Politica Si Regulamente Securitate

str. Industrial nr.
POLITICA DE MANAGEMENT AL SECURITII INFORMAIEI

DIN CADRUL
REGIEI AUTONOME DE TRANSPORT N COMUN CONSTANA
Politica, Regulament de Securitate i Proceduri de lucru privind sistemul Resurselor Informatice i de Comunicaii din cadrul Regiei Autonome de Transport n Comun Constana
Cap. I Politica de Securitate privind Sistemul Resurselor Informatice i de Comunicaii

1.1 Introducere
n acord cu prevederile din prezentul document, Resursele Informatice i de Comunicaii (RIC) sunt bunuri strategice ale Regiei Autonome de transport in Comun Constanta. Compromiterea securitii sistemului RIC poate afecta capacitatea R.A.T.C. Constana de a oferi serviciile specifice, poate conduce la fraude sau distrugerea datelor, violarea clauzelor contractuale, divulgarea secretelor, afectarea credibilitii R.A.T.C. Constana n faa partenerilor si. Aceast politic este stabilit astfel nct: s fie n conformitate cu statutul, regulamentele, legile i alte documente oficiale n vigoare privind administrarea resurselor informatice; s stabileasc practici prudente i acceptabile privind utilizarea RIC; s instruiasc utilizatorii care au dreptul de folosire a sistemului RIC privind responsabilitile asociate unei astfel de utilizri; Politica de securitate a sistemului RIC al R.A.T.C. Constana se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a R.A.T.C. Constana. Urmtoarele entiti i utilizatori sunt vizai n mod distinct de prevederile Politicii: angajaii cu contract de munc pe perioad determinat sau nedeterminat care au acces la sistemul informaional i de comunicaii; aolaboratorii R.A.T.C. Constana care au acces la sistemul RIC; furnizorii R.A.T.C. Constana care au acces la sistemul RIC; studenii/elevii care fac practic la R.A.T.C. Constana; alte persoane, entiti sau organizaii care au acces la sistemul RIC.
1.2 Scopul politicii de securitate

Politica de securitate a sistemului RIC are ca scop asigurarea integritii, confidenialitii i disponibilitii informaiei. Confidenialitatea se refer la protecia datelor mpotriva accesului neautorizat. Fiierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate n proprietatea, administrarea sau n custodia i sub controlul R.A.T.C. Constana, sunt proprietatea instituiei n condiiile legilor n vigoare. Utilizatorul rspunde personal de confidenialitatea datelor ncredinate prin procedurile de acces la sistemul RIC. Integritatea se refer la msurile i procedurile utilizate pentru protecia datelor mpotriva modificrilor sau distrugerii neautorizate. Disponibilitatea se asigur prin funcionarea continu a tuturor componentelor sistemului RIC. Diverse aplicaii au nevoie de nivele diferite de disponibilitate n funcie de impactul sau daunele produse ca urmare a nefuncionrii corespunztoare a sistemului RIC.
Politica de securitate are ca scop, de asemenea, stabilirea cadrului necesar pentru elaborarea regulamentelor i procedurilor de securitate. Acestea sunt obligatorii pentru toi utilizatorii sistemului RIC.
1.3 Definiii folosite n politica de securitate i regulamentul de utilizare

Resurse Informatice i de Comunicaii (RIC ): toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice, incluznd, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agend (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant - PDA), pagere, sisteme de procesare distribuit, echipament de laborator i medical conectat la reea i controlat prin calculator (tehnologie ncapsulat), resurse de telecomunicaii, medii de reea, telefoane, faxuri, imprimante i alte accesorii. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a creea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul Resurselor Informatice i de Comunicaii (ARIC): Responsabil la nivelul R.A.T.C. Constana cu administrarea i finanarea RIC. Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile de finanare, administrare i utilizare a RIC. Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre R.A.T.C. Constana, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n contradicie cu regulamentele R.A.T.C. Constana i/sau legile n vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii respective. Furnizor: Persoan fizic/juridic care ofer bunuri i/sau servicii R.A.T.C. Constana n baza unui contract comercial sau de colaborare. Internet: Sistem global care interconecteaz calculatoare i reele de calculatoare. Acestea sunt deinute de mai multe organizaii, agenii guvernamentale, societi, instituii academice. Intranet: Reea privat destinat comunicaiilor i partajrii informaiilor, care, ca i reeaua Internet, folosete suita de protocoale TCP/IP, ns este accesibil doar utilizatorilor autorizai din cadrul unei organizaii (instituii). n mod obinuit, reeaua Intranet a unei organizaii este protejat printr-un sistem de protecie (firewall). Virus: Un program care se auto-ataeaz la un fiier executabil sau la o aplicaie vulnerabil i care genereaz efecte de la cele deranjante pn la cele distructive. Un virus se execut n momentul n care este accesat un fiier infectat. Un virus de macro infecteaz codul executabil ncapsulat n pachetul de programe Microsoft Office (Word, Excel, PowerPoint) sau alte programe care permit utilizatorului s genereze macro-uri. 3
Vierme: Un program care se auto-copiaz n oricare alt parte a unui sistem informatic. Aceste copii pot fi create pe acelai calculator sau pot fi trimise ctre alte calculatoare prin intermediul reelei. Prima utilizare a termenului descria un program care s-a multiplicat ntr-o reea de calculatoare, folosind resursele sau calculatoarele neutilizate din reea pentru a distribui aceste copii. Unii dintre aceti viermi reprezint o ameninare la adresa securitii din cauza faptului c folosesc reeaua pentru a se mprtia, mpotriva voinei proprietarilor de sisteme de calcul, cauznd astfel nefuncionarea sau funcionarea defectuoas a reelei. Un vierme este asemntor unui virus prin faptul c se auto-copiaz, diferena constnd n faptul c un vierme nu are nevoie s se ataeze la anumite fiiere pentru a se multiplica. Cal troian: de obicei un virus sau un vierme care este ascuns sub forma unui program atractiv sau inofensiv, cum ar fi un joc, sau program de grafic (o felicitare n format electronic, un program tip screen-saver). Victimele pot primi un astfel de cal troian prin email sau pe o dischet, adeseori de la o alt victim necunoscut sau pot fi ncurajate s descarce un fiier de pe o pagin Web sau un forum. Incident de Securitate: n termeni informatici este definit ca un eveniment prin care se ncearc sau se realizeaz accesul la un sistem informatic, un atac asupra integritii i/sau confidenialitii informaiei de pe un sistem informatic automatizat. Aceasta include examinarea sau navigarea neautorizat, ntreruperea sau anularea unui serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaiilor, modificarea informaiilor sistemului referitoare la caracteristicile componentelor hardware, firmware sau software cu sau fr tiina sau intenia utilizatorului. Reea local (LAN): O reea de comunicaii de date ce este distribuit pe o zon restrns (de regul la nivelul unui grup de lucru). Reeaua local ofer comunicaii ntre calculatoare i periferice la o vitez de transfer mare i cu puine erori. Server: Un program de calculator care ofer servicii altor programe aflate pe acelai calculator sau pe calculatoare diferite. Un calculator care ruleaz un program tip server este denumit n mod frecvent server, cu toate c pe acelai calculator mai pot rula i alte programe de tip client sau server. Gazd (Host): Un sistem care ofer servicii pentru un anumit numr de utilizatori. Copii de Siguran (backup): Copii ale fiierelor i aplicaiilor fcute pentru a evita pierderea datelor i pentru a permite recuperarea n cazul unor evenimente care pot conduce la pierderi de date. Firewall: Un mecanism de control al accesului care acioneaz ca o barier ntre dou sau mai multe segmente ale unei reele de calculatoare sau ale unei arhitecturi de tip client/server, folosit pentru a proteja reelele interne sau segmente ale acestora mpotriva utilizatorilor sau proceselor neautorizate. Atac informaional: O ncercare de a trece peste msurile i controalele de securitate fizice sau informatice care protejeaz un sistem din cadrul sistemului de RIC. Atacatorul poate altera informaiile, poate acorda sau refuza accesul la ele. Succesul unui eventual atac depinde de gradul de vulnerabilitate al sistemului n particular i de eficacitatea contramsurilor aplicate. Protecie informaional: Aciuni ntreprinse n vederea afectrii informaiilor i sistemelor informatice ostile, n timp ce protejeaz informaiile i sistemele informatice proprii. Procedura - reprezint modalitatea specific de desfurare a unei activiti sau a unui proces. 4
1.4 Clasificarea Informaiilor

