Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • PS SI 01 Securitate IT

    Încărcat de

    Andrei Pavel
    37 vizualizări9 pagini
    Procedura securitate IT

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Procedura securitate IT

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    37 vizualizări9 pagini

    PS SI 01 Securitate IT

    Încărcat de

    Andrei Pavel
    Procedura securitate IT

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 9

    S.C.

    IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    3 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.







    CUPRINS


    Denumire capitol: pag.
    Pagina de gard 1
    Fia de control a actualizrilor documentului 2
    Cuprins 3
    Cap. 1. Scop 4
    Cap. 2. Domeniu de aplicare 4
    Cap. 3. Definiii i abrevieri 4
    Cap. 4. Documente de referin 5
    Cap. 5. Descriere 5
    Cap. 6. Responsabiliti 9
    Cap. 7. Documente asociate 9
    Cap. 8. Formulare i nregistrri 9
    Cap. 9. Criterii de performan 9
    Cap. 10. Anexe 9
    Formulare asociate

    Evaluarea riscurilor de securitate IT i msurile
    de mitigare a acestora, cod PSSI-01-1




    S.C. IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    4 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.

    1. SCOP
    Prezenta procedur descrie regulile generale ce trebuie urmate pentru securizarea efectiv a reelei de
    calculatoare. Acest document include proceduri i recomandri ce trebuie aplicate n reeaua de calculatoare.

    2. DOMENIU DE APLICARE
    2.1. Prezenta procedur este obligatorie pentru tot personalul firmei SC IRIDEX GROUP CONSTRUCII SRL
    care utilizeaz sisteme IT i n mod special pentru Compartimentul IT.
    2.2. Nerespectarea principiilor menionate n acest document este considerat nclcare a ndatoririlor de
    serviciu.
    3. DEFINIII I ABREVIERI
    3.1. Definiii:
    3.1.1. Proprietate =datele salvate pe computere, emailuri, proprietate intelectual (ex. coduri
    surs), baze de date ale clienilor, tranzacii electronice, loguri, echipamente hardware,
    licene i coduri de instalare ale software-ului achiziionat.
    3.1.2. Ameninare =risc potenial cu referin la ameninarea proprietii firmei (intenia de a
    distruge proprietatea firmei, calamiti naturale, acte fr intenie ale angajailor).
    3.1.3. Impactul ameninrii =situaie cnd ameninarea are loc efectiv (atac asupra proprietii
    firmei sau proprietatea firmei este distrus ntr-o calamitate natural).
    3.1.4. Msuri de mitigare a ameninrilor = activiti i msuri ce au ca scop minimizarea
    impactului ameninrii sau reducerea costurilor cauzate de acestea.
    3.1.5. Reea perimetral = routere, switchuri i servere ce sunt situate la grania dintre reeaua
    intern a firmei i reeaua extern.
    3.1.6. Zon demilitarizat (DMZ) = segment al reelei de calculatoare plasat ntre reeaua
    intern i cea extern. Transferul datelor ntre reeaua extern, reeaua intern i DMZ sunt
    controlate de firewall.
    3.1.7. Firewall = echipament sau software ce definete regulile de transfer de date ntre zonele
    de securitate. De obicei sunt incluse cu alte tehnologii ntr-un singur echipament sau
    software.
    3.1.8. Active Directory (AD) =implementare Microsoft n Windows a Directory Access Services
    (DAS). Permite administratorilor s seteze politici, s instaleze software pe mai multe
    computere simultan sau s aplice actualizri critice n toat structura organizaional.
    Active Directory i salveaz datele i setrile ntr-o baz de date cu organizarea
    centralizat.
    3.1.9. Information Technology (IT) =are ca areal de activitate computere i procese
    informaionale din punctul de vedere al echipamentelor hardware i software. n practic,
    implic hardware, software, reele de calculatoare i toate celelalte echipamente conectate
    la o reea de calculatoare prin mijloace specifice.
    3.1.10. Sniffing = interceptarea comunicaiilor electronice ntr-o reea de calculatoare.


    S.C. IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    5 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.

