ale sistemului informatic ajut la prevenirea deteriorrii accidentale, ntreruperilor i deteriorrilor fizice. n plus, msurile de protecie fizic sunt necesare pentru a ajuta la prevenirea interceptrii sau modificrii datelor tranzitate n mod necriptat. PF-5 CONTROLUL ACCESULUI PENTRU DISPOZITIVELE DE IEIRE Msura: Instituia controleaz accesul fizic la dispozitive de ieire ale sistemului informatic pentru a mpiedica persoanele neautorizate s obin datele de ieire. ndrumri suplimentare: Monitoarele, imprimantele i dispozitive audio sunt exemple de dispozitive de ieire ale sistemului informatic. PF-6 MONITORIZAREA ACCESULUI FIZIC Msura: Instituia: a. Monitorizeaz accesul fizic la sistemul informatic pentru a detecta i a rspunde la incidentele de securitate fizic; b. Revizuiete nregistrrile legate de accesul fizic [ Atribuire: cu o frecven stabilit de instituie]; c. Coroboreaz rezultatele revizuirilor i investigaiilor cu capabilitile de rspuns la incidente ale instituiei.

ndrumri suplimentare: Rspunsul la incidentele de securitate fizic, inclusiv nclcri de securitate aparente sau activiti de acces suspecte, fac parte din capacitatea instituiei de rspuns la incidente. mbuntiri ale msurii: (1) Instituia monitorizeaz n timp real alarmele de intruziune i echipamentele de supraveghere. (2) Instituia implementeaz mecanisme automate pentru recunoaterea potenialului de intruziuni i iniiaz aciunile ca rspuns stabilite . PF-7 CONTROLUL VIZITATORILOR Msura: Instituia controleaz accesul fizic la zonele de dispunere a sistemul informatic prin autentificarea vizitatorilor nainte de a autoriza accesul, altele dect zonele desemnate ca accesibile publicului. ndrumri suplimentare: Persoanele fizice (angajaii instituiei, personalul contractul, i alii) care posed drepturi de acces permanent nu sunt considerate vizitatori. mbuntiri ale msurii: (1) Instituia conduce i monitorizeaz activitatea vizitatorilor atunci cnd este necesar. PF-8 NREGISTRRILE DE ACCES Msura: Instituia: a. Menine nregistrri ale accesului vizitatorilor la sistemul informatic (cu excepia acelor zone desemnate oficial ca accesibile publicului); i b. Revizuiete nregistrrile legate de accesul vizitatorilor [ Atribuire: cu o frecven stabilit de instituie]. ndrumri suplimentare: nregistrrile de acces al vizitatorilor includ, spre exemplu numele/instituia vizitatorului, semntura, acte de identificare, data de acces, ora de intrare i de plecare, scopul vizitei, i numele / compartimentul persoanei vizitate. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme automate pentru a facilita ntreinerea i revizuirea nregistrrilor de acces. (2) Instituia pstreaz o eviden a tuturor accesrilor fizice, att ale vizitatorilor ct i ale persoanelor fizice autorizate. PF-9 ECHIPAMENTE I CABLURILE DE ALIMENTARE Msura: Instituia protejeaz echipamentele i cablurile de alimentare ale sistemului informatic mpotriva daunelor i distrugerilor. ndrumri suplimentare: Aceast msur, pentru a include orice mbuntire specificat, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional.

PF-10 OPRIREA DE URGEN Msura: Instituia: a. Asigur capacitatea de a opri sistemul informatic n situaii de urgen; b. Amplaseaz ntreruptoare sau dispozitive de nchidere de urgen pentru a facilita accesul sigur si simplu pentru personal; i c. Protejeaz capacitatea de oprire de urgen mpotriva activrilor neautorizate. ndrumri suplimentare: Aceast msur se aplic la instalaiile care conin concentrri de resurse ale sistemului informatic, spre exemplu centrele de date, camere de servere, precum i camere unde sunt amplasate computere. PF-11 ALIMENTAREA DE URGEN Msura: Instituia ofer o surs de alimentare nentreruptibil, pe termen scurt, pentru a facilita o oprire ordonat a sistemului informatic n eventualitatea cderii sursei primare de energie. ndrumri suplimentare: Aceast msur, pentru a include orice mbuntiri specificate, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional. mbuntiri ale msurii: (1) Instituia asigur o surs de energie alternativ, pe termen lung, pentru ca sistemul informatic s fie capabil de a menine capacitatea de funcionare minim necesar, n cazul unei cderi a sursei de energie primar. PF-12 ILUMINATUL DE URGEN Msura: Instituia implementeaz i menine un sistem automat de iluminare de urgen pentru sistemul informatic, care se activeaz n eventualitatea unei pene de curent i care acoper ieirile de urgen i cile de evacuare din cadrul perimetrului afectat. ndrumri suplimentare: Aceast msur, pentru a include orice mbuntiri specificate, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional. PF-13 PROTECIE MPOTRIVA INCENDIILOR Msura: Instituia implementeaz i menine dispozitive de stingere i de detectare a incendiilor aprute n locaia sistemului informatic, care sunt susinute de ctre o surs de energie independent. ndrumri suplimentare: Dispozitivele de stingere i de detectare a incendiilor includ, spre exemplu sisteme sprinklere, extinctoare portative, furtunuri fixe de incendiu i detectoare de fum. Aceast msur, pentru a include orice mbuntiri specificate, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional. mbuntiri ale msurii: (1) Instituia deine dispozitive de detectare a incendiilor care se activeaz n mod automat i comunic instituiei i echipelor de rspuns la urgene n caz de incendiu.

(2) Instituia deine dispozitive de suprimare a incendiilor care furnizeaz notificri automate referitoare la activitile de intervenie de urgen. (3) Instituia implementeaz un sistem automat de stingere a incendiilor pentru sistemul informatic n cazul n care instalaia nu este monitorizat n mod continuu. PF-14 CONTROLUL TEMPERATURII I UMIDITII Msura: Instituia: a. Menine nivelurile de temperatur i umiditate din interiorul locaiei n care se afl sistemul informatic la [Atribuire:nivel acceptabil definit de instituie ]; i b. Monitorizeaz nivelurile de temperatur i umiditate [Atribuire: cu o frecven stabilit de instituie]. ndrumri suplimentare: Aceast msur, pentru a include orice mbuntiri specificate, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional. PF-15 PROTECIA MPOTRIVA DAUNELOR PROVOCATE DE AP Msura: Instituia protejeaz sistemul informatic mpotriva daunelor cauzate de scurgerile de ap prin implementarea unor valve de nchidere total care sunt accesibile personalului cheie. ndrumri suplimentare: Aceast msur, pentru a include orice mbuntiri specificate, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme care, fr a fi nevoie de intervenie manual, protejeaz sistemul informatic mpotriva daunelor cauzate de apariia unei scurgeri de ap. PF-16 LIVRAREA I NDEPRTAREA Msura: Instituia autorizeaz, monitorizeaz i controleaz [ Atribuire: tipurile de componente ale sistemului informatic definite de instituie ] intrarea i ieirea din locaia de baz i menine o eviden a acestor elemente. ndrumri suplimentare: Impunerea eficient a autorizaiilor pentru intrarea i ieirea componentelor sistemului informatic poate nsemna restricionarea accesului la zonele de livrare i, eventual, izolarea zonelor din sistemul informatic. PF-17 LOCAII DE LUCRU ALTERNATIVE Msura: Instituia: a. Implementeaz [Atribuire: msuri de securitate de administrare, operaionale, i legate de sistemul informatic] n locuri de operare alternative; b. Evalueaz pe ct posibil eficacitatea msurilor de securitate din locaiile alternative; i

c. Ofer mijloace pentru angajai de a comunica cu personalul de securitate n caz de incidente sau probleme. ndrumri suplimentare: Locaiile de operare alternative pot include, spre exemplu alte instituii guvernamentale. Instituia poate defini seturi diferite de msuri de securitate pentru locaiile specifice. PF-18 AMPLASAREA COMPONENTELOR SISTEMULUI INFORMATIC Msura: Instituia poziioneaz componentele sistemului informatic n cadrul locaiei astfel nct s reduc la minimum pericolul potenial de deteriorare datorat pericolelor fizice i de mediu i de asemenea s reduc la minimum posibilitatea de acces neautorizat. ndrumri suplimentare: Pericole fizice i de mediu includ, spre exemplu inundaii, incendii, tornade, cutremure, uragane, acte de terorism, vandalism, impuls electromagnetic, interferene electrice i radiaii electromagnetic. Instituia monitorizeaz spaiile din apropierea punctelor de intrare fizice, unde persoane neautorizate, ar putea fi, totui, n imediata apropiere a sistemului informatic i, prin urmare, crete potenialul de acces neautorizat la comunicaiile instituiei (spre exemplu prin utilizarea de microfoane sau sisteme de interceptare fr fir). Aceast msur, pentru a include orice mbuntiri specificate, poate fi ndeplinit prin cerine similare ndeplinite de ctre o alt entitate organizaional. mbuntiri ale msurii: Instituia ia n considerare toate pericolele fizice i de mediu n strategia sa de reducere a riscurilor.