Clasificarea informaiilor este necesar pentru a permite att alocarea resurselor necesare protejrii acestora ct i pentru a determina pierderile poteniale ca urmare a modificrilor, pierderii/distrugerii sau divulgrii acestora. Pentru a asigura securitatea i integritatea informaiilor, acestea se mpart n trei categorii principale: Publice Secrete Strict Secrete ??? Conducerea instituiei rspunde de evaluarea periodic a schemei de clasificare a informaiilor. Toate informaiile din R.A.T.C. Constana trebuie s se regseasc n una din urmtoarele categorii: 1. Publice - Acestea sunt informaiile accesibile oricrui utilizator din interiorul sau exteriorul R.A.T.C. Constana. Divulgarea, utilizarea neautorizat sau distrugerea acestora nu produce efecte asupra R.A.T.C. Constana sau aceste efecte sunt nesemnificative. Utilizatorii care furnizeaz aceste informaii sunt responsabili de asigurarea integritii i disponibilitii acestora n raport cu cerinele R.A.T.C. Constana. 2. Secrete - n aceast categorie se includ informaiile pe care R.A.T.C. Constana trebuie s le protejeze conform legislaiei n vigoare.Aceste date vor fi copiate i distribuite n cadrul R.A.T.C. Constana doar utilizatorilor autorizai. Distribuirea acestor informaii de ctre utilizatorii autorizai trebuie s se fac pe baza unei clauze de confidenialitate. 3. Strict Secrete sau Confideniale - n aceast categorie se includ toate informaiile care, din cauza valorii naturii lor, nu trebuie fcute publice. Divulgarea, utilizarea sau distrugerea acestor date poate intra sub incidena Codului Civil, Penal sau legislaiei n vigoare. Accesul la aceste informaii va fi restricionat. Datele strict secrete nu pot fi copiate, distribuite sau terse fr acordul scris al conducerii R.A.T.C. Constana.
1.5 Confidenialitate
1. Fiierele electronice create, trimise, primite sau stocate folosind sistemul RIC propriu, administrate sau n custodia i sub controlul R.A.T.C. Constana nu au caracter personal i pot fi accesate oricnd de ctre angajaii autorizai (specialistul IT/administrator reea) fr ntiinarea utilizatorului. 2. n scopul administrrii RIC i pentru asigurarea securitii RIC personalul autorizat poate revizui sau utiliza orice informaie stocat pe sau transportat prin sistemele RIC n conformitate cu legile n vigoare. n aceleai scopuri, este posibil monitorizarea activitii utilizatorilor. 3. Utilizatorii trebuie s raporteze orice slbiciune n sistemul de securitate al calculatoarelor din cadrul R.A.T.C. Constana, orice incident de posibil ntrebuinare greit sau nclcare a acestui regulament. 4. Un mare numr de utilizatori, pot accesa diverse informaii din sistemul de comunicaii al R.A.T.C. Constana. n aceste condiii este obligatorie pstrarea confidenialitii acestor informaiilor transmise din exteriorul RIC i a informaiilor obinute din interior. 5. Utilizatorii nu trebuie s ncerce s acceseze informaii sau programe de pe sistemele R.A.T.C. Constana pentru care nu au autorizaie sau consimmnt explicit. 5
6. Nici un utilizator al sistemului RIC ale R.A.T.C. Constana nu poate divulga informaiile la care are acces sau la care a avut acces ca urmare a unei vulnerabiliti a sistemului RIC. Aceast regul se extinde i dup ce utilizatorul a ncheiat relaiile cu R.A.T.C. Constana, conform angajamentelor personale sau contractelor de munca semnate, existente in cadrul Serviciului Resurse Umane. 7. Confidenialitatea informaiilor transmise prin intermediul resurselor de comunicaii ale terilor nu poate fi asigurat. Pentru aceste situaii, confidenialitatea i integritatea informaiilor se poate asigura folosind tehnici de criptare. Utilizatorii sunt obligai s se asigure c toate informaiile confideniale ale R.A.T.C. Constana se transmit n aa fel nct s se asigure confidenialitatea i integritatea acestora.
Cap. II Regulamentele de Utilizare a Resurselor Informatice i de Comunicaii (RIC)

