Documente Academic
Documente Profesional
Documente Cultură
Version:
Date:
Author:
2/2013
02 Septembrie 2013
Directia Securitate Centrala
Obiective
Ob
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 1 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Introducere
D t lii pe Intranet:
Detalii
I t
t http://info.romtelecom.ro
htt //i f
t l
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
3 Material
3.
a e a Mobile
ob e Secu
Security
ty Awareness
a e ess
http://itsecurity.romtelecom.ro/index.php?p=1996&s=1
Disponibil in engleza.
Util pentru toti utilizatorii de dispozitive mobile.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 3 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Procedura PSA
Toti angajatii, fara exceptie, precum si consultantii si colaboratorii externi au obligatia sa cunoasca si sa adere la
prevederile acesteia, intrucat Politica se adreseaza tuturor angajatilor si persoanelor care lucreaza intr-o pozitie
cu functionalitate echivalenta (stagiari, angajati temporar, prestatori de servicii sau consultanti).
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 4 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Furnizeaza un cadru de aplicare a regulilor de securitatea informatiei in intreaga Companie si serveste ca o constitutie a
securitatii si a culturii noastre de protectie a datelor, precum si ca un manual pentru actiuni constiente de securitate si de
protectie a datelor. De asemenea, Politica este adresata clientilor si actionarilor nostri, pentru care serveste ca o marturie a
politicii noastre de securitate transparente, fiind axata pe drepturile si nevoile lor.
Politica
P liti Managementului
M
t l i Continuitatii
C ti it tii Afacerii
Af
ii sii a Situatiilor
Sit tiil de
d Urgenta
U
t
Detaliaza modalitatile in care se vor aplica la nivelul Romtelecom:
Politica detaliaza caracteristicile obligatorii ale parolelor folosite in companie; scopul ghidului
de utilizare parole, ce sustine aceasta politica, este de a furniza recomandari concrete de generare si protectie a parolelor.
Scopul
p acestei p
proceduri este de a detalia p
pasii p
pentru monitorizarea traficului de Internet.
Procedura PSA
Stabileste liniile directoare pentru evaluarea din punctul de vedere al securitatii si protectiei datelor a fiecarui sistem IT/NT
din cadrul Romtelecom, pornind de la securitate ca principiu de proiectare a sistemelor IT/NT.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 5 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
1. Conduita legala
2. Protectia datelor si securitatea datelor
3. Increderea clientilor
4 Cultura Securitatii si a Protectiei Datelor
4.
5. Responsabilitate transparenta
6. Principiul Nevoia de a sti
7. Avantaj competitiv prin tehnologie
8. Profitabilitate
9. Crearea de valoare adaugata prin securitate
integrata
10. Standardele internationale de securitate
Le gasiti
L
iti d
detaliate
t li t sii iin mySecurityBase,
S
it B
sectiunea My Information - 1.9, 1.10, 1.11.
http://mysecurity.telekom.de
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 6 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Incident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care pot
ameninta confidentialitatea, integritatea sau disponibilitatea informatiei.
In continuare sunt prezentate aspecte privind clasele de protectie
Confidentialitate, inclusiv clasificarea si etichetarea informatiilor.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 7 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
asociate
obiectivului
Informatiile trebuie sa fie clasificate ca Strict Confidential in cazul in care acest lucru este absolut
necesar, pe baza cerintelor de protectie. Aceasta clasificare nu va fi niciodata utilizata ca un mijloc de
a sublinia importanta departamentelor sau a persoanelor asociate.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 8 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct
sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi
factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Operatorii de date cu caracter personal sunt obligati sa asigure protectia acestor date.
Art. 20: Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru
protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale,
ilegale pierderii,
pierderii
modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva
comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de
prelucrare ilegala.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 11 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
A.
B.
C.
Agentul DLP instalat pe PC-uri poate bloca copierea pe dispozitive externe (USB, HDD
extern, CD, DVD), FTP sau imprimare a documentelor care contin informatii confidentiale
sau date personale ale angajatilor/clientilor Romtelecom. User-ul va putea sa isi aleaga
optiunea
ti
d a continua
de
ti
actiunea
ti
sau de
d a o bloca
bl
i t
intr-un
i t
interval
l de
d timp
ti
d 60 sec.
de
Au existat cazuri concrete in care am oprit scurgeri de date facute din greseala (CNP-uri in linii ascunse din XLS, destinatari externi pusi
din greseala, fisiere ramase atasate etc.) si am ajutat la modificarea unor procese in care, de ex., CNP-ul nu era necesar (dar era trimis
prin e-mail in exterior).