FAMILIA: PLANIFICAREA

CLASA: ADMINISTRATIV

PL-1 POLITICA I PROCEDURILE DE PLANIFICARE DE SECURITATE Msura: Instituia dezvolt, disemineaz, i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de planificare de securitate care stabilete domeniul, scopul, rolurile, responsabilitile, devotamentul managerial, coordonarea ntre entitile instituiei i aspectele de conformitate; i b. Procedurile oficiale care s faciliteze implementarea politicii de planificare a securitii i msurilor asociate acesteia. ndrumri suplimentare: Aceast msur are drept scop s genereze politica i procedurile necesare pentru implementarea efectiv a msurilor de securitate selectate i mbuntirilor acestora n domeniul planificrii de securitate Politica i procedurile sunt n concordan cu legile naionale, ordinele, directivele, politicile, reglementrile, standardele i ghidurile departamentale aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de planificare de securitate poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de planificare de securitate pot fi elaborate att pentru programul de securitate n general, ct i pentru un sistem informatic particular, atunci cnd este necesar. Strategia de management al riscului instituiei este un factor determinant n dezvoltarea politicii de planificare de securitate. PL-2 PLANUL DE SECURITATE AL SISTEMULUI INFORMATIC Msura: Instituia: a. Dezvolt un plan de securitate pentru sistemul informatic care: - Este n concordan cu structura organizatoric; - Definete n mod explicit limita spaiului de autorizare pentru sistem; - Descrie contextul operaional al sistemului informatic n termeni de misiuni i procese ale instituiei; - Ofer o clasificare de securitate a sistemului informatic, inclusiv justificrile n acest sens; - Descrie mediul operaional pentru sistemul informatic; - Descrie relaiile sau conexiunile cu alte sisteme informatice; - Ofer o imagine de ansamblu a cerinelor de securitate pentru sistem; - Descrie msurile de securitate aplicabile n vigoare sau cele planificate pentru ndeplinirea acestor cerine, inclusiv o justificare pentru ajustrile i deciziile suplimentare; i - Este analizat i aprobat de ctre funcionarul responsabil cu autorizarea sau de reprezentantul desemnat nainte de punerea n aplicare planului; b. Revizuiete planul de securitate pentru sistemul informatic [Atribuire: cu o frecven stabilit de instituie]; i

c. Actualizeaz planul de abordare a modificrilor aduse sistemului informatic, mediului de funcionare, sau problemelor identificate n timpul implementrii planului de securitate. ndrumri suplimentare: Planul de securitate conine informaii suficiente (inclusiv specificarea parametrilor pentru declaraiile de atribuire i de selecie a msurilor de securitate, fie n mod explicit sau prin referin) pentru a permite o punere n aplicare care este n concordan cu intenia planului. PL-3 REGULI DE COMPORTAMENT Msura: Instituia: a. Stabilete i face disponibile tuturor utilizatorilor sistemului informatic, regulile care descriu responsabilitile acestora i comportamentul ateptat din partea acestora n ceea ce privete utilizarea informaiilor i a sistemului informatic; b. Centralizeaz confirmrile de luare la cunotin din partea utilizatorilor, care indic faptul c au citit, neles i sunt de acord s respecte regulile de comportament, nainte s autorizeze accesul la informaii. ndrumri suplimentare: Instituia consider seturi diferite de reguli bazate pe rolurile i responsabilitile utilizatorilor, spre exemplu diferenierea ntre msurile care se aplic utilizatorilor cu drepturi privilegiate i msurile care se aplic pentru utilizatorii generali. Semnturile electronice sunt acceptabile pentru utilizarea n recunoaterea regulilor de comportament. PL-4 EVALUAREA IMPACTULUI ASUPRA CONFIDENIALITII Msura: Instituia conduce o evaluare a impactului asupra confidenialitii privind sistemul informatic. PL-5 PLANIFICAREA ACTIVITILOR DE SECURITATE Msura: Instituia planific i coordoneaz activitile legate de securitate care afecteaz sistemul informatic nainte de desfurarea acestor activiti, n scopul de a reduce impactul asupra operaiunilor (spre exemplu misiunea, funciile, imaginea i reputaia instituiei), activelor i persoanele instituiei. ndrumri suplimentare: Activiti legate de securitate includ, spre exemplu evalurile de securitate, auditurile, ntreinerea componentelor hardware i software, i exerciiile de testarea a planului de urgen.

FAMILIA: SECURITATEA PERSONALULUI

CLASA: OPERAIONAL

SP-1 POLITICA I PROCEDURILE DE SECURITATE A PERSONALULUI Msura: Instituia dezvolt, disemineaz, i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de securitate a personalului care s stabileasc scopul, sfera de aplicare, rolurilor, responsabilitile, angajamentul echipei manageriale, coordonarea ntre entitile organizatorice i aspectele de conformitate; i b. Procedurile oficiale pentru a facilita punerea n aplicare a politicii de securitate a personalului i a msurilor de securitate aferente. ndrumri suplimentare: Aceast msur este destinat s produc politicile i procedurile care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate i mbuntirilor acestora n domeniul securitii personalului. Politica i procedurile sunt n conformitate cu legile naionale, ordinele, directivele, politicile, reglementrile i standardele aplicabile n vigoare. Politicile i procedurile organizaionale existente pot conduce la eliminarea necesitii pentru elaborarea unor politici i proceduri specifice. Politica de securitate de personal poate fi inclus ca parte integrant a politicii generale de securitate a informaiilor pentru instituie. SP-2 CATEGORIILE DE PERSONAL Msura: Instituia: a. Atribuie un nivel de risc pentru toate poziiile/funciile din cadrul instituiei; b. Stabilete criteriile de verificare pentru persoanele care ocup acele posturi; i c. Revizuiete nivelurile de risc asociate poziiilor din cadrul instituiei [ Atribuire: cu o frecven stabilit de instituie]. ndrumri suplimentare: Nivelurile de risc asociate poziiilor din cadrul instituiei sunt n concordan cu politica i ghidurile de management al personalului. Criteriile de selecie includ n mod explicit cerinele de securitate pentru numirea ntr-o anumit funcie (spre exemplu pregtire, verificri de securitate). SP-3 VERIFICAREA DE SECURITATE A PERSONALULUI Msura: Instituia: a. Verific personalul nainte de a autoriza accesul acestora la sistemul informatic; i b. Re-verific personalul fizice n conformitate cu [ Atribuire: lista de condiii care necesit reverificare i frecvena, definite de instituie ]. ndrumri suplimentare: Verificarea i re-verificare sunt n concordan cu legile naionale, ordinele, directivele, politicile, reglementrile i standardele aplicabile, ct i cu criteriile stabilite pentru stabilirea nivelului de risc asociat fiecrei poziii. Instituia poate defini diferite condiii de reverificare pentru personalul care acceseaz sistemul informatic, pe baza tipului informatic prelucrate, depozitate sau transmise de ctre sistem.

SP-4 REZILIEREA PERSONALULUI Msura: Instituia, la ncetarea contractelor individuale de munc: a. ntrerupe accesul la sistemul informatic; b. Conduce interviurile de prsire a instituiei; c. Retrage toate informaiile legate de sistemul de securitate; i d. Pstreaz accesul la informaiile i sistemele informatice controlate anterior de ctre persoana reziliat. ndrumri suplimentare: Informaiile legate de sistemul de securitate includ, spre exemplu dispozitive de autentificare de tip token, manuale tehnice de administrare a sistemului, chei, carduri de identificare i de acces n cldire. Prin interviurile de prsire instituia se asigur c persoanele neleg orice constrngeri de securitate impuse de a fi foti salariai. Interviurile de ieire pot s nu fie posibile pentru unii angajai (spre exemplu cazuri de demisie, unele boli i lipsa supervizorilor). Interviurile de ieire sunt importante pentru persoanele fizice cu certificate de securitate. ndeplinirea la timp a acestui control este deosebit de esenial pentru angajai sau contractori reziliai pentru orice cauz. SP-5 TRANSFERUL PERSONALULUI Msura: Instituia revizuiete autorizaiile de acces logice i fizice la sistemele informatice, atunci cnd personalul este realocat sau transferat ctre alte poziii n cadrul instituiei i iniiaz [Atribuire: aciuni de realocare sau transferare definite de instituie ] n [Atribuire: perioada de timp urmtoare aciunii oficiale de transfer definit de instituie ]. ndrumri suplimentare: Aceast msur se aplic atunci cnd realocarea sau transferarea unui angajat este permanent sau de o durat care face ca aciunile s fie justificate. Aciunile care pot fi solicitate atunci cnd personalul este transferat sau realocat ctre alte poziii n cadrul instituiei include, spre exemplu: (i) obinerea unor noi chei de acces, carduri de identificare i returnarea celor vechi (ii) nchiderea conturilor vechi din sistemul informatic i deschiderea unor conturi noi; (iii) schimbarea autorizaiilor de acces la sistemul informatic. SP-6 CONVENIILE DE ACCES Msura: Instituia: a. Se asigur de faptul c persoanele care solicit acces la informaiile i sistemele informatice ale instituiei semneaz acorduri de acces corespunztoare, nainte ca accesul s fie acordat; i b. Revizuiete / actualizeaz acordurile de acces [ Atribuire: cu o frecven stabilit de instituie]. ndrumri suplimentare: Acordurile de acces includ, spre exemplu acorduri de confidenialitate, contracte de utilizare acceptabil, msurile de comportament, i nelegeri cu privire la conflictele de interes. Acordurile de acces semnate includ o recunoatere a faptului c indivizii au citit, neles i sunt de acord s respecte constrngerile asociate cu sistemul informatic la care accesul este autorizat. Semnturile electronice sunt acceptabile

pentru utilizarea n recunoaterea acordurilor de acces cu excepia cazului n care instituia interzice n unele domenii. SP-7 SECURITATEA PERSONALULUI TER Msura: Instituia: a. Stabilete cerinele de securitate, inclusiv rolurile i responsabilitile pentru furnizorii teri de personal; b. Consemneaz cerinele de securitate ale personalului; i c. Monitorizeaz aspectele de conformitate ale furnizorului de personal. ndrumri suplimentare: Furnizorii teri includ, spre exemplu birouri de servicii, contractori i alte instituii care asigur dezvoltarea sistemului informatic, servicii de tehnologia informaiei, aplicaii externalizate i de administrare a reelei i securitii. Instituia include, n mod explicit, cerinele de personal cu privire la securitate, n documentele legate de achiziie. SP-8 SANCIUNILE PERSONALULUI Msura: Instituia implementeaz un proces oficial de sancionare a personalului care nu respect politicile i procedurile de securitate stabilite. ndrumri suplimentare: Procesul de sancionare este n concordan cu legile naionale, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile.

