INSTRUIRE PENTRU CONSTIENTIZAREA

POLITICII DE SECURITATEA INFORMATIEI

IN CADRUL ROMTELECOM

Version:
Date:
Author:

2/2013
02 Septembrie 2013
Directia Securitate Centrala

Obiective
Ob

I. Cunoasterea politicilor si procedurilor de securitatea

informatiei;
II. Constientizarea amenintarilor specifice si a metodelor de
protectie;
III. Cunoasterea politicilor si procedurilor de securitate
fizica;
IV. Constientizarea importantei asigurarii continuitatii
afacerii.
afacerii
ca intotdeauna, speram ca materialul sa va fie de folos si acasa, in viata
privata.

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 1 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Introducere
D t lii pe Intranet:
Detalii
I t
t http://info.romtelecom.ro
htt //i f
t l

Politicile de securitate le puteti accesa aici:

sau direct pe http://itsecurity.romtelecom.ro

Ne puteti scrie la adresele: informationsecurity@romtelecom.ro si securitatefizica@romtelecom.ro
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 2 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Noutati in aceasta editie

1. Detalii despre procedura PSA
(Privacy and Security Assessment)
Obligatorie pentru project manageri si toti cei
care participa la dezvoltarea de produse si servicii noi,
dezvoltate intern sau cu
vendori externi.

2. Site mySecurityBase (*disponibil doar din

Intranet) https://mysecurity.telekom.de
A fost
f t creatt de
d DT sii este
t accesibil
ibil d
doar di
din IIntranet.
t
t
Util pentru toti angajatii companiei.
Este disponibil atat in limba romana, cat si in alte
limbi de circulatie internationala.

3 Material
3.
a e a Mobile
ob e Secu
Security
ty Awareness
a e ess
http://itsecurity.romtelecom.ro/index.php?p=1996&s=1

4. Modul Securitate Fizica

Disponibil in engleza.
Util pentru toti utilizatorii de dispozitive mobile.

5. Modul Business Continuity

5
Management (Managementul
Continuitatii Afacerii)

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 3 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Romtelecom (1/2)

Politica
P
liti de
d Securitate
S
it t a Romtelecom
R t l
a intrat
i t t in
i vigoare
i
i 17 octombrie
in
t b i 2011,
2011 fiind
fii d aliniata
li i t cu politica
liti similara
i il
aplicata
li t in
i
cadrul grupului Deutsche Telekom A.G..
Consta intr-un pachet de documente (disponibile pe http://itsecurity.romtelecom.ro), dintre care cele mai importante sunt:
Politica Generala de Securitate
Politica de Securitate a Informatiei si Protectia Datelor
Politica de Securitate IT/NT
Politica Managementului Continuitatii Afacerii si
a Situatiilor de Urgenta
Politica de Utilizare Parole
Ghid de Utilizare Parole

Procedura Monitorizare Trafic Internet

Procedura PSA

Politica privind Utilizarea Acceptabila

Toti angajatii, fara exceptie, precum si consultantii si colaboratorii externi au obligatia sa cunoasca si sa adere la
prevederile acesteia, intrucat Politica se adreseaza tuturor angajatilor si persoanelor care lucreaza intr-o pozitie
cu functionalitate echivalenta (stagiari, angajati temporar, prestatori de servicii sau consultanti).

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 4 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Romtelecom (2/2)

Politica Generala de Securitate

Furnizeaza un cadru de aplicare a regulilor de securitatea informatiei in intreaga Companie si serveste ca o constitutie a
securitatii si a culturii noastre de protectie a datelor, precum si ca un manual pentru actiuni constiente de securitate si de
protectie a datelor. De asemenea, Politica este adresata clientilor si actionarilor nostri, pentru care serveste ca o marturie a
politicii noastre de securitate transparente, fiind axata pe drepturile si nevoile lor.

Politica de Securitate a Informatiei si Protectia Datelor

P i t pasiiii care vor fi urmati

Prezinta
ti pentru
t clasificarea
l ifi
sii protectia
t ti informatiilor
i f
tiil sensibile
ibil si/sau
i/
cu caracter
t personall sii pentru
t
standardizarea metodelor de etichetare, manevrare si protejare a acestora.

Politica de Securitate IT/NT

Furnizeaza cerinte de securitate pentru protectie adecvata pentru sistemele IT/NT si

serviciile si produsele furnizate de acestea.

Politica
P liti Managementului
M
t l i Continuitatii
C ti it tii Afacerii
Af
ii sii a Situatiilor
Sit tiil de
d Urgenta
U
t
Detaliaza modalitatile in care se vor aplica la nivelul Romtelecom:

Managementul incidentelor de securitate

Managementul continuitatii afacerii
Managementul urgentelor
Managementul situatiilor de criza

Politica de Utilizare Parole (si Ghid de Utilizare Parole)

Politica detaliaza caracteristicile obligatorii ale parolelor folosite in companie; scopul ghidului
de utilizare parole, ce sustine aceasta politica, este de a furniza recomandari concrete de generare si protectie a parolelor.

