PROTECTIA SI SECURITATEA SISTEMELOR INFORMATIONALE

-2009-
1. Prezentarea organizaţiei
1.1. Scurta prezentare a firmei
1.2. Prezentarea sistemului informatic
2. Clasificarea informatiilor la nivelul intreprinderii
2.1. Informatii publice
2.2. Informatii interne
2.3. Informatii confidentiale
2.4. Informatii cu acces limitat
3. potenţiale pericole care vizeaza averile informaţionale ale organizaţiei
3.1. Vulnerabilităţi la nivelul securităţii firmei
3.1.1. Vulnerabilitati la nivelul securitatii fizice
3.1.2. Vulnerabilitati la nivelul securitatii personalului
3.1.3. Vulnerabilitati la nivelul securitatii software-ului
3.1.4. Vulnerabilitati la nivelul securitatii retelei de calculatoare
3.1.5. Vulnerabilitati la nivelul securitatii echipamentelor
3.2. Pericole care au afectat securitatea informatiilor din firma
4. Politica de securitate privind realizarea copiilor de siguranta (backup)
4.1. descriere generala
4.2. scop
4.3. domeniu de aplicare
4.4. definitii
4.5. planificare
4.6. arhivare
4.7. responsabili
4.8. recomandari
5. Politica de securitate privind utilizarea sistemelor software ale firmei
5.1. descriere generala
5.2. scop
5.3. definirea politicii de securitate
5.4. consecintele incalcarii politicii de securitate
5.5. responsabili
5.6. recomandari

1. PREZENTAREA ORGANIZAŢIEI
1.1. SCURTA PREZENTARE A FIRMEI
Firma X a fost înfiinţată în 2004 şi are sediul în Iaşi, ocupând ultimele două
etaje ale unei clădiri de birouri cu 8 etaje.
Capitalul social este integral privat.
Principalul domeniu de activitate este dezvoltarea de aplicaţii software.
Din punct de vedere organizatoric în cadrul firmei regăsim următoarele
departamente:
- financiar-contabil;
- dezvoltare programe .NET & Php;
- dezvoltare programe Java;
- Quality Assurance;
- marketing;
Toate departamentele sunt subordonate directorului general al firmei .
Personalul este de aproximativ 70 de angajati, din care 10 personal administrativ.

1.2. PREZENTAREA SISTEMULUI INFORMATIC

Sistemul informational al firmei este puternic informatizat la nivelul tuturor
departamentelor, sistemul manual de prelucrare a datelor ocupand o pondere redusa.
Astfel, sistemul informatic aproape ca se suprapune sistemului informational.
Acest lucru permite reducerea timpilor de lucru, eliminarea erorilor, prelucrarea
unui volum mare de date si distribuirea eficienta a informatiilor.
Principalele mijloace tehnice utilizate in culegerea, stocarea, prelucrarea,
analiza si transmisia datelor sunt calculatoarele electronice.
Firma dispune de 80 de calculatoare, conectate in retea, intreaga activitate a
utilizatorilor fiind monitorizata si controlata de catre server. Reteaua are o
infrastructura modulara si tipologie ierarhica stea. Exista 7 switch-uri si un
sistem Linux configurat ca router. Există de asemenea şi o reţea wireless
securizată pusă la dispoziţia angajaţilor.
Intreaga retea de calculatoare este conectata la Internet prin conexiune directa,
prin fibra optica. Toate statiile de lucru sunt protejate cu Microsoft ForeFront
Security.
Sistemele de operare folosite sunt Windows 2003 Server pentru servere, Linux,
Windows XP Proffesional şi Windows Vista Bussiness pentru utilizatori. Programele
folosite pentru dezvoltarea aplicatiilor sunt Microsoft Visual Studio .NET,
Eclipse, Microsoft SQL Server, Oracle. Clientul de mail recomandat de firma este
IBM Lotus Notes, dar este permisa si folosirea altor clienti de email (Microsoft
Outlook sau Thunderbird).