Introducere
Regulamentele de Utilizare a Resurselor Informatice i de Comunicaii sunt elaborate pentru a stabili un cadru corect, legal i eficient de utilizare a tehnologiei informaiei i comunicaiilor n R.A.T.C. Constana. Acestea au ca scop principal protejarea utilizatorilor, colaboratorilor mpotriva atacurilor de orice tip (cu sau fr intenie). De asemenea acestea au ca scop protejarea imaginii instituiei i a investiiilor acesteia pentru dezvoltarea sistemul informatic i de comunicaii. Scopul acestor regulamente este acela de a asigura: Stabilirea unor reguli corecte, echitabile i eficiente pentru folosirea resurselor informatice i de comunicaii; Protejarea imaginii R.A.T.C. Constana; Protejarea investiiilor R.A.T.C. Constana pentru dezvoltarea sistemului informatic i de comunicaii propriu; 6
Protejarea proprietii intelectuale i a tuturor informaiilor stocate i transportate folosind Resursele Informatice i de Comunicaii ale utilizatorilor autorizai: membrii conducerii, personal contractual, studeni/elevi aflai n practic, colaboratori etc. Educarea utilizatorilor resurselor informatice i de comunicaii n ceea ce privete responsabilitile asociate cu utilizarea acestora; Compatibilitate cu regulamentele, statutul i atribuiile stabilite pentru administrarea resurselor informatice i de comunicaii
Regulamentele de utilizare a resurselor informatice i de comunicaii ale R.A.T.C. Constana se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la acesta. Regulamentele i procedurile de lucru sunt elaborate de Oficiul de Calcul din cadrul instituiei i supuse spre aprobare conducerii. Prevederile Politicii de Securitate i Procedurile de Lucru aprobate vor fi aplicate tuturor entitilor i utilizatorilor dup cum urmeaz: Angajaii cu contract de munc pe perioad determinat sau nedeterminat care au acces la sistemul informaional i de comunicaii; Colaboratorii R.A.T.C. Constana care au acces la sistemul RIC; Furnizorii R.A.T.C. Constana care au acces la sistemul RIC; Studenii/elevii care fac practic la R.A.T.C. Constana ; Alte persoane, entiti sau organizaii care au acces la sistemul RIC. Modificarea regulamentului i/sau a procedurilor generale de lucru se va face ori de cte ori este nevoie, iar aprobarea modificrilor se va face de ctre conducere. Procedurile Generale de Lucru fac parte integrant din prezentul regulament i sunt prezentate n anexa 1.
2.1 Regulament de utilizare a RIC

1. Utilizarea sistemului RIC se face numai n interes de serviciu. 2. Utilizatorii trebuie s anune angajatii Oficiului de Calcul n cazul n care se observ orice problem/bre n sistemul de securitate a RIC din cadrul R.A.T.C. Constana ct i orice posibil ntrebuinare greit sau nclcare a regulamentelor n vigoare. 3. Utilizatorii, prin aciunile lor, nu trebuie s ncerce s compromit protecia sistemelor informatice i de comunicaii i nu trebuie s desfoare, deliberat sau accidental, aciuni care pot afecta confidenialitatea, integritatea i disponibilitatea informaiilor de orice tip n cadrul sistemului RIC al R.A.T.C. Constana. 4. Utilizatorii nu trebuie s ncerce s obin acces la date sau programe din RIC pentru care nu au autorizaie sau consimmnt explicit. 5. Utilizatorii nu trebuie s divulge sau s nstrineze nume de conturi, parole, Numere de Identificare Personal (PIN-uri), dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive i/sau informaii similare utilizate n scopuri de autorizare i identificare. 6. Utilizatorii nu trebuie s fac copii neautorizate sau s distribuie materiale protejate prin legile privind proprietatea intelectual (copyright). 7. Utilizatorii nu trebuie s utilizeze programe de tip shareware sau freeware, fr aprobarea Oficiului de Calcul, cu excepia cazului n care acestea se gsesc pe lista programelor standard folosite n cadrul R.A.T.C. Constana. Aceast list va fi ntocmit de Oficiul de Calcul n funcie de necesitile departamentelor. 7
8. Utilizatorii nu trebuie: - s se angajeze ntr-o activitate care ar putea hrui sau amenina alte persoane; - s degradeze performanele RIC; - s mpiedice accesul unui utilizator autorizat la RIC; - s obin alte resurse n afara celor alocate; - s nu ia n considerare msurile de securitate impuse prin regulamente; - s exploateze defectuos componentele RIC; - s utilizeze dischete, cd-uri, sau orice alt suport magnetic de stocare a informaiei din exteriorul instituiei fr acordul explicit al angajatilor Oficiului de Calcul; 9. Utilizatorii nu trebuie s descarce, instaleze i s ruleze programe de securitate sau utilitare care expun sau exploateaz vulnerabiliti ale securitii RIC. De exemplu, utilizatorii din R.A.T.C. Constana nu trebuie s ruleze programe de decriptare a parolelor, de captur de trafic, de scanri ale reelei sau orice alt program nepermis de regulamente. 10. RIC ale R.A.T.C. Constana nu trebuiesc folosite pentru beneficiul personal. 11. Utilizatorii nu trebuie s acceseze, s creeze, s stocheze sau s transmit materiale pe care R.A.T.C. Constana le poate considera ofensive, indecente sau obscene (altele dect cele pentru care aprobarea explicit a conducerii instituiei). 12. Accesul la reeaua Internet prin intermediul RIC se supune acelorai regulamente care se aplic utilizrii din interiorul instituiei i Regulamentului pentru Utilizare Internet i Intranet (cap. II subcap. 14). 13. Angajaii nu trebuie s permit membrilor familiei sau altor persoane strine neautorizate, care nu au aprobare explicit din partea persoanelor autorizate sau a conducerii instituiei, accesul la RIC ale R.A.T.C. Constana . 14. Utilizatorii nu trebuie s se angajeze n aciuni mpotriva scopurilor R.A.T.C. Constana folosind RIC. 15. n cazul demisiei/plecrii definitive din instituie a unui utilizator acest lucru va fi comunicat Oficiului de Calcul de ctre Serviciul Resurse Umane din Cadrul instituiei. Angajatii Oficiului de Calcul vor recurge la stergerea conturilor i parolelor utilizatorului respectiv, iar accesul utilizatorului la RIC va fi interzis. 16. Este interzis utilizarea RIC de ctre persoane neautorizate.
2.2. Utilizarea ocazional a RIC n scopuri personale

n aceste situaii se aplic urmtoarele restricii: 1. Utilizarea personal ocazional a serviciilor de pot electronic, acces internet, telefoane, faxuri, imprimante, copiatoare, etc. este restricionat la utilizatorii autorizai i nu poate fi extins la membrii familiilor sau alte persoane. 2. Utilizarea ocazional a RIC nu trebuie s aib drept rezultate costuri directe pentru R.A.T.C. Constana. 3. Utilizarea ocazional a RIC nu trebuie s afecteze activitatea normal a angajailor. 4. Nu este permis trimiterea sau recepionarea documentelor sau fiierelor care pot cauza aciuni legale mpotriva R.A.T.C. Constana sau prejudicierea, indiferent de form, a intereselor Instituiei. 5. Stocarea mesajelor de email, a mesajelor de voce, a documentelor i fiierelor personale din cadrul RIC trebuie s fie nominal. 6. Toate mesajele, fiierele i documentele incluznd mesajele personale, fiierele i documentele localizate n cadrul RIC sunt proprietatea Instituiei i pot fi subiectul unor cereri de verificare/inspectare/accesare de ctre angajaii Oficiului de Calcul, conform regulamentelor. 8
2.3. Accesul Administrativ