Procedura Monitorizare Trafic Internet

Scopul
p acestei p
proceduri este de a detalia p
pasii p
pentru monitorizarea traficului de Internet.

Procedura PSA

Stabileste liniile directoare pentru evaluarea din punctul de vedere al securitatii si protectiei datelor a fiecarui sistem IT/NT
din cadrul Romtelecom, pornind de la securitate ca principiu de proiectare a sistemelor IT/NT.

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 5 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica Generala de Securitate

La baza Politicii Generale de Securitate stau
cele 10 Principii de Securitate, care
guverneaza toate masurile si cerintele de
securitate:

1. Conduita legala
2. Protectia datelor si securitatea datelor
3. Increderea clientilor
4 Cultura Securitatii si a Protectiei Datelor
4.
5. Responsabilitate transparenta
6. Principiul Nevoia de a sti
7. Avantaj competitiv prin tehnologie
8. Profitabilitate
9. Crearea de valoare adaugata prin securitate
integrata
10. Standardele internationale de securitate

Le gasiti
L
iti d
detaliate
t li t sii iin mySecurityBase,
S
it B
sectiunea My Information - 1.9, 1.10, 1.11.
http://mysecurity.telekom.de
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 6 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Informatiei si Protectia Datelor

Obiectivele de protectie definesc si specifica cerintele
de protectie pentru date si informatii specifice, sub forma
claselor de protectie.

Incident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care pot
ameninta confidentialitatea, integritatea sau disponibilitatea informatiei.
In continuare sunt prezentate aspecte privind clasele de protectie
Confidentialitate, inclusiv clasificarea si etichetarea informatiilor.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 7 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

asociate

obiectivului

Politica de Securitate a Informatiei si Protectia Datelor

Cl ifi
Clasificarea
iinformatiilor
f
tiil

Informatiile trebuie sa fie clasificate ca Strict Confidential in cazul in care acest lucru este absolut
necesar, pe baza cerintelor de protectie. Aceasta clasificare nu va fi niciodata utilizata ca un mijloc de
a sublinia importanta departamentelor sau a persoanelor asociate.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 8 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Informatiei si Protectia Datelor

Etichetarea informatiilor ce contin informatii sensibile

Informatia clasificata ca fiind Confidential sau superioara trebuie sa fie

intotdeauna etichetata ca atare.
Clasificarea si etichetarea trebuie sa fie realizate de entitatea (persoana sau
sistem ICT) care creaza/genereaza informatia.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 9 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Informatiei si Protectia Datelor

P t ti informatiilor
Protectia
i f
tiil confidentiale
fid ti l (1)
Toti salariatii Romtelecom trebuie sa fie instruiti periodic si adecvat cu privire la protectia
informatiilor si a datelor.
datelor Instruirea trebuie sa serveasca la crearea unei constientizari a
cerintelor de protectie a informatiei si a datelor.
Sesiunile de instruire trebuie realizate la inceputul raporturilor de munca sau odata cu
schimbarea rolurilor in Romtelecom si ulterior, de cel putin o data pe an. Activitatile ce
implica cerinte de securitate sporite necesita instruiri mai intense si mai frecvente.

Pierderea de informatie (accidentala sau intentionata) are urmatoarele riscuri asociate:

Pierderea reputatiei;
Pierderi financiare (amenzi, pierderea oportunitatilor de afacere, pierderea
proprietatii intelectuale);
Pierderea increderii clientilor.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 10 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Informatiei si Protectia Datelor

Protectia informatiilor confidentiale (2)
Un caz special il constituie datele cu caracter personal.
Acestea sunt definite de legea 677/2001, transpunere a Directivei 95/46/EC (disponibila
la http://www.dataprotection.ro) ca:
date

cu caracter personal = orice informatii referitoare la o persoana fizica identificata

sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct
sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi
factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Operatorii de date cu caracter personal sunt obligati sa asigure protectia acestor date.

Art. 20: Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru
protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale,
ilegale pierderii,
pierderii
modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva
comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de
prelucrare ilegala.