Resursele informationale ale firmei:
- suportii informatiei: cd-urile, dvd-urile, hartia de imprimanta, registrele
si documentele contabile;
- procesatori: angajatii firmei, echipamentele software si hardware ale
sistemelor informatice;
- transportatori: caile de telecomunicatii, de telefonie, retelele de
calculatoare si Internetul, liniile de energie electrica;
- senzori: camere de luat vederi, senzori umani, scannere;
2. CLASIFICAREA INFORMATIILOR LA NIVELUL INTREPRINDERII
2.1. INFORMATII PUBLICE
informatiile de pe pagina web;
informatiile din presa referitoare la firma;
raporturi contabile anuale si semestriale;
programul de lucru;
adresa, numarul de telefon/fax, adresa de e-mail, persoana de contact;
obiectul principal de activitate;
numarul de angajati;
cifra de afaceri;
profitul brut;
2.2. INFORMATII INTERNE
atributiile fiecarui angajat, consemnate in fisa de post;
informatii privind datele personale ale angajatilor;
regulamentul de ordine interioara;
planul de evacuare in caz de incendiu;
regulamente privind politica de securitate a firmei;
licentele;
2.3. INFORMATII CONFIDENTIALE
salariile angajatilor;
codurile sursa ale aplicatiilor;
lista clientilor firmei;
informatiile referitoare la furnizori;
date comerciale sau financiare;
preţul aplicat clienţilor;
proiecte in curs de implementare;
produsele firmei;
tehnologiile folosite;
rapoartele fiecarui angajat privind activitatea proprie;
datele legate de costuri;
2.4. INFORMATII CU ACCES LIMITAT
previziunile de afaceri, obiectivele firmei;
planurile şi strategiile pentru perioada imediat urmatoare;
clauzele contractuale;
codurile si parolele de acces ale serverului si ale fiecarei statii de
lucru;
programele care ruleaza pe server;
mijloacele prin care sunt supravegheati utilizatorii sistemului;
3. POTENŢIALE PERICOLE CARE VIZEAZA AVERILE INFORMAŢIONALE ALE ORGANIZAŢIEI
3.1. VULNERABILITĂŢI LA NIVELUL SECURITĂŢII FIRMEI
3.1.1. VULNERABILITATI LA NIVELUL SECURITATII FIZICE
Sediul firmei este a[mplasat inr-o zona comerciala centrala a orasului Iasi.
Spatiul in care aceasta isi desfasoara activitatea se afla in proprietatea firmei,
este dispus pe două nivele.

Fig. 1. Birouri Etajul 7A

Fig. 2. Birouri Etajul 7 B

Fig. 3. Birouri Etaj 8

Cladirea este consolidata pentru a preveni efectele negative in caz de cutremure.
In incinta firmei exista sisteme de alarma in caz de incendii, iar hidrantii sunt
amplasati in imediata vecinatate a cladirii. Pana in prezent nu au fost consemnate
cazuri de inundatii sau incendii.
Firma nu dispune de generatoare suplimentare de energie (UPS) şi sistemul
informatic nu este protejat de variatiile de tensiune sau de eventualele caderi
ale curentului electric.
Singura cale de acces in cladirea firmei este supravegheata de un agent de paza.
Căile de acces in sediul firmei sunt supravegheate video şi se fac pe baza de
cartela magnetică sau prin deschiderea uşilor din interior.
Accesul angajatilor in firma se face doar pe baza cartelelor magnetice, care insa
pot fi usor substituibile, putand fi folosite si de persoane neautorizate sa intre
in firma, cu posibile intentii rau-voitoare. De aceea, accesul in unitate ar
trebui sa fie suplimentat si de alte masuri privind controlul accesului, cum ar fi
purtarea in permanenta a ecusoanelelor sau a unor masuri avansate de securitate:
verificarea amprentei digitale, parole, recunoasterea vocii etc.
La intrările in sediul firmei este amplasat sistemul de alarma in caz de intrare
neautorizata. Fiecare angajat are un cod de acces care poate fi folosit pentru
armarea si dezarmarea sistemului de alarma pentru zona de birouri in care
lucreaza. De asemenea, in firma sunt amplasati si senzori de miscare. Acestia si
sistemul de alarma functioneaza doar in timpul noptii.
Serverele sunt plasate intr-o incapere cu incuietori clasice, la care are acces
doar administratorul de sistem.
Regulamentul intern al firmei are in vedere interzicerea fumatului, dar nu şi a
consumului de lichide si mancare in preajma calculatoarelor.
3.1.2. VULNERABILITATI LA NIVELUL SECURITATII PERSONALULUI
In timpul procesului de recrutare a personalului nou, se realizeaza identificarea
locurilor de munca cu regim special si a calitatilor persoanelor indreptatite a le
ocupa, dar si selectia personalului prin studierea atenta a cv-urile candidatilor
si prin intervievarea lor.
In functie de rezultatele acestor evaluari se face atribuirea responsabilitatilor
in cadrul postului pe care il va ocupa proaspatul angajat.
3.1.3. VULNERABILITATI LA NIVELUL SECURITATII SOFTWARE-ULUI
In firma, accesul in sistem se face sub stricta supraveghere a administratorului
de sistem, care stabileste, intretine si protejeaza informatiile de identificare a
utilizatorilor si a conditiilor in care ei pot accesa sistemul, astfel incat
accesul neautorizat sa fie imposibil.
Sistemul de autentificare folosit este Active Directory de la Microsoft, prin care
este permis accesul in reţeaua de calculatoare a firmei si pe fiecare sistem in
parte doar a utilizatorilor autorizati, parte a domeniului de calculatoare a
firmei.
Parolele nu trebuiesc schimbate dupa un anumit interval, dar nu pot fi modificate
de utilizator, ci doar de administratorul de reţea.
O vulnerabilitate a sistemului este faptul ca nu ar trebui sa permita accesul
decat intr-un interval de timp predeterminat (sa fie interzisa accesarea
sistemului intre orele 18:00 si 8:00 si in week-end).
De asemenea, dupa obtinerea accesului autorizat in sistem, ar fi indicat ca
acesta sa afiseza utilizatorului data, timpul si mijloacele de acces sau portul de
intrare al ultimului acces incununat cu succes, dar si numarul tentativelor esuate
de accesare a sistemului de la acest moment.
Accesul la resursele sistemului este controlat pe baza identificatorilor
utilizatorilor autentificati prin intermediul unei liste a identificatorilor cu
drepturile de acces la acele resurse. Drepturile utilizatorilor se stabilesc in
functie de sarcinile pe care acestia le au de efectuat. Un administrator de sistem
va avea toate drepturile. Astfel, sunt identificate toate resursele aflate in
proprietatea unui identificator de utilizator specificat, precum si drepturile de
acces ale acestuia la fiecare resursa. Toate informatiile necesare deciziilor
referitoare la controlul accesului resurselor sunt protejate.
Statiile de lucru nu sunt protejate impotriva accesulul neautorizat al altor
angajati sau persoane straine aflate in firma care pot accesa informatii atunci
cand statia de lucru este neutilizata pentru cateva minute. Pentru evitarea unor
astfel de situatii compromitatoare atat pentru firma cat si pentru partenerii de
afaceri trebuie folosit un sistem de blocare a calculatorului, deblocarea fiind
posibila prin introducerea parolei utilizatorului.
Pe langa aceste masuri firma ar trebui sa acorde o atentie deosebita si
operatiunilor de auditare, de inregistrare intr-un jurnal de securitate a server-
ului a anumitor evenimente, precum:
incercari de deschidere si inchidere a unei sesiuni de lucru;
conectarea la/de la resurse specificate;
terminarea conectarii;
dezactivarea conturilor;
modificarea parolelor;
Aceste inregistrari indica utilizatorii care au incercat si eventual, au reusit sa
obtina accesul la anumite resurse, putandu-se astfel identifica persoanele si
activitatile neautorizate.
Pentru bunul mers al lucrului in firma, programele de tip file sharing, de tip
Dc++ sau Torrent, sunt interzise. De asemenea sunt inchise si porturile de
streaming video, iar limita fiecarui utilizator la Internet este de 1 Gb download
zilnic, cu exceptia cazurilor singulare, care pot fi justificate pentru
activitatea firmei.
Firma nu interzice expres personalului instalarea aplicatiilor, folosirea cd-
urilor si dischetelor, acestea putand fi virusate. Instalarea aplicatiilor
software ar trebui realizata numai de persoane autorizate sau de firme
specializate.
3.1.4. VULNERABILITATI LA NIVELUL SECURITATII RETELEI DE CALCULATOARE
Traficul dintre reteaua interna a firmei si cea externa este controlat de un
dynamic packet inspection firewall. Acesta are rolul de a proteja sistemul de
atacurile din exterior si de a permite transmiterea in afara retelei doar a
comunicatiilor autorizate.
Comunicarea firmei cu partenerii, clientii, furnizorii se realizeaza prin VPN care
asigura ca datele secrete sa ajunga intacte si exact cui ii sunt adresate fara a
exista riscul de a expune resursele protejate unor eventuale amenintari.Toate
aceste date sunt criptate pe 128 de biti, integritatea datelor fiind asigurata de
semnatura digitala.
Ar fi preferabil sa se foloseasca conexiuni criptate si pentru accesul la baza de
date pentru a impiedica interceptarea datelor prin retea.
De asemenea, reteaua de calculatoare a firmei este protejata de atacurile externe
prin intermediul programelor antivirus si antispyware.
Pentru a monitoriza si a inregistra informatii despre eventualele tentative de
atac, precum adresa Ip si numarul portului, firma ar trebui sa foloseasca o
aplicatie IDS.
3.1.5. VULNERABILITATI LA NIVELUL SECURITATII ECHIPAMENTELOR
In ceea ce priveste securitatea echipamentelor periferice, acestea nu au un numar
unic de identificare,care sa fie interpretat de fiecare calculator la deschiderea
sesiunii de lucru si atunci cand se solicita efectuarea unei operatiuni de la
echipamentul respectiv.
Echipamentele periferice ar trebui sa aiba definite categoriile de informatii cu
care pot lucra sau functiile din sistem care se pot realiza cu ajutorul lor.
In momentul in care o unitate centrala de prelucrare cedeaza, functiile acesteia
nu pot fi imediat substituite de o alta, ceea ce poate duce la nerespectarea
termenelor de incheiere o proiectelor de lucru ale unui angajat sau si mai grav,
la imposibilitatea onararii comenzilor fata de clienti.
Firma nu are un plan al activitatilor de intretinere a sistemului, in care sa fie
specificate termenele la care sa se realizeze intretinerea fiecarei componente. Se
apeleaza la service-urile doar daca apar probleme la componentele sistemelor sau a
perifericelor pe care administratorul de sistem nu le poate rezolva sau in
cazurile in care trebuie respectati termenii certificatelor de garantie. In
cazurile in care se ajunge ca un sistem sa fie trimis in service pentru reparatii,
administratorul se asigura ca datele confidentiale (baze de date, sursele
programelor, etc.) sunt sterse de pe sistemul in cauza, pentru ca angajatii
firmelor de service sa nu aiba acces la ele.
Firma nu are un plan clar de securitate pentru echipamentele mobile, de tip
laptop. Astfel, angajatilor care folosesc laptop nu li s-a interzis scoaterea
echipamentelor din sediul firmei, sau, cel puţin, scoaterea justificata a
acestora, pentru cursuri, delegaţii, etc. Astfel calculatoarele mobile pot fi
folosite pentru uz personal in afara orelor de program si in afara sediului
firmei. Singura măsură luată este responzabilizarea angajaţilor prin preluarea
echipamentelor pe inventar.
3.2. PERICOLE CARE AU AFECTAT SECURITATEA INFORMATIILOR DIN FIRMA
Afectarea retelei de calculatoare de virusi, cai troieni, viermi, care se
transmit ca fisiere atasate prin e-mail sau prin paginile web sau sunt downloadati
din retelele VPN realizate cu clientii, lucru datorat neactualizarii periodice a
antivirusului si neexistentei unei politici asidue de securitate la nivelul
personalului. In urma acestor atacuri s-a instalat pe toate statiile de lucru
antivirusul Microsoft ForeFront, configurandu-se updatarea zilnica automata a
acestuia, precum si scanarea automata a tuturor statiilor de lucru.
In ciuda instalarii si updatarii zilnice a antivirusului, prin deschiderea
unui mail personal, unul din angajati a downloadat un virus care, prin trimiterea
automata de mailuri, a blocat serverul de mail a firmei. Masurile luate au fost
scoaterea imediata a statiei de lucru infectate din reţea si dezinfectarea
acesteia, updatarea definiţiilor de virusi a tuturor calculatoaroealor şi scanarea
tuturor staţiilor de lucru din firmă.
Deoarece camera serverelor nu era incuiata, unii angajati o foloseau pe post
de “cabina telefonica”, pentru discutii telefonice personale. In cazul unor
discutii telefonice mai indelungate, aerul conditionat a fost inchis, si din cauza
temperaturilor ridicate de afara (30-35°), serverele s-au supraincalzit, unele
ajungand la temperature foarte mari, la care s-au inchis. In urma acestor
incidente, sala serverelor a fost incuiata, fiind permis doar accesul personalului
autorizat.
4. POLITICA DE SECURITATE PRIVIND REALIZAREA COPIILOR DE SIGURANTA (BACKUP)
4.1. DESCRIERE GENERALA
Aceasta politica defineste politica de realizare a copiilor de siguranta pentru
calculatoarele din cadrul firmei, pentru care este necesar backup-ul datelor. Se
refera in mod deosebit la servere, dar nu numai.
4.2. SCOP
Aceasta politica de securitate este proiectata pentru protectia datelor firmei
pentru a preveni pierderile de date si pentru a permite recuperarea acestora in
caz de defectare a echipamentelor, distrugere intentionata sau dezastre.
4.3. DOMENIU DE APLICARE
Datele care vor fi salvate includ fisiere de pe hard-disk, informatii despre
starea sistemului, registrii. Sistemele vizate pentru realizarea copiilor de
sguranta sunt serverul de mail, serverul de fisiere, serverul de baze de date,
serverul pe care se gasesc sursele si istoricul aplicatiilor dezvoltate in firma,
serverul folosit pentru Active Directory (Domain Controller). Backup-uri regulate
sunt efectuate si sistemului folosit pentru contabilitatea firmei.
4.4. DEFINITII
Backup – salvarea fisierelor pe suport magnetic sau alt tip de dispozitiv de
stocare media offline, cu scopul de a preveni pierderea datelor in caz de cadere a
echipamentelor sau distrugere.
Arhiva – salvarea fisierelor vechi sau nefolosite pe suport magnetic sau alt tip
de dispozitiv de stocare media offline, pentru a economisi spatiul de stocare on-
line.
Restore – procesul de recuperare offline a datelor salvate de pe suporturile media
offline si copierea acestora pe un sistem de stocare on-line de tip server.
4.5. PLANIFICARE
Backup-uri complete sunt realizate in fiecare noapte a saptamanii, de luni pana
vineri, si, in cazurile in care nu se pot efectua backup-uri vinerea, acestea sunt
planificate pentru sambata sau duminica.
4.6. ARHIVARE
Arhivele se realizeaza la sfarsitul fiecarui an, in decembrie. Conturile si e-
mail-urile fostilor angajati sunt arhivate si pastrate jumatate de an dupa
plecarea acestora din firma.
4.7. RESPONSABILI
Administratia delega un angajat (de obicei unul din administratorii de sistem)
pentru a realiza backup-urile. Una din atributiile suplimentare este dezvoltarea
unei proceduri de testare a copiilor si a posibilitatii de restore a datelor si
executarea acestei proceduri la perioade regulate de timp. Restaurarea datelor se
face in caz de dezastre sau la cererea expresa a angajatilor, cerere motivata si
insotita de datele de identificare a fisierelor care trebuie restaurate (nume,
data backup, motive restaurare).
4.8. RECOMANDARI
Se recomanda pregatirea pentru situatii de backup/restore a cel putin doi
angajati, pentru situatiile in care unul dintre ei nu este disponibil. Pentru o
mai buna siguranta a integritatii datelor, copiile ar trebui criptate si parolate.
De asemenea, se recomanda pastrarea copiilor de siguranta in locatii securizate,in
afara sediului firmei.
5. POLITICA DE SECURITATE PRIVIND UTILIZAREA SISTEMELOR SOFTWARE ALE FIRMEI
5.1. DESCRIERE GENERALA
Prin aceasta politica de securitate se doreste protejarea angajatilor,
partenerilor si a companiei de actiunile daunatoare sau ilegale, voluntare sau nu,
ale persoanelor implicate. Calculatoarele, echipamentele, sistemele de operare,
aplicatiile software, mediile de stocare sunt proprietatatea firmei, si este
permisa folosirea lor in scopuri strict profesionale, pentru a servi interesele
companiei.
5.2. SCOP
Scopul acestei politici este definirea folosirii acceptabile a calculatoarelor
firmei. Folosirea acestora in moduri ce contravin acestei politici cresc riscurile
infectarii cu virusi, compromit reteaua de calculatoare si a serviciilor,
putandu-se ajunge chiar la probleme legale.
5.3. DEFINIREA POLITICII DE SECURITATE
Codul sursa si datele create de angajati folosind sistemele firmei sunt
proprietatea firmei. Acesta nu garanteaza confidentialitatea oricaror informatii
pastrate pe sistemele din reteaua firmei. Ce inseamn utilizarea calculatoarele in
scopuri personale este lasat la latitudinea angajatilor, in caz de dubii sau
nelamuriri, acestia putand apela la sefii departamentelor. Se recomanda
angajatilor c datele confidentiale sa fie criptate. Personalul autorizat
monitorizeaza echipamentele, sistemele si traficul pe retea permanent, pentru
securitatea si intretinerea retelei. Firma isi rezerva dreptul de a controla si
audita periodic activitatea angajatilor pentru a verifica respectarea acestei
politici.
Angajatii trebuie sa ia masurile necesare pentru a preveni accesul neautorizat la
informatiile confidentiale ale firmei. Angajatii autorizati sunt responsabili de
securizarea propriilor parole si conturi. Este obligatorie blocarea calculatorului
in cazul lasarii acestuia nesupravegheat.
Orice email trimis de pe adresa de email de servici trebuie sa contina un
disclaimer, prin care subliniaza ca parerile exprimate sunt personale si nu
reflecta neaparat politica firmei, cu exceptia emailurilor in interes de servici.
Pe toate statiile de lucru, personale sau ale firmei, care sunt conectate la
reteaua firmei trebuie sa ruleze o aplicatie de tip antivirus, updata la zi. Se
recomanda atentie deosebita la deschiderea emailurilor si atasamentelor la acestea
primite de la adrese necunoscute.
Urmatoarele actiuni sunt in general interzise, cu exceptia cazurilor in care
responsabilitatile postului le permit ( de exemplu un administrator de sistem
poate opri accesul la retea al unui calculator a carui activitate afecteaza in mod
negativ serviciile firmei). Angajatilor nu le este permis, in nici o situatie, sa
se implice in activitati aflate sub incidenta legilor Romaniei sau a altui stat pe
teritoriul caruia anagajatul isi desfasoara activitatea in eventualele delegatii,
folosind echipamentele oferite de firma. Este interzisa incalcarea drepturilor
oricarei persoane sau organizatii protejate de copyright, patent, proprietate
intelectuala sau legi similare, inclusiv, dar nu doar, instalarea sau distribuirea
de produse software piratate sau pentru care firma nu are licente achizitionate.
Copierea pe calculatoarele firmei de materiale aflate sub incidenta drepturilor de
autor (fotografii, carti, muzica, filme) in format digital sau nu, pentru care
firma nu are drept de utilizare, este interzisa. Introducerea de programe
periculoase (virusi, viermi, troieni, etc.) in reteaua companiei este interzisa.
Dezvaluirea parolei sau folosirea in comun a contului este interzisa. Ofertele
frauduloase de produse sau servicii folosind emailul sau semnatura firmei sunt
interzise. Accesul neautorizat la servere, emailuri, conturi este interzis.
Monitorizarea retelei, cu exceptia cazurilor in care postul o cere, este
interzisa. Este interzisa interferenta sau interzicerea unor servicii altor
utilizatori, cu exceptia situatiilor cerute de post (de ex. Administratorul de
retea poate interzice accesul la internet diversilor utilizatori). Orice forma de
“spam” este interzisa (trimiterea de mailuri nesolicitate, reclame, “junk mail”,
mailuri “in lant” sau piramidale). In cazul postarii de mesaje pe internet
(forumuri, bloguri, etc.), este valabila confidentialitatea informatiilor despre
firma.
5.4. CONSECINTELE INCALCARII POLITICII DE SECURITATE
Orice angajat care incalca aceasta politica de securitate poate fi subiectul unor
masuri disciplinare, putandu-se ajunge pana la desfacerea contractului de munca.
5.5. RESPONSABILI
Responsabili de respectarea acestei politici de securitate sunt administratorii de
sistem si de retea. Respectarea regulilor este verificata prin monitorizare
continua cu ajutorul unor programe speciale de monitorizare a retelei, impunerea
regulilor fiind facuta la nivel de domeniu, folosindu-se Active Directory.
Activitatea utilizatorilor este de asemenea monitorizata, periodic, de sefii
directi sau de sefii de departament.
5.6. RECOMANDARI
Se recomanda instalarea automata pe toate sistemele a unor programe de tip
antivirus si stabilirea de pe server executia acestor programe zilnic. De
asemenea, se recomanda impunerea schimbarii parolelor la perioade regulate de timp
(de ex. 60 de zile). Pentru evitarea emailurilor de tip “spam”, serverul de mail
ar trebui protejat de un program de filtrare a acestora, atat pentru mailurile
sosite in si din afara firmei, cat si pentru cele in cadrul firmei. Auditarea
periodica a respectarii acestei politici de securitate poate ajuta la intelegerea
si prevenirea eventualelor riscuri ce pot aparea prin nerespectarea acesteia.