FAMILIA: EVALUAREA RISCULUI

CLASA: ADMINISTRATIV

ER-1 EVALUAREA POLITICILOR I PROCEDURILOR Msura: Instituia dezvolt, disemineaz, i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de evaluare a riscului care stabilete scopul, sfera de aplicare, rolurile, responsabilitile, angajamentul echipei manageriale, coordonarea ntre entitile organizatorice, i aspectele de conformitate; i b. Procedurile oficiale pentru a facilita implementarea politicii de evaluare a riscului i a msurilor de securitate asociate. ndrumri suplimentare: Aceast msur este destinat s produc politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate i mbuntirilor acestora n domeniul de evaluare a riscurilor. Politica i procedurile sunt n conformitate cu legile naionale, ordinele, directivele, politicile, reglementrile i standardele aplicabile n vigoare. Evaluarea politicilor de risc poate fi inclus ca parte integrant a politicii generale de securitate a informaiilor pentru instituie. Procedurile de evaluare a riscului pot fi dezvoltate pentru programul de securitate, n general, i pentru un sistem informatic special, atunci cnd este necesar. ER-2 CLASIFICAREA SECURITII Msura: Instituia: a. Clasific informaiile i sistemul informatic, n conformitate cu legile naionale, ordinele, directivele, politicile, reglementrile i standardele aplicabile n vigoare; b. Consemneaz rezultatele clasificrii de securitate (inclusiv raionamentele utilizate) n planul de securitate pentru sistemul informatic; i c. Se asigur c decizia de clasificare de securitate este revizuit i aprobat de ctre persoana responsabil cu autorizarea sau persoana desemnat oficial n acest sens. ndrumri suplimentare: O delimitare clar a perimetrului de autorizare este o condiie prealabil pentru o clasificare de securitate eficient. Clasificarea de securitate descrie potenialele efecte adverse asupra operaiunilor, activelor i persoanelor instituiei. Instituia conduce procesul de clasificare de securitate ca o activitate la nivelul ntregii instituii, cu implicarea ofierului informatic, ofierului de securitate a informaiilor i a proprietarului sistemului informatic. ER-3 EVALUAREA RISCURILOR Msura: Instituia: a. Efectueaz o evaluare a riscurilor, inclusiv probabilitatea i gravitatea rului fcut, prin accesul neautorizat, utilizarea, divulgarea, ntreruperea, modificarea, sau

distrugerea sistemului informatic i a informaiilor pe care le proceseaz, nmagazineaz sau transmite; b. Cerceteaz rezultatele evalurii riscurilor n [ Selecie: planul de securitate; raportul de evaluare a riscurilor; [Atribuire: document definit de instituie ]; c. Revizuiete rezultatele evalurii riscurilor [ Atribuire: cu o frecven stabilit de instituie]; i d. Actualizeaz evaluarea riscului [Atribuire: cu o frecven stabilit de instituie ] sau ori de cte ori exist modificri semnificative la sistemul informatic sau de mediu de funcionare (inclusiv identificarea de noi ameninri i vulnerabiliti), sau alte condiii care pot influena starea de securitate a sistemului. ndrumri suplimentare: O delimitare clar a perimetrului de autorizare este o condiie prealabil pentru o clasificare de securitate eficient. Clasificarea de securitate descrie potenialele efecte adverse asupra operaiunilor, activelor i persoanelor instituiei. Instituia conduce procesul de clasificare de securitate ca o activitate la nivelul ntregii instituii, cu implicarea ofierului informatic, ofierului de securitate a informaiilor i a proprietarului sistemului informatic. ER-4 SCANAREA DE VULNERABILITI Msura: Instituia: a. Scaneaz posibile vulnerabiliti n sistemul informatic i n aplicaiile gzduite [Atribuire: cu o frecven stabilit de instituie i / sau aleatoriu, n conformitate cu procesul definit de instituie ] i atunci cnd sunt identificate i raportate noi vulnerabiliti care pot afecta sistemul / aplicaiile; b. Folosete instrumente de scanare a vulnerabilitilor i tehnici care s promoveze interoperabilitatea ntre instrumente i s automatizeze pri ale procesului de management al vulnerabilitii prin utilizarea standardelor pentru: Enumerarea platformelor, necorespunztoare; defectelor de software i configuraiilor

Formatarea i elaborarea de liste de verificare transparente, precum i proceduri de testare; i Msurare a impactului vulnerabilitii;

c. Analizeaz rapoartele elaborate de vulnerabilitile de scanare i de rezultatele din evalurile de control de securitate; d. Remediaz vulnerabilitile legitime [ Atribuire: timpi de rspuns definii de instituie ], n conformitate cu evaluarea de risc a instituiei; i e. Partajeaz informaiile obinute de la procesul de scanare i evaluare a msurilor de securitate cu personalul desemnat din cadrul instituiei, pentru a ajuta la eliminarea vulnerabilitilor similare n alte sisteme informatice (spre exemplu punctele slabe sau deficiene sistemice). ndrumri suplimentare: Clasificarea de securitate a sistemului informatic ghideaz frecvena i complexitatea scanrilor de vulnerabiliti. Analiza de vulnerabilitate pentru software-ul personalizat i aplicaii poate necesita tehnici suplimentare, mai specializate i (spre exemplu revizuire a codului surs, analizoare de cod sursa). Scanare

vulnerabilitilor include scanarea pentru detectarea funciilor specifice, porturilor, protocoalelor i serviciilor care nu trebuie s fie accesibile pentru utilizatori sau dispozitive i pentru detectarea mecanismelor de flux al informaiilor configurate necorespunztor. mbuntiri ale msurii: (1) Instituia dispune de instrumente de scanare a vulnerabilitilor care includ capacitatea de a actualiza cu uurin lista vulnerabilitilor sistemului informatic scanat. (2) Instituia actualizeaz lista vulnerabilitilor sistemului informatic scanat [Atribuire: cu o frecven stabilit de instituie ] sau atunci cnd noi vulnerabiliti sunt identificate i raportate. (3) Instituia implementeaz proceduri de scanare care pot demonstra amploarea i profunzimea de acoperire (spre exemplu componentele sistemului informatic scanate i vulnerabiliti verificate). (4) Instituia ncearc s discearn ce informaii legate de sistemul informatic sunt pot fi descoperite de ctre adversari. (5) Instituia include autorizaia de acces privilegiat la [ Atribuire: componente ale sistemului informatic identificate de instituie ] pentru a facilita scanarea mai aprofundat. (6) Instituia implementeaz mecanisme automate [ Atribuire: cu o frecven stabilit de instituie] pentru a detecta prezena de software neautorizat pe sistemele informatice ale instituiei i notific funcionarii desemnai de instituie n acest sens.

FAMILIA: ACHIZIIA SISTEMELOR INFORMATICE I A SERVICIILOR ASOCIATE

CLASA: ADMINISTRATIV

AS-1 POLITICA I PROCEDURILE DE ACHIZIIE DE SISTEME I SERVICII Msura: Instituia dezvolt, disemineaz, i revizuiete/actualizeaz [ Atribuire: cu o frecven stabilit de instituie]: a. O politic oficial de achiziie de sisteme i servicii care stabilete scopul, sfera de aplicare, rolurile, responsabilitile, angajamentul managerial, coordonarea ntre entitile instituiei i aspectele de conformitate; i b. Proceduri oficiale pentru a facilita punerea n aplicare a politicii de achiziionare de sisteme i servicii. ndrumri suplimentare: Aceast msur este destinat s produc politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate selectate i mbuntirilor acestora n domeniul achiziiilor de sisteme i servicii. Politica i procedurile sunt n conformitate cu legile naionale, ordinele, directivele, politicile, reglementrile i standardele aplicabile n vigoare. AS-2 ALOCAREA DE RESURSE Msura: Instituia: a. Include n procesul de planificare a misiunilor o determinare a cerinelor de securitate a informaiilor pentru sistemul informatic; b. Stabilete, documenteaz i aloc resursele necesare pentru a proteja sistemul informatic, ca parte a planificrii capitalului i procesului de control al investiiilor; i c. Stabilete o linie discret pentru securitatea informaiilor n documentaia bugetar a instituiei. AS-3 ASISTENA PE TIMPUL CICLULUI DE VIA Msura: Instituia: a. Gestioneaz sistemul informatic utiliznd un sistem de dezvoltare bazat pe metodologia ciclului de via care include considerente de securitate a informaiilor; b. Definete i documenteaz rolurile i responsabilitile de securitate ale sistemului informatic, pe parcursul ciclului de via i de dezvoltare al sistemului; i c. Identific persoanele fizice care au roluri i responsabiliti de securitate. AS-4 ACHIZIII Msura: Instituia include urmtoarele cerine i / sau specificaii, n mod explicit sau prin trimitere, n sistemul informatic privind contractele de achiziie bazate pe evalurile de risc i n conformitate cu legislaia naional, ordinele, directivele, politicile, reglementrile i standardele aplicabile:

a. Cerine de securitate funcionale / caietul de sarcini; b. Documente legate de cerinele de securitate; i c. Cerine de asigurare, dezvoltare i evaluare. ndrumri suplimentare: Documentele de achiziie pentru sistemele informatice, componentele sistemului informatic, precum i serviciile sistemului informatic includ, fie explicit sau prin referire, cerinele de securitate care descriu: (i) capacitile necesare de securitate (spre exemplu nevoile de securitate i, dup caz, msurile specifice de securitate i alte cerine specifice); (ii) designul necesar i procesele de dezvoltare; (iii) procedurile de testare i evaluare necesare; i (iv) documentaia necesar. Cerinele din documentele de achiziie permit actualizarea msurilor de securitate cu noi ameninri / vulnerabiliti identificate si astfel noile tehnologii sunt puse n aplicare. Documentele de achiziie includ, de asemenea, cerinele pentru documentaia corespunztoare sistemului informatic. Documentaia se adreseaz utilizatorilor i administratorului sistemului informatic cu privire la punerea n aplicare a msurilor de securitate n sistemul informatic. Nivelul de detaliere necesar n documentaie se bazeaz pe clasificarea de securitate a sistemului informatic. mbuntiri ale msurii: (1) Instituia solicit n documentele de achiziie ca vnztorii / contractorii s furnizeze informaii care descriu proprietile funcionale ale msurilor de securitate care urmeaz s fie implementate n cadrul sistemului informatic, componentelor sistemului informatic, sau serviciilor de sistem informatic, suficient de detaliate pentru a permite analiza i testarea acestora. (2) Instituia solicit n documentele de achiziie, ca vnztorii / contractorii s furnizeze informaii care descriu detaliile de design i punerea n aplicare a msurilor de securitate care urmeaz s fie implementate n cadrul sistemului informatic, componentelor sistemului informatic sau a serviciilor de sistem informatic (inclusiv interfeele funcionale dintre componentele de control), suficient de detaliate pentru a permite analiza i testarea acestora. (3) Instituia se asigur c fiecare component dobndit este n mod explicit atribuit unui sistem informatic, i c proprietarul sistemului recunoate aceast atribuire. AS-5 DOCUMENTAIA SISTEMULUI INFORMATIC Msura: Instituia: a. Obine, protejeaz conform cerinelor, i pune la dispoziia personalului autorizat, documentaia pentru administratorul de sistem informatic care descrie: Configurarea, instalarea i operarea n siguran a sistemului informatic; Utilizarea i ntreinerea eficient a caracteristicilor/funciilor de securitate; Vulnerabilitile cunoscute n ceea ce privete configurarea i utilizarea funciilor administrative;

b. Obine, protejeaz corespunztor i pune la dispoziia personalului autorizat, documentaia de utilizare a sistemului informatic care s descrie:

Caracteristicile/funciile de securitate i cum s utilizeze n mod eficient aceste caracteristici/funcii de securitate; Metodele pentru interaciunea utilizatorului cu sistemul informatic, care permit persoanelor fizice s utilizeze sistemul ntr-un mod mai sigur; Ghidul de responsabiliti n meninerea securitii sistemului informatic i informaiilor;

c. Consemneaz ncercrile de a obine documentaia privind sistemul informatic atunci cnd astfel de documente nu sunt disponibile sau nu exist. ndrumri suplimentare: Incapacitatea instituiei de a obine documentaia necesar poate s apar, spre exemplu ca urmare a vrstei sistemului i / sau a lipsei de sprijin de la furnizor / contractor. n aceste situaii, instituiile ar trebui s recreeze documentaia sistemului informatic n cazul n care documentaia este esenial pentru punerea n aplicare eficient i / sau exploatarea msurilor de securitate. mbuntiri ale msurii: (1) Instituia obine, protejeaz corespunztor i pune la dispoziia personalului autorizat, documentaia furnizorului/productorului care descrie proprietile funcionale ale msurilor de securitate implementate n cadrul sistemului informatic, cu detalii suficiente pentru a permite analiza i testarea. (2) Instituia obine, protejeaz corespunztor i pune la dispoziia personalului autorizat, documentaia furnizorului/productorului care descrie interfeele de securitate externe relevante pentru sistemul informatic, cu detalii suficiente pentru a permite analiza i testarea. (3) Instituia obine, protejeaz corespunztor i pune la dispoziia personalului autorizat, documentaia furnizorului/productorului care descrie designul la nivel nalt al sistemului informatic n ceea ce privete subsistemele i detaliile cu privire la punerea n aplicare a msurilor de securitate implementate n cadrul sistemului, cu detalii suficiente pentru a permite analiza i testarea. ndrumri suplimentare: Un sistem informatic poate fi mprit in mai multe subsisteme. AS-6 RESTRICII DE UTILIZARE SOFTWARE Msura: Instituia: a. Utilizeaz software-ul i documentaia aferent, n conformitate cu acordurile contractuale i legile dreptului de autor; b. Utilizeaz sisteme de urmrire pentru documentaia software-ului i conexe protejate de licene pentru a controla cantitatea de copiere i distribuie; i c. Controleaz i documenteaz metoda de utilizare a partajrii pentru a se asigura c aceast capacitate nu este utilizat pentru distribuia neautorizat, afiarea, sau reproducerea drepturilor de autor. ndrumri suplimentare: sistemele de urmrire pot include, spre exemplu foi de calcul simple sau complet automatizate, aplicaii specializate, n funcie de nevoile instituiei. AS-7 SOFTWARE-UL INSTALAT DE UTILIZATOR

Msura: Instituia impune reguli explicite care reglementeaz instalarea software-ului de ctre utilizatori. ndrumri suplimentare: Dac le sunt acordate privilegiile necesare, utilizatorii au posibilitatea de a instala software-ul. Instituia identific ce tipuri de instalri de software sunt permise (spre exemplu actualizri i patch-uri de securitate pentru software-ul existent) i ce tipuri de instalri sunt interzise (spre exemplu software-ul a crui genealogice cu privire la potenialul ru intenionat este necunoscut sau suspect). AS-8 PRINCIPII DE INGINERIE A SECURITII Msura: Instituia aplic principii de inginerie a securitii n proiectarea, dezvoltarea, punerea n aplicare, precum i modificarea sistemului informatic. ndrumri suplimentare: Aplicarea principiilor de inginerie a securitii este n primul rnd direcionat la sistemele informatice noi sau sisteme n curs de dezvoltare i este integrat n ciclul de via al sistemului de dezvoltare. Exemple de principii de inginerie a securitii includ, spre exemplu: (i) protecii stratificate; (ii) stabilirea unor politicii de securitate solide, arhitectura i msuri ca fundament pentru proiectare; (iii) ncorporarea securitii n ciclul de via al sistemului de dezvoltare; (iv) delimitarea limitelor fizice i logice de securitate; (v) asigurarea c dezvoltatorii i integratorii de sistem sunt instruii cu privire la modul de dezvoltare al software-ul securizat; (vi) controalele de securitate fcute pentru a satisface nevoile de organizare i funcionare, precum i (vii) reducerea riscurilor la niveluri acceptabile, permind astfel informarea cu privire la deciziile de gestionare a riscurilor. AS-9 SERVICII EXTERNE ALE SISTEMULUI INFORMATIC Msura: Instituia: a. Impune ca furnizorii de servicii informatice externe s respecte aspectele de conformitate cu cerinele instituiei de securitate a informaiilor, care angajeaz controale de securitate adecvate, n conformitate cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele aplicabile; b. Definete i documenteaz supravegherea guvernamental i rolurile de utilizator i responsabilitile cu privire la serviciile externe ale sistemului de informatic; c. Monitorizeaz respectarea msurilor de securitate de ctre prestatorii externi de servicii. ndrumri suplimentare: Un serviciu extern al sistemului informatic este un serviciu care este pus n aplicare n afara de limita de autorizare a sistemului informatic al instituiei (spre exemplu un serviciu care este utilizat de ctre sistemul informatic al instituiei). Relaiile cu prestatorii externi de servicii sunt stabilite ntr-o varietate de moduri, spre exemplu prin intermediul asociaiilor n participaiune, parteneriate de afaceri, acordurile de externalizare (spre exemplu contracte, acorduri inter, linii de aranjamente de afaceri), acordurile de licen, i / sau a schimburilor lanului de aprovizionare. Oficialii de autorizare solicit ca un lan corespunztor de ncredere s fie stabilit cu prestatorii externi de servicii atunci cnd se ocup cu multe probleme asociate securitii informaiilor. Amploarea i natura acestui lan de ncredere variaz n funcie de relaia dintre instituie i furnizorul extern. n cazul n care un nivel suficient de ncredere nu poate fi stabilit n serviciile externe i / sau prestatorii de servicii, instituia are msuri de securitate compensatoare sau accept un grad mai mare de risc.

AS-10 MANAGEMENTUL CONFIGURAIEI LA DEZVOLTATOR Msura: Instituia cere ca dezvoltatorii/integratorii s: a. Gestioneze managementul configuraiei pe implementrii i exploatrii sistemului informatic; c. Pun n aplicare modificrile aprobate; d. Documenteze schimbrile aprobate; i e. Urmreasc defectele de securitate i rezoluia lor. AS-11 TESTAREA SECURITII LA DEZVOLTATOR Msura: Instituia cere ca dezvoltatorii / integratorii sistemului informatic, n consultare cu personalul de securitate asociat (inclusiv ingineri de securitate), s se ocupe de: a. Crearea i punerea n aplicare a unui test de securitate i a planului de evaluare; b. Implementarea unui proces de remediere a defectelor verificabile pentru a remedia punctele slabe i deficienele identificate n timpul de testare a securitii i a procesului de evaluare, precum i c. Documenteze rezultatele testelor de securitate / de evaluare i procesele de remediere a defeciunilor. ndrumri suplimentare: Rezultatele testrii de securitate la dezvoltator sunt utilizate n cea mai mare msura posibil. Rezultatele testelor pot fi folosite n sprijinul procesului de autorizare de securitate pentru sistemul informatic furnizat. AS-12 PROTECIA LANULUI DE APROVIZIONARE Msura: Instituia protejeaz mpotriva ameninrilor lanul de aprovizionare prin angajarea: [Atribuire: lista definit de ctre instituie de msurile destinate proteciei lanului de aprovizionare] ca parte a unei cuprinztoare strategii de securitate a informaiilor. ndrumri suplimentare: O astfel de abordare protejeaz sistemele informatice (inclusiv produsele de tehnologie a informaiei care compun aceste sisteme) pe ntreg ciclul de via al acestuia (proiectare i dezvoltare, fabricare, ambalare, asamblare, distribuie, integrare de sistem , operaiuni, mentenan, scoatere din funciune i casare). Aceasta se realizeaz prin identificarea, gestionarea i eliminarea vulnerabilitilor fiecrei etape a ciclului de via i utilizarea strategiilor complementare, destinate minimizrii riscurilor de securitate. AS-13 CREDIBILITATEA Msura: Instituia cere ca sistemul informatic s respecte [ Atribuire: definire nivel de ncredere]. ndrumri suplimentare: intenia acestui control este de a asigura c instituiile recunosc importana credibilitii i de luare a deciziilor explicite n cazul proiectrii, dezvoltrii i timpul proiectrii, dezvoltrii,

b. Gestioneze i controleze modificrile la sistemul informatic;

punerii n aplicare a sistemelor informatice ale instituiei. ncrederea este o caracteristic sau o proprietate a unui sistem informatic care exprim gradul n care sistemul informatic poate s pstreze confidenialitatea, integritatea i disponibilitatea informaiilor care sunt prelucrate, depozitate, sau transmise de ctre sistem. Sistemele informatic de ncredere sunt sisteme care sunt capabile s fie sigure s opereze n cadrul unor niveluri definite de risc, indiferent de erorile umane i atacurile prognozate n mediile specifice de operare. O securitate corespunztoare a sistemului informatic poate fi obinut n cadrul unui sistem de management al riscului de securitate. Instituiile pot crete msurile de securitate, adaptnd politici de securitate specifice acestora.