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 11 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Securitate a Informatiei si Protectia Datelor

Protectia informatiilor confidentiale (3)
Un alt caz special il constituie datele
cardurilor bancare ale clientilor.
clientilor
La nivelul grupului DTAG exista initiativa
de certificare PCI-DSS (Payment Card
Industry Data Security Standard), la care
participa si Romtelecom.
Romtelecom
Clientii isi pot utiliza cardurile bancare
pentru plata in magazinele fizice si virtuale
ale Romtelecom.
Personalul si sistemele Romtelecom NU
retin datele acestor carduri bancare.
Datele cardurilor bancare sunt folosite
exclusiv de sistemele autorizate ale bancilor
emitente, respectiv ale firmelor care asigura
plati online.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 12 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Solutia Data Loss Prevention

Pentru reducerea riscurilor de scurgere
scurgere in exteriorul Romtelecom a informatiilor sensibile (date
confidentiale si date personale ale clientilor sau ale angajatilor Romtelecom), a fost implementata
solutia Data Loss Prevention (DLP), cu 3 componente:

A.

Ridicare de incidente si blocare a upload-ului si a postarii pe Internet (via TMG Proxy) a

informatiilor sensibile;

B.

Ridicare de incidente si blocare a e-mail-urilor (care sunt trimise de pe contul Romtelecom

catre alte adrese externe pentru care nu exista exceptie*) in cazul in care acestea contin
informatii sensibile;

C.

Agentul DLP instalat pe PC-uri poate bloca copierea pe dispozitive externe (USB, HDD
extern, CD, DVD), FTP sau imprimare a documentelor care contin informatii confidentiale
sau date personale ale angajatilor/clientilor Romtelecom. User-ul va putea sa isi aleaga
optiunea
ti
d a continua
de
ti
actiunea
ti
sau de
d a o bloca
bl
i t
intr-un
i t
interval
l de
d timp
ti
d 60 sec.
de

In cazul in care actiunea dvs. (trimitere e-mail, postare pe Internet

etc) este legitima (**vezi nota), este necesar sa se adauge o
exceptie in DLP pentru ca acea actiune sa nu mai fie blocata de
catre DLP:
Pentru a solicita exceptie in DLP trimiteti detaliile necesare catre
informationsecurity@romtelecom.ro si, eventual, deschideti un nou
Change Order in aplicatia de ServiceDesk, alegand categoria F1 si
aplicatia DLP (https://servicemanager.romtelecom.ro).

* Nota: implicit sunt exceptate de la blocare e-mail-urile ce se trimit

catre adrese de e-mail ce apartin DTAG, OTE, Cosmote.
* * Nota: Actiune legitima
g
= aprobata
p
de manager
g ((+ aprobata
p
de catre
Directia Conformitate, in cazul datelor personale si aprobata de owner-ul
documentului in cazul documentelor confidentiale.).

Au existat cazuri concrete in care am oprit scurgeri de date facute din greseala (CNP-uri in linii ascunse din XLS, destinatari externi pusi
din greseala, fisiere ramase atasate etc.) si am ajutat la modificarea unor procese in care, de ex., CNP-ul nu era necesar (dar era trimis
prin e-mail in exterior).
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 13 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Utilizare Parole si Ghid de Utilizare Parole

Cu tot
totii st
stim deja cat de important
po ta t este sa folosim
o os pa
parole
o e co
complexe,
p e e, de minim 8 ca
caractere,
acte e, ca
care
e sa co
contina
t a co
combinatii
b at cat mai
a
aleatoare de cifre, litere si caractere speciale.
Cerintele pentru crearea de parole sigure si numarul mare de aplicatii cu care un utilizator interactioneaza au tendinta sa
produca utilizatori neglijenti, care reutilizeaza parolele.
O serie de atacuri care au compromis bazele de date cu parolele si conturile asociate pe un numar de site-uri au permis analiza
comportamentului utilizatorilor relativ la refolosirea parolelor.
NU REFOLOSITI PAROLELE, in special cand este vorba de site-uri care contin informatii importante si/sau date
personale!!
Nu folositi la serviciu aceleasi parole pe care le folositi in interes personal!
Astfel, in cazul in care o parola de-a dvs. este compromisa, nu veti expune informatiile Romtelecom la un risc suplimentar.

Blocati intotdeauna statia de lucru cand p

plecati din fata ei. Pentru a p
pastra datele in siguranta,
g
apasa
p
simultan tastele
Win + L pentru a bloca ecranul PC-ului:

+
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 14 din 44

O modalitate adoptata in Romtelecom de anul acesta pentru accesul securizat pe VPN este Dual
factor authentication ca mecanism de autentificare ce necesita doua componente pentru a
identifica i pentru a autentifica un utilizator - "ceva ce stie" utilizatorul si "ceva ce are" utilizatorul.
Username si parola reprezinta componenta "ceva ce stie
stie, iar componenta "ceva ce are" este
reprezentata de un token hardware sau un dispozitiv mobil cu token software instalat.
Prin comparatie, schemele de securitate traditionale folosesc username si parola pentru
autentificare, ceea ce asigura un minim de securitate deoarece parolele sunt usor de ghicit sau
interceptat.
Romtelecom foloseste ca solutie de dual factor authentication SMS Passcode. In cazul SMS
Passcode cele 2 componente sunt:
1) "ceva ce stie" utilizatorul: username i parol AD.
2) "ceva ce are" utilizatorul: telefon mobil - doar posesorul telefonului poate introduce
corect codul unic care este primit prin SMS in procesul de autentificare.
UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Utilizare Parole si Ghid de Utilizare Parole