    3.2. Abrevieri:

    DG Director General PC Personal computer
    ITD Director IT NTB Notebook computer
    SW Software IT Information Technology
    DT Document ce include evaluarea riscurilor de
    securitate IT i msurile de mitigare a
    acestora
    PDA Personal Digital Assistant =Pocket PC or
    Smartphone
    SSI Specialist Securitatea Informatiei


    4. DOCUMENTE DE REFERIN
    4.1. SR ISO/CEI 27001:2006 - Tehnologia informaiei. Tehnici de securitate. Sisteme de
    management al securitii informaiei. Cerine
    4.2. SR ISO/CEI 27002:2008 - Tehnologia informaiei. Tehnici de securitate. Cod de bun practic
    pentru managementul securitii informaiei

    5. DESCRIERE PROCEDUR
    5.1. Ameninri i msuri de mitigare a acestora
    5.1.1. Firma investete bani n securizarea reelei de calculatoare n scopul protejrii proprietii
    acesteia contra riscurilor i ameninrilor. Prin proprietate n IT nelegem datele salvate pe
    computere, emailuri, proprietate intelectual (ex. coduri surs), baze de date ale clienilor,
    tranzacii electronice, loguri, echipamente hardware, licene i coduri de instalare ale software-
    ului achiziionat.
    5.1.2. Securitatea IT nu este un proces static, astfel existnd nevoia de a defini mecanisme ce
    permit mitigarea ameninrilor curente.
    5.1.3. Ameninri
    5.1.3.1. Ameninrile reprezint pericole poteniale la adresa proprietii firmei. Pentru a
    permite firmei s minimizeze impactul ameninrilor asupra sa, trebuie definit o list de
    ameninri pe baza creia se va realiza mitigarea acestora, astfel reducnd probabilitatea
    producerii acestora.
    5.1.3.2. Ameninrile identificate sunt stipulate n documentul n format electronic la
    \\iridex.local\constructii\IT\_altii\Security. ITD asigur accesul la acest document pentru
    urmtorii angajai:
    - SSI (drept de citire si editare)
    - Angajai n Departamentul IT (drept de citire)
    - DG (drept de citire)
    5.1.3.3. SSI asigur crearea primei versiuni a DT i salvarea acestuia n folderul specificat pe
    serverul companiei.
    5.1.3.4. SSI este responsabil de actualizarea DT. DT trebuie creat n maxim o luna de la data
    intrrii n vigoarea a acestei proceduri.


    S.C. IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    6 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.
    5.1.3.5. DT include cel puin urmtoarele ameninri (i msurile de mitigare
    corespondente dup cum urmeaz):
    - Intrare neautorizat n camera serverelor
    - Incendiu n camera serverelor.
    - Pan de curent n camera serverelor
    - Furt (pierdere) de notebook, PC sau PDA.
    - Schimbarea temperaturii i/sau umiditii n camera serverelor.
    - Virui i spyware pe PC, NTB
    - Spam n email-ul companiei
    - Virui (spyware, troieni, viermi etc.) transmii prin email
    - Atacuri tip Dicionar la utilizatorul cu cea mai slab parol n domeniul AD
    - WiFi sniffing
    - LAN sniffing
    - WAN sniffing
    - Acces neautorizat n reeaua intern avnd ca origine internetul
    5.1.3.6. DT ndeplinete urmtoarele cerine:
    - doar SSI poate s modifice documentul
    - documentul este accesibil doar DG, SSI i personalului IT
    - accesibilitatea ctre acest document a altor persoane se face cu acordul prealabil al
    SSI i DG
    - conine lista tuturor ameninrilor IT n organizaie cu probabilitate de realizare
    - conine msuri de minimizare a pagubelor rezultate potenial din realizarea
    ameninrilor
    - conine msuri de mitigare a ameninrilor identificate.
    5.1.3.7. DT menioneaz la fiecare ameninare identificat:
    - setul de msuri de mitigare (cuprins n seciunea Msuri de mitigare) ce au ca rol
    minimizarea impactului asupra proprietii firmei la realizarea ameninrii sau de
    reducere a probabilitii de realizarea a ameninrii (referine explicite la aceasta
    se regsesc la pct. 5.1.2 din acest document)
    - Atributul de risc (setarea atributului de risc este descris la pct. 5.1.2)
    - Data identificrii riscului
    - Numele SSI care a efectual analiza de evaluare a riscului asupra unei ameninri
    5.1.4. Identificarea unei ameninri noi
    5.1.4.1. Personalul IT are obligaia de a informa ITD si SSI n termen de o zi lucrtoare din
    momentul identificrii unei ameninri noi (care nu este menionat n DT). SSI asigur
    luarea n eviden a noii ameninri n DT n termen de o zi lucrtoare de la notificare.