FAMILIA: PROTECIA SISTEMELOR INFORMATICE I A COMUNICAIILOR

CLASA: TEHNIC

PS-1 POLITICI I PROCEDURI DE PROTECIE A SISTEMULUI INFORMATIC I A COMUNICAIILOR ASOCIATE ACESTUIA Msura: Instituia dezvolt, disemineaz i revizuie te/actualizeaz [ cu o frecven stabilit de instituie]: a) O politic oficial de protecie a sistemului informatic i a comunica iilor asociate acestuia, care stabilete scopul, rolurile, responsabilitile, angajamentul echipei de conducere, coordonarea ntre entitile instituiei i aspectele referitoare la conformitate; i b) Proceduri oficiale pentru a facilita punerea n aplicare a politicii de protec ie a sistemului informatic i a comunicaiilor asociate acestuia i a msurilor asociate. ndrumri suplimentare: Aceast msur este destinat elaborrii unor politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor i mbuntirilor de

securitate din familia integritii sistemului informatic i a comunica iilor asociate acestuia. Politica i procedurile sunt n concordan cu legile na ionale, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare aplicabile. Politicile i procedurile organizaionale deja existente pot conduce la dispari ia necesitii pentru elaborarea unor politici i proceduri specifice. Politica de protec ie a sistemului informatic i a comunicaiilor asociate acestuia poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de protec ie a sistemului informatic i a comunicaiilor asociate acestuia pot fi elaborate pentru programul de securitate n general i, atunci cnd este necesar, pentru un sistem informatic specific. Strategia instituiei pentru gestionarea riscurilor de securitate este un factor determinant n dezvoltarea politicii de protecie a sistemului informatic i a comunica iilor asociate acestuia. PS-2 PARTIIONAREA APLICAIILOR Msura: Sistemul informatic separ funcionalitile puse la dispoziia utilizatorilor (inclusiv serviciile de interfa cu utilizatorul) de funcionalitile de administrare a sistemului informatic. ndrumri suplimentare: Funcionalitile de administrare a sistemul informatic includ, spre exemplu funciile necesare administrrii bazelor de date, componentelor de reea, staiilor de lucru, sau serverelor, i necesit de obicei drepturi de acces privilegiat. Separarea funcionalitilor de utilizare de cele de administrare se efectueaz din punct de vedere fizic ct i logic i se realizeaz prin utilizarea de computere diferite, uniti centrale de procesare diferite, instane ale sistemului de operare diferite, adrese de reea diferite, prin utilizarea unor combinaii ale acestor metode, sau prin alte metode, dup caz. Un exemplu de separare de acest tip este observat n interfeele web administrative care folosesc metode de autentificare pentru utilizatorii distincte de orice alte resurse ale sistemului informatic. Acest lucru poate nsemna izolarea interfeei de administrare ntr-un domeniu diferit si cu msuri suplimentare de acces. PS-3 IZOLAREA FUNCIILOR DE SECURITATE Msura: Sistemul informatic izoleaz funciile de securitate de celelalte funcii. ndrumri suplimentare: Sistemul informatic izoleaz funciile de securitate de celelalte funcii printr-o grani de izolare (pus n aplicare prin intermediul partiiilor i domeniilor), care controleaz accesul i protejeaz integritatea componentelor hardware, software i firmware care efectueaz aceste funcii de securitate. Sistemul informatic menine un domeniu de execuie separat (de exemplu, spaiu de adrese) pentru fiecare proces executat. PS-4 INFORMAIA N RESURSELE PARTAJATE Msura: Sistemul informatic previne transferul neautorizat i neintenionat al informaiilor prin intermediul resurselor de sistem partajate. ndrumri suplimentare: Scopul acestei msuri este de a preveni punerea la dispoziia oricrui utilizator/rol (sau proces) curent al sistemului informatic , care obine acces la o resurs partajat a sistemului (spre exemplu registre, memoria principal, locaia de stocare secundar) dup ce acea resurs a fost pus napoi la dispoziia sistemului

informatic, a informaiilor, inclusiv a formelor criptate ale informaiilor, produse de aciunile unui rol/utilizator anterior (sau de aciunile unui proces care acioneaz n numele unui utilizator/rol anterior). Controlul informaiilor n resursele partajate este de asemenea cunoscut ca reutilizarea obiectelor. PS-5 PROTECIA MPOTRIVA ATACURILOR DE TIP DENIAL OF SERVICE Msura: Sistemul de informatic ofer protecie mpotriva, sau limiteaz efectele, urmtoarelor tipuri de atacuri de tip denial of service: [ Atribuire: lista tipurilor de atacuri de tip denial of service stabilit de instituie ]. ndrumri suplimentare: Exist o varietate de tehnologii pentru a limita, sau, n unele cazuri, pentru a elimina efectele atacurilor de tip denial of service. De exemplu, dispozitive de protecie limita ce pot filtra anumite tipuri de pachete pentru a proteja dispozitivele de protecie de frontier din reeaua intern a unei instituii de a fi direct afectate de respingerea atacurilor asupra serviciului. Angajarea creterea capacitii i lime de band, combinate cu servicii redundan poate reduce sensibilitatea la unele respingeri ale atacurilor asupra serviciului. PS-6 PROTECIA DE FRONTIER Msura: Sistemul informatic: a) Monitorizeaz i controleaz comunicaiile la frontiera extern a sistemului i la frontierele interne principale din cadrul sistemului; i b) Se conecteaz la reelele sau sistemele de informaii externe doar prin intermediul interfeelor administrate constnd din dispozitive de protecie de frontier, n conformitate cu arhitectura de securitate a institu iei. ndrumri suplimentare: Exemple de restricionare i interzicerea a comunicaiilor sunt restricionarea traficului web extern numai la serverele din cadrul interfeelor administrate de instituie i interzicerea traficului extern care pare ncearc s apar ca originnd de la o adres intern. Interfeele administrate de institu ie care utilizeaz dispozitive de protecie de frontier includ, de exemplu, proxy-uri, gateway-uri, routere, firewall-uri, sau tunele criptate aranjate ntr-o arhitectur de securitate eficient. Instituia ia n considerare gradul de partajare al serviciilor de telecomunicaii comerciale n punerea n procesul de implementare a msurilor de securitate asociate cu utilizarea unor astfel de servicii. Serviciile comerciale de telecomunicaii sunt n general bazate pe componente de reea i sisteme de management consolidate care sunt partajate ctre toi clienii comerciali, i care poate include linii de acces la alte elemente i servicii oferite unor teri. n consecin, astfel de servicii de transmisie interconectate pot reprezenta surse de risc crescut, n ciuda clauzelor contractuale. Prin urmare, n cazul acestor situa ii, instituia pune n aplicare msuri de securitate suplimentare sau accept n mod explicit riscurile suplimentare. mbuntiri ale msurii: (1) Instituia distribuie componentele sistemului informatic accesibile n mod public n subreele separate cu interfee fizice de reea diferite. ndrumri suplimentare: Componentele sistemului informatic accesibile n mod public includ, de exemplu, serverele web publice.