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 13 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Cu tot
totii st
stim deja cat de important
po ta t este sa folosim
o os pa
parole
o e co
complexe,
p e e, de minim 8 ca
caractere,
acte e, ca
care
e sa co
contina
t a co
combinatii
b at cat mai
a
aleatoare de cifre, litere si caractere speciale.
Cerintele pentru crearea de parole sigure si numarul mare de aplicatii cu care un utilizator interactioneaza au tendinta sa
produca utilizatori neglijenti, care reutilizeaza parolele.
O serie de atacuri care au compromis bazele de date cu parolele si conturile asociate pe un numar de site-uri au permis analiza
comportamentului utilizatorilor relativ la refolosirea parolelor.
NU REFOLOSITI PAROLELE, in special cand este vorba de site-uri care contin informatii importante si/sau date
personale!!
Nu folositi la serviciu aceleasi parole pe care le folositi in interes personal!
Astfel, in cazul in care o parola de-a dvs. este compromisa, nu veti expune informatiile Romtelecom la un risc suplimentar.
+
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 14 din 44
O modalitate adoptata in Romtelecom de anul acesta pentru accesul securizat pe VPN este Dual
factor authentication ca mecanism de autentificare ce necesita doua componente pentru a
identifica i pentru a autentifica un utilizator - "ceva ce stie" utilizatorul si "ceva ce are" utilizatorul.
Username si parola reprezinta componenta "ceva ce stie
stie, iar componenta "ceva ce are" este
reprezentata de un token hardware sau un dispozitiv mobil cu token software instalat.
Prin comparatie, schemele de securitate traditionale folosesc username si parola pentru
autentificare, ceea ce asigura un minim de securitate deoarece parolele sunt usor de ghicit sau
interceptat.
Romtelecom foloseste ca solutie de dual factor authentication SMS Passcode. In cazul SMS
Passcode cele 2 componente sunt:
1) "ceva ce stie" utilizatorul: username i parol AD.
2) "ceva ce are" utilizatorul: telefon mobil - doar posesorul telefonului poate introduce
corect codul unic care este primit prin SMS in procesul de autentificare.
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
TOATE folosesc pentru autentificare Active Directory (AD), dvs., ca utilizatori, trebuie sa
protejati si mai responsabil parola de Active Directory. NU COMUNICATI parola de AD (parolele in
general) altor persoane, fie ei chiar sefi directi.
Desi impunem reguli de complexitate si schimbarea parolei la 30 de zile, tineti cont de
recomandarea de a NU (RE)FOLOSI contul si parola de AD pe orice fel de calculator / site /
aplicatie ce NU APARTINE companiei.
In acest mod, in cazul in care un cont al dvs. este compromis, nu veti oferi o cale de intrare in
companie unui atacator.
In cazul in care utilizati un dispozitiv mobil (laptop, telefon mobil, tableta etc.) pentru a accesa email-ul sau aplicatii si dispozitivul este FURAT sau PIERDUT, anuntati acest incident IMEDIAT,
pentru a se bloca contul si a schimba parola.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 15 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 16 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
STUDIU PILOT
DESIGN
IMPLEMENTARE
OPERARE
APROBARE
APROBARE
Pe baza unui instrument de ierarhizare, orice proiect este inclus, inca de la inceput, intr-una din categoriile A, B sau C,
in functie de relevanta factorilor de securitate si protectia datelor. Cu cat un proiect este mai critic (categoria A fiind cea
maii critica),
iti ) cu atat
t t maii multlt trebuie
t b i sa beneficieze
b
fi i
d recomandarile
de
d il sii sprijinul
iji l expertilor
til de
d securitate
it t sii protectia
t ti
datelor.
La nivelul grupului DT exista cerinta ca securitatea si protectia datelor sa fie criterii de proiectare obligatorii pentru
toate produsele si procesele (Securitatea ca principiu de proiectare). Romtelecom a adoptat procedura PSA in 2012.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 17 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 18 din 44
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71