Anexa nr.

1
La Hotrrea Curii de Conturi
nr. 10 din 28 februarie 2012

POLITICA DE SECURITATE INFORMAIONAL

I.

INTRODUCERE GENERALITI

Prin emiterea i aprobarea acestei Politici, Curtea de Conturi, n calitate de instituie,

se angajeaz s pstreze confidenialitatea, integritatea i disponibilitatea tuturor
activelor informaionale fizice i electronice n cadrul acesteia prin asigurarea
implementrii i meninerii unui Sistem de Management al Securitii Informaiei
conformat la Standardul ISO 27001:2005.
Acest document reprezint i afirm angajamentul i responsabilitatea Curii de
Conturi, precum i a persoanelor care o reprezint pentru procesul de asigurare a unui
nivel suficient al securitii informaionale.
Politica de securitate const dintr-un set de reguli si practici care regleaz modul n
care o instituie folosete, administreaz, protejeaz si distribuie propriile informaii
sensibile ce trebuie protejate; reprezint modul de gestiune prin care un Sistem de
Management al Securitii Informaionale (n continuare SMSI) confer un grad
suficient de ncredere.
O politica de securitate, de regul, are n vedere dou laturi: a subiectului si a
obiectului politicii. Subiectul este reprezentat de ceva activ n SMSI (utilizator,
program, proces etc.), iar obiectul este cel asupra cruia acioneaz un subiect (fiiere,
dosare, diferite dispozitive i echipamente etc.). Se impune elaborarea unui set de
reguli utilizate de SMSI, pentru ca acesta s poat determina n ce caz un anume
subiect este autorizat sa aib acces la un anume obiect.
Rolul Politicii de securitate este de a-i informa pe angajaii Curii de Conturi asupra
modului n care trebuie s se comporte n ceea ce privete o anumit situaie (de
exemplu, la lucrul cu informaii sensibile); care ar trebui s fie poziia
managementului referitor la acea tem i care snt aciunile specifice pe care instituia
urmeaz s le ntreprind n funcie de situaiile aprute.
La elaborarea Politicii de securitate s-a inut cont de procedurile de securitate deja
implementate, de riscurile utilizrii tehnologiilor informaionale i de bunele practici
existente n domeniu.
Politica va fi revizuit cel puin o dat pe an i actualizat, n caz de necesitate, pentru
a reflecta obiectivele strategice ale Curii de Conturi, modificrile legale sau din
mediul gestiunii riscurilor.
Prezentul document este public i accesibil tuturor prilor interesate.

II.

SCOPUL POLITICII DE SECURITATE

Politica de securitate are ca scop primordial asigurarea integritii, disponibilitii i

confidenialitii informaiei.
Integritatea se refer la msurile i procedurile utilizate pentru protecia datelor
mpotriva modificrilor sau distrugerii neautorizate.
Disponibilitatea se asigur prin funcionarea continu a tuturor componentelor
sistemului informaional (SI). Diverse aplicaii au nevoie de nivele diferite de
disponibilitate n funcie de impactul sau daunele produse ca urmare a nefuncionrii
corespunztoare a SI.
Confidenialitatea se refer la protecia datelor mpotriva accesului neautorizat.
Utilizatorul rspunde personal de asigurarea confidenialitii datelor ncredinate prin
procedurile de acces la SI.
Politica de securitate are ca scop, de asemenea, stabilirea cadrului normativ necesar
pentru elaborarea regulamentelor i procedurilor de securitate. Acestea snt
obligatorii pentru toi utilizatorii SI.

III.

OBIECTIVELE POLITICII DE SECURITATE

Atingerea scopului general se face prin stabilirea unor obiective operaionale privind
securitatea informaiei, a cror realizare asigur:
conformarea securitii informaiei cu prevederile legale i cerinele din
Standardul ISO/IEC 27001:2005;
conformarea securitii informaiei cu activitatea propriu-zis;
conformarea securitii informaiei cu angajamentele asumate.
Pentru ndeplinirea acestor obiective, fiecare angajat al Curii de Conturi este pe
deplin contient de responsabilitatea personal i de atribuiile ce i revin n domeniul
securitii informaiei.
Preedintele Curii de Conturi va dispune delegarea atribuiilor pentru atingerea
obiectivelor n vederea dezvoltrii, meninerii i mbuntirii continue a eficacitii
SMSI. Realizarea i implementarea Politicii va fi efectuat n etape distincte, potrivit
planurilor anuale de aciuni i n strict conformitate cu resursele disponibile.
Obiectivele de importan major snt:

elaborarea, aprobarea i meninerea procedurilor operaionale i tehnologice;

clasificarea informaiei i serviciilor ntr-un mod care indic importana lor
pentru Curtea de Conturi;
stabilirea posesorilor pentru fiecare resurs informaional, conform clasificrii
acestora;
implementarea sistemului de evaluare i gestiune a riscurilor;

desemnarea persoanelor responsabile pentru protecia tuturor informaiilor i

serviciilor critice;
implementarea controalelor de securitate bazate pe risc i impactul serviciilor i
informaiilor asupra activitilor;
elaborarea i implementarea Planului de asigurare a continuitii n activitate;
elaborarea i implementarea Regulamentului privind modul de prelucrare i
protecie a datelor cu caracter personal;
implementarea controlului asupra accesului la informaii, bazat pe principiul
"necesitatea de a cunoate";
protejarea informaiei n ceea ce privete cerinele sale de confidenialitate,
integritate i disponibilitate n toate domeniile de activitate;
instruirea periodic a angajailor ntru respectarea Politicii i procedurilor de
securitate a informaiilor de ctre tot personalul, nerespectarea fiind supus
unei sanciuni disciplinare;
instruirea specializat a persoanelor responsabile de asigurarea securitii
informaionale;
raportarea i investigarea tuturor nclcrilor de securitate a informaiilor, reale
sau suspectate.
IV.