(2) Sistemul informatic previne accesul public n reelele interne ale institu iei, cu excepia cazurilor n care accesul se face prin interfeele administrate de instituie i care utilizeaz dispozitive de protecie de frontier. (3) Instituia limiteaz numrul de puncte de acces la sistemul informatic pentru a permite monitorizarea mai amnunit a comunicaiilor de intrare i de ieire i a traficului de reea. (4) Instituia: (a) Implementeaz o interfa administrat de instituie pentru fiecare serviciu extern de telecomunicaii; (b) Stabilete o politic a fluxului de trafic pentru fiecare interfa administrat; (c) Utilizeaz msuri de securitate, dup cum este necesar, pentru a proteja confidenialitatea i integritatea informaiilor transmise; (d) Documenteaz fiecare excepie de la politica fluxului de trafic, preciznd nevoile care impun aceast excepie i durata acestor nevoi; (e) Revizuiete excepiile de la politica fluxului de trafic [ cu o frecven stabilit de instituie]; i (f) Elimin excepiile de la politica fluxului de trafic care nu mai sunt impuse de o nevoie sau misiune explicit. (5) La nivelul interfeelor administrate, sistemul blocheaz traficul de reea n mod implicit i permite traficul de reea prin excepie. (6) Instituia previne diseminarea neautorizat de informaii n afara granielor sistemului informatic sau orice comunicare neautorizat prin frontierele sistemului informatic atunci cnd exist o defec iune a mecanismelor de protecie de frontier. (7) Sistemul informatic mpiedic comunicarea dispozitivelor folosite pentru accesul de la distan, care au stabilit o conexiune de tip local cu sistemul informatic, cu alte resurse din cadrul unor re ele externe. ndrumri suplimentare: Aceast mbuntire este implementat n dispozitivul folosit pentru accesarea de la distan (de exemplu, computer de tip notebook / laptop) prin intermediul unor setri care nu pot fi modificate de ctre utilizatorul dispozitivului. Un exemplu de canal de comunicaie de tip local cu un dispozitiv aflat la distan este o reea virtual privat. Atunci cnd este stabilit o conexiune de tip local cu un dispozitiv aflat la distan, utiliznd o reea virtual privat, setrile de configurare previn folosirea unor conexiuni de tip tunel mpr ite. mprirea conexiunilor de tip tunel ar putea fi folosit de ctre utilizatorii de la distan pentru a comunica cu sistemul informatic ca o extensie a sistemului i pentru a comunica cu resurse locale ca o imprimant sau server de fiiere. Avnd n vedere c dispozitivul de conectare de la distan, atunci cnd este conectat printr-o conexiune de tip local, devine o extensie a sistemului informa ii, permind ci de comunicaii duale cum ar fi mprirea conexiunilor de tip tunel, conduce ca efect la permiterea conexiunilor externe neautorizate la sistemul informatic. (8) Router-ele sistemului informatic direcioneaz [ traficul comunicaiilor interne stabilit definit de instituie] ctre [reelele externe definite de instituie ] prin

servere proxy autentificate n cadrul dispozitivelor de protecie de frontier.

interfeelor

administrate

ale

ndrumri suplimentare: Reelele externe sunt reele care nu se afl n administrarea instituiei. Serverele proxy ofer facilit ile de nregistrare a sesiunilor de tip TCP i de blocare a unor URL-uri, nume de domenii i adrese IP specifice. Serverele proxy sunt de asemenea configurabile cu liste de site-uri autorizate i neautorizate definite de instituie. PS-7 INTEGRITATEA TRANSMISIEI Msura: Sistemul informatic protejeaz integritatea informaiilor transmise. ndrumri suplimentare: Aceast msur se aplic comunicaiilor prin reele interne i externe. n cazul n care instituia se bazeaz pe un furnizor de servicii comerciale pentru serviciile de transport, ca un element de marf mai degrab dect un serviciu complet dedicat, poate fi mult mai dificil de a obine asigurrile necesare cu privire la punerea n aplicare a msurilor de securitate necesare pentru asigurarea integrit ii transmisiei. Atunci cnd este imposibil de a obine msurile de securitate i garaniile de eficacitate necesare prin intermediul clauzelor contractuale, institu ia implementeaz msuri de securitate suplimentare sau accept n mod explicit riscurile suplimentare. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme de criptare pentru a detecta modificrile survenite asupra informaiilor n timpul transmiterii, cu excepia cazului n care sunt implementate msuri alternative de protec ie fizic. ndrumri suplimentare: Msurile suplimentare de protecie fizic includ, de exemplu, sistemele protejate de distribuie. PS-8 CONFIDENIALITATEA TRANSMISIEI Msura: Sistemul informatic protejeaz confidenialitatea informaiilor transmise. ndrumri suplimentare: Aceast msur se aplic n cazul comunicaiilor prin reele interne i externe. . n cazul n care instituia se bazeaz pe un furnizor de servicii comerciale pentru serviciile de transport, ca un element de marf mai degrab dect un serviciu complet dedicat, poate fi mult mai dificil de a obine asigurrile necesare cu privire la punerea n aplicare a msurilor de securitate necesare pentru asigurarea integrit ii transmisiei. Atunci cnd este imposibil de a obine msurile de securitate i garaniile de eficacitate necesare prin intermediul clauzelor contractuale, institu ia implementeaz msuri de securitate suplimentare sau accept n mod explicit riscurile suplimentare. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme de criptare pentru a preveni diseminarea neautorizat a informaiilor n timpul transmisiei cu excepia cazurilor n care sunt implementate [msuri alternative de protecie fizic stabilite de instituie]. ndrumri suplimentare Msurile alternative de protecie fizic includ, de exemplu, sistemele de distribuie protejate.

PS-9 DECONECTAREA REELEI Msura: Sistemul informatic ntrerupe conexiunea de reea asociat unei sesiuni de comunicare la sfritul sesiunii sau dup [ perioada de timp stabilit de instituie ] de inactivitate. ndrumri suplimentare: Aceast msur se aplic att n cazul reelelor interne ct i n cazul celor externe. ntreruperea conexiunilor de reea asociate sesiunilor de comunica ie vor include, de exemplu, de-alocarea mperecherilor bazate pe adresele/porturile TCP-IP de la nivelul sistemului de operare, sau de-alocarea atribuirilor de reele de la nivelul aplicaiilor n cazul n care mai multe sesiuni de aplica ie utilizeaz o singur conexiune de reea la nivelul sistemului de operare. Perioada de inactivitate poate fi, dup cum instituia poate considera ca fiind necesar, un set de perioade de timp, n funcie de tipul de acces la reea sau pentru accesri specifice. PS-10 STABILIREA I MANAGEMENTUL CHEII CRIPTOGRAFICE Msura: Instituia stabilete i gestioneaz chei criptografice pentru soluia de criptare implementat n cadrul sistemului informatic. ndrumri suplimentare: Stabilirea i gestionarea cheii criptografice poate fi efectuat folosind proceduri manuale sau automate. Pe lng faptul c este necesar pentru funcionarea efectiv a unui mecanism criptografic, gestionarea eficient a cheilor de criptare ofer protecii n sensul meninerii disponibilitii informaiilor n cazul pierderii cheilor criptografice de ctre utilizatori. mbuntiri ale msurii: (1) Instituia menine disponibilitatea informaiilor n cazul pierderii cheilor criptografice de ctre utilizatori. PS-11 UTILIZAREA CRIPTOGRAFIEI Msura: Sistemul informatic implementeaz proteciile de tip criptografic folosind module criptografice care sunt conforme cu legile naionale, ordinele, directivele, politicile, reglementrile, standardele i aspectele de conformitate.

PS-12 PROTECIA INFORMAIILOR ACCESIBILE N MOD PUBLIC Msura: Sistemul informatic protejeaz integritatea i disponibilitatea informaiilor i aplicaiilor puse la dispoziia publicului. ndrumri suplimentare: Scopul acestei msuri este de a asigura faptul c instituiile abordeaz n mod explicit nevoile de protecie a informaiilor i aplicaiilor accesibile n mod public.

PS-13 DISPOZITIVELE DE COLABORARE Msura: Sistemul informatic:

a) Interzice activarea de la distan a dispozitivelor de calcul de colaborare cu urmtoarele excepii: [excepii definite de instituie pentru care activarea de la distan este permis]; i b) Ofer indicaii explicite de utilizare. ndrumri suplimentare: Dispozitive de colaborare includ, de exemplu, panouri de afiare conectate n reea, camere video, i microfoane. Indicarea explicit a utilizrii include, de exemplu, semnalarea utilizatorilor atunci cnd dispozitivele sunt activate. PS-14 CERTIFICATELE INFRASTRUCTURII DE CHEI PUBLICE Msura: Instituia elibereaz certificate de chei publice conform unei [ politici de eliberare a certificatelor definit de instituie] sau obine certificate de chei publice, conform unei politici adecvate, de la un furnizor de servicii. ndrumri suplimentare: Aceast msur se adreseaz certificatelor vizibile din exteriorul sistemului informatic i nu include certificatele asociate operaiunilor interne ale sistemului informatic. PS-15 CODUL MOBIL Msura: Instituia: a) Definete codul mobil i tehnologiile asociate codului mobil acceptabile i inacceptabile; b) Stabilete restricii de utilizare i ghiduri de implementare pentru codul mobil acceptabil i tehnologiile asociate codului mobil; i c) Autorizeaz, monitorizeaz i controleaz utilizarea codului mobil n cadrul sistemului de informatic. ndrumri suplimentare: Deciziile privind utilizarea de cod mobil n cadrul sistemelor informatice ale instituiei se bazeaz pe potenialul codului mobil de a provoca daune sistemului dac este utilizat cu rea intenie. Tehnologiilor asociate cu codul mobile includ, de exemplu, Java, JavaScript, ActiveX, PDF, PostScript, filme Shockwave, animatii Flash, i VBScript. Restriciile de utilizare i ndrumrile suplimentare se aplic att pentru selectarea i utilizarea de cod mobil pe serverele instituiei ct i pentru codul de mobil descrcat i executat pe staiile de lucru individuale. PS-16 PROTOCOLUL VOICE OVER INTERNET Msura: Instituia: a) Stabilete restricii de utilizare i ndrumri de implementare pentru tehnologiile VoIP, bazate pe potenialul acestor tehnologii de a provoca daune sistemului informatic dac este utilizat cu rea intenie; i b) Autorizeaz, monitorizeaz i controleaz utilizarea protocolului VoIP n cadrul sistemului de informatic. PS-17 SERVICIUL DE REZOLUIE SIGUR A NUMELOR/ADRESELOR (SURS AUTORATIV)