1. Utilizatorii trebuie s cunoasc i s accepte toate regulamentele privind securitatea RIC nainte de a li se permite accesul la un cont. 2. Utilizatorii care au conturi de acces administrativ trebuie sa aib instruciuni de administrare, documentare, instruire i autorizare a conturilor. 3. Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie s foloseasc n mod abuziv aceste drepturi i trebuie s fac investigaii numai sub ndrumarea angajailor Oficiului de Calcul . 4. Cei care utilizeaz conturi de acces cu drepturi administrative sau speciale trebuie s foloseasc tipul de privilegiu cel mai potrivit activitii pe care o desfoar. 5. Accesul administrativ trebuie s se conformeze Regulamentului privind Parolelor (cap. II subcap. 2.16) . 6. Parola pentru un cont cu acces privilegiat nu va fi utilizat de mai multe persoane dect cu acordul angajailor Oficiului de Calcul i trebuie s fie schimbat atunci cnd o persoana care utilizeaz acest cont i schimb locul de munc din cadrul Departamentului sau a Instituiei, sau n cazul unei modificri a listei de personal ale terilor (furnizor desemnat) n contractele cu R.A.T.C. Constana. 7. Trebuie s existe o procedur prin care o alt persoan, n afar de administrator, s poat avea acces la contul administratorului n caz de fora major. Aceast procedur va fi elaborat de ctre Oficiul de Calcul. 8. Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau instalare de software sau alte operaiuni definite. Acestea trebuie s ndeplineasc urmtoarele condiii: - trebuie s fie autorizate; - trebuiesc create cu dat de expirare specific; - contul va fi ters atunci cnd nu mai este necesar.
2.4. Accesul Fizic

1. Toate ncperile n care sunt instalate RIC trebuie s fie protejate fizic, n funcie de importana acestora i tipul datelor vehiculate sau stocate. 2. Pentru fiecare ncpere n care sunt instalate echipamente ale sistemului RIC se aprob accesul doar pentru personalul care rspunde de buna funcionare a echipamentelor din ncperea respectiv i, dac este cazul, prilor contractante, ale cror obligaii contractuale implic acces fizic. 3. Nu este permis transferul dreptului de acces indiferent de motiv. 4. Vizitatorii/persoanele strine trebuie s fie nsoii n zonele cu acces restricionat. 5. Pentru fiecare spaiu n care sunt instalate RIC se va pstra o eviden a accesului pentru verificri de rutin n situaii critice.
2.5. Conectarea la Sistemul Resurselor Informatice i de Comunicaii

9
1. Utilizatorilor le este permis s utilizeze numai parametrii pentru conectare la reea specificai de ctre administratorul de reea. 2. Pentru fiecare sistem conectat trebuie s existe o persoan care s rspund de acesta, numele i datele de identificare ale acesteia se vor comunica ctre Oficiul de Calcul. 3. Conectarea sistemelor de calcul care nu sunt proprietatea R.A.T.C. Constana se face numai cu aprobarea n scris din partea conducerii instituiei. 4. Accesul de la distan la reeaua R.A.T.C. Constana se va realiza numai prin echipamente aprobate, sau prin intermediul unui Furnizor de Servicii Internet (Internet Service Provider (ISP)) i folosind protocoale aprobate de ctre eful Oficiului de Calcul. 5. Utilizatorii RIC din interiorul R.A.T.C. Constana nu se pot conecta la alt reea. 6. Utilizatorii nu trebuie s extind sau s retransmit serviciile de reea n nici un fel (pe nici o cale). Nu este permis instalarea de conexiuni de reea neautorizate indiferent de motiv. Autorizarea tuturor conexiunilor se face la propunerea Departamentelor de ctre Oficiul de Calcul. 7. Utilizatorii nu trebuie s instaleze echipamente hardware sau programe care furnizeaz servicii de reea fr aprobarea Oficiului de Calcul. 8. Sistemele computerizate din afara Instituiei care necesit conectare la reea trebuie s se conformeze cu standardele reelei interne ale R.A.T.C. Constana . 9. Utilizatorii nu au dreptul s descarce din Internet, s instaleze sau s ruleze programe de securitate sau de alt natur care pot dezvlui slbiciuni n securitatea unui sistem. De exemplu, utilizatorii R.A.T.C. Constana nu au dreptul s ruleze programe de spargere a parolei, sustragere de pachete, scanare a porturilor, n timp ce sunt conectai la reeaua Instituiei. 10. Utilizatorii nu au dreptul s modifice, reconfigureze, instaleze, dezinstaleze echipamente de reea, cabluri, prize de conexiuni. 11. Serviciul de nume i administrarea adreselor IP sunt deservite exclusiv de ctre Oficiul de Calcul. 12. Serviciile de interconectare a reelei R.A.T.C. Constana cu alte reele sunt realizate exclusiv de ctre Oficiul de Calcul. 13. Nu este permis instalarea i/sau modificarea echipamentelor utilizate pentru conectare la reea (inclusiv plci de reea) fr aprobarea Oficiului de Calcul. Tipul i modelul plcilor de reea i tuturor echipamentelor care se pot conecta n reea trebuie s fie aprobate de ctre Oficiul de Calcul.
2.6. Configurarea Parametrilor de Acces la Reea

1. Infrastructura de comunicaii, reeaua de comunicaii digitale, a R.A.T.C. Constana este administrat de ctre Oficiul de Calcul care este responsabil cu ntreinerea i dezvoltarea acesteia. 2. Pentru a furniza o infrastructur de comunicaii unitar cu posibiliti de modernizare toate componentele acesteia sunt instalate de ctre Oficiul de Calcul sau de ctre un furnizor avizat explicit de ctre Oficiul de Calcul. 3. Toate echipamentele, fr excepie, conectate la reeaua de comunicaii trebuie configurate conform specificaiilor Oficiul de Calcul. 4. Orice dispozitiv hardware, inclusiv plcile de reea i modemuri, care se va conecta la reeaua R.A.T.C. Constana , trebuie s fie nsoit de o aprobare de tip (productor, model etc.) din partea Oficiul de Calcul. 10
5. Modificarea configuraiei oricrui dispozitiv activ conectat la reeaua de comunicaii se face numai de ctre Oficiul de Calcul. 6. Infrastructura de comunicaii de date a R.A.T.C. Constana suport un set definit de protocoale de reea (TCP/IP, NwLink IPX/ISP). Orice utilizare a altui set de protocoale trebuie s fie aprobat n scris de ctre Oficiul de Calcul. 7. Adresele de reea sunt alocate dinamic sau static numai de ctre Oficiul de Calcul. 8. Toate conectrile n reeaua de comunicaii a R.A.T.C. Constana sunt responsabilitatea Compartimentul de Informatic, conectarea se va face numai n baza unei cereri standard aprobat de ctre conducerea Instituiei. 9. Toate conectrile dintre reeaua de comunicaii a R.A.T.C. Constana i alte reele de comunicaii, publice sau private, sunt responsabilitatea exclusiv a Oficiului de Calcul. 10. Echipamentele de protecie a reelei de comunicaie a R.A.T.C. Constana (firewall) se vor instala de ctre Oficiul de Calcul. 11. Utilizatorii nu au dreptul s extind sau s retransmit n nici un fel serviciile reelei (este interzis instalarea unui telefon, fax, modem, router, switch, hub sau punct de acces la reeaua Instituiei) fr aprobare din partea Oficiului de Calcul. Utilizatorilor li se interzice instalarea de dispozitive hardware de reea sau programe care furnizeaz servicii de reea fr aprobarea Oficiului de Calcul. 12. Utilizatorilor nu le este permis accesul la dispozitivele hardware ale reelei.
2.7. Tratarea Incidentelor de Securitate i de nerespectare a Politicii i Regulamentului de Securitate

