Codul de etic al personalului IT responsabil cu

securitatea
Introducere
Codul etic prezentat n continuare este menit s asigure confidenialitatea,
integritatea i disponibilitatea datelor i a resurselor prin folosirea unor procese i
proceduri bine definite. Acesta este necesar pentru a proteja informatia mpotriva
ameninrilor de tot felul: interne, externe, deliberate sau accidentale.
Cnd ne referim la personalul din sfera te!nologiei informaiei responsabil cu
asigurarea securitaii, ne referim la administratorii de reea, administratorii de sistem,
administratorii de aplicaii i administratorii de internet. "i trebuie s se foloseasc de
toate msurile necesare pentru a se asigura c:
#nformatia va fi protejat mpotriva accesului neautorizat
Confidenialitatea informaiei este asigurat
#ntegritatea informaiei este meninut
$ecuritatea fizic, logic i n mediul de lucru %incluznd securitatea
verbal& sunt pstrate
Cerinele legale i contractuale vor fi respectate
'lanurile de continuitate vor fi ntocmite, ntreinute i testate
(oate breele de securitate, actuale sau posibile, vor fi raportate i
investigate
#n continuare vor fi detaliate regulile ce trebuie respectate de ctre personalul
administrativ amintit anterior relativ la componentele de securitate.
Reguli privind managementul riscului
)anagementul riscului este folosit pentru a determina felul n care trebuie
procedat pentru a proteja bunurile i de cine trebuie acestea protejate. "ste procesul n
care trebuie luate n considerare toate riscurile, precum i evaluarea lor pe nivele de
securitate. Acest proces implic luarea unor decizii eficiente. 'osibilele riscuri includ:
Accesul neautorizat
$ervicii indisponibile, unde se pot include unele sau toate serviciile de
reea, date corupte sau o ncetinire a traficului datorat unui virus
*ivulgarea unor informaii importante care poate fi tradus n crearea de
avantaje particulare sau furt de informaie
+dat cu identificarea tuturor riscurilor, trebuie elaborat un plan de aciune n
funcie de importana resurselor.
,rmnd procesul de analiz a managementului riscului, reducerea acestuia
determin adoptarea urmatoarelor tipuri de strategii: administrative, fizice i te!nice.
-. )surile administrative constau n politici, proceduri, standarde,
examinri i instruire in domeniul securitaii.
.. )surile fizice sunt reprezentate de controlul accesului fizic, detecia
intruilor, protecia mpotriva incendiului, monitorizarea perimetrului.
/. )surile fizice includ controlul logic al accesului, controlul accesului la
reea, dispoztive de identificare i autentificare, criptarea datelor.
Reguli privind criptografia i semntura digital
Criptarea presupune codificarea datelor pentru a nu permite utilizatorilor ru
intenionai accesul la coninutul informaiei. Criptarea va fi folosit n cazul reelelor
private virtuale %0'1& pentru a se asigura transmisia securizat peste reelele publice
%#nternetul&. #n cazul n care nonrepudierea coninutului electronic este necesar, se vor
folosi semnturile digitale.
Reguli privind accesul utilizatorilor la resursele
calculatorului
Accesul utilizatorilor la toate resursele din sfera te!nologiei informaiei trebuie
protejat prin coduri de acces %login names, user names, etc.& acordate individual i dup
aprobri prealabile. Codurile de acces sunt protejate prin parole individuale care trebuie
s respecte reguli specifice de confidenialitate.
'entru a stabili rolurile i responsabilitaile utilizatorilor care acceseaz resursele
din reea, urmtoarele proceduri vor trebui parcurse:
+binerea accesului la reea i la resurse n funcie de niveluri de
permisie
#nterzicerea folosirii sistemelor n scop personal
Administrarea parolelor
'roceduri pentru folosirea dispozitivelor %media& detaabile
'roceduri care s conin regulile de folosire a potei electronice
$pecificaii privind accesul la #nternet
#nstruirea n aplicaii
2estricii n instalarea aplicaiilor soft3are sau a dispozitivelor
!ard3are
'roceduri privind accesul de la distan al utilizatorilor
'roceduri pentru expirarea conturilor
'roceduri de auditare intern
'roceduri pentru notificarea posibilelor ameninri
#nstruirea n scopul contientizrii securitii
Reguli privind profilele de securitate i parolele
'rofilele de securitate se vor aplica uniform aplicaiilor i diferitelor dispozitive
%servere, staii de lucru, router4e, s3itc!4uri, ziduri de protecie, prox5 servere, etc.&. 'e
de alt parte, se impun proceduri de blocare rapid a accesului la dispozitive i aplicaii.
*in moment ce parolele sunt un element critic n protejarea infrastructurii, se vor
stabili reguli stricte ce trebuie impuse utilizatorilor administrai.
'arolele nu trebuie s fie:
+rice forma a numelui de logare %inversat, scris cu majuscule, dublat, etc.&
+rice informaie personal a utilizatorului pe care un !ac6er le poate
obine foarte uor %numele strzii unde locuiete, codul numeric personal,
numele soului7soiei7copiilor7prinilor, etc.&
8ormate numai din cifre sau numai din aceeai liter
1umere de telefon
Cuvinte din dicionare
'arolele trebuie s conin:
Cel puin ase caractere
Att litere mari ct i litere mici
Caractere care nu sunt n alfabet %cifre i semne de punctuaie&
"ste indicat s se pstreze un istoric al ultimelor parole utilizate de fiecare
utilizator n parte n aa fel nct s nu se poat folosi parolele recente.
(rebuie definite att un interval dup care utilizatorii vor trebui s4i sc!imbe
parolele, ct i o procedur care duce la blocarea contului unui utilizator dup depirea
unui numr de logri euate.
Reguli privind pota electronic
(rebuie implementat un mecanism de filtrare a ataamentelor mesajelor care se
trimit sau care sunt recepionate pentru a spori eforturile de prevenire a atacurilor %se vor
bloca ataamentele cu extensie suspect 4 9.exe, 9.pif, 9.js, 9.cmd, 9.jse, 9.com, 9.3sf,
9.3sc, 9.reg, 9.zi, 9.bat, etc.&.
(rebuie utilizat scanarea antivirus mpotriva coninutului maliios pentru tot
traficul %pe ambele direcii&, pentru orice tip de document %c!iar dac se prezint sub o
form ar!ivat&.
Reguli privind Internetul
Accesul la #nternet trebuie acordat n funcie de necesiti, i doar persoanelor
autorizate %s4au supus unor mecanisme de aprobare&. (raficul #nternet va trebui
monitorizat i analizat. :og4urile fire3all4urilor vor trebui inspectate pentru a detecta
activiti suspecte. 'olitica de securitate pe zidul de protecie trebuie s se bazeze pe
principiul stoprii traficului inutil.
Accesul din #nternet ctre #ntranet va fi permis doar ctre serviciile publice, cum
ar fi ;((', $)(', *1$, ;(('$, servicii gzduite de servere dedicate. #n cazul n care
exist i "xtranet, canalul de comunicaie trebuie s fie i el unul securizat.
Reguli privind accesul de la distan
#n privina accesului de la distan al utilizatorilor, urmtoarele condiii trebuie
ndeplinite:
<ncredere n utilizatorul care intr n sistem
#dentificare i autentificare %prin folosirea unor mecanisme sigure de
autentificare = ex: >one4time pass3ord?, >c!allange4response?, >callbac6
feature?, etc.&
2esponsabilitate i verificare
Controlul accesului
$ervicii de ncredere
Reguli privind programele antivirus
Ct privete softul antivirus, acesta nu trebuie s lipseasc, avnd ca scop
prevenirea i detectarea eventualilor virui. #n alegerea produsului trebuie luate n
considerare urmtoarele criterii:
8recvena de updatare a fiierelor care conin definiiile de virui %s fie
ct mai mare = interval de timp ct mai mic&
$canarea nainte de desc!iderea oricrui document7ataamente
$canarea automat a traficului in i out
Aciunea care se ia la depistarea unui virus %dezinfectare, notificare,
blocarea accesului la fiier&
Reguli privind back-up-ul i recuperarea datelor
Aplicaiile care ruleaz pe diferite platforme necesit planuri de bac64up i
recuperare de date diferite. #ns fiecare asfel de plan trebuie s includ %minim&
urmtoarele:
+ sc!em de bac64up
#dentificarea tipului mediului de stocare
(ipul ec!ipamentelor necesare
*escrierea locaiei unde se pstreaz informaia stocat
Conveniile de etic!etare
'roceduri clare de refolosin a mediilor de stocare
(estarea restaurrii datelor
Reguli privind detectarea intruziunilor
(rebuie folosit un sistem de detecie a intruziunilor pentru a depista situaii
anormale, inadecvate sau orice date care pot fi considerate neautorizate n reea. $pre
deosebire de un zid de protecie, un astfel de sistem va trebui s capteze i s inspecteze
tot traficul, indiferent dac el este permis sau nu. <n funcie de coninutul traficului, fie el
la nivel #' sau la nivel aplicaie, o alarma se va genera.
Cnd este detectat o violare a unei reguli din politica de securitate, se va aciona
prompt i adecvat. $e va face o investigaie amnunit pentru a determina cum i de ce a
aprut problema, dup care se va corecta n cel mai scurt timp posibil.
*up orice incident aprut se va ntocmi un raport care va conine descierea lui,
metoda prin care a fost descoperit, procedura prin care s4a reuit remedierea incidentului,
procedura de monitorizare, evaluarea pagubelor.
Reguli privind auditul
(oate programele de secutitate vor fi auditate. "a se va petrece att la intervale
bine definite, ct i aleatoriu, pentru a se evalua eficacitatea programelor.
,n proces de audit trebuie s includ urmtoarele:
0erificarea parolelor cu programe specializate de spargere a lor
0erificarea bazei de date cu conturile utilizatorilor pentru a nu exista
conturi active ale unor persoane care au parasit locul de munc
"fectuarea unor teste de penetrare pentru a descoperi eventualele
vulnerabilitai prin programe specializate pentru acest lucru
<ncercri de obinere de parole prin interogarea personalului %cerere
neimpetuoas&
$imularea %n afara orelor de program& unor incidente n reea pentru a
testa promptitudinea i modul prin care se evalueaz incidentul
(estarea funcionalitii procedurilor de bac64up
Reguli privind instruirea personalului
#nstruirea personalului n scopul contientizrii importanei securitaii va trebui s
fie fcut n funcie de calificrile existente. #nstruirea noilor angajai va trebui fcut n
mod obligatoriu.