Msura: Sistemul informatic furnizeaz date suplimentare cu privire la origine i artefacte de integritate mpreun cu datele de autoritate pe care sistemul le transmite ca rspuns la interogrile de nume / adres. ndrumri suplimentare: Un server DNS (Domain Name System) este un exemplu de sistem informatic care ofer servicii de rezoluie a numelor/adreselor. Semnturile digitale i cheile criptografice sunt exemple de artefacte suplimentare. nregistrrile de resurse DNS sunt exemple de date de autorative. mbuntiri ale msurii: (1) Sistemul informatic, atunci cnd funcioneaz ca parte a unui spaiu de nume distribuit, ierarhic, furnizeaz mijloacele pentru a indica starea de securitate a sistemului aflat mai jos n ierarhie i, n cazul n care sistemul aflat mai jos n ierarhie suport servicii sigure de rezoluie, permite verificarea unui lan de ncredere ntre domenii printe i copil. ndrumri suplimentare: Un exemplu de mijloace pentru a indica starea de securitate a subspaiilor subordonate este utilizarea unei resurse delegate de semnare (DS) a nregistrrilor din DNS. PS-18 SERVICIUL DE REZOLUIE SIGUR A NUMELOR/ADRESELOR (REZOLUIE RECURSIV SAU DE TIP CACHE) Msura: Sistemul informatic autentific originea datelor verific integritatea acestora n ceea ce privete rspunsurile primite de sistem, de la sursele autorative, la interogrile iniiate de clieni. ndrumri suplimentare: O exemplu de DNS recursiv sau de tip caching este un sistem informatic care ofer servicii de rezoluie nume / adresa pentru clienii locali. Serverele DNS autorative sunt exemple de surse autorative. PS-19 ARHITECTURA SERVICIUL DE REZOLUUE A ADRESELOR Msura: Sistemele informatice care furnizeaz servicii colective de rezoluie de nume / adrese pentru o instituie sunt tolerante la erori i implementeaz separarea rolurilor interne i externe. ndrumri suplimentare: Un server DNS (Domain Name System) este un exemplu de sistem informatic care ofer servicii de rezoluie a numelor/adreselor. Pentru a elimina punctele unice de eec i pentru a spori redundana, de obicei, exist cel puin dou servere DNS autorative, unul configurat ca primar i altul secundar. n plus, cele dou servere sunt de obicei situate n dou subreele diferite i separate geografic (de exemplu, nu se afl n aceeai locaie fizic). n ceea ce privete rolul de separare, serverele DNS cu rol intern proceseaz numai cererile din cadrul instituiei (de exemplu, clienii interni), iar erverele DNS cu rol extern proceseaz numai cererile de la clienii externi instituiei. PS-20 AUTENTICITATEA SESIUNII Msura: Sistemul informatic ofer mecanisme pentru a proteja autenticitatea sesiunilor de comunicare. ndrumri suplimentare: Aceast msur se concentreaz pe protecia comunicaiilor la nivel sesiune, versus pachete. Scopul acestei msuri este de a stabili relaii de ncredere

la fiecare capt al sesiunii de comunicare n curs, prin identificarea celeilalte pri i validarea informaiilor transmise. PS-21 EUAREA NTR-O STARE CUNOSCUT Msura: Sistemul informatic eueaz ntr-o [ stare cunoscut definit de instituie] pentru [tipurile de eec definite de instituie ] pentru conservarea [strii de sistem definit de instituie] n caz de eec. ndrumri suplimentare: Euarea ntr-o stare cunoscut poate asigura securitatea sistemului informatic i a informaiilor, n conformitate cu necesitile instituiei. Euarea ntr-o stare cunoscut sigur ajut la asigurarea confidenialitii, integritii, sau disponibilitatea n cazul unei defeciuni a sistemului informatic. PS-22 PROTECIA INFORMAIILOR AFLATE N STARE DE REPAUS Msura: Sistemul informatic protejeaz confidenialitatea i integritatea informaiilor n stare de repaus. ndrumri suplimentare: Aceast msur este destinat s asigure confidenialitatea i integritatea informaiilor aflate n stare de repaus stocate n dispozitivele fixe i acoper informaiile de utilizator i de sistem. Informaiile n repaus se refer la acele informaii stocate pe un dispozitiv de stocare secundar din cadrul sistemului informatic. PS-23 PARTIIONAREA SISTEMULUI INFORMATIC Msura: Instituia partiioneaz sistemul informatic n componente care sunt localizate n domenii (sau medii fizice) separate, dup cum consider necesar. ndrumri suplimentare: Partiionarea sistemului informatic n componente face parte din strategia de protecie n profunzime. O evaluare a riscului de securitate n cadrul instituiei ghideaz partiionarea sistemului informatic n componente situate n domenii (sau medii fizice) diferite. Clasificarea de securitate, de asemenea, conduce selecia candidailor potrivii pentru scheme de partiionare n domeniu.

FAMILIA: INTEGRITATEA SISTEMULUI INFORMATIC I A INFORMAIILOR

CLASA: OPERAIONAL

IS-1 POLITICA I PROCEDURILE PENTRU INTEGRITATEA SISTEMULUI I INFORMAIILOR Msura: Instituia dezvolt, difuzeaz, i revizuie te / actualizeaz [ cu o frecven stabilit de instituie]: (a) O politic oficial pentru integritatea sistemului informatic i a informa iilor care stabilete scopul, domeniul de aplicare, rolurile, responsabilitile, angajamentul echipei de conducere, coordonarea ntre entitile institu iei i aspectele de conformitate; (b) Proceduri pentru facilitarea punerii n aplicare a politicii pentru integritatea sistemului informatic i a informaiilor, precum i a msurilor aplicate. ndrumri suplimentare: Aceast msur este destinat s produc politici i proceduri care sunt necesare pentru punerea n aplicare efectiv a msurilor de securitate selectate i a mbuntirilor asociate integritii sistemului informatic i a informa iilor. Politica i procedurile sunt n concordan cu legile na ionale, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare aplicabile. Politicile i procedurile organizaionale deja existente pot conduce la dispari ia necesitii pentru elaborarea unor politici i proceduri specifice. Politica pentru integritatea sistemului informatic i a informa iilor poate fi inclus ca parte integrant a politicii generale a instituiei cu privire la securitatea informaiilor. Procedurile de punere n aplicare a politicii pentru integritatea sistemului informatic i a informa iilor pot fi elaborate pentru programul de securitate n general i, atunci cnd este necesar, pentru un sistem informatic specific. Strategia instituiei pentru gestionarea riscurilor de securitate este un factor determinant n dezvoltarea politicii pentru integritatea sistemului informatic i a informaiilor. IS-2 REMEDIEREA DEFECIUNILOR Msura: Instituia: a) Identific, raporteaz i corecteaz defeciunile aprute n sistemul informatic; b) Testeaz eficiena i potenialele efecte secundare asupra sistemului informatic nainte de instalarea actualizrilor software referitoare la remedierea defec iunilor; i c) ncorporeaz remedierea defeciunilor n procesul de management al configura iei. ndrumri suplimentare: Instituia identific sistemele informatice care conin software cu defeciuni anunate recent (i vulnerabiliti poteniale care rezult din aceste defec iuni), i raporteaz aceste aspecte funcionarilor de securitate desemnai de institu ie. mbuntiri ale msurii: (1) Instituia gestioneaz centralizat procesul de remediere a defec iunilor instaleaz actualizrile de software n mod automat. i

ndrumri suplimentare: Datorit aspectelor referitoare la integritatea sistemului informatic i a informaiilor, instituiile acord aten ie sporit metodologiei utilizate pentru a efectua actualizri automate. (2) Instituia implementeaz mecanisme automate [Atribuire: frecven stabilit de instituie] pentru a determina starea componentelor sistemului informatic.

IS-3 PROTECIA MPOTRIVA CODULUI MALIIOS Msura: Instituia: a) Implementeaz mecanisme de aprare mpotriva malware-ului la intrrile i ieirile sistemului informatic i n staiile de lucru, serverele, sau dispozitivele mobile de calcul din reea pentru a detecta programele malware: Transportate prin pota electronic, ataamentele mesajelor din pota electronic, accesrile web, dispozitivele de stocare amovibile, sau prin alte mijloace comune; sau Introduse prin exploatarea vulnerabilitilor sistemului informatic;

b) Actualizeaz mecanismelor de protecie mpotriva malware-ului (inclusiv definiii semntura) ori de cte ori sunt disponibile noi versiuni, n conformitate cu politica i procedurile instituiei de administrare a configuraiei; c) Configureaz mecanismele de protecie mpotriva malware-ului astfel nct s: Efectueze scanri periodice ale sistemului informatic [ Atribuire: cu o frecven definit de instituie ] i scanri n timp real a fiierelor descrcate, deschise, sau executate, n conformitate cu politica de securitate a instituiei; i [Selecie: (una sau mai multe): blocheaz codul maliios; introduce n carantin codul maliios; trimite alerte ctre administrator; [Atribuire: alte aciuni definite de instituie]], ca rspuns la detectarea de malware; i

d) Evalueaz alertele pozitive recepionate n timpul detectrii i eradicrii de cod malware i, pe baza datelor obinute, evalueaz impactul potenial asupra disponibilitii sistemului informatic. ndrumri suplimentare: Intrrile i ieirile sistemului informatic includ, spre exemplu, firewall-urile, serverele de pot electronic, serverele web, serverele proxy, i serverele pentru accesul de la distan. Malware-ul include, spre exemplu, virui, viermi, cai troieni, spyware. Codul malitios poate fi, de asemenea, codificat n diferite formate (spre exemplu, UUENCODE, Unicode) sau coninute ntr-un fiier comprimat. Dispozitivele de stocare amovibile includ, spre exemplu, dispozitive USB, dischete sau compact-discuri. Exist o mare varietate de tehnologii i metode destinate limitrii sau eliminrii efectele atacurilor prin utilizarea de cod maliios. n plus fa de variantele comerciale, codul maliios ar putea fi, de asemenea, prezent i n programe informatice personalizate. Aceastea ar putea include, de exemplu, bombe logice, back doors i alte tipuri de atacuri cibernetice care ar putea afecta misiunile i funciile instituiei. Mecanismele tradiionale de protecie mpotriva codului maliios nu sunt construite pentru a detecta astfel de cod personalizat. n aceste situaii instituiile trebuie s se bazeze pe alte msuri de reducere a riscurilor, cum ar fi, spre exemplu, practicile referitoare la securitatea codului, procesele de ncredere n