Ori de cte ori un incident de securitate este suspectat sau confirmat, precum un virus, vierme, descoperirea unor activiti suspecte, informaii modificate etc., trebuie urmate procedurile standard specifice pentru micorarea riscurilor. Oficiul de Calcul este responsabil cu ntiinarea i tratarea incidentului. Oficiul de Calcul este responsabil cu strngerea dovezilor fizice i electronice ce vor face parte din documentaia pentru tratarea incidentului. Folosind resurse tehnice speciale se va monitoriza nivelul daunelor i gradul de eliminare sau atenuare a vulnerabilitilor acolo unde este cazul. Oficiul de Calcul trebuie s comunice proprietarului sau productorului resursei afectate de un incident informaiile utile pentru eliminarea sau diminuarea vulnerabilitilor care au cauzat incidentul. Oficiul de Calcul este responsabil de coordonarea activitilor de comunicare cu teri pentru rezolvarea incidentului.
2.8. Monitorizarea Resurselor Informatice i de Comunicaii

Monitorizarea RIC se va face astfel nct s fie posibil detectarea n timp util a atacurilor informatice i a situaiilor de nclcare a regulamentelor de securitate. Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmri i nregistra: - tipul traficului (ex. structura pe protocoale i servicii) extern i coninutul acestuia n cazurile n care acest lucru se impune sau este ordonat. - tipul traficului n reea, a protocoalelor i a echipamentelor conectate la RIC, coninutul acestuia n cazurile n care acest lucru se impune sau este ordonat. 11
parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de operare). Fiierele jurnal vor fi examinate regulat n vederea detectrii eventualelor atacuri informatice i abateri de la regulamentele de securitate ale R.A.T.C. Constana . n aceast categorie intr urmtoarele (fr a se limita doar la acestea): - jurnale ale sistemelor de detectarea automat a intruilor. - jurnale Firewall - jurnale ale activitii conturilor utilizator - jurnale ale scanrilor reea - jurnale ale aplicaiilor - jurnale ale solicitrilor de suport tehnic - jurnale ale erorilor din sisteme i servere. - jurnale ale echipamentelor de telefonie Orice neregul privind respectarea regulamentelor de securitate va fi raportat Oficiului de Calcul n scopul efecturii de investigaii.
2.9. Securitatea Serverelor

Un server nu trebuie conectat la reeaua R.A.T.C. Constana pn cnd nu se afl ntr-o stare sigur acreditat de ctre OSRIC. Procedura de securizare a serverelor trebuie s includ obligatoriu urmtoarele: - instalarea sistemului de operare dintr-o surs aprobat - aplicarea patch-urilor furnizate de productor - nlturarea programelor, a serviciilor sistem i a driver-lor care nu sunt necesare - setarea/activarea parametrilor de securitate, a proteciilor pentru fiiere i activarea jurnalelor de monitorizare - dezactivarea sau schimbarea parolelor conturilor predefinite - securizarea accesului fizic la aceste echipamente Oficiul de Calcul va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de instalare i aplicare regulat a patch-urilor de securitate i, prin sondaj, pentru serverele departamentale sau a grupurilor de lucru.
2.10 Crearea i Utilizarea Copiilor de Siguran (Backup)

1. Frecvena, dimensiunea i coninutul copiilor de siguran trebuie s fie n concordan cu importana informaiei i cu riscul acceptat de proprietarul datelor. 2. Procedura de creare a copiilor de siguran i de recuperare pentru fiecare sistem din cadrul RIC trebuie s fie documentat i periodic revizuit. 3. Verificarea copiilor de siguran se va face dup o procedur documentat i revizuit periodic. 4. Copiile de siguran trebuie s fie periodic testate pentru a asigura faptul c informaiile stocate sunt recuperabile. 5. Accesul la mediile de backup ale R.A.T.C. Constana se va face numai de personalul abilitat n acest sens. 6. Acestea trebuie revizuite periodic. 7. Accesul trebuie interzis pentru persoanele autorizate care i schimb locul de munc. 12
2.11 Detectarea Tentativelor de Acces Neautorizat

1. Procesele de nregistrare i verificare a activitii sistemelor de operare, conturilor utilizator i programelor trebuie s fie funcionale pe toate sistemele active (host, server, echipamente de reea). 2. Trebuie activate funciile de anunare a persoanelor responsabile oferite de firewall-uri i sistemele de control al accesului la reea. 3. Trebuie activate funciile de nregistrare a evenimentelor pe dispozitivele firewall i pe toate sistemele de control al accesului. 4. nregistrrile de verificare ale dispozitivelor de control al accesului trebuie monitorizate/revizuite (examinate) zilnic de ctre administratorul de sistem. 5. Verificrile privind integritatea fiecrui sistem trebuie s se fac periodic. Aceast activitate este obligatorie i pentru dispozitivele de tip firewall sau dispozitive de control al accesului. 6. nregistrrile de verificare pentru serverele i host-urile din reeaua intern trebuie revizuite cel puin sptmnal. 7. Se vor verifica periodic programele utilitare pentru detectarea tentativelor de acces neautorizat. 8. Toate rapoartele privind incidentele trebuie revizuite n vederea detectrii de indicii ce ar putea implica o activitate de acces neautorizat. 9. Toate indiciile suspecte sau confirmate de accesri sau ncercri de accesare neautorizate trebuie raportate imediat ctre Oficiul de Calcul. 10. Utilizatorii sunt obligai s raporteze orice anomalii n performana sistemelor utilizate ct i orice semne ale unor posibile infraciuni.
2.12 Utilizarea Calculatoarelor Portabile

1. Oficiul de Calcul trebuie s aprobe, n scris, conectarea dispozitivelor portabile la RIC ale Instituiei. 2. Calculatoarele portabile trebuie s fie protejate prin parole. 3. Se va evita stocarea datelor care privesc R.A.T.C. Constana pe dispozitivele portabile. n cazul n care nu exist o alt alternativ de stocare local, toate datele care privesc R.A.T.C. Constana trebuiesc criptate. 4. Conectarea sistemelor de calcul care nu sunt proprietatea R.A.T.C. Constana se face numai cu aprobarea n scris a Oficiului de Calcul la recomandarea Departamentelor. 5. Dispozitivele portabile de calcul neutilizate trebuie securizate fizic. Aceasta presupune ncuierea lor ntr-un birou, ntr-un dulap.
2.13 Modificri i Modernizri ale Sistemului Resurselor Informatice i de Comunicaii