PRINCIPIILE DE REALIZARE A POLITICII DE SECURITATE:

Responsabilitii stabilirea clar a responsabilitilor referitoare la securitate pentru

proprietarii, furnizorii, administratorii i utilizatorii sistemelor informaionale;
sensibilizrii toate persoanele interesate asupra acestui aspect trebuie informate
corect i oportun;
eticii elaborarea unor reguli de conduit n utilizarea SI;
pluridisciplinaritii metodele tehnice i organizatorice care trebuie luate n vederea
securitii SI au caracter multidisciplinar i cooperant;
proporionalitii prevede ca nivelul de securitate i msurile de protecie s fie
proporional cu importana informaiilor gestionate;
integritii securitatea este necesar la toate etapele de prelucrare a informaiilor
(creare, colectare, prelucrare, stocare, transport, tergere etc.);
promptitudinii mecanismele de securitate trebuie s rspund prompt i s permit
o colaborare rapid i eficient n caz de detectare a eventualelor pericole;
reevalurii prevede revizuirea periodic a cerinelor de securitate i a mecanismelor
de implementare a lor;
neinfluenei cerinele de protecie i securitate nu trebuie s limiteze nejustificat
libera circulaie a informaiilor.

Securitatea informaional trebuie s fie asigurat prin intermediul utilizrii complexe

a tuturor mijloacelor de protecie pentru toate elementele de structur ale SI i la toate
etapele ciclului tehnologic de activitate a instituiei.

V.

GESTIONAREA RISCURILOR

Administrarea riscului reprezint procedurile i aciunile ce permit identificarea,

evaluarea, monitorizarea i lichidarea/minimizarea riscurilor pn/ori n timpul
transformrii lor n probleme.
Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesar o
decizie privind aciunile de rspuns.
Sarcina persoanei responsabile de gestiunea riscurilor const n determinarea i
aplicarea autorizat a unor aciuni, care, n caz de realizare a riscului, vor permite
reducerea probabilitii evenimentului negativ ori a consecinelor acestuia.
Concomitent, este de dorit ca consumul de resurse s fie minim.
Sarcini pentru gestionarea riscurilor:
Planificarea gestionrii riscurilor descrierea procedeelor generale de administrare a
riscurilor i aciunilor principale care trebuie ndeplinite.
Depistarea riscurilor stabilirea situaiilor i evenimentelor care pot provoca urmri
negative pentru activitatea Curii de Conturi.
Analiza i evaluarea prioritii riscurilor stabilirea impactului potenial al riscului
asupra cheltuielilor, graficului de lucru etc.
Planificarea aciunilor de rspuns pentru fiecare risc vor fi stabilite msurile
necesare pentru diminuarea probabilitii manifestrii riscului i urmrilor lui.
Monitorizarea riscului are drept scop modificarea prioritilor i planurilor de depire
a riscurilor n caz de modificare a probabilitii i consecinelor, precum i, depistarea
oportun a riscurilor realizate la moment.

VI.

CLASIFICAREA INFORMAIEI

Clasificarea informaiilor este necesar att pentru a permite alocarea resurselor

necesare protejrii acestora, ct i pentru a determina pierderile poteniale ca urmare a
modificrilor, pierderii/distrugerii sau divulgrii acestora.
Pentru a asigura securitatea i integritatea informaiilor, acestea se mpart n
urmtoarele categorii principale:
- Publice informaii accesibile oricrui utilizator din interiorul sau exteriorul Curii
de Conturi;

- Restricionate informaii a cror divulgare neautorizat poate fi n dezavantajul

intereselor i/sau securitii naionale sau poate s conduc la divulgarea unei
informaii secretizate cu parafa Strict secret, Secret sau Confidenial;
- Confideniale informaii a cror divulgare neautorizat poate duna intereselor
i/sau securitii naionale;
- Secrete informaii care trebuie protejate conform legislaiei n vigoare;
- Strict Secrete informaii la care accesul va fi restricionat de ctre conducerea
Curii de Conturi, a cror divulgare neautorizat poate aduce prejudicii extrem de
grave.
VII. ATRIBUII I RESPONSABILITI
Rolurile i responsabilitatea pentru asigurarea securitii informaionale se stabilesc
ntr-un mod clar, transmise personalului corespunztor i aprobate de toi participanii
la procesul de asigurare a securiti informaionale.
eful Aparatului Curii de Conturi coordoneaz i asigur promptitudinea i calitatea
ndeplinirii responsabilitilor ce in de asigurarea securitii informaionale.
Repartizarea rolurilor se efectueaz n baza proceselor existente i cu scopul de a
evita suprapunerea (dublarea) responsabilitilor, a reduce riscul de incidente de
securitate, legate de perturbarea disponibilitii, integritii sau confidenialitii
activelor informaionale.
Atribuiile i obligaiunile personalului stau la baza repartizrii rolurilor ce in de
asigurarea securitii informaionale.
Pornind de la faptul c, factorul uman reprezint cea mai vulnerabil verig a
sistemului de securitate informaional, personalul Curii de Conturi va studia
metodele i procedeele de prevenire i contracarare a pericolelor n cadrul unor
instruiri-standard de iniiere n cerinele fa de respectarea securitii informaionale
(cu semnarea acordurilor de angajament de rigoare).
Angajaii Curii de Conturi i vor executa obligaiunile privind asigurarea securitii
informaiei n conformitate cu documentele organizatorice i cu caracter de
dispoziie, elaborate i aprobate de ctre conducere (regulamente, formulare etc.).
Realizarea conform i n timp util a stipulrilor prezentei Politici va fi monitorizat
de ctre efului Aparatului Curii de Conturi.