activitatea de achiziii, administrarea configuraiei, precum i activitile de monitorizare pentru a se asigura c software-ul nu ndeplinete alte funcii dect cele destinate. mbuntiri ale msurii: (1) Instituia gestioneaz n mod centralizat mecanismele de protecie mpotriva codului maliios. (2) Sistemul informatic actualizeaz automat mecanismele de protecie de tip anti-malware (inclusiv definiiile de semnturi). (3) Sistemul informatic previne ocolirea capacitilor de protecie anti-malware de ctre utilizatorii non-privilegiati. IS-4 MONITORIZAREA SISTEMULUI INFORMATIC Msura: Instituia: a) Monitorizeaz evenimentele din cadrul sistemului informatic, n conformitate cu [Atribuire: obiectivele de monitorizare stabilite de instituie ] i detecteaz atacurile asupra sistemului informatic; b) Identific utilizarea ne-autorizat a sistemului informatic; c) Implementeaz dispozitive de supraveghere: (i) strategice n cadrul sistemului informatic pentru a colecta informaiile eseniale desemnate de instituie, i (ii) adhoc n locaii din cadrul sistemului pentru a urmri alte tipuri de aciuni de interes pentru instituie; d) Sporete nivelul activitii de monitorizare a sistemului informatic ori de cte ori exist un indiciu de risc crescut pentru operaiunile instituiei, pentru persoane fizice, pentru alte instituii, sau pentru naiune; i e) Obine avizul juridic cu privire la activitile de monitorizare a sistemului informatic, n conformitate cu legile naionale, ordinele, directivele, politicile, sau reglementrile n vigoare. ndrumri suplimentare: Monitorizarea sistemului informatic include monitorizarea intern i extern. Monitorizarea extern include observarea evenimentelor care au loc la graniele sistemului (de exemplu, o parte a perimetrului de aprare i de protecie a frontierei). Monitorizarea intern include observarea evenimentelor care au loc n cadrul sistemului (de exemplu, n cadrul reelelor interne ale instituiei i n cadrul componentelor de sistem). Sistemul informatic de monitorizare este realizat printr-o varietate de instrumente i tehnici (de exemplu, sisteme de detectare a intruziunilor, sisteme de prevenire a intruziunilor, sisteme de protecie mpotriva codului maliios, sisteme de audit, software de monitorizare ). Granularitatea informaiilor colectate este determinat de instituie, pe baza obiectivelor sale de monitorizare i capacitatea sistemului informatic de a sprijini astfel de activiti. mbuntiri ale msurii: (1) Instituia utilizeaz instrumente automate pentru a sprijini analiza in timp real a evenimentelor. (2) Sistemul informatic monitorizeaz comunicaiile de intrare i de ieire pentru a detecta activitile neobinuite sau neautorizate.

ndrumri suplimentare: Activitile sau situaiile neobinuite/neautorizate includ, spre exemplu, traficul intern care indic prezena de cod maliios n cadrul unui sistem informatic sau care se propag ntre componentele sistemului, exportul neautorizat de informaii, sau aciunile de semnalizare ctre sisteme informatice externe externe. Dovada prezenei codului maliios este utilizat pentru a identifica sistemele sau componente compromise. (3) Sistemul informatic furnizeaz, aproape n timp real, alerte cu privire la apariia: [Atribuire: lista indicatorilor de compromitere definii de instituie ]. ndrumri suplimentare: Alertele pot fi generate, n funcie de lista de indicatorilor definii de instituie, dintr-o varietate de surse, spre exemplu nregistrrile de audit sau de intrare de la mecanismele de protecie anti-malware sau de la mecanismele de detectare i prevenire a intruziunilor. (4) Sistemul informatic previne ocolirea mecanismelor de detecie i prevenire a intruziunilor de ctre utilizatorii non-privilegiai.

IS-5 AVERTIZRI, NDRUMRI I DIRECTIVE DE SECURITATE Msura: Instituia: a) Primete alerte referitoare la securitatea sistemului informatic, consultaii, precum i directive de la instituiile externe desemnate; b) Genereaz alerte interne de securitate, ghiduri i directive dup cum consider necesar; c) Disemineaz avertizri de securitate, consultaii i directive ctre [ Atribuire: lista personalului (identificai prin nume i / sau rol) definit de instituie ]; i d) Implementeaz directivele de securitate n conformitate cu limitele de timp stabilite. ndrumri suplimentare: Alertele de securitate i recomandrile sunt generate de ctre Centrul Naional de Rspuns la Incidente de Securitate (CERT-RO) pentru a menine gradul de contientizare a riscurilor de securitate n cadrul instituiilor. mbuntiri ale msurii: (1) Instituia implementeaz mecanisme automate pentru punerea la dispoziie a alertelor i ndrumrilor, dup cum este necesar.

IS-6 VERIFICARE FUNCIONALITILOR DE SECURITATE Msura: Sistemul informatic verific funcionarea corect a funciilor de securitate [Selecie: (una sau mai multe): [Atribuire: strile de tranziie ale sistemului definite de instituie]; la comanda utilizatorilor cu privilegii corespunztoare; periodic, la fiecare [Atribuire: perioad de timp stabilit de instituie] ] i Selecie: [(una sau mai multe): notific administratorul de sistem; oprete sistemul; repornete sistemul; [Atribuire: aciuni alternative definite de instituie]] atunci cnd sunt descoperite anomalii. ndrumri suplimentare: Necesitatea de a verifica funcionalitile de securitate se aplic la toate funciile de securitate. Pentru acele funcii de securitate care nu sunt capabile sa execute auto-teste, instituia pune n aplicare msuri de securitate suplimentare sau

accept n mod explicit riscul de a nu efectua aceste verificri, dup caz. Strile de tranziie ale sistemului informatic includ, spre exemplu, pornirea, repornirea, nchidere i renunarea.

IS-7 INTEGRITATEA SOFTWARE-ULUI I INFORMAIILOR Msura: Sistemul informatic detecteaz modificrile neautorizate ale software-ului i informaiilor. ndrumri suplimentare: Instituia utilizeaz aplicaii de verificare a integritii sistemului informatic pentru a descoperi dovezile de falsificare a informaiilor, erorile i omisiunile. Instituia utilizeaz ghiduri de bune practici de inginerie software cu referire la mecanismele de integritate a programelor software comerciale (spre exemplu verificri de paritate, verificri de redundan ciclic (CRC), hash-uri (funcii criptografice)) i utilizeaz unelte de monitorizare a sistemului informatic i a aplicaiilor gzduite de acesta. mbuntiri ale msurii: (1) Instituia re-evalueaz integritatea software-ului i a informaiilor prin realizarea, [Atribuire: cu o frecven stabilit de instituie, ] de scanri de integritate a sistemului informatic. (2) Instituia utilizeaz instrumente automatizate care realizeaz notificarea persoanelor desemnate n cazul descoperirii de discrepane pe timpul verificrilor de integritate.

IS-8 PROTECIA LA SPAM Msura: Instituia: a) Implementeaz mecanisme de protecie mpotriva mesajelor de tip spam la intrrile i ieirile sistemului informatic i la staiile de lucru, serverele, sau dispozitive mobile de calcul din reea pentru a detecta si a lua msuri cu privire la mesajele nesolicitate transportate prin pot electronic, prin ataamentele mesajelor din pot electronic, prin accesrile web, sau prin alte mijloace comune; i b) Actualizeaz mecanismele de protecie mpotriva mesajelor de tip spam (inclusiv definiii de semnturi), atunci cnd sunt disponibile noi versiuni, n conformitate cu politica i procedurile instituiei de management al configuraiei. ndrumri suplimentare: Intrrile i ieirile sistemului informatic includ, spre exemplu, firewall-urile, serverele de pot electronic, serverele web, serverele proxy, i serverele pentru accesul de la distan. mbuntiri ale msurii: (1) Instituia administreaz n mod centralizat mecanismele de protecie mpotriva mesajelor de tip spam. IS-9 RESTRICII LA INTRODUCEREA DE INFORMAII

Msura: Instituia limiteaz capacitatea personalului autorizat de a introduce informaii n sistemul informatic. ndrumri suplimentare: Restriciile impuse personalului autorizat al instituiei, de a introduce informaii n sistemul informatic, se pot extinde dincolo mecanismele de control implementate de sistem i includ limitri bazate pe responsabilitile operaionale specifice. IS-10 VALIDAREA INTRODUCERILOR DE INFORMAII Msura: Sistemul informatic verific validitatea informaiilor introduse. ndrumri suplimentare: Regulile pentru verificarea sintaxei i semanticii intrrilor sistemului informatic (spre exemplu setul de caractere, lungimea, dimensiunile numerice, valorile acceptabile) sunt utilizate pentru a verifica dac sunt respectate cerinele referitoare la coninut i format. IS-11 GESTIONAREA ERORILOR Msura: Sistemul informatic: a) Identific condiiile de eroare cu potenial de risc de securitate; b) Genereaz mesaje de eroare care furnizeaz informaiile necesare pentru efectuarea de aciuni de corectare fr a dezvlui, n jurnalele i mesajele administrative, [Atribuire: informaiile sensibile sau cu potenial duntor definite de instituie] care ar putea fi exploatate de ctre adversari; i c) Dezvluie mesajele de eroare numai personalului autorizat. ndrumri suplimentare: Structura i coninutul mesajelor de eroare sunt atent luate n considerare de ctre instituie. Informaiile sensibile includ, spre exemplu, numere de cont, numere de securitate i de numere de card de credit. IS-12 GESTIONAREA I PSTRAREA INFORMAIILOR DE IEIRE

Msura: Instituia gestioneaz i reine mnere i reine informaiile de ieire ale sistemului informatic, n conformitate cu legislaia naional, ordinele, directivele, politicile, reglementrile, standardele i ghidurile aplicabile n vigoare. ndrumri suplimentare: Manipularea informaiilor de ieire i cerinele de pstrare acoper ntregul ciclu de via al acestora.