    S.C. IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    7 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.
    5.1.5. Analiza de evaluarea a riscului unei ameninri
    5.1.5.1. Prin analiza de evaluarea a riscului unei ameninri nelegem estimarea probabilitii
    de realizare a acesteia i eventualele pagube rezultate asupra proprietii firmei. Conine,
    de asemenea, msuri de mitigare recomandate (inclusiv estimri privind costul de
    implementare) ce au ca scop minimizarea realizrii ameninrii. Ameninrilor le este
    conferit un atribut de risc pe baza analizei.
    5.1.5.2. Analiza cuprinde:
    5.1.5.2.1. Ameninri noi ce nu se regsesc n DT: SSI este responsabil cu
    analiza unei anumite ameninri n termen de o zi lucrtoare de la notificarea
    acesteia. SSI determin timpul necesar de finalizare a analizei, timpul maxim
    fiind de o lun.
    5.1.5.2.2. Cel puin anual - toate ameninrile din DT: Anual SSI efectueaz
    revizuirea ameninrilor din DT.
    5.1.5.2.3. Ameninri ce s-au realizat: n caz de realizare a unei ameninri, SSI
    este obligat s asigure crearea unei analize n form scris. Analiza se
    efectueaz n termen de dou zile lucrtoare de la realizarea ameninrii n
    cauz, respectiv de la momentul la care SSI a fost notificat despre realizarea
    ameninrii (dac cele dou momente nu coincid). Pe baza analizei rezultate,
    SSI asigur actualizarea informaiilor n DT n termen de o zi lucrtoare de la
    finalizarea analizei i a msurilor de mitigare ce rezult din analiz.
    5.1.5.3. Fiecrei ameninri i este conferit un atribut de risc, stabilirea atributului de risc
    o face autorul analizei n conformitate cu recomandrile urmtoare:
    RISC = 1 (minor): Realizarea ameninrii nu poate cauza pagube majore asupra
    proprietii firmei, nu limiteaz nici nu ntrerupe activitatea firmei.
    RISC = 2 (major): Realizarea ameninrii nu poate cauza pagube majore asupra
    proprietii firmei, poate limita anumite procese ale firmei, ce nu sunt ns critice.
    RISC = 3 (critic): Realizarea ameninrii poate cauza pagube majore asupra
    proprietii firmei, poate limita i/sau amenina funcionarea acesteia.
    5.1.5.4. SSI efectueaz analiza de evaluare a riscului i determin timpul de realizare al
    acesteia, care va fi de maxim o lun. Pentru fiecare ameninare din DT, SSI asigur
    efectuarea analizei n form scris i salvarea acesteia n folderul
    \\iridex.local\constructii\IT\_altii\Security conform urmtoarelor reguli:
    - doar personalul IT poate modifica analiza
    - analiza este accesibil doar DG, SSI i personalului IT
    - accesibilitatea ctre acest document a altor persoane se face cu acordul prealabil
    al SSI i DG
    5.1.5.5. Analiza de evaluare a riscului conine:
    - pagube poteniale i efecte directe asupra proceselor din cadrul firmei ce reies din
    realizarea ameninrii
    - estimarea probabilitii de realizare a unei anumite ameninri
    - propunere coninnd msuri de mitigare
    - cost i timp estimativ de implementare a msurilor de mitigare