IMPORTANT: deoarece in acest moment accesul la:

anumite resurse prin VPN,

reteaua interna (AD),
platforma de eLearning,
e-mail din interior (Outlook),
y p
e mail din exterior (webmail si Outlook),
Outlook) ePaySlip,
e-mail
unele aplicatii tehnice,
Internet (via TMG proxy),
CA Service Manager (din interior si exterior),

TOATE folosesc pentru autentificare Active Directory (AD), dvs., ca utilizatori, trebuie sa
protejati si mai responsabil parola de Active Directory. NU COMUNICATI parola de AD (parolele in
general) altor persoane, fie ei chiar sefi directi.
Desi impunem reguli de complexitate si schimbarea parolei la 30 de zile, tineti cont de
recomandarea de a NU (RE)FOLOSI contul si parola de AD pe orice fel de calculator / site /
aplicatie ce NU APARTINE companiei.
In acest mod, in cazul in care un cont al dvs. este compromis, nu veti oferi o cale de intrare in
companie unui atacator.
In cazul in care utilizati un dispozitiv mobil (laptop, telefon mobil, tableta etc.) pentru a accesa email-ul sau aplicatii si dispozitivul este FURAT sau PIERDUT, anuntati acest incident IMEDIAT,
pentru a se bloca contul si a schimba parola.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 15 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Politica de Utilizare Acceptabila

Toti salariatii companiei, contractori sau personal

temporar carora le
le-a
a fost acordat dreptul de a
utiliza e-mail-ul sau serviciile de acces Internet si
Intranet ale companiei sunt obligati sa semneze un
formular de confirmare a intelegerii si acceptarii
acestei politici.

Politica defineste ce este acceptabil si ce nu este

acceptabil in utilizarea serviciilor Internet si e-mail
oferite pe statii de lucru proprietate a Romtelecom
sau prin infrastructura Romtelecom.

In cuprinsul politicii se prezinta ce este considerat

inacceptabil pentru un angajat sau contractor care
foloseste infrastructura Romtelecom (de ex.
postarea
de
mesaje
defaimatoare
sau
confidentiale instalarea de programe fara licenta
confidentiale,
sau neautorizate etc).

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 16 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Procedura PSA (Privacy and Security Assessment) (1/2)

Procedura de Evaluare a Securitatii si Protectiei Datelor (PSA) a fost introdusa pentru a garanta ca toate
proiectele initiate in cadrul Romtelecom, implicit in cadrul Grupului indeplinesc cerintele tehnice de securitate si
protectia datelor inca din prima faza de dezvoltare.
Procesul PSA are urmatoarele obiective:
Asigura conformitatea cu obligatiile legale privind protectia datelor a tuturor produselor, sistemelor si
platformelor.
Furnizeaza un nivel consecvent si adecvat de securitate si protectia datelor pentru toate produsele,
sistemele si platformele existente sau create de la zero.
Defineste un proces integrat de asigurare a securitatii si protectiei datelor ca si parte componenta a
proceselor de dezvoltare pentru produse si sisteme.
sisteme
Stabileste un nivel de suport in functie de complexitatea si criticalitatea fiecarui proiect, prin introducerea
unei categorii specifice inca de la initierea oricarui proiect de dezvoltare (A, B sau C).
IDEE

STUDIU PILOT

DESIGN

IMPLEMENTARE

OPERARE
APROBARE

APROBARE

Pe baza unui instrument de ierarhizare, orice proiect este inclus, inca de la inceput, intr-una din categoriile A, B sau C,
in functie de relevanta factorilor de securitate si protectia datelor. Cu cat un proiect este mai critic (categoria A fiind cea
maii critica),
iti ) cu atat
t t maii multlt trebuie
t b i sa beneficieze
b
fi i
d recomandarile
de
d il sii sprijinul
iji l expertilor
til de
d securitate
it t sii protectia
t ti
datelor.
La nivelul grupului DT exista cerinta ca securitatea si protectia datelor sa fie criterii de proiectare obligatorii pentru
toate produsele si procesele (Securitatea ca principiu de proiectare). Romtelecom a adoptat procedura PSA in 2012.
Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 17 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71

Procedura PSA (Privacy and Security Assessment) (2/2)

Furnizorii Romtelecom trebuie sa respecte cerintele de securitate impuse de DT.
DT

Vers. 2/2013
Departamentul Securitatea Informatiei
Tel.: 0259 466 761
Slide 18 din 44

UZ INTERN
Departamentul Securitate Fizica
Tel.: 021 400 55 71