1. Orice modificare asupra unei componente a RIC din cadrul R.A.T.C. Constana, cum ar fi: sisteme de operare, componente hardware, echipamente i componente de reea, aplicaii, este supus prezentului regulament i trebuie s urmeze procedurile n vigoare.
13
2. Oficiul de Calcul trebuie s fie anunat de toate modificrile care afecteaz mediul de funcionare a sistemelor componente ale RIC (ex: aparate de aer condiionat, instalaii de ap, nclzire, instalaii electrice i alarme, etc.). 3. Toate propunerile de modernizare i extindere a elementelor de infrastructur a sistemului RIC vor fi documentate i aprobate de ctre Oficiul de Calcul. Nu este permis modificarea de ctre utilizatori a elementelor de infrastructur a RIC. 4. Modificrile i modernizrile sistemelor de calcul vor fi documentate de ctre utilizator i aprobate de ctre conducerea instituiei.
2.14 Utilizare Internet i Intranet

1. Programele pentru acces la reeaua Internet sunt destinate utilizatorilor autorizai pentru a fi folosite n scopuri exclusiv de servici, cu excepia situaiei prevzute n regulamentul Utilizarea ocazional a RIC n scopuri personale (cap. II subcap. 2.2). 2. Toate programele utilizate pentru acces la reeaua Internet trebuie s fac parte din pachetul de programe aprobat de ctre Oficiul de Calcul. Aceste programe trebuie s includ toate patch-urile de securitate puse la dispoziie de ctre productor. 3. Toate fiierele care provin din reeaua Internet trebuie s fie scanate cu un program antivirus care s fie actualizat cel puin o dat la 24 ore. 4. Toate programele pentru acces Internet/Intranet trebuie s permit folosirea sistemelor proxy i/sau firewall. 5. Toate informaiile accesate n reeaua Internet trebuie s se conformeze Regulamentului de Utilizare Acceptabil a RIC (cap. II subcap. 2.1). 6. Orice activitate a utilizatorilor folosind RIC poate fi nregistrat i ulterior examinat. 7. Nu se vor publica pe site-urile web ale R.A.T.C. Constana materiale cu caracter ofensiv sau de hruire. 8. Nu se vor publica pe site-urile web ale R.A.T.C. Constana, materiale publicitare comerciale sau personale. 9. Nu se vor publica pe sit-urile web ale R.A.T.C. Constana date ale R.A.T.C. Constana fr asigurarea c materialele sunt disponibile numai persoanelor sau grupurilor autorizate. 10. Nu este permis utilizarea RIC ale R.A.T.C. Constana n scop personal sau pentru solicitri personale ce nu au legtur cu aceasta institutie . 11. Cumprturile pe internet care nu au legtur cu atribuiile de serviciu sunt interzise. Cumprturile n interes de serviciu se vor supune regulilor de achiziie ale R.A.T.C. Constana. 12. Orice material confidenial al R.A.T.C. Constana transmis prin reeaua Internet trebuie criptat. 13. Fiierele electronice se supun acelorai reguli de pstrare ce se aplic i altor documente i trebuie pstrate n conformitate cu regulile stabilite prin prezentele regulamente i regulamentele proprii fiecrui Departament. 14. Este interzis accesarea site-urilor cu caracter pornografic.
2.15. Administrarea Conturilor

Toi utilizatorii sunt obligai s pstreze confidenialitatea informaiilor privind contul de acces. Toate parolele pentru conturi trebuie s fie create i folosite n conformitate cu Regulamentul privind Parolele de Acces (cap. II). 14
Administratorii de sisteme sau alt personal autorizat sunt responsabili de tergerea conturilor persoanelor (utilizatorilor) care nu mai lucreaz n R.A.T.C. Constana , sau care nu mai au relaii cu R.A.T.C. Constanta.
2.16 Parole de Acces

1. Toate parolele trebuie s ndeplineasc urmtoarele condiii: - s aib o lungime minim de 6 caractere; - s fie parole complexe; - reutilizarea parolelor este interzis; - parolele stocate trebuie criptate; - parolele de cont utilizator nu trebuie divulgate nimnui 2. Dac se suspecteaz c o parol a putut fi divulgat aceasta trebuie schimbat imediat. 3. Administratorii de sistem nu trebuie s permit schimbarea parolelor utilizatorilor folosind contul administrativ. Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face excepii pentru anumite aplicaii (precum backup automat) cu aprobarea Oficiului de Calcul. Dispozitivele de calcul nu trebuiesc lsate nesupravegheate fr a activa un sistem de blocare a accesului la acestea; deblocarea trebuie s se fac folosind parol. Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie s respecte urmtoarea procedur: - utilizatorul se va legitima, administratorul va verifica drepturile de acces ale persoanei la contul utilizator; - se va genera o parol care va fi comunicat utilizatorului Oficiul de Calcul va avea o eviden cu toi utilizatorii sistemului RIC precum i cu parolele pe care le dein.
2.17 Sistemul de Mesagerie Electronic

Urmtoarele activiti sunt interzise de regulament: 1. Trimiterea de mesaje cu caracter de intimidare sau hruire; 2. Folosirea sistemului de mesagerie electronic n scopuri personale; 3. Folosirea sistemului de mesagerie electronic n scopuri politice sau pentru campanii politice; 4. nclcarea drepturilor de autor prin distribuirea neautorizat a materialelor protejate; 5. Folosirea altei identiti dect cea real atunci cnd se trimite email, exceptnd cazurile cnd persoana este autorizat n scop de suport administrativ. 6. Folosirea programelor de pot electronic neautorizate. 7. Urmtoarele activiti sunt interzise deoarece mpiedic buna funcionare a comunicaiilor n reea i eficiena sistemelor de mesagerie electronic: - trimiterea sau retrimiterea email-urilor n lan; - trimiterea mesajelor nesolicitate ctre grupuri de persoane, exceptnd cazurile n care aceste mesaje deservesc instituia. - trimiterea mesajelor de dimensiuni foarte mari; - trimiterea sau retrimiterea mesajelor ce pot conine virui. 8. Toate informaiile i datele confideniale ale R.A.T.C. Constana, transmise ctre alte reele externe, trebuie s fie criptate. 15
9. Toate activitile utilizatorilor ce implic accesul i/sau folosirea RIC ale R.A.T.C. Constana pot fi oricnd nregistrate i analizate. 10. Utilizatorii serviciilor de mesagerie electronic nu trebuie s dea impresia c reprezint, c i spun opinia sau dau declaraii n numele R.A.T.C. Constana, cu excepia situaiilor n care acetia sunt autorizai n mod corespunztor (implicit sau explicit) s fac acest lucru. Atunci cnd este cazul, se va include o declaraie explicit prin care utilizatorul specific faptul c nu reprezint R.A.T.C. Constanta. Un exemplu de declaraie simpl este: prerile exprimate sunt personale, i nu ale R.A.T.C. Constana. 11. Utilizatorii nu trebuie s trimit, retrimit sau s primeasc informaii confideniale sau senzitive ce privesc R.A.T.C. Constana, folosind conturi utilizator care nu sunt proprietatea R.A.T.C. Constana. Exemple de astfel de conturi, sunt (dar nu sunt limitate numai la acestea: Hotmail, Yahoo mail, AOL mail), precum i adrese de email puse la dispoziie de ali Furnizorii de Servicii Internet. 12. Utilizatorii nu trebuie s trimit, retrimit, primeasc sau s stocheze informaii confideniale sau nesigure, ce privesc R.A.T.C. Constana, folosind dispozitive de comunicaii mobile care nu sunt autorizate. Exemple de astfel de dispozitive (dar nu sunt limitate numai la acestea) sunt: asisteni digitali personali, pagere ce permit trimiterea/primirea de informaii i telefoanele mobile.
2.18 Detectarea viruilor

1. Toate staiile de lucru de sine stttoare sau conectate la reeaua de comunicaii a R.A.T.C. Constana , trebuie s utilizeze programe antivirus aprobate de ctre Oficiul de Calcul. 2. Programele antivirus nu trebuie dezactivate. 3. Configuraia programului antivirus trebuie s nu fie modificat ntr-un mod care s reduc eficacitatea programului. 4. Frecvena actualizrilor automate a programului antivirus trebuie asigurat de ctre utilizator. 5. Orice server de fiiere conectat la reeaua Instituiei trebuie s utilizeze un program antivirus aprobat n scopul detectrii i curirii viruilor care pot infecta fiierele puse la dispoziie. 6. Orice virus care nu a putut fi nlturat automat de ctre programul antivirus constituie un incident de securitate i trebuie raportat imediat Oficiului de Calcul.
2.19 Licene de utilizare

1. R.A.T.C. Constana furnizeaz un numr suficient de copii cu Licen pentru toate programele aprobate spre utilizare astfel nct angajaii s i poat desfura munca ntr-un mod eficient i rapid. 2. R.A.T.C. Constana trebuie s se pun de acord n mod adecvat cu furnizorii implicai pentru obinerea de copii adiionale ale licenelor dac i cnd acestea sunt necesare n activitatea instituiei. 3. Copiile suplimentare ale materialelor protejate prin drepturi de autor nu vor fi stocate pe sistemele sau resursele reelei R.A.T.C. Constana n situaia n care nu exist aprobri specifice. Administratorii de sistem vor terge produsele i toate materialele protejate prin drepturi de autor n situaia menionat, cu excepia cazului n care utilizatorii implicai fac dovada autorizaiei de folosire sau stocare de la productorii de drept.
16
4. Programele sau alte bunuri informatice aflate sub incidena drepturilor de autor aflate n posesia R.A.T.C. Constana nu vor fi copiate, cu excepia cazului n care aceast copiere este n concordan cu prevederile licenei.
Anexa 1
Proceduri generale de lucru privind exploatarea sistemului Resurselor Informatice i de Comunicaii din R.A.T.C. Constana
- Procedura 1 - Intervenii n cazul defeciunilor hardware; - Procedura 2 - Salvrile de date, stocarea i pstrarea acestora; - Procedura 3 - Achiziii echipamente hardware i/sau software pe baz de referat de necesitate, altele dect prin licitaii; - Procedura 4 - Modificri sau defeciuni ale aplicaiilor software; - Procedura 5 - Exploatarea programelor informatice; - Procedura 6 - Activiti de mentenan privind componentele hardware; - Procedura 7 - Pota electronic, sesizri pe site-ul regiei; - Procedura 8 Rezolvarea documentelor/problemelor repartizate spe rezolvare; - Procedura 9 Anunarea defeciunilor hardware firmei de service; - Procedura 10 Prsirea temporara a calculatorului; - Procedura 11 Atribuirea/schimbarea/anularea utilizatorilor i a parolelor de access; Procedura 1 Intervenii n cazul defeciunilor hardware n cazul n care a fost constatat o defeciune sau o disfuncionalitate a vreunui sistem de calcul i/sau a unui periferic al acestuia (monitor, tastatur, mouse, imprimant, etc) se va informa specialistul un angajat al Oficiului de Calcul. Poate exista i cazul n care defeciunea s fie constatat de ctre specialistul IT cnd acesta execut operaiuni de ntreinere sau verificri de rutin, conform procedurii 7. Specialistul IT va constata n ce const defeciunea i dac este posibil va proceda la remedierea acesteia. n cazul n care nu este posibil remediere de ctre specialistul IT, acesta va anuna firma de service urmnd procedura specific 9.
17
Reprezentantul firmei de service va stabili dac defeciunea poate remediat pe loc, n cadrul instituiei, sau este necesar deplasarea componentei hardware defecte la sediul firmei. n cel de-a doua situaie se va urma procedura 10. Dup remedierea defeciunii se va respecta procedura 11, privind receptia componentelor hardware. Procedura 2 Salvrile de date, stocarea i pstrarea acestora Salvrile de date n general se fac pe suport magnetic extern (dischete, CD, benzi magnetice, memory stick), sau pe suport magnetic intern (hard disk) n funcie de instruciunile existente n manualele programelor informatice. De asemenea perioada de pstrare a acestor salvri se va face tot n funcie de aceste instruciuni. Dac nu exist instruciuni n acest sens pstrarea se va face pe perioad nedeterminat. n cazul salvrilor efectuate pe harddiskurile serverelor prin opiunile existente n cadrul programelor informatice, se vor efectua salvari complete de ctre o persoan desemnat n acest sens de ctre eful departamentului respectiv. Salvri complete ale harddiskurilor serverelor se va face de ctre specialistul IT din cadrul Oficiului de Calcul al R.A.T.C. Constana. Pentru salvrile efectuate i pentru care nu exist instruciuni privind termenul de pstrare a salvrilor, pstrarea se va face pe perioad nedeterminat. n cazul schimbri unui sistem informatic cu unul mai nou i n care au fost preluate datele existente n salvrile efectuate anterior, vechile salvri vor fi distruse. Persoanele care efectueaz salvri vor avea un jurnal de eviden al acestor salvri n care se va specifica clar data i ora cnd a fost efectuat salvarea. Procedura 3 Achiziii echipamente hardware i/sau software pe baz de referat de necesitate, altele dect prin licitaii Pentru achiziionarea echipamente hardware i/sau software pe baz de referat de necesitate, referatul de necesitate nainte de a fi trimis spre aprobare conducerii instituiei va fi avizat de ctre specialistul IT pentru a stabili dac necesitatea achiziionrii echipamentelor este justificat sau nu. n cazul unui aviz favorabil referatul de necesitate va fi aprobat ulterior de ctre conductorii instituiei (primar/viceprimar). Referatele avizate i aprobate vor fi retransmise Compartimetului de Informatic pentru a fi achiziionate echipamentele. Dac cuantumul valorii echipamentelor depete plafonul legal privind achiziia materialelor, acestea intrnd pe lista de investiii, referatul respectiv va fi trimis de ctre Compartimentul de Informatic departamentului care se ocup cu achiziiile publice, conform Procedurii P.08. Dac suma este sub plafonul legal privind achiziia materialelor acestea vor fi achiziionate direct de la furnizor. Recepionarea acestora se va face respectnd Procedura P.11. Procedura 4 Modificri sau defeciuni ale aplicaiilor software
18
n cazul n care sunt necesare modificri ale aplicaiilor software (programe informatice) n urma modificrilor legislative sau datorit altor cauze, sau constatrii funcionrii defectoase, sau a apariiei unor erori de funcionare se va anuna n scris sau telefonic, sau prin email, sau prin fax, productorul/autorul aplicaiei sau firma care ofera asisten, dup caz. Departamentul care solicit modificrile va furniza date ct mai amnunite astfel nct modificrile realizate s fie corecte. Departamentul care solicit modificarea este rspunztor de datele furnizate. Realizatorul modificrilor este rspunztor de modificrile aduse n aplicaia software. Acesta este obligat s informeze sau s instruiasc utilizatorii aplicaiilor despre modificrile aduse. n cazul defeciunilor dac se va constata c erorile de funcionare se datoreaz unor defeciuni ale echipamentului hardware se va anuna specialistul IT i se va urma procedura P.01. Procedura 5 Exploatarea aplicatiilor informatice Exploatare/utilizarea aplicaiilor informatice se face doar de ctre personalul autorizat n conformitate cu instruciunile prevzute n manualul aplicaiei. Utilizatorii noi care vor utiliza un program informatic vor fi instruiti de ctre persoanele abilitate n acest sens, de exemplu utilizatori cu vechime n exploatare acestuia sau de ctre un reprezentat al productorului. n cazul unui program informatic nou instruirea se face de ctre un reprezentant al productorului programului informatic. Dac apar modificri din diverse motive se va urma procedura P.04. Procedura 6 Activiti de mentenan privind componentele hardware Activiti de mentenan privind componentele hardware se vor executa cel puin o data pe lun la staiile de lucru de ctre firma de service, iar pentru servere se va executa cel puin o data pe sptmn de ctre specialistul IT din cadrul Compartimentului de Informatic i o dat pe lun de ctre firma de service. Verificrile de rutin efectuate se vor evidenia ntr-un jurnal de activiti. n cazul constatrii unor nereguli n funcionarea echipamentelor n urma acestor verificri se va urma procedura P.01, privind interveniile n cazul defeciunilor hardware. Procedura 7 Pota electronic, sesizri pe site-ul primriei, sesizri pe alte site-uri de specialitate Mesajele sosite pe cale electronic: e-mailuri, sesizri postate site-ul primriei(www.campiaturzii.ro) sau sesizri postate pe alte site-uri de acest gen(ex. www.domnuleprimar.ro), vor fi listate pe suport de hrtie i depuse la registratura general a instituiei, dup care vor fi direcionate ctre departamentele de specialitate din cadrul instituiei. n cazul n care unele din aceste mesaje necesit rspuns, acesta va fi ntocmit de ctre departamentele de specialitate din cadrul instituiei. Procedura 8 Rezolvarea documentelor/problemelor repartizate spe rezolvare 19
Documente/probleme repartizate spre rezolvare Compartimentului Informatic vor fi soluionate n cel mai scurt timp de ctre specialistul IT, cu respectarea procedurilor de lucru i a regulamentelor de securitate a informaiei. n cazul n care vreun document/problem repartizate duce la nclcarea vreunei proceduri de lucru sau a unei reguli de securitate se va ntiina n scris conducerea instituiei despre aceast situaie. Dac documentele nu sunt de competena Compartimentului de Informatic acestea vor fi returnate spre registratura general a instituiei.
Procedura 9 Anunarea defeciunilor hardware/software firmei de service, garanii i/sau asisten n cazul apariiei unei defeciuni care nu poate fi rezolvat de ctre specialistul IT din cadrul Compartimentului de Informatic, dup cum este prevzut i n procedura P.01, se va contacta firma de service, garanii sau asisten hardware/software, dup caz. Anunarea se va face telefonic, prin email, fax de ctre specialistul IT. Intervenia prestatorului de service se va face cu respectarea termenelor n cazul interveniilor prevzute n contractul de service. Procedura 10 Prsirea temporara a calculatorului. Oprirea Calculatorului n cazul n care utilizatorul prasete temporar calculatorul este obligat s blocheze staia de lucru prin utilizarea opiunii Log Off, n cazul n care staia este utilizat de mai muli utilizatori, sau prin utilizarea opiunii Lock Computer. De asemenea este obligatorie selectarea opiunii On resume, password protect din cadrul sectiunii Screen Saver. Este interzis cu desvrire prsirea staiei de lucru fr a nchide aplicaiile n care se lucreaz. Procedura 11 Atribuirea/schimbarea/anularea utilizatorilor i a parolelor de access Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie s respecte urmtoarea procedur: - Utilizatorul se va legitima, administratorul va verifica drepturile de acces a persoanei la contul utilizator; - Se va genera o parol care va fi comunicat utilizatorului - Se va ntocmi/actualiza fia utilizatorului de ctre administrator. n cazul n care un utilizator parasete definitiv sau temporar instituia OSRIC va recurge la tergerea contului acestei persoane.
Aprobat 20
ntocmit
21

Politica Si Regulamente Securitate

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Politica Si Regulamente Securitate

Încărcat de

Drepturi de autor:

Formate disponibile

str. Industrial nr.

POLITICA DE MANAGEMENT AL SECURITII INFORMAIEI

REGIEI AUTONOME DE TRANSPORT N COMUN CONSTANA

Cap. I Politica de Securitate privind Sistemul Resurselor Informatice i de Comunicaii

1.2 Scopul politicii de securitate

1.3 Definiii folosite n politica de securitate i regulamentul de utilizare

1.4 Clasificarea Informaiilor

Cap. II Regulamentele de Utilizare a Resurselor Informatice i de Comunicaii (RIC)

2.1 Regulament de utilizare a RIC

2.2. Utilizarea ocazional a RIC n scopuri personale

2.3. Accesul Administrativ

2.4. Accesul Fizic

2.5. Conectarea la Sistemul Resurselor Informatice i de Comunicaii

2.6. Configurarea Parametrilor de Acces la Reea

2.7. Tratarea Incidentelor de Securitate i de nerespectare a Politicii i Regulamentului de Securitate

2.8. Monitorizarea Resurselor Informatice i de Comunicaii

2.9. Securitatea Serverelor

2.10 Crearea i Utilizarea Copiilor de Siguran (Backup)

2.11 Detectarea Tentativelor de Acces Neautorizat

2.12 Utilizarea Calculatoarelor Portabile

2.13 Modificri i Modernizri ale Sistemului Resurselor Informatice i de Comunicaii

2.14 Utilizare Internet i Intranet

2.15. Administrarea Conturilor

2.16 Parole de Acces

2.17 Sistemul de Mesagerie Electronic

2.18 Detectarea viruilor

2.19 Licene de utilizare

S-ar putea să vă placă și