    S.C. IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    8 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.
    - analiza surplusului de fonduri disponibil pentru msurile de mitigare.
    5.2. Msuri de mitigare
    5.2.1. Msurile de mitigare minimizeaz probabilitatea de realizare a unei ameninri date i
    reduc pagubele poteniale asupra proprietii firmei la realizarea acesteia. O msur de
    mitigare poate minimiza posibilitatea de realizare a mai multor ameninri. Msurile de
    mitigare sunt menionate n DT.
    5.2.2. n DT, pentru fiecare msur de mitigare se menioneaz:
    - Numrul unic de identificare a msurii de mitigare
    - Numele msurii de mitigare
    - Starea implementrii acesteia (DA/NU)
    - Descrierea msurii de mitigare (dac nu este implementat, include graficul de
    implementare al acesteia)
    - Descrierea perioadei la care se reia analiza msurii de mitigare, de exemplu la
    intervale anuale
    - Data ultimei analize i persoana care a efectuat-o
    - Data implementrii
    - Personalul IT (numit de ITD), responsabil cu implementarea msurilor de mitigare
    - SSI, responsabil cu analiza periodic a msurilor de mitigare implementate.
    5.2.3. Implementarea msurilor de mitigare
    5.2.3.1. SSI asigur luarea n eviden a msurilor de mitigare n DT per ameninare n cel
    mult dou zile lucrtoare de la data finalizrii analizei de evaluare a riscului, la care msura
    de mitigare face referire.
    5.2.3.2. SSI este obligat n DT s evidenieze msurile de mitigare ce urmeaz a fi
    implementate. ITD asigur implementarea msurilor de mitigare n cel mult 30 de zile de la
    luarea n eviden a ameninrii n DT, altfel ITD informeaz DG si SSI despre prelungirea
    termenului de implementare.
    5.2.3.3. Dac implementarea msurii de mitigare nu presupune cheltuieli financiare i nu
    afecteaz angajai n alte departamente, exceptnd IT, SSI este autorizat s o
    implementeze fr acordul prealabil al DG. n celelalte cazuri, SSI este obligat s
    formuleze o propunere de implementare a msuri(lor) de mitigare ctre DG, care decide
    privind implementarea pe baza analizei de evaluare a riscului. SSI este remite propunerea
    ctre DG n termen de cinci zile de la luarea n eviden n DT.
    5.2.4. Revizuirea msurilor de mitigare
    5.2.4.1. Personalul responsabil pentru evaluarea i funcionarea periodic a msurilor de
    mitigare din DT:
    - Efectueaz la intervale i prin metode specificate revizuiri ale msurilor de mitigare
    din DT
    - Asigur funcionarea corect a msurilor de mitigare conform cu descrierea acestora
    n DT
    - n caz de neconcordan cu descrierea, formuleaz o propunere de rezoluie (n cel
    mult o zi de la identificarea problemei)


    S.C. IRIDEX GROUP
    CONSTRUCII S.R.L.
    Voluntari, Ilfov
    PROCEDURA DE SISTEM SECURITATEA
    INFORMAIILOR

    SECURITATE IT

    PS-SI-01
    Ediia: 1
    Revizia: 1
    pagina
    9 9


    Drept de autor IRIDEX GROUP CONSTRUCII, 2010. Toate drepturile rezervate.
    5.3. Realizarea ameninrii i msuri de reacie
    5.3.1. La realizarea ameninrii, SSI asigur minimizarea efectelor acesteia asupra firmei. SSI
    realizeaz pentru aceasta msurile ce nu presupun costuri financiare, fiind autorizat s le
    implementeze fr acordul prealabil al DG.
    5.3.2. n caz c implementarea presupune costuri financiare, SSI este obligat s cear acordul
    prealabil al DG.
    5.3.3. SSI implementeaz msurile de reacie n termen de dou ore de la notificarea realizrii
    ameninrii, sau n cel mai scurt timp posibil.

    6. RESPONSABILITI
    6.1. Specialist Securitatea Informaiei
    6.1.1. Analizeaz riscurile legate de securitatea IT si propune masuri de mitigare
    6.1.2. Reevalueaz anual DT-ul
    6.1.3. Verific implementarea msurilor de mitigare, dup fiecare modificare a DT
    6.2. Director Departament IT
    6.2.1. Implementeaz msurile de mitigare, dup fiecare modificare a DT

    7. DOCUMENTE ASOCIATE

    8. FORMULARE I NREGISTRRI

    Cod Denumire
    Resp.
    completare
    Verificare,
    Avizare,
    Aprobare
    Unde
    se
    depune
    Termen
    pstrare
    *)
    Durat
    arhivare
    **)
    PSSI-01-1
    Evaluarea riscurilor de
    securitate IT i msurile de
    mitigare a acestora
    SSI DG SSI 1 an 3 ani
    *)
    Durata de pstrare la departamentul / compartimentul unde s-a depus formularul.
    **)
    Durata de pstrare n arhiv.

    9. CRITERII DE PERFORMAN: -

    10. ANEXE

    S-ar putea